Plan marketing, informations stratégiques, lancement de produit, fichier clients... Combien coûte le vol de données aux entreprises françaises ? 30 milliards d'euros en 2014, selon un rapport du cabinet EMC. 50 milliards de dollars en 2013, estime pour sa part la Communications Fraud Control Association, basée aux États-Unis.
De la PME au grand groupe, tous les secteurs concernés
Difficile de chiffrer précisément le préjudice : « Les éléments dont on dispose, fournis notamment par la Direction générale de la sécurité intérieure (DGSI), ne prennent pas en compte de nombreuses sociétés privées, explique Eric Dénécé, directeur du Centre français de recherche sur le renseignement (CF2R), un think tank privé. Ce qui est sûr, en revanche, c'est que toutes les entreprises sont concernées, de l'agro-alimentaire au high-tech. »
« Même une petite PME peut être touchée, renchérit Arnaud Pelletier, fondateur de l'agence Stratég-IE et membre du Syndicat français de l'intelligence économique. Et contrairement à un grand groupe, elle n'a pas toujours les reins assez solides pour se relever. »
Espionnage industriel : surveillance d'État et actions privées
Confronté à l'espionnage industriel, Paris a réagi avec la dernière loi de programmation militaire : plus de 200 « opérateurs d'importance vitale » (des secteurs de l’énergie, de la santé, etc.) doivent mieux sécuriser leurs systèmes informatiques en faisant appel à des sociétés françaises. « Chez nous, c'est encore l'Etat qui explique aux responsables économiques comment se protéger et se renseigner intelligemment, déplore Eric Dénécé. Beaucoup de chefs d'entreprise ne se sentent pas assez concernés. »
Au-delà de l'espionnage industriel proprement dit, les services gouvernementaux et les sociétés de nombreux pays mènent des actions d'intelligence économique parfois à la limite de la légalité.
« Le phénomène s'est accentué avec la démocratisation des outils numériques, observe Arnaud Pelletier. Ce qui était réservé à des États est aujourd'hui à portée de presque tout le monde. La tâche des pirates est facilitée par l'hébergement de données sur le « cloud », l'utilisation d'objets connectés et le BYOD - « Bring your own device », le fait de stocker des informations sensibles sur son ordinateur et son téléphone mobile personnels. »
L'humain au cœur du dispositif de défense
Pour éviter la fuite de données, une entreprise doit déployer une véritable politique de Data Loss Prevention (DLP) ou prévention de la perte de données. Elle suppose :
- d’identifier, classer et chiffrer les données en fonction de leur caractère sensible ;
- d’établir des règles de contrôle des flux, de l’accès et du transport de ces données ;
- de penser à des solutions telles que la détection de micros et caméras lors de réunions stratégiques, ou encore la sécurisation des déplacements de certains collaborateurs.
Autant de procédés qui supposent un large travail de pédagogie auprès des collaborateurs. « La technologie protège, c'est vrai, mais c'est aussi une porte d'entrée pour voler des informations, tempère Arnaud Pelletier. Il faut remettre l'humain au cœur du système : tout le monde doit être sensibilisé, de la secrétaire au PDG. ».
Il s'agit par exemple d'utiliser avec prudence les messageries électroniques et les réseaux sociaux. Et de protéger les données de son ordinateur lorsque l'on est dans une situation sensible, à l'aéroport ou dans un hôtel par exemple.
Pour anticiper les mauvais coups, il faut aussi lancer des actions concrètes pour se renseigner, juge Eric Dénécé. De plus, en agissant de la sorte, une entreprise comprend mieux comment ses concurrents peuvent se renseigner sur son propre compte...