Espionnage industriel : les PME dans le viseur

La compétition actuelle est avant tout une guerre de l’information. Les PME françaises doivent se protéger, au risque – tout comme les groupes avec lesquelles elles sont en relation – de mettre la clé sous la porte. Aucun secteur n’est épargné car tout intéresse les espions. Si 20 000 PME sont touchées chaque année, 10 000 seulement déclenchent des procédures juridiques pour préserver leur réputation et par manque de recours lié 
à l’absence d’une législation spécifique. Et si l’on pensait «Intelligence économique » pour se défendre ?

Des PME tantôt cibles tantôt sésames

Il y a dans l’espionnage industriel un côté James Bond qui incite les dirigeants et les salariés à croire que le vol d’informations n’arrive que dans les films ou concerne les acteurs du nucléaire et de l’aérospatiale. Faux. Dès qu’il y a concurrence de proximité, le risque d’espionnage existe.

Parce qu’elles évoluent sur des marchés niches nationaux et proposent des prestations « traditionnelles », la plupart de ces PME ne prennent pas de mesures particulières de protection.

La preuve : 9 entreprises sur 10 n’établissent aucun contrat de confidentialité avec l’entreprise chargée du nettoyage de leurs locaux ou de la maintenance de leur site Internet. Elles ne sensibilisent pas les collaborateurs à éteindre leur ordinateur le soir ou encore à ne pas citer dans des lieux publics la marque sur laquelle ils travaillent. Elles donnent aussi parfois des accès illimités à des projets clients…  à des stagiaires. Que dire encore du salarié qui passe un entretien d’embauche chez un concurrent en évoquant un projet stratégique, un mode d’organisation ou les difficultés de son entreprise ?

Ces informations peuvent être le résultat d’investissements conséquents et d’expertises multiples. Des investissements qu’une PME ne pourra pas refinancer.

De plus, les PME sont des partenaires privilégiés de grands groupes qui eux, sont bien protégés. Une des stratégies observées pour attaquer un géant d’un secteur est d’infiltrer en bande organisée le studio de communication ou l’imprimeur de quartier qui va imprimer en urgence pour le prochain séminaire international les présentations du nouveau produit…

Ouverture et fermeture, la schizophrénie des PME

De multiples facteurs ont modifié les contours entre le professionnel et le personnel, c’est-à-dire entre le normé et le libre. Tout d’abord, l’essor du numérique a considérablement ouvert l’entreprise hors de ses murs. Les nouveaux outils du management encouragent le travail collaboratif et à distance pour impliquer le maximum les collaborateurs. Les Réseaux Sociaux d’Entreprise (RSE) stimulent l’innovation par le travail en communauté. La génération Y très à l’aise avec ces outils – de véritables médias en soi – participe à changer un rapport à l’information hier pyramidal, contenu dans un écosystème clos, devenu aujourd’hui transversal et protéïforme. Ensuite, le décor et les usages ont changé. Les projets ramenés le soir à la maison ou encore le télétravail ont amplifié la perméabilité de l’information.

Résultat ?
Des « salariés nomades » manipulent de multiples données qui peuvent se révéler sensibles, cette fois non plus comme contenu, mais comme contenant. Car, l’information possède une nouvelle valeur marchande par son pouvoir de nuisance. Ainsi, un simple mail renvoyé par inadvertance à l’ensemble d’une mailing list avec son historique ou un photocopieur en leasing, dont le disque dur n’a pas été effacé lors de la restitution, peut provoquer un « bad buzz ». Rappelons qu’il faut des années pour bâtir la réputation d’une PME et quelques minutes…  pour la détruire.

espionnage-industriel

Vers un cyber-espionnage généralisé ?

Pour s’emparer d’informations que détiennent les PME, certains vont plus loin : ils rémunèrent des pirates informatiques. La dématérialisation permet d’agir avec moins de risques depuis des pays où la législation est moins répressive. Il est facile d’usurper une identité pour pénétrer dans des zones interdites comme les accès client ou de contourner les protocoles de sécurité d’informations hébergées dans le Cloud. Il n’est pas indispensable d’être un expert en informatique pour fomenter une attaque : des kits prêts à l’emploi sont disponibles sur le « Blacknet2».

De plus, la tendance irréversible du BOYD3 très en vogue dans les PME facilite
les intrusions. L’infection d’appareils mobiles privés comme les tablettes, smartphones ou MP3 permet de rapidement prendre des contenus sans même que l’on s’en rende compte. Ceci n’est pas sans conséquences. Dès le 18 juillet 2012, le sénateur Jean-Marie Bockel s’inquiétait dans son rapport « La cyberdéfense : un enjeu mondial une priorité nationale »,  de l’ampleur de cette cyber-criminalité traduite – pour l’ensemble des acteurs économiques – par 3 à 5 milliards d’euros de perte par an pour le pays.

