Pas de chiffres précis pour la Belgique mais celui que l’on cite par exemple pour le Royaume-Uni est éloquent: le “manque à gagner” (perte de productivité) des entreprises serait de 1,5 milliard d’euros pour cause de surf Internet à des fins personnelles pendant les heures de bureau.

Autre statistique, cette fois encore britannique: selon un sondage du cabinet Morse (effectué fin 2013 auprès de quelque 1.500 professionnels), 57% des employés fréquentent les réseaux sociaux (Facebook, Twitter ou autres) pendant les heures de bureau.

Filtrer, bloquer, trier

Interdire totalement à ses employés d’accéder à Internet est à la fois… interdit et difficile. Mais sélectionner les ressources et sites auxquels ils ont droit pendant leurs heures de bureau est par contre une pratique autorisée voire recommandée. Et pas uniquement pour empêcher que le temps des employés soit utilisé à d’autres choses que le travail. D’autres considérations entrent ici en jeu: la sécurité du réseau et des systèmes de l’entreprise (en évitant les sites vérolés ou “véroleurs”), l’allégement de la charge de trafic (des flux vidéo YouTube, pour ne citer qu’eux, peuvent dangereusement peser sur la bande passante disponible), la priorisation des flux (priorité donnée par exemple aux trafics critiques, au VoIP…).

C’est là qu’entrent en jeu les solutions de filtrage de trafic et de contenus. Ils permettent de repérer et de bloquer éventuellement des accès et l’utilisation de divers outils (messagerie instantanée, réseaux sociaux, logiciels peer-to-peer, sites de partage de vidéos…). Sans oublier, évidemment, de semblables précautions vis-à-vis de sites à connotation et contenus (pédo-)pornographiques, incitant à la haine raciale, etc., qui sont d’office “black-listés” par les solutions de filtrage.

Source: Olfeo.

Nul n’est censé ignorer la loi. L’adage – fort stressant, du reste – est bien connu. Mais, en poussant le raisonnement plus loin, tout utilisateur serait-il censé être en mesure de détecter quels sites, quelles applications sont potentiellement dangereux? Impossible, évidemment, tant les dangers d’Internet sont multi-formes, sournois et en reconfiguration permanente.

Installer une solution de filtrage Internet permet donc aussi, aux yeux de certains observateurs, d’éviter que des employés de fassent des bêtises, ne tombent dans certains pièges sans en avoir conscience. C’est par exemple un argument que l’on retrouve dans la bouche d’un responsable commercial français d’Optenet (société qui commercialise une solution de filtrage WebFilter): “l’outil de filtrage permet de ne pas rendre un salarié responsable d’une faute que, par manque de compétence informatique, il n’avait pas les moyens d’éviter de commettre”, déclarait récemment François Petit.

Une solution “à l’écoute” des spécificités locales

A destination du marché local – en ce compris pour les petites entreprises -, la société Uniwan a décidé d’ajouter une solution de filtrage de contenus Internet à son offre de produits et services et a opté, pour l’occasion, pour la solution française Olfeo. Pour plusieurs raisons, explique Michel Degoudenne, responsable commercial chez Uniwan.

“Ce logiciel procède par filtrage d’url plutôt que de mots-clé, évitant ainsi l’écueil de blocages imposés par des sensibilités non toujours adaptées aux spécificités du marché local. Une autre raison majeure de notre choix est d’ailleurs le fait que l’outil Olfeo soit adapté au marché belge et à sa législation [Loi relative à la protection des données à caractère personnel et Convention Collective de Travail 81]. [Ndlr: Un livre blanc, rédigé en collaboration avec Altius, cabinet d’avocats belge spécialisé en droit des technologies et droit du travail, peut être téléchargé au départ du site Internet d’Olfeo. Son titre: « Filtrage et Internet au bureau – Enjeux et cadre juridique ».]

D’autres solutions ne permettent pas de se calquer sur la législation locale. Les solutions américaines, basées sur mots-clés et sur une catégorisation unique, ne peuvent offrir une protection adéquate [au contexte local]. Certaines imposent également des blocages jugés chez nous discriminatoires. Sur les termes et notions “lesbienne” ou “gay”, par exemple. Il en résulte un sur-filtrage inadéquat et qui provoque du mécontentement côté utilisateurs.”

L’approche développée par l’éditeur français est en fait une démarche multi-pays. La solution peut dès lors être déployée par une même société dans de multiples pays, en respectant les contraintes de chacun d’eux. Ce qui est autorisé par telle législation, dans tel pays, pour tel secteur ou corps de métier ne le sera peut-être pas dans un autre pays.

Michel Degoudenne (Uniwan): “L’outil Olfeo est davantage adapté aux centres d’intérêt et particularités légales et culturelles belges.”

