De par le monde, la grande majorité des dirigeants d'entreprises craignent de possibles représailles exercées par d'anciens employés.

Par Pierre-Henri Badel

En Suisse, 17% des entreprises considèrent que ce risque est très élevé et reconnaissent avoir pris de mesures pour pallier ce danger, alors que 34% en sont encore au stade de l'évaluation des risques potentiels, en attendant de prendre des mesures appropriées.

La situation économique actuelle accroît pourtant le risque de vol des données informatiques de la part d'employés mécontents de leur situation ou renvoyés de leur poste, relève une étude du cabinet d'audit Ernst & Young. C'est souvent le système informatique qui est la cible privilégiée de l'employé indélicat. Les entreprises doivent donc veiller tout particulièrement à la sécurité des accès aux données stockées dans les ordinateurs. Elles doivent pour cela identifier les menaces potentielles et prendre les mesures qui s'imposent.

Pour près de la moitié des chefs d'entreprises interrogés dans le cadre de cette enquête, l'affectation de budgets adaptés en matière de sécurité des informations constitue un défi de taille. Et 40% des entreprises entendent accroître le budget annuel consacré à la sécurité informatique, alors que 52% de celles-ci n'envisagent pas de changer leur pratique actuelle.

L'un principaux points faibles de la sécurité des données est incontestablement constitué par les ordinateurs portables. Seules 41% des personnes interrogées dans le monde admettent qu'elles procèdent au cryptage des données sur leurs ordinateurs portables. Elles sont 17% à envisager cette solution à partir de l'année suivante seulement. Et cela quand bien même le nombre d'accès non autorisés détectés dans le cas de perte ou de vol de données ne cesse de progresser.

En Suisse, 80% des entreprises interrogées affirment qu'elles cryptent les données sur les ordinateurs portables, et 16% prévoient d'introduire cette mesure au cours des douze prochains moins.

Même si les entreprises adoptent une réglementation et des méthodes de formation idoines, c'est l'être humain qui constitue le plus important danger en matière de sécurité informatique.

13% des directeurs informatiques interrogés considèrent que les problèmes de sécurité proviennent du fait que le personnel ne se conforme souvent pas scrupuleusement aux règles édictées ou que ce dernier n'est pas suffisamment formé en la matière.

Quant au non-respect des règles élémentaires de sécurité en vue de s'adonner à de l'espionnage industriel, il inquiète encore 5% des responsables ayant participé à cette étude, celui-ci constituant selon eux un risque non négligeable.

Des directives souvent trop complexes

A la décharge des employés concernés, il s'avère pourtant que les règles de sécurité adoptées sont généralement très techniques et complexes. Difficilement compréhensibles pour le commun des mortels, elles deviennent ainsi totalement inutiles.

Pour que les utilisateurs soient réellement motivés à les respecter à la lettre, ils doivent en saisir toute la portée et les placer dans une perspective personnelle et professionnelle.

Six conseils pour que les directives de sécurité soient efficaces

• Rédigez les directives dans un vocabulaire simple et compréhensible. Evitez les termes trop techniques et compliqués et utilisez des exemples pour expliciter les règles.
• Informez les utilisateurs de l'existence et du contenu des directives de sécurité. Il est important que ces derniers comprennent pourquoi il a fallu établir ces règles et quelles en sont les répercussions pour eux personnellement et pour leur travail.
• Indiquez clairement quelles sont les conséquences des actes de ceux qui ne se conforment aux règles de sécurité.
• Aidez les utilisateurs à avoir un comportement irréprochable. Ne prescrivez pas des mesures qui entravent l'usage des outils informatiques ou du Web. Faites appel à des règles en utilisant par exemple la technique du filtrage pour qu'il ne soit pas possible de les transgresser.
• Appliquez une hiérarchie dans les autorisations d'accès. Les utilisateurs peuvent ainsi accéder qu'aux sources nécessaires à l'exécution de leur travail.
• Exercez une surveillance et améliorez-vous. Contrôlez que les règles sont respectées en utilisant les systèmes d'information et de gestion des événements, tout en procédant aussi à des contrôles manuels. Les directives sécuritaires doivent être considérées comme un document évolutif à compléter au besoin. Donnez plus d'exemples aux utilisateurs si des problèmes de compréhension apparaissent. S'il est difficile de se conformer aux règles établies, essayez de trouver des techniques qui facilitent ce travail.