Sécurité et Stratégie est une publication du CDSE

05

Dernier numéro : mars 2011

L’entreprise face aux fuites de données

L’entreprise face aux fuites de données

La D2IE aux avant-postes des fuites d’informations : la création du "confidentiel entreprise"

La protection de l’information économique stratégique est une des missions premières de la D2IE (Délégation Interministérielle à l’Intelligence Economique). La création du « confidentiel entreprise », destinée à combler un vide juridique afin de sanctionner la violation et la compromission du secret des affaires, a valeur d’aboutissement pour cet organisme public d’appui aux entreprises. Avant de présenter le texte de loi dont la D2IE est à l’initiative, Marie-Pierre Van Hœcke et Gilles Gray dissèquent le concept « d’information stratégique » et offrent une méthodologie d’identification du caractère stratégique d’une information. Partant du constat qu’elle ne devient stratégique qu’après avoir été traitée et croisée par une entité avec d’autres informations, dans un contexte précis et pour un objectif précis, les auteurs définissent l’information stratégique comme étant celle dont la fuite (que ce soit par accès indu ou par diffusion mal contrôlée) ferait perdre de la valeur à leur détenteur. Une fois l’information stratégique décelée, l’entreprise doit l’analyser dans son cycle de vie et identifier ses différents points de fuite potentiels. Il en va de l’avenir de l’entreprise, pour qui la fuite d’information est constitutive de son fonctionnement dans une économie mondialisée.

La collecte, la diffusion et la protection de l’information sont trois dimensions incontournables de l’activité d’une entreprise dans une société de l’information qui démultiplie l’accès rapide à des informations, en interne comme en externe. Il est indispensable pour les entreprises de communiquer rapidement de l’information à leurs partenaires ou à l’administration et de soigner la communication vers leurs clients. Il leur est toutefois tout aussi essentiel d’identifier et de protéger les informations sur lesquelles elles ne veulent pas communiquer ou auxquelles elles ne veulent pas ouvrir l’accès, le risque de fuite étant inhérent à ces modes de communication modernes et au fonctionnement actuel du monde des affaires mondialisé. Pour autant, les entreprises disposent-elles de l’arsenal suffisant pour respecter ces impératifs ? La législation française, contrairement à celles de certains pays, comme les Etats-Unis qui disposent du « Cohen Act », prend peu en compte la notion de « confidentiel entreprise » dans son dispositif de protection des biens immatériels. Se basant sur ce constat et dans un objectif d’aide aux entreprises de protection de leurs intérêts au bénéfice de leur compétitivité internationale, la Délégation Interministérielle à l’Intelligence Economique (D2IE) s’est attelée, dès sa création en novembre 2009, à ce chantier et propose l’intégration de la notion dans le droit pénal. Cet article étudie le concept d’information stratégique des entreprises au travers de sa définition et de son cycle de vie, ainsi que les différents modes de fuite par diffusion mal maîtrisée ou accès indu à cette information. Il expose ensuite la notion de « confidentiel entreprise » que la D2IE défend et la possibilité de son introduction dans le droit national.

Qu’est-ce qu’une information stratégique ?

Avant de qualifier une information de stratégique, il convient de définir ce qu’est une information. Par quel mécanisme une donnée devient-elle une information ? Une donnée brute est un fait, un nom ou un chiffre, voire un ensemble ou une liste de chiffres, de noms ou de faits. Cette donnée devient une information quand elle est interprétée par une entité ou une personne, qui pourra l’utiliser pour se faire une opinion puis déclencher une action. L’information possède alors une valeur supérieure à la donnée brute. L’interprétation d’une donnée est permise par la connaissance d’un contexte, le croisement avec d’autres données, un traitement de la donnée (des opérations, un tri, un classement, une évolution dans le temps etc.). Par exemple, la valeur d’une action boursière est une donnée, une valeur numérique. Seule, sans connaissance du contexte, elle est d’un intérêt limité. En revanche, si elle est située dans une courbe d’évolution temporelle, elle devient une information pour un actionnaire ou un futur actionnaire, lui permettant de décider s’il veut acheter ou vendre l’action. Une donnée n’est donc une information que pour certains récepteurs, qui en ont besoin à un moment donné, dans un contexte précis, pour une utilisation précise. Ce mécanisme peut être répliqué plusieurs fois, dans une forme d’itération. En effet, l’information peut servir à enrichir un contexte qui permettra l’interprétation de nouvelles données ultérieurement. Elle peut également être croisée avec une ou plusieurs autres informations et fournir ainsi une information de plus haut niveau et de plus grande valeur.

