Comment se prémunir du vol de données en interne

Identifier les données sensibles

Partir en croisade contre les voleurs est inutile sans déterminer, au préalable, les données qui ne doivent absolument pas sortir de l'entreprise... La première étape consiste donc à classifier vos informations sensibles afin de déterminer, dans un second temps, dans quelle mesure vos commerciaux pourront y accéder.

Pour effectuer ce classement, demandez-vous quelles données seraient dangereuses si elles devaient tomber chez un concurrent. En effet, leur caractère sensible peut varier dans le temps en fonction des signaux faibles ou forts qu'elles donneraient à vos concurrents sur l'imminence de projets en cours ou à venir en interne.

Cette classification porte ainsi sur l'ensemble de vos données: contacts et historiques client, politique de prix de l'entreprise, stratégie à l'égard des fournisseurs, plan de développement, etc. Ce travail s'effectue avec votre direction générale et éventuellement d'autres managers concernés. Par sécurité, limitez au maximum le nombre de personnes autour de la table.

Paramétrer les droits d'accès et sauvegarder les données

Une fois ce travail de classification effectué, la deuxième étape consiste à définir des droits d'accès ou d'utilisation pour chacune de ces données dites «sensibles». A vous de définir ces droits pour vos commerciaux et le périmètre d'action de chacun (selon les documents: lecture seule, copie, modification, etc.), et de transmettre vos préconisations au service informatique qui prendra les mesures techniques nécessaires. Par ailleurs, au départ d'un commercial, veillez à désactiver ses codes d'accès à sa messagerie et à l'extranet de l'entreprise, ainsi que son badge d'entrée dans vos locaux.

En complément, les données de vos commerciaux doivent être régulièrement sauvegardées sur un serveur de façon automatisée. Cela évite non seulement de perdre des données en cas de problème technique avec un terminal mobile (ordinateur portable ou tablette), mais cela permet aussi à l'entreprise d'accéder à des copies même si, par exemple, les données en question ont été emportées par un commercial ayant quitté la société.

Utiliser des outils de sécurité adaptés

Une autre mesure technique est plébiscitée par les entreprises depuis un à deux ans. Pour améliorer la sécurité des serveurs de l'entreprise, il est aussi possible d'utiliser des outils DLP (data leak prevention ou data loss prevention) qui ont pour vocation d'empêcher la fuite de données vers l'extérieur. Par extension, ces outils logiciels peuvent aussi empêcher le commercial d'envoyer certaines données par e-mail.

Ainsi, chaque dossier ou fichier, quel que soit son format (Word, PDF...), propositions commerciales comprises, peut se voir attribuer des autorisations de lecture, d'écriture, d'impression, d'envoi par e-mail, de reproduction par le copier/coller, etc. De plus en plus, ces outils proposent des fonctionnalités de cryptage. Le but est de traquer les fichiers et les utilisateurs pour sauvegarder la sécurité des données de l'entreprise, voire d'empêcher qu'un tiers puisse ouvrir le fichier si jamais celui-ci était envoyé en dehors des locaux de la société.

Plusieurs prestataires, comme Cisco, McAfee, RSA, Symantec ou encore Websense, proposent de tels outils. Les tarifs sont généralement élevés car ce sont des systèmes complexes. Les offres sont basées soit sur un coût par utilisateur, soit sur un coût global. Dans ce cas, les frais peuvent atteindre 10 000 euros et plus.

Créer un climat de confiance

Rien ne sert de prendre des mesures techniques sans adopter une attitude appropriée. En effet, la sécurité est, avant tout, une affaire de management car dans tout dispositif de ce type, le maillon faible sera et restera toujours l'humain...

Ainsi, pour que ces mesures informatiques soient vraiment efficaces, il faut, en effet, qu'un climat de confiance règne dans l'entreprise. En tant que manager, à vous de faire en sorte que vos commerciaux se sentent bien dans la société et aient envie de la faire avancer. Pour cela, montrez-vous présent pour vos commerciaux, inculquez-leur la culture de votre entreprise, donnez-leur envie de rester et de se dépasser pour elle. A vous aussi de leur rappeler que les données et informations qu'ils détiennent sont cruciales pour la survie de l'entreprise. En effet, dans la plupart des cas, le commercial n'est sans doute même pas conscient de commettre un vol, parce qu'il estime légitimement que les données lui appartiennent. Pour remédier à cette ignorance, n'excluez pas de prévoir une communication spécifique sur le sujet, non pas pour les menacer (attention à ne pas altérer le climat de confiance régnant dans votre équipe), mais plutôt pour clarifier la situation.

Certes, ce management de confiance et de proximité n'empêchera sans doute jamais totalement votre commercial de partir avec des données lorsqu'il souhaitera poursuivre sa carrière ailleurs. Mais cela le dissuadera du moins d'en subtiliser durant le temps où il travaillera pour votre entreprise, et même, dans les cas extrêmes, de les transmettre à la concurrence si, par exemple, votre commercial ambitionne d'intégrer cette société à moyen ou long terme.

Par ailleurs, dans le cas précis où vous décideriez de vous séparer d'un vendeur, tant avant qu'après la fin de sa période d'essai, l'idéal est de faire en sorte qu'il ne puisse plus accéder aux données. Escorter un commercial jusqu'à la porte sans lui donner la possibilité de retourner à son bureau? Cette pratique, plus courante aux Etats-Unis qu'en Europe, reste une exception dans notre pays...

Enfin, quoi qu'il arrive, gardez aussi en tête que trop de protections tue cette confiance et peut ainsi s'avérer néfaste, voire contre-productif: le commercial ne doit pas se sentir frustré de ne pas avoir accès à certaines données dont il pourrait avoir besoin.

L'expert

Emmanuel Lehmann est diplômé de l'Essec et de l'Ecole de guerre économique. Il est le fondateur et directeur général du cabinet Citadelle spécialisé dans la sécurité de l'information et la gestion des risques pour les entreprises.