Aller au contenu
Atténuation de la perte de secrets commerciaux - La manière la plus simple

Alors que la Grande Démission bat son plein, les employés partent en masse. Que signifie la Grande Démission pour les employeurs ? Les employeurs peinent désormais à se prémunir contre les conséquences des départs de salariés. Lorsque les employés partent, ils emportent souvent bien plus que leur expérience. Un employé clé ou un groupe d'employés peut, intentionnellement ou non, prendre et transférer des secrets commerciaux précieux qu'un concurrent peut utiliser à son avantage. Heureusement, deux étapes simples peuvent aider les employeurs à prévenir la perte de secrets commerciaux avant que cela ne devienne un problème.

Pendant près de 15 ans, j'ai mené d'innombrables enquêtes impliquant souvent la perte, le vol et/ou le détournement de secrets commerciaux. J'ai examiné de manière médico-légale des centaines d'appareils et, le cas échéant, mené des dizaines d'entretiens en face à face. Mes expériences montrent qu'il existe des modèles clairs quant à la façon dont les données quittent souvent une entreprise.

Mes investigations montrent que les points d'exfiltration et les méthodes utilisées par les employés pour prendre les données de l'entreprise n'ont pas beaucoup changé au fil du temps. Souvent, ces méthodes incluent la copie de données sur des clés USB, des comptes de messagerie personnels et des plates-formes de stockage cloud personnelles. Cela pose une question : pourquoi la perte de données continue-t-elle à se produire à peu près de la même manière, maintes et maintes fois ? Les employés répondent souvent par deux affirmations : « Je ne savais pas comment cela m'affecterait ! » » et « Personne (ou rien) ne m'a arrêté ! Heureusement, les deux approches suivantes, l'une comportementale et l'autre technique, aideront les employeurs à réduire la perte de données. 

Étape 1 : L'approche comportementale

"Je ne savais pas que ça m'affecterait !"

Les employés suivent généralement une formation sur la conformité d'entreprise sur la façon de gérer les données de l'entreprise. Certaines formations sont mensuelles, tandis que d'autres sont moins fréquentes. Lors de l'intégration, les employeurs peuvent donner aux employés des manuels à lire et des remerciements à signer. Presque tous les employés, d'après mon expérience, ont reconnu avoir lu des mots ou regardé des vidéos qui peuvent se résumer comme suit :

  1. Les données d'entreprise sont la propriété de l'entreprise.
  2. Les employés ne sont pas autorisés à prendre des données d'entreprise pour leur propre usage.

Cependant, cette formation est souvent banale ou répétitive. Certains employés font même des blagues sur le fait que d'autres personnes (par exemple, leurs enfants ou un animal de compagnie patient) suivent une formation pour eux. Bien que cette formation coche certaines cases de conformité, la formation aborde rarement, voire jamais, les conséquences de ce qui se passe lorsque les employés prennent des données d'entreprise. Après d'innombrables heures de formation, d'éducation, de questionnaires, de tests, de reconnaissances et d'attestations, les employés ne connaissent toujours pas ou ne comprennent pas les conséquences de leurs actions.

Modifications apportées à la formation

La formation des employés devrait inclure des discussions sur les conséquences personnelles et financières qui peuvent survenir lorsque les employés sont impliqués dans une enquête sur un secret commercial, notamment :

  • Les enquêtes coûtent très cher. 
    Souvent, les employés seront invités à payer une partie, sinon la majeure partie, du coût des enquêtes. Entre les frais médico-légaux et les frais juridiques, il n'est pas déraisonnable de suggérer qu'une affaire « simple » peut coûter près de $50 000.
  • Les enquêtes sont envahissantes. 
    Une fois prises, les données peuvent être copiées ou transférées vers d'autres appareils ou vers un stockage en nuage. Les médecins légistes peuvent être invités à examiner les ordinateurs personnels, les périphériques de stockage électroniques, les smartphones, les comptes de messagerie et les plates-formes de stockage en nuage des anciens employés pour déterminer que les données n'ont pas été enregistrées, utilisées ou transmises. La vie entière d'une personne peut être interrompue de manière inopportune pour prouver son affirmation selon laquelle "je n'ai rien fait avec ces données". À plus d'une occasion, j'ai entendu l'équivalent de « Je veux juste que ça s'en aille. Si j'avais su à quel point ce processus serait difficile pour moi et ma famille, je n'aurais jamais pris ces données.
  • Les enquêtes peuvent même s'étendre à un nouvel employeur et nuire à la réputation des employés.
    Pire encore, ces enquêtes peuvent conduire à la résiliation des employés de leurs nouveaux emplois. Les employés ne comprennent pas les concepts d'injonctions et d'ordonnances restrictives temporaires (TRO). Ces mots sont effrayants et peuvent avoir un effet dissuasif sur le comportement s'ils sont connus à l'avance.

Étape 2 : L'approche technique

"Personne (ni rien) ne m'a arrêté !"

D'après mon expérience, la plupart des pertes de secrets commerciaux se produisent d'une ou plusieurs des manières suivantes :

  • Les employés copient les données sur un périphérique USB, tel qu'un disque dur ou une clé USB.
  • Les employés envoient des données par e-mail à un compte de messagerie personnel via leur messagerie d'entreprise.
  • Les employés joignent des données aux e-mails personnels auxquels ils accèdent via un navigateur Web (Gmail, Yahoo, Hotmail, etc.).
  • Les employés téléchargent des données directement sur un service de stockage personnel basé sur le cloud (Google Drive, Dropbox, Box, OneDrive, etc.).
  • Les employés synchronisent les données entre les ordinateurs de l'entreprise et les appareils personnels à l'aide du même identifiant Apple personnel sur tous les appareils.

Heureusement, à l'exception du deuxième point, les méthodes ci-dessus peuvent être éliminées sans un gros investissement en logiciel ou en personnel informatique. En fait, beaucoup peut être fait en utilisant les ressources existantes pour un maximum d'avantages.

Modifications techniques

  • Désactivez toutes les fonctionnalités d'écriture USB par défaut. 
    Les systèmes d'exploitation modernes permettent de désactiver facilement l'accès en écriture en quelques clics de souris, sans qu'il soit nécessaire d'acheter un logiciel tiers. Toute exception pour la fonctionnalité d'écriture USB doit être examinée et accordée pour une période de temps limitée, puis supprimée. Les utilisateurs peuvent toujours bénéficier d'un accès en lecture seule aux clés USB si tel est le modèle commercial souhaité.
  • Supprimez l'accès aux services de messagerie personnels et aux plates-formes de stockage cloud non professionnelles. 
    À moins qu'il n'y ait une raison commerciale valable d'utiliser des comptes personnels, par défaut, les utilisateurs ayant accès aux données de l'entreprise ne devraient pas avoir accès à leur messagerie personnelle et aux plates-formes de stockage basées sur le cloud à partir des mêmes appareils. La plupart des pare-feux modernes, même ceux à domicile, permettent des listes noires de sites Web/domaines/adresses e-mail spécifiques non autorisés et des listes blanches de ceux qui sont autorisés.
  • Imposez l'utilisation d'un compte géré par l'entreprise pour tout appareil d'entreprise.
    Tout appareil d'entreprise, par exemple, exige qu'un compte créé et géré par l'entreprise - et non un compte personnel - soit utilisé pour des services tels que l'identifiant Apple, qui permet la synchronisation des données.

Atténuation des risques - La méthode iDS

En résumé, les employeurs peuvent réduire considérablement le risque de perte de données d'entreprise en :

  • Changer le comportement des employés grâce à une éducation axée sur les conséquences de la perte de données (coût élevé, perte de réputation, invasion) ainsi que sur la prévention.
  • Élimination des voies courantes de perte de données (écriture sur clé USB, accès aux services de messagerie personnels et plates-formes de stockage en nuage).

Bien que ces étapes ne soient pas exhaustives et n'empêcheront pas tous les employés de prendre des données d'entreprise, ces deux méthodes, combinées à des politiques de sécurité basiques et peu coûteuses, réduiront considérablement la quantité de données qui quittent les entreprises.

Chez iDS, nous aidons les entreprises à développer des plans stratégiques pour sécuriser, stocker et protéger les données contre les menaces internes et externes. Notre équipe dédiée d'experts-conseils est prête à maximiser la valeur de vos données tout en réduisant les risques et les coûts. iDS peut fournir une stratégie complète et personnalisée pour gérer les systèmes d'information de votre entreprise au fil du temps, en vous aidant à tout développer, des cartes de données et des politiques de conservation aux plans spécifiques conçus pour réduire votre empreinte globale des données.

Au cours des 15 dernières années, mes clients m'ont dit que je suis devenu assez bon dans ces enquêtes. En fait, plusieurs de mes clients m'appellent pour cette expertise parce que je suis efficace et soucieux des coûts. Pourtant, j'aspire à un jour où j'arrêterai de poser la question : "Pourquoi est-ce que je vois la même chose après toutes ces années ?" En fait, pour reprendre les mots de mon collègue, « J'aimerais me sortir d'un emploi ». J'ai entendu dire qu'il y avait d'excellentes émissions de télévision à regarder.

Pour en savoir plus sur la façon dont les experts consultatifs d'iDS peuvent fournir des solutions personnalisées pour aider à prévenir la perte de données des employés, contactez-nous aujourd'hui.


iDS fournit des solutions de données consultatives aux entreprises et aux cabinets d'avocats du monde entier, leur donnant un avantage décisif - à la fois dans et hors de la salle d'audience. Nos experts en la matière et nos stratèges de données se spécialisent dans la recherche de solutions aux problèmes de données complexes, garantissant que les données peuvent être exploitées comme un atout et non comme un handicap.

fr_FRFR