Des diagnostics de vulnérabilité gratuits proposés aux PME

Pour les entreprises, les principaux risques de perte d’informations stratégiques se trouvent au niveau de l’outil informatique, la protection physique de site d’activité et le comportement humain. Selon des experts de la gendarmerie, un grand nombre des pertes d’informations n'est pas d’ordre criminel.

Le lieutenant-colonel Pascal Leplongeon, chargé de mission intelligence et sécurité économique dans la Région de gendarmerie du Nord – Pas-de-Calais.
Le lieutenant-colonel Pascal Leplongeon, chargé de mission intelligence et sécurité économique dans la Région de gendarmerie du Nord – Pas-de-Calais.

Qu’est-ce que l’information stratégique chez vous ? A cette question, «la plupart des chefs d’entreprise disent qu’ils ne savent pas».  Le constat, qui peut laisser perplexe, est du lieutenant-colonel Pascal Leplongeon, chargé de mission intelligence et sécurité économique dans la région de gendarmerie Nord-Pas-de-Calais. Ignorance ou négligence ?  Dans un cas comme dans l’autre, cette situation dénote bien la totale absence de stratégie de protection du patrimoine informationnel dans certaines entreprises.

L’information stratégique, pour Pascal Leplongeon, «c’est l’information qui, si elle est perdue accidentellement ou par vol, peut entraver l’activité de l’entreprise ou provoquer l’arrêt pur et simple de cette activité». Et c’est dans le but d’ouvrir les yeux aux chefs d’entreprise quant aux risques liés à leur patrimoine informationnel qu’a été mis en place depuis 2008 le dispositif «Diagnostics de vulnérabilité». Une prestation proposée par la gendarmerie ou la police selon la zone où est localisée l’entreprise. Lorsqu’une entreprise en fait la demande, un «correspondant intelligence économique» est envoyé dans celle-ci. Un ensemble de 90 questions est examiné avec le dirigeant pour déterminer les domaines où son entreprise est potentiellement exposée à des pertes d’informations. «Cela dure 1 heure 30 à 2 heures. Les questions sont divisées en plusieurs items : l’outil informatique, les clients, les fournisseurs, les capitaux, la R&D, la protection physique du site, etc. La finalité, c’est que le chef d’entreprise sache à un instant donné dans quel domaine son entreprise est vulnérable.»

Comme on peut s’y attendre, un des principaux points de vulnérabilité pour les PME se trouve au niveau de l’équipement informatique. Les deux points faibles sont plus surprenants. «Il s’agit de la protection physique du site et du comportement humain», indique Pascal Leplongeon.

 

«Zone sensible». Relativement au site d’activité, les questions peuvent paraître simples. «Existe-t-il une séparation bien identifiée entre la zone ‘client’ et  les ‘bureaux’ ? Le stockage et la destruction des documents sensibles sont-ils contrôlés? L’entreprise a-t-elle défini une zone sensible ?…» Dans certaines PME, la zone sensible de l’entreprise n’est autre que le bureau du dirigeant et éventuellement celui de ses proches collaborateurs. «Une telle zone doit être identifiée. Et il faut déterminer si tout le monde peut y entrer, si pour y entrer il faut un code, etc.» Le site physique est à ce jour le maillon faible, en particulier pour les entreprises du secteur de la logistique.  

Les questions portant sur l’outil informatique sont elles aussi multiples. «Les accès aux applications sensibles sont-ils protégés par un mot de passe ? Les mots de passe sont-ils individuels ? Sont-ils changés périodiquement ? Le personnel est-il informé des risques liés à l’usage des outils numériques (smartphones, ordinateurs portables) ? L’entreprise a-t-elle un antivirus, un pare-feu ? Utilise-t-elle un outil de cryptage ?»

 D.R.

Le lieutenant-colonel Pascal Leplongeon, chargé de mission intelligence et sécurité économique dans la région de gendarmerie du Nord-Pas-de-Calais.

Facteur humain. Mais la vulnérabilité est aussi liée au facteur humain. En effet, «75% de la perte d’informations n’est pas d’origine criminelle, fait savoir le lieutenant-colonel Leplongeon. C’est souvent dû à de la négligence. Ou alors parce qu’on a parlé alors qu’il ne fallait pas. Ou alors c’est de l’intrusion consentie, c’est-à-dire qu’on a permis à des gens de venir visiter et on leur a ‘donné’ des informations. Et puis ce sont aussi les salons professionnels. Quelquefois, les entreprises mettent trop d’informations et leurs concurrents en profitent. C’est tout l’équilibre à trouver entre donner suffisamment d’informations pour être attractif et trouver des clients mais sans en donner trop pour pas que les concurrents sachent ce que fait l’entreprise».

 Transmettre le savoir-faire. Le patrimoine informationnel dans une entreprise, c’est aussi le savoir-faire des salariés. «Les connaissances se perdent lorsqu’il n’y a pas une transmission de ce savoir-faire aux nouveaux salariés avant que les anciens ne partent à la retraite. En Nord-Pas-de-Calais, la perte de connaissances due à la non-transmission de savoir-faire a été observée dans le textile. Il y avait des techniciens capables de régler mécaniquement à l’oreille, de façon précise, certaines grosses machines de l’industrie textile. Et quand les techniciens partaient à la retraite, plus personne n’arrivait à régler les machines qui tombaient en panne.»

A l’issue du diagnostic de vulnérabilité, trois situations sont possibles : risque important, risque existant mais identifié et géré ou, cas souvent rare, pas de risque. La prestation ne coûte pas le moindre centime. En région, la gendarmerie en réalise un peu plus d’une centaine par an.