Une entreprise peut acquérir un savoir-faire et des connaissances particulières grâce à son expérience, ce qui peut susciter la convoitise de ses concurrents. C’est ainsi que s’est développé l’espionnage industriel. Sur le plan économique, l’espionnage industriel peut être défini comme l’acquisition et/ou l’interception illicite de secrets d’affaires ou de savoir-faire d’une entreprise rivale. Il peut également consister à déstabiliser un concurrent en divulguant publiquement son avantage commercial et/ou industriel, bien que cela soit moins courant.
Il est donc important de mettre en place des mesures de protection pour que le savoir-faire et les connaissances spécifiques de l’entreprise restent confidentiels, tout en permettant une concurrence loyale entre les entreprises.
1/ Protection physique.
Au sens le plus basique, le contrôle d’accès est une méthode pour réguler qui a le droit d’entrer dans un espace et à quel moment. L’individu qui franchit cet espace peut être un employé, un contractant ou un invité. Il peut arriver à pied, en véhicule ou par tout autre moyen de transport. L’espace qu’il franchit peut être un site, un batiment, une salle ou même simplement une armoire forte. Votre système de gestion des accès contrôle ou limite les entrées et sorties selon des horaires prédéfinis :
Le cylindre électronique, qui remplace le cylindre mécanique traditionnel dans une porte, utilise des émetteurs (comme des émetteurs à puce RFID) au lieu de clés. Certains modèles peuvent également fonctionner avec des codes ou des clés mécaniques.
Pour une sécurité optimale, il est conseillé de combiner votre système de contrôle d’accès électronique avec un service de surveillance humaine, assuré par un agent de sécurité. Les lecteurs de badge, lecteurs d’accès ou badgeuses sont des dispositifs qui identifient de manière unique le porteur du badge (ou de la carte) et contrôlent l’accès aux bâtiments.
L’installation d’un contrôle d’accès biométrique doit être justifiée et ne convient pas à toutes les structures. Pour la plupart des TPE/PME, un système de badge sera généralement suffisant. L’utilisation d’un lecteur biométrique doit être justifiée, par exemple, par le stockage de matériel sensible, de produits dangereux, d’objets de grande valeur, d’armes ou de fonds importants. L’installation d’un système de contrôle d’accès biométrique doit être proportionnelle au risque encouru. Elle ne peut pas être justifiée par un simple besoin de confort.
Un interphone audio et vidéo, ou “portier audio/vidéo”, constitue un premier élément de filtrage, idéalement associé à un agent d’accueil. Celui-ci pourra effectuer une première identification des visiteurs grâce à leur voix et à leur visage, avant de leur ouvrir à distance la porte d’entrée. Une fois ce premier filtrage passé, les visiteurs pourront se présenter à la réception et présenter leur pièce d’identité à l’agent d’accueil pour un contrôle plus approfondi.
Le clavier à code est très similaire au contrôle d’accès par digicode à l’entrée d’un immeuble. Le clavier à code peut être installé en entreprise pour protéger un hall d’entrée, certaines salles ou certains couloirs. Comme le code peut être observé ou divulgué, il s’agit d’une solution de sécurité relativement faible, à utiliser uniquement comme dispositif de sécurité complémentaire interne à l’entreprise.
2/ La protection de la documentation interne.
Mettez en place des procédures exigeantes pour la gestion des documents confidentiels ou stratégiques.
Adopter le “clean desk”, ou bureau propre en français, est une politique d’entreprise qui vise à minimiser la présence d’objets personnels et de documents papier sur les bureaux. En pratique, seuls l’ordinateur, un cahier vierge et un stylo sont généralement autorisés sur le bureau. Tous les autres documents, dossiers et effets personnels doivent être rangés dans des casiers, tiroirs ou armoires dédiés. Il est inacceptable de laisser un document important sur une photocopieuse, où il pourrait être récupéré par un client de passage ou un employé de nettoyage.
Chaque collaborateur a un rôle essentiel à jouer pour prévenir tout accès non autorisé aux informations sensibles. Cela s’applique aussi bien à l’accès aux systèmes d’information et aux applications qu’à l’accès physique aux locaux ou aux documents. La participation de tous les collaborateurs est indispensable pour garantir la sécurité de l’information et la protection de la vie privée.
Un système d’accès (physique ou numérique) a été mis en place pour empêcher tout accès non autorisé à l’organisation. L’accès est sécurisé par un dispositif d’accès spécifique. L’utilisateur peut accéder à des informations confidentielles et sensibles dans le cadre de ses tâches quotidiennes et les déplacer vers un autre endroit où le dispositif d’accès n’est plus opérationnel ou n’est pas applicable. L’utilisateur reste responsable des informations, sous quelque forme que ce soit. Il doit donc veiller à leur protection adéquate. Dès que les informations ne sont plus utilisées par l’utilisateur, celui-ci doit également veiller à leur archivage ou à leur destruction.
3/ L’humain.
Accueillir un nouvel employé dans son équipe peut être un défi. Il est important de s’assurer que le nouvel employé s’intègre bien dans ses fonctions, s’entende avec le reste de l’équipe et mérite la confiance qu’on lui accorde en le formant et en l’accompagnant au début de son mandat. Pour éviter des erreurs potentielles lors de cette démarche, les employeurs ont souvent recours à plusieurs vérifications. Certains appellent d’anciens responsables du candidat pour confirmer ses emplois passés, s’assurent de la validité de ses diplômes, ou bien se rendent sur Internet pour procéder à l’analyse de son e-réputation. Dans certains cas, les services de renseignements peuvent-être sollicitées pour une levée de doute sur un risque élevé de fuite d’information.
Il est important de créer des profils spécifiques pour les stagiaires qui viennent passer du temps dans votre entreprise. Cela permet de limiter les risques de copie de bases de données, de documents sensibles ou de listes d’adresses email par des personnes non autorisées.
Les sous-traitants du système d’information d’un responsable de traitement doivent garantir la sécurité et la confidentialité des données auxquelles ils ont accès. La loi impose qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées comme « sensibles » au regard de la loi, telles que les données de santé ou les données relatives à des moyens de paiement, doivent être chiffrées.
4/ Cloisonner les systèmes d’informations.
L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Pour garantir la sécurité de vos données, il est important de suivre les bonnes pratiques de gestion des mots de passe.
Il est recommandé de paramétrer les postes de travail afin qu’ils se verrouillent automatiquement après une période d’inactivité de 10 minutes maximum. Les utilisateurs doivent également être encouragés à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces mesures permettent de limiter les risques d’utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent concerné. En outre, il est fortement recommandé de contrôler l’utilisation des ports USB sur les postes “sensibles” pour empêcher la copie de l’ensemble des données contenues dans un fichier.
Un système d’information doit être protégé contre les attaques extérieures. Pour cela, il est recommandé de mettre en place des dispositifs de sécurité logique tels que des routeurs filtrants, pare-feu, sonde anti-intrusion, etc. Afin de garantir une protection fiable contre les virus et les logiciels espions, il est important de maintenir à jour ces outils, aussi bien sur le serveur que sur les postes des agents. La messagerie électronique doit également faire l’objet d’une attention particulière. Les connexions entre les sites distants d’une entreprise ou d’une collectivité locale doivent être sécurisées, par l’intermédiaire de liaisons privées ou de canaux sécurisés par technique de “tunneling” ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil, compte tenu de la possibilité d’intercepter à distance les informations qui y circulent. Pour cela, il est recommandé d’utiliser des clés de chiffrement et de contrôler les adresses physiques des postes clients autorisés. Enfin, les accès distants au système d’information par les postes nomades doivent faire l’objet d’une authentification préalable de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.
Enfin, les locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doivent être limités aux personnels habilités. Pour cela, il est recommandé de mettre en place des dispositifs de sécurité tels que la vérification des habilitations, le gardiennage, les portes fermées à clé, le digicode, le contrôle d’accès par badge nominatif, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d’adressages réseau, contrats, etc. soient eux aussi protégés.
5/ Les courriels.
Il est très important de sécuriser les boîtes mails professionnelles car elles peuvent contenir des informations sensibles et confidentielles sur l’entreprise et ses clients. Si une personne non autorisée parvient à accéder à ces informations, cela pourrait avoir des conséquences graves pour l’entreprise, telles que des fuites de données, des atteintes à la vie privée, des perturbations de l’activité ou même une perte financière. La sécurité des boîtes mail est importante pour protéger vos informations.
Il est important de choisir des mots de passe complexes qui ne sont pas faciles à deviner ou à trouver par une personne malveillante. Il est également recommandé d’utiliser un mot de passe différent pour chaque compte afin d’éviter que l’accès à un compte ne donne automatiquement accès à tous les autres.
L’authentification à deux facteurs (2FA) est une mesure de sécurité qui nécessite l’utilisation de deux éléments pour se connecter à un compte. Par exemple, l’utilisateur doit saisir son mot de passe et entrer un code de sécurité envoyé par SMS ou généré par une application de sécurité. Cela rend plus difficile pour une personne non autorisée d’accéder au compte. Il est recommandé d’utiliser une connexion sécurisée lors de l’accès à la boîte mail professionnelle, afin de protéger les données transitant entre l’ordinateur et le serveur de courriel.
Il est important de maintenir les logiciels de sécurité à jour afin de protéger contre les menaces en ligne les plus récentes. Cela peut inclure l’utilisation d’un logiciel antivirus et de pare-feu.
Il est crucial de rester attentif aux e-mails qui semblent suspects, comme ceux qui contiennent des liens ou des fichiers potentiellement dangereux, ou qui paraissent provenir d’une source douteuse. Il est préférable de ne pas ouvrir ces e-mails et de les éliminer sans délai. En respectant ces précautions, vous pouvez sauvegarder votre boîte mail et vos données personnelles contre les menaces sur internet.
6/ Les collaborateurs et partenaires.
Assurez-vous que l’ensemble de vos collaborateurs et partenaires adoptent eux également des niveaux de sécurité élevée, sinon vous mettez en péril vos documents partagés.
7/ Réaliser un audit.
International ICS propose a ses clients professionnels et industries de défense, une opération dite de « TSCM » (contre-mesures de surveillance technique), ayant pour but de rechercher un dispositif d’écoute malveillant placé dans vos locaux et mettre en évidence toute vulnérabilité structurelle ou organisationnelle de la société.
Thomas d. C.
La rédaction International ICS.