B Les différents types de surveillances.

La sécurité des réseaux et les systèmes  de surveillance peuvent se faire, soit de manière préventive pour la première, soit de manière réactive pour la seconde. Dans l’approche préventive, il s’agit de protéger les données et ressources du système ou réseau contre tout accès non autorisé ou abusif. Cependant, prévenir de toutes les violations de sécurité, apparaît comme un peu irréaliste. En effet, il est pratiquement impossible d’avoir un réseau complètement sûr et de le protéger contre toutes les attaques possibles de l’extérieur. L’approche réactive permet de palier à cela, puisqu’elle consiste à essayer de détecter ces attaques, afin de réagir rapidement et d’éviter ainsi que de sérieux dommages. Cette approche était utile à préciser mais dans cette article nous nous concentrerons davantage sur la sécurité interne pour favoriser l’optimisation du fonctionnement de l’entreprise. Il existe différentes techniques de surveillance en entreprise telles que l’épluchage du courrier électronique, mais aussi le pointage des sites web visités, et contrôle précis des logiciels utilisés par les salariés : l’ordinateur et les réseaux deviennent des outils d‘espionnage. La tentation est grande pour l’employeur d’user des outils mis à leur disposition : vidéosurveillance, écoutes téléphoniques se voient aujourd’hui complétées par un contrôle informatique serré dont témoigne l’apparition de logiciels spécialisés.

            1 Les logiciels espions.

         Aujourd’hui dans l’entreprise, on peut savoir qui se connecte au réseau, quand et combien de temps et surtout à quoi le salarié touche. Les noms des logiciels sont plutôt évocateurs comme Little Brother, qui n’est pas sans rappeler le célèbre " big boss is watching you " tiré de 1984, l’oeuvre de Georges ORWELL. La première cible des pulsions inquisitoriales de certains employeurs, c’est bien sûr Internet.Un logiciel comme Little Brother lancé aux Etats Unis en novembre 96, aujourd’hui distribué en France, permet de scruter automatiquement toutes les connexions des employés et de les classer en tâches productives ou improductives. D’autres logiciels comme Surfwatch ou CyberPatrol prévus à l’origine pour empêcher les enfants de consulter des sites webs pornographiques, ont été rapidement déclinés en version professionnelle. L’accès aux sites " indésirables " se voit alors bloqué sans information du supérieur. CyberPatrol a déjà trouvé acquéreur auprès d’une vingtaine d’entreprises comme Airbus Industrie, par exemple. WinWhatWhere, quant à lui, agit comme une " concierge " plaquée sur le disque dur et enregistre toute l’activité de l’ordinateur. L’employé rentré chez lui, il suffit au supérieur hiérarchique d’ interroger le mouchard pour " éplucher " son travail.    

           2 Les e-mails, autre moyen de contrôle

           Avec les Intranets, les réseaux internes bâtis avec les mêmes techniques qu’Internet, il est aisé de contrôler la correspondance électronique des salariés. Les échanges électroniques, des e-mails aux forums de discussion, en passant par les données collectées à chaque instant par les propriétaires des sites webs visités, les internautes en promenade sur le réseau laissent des traces électroniques à chaque seconde.

Néanmoins, concernant les échanges électroniques, la cryptographie , dont l’usage est très encadré semble la solution la plus efficace. Dans les entreprises, la surveillance des salariés (lecture des e-mails, webcams) ne peut se faire sans prévenir

la CNIL

( Commission Nationale de l’Information et des Libertés) au préalable.

La CNIL

note une recrudescence du nombre de dossiers relatifs aux dispositifs d’enregistrement des conversations téléphoniques des salariés. Les entreprises, de plus en plus nombreuses, font installer des standards téléphoniques appelés autocommutateurs reliés à des logiciels dits de " taxation ". La mise en place de cet appareil permet de vérifier l’imputation globale des dépenses mais également de déterminer, parmi les communications téléphoniques des salariés, celles qui relèvent de l’usage privé. La délibération n° 94-113 du 20 décembre 94, précise les garanties qui doivent être prise lors de l’installation de ces appareils, telles que la consultation des instances représentatives du personnel et l’information préalable du personnel, notamment quant aux modalités de contrôle téléphonique, aux destinataires des informations et à l’existence du droit d’accès et de rectification. Selon l’article L 121-8 du code du travail, " Aucune information concernant directement un salarié ne peut-être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ". Toutefois l’enregistrement de conversations téléphoniques du personnel à des fins de formation, dans des entreprises pour lesquelles le téléphone constitue le principal outil de travail (banques, compagnies d’assurances ou services de dépannage " hotline") peut être utilisé comme moyen de preuve en cas de contentieux.

          3 Platform for Privacy preferences : P3P

      W3C, Microsoft, Netscape, IBM, AOL ou AT&T adoptent le P3P comme infrastructure de référence pour garantir à l’internaute le respect de ses données privées. Le P3P permet de comparer la politique des sites web concernant le recueil d’informations lors de la visite d’internautes avec le niveau d’informations qu’ils souhaitent adopter.En cas d’inadéquation, la connexion avec le site ne s’établira pas. Cependant, le P3P ajoute en complexité et livre aisément des données relatives à l’utilisateur et accessibles par le site visité. C’est une façon pour les fournisseurs d’éviter une adoption de loi sur la protection des données personnelles actuellement en préparation. Il n’est donc aucunement question de tenir les sites à une politique de respect ni de garantir une réelle confidentialité à l’internaute. Cette norme est ailleurs adoptée par l’industrie sans consultation des utilisateurs.

            4 Les tactiques "anti-flicage"

Le logiciel Redhand rend compte au clavier de l’ordinateur de toutes les manipulations effectuées par une autre personne que l’utilisateur habituel. Le cryptage des mails permet d’assurer la confidentialité des informations échangées par tous les types de messageries électroniques. Les entreprises sont particulièrement concernées par le sujet : dans certains cas, maîtriser les risques en adoptant des solutions de sécurisation s’avère une démarche stratégique. En France, même si la loi s’est assouplie en Février 2000, l’usage des outils de codage sur le réseau est très restrictive. Ainsi, afin d’obtenir l’autorisation de crypter des messages à un niveau de sécurité satisfaisant, il faut déposer la clef de déchiffrement auprès d’un tiers de confiance. L’entreprise doit donc pouvoir ouvrir ses coffres à la puissance publique sur requête de la justice.

L’usage de l’Internet peut très vite se retourner contre les droits de l’homme si des politiques ne sont pas adoptées pour garantir plusieurs niveaux de confidentialité et empêcher la société de l’information de devenir une société de surveillance.