samedi 21 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Comment empêcher la fuite de données sensibles ?

Comment empêcher la fuite de données sensibles ?

Gilbert Kallenborn, 01net

samedi 31 mai 2008, sélectionné par Spyworld

logo

Un scandale ébranle le monde high-tech outre-Rhin. Selon une révélation de l’hebdomadaire Der Spiegel, Deutsche Telekom a fait appel en 2005 et 2006 aux services d’une société tierce pour espionner les communications téléphoniques non seulement de ses cadres dirigeants et de certains membres de son conseil de surveillance, mais aussi de journalistes et d’investisseurs externes. Selon le magazine, l’opérateur historique souhaitait ainsi démasquer l’origine de fuites d’informations à la presse. D’après Les Echos, la société se serait livrée à ce genre de pratiques dès l’an 2000.

Très embarassé, René Obermann, le PDG de Deutsche Telekom, souligne que seules des données de connexion ont été analysées (numéros, heures et durées d’appel), pas les contenus des communications. Cette histoire rappelle étrangement l’affaire d’espionnage de HP , où, en 2006, les relevés de communication de membres du conseil d’administration et de journalistes avaient été analysés, à la suite de la publication d’informations confidentielles dans la presse.

Filtrage automatique des mails sortants

Aussi scandaleuses qu’elles puissent être, ces deux affaires posent le problème de la protection des données sensibles. Toutes les entreprises ont des secrets commerciaux ou techniques et il est légitime qu’elles puissent les préserver. « La protection contre les fuites de données préoccupe de plus en plus les entreprises, en particulier les grandes structures qui sont cotées en Bourse et qui sont soumises à des réglementations strictes. Il faut préciser que la plupart des fuites ne sont pas intentionnelles, mais résultent d’une imprudence », explique Jean-Pierre Carlin, directeur Europe du sud de Proofpoint.

Cet éditeur, qui vient de s’implanter en France, propose des serveurs dédiés capables de bloquer le courrier électronique sortant en fonction de la présence de certaines informations (numéro de carte bancaire, numéro de sécurité sociale) et de certains fichiers (plan 3D d’un produit, par exemple). Des solutions similaires sont proposées par Cisco et Secure Computing.

Au delà de l’aspect technique, il est utile de rappeler le cadre juridique relatif aux données d’entreprise. En France, les entreprises doivent sauvegarder les données de connexion de leurs employés pendant un an, selon le décret 2006-358 du 24 mars 2006 . L’entreprise peut également sauvegarder les mails. En revanche, elle n’a pas le droit d’archiver de manière définitive les mails que les salariés définissent comme personnels.

Sur les données professionnelles, l’investigation est sans limite

Les logs et les mails professionnels appartiennent à l’entreprise. « En ce qui les concerne, l’entreprise peut investiguer sans limite », explique Hubert Bitan, expert en informatique agréé par la cour de cassation et docteur en droit. L’entreprise peut donc lire le contenu des mails et l’utiliser en justice. En revanche, si elle soupçonne une fuite de données sensibles dans un mail personnel, c’est plus compliqué. Il est recommandé de faire une sauvegarde sous contrôle d’huissier accompagné d’un technicien indépendant, puis de procéder à une confrontation avec le salarié ou de saisir le tribunal.

Enfin, il est strictement interdit d’enregistrer les communications téléphoniques des salariés sans les en informer préalablement. Les salariés peuvent alors refuser d’être enregistrés. Si l’entreprise passait outre, elle prendrait le risque de se faire épingler pour atteinte à la vie privée.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :