Si un dispositif de marquage « Confidentiel entreprise » se prépare, les entreprises doivent néanmoins se prémunir contre les fuites d’informations.
L’arrestation, fin septembre, de deux ressortissants chinois photographiant des prototypes de moteur à propulsion électrique de haute technologie dans une entreprise lorraine a relancé le débat sur les moyens, pour les entreprises, de protéger leur patrimoine matériel et immatériel. Leur mise en examen pour « collecte d’information sur intérêts fondamentaux de la Nation et livraison à une puissance étrangère » prouve l’attention portée à ce type d’agissements, mais ne résout en rien la question de la sécurité entre les murs des entreprises.
Début octobre, la présentation, par le ministre de l’Industrie Eric Besson, d’un projet de dispositif ayant pour finalité la sanction des atteintes au secret des affaires a constitué un début de réponse aux problèmes éprouvés par les firmes, sans pour autant les dispenser de prendre des mesures en interne.
Fortement inspiré par la sphère militaire, un sceau « Confidentiel entreprise » pourrait voir le jour dans les prochaines semaines, complété par un volet judiciaire, une infraction pénale en l’occurrence. L’arsenal nouvellement crée pourrait s’appliquer en cas d’atteinte au potentiel, aux intérêts ou aux positions stratégiques « de l’entreprise en matière scientifique, technique, commerciale ou financière ». Désireux de faire de l’intelligence économique un « un des leviers de notre reconquête industrielle », le ministre a également prévu la mise en place d’une labellisation des pôles de compétitivité.
L’éventuelle classification « Confidentiel entreprise » pourrait poser des difficultés en matière de sélection des documents incriminés, les conditions de leur marquage et de leur accès devant être définies dans les sociétés, tandis que les évolutions technologiques intervenant depuis l’entrée en vigueur de la loi pourraient, in fine, ne pas être couvertes par ce dispositif. Le doute plane également sur les contenus eux-mêmes. Le vol pourrait être qualifié de délit, mais pourquoi pas l’information ? Si on diffuse une information autour d’un produit, pourquoi ne serait-ce pas considéré comme divulguer un secret ?
Le cas des cyber-attaques
La condamnation, le 26 septembre, d’une personne pour vol d’informations par le tribunal de Clermont-Ferrand, suite à une affaire d’espionnage économique, a mis en exergue que le délit porte, à l’heure actuelle, sur les moyens utilisés pour obtenir les données.
Les actions effectuées à l’encontre de l’entreprise sont, pour leur part, observées d’un œil différent selon Christian Harbulot, directeur de l’Ecole de guerre économique. « L’entreprise a le plus grand mal à faire état des attaques dont elle peut être l’objet devant une juridiction. Lors du procès de l’ancien salarié de Michelin, les juges considéraient que l’espionnage était une affaire militaire et non économique », expliquait-il récemment à La Tribune.
Le développement des connexions Internet dans les entreprises a, tout en facilitant la communication entre salariés et en permettant l’émergence de nouveaux marchés, davantage fragilisé les organisations, à commencer par les moins sensibilisées à cet enjeu. Toutes les structures peuvent être concernées, y compris le ministère des Finances ! Leur spécificité réside dans le fait qu’elles peuvent être invisibles pour les firmes : leur système d’information n’est pas forcément attaqué, mais leurs documents stratégiques copiés. « Pour 100 entreprises espionnées, 80 ne le savent pas », évalue dans 20 Minutes Gilles de Chezelles, consultant en NTIC. Clefs USB, disques durs et autres smartphones constituent des matériels éminemment dangereux pour leurs propriétaires.
Agir en interne
Actuellement, l’abus de confiance et l’action en concurrence déloyale figurent parmi les leviers les plus utilisés par les firmes dans ce domaine. Les relations entre individus occupent donc une place prépondérante en matière de protection de l’information stratégique.
Quelques règles simples peuvent être observées : ne pas laisser sans surveillance ses documents en déplacement, changer ses habitudes pour éviter d’être repéré, « fidéliser » ses ex-collaborateurs (par exemple au moyen de stock-options après le départ des employés). Un rappel des clauses de confidentialité est également le bienvenu. Ces conseils, qui peuvent apparaître comme des évidences, constituent les moyens les plus simples de prévenir les risques.
Le secret professionnel apparaît comme primordial : il s’agit de révéler une information considérée comme secrète à une personne qui ne devrait pas la posséder, tandis que le secret de fabrication consiste pour sa part à divulguer un secret de fabrique. Au-delà de la définition des interlocuteurs concernés et des options stratégiques pouvant être mises en œuvre – le dépôt de brevet permet une protection juridique mais oblige à lever le voile sur des éléments, par exemple – les initiatives personnelles des employés peuvent être freinées.
Nombreuses sont les sociétés ayant ainsi édicté, ces derniers mois, des règles de conduite sur les réseaux sociaux. « Si les gens savaient tout ce qu’ils ont comme information publique sur le web, je crois qu’ils feraient beaucoup plus attention », témoigne auprès du quotidien québécois La Presse un détective privé. Le terrain entrepreneurial constitue en effet un marché potentiellement juteux pour ces derniers…