Le groupe Houthi PC a récemment suscité des controverses après qu’un échange sur Signal entre des politiciens américains ait révélé des informations sensibles. Cette situation soulève des questions sur la gestion des données en Suisse, où la sécurité des communications varie selon les secteurs. Des experts soulignent l’importance d’utiliser des applications sécurisées et d’éviter le mélange entre vie professionnelle et personnelle, tout en évoquant les conséquences potentielles d’abus dans les échanges numériques.
Depuis le début de cette semaine, le « groupe de petite taille Houthi PC » est devenu l’un des chats de groupe les plus médiatisés. L’affaire est largement commentée : des figures politiques américaines telles que le vice-président J. D. Vance, le responsable de la sécurité Mike Waltz, et le ministre des Affaires étrangères Marco Rubio ont orchestré une attaque contre la milice Houthi yéménite via un chat sur l’application Signal. Le rédacteur en chef de l’« Atlantic » a, quant à lui, suivi cette conversation après avoir été invité par inadvertance à rejoindre le groupe.
Ce type d’information devrait, en théorie, être partagé par des canaux de communication sécurisés et n’est certainement pas destiné à être accessible aux journalistes. Vance, Waltz et Rubio ont ainsi enfreint plusieurs règlements.
Une question se pose alors : cette situation pourrait-elle se reproduire dans le milieu professionnel suisse ? Comment les entreprises et leurs employés gèrent-ils la transmission de données en Suisse ?
La sécurité des données selon le secteur d’activité
Urs Küderli, expert en cybersécurité chez PwC, souligne qu’il existe deux raisons principales pour lesquelles les gens se tournent vers des applications de communication privées comme Signal : « D’une part, cela permet d’interagir avec des personnes externes lorsque les canaux internes ne le permettent pas. D’autre part, c’est un moyen de discuter de sujets sensibles que l’on ne souhaite pas voir enregistrés. »
Selon lui, le niveau de sécurité requis varie selon le secteur. « Ceux qui sont tenus au secret professionnel manipulent souvent des données sensibles qui nécessitent une protection adéquate, surveillée par les autorités compétentes. » Prenons l’exemple du secteur bancaire : ici, en plus des règlements internes, plusieurs organismes de régulation déterminent comment et quelles informations peuvent être communiquées.
Le pays où l’entreprise est située influence également les pratiques de communication. Les sociétés basées en Europe ou aux États-Unis évitent généralement d’utiliser des applications chinoises. En Suisse, des outils comme Microsoft Teams, qui offrent un niveau de sécurité élevé, et l’application de chat locale Threema sont très populaires.
Threema est également utilisé par le gouvernement pour ses échanges. Cela a été révélé lorsqu’une commission d’enquête parlementaire a publié des détails sur la fusion urgente entre UBS et Credit Suisse, où l’on a pu lire que la ministre des Finances, Karin Keller-Sutter, avait discuté via Threema le jour précédent l’accord : « Nous avons un accord avec l’UBS. Maintenant, il ne reste plus qu’à régler la CS. »
Au-delà des secteurs régulés comme la banque, de nombreuses entreprises prennent conscience des menaces liées à la cybersécurité. Beaucoup d’entre elles proposent déjà des formations sur la « sensibilisation à la sécurité », visant à éduquer sur l’utilisation prudente des médias et des données. Ainsi, les incidents similaires à ceux survenus aux États-Unis ont considérablement diminué, selon Küderli.
La tendance vers l’utilisation de deux téléphones
Nils Merz, chercheur à l’Institut de développement des entreprises de la Haute école spécialisée de Zurich à Winterthur, et expert en ressources humaines, prône une « séparation stricte entre vie privée et professionnelle » sur les smartphones. « Sinon, j’enverrai peut-être par erreur des informations destinées à mon client à mon ami Hans Müller. »
Dans certaines branches du secteur bancaire, son message semble déjà avoir été entendu : dans les départements sensibles, les employés commencent à utiliser un deuxième téléphone.
Cependant, ces mesures sont aussi dictées par des considérations financières, souligne Merz. De nombreuses petites entreprises ou startups n’ont pas toujours les moyens de financer des infrastructures informatiques comme Microsoft Teams. Elles se tournent alors vers des messageries simples. « Lors de l’envoi de données, il est crucial de se demander : est-ce que cela ferait la une d’un journal si ce message était rendu public ? » Si c’est le cas, il vaut mieux envisager d’autres canaux de communication.
Merz défend également l’utilisation de l’email, qui « reste l’option la plus raisonnable », surtout pour les échanges avec des partenaires externes qui ne font pas partie de l’infrastructure informatique de l’entreprise.
Les affaires personnelles au travail : ce qui est permis
Nous avons donc examiné comment éviter de mélanger affaires personnelles et professionnelles dans les infrastructures informatiques. Mais que se passe-t-il lorsque la vie privée s’infiltre dans le cadre professionnel ?
Roger Rudolph, professeur de droit du travail à l’Université de Zurich, indique qu’il est acceptable de gérer occasionnellement des affaires personnelles au travail, tant qu’il n’existe pas d’interdiction d’utilisation d’Internet. Par exemple, réserver des vacances, acheter des billets de concert, rechercher des horaires de train, ou envoyer quelques emails privés n’est pas problématique.
Cependant, il est plus délicat de faire des commentaires désobligeants ou offensants à propos de collègues ou de supérieurs dans un chat Microsoft Teams. Cela dit, dans la plupart des cas, cela n’entraîne pas de conséquences, car ces conversations ne sont généralement pas accessibles au public. « Tant qu’il n’y a pas d’interdiction d’utiliser l’infrastructure informatique de l’entreprise pour des échanges personnels, on peut supposer que ces conversations ne sont pas surveillées », explique Rudolph. L’historique des chats n’est consulté que s’il existe des soupçons concrets.
Des amendes de 200 millions de francs pour UBS et CS
De nombreux employeurs élaborent parfois des règlements informatiques détaillés pour clarifier ce que les employés peuvent ou ne peuvent pas faire. En précisant que l’employeur « se réserve le droit de contrôle », cela lui permet de vérifier le respect des règles établies. Cela signifie qu’il pourrait théoriquement accéder à des historiques de chat de manière aléatoire s’il soupçonne qu’un employé enfreint les règlements.
Pour Rudolph, un règlement informatique sert principalement de guide : « Ces règlements aident les employés à garantir leur sécurité. Par exemple, il est déconseillé de brancher une clé USB personnelle sur l’ordinateur de l’entreprise ou d’utiliser WhatsApp pour des échanges professionnels. »