Divulgation d'informations sensibles

Un article de IEpedia.

Jump to: navigation, search

Nous connaissons le prix, le coût d’une information à haute valeur ajoutée, mais nous ne sommes parfois pas en mesure d’en évaluer la dangerosité lorsqu’elle est utilisée contre nos propres projets. Nous touchons là à un des piliers de l’intelligence économique. L’information sensible, nous le savons, constitue la valeur ajoutée, la base même de la vie et surtout du développement de l’entreprise dans son environnement immédiat comme global. La nature de ces informations est diverse. Il peut s’agir de données techniques (brevets, plans, composés…) comme de procédés de fabrication ou encore d’informations liées à l’activité commerciale ou à l’organisation de la structure. La divulgation de l’information sensible, qu’elle soit destinée aux concurrents directs, au public, aux clients et parfois même à des gouvernements étrangers constitue une menace importante pour l’activité de l’entreprise et peut, dans certains cas, aboutir à la paralysie de son activité voir à son anéantissement. Ainsi, la menace de divulgation peut (et doit) être envisagée en interne comme en externe.


La menace interne.


Comme le souligne le Groupe IBM, dans une note de septembre 2006 ( ), la menace interne de divulgation est « souvent éclipsée par les attaques provenant de l’extérieur ». Sans sombrer dans la paranoïa, il est nécessaire d’envisager ce risque comme pouvant provenir de l’intérieur même de sa société. Malgré ce que le dirigeant peut croire, tout n’est pas aussi maîtrisé ni maîtrisable dans sa structure. Les accès qu’ils soient matériels (code de coffre, tiroirs) ou immatériels (accès au réseau informatique), les ressources à disposition, la connaissance de la structure, de ses modes opératoires, peuvent inciter n’importe quel collaborateur à capter et à divulguer des informations sensibles. Bien entendu, un tel comportement nécessitera une motivation et cette motivation n’est pas forcément liée à l’appât d’un gain financier. Une simple rancoeur, un conflit latent, une plaisanterie, un égo flatté par un concurrent, un discours idéologique contre l’activité de l’entreprise, une rumeur…Ces motivations sont aussi nombreuses qu’il existe de personnalités individuelles ou « groupale » (lien MISE) et c’est en ce sens que la menace interne paraît difficilement maîtrisable. Pour autant, des outils existent pour éviter ou, à tout le moins, réfréner de telles motivations. Nous aborderons cela au chapitre suivant.


La menace externe.


La divulgation d’informations sensibles en externe est encore plus dangereuse au sens où, justement, elle n’est pas (ou peu) visible par l’entreprise et qu’elle s’élabore le plus discrètement possible par les acteurs. Le but est d’obtenir un effet soit très violent et rapide (diffusion au grand public d’un procédé de fabrication, paralysie de l’activité par l’exploitation d’une faille informatique) soit un « effet » sur le long terme (perte d’un contrat important, défidélisation progressive de la clientèle, reconstitution d’un procédé de fabrication…). Évidemment, la menace externe peut être appuyée par des collaborateurs internes. Les acteurs externes utiliseront les failles qu’ils auront obtenu par une recherche active d’informations sensibles et auront eu aussi leur motivation.


Pour résumé, le risque de divulgation peut s’appréhender autour de quelques caractéristiques de bases, à savoir :


  • Il peut concerner différentes formes d’informations sensibles.
  • Il peut causer des dégâts à l’activité de l’entreprise parfois très importants.
  • Il peut s’appréhender en externe comme en interne
  • Il peut survenir de manière volontaire par une motivation quelconque propre à l’acteur

comme de manière involontaire par le fait d’une erreur souvient lié au manque de sensibilisation des acteurs de l’entreprise.

  • La divulgation peut viser un effet immédiat comme un effet sur le long terme.


Nous pensons qu’il est nécessaire de prendre conscience de l’existence concrète de ce risque. Cette prise de conscience mène à la question : Comment prévenir ce risque ?. Avant toute chose et comme dans toute démarche d’IE, l’audit est l’étape première à réaliser. Quelles sont les informations stratégiques de l’entreprise à préserver d’une divulgation ?, Qui a accès à ces informations ? Comment sont elles détenues ? Existent t'il des failles ?, Qui voudrait disposer de ces informations ? Quand peuvent elles présenter un danger potentiel pour l’activité ?…


La phase de questionnement passée, il sera plus facile d’envisager les actions adaptées à la prévention de ce risque de divulgation.


Quelques exemples d’actions (non exhaustif) :


En interne :


  • Sensibiliser l’ensemble du personnel sur l’importance du risque de divulgation et ses

conséquences pour l’entreprise.

  • Maîtriser les accès à l’information qualifiée de sensible. Qui peut ou doit en

disposer ? pendant combien de temps ou à quelle période ? Comment assurer la traçabilité de ces accès ? Comment en éviter les fuites ?

  • Protéger juridiquement le patrimoine informationnel sensible par des clauses de

confidentialité au contrat de travail, aux conventions de stage. Conclure des contrats de confidentialité avec les fournisseurs, sous traitant de l’entreprise.

  • Maîtriser les législations sur le propriété intellectuelle, l’accès aux données nominatives, le secret

industriel et commercial…


En externe :


  • Veiller aux comportements des acteurs externes qui pourraient êtres amenés à capter

l’information sensible de l’entreprise.

  • Considérer les situations qui pourraient couvrir une action d’espionnage

économique.

  • Définir les contenus et les accès en cas de visites de l’entreprise.
  • « Briefer » ses collaborateurs dans le cadre des actions externes telles que les salons,

congrès, séminaires.


Pour conclure, nous savons pertinemment qu’un risque, quel qu’il soit, n’est jamais contrôlable à 100 %…Les techniques de captation et de divulgation lorsqu’elles sont volontairement recherchées évoluent très vite et sont parfois très surprenantes. Dans de nombreux cas, on ne se rend compte de la situation que plusieurs mois plus tard…et là, il est souvent trop tard !


Pour autant, des moyens de prévention simples existent. Des moyens qui peuvent rapidement êtres mis en place pour peu que l’on ait conscience du risque. Car, répétons le une fois de plus, rien n’est impossible. Être trop confiant (ce genre de truc ne m’arrivera jamais !) ou encore fataliste (On n’y peut rien, c’est la loi du marché) est la première erreur à faire pour ouvrir la voie à ces pratiques. Une autre erreur consiste à « laisser couler » quand le mal est déjà fait, en pensant « que le temps y remédiera » et qu’on peut « s’en sortir tout seul comme un grand ». ces écueils ne feront qu’amplifier les prochaines menaces.

Retirons donc trois pistes générales pour cette thématique (et comme pour chaque risque existant d’ailleurs)

  • Être conscient que ce risque existe et tenter de l’anticiper.
  • Mettre en place un système adapté et adaptable pour prévenir sa survenance.
  • En cas de situation de captation ou de divulgation, s’entourer de personnes clefs

(Gendarmerie, DCRI, Trésorerie…) pour mettre à jour le problème et réagir avant que les dégâts ne soient trop importants.


REFERENCES :

1 – Groupe IBM - « Sécurité et protection des données sensibles » - « Mettre fin aux attaques internes : comment protéger les informations sensibles de l’entreprise » - Note 2006.

2 - Méthodes de l'espionnage économique: http://www.csis-scrs.gc.ca/prrts/spng/mthds-fra.asp

3 - Sensibilisation du personnel à la protection des informations sensibles: http://www.ie.bercy.gouv.fr

4 – « Comment sécuriser l'information de l'entreprise » - ARIST, Paris IE – 2009: http://www.entreprises.ccip.fr

(Liste non exhaustive)

Récupérée de « http://www.wikie.fr/index.php/Divulgation_d%27informations_sensibles »