blog search

Networking VS sécurité informatique

Comment distinguer l'usage pro du privé dans le cadre du Networking ?


Casse-tête pour les DRH : les réseaux sociaux, outils de travail collaboratif, se heurtent à l'arsenal de lois sur la protection des personnes sur leur lieu de travail. Un lieu dématérialisé avec usage d'informatique mobile. Alors comment distinguer l'usage pro du privé dans le cadre du Networking ? 


La production d'info faisant partie intégrante de toute stratégie entrant dans la création de richesses. Conquête de marchés pour l'entreprise, activation de réseaux  pros pour le cadre qui l'a intégrée comme stratégie de positionnement dans sa fonction. Des assistants sont maintenant chargés d'alimenter le flot d'infos émanant du boss. Linkedin, Viadeo, Facebook, Twitter... une fois synchronisés, sont des outils de présentiel tous azimuts pour lui. Utilisés aussi par ses propres marketeurs et l'équipe Rh. Les salariés (quant à eux), employés ou collaborateurs, hormis le fait d'être des émetteurs d'infos sectorielles, sont aussi citoyens et consommateurs. Ils consomment de l’info et en produisent. Les usages se confrontent et ne font pas (toujours) bon ménage. Les services web utilisés pendant les heures travaillées "posent problème" aux entreprises. De fait, dans toute activité, industrielle ou tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues : prévisions de restructurations (rumeurs de fusions acquisitions), blogs syndicaux, mises en contact diverses, mapping relationnel, etc.  



Comment quantifier ces usages sans empiéter sur les libertés ? 

Contrairement à la protection du réseau contre les attaques extérieures, les contrôles effectués sur les connexions utilisateurs se limitent à de ponctuelles sondes d'intrusion (voir IDS : Intrusion Detection System). Du côté utilisateur, sauf instruction express du service informatique, pour échapper un tant soit peu à certains traçages automatisés, rien n’empêche d’installer un navigateur open-source sur son ordinateur de bureau pour des usages privés : messagerie, opérations bancaires à distance, règlement d'achats courants, dégoter le dernier gadget, etc. Tout le monde connaît cela. Banalement pour des téléchargements de fichiers musicaux, de VOD, de docs avec des tiers à titre particulier. Parfois aussi jouer en ligne pour se détendre, souvent à l’insu de la hiérarchie. Hélas, cela peut aller plus loin, poser problème, voire engager l'entreprise...

Du point de vue des dirigeants, outre que tout celà occupe de la bande passante (à charge), certains téléchargements peuvent déboucher sur des litiges en matière de droits d'auteurs, voire engager l’entreprise sur le plan pénal. Ainsi en est-il de visites (fortuites) de sites licencieux, révisionnistes, terroristes. Il est quasi inévitable que des collaborateurs utilisent leur connexion de façon dite "inappropriée", par simple curiosité souvent. Et difficile d’effacer toutes traces de ces visites. Des faits très courants en pratique. Sur le plan du droit, l'entreprise et ses dirigeants en tant que mandataires sociaux et représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l'utilisation malveillante s'est faite à leur insu). Les sanctions encourues pouvant aller de l'amende lourde, jusqu'à des peines d'emprisonnement.


Contrôle des flux

D'où l'intérêt pour les entreprises de se prémunir contre les agissements de collaborateurs étourdis ou malveillants. La précaution consistant à filtrer les sites (jugés) illicites ou bien considérés comme tels, en s'appuyant sur des applications spécialisées. Les solutions de contrôles de flux d’informations échangées : des serveurs d’interception de requêtes internes qui vérifient (automatiquement) la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d'adresses Url se fait en utilisant des logiciels de sécurisation de type websense, secure compu­ting, surfcontrol, et  aussi par des contrôles de transferts des flux tcp, http, https, socks, dns, ftp. De même pour les protocoles de messagerie instantanée. Au final, ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE. CaF


Encadré : la législation sur le traitement des données à caractère personnel vise à protéger les libertés et les droits fondamentaux des personnes physiques. Notamment leur vie privée. Tout en faisant respecter les intérêts des personnes morales. Il en résulte que la surveillance des salariés sur le lieu de travail n’est, en principe, pas permise. L’employeur doit respecter une procédure bien définie..


Quelques règles (source CNIL)



Dans quels cas particuliers un employeur peut-il obtenir le mot de passe d'un salarié ? L’employeur peut avoir connaissance du mot de passe d'un salarié absent, si ce dernier détient sur son poste informatique des informations nécessaires à la poursuite de l’activité de l’entreprise et qu’il ne peut accéder à ces informations par d’autres moyens. L’employeur peut-il consulter l'intégralité du contenu d'un poste de travail? Les tribunaux considèrent que tout fichier créé, envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur a, par principe, un caractère professionnel. Dans ce cas, l’employeur peut le consulter. Toutefois, si le fichier est identifié comme étant personnel, par exemple, si le répertoire dans lequel il est rangé ou le nom du fichier précise clairement qu’il s’agit d’un message privé ou personnel, l’employeur ne doit pas en prendre connaissance. L’employeur peut-il accéder aux fichiers qualifiés de « personnels » ? Oui, à condition de le faire en présence du salarié ou après l’avoir invité à être présent, ou en cas de risque particulier pour l’entreprise. Afin de respecter la vie privée des salariés qui peuvent être amenés à faire un usage privé des outils informatiques de l'entreprise, l’employeur doit fixer les conditions d'accès au poste de travail des salariés en cas d’absence.http://www.presshightech.com/

Formulaire de contact

Name

Email *

Message *