Dans le cadre de notre coopération avec la CCI Paris Ile-de-France, Denis Deschamps, responsable du département Innovation et Intelligence Économique, nous livre les clefs d’une bonne sécurité à l’échelle de l’entreprise.
La dépossession par l’ouverture
La politique de l’ouverture n’est pas sans poser aujourd’hui quelques problèmes par rapport aux menaces majeures qui pèsent sur les données. Ainsi, l’ open data paraît absolument contraire au système de protection fondé sur un savoir-faire tenu secret par l’enteprise… et le Big Data passe nécessairement par une perte de contrôle (sauf s’il y a eu filtrage effectué des données personnelles) sur ses données.
Le philosophe Michel Serres énonce d’ailleurs qu’on ne sait plus finalement qui est le dépositaire exact de ces données. L’exemple le plus flagrant en sont les données mobiles qui permettent de connaître très exactement les déplacements des personnes grâce aux systèmes de géolocalisation et la mise en ligne des agendas personnels.
En effet, une analyse industrialisée des métadonnées peut toujours mettre en danger une information qui est de nature privée… et peut avoir des conséquences très négatives pour l’entreprise : perte d’un partenariat stratégique, ou encore atteinte à sa crédibilité. Il n’existe pas en effet toujours pas de droit de propriété sur les données elles-mêmes permettant d’en restreindre l’accès ou bien l’utilisation.
Maîtriser le risque
Il importe donc nécessairement d’identifier les risques (avec leurs causes) et d’évaluer leur niveau (avec leurs conséquences), pour pouvoir en assurer préventivement la maîtrise, moyennant une cartographie de processus précisant des parades adaptées comme le dépôt de brevet. Ce dernier est préférable, autant que possible, au droit d’auteur qui ne bénéficie pas d’une harmonisation juridique européenne, en raison notamment de la volonté des auteurs de préserver une spécificité française face au développement du droit de la consommation.
On rappellera à cet égard que le brevet, au-delà des notions fondamentales de secret, de protection et de valorisation, joue d’ailleurs aussi un rôle de coordination essentiel quant à la structuration et de partenariats permettant le développement de la R&D vers le marché[1].
Lorsque le brevet ne peut pas être utilisé, comme plus particulièrement dans le domaine du logiciel où le recours à du « libre de droit » est devenu la pratique d’usage, il importe donc de bien prendre en compte la notion de patrimoine informationnel :
- Comme l’idée, une donnée n’est pas en soi protégeable parce qu’elle constitue seulement un fait brut, non interprété, ni structuré ou stabilisé : la data brute (par exemple, les données publiques rendues accessibles par l’open data) appartient à tout le monde et sa collecte est toujours possible pour enrichissement.
- Mais à partir du moment où elle a été enrichie, cette modification crée des droits sur la donnée qui peut être alors valorisée. Aussi, pour mémoire, le code de la propriété intellectuelle protège les bases de données, mais non les données elles-mêmes, ce qui peut aussi expliquer qu’un producteur de BDD ne peut interdire l’extraction ou la réutilisation de parties non substantielles de cette base.
En fait, plus qu’un droit de propriété exclusif, qui devient très difficile à défendre dans le cadre d’une « économie de la gratuité » (caractérisée par l’absence de prix), il convient de bien faire connaître ses apports au travers de ce qui peut s’apparenter à une forme de publicité ou de « marquage » sur la propriété industrielle que l’on détient.
A noter par ailleurs que le piratage de logiciels (via le Peer2Peer ou bien les intégrateurs de systèmes), compte tenu de droits d’installation non maîtrisés en entreprise et/ou du partage de licences entre salariés, reste plus élevé en France (33% en 2011) qu’en Europe (31%), mais plus faible qu’à l’échelle mondiale (42%)
Les hommes au coeur de la cybersécurité
Sur ces sujets, il ne faut jamais oublier que l’homme constitue toujours le maillon faible en matière de cybersécurité[2] : les salariés de l’entreprise sont les premières cibles de l’hameçonnage (ou « phishing ») qui consiste à faire cliquer sur un lien pour permettre à un logiciel malveillant de s’installer sur les machines de l’entreprise, pour, par exemple, infiltrer le système, chiffrer les bases de données et rançonner l’entreprise pour leur déchiffrement.
Egalement, à mettre en évidence, les techniques d’ingénierie sociale (par exemple, le « montage / arnaque au président »…) qui favorisent d’autant plus les intrusions que les usages (réseaux sociaux, blogs, cloud computing, flash-code) et les supports (PC, smartphones, clefs USB…) se sont largement répandus et complexifiés, en mélangeant allègrement sphères publique et privée.
Le veilleur / spécialiste en IE doit désormais se méfier de plus en plus des fausses données qui sont largement distribuées, comme les usurpations d’identité, grâce à des outils aisément accessibles (comme, par exemple, le fake name generator).
La formation du personnel est alors tout à fait nécessaire pour éviter des problèmes majeurs sur les réseaux sociaux comme des attaques réputationnelles. Là encore, la veille et la surveillance du patrimoine informationnel sont indispensables pour détecter des signaux faibles et identifier les menaces ou risques d’atteinte (qui, quoi, comment ?) et prévoir les réponses / réactions rapides à apporter en cas de crise (étant entendu que l’on sait quoi protéger, comment protéger… ?)
L’IE toujours boudée
Pourtant, quand on sait tout cela, comment peut-on encore expliquer la forte réticence des PME qui continuent en France de délaisser l’intelligence économique dans ses différents aspects.
Aussi bien la veille (même limitée à la surveillance de la concurrence et de la clientèle à partir de « l’information blanche » qui, en tant qu’information commerciale, peut être elle-même protégée par de droit d’auteur) qu’elles ne veulent pas industrialiser au détriment de leur supposée « connaissance historique du marché »… ; que la protection des savoir-faire qu’elles ne pratiquent pas, de même que la sécurité économique qu’elles ne prennent pas suffisamment en compte, au point de subir sans sourciller plus de 50% des intrusions qui sont détectées… ; mais encore l’influence, qui reste très embryonnaire et généralement cantonnée au rôle dévolu aux syndicats professionnels.
Par ailleurs et d’une manière plus générale, il convient de se défendre grâce aux outils de la business intelligence qui peuvent préparer à une éventuelle « gestion de crise »
Pour cela, il convient :
- Tout d’abord, de bien identifier les risques, par chaque métier considéré dans l’entreprise ou la collectivité (activités critiques), pour pouvoir élaborer des scenarii de crise avec des process modélisés. A noter toutefois que toute cartographie des risques, fondée notamment sur une approche statistique (classification avec priorisation des impacts avérés ou potentiels) comporte toujours des zones d’ombre au regard des menaces non connues qui ne peuvent donner lieu à une préparation (au moyen de fiches de continuité d’activité avec solutions pratiques de traitement)…
- Ensuite, de prévoir un dispositif adapté, moyennant un plan de gestion de crise (PGC), un plan de continuité d’activité (PCA). PGC : organisation des procédures / dispositifs d’alerte pour le pilotage opérationnel de la crise, grâce à des « fiches réflexes » attribuant les rôles aux bons destinataires et comprenant les étapes à suivre (avec les supports pratiques liés à chaque étape). PCA avec plan de continuité opérationnel avec les palliatifs métiers définis par type d’impact ou bien par type de crise ; et plan de continuité informatique pour un retour à la normale après phases de test.
A noter que tout process de ce type nécessite bien sûr une mise à jour régulière et également des simulations pour éprouver le dispositif.
Par ailleurs, la mise en place d’un plan de « gestion de crise » doit comporter un volet assurantiel (par exemple, par rapport à l’ouverture des données à la concurrence) et un volet communication.
Il va sans dire que les PME en France sont encore très loin de ce type de comportement
Denis DESCHAMPS
Diplômé de Sciences-Po Paris (1989), Denis Deschamps dirige depuis 2006 l’ARIST Paris Ile-de-France (Agence régionale d’information stratégique et technologique) et est par ailleurs responsable du département innovation et intelligence économique de la CCI Paris Ile-de-France. Entre 2000 et 2006, il a été Secrétaire général du CROCIS (Centre régional d’observation du commerce, de l’industrie et des services), puis responsable du pôle études régionales, information stratégique et technologique de la CCIP.