Communication interne : Et si la menace venait aussi de l’intérieur ?

En déballant ouvertement tous les secrets d’espionnage de l’administration américaine, l’ex-salarié de la NSA Edward Snowden a provoqué une déflagration mondiale qui n’en finit pas de nourrir les gros titres des médias et les bisbilles diplomatiques. Bien qu’il ne soit pas le premier à lâcher des informations confidentielles sur la place publique, le jeune homme incarne à cet égard un phénomène appelé inexorablement à se multiplier dans un proche avenir. Institutions comme entreprises ne sont plus à l’abri d’une fuite provenant de leur interne. Explications.

Aux Etats-Unis, cette menace est prise très au sérieux depuis le début des années 2000 marqué notamment par l’usage extensif et intensif des outils informations dans les organisations et les accès consubstantiels accordés à un nombre sans cesse croissant d’employés. Cette menace possède même une désignation spécifique : « Insider threat » (littéralement, menace qui vient de l’intérieur).

Deux chercheurs spécialisés, Farhan Hyder Sahito et Wolfgang Slany en ont donné récemment une définition : un « insider threat » est une menace malveillante envers une organisation provenant de gens en son sein comme des employés, d’anciens employés, des associés ou des contractuels à durée déterminée qui ont eu accès à des informations sensibles. La menace peut concerner une fraude, un vol d’information confidentielle ou commerciale, un vol de propriété intellectuelle ou le sabotage informatique. Si l’espionnage et la guerre économique sont souvent les leviers de ces actes, d’autres motivations se font également jour et prennent une ampleur inégalée lorsqu’elles se combinent au recours des réseaux sociaux.

Ce n’est plus un épiphénomène

Actes malveillants internes en progression
Actes malveillants internes en progression

Au sein de l’université Carnegie-Mellon aux USA, un organisme spécialisé se penche sur cette tendance lourde depuis 2001. Le CERT Insider Threat Center dispose à l’heure d’aujourd’hui d’une consistante base de données où sont répertoriés et décortiqués plus de 700 cas de fuites malveillantes envers des institutions et des entreprises. En parallèle, l’organisme anime un blog où il recense les nouvelles failles qui ne cessent de se faire jour  et partage des retours d’expérience pour se prémunir au mieux des dangers. Preuve en est qu’il ne s’agit plus uniquement de bluettes aux allures de roman d’espionnage.
En 2012, un rapport émanant de cette même université a passé au crible le secteur financier américain au regard de ces périls grandissants où l’interne est vecteur de dissémination d’informations qui ne devraient jamais sortir. Le constat est brutal : 80% des actes malintentionnés sont commis au travail pendant les heures légales. 81% des auteurs ont planifié leur acte au préalable. 33% étaient dans des situations personnelles difficiles et 17% nourris par un fort ressentiment.

Autres éléments pointés par le rapport : les motifs derrière ces actes. Le gain financier est le moteur principal dans 81% des cas mais la vengeance intervient également pour 23%. Dans ce tableau plutôt alarmiste, existe toutefois une bonne nouvelle : les délinquants sont identifiés dans 74% des dossiers.

Chacun est-il un « Snowden » en puissance ?

Un "Snowden" sommeille-t-il en chaque employé ?
Un « Snowden » sommeille-t-il en chaque employé ?

Si l’ampleur de l’affaire Edward Snowden est sûrement sans commune mesure avec la majorité des dérives constatées régulièrement au cœur  des entreprises et des institutions, il n’en demeure pas moins que la révélation de faits confidentiels, sensibles et/ou embarrassants devient statistiquement de plus en plus probable à mesure que la technologie permet d’accéder aux systèmes les mieux protégés et de partager ensuite à large échelle, les informations récoltées. En 2010, l’ONG activiste WikiLeaks avait d’ailleurs frappé les esprits en dévoilant coup sur coup une vidéo compromettante pour l’armée américaine alors engagée en Irak puis une masse innombrable de télégrammes diplomatiques mettant au grand jour des faits et des commentaires dont les gouvernements se seraient bien passés.

Dans la foulée du considérable émoi provoquée par les fuites distillées par Edward Snowden au quotidien britannique The Guardian, l’administration Obama a aussitôt tonné qu’elle combattrait avec encore plus de fermeté et d’inflexibilité ceux qui s’aventuraient à réitérer les actes commis par l’ex-contractuel de la NSA. Pour Gary Pruitt, président de l’agence de presse Associated Press (dont l’entreprise a été elle-même espionnée par les services secrets américains), plus rien n’empêchera désormais des personnes de continuer à révéler des choses tenues cachées par des autorités ou des entreprises (1) : « L’administration Obama a été claire sur son intention de poursuivre agressivement les lanceurs d’alerte et les fuites. Je pense pourtant qu’il y aura encore inévitablement des lanceurs d’alertes et des fuites parce qu’il y tellement de gens qui ont accès à des informations classées ».

Le patron de presse ne croyait sans doute pas si bien dire puisque quelque temps plus tard, le site d’information Business Insider s’est fait l’écho d’une fuite d’un tout autre genre mais plutôt dérangeante en termes d’image. Le 23 juin dernier, Business Insider s’est vu envoyer une lettre provenant d’un employé de Yahoo extrêmement mécontent. Dans cette missive satirique, il s’amuse à imiter un courrier d’offre d’emploi adressé à David Karp, le PDG de la plateforme sociale Tumblr récemment acquise par Yahoo. Il en profite pour glisser des piques critiques sur les conditions salariales, le style de management de la n°1 de Yahoo, Marissa Mayer entre autres joyeusetés peu reluisantes. L’histoire en est certes restée au stade de la pochade pour initiés mais elle montre bien que quiconque a désormais le pouvoir d’entrouvrir les coulisses d’une entreprise.

Aucune entreprise n’est à l’abri

Les cas de lanceurs d'alerte se multiplient
Les cas de lanceurs d’alerte se multiplient

Si le débat fait actuellement rage aux Etats-Unis sur ce type de menace, c’est qu’Edward Snowden n’est pas le premier à avoir divulgué des secrets avec lesquels il se sentait en profond désaccord éthique et politique. Actuellement en plein procès, le soldat Bradley Manning est celui qui avait alimenté le site WikiLeaks avec la volonté affirmée d’informer dans l’intérêt du public. C’est le même état d’esprit qui avait motivé le jeune étudiant en informatique Aaron Schwartz à télécharger massivement des documents académiques confidentiels du Massachussetts Institute of Technology. Il estimait que cette information appartenait au domaine public. Arrêté par la police, il s’est suicidé à la veille de son passage en jugement.

D’aucuns pourraient croire qu’il s’agit là de tempêtes dans un verre d’eau mettant aux prises des geeks américains en délicatesse avec leur système national. Il est pourtant bien réducteur et hasardeux de croire que le reste du monde est immunisé contre ces individus qui se retournent à un moment donné contre leur organisation d’appartenance. Quel que soit le motif déclencheur (vengeance, divergence de vues et de valeurs, appât du gain, trahison pour un pays adverse, etc), n’importe quelle entreprise ou institution peut se retrouver sous les feux de l’actualité à cause d’informations et de faits éventés publiquement et sans prévenir.

Ce genre de mésaventure est d’ailleurs survenu en juin dernier à l’entreprise française Qosmos. Inconnue du grand public du fait de ses activités technologiques extrêmement pointues dans les systèmes de télécommunications et la gestion des réseaux de transmission, la société s’est pourtant soudainement retrouvée à la Une du Parisien et accusée d’avoir vendu des systèmes de surveillance au régime de Bachar El-Assad, le dictateur syrien. L’origine de ce scoop fracassant n’était pas le résultat d’une investigation journalistique mais le témoignage écœuré d’un-ex-salarié licencié de Qosmos estimant que son travail de technicien avait finalement servi (selon lui) à opérer une répression sanglante parmi les opposants d’Assad. Scandalisé, le  PDG Thibaut Bechetoille juge qu’il s’agit là d’une vengeance (2) : « Il veut la peau de la société ! ».

