La fuite de données personnelles causée – intentionnellement ou non – par une employée de Revenu Québec et touchant 23 000 collègues fait réaliser que bien des entreprises ne sont pas prémunies contre de telles attaques.

Isabelle Massé Isabelle Massé
La Presse

Il arrive aux employés de Kezber de recevoir le courriel d’une institution financière qui les incite à transmettre certaines informations. Mais gare à ceux qui y plongent ! Cet hameçonnage est parfois planifié par leur employeur qui voit là une belle occasion de leur rappeler d’être vigilants. 

« Il y a des tests offerts sur le marché, très accessibles aux PME, pour vérifier si les employés sont alertes, raconte Alan Kezber, président de Kezber. On envoie de tels courriels de temps en temps. Si un employé les ouvre, on lui écrit : “C’est le temps d’une petite formation !” »

En matière de protection de données personnelles, la direction de Kezber estime qu’elle doit en tout temps montrer l’exemple, en grande partie en raison de la nature des services qu’elle offre. L’entreprise de solutions d’affaires informatiques dit assurer un suivi régulier du bien-être de ses employés. Elle sent tout autant le besoin de parler de certaines mises à jour informatiques lors de 5 à 7 et de faire de la formation continue en matière technologique. 

« On est dans le développement informatique pour nos clients. On s’assure donc de l’intégrité de nos employés », affirme Sophie Benjamin, directrice du développement d’applications de Kezber. 

« Aujourd’hui, au-delà des outils, il faut aussi miser sur l’humain, être à jour dans ses réactions. »

Martin Lalancette, directeur des technologies de l’information de Kezber

Car un employé n’est pas le même 15 ans après son embauche… « Les candidats en entrevue passent souvent une batterie de tests, raconte Martin Lalancette. Or, pour les employés de longue date, on a confiance. C’est souvent les gens les plus à risque. Ils peuvent miser sur la relation de confiance avec leur employeur. » 

La façon de fonctionner de cette PME de 110 employés en matière de conscientisation sur la protection de données n’est pas la norme. 

« Les employeurs ne sont pas au fait des risques auxquels ils font face », note Gopinath Jeyabalaratnam, conseiller aux affaires économiques et gouvernementales de la Fédération canadienne de l’entreprise indépendante (FCEI), qui compte envoyer sou peu un sondage national sur la cybersécurité et la protection de données à ses 110 000 membres.

« Dans les PME, on a des femmes et hommes-orchestres. Ils ont plein de choses à faire et n’ont pas le temps de se demander si les employés manigancent. En plus, en période de pénurie de main-d’œuvre, on croit trouver les meilleurs candidats et on leur fait confiance. »

Gopinath Jeyabalaratnam, conseiller aux affaires économiques et gouvernementales de la Fédération canadienne de l’entreprise indépendante

La FCEI plaide pour un appui du gouvernement pour sensibiliser les PME à un tel enjeu et faire de la prévention. Comme 53 % des PME au Canada ont 5 employés ou moins, il n’est pas rare que l’information personnelle côtoie les données professionnelles sur un seul système informatique. « Et elles peuvent être les fournisseurs de grandes entreprises… », constate Gopinath Jeyabalaratnam.

Limiter les manigances

Mais malgré toute la bonne volonté des organisations et l’argent investi en formation et en protection, les entreprises ne pourront jamais clamer être totalement étanches.

PHOTO FOURNIE PAR LANGLOIS

Marie-Hélène Jetté, associée, chef de l’équipe en droit du travail et de l’emploi au cabinet d’avocats Langlois

« On a beau bien se protéger contre les gens qui ont accès à des informations sensibles et qui ont des intentions malveillantes, la techno d’aujourd’hui fait en sorte que c’est facile de voler, et ce, en quelques minutes. »

Marie-Hélène Jetté, associée, chef de l’équipe en droit du travail et de l’emploi au cabinet d’avocats Langlois

« Ce n’est plus une question de tout mettre sur une disquette ou de photocopier des documents », dit Me Jetté.

Pour limiter les délits, Me Jetté rappelle aux entreprises d’avoir une politique sur l’utilisation des équipements informatiques et des banques de données ; de faire des formations ; de mettre en place des protocoles de détection ; et de mener des vérifications sporadiques en cas de doute sur les intentions d’un employé. « De recruter avec plus de soin, ajoute-t-elle. De s’assurer que les gens viennent avec un bon historique d’emploi. Mais personne n’est à l’abri. » 

Du côté de Kezber, on suggère de faire le ménage des données accumulées il y a longtemps et d’avoir des discussions ouvertes avec les employés. « Et pas juste une fois, lance Sophie Benjamin. Lors de mises à jour de procédés, ce peut être un déclencheur pour discuter et voir si les employés ont cette conscience. »