Contre l’espionnage « légal » : de la méfiance et du bon sens
Faute de méfiance suffisante et de protection de sa protection industrielle, il faut savoir que l’espionnage industriel est le plus souvent fait en toute légalité. Nous laissons tous le loup entrer librement dans la bergerie de nos entreprises, et la plupart des captations de PI se font tranquillement entre 10h et 16h, dans des bureaux ouverts, par la grande porte, et avec peu d’efforts !
Pourtant, pour s’en prémunir, un peu de méfiance, beaucoup de bon sens et quelques conseils peuvent tout changer. C’est la raison pour laquelle inovallée recevait le ? dernier la DGSI, pour sensibiliser ses dirigeants aux risques et leur donner quelques clés pour mieux protéger leurs secrets industriels.
La plupart de ces clés au sein de l’entreprise relèvent du bon sens :
- Identifier les informations sensibles
- Connaître ses forces et ses faiblesses mais aussi celles de ses concurrents
- Hiérarchiser l’information, déterminer un process de stockage qui dépend de la criticité de l’information et gérer des droits d’accès
- Sécuriser ses bureaux : si les portails avec badges d’accès ne sont pas possibles pour toutes les entreprises, prévoir tout de même un accueil, et/ou mettre en place des moyens de détecter la présence d’un inconnu dans les lieux
- Assurer la confidentialité : ne pas laisser traîner de documents stratégiques à la vue de tous, effacer les paperboards des salles de réunion, faire attention aux ordinateurs laissés sans surveillance avec une session windows ouverte, protéger ses impressions par mot de passe pour éviter les documents qui traînent à la reprographie ….
Tout comme en voyage, là où l’espionnage est le plus courant et le plus facile :
- Quoi de plus courant que d’ouvrir son PC dans le train ou dans l’avion : mais rien de plus facile pour celui qui est derrière de tout photographier
- Idem pour les discussions à bâtons rompus pour préparer son RDV stratégique dans le train : une manne d’info pour la concurrence
La confidentialité est d’abord une affaire de méfiance, et la majorité des informations captées le sont de la manière la plus simple du monde, par simple écoute et observation de ce qu’on montre et dit ouvertement.
Cybersécurité : se protéger
Pour autant, l’espionnage industriel passe aussi par des voies moins légales et plus technologiques :
- Nos smartphones sont des trésors de données exploitables : là où il fallait 7 personnes et 1 semaine pour apprendre à connaître quelqu’un, il faut aujourd’hui 2h à 1 personne pour en savoir plus que nous sur nous-mêmes avec les données de notre téléphone … Et ce grâce à toutes ces applis connectées qui nous tracent en GPS, comptent nos pas, accèdent à nos photos, etc, et auxquelles on donne souvent bien plus de droits que nécessaires.
- Les wifi des gares, macdo, hôtels sont des passoires où n’importe quel hacker peut capter mots de passe et identifiants.
- Les clés USB données en goodies sur des salons sont un vrai danger : quand elles ne sont pas des USB Killers, elles ont de fortes chances de contenir des malwares espions
- Attention aussi aux prises de rechargement USB qu’on ne connait pas : préférer la bonne vieille prise électrique.
Pour finir donc, quelques conseils en matière de cyberséurité :
- Protéger ses données dans un espace virtuel, un conteneur chiffré qui permet de tracker les infos qui entrent et sortent
- Mettre en place un MDM (Mobile Device Management) dans son entreprise pour sensibiliser les salariés aux risques liés à l’utilisation de leur smartphone : ne pas télécharger trop d’applis, attention aux réseaux sociaux, attention aux droits donnés aux applis, désactiver le GPS, le wifi et le bluetooth dans les lieux publics lors de son utilisation
- Pour les ordinateurs portables en nomadismes, prévoir un VPN, et une clé sécurisée avec une authentification forte, et installer un écran de confidentialité qui masque l’écran sur les côtés
- Attention aux clouds grand public
- Et ne jamais diffuser ses boarding pass sur les réseaux sociaux et autres billets d’avion avec des QR Codes …
Les hackers sont aujourd’hui très organisés : pour aller plus loin, voir le site de l’ANSSI : https://www.ssi.gouv.fr/