I-Expo millésime 2011 s’est déroulé le 18 et 19 mai dernier au parc d’expositions de la porte de Versailles, lieu de rencontre pour les fournisseurs de solutions de veille, de fournisseurs de contenus ou encore de logiciels de gestion des connaissances (Knowledge Management). L’occasion aussi d’assister à des conférences plénières sur des thèmes variés, tels que le droit de l’information, l’accès aux ressources de l’entreprise en mobilité, la vague de l’Open Data qui commence à poindre en France ou encore les réseaux sociaux d’entreprise.
La première conférence plénière à laquelle j’ai assisté concernait les problèmes de confidentialité en entreprise et les moyens d’y pallier. Pour en parler, nous avions le Général Jean-Michel Chéraud, directeur de la protection du groupe Areva ainsi que Maître Alain Bensoussan
La protection des informations chez Areva, par Jean-Michel Chéraud
La structure du service de protection reste classique chez Areva, bien qu’elle soit en cours d’évolution à la suite des enlèvements de personnels en septembre 2010. Le fonctionnement initial reposait sur quatre piliers (personnes, installations, informations, intelligence économique), et il a fallu adopter une position plus transverse, en croisant la logique métier et la logique de milieu (appliqué au cycle de travail d’Areva).
La direction de la protection de l’information doit faire face à plusieurs contraintes :
- Respecter les règlementations nationales et internationales ;
- Les clauses contractuelles avec un partenaire ou un client
- La volonté d’Areva de protéger son propre patrimoine informationnel.
Le groupe Areva s’est doté d’une démarche globale bâtie à partir d’une approche par niveau de préjudice. Pour une information, on identifie le préjudice qu’elle peut causer et on en détermine sa sensibilité et sa confidentialité :
- Diffusion limitée Areva (mesures humaines)
- Confidentiel areva (mesures plus actives tels que le contrôle d’accès)
- Secret Areva (aucun risque accepté, « blindage »)
Areva a du pour cela recenser tous les risques métier, au travers de guides métiers (17), définition de panels de moyens de protection standards avec l’informatique, promotion et formation d’un référent de la protection de l’information présents dans toutes les entités .
- Écueils juridiques : manque de socle juridique (arrêté juillet 2010), multiplicité des textes dans un contexte international, les attaques ne sont plus forcément matérielles et pas toujours détectables, les informations ont une durée de vie très courte et qui sont de plus en plus partagées,
- Écueils techniques : Il manque des solutions de protection françaises pérennes et ergonomiques. Les outils doivent être simples d’emploi, de même que les règles pour éviter que les salariés soient tentés de les contourner.
- Écueils culturels : manque de distinction de vie privée et professionnelle, conscience professionnelle limitée dans certaines contrées, turn-over du personnels, problème du « paraître » (la faute à l’iPhone, si on n’en a pas, on n’a pas d’iPhone) qui n’est pas comblé par l’équipement professionnel, peu d’intérêt pour la protection de l’information.
- Écueils financiers : le problème de la réduction des coûts est un facteur très négatif.
- Problème du nomadisme : les déplacements des managers avec leur patrimoine informationnel.
En conclusion, La responsabilisation des personnes est bien entendu l’élément clé de la protection de l’information.
Questions / Réponses à la fin de la présentation :
Q : Comment protéger l’information non brevetable ?
A : Le travail se fait au moyen de plate-formes par projet. On a affaire à un niveau de protection physique et individuel des informations.
Q : Question sur les réseaux sociaux : quelles règles de conduite pour les personnels (youtube, facebook, twitter, linkedin) : avenants aux contrats, traitement des problèmes ?
A : Areva a mandaté une société laquelle a rendu une analyse complète des échanges sur les réseaux et travaille sur un avenant de contrat de travail des salariés.
Q : existe-il encore des pays où il faut lire le contenu du disque dur d’un PC à la douane ?
A : Areva traite directement avec les services de sécurité locaux (pas plus de précisions, il s’agit de moyens que seule un grand groupe est capable de mettre en place).
Les techniques de protection des informations stratégiques par Me Alain Bensoussan :
En introduction, il a été rappelé que « chacun d’entre nous peut être un James Bond », dans le sens où l’acte d’extraction d’informations importante peut avoir lieu au cours d’un acte presque anodin.
La maîtrise de l’information est un enjeu stratégique pour les entreprises, du fait de leur immatérialité et volatilité. Ainsi, les secrets les mieux gardés sont informatisés donc potentiellement accessibles.
Les entreprises sont confrontées à deux risques majeurs : les pirates (hackers, fraudeurs, démonstrateurs), et les non-pirates (intelligence économique).
Le patrimoine de l’entreprise à protéger prend plusieurs formes (patrimoine intellectuel, patrimoine technique, patrimoine économique) et chacun appelle des réponses différentes.
Dans un premier lieu, Me Bensoussan rappelle le référentiel légal autour de la protection de l’information : il existe un socle principal, norme ISO/CEI 27001 (Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences.) et la convention sur la cybercriminalité de Budapest de 2001, sur lesquelles viennent se greffer une douzaine de lois autour de la protection de l’information dont :
- STAD (Système de Traitement Automatisé de Données) ;
- LSI (Loi de sécurité intérieure) ;
- LSQ (Loi sur la Sécurité Quotidienne) ;
- LSF (Loi de Sécurité Financière) ;
- LCEN (Loi de Confiance en l’Économie Numérique) ;
- DADVSI (Droits d’Auteurs et Droits Voisins dans la Société de l’Information) ;
- LOPPSI (Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieure).
Aujourd’hui, entre la légalité, il existe une frontière ténue entre l’intelligence économique et l’espionnage économique. Pour faire la différence entre l’intelligence économique et l’espionnage il faut conjuguer deux notions juridiques : la disponibilité des informations, et la licéité des moyens employés pour les obtenir.
A partir de là, comment protéger ses informations ? Me Bensoussan distingue quatre caractéristiques les concernant :
- Principes de protections : ils doivent être justifiés, proportionnels, transparents, légaux et loyaux ;
- Étendue des protections : contrôle de l’utilisation des moyens de communication mis à disposition : Internet, messagerie, téléphone etc.
- Formalités à effectuer lors de la mise en place de ces moyens de protection : information des salariés, du CE, consultation des IRP, déclaration à la CNIL ;
- Limites : vie privée résiduelle, délit d’entrave, discrimination.
Un autre écueil se présente : faut-il recourir à la propriété intellectuelle (par dépôt de brevets) ou au secret de fabrication ? La meilleure façon de faire selon Me Bensoussan, c’est d’appliquer une politique contractuelle. Il en distingue quatre types à mettre en œuvre :
- Contrats de sécurité (contrats de conseils, d’audits de sécurité, techniques, d’externalisation)
- Clauses liées à la sécurité (confidentialité, sécurité physique, logique, SLA / SQP, Assurance)
- Contrats relatifs aux outils sécuritaires (cryptologie, signature électronique, certificats électroniques, archivage électronique)
- Contrats relatifs à la confidentialité (accords de confidentialité, charte 4G, charte du KM, règlement intérieur)
En conclusion Me Bensoussan rappelle cinq conseils pour la protection des informations en entreprise :
- Réaliser un audit juridique de la Sécurité des Systèmes d’Information ;
- Mettre en place une charte des personnels 4G ;
- Mettre en place des solutions techniques ;
- Revoir les polices d’assurance de la société ;
- Consulter les 10 conseils de la CNIL pour sécuriser les Systèmes d’Information.
A suivre, en seconde et dernière partie des conférences d’i-Expo : les enjeux des réseaux sociaux pour les services d’information dans les organisations