La banque doit avant tout se protéger contre les intrusions informatiques malveillantes via internet ou les messageries.
La banque peut fixer des conditions et limiter les connections des agents et, préconiser des systèmes de filtrages de sites non autorisés.
Généralement, deux types d’outils sont déployés pour sécuriser un réseau : les pares-feux et les sondes de détection/ prévention d’intrusion.
Les banques peuvent fixer des limites par un souci de sécurité, telles que les interdictions de télécharger des logiciels, de se connecter à un forum ou d’utiliser « le chat« d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de propagation de virus.
Ces systèmes de protection contre les intrusions numérisées doivent être portés à la connaissance de l’ensemble du personnel de la banque. Ceux-ci doivent connaitre la finalité du dispositif et la durée pendant laquelle les données de connexion sont conservées.
Lorsque la banque met en place un dispositif de contrôle, assorti d’un relevé de connexion ou des sites visités, poste par poste, celui-ci doit être déclaré à l’APDP sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.
Pour prévenir les cyberattaques, la banque doit mettre en place des outils de contrôle de la messagerie, par exemple les outils de mesure de la fréquence, la taille des courriels et ceux analysants les pièces jointes (détection de virus, filtres, anti-spam destinés à réduire les messages non sollicités).
Mais la mise en place du dispositif de contrôle de la messagerie doit être portée à la connaissance de l’ensemble du personnel de la banque individuellement, et leur préciser la finalité du dispositif,
Il en est de même ; de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées, les modalités d’archivage, la durée de conservation des messages et les conditions d’exercice de leur d’accès. Une fois le dispositif de contrôle mis en place, il doit être déclaré à l’APDP.
L’information du personnel joue un rôle fondamental dans la prévention des attaques du système informatique et dissuade le personnel d’y participer à ce type de délinquance informatique.
Cependant, pour être efficace, la mise en garde doit revêtir une forme contraignante, ce qui lui confère un caractère disciplinaire. Sa diffusion doit respecter les procédures internes de la banque.
Il faut dire que la mise en place d’un système de protection ne suffit pas à elle seule, la banque doit pouvoir lancer des investigations en cas de suspicions, de soupçon de cybercriminalité et, déterminer les conditions dans lesquelles celles-ci doivent être menées. Et, tout cela dans le respect des libertés individuelles, tout en se protégeant efficacement.
Un courrier électronique émis ou reçu par un personnel de la banque peut relever du secret des correspondances privées dont la violation est pénalement sanctionnée. Mais les fichiers qui ne sont pas identifiés comme « personnel » sont considérés comme professionnels, donc le service des systèmes d’information peut y accéder librement, y compris en présence de la personne. Par exemple le message dans lequel n’est pas mentionné le terme « personnel » ou « privé ».
Par contre, le fichier classé dans le dossier « personnel » n’est pas accessible à la banque sans l’accord de la personne (l’agent en question).
C’est pourquoi, il est important d’en informer les personnels afin qu’ils différencient leurs courriers professionnels et personnels. Voir un répertoire spécifique dédié au contenu privé.
Si la banque décide de procéder à des investigations, celles-ci doivent être incontestables sur le plan de la preuve, c’est pourquoi, il est conseillé de n’accéder aux données numérisées du personnel qu’en présence de témoin ou d’huissier qui en dressera un procès-verbal constat.
En cas de forts soupçons, de cybercriminalité justifiée, la banque peut demander au juge l’autorisation d’ouvrir les fichiers et les courriels personnels de l’agent, même hors sa présence.
Pour l’usage d’internet, le juge par exemple estime que la banque (employeur) a aussi le droit de surveiller les connexions internet de ses agents grâce à l’historique des sites visités durant le temps de travail à l’aide de l’ordinateur professionnel.
En cas de soupçon de cybercriminalité de la part du personnel, la banque peut recourir à des dispositifs de contrôle et de surveillance de son personnel, à conditions que le procédé ne soit mise en place à leur insu.
Ainsi, la Direction du Contrôle Interne peut observer le travail au quotidien du personnel, dès lors que cette surveillance est limitée dans le temps de travail et qu’elle ne porte pas atteinte à la vie privée des intéressés. Ce contrôle interne ne constitue pas même en absence d’information et de consultation préalable l’APDP, un moyen de preuve illicite.
S’il y a un cyber alerte, la banque peut lancer immédiatement des investigations internes et fouiller les ordinateurs et portables professionnels du personnel pour y chercher des indices d’attaque :
La jurisprudence en France n’admet pas que de telles enquêtes puissent être soumises à l’avis du comité syndical ou délégué du personnel, mais la consultation participe à une diffusion de l’information auprès du personnel et donc à la dissuasion.
Les moyens de surveillance électronique vont permettre de détecter l’existence d’indices de délinquance informatique. Ainsi, le contrôle interne en charge de l’enquête doit se mobiliser pour déployer rapidement des investigations et prendre immédiatement des mesures pour la sauvegarde des intérêts de la banque.
Son objectif est double à ce niveau : préserver immédiatement l’ensemble des outils informatiques et les données qu’ils contiennent et identifier les cybercriminels.
La première chose à faire, s’est d’isoler le secteur attaqué en coupant tout accès à l’internet, les messageries et les ordinateurs susceptibles d’être visés par l’agression numérique. Donc interrompe tous les accès informatiques externes.
La deuxième chose à faire, le contrôle interne en charge de l’enquête doit intervenir auprès du moteur de recherche afin d’en effacer les données sensibles. Mais attention, pendant ce laps de temps, l’activité de la banque doit pouvoir continuer même en partie. On peut réutiliser les supports de communication traditionnels tels que le téléphone fixe, la prise de rendez-vous et la prise de notes papiers.
Le contrôleur doit analyser ensuite les différentes traces laissées par les cybercriminels, étudier l’historique du système informatique afin d’identifier les dysfonctionnements, les failles et les auteurs et complices internes.
Cette méthode d’enquête permet de lister et analyser les processus numériques en cours, afin de cerner les applications suspectes sur le système d’information. Cette phase peut se dérouler souvent sans qu’il soit nécessaire d’organiser une rencontre physique des protagonistes.
Cependant, une fois, le système protégé, les premiers indices relevés, qu’il va être possible de s’entretenir avec le personnel de la banque.
Mais par contre, l’enquête ne doit pas prendre un caractère trop contraignant, rigoureux et formel, au risque d’être assimilée à une sanction disciplinaire.
Par exemple en France, la Cour de Cassation a en effet jugé qu’une demande d’explication écrite faite à un salarié, à la suite de faits considérés comme fautifs, constitue une sanction disciplinaire, dès lors : que l’intéressé avait dû réponde seul et immédiatement, aux questions qui lui étaient posées,
Le procès-verbal, consignant les demandes formulées par l’employeur et les réponses écrites du personnel, avaient été conservées dans son dossier individuel.
Au cours de l’audition du personnel, le contrôleur enquêteur doit être prudent, au vu des éléments rassemblés, une mise à pied à titre conservatoire peut être notifiée à celui sur lequel pèsent des graves soupçons.
Faire intervenir la Brigade d’Investigation judiciaire (Bij) : L’enquête interne permet d’évaluer la gravité de l’attaque ou de l’infraction et son caractère malveillant.
Dès que ceux-ci sont avérés, la banque doit saisir la police en charge des questions de cybercriminalité ou le Procureur du Pôle judiciaire spécialisé. Ces services assurent la surveillance des activités sur internet en cherchant les infractions portant atteinte aux personnes et aux biens, ainsi que les connections ou téléchargements à caractère illicite.
Il est très facile de devenir cybercriminel, quelques clics seulement suffisent, la banque doit aujourd’hui mieux se protéger, y compris à l’égard de son personnel. Mais cela doit se faire dans les règles de droit et les respects des libertés individuelles.
Abdoulaye Amara Touré
Président AJBEF-MALI
Juriste banque
Cyberjuriste
Source: 30minutes