Quand un salarié supprime vos données
Divulgâchage : Souvent, on ne mesure la valeur des choses que lorsqu’on les a perdues, et qu’il est trop tard. Aujourd’hui, on a une pensée pour vos fichiers et données sans lesquelles votre activité serait compromise. D’expérience, elles valent très cher. Si vous les avez perdues, faites appel à des experts. S’il n’est pas trop tard, mettez en place des stockages externes (et journalisés) et des sauvegardes.
Après plusieurs années de services, votre salarié a décidé de vous quitter et entame sa période de préavis. Avant de partir définitivement, il vous remettra bien sûr le matériel informatique que vous lui aviez confié.
Mais qu’en est-il des données ?
La matériel, c’est facile a évaluer, ne serait-ce qu’en coût d’achat ou de remplacement. C’est en euros (souvent moins de 2000 €) et votre (expert) comptable pourra vous fournir une idée précise et rapide de la valeur de ces immobilisations corporelles amortissables.
Pour les données, c’est plus compliqué. Leur valeur peut se mesurer par l’avantage concurrentiel qu’elles vous procurent. Mais aussi par l’investissement nécessaire pour les produire qu’on a oublié depuis. C’est généralement lorsqu’on perd ces données qu’on mesure toute la valeur de ces actifs immatériels.
Petites Histoires pour se faire peur
Avec notre activité d’experts judiciaire, il nous arrive régulièrement d’être appelé lorsque des données sont perdues. Le secret professionnel nous interdit de dévoiler les affaires, ces histoires sont adaptées de faits réels.
Jean, développeur
Depuis 5 ans, Jean développe des applications web pour les clients de son employeur. Comme ces applications se ressemblent souvent, il a réussi à isoler le code en commun ce qui lui permet de se concentrer sur le développement des modules qui font la différence.
Anticipant les besoins des prospects, Jean a souvent quelques modules d’avances qu’il n’a qu’à intégrer et adapter rapidement. Ça diminue drastiquement le coût des prestations et permettent de gagner de nombreux clients.
Suite à un changement de direction, Jean n’est plus en phase avec le management et se désinvesti de son poste. Après plusieurs discussions houleuses où des noms d’oiseaux ont été échangés, la ligne rouge est franchie et la direction décide de le licencier.
Consciencieux, il a pris le temps de nettoyer son poste de travail. Pour supprimer ses quelques données personnelles, il a tout nettoyé, réinstallé le système à neuf puis y a rapatrié les codes sources des applications qu’il développait ainsi que les outils nécessaires. Ses collègues pourront profiter de cet environnement tout propre pour continuer à travailler.
Après un préavis d’un mois où il transmet ses projets, il quitte l’entreprise.
Malheureusement, un mois plus tard, un client donne suite à un devis pour un module spécifique car le prix lui paraît très attractif. Le commercial se souvient que Jean lui avait dit avoir un module tout prêt mais après avoir fouillé son ordinateur, on ne trouvera aucune trace de ces modules dont il avait le secret.
Un devis valant contrat, la prestation a du être réalisée… à perte.
Irène, commerciale
Irène est commerciale pour un cabinet d’experts comptables. Comme elle est souvent en clientèle, on lui a fourni un ordinateur portable qu’elle utilise lors de ses très nombreux déplacements dans la région. C’est pratique, elle peut ainsi accéder et mettre à jours toutes les données sur les clients et prospects.
Ayant des problèmes familiaux et ne s’épanouissant plus dans son emploi, elle décide de quitter son poste et pose sa démission. Son employeur aimerait qu’elle transmette ses contacts à ses collègues mais à cause de problèmes médicaux, elle sera en arrêt maladie pendant son préavis et après avoir renvoyé son ordinateur portable, elle ne reviendra plus.
Après avoir demandé de l’aide à un ami informaticien, le portable ne contient plus aucune donnée commerciale. Coïncidence ? de nombreux clients résilient leur contrats à la même date et avec le même courrier. On apprend également qu’Irène a trouvé un poste chez un concurrent.
Attaquée au civil pour concurrence déloyale (entre autre), Irène se défend… Si la date de résiliation est la même, c’est parce qu’il s’agit des dates classiques de clôture d’exercices comptables. Si la lettre est identique, c’est parce qu’il s’agit d’un modèle qu’on trouve sur internet. Si l’ordinateur est vide, c’est parce que l’employeur a supprimé les données pour lui faire porter la responsabilité de la baisse d’activité et se venger parce qu’elle l’a assigné au Prud’hommes (pour le paiement d’heures supplémentaires).
Le portable a, entre temps, été réaffecté à un ancien collègue. Les quelques traces qu’il pourrait encore contenir ont été écrasées depuis longtemps par son nouvel utilisateur. Aucune donnée et aucune preuve numérique ne pourront en être extrait.
Plan de Reprise
Bien souvent, il est trop tard et on constate la perte de donnée après le départ du salarié. Plus problématique, dans l’empressement pour sauver les meubles, on commet des maladresses qui peuvent détruire les traces, invalider des preuves ou empêcher de futures expertises.
Si vous êtes dans ce cas, votre salarié est parti et vous avez un matériel vide, voici quelques conseils des arsouyes : ne touchez plus à rien et appelez un professionnel.
Ne touchez à rien
Même si vous n’avez pas en tête une action en justice (pour l’instant), il reste plus prudent de ne pas utiliser le matériel au risque d’écraser des traces qu’il pourrait encore contenir.
Chaque fois que vous l’utilisez, vous écrivez forcément de nouvelles données (ne serait-ce que des fichiers temporaires et des journaux d’événements). Plus vous l’utiliserez, plus vous écraserez d’anciennes données.
- Suppression simple Si la suppression des donnée a été faite normalement, les données sont encore sur le support, ces zones mémoires sont marquées comme libres pour une prochaine utilisation. Avec les bons outils, il est possible de les retrouver mais si elles ont été écrasée, c’est trop tard.
- Suppression avancée La suppression peut aussi être précédée d’un écrasement des données pour qu’on ne puisse plus les retrouver. Dans ce cas, il s’agit d’une action volontaire qu’on peut, avec les bons outils, caractériser. Mais ces preuves disparaitrons si vous écrasez ces zones en utilisant le matériel.
Que vous vouliez récupérer les données, ou prouver que des zones ont été volontairement supprimées définitivement, il vaut mieux ne plus y toucher et attendre l’intervention d’un professionnel.
Appelez un professionnel
Dans la précipitation, il est tentant de demander de l’aide aux bonnes volontés les plus proches mais c’est rarement une bonne idée.
Les amis informaticiens font généralement plus de dégâts qu’autre chose car, sans la rigueur et la formation nécessaire, ils peuvent écraser des données, laisser leurs propres traces et souiller le support. Leur intervention compromettra toute expertise ultérieure.
Vos informaticiens sont sûrement formés aux outils de récupération mais cette fois, se pose le problème du conflit d’intérêt. S’il s’avère qu’une action en justice est nécessaire, leur constatations peut n’avoir aucune valeur juridique (fichiers récupérés ou absence de fichier récupérables), ou pire, avoir souillé le support, le rendant inutile.
À moins que vous renonciez à toute action en justice, je vous conseille de contacter des experts judiciaires. Non seulement ils ont l’habitude de ce type d’opération (récupérer des fichiers sur des pièces à conviction) mais leur serment rend leurs conclusions utilisables en justice. Avec leur expérience, ils pourront même vous conseiller sur vos possibilités et les meilleures démarches à entreprendre.
Nous serions heureux si vous faisiez appel à nous mais, promis, on ne vous en voudra pas si vous trouvez un confrère sur une des listes des experts judiciaires.
