Ashley Madison, un problème de RH avant tout!

Par Bertrand Milot

Rappel des faits, pour ceux qui ne le savent pas encore, le site Ashley Madison est un service en ligne adultérin, c’est-à-dire qu’il propose à ses utilisateurs de promouvoir des rencontres extra-conjugales. Le slogan parle de lui-même : « Life is short. Have an affair ». Le site est ouvert depuis 2001 et selon SimilarWeb™, il accueillait pas moins de 124 millions de visites par mois en 2015. En juillet 2015, Avid Life Media™, propriétaire du site, a reçu de pirates informatiques l’ultimatum de fermer l’accès au service sous peine de voir ses données utilisateurs publiées. Avid Life Media™ ne prenant probablement pas la menace au sérieux, ou peut-être juste pas prêt à faire une croix sur ses importants revenus publicitaires, décide de faire la sourde oreille. Malheureusement, le mois suivant, les données personnelles furent publiées : 35 millions de comptes utilisateurs (incluant nom, prénom, courriel et souvent même profession, âge, adresse et beaucoup d’autres données de préférences ou de comportements intimes).

 

Alors, quel rapport avec vous, professionnels des ressources humaines? Et bien, c’est simple. Si votre compagnie comporte 100 salariés et plus, alors la loi de la probabilité joue déjà contre vous. En effet, selon les régions, on parle de 1 à 5 % de la totalité de la population, le pourcentage augmente vite si on se cantonne à la population active. Voici le nombre d’utilisateurs démasqués par localisation : Toronto 222 382, Montréal 72 304, Laval 12 580, St-Laurent 4 234, Longueuil 3 921, Brossard 2 617, Blainville 1 424, Terrebonne 1 273, Dorval 1 192 (lien vers la carte :https://naelshiab.cartodb.com/viz/bb38c424-4826-11e5-a01a-0e0c41326911/embed_map ) et la liste est longue.

 

Mais cela ne s’arrête pas juste aux chiffres, certains utilisateurs, dont les comptes ont été mis au grand jour, ont eu l’idée TRÈS maladroite, voire presque imbécile, de s’inscrire à ce service avec leur courriel professionnel. On trouve alors des fonctionnaires fédéraux, des membres d’institutions québécoises publiques, des services de police ou encore d’établissements d’enseignement (lien avec les détails : http://journalmetro.com/actualites/national/828936/qui-sont-et-ou-vivent-les-clients-de-ashley-madison-au canada-et-au-quebec/# ).

 

Une fois toutes ces informations publiées, récoltées et bien analysées par tous, d’autres esprits malveillants (plusieurs centaines) ont trouvé judicieux et potentiellement rentable de mener des campagnes d’extorsion aux utilisateurs mis à jour. Envoyant des courriels et des appels anonymes pour négocier des aveux, des montants d’argent (bitcoin, cash... etc.) et pire, des données confidentielles… vous avez compris! Il y a eu deux cas de suicide enregistrés directement en lien avec l’affaire Ashley Madison, où la pression médiatique et les enjeux de la révélation ont fait leur œuvre sur les victimes.

Crédit photo: iStockPhoto

Quel est votre rôle? 

Ce cas est sans précédent et son contexte est particulier. Il atteint les mœurs et la réputation personnelle directe. Vous avez en priorité, trois types de cas à gérer : 

1- l’un de vos collaborateurs fait partie de la liste et n’assume pas ses actes; 

2- l’un de vos collaborateurs a mis la main sur la liste des utilisateurs du site et commence à faire circuler de l’information; 

3- un ex-collaborateur ou partenaire d’affaires récent qui potentiellement détient de l’information très confidentielle et actuelle sur votre organisation. 

 

Bien, si les deux premiers cas sont très difficiles humainement et logistiquement à gérer, rassurez-vous, le troisième est presque impossible. Nous mettrons donc l’emphase sur vos collaborateurs actuels seulement. 

 

Sachez que même si les données ont été publiées, elles restent des données personnelles volées. Utiliser ces données, quels qu’en soient la raison et l’objectif, est un crime au même titre que les nombreux cas d’extorsion qui ont découlé à la suite de la publication de celles-ci en août dernier. Vous ne pouvez donc pas consulter légalement cette liste. Votre unique option légale est d’assumer que le pourcentage de population touchée vous impacte comparativement au nombre d’employés au sein de votre organisation. 

 

Mettez-vous dans la peau d’un de vos collaborateurs qui mécontent de s’être inscrit sur le site, l’a également utilisé dans le plus grand secret afin d’y assouvir quelques fantasmes inavoués à son couple. Il fait face, suite à la publication de ses données d’utilisateur du site Ashley Madison, à un cas d’extorsion qui lui demande, dans un premier temps, de l’argent : quelques centaines de dollars en bitcoin (qu’il s’empressera peut-être malheureusement de payer), mais ensuite, comme il est inscrit avec son adresse professionnelle, les malfrats lui exigent des données confidentielles auxquelles il a accès vu son poste mis en valeur sur Linkedin™. L’homme vient juste d’entrer en fonction en début d’année. Il souhaite refuser, mais les maîtres chanteurs l’assurent que révéler une telle utilisation contraire aux politiques de sécurité interne le fera sûrement démissionner, pire virer. L’homme aura peut-être, à tort, le penchant de la facilité. Impossible? N’oubliez pas, ils sont plusieurs milliers à avoir utilisé leur courriel professionnel… 

 

Mes recommandations mettez en place un service d’aide psychologique et juridique anonyme se chargeant des cas; communiquez largement en expliquant que malgré la confiance que l’organisation porte en ses employés, elle admet que les probabilités puissent jouer en sa défaveur et qu’à ce titre elle met en place un service d’aide anonyme pour que chaque employé impacté ne soit pas seul dans ce genre d’épreuve; rappelez que satisfaire les demandes d’un maître chanteur n’est pas synonyme de résolution, bien au contraire; rappelez l’aspect illégal de la consultation et de la divulgation de cette liste et prévoyez des sanctions pour ceux qui auront la mauvaise idée d’en parler en détail ou d’en faire usage. Enfin, ce cas est un risque majeur qui doit être géré au niveau exécutif, car il impacte potentiellement les actifs humains, informationnels et réputationnels critiques de l’organisation. 

 

J’aimerais vous rappeler enfin qu’en sécurité « l’épaisseur de la muraille vaut bien moins que la volonté de la défendre », ainsi, ici le cas est clair, aucun outil technologique ne peut vous prémunir d’une telle brèche de cybersécurité. Seuls la sensibilisation et l’accompagnement peuvent aider à trouver une issue.

À proposMentions Légales