Comment, quand et pour qui une information devient-elle stratégique ? Une information peut être qualifiée de stratégique quand sa possession donne au détenteur un avantage certain. Sa valeur atteint alors un niveau tel que sa perte, sa diffusion ou sa destruction peut faire perdre l’avantage concurrentiel qu’elle procurait à son détenteur premier. C’est cette notion qui est la base du délit d’initié, où l’ « initié » est celui qui détient une information dite « privilégiée », souvent stratégique. Il y a délit si cette information privilégiée est utilisée pour réaliser des gains en bourse, c’est le délit d’ « initié ». Il y a également délit si cette information est diffusée à des personnes ou entités n’ayant pas droit ou besoin d’en connaître, c’est le délit de « communication d’informations privilégiées ». le délit de « communication d’informations privilégiées ». Ces délits sont punis d’amendes et d’emprisonnement. Cette notion peut se décliner dans de nombreux secteurs, qu’ils soient économiques, industriels, sportifs ou même culturels. Une information est rarement stratégique intrinsèquement, elle le devient pour une entité donnée, dans un contexte donné et pour un objectif précis, qu’il convient d’identifier.

Identifier les informations stratégiques dans une entité et les conséquences d’une perte, d’un vol ou d’un détournement

Pour être en capacité de protéger les informations stratégiques, sensibles ou confidentielles, il convient tout d’abord de les identifier. Ce sont celles dont la perte, le vol, le détournement ou la diffusion à des personnes indélicates feraient perdre à leur détenteur beaucoup d’argent ou de résultats de son travail. Quantifier la valeur de l’information et, par là-même, sa hauteur stratégique n’est pas un exercice facile. Souvent, la valeur d’une information réside dans l’unicité de son détenteur, c’est la base de la notion de secret. La compagnie américaine Apple® joue beaucoup sur le secret, qui est, paradoxalement, la base de sa communication.

Pour estimer la valeur stratégique d’une information, il convient d’estimer le type et la hauteur des conséquences de sa perte ou de la perte de l’unicité de détention. Si le secret de la fabrication du Coca-Cola® est resté longtemps si bien gardé, c’est que sa valeur en termes de parts de marché était très élevée. Les savoir-faire uniques sont des informations stratégiques évidentes qu’il s’agit d’identifier prioritairement, les atteintes au savoir-faire étant, selon les statistiques policières, le 2ème mode le plus fréquent d’attaques sur les entreprises. Il convient également d’identifier les personnes-ressources, surtout quand elles sont détentrices uniques ou quasi-uniques du savoir ou du savoir-faire. En revanche, identifier dans une entreprise les autres informations stratégiques se révèle parfois malaisé. Disposer de la liste des fournisseurs d’une entreprise peut permettre à un concurrent mal intentionné de bloquer dangereusement les approvisionnements nécessaires ou de comprendre sur quel nouveau développement de produit l’entreprise travaille. Une liste du personnel peut permettre de repérer une personne-clef dans un process.

Il est évident qu’il ne faut pas se méfier de tout et de tout le monde, mais il s’agit de ne pas considérer une information comme anodine intrinsèquement. La valeur d’une information est proportionnelle aux pertes que son appropriation par une autre entité peut entraîner, soit directement (arrêt d’un process par manque d’approvisionnement), soit indirectement (perte de parts de marché par divulgation d’un savoir-faire à un concurrent). Les conséquences sont, au final, toujours traduites en pertes financières et en pertes d’emplois, mais elles peuvent émaner de plusieurs canaux : la perte d’une avance scientifique, d’un avantage concurrentiel ou d’un leadership au profit de la concurrence, une rupture d’approvisionnement ou une perte de sous-traitants organisées, une perte de clientèle etc. L’identification du caractère stratégique des informations dont elle dispose est un préalable indispensable, mais l’entité doit ensuite en déterminer les points de fuite potentiels dans leur circuit de diffusion et dans leur cycle de vie.

