Initiation à l'intelligence économique : Comment
se protéger (ou les bonnes raisons de devenir parano )
Introduction : j'imagine que certains pensent que ce domaine ne les concerne
pas