En 2006, il y avait environ 600 000 stagiaires en France. Aujourd’hui, leur nombre a triplé ! Or en matière de cybersécurité, faire appel à ces stagiaires (Français ou étrangers) ne s’improvise pas. Ils représentent en effet un risque très important concernant la protection des informations personnelles des collaborateurs et des clients.
La Direction Générale de la Sécurité Intérieure (DGSI) prend cette situation très au sérieux. A travers son Guide sur la cybersécurité, elle a notamment alerté sur les problèmes d’ingérence économique et préconisé l’application de certaines mesures de précaution.
Quels sont les risques liés aux comportements des stagiaires ?
Au-delà des problèmes liés au manque de sensibilisation à la sécurité informatique (comme les autres collaborateurs), la préparation à la venue du stagiaire dans l’entreprise est souvent négligée.
Pourtant, les enjeux sont énormes puisque, à défaut d’une réflexion de fond en amont, le stagiaire peut avoir accès à des données sensibles ou stratégiques pour l’entreprise.
Quelques exemples de situations dangereuses :
- les cartes d’identification et/ou les codes d’accès des stagiaires ne sont parfois pas suffisamment sécurisés (ils peuvent notamment être récupérés par d’autres employés)
- lors de son départ, un stagiaire peut « oublier » de restituer des fichiers contenant des informations personnelles ou des données importantes. Il va s’écouler beaucoup de temps avant de pouvoir récupérer ces éléments (surtout si le stagiaire est étranger !), ce qui augmente d’autant le risque qu’ils soient copiés, perdus ou volés.
- certains concurrents ou pays étrangers envoient un stagiaire jouer les espions dans l’entreprise (vol d’informations, acquisition de compétences sur des technologies non maîtrisées)
- le stagiaire peut aussi représenter une faille dans la sécurité des données s’il communique des informations sensibles à des tiers (par exemple pour solliciter l’avis d’un de ses professeurs ou d’un autre étudiant).
N’oubliez pas non plus que l’impact financier du vol ou de la fuite de données peut être très élevé. Le RGPD (Règlement général sur la protection des données) prévoit notamment des sanctions substantielles (de 2% à 4% du chiffre d’affaires annuel mondial pour les grands groupes, et 10 à 20 millions d’euros pour les autres entreprises) si toutes les mesures techniques et organisationnelles n’ont pas été prises pour garantir la protection des données à caractère personnel.
La mise en place d’une sécurité des données spécifique au stagiaire
Dans ce contexte, la DGSI propose plusieurs pistes pour améliorer la sécurité informatique de l’entreprise.
1) Délimitez le périmètre d’accès physique du stagiaire
Le B.A BA pour être bien protégé est de ne pas laisser le stagiaire accéder à l’entreprise en dehors des heures ouvrables. Il ne doit en aucun cas se retrouver seul dans l’établissement, libre d’aller et venir comme bon lui semble.
2) Paramétrez les accès informatiques
Le stagiaire ne doit pas avoir accès aux informations personnelles, sensibles ou stratégiques. Il faut donc créer plusieurs niveaux de sécurité informatique en fonction du profil des utilisateurs.
3) Responsabilisez le stagiaire
Le stagiaire doit avoir conscience qu’en entrant dans l’entreprise, il s’engage à respecter certaines règles. Veillez notamment à lui faire signer la charte informatique de l’entreprise et à lui laisser une copie. Ce document lui servira de référence pour lui rappeler ce qu’il convient ou non de faire (ex : interdiction de partager les codes d’accès/les identifiants, utilisation du logiciel de chiffrement des emails, …).
4) Exigez un engagement de confidentialité
Chaque stagiaire doit signer un engagement de sécurité/de confidentialité qui va avoir un double avantage :
- informer le stagiaire sur l’étendue de ses obligations : pour beaucoup, les notions de confidentialité ou de sécurité des données sont assez floues, il est donc fondamental d’agir à titre préventif.
- avertir des sanctions encourues en cas de non-respect des consignes internes à l’entreprise
5) De la formation à tous les niveaux
Il va de soi que le stagiaire doit être, comme les autres collaborateurs de l’entreprise, sensibilisé via des actions de formation aux bonnes pratiques en matière de cybersécurité et de confidentialité des données.
En parallèle, il faut aussi penser à former le maître de stage/le référent sur le rôle spécifique qu’il a à jouer dans ce domaine. Il lui appartient en effet :
- d’encadrer le stage et notamment de veiller au respect des règles de sécurité informatique
- de signaler systématiquement tout comportement suspect. Comme dans le cas de la fraude au président, il est donc primordial de rassurer le maître de stage/le référent en valorisant les réflexes sécuritaires et en mettant en place une politique d’accueil des stagiaires claire et précise.
L’avis de Laurent Brault de MDK Solutions
Nous le savons tous, les utilisateurs sont le maillon faible de la sécurité. Parmi eux, le stagiaire est certainement l’élément le plus fragile, accentuant de fait la vulnérabilité de ce maillon faible.
Comme souvent, la protection ne viendra pas d’un outil technique, aussi sophistiqué soit-il, mais par la mise en place et le respect de bonnes pratiques. Suivre les 5 recommandations proposées par la la DGSI est un excellent début pour avoir une bonne protection.