|
sécurité
Comment empêcher la fuite de données sensibles ?
Le cas d'espionnage chez Deutsche Telekom pose le problème de la gestion des données confidentielles dans les entreprises. Des outils permettent de filtrer leur diffusion.
Gilbert Kallenborn,
01net., le 30/05/2008 à 10h40
|
Un scandale ébranle le monde high-tech outre-Rhin. Selon une révélation de l'hebdomadaire
Der Spiegel,
Deutsche Telekom a fait appel en 2005 et 2006 aux services d'une société tierce pour espionner les
communications téléphoniques non seulement de ses cadres dirigeants et de certains membres de son conseil de surveillance, mais aussi de journalistes et d'investisseurs externes. Selon le magazine, l'opérateur historique souhaitait ainsi démasquer
l'origine de fuites d'informations à la presse. D'après
Les Echos,
la société se serait livrée à ce genre de pratiques dès l'an 2000.
Très embarassé, René Obermann, le PDG de Deutsche Telekom, souligne que seules des données de connexion ont été analysées (numéros, heures et durées d'appel), pas les contenus des communications. Cette histoire rappelle étrangement
l'affaire d'espionnage de HP
, où, en 2006, les relevés de communication de membres du conseil d'administration et de journalistes avaient
été analysés, à la suite de la publication d'informations confidentielles dans la presse.
Filtrage automatique des mails sortants
Aussi scandaleuses qu'elles puissent être, ces deux affaires posent le problème de la protection des données sensibles. Toutes les entreprises ont des secrets commerciaux ou techniques et il est légitime qu'elles puissent les préserver.
« La protection contre les fuites de données préoccupe de plus en plus les entreprises, en particulier les grandes structures qui sont cotées en Bourse et qui sont soumises à des réglementations strictes. Il faut préciser que la
plupart des fuites ne sont pas intentionnelles, mais résultent d'une imprudence »,
explique Jean-Pierre Carlin, directeur Europe du sud de Proofpoint.
Cet éditeur, qui vient de s'implanter en France, propose des serveurs dédiés capables de bloquer le courrier électronique sortant en fonction de la présence de certaines informations (numéro de carte bancaire, numéro de sécurité
sociale) et de certains fichiers (plan 3D d'un produit, par exemple). Des solutions similaires sont proposées par Cisco et Secure Computing.
Au delà de l'aspect technique, il est utile de rappeler le cadre juridique relatif aux données d'entreprise. En France, les entreprises doivent sauvegarder les données de connexion de leurs employés pendant un an, selon
le décret 2006-358 du 24 mars 2006
. L'entreprise peut également sauvegarder les mails. En revanche, elle n'a pas le droit d'archiver de manière définitive les mails que les salariés
définissent comme personnels.
Sur les données professionnelles, l'investigation est sans limite
Les logs et les mails professionnels appartiennent à l'entreprise.
« En ce qui les concerne, l'entreprise peut investiguer sans limite »,
explique Hubert Bitan, expert en informatique agréé par la
cour de cassation et docteur en droit. L'entreprise peut donc lire le contenu des mails et l'utiliser en justice. En revanche, si elle soupçonne une fuite de données sensibles dans un mail personnel, c'est plus compliqué. Il est recommandé de faire
une sauvegarde sous contrôle d'huissier accompagné d'un technicien indépendant, puis de procéder à une confrontation avec le salarié ou de saisir le tribunal.
Enfin, il est strictement interdit d'enregistrer les communications téléphoniques des salariés sans les en informer préalablement. Les salariés peuvent alors refuser d'être enregistrés. Si l'entreprise passait outre, elle prendrait le
risque de se faire épingler pour atteinte à la vie privée.