Plan de Continuité
Alors bien sûr, le mieux, c’est encore de prévoir les problèmes avant qu’ils se produisent et ainsi, les éviter. Tout simplement. En la matière, nos conseils sont plutôt simples :
- Gardez une bonne ambiance de travail,
- Utilisez des partages de fichiers externalisés
- Instaurez des sauvegardes.
Ressources humaines
Dans tous les cas qui nous ont été soumis, l’origine du problème a toujours été dans la relation humaine avec le salarié. Incompréhensions, mauvaise considération, ambiance de travail,… Lorsqu’un salarié détruit des données, c’est pour nuire à l’employeur (ou obtenir un avantage à son détriment, ce qui revient au même).
Avant même d’envisager les moyens informatiques pour éviter ces situations, il est important de gérer l’humain car à notre connaissance, aucun salarié bien dans sa relation avec son employeur ne pose de problème.
Ce sujet mériterait à lui seul un article blog
vie entière pour être traité et on sort un peu de la ligne
éditoriale des arsouyes.
Les partages locaux
Si tous vos salariés sont présents sur place, vous utilisez déjà sûrement un partage de fichier. Tous les postes disposent d’un dossier partagé qui est en fait stocké sur un serveur dédié. C’est pratique car tout le monde peut alors travailler collaborativement sur les documents.
Si vous n’en utilisez pas, c’est peut être le moment d’y réfléchir car en plus de faciliter la collaboration, ils facilitent aussi la sauvegarde, ce qui est toujours bon à gagner…
Qu’importe le système que vous utilisez pour le partage (il existe de très nombreuses solutions), il y a deux aspects auxquels vous devriez porter attention :
- La gestion des droits d’accès, il peut être opportun d’interdire la suppression des fichiers dans certains répertoires (ne serait-ce que pour éviter les accidents) ;
- La journalisation, c’est à dire l’enregistrement de toutes les opérations effectuées sur le système de fichier, dont la suppression des fichiers.
L’intérêt d’activer la journalisation est de dissuader les petits malins qui voudraient supprimer des fichiers discrètement avant de partir car l’opération sera enregistrée et donc tout sauf discrète.
Notez que cette journalisation, faisant intervenir des données personnelles, est couverte par le RGPD. vous n’avez pas besoin du consentement mais devez tout de même communiquer et sécuriser. Pour en savoir plus, vous pouvez vous tourner vers la page dédiée de la CNIL.
Si vous avez un administrateur à demeure, il devrait pouvoir mettre en place ces mécanismes. Si vous n’en avez pas, faites appel à un professionnel qui pourra vous conseiller et mettre en place la configuration adaptée.
Limitations : ces partages étant fait sur des serveurs en votre possession et sur lesquels vous avez tous les droits, un avocat pourrait mettre en cause la validité de ces journaux d’événements que vous auriez pu falsifier. Il faudra alors qu’un expert examine tous les éléments et toutes les traces pour donner son avis sur la probabilité d’un faux (ça nous est arrivé, on vous en parlera une autre fois).
Les partages distants et les nuages
Même si la plupart des administrateurs systèmes adorent avoir leurs serveur à la maison (c’est à dire dans les locaux de l’entreprise), d’un point de vue strictement preuve numérique, l’externalisation apporte des avantages.
Le prestataire, en tiers de confiance, aura moins de problèmes de conflit d’intérêts et il sera bien plus difficile de remettre en cause les observations tirées de leur systèmes et de leurs journaux. Les contraintes sont ici les mêmes que précédemment, pouvoir interdire la suppression dans certains répertoires et disposer d’un journal des opérations sur les fichiers.
Encore une fois, votre administrateur pourra gérer tout ça (il sera sûrement déçu mais comprendra) et si vous n’en avez pas, un professionnel pourra vous conseiller en fonction de vos besoins. Si certains salariés ont des postes déportés (e.g. télétravail ou itinérant), suivant vos habitudes et compétences en informatique, certaines solutions seront plus adaptées que d’autres.
Limitations : même s’il est un peu suicidaire pour un salarié de supprimer du contenu dans ces conditions car il pourra être tenu pour responsable, ça peut quand même arriver (ne serait-ce que par maladresse, réelle ou feinte) et surtout, ça ne fera pas revenir les données perdues pour autant…
Les sauvegardes
Le stade ultime, c’est donc d’ajouter un système de sauvegarde. Automatiques tant qu’à faire. De cette manière, qu’importe la raison, si une donnée disparaît, vous pouvez la retrouver 🤩.
Si vous n’avez pas déjà un système de sauvegarde, il est grand temps d’y penser.
Le principe est d’effectuer une copie de vos données, sur un autre ordinateur (c’est bien), dans un autre établissement (c’est mieux) voir chez un prestataire professionnel (c’est encore mieux). S’il arrive quelque chose aux données originales, vous pourrez rapatrier les fichiers nécessaires pour combler la brèche.
Comme les données peuvent prendre beaucoup de place, surtout si vous voulez des sauvegardes quotidiennes sur plusieurs mois, les outils mettent en place des stratégies de sauvegarde complémentaires :
- Sauvegarde Complète : Comme son nom l’indique, il s’agit de sauvegarder la totalité des données. Pour restaurer, il suffit de rapatrier la sauvegarde. C’est simple, mais ça prend vite de la place.
- Sauvegarde différentielle : Ici, on va sauvegarder ce qui a changé depuis la dernière sauvegarde totale. Ça économise la bande passante du réseau et de la place sur le serveur. Pour restaurer une donnée, il faut utiliser la sauvegarde totale et lui appliquer la différentielle.
- Sauvegarde Incrémentale : Cette fois, on ne sauvegarde que ce qui change depuis la dernière sauvegarde (totale ou pas). On économise encore un peu plus de bande passante et de place. Pour restaurer, il faut partir de la totale puis lui appliquer toutes les incrémentales.
La subtilité dans notre cas, c’est qu’on ne se rendra peut être compte de la perte que plusieurs jours (semaines ?) après sa suppression. Qu’importe la solution de sauvegarde choisie, vous devez pouvoir remonter le temps, plus ou moins loin suivant le temps que vous comptez mettre à vérifier les données.
Ceci étant dit, faites confiance à votre administrateur système, ou votre professionnel préféré, ils savent très bien gérer tout ça et pourront s’adapter à vos contraintes : quantité de donnée, fréquence de modification, bande passante, durée, budget,…
Limitations : normalement, là, vous ne risquez plus grand chose si ce n’est des erreurs de manipulations lorsque vous devrez restaurer les données mais si vous faites des exercices réguliers, ça n’arrivera pas.
Et après ?
Maintenant que vous avez une super ambiance de travail, des partages de fichiers journalisés pour travailler collaborativement et des sauvegardes pour ne rien perdre, il ne vous reste que quelques petits détails à régler.
- L’entrée des nouveaux est un moment propice pour communiquer sur la sécurité des données (entre autre). Sans forcément faire une réunion d’équipe, la lecture de la charte informatique (ou du contrat de travail) permettra de rappeler l’importance des données, les obligations de loyautés des uns et des autres, et les quelques mesures de protections mises en place (la journalisation prévient, la sauvegarde rassure).
- La sortie des anciens est un autre moment important puisque c’est autour de cet événement que les problèmes abordés aujourd’hui se concrétisent. Si vous avez mis en place nos recommandations, le préavis consistera à s’assurer, pour ceux qui restent, que toutes les données dont ils ont besoin sont bien entre leur mains.
Si vous avez un gros doute sur la loyauté d’un salarié et n’avez pas encore mis en place de journalisation ni de sauvegarde, le mieux est encore de prendre contact avec un avocat et/ou un expert judiciaire qui sauront vous conseiller sur les meilleures actions à entreprendre dans votre cas particulier.