‘Faudra-t-il bientôt faire surveiller ses propres employés ?’

La question revient à chaque fois que des documents confidentiels sortent d’une entreprise pour atterrir dans les mains d’un journaliste.

C’est ce qui s’est encore passé la semaine dernière avec Antoine Deltour, l’employé poursuivi par la justice luxembourgeoise pour avoir volé des documents concernant des rulings fiscaux (ou accords fiscaux) qu’il a ensuite fournis à un journaliste.

Le débat n’est pas simple, car évidemment la personne concernée ne se voit pas comme un voleur, mais comme un lanceur d’alerte, quelqu’un qui se bat de l’intérieur d’une entreprise pour le bien collectif, pour la morale, donc pour une cause éminemment subjective. Et puis de l’autre côté, vous avez le point de vue de l’entreprise concernée qui considère que l’employé a tout simplement volé des documents confidentiels et mis à mal sa réputation, sa crédibilité et donc son chiffre d’affaires.

Le débat n’est sans doute pas près de se tarir. Une étude du cabinet Loudhouse, citée par mes confrères du journal L’Echo, montre que 25% des employés d’entreprise se disent prêts à vendre des secrets d’entreprise si on leur proposait un minimum de 8.000 dollars. C’est ce qui fait dire à certains experts qu’en matière de sécurité informatique, le risque interne est nettement plus important que le risque d’un piratage externe. C’est en partie vrai, même si le piratage de la banque Crelan en Belgique et l’affaire des Panama Papers montrent que le piratage externe est également à prendre au sérieux. Le scandale luxembourgeois, le fameux LuxLeaks, rappelle aux directions informatiques des entreprises qu’elles doivent aussi renforcer les défenses internes pour repérer les accès frauduleux.

Évidemment, les lois interdisent fort heureusement de surveiller ses salariés. Par conséquent les informaticiens ont recours à des méthodes indirectes pour deviner les tentatives de fraudes internes. Certaines sociétés informatiques ont mis au point des logiciels malins qui enregistrent par exemple la manière dont l’employé tape sur son clavier ou déplace sa souris pour repérer une éventuelle usurpation de son compte en cas de différence de comportement. Le danger évidemment de ce genre de surveillance subtile est d’aboutir à trop d’alertes inutiles. Ces méthodes ne sont donc pas parfaites, d’autant que les responsables informatiques n’ont droit qu’à 7 minutes pour se prononcer sur la suite à donner à une alerte.

Le moins que l’on puisse dire est que ce n’est pas simple si c’est une fausse alerte, car on risque de froisser à vie un employé, qui s’empressera alors de raconter sa mésaventure à ses collègues et tout cela donnera l’impression que toute l’entreprise est sous surveillance cachée. Bonjour l’ambiance !

Je termine cette chronique par quelque chose qui m’a amusé dans cette histoire de fuite luxembourgeoise: entendre le commissaire de police de Luxembourg affirmer qu’Antoine Deltour a agi de la sorte parce qu’il est… anti-capitaliste ! Ça ne s’invente pas !