Protection de l’information : la nécessaire considération de l’aspect humain
Aujourd’hui, nous observons une tendance générale du monde à numériser les divers aspects de ses activités, notamment économiques, ce qui complexifie toujours plus le traitement ainsi que la maîtrise de l’information.
Alors que l’information afflue de toute part et transite par des systèmes d’information internes et externes aux entités, les surfaces d’attaque et les vulnérabilités se multiplient. Dès lors, le défi consiste non plus à contenir, mais à anticiper celles-ci, afin de préserver des avantages stratégiques.
C’est cette densification de l’information qui justifie l’existence et la pertinence du concept d’intelligence économique (IE), dont nous allons évoquer la définition. L’intelligence économique consiste en la maîtrise et la protection de l’information stratégique pour tout acteur économique. Elle a pour triple finalité :
La protection de l’information peut quant à elle être définie comme l’ensemble des actions visant à préserver le patrimoine informationnel de l’entreprise en vue d’acquérir et de conserver un avantage concurrentiel.
Dans un contexte concurrentiel mondialisé, avec des relations commerciales souvent complexes, le capital immatériel permet à l’entreprise de perdurer, de se démarquer de la concurrence et de s’adapter aux besoins évolutifs du marché.
Or, force est de constater qu’il est difficile pour les entreprises de préserver ou de protéger ce qui est pourtant essentiel à leur développement, à savoir leurs créations techniques, leur savoir-faire et plus largement leurs informations stratégiques.
Compte tenu de leur importance, ces informations sont exposées à des risques, qui proviennent tant de l’intérieur de l’entreprise (salariés, alternants, stagiaires, prestataires) que de l’extérieur (concurrents, médias, ex-salariés ou bien puissances étrangères). La menace interne s’avère bien réelle mais paradoxalement, elle est souvent négligée ou minimisée.
Ces risques peuvent avoir de graves incidences sur la compétitivité de l’entreprise voire sur sa survie. À titre d’exemple, nous pouvons évoquer l’atteinte à l’image ou encore « l’arnaque au Président », qui sont de plus en plus craintes par les dirigeants.
Bien que difficile à valoriser, l’image d’une entreprise constitue l’un de ses éléments incorporels les plus précieux et représente donc une valeur économique considérable.
Ainsi, toute atteinte à la réputation d’une entreprise peut être particulièrement dommageable, voire désastreuse, dès lors qu’elle peut détruire une partie des investissements réalisés. Ces actes entraînent, outre la dévalorisation des investissements de l’entreprise en matière de communication, la dépréciation de l’image de l’entreprise ainsi que l’affaiblissement de sa capacité à attirer de la clientèle.
Tout l’enjeu pour l’entreprise consiste alors en la réduction des risques à un niveau acceptable, sans entraver son fonctionnement.
Pour rester compétitive, l’entreprise ne peut faire l’impasse sur la mise en place de mesures pour protéger son patrimoine informationnel. Cette protection ne se résume pas uniquement à la notion de cybersécurité, mais englobe également les manœuvres offensives de captation d’information de la part de personnes poursuivant un but stratégique : les entreprises doivent en effet protéger leurs informations qu’elles soient physiques ou informatisées. Dans ce contexte, les actions de prévention régulières sont déterminantes.
Ces actions de préventions doivent s’opérer aussi bien de manière individuelles que collectivement, à l’échelle de l’entreprise. La gestion, la protection et éventuellement la diffusion d’information à des fins défensives et/ou d’influence doivent s’articuler autour d’une stratégie globale clairement définie en amont, dans le but de bénéficier de solutions opérationnelles, transversales et globales.
Dans le cadre d’une fuite de données, l’approche classique consistera généralement à mettre en place des mécanismes de détection, de prévention et de résolution d’incidents. Mais il est possible d’aller plus loin en portant une attention particulière aux « signaux faibles » et donc à la faille humaine.
La mise en œuvre de mesures de protection de l’information en entreprise passe par deux principales étapes :
Il est en effet impératif de sensibiliser et d’impliquer le personnel de tous les services de l’entreprise, et plus particulièrement lorsqu’ils ont accès à des informations sensibles, qu’elles soient physiques ou informatiques. Le personnel doit avoir conscience de ce qui est confidentiel, ainsi que des précautions à prendre en cas de contacts extérieurs afin d’éviter toute divulgation accidentelle.
Il faut également souligner que la vigilance dans la protection des informations doit aussi s’exercer à l’égard des informations confidentielles reçues par l’entreprise de la part de ses partenaires, clients et fournisseurs.
Des mesures de restriction peuvent être prévues concernant la diffusion de certaines informations en interne (en fonction du poste occupé dans l’entreprise) et/ou à destination d’interlocuteurs extérieurs.
Ces éléments de sensibilisation participent à l’élaboration et la mise en place d’une véritable politique de protection de l’information au sein de l’entreprise.
La prise en compte de la protection de l’information est aujourd’hui plus que jamais une priorité. Pour créer une culture de sûreté solide et durable dans ce domaine au sein d’une entreprise, plusieurs actions clés sont nécessaires :
Grâce aux différentes prestations qu’il propose et en s’appuyant sur la diversité des expériences en sûreté de ses collaborateurs, le Département Sûreté de FIDUCIAL Sécurité aide les acteurs à mieux appréhender les enjeux de sûreté et les accompagne dans la mise en place de leurs projets. Elle accompagne ainsi les organisateurs dans la définition et la mise en œuvre d’une architecture de sûreté globale : politique de sûreté, organisation et management de la sûreté, gestion d’incidents, ou encore sensibilisations.
Paula COHU, Expert Sûreté – Département Sûreté FIDUCIAL Sécurité
Partager cet article
Posts à l'affiche