«Sécurité informatique: la faille, c’est l’humain»

L’entreprise évolue dans un environnement «connecté» qui facilite son activité mais l’expose également aux cyberattaques et au vol de ses secrets d’affaires. Les effets d’une telle fuite de données peuvent lui être fatals. Étrangement, le responsable du dommage n’est pas celui qu’on croit.

De nos jours, l’ensemble des informations et des transactions d’une entreprise est rassemblé au sein de son système d’information. C’est pourquoi elles sont exposées aux cyberattaques.

Par ailleurs, la difficulté réside dans le fait que cette attaque est souvent effectuée à distance par une personne armée d’un simple ordinateur. Ainsi, l’ampleur des dommages subis par la victime est inversement proportionnelle aux moyens engagés pour accéder aux secrets d’affaires.

Pour rappel, selon la loi du 26 juin 2019 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, le secret d’affaires consiste en des informations qui:

- sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles;

- ont une valeur commerciale parce qu’elles sont secrètes;

- ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes.

S’agissant des dispositions pour garder les informations secrètes, il faut garder à l’esprit que la cyberattaque d’une entreprise a souvent pour origine les salariés de cette dernière.

En effet, le système informatique le plus sophistiqué ne protégera pas l’entreprise contre l’employé qui a communiqué ses codes d’accès à un tiers, lui permettant ainsi d’accéder aux informations confidentielles. En outre, l’entreprise est responsable de son propre préjudice quand, après le départ de son employé, celle-ci n’a pas modifié les accès informatiques.

À titre d’exemple, il sera utile que le contrat de travail stipule une clause de confidentialité et de restitution de matériel.

Bertrand Moupfouma, Avocat, Themis Lex

En effet, ce salarié pourra être tenté de s’introduire dans le système après son départ pour y copier ou altérer des données s’exposant ainsi aux peines prévues par l’article 509-1 du code pénal pour l’accès ou maintien frauduleux dans un système de traitement automatisé de données. C’est-à-dire de 2 mois à 2 ans de prison et de 500 à 25.000€ d’amende.

Aussi est-il prudent de supprimer les accès du personnel ayant quitté l’entreprise.

À cela s’ajoute l’encadrement contractuel du départ du salarié pour un nouvel employeur. Surtout si celui-ci ou celle-ci est une personne-clé. À titre d’exemple, il sera utile que le contrat de travail stipule une clause de confidentialité et de restitution de matériel.

En effet, le départ d’un membre du personnel peut signifier le transfert de secrets d’affaires ou de fichiers cruciaux tels que des plans de développement, des fichiers clients, des schémas de prototype, vers son nouvel employeur. Ce qui demeure du vol de données.

S’agissant des salariés présents, la première précaution est de restreindre physiquement l’accès à l’infrastructure IT selon leur habilitation et de manière logique par des codes d’accès.

La seconde précaution est d’investir dans la sensibilisation et la formation du personnel.

Bertrand Moupfouma, Avocat, Themis Lex

La seconde précaution est d’investir dans la sensibilisation et la formation du personnel pour assurer l’acquisition des réflexes comme:

- éviter d’utiliser une clé USB;

- communiquer le mot de passe à un tiers;

- donner des accès élargis à des stagiaires;

- être vigilant dans la communication des informations;

- être prudent dans les accès distants.

S’agissant de l’extérieur, il est prudent de faire un audit régulier du système d’information, d’encrypter ses moyens de communication, et de changer régulièrement ses mots de passe ainsi que l’antivirus.

On rappellera qu’une cyberattaque expose sa victime à une fuite de ses données à la divulgation de secrets d’affaires et à l’atteinte de sa réputation et la perte d’avantages concurrentiels.

De plus, dans le cas où ces données dérobées incluent des données personnelles, leur perte prend alors une autre dimension et donnera lieu à des notifications à la Commission nationale pour la protection des données et prend alors une autre dimension.

Pour ceux qui en douteraient, assurer la cybersécurité, c’est protéger les actifs de l’entreprise.