© 2017 www.servole.com
Blog Intelligence Economique

Sécurité Economique : les menaces et vulnérabilités

Dans un contexte très concurrentiel, les menaces et vulnérabilités des PME sont de plus en plus à l'ordre du jour. C’est un enjeu majeur selon Alain Juillet (ancien Monsieur Intelligence Economique auprès du Premier Ministre). Dernièrement, au cours, d’un séminaire sur le sujet à la CCI de Versailles, certains chiffres ont été mis en lumière. Entre 2007 et 2009 plus de 3.000 PME françaises ont fait l’objet d’attaques et principalement via internet. Environ 60% provenaient de la France, 25% d’Europe et 15% du reste du monde.

Alors pourquoi l’augmentation de ce type de criminalité au col blanc ? L’argent facile par un accroissement de gain en compétitivité est la réponse. En effet, le facteur d’hyper concurrence accroît fortement la compétition entre acteurs petits et grands et les dérives sont devenues nombreuses dans ce domaine.

Certains stagiaires d’entreprises vendent leur rapport de stage à des concurrents mal intentionnés. Cessons d’être innocents et naïfs en déterminant ce qui doit être protégé au sein de nos entreprises. Le capital d’une entreprise ce sont ses collaborateurs et son savoir-faire (propriété intellectuelle). Depuis trop longtemps nous négligeons ce deuxième point. Si vous en doutez, allez glaner des informations chez vos concurrents et vous serez surpris avec quelle facilité vous obtiendrez des données pertinentes, quelques fois rapidement. 15% des PC portables volés le sont pour des raisons de vols de données. Dans ce domaine les PME sont les plus exposées, en effet plus de 96% des sociétés françaises possèdent moins de 20 salariés. Enfin gardons à l'esprit que 80% des attaques proviennent du personnel à l'intérieur des sociétés, comme le confirment nos amis anglo-saxons avec le terme "enemy within - l'ennemi de l'intérieur".

Donc cela n’arrive pas qu’aux autres et il est nécessaire d’établir au sein de l’entreprise une politique de la gestion des données sensibles et des autres. La sécurité économique c’est une question d’état d’esprit qui doit circuler partout au sein de l’entreprise du haut vers le bas et inversement. Pour autant, l’avenir passe par ceux qui sont offensifs, pas uniquement en restant sur la défensive.

  • Veille / renseignement économique (acquérir l'information pertinente),
  • Protection du patrimoine informationnel (ne pas laisser connaître ses secrets)
  • Aide à la décision (analyse, cartographie décisionnelle, "war room"...)
  • Influence (propager une information ou des modes de comportement et d'interprétation qui favorisent sa stratégie).

Une loi récente statue maintenant sur le secret des affaires afin de mieux protéger les acteurs économiques de notre pays. Néanmoins il vaut mieux prévenir que guérir. Faites appel à des professionnels du secteur pour auditer votre politique de sécurité dans le domaine de la sécurité physique et logique concernant votre activité, votre entreprise. Donnez une deuxième chance à votre patrimoine informationnel avant qu’il ne soit trop tard.

Le chiffre du mois : en Chine, chaque année, 50 à 60 millions de personnes atteignent le niveau de vie de nos pays européens.

La gestion des informations à la croisée des chemins 

La vraie valeur des entreprises du 21ème siècle est l’information. En quelle sorte leur carburant. Correctement traitées elles peuvent offrir un avantage concurrentiel, capables de fidéliser des clients, améliorer la productivité et les profits de l’entreprise.

Dès lors, il est étonnant de constater que beaucoup d’entreprises ne traitent par leurs données avec l’attention et le respect qui s’imposent. Une analyse de Marc Duale, Directeur International chez Iron Mountain.


Croissance exponentielle des données, nouveaux formats de supports, technologies émergentes, règlementations de plus en plus strictes et besoins d’entreprise en mutation transforment le paysage des informations au-delà de toute connaissance. En même temps, notre capacité à générer de la valeur à partir d’informations et de transformer des données brutes en savoir et nouvelles opportunités de marché reste à inventer.

Les statistiques sont à couper le souffle. Aujourd’hui, nous créons autant d’informations tous les deux jours que nous le faisions en 2003. En 2011, il existait plus de 788 millions de comptes de messagerie d’entreprise dans le monde – dont un cinquième en Europe - générant et diffusant des informations. Les médias sociaux ont accéléré brutalement ces chiffres, à la fois en termes de comptes et de contenu qui se chiffrent en milliards. Tous les mois, 30 milliards d’informations sont échangées sur Facebook et 25 milliards de tweets sont diffusés sur Twitter.

Comme dans tous les domaines à forte croissance, les contradictions et incohérences sont légions. Les consommateurs partagent volontiers des détails personnels, mais veulent à tout prix préserver leur vie privée. Les sociétés veulent prendre contact avec des clients qui utilisent les médias sociaux, mais sont terrifiées à l’idée de perdre le contrôle, sans même parler des contraintes légales, règlementaires et de conservation des données.

Les entreprises veulent extraire le plus de valeurs et de connaissances de leurs informations. Mais, elles ne parviennent pas à mettre de l’ordre dans des systèmes qui intègrent des informations structurées et non structurées, avec de multiples formats physiques et numériques dispersés dans l’entreprise. Trop souvent, une entreprise essaie de minimiser le risque en érigeant une forteresse numérique autour de ses données, et ne peut que constater la fuite d’informations sensibles sur du papier ou laissées sur une imprimante à la vue de tous.

Ces défis et opportunités augmentent les risques liés aux informations. Une étude menée en Europe par Iron Mountain et PwC révèle que de très nombreuses entreprises européennes ne sont malheureusement pas préparées à faire face à de tels risques.

Cette étude montre que moins de la moitié des entreprises de taille moyenne en France, Allemagne, Hongrie, Pays-Bas, Espagne et Royaume Uni, considèrent que les risques liés aux informations, font partie de leurs trois premiers risques professionnels.

Il y a également une formidable incohérence quant à savoir qui doit gérer les risques liés aux informations. Seulement 13 % considèrent que les risques liés aux informations doivent être gérés par le Conseil d’Administration, tandis que plus d’un tiers (35 %) estiment que tous ces risques – qu’il s’agisse d’informations numériques ou papier – sont de la responsabilité des services informatiques (SI). A peine 1 % considèrent que les risques liés aux informations sont l’affaire de tous les salariés.

Ce constat d’un tel manque de prise de conscience des mesures internes capables de faire face de façon adéquate aux menaces externes, devrait faire sonner le tocsin dans toute l’Europe. Nous pourrions perdre le contrôle des flots d’informations sensibles et ainsi perdre des marchés et des emplois.

Ce ne sont pas de bonnes nouvelles au moment où la nouvelle législation européenne en matière de protection des données, annoncée en janvier dernier, prévoit de rajouter un fardeau supplémentaire pour toutes les entreprises, les obligeant à rendre des comptes.

Le besoin d’une gestion des informations professionnelles au sein d’une entreprise n’a jamais été aussi grand.

La « Responsabilité Sociale des Entreprises » (RSE) s’est développée à partir d’une demande croissante : les entreprises doivent rendre compte de leurs valeurs, actions et impact, en matière d’environnement et de social. Nous pensons qu’il est temps pour les entreprises de rendre compte du traitement et de la gestion de leurs informations. Les entreprises de toutes tailles ont besoin de démontrer leur engagement formel de sauvegarder leurs actifs informationnels, y compris leurs données confidentielles relatives à leurs clients, salariés et activités. Nous appelons cet engagement la « Responsabilité des Informations des Entreprises » (RIE).

La RIE, c’est établir, dans toute l’entreprise, une culture du respect et de la protection des informations, en maximisant sa

valeur et en minimisant les risques de pertes, de fuites ou de violation de données, ou encore, de non-conformité.

La RIE, c’est la visibilité et le contrôle. Vous devez savoir quelles informations vous créez, collectez, traitez et stockez, où

elles se trouvent à tout instant, qui en est responsable, quels sont les plans de stockage sécurisé et de destruction,

conforme à la loi, en fin de leur cycle de vie. La sauvegarde des informations numériques, l’archivage des documents

papier, le scan, le déchiquetage, le stockage quotidien – sur ou hors site, avec ou sans fournisseur tiers – ainsi que les

restrictions en matière de recherche, récupération et accès, sont tous des éléments vitaux qui devraient faire partie d’une

plan de gestion robuste, commun à toute l’entreprise, de gestion des informations.

La RIE, c’est comprendre et être prêt à faire face aux risques. Des incidents inattendus vont se produire. Le feu, les

inondations, les conflits, les crimes, une violation accidentelle de données ou la défaillance de l’infrastructure SI, sont tous

des désastres potentiels qui peuvent frapper soudainement votre entreprise et avoir des conséquences sérieuses sur vos

actifs informationnels. La RIE, c’est reconnaître les menaces, se préparer au pire et permettre de garantir une

récupération rapide des données pour la survie de l’entreprise et la protection de son image, de ses clients et de ses

salariés.

Le succès de votre plan dépend des hommes. Gérer des informations n’est pas qu’une simple question technologique de

la responsabilité des SI (Systèmes d’Informations) ou un process de plus dans votre entreprise, il s’agit de culture et

d’hommes. Les hommes produisent la plus grande partie de vos informations, et ce sont eux qui vont les perdre ou en

profiter. Il est essentiel que vous puissiez compter sur chacun de vos salariés.

Réussir une culture de responsabilité des informations requiert de la formation et du support. Surtout, cela requiert l’appui

des cadres dirigeants. L’impulsion et la définition d’un traitement responsable des informations doit émaner du sommet de

l’entreprise et être exemplaire. La façon de gérer les informations est maintenant du ressort du Conseil d’Administration,

non seulement en termes de développement et de diffusion des politiques d’entreprise, mais comme un exemple des

meilleures pratiques en matière de traitement des informations, pour donner le “la” dans toute l’entreprise.

Dans l’économie globale d’aujourd’hui, basée sur le savoir, le succès ou l’échec de votre entreprise dépend de la façon

dont vous gérez vos informations. Imaginez l’impact dans votre société : vous disposez d’un accès instantané à toute la

valeur et toute l’intelligence stockée dans vos informations. Imaginez maintenant ce qui arriverait – à vos concurrents, vos

process, votre service clients et votre image de marque – si toutes vos informations étaient endommagées, révélées,

perdues ou détruites.

La « Responsabilité des Informations des Entreprises », c’est encourager la culture du respect des informations, soutenue

par des process professionnels fiables, qui traitent les informations comme un capital et non comme un handicap.

Nous appelons les entreprises européennes à prendre cet engagement.

 

La sécurité de l’information : les leçons tirées de Wikileaks

De nos jours, Wikileaks est une histoire chaude pour une bonne raison, en effet ce n'est pas très commun pour les documents confidentiels du gouvernement le plus puissant au monde à être publiés sur Internet. Et certains de ces documents sont, pour employer un euphémisme, embarrassant.

Ici, je ne vais pas disserter sur le fait s'il était légal pour Wikileaks de publier ou  non ces informations, que l'information aurait dû être rendue publique pour des raisons d'intérêt général ou pas, de ce qui va se passer pour son fondateur (au moment de la rédaction de cet article Julian Assange était en garde à vue)…

Le problème est que si le site Wikileaks est arrêté, un nouveau Wikileaks sera à nouveau mis en ligne. En d'autres termes, la menace de la fuite d'informations rendues public est en constante augmentation. Soit dit en passant, avant d’être emprisonné, Julian Assange avait annoncé qu'il allait publier des informations compromettantes sur une grande banque américaine et ses mauvaises pratiques.

Je veux parler ici du point de vue des entreprises, allons nous être la prochaine cible de Wikileaks ou son clone? Comment assurer la sécurité de nos informations et ainsi prévenir les dommages causés par un incident de cette importance?

Un exemple simple

Mais à quoi ressemble l sécurité de l'information dans la pratique? Prenons un exemple simple : vous laissez votre ordinateur portable fréquemment dans votre voiture, sur le siège arrière, la chance, qu’il soit volé, arrivera tôt ou tard.

Que pouvez-vous faire pour diminuer ce risque? Tout d'abord, vous pouvez créer une règle (en écrivant une procédure ou une politique de sécurité) que les ordinateurs portables ne peuvent pas être laissés sans surveillance dans une voiture, ou que vous devez garer votre voiture dans un parking qui comporte une protection physique. Deuxièmement, vous pouvez protéger vos informations en définissant un mot de passe fort ainsi que le cryptage de vos données. En outre, vous pouvez demander à vos employés de signer une déclaration par laquelle ils sont légalement responsables pour les dommages qui pourraient survenir. Mais toutes ces mesures peuvent rester sans effet si vous n'expliquez les règles à vos employés grâce à une formation de courte durée.

