En matière de vol des données, on pense systématiquement aux attaques extérieures. Pourtant, la menace peut également venir de l’intérieur, à tout moment et particulièrement en fin d’un contrat est un moment propice à l’exfiltration de données par un salarié.
Imposé ou volontaire, un départ rend l’entreprise particulièrement vulnérable. C’est dans ces moments qu’un cabinet conseil RGPD peut s’avérer essentiel. Outre la prise de conscience du danger, des bonnes pratiques sont indispensables pour éviter les incidents et leur fâcheux impact sur l’entreprise.
Des motivations multiples, des incidents croissants
Dans ce délit, le scénario se répète inlassablement : un employé part (démission, licenciement, rupture conventionnelle) et emporte avec lui, sans autorisation, des informations stratégiques ou sensibles qu’il a produites ou auxquelles il a eu accès durant ses fonctions.
Les mobiles des employés infidèles, eux, varient. Appât du gain, intérêt personnel, dénonciation, espionnage industriel, les éléments détournés vont ainsi être monétisés, exploités chez un concurrent ou pour son propre compte. Il arrive aussi que les fichiers soient simplement conservés, sans volonté de nuire ou de les utiliser.
Les nouvelles habitudes de travail, sources de tentation
Phénomène déjà fréquent, la récupération de données non autorisée en fin de contrat est facilitée par les nouveaux modes de travail : l’usage des outils personnels dans le cadre des missions professionnelles, le téléchargement des données sur les terminaux mobiles, le travail en équipe, l’accès à distance non sécurisé aux ressources… Des usages multipliant les failles et les dommages collatéraux pour les sociétés victimes.
Quelle que soit l’intention, le vol de données a des conséquences sur l’entreprise
L’exfiltration de données n’est pas anodine et entraîne :
-
-
-
-
- l’exposition de données personnelles et stratégiques de l’entreprise
- des risques plus élevés d’utilisations malveillantes
- la perte d’avantages concurrentiels
- des préjudices financiers et commerciaux
- une atteinte à l’image de marque et confiance client
- des litiges potentiels avec les clients floués
- des coûts d’actions en justice, de sanctions RGPD et d’indemnisations éventuelles
-
-
-
Les données les plus volées
Dans le palmarès des informations les plus ciblées sont les datas clients, les informations financières, les fichiers commerciaux, la stratégie de développement de l’entreprise. Autant dire de l’or pour toute société.
Il existe plusieurs moyens de subtiliser des données, allant du téléchargement des fichiers sur des outils de stockage externes à l’envoi par e-mail non autorisé.
Prévenir le vol de données en interne, les bonnes pratiques
1 – Identifier les données stratégiques et à risques, notamment celles relevant de la propriété intellectuelle, des avantages concurrentiels, des données sensibles. Les répertorier et stocker selon le niveau de sensibilité.
2 – Restreindre les accès informatiques aux données selon le profil et les missions de chaque salarié.
3 – Appliquer une politique de sécurité des données active et dissuasive assortie d’une charte informatique stricte : changer les mots de passe des comptes partagés à chaque départ, interdire l’envoi de données sur des messageries personnelles.
4- Sensibiliser les équipes à la sécurité des données, au caractère délictuel du vol de données, aux risques et aux sanctions pénales encourues.
5 – Prévoir des clauses de confidentialité et de clauses de non-concurrence dans les contrats.
6 – Contrôler l’activité sur le réseau de l’entreprise à l’aide d’outils de surveillance respectueux de la vie privée : moniteurs de surveillance de base de données, collecte des journaux… Piéger les fichiers avec l’ajout d’e-mail de tracking.
Le Jour J, vigilance et restrictions des accès sont de mises
1 – Verrouiller le départ avec les équipes RH et Informatique en amont. Évaluez les risques, prenez les mesures de sécurité nécessaires, dressez la liste du matériel à rendre, des accès à bloquer…
2 – Révoquer les accès du futur ex-collaborateur : désactiver les accès aux messageries, aux outils partagés, intranet, changer les mots de passe pour ceux partagés entre équipes.
3 – Récupérer les équipements et les données détenus par le salarié : ordinateur, smartphone, support externe…
Les 3 facteurs de risques à connaître
Si tous les échelons sont touchés par le vol de données en interne, trois facteurs augmentent le phénomène :
-
-
-
-
- Un départ conflictuel
- La détention d’informations stratégiques
- Un niveau hiérarchique élevé, cadre ou dirigeant.
-
-
-
Que faire en cas de vol de données par un salarié ?
-
-
-
-
- Réunir des preuves tangibles avec les départements informatiques et juridiques
- Faire appel à un huissier pour attester de la matérialité des faits
- Déposer plainte auprès des services de police, gendarmerie ou du Procureur de la République pour demander réparation
- Signaler le délit auprès de la DGSI à l’adresse dédiée à la protection numérique : sécurité-economique@interieur-gouv.fr
-
-
-
Les leçons à retenir
-
-
-
-
- Les vols sont courants et les enjeux pour l’entreprise sont majeurs en matière de cybersécurité.
- Les (ex-)employés mal intentionnés profitent souvent de la négligence interne.
- Souvent découvert tardivement, l’appropriation de données par un salarié est difficile à démontrer, faute de preuves.
- La prévention, la vigilance et la protection des données sont de mise.
- Ce n’est pas parce que la relation avec le collaborateur est bonne qu’il n’y a aucun risque.
-
-
-