Naïveté et confiance mal placée composent un cocktail potentiellement dangereux dans le monde de l'entreprise. C'est encore plus vrai en ce qui concerne la gestion des risques pour l'information. Une étude récente[i] révèle que 87 % des entreprises en Europe ne pensent pas que leurs employés emportent des informations quand ils quittent la société. Pour 81 % des personnes interrogées, cette confiance s'explique par l'adoption de mesures strictes : faire signer des contrats de confidentialité, bloquer l'accès aux réseaux IT de l'entreprise des anciens salariés, empêcher que l'on puisse copier des données sur des disques ou des clés USB, escorter à l'extérieur ceux qui occupent des postes à risque dès l'instant où ils remettent leur démission. Bon, tout va bien alors...

Sauf que les trois quarts des répondants n'ont jamais vérifié que ces mesures suffisaient effectivement à empêcher toute fuite d'information. Une autre étude[ii], qui s'intéresse cette fois-ci aux pratiques vis-à-vis de l'information des employés qui quittent une société, dépeint d'ailleurs un tout autre tableau. Elle montre en effet qu'ils sont nombreux à n'éprouver aucun scrupule à emporter des documents sensibles ou hautement confidentiels avec eux. La plupart n'y voient aucun mal.

Ils sont deux tiers à reconnaître qu'ils emporteraient volontiers des informations qu'ils estiment avoir contribué à produire, ou à l'avoir déjà fait, et 72 % estiment que ces informations pourraient leur être utiles à leur nouveau poste.

En Europe, les employés de bureau qui ont déjà emporté des informations reconnaissent avoir quitté leur entreprise en ayant sous le bras des présentations [46 %], propositions [21 %], plans stratégiques [18 %] et feuilles de route de produits/services [18 %]. Plus inquiétant encore, la moitié (51 %) se servent directement dans les bases de données client confidentielles, en dépit des lois de protection des données en vigueur. Et si les mesures qui bloquent l'accès aux informations se déclenchent dès l'instant où l'employé remet sa démission, alors il y a de grandes chances que les documents soient subtilisés juste avant.

La confiance exprimée par les employeurs apparaît donc en total décalage. Surtout quand on mesure la valeur de l'information pour les professionnels interrogés pour l'étude : cabinets juridiques, services financiers, assurances, fabrication industrielle, génie civil et industrie pharmaceutique.

Il est extrêmement important que les employeurs appréhendent l'ampleur du risque. Qu'ils réalisent que mettre en place des procédures dissuasives pour gérer le risque pour l'information que posent les salariés ne suffit pas, encore faut-il contrôler leur efficacité.

Autrement dit, supprimer l'accès au réseau interne de l'entreprise le jour-même où la personne démissionne relève certes d'une bonne intention, mais ça ne rime à rien si, la semaine qui précède, l'employé a pu imprimer en toute tranquillité des documents sensibles ou s'envoyer des bases d'infos clients sur son adresse e-mail privée.

Le tableau n'est pas non plus totalement noir. Deux (...)