Les entreprises ne savent pas protéger leurs informations sensibles

Cette étude illustre la difficulté qu’ont de très nombreuses entreprises à maîtriser la diffusion de l’information au sein de leurs structures et, par là même, à l’extérieur. Les spécialistes du darkweb expliquent que l’on y trouve, en libre accès ou à l’achat, des documents confidentiels et stratégiques de tout type d’entreprises ou d’administrations.

Cette situation peut avoir des conséquences graves pour les activités de l’entreprise mais également pour sa réputation. Par ailleurs, a partir de 2018, le Règlement général sur la protection des données (RGPD) imposera à tous de sécuriser les données personnelles de ses collaborateurs et clients. Les sanctions pourront être très lourdes.

Plus que jamais il est nécessaire de pouvoir répondre à des questions simples: Quelle est mon information sensible ?, ou est-elle stockée ? Qui y a accès ?

http://www.silicon.fr/

Les directions juridiques en entreprises, les débats du Cercle Montesquieu vu sous l’angle de la sécurité économique,

Le Cercle Montesquieu, association des directeurs juridiques, organisait le 25 avril 2017 son colloque annuel. Ce fut l’occasion de débats très intéressants notamment sur la judiciarisation croissante de la vie économique et sur l’évolution du droit des affaires. La loi Sapin II a souvent été au cœur des débats et des préoccupations. S’ils s’adressaient avant tout à des juristes, ces échanges pouvaient également être abordés sous l’angle de la sécurité économique et de la sécurité des informations.

Les débatteurs se sont accordés à stigmatiser la complexification de notre droit, la sur-interpretation des transcriptions des directives européennes, voir la contradiction des normes et exigences des régulateurs, qui conduisent à l’excès de sollicitations des juges et à la rupture de la confiance directe, chacun craignant à tout moment un procès de la part d’un partenaire, d’un client ou d’un associé.

Beaucoup ont salué les intentions de la loi sapin II, qui en renforçant la lutte, en France, contre la corruption pourrait empêcher la justice américaine de sanctionner des entreprises françaises comme elle l’a fait, à maintes reprises, en se basant sur le Foreign Corrupt Practices Act (FCPA). Les promoteurs de la loi espèrent que le principe « non bis in idem » (jamais deux fois pour la même chose) sera respecté et appliqué par les juges américains.

Pourtant, rien n’est moins sur, ce principe étant surtout porté par des conventions européennes. Par ailleurs, il est nécessaire de garder en mémoire que le droit américain est utilisé comme une arme d’intelligence économique, notamment parce que le gouvernement américain, peut utiliser ses services de renseignement pour faire appliquer ces normes juridiques et surtout parce que les procédures engagées se concluent souvent par un « deferred prosecution agreements » (DPA) qui place l’entreprise incriminée sous surveillance pendant 1 à 3 ans et l’oblige à fournir des documents et des informations internes, voire à accepter la mise en place d’un contrôleur externe. Ceci est, bien entendu, l’occasion de collecter des données sensibles et stratégiques au profit des entreprises états-uniennes. Une analyse en « contre intelligence économique » doit donc accompagner la démarche juridique.

(voir notre article précédent : https://www.linkedin.com/pulse/le-droit-américain-comme-arme-de-guerre-économique)

Il a été aussi beaucoup question de « compliance » (mais malheureusement sans évoquer de façon plus large la due diligence), certains regrettant d’ailleurs que cette fonction tende à s’émanciper des directions juridiques. Cette évolution tendancielle du droit s’inscrit, là aussi, dans une logique de concurrence des normes avec le droit américain et transforme progressivement la conduite de nos affaires.

Il n’a pas été évoqué l’implication et du lobbying des ONG anglo-saxonnes dans la diffusion de ces normes, cela aurait également été intéressant a mettre en parallèle (voir sur ce sujet : https://www.linkedin.com/pulse/les-ong-une-arme-économique-du-capitalisme).

Il a été souligné que l’obligation de compliance, notamment quand il s’agit de l’obligation de vérifier la compliance d’un tiers partenaire, peut être considérée comme un transfert de charge de l’action publique sur l’entreprise. Cela induit des coûts supplémentaires et, concrètement, de renforcer et spécialiser les équipes juridiques ce que ne peuvent pas toujours faire les PME et ETI. Il y a là un véritable risque de distorsion de concurrence au bénéfice des grosses structures, même s’il est toujours possible de faire appel à des consultants extérieurs.

Cette journée de débat a, au final, mis en évidence, toute l’actualité des directions juridiques dans les entreprises mais également leurs besoins de s’ouvrir vers des spécialités voisines.

Merci à Nicolas Guerin, président du Cercle Montesquieu, pour l’organisation de cette journée.

La chaîne RH, premier acteur de la sécurité des informations de l’entreprise.

Le patrimoine informationnel est probablement la plus grande richesse d’une entreprise, richesse parfois mal évaluée, souvent mal protégée, toujours objet de convoitises.

Ce patrimoine, par nature immatériel est constitué des savoirs et savoir-faire, des projets et des archives, des points forts et des vulnérabilités. En perdre le contrôle, se le faire voler ou dégrader a rapidement des conséquences sur les résultats de l’entreprise, sa réputation, sa capitalisation boursière ou sur ses emplois.

Il est toujours possible de protéger ce patrimoine par des brevets, de l’enfermer dans des coffre-forts ou de le chiffrer mais il y aura toujours quelqu’un qui aura la clé de chiffrement du fichier, la clé du coffre ou du local de la photocopieuse…et qui pourra l’oublier sur un banc public.

