Des comportements à l’intérieur d’une organisation qui touchent à la sécurité de l’information peuvent avoir d’importantes répercussions pour l’entreprise, affirme l’avocate Katerine Poirier du cabinet BLG.
Aucune organisation qui utilise les technologies de l’information et des communications n’est à l’abri de problèmes liés à la sécurité et à la confidentialité de l’information. Parmi les entreprises qui sont confrontées à des situations problématiques, quelques-unes verront la situation faire la manchette des médias, mais d’autres tenteront de régler les choses discrètement et rapidement. Certains incidents qui compromettent la sécurité et la confidentialité de l’information d’une entreprise sont dus à ces facteurs externes, mais d’autres sont attribuables à des pratiques à l’intérieur même de l’organisation. Or, ces incidents qui sont liés à des pratiques internes inappropriées peuvent avoir d’importantes conséquences pour l’entreprise qui les subit.
Me Katherine Poirier, avocate associée du bureau montréalais du cabinet d’avocats Borden Ladner Gervais (BLG) à Montréal, explique que les problèmes liés à la sécurité de l’information en interne des organisations prennent plusieurs formes. Elle donne l’exemple d’employés de l’informatique d’un cabinet professionnel qui ont eu accès aux transactions corporatives à venir et qui ont réalisé des transactions d’initiés pour leurs actions personnelles en bourse. Elle fait également état de cas où des employés d’organisations, par débordement d’enthousiasme, partagent des informations personnelles ou confidentielles auprès de leurs réseaux dans les médias sociaux.
L’avocate souligne que les problèmes internes liés à la sécurité de l’information peuvent avoir des conséquences sur la réputation d’une organisation, mais aussi des impacts financier directs, et ce plus rapidement que jamais à l’ère des médias sociaux. Me Poirier fait état d’organisations spécialisées qui explorent ces médias sociaux afin de rassembler des informations pertinentes à propos des entreprises inscrites à la bourse, dans le but de fournir ces renseignements aux investisseurs.
« Tout ce qui sera échangé en lien avec une entreprise dans les médias sociaux ou publiquement, même s’il n’y a pas de violation de la sécurité informatique en soi, mais parce cette information n’était pas considérée par les gens comme étant confidentielle, peut avoir un impact sur la valeur de l’entreprise au complet », constate Me Poirier.
« La frontière entre la vie privée et publique, entre les renseignements confidentiels et publics devient un enjeu de plus en plus sensible avec la vitesse de transmission de l’information aujourd’hui, notamment dans les médias sociaux », ajoute-t-elle.
Prendre les moyens
Certes, des organisations ont établi une politique de sécurité de l’information pour leurs employés. Or, Me Poirier affirme que cette seule politique n’exempte pas l’organisation pour autant des risques d’incidents.
« Une politique de l’information sert à freiner plusieurs choses et à sensibiliser les gens à protéger certaines informations, mais c’est l’équivalent d’une politique qui interdit le vol : ça n’empêchera pas ceux qui y ont accès à des informations de pouvoir les détourner si elles ne sont pas protégées. Une politique, sans des mécanismes appropriés de protection de l’information, est un voeu pieux », déclare Me Poirier.
Elle constate que les organisations commencent à être sensibilisées aux conséquences des brèches qui affectent la sécurité de l’information et prennent conscience des impacts que peuvent avoir des incidents comme la diffusion d’informations confidentielles dans les médias sociaux. Toutefois, elle constate que l’application de mécanismes juridiques et informatiques par les organisations pour se prémunir contre de tels risques est loin d’être une réalité.
« Tranquillement, on voit apparaître une sensibilisation à cet égard, mais ce n’est pas une pratique répandue. Il faut garder encore le bâton de pelerin bien en main », indique-t-elle.
Dans plusieurs organisations, le responsable des technologies de l’information n’a pas le temps ou les compétences nécessaires pour prendre en charge la sécurité de l’information. Alors, selon Me Poirier, les responsabilités d’établissement et de mise en application d’un plan de sécurité de l’information en interne doivent être accomplies en collégialité par certaines personnes clés.
« Un plan de sécurité de l’information doit être fait avec la personne qui connaît l’information à protéger, soit le gestionnaire de l’organisation qui connaît la recette de son succès ou bien le directeur de la recherche et du développement, indique Me Poirier. Ces personnes sont en mesure de déterminer quelles informations qui font de l’organisation un chef de file ou quelles informations sont stratégiques. Il peut s’agir du département du marketing – cela dépend de l’organisation. Éventuellement, des gens responsables de la sécurité collaboreront afin que les mesures de protection de l’information soient mises en oeuvre. »
Par ailleurs, l’avocate rappelle qu’il ne suffit pas qu’une information soit qualifiée de confidentielle ou de secrète pour qu’elle obtienne automatiquement ce statut au niveau juridique. « Il ne faut pas seulement dire qu’il s’agit d’un secret : il faut le traiter comme un secret! Il ne faut pas que tout le monde dans l’entreprise y ait accès, il faut en limiter la diffusion et il faut prendre des moyens d’intervention si une telle diffusion a lieu », affirme-t-elle.
Enfin, Me Poirier souligne que la politique adoptée en matière de sécurité de l’information en interne doit être diffusée adéquatement auprès des employés afin de les éveiller aux dangers et de les aider se guider face à des « zones grises ». Cette diffusion de politique servira aussi à leur faire saisir la valeur de l’information pour l’organisation et à l’importance de protéger de tels actifs.
« C’est une reconnaissance qu’il n’y a pas que le matériel et les ressources humaines qui aient une valeur pour l’organisation, mais aussi l’information qui est produite à l’aide de ce matériel et ces ressources humaines. C’est une consécration de leur travail – “On aime tellement votre travail qu’on veut le protéger” », indique-t-elle.
Cet article fait partie d’un dossier sur la sécurité de l’information dont les autres articles seront publiés dans l’édition de mars/avril 2013 du magazine Direction informatique.
