Les tout derniers renseignements sur Al-Qaïda, un éminent rapport sur la protection de l’enfance et les plans de sécurité des Jeux olympiques de Londres 2012 par les forces de police ; voilà trois documents très différents mais qui ont deux points en commun : tout d’abord, il s’agissait d’informations ultra confidentielles et, deuxièmement, tous ont été oubliés dans un train.
Dans chaque cas, un curieux de passage a récupéré le dossier, y a jeté un œil et l’a confié à un journal. Chaque fois, le quotidien en question a remis le dossier à son propriétaire légitime non sans avoir repris les meilleures informations pour concocter une histoire sensationnelle, inévitablement embarrassante pour la réputation des acteurs incriminés.
Combien d’entre nous consultent nos dossiers dans les transports en commun ?
A lire ces récits, nul doute qu’on s’étonne du manque de vigilance des personnes concernées. Mais combien d’entre nous consultent nos dossiers dans les transports en commun en ne protégeant pas assez les informations sur lesquelles nous travaillons ? Ces incidents de grande importance ont été fort médiatisés, pourtant les risques d’exposer des informations confidentielles sur le trajet entre la maison et le bureau sont finalement très fréquents. Les salariés oublient des dossiers dans le train, des ordinateurs portables dans des bars, ou encore des clés USB dans les parkings. Certains communiquent involontairement des informations internes à des voyageurs de passage ; d’autres font comme si le métro était le lieu idéal où évoquer des questions hautement stratégiques au téléphone entre collègues.
Les trajets en transport en commun sont de plus en plus étendus autour des centres urbains, les sommes de travail plus lourdes et les journées plus longues. Inévitablement, nos trajets maison-bureau-maison s’étirent en longueur (selon Eurostat, l’office des statistiques de l’UE, la moyenne européenne est d’un peu plus d’une heure par jour dans les grandes zones urbaines). Par conséquent, beaucoup profitent de leur temps de déplacement pour avancer leur travail. Mais l’information n’est jamais autant exposée à des risques qu’en extérieur et en déplacement.
Notre dernière étude[1] révèle que deux tiers de ceux qui prennent des navettes aériennes en Europe n’ont aucun scrupule à jeter un œil sur ce sur quoi travaille le passager assis à côté d’eux ; et plus d’un sur dix (14 %) avoue avoir déjà capté des informations confidentielles ou ultra sensibles.
Les documents papier restent pourtant les plus vulnérables
L’utilisation croissante des terminaux mobiles (smartphones, tablettes ou ordinateurs portables) incite à travailler aucours des trajets. Les documents papier restent pourtant les plus vulnérables, car facilement oubliés ou jetés à la poubelle sans prendre les précautions qui s’imposeraient normalement.
Pour les employeurs et leurs avocats, ces fuites involontaires sont problématiques, surtout quand il s’agit d’informations ou de bribes de conversations monnayables auprès de la concurrence.
Recueillir des renseignements sur la concurrence est une pratique légitime, mais la frontière entre ce qui est légal et ce qui est éthique peut être très fine. Habituellement, les cabinets d’avocats concentrent leurs recommandations sur les activités anti-trust formelles et les catégories d’information que les employés peuvent ou ne peuvent pas solliciter ou accepter vis-à-vis de concurrents, fournisseurs ou clients ; en fin de compte, ils préfèrent noyer le poisson quant à ce qu’il convient de faire d’informations obtenues accidentellement. Et par « accident », on entend les renseignements obtenus en regardant par-dessus l’épaule de quelqu’un ou en interceptant une conversation.
Ceux qui sont assez courageux pour s’aventurer dans ce domaine n’ont d’autre choix que d’espérer que leurs employés comprendront que certains comportements, s’ils ne sont pas tout à fait illégaux, ne sont pas non éthiques et que le sens de l’intégrité et de l’honneur devrait les empêcher de saisir de telles occasions fortuites.
Autrement dit, recueillir des informations simplement en tendant l’oreille dans le train pour écouter une conversation à voix haute entre vos principaux concurrents, n’est pas franchement contraire à l’éthique ; mais s’asseoir délibérément juste derrière pour capter ce qui se dit exactement, l’est peut-être plus. De même, avoir accès à des informations confidentielles sur l’écran du PC portable de votre voisin dans un avion n’est pas contraire à l’éthique ; mais profiter que la personne aille aux toilettes pour faire défiler des slides est plus contestable. Lire des documents qu’un tiers aurait laissés derrière soi, OK, mais glisser des documents dans son sac quand leur propriétaire n’y fait pas attention, c’est du vol. Chacun a ses propres lignes à ne pas franchir ; il revient à l’entreprise d’établir des règles et des recommandations sur ce qui est acceptable et ce qui ne l’est pas.
Il faut prendre le temps de bien exposer les pratiques attendues en entreprise et de les confronter aux différents codes de moralité des individus. C’est plus important qu’on l’imagine. A l’occasion d’une étude antérieure[i], nous avons découvert que la plupart des gens (52 % des employés de bureau en Europe) n’hésiteraient pas, s’ils en avaient l’occasion, à s’approprier des informations confidentielles sur la concurrence et à les révéler à leur employeur (51 %). Souvent, ils y voient même un acte positif et une marque de loyauté.
Les salariés pensent majoritairement, en fait, qu’il est de bonne guerre de rendre des informations publiques et que le seul responsable n’est autre que celui qui a failli dans son rôle de protecteur de l’information. Pour éviter ce genre de comportement, les employeurs peuvent suivre plusieurs conseils pratiques : commencer par informer l’ensemble des salariés des obligations de sécurité de l’information qui leur incombent, instaurer une culture commune de responsabilité vis-à-vis des données, puis équiper les employés des outils IT qui les aideront à mieux manipuler et gérer l’information dans leurs déplacements (mots de passe, mécanismes de cryptage des données, filtre de sécurité sur les écrans des ordinateurs portables et ne transmettre des données sensibles que sur des réseaux virtuels sécurisés). Surtout, ne pas baisser la garde vis-à-vis des documents papier : il est très facile de sortir des documents imprimés de l’entreprise sans que quiconque sache qui a tels ou tels documents en sa possession.
Nul n’est à l’abri d’un accident. Mais il est possible d’en éviter un maximum en informant les salariés, en les accompagnant et en leur facilitant les choses. La plupart des gens sont honnêtes et veulent bien faire ; mais il suffit d’un moment de distraction, d’un coup de fatigue ou de stress, et le mal est fait. Rien de tout ceci n’est nouveau. En temps de guerre, la propagande voulait qu’on ne parle pas, à la maison, des mouvements de troupes ou des dépôts de munitions par crainte de donner l’avantage à l’ennemi. On disait alors que les indiscrétions pouvaient faire couler les navires ou que si le silence est d’or, la parole pouvait coûter des vies, et bien d’autres slogans restés dans les mémoires. Sachant que le monde de l’entreprise utilise volontiers la terminologie de l’engagement militaire, les organisations devraient peut-être s’inspirer de campagnes similaires pour obtenir de leurs collaborateurs qu’ils protègent les informations sensibles quand ils sont en déplacement.
_______________
Marc Delhaie est Président-Directeur Général d’Iron Mountain France et Suisse
[1] Etude réalisée par Opinion Matters pour le compte d’Iron Mountain. Panel : 5 021 employés adultes, interrogés entre le 15/04/2013 et le 01/05/2013, au Royaume-Uni, en France, en Espagne, en Allemagne et aux Pays-Bas.