Non, l’homme n’est pourtant pas le maillon faible de la sécurité, il est le maillon créatif et générateur de valeurs mais aussi d’erreurs (erreurs volontaires ou involontaires d’ailleurs). L’entreprise a tout intérêt de réduire cette seconde caractéristique pour développer la première. Dans tous les cas, il s’agit bien de manager la ressource humaine, c’est pourquoi la chaîne RH est bien le premier acteur de la sécurité du patrimoine informationnel de l’entreprise. Sa responsabilité est continue, du recrutement à la gestion des départs en passant par la formation.

Savoir recruter

Recruter c’est introduire un corps étranger dans l’entreprise. Les chaînes RH savent sélectionner et intégrer de nouvelles compétences compatibles avec l’esprit de l’entreprise et les équipes déjà constituées mais elles doivent aussi s’assurer que la nouvelle recrue, aussi brillante soit-elle, ne constituera pas une menace pour le patrimoine informationnel de l’entreprise. Elles ne doivent pas introduire le loup dans la bergerie ou l’éléphant dans le magasin de porcelaine.

La tache est compliquée, tout en respectant la loi, l’éthique et sans aucun esprit discriminatoire, le recruteur doit déterminer et écarter celui, ou celle, qui sera négligeant, vulnérable ou délibérément malveillant. L’entrisme, cette veille technique trotskiste, est aujourd’hui utilisé par des groupes activistes ou radicaux, voire par des cabinets d’espionnage économique (on ne peut plus ici parler d’intelligence économique).

Savoir accompagner

La sécurité ne se limite pas à introduire un corps sain dans une entreprise saine. Une fois recruté, le collaborateur peut être conduit, volontairement ou non, à agir contre les intérêts de l’entreprise :

– par négligence, car il n’aura peut être pas été suffisamment formé ou informé ;

– par contrainte, dans certaines circonstances ou dans certains pays (notamment pour les personnels locaux), il peut être difficile de résister à des pressions ou tentations extérieures, le management doit être en mesure d’identifier les situations à risques pour ne pas y exposer ses collaborateurs ;

– par dépit, un collaborateur heureux et fier de travailler dans une entreprise valorisante est moins tenté de lui nuire, le développement d’un environnement de travail agréable n’a pas des effets bénéfiques que sur la productivité, la sécurité y est également gagnante.

Accompagner, c’est également gérer la fin de la collaboration dans les meilleures conditions possibles. Combien d’entreprises ont découvert, trop tard, les bombes à retardement laissées dans les systèmes informatiques par des salariés remerciés. Dans un autre registre, le départ d’un ancien, c’est souvent la perte d’une partie du patrimoine informel, « quand un ancien part, c’est une bibliothèque qui brûle… ».

savoir former

Si les directions, ou les chargés, de la sûreté/sécurité, s’efforcent de mettre en place des chartes ou des règles, voire, pour les plus avisés, de développer une politique de sensibilisation à la sécurité économique, la chaîne RH est bien souvent le maître d’œuvre principal de la politique de formation. Or c’est bien en intégrant le souci de la sécurité économique dans les parcours de formations internes qu’il sera possible de conscientiser et responsabiliser les collaborateurs de l’entreprise.

Néanmoins, le première fonction à former sera sans doute la chaîne RH elle même. Comment éviter qu’un collaborateur ne nuise à l’effort collectif, si le recruteur ou le gestionnaire ne connaît pas la valeur et la localisation du patrimoine informationnel de l’entreprise, s’il n’a pas une idée des menaces et des vulnérabilités ?

Une chaîne RH consciente des problématiques de sécurité économique protégera mieux l’entreprise et ses collaborateurs.

Une chaîne RH bien conseillée

La sécurité économique est rarement un domaine que la chaîne RH maîtrise, et c’est normal, ce n’est pas son cœur de métier. Pour ces raisons, elle doit être proche, et en dialogue constant, avec la direction sûreté et le RSSI. La sécurité doit conseiller la RH dans son travail de recrutement et de gestion mais, inversement, la RH doit orienter le travail de sécurité en fonction de la population des collaborateurs.

Si l’entreprise ne dispose pas de façon organique d’une direction sûreté, la chaîne RH ne doit pas hésiter à faire appel à un expert extérieur. Celui-ci l’aidera à prendre conscience du périmètre de l’information sensible à protéger et des menaces. Fort de ce constat, il pourra alors lui conseiller un programme de formation et des outils de sensibilisation.

Sécurité informatique et ingénierie sociale, sensibilisez et formez maintenant ou pleurez demain

http://www.zdnet.fr/social-engineering

Toute attaque militaire se prépare par une reconnaissance, de même, toute attaque informatique se prépare par une phase de renseignement mettant en œuvre des techniques d’ingénierie sociale ou de renseignement humain.

Au mois de mars, c’est la CNIL qui a servi de faux nez aux pirates à plusieurs reprises.

Cet article illustre, s’il en était encore nécessaire, qu’une bonne protection numérique repose d’abord sur une sensibilisation et une formation des utilisateurs ainsi que par la mise en place de procédures simples permettant de vérifier les dires d’un inconnu au téléphone.

Le Shadow IT, un risque réel pour les données

http://www.zdnet.fr/actualites/le-shadow

De plus en plus, les collaborateurs de l’entreprise utilisent, à des fins professionnelles, des applications qu’ils ont eux même installé sur leurs équipements professionnels ou personnels.

Selon l’étude présentée ici, plus de 80% des employés admettent utiliser des solutions informatiques sans l’accord de leur DSI et bien entendu, la plupart du temps, sans s’être assuré de leur sécurisation.

Tout comme l’usage des BYOD (apportez vos appareils personnels), cette évolution des comportements doit être prise en compte par les responsables en charge de la sécurité des informations dans un esprit d’accompagnement pédagogique et non d’interdiction frontale.