A certains égards, la législation belge est plus stricte que d’autres. “Le droit belge”, souligne-t-on chez Olfeo, “est spécifique et interdit l’accès à de très nombreux contenus qui ne sont pas condamnés par les lois d’autres pays: publicité illégale pour les médicaments, révisionnisme ou racisme, promotion de l’avortement, jeux de hasard en ligne sans licence de la commission des jeux de hasard…”

A rebours, la Belgique autorise certaines choses qui sont interdites en France. Exemple cité par Olfeo: “En France, les contenus faisant la promotion des escortes est illégale. En revanche, ces contenus sont tout à fait légaux en Belgique; Par conséquent, le site quartier-rouge.be sera classé dans la catégorie “Pornographie condamnée par la loi française” dans la version française de la solution Olfeo, alors qu’il sera classé dans la catégorie “services sexuels” dans la version belge.”

Filtrage contextuel

La plate-forme Olfeo combine en fait divers modules: filtrage d’url, filtrage de protocoles, antivirus de flux, portail de gestion, proxy QoS.

Comme tout logiciel de filtrage Internet qui se respecte, Olfeo permet de personnaliser et d’adapter le filtrage à chaque contexte de société.

La solution permet de programmer des degrés de filtrage et de blocage de “destinations” différents selon que l’usager soit par exemple un commercial ou un employé administratif, “ce dernier ayant moins de raisons, par exemple, d’accéder à des réseaux sociaux pour raisons professionnelles. Un commercial, par contre, peut en avoir besoin pour dialoguer avec sa cible, identifier les “sentiments” de la clientèle…”, souligne Michel Degoudenne. “La solution permet aussi de moduler les accès selon le secteur d’activité de l’entreprise.”

Petit exemple? “Une société spécialisée dans la lingerie fine aura besoin de voir ce que fait sa concurrence.” Il sera donc nécessaire d’autoriser la visite de certains sites qui seraient considérés à connotation sexuelle par des outils travaillant uniquement par mot-clé. Pour une telle société, les accès seront autorisés alors que les employés d’une autre société n’auraient évidemment aucune raison d’y fureter pendant les heures de bureau.

Les sites considérés comme illicites par une société (aux termes de la législation locale) sont ajoutés, après analyse et validation, à la liste centrale de sites bloqués d’office par la solution. Et ces blocages seront donc implémentés dans tous les déploiements auxquels procéderaient d’autres clients belges. Par exemple, une société pourrait identifier un site de courtage matrimonial (type de site considéré comme illicite, en termes professionnels, par la loi belge) qui ne figure pas encore dans la liste centrale par défaut. Le fait pour elle de l’ajouter à ses propres paramétrages sera répercuté, après validation par les équipes d’Olfeo, sur l’ensemble des clients belges.

De même, les clients ont la possibilité de demander la re-classification de certains contenus. Là encore, l’équipe d’Olfeo opérera les vérifications nécessaires avant de l’acter et de l’implémenter dans le moteur de sa solution.

Le blocage d’accès peut être programmé par plages horaires, ne permettant par exemple d’utiliser les réseaux sociaux que pendant l’heure de midi. Ces plages horaires seront potentiellement différentes selon les utilisateurs. Soit l’outil permettra telle ou telle navigation ou utilisation par tranches horaires fixes, soit il autorisera un certain nombre d’heures de consultation (que l’utilisateur pour “consommer” à sa guide pendant une période déterminée – exemple: 5 heures de consultation de réseaux sociaux autorisées par mois).

Pas de ‘flicage’ systématique

Un logiciel de filtrage de contenu sert, comme on l’a vu, à “repérer” et bloquer des accès à des sites illicites ou des visites de sites et de services Internet qui ne seraient pas permis par l’entreprise.

La loi belge, toutefois, ne permet pas à une entreprise de faire tout et n’importe quoi en termes de blocage Internet et de “surveillance” de ses employés.

Une interdiction totale de fréquentation des réseaux sociaux étant illégale, le blocage ou la restriction d’accès ne peut par exemple se faire que selon certaines plages horaires.

De même, une entreprise ne peut pas “s’amuser” à espionner le trafic et les habitudes Internet de chacun de ses employés… tout en mettant en oeuvre les mesures de protection de ses propres intérêts (protection contre des risques d’infection, de vol de données, de fuite de données, de divulgation de secrets à la concurrence, etc.). C’est également dans son intérêt de déterminer si les employés passent trop de temps sur les réseaux sociaux, ce qui peut être une source de perte de temps et donc de productivité.