En attendant une loi pour se protéger

Si le droit français offre des moyens pour défendre la propriété intellectuelle, inscrire des clauses de confidentialité dans les contrats de travail, recourir aux mesures « classiques » de vol de matériel, aucun texte (à la différence des Etats Unis avec le Cohen Act3) à portée générale ne vise explicitement la protection des secrets des PME.  Mais la situation évolue. L’Europe pourrait prochainement proposer
aux entreprises françaises ce qui était inscrit dans le projet initial de la loi Macron : une protection juridique contre l’espionnage industriel. Pour rappel, une proposition antérieure en ce sens avait été déposée en novembre 2013 par la Commission Barroso. Un accord, assorti de plusieurs modifications a été trouvé en mai 2014. La France, représentée par l’ancien ministre du Redressement productif, Arnaud Montebourg, avait salué la valeur ajoutée du texte. Ecarté après les élections européennes, le dossier est maintenant sur la table du Parlement européen et de sa rapporteuse, Constance Le Grip.
Souhaitons que les futurs textes prennent en compte la spécificité des PME qui ont besoin de réponses rapides et instaurent des délais adaptés pour juger les affaires…

De l’intérêt de se former à l’intelligence économique

En attendant, les PME peuvent agir par la mise en place de mesures de protection, de veille et d’influence, autrement dit d’intelligence économique (I.E.). Le gouvernement français a récemment mis en place une délégation interministérielle dédiée www.intelligence-economique.gouv.fr qui diffuse des informations utiles sur le sujet. Ces dispositifs apportent des solutions préventives et stratégiques pour se développer.

La formation des cadres à ces sujets ? « Elle reste insuffisante malgré une amélioration de l’offre ces dernières années » selon Éric Delbecque secrétaire général de l’IERSE – Institut d’études et de recherche pour la sécurité des entreprises. L’ampleur des investissements qu’implique la mise en place d’une sûreté efficace explique aussi les choses. L’Intelligence Economique coûte cher ce qui explique peut-être que seulement 20% des PME le pratiquent.

Glossaire

L’Intelligence Economique

Le terme vient de la traduction de l’expression anglaise « competitive intelligence ». L’expression désigne l’ensemble des activités de collecte, de traitement et de diffusion de l’information utile aux acteurs économiques, en vue de son exploitation. On peut y ajouter les actions d’influence et de notoriété et de protection de l’information. L’intelligence économique se distingue de l’espionnage industriel car elle se développe ouvertement et utilise uniquement des informations blanches ou grises et des moyens légaux, voire éthiques.

Elle s’articule autour du triptyque :

  • Veille (acquérir l’information stratégique pertinente),
  • Protection des informations (ne pas laisser connaître ses informations sensibles)
  • Influence (propager une information ou des normes de comportement et d’interprétation qui favorisent sa stratégie).

Le Blacknet

C’est la face caché d’Internet où plus d’un trilliard de données ne sont pas référencées par les moteurs de recherche.  Le Blacknet regorge d’informations illégales non publiables sur le Web grand public, sous peine de poursuites pénales et de prison. On y trouve de multiples marchés noirs qui se monnayent avec la monnaie virtuelle : le Bitcoin.

Le BYOD

L’acronyme vient de l’expression anglaise : « Bring Your Own Device », littéralement « apportez votre propre appareil ». C’est une organisation des moyens où les employés apportent ou utilisent leurs propres appareils informatiques sur leur lieu de travail. Ceci pour accéder aux ressources de l’entreprise : e-mails, fichiers et bases de données…. Cette pratique peut provoquer des problèmes de sécurité lors de la perte d’un portable ou smartphone personnel par un collaborateur et complexifier le contrôle des utilisateurs qui accèdent au réseau de l’entreprise.

Le Cohen Act

Adopté en 1996, le Cohen Act, du nom de la personne qui a porté le projet ou « Economic Espionage Act » (EEA) est une protection pénale des informations stratégiques des organisations aux Etats-Unis. Cette loi a depuis le 28 décembre 2012 fait l’objet d’une mesure d’extension du périmètre de la protection des secrets d’affaires.

Mots clés associés
Partagez cet article

Envie de commenter cet article ?

Votre adresse email ne sera pas publiée.

Vérification de sécurité *

Haut de page

Inscrivez-vous à la newsletter Mag’RH ! et recevez toute l’actualité RH par email.

Loi Informatique et Libertés Ne plus afficher