Dirigeant de PME ou de PMI, le contre-espionnage, très
peu pour vous ? Détrompez-vous !
« En France les
attaques concurrentielles sont négligées. Or ce sont souvent les PME et PMI qui
sont la cible d'espionnage économique, parce qu'elles sont innovantes, et que
les grands groupes du CAC 40 sont mieux sécurisés en interne face à ces
attaques », explique Bernard Lage de la société Geos. Avec l'aide d'experts de l'intelligence économique,
UsineNouvelle.com vous livre une fiche pratique pour vous y retrouver, et
protéger votre entreprise.
I)
SE POSER LES BONNES QUESTIONS
Du bon
sens, encore du bon sens. « On oublie les éléments basiques, il suffit
pourtant souvent de mettre en place des procédures simples pour limiter les
risques », souligne l'expert Frank Puget de la société Kermeur.
Et puisqu'il s'agit de ne pas perdre de vue les règles de base, mieux vaut
cibler par quelques questions clés les zones rouges.
1)
Quel type d'information est détenu par qui ?
Nouveaux
projets du pôle de R et D, tarifs pratiqués par les commerciaux, planning des
livraisons du pôle logistique... qui sait quoi dans l'entreprise ? Un
organigramme de l'information vous permet de faire un premier tour d'horizon
des zones à « sécuriser».
2)
En quoi ces informations sont-elles intéressantes pour
des acteurs extérieurs ?
A
chacun des rendez-vous qui rythment la vie de l'entreprise, des informations
utiles peuvent être collectées par un interlocuteur avisé.
Visites
d'entreprises. Lorsque vous accueillez un potentiel partenaire sur un site
de production, gardez bien à l'esprit que cela attise les curiosités : on a
déjà vu des visiteurs porter des semelles autocollantes, pour recueillir des
résidus de matières composites au sol, afin de les faire analyser ensuite.
Salons. Les salons
professionnels sont un lieu de prédilection pour l'espionnage industriel. Au
mondial de l'automobile par exemple, certains visiteurs arpentent les allées
avec des chemises à carreaux calibrés pour se prendre en photo aux côtés des
nouveaux véhicules, afin de mesurer l'écart d'ajustement entre les pièces de
carrosserie. On croise toujours des individus à plat ventre ou dans un coffre,
ou très occupés à filmer à 2 cm de distance des phares d'une voiture dernier
modèle ! A plus petite échelle, dans n'importe quel salon, il est assez simple
de se faire passer pour un chercheur d'emploi à un stand, dans l'objectif de
recueillir des informations précieuses.
Administrations. Si votre société
se porte candidate à un appel à projets, afin de recevoir des financements
d'une collectivité locale (appel à projet biomasse de l'Ademe
ou de la CRE, fonds de démonstrateur de recherche, prix aux entreprises innovantes
de la Région par exemple), il est fort possible que tout le contenu de votre
dossier se trouve sur Internet. « Via des logiciels très spécialisés, il est
aisé d'avoir accès au web caché : tandis que Google ne nous restitue que 5% des
pages du web réel, « Lexis-nexis » permet d'en
explorer 60 à 70% » explique Franck DeCloquement
de la société Kermeur. Un auditeur d'une société
commercialisant les bombonnes plastiques d'eau s'étonnait ainsi de retrouver
son bilan et son compte de résultats sur la toile, alors qu'il ne les avait
communiqués qu'à un organe administratif. Cette mésaventure s'explique en
partie par cette possibilité de retrouver tout cela sur le web caché grâce au
moteur de recherche adéquat.
Parfois,
une collectivité locale, en voulant faire la preuve de son activisme en matière
de soutien à l'innovation, peut publier des données confidentielles sur les
projets qu'elle finance : en indiquant qu'une société projette de bâtir
certains types de locaux par exemple, des concurrents avisés peuvent parfois en
déduire des informations sur son activité.
Logiciels
de traduction. Autre détail qui nous est donné par Systran,
leader mondial des logiciels de traduction automatique : des secrets
industriels ont été divulgués lorsque des cadres d'entreprises stratégiques ont
copié-collé des textes sensibles dans des traducteurs en ligne, qui ont été
captés par des tiers que sont les salariés de Systran.
En règle générale, tout ce qui passe sur Internet peut être lu !
Discrétion. C'est humain, nous
avons tous tendance à parler en partie de notre travail à nos amis, à nos
proches. Reste qu'il est aisé de capter l'information par ouï-dire. Devant les
entreprises à la pause cigarette, durant les « after work » ou dans les bars, quoi de plus facile que de laisser
ses oreilles traîner ? Les grands bâtiments anonymes sont d'ailleurs souvent la
cible d'intrusions. « Sur le parvis de la défense, nul ne se connaît : il
suffit de dire à la personne qui entre « j'ai oublié mon badge », et
l'on entre très facilement. Cela marche dix fois de suite ! » raconte un spécialiste. Autre technique employée par des
concurrents pour s'informer : les faux entretiens d'embauche. « il suffit d'appâter les gens par un profil de
poste sur mesure via une petite annonce, et de demander au candidat de parler
des projets en cours », raconte un expert.
Face
Book, Twitter et autres réseaux sociaux du web 2.0
sont également un terrain privilégié pour les fureteurs. Les services de
renseignements britanniques ont d'ailleurs la réputation de recruter des jeunes
sur face book selon la capacité qu'ils montrent à s'auto promouvoir.
3)
Comment l'information circule-t-elle entre ces
différents pôles ?
Quels
sont les modes de correspondance pratiqués dans votre entreprise : téléphone,
courrier, livraisons par coursiers ou par la Poste ? Dans une entreprise
familiale en particulier, il est facile de s'installer dans une routine de
confiance et de ne plus faire attention : « tu prends le doc demain sur mon
bureau », « je prends ton courrier » : l'organisation et la
protection des données est souvent floue et informelle.
Téléphone. Espion potentiel
de choix, le téléphone mérite une attention particulière. Les remous
médiatiques autour du Blackberry de Barack Obama et du système échelon
sont en ce sens symptomatiques. « Quand un entrepreneur fait réparer son
téléphone portable, il est facile de le substituer par un spy-phone
(un espion informatique, NDLR) », raconte un expert. Les téléphones fixes
ne sont pas plus sécurisés. «N'importe quelle prise téléphonique peut se
révéler être un dispositif électronique de captation » explique-t-il. Des
micros de basse impédance peuvent être installés.
Photo. Attention
également aux documents que vous transportez sous le bras : outre le fait d'être
oubliés dans un taxi ou un métro, ces documents peuvent être photographiés sans
que vous ne le sachiez. Des dirigeants de Scotland yard et des ministres
britanniques (ou français) se sont déjà fait épingler par des appareils de
paparazzis au zoom très efficace, sur des dossiers sensibles.
4)
Comment et où stockez-vous les informations ?
Qui
gère le parc informatique ? Quelle est la nature des sous-traitants ? Encore
une fois, lorsqu'une routine s'installe, on oublie de faire le minimum. Une
borne wi-fi mal calibrée, et ce sont des débats
internes, des documents qui peuvent fuiter. Des escroqueries de la part d'un
membre de la famille d'un salarié ou d'intérimaires sont toujours possibles.
Des sociétés de ménage extérieures qui ont recours à l'intérim peuvent prélever
de la documentation dans les poubelles ou faire des photocopies, voire prélever
des informations sur clé USB. Les solutions sont assez simples : détruire les
documents avant de les jeter, protéger l'accès aux ordinateurs par des codes
secrets... « Il est possible d'ôter des droits, d’empêcher que les
ordinateurs puissent utiliser des clés USB », explique un informaticien.
Des
sociétés de conseil en intelligence économique (ou des Agences de Recherches
Privées) pourront réaliser pour vous des tests d'intrusion, vérifier les
fragilités du système informatique, faire des essais sur les disques durs pour
voir si des programmes malins ont été intégrés. Les Key logers
par exemple, permettent de voir à distance tout ce qu'un individu tape sur son
clavier. C'est ce qui a, entre autres, été employé pour espionner Yannick Jadot de Greenpeace. « Pour conserver une traçabilité
des échanges, l'entreprise peut aussi vérifier les e-mails, mais il faut que
les salariés soient informés » ajoute un expert.
Circuits
fermés. Votre société doit aussi prendre garde à ne pas voir détournés ses
propres réseaux de surveillance : « même fermés, des circuits internes
peuvent être piratés » rapporte un spécialiste. Mais avant de s'atteler à
ces subtilités, des éléments très simples qui ne demandent pas d'investissement
lourd peuvent être utilisés. « On est pratiquement dans l'exploitation du
bon sens », rappelle Franck DeCloquement. Un
autre spécialiste évoque même une «gestion des risques intrusifs en bon père
de famille ».
