- Négligence et malveillance, l’humain reste le premier facteur de risque
Fépie, Synfie, Adit, Rapport Carayon, “Cohen Act”. Protéger ses informations sensibles pour sauvegarder sa compétitivité est une préoccupation croissante des entreprises. L’affaire Renault, quelle qu’en soit l’issue, ou encore la cyber-attaque contre Bercy en décembre dernier, mettent en lumière la difficulté de prévenir puis de gérer une crise lorsqu’elle survient. Or, la majorité des pertes d’informations sont liées à des négligences ou à des procédures de sécurité non respectées. Les entreprises doivent former leurs salariés à acquérir les bons réflexes, mais également cloisonner la circulation de l’information en interne, pour limiter les opportunités de fuite. Et en cas de crise, il est nécessaire de ne pas hésiter à porter plainte.
Les entreprises font face à un nombre croissant de risques en tout genre : attaques sur les systèmes d’information, intrusions, vols… Le développement exponentiel de l’utilisation des technologies de l’information et de la communication rend les menaces plus prégnantes encore. Mais l’image de hackers spécialisés dans l’intrusion des systèmes d’information semble révolue. Car au final, la plupart des informations fuitent à cause d’une défaillance, ou d’une malveillance humaine. La crise, en rendant la compétition économique plus rude, a accru l’éventualité de comportements malveillants, les pratiques de concurrence déloyale, mais aussi la vigilance des entreprises. “Auparavant, lorsqu’une société perdait un marché, elle avait tendance à se dire que ça faisait partie du jeu, alors qu’aujourd’hui, elle va essayer de savoir ce qu’il s’est passé, relève Laurent Lebois, directeur général aux opérations du Groupe Synergie Globale. Et les cas de malveillance interne ne sont pas rares.” Ce qui explique que le recours aux sociétés spécialisées en intelligence économique (IE), prévention des risques ou encore aux agents de recherche privés, est plus fréquent. “Les risques externes ont toujours existé, mais ils sont désormais démultipliés, avec les moyens de communication”, explique Hervé Séveno, président du cabinet d’intelligence économique I2F, de la Fépie (fédération des professionnels de l’IE) et du Synfie (syndicat français d’IE). L’information n’a plus de frontières.
[…]
- Identifier les informations convoitées
Toutes les informations relatives aux points forts de l’entreprise, “qu’elles concernent sa stratégie commerciale, ses domaines d’excellence en recherche, les perspectives de développement de nouveaux produits, les projets de fusion/acquisition, voire son organisation, susciteront la convoitise”, affirme Philippe Caduc. Il convient donc de les identifier et de les protéger. Pour Hervé Séveno, “le choix de décider quelles informations sont stratégiques est crucial pour la compétitivité”. Souvent, ce sont des critères de bon sens qui permettent de les déterminer et la première question à se poser est “quelles sont les informations qui intéressent nos concurrents ?”. L’entreprise “bunker” ne peut pas exister, remarque Philippe Caduc, selon qui “le progrès passe par le partage de l’information. Partage en interne quand l’entreprise met en place des plateformes réunissant des compétences particulières pour faire avancer un projet ; partage en externe quand l’entreprise fait appel à de la sous-traitance ou développe des partenariats”. Or, en partageant ainsi ses informations, l’entreprise accroît sa vulnérabilité.
[…]
- Le premier risque ? La négligence
Les salariés ne se rendent pas forcément compte qu’ils détiennent des informations capitales. Ce qui peut les amener à négliger les protections de base. Mot de passe laissé sur les bureaux, discussions au restaurant ou sur les réseaux sociaux, utilisation d’un Wifi non sécurisé, etc. Les risques de fuite ou de pertes sont quotidiens dans la vie d’un cadre. Pour y répondre, il est indispensable de sensibiliser et de former ses salariés. “Souvent les tests d’intrusion que nous menons sont un électrochoc”, confie Bertrand de Turckheim, PDG d’Axis&Co. Les entreprises réalisent, par exemple, que les mails professionnels sont aussi peu fiables que les autres, ou encore que ce n’est pas parce que les données ne sont que sur l’intranet qu’elles ne sont pas susceptibles d’être volées. “Tout système est vulnérable, indique Bertrand de Turckheim. Mais quand on dit aux salariés qu’il faut mettre des mots de passe à huit caractères avec des caractères spéciaux, ils sont peu réceptifs. Ce sont des procédures nécessaires, mais qui ne sont pas mises en place par méconnaissance du danger.” Bernard Lage, directeur de Geos Business Intelligence le reconnaît, “la sécurité, c’est contraignant”, et si trop de mesures sont en place, “les collaborateurs cherchent à les contourner pour se simplifier la tâche, il faut donc miser sur la formation”. Autre négligence, il n’est pas rare de trouver des documents jetés tels quels à la poubelle, alors que le vol dans les déchets est encore très fréquent et que le simple achat d’un broyeur peut régler le problème.
Bertrand de Turckheim prévient que le risque peut être différent à l’étranger, car la menace, suivant les pays, peut avoir des moyens étatiques, notamment “dans certains pays, où les salaires des fonctionnaires sont très bas”. Il faut réfléchir sur le niveau de la menace et sur les instruments dont elle peut disposer. Il faut comprendre l’économie de la menace. Attention par exemple aux écoutes dans une dataroom non sécurisée lors d’une réunion. Dans ce cas, l’usage du téléphone portable est à éviter, comme l’utilisation d’une messagerie non protégée. Par ailleurs, “il existe des cas de pays où les gens perdent la maîtrise de leur ordinateur au moment du passage de la frontière, poursuit-il. C’est arrivé en Chine et en Israël. Même si on ne le prend que quelques minutes, on peut craindre un logiciel espion, ou une copie des données”.
Le risque existe partout. “Aujourd’hui on peut se faire pirater son téléphone via une connexion bluetooth, et ce avec des logiciels à très bas prix, accessibles à tous, constate Laurent Lebois. Avec ça, on peut récupérer tous vos contacts. Dans les transports, sur les réseaux sociaux, en fait dès qu’il y a une interaction avec un autre usager, il peut y avoir un risque.”
[…]
La réponse passe donc par la sensibilisation des salariés pour développer les bons comportements. Pourtant, selon Hervé Séveno, “il ne suffit pas de sensibiliser les cadres à ne plus parler dans les avions, cela doit devenir un réflexe, et pour cela, la notion de protection de la compétitivité doit être intégrée par les salariés”. Des questions qui, selon lui, devraient être abordées dans les grandes écoles qui forment les futurs cadres dirigeants au même titre que la stratégie financière, les RH ou encore la communication.
Au niveau informatique, “il y aura toujours une faille sur les SI, estime Philippe Chabrol, et un hacker pour la trouver. Mais il y a déjà beaucoup de risques que nous pouvons contenir en travaillant sur l’humain. Il faut acquérir des réflexes lors de la présentation d’un produit, d’un salon, d’un déjeuner.” Il cite l’exemple des commerciaux, qui “ont tendance à être très bavards et avec qui, si vous lancez la discussion, il n’est pas rare qu’ils expliquent sur quoi l’entreprise est en train de travailler.”
[…]
- Une affaire de spécialistes
Pourtant, que ce soit par manque de compétences, ou dans un souci d’objectivité, les entreprises peuvent difficilement gérer entièrement leur sécurisation en interne. Selon Hervé Séveno, même si l’entreprise a un “Monsieur intelligence économique” ou une direction sûreté qui traite de la sécurisation des informations, “elle aura besoin d’une compétence externe pour être sûre d’avoir un regard objectif”. Et même dans le cas de la présence d’une direction sûreté, celle-ci est souvent limitée à deux ou trois personnes et rares sont celles qui ont un chargé d’intelligence économique. “C’est une faiblesse notamment pour les PME”, constate Hervé Séveno. Les études de risque demandent en effet des moyens financiers importants – de 20 000 à 30 000 euros – qu’elles n’ont pas forcément. Pourtant, la sous-traitance est par exemple un risque majeur de perte d’informations, notamment pour les grands groupes. Elle est de plus en plus utilisée, que ce soit pour des compétences techniques spécifiques ou pour la gestion des paies. Et souvent, le donneur d’ordre n’a aucune idée de la façon dont sont protégées ses informations chez le sous-traitant.
[…]
Il est vrai que face à un vol ou à une fuite d’informations, l’entreprise est souvent démunie. “Elle doit s’entourer de conseils spécialisés, qui analysent comment, pourquoi, à qui profite le crime, et mettre en œuvre les mesures qui conviennent”, explique Laurent Lebois. Une société spécialisée sera en effet plus à même de mener une analyse. Et lors de l’enquête dans l’entreprise, elle aura plus de légitimité que si ce sont des équipes de la direction. “Si les faits sont avérés, elle doit porter plainte”, plaide Hervé Séveno. Cela permet au parquet d’ouvrir une enquête préliminaire, et de bénéficier des moyens de la DCRI (Direction centrale du renseignement intérieur). “Il est important que les gens soupçonnés soient maintenus en place, car la justice a des moyens, ceux de la DCRI notamment, qui vont lui permettre de confirmer, ou d’infirmer les soupçons, explique Hervé Séveno, qui juge que si les entreprises sont encore réticentes à porter plainte, “c’est à cause de la publicité des débats”. Lors de l’étude des faits à l’audience, l’entreprise doit en effet expliquer publiquement en quoi les données volées sont stratégiques. Le président de la Fépie défend donc l’idée d’un huis clos pour les affaires d’espionnage industriel, qui seraient confiées à des magistrats spécialisés, comme ceux du pôle financier. Pour Philippe Chabrol, il est indispensable de communiquer, et d’abord en interne, “surtout si la crise vient bouleverser l’activité de l’entreprise en termes de vente. Cela sert à prouver son honnêteté. Voire à gagner en confiance.”
Par Isabelle Perrin pour lenouveleconomiste.fr
En savoir plus :
http://www.lenouveleconomiste.fr/intelligence-economique-le-maillon-faible-6104/
Les mots de passe de demain se basent sur le caractère unique de l’être humain pour s’attaquer à l’enjeu de la sécurité des données tout améliorant l’expérience utilisateur.
Deux nouvelles études réalisées par CompTIA et le SANS Institute sur la cyber-sécurité de l’entreprise confirment ce qui a toujours été dit au sujet des employés : ces derniers sont les premiers à mettre en péril la sécurité de l’entreprise par leurs actions maladroites ou malveillantes.
“Alors que les organisations améliorent continuellement leurs connexions digitales, de nouvelles pistes s’ouvrent aux cybercrimes, “ explique Benoît Grunemwald, Directeur Marketing et Commercial ESET France. “L’astuce est de faire en sorte que vos défenses soient plus impénétrables que celles des entreprises qui vous entourent. En comprenant mieux le paysage des menaces vous êtes bien mieux préparé pour contrer les choses indésirables qui se cachent autour de vous. ”
Une véritable cyber-attaque et plusieurs giga-octets de données accessibles
Les entreprises s’appuient trop souvent sur les technologies de sécurité et ignorent l’impact qu’un «pare-feu humain» peut avoir sur la sécurité, explique le spécialiste renommé Hugh Thompson (Blue Coat Systems), dans un entretien accordé à Searchsecurity.com. Hugh Thompson explique que les attaques par ingénierie sociale rendent la tâche très difficile aux employés dès lors qu’il faut faire le tri entre messages légitimes et messages conçus pour les amener à lâcher des données sensibles.
Cette enquête sur la sécurité numérique des entreprises a été publiée à l’occasion du colloque organisé à l’OCDE par le Club des directeurs de sécurité des entreprises (CDSE), en partenariat avec l’office européen de police Europol.
