Rémy Février (Gendarmerie Nationale) "Des vols de données ont déjà conduit des entreprises françaises à la faillite"

A l'occasion du Forum International sur la Cybercriminalité, le point sur les actions de sensibilisation mises en œuvre par la Gendarmerie Nationale à destination des entreprises et administrations.

La 4ème édition du Forum International sur la Cybercriminalité (le FIC) s'est tenue du 31 mars au 1er avril 2010 à Lille. Un guide à l'attention des chefs d'entreprise a été publié à cette occasion sur la gestion du risque numérique (lire le programme sur le site du FIC 2010).

JDN Solutions. Quel est le principal message que vous souhaitez faire passer aux entreprises françaises à l'occasion du Forum International sur la Cybercriminalité 2010 ?

Rémy Février. D'abord la vocation du FIC 2010 est de couvrir les grandes problématiques liées à la cybercriminalité, depuis les aspects juridiques jusqu'aux actions de coopération internationale mises en place pour y faire face. Et ce, tant au niveau judiciaire qu'en termes de retour d'expériences pour les forces de l'ordre et de la sécurité.

Notre but est aussi de sensibiliser les entreprises à l'importance de la sécurité des systèmes d'information, notamment face à la problématique de la captation d'informations stratégiques. Ce qui est également vrai pour les administrations et les collectivités territoriales. Du fait de notre implantation territoriale, nous sommes le plus souvent confrontés à des PME qui constituent la plus grande partie du tissu économique national : plus de 90% des entreprises françaises ont moins de 20 salariés. Or, on peut constater que la très grande majorité des dirigeants de celles-ci ne se préoccupe pas de la sécurité de leur système d'information.

Notre principal objectif est de leur faire comprendre l'importance d'intégrer la sécurité de leur système d'information à la culture de l'entreprise. Dans cette optique, la sécurité des SI doit faire partie intégrante d'une politique plus globale de gestion des risques. C'est important dans la mesure où cette composante est liée à la fois à des enjeux techniques mais aussi à des facteurs humains.

Quels sont les principaux arguments que vous mettez en avant pour faire passer ces messages ?

Quand je suis face à des responsables d'entreprise, je présente la sécurité du SI comme un avantage concurrentiel indirect. Je fais référence aux travaux de l'économiste Michael Porter. Concrètement, l'idée consiste à réaliser deux constats : d'une part la captation des données stratégiques d'une entreprise est aisée si son système d'information n'est pas protégé. D'autre part, étant donné le fait que peu d'entreprises se préoccupent de sécurité IT, celles qui s'investissent sur ce terrain bénéficient de facto d'une probabilité plus faible de se voir pénétrer et voler des informations stratégiques. Ce qui leur donne donc un avantage concurrentiel indirect.

"Les exemples d'inadvertance dans les PME ayant conduit à des vols de données son nombreux"

Ensuite, notre objectif est de marquer les esprits des décideurs que nous rencontrons pour qu'ils s'approprient cet enjeu de la sécurité, et décident de s'engager. C'est particulièrement important dans la mesure où cette préoccupation doit être portée au plus haut niveau de l'entreprise pour se traduire ensuite efficacement sur le terrain opérationnel et dans les équipes. Rappelons qu'un collaborateur de niveau hiérarchique modeste peut disposer de compétences stratégiques pour la sécurité de son entreprise.

Allez-vous jusqu'à présenter des cas d'école ?

Lors de nos interventions, aussi bien dans les chambres de commerces et d'industries ou les établissements d'enseignement supérieur, nous n'hésitons pas en effet à prendre des exemples de cas d'entreprises qui se sont fait voler des données. Pour certaines, le vol de données a conduit à leur prise de contrôle, voire à leur disparition. C'est le cas par exemple si la société se fait pirater un dossier de R&D. Le concurrent qui aura récupéré les données pourra lancer un produit à un prix bien inférieur, sans avoir à répercuter des coûts de développement.

Quelles sont les principales mesures que vous recommandez de mettre en place pour assurer la sécurité d'un système d'information ?

Nous conseillons aux entreprises et aux collectivités d'élaborer une charte de bonne utilisation d'Internet, de la messagerie électronique et de désigner un responsable de la sécurité SI ayant le soutien de la direction. Mais aussi de sensibiliser les collaborateurs par des formations spécifiques. Les salariés doivent bien comprendre que des précautions particulières doivent être prises dans certains cas. Un cadre ne doit pas considérer un aéroport ou une gare comme une annexe de son bureau, et se connecter au SI en Wi-fi sans aucune précaution. Vous ne savez pas qui peut être derrière vous dans un train, ni dans une file d'attente.

Avez-vous d'autres exemples d'inattentions pouvant conduire à des vols de données sensibles ?

Les exemples d'inadvertance dans les PME ayant conduit à des pertes ou des vols de données sont nombreux : les identifiants et mots de passe notés sur un papier collé à l'écran ou placé sous le clavier, le stagiaire à qui l'on offre un accès complet au système d'information pour ne pas perdre de temps... 

Dans un autre registre, l'entreprise devra avoir une vision sur les risques liés aux liens qu'elle entretient avec son écosystème, ses clients, ses fournisseurs, ses sous-traitants. Là aussi les exemples d'incidents sont nombreux. C'est le cas par exemple d'un vol de disque dur de photocopieur par quelqu'un se faisant passer pour un technicien de maintenance. Même logique pour les PABX qui font parfois l'objet de contrats de sous-traitance et qui impliquent donc une nécessaire vigilance.

Le Commandant Rémy Février, officier sous contrat de la gendarmerie affecté à l'état-major de la Région de Gendarmerie Nord-Pas-de-Calais est chargé de mission d'intelligence économique, et commissaire général délégué du Forum International sur la cybercriminalité. Il est également chargé d'enseignements à l'Université et auprès de grandes écoles. Rémy Février est diplômé d'une école supérieure de commerce, ainsi qu'en Sciences-Politiques, finances publiques et informatique. Il est par ailleurs ancien chef d'entreprise.