Dossier d intelligence économique La protection Comment protéger votre patrimoine informationnel?
Qui sommes-nous? Cellie est la Cellule Intelligence Economique du Pôle Information Communication de l IAE de Poitiers. Composée de 14 étudiants, de Licence 3 Information Communication, de Master Stratégie et Management de la Communication et de Master Intelligence Economique et Communication Stratégique, Cellie a pour objectif de sensibiliser les entreprises aux enjeux de l Intelligence Economique. Cellie s articule autour de trois pôles : le pôle Web en charge du blog Cellie.fr, le pôle Veille au service de l image de l IAE de Poitiers, le pôle Pré-diagnostics qui a pour mission de démarcher les entreprises dans l optique de les sensibiliser à l intelligence économique. «L intelligence économique peut être définie comme l ensemble des actions coordonnées de recherche, de traitement et de distribution, en vue de son exploitation, de l information utile aux acteurs économiques. Ces diverses actions sont menées légalement avec toutes les garanties de protection nécessaires à la préservation du patrimoine de l entreprise, dans les meilleures conditions de délais et de coûts. L information utile est celle dont ont besoin les différents niveaux de décision de l entreprise ou de la collectivité, pour élaborer et mettre en œuvre de façon cohérente la stratégie et les tactiques nécessaires à l atteinte des objectifs définis par l entreprise dans le but d améliorer sa position dans son environnement concurrentiel. Ces actions, au sein de l entreprise, s ordonnent autour d un cycle ininterrompu, générateur d une vision partagée des objectifs de l entreprise». Rapport Martre (La Documentation Française, Paris, 1994) 1
Les membres de Cellie mettent alors leurs compétences à disposition des entreprises de la région Poitou-Charentes dans le but de leur fournir des conseils personnalisés et de les mettre en lien avec les différents professionnels du secteur. Dans cet objectif, l équipe du pôle pré-diagnostics se déplace dans les PME de la région en vue d évaluer leurs besoins dans ce domaine. Les missions du pôle pré-diagnostics sont axées autour de la veille, l influence et la protection. La veille est un dispositif organisé, intégré et finalisé de collecte, de traitement, de diffusion et d exploitation de l information. Elle est une clé pour comprendre son environnement et être le plus réactif face aux changements inhérents à l activité de l entreprise. La protection a pour but d assurer la pérennité de toutes organisations en préservant leur patrimoine physique, immatériel et humain. L influence est le moyen d amener un décideur à envisager une vision des choses plus favorable aux intérêts de l entreprise. C est l art du faire croire, faire savoir et du faire faire. 2
À Cellie, nous mettons à disposition des TPE et PME de la région Poitou-Charentes nos compétences et connaissances afin d effectuer un pré-diagnostic gratuit de leurs démarches d intelligence économique. Pour plus de renseignement, contactez-nous sur cellie.fr ou à l adresse contact@cellie.fr. Sommaire Qui sommes- nous?... 1 Lexique... 4 Définition... 5 Les enjeux de la protection... 5 a. Patrimoine matériel/physique... 5 b. Patrimoine immatériel... 6 c. Patrimoine humain... 6 Méthodes et outils... 7 a. A l accueil... 8 b. Lors de la visite/le séjour dans l entreprise... 9 c. Au téléphone... 9 d. Dans son entreprise... 10 e. Parking... 11 f. Le personnel de sécurité... 11 g. La sécurité informatique... 11 h. L Ingénierie Sociale... 12 A retenir... 13 Pour aller plus loin... 14 3
Lexique Attaque informationnelle : «Action visant soit à priver la victime de contrôle sur son système d information (p.e. l empêcher d utiliser ses télécommunications ou sa mémoire électronique), soit à se substituer à elle (p.e. obtenir des données confidentielles ou prendre les commandes d un système informationnel sans le consentement du propriétaire légitime), soit enfin à causer un dommage à un individu ou une organisation ou à s assurer une prédominance par des messages que l on répand (pour ses propres partisans : propagande, l adversaire : intoxication ou leurre, pour les alliées ou des neutres : désinformation, calomnie, )» 1. Guerre de l information : «Toute activité destinée à acquérir données et connaissances (et à en priver l adversaire) dans une finalité stratégique, soit en s attaquant à ses systèmes (vecteurs et moyens de traitement de l information), soit en jouant sur le contenu, en visant une domination informationnelle. Sous son aspect offensif : toute opération recourant à la rumeur, à la propagande, à un virus informatique qui corrompt ou détourne le flux des informations ou données d un adversaire qu il soit un État, une armée, une entité politique ou économique.» 2. Patrimoine immatériel : informations et connaissances possédées par une organisation Patrimoine matériel : constructions, meubles, appareils, objets d utilisation quotidienne, etc. Social engineering : le social engineering ou ingénierie sociale est un ensemble de méthodes et de techniques permettant au travers d'une approche relationnelle basée sur l'influence et la manipulation, d'obtenir l'accès à un système d'information ou à des informations confidentielles 3. 1 Source : http://www.infoguerre.fr/glossaire 2 Source : http://www.infoguerre.fr/glossaire 3 Source : http://www.christophe- casalegno.com/wp- content/uploads/2012/03/social_engineering.pdf 4