C’est là qu’une surveillance anonyme et proportionnelle par un outil de filtrage peut apporter une solution. La surveillance se fera donc de manière globale. Les statistiques et rapports générés régulièrement par l’outil permettra d’identifier par exemple des pics, des dépassements de taux de visite, des accès à des sites non autorisés. Dans ce genre de scénario, l’étape suivante qu’un responsable peut déclencher est ce qu’on appelle la procédure d’alarme. “S’il note un dépassement, il peut procéder, pendant une période strictement déterminée, à une étude poste par poste des comportements Internet. Mais avec obligation de prévenir les employés”, souligne Michel Degoudenne. “Cette surveillance ‘personnalisée’ pourra alors servir de preuve, par exemple en cas de licenciement d’un employé fautif.”

A signaler aussi que les employés doivent être informés de la politique de sécurité en vigueur au sein de l’entreprise. “Le logiciel communique d’ailleurs cette charte, automatiquement, à chaque employé qui doit la re-signer.” Une manière aussi de le conscientiser, de l’informer et de lui faire endosser ses propres responsabilités. “Pour Olfeo, les utilisateurs ne sont pas systématiquement des acteurs de vulnérabilité mais peuvent devenir partie prenante dans la politique de sécurité de l’entreprise. Nous proposons donc d’associer chaque utilisateur à cette démarche.”

Des rapports modulables

Régulièrement (selon une fréquence à déterminer), l’outil Olfeo génère des rapports d’utilisation. Chaque utilisateur reçoit ainsi personnellement son propre rapport d’utilisation (sites visités, temps passé sur tel ou tel site, par type etc.) Ce rapport est strictement personnel. Personne d’autre – et certainement pas le responsable hiérarchique direct ou le patron – ne pourra le consulter.

Le chef d’entreprise (ou la personne désignée comme responsable) reçoit par contre un rapport global, avec des chiffres et informations le renseignant sur les types et fréquences d’accès de l’ensemble des employés. Sans que ces derniers ne soient nommément identifiés.

Comme on l’a vu, ce n’est qu’en cas d’écart ou de dépassement par rapport aux règles établies qu’il pourra, moyennant procédure d’avertissement, recourir à une surveillance poste par poste.

Les paramètres que comporte le rapport global peuvent toutefois être affinés. “Certains clients demandent des rapports personnalisés, en fonction de leur type d’activités”, souligne Michel Degoudenne. “Il s’agit alors de rédiger des scripts spécifiques. Par exemple, dans le secteur bancaire, un client pourrait demander à pouvoir vérifier le nombre d’accès d’un site spécifique qui visent à déterminer la valeur d’un titre boursier spécifique…”

Le reporting hebdomadaire permet aussi de vérifier la bonne paramétrisation de l’outil, d’ajuster les règles d’accès et de filtrage. “Après environ six mois, l’entreprise doit être capable de gérer elle-même les mises à jour, les réglages. Elle doit disposer en interne de suffisamment de personnes capables de faire face à un problème, de procéder à une analyse et à catégoriser.”

Une sérieuse dose de doigté

Distributeur exclusif (pour l’instant) d’Olfeo sur le marché belge francophone (une traduction de la documentation en néerlandais est en cours), Uniwan ne se contente pas de proposer le logiciel à la vente. Il lui faut en effet assurer tout un travail de conscientisation par rapport aux risques et responsabilités qui vont de pair avec l’accès de sites Web en tous genres (réseaux sociaux, forums…) sur le lieu de travail.

“Trop de sociétés ne sont pas encore conscientes non seulement des risques qu’impliquent la navigation sur Internet et certains comportements de leurs employés mais aussi des responsabilités qui pèsent sur elles en la matière et des risques légaux qu’elles encourent en cas d’infraction.” Exemple cité par Michel Degoudenne: la responsabilité qu’endosse automatiquement toute société qui met à disposition un réseau WiFi.

Pour la mise en oeuvre du logiciel proprement dite, Uniwan commence systématiquement par une analyse préalable des besoins du client et un travail de catégorisation personnalisée, selon son secteur d’activités, son métier, les profils et fonctions des utilisateurs au sein de l’entreprise. “Nous définissons ces catégories en liaison directe avec le responsable RH. Des droits d’accès spécifiques sont octroyés en fonction des catégories. C’est la phase la plus “lourde” et potentiellement la plus coûteuse d’un processus de déploiement d’outil de filtrage. On peut par ailleurs aller assez loin dans la segmentation et prévoir par exemple que tout téléchargement par un nouvel employé doive passer par un “bac à sable” – avec validation par une personne compétente – avant d’être autorisé…”

Pour offrir une solution qui soit réellement “dimensionnée” pour le marché local (fait essentiellement de PME et TPE), Uniwan a obtenu d’Olfeo de pouvoir mutualiser les licences. Autrement dit, la société belge achète des lots de licences à l’éditeur français et les met, si nécessaire, à disposition en petites quantités. Histoire de permettre à des PME ne devant équiper que quelques postes de pouvoir bénéficier de la solution. Une formule “starter pack” est également à l’étude qui permettrait de combiner Olfeo avec d’autres logiciels (mail, …).