Les entreprises feraient bien d'adopter les règles de la "Diffusion Restreinte"
Face aux vols d'informations sensibles, la démarche de "Diffusion Restreinte" avec une qualification des données et un système d'information DR gagnerait à se généraliser dans le secteur privé.
La consumérisation des outils de piratage, avec des solutions de plus en plus accessibles, l’omniprésence des échanges de communications numérisées entre les parties prenantes dans la vie des affaires, et la concurrence globalisée dans les marchés économiques et technologiques concourent à une intensification des campagnes d’interception des communications à haute valeur ajoutée. Les pouvoirs publics ne cessent d’envoyer des signaux d’alerte aux entreprises, qu’il s’agisse des « flash » bimestriels publiés par les contre-espions économiques de la Direction Générale de la Sécurité Intérieure (DGSI) ou des mesures renforcées annoncée fin janvier 2024 par la Commission européenne visant à assurer la « sécurité économique de l’UE ». A chaque fois, la motivation est la même : « éviter que des technologies sensibles ne tombent en des mains hostiles ». La compétition commerciale est désormais telle que tous les moyens sont utilisés pour tenter de capter des données ou d’influer sur des discussions en exploitant opportunément des informations qui avaient vocation à demeurer privées.
Dans la vie des affaires, la palette des sujets qui exigent de la confidentialité comme condition primordiale de leur réussite est particulièrement large : projets de réorganisation sociale, travaux de recherche et développement, montages financiers en vue d’opérations de fusions ou d’acquisitions, analyses stratégiques, innovations techniques…
Une pratique bénéfique qui concerne toutes les entreprises, au-delà du seul secteur de la Défense
La question est documentée de longue date dans la sphère de la Défense nationale où la notion de secret est précisément au cœur des organisations. Pour rester pertinente, elle ne doit pas être considérée de manière figée, et donc prendre en compte les évolutions technologiques et de contexte. Ainsi, le nouveau cadre définissant la protection du secret est entré en application en France le 1er juillet 2021. Une approche partagée par le MEDEF, le Mouvement des entreprises de France, mais avec des recommandations encore loin de se concrétiser largement au sein des grands groupes pourtant si exposés à la rivalité internationale. Il ne faudrait pas que le secteur privé pêche par négligence ou excès de naïveté. L’adoption des principes d’une qualification des informations et le recours à un système d’information conforme aux principes de l’Instruction Interministérielle 901 (II901) devraient inspirer davantage les comités de direction. Cette II901 définit les objectifs et les mesures de sécurité minimales relatifs à la protection des informations sensibles, notamment celles relevant du niveau Diffusion Restreinte (DR).
Connaître la valeur de ses données : un vrai levier de compétitivité
Il serait souhaitable que cet « esprit de défense » inspire davantage les entreprises. Pour qu’elles se dotent des moyens de protéger leurs actifs informationnels stratégiques sans renoncer à la fluidité des systèmes de communication. Elles bénéficieraient en outre du travail fait en amont de qualification et de localisation des données, et d’identification du réel besoin d’en connaître des différents destinataires et contributeurs. Soit une démarche vertueuse dans la connaissance de ses propres ressources, de la pertinence de ses processus et une clarification de la contribution de chacun à la création de valeur collective. On est donc bien au-delà de la stricte problématique de cybersécurité, pour que cette appropriation de la culture de la « Diffusion restreinte » devienne un levier de performance opérationnelle.