|
Article
 |
|
|
Private%20Banking vom 10.02.2010
Bertrand Beauté, 10126 signes |
|
 Article |
|
| |
| Sécurité informatique: La menace vient de l’intérieur |
| |
| Le scandale des données volées à la banque HSBC montre que l’arsenal technique a des failles. La meilleure des protections reste une bonne gestion des ressources humaines. |
| |
Stéphane Adamiste, directeur d’Ilion Security, société genevoise spécialisée dans la sécurité informatique, ne s’en cache pas: «En matière de sécurité, l’être humain représente le gros maillon faible. Souvent la survenance d’un incident de sécurité est le fait d’un employé de l’entreprise, qu’il soit malveillant ou non.» Et les scandales se multiplient: Hervé Falciani, ancien informaticien de la banque HSBC est au centre de l’affaire fiscale qui oppose actuellement la France et la Suisse. Au centre du débat, les données bancaires de près de 130 000 personnes de toutes nationalités, dont 3000 Français, volées par ce Franco-Italien de 32 ans.
Les crimes en col blanc
En 2008, Heinrich Kieber défrayait la chronique. Employé de la LGT Bank au Liechtenstein entre avril 2001 et novembre 2002, cet informaticien a, lui aussi, dérobé un CD de données à son employeur. Résultat, près de 1000 personnes et leurs informations personnelles révélées et un joli pactole pour Kieber: les services fiscaux allemands ont déboursé 4,2 millions d’euros pour ces informations.
Dans un autre style, le serpent de mer Clearstream, du nom de la Chambre de compensation internationale luxembourgeoise, fut également initié par le vol d’un listing commis par un employé: Florian Bourges, auditeur stagiaire de passage dans l’institution financière en novembre 2001. «La majorité des fraudes économiques au sein des entreprises viennent de l’intérieur, note Nicolas Giannakopoulos, fondateur de l’Observatoire du crime organisé à Genève. Les employés connaissent les protections et savent comment les contourner.»
Et ces affaires médiatiques ne sont que l’arbre qui cache la forêt. Ainsi, le juge d’instruction vaudois Jean Treccani ne compte plus les anecdotes sur des salariés malveillants: «J’ai récemment travaillé sur le cas d’un informaticien qui avait dérobé des informations très sensibles concernant les salaires des autres employés. Il a ensuite diffusé le document à une très large échelle sur Internet pour créer des conflits au sein de l’entreprise.»
Plusieurs études confirment le phénomène: Selon une enquête de PricewaterhouseCoopers sur les «white collar crime», 37% des entreprises suisses se disent avoir été victimes de délits économiques. Or, la moitié des auteurs de ces délits appartient au management même des entreprises concernées. Une autre étude, menée par l’Institut de criminologie et de droit pénal de l’Université de Lausanne (ICDP) auprès d’entreprises du canton de Genève, aboutit à des résultats similaires: sur les 543 entreprises interrogées (commerces et institutions financières), 35% ont été victimes de délits économiques commis par leurs employés au cours des quatre dernières années. Dans plus de 60% des cas, l’acte est répété au moins cinq fois avant que l’auteur ne soit appréhendé.
Les précautions à prendre
Face à cette menace venue de l’intérieur, que peuvent faire les banques pour se protéger? Une question sensible que les institutions financières n’abordent pas volontiers. Les experts se montrent plus loquaces. Le juge Treccani pointe en premier lieu la formation éthique des employés, en particulier celle des informaticiens, qui ont souvent accès à de nombreuses données sensibles: «Il y a des lacunes énormes en ce qui concerne l’éthique des informaticiens, estime le juge vaudois. Dans leur formation, il n’y a aucun cours sur ce sujet. Lorsque je les interroge, je m’aperçois que la plupart considèrent qu’il est tout à fait normal qu’ils disposent de tous les accès.»
«Ensuite, les banques doivent très bien se renseigner sur la personne qu’elles comptent embaucher, souligne Nicolas Giannakopoulos. Beaucoup d’entreprises ne vérifient que les CV pour les postes critiques, alors qu’il est possible d’aller beaucoup plus loin.» Autre précaution, la signature de clauses de confidentialité très strictes qui précisent clairement ce que les employés ont le droit de faire et ce qui est interdit.
Problème: «Même si les suites juridiques peuvent être très lourdes, elles ne dissuadent que très rarement un employé de passer à l’acte», note Solange Ghernaouti-Hélie, professeure ordinaire au Département des systèmes d’information de HEC Lausanne et auteure du livre La Cybercriminalité, le visible et l’invisible .
D’ailleurs, les cas récents démontrent qu’il n’est pas toujours aisé d’obtenir après coup la condamnation d’un salarié. Ainsi, Hervé Falciani vit actuellement à Nice, sous protection de la police française. Quant à Heinrich Kieber, doté d’une nouvelle identité par le Bundesnachrichtendienst (BND), le Service fédéral de renseignement allemand, il jouit en toute impunité de l’argent que lui a versé le fisc allemand.