Alors, que pouvez-vous conclure de cet exemple? La sécurité de l'information n'est jamais une simple mesure de sécurité, elle est toujours un ensemble de mesures. Et ces mesures ne sont pas seulement liées aux technologies de l’information, mais concernant aussi les questions d'organisation, la gestion des ressources humaines, la sécurité physique et la protection juridique.

Cet exemple ne concerne qu'un simple ordinateur portable, sans aucune menace de délit d'initié. Considérons maintenant combien il est complexe pour protéger les informations de votre entreprise, où l'information est archivée, non seulement sur votre PC, mais aussi sur des serveurs différents, non seulement dans vos tiroirs de bureau mais aussi sur tous vos téléphones mobiles, non seulement sur ??des clés USB, mais aussi dans les têtes de tous les employés. Et vous pouvez avoir en plus un employé très mécontent en quête de revanche…

Cela semble être une tâche impossible, voir difficile - oui, mais pas impossible.

Comment aborder cette question ?

Ce dont vous avez besoin pour résoudre ce problème complexe, c’est un cadre. Les bonnes nouvelles sont que ces cadres existent déjà sous la forme de normes, largement répandues sous le nom de certifications ISO 27001, la norme internationale de premier plan pour la gestion de sécurité de l'information, mais il existe aussi d'autres normes comme le COBIT, NIST SP 800, PCI DSS, etc…

Je vais me concentrer ici sur la norme ISO 27001. Je pense que cela vous donnera une bonne base pour la construction d’un système de sécurité de l'information, car il offre un catalogue de 133 contrôles de sécurité et offre la flexibilité d'appliquer uniquement les mesures qui sont vraiment nécessaires par rapport aux risques  en présences.  Mais son meilleur atout, c'est qu'elle définit un cadre de gestion pour le contrôle et la gestion des questions de sécurité, ainsi que la réalisation de cette gestion de la sécurité devenant une partie de la gestion globale d'une organisation.

En bref - cette norme vous permet de prendre en compte toutes les informations sous diverses formes, tous les risques, et vous indique soigneusement un chemin pour résoudre chaque problème potentiel et ainsi protéger vos informations.

Conséquences pour les Entreprises

Donc, est-ce que les sociétés doivent avoir peur que leurs informations se retrouvent divulguées ? Si elles font quelque chose d'illégal ou contraire à l'éthique, elles devraient certainement.

Toutefois, pour les entreprises opérant légalement, si elles veulent protéger leur capital, elles ne peuvent pas penser uniquement en termes de retour sur investissement, de part de marché, de leurs compétences de base et de vision à long terme.

Leur stratégie doit également prendre en compte les questions de sécurité, car ayant des informations non sécurisées peut leur coûter beaucoup plus que par exemple un lancement raté d'un nouveau produit. Par sécurité, je n'entends pas seulement la sécurité physique, car, tout simplement la technologie peut rendre l'information vulnérable au travers de failles.

Ce qui est nécessaire est une approche globale de la sécurité de l'information - ce n'est pas grave si vous utilisez la norme ISO 27001, COBIT ou un autre cadre, aussi longtemps que vous le faites systématiquement. Et ce n'est pas un effort ponctuel, c'est un fonctionnement en continu. Oui, ce n’est pas uniquement un processus que votre responsable informatique peut réaliser seul, c'est quelque chose que votre entreprise doit accomplir dans son ensemble avec une participation de tous commençant au plus haut niveau, son conseil d’administration.

 

Contact

Envoi d'un dossier de compétences sur demande.

ISO 27001, ISO 27002, ISO 27003, ISO 27004, ISO 27005, ISO 27006, ISO 27007, ISO 27008, RGS, PCI-DSS, ISO 15408, OWASP, ISSAF, OSSTMM, RGS, RSI, RSSI, SSI, SMSI, Ebios, analyse de risques, audit de sécurité, MCS, AEM, Mehari, VPN, sécurité des systèmes d’information, SPC, technologies de sécurité, cryptologie, défense en profondeur, authentification, MEHARI, CRAMM, dématérialisation, anti-virus, tests d’intrusion, IT Forensic Expert, Chief Security Officer, CSO, CIO, Expertise judiciaire, article 145 code CPC, analyse de risques expert sécurité informatique, Application Security, Internet and Network Security, Malware and Hardware Security, Disaster Recovery, Business Continuity Template, ISO 22301, SOX, audit de sécurité, ISACA, ISMS, AFNOR, accréditation, NISP, BECCA, Business Espionage Controls and Countermeasures Association, Expert en Informatique Légale