La souveraineté des données est une question centrale pour les entreprises, notamment dans le cadre de la structuration d’une cellule de veille. En l’espèce, si certaines certifications peuvent se révéler opportunes, c’est en étant pragmatique que l’on peut efficacement se prémunir contre une fuite.

Au regard du contexte international et des évolutions récentes des équilibres géostratégiques, on aurait tendance à penser que la souveraineté de la donnée est un point particulièrement visé par les entreprises en quête d’une solution de veille : il n’en est rien. Cette souveraineté est en effet un point qui a toujours été essentiel pour les organisations, quel que soit leur secteur d’appartenance ou leur taille.

Assurer son espace de stockage

La souveraineté de la donnée fait écho à un ensemble d’éléments. Elle est intimement liée à l’origine de la data ainsi qu’à ses modalités de stockage. La donnée doit appartenir à l’entreprise qui la génère, et ne doit subir aucune fuite de l’espace où elle se trouve stockée. C’est un premier niveau de compréhension du sujet, qui s’articule à un second : la localisation exacte de l’espace qui contient cette data. Où se situe celle-ci : en France ? Au sein de l’Union Européenne ? Hors Union Européenne ? On comprend ici que les organisations préfèreront que leurs données soient stockées au sein de l’Hexagone, avec quelques assurances complémentaires. Ainsi, afin de sécuriser au maximum l’intégrité de la donnée, il peut être important de la stocker sur deux serveurs distincts. Si l’un d’entre eux est attaqué, altéré ou détruit, l’autre joue en quelque sorte le rôle de coffre-fort supplémentaire. Pour synthétiser sur ce point, l’on pourrait dire que les organisations sont en recherche de maîtrise et de sécurité.

Des actes simples

En France, cette maîtrise et cette sécurité s’inscrivent dans le cadre d’une politique publique dont la vitrine est l’Anssi, l’agence nationale de la sécurité des systèmes d’information. Celle-ci prend de plus en plus de poids en matière de souveraineté des données. Pour elle, en toute logique, la lutte contre le cyberterrorisme et la cybercriminalité passe par la protection des intérêts des entreprises qui constituent le patrimoine économique français. À cet effet, l’agence de l’Etat développe des réponses évolutives, mais également tout un ensemble de process qui, parfois, peuvent se révéler lourds. C’est le cas par exemple de la certification Opérateur de sécurité du Cloud, qui est appliquée aux éditeurs de solutions alors même que les entreprises clientes elles-mêmes ne demandent pas une telle assurance. Gare ici à l’excès de procédures, dont la portée n’est pas toujours évidente à comprendre dans un marché mondialisé…
En réalité, la souveraineté de la donnée s’effectue surtout par des actes simples, le plus souvent méconnus du grand public et donc des hackeurs potentiels. Pour vivre heureux, vivons cachés ! Et soyons également très pragmatiques.

En matière de veille, c’est sur la notion d’enrichissement qu’une attention doit être spécifiquement portée. En diffusant certaines informations au cœur de leur organisation, nombre de veilleurs commentent et analysent l’information. Ils peuvent se révéler très précis, notamment lorsqu’ils s’adressent à des publics particuliers, internes à l’entreprise. Il n’est pas rare alors qu’ils joignent à l’information transmise un rapport confidentiel, une note stratégique, voire une étude ou une enquête qui n’a pas vocation à être largement diffusée. Gare à ce que de tels documents, éminemment sensibles, ne fuitent pas ! Car avec eux, c’est un peu du savoir et de la stratégie de l’entreprise qui peut se retrouver sur la place publique…

Objet de diverses interprétations, la veille est encore un domaine assez méconnu du grand public. Parmi les quiproquos récurrents subsiste celui de l’amalgame entre la veille et l’espionnage. Alors, réalité ou fantasme ? Pourquoi ces deux notions se confondent-elles ? Comment clairement distinguer la veille et l’espionnage ? Quelles sont, dans les grandes masses, les tactiques utilisées pour soutirer de l’information ?

Dangereusement vôtre : pourquoi une telle confusion ?

Une des causes les plus plausibles pourrait être la cinématographie hollywoodienne. Elle a largement contribué à la diffusion de films liées aux thématiques de surveillance ou d’espionnage industriel. Des affaires comme celle des Swissleaks et des longs-métrages comme Snowden continuent de défrayer régulièrement la chronique. De manière plus fictive, des films ou des séries comme James Bond ou La Casa de Papel sont rentrés dans la culture populaire. Et la recette est souvent toujours la même : surveiller ou hacker de manière illégale semble aussi facile que d’actionner un interrupteur pour allumer une lumière.

