B Les différents types de surveillances.
La sécurité des réseaux et les systèmes de surveillance peuvent se faire, soit de manière préventive pour la première, soit de manière réactive pour la seconde. Dans l’approche préventive, il s’agit de protéger les données et ressources du système ou réseau contre tout accès non autorisé ou abusif. Cependant, prévenir de toutes les violations de sécurité, apparaît comme un peu irréaliste. En effet, il est pratiquement impossible d’avoir un réseau complètement sûr et de le protéger contre toutes les attaques possibles de l’extérieur. L’approche réactive permet de palier à cela, puisqu’elle consiste à essayer de détecter ces attaques, afin de réagir rapidement et d’éviter ainsi que de sérieux dommages. Cette approche était utile à préciser mais dans cette article nous nous concentrerons davantage sur la sécurité interne pour favoriser l’optimisation du fonctionnement de l’entreprise. Il existe différentes techniques de surveillance en entreprise telles que l’épluchage du courrier électronique, mais aussi le pointage des sites web visités, et contrôle précis des logiciels utilisés par les salariés : l’ordinateur et les réseaux deviennent des outils d‘espionnage. La tentation est grande pour l’employeur d’user des outils mis à leur disposition : vidéosurveillance, écoutes téléphoniques se voient aujourd’hui complétées par un contrôle informatique serré dont témoigne l’apparition de logiciels spécialisés.
1 Les logiciels espions.
Aujourd’hui dans l’entreprise, on peut savoir qui se connecte au réseau, quand et combien de temps et surtout à quoi le salarié touche. Les noms des logiciels sont plutôt évocateurs comme Little Brother, qui n’est pas sans rappeler le célèbre " big boss is watching you " tiré de 1984, l’oeuvre de Georges ORWELL. La première cible des pulsions inquisitoriales de certains employeurs, c’est bien sûr Internet.Un logiciel comme Little Brother lancé aux Etats Unis en novembre 96, aujourd’hui distribué en France, permet de scruter automatiquement toutes les connexions des employés et de les classer en tâches productives ou improductives. D’autres logiciels comme Surfwatch ou CyberPatrol prévus à l’origine pour empêcher les enfants de consulter des sites webs pornographiques, ont été rapidement déclinés en version professionnelle. L’accès aux sites " indésirables " se voit alors bloqué sans information du supérieur. CyberPatrol a déjà trouvé acquéreur auprès d’une vingtaine d’entreprises comme Airbus Industrie, par exemple. WinWhatWhere, quant à lui, agit comme une " concierge " plaquée sur le disque dur et enregistre toute l’activité de l’ordinateur. L’employé rentré chez lui, il suffit au supérieur hiérarchique d’ interroger le mouchard pour " éplucher " son travail.
2 Les e-mails, autre moyen de contrôle
Avec les Intranets, les réseaux internes bâtis avec les mêmes techniques qu’Internet, il est aisé de contrôler la correspondance électronique des salariés. Les échanges électroniques, des e-mails aux forums de discussion, en passant par les données collectées à chaque instant par les propriétaires des sites webs visités, les internautes en promenade sur le réseau laissent des traces électroniques à chaque seconde.
Néanmoins, concernant les échanges électroniques, la cryptographie , dont l’usage est très encadré semble la solution la plus efficace. Dans les entreprises, la surveillance des salariés (lecture des e-mails, webcams) ne peut se faire sans prévenir la CNIL
La CNIL
3 Platform for Privacy preferences : P3P
W3C, Microsoft, Netscape, IBM, AOL ou AT&T adoptent le P3P comme infrastructure de référence pour garantir à l’internaute le respect de ses données privées. Le P3P permet de comparer la politique des sites web concernant le recueil d’informations lors de la visite d’internautes avec le niveau d’informations qu’ils souhaitent adopter.En cas d’inadéquation, la connexion avec le site ne s’établira pas. Cependant, le P3P ajoute en complexité et livre aisément des données relatives à l’utilisateur et accessibles par le site visité. C’est une façon pour les fournisseurs d’éviter une adoption de loi sur la protection des données personnelles actuellement en préparation. Il n’est donc aucunement question de tenir les sites à une politique de respect ni de garantir une réelle confidentialité à l’internaute. Cette norme est ailleurs adoptée par l’industrie sans consultation des utilisateurs.
4 Les tactiques "anti-flicage"
Le logiciel Redhand rend compte au clavier de l’ordinateur de toutes les manipulations effectuées par une autre personne que l’utilisateur habituel. Le cryptage des mails permet d’assurer la confidentialité des informations échangées par tous les types de messageries électroniques. Les entreprises sont particulièrement concernées par le sujet : dans certains cas, maîtriser les risques en adoptant des solutions de sécurisation s’avère une démarche stratégique. En France, même si la loi s’est assouplie en Février 2000, l’usage des outils de codage sur le réseau est très restrictive. Ainsi, afin d’obtenir l’autorisation de crypter des messages à un niveau de sécurité satisfaisant, il faut déposer la clef de déchiffrement auprès d’un tiers de confiance. L’entreprise doit donc pouvoir ouvrir ses coffres à la puissance publique sur requête de la justice.
L’usage de l’Internet peut très vite se retourner contre les droits de l’homme si des politiques ne sont pas adoptées pour garantir plusieurs niveaux de confidentialité et empêcher la société de l’information de devenir une société de surveillance.