Faut-il
prendre l'espionnage industriel au
sérieux ?
Cyril Autant.
Assurément : c'est une réalité
à laquelle toutes les grandes entreprises sont
confrontées d'une manière ou d'une autre.
Je peux vous donner un exemple édifiant :
il y a quelques années, le contre-espionnage
avait accès à des informations très
précises sur l'activité des services étrangers
d'espionnage industriel, pays par pays et secteur par
secteur. J'ai été en contact avec une
entreprise pharmaceutique française employant
plusieurs milliers de personnes : les responsables
de la sécurité avaient eu accès
à ces données, et ils s'étaient
livrés à une petite extrapolation sur
la base des budgets des différents pays. Ils
avaient ainsi pu estimer le nombre d'espions russes
dans leurs murs à une dizaine : je peux
vous dire que cette firme prenait l'espionnage industriel
très au sérieux. Autre exemple, plus concret :
j'ai moi même travaillé dans un service
de recherche qui a reçu un post-doctorant russe -
une fois de plus - pour un stage. Nous nous sommes
rendu compte que son soi-disant doctorat n'était
en réalité que la copie d'un travail de
recherches fort connu. Une fois démasqué,
l'individu en question n'est pas réapparu. Je
pourrais encore vous citer bien d'autres exemples, plus
récents et plus parlants, mais je suis tenu par
le secret professionnel.
Les
"espions" agissent-ils en interne ou en externe ?
Le plus souvent, le danger vient de l'intérieur.
C'est d'autant plus gênant que les enteprises
sont très bien protégées contre
les virus et contre les "hackers", mais qu'elles
négligent souvent d'accorder toute leur attention
aux pirates qui opèrent de l'intérieur.
Quels
sont les principaux dangers qu'il faut craindre ?
La destruction de données et
le vol d'informations confidentielles. Prenons deux
exemples : comment vais-je réagir si l'on
efface toutes les données relatives aux recherches
de mon service R&D ? Quelles seront les conséquences
pour moi si mon fichier client atterrit sur le bureau
de mon principal concurrent, agrémenté
de quelques informations sur les appels d'offres en
cours ? Il existe une foule d'entreprises qui ont
des données stratégiques et qui les protègent
mal. Le fichier client est l'exemple type du document
que l'on laisse traîner partout sur un système
d'informations alors qu'il faudrait le protéger
avec beaucoup de soin.
Comment
reconnaître un espion ?
C'est impossible : il n'y a pas
de portrait type. D'ailleurs, il y a des espions qui
sont entrés dans l'enteprise dans un but précis,
mais aussi des espions plus tardifs qui se sont laissé
soudoyer par un concurrent après des années
de bons et loyaux services. Je dirai même qu'il
existe des espions malgré eux, qui divulguent
des informations stratégiques sans le savoir
à des oreilles indiscrètes, en parlant
tout haut dans les transports en commun ou dans un club
de sport par exemple. Je ne compte plus les exemples
de clients qui ont glané çà et
là des informations stratégiques malgré
eux, en laissant seulement traîner une oreille
au bon moment. Quant aux collaborateurs de l'entreprise -
ou aux employés - qui détruisent
des informations stratégiques sur le système
d'information, ils ne le font pas toujours intentionellement.
Le vol et la destruction d'information peuvent être
intentionnels ou pas : un copier coller accidentel
peut suffire à semer le trouble dans un SI. Il
faut donc pouvoir parer aux dangers qui émanent
en permanence de tous les employés et les collaborateurs
d'une entreprise.
Les
entreprises prennent-elles la sécurité
suffisamment au sérieux ?
Il y a une forte culture de la protection
contre les agressions extérieures, c'est incontestable.
Mais je vois encore trop souvent des enteprises de taille
respectable dépourvues des protections les plus
élémentaires. Ces problématiques
sont négligées la moitié du temps.
Comment se protéger contre la perte et le vol
d'informations stratégiques si l'on ne dispose
pas d'un contrôle d'accès minutieux, et
que l'on ne sensibilise pas ses effectifs aux règles
élémentaires de la sécurité ?
Comment
construire un bon contrôle d'accès ?
Tout comence par la définition
des documents que l'on souhaite protéger, et
du niveau de protection dont ils doivent bénéficier.
Ensuite, il faut absolument en passer par un long et
complexe travail de catégorisation des utilisateurs,
afin de savoir dans le détail quelle famille
d'employés peut avoir accès à quelle
famille de documents. C'est la seule solution pour limiter
la fuite d'informations : chaque utilisateur doit
avoir accès aux données dont il a besoin,
et à rien d'autre. Tout doit être abondamment
cloisonné. Car lorsqu'un utilisateur dispose
d'une information stratégique, plus rien ne l'empêche
de le faire sortir de l'enteprise. Puis il faut mettre
en place des solutions techniques qui permettent de
contrôler efficacement chaque accès. Il
existe sur le marché beaucoup de produits, qui
répondent à tous les usages.
Pourquoi
ne pas tracer les actions des utilisateurs ?
C'est une solution très efficace
lorsque l'on a besoin d'un haut niveau de protection.
Les produits de traçage sont bien au point, et
ils permettent de savoir avec précision qui a
agi sur les silos d'information les plus sensibles.
Si une information est détruite, on peut demander
des comptes au responsable. Si un utilisateur tente
d'outrepasser ses droits pour accéder à
une information normalement hors de portée, on
peut aussi le détecter gràce à
des outils assez proches des IDS. Ce qui permet de mener
une enquête sur un utilisateur X ou Y qui est
parvenu à accéder à un serveur
sensible en mode administrateur alors qu'il opérait
depuis un banal poste client.
Comment
mieux sensibiliser les effectifs ?
C'est la deuxième règle
d'or de la protection des données. La solution
est fort simple : il faut former chaque utilisateur
et le faire signer une charte lui interdisant de divulguer
des informations. J'ai remarqué qu'il y avait
une méthode très efficace, qui consiste
simplement à citer des exemples d'espionnage
industriel. Il faut que chaque employé intègre
bien le fait que ces informations sont une richesse,
et que comme toute richesse il faut la protéger.
Une
dernière clé pour le succès ?
La pérennité ! Il
faut absolument suivre le système de sécurité
au jour le jour, le mettre à jour, former les
nouveaux arrivants à la sécurité,
etc ... Car sans ça la sécurité
se dégrade automatiquement chaque jour un peu
plus.
|