Prévenir les dérapages
Reste pour les banques la possibilité de prévenir les dérapages via une surveillance accrue des salariés et la mise en place de mesures dédiées. «La manière la plus fréquente pour sortir une information d’une entreprise, c’est le support physique (clés USB, CD ou DVD), note Brian Mariani, ingénieur responsable de la sécurité informatique, pour la société de conseil en informatique CDI, à Fribourg. Le premier contrôle doit donc se faire à ce niveau en n’autorisant pas tous les salariés à utiliser ces supports. Dans certaines banques, par exemple, il est désormais interdit d’utiliser son propre téléphone portable, parce que ces appareils permettent de transférer de nombreuses données.» Seulement, il n’est pas possible de tout interdire. Les salariés, selon leur fonction, ont besoin d’envoyer des e-mails – dont le contenu est facilement contrôlable sauf s’il est crypté – ou d’utiliser des clés USB.
Autre dispositif mis en place par les banques, la journalisation des actions. «Il s’agit d’assurer une traçabilité des actions effectuées par les utilisateurs du système d’information, explique Stéphane Adamiste. On peut ainsi détecter des opérations potentiellement non légitimes. A ce niveau, les banques sont censées appliquer la loi du moindre privilège, en limitant l’accès aux données en fonction de l’activité de chaque salarié. Il n’est pas normal qu’un employé dispose d’un accès aux informations non strictement nécessaires à l’exécution de ses tâches quotidiennes.»
Lors de l’affaire HSBC, Hervé Falciani avait accès aux informations clients stockées dans les bases de données de la banque. Un statut justifié par ses fonctions d’informaticien, et qui n’est pas sans poser problème: «Ce qui fait qu’une personne passe à l’acte, c’est avant tout qu’elle en a la possibilité», rappelle Solange Ghernaouti-Hélie. «A ce niveau, je suis étonné que, dans les entreprises, il n’existe pas de double contrôle pour accéder aux données sensibles, à l'instar de ce qui existe en matière de signatures sociales, poursuit le juge Treccani. Une idée que la plupart des informaticiens rejettent généralement.»
Un avis que partage Stéphane Adamiste: «Une bonne pratique consiste à mettre en place une ségrégation des tâches, afin qu’une seule personne ne puisse pas réaliser une action sensible toute seule. Dans certains établissement existe même une rotation des postes, afin qu’un employé n’ait pas le temps d’identifier les moyens de contourner les contrôles de sécurité en place.» Reste qu’une telle mesure se heurte souvent à ce que Jean-Marc Jutzet, directeur de CDI, nomme «le syndrome du manager» qui veut disposer de tous les droits d’accès. «Plus un employé est important, plus il désire avoir accès à toute l’information et travailler avec beaucoup de liberté.» Ainsi, un dirigeant haut placé dans une banque romande n’hésite pas à pester contre une mesure de sécurité imposée par un informaticien de son établissement: «Il m’a donné un ordre comme s’il était mon supérieur hiérarchique! J’ai tout bonnement refusé.» En dépit des consignes de sécurité…
Ne pas trop fliquer le salarié
Un dispositif encore assez peu utilisé par les banques pour traquer les salariés malveillants est l’analyse comportementale. «Un système analyse les requêtes faites par un employé sur le système d’information, et aussi ses habitudes comme ses heures d’arrivée et de départ ou son utilisation d’Internet, explique Stéphane Adamiste. Si son comportement change et commence à différer de ses habitudes, cela peut constituer un signal d’alarme précoce pour l’entreprise.»
«Même avec toutes ces mesures, un salarié qui veut vraiment voler des informations trouvera toujours un moyen pour le faire…», estime Brian Mariani. Un avis partagé par Nicolas Giannakopoulos: «Les entreprises sont à la merci de leurs employés. Alors, je suis d’accord, il faut de la surveillance informatique, sans en abuser. Plus un salarié est fliqué, plus il se sent dévalorisé et plus il a tendance à passer à l’acte. La plupart des préjudices sont commis par des salariés en colère.»
Ainsi, loin d’avoir agi uniquement par messianisme, comme il a pu le prétendre, Hervé Falciani serait passé à l’acte parce que son employeur avait revu son salaire à la baisse, a révélé le quotidien Le Temps . «Il faut comprendre que lorsque des personnes manipulent des dossiers qui valent 100 000 fois leur salaire, la tentation est forte, surtout si elles se sentent dévaluées dans leur entreprise, poursuit Nicolas Giannakopoulos. Pour changer cela, il faut améliorer la communication au sein des entreprises. Expliquer la situation économique, ne pas laisser place aux rumeurs, surtout en période de crise où l’incertitude est grande pour les salariés.»
En d’autres termes, les sociétés devraient éviter à tout prix d’instaurer un régime de défiance, très préjudiciable. Ainsi, dans son rapport, l’ICDP note que si «la cupidité reste une des raisons principales poussant un employé à commettre un délit, la frustration et le fait de traverser une crise constituent aussi des mobiles solides». «Il faut offrir de bonnes conditions de ressources humaines aux employés, résume Solange Ghernaouti-Hélie de HEC Lausanne. Cela ne résoudra pas tout, mais le mal-être conduit souvent à des passages à l’acte. Les ouvriers se suicident, les cols blancs volent des données!»
Private Banking vous interésse? Pour souscrire un abonnement, cliquez ici.
|
|
| |
|
Keine Unternehmen zugeordnet.
|
 Zurück |
|
|
|
