... un buraliste indélicat. « Ce joueur répétait la même combinaison de chiffres chaque semaine. J'ai pu retrouver les transactions correspondantes, et détecter qu'elles étaient passées à des moments réguliers (le lundi entre 9 et 10 heures) et qu'elles pouvaient être passées depuis deux bureaux différents sur Paris, explique Jean-Jacques Riera. A l'heure dite, la police campait devant les deux bureaux, et lorsque le joueur repassa ses chiffres fétiches, en temps réel le RSSI en a averti la police pour qu'elle apprenne à ce joueur qu'il était millionnaire.
Accessoirement, le RSSI a pu confirmer la manière dont le buraliste avait procédé afin de dérober les tickets gagnants et l'intense confusion dans laquelle il se trouvait, probablement sous l'effet de l'émotion de s'emparer de plusieurs millions d'euros. Le buraliste en effet avait fait vérifier plusieurs fois (ce qui était inutile) par son terminal une série de tickets dont il savait déjà qu'ils étaient perdants, afin de faire croire au vrai gagnant que ses tickets ne rapportaient rien, effectuant ainsi des transactions renvoyant des messages d'erreur. De plus, ces tickets ne généraient pas d'alerte sonore du terminal au contraire des tickets gagnants passés juste avant. Le signal sonore n'avait toutefois pas suffit à éveiller l'attention du vrai gagnant, probablement très tête en l'air.

Informer le salarié au préalable
Reconstituer des consultations sur des données ou l'historique de transactions s'avère indispensable, en particulier pour ce qui concerne les banques. Plus globalement, un chef d'entreprise peut se voir demander de coopérer avec les autorités. La traçabilité intervient alors dans le cadre d'une collecte de preuves à présenter devant un juge. Les informations doivent être recueillies de façon loyale et légale, d'où un certain nombre de contraintes. « La CNIL ne bloque pas la traçabilité, cette traçabilité doit répondre à un besoin de proportionnalité. De plus, elle doit faire l'objet d'une information préalable, selon le droit du travail, Il ne faut pas générer des traces hors finalité légales, prévient Paul Olivier Gibert, responsable de la conformité à la mutuelle AG2R La Mondiale. Il doit donc y avoir une transparence vis-à-vis du salarié. Eric Caprioli, avocat spécialisé, indique pour sa part, que dans le cadre de la LCEN (Loi pour la Confiance dans l'économie numérique), il y a obligation d'authentification d'une personne à l'origine d'un message. La BNP, par exemple, avait été condamnée pour non identification du salarié recherché.

Une analyse des traces
qui tient compte des métiers
Une démarche de traçabilité avancée est celle de la Banque Postale, décrite par Antoine Ancel, chef de mission sécurité de la banque. « On veut savoir qui a accès à quoi, qui fait quoi et qui lui a donné ce droit, décrit-il. Il poursuit : « Le régulateur nous impose le suivi des opérateurs, de garantir la confidentialité de nos trente millions de clients. Par exemple, comment garantir à nos propres managers de haut niveau, que le conseiller financier au guichet ne va pas regarder leur compte ? ». Pour ce chef de mission, on arrive alors dans une analyse qui relève du métier. « Il nous faut tracer, analyser et investiguer, si le conseiller financier qui observe le compte est à 500 kms du lieu d'habitation du manager, il y a un risque d'abus, à moins que le manager dont le compte est observé ne se trouve en fait en vacances dans la région, illustre-t-il.

. Web-profils.com, la place de marché du conseil et de l'ingénierie