A titre
d'exemple, quatre ordinateurs contenant les plans de la prison de Nancy, qui
devrait ouvrir entre le 22 et le 26 juin 2009, ont ainsi été volés en février
dans les locaux de la société de BTP Eiffage, chargée
de la construction. Les disques durs des ordinateurs contenaient également les
codes de fabrication des clefs de ce nouvel établissement pénitentiaire de 690
places. Les cambrioleurs n'avaient eu qu'à forcer une porte et une fenêtre pour
pénétrer dans les lieux. Heureusement les machines ont été retrouvées le 21
mars dans un immeuble en construction. Mais le « happy end » n'est pas toujours
au rendez-vous.
5)
Comment préparez-vous un voyage ?
Un
élément basique que vous gagnerez à ne pas négliger : faites un point avant
chaque déplacement, en toute circonstance. Utiliserez-vous un ordinateur
portable dans l'avion, ou tout autre mode de transport ? « Il est très
facile de photographier un écran à distance», rappelle un expert. Utilisez
en toute innocence une borne wi-fi dans un aéroport,
et c'est tout le contenu stocké dans votre ordinateur qui peut être capté. Si
votre ordinateur est saisi durant un passage à la douane d'un pays, puis vous
est rendu dans les 5 minutes, il peut avoir été copié de fond en comble. En
Chine, les taxis sont sonorisés...
Le lieu
d'hébergement lors d'un séminaire auquel vous pouvez vous rendre à l'étranger
mérite aussi que l'on s'y arrête. Que laisserez-vous sur place en journée ? Que
prendrez-vous avec vous ? Il est possible que la chambre d'hôtel, coffre fort
compris, soit « visitée » en l'absence du propriétaire des bagages, cela s'est
déjà vu. Lors des salons professionnels, des conférences d'experts auxquelles
vous participerez, ou lors du pot en fin de journée, il peut vous arriver de
laisser filer des informations stratégiques, d'indiquer que vous cherchez des
ingénieurs d'un profil particulier, ce qui donne une idée des projets futurs ou
des innovations que vous menez à bien.
Cette
liste vous effraie ? Rassurez-vous : une fois conscient des points faibles,
acheter une déchiqueteuse de papier, suivre les consignes de sécurité,
opérer des piqures de rappel nécessaires n'est pas des plus coûteux. Et puis,
pour démystifier, toutes les entreprises ne sont pas prises pour cible. Voici
néanmoins quelques conseils pour celles qui pourraient l'être, et qui vous
seront des plus utiles mêmes si vous ne faites pas partie du lot des «
espionnées ».
II)
PASSER A L'ACTION SANS DEVENIR PARANOÏAQUE
« Tout
le monde n'est pas systématiquement victime de pillages malveillants »,
rassure Frank Puget. Il s'agit avant tout, concernant les PME-PMI,
d'entreprises travaillant sur des segments à haute valeur ajoutée, sur des
marchés de niche. Car, comme partout ailleurs, espionner a un coût, et
l'attaquant ne prendra d'initiative que si le jeu en vaut la chandelle : il
doit être sûr des gains qu'il pourra par la suite en tirer.
1)
Remettre le curseur sur les yeux et les cœurs de
l'entreprise : ses employés
« A
80% les erreurs sont humaines » explique un spécialiste. Le premier pas
consiste donc pour vous à permettre aux salariés de prendre conscience des
enjeux. Le paragraphe « sensibiliser et former les salariés à la
protection des informations sensibles de l'entreprise », du guide SCIE des bonnes pratiques en matière d'intelligence économique,
est assez renseigné et très utile.
Premier
rempart dont vous ne pourrez pas faire l'économie : bien connaître votre
secteur d'activité, vos clients, vos fournisseurs, vos concurrents, vos
salariés. Mieux vaut cloisonner certains informations stratégiques en interne :
tout le monde n'a pas besoin d'avoir accès à tout. Les procédures de sécurité
que vous mettrez en place doivent être simples : de bon sens, et applicables
sans contraintes majeures. Et rien de tel que montrer l'exemple : si le chef
d'entreprise applique lui-même les consignes qu'il a édictées en direction de
ses salariés, il a d'autant plus de chances de réussir. Encore et toujours,
soyez attentif à vos troupes : même sans le vouloir, un employé déçu est un
terreau fertile pour des attaques non-conventionnelles, des acquisitions
d'informations par le truchement de l'humain. D'autant que la France a
longtemps négligé de prendre la mesure de ce phénomène.
Car
au-delà de la formation, les salariés sont la pierre angulaire de votre
stratégie de protection. Ils sont les yeux et le cœur de votre entreprise, et
peuvent se révéler être un atout majeur comme une vulnérabilité d'ailleurs,
selon le sort que vous leur réservez. « Tout le monde connaît les risques
d'intrusion liés aux systèmes informatiques. Mais la faille est bien souvent
humaine » précise Frank Puget. Des salariés déçus ou en passe d'être
licenciés, un encadrement qui reprend en main une société ayant subi un plan
social de 400 départs, et qui doit gérer à la suite ceux qui restent, tout cela
fragilise de toute évidence une entreprise. Un attaquant utilisera toutes ces
faiblesses.
Votre
entreprise peut être victime d'une atteinte à son image : dénigrement des produits
et services, appel au boycott, mise en cause des dirigeants, diffusion
d'informations erronées, utilisation malveillante du nom de l'entreprise, de
ses marques, détournement de sa communication (slogans - défiguration du site
Internet, mise en ligne d'un faux site...). A titre d'exemple, la
mouvance antinucléaire a lors de l'affaire d'espionnage de Greenpeace et de
Sortir du Nucléaire par EDF inventé un compte twitter
au PDG d'EDF et lui avait prêté les commentaires suivants : «6 ans qu'on
essaye de retrouver le salaud de chez nous qui envoie des docs à Sortir du
nucléaire. Si on avait trouvé, on n'en serait pas là (...)» Ces attaques
qui ternissent la réputation de l'entreprise peuvent aller jusqu'à la mise en
péril de la santé économique d'un groupe.
2)
Se faire conseiller
Pour
mieux protéger votre entreprise, vous pouvez aussi vous appuyer sur des
sociétés de conseil spécialisées : cela n'est pas forcément très coûteux. « Les
PME viennent nous voir quand quelque chose les a alertées » rapporte
Bernard Lage. « Ou lorsqu'un nouveau directeur
général, qui vient d'un grand groupe, s'aperçoit que ce n'est pas sécurisé
».
En
général, le cabinet auquel vous ferez appel vous présentera un devis au
préalable. Si cela vous convient, il pratiquera un audit de sécurité de
l'information, et analysera les menaces et les risques : logiciels, aspects
humains, configuration des locaux... Ensuite, il vous fera des recommandations.
La société Geos par exemple s'est occupée de 7 ou 8
entreprises l'année dernière. Des petites structures dont le chiffre d'affaires
est compris entre 3 et 10 millions d'euros. Voire moins de 1 million d'euros
pour l'une d'entre elles. « Il peut s'agir d'affaires de famille : des
entreprises gérées par l'arrière grand-père, puis le grand-père, le père, le
fils, dans lesquelles on décèle beaucoup de négligences » confie-t-il. Equipement informatique. En termes de
matériel, une lettre de mission pourra vous faire des recommandations et des
estimations de coût : quel type de machine acheter,
traiter directement ou pas avec le fournisseur... « Le chiffrement ne coûte
pas très cher. Parfois il n'est pas nécessaire de mettre en œuvre de gros
investissements, quelques milliers d'euros suffisent », explique un expert.
Une protection contre le risque d'intrusion sur trois postes informatiques
coûte par exemple 1500 euros. L'achat d'un serveur unique, premier pas afin
d'assurer la sécurité informatique d'une entreprise, coûte 20 000 à 30 000
euros suivant la taille de l'entreprise. « Tout dépend du nombre de
sites, de l'importance de la recherche et développement, des unités de
production, de l'ampleur », poursuit l'expert. Pour une structure
moyenne, comptez entre 10.000 et 15.000 euros pour une mission de conseil en
3)
Ne pas franchir la ligne rouge
Lorsque
l'on étend les enjeux de l'espionnage industriel à ceux plus larges de
l'intelligence, beaucoup de « petits conflits de basse intensité » se
font jour : des attaques subversives, des campagnes de dénigrement foisonnent,
sur le terrain. « Il n'y a souvent plus de moyen de savoir qui est votre
adversaire, ni s'il vous attaque vraiment. Parfois c'est tout simplement
imbitable », confie un expert.
Et
c'est là que le bât blesse. Dans ce cadre le jeu du plus malin, se donner les
moyens de riposter ou de se protéger peut mener à flirter dangereusement avec
la loi. « On connaît les limites, on a des droits et des devoirs »
explique un cabinet de conseil : « lorsque le droit ne nous permet pas de
protéger de façon efficace une entreprise, nous préconisons de déposer une
plainte. L'instruction judiciaire permet d'aller sur des comptes bancaires, de
faire des saisies : un arsenal juridique dont nous ne disposons pas à notre
niveau ».
Ce
que vous risquez. Le secret des correspondances privées, le traitement des
données nominatives précisées par la CNIL engagent la responsabilité du chef
d'entreprise, qui être mise en cause en cas de non respect des procédures dans
la mise en place d'un processus de cybersurveillance
des salariés par exemple. Le non respect des dispositions de la loi
Informatique et Liberté est passible d'une amende de 300.000 euros et de 5 ans
d'emprisonnement pour le responsable du traitement des données à caractère
personnel (art. 226-16 à 24 du code pénal). En cas de reconnaissance de la
responsabilité pénale de l'entreprise en tant que personne morale, les amendes
sont quintuplées et les peines peuvent aller jusqu'à la dissolution (art 131-38
et 39 du code pénal).
Illégal. Le guide SCIE des
bonnes pratiques en matière d'intelligence économique fait la liste des actes
et comportements répréhensibles : l'enregistrement des paroles audio ou
images vidéo à l'insu de l'intéressé, l'intrusion volontaire ou involontaire
dans un système informatique et l'utilisation de l'information à des fins de
dénigrement, le vol d'information dans l'entreprise (y compris dans les
poubelles situées dans les locaux de l'entreprise), la corruption active et/ou
passive en France et à l'étranger , l'usurpation ou l'usage de fausses
identités, la simulation de rachat d'une entreprise ou la mise en œuvre de
fausses procédures juridiques pour obtenir des informations sensibles...
Légal. Il liste à
l'inverse les bonnes pratiques à utiliser dans le cadre de la collecte
d'informations : rappeler (par exemple, par la signature d'une charte) aux
collaborateurs impliqués dans la collecte d'informations, le respect des règles
déontologiques et notamment en matière de droit d'auteur, d'utilisation
des fichiers papier ou électroniques contenant des données à caractère
personnel, de recours à des pratiques légales excluant l'obtention
d'informations par toute pression morale ou financière ou par l'emploi de
fausses identités. Faire signer des engagements de « bonnes pratiques » aux
prestataires en intelligence économique auxquels l'entreprise recourt (cf. à
titre d'exemple la charte éthique sur le site de la FEPIE, Fédération des
Professionnels de l'Intelligence Economique).
Un
garde-fou légaliste dont Bernard Lage s'est fait le
chantre. « Quand on fait de l'investigation, on a vite fait de déborder.
L'envie de satisfaire le client, souvent le fait d'auditeurs jeunes, ambitieux,
peut pousser à dépasser la ligne rouge », confie-t-il. « C'est la
classique histoire du feu rouge qu'il est toujours possible de griller»,
renchérit Frank Puget, « Tout le monde sait qu'il est interdit de le franchir,
mais aucun obstacle physique ne l'empêche. Alors certains jettent un coup
d'œil, et passent outre... malheureusement ».
Des techniques
où vous risquerez gros, et au gain peu évident. « Les techniques illégales
sont idiotes » confie Bernard Lage. S'introduire
sur le fichier central de police peut par exemple donner aux enquêteurs privés
l'impression de se valoriser, mais l'information n'y est pas forcément fiable
ni exploitable : une personne entendue pour infraction n'est pas toujours
condamnée, des erreurs de police sont également possibles.
La loi
de Nicolas Sarkozy de 2003, dont les décrets d'application ne sont pas encore
parus, a d'ailleurs introduit un label qui oblige les sociétés d'intelligence
économique à obtenir un agrément sur certains aspects de l'investigation
qu'elles mènent. Pour obtenir l'agrément, les personnels des agences de
recherche privée doivent être diplômés de la licence « Sécurité des biens
et des personnes » de l'université Panthéon Assas II ou de l’IFAR par exemple,
où les étudiants bachotent droit civil, droit pénal... Un agent bénéficiant de
5 ans d'ancienneté dans l'investigation peut également faire valider ses
acquis. Outre la garantie de ne pas violer le cadre de la légalité, faire appel
à une agence de recherches privées agréée permet par exemple de détenir des
rapports qui peuvent être produits en justice avec beaucoup plus de poids.
Source : L'Usine
Nouvelle par Ana Lutzky, (28/04/2009)