Quand la sécurité échappe à l'entreprise

Transcription

1 Série Publications Numériques Quand la sécurité échappe à l'entreprise Juin par le Colonel Philippe Davadie Saint-Cyrien, breveté de l'enseignement militaire supérieur, le colonel Davadie est actuellement cadre professeur au Centre d'enseignement Supérieur de la Gendarmerie de Melun. À ce titre, il organise et conduit des stages de formation continue des officiers de Gendarmerie. En intelligence économique, ses travaux portent sur la sécurité de l'informatique de production et l'action des forces de l'ordre en appui des entreprises.

2 Résumé La mondialisation entraîne, de la part de chaque entreprise, un regain d'intérêt pour sa sécurité, car l'élargissement de sa zone d'action a pour corollaire l'augmentation du nombre de ses concurrents potentiels. Pour y répondre, de plus en plus d'entreprises ont défini une politique interne de sécurité et se sont dotées d'un directeur de la sûreté ou de la sécurité afin de protéger leurs savoirs et savoir-faire. Cependant, la pluralité des personnes invitées à entrer dans les locaux de l'entreprise (livreurs, réparateurs, collaborateurs) ou à connaître ses éléments confidentiels (banquiers, assureurs, traducteurs, consultants) amène à se demander si la sécurité de l'entreprise relève uniquement de sa propre responsabilité, ou si elle n'est pas devenue une responsabilité partagée. Il deviendrait alors indispensable que l'entreprise étende le champ d'application de sa politique de sécurité à ses collaborateurs, même occasionnels, et s'assure que ces derniers s'engagent, avec elle, à préserver ce qui la rend concurrentielle.

3 À cause de la mondialisation et d'une concurrence exacerbée, l'entreprise accorde un intérêt de plus en plus grand à sa sécurité, afin de protéger ses secrets (de fabrique, industriels, de recherche et développement, etc.), et de conserver un avantage sur ses concurrents. D'où la définition d'une politique interne de sécurité, l'élaboration de consignes, leur diffusion à tout le personnel et enfin le contrôle régulier de leur application. De plus, afin de protéger ce qui est vital pour l'entreprise, la direction définit des critères de sensibilité, qui ne peuvent cependant se suffire à eux-mêmes. Car s'il est indispensable, pour protéger efficacement un élément sensible (information, savoir-faire, etc.) de l'identifier comme tel, il faut également veiller à ce que chaque personne qui y a accès le sache, soit persuadée de sa sensibilité et le traite en conséquence. Et c'est très vraisemblablement là que l'on touche le nœud du problème. Comment faire partager à tous les employés une culture commune, si ce n'est du secret, au moins de la protection? Allons plus loin, comment s'assurer que les personnes étrangères à l'entreprise, et qui ont accès à ces secrets, la partagent aussi? Évoquer les extérieurs à l'entreprise n'est pas si incongru que cela puisse paraître, car les consultants aident à définir sa stratégie, les assureurs savent ce qui lui semble le plus précieux et les experts-comptables connaissent exactement ses comptes. Dès lors, quand bien même la politique interne de sécurité serait pertinente et l'application des consignes rigoureuse, la divulgation de facto de ces secrets à ces personnes n'engendre-t-elle pas un risque de fuite? Par leur simple travail, ne font-elles pas courir un risque à l'entreprise dans la mesure où les impératifs de sécurité varient d'une société à l'autre?

4 Assurer efficacement la sécurité de l'entreprise nécessite donc, une fois les éléments sensibles et secrets définis par la direction, d'identifier leurs dépositaires, d'envisager les failles de sécurité qu'ils peuvent occasionner et enfin de préparer des parades à ces vulnérabilités. Élaborer un processus de définition du secret est un des gages de sa préservation. Si la direction ne peut évidemment être la seule à le définir, car tous ses membres ne peuvent être - notamment- des experts en R&D, c'est elle qui doit avaliser toutes les décisions prises en ce sens afin que la politique de confidentialité soit cohérente. De plus, la durée de vie du secret doit être fixée afin que les mesures de sécurité adoptées reflètent la nécessité et non l'habitude. En effet, les projets et idées doivent d'abord être critiqués pour vérifier leur réalisme et leur adaptation aux besoins des clients puis être traduits en produits qui, une fois testés et commercialisés, seront analysés par les concurrents et perdront leur caractère secret 1 ; les bilans comptables doivent être transmis aux commissaires aux comptes qui en attestent la sincérité ; le plan de financement est su du banquier ; la stratégie peut être analysée par des consultants ; la sensibilité des locaux doit être connue par la société assurant la sécurité des accès. Paradoxalement, ce qui devrait être conservé dans le saint des saints de l'entreprise est livré à un nombre important d'étrangers, le secret perd une partie de sa confidentialité au fur et à mesure de son développement, et on constate que chaque patrimoine de l'entreprise (matériel, immatériel et humain) contient des éléments dignes d'une grande protection ou, pour le moins, d'une grande attention. Prototypes et avant-projets sont les premiers éléments qui viennent à l'esprit lorsqu'on cherche les éléments secrets du patrimoine matériel. Mais les locaux de R&D, ceux où sont réalisés les produits innovants et certaines machines-outils peuvent aussi être considérés comme tels, leur divulgation étant de nature à nuire aux performances de l'entreprise. De même, la pose de micros ou caméras discrets dans les bureaux et salles de réunion où s'élabore sa 1 La perte du caractère secret du produit ne le rend pas librement reproductible : les actions en justice pour contrefaçon le prouvent.

5 stratégie lui serait préjudiciable. Concernant le patrimoine immatériel, les politiques (R&D, recherche de nouveaux marchés, recrutement, etc.) et son plan de financement sont des éléments qui doivent demeurer confidentiels tant qu'ils n'ont pas été mis à exécution. Le patrimoine humain est aussi concerné par le secret, bien que ses modalités de mise en pratique diffèrent. S'il est hors de question de mettre au secret ses collaborateurs les plus précieux 2 pour qu'ils ne passent à la concurrence, une politique suffisamment attractive de gestion du personnel doit être déployée pour les conserver dans l'entreprise afin que, mettant en œuvre leurs talents, ils la fassent prospérer. Une fois ces secrets définis, il devient alors plus facile de voir qui y a accès et s'en trouve de fait dépositaire. Dans les locaux, même confidentiels, de l'entreprise, passe un grand nombre de personnes. L'entreprise ne pouvant vivre dans une tour d'ivoire, ses employés échangent avec ceux d'autres sociétés (partenaires, sous ou co-traitants) et les invitent dans leurs lieux de travail. Accèdent également aux locaux sensibles les visiteurs (définir des circuits de notoriété est utile), les livreurs, les employés des sociétés de maintenance 3, ainsi que ceux des sociétés de nettoyage et de gardiennage, ces deux dernières catégories de personnes y ayant souvent accès lorsque plus personne ne s'y trouve. Enfin, les sociétés de transport se voient confier les produits réalisés pour les amener sur les lieux de vente. Cette opération d'apparence anodine est particulièrement sensible lorsque le produit commercialisé est innovant. 2 Par leur savoir ou savoir-faire. 3 En fonction de la sensibilité des lieux, il est pertinent de se demander si ces personnes doivent pouvoir y pénétrer, ou s'il n'est pas plus judicieux de déplacer la machine à réparer à l'entrée des locaux sensibles et de laisser à ce même emplacement les produits devant être livrés (ou emportés). Mais pour qu'elles soient réalisées, ces opérations doivent être physiquement possibles.

6 Accéder au patrimoine humain sensible de l'entreprise semble plus facile du fait de l'actuelle grande liberté de mouvement. Et il serait illusoire de croire que la récupération de secrets, ou sa tentative, ne s'effectue que lorsque les employés sont sur leur lieu de travail. Elle pourrait bien être plus aisée quand, ayant quitté l'entreprise, ils se sentent moins concernés par les mesures de sécurité et ont alors tendance à baisser leur garde. Les rencontres professionnelles ne doivent pas être passées sous silence. Lors de ces salons, congrès, foire-expositions, etc. les collaborateurs clés de l'entreprise peuvent être approchés par des concurrents et, mis en confiance, trop s'épancher. Si l'accès à ces personnes n'est pas une condition suffisante pour leur faire avouer les secrets en leur possession, il n'en demeure pas moins une éventualité à prendre en compte. Par sa nature, le patrimoine immatériel de l'entreprise semble plus difficile à définir, et l'inventaire de ceux qui en sont dépositaires ne va pas de soi. Outre les idées et projets que l'on peut trouver tant sous forme matérielle (sur un support physique) qu'immatérielle (quand elles sont évoquées lors d'une conversation), les comptes et plans de financement de l'entreprise le constituent aussi. Une partie des employés de l'entreprise y a accès, comme de nombreux extérieurs : si banquiers et experts-comptables connaissent dans le détail le financement et les comptes de l'entreprise (donc ses éventuelles fragilités) et les assureurs son patrimoine et sa sensibilité, que dire des traducteurs et consultants qui ont accès à sa politique présente et future? La définition du secret est nécessaire, mais pas suffisante, car aucune entreprise n'est un coffre-fort. La classification des informations et des locaux ne peut suffire à préserver le secret, d'autant plus que celle-ci n'a de force contraignante que pour ses employés 4. La diversité des éléments à protéger (ou sur lesquels veiller), conjuguée à la multiplicité des personnes concernées par l'application des règles de sécurité font que, d'une certaine manière, l'entreprise n'a plus la main sur sa sécurité. La divulgation d'un secret étant toujours le résultat d'une action humaine, volontaire ou pas, il importe de passer au crible de la confiance tous ceux qui y ont accès. Les failles prolifèrent, et la méconnaissance des actes malveillants est parfois davantage due à l'absence de publicité qu'à l'inexistence des faits. 4 Les textes en cours d'élaboration sur le «confidentiel entreprise» devraient permettre de clarifier la situation.

7 Les exemples relatifs à la sécurité du patrimoine physique abondent, vraisemblablement parce que ce sont ceux auxquels tout le monde pense d'emblée et qui sont le plus médiatisés : qu'est-il de plus marquant pour l'opinion qu'une intrusion dans un site protégé 5? Sans exagérer les menaces, les dégâts peuvent être considérables sur la confiance accordée aux employés des sociétés de sécurité (qui ont accès à toutes les zones sensibles de l'entreprise), et que faire lorsqu'un prestataire de service auquel il a fallu confier les plans et les clés de toutes les portes d'une emprise égare la mallette les contenant? Récemment, les plans du futur siège du BND 6 allemand auraient été volés, semant émoi et consternation outre-rhin. Le patrimoine immatériel est tout autant menacé, car volatil par nature, il est souvent très vulnérable : s'il ne viendrait à l'idée de personne de remettre les clés de l'entreprise à un inconnu, les paroles imprudentes sont irrattrapables, et les foires, salons, congrès, voire les transports en commun sont propices à la récolte d'informations devant rester confidentielles. L'informatique est un cas d'espèce à elle seule. La télémaintenance se développe de plus en plus 7, et le cloud computing serait le nec plus ultra pour les PME ne disposant pas d'un service informatique assez étoffé pour assurer toutes les fonctions nécessaires à l'entreprise. Or celle qui y recourt prend le risque que ses concurrents fassent appel au même prestataire et que le même employé s'occupe d'entreprises concurrentes. La tentation de lui demander une toute petite indiscrétion ne peut être occultée. Et quel degré de protection contre les intrusions physiques et logiques ce prestataire assure-t-il? La justice peut, à son corps défendant, représenter une menace pour l'entreprise, quand bien même celle-ci serait dans son bon droit : il est d'usage de déclarer que la procédure anglo-saxonne est une menace pour nos entreprises qui doivent fournir nombre de pièces au dossier, car y accédant librement, la partie adverse peut ainsi combler son retard. 5 Une centrale nucléaire, par exemple. 6 Bundesnachrichtendienst, service de renseignement. 7 Pour ce cas particulier cf. Ph Davadie R2IE, publications numériques La télémaintenance, faille de sécurité permanente? Disponible sur

8 Mais la nôtre n'est pas exempte de failles exploitables par des concurrents aux aguets. Dans une récente affaire de tentative de vente de secrets industriels à un concurrent, le malfaiteur n'a été que faiblement sanctionné, car une peine plus lourde aurait nécessité que la victime livre des secrets de fabrique. Ses responsables ont estimé que le jeu n'en valait pas la chandelle, les débats étant publics et la discrétion de toutes les parties prenantes au procès n'étant pas assurée. Quant au patrimoine humain, si les faux entretiens d'embauches sont reconnus comme une pratique possible pour obtenir des informations à jour, la nécessaire discrétion des échanges professionnels dans les lieux publics reste perfectible. En discutant de leurs missions entre eux, parfois en public, les consultants peuvent être des failles, mais ils ne sont pas les seuls. Fournir aux stagiaires et intérimaires un accès complet aux ressources informatiques, au motif que la gestion individuelle est fastidieuse, et laisser leurs comptes actifs après leur départ est risqué. Face à ce constat de grande vulnérabilité de chaque patrimoine de l'entreprise, laquelle ne peut même pas compter sur la loyauté de tous ses employés 8, il convient de se demander si elle dispose des moyens pour se protéger efficacement. Avant toute action de sécurisation, il faut prendre conscience de la menace et sensibiliser chaque employé à la sécurité. S'il faut éviter la paranoïa, il serait tout autant déraisonnable de minimiser les menaces et de croire que l'inventaire exposé supra n'est destiné qu'à faire peur. Car comment développer parmi les salariés des attitudes de prudence ou de réserve si on estime que la menace est inexistante ou exagérée? Il va de soi que la sensibilisation à la sécurité et à la confidentialité doit viser chaque employé sans exclure les dirigeants. Cela peut entraîner une révolution culturelle, mais des dirigeants sensibilisés à la sécurité sont plus difficiles à manipuler que des novices en la matière. Et ils pourront d'autant plus exiger que tous leurs employés soient sensibilisés et mettent en œuvre les règles et mesures de sécurité adoptées par l'entreprise qu'eux-mêmes les 8 Selon un sondage réalisé par CyberArk en 2008 auprès de 600 employés anglais, hollandais et américains, 25% des employés anglais, 52% des américains et 31% des hollandais pourraient quitter leur entreprises avec des données confidentielles s'ils en avaient la possibilité. In A Asseman et B Dupont, «le vol interne d'informations : modéliser et mesurer les facteurs de risque», Sécurité et Stratégie, No 5, p. 5-17, mars juin 2011.

9 appliquent 9. Cette sensibilisation effectuée, il faut classifier les informations, documents et locaux, afin d'en restreindre l'accès aux seules personnes qui en ont effectivement besoin, ce qui limite les risques de diffusion accidentelle. Pour cela, nul besoin d'une échelle complexe, trois niveaux de classification suffisent 10. En complément, des mesures purement matérielles peuvent être prises pour restreindre l'accès aux informations sensibles : la limitation des accès physiques et la particularisation des documents. Vue la large gamme de moyens de protection physique des locaux, la limitation des accès à certaines zones de l'entreprise peut aisément s'effectuer : des badges permettant l'accès à tout ou partie des locaux peuvent être fournis à chaque employé, en les couplant à des systèmes d'enregistrement pour s'assurer a posteriori de l'identité des personnes qui y ont accédé. La particularisation des documents est une piste à explorer, car elle permet de les identifier rapidement, en réservant un type de papier (format, couleur, etc.) pour les impressions et copies des documents classifiés. Cela n'annule pas le risque que des copies soient faites sur du papier d'usage courant pour les sortir en toute discrétion, mais ne disposer que du papier d'une certaine couleur dans les imprimantes et les photocopieuses des locaux à accès réglementé limite les risques de fuite. De plus, particulariser les différents exemplaires d'un même document (en modifiant quelques tournures de phrase sans en altérer le sens) permet de déceler l'origine de la fuite lorsqu'on a mis la main sur le document divulgué. Dans la mesure où, de plus en plus, les photocopieuses et les imprimantes se fondent pour ne former qu'une seule machine, cette fusion soulève la question de la protection et de la segmentation des réseaux informatiques. On se reportera pour cela utilement au document Afnor cité supra qui liste les précautions à prendre lorsqu'on manipule, par des moyens électroniques, des données confidentielles. 9 On peut, pour cela, se référer à la chanson populaire Le soldat belge. 10 Cf. à ce sujet le référentiel Afnor de bonnes pratiques Sécurité des informations stratégiques Qualité de la confiance. Août 2002, référence BP Z

10 La sécurisation du patrimoine humain semble être l'opération la plus difficile à mener, car elle nous confronte à la liberté individuelle de la personne à laquelle on s'adresse. La prudence ne s'apprenant pas seulement par la contrainte, l'exercice peut rapidement s'avérer délicat. La sensibilisation des personnes à la sécurité et ses exigences est un exercice de longue haleine, qu'il faut mener avec pédagogie et patience, même si la situation peut paraître urgente. Elle peut être d'autant plus difficile que le personnel auquel on s'adresse peut ne pas appartenir à l'entreprise, mais à une société sous ou co-traitante, voire être des consultants menant une mission temporaire et dont la culture d'entreprise diffère de celle au profit de laquelle ils travaillent. Et pourtant, les exemples ne manquent pas pour illustrer les menaces qui pèsent sur ce patrimoine de l'entreprise. Malgré cela, la difficulté persiste, car chacun est persuadé que les faits passés ne peuvent lui arriver et qu'ils ne concernent que des personnes peu attentives. Patience et persuasion semblent seules pouvoir obtenir des résultats dans ce domaine particulièrement sensible. Mais la protection des employés de l'entreprise ne s'arrête pas à leur sensibilisation. Pour qu'ils développent une loyauté forte envers leur entreprise et ne passent pas à la concurrence avec armes et bagages, il faut leur offrir un environnement de travail le plus sécurisé possible afin qu'ils estiment avoir plus à perdre qu'à gagner en le quittant. Il faut aussi être suffisamment proche d'eux pour créer et entretenir la confiance, afin qu'en cas de problème ou de difficulté ils soient amenés à en parler le plus vite possible, car un problème pris dès sa naissance se résout plus vite qu'après avoir pris de l'ampleur. La difficulté est encore plus grande si on décide non seulement de sensibiliser les personnes qui travaillent pour l'entreprise sans en faire partie (sous-traitants, co-traitants, consultants, etc.), mais aussi de leur faire adopter une posture de sécurité la plus proche possible de celle de l'entreprise. Car comment concilier les impératifs de l'entreprise avec ceux de leur société d'appartenance sans tomber dans un consensus mou? Toutes ces mesures doivent être prolongées par une sécurisation juridique des liens

11 entre l'entreprise, ses employés et ses partenaires. Proposer à ceux-ci des contrats d'exclusivité les rendrait totalement dépendants de l'entreprise qui s'exposerait à un refus. De plus, ce type de contrat est inenvisageable avec certains partenaires (banques, consultants, sociétés de sécurité privée). Pour tous, des clauses de confidentialité et de non-concurrence sont nécessaires, même si leur étendue dans l'espace est limitée. Première responsable de sa sécurité par la définition et l'adoption d'une politique claire et efficace traduite notamment par des consignes expliquées, diffusées et contrôlées, l'entreprise voit sa sécurité lui échapper partiellement parce qu'elle expose à des prestataires extérieurs ses vulnérabilités, ce qui soulève plusieurs questions. Celle de la confiance qu'elle accorde à chacun se pose d'une façon particulièrement aigüe : est-ce une confiance par défaut (car personne d'autre n'a répondu à l'appel d'offres), d'habitude (pour l'instant, aucun problème n'a eu lieu, donc cela devrait durer) ou une confiance éprouvée? Celle de la gestion de la confidentialité des données et informations qu'ils vont recueillir. Si les cultures d'entreprise et les politiques de confidentialité sont très différentes les unes des autres, laquelle prévaudra? Question d'apparence anodine mais pouvant rapidement mener à un conflit de pouvoir : quelle société imposera ses vues à l'autre? Enfin, dans le cas où des indiscrétions auraient lieu, l'entreprise lésée devra faire face à deux problèmes de nature distincte, mais liés. Le premier sera de prouver que ces indiscrétions viennent de fautes d'application des consignes de sécurité par ses partenaires, qui devront leur avoir été exposées auparavant, et qu'un préjudice peut s'ensuivre ou s'en est suivi. Le second sera d'obtenir des réparations à hauteur du préjudice car, si on peut aisément évaluer la valeur vénale d'un objet volé, comment évaluer celle due à la perte ou la divulgation d'une donnée confidentielle? Vaste domaine dépassant les frontières de l'entreprise, la sécurité est le résultat des efforts de chaque collaborateur, même occasionnel, de l'entreprise. Le défi de la direction est de prendre en compte ce périmètre élargi afin de continuer d'avoir un niveau de sécurité adapté à ses prétentions.

12 Bibliographie Afnor, Référentiel de bonnes pratiques Sécurité des informations stratégiques Qualité de la confiance, août 2002, référence BP Z Asseman A et Dupont B, «le vol interne d'informations : modéliser et mesurer les facteurs de risque», Sécurité et Stratégie, n 5, mars juin Baharifar K, «Typologie des menaces et solutions de protection pour les entreprises françaises en Irak», Sécurité et Stratégie n 7, octobre Belleface A, «La sûreté au défi de la communication», Livre blanc du CDSE, Paris, décembre Chelgoum N, «La lutte contre la fraude», Livre blanc du CDSE, Paris, décembre Davadie Ph, «La télémaintenance, faille de sécurité permanente?» Série Publications Numériques, revue-r2ie.com, décembre Disponible sur Denécé É, «Les entreprises confrontées aux nouveaux risques liés à la sûreté.» Disponible sur Ghernaouti-Hélie S, «Menaces, confllits dans le cyberespace et cyberpouvoir», Sécurité et Stratégie n 7, octobre Mathon C, «Intelligence économique, secret des affaires et formation des magistrats», l'ena hors les murs n 416, novembre 2011