Avec l'arrivée en force d'Internet et des nouvelles technologies dans les entreprises, surfer au bureau sur des sites non professionnels est devenu une habitude pour beaucoup de salariés. D'après une récente enquête de société d'intérim Kelly Services auprès de 8 000 salariés français, plus d'un tiers d'entre eux (36 %) estiment même qu'il s'agit d'une « pratique normale » et plus de 10 % jugent « acceptable » le fait d'utiliser des logiciels sans licence sur leur lieu de travail.

De quoi faire frémir plus d'un directeur informatique ! Car si l'usage du Net ou même du poste de travail à des fins personnelles représente d'abord du temps que le salarié ne passe pas à travailler, il implique des coûts techniques et des risques informatiques importants : saturation de la bande passante, encombrement des boîtes aux lettres électroniques et des disques durs, intrusion de virus et de spyware dans le SI de l'entreprise...

Sans compter les risques juridiques encourus par l'employeur pour une utilisation frauduleuse ou délictueuse du SI de l'entreprise par ses salariés. Pour se prémunir contre ces problèmes, de plus en plus d'entreprises décident de réguler l'usage des équipements informatiques qu'elles mettent à la disposition de leurs employés.

Certaines, notamment dans le secteur bancaire, n'hésitent plus à tout interdire, allant même jusqu'à proscrire l'envoi de mails vers l'extérieur, en mettant en avant l'argument de la sécurité.

Un point hautement sensible dans l'univers de la finance. « Sans aller jusqu'à ces extrêmes, la plupart des grands comptes et des établissements publics se dotent aujourd'hui de systèmes pour verrouiller les accès à leur système d'information et rajoutent une charte d'utilisation des outils informatiques à leur règlement intérieur » , confirme Jean-Lou Le Bars, directeur de projet chez Arronax Conseil, une société qui accompagne les entreprises et les collectivités dans ce type de démarche.

« Depuis plus de deux ans, notre maison mère incite ses filiales à adopter une démarche globale de gouvernance informatique et donc à se doter d'une charte du même nom pour sécuriser un SI qui est utilisé par plus de 1 100 salariés en France » , explique Michel de Haro, directeur informatique chez Computacenter. La démarche ici est plus préventive que curative car ce distributeur de produits informatiques n'a jamais connu de gros soucis.

Mais il en va autrement pour beaucoup d'entreprises. « Nous étions régulièrement confrontés à des attaques de virus et de spyware qui plantaient notre système », se souvient Olivier Parcollet, administrateur systèmes et réseaux de la Setao, qui exploite le tramway et le réseau de bus de l'agglomération d'Orléans.

« Nous avions sans cesse des pannes sur des postes sur lesquels les salariés avaient installé des logiciels personnels qui perturbaient le bon fonctionnement de nos applications », renchérit Didier Prouteau, responsable systèmes, réseaux et micro chez NRG France, société spécialisée dans les solutions d'impression et les technologies documentaires.

Impossible de laisser faire ! Surtout quand la productivité, la rentabilité et même parfois l'image de marque en prennent un coup. Les directeurs informatiques que nous avons interviewés ne cachent pas d'ailleurs, qu'au-delà de la sécurité, existe aussi une volonté de limiter les usages personnels du PC ou du Web, parfois gros consommateurs de temps, mais également de bande passante et d'espace disque...

Véritables outils de management, les chartes informatiques permettent d'afficher la politique de l'employeur en matière d'usage des NTIC et de prévenir les situations juridiques délicates. « Elles constituent une sorte de code de bonne conduite, en accord avec la législation, dont tous les salariés doivent prendre acte » , souligne Didier Prouteau, dont la charte, mise en place il y a plus d'un an, s'applique aussi bien au poste informatique qu'au téléphone et au photocopieur.

« Les chartes doivent aussi être le reflet de l'activité de l'entreprise » , précise Dominique Grillet, directeur opérationnel de Maporama, société spécialisée dans la géolocalisation. Pour cette PME de trente personnes, ce qui prime avant tout, c'est de garantir un service 24 h/24 à ses clients.

« Notre charte concerne en priorité nos 250 serveurs de production chargés de mettre en ligne nos services. Elle réglemente précisément ce que l'utilisateur a le droit de faire ou pas sur chaque machine, le type de programmation utilisé, la nature des données qui peuvent être mises en ligne » , détaille Dominique Grillet. Aucun dérapage ne peut être toléré.

Une contrainte que connaît bien Olivier Parcollet sur les postes des régulateurs de trafic de la Setao (lire encadré). Selon lui, « la charte doit rappeler que chaque salarié est responsable de son matériel. Elle doit poser des principes clairs, même si, en pratique, seules les utilisations personnelles abusives sont condamnables » .

Michel de Haro partage cet avis, estimant qu'il faut avant tout responsabiliser le salarié. Didier Prouteau est, lui, plus directif : « Tout ce qui ne concerne pas l'activité professionnelle est interdit dans notre charte. Seule une situation d'urgence peut justifier l'utilisation du poste à titre personnel. »

Permissives ou pas, les chartes doivent fixer des limites (interdiction ou pas de participer à des forums, de créer des pages personnelles, de faire des achats en ligne, d'installer des logiciels...) et rappeler les règles élémentaires du respect de la propriété intellectuelle.

Mais elles doivent aussi informer les salariés sur leurs droits personnels et, en particulier, sur l'interdiction d'espionnage auquel est tenu leur employeur, et sur les mesures de surveillance et de filtrage mises en place par la DSI : blocage des fichiers supérieurs à une certaine taille, veille des sites visités, mesure du temps passé sur Internet...

Élaborer une charte n'est pas une mince affaire. C'est généralement la direction informatique, à l'origine de la demande, qui se prête à l'exercice.

« Nous sommes partis d'une charte existante pour rédiger les grands items : quel est l'objet de la charte, à qui elle s'applique, quelles sont les sanctions... Nous l'avons ensuite adaptée à nos besoins en la complétant avec certaines règles, comme l'obligation d'utiliser l'antivirus pour tout document entrant ou de changer de mot de passe régulièrement. Il nous a fallu près de trois ans pour en achever la rédaction » , confie Didier Prouteau, en rappelant les inévitables allers et retours du document entre les services concernés : l'informatique bien sûr, mais aussi la DRH, la direction, les services juridiques.

Pour gagner du temps, la direction informatique de la Setao a créé un comité de rédaction, réunissant les services concernés mais aussi les utilisateurs avec qui elle avait eu des problèmes par le passé. « Le plus important était d'impliquer le personnel et de trouver une adhésion, plutôt que de nous le mettre à dos » , indique Olivier Parcollet. Trois réunions ont suffi à ce directeur informatique pour rédiger le document final. Un exploit !

« Le plus difficile, c'est de bien évaluer les risques et d'adapter la charte à ces risques » , rappelle Michel de Haro, qui a préféré confier à une société extérieure la rédaction de la charte de Computacenter (lire encadré). Un avis partagé par Dominique Grillet : « Notre charte est encore en cours d'élaboration. Nous y travaillons par brique depuis 2002 en veillant à ce que chaque procédure mise en place soit bien comprise et acceptée par les utilisateurs. »

Une fois rédigée et validée par tous les services, la charte doit encore faire l'objet d'une discussion avec les différents organes représentatifs du personnel (CE, délégués...). « Cette étape est indispensable pour que ces dispositions soient opposables aux salariés, et que leur violation puisse, le cas échéant, fonder des mesures disciplinaires » , rappelle Pascal Agosti, avocat à la Cour de Paris et spécialisé dans les nouvelles technologies (lire encadré).

Elle doit ensuite être diffusée aux salariés, soit par mail, soit avec le bulletin de salaire, et être remise impérativement aux stagiaires, CDD et intérimaires. Elle peut être affichée dans les locaux et être publiée sur l'intranet de la société, avec une foire aux questions. La charte doit également être insérée dans le règlement intérieur de l'entreprise. Une condition indispensable pour pouvoir éventuellement sanctionner une infraction.

Tous les directeurs informatiques, qui se sont dotés de cet outil, sont unanimes : l'importance des chartes est incontestable. Celles-ci permettent une première clarification des règles applicables dans l'entreprise.

« C'est comme un code de la route » , confie Didier Prouteau. Sans lui, vous ne savez pas toujours quelles règles de conduite adopter ou comment rappeler à l'ordre un salarié indélicat. Bien rédigé, ce code de bonne conduite permet de sensibiliser les utilisateurs et donc de diminuer sensiblement les taux de pannes, d'optimiser les ressources disponibles et d'éviter des mises à jour de réseau qui n'auraient pas été justifiées.

« L'impact psychologique est très fort. Depuis sa mise en oeuvre, nous n'avons plus de dérives. L'entreprise a gagné en sécurité et le service informatique peut se consacrer à des tâches de fond » , confirme Olivier Parcollet.

« C'est un outil managérial, plutôt ouvert et impliquant les salariés » , ajoute Michel de Haro. Les chartes sont aussi très utiles pour dégager la responsabilité d'un employeur en cas d'utilisation frauduleuse du SI par un salarié. Sans elles, c'est en effet l'employeur qui peut être tenu pour responsable des agissements de ses salariés. En juin 2003, Lucent France avait été condamnée parce qu'un de ses employés utilisait les moyens technologiques mis à sa disposition pour diffamer une autre société.

Rappelons enfin que le non-respect d'une charte peut entraîner des sanctions. « Nous l'avons déjà utilisée pour des rappels à l'ordre, mais c'est assez rare » , indique Didier Prouteau.

La mise en place d'une charte est un premier pas vers une politique globale de sécurisation des ressources informatiques de l'entreprise. Mais, pour être vraiment efficace, une charte doit être suivie de mesures techniques pour surveiller, et aussi brider l'accès au SI et à Internet.

« Nous avons déployé des coupe-feu sur chaque poste qui permettent de surveiller la bande passante et de remonter des alertes en cas d'intrusion de virus. Les droits d'administration sur les machines sont restreints pour éviter l'installation de logiciels non autorisés et un proxy filtre les connexions à Internet » , détaille Michel de Haro.

Pour la messagerie, des quotas sont généralement mis en place et la taille des fichiers attachés est limitée. « Nous avons installé un outil de filtrage d'URL développé par Olfeo pour répondre à la réglementation française. Mais nous accordons des crédits de temps de surf pour une utilisation personnelle à certaines heures » , ajoute Olivier Parcollet. Pour cet administrateur réseaux, cet échange de « bons procédés » est le meilleur moyen d'obtenir une vraie adhésion du personnel à la politique de sécurité.

« Rien ne peut se faire sans la participation des salariés. Bloquer un accès sur le Net, édicter des règles de conduite ne servent pas à grand-chose si ces mesures ne sont pas comprises » , acquiesce Michel de Haro.

L'important reste donc de convaincre et cela prend du temps. Mais, lorsque les chartes se seront généralisées dans les entreprises, il y a fort à parier qu'Internet et la messagerie suivront la voie tracée par les appels téléphoniques privés sur le lieu de travail : l'employé raisonnable et le patron mesuré feront alors bon ménage.

Jusqu'où peut-on aller ?