La protection des informations est aujourd’hui devenue un sujet sensible pour toute entreprise. Avec le développement des moyens de communication modernes et la prolifération des échanges de toute nature, les données détenues par l’organisation doivent faire l’objet d’une attention renforcée. Alors, quelles types d’informations cela concerne t-il ? Comment les détracteurs de l’entreprise exploitent-ils les failles de sûreté ? Et comment sécuriser ce que la société produit ou émet ? On vous partage quelques trucs et astuces.

Se protéger : pourquoi ? pour quoi ? pour qui ?

Un pan méconnu de l’intelligence économique concerne tous les aspects liés à la protection de l’information. En effet, processus de veille engagé ou non, toute entreprise est à même de collecter, rédiger, traiter et communiquer des données. Et ce, en interne, comme à l’extérieur. Or, ces contenus sont parfois mal maîtrisés, et représentent ainsi une menace à court comme à long terme.

Par ailleurs, il serait illusoire de croire que la protection de l’information en entreprise ne regarde que les données sensibles. En d’autres termes, sécuriser ses données, ce n’est pas seulement mettre à l’abri ses renseignements financiers (investissements, marges, etc.), économiques (parts de marché, chiffre d’affaires, etc.) ou stratégiques (lancements, acquisitions, etc.).
La protection de l’information porte également sur toute indication utile et pertinente relative à l’activité de l’entreprise (fiches techniques, cotations, arguments de vente, etc.). Les informations surveillées dans le cadre de sa veille doivent aussi être protégées. Même s’il s’agit d’informations blanches, c’est-à-dire d’informations disponibles en libre accès sur Internet, savoir ce que l’entreprise suit peut déjà en dire long et révéler une partie de sa stratégie.

Enfin, se protéger ne se limite pas à contrôler les informations gérées par l’entreprise elle-même, et pour elle-même. D’autres informations peuvent être gérées par l’entreprise pour le compte de tiers (partenaires commerciaux, fournisseurs, distributeurs, etc.), et par des tiers pour le compte de l’entreprise. La protection des données intervient donc dans un périmètre plus large que celui réservé à l’organisation propre.

L’information : une mine d’or pour vos détracteurs

L’information, c’est le pouvoir ? En tout cas, obtenir une information, capitale ou non, apporte des possibilités d’actions à son détenteur.

Toute entreprise peut un jour rechercher des informations stratégiques au sujet de ses concurrents, mais l’inverse est également vrai, et chaque organisation peut alors devenir une cible. Il apparaît donc nécessaire d’identifier les différentes menaces probables. Celles-ci peuvent être liées :

• A des actions illicites destinées à exploiter des failles de la politique de sûreté de la société. Exemples les plus fréquents : les vols, les piratages informatiques, ou, plus récemment, les ransomware (prise en otage de données stratégiques d’une entreprise en échange d’une rançon)
• A des campagnes de désinformation. Elles sont généralement vouées à nuire à l’image ou à la réputation de l’entreprise. Elles peuvent naître de rumeurs ou de propos intentionnellement malveillants.
• A un manque de prudence de l’entreprise et de ses collaborateurs. L’absence de surveillance de documents, les déplacements professionnels, la prise de parole publique, le bavardage dans un lieu fréquenté, etc., sont autant d’opportunités de surprendre ou d’obtenir des informations qui ne nous sont pas réservées à l’origine.

Que mettre en place pour sécuriser les informations de l’entreprise ?

De fait, identifier la source des menaces permet de combler les brèches existantes et d’instaurer les correctifs appropriés en conséquence.

• Au sein de l’entreprise d’abord :
  • Les informations “communes”
    • Sensibiliser et responsabiliser les collaborateurs à la sécurité des données (enjeux, conséquences, menaces, etc.).
    • Repenser le cycle de vie et la traçabilité de l’information en rédigeant des procédures pour chaque étape (acquisition, diffusion, conservation, destruction).
    • Encadrer les stagiaires, notamment par rapport à leurs rapports de stage pouvant contenir des informations confidentielles.
  • Les informations dites « sensibles »
    • Inventorier et trier les informations sensibles. Ensuite, lister les personnes pouvant accéder aux différents classements de l’information.
    • Être vigilant et attentif par rapport aux origines et aux conditions de stockage de l’information sensible : chiffrement des données, clauses de confidentialité, etc.
  • Les innovations
    • Protéger ses innovations auprès de l’Institut National de la Propriété Industrielle (dépôt de brevets, dessins et modèles industriels, éléments de recherche et développement, enveloppe Soleau, etc.).
  • Les locaux
    • Sécuriser les accès à l’entreprise (code, badges, biométrie, registre des visites, consignes pour les téléphones portables des visiteurs, etc.)
    • Restreindre l’accès à certaines zones (salle des serveurs, bureaux du PDG, Directeur juridique, R&D, etc.)
    • Encadrer la navigation sur internet en interne en utilisant un compte administrateur
    • Si l’installation d’un quelconque matériel doit être effectuée au domicile personnel, le faire protéger par des moyens techniques efficaces, sélectionner et faire valider l’installateur par l’entreprise.

• Au niveau individuel enfin :
  • L’attitude :
    • Être discret, faire attention à ses propos, surtout dans les lieux publics.
    • Maîtriser sa communication quotidienne (même par réseaux sociaux et dans les e-mails personnels).
    • Rester prudent lorsqu’une personne vient vous aborder. C’est une technique toujours très utilisée pour manipuler et obtenir quelque chose de manière volontaire ou involontaire.
  • Le matériel :
    • Désactiver le Wi-Fi et le Bluetooth sur son téléphone portable professionnel lors de la visite d’un salon professionnel.
    • Mettre en place des codes de sécurité complexes et modifiés régulièrement (ne jamais laisser la session de son ordinateur professionnel/personnel ouverte).
    • Stocker le minimum de données nécessaires sur un ordinateur portable neuf.
    • Ne pas ouvrir d’e-mail d’origine inconnue.
    • Utiliser un support informatique d’origine externe connu et contrôlé.
    • Faire transiter les données très sensibles par la valise diplomatique de l’ambassade française au besoin.