ATTENTION : Les archives du Journal du Barreau vous sont présentées telles qu'elles ont été déposées sur le Web au moment de leur publication. Il est donc possible que certains liens soient non fonctionnels et que certains renseignements soient périmés.

Pour toute question ou commentaire concernant le Journal, communiquez avec journaldubarreau@barreau.qc.ca

Visitez la page officielle du Journal du Barreau sur le site Web du Barreau du Québec.

 

Sécurité informatique

Les attaques peuvent aussi venir de l'interne

Emmanuelle Létourneau, avocate

On entend souvent parler d'histoires de piratage et de virus reliés à Internet. C'est pourquoi les systèmes informatiques des entreprises sont de plus en protégés contre les attaques venant de l'extérieur. Mais ce n'est pas suffisant. Les systèmes informatiques peuvent aussi subir des intrusions à partir de l'interne, des employés. D'ailleurs, selon une enquête de l'Institut pour la sécurité informatique, 30 % des attaques sont en provenance de l'intérieur de l'entreprise. Les responsables de la protection du système informatique doivent en tenir compte.

P.8 picture

Les raisons de bien protéger son système informatique ne se limitent pas à cela. D'abord, un employeur a certaines obligations relativement à la conservation des renseignements personnels et peut avoir un devoir de confidentialité à respecter. C'est pourquoi l'on peut s'attendre à ce qu'il protège suffisamment son système informatique pour rencontrer ses obligations.

Ensuite, de façon stratégique, les employeurs ont intérêt à protéger leur système informatique s'il contient des renseignements pertinents ou fondamentaux, comme les stratégies de l'entreprise, les états financiers, les listes des clients et des fournisseurs, les numéros de comptes bancaires, etc. En somme, tant légalement que stratégiquement, ces informations doivent être accessibles à certains employés, mais pas à tous.

Intrusions

Si vous n'êtes pas convaincu de l'importance de la protection, voici quelques exemples de ce qui pourrait arriver à une entreprise dont le système informatique n'est pas cloisonné ou dont l'accès à différents documents n'est pas protégé. Dans un tel cas, les employés pourraient accéder aux rapports financiers et connaître la situation financière de l'entreprise pour laquelle ils travaillent. Si les employés se rendent compte que l'entreprise est en mauvaise santé financière, cela pourrait avoir comme conséquence d'entraîner une hécatombe: ils pourraient démissionner à tour de rôle.

Les listes de clients et de fournisseurs peuvent avoir une grande valeur pour les employés. Certains d'entre eux pourraient en effet être tentés, en quittant l'employeur pour se rendre chez un compétiteur, de partir avec ces listes. Mais le pire cas de figure serait sans doute qu'un employé sabote tous les dossiers de l'entreprise après avoir appris son congédiement. C'est pourquoi l'employeur a intérêt à prévoir un dispositif de contrôle sur son système.

Comment protège-t-on un système informatique?

Certains systèmes d'exploitation grand public incluent des modules de protection alors que d'autres nécessiteront l'ajout de logiciels supplémentaires. Dans tous les cas, pour être efficace, un système de protection devrait respecter quelques critères. Il doit au minimum permettre le contrôle de l'accès par répertoires ou par dossiers et idéalement par fichiers ainsi que la gestion des utilisateurs avec identification par nom et mot de passe. La conservation de l'historique d'accès aux fichiers importants doit être possible afin de pouvoir faire enquête en cas de problème. Finalement, la possibilité de crypter les données, bien que ce ne soit pas essentiel, devrait être envisagée pour protéger les dossiers les plus sensibles.

Une fois le logiciel sélectionné, il faut respecter quelques règles pour sa mise en place. Tout d'abord, les fichiers doivent être groupés dans des répertoires en fonction des personnes qui y auront accès. Ensuite, chaque utilisateur doit posséder ses propres noms d'utilisateur et mots de passe. Sur ce dernier point, il faudra s'assurer que les employés ne divulguent pas leurs mots de passe.

Facteur humain

Cette dernière recommandation peut paraître banale, mais les cas d'intrusion dans les systèmes, de l'interne et de l'externe, ont parfois été la conséquence du non-respect de cette règle. En effet, le « facteur humain » n'est pas négligeable dans l'implantation d'un système de sécurité informatique efficace.

À ce sujet, un pirate informatique a expliqué récemment à une commission sénatoriale du Congrès américain comment de bonnes aptitudes en psychologie étaient plus utiles pour pénétrer dans un système, que des bonnes qualités d'informaticien. Kevin Mitnick, reconnu coupable d'escroquerie en 1995 et qui ne peut plus occuper un travail nécessitant l'utilisation d'un ordinateur, a réussi à pénétrer dans presque tous les systèmes qu'il avait pris comme cible. Sa technique: convaincre des employés travaillant pour ses cibles de lui communiquer leur mots de passe. M. Mitnick conclut que les entreprises ne devraient pas consacrer toutes leurs énergies à sécuriser leur système: elles devraient aussi former leurs employés sur leur rôle dans la sécurité du système informatique de leur employeur.

Dans la même veine, prenons le cas d'une employée d'une firme spécialisée en informatique qui n'avait normalement qu'un accès limité au système mais qui a eu accès à tous les dossiers de la compagnie le jour où un technicien en informatique, après avoir travaillé sur son poste, n'a pas terminé sa session. L'ordinateur fonctionnait donc avec le mot de passe du technicien et tous les dossiers étaient accessibles à l'employée. Même si le système de cette entreprise était techniquement bien protégé, une négligence humaine a été la source d'une intrusion.

Gestion du système de sécurité

Avoir un bon système de sécurité n'est pas qu'une question technique. En plus de la collaboration des employés, l'efficacité du système réside dans sa gestion efficace. Les intrusions doivent être détectées rapidement, qu'elles soient de l'interne ou de l'externe, et une procédure doit être mise en place pour traiter les cas d'introduction. Cette procédure doit indiquer qui est responsable de prendre les actions correctives et définir les actions à prendre. Ce genre de procédure s'avère particulièrement utile dans les cas de sabotage où il faut récupérer les données à partir des copies d'archivage.

Une fois qu'un comportement non conforme est détecté, le recours à une entreprise spécialisée dans la recherche de preuve peut s'avérer utile. Ces spécialistes détecteront - habituellement la nuit, lorsque les employés ne sont pas présents -, d'où viennent les problèmes à l'intérieur d'un réseau.

En cette période où les mises à pied se font massivement, tous ces conseils doivent être appliqués en tenant compte d'un juste équilibre entre la protection du système et le respect des employés.

Pour en savoir plus