La tentation du blindage réglementaire

Des règlements pour unique parade ?
Des règlements pour unique parade ?

Face à ces risques accrus de fuites en tout genre que la technologie aide de surcroît à propager à vitesse grand V, la tentation de certains est de se réfugier dans une certaine paranoïa ou alors derrière des règlements drastiques et un brin agressifs pour dissuader quiconque serait tenté de rompre le silence et/ou de manifester trop bruyamment de possibles désaccords.

Un exemple symptomatique de cette propension à blinder tous azimuts est ce que décrit le journaliste Jean-Baptiste Malet dans son récent ouvrage intitulé « En Amazonie, infiltré dans le meilleur des mondes ». Devant le lock-out informationnel systématique du géant de Seattle, le reporter a décidé de se faire embaucher dans un centre logistique d’Amazon en France pour y découvrir de l’intérieur les vraies conditions de travail des salariés. Dans son livre, il évoque notamment les règles ultra-draconiennes imposés aux « Amazonians » dès lors qu’il s’agit de parler avec l’extérieur. La moindre expression publique est astreinte à un processus rigide de validation préalable.

La presse est évidemment dans le viseur de cette réglementation tatillonne mais le salarié doit également veiller à ne point trop en dire avec ses proches et ses fréquentations extérieures. Dans le cas contraire, l’issue est claire (3) : « Toute violation de ces règlements pourrait porter atteinte à l’image ainsi qu’au nom d’Amazon et peut être considéré comme une infraction pénale. Par conséquent, toute infraction à cette politique est passible d’une procédure disciplinaire de l’auteur avec comme conséquence possible le licenciement ».

Conclusion – Sortir de l’illusion du « control freak »

Et si on repensait les relations internes ?
Et si on repensait les relations internes ?

S’il a le mérite d’être sans ambages, le règlement d’Amazon n’a pourtant pas empêché les témoignages de filtrer au fil du temps. Au-delà de l’enquête opérée par le journaliste français, la presse est parvenue à recueillir à plusieurs reprises et dans plusieurs pays (Etats-Unis, Royaume-Uni et Allemagne) les confessions de salariés sur la pénibilité extrême de leurs tâches.

De toute évidence, une charte de bonne conduite est un prérequis nécessaire. L’entreprise ne peut se laisser dépouiller ou insulter gratuitement pour de sordides motifs. En revanche, cette même entreprise va devoir impérativement tenir compte de cet interne bien plus qu’elle n’a pu le faite jusqu’à présent. Le temps des journaux internes validés à triple tour et expurgés des questions qui gratouillent, est révolu. Plus une chape de plomb sera imposée, plus le risque de susciter des fuites sera exponentiellement élevé. Surtout si dans le même temps, l’entreprise n’a pas forcément une conduite irréprochable en matière de traitement des salariés, de protection de l’environnement, de respect des réglementations et autres exigences sur lesquelles le corps sociétal est de moins en moins indulgent.

L’« Insider threat » n’essaimera pas si le management de l’entreprise adopte une approche plus respectueuse, impliquante et tolérant la discussion. Dans le cas contraire, les dissensions et les envies de balancer s’en trouveront augmentées. Autour de cet enjeu éminemment sensible, les communicants internes ont un rôle décisif à exercer pour faire adhérer autrement que par des incantations et des injonctions !

Sources

(1)    – Josh Halliday – « Whistleblowers will continue to leak state secrets, warns AP chief » – The Guardian – 26 juin 2013
(2)    – Elisabeth Fleury – « Les dictateurs achetaient français » – Le Parisien – 18 juin 2013
(3)    – Jean-Baptiste Malet – En Amazonie, infiltré dans le meilleur des mondes  – Fayard – Avril 2013