Ils ont de 25 à 30 ans, ils sont compétents, travailleurs, ambitieux... et dangereux. Interrogés par Kaspersky Lab et Opinion Way, 44% d'entre eux avouent avoir déjà violé les règles de sécurité informatique de leur entreprise. Il serait vain pour autant de rechercher une quelconque volonté de nuire dans leur comportement, constate André Perret, consultant chez DPM & Associés: «Cette génération Y ne fait pas la différence entre vie privée et vie professionnelle, entre ses outils personnels et ceux de l'entreprise. Ils prennent donc les mêmes risques chez eux que sur leur lieu de travail.»
Une porosité que les hackers savent mettre à profit, rappelle Frédéric Bardeau, cofondateur de l'agence Limite et coauteur du livre Anonymous (Editions Fyp): «Il suffit d'appeler le salarié en se faisant passer pour un membre du service informatique et prétexter un problème sur son ordinateur. Dans 99% des cas, il donnera son mot de passe.» Le courrier électronique massivement distribué se révèle tout aussi efficace, constate Vincent Leclerc, consultant chez Kaspersky Lab: «Parmi tous les destinataires, il se trouve toujours un pourcentage pour ouvrir la pièce jointe ou cliquer sur le lien...»
Trop en parler... danger!
Parler de son travail sur les réseaux sociaux comporte aussi des risques. Dans le cours d'intelligence économique qu'il anime à la Skema Business School, Pascal Junghans évoque toujours la mésaventure qui aurait pu coûter cher à une entreprise d'un secteur de pointe: «Des cadres d'un département stratégique d'une grande entreprise ont été contactés par un chasseur de têtes qui les avait repérés en scannant les réseaux sociaux. L'enquête menée par la direction de la sécurité a montré qu'il s'agissait bien d'une manœuvre orchestrée par un concurrent.»
Le risque réel reste cependant difficile à déterminer tant les intérêts des acteurs en cause sont antinomiques. Alors que les entreprises victimes de piratage informatique préfèrent garder secrète leur infortune, les sociétés de sécurité informatique ne cessent de crier au loup. Si l'ampleur du phénomène manque de précision statistique, son augmentation ne fait pourtant aucun doute, estime Frédéric Bardeau: «Le risque s'amplifie mécaniquement avec l'informatisation croissante des entreprises et la multiplication du nombre de personnes capables de gérer des systèmes.»
Pour se prémunir, les entreprises vont devoir mettre en œuvre toute une gamme de mesures. À commencer par une sensibilisation tous azimuts tant les jeunes cadres semblent ignorer le danger. «Ils sont très naïfs dans ce domaine, confirme Pascal Junghans. Ils ont souvent un choc lorsqu'ils sont mis en présence d'un témoignage direct qui leur démontre à quel point le danger est proche et concret.»
Il ne s'agit pour autant que d'un morceau du puzzle. Les solutions techniques les plus pointues doivent être impérativement mobilisées, estime Édouard Perret: «Les entreprises doivent désormais protéger tous les systèmes de l'entreprise et mettre en place des outils pour surveiller tous les canaux de communication avec l'extérieur».
Le «cloud», solution la plus sûre ?
En parallèle, pourquoi ne pas organiser l'inévitable échange avec le monde en dehors de l'entreprise ? C'est l'option qu'a choisie l'agence BETC. «Nous sommes partis du principe que nous avions affaire à des collaborateurs responsables, explique Bernard Buono, l'un de ses dirigeants. Nous avons créé des canaux qui leur permettent de s'exprimer vers l'extérieur.» D'autres, à l'instar d'Atos, créent des réseaux sociaux internes dans l'espoir d'atteindre un double objectif: supprimer le recours au courrier électronique et réduire à néant le risque de voir un fichier professionnel transiter par Facebook.
Même si elles s'avèrent indispensables, de telles mesures vont inévitablement buter sur la diversité des systèmes. En parallèle, le nombre de machines dont disposent les salariés ne cesse de croître, qu'il s'agisse d'ordinateurs personnels utilisé dans le cadre de leur activité ou d'outils personnels qu'ils utilisent sur leur lieu de travail...
Chez Accenture, l'enjeu est pris d'autant plus au sérieux que les consultants manipulent aussi des informations très sensibles sur les clients. Une politique globale a donc vu le jour, explique André Thiollier, son secrétaire général: «Nous avons décidé de limiter le BYOD ("bring your own device"), et nous nous assurons que ces outils sont aux normes fixées par l'entreprise. Pour réduire la complexité inhérente à la diversité des appareils et des systèmes, nous mettons de plus en plus de données dans le “cloud”.»
Une telle approche permet de concentrer les efforts sur la sécurisation des réseaux tout en réduisant le risque de diffusion des données à l'extérieur. Elle bute cependant sur les «trous» des réseaux haut-débit et fait du seul salarié le dernier rempart entre l'extérieur et les données temporairement téléchargées sur son appareil... Tous les chemins reviennent donc au facteur humain avec lequel il faudra bien composer ou, mieux encore, trouver le modus vivendi qui en fera un allié d'autant plus sûr qu'il sera conscient de ses responsabilités.
(ENCADRE)
Une génération Y technodépendante
Les générations nées après 1970 peuvent-elles être sensibilisées aux risques inhérents aux nouvelles technologies? Tout dépend du type de management qui véhicule le message. «L'événement fédérateur de ces générations n'est plus une guerre mais l'évolution technologique, souligne André Perret (DPM Associés). Elles ont des valeurs, des repères et un rapport à l'autorité différents de celles qui les ont précédées. Pour les intégrer aux intérêts de l'entreprise, les managers devront jouer un rôle de coach plutôt que de responsable hiérarchique et travailler en fonction d'objectifs plutôt que d'horaires bien déterminés.»