Que nous dit la loi sur ce genre de pratiques ?
Le terme espionnage, qu’il soit industriel, commercial ou économique, n’est pas spécifiquement mentionné dans les textes de droit français. Les actions en justice reposent principalement sur la violation :

• Du code pénal (vol de documents, violation du secret professionnel, violation de clauses de confidentialité),
• Des éléments du droit civil (dommages et intérêts pour un préjudice subi),
• Du code de la propriété intellectuelle (violation de brevet).

Le cadre juridique n’étant pas clair, les entreprises sont régulièrement victimes d’espionnage et très peu intentent une action en justice. D’abord par risque pour leur réputation, mais surtout parce que les chances de remporter leur procès sont souvent minces.

Au shaker ou à la cuillère ? Quelles différences entre la veille et l’espionnage ?

La veille et l’espionnage sont deux techniques utilisées pour collecter des informations. Toutefois, la veille acquiert ses informations par des moyens légaux, alors que l’espionnage est revêtu d’un manteau d’illégalité. La veille est le processus mis en place pour surveiller son environnement juridique, technologique et/ou concurrentiel. Elle permet de récolter les informations utiles pour l’activité propre de l’entreprise. L’espionnage commercial, économique et industriel, quant à lui, consiste à recueillir clandestinement des renseignements sur des personnes physiques ou morales, afin d’en tirer un avantage quelconque.

Les informations récoltées par les deux activités divergent également. La veille s’attache à collecter de l’information blanche, et, idéalement, de l’information grise. En d’autres termes, elle cherche respectivement à obtenir des données publiques et/ou à accès relativement restreint. L’espionnage, de son côté, se concentre sur l’information dite fermée, ou non-accessible. Sa collecte renvoie à des pratiques complètement illégales.

L’espion qui m’épiait

La protection de l’Information reste de nos jours une des préoccupations principales des organisations. Ne reculant devant rien, les “espions des temps modernes” n’hésitent plus à employer des techniques douteuses afin d’acquérir des renseignements stratégiques ou confidentiels. Leurs procédés visent aussi bien à exploiter des renseignements techniques que d’origines humaines. De manière non exhaustive, voici un échantillon des techniques utilisées par les espions :

• écoutes téléphoniques ou applicatifs (ex: skype),
• logiciels de type spyware ou virus, 
• vol de données ou piratages informatiques,
• intrusions physiques dans des locaux,
• photographies à l’insu des personnes, 
• recrutement d’anciens employés de concurrents, 
• intimidations, ou fouilles au corps,
• jouer les clients-mystères,
• etc.

La protection des informations est aujourd’hui devenue un sujet sensible pour toute entreprise. Avec le développement des moyens de communication modernes et la prolifération des échanges de toute nature, les données détenues par l’organisation doivent faire l’objet d’une attention renforcée. Alors, quelles types d’informations cela concerne t-il ? Comment les détracteurs de l’entreprise exploitent-ils les failles de sûreté ? Et comment sécuriser ce que la société produit ou émet ? On vous partage quelques trucs et astuces.

Se protéger : pourquoi ? pour quoi ? pour qui ?

Un pan méconnu de l’intelligence économique concerne tous les aspects liés à la protection de l’information. En effet, processus de veille engagé ou non, toute entreprise est à même de collecter, rédiger, traiter et communiquer des données. Et ce, en interne, comme à l’extérieur. Or, ces contenus sont parfois mal maîtrisés, et représentent ainsi une menace à court comme à long terme.

Par ailleurs, il serait illusoire de croire que la protection de l’information en entreprise ne regarde que les données sensibles. En d’autres termes, sécuriser ses données, ce n’est pas seulement mettre à l’abri ses renseignements financiers (investissements, marges, etc.), économiques (parts de marché, chiffre d’affaires, etc.) ou stratégiques (lancements, acquisitions, etc.).
La protection de l’information porte également sur toute indication utile et pertinente relative à l’activité de l’entreprise (fiches techniques, cotations, arguments de vente, etc.). Les informations surveillées dans le cadre de sa veille doivent aussi être protégées. Même s’il s’agit d’informations blanches, c’est-à-dire d’informations disponibles en libre accès sur Internet, savoir ce que l’entreprise suit peut déjà en dire long et révéler une partie de sa stratégie.

Enfin, se protéger ne se limite pas à contrôler les informations gérées par l’entreprise elle-même, et pour elle-même. D’autres informations peuvent être gérées par l’entreprise pour le compte de tiers (partenaires commerciaux, fournisseurs, distributeurs, etc.), et par des tiers pour le compte de l’entreprise. La protection des données intervient donc dans un périmètre plus large que celui réservé à l’organisation propre.

L’information : une mine d’or pour vos détracteurs

L’information, c’est le pouvoir ? En tout cas, obtenir une information, capitale ou non, apporte des possibilités d’actions à son détenteur.

Toute entreprise peut un jour rechercher des informations stratégiques au sujet de ses concurrents, mais l’inverse est également vrai, et chaque organisation peut alors devenir une cible. Il apparaît donc nécessaire d’identifier les différentes menaces probables. Celles-ci peuvent être liées :

• A des actions illicites destinées à exploiter des failles de la politique de sûreté de la société. Exemples les plus fréquents : les vols, les piratages informatiques, ou, plus récemment, les ransomware (prise en otage de données stratégiques d’une entreprise en échange d’une rançon)
• A des campagnes de désinformation. Elles sont généralement vouées à nuire à l’image ou à la réputation de l’entreprise. Elles peuvent naître de rumeurs ou de propos intentionnellement malveillants.
• A un manque de prudence de l’entreprise et de ses collaborateurs. L’absence de surveillance de documents, les déplacements professionnels, la prise de parole publique, le bavardage dans un lieu fréquenté, etc., sont autant d’opportunités de surprendre ou d’obtenir des informations qui ne nous sont pas réservées à l’origine.

Que mettre en place pour sécuriser les informations de l’entreprise ?

De fait, identifier la source des menaces permet de combler les brèches existantes et d’instaurer les correctifs appropriés en conséquence.

• Au sein de l’entreprise d’abord :
  • Les informations “communes”
    • Sensibiliser et responsabiliser les collaborateurs à la sécurité des données (enjeux, conséquences, menaces, etc.).
    • Repenser le cycle de vie et la traçabilité de l’information en rédigeant des procédures pour chaque étape (acquisition, diffusion, conservation, destruction).
    • Encadrer les stagiaires, notamment par rapport à leurs rapports de stage pouvant contenir des informations confidentielles.
  • Les informations dites « sensibles »
    • Inventorier et trier les informations sensibles. Ensuite, lister les personnes pouvant accéder aux différents classements de l’information.
    • Être vigilant et attentif par rapport aux origines et aux conditions de stockage de l’information sensible : chiffrement des données, clauses de confidentialité, etc.
  • Les innovations
    • Protéger ses innovations auprès de l’Institut National de la Propriété Industrielle (dépôt de brevets, dessins et modèles industriels, éléments de recherche et développement, enveloppe Soleau, etc.).
  • Les locaux
    • Sécuriser les accès à l’entreprise (code, badges, biométrie, registre des visites, consignes pour les téléphones portables des visiteurs, etc.)
    • Restreindre l’accès à certaines zones (salle des serveurs, bureaux du PDG, Directeur juridique, R&D, etc.)
    • Encadrer la navigation sur internet en interne en utilisant un compte administrateur
    • Si l’installation d’un quelconque matériel doit être effectuée au domicile personnel, le faire protéger par des moyens techniques efficaces, sélectionner et faire valider l’installateur par l’entreprise.

• Au niveau individuel enfin :
  • L’attitude :
    • Être discret, faire attention à ses propos, surtout dans les lieux publics.
    • Maîtriser sa communication quotidienne (même par réseaux sociaux et dans les e-mails personnels).
    • Rester prudent lorsqu’une personne vient vous aborder. C’est une technique toujours très utilisée pour manipuler et obtenir quelque chose de manière volontaire ou involontaire.
  • Le matériel :
    • Désactiver le Wi-Fi et le Bluetooth sur son téléphone portable professionnel lors de la visite d’un salon professionnel.
    • Mettre en place des codes de sécurité complexes et modifiés régulièrement (ne jamais laisser la session de son ordinateur professionnel/personnel ouverte).
    • Stocker le minimum de données nécessaires sur un ordinateur portable neuf.
    • Ne pas ouvrir d’e-mail d’origine inconnue.
    • Utiliser un support informatique d’origine externe connu et contrôlé.
    • Faire transiter les données très sensibles par la valise diplomatique de l’ambassade française au besoin.