Définition Qu est-ce que la protection? Protéger, c est assurer la sécurité face à un danger ou à un risque qui pourrait nuire. La protection peut se mettre en place à travers différentes mesures pour défendre les personnes ou les biens. On peut également protéger des intérêts, ou mener des actions de protection pour favoriser un accroissement ou le progrès de quelque chose. Au niveau de l entreprise, la protection est nécessaire à la préservation de son patrimoine, c est-à-dire de ses brevets, ses marques, ses savoirs faire, son image, ses partenariats, la valeur de ses collaborateurs, son modèle d organisation, de développement, ses projets stratégiques, qui représentent une part importante de la valorisation de son actif. Les enjeux de la protection Pour être pérenne, toute organisation doit identifier ses vulnérabilités afin d anticiper les risques auxquels elle fait face. a. Patrimoine matériel/physique Outil de production dans l entreprise, le patrimoine matériel doit être protégé. Outre les coûts conséquents qu engendreraient dommages, vols ou sabotages, c est aussi un ralentissement voire un arrêt total de l activité qui pourrait en découler. De plus, une atteinte au patrimoine physique peut constituer une brèche dans la protection du patrimoine immatériel (accès aux lieux de stockage de documents, vol de matériel informatique). 5
b. Patrimoine immatériel L information aussi a une valeur, et bien qu elle soit difficilement calculable, toute perte, manipulation ou vol d informations affaiblira l entreprise et pourra compromettre son avenir. De la même manière que l on pense à protéger du vol et des dommages les biens matériels, il est important que l information aussi soit sécurisée de manière coordonnée au sein de l entreprise, afin de garantir son intégrité et sa confidentialité. Mais l information trouve aussi sa valeur dans son échange et son partage, en aidant à être plus efficace. Il faut donc garantir la disponibilité des ressources pour tous les acteurs qui en ont besoin au sein de l entreprise. La sécurité des données n est pas seulement la responsabilité du service de sécurité ou du service informatique de l'entreprise : elle a un caractère collectif. Chacun doit réaliser qu il est impliqué dans tout ce qui a trait à la sécurité de son entreprise. c. Patrimoine humain L humain est le cœur de l entreprise. Le patrimoine humain doit donc être replacé au centre de la stratégie de protection. Il s agit de préserver le capital intellectuel de l entreprise qui se traduit par l ensemble de la valeur ajoutée, mis en place par le savoirfaire des salariés de l entreprise, qui lui permet d être innovante et compétitive. Il est donc indispensable pour la survie de l entreprise de le protéger. Le patrimoine humain c est l ensemble des acteurs (employés, clients, fournisseurs, agents de nettoyage, stagiaires ). Il représente l ensemble des compétences humaines de l entreprise. Au niveau des Ressources Humaines, les compétences de chaque employé doivent être connues et valorisées, mais aussi conservées durablement. Les moyens mis en œuvre doivent refléter de manière objective les besoins qu ils comblent, la rareté ou le niveau de compétence qu ils représentent. Ce patrimoine peut également évoluer et grandir au travers de la formation continue, mais aussi dans le développement de la culture de l entreprise et de l attachement des salariés à leur entreprise. 6
Dans un second temps, on peut prendre en compte également l un des réseaux de l entreprise. Celui qui nous intéresse est le réseau humain, qui relie deux ou plusieurs personnes entre elles. Ces liaisons permettent ainsi aux individus de pouvoir travailler et d échanger ensemble. Carnet d adresses, amitiés relationnelles et professionnelles sont autant de richesses à préserver. Une intelligence collective peut être élaborée pour partager et préserver ce patrimoine. Au-delà de la protection, c est surtout la sensibilisation de ces acteurs à l importance de la protection du patrimoine de l entreprise qui rentre en compte dans notre champ d action. C est à partir de là qu on parle de protection du patrimoine humain. En effet, un collaborateur un peu trop bavard, un fournisseur trop volatile ou un visiteur trop curieux peuvent être la cause d une fuite d information stratégique pour l entreprise. Pour répondre à ce type de désagrément, l Intelligence Economique apporte de nombreuses solutions. Méthodes et outils C est la direction qui se doit de mettre en place les mesures nécessaires aussi bien en termes de politique intérieure, que de budget. Elle aura à faire un important travail de sensibilisation auprès du personnel de l entreprise. La protection se joue à tous les niveaux et doit impliquer toutes les personnes dans l entreprise. En commençant par identifier les zones sensibles, on définit les locaux nécessitant une protection. Une hiérarchisation des niveaux de confidentialité peut être envisagée, en fonction de la sensibilité des informations à protéger. A l inverse, il est inutile de protéger l ensemble des locaux si ce n est pas nécessaire. Il est également nécessaire d identifier les menaces, les adversaires de l entreprise. Que ce soit au niveau de la concurrence mais aussi de tous les acteurs potentiellement malveillants. Il peut s agir d un simple individu ou d un groupuscule organisé. L organisation de la protection débute dans tous les cas par la mise en place d une politique de formation, afin de créer une culture propre à l entreprise autours des enjeux liés à la protection. 7
a. A l accueil Identifier les visiteurs : - En demandant notamment des pièces officielles (carte d identité...), - Vérification de l identité de la personne en se posant les questions suivantes, - D où viennent-ils? Qui sont-ils? Qui visitent-ils et pour quoi? Au besoin, la visite peut se limiter à la projection de transparents dans une salle le de réunion. Ensuite, il est recommandé de confier temporairement un «badge visiteur» bien reconnaissable en contrepartie d une pièce d identité. De plus, il est préconisé d informer le service de sécurité et le personnel qui sera amené à interagir avec le visiteur. Il s agit de connaitre les objectifs et l itinéraire suivi par le visiteur afin de pouvoir le «garder à l œil» sans pour autant l oppresser. Certaines mesures doivent être prises comme interdire le port de matériel technologique tel que des appareils photos, clés USB et tout autre dispositif pouvant permettre de faire sortir une information du bâtiment. A moins que ce soit absolument nécessaire et autorisé par le service de sécurité. Liste des visiteurs : garder strictement privée la liste des visiteurs. Ne donner aucune information à ce sujet au visiteur. Bien que considéré à première vue comme un détail, les informations qui sont inscrites pourront prendre une valeur stratégique et être utilisé dans une attaque prochaine notamment de type «Social Engineering». Faire un registre qui répertorie les visites et leurs raisons permet aussi d avoir une meilleure vision de ce qui se passe dans l entreprise. Standard et protection de l information : éloigner le standard de la salle d attente afin qu aucune information ne puisse être acquise par un personnel non accrédité. Les risques sont les mêmes que pour la «liste visiteur». De plus, beaucoup d informations peuvent être communiquées au téléphone, dont certaines à caractères sensibles. 8
A la sortie de l entreprise : vérifier que le visiteur n ait rien subtilisé. Pour cela laisser le service de sécurité mettre en place ses procédures relatives à la fouille. b. Lors de la visite/le séjour dans l entreprise Éviter de laisser à la disposition des visiteurs des accès ouverts : ce n est pas parce que le visiteur a eu accès à l entreprise qu il a accès à tout le bâtiment. Ne pas non plus laisser de documents, ordinateurs, informations sensibles à disposition des visiteurs. Sélectionner les lieux : organiser des circuits spécifiques pour les visiteurs. Ne pas dévoiler les endroits stratégiques ou sensibles aux visiteurs n ayant pas un niveau d accréditation suffisant. Accompagnement : s assurer que les visiteurs restent toujours accompagnés. Pour ne pas offenser certains visiteurs importants ou privilégiés, s assurer de toujours savoir ce qu ils font, où et comment, en utilisant par exemple les caméras de surveillance. De même pour le personnel non permanent comme les stagiaires ou les intérimaires. Ceux-ci ne doivent pas avoir accès à certains lieux ou certaines informations du fait de leur faible temps de présence dans l entreprise. Comme pour les visiteurs il est nécessaire de savoir qui ils sont, une enquête préliminaire peut être effectuée. c. Au téléphone Le téléphone reste un moyen privilégié pour récolter de l information («social engineering»). Il est souvent difficile de vérifier les vraies motivations de l appelant qui peut être un vrai manipulateur. Le téléphone nécessite une protection bien particulière et une formation des employés tout aussi importante pour repérer de tels individus et apprendre à répondre en conséquence. 9
Un appel téléphonique a le plus souvent pour objectif d obtenir un renseignement ou un service. En tant qu entreprise, il est important de pouvoir répondre à la demande s il s agit d un client. En revanche, il est primordial d être prévenu des risques et techniques liés à l acquisition déloyale d informations stratégiques par téléphone. C est pourquoi, il est nécessaire d appliquer une procédure et être formé et sensibilisé aux risques qui y sont liés. d. Dans son entreprise Former les collaborateurs : un collaborateur formé aux risques et enjeux des informations sensibles, conscient et responsable ne sera pas une cible facile en termes de récolte d information pour un personnel étranger à l entreprise. De plus, c est en formant son personnel à la confidentialité que la culture du secret et de l entreprise nait. Ainsi, si tout le personnel est formé de la même manière à ce sujet, ils auront un sentiment d appartenance à un groupe et par conséquent à l entreprise. Ce qui les ancrera d avantage dans leur travail. Règlement intérieur : il doit être mis à jour régulièrement et doit avoir une présence toute particulière dans l entreprise. Il ne s agit pas d avoir simplement des règles à respecter. Ces règles doivent être appliquées et connues de tous les employés en y donnant une importance aussi forte que les informations à protéger. Il est important de mettre aussi en place une charte informatique et une autre pour les médias sociaux et la prise de parole sur ceux-ci. Comment se débarrasser de ses documents : aussi bien en termes de matériel informatique que de documents divers. Ne pas les jeter tel quel dans une corbeille ou à la poubelle. Privilégier la destruction. Bien qu un document ne soit pas 100% utilisable (matériel informatique détérioré) certaines données peuvent être récupérées. De plus, dans certains cas, les groupes font appel à des sociétés de nettoyage extérieures. Certains personnels de cette entreprise peuvent être sujets à communiquer des informations stratégiques retrouvées dans les corbeilles. Soit par intérêt, soit par indiscrétion. Dans le 10
pire des cas, sous couvert d être employé de maintenance, des employés concurrents peuvent être amené à faire de l espionnage industriel. En cas d absence : même très courte. Prendre l habitude de fermer son bureau et de protéger les informations sensibles. Ainsi, verrouiller téléphones et ordinateurs. Ne pas hésiter à prendre une sacoche pour transporter certaines informations avec soi. e. Parking Plus un groupe est important, plus il a besoin de personnel. Par conséquent, mettre à disposition un espace pour stocker les véhicules privés des employés est nécessaire. Ce lieu doit être sécurisé pour plusieurs raisons. D une part parce que le parking est le premier rempart entre l extérieur et le cœur de l entreprise. De plus, des personnes extérieures n ont pas à savoir à qui appartient un véhicule stationné dans l entreprise (bien qu ils puissent attendre à l extérieur). Cela permet aussi de faire un premier filtre et faire la différence entre visiteurs, employés, responsables, véhicules de fonctions. f. Le personnel de sécurité Il est évident que le personnel de sécurité est essentiel au dispositif de protection du bâtiment et de son patrimoine. Ils doivent être soumis aux mêmes règles de sécurité que les employés. Leur recrutement demande aussi une attention toute particulière. Le plus judicieux serait de recruter indépendamment des agents et de les former en fonction de la politique de l entreprise et de rattacher leurs prestations à celles de l entreprise. Sinon, il doit y avoir une réelle coordination et confiance entre l entreprise et le prestataire de service de sécurité. g. La sécurité informatique Les outils informatiques sont de plus en plus la cible d attaques. Cette recrudescence des attaques s explique en partie par le nombre croissant d outils disponibles sur Internet mais aussi à la valeur des informations stratégiques que l on peut obtenir. On voit se 11
constituer des groupes spécialisés dans le piratage, l acquisition de données, Le coût occasionné par des attaques informatiques ou la perte de matériel peut s élever à plusieurs milliers voir centaines de milliers d euros de dommages). La protection logicielle (anti-virus, pare-feu, logiciels à jour) mais aussi matériel (achat d antivol, chambres fortes) sont des aspects particulièrement importants. Ces protections doivent s accompagner de la formation du personnel aux enjeux de la sécurité informatique. De cette manière, on peut espérer se protéger de certaines dérives comme le mot de passe sous le clavier. En effet, l Humain est la source principale de vulnérabilité. On va se retrouver face à de multiples situations où l Humain va être utilisé pour récupérer des données utiles pour l attaquant. Pour cela, les attaquants utilisent l ingénierie sociale ou «social engineering» (SE). h. L Ingénierie Sociale Le social engineering commence à être pris en compte mais il reste encore difficile à cerner et de s en protéger. Ce n est pas du piratage informatique. On va pousser une personne à réaliser une action qui va nous permettre de prendre le contrôle ou de récupérer l information dont on a besoin. Menace protéiforme, le SE s utilise aussi bien sur Internet avec des pratiques comme le phishing, pour récupérer des données comme des logins/mots de passe, des tentatives d approches via les réseaux sociaux que via le téléphone. C est un moyen important pour récupérer de l information sur les cibles ou pour tenter de les désarçonner en prétextant l urgence et en utilisant des notions que la personne maitrise peu ou mal comme les virus informatique, elles vont alors être amenées à réaliser l action souhaitée par l attaquant comme le téléchargement d un fichier infecté. Enfin, une approche physique du SE est envisageable. L individu souhaite rentrer au sein de l entreprise pour voler de l information, poser du matériel d écoute, Il va pour cela usurper une identité qui lui permettra de rentrer dans l entreprise. 12
A retenir 1. La protection de l information évite les nuisances à l entreprise mais peut également amener au progrès si les intérêts de celle-ci sont protégés. 2. La protection de l information doit être anticipée et constante. Celle-ci ne doit pas répondre à un problème ponctuel. 3. Le patrimoine immatériel doit d autant plus être protégé que le patrimoine matériel et/ou physique. 4. Le patrimoine humain est le centre de la stratégie de protection. Il est indispensable à la survie de l entreprise mais représente l élément le plus important à protéger puisque celui-ci correspond à l ensemble des compétences de l entreprise. 5. Les acteurs de l entreprise doivent donc être sensibilisés à cette protection pour éviter au maximum les fuites. 6. La direction se doit de mettre en place différentes mesures pour améliorer la protection des informations au sein de l entreprise. 7. La protection de l information se réalise dans l entreprise mais se poursuite aussi, et surtout, en dehors. 13
Pour aller plus loin Bibliographie BAUMARD Philippe. Stratégie et surveillances des environnements concurrentiels. Paris: Masson, 1991 (disponible gratuitement en ligne : http://www.iaeaix.com/fileadmin/files/cerog/cv/baumard/pages/strategie_surveillance_1991.pdf) TOGNINI Franck, MONGIN Pierre, KILIAN Cathy. Petit Manuel d'intelligence Economique au quotidien : Comment collecter, analyser, diffuser et protéger son information, Paris : Dunod, 2007. ARPAGIAN Nicolas. La cybersécurité. Paris : Que sais-je?, 2010. IFRAH Laurence. L information et le renseignement par Internet. Paris : Que sais-je?, 2010. MOINET Nicolas, DESCHAMPS Christophe. La boite à outils de l intelligence économique. Paris : Dunod, 2011. JAKOBIAK François. L intelligence économique : Techniques & Outils. Paris : Eyrolles, 2009. MARCON Christian, MOINET Nicolas. L intelligence économique. Paris : Dunod, 2006. Vidéos Travail sur un lieu public et protection de l'information http://www.youtube.com/watch?v=qdgacqzk4q0 Intelligence économique : maîtriser l'information stratégique http://www.youtube.com/watch?v=mitwjdevcsw En ligne ALLOING Camille, ZIMMER Terry CHANTREL Flavien, RAFFESTIN Anne-Laure. Regards croisés sur la veille, 2011. http://www.slideshare.net/captainjob/ebook-regards-croiss-sur-la-veille 14
DESCHAMPS C. & ICOMTEC, Le livre blanc des méthodes d analyse appliquée à l Intelligence Economique : Intelligence Analysis, 2010 http://fr.scribd.com/doc/32727911/livre-blanc-intelligence-analysis ICOMTEC. Quels outils de veille pour demain? - 2011. http://icomtec.univpoitiers.fr/institut/sites/icomtec.institut/files/elfinder/fichiers/docs/quels-outils-deveille-pour-demain-icomtec-2012.pdf idetra. Intelligence économique : Un guide pour débutants et praticiens. 2003. http://www.madrimasd.org/queesmadrimasd/socios_europeos/descripcionproyectos/do cumentos/intelligence-economique-guide-integral.pdf JDEY Aref. E-réputation : Livre blanc. 2010. http://fr.slideshare.net/jdeyaref/ereputation-le-livre-blanc Références Portail de l Intelligence Economique : www.portail-ie.fr Blog de François-Bernard Huyghe : www.huyghe.fr Blog de Christophe Deschamps : www.outilsfroids.net Blog d Aref Jdey : www.demainlaveille.fr Blog de Camille Alloing : www.caddereputation.over-blog.com Blog de Frédéric Martinet : www.actulligence.com 15