Maîtriser le cycle de vie d’une information L’information, dès sa création, entre dans un cycle de vie, qui la mènera jusqu’à sa destruction, son obsolescence ou son archivage, en passant par son utilisation et sa circulation interne ou externe. A toutes les étapes de sa vie, une information est stockée sur un ou des supports. On pense naturellement aux supports numériques divers (fixes ou amovibles de types serveurs, disques durs individuels ou partagés, sites web, clés USB ou disques durs externes) ou aux supports « papier » (courriers, dossiers, documentation, tableaux blancs, comptes rendus de réunion, bilans, archives, etc.). La mémoire humaine est également un support d’information, qui contient l’expérience, le savoir, l’historique ou le savoir-faire. Beaucoup de ces supports sortent de l’entité et sont donc sujets à circulation indue de l’information. Certaines informations sont même stockées, par nature, à l’extérieur de l’entité, comme les brevets, dessins et modèles, les articles scientifiques ou de presse… Identifier, pour les informations stratégiques, l’ensemble des supports qui peuvent la contenir ou en contenir une partie, puis les modes d’accès à ces supports et les méthodes de diffusion de l’information participe de la démarche de protection. Les accès indus et la diffusion incontrôlée sont autant de points de fuite. On n’oubliera pas de vérifier, à l’étape de l’archivage, qu’une information n’est plus stratégique, qu’elle a bien perdu sa valeur. Sinon, il faudra continuer à la protéger, comme dans ses phases de vie active.

A chaque étape de son cycle de vie, il existe de nombreux points potentiels de fuite dans le circuit de l’information. Mais, il ne peut y avoir fuite d’information que quand il y a circulation, en interne comme en externe. On peut caractériser deux grandes catégories de fuite :
la fuite par accès indu, quand il y a pénétration de l’extérieur de l’entreprise vers l’intérieur,
la fuite par diffusion, quand le détenteur de l’information l’émet de l’intérieur de l’entreprise vers l’extérieur.

La fuite par accès indu

Identifier les points de fuite potentiels revient donc pour l’entreprise, tout d’abord, à lister les points d’accès aux supports de l’information, quels que soient les types de support, (numériques, papiers, mémoire humaine…), et à identifier les fragilités de ces points d’accès. Certains établissements ont défini un parcours dit « de notoriété », qui décrit clairement les seules zones qu’une personne extérieure à l’entité sera autorisée à parcourir. Ce principe d’organisation, s’il ne protège pas contre tous les types d’attaques, est assez performant. Il permet de détecter rapidement toute présence non souhaitée dans un atelier, un bureau d’études ou une salle d’archives.

Selon les statistiques des services du ministère de l’Intérieur, les atteintes physiques sur les sites sont, en fréquence, le 5ème type d’attaques sur les entreprises. Le mode d’intrusion le plus courant dans les entreprises est l’« intrusion consentie », celle d’une personne ou d’une entité que l’entreprise a librement accepté de laisser pénétrer. C’est d’ailleurs, en fréquence, le 3ème type d’attaques recensées contre les entreprises.

Il s’agit tout autant de visiteurs indiscrets que de stagiaires qui, souvent involontairement, incluent des informations stratégiques dans leurs rapports de stage ou de procédures de contrôle et de labellisation organisées sous forme d’audits intrusifs, comme peuvent le faire les services douaniers de certains pays pour les entreprises exportatrices. Le téléphone est un point d’accès relativement facile à de l’information. Peu de personnes vérifient l’identité de l’interlocuteur qui les appelle et peut ainsi se faire passer pour une autorité interne ou externe quelconque. Il suffit à l’intrus de calmer la méfiance éventuelle de son interlocuteur en citant les noms de tel ou tel directeur et sa légitimité sera vite assurée. C’est beaucoup plus fréquent qu’on ne pourrait le penser ! Les intrusions informatiques et autres vols d’ordinateurs sont le 4ème mode, en termes de fréquence, d’agression sur les entreprises françaises. Ici, deux types de fragilité sont à identifier :
les points d’accès aux stockages numériques fixes d’information, qui, s’ils sont mal sécurisés, permettent un accès frauduleux aux données de l’entité qui les détient,
les fragilités de ces « extensions » de l’entreprise vers l’extérieur, que constituent les ordinateurs portables et autres supports numériques amovibles.
Le plan de sécurité des systèmes d’informations de l’entreprise doit prendre en compte ces différents aspects.

La fuite par diffusion mal contrôlée

L’identification des points de fuite de l’information comprend également un autre volet, qui est la diffusion de l’information vers l’extérieur. Le vol de supports numériques amovibles appartient à la catégorie « intrusion ». En revanche, leur perte tient plutôt de la diffusion d’information vers l’extérieur, même si elle est involontaire. Un support perdu ou oublié peut être récupéré par n’importe qui. De la même façon, les conversations entre collègues ou sur téléphones portables dans les trains, les aéroports ou les ascenseurs, sont un vecteur de diffusion de l’information, que tout un chacun a le droit de réutiliser, puisqu’elle a été obtenue légalement. Le comportement humain est une source de points de fuite de l’information, dont l’importance est grandissante avec le fonctionnement actuel des entreprises dans le cadre de la mondialisation. Qui n’a jamais débriefé une réunion dans l’ascenseur ou sur le parvis en sortant de chez un client potentiel ? Qui n’a jamais évoqué au téléphone, dans un train ou une gare, les termes de la réponse que son entreprise va faire à un appel d’offres ? Comment savoir qui sont ces passants inconnus ou si l’ascenseur contient une caméra, ce qui est fréquent dans de nombreux pays ? Tout ceci relève de la diffusion consentie, même si elle est involontaire puisque le destinataire final n’est pas celui qui est visé par l’émetteur. Tentez l’expérience, laissez traîner vos oreilles sur un salon, votre pêche sera sûrement excellente !

La diffusion peut être également volontaire, quand il s’agit d’une conférence donnée dans une université, un salon ou un colloque. L’entreprise devra bien veiller à l’application d’une charte interne dans ce domaine, comme elle doit vérifier le contenu des pages de son site web ou celui des rapports de stage qui sortent de son enceinte ou donner des consignes à ses employés quant aux informations à ne pas dévoiler sur les réseaux sociaux.

La diffusion d’information vers des partenaires extérieurs doit être contrôlée car elle recèle autant de points de fuite, ces partenaires pouvant, eux aussi, être la cible d’intrusions physiques ou suscitées.

La loi sur le secret des affaires : une réponse à un vide juridique

Les entreprises face aux carences légales

La loi française reconnaît, depuis 1967, la détention d’information « privilégiée », qui n’est applicable que dans le domaine boursier et punit le délit d’initié de 2 ans d’emprisonnement et de 1.500.000€ d’amende, montant pouvant être porté jusqu’au décuple du profit. En revanche, la notion de secret des affaires n’est pas reconnue en tant que telle dans le droit positif. Evoqué dans le code de commerce, le secret des affaires n’a jamais fait l’objet d’une définition et la violation des informations stratégiques des entreprises n’est pas réprimée par une infraction spécifique. Pour autant, un grand nombre d’infractions relevant de la violation du secret « lato sensu » sont prises en compte dans l’arsenal législatif par le code pénal, le code des douanes, le code monétaire et financier, le code de la consommation, le code de commerce précité et le code de la propriété intellectuelle. Cependant, le patrimoine et les actifs immatériels des entreprises ne sont pas suffisamment, voire pas du tout, pris en considération par les dispositifs existants. A titre d’exemple, les biens immatériels représentés, entre autres, par l’information et les connaissances acquises par l’entreprise, sont exclus du délit de vol dans le code pénal. De son côté, le code de la propriété intellectuelle prévoit le secret de fabrique, mais ce dernier ne s’applique qu’aux seuls employés de l’entreprise détenant le secret, excluant ainsi les tiers à l’entreprise qui sont pourtant susceptibles, pour des motifs professionnels, d’avoir accès à ce type d’information confidentielle. Cette insuffisance de couverture de l’information stratégique de l’entreprise méritant une protection particulière se manifeste également dans d’autres domaines de la vie des entreprises :
- s’agissant de la protection des systèmes d’information, la législation actuelle protège les logiciels, mais aucunement les informations qu’ils contiennent,
- en matière de protection des brevets, les méthodes et les orientations de recherche échappent à la législation,
- concernant la violation du secret professionnel, ce dernier ne concerne qu’une catégorie bien définie de professionnels (médecins, etc.).

Or, les informations stratégiques et immatérielles des entreprises, tels que les plans stratégiques, les fichiers clients, les projets d’acquisitions ne bénéficient d’aucune protection particulière. Leur compromission et leur divulgation ne sont pas spécifiquement réprimées par la loi, amenant le juge à qualifier ces violations par l’intermédiaire d’infractions « à spectre large » telles que le vol des supports de ces informations, la concurrence déloyale, le faux et usage de faux, l’abus de confiance (ce dernier motif ne pouvant être allégué que vis-à-vis de tiers avec lesquels l’entreprise entretient une relation contractuelle), etc.

Vers la création du « confidentiel entreprise »

La création d’un délit de violation et de compromission du secret des affaires permettrait de combler un vide juridique et aurait pour conséquence de donner à nos entreprises un outil supplémentaire, et facultatif, pour affermir leur compétitivité dans le contexte de la mondialisation. La protection des informations stratégiques des entreprises, ainsi définie dans le projet de texte élaboré à l’initiative de la Délégation Interministérielle à l’Intelligence Economique et en cours d’étude au Conseil d’Etat, est assortie de garanties permettant de préserver l’action de l’autorité judiciaire et des pouvoirs publics, et d’assurer la nécessaire protection des droits de la défense en cas de litige. Par ailleurs, l’absence de mention se rapportant aux informations à caractère social dans la définition proposée dans le projet de texte, exclut en conséquence toute tentative de contournement ou d’entrave aux dispositions du droit du travail et préserve le droit à l’information des salariés et de leurs représentants. Le texte de loi proposé permet donc, d’une part, de définir les informations stratégiques des entreprises dans leur aspect immatériel, d’autre part, de sanctionner leur divulgation ou leur violation intentionnelles avec une peine dont le quantum est logiquement équivalent à celui prévu pour la peine sanctionnant le secret professionnel.

Enfin, ce projet s’accompagne d’un projet de décret en Conseil d’Etat instaurant le « confidentiel entreprise ». Il s’agit d’un élément déterminant qui responsabilise le chef d’entreprise en l’amenant à identifier préalablement les informations qu’il estime susceptibles de relever de la confidentialité nécessaire à la bonne marche de sa structure et à protéger ces dernières par une identification et un marquage spécifiques. Le « confidentiel entreprise » serait, par ailleurs, soumis à une exigence particulière d’enregistrement laquelle, sans devoir se révéler trop pesante au plan du formalisme, présenterait une garantie supplémentaire destinée à éviter, en cas de litige, à d’éventuels chefs d’entreprise indélicats d’exciper d’un secret des affaires a posteriori. Enfin, le « confidentiel entreprise » ne serait opposable ni à l’autorité judiciaire, ni aux autorités administratives compétentes dans l’exercice de leurs missions d’autorisation, de contrôle, de surveillance ou de sanction.

Conclusion

Le risque de fuite d’information est inhérent au fonctionnement actuel des entreprises dans une économie mondialisée et il s’agit, pour les entrepreneurs de le gérer en mettant en place les mesures adaptées à la valeur de l’information à protéger, donc à la hauteur des conséquences potentielles d’une fuite. Il faut également prendre en considération dans ce schéma le risque d’occurrence de la fuite, i.e. le risque que l’événement arrive. En matière de risques sanitaires et de sécurité des personnes, c’est le législateur qui définit les règles et les mesures à prendre. Dans le domaine de la sécurité économique, il incombe à chaque entreprise de décider quelle hauteur de risque elle accepte de prendre dans la gestion de ses affaires. Le risque de fuite lié à l’utilisation des moyens modernes de stockage et de communication des données est un élément bien connu des Directeurs de la Sécurité des Systèmes d’Information (DSSI) et généralement pris en compte dans la politique de protection économique. Il convient de ne pas le négliger, sans toutefois considérer que la sécurisation des matériels informatiques est une protection suffisante. Le risque lié au comportement humain est, lui, relativement élevé et insuffisamment considéré. Il est nécessaire de porter l’effort sur la sensibilisation des personnels et de définir une charte de comportement « hors les murs », tant pour les employés permanents que pour les stagiaires, intérimaires, sans oublier les partenaires extérieurs, comme les traducteurs ou bien encore les partenaires de recherche, par exemple, afin de prévenir les risques de diffusion mal contrôlée.

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE