Les conseillers du commerce extérieur de la France (CCEF) ont dernièrement publié sur leur site, un nombre important de cas significatifs – près de 40 – qui nous permettent de rappeler quelles sont les deux failles des entreprises, par où les concurrents, surtout étrangers, connaissant les bonnes techniques de l’intelligence économique, peuvent venir récupérer auprès des entreprises françaises, les informations stratégiques, c’est-à-dire les éléments dans lesquels réside l’existence même de l’entreprise, sinon son développement. Les risques étant les mêmes pour les organismes de recherche. Ces deux failles sont d’abord l’Homme et ensuite les systèmes informatiques, ou plus généralement les Techniques d’informations et de communications (les TIC) qui sont continuellement nouvelles. Sans compter les atteintes matérielles plus classiques, comme les vols d’outils informatiques, les écoutes ou les prises d’images de matériels sensibles, illicites.
* – L’Homme tout d’abord car on le sait, l’homme – la femme – est faible par définition et c’est le jeu de l’ingénierie sociale que de savoir comment on peut faire parler les salariés d’une entreprise, pour les amener à délivrer des informations importantes et ceci le plus naturellement du monde. Ces révélations peuvent être involontaires – c’est là où le demandeur est particulièrement habile – car l’individu n’aura pas dans ce cas et la plupart du temps, conscience d’avoir révélé une information importante ; c’est le cas par exemple des cours de langue étrangère qui permettent de faire parler les cadres(1). Ou bien la révélation sera volontaire ; là, le demandeur exploitera à fond toutes les faiblesses de l’individu : argent, vengeance, sexe… ou tout simplement le besoin de reconnaissance.
Parfois, l’obtention de ces informations se fait sous la menace et sans aller, ou rarement, jusqu’à des violences physiques, les menaces sur les biens ou sur la réputation fonctionnent hélas, assez bien. Le principe consistant dans un premier temps, à compromettre l’individu, puis à exploiter cette compromission en menaçant de la révéler.
– Certes, des moyens de droit existent et sont à venir, pour que l’entreprise puisse se défendre.
De la sanction de la révélation d’un secret de fabrication –difficile à mettre en œuvre– à celle du secret des affaires, qui va bientôt être sanctionné par la règle de droit(2), l’éventail est large : atteinte au secret professionnel, à la confidentialité ou au secret défense, sans parler de l’espionnage, mais qui concernent à chaque fois des personnes ou des cas particuliers.
Il n’empêche que, pratiquement dans tous les cas, le mal sera déjà fait. Sans compter les difficultés de la preuve devant les tribunaux. Aussi, la première solution pour le chef d’entreprise avisé, est d’aller voir les différents cas relevés par les CCEF et de mettre en place des mesures de protection de ses informations stratégiques, ainsi que de communiquer à son personnel les mises en garde qui conviennent.
Ce qui n’exclut pas d’autres mesures de dissuasion (règlement intérieur, clause de confidentialité …) et de rétorsion. Tout ceci sans paranoïa, sans soupçons excessifs mais dans le but de réduire le risque à sa plus simple expression et aussi d’assurer la survie, et tout simplement le bon fonctionnement de l’entreprise.
* – La deuxième faille réside dans les systèmes d’information de l’entreprise. Le déve-
loppement des outils de communication est aujourd’hui sans précédent et a conduit à voir dans chaque collaborateur de l’entreprise, un émetteur/diffuseur potentiel d’informations, par l’utilisation de l’ordinateur fixe et surtout les portables, notebooks, tablettes, mobiles et autres smartphones, avec le risque bien réel, que l’utilisation de ces moyens échappe à tout contrôle. Ainsi, on notera la difficulté actuelle pour les entreprises, de maîtriser le
« BYOD(3)», c’est-à-dire l’utilisation professionnelle, par les collaborateurs de l’entreprise, de leur terminal propre. Dans ce cas, le risque de fuite via le vecteur informatique, doit amener le chef d’entreprise à s’interroger sur la nécessité de mettre telles ou telles informations sur les systèmes de communication et s’il ne peut faire autrement, de mettre en place les moyens techniques d’assurer leur intégrité (pare feu, mot de passe, cryptage, etc.). A titre d’illustration, on pourra voir le cas d’interception d’un flux de messages(4). Et rappelons que les réseaux sociaux, en dépit de leur utilité, constituent un outil d’identification des maillons stratégiques de l’entreprise(5).
Cependant en la matière, toute mesure technique est rarement infaillible à 100%. La solution consistant à rendre particulièrement long et difficile, le chemin jusqu’aux données convoitées. Mais là aussi, le chef d’entreprise peut commencer à réduire ce risque au minimum, par des chartes informatiques et des procédures – simples et d’usage général et contrôlées – ainsi que par l’information la plus large de son personnel.
De plus, il convient pour lui de mettre à profit les 40 mesure définies par l’ANSSI(6), pour assurer une garantie convenable de la sécurité des systèmes de communication de l’entreprise.
– Ici aussi, la règle de droit peut être utile, avec notamment la loi sur les atteintes aux systèmes informatiques(7),
réprimant l’intrusion, la falsification ou l’altération des données informatiques ; avec cet avantage que, si en la matière les risques sont multipliés, les chances de coincer le coupable des fuites d’informations le sont aussi car le système porte en lui-même la trace difficilement effaçable du forfait, fournissant ainsi la preuve requise par les tribunaux. Il reste que derrière tout écran et clavier, il y a un individu ; d’où l’importance pour chacun de prendre conscience des risques qu’il peut faire courir à son entreprise. A ce titre, retenons cet exemple banal et malheureusement courant de l’employé loquace qui divulgue des informations confidentielles sur Internet(8).
En conclusion, la liste des cas publiés par les CCEF, pris parmi les 1 000 attaques annuelles significatives recensées, montre l’extrême diversité des atteintes aux informations stratégiques de l’entreprise, qui sont malheureusement un fait. Mais d’une part, les failles peuvent déjà être réduites quand elles sont identifiées et comblées, au moins en partie ; et d’autre part, l’avocat et l’informaticien peuvent aider l’entreprise à mettre en place des mesures de prévention, d’information et de sanction, pour permettre au chef d’entreprise de faire face à l’atteinte potentielle à la sécurité de l’entreprise, qui est aussi la sécurité économique de notre pays.
