Un outil pour protéger les données d’entreprises

La protection des données d’une entreprise, comme les informations des clients de Desjardins, est primordiale pour Sylvain Bouchard, créateur d’un programme qui signale lorsqu’une clé USB est branchée sur un ordinateur d’entreprise.

Le Chamblyen, consultant en informatique, estime que sa technologie aurait possiblement pu freiner la collecte de données personnelles de 2,9 millions de membres perpétrée par l’employé de Desjardins. « Les informations qu’on a de Desjardins, c’est que quelqu’un a consulté des données, les a extraites et copiées sur un disque dur. Est-ce que ça aurait pu l’en empêcher? Au moment où il copiait les données, ça aurait au moins permis d’aviser le superviseur, qui aurait pu aller voir ce qui se passait », indique M. Bouchard.

L’informaticien a créé son produit il y a deux ans à la demande d’un client. « Sa secrétaire était partie pour un compétiteur et il voulait savoir si elle avait pris des listes de clients ou d’autres informations », raconte-t-il.

« De savoir que ton employeur est au courant quand tu copies un document, ça peut inciter les gens à se garder une gêne de le faire. » – Sylvain Bouchard

« C’est là que j’ai eu l’idée de coder quelque chose qui allait donner une alerte quand quelqu’un copie un document sur une clé ou un support USB. J’ai développé ce concept avec deux collègues et on l’a mis sur le marché », dit-il.

Protection

Ainsi, les entreprises qui utilisent USB Tagger peuvent savoir en temps réel lorsqu’un employé introduit une clé USB ou un disque dur externe sur l’ordinateur de travail. Le superviseur reçoit alors une alerte. De plus, si l’employé démissionne, il est aussi possible de consulter l’historique et de savoir s’il a copié des documents.

M. Bouchard croit que son outil peut avoir un effet dissuasif quant à la fraude de données. « De savoir que ton employeur est au courant quand tu copies un document, ça peut inciter les gens à se garder une gêne de le faire », estime-t-il.

Populaire dans le monde, peu au Québec

Depuis deux ans, le Chamblyen vend des licences un peu partout dans le monde à toutes sortes d’entreprises. « J’en ai même vendu pour un marchand de chaussures au Congo », s’exclame-t-il en riant.

Mais au Québec, peu de compagnies l’utilisent. « Depuis l’histoire avec Desjardins, il y a eu une petite hausse, mais pas autant que je l’aurais pensé, indique-t-il. Je suis surpris de voir que c’est lent à démarrer au Québec, malgré ce qui se passe. » Il évalue à une centaine d’entreprises le nombre de ses clients.

Il ajoute que toutes les compagnies possèdent des « documents que les employeurs ne veulent pas que les employés sortent », pas seulement les institutions bancaires. « Les gens ne comprennent pas encore aujourd’hui que leurs informations valent cher », affirme M. Bouchard.

Selon ses recherches, ce produit n’existe pas. « Je n’en connais pas d’autres. La seule façon de faire est de barrer les ports USB complètement. Pour certaines entreprises, ce n’est pas pratique de le faire », soutient le consultant en informatique. Il précise que des protections existent pour le téléchargement de données via le Web.

Simple d’utilisation

M. Bouchard répète que télécharger son programme et l’utiliser est très simple et peu coûteux. Pour moins de 200 $ par année, une entreprise peut protéger jusqu’à 100 ordinateurs. De plus, elle dispose d’un essai gratuit de 30 jours.

Les employeurs intéressés peuvent se rendre sur le site usbtag.com pour demander une licence. Ils peuvent ensuite l’utiliser. Comme le premier mois est gratuit, aucune information de facturation n’est exigée pour commencer, précise le créateur.

Pour les grandes entreprises, M. Bouchard soutient qu’il pourrait se déplacer à l’interne afin d’installer son outil. Ainsi, celles-ci n’auraient pas à passer par Internet.

Desjardins a indiqué au Journal ne pas vouloir « divulguer ses mesures de protection mises en place pour des raisons de sécurité ». La porte-parole a ajouté que l’enquête policière étant toujours en cours, le stratagème utilisé par l’employé malveillant, qui a été depuis congédié, ne sera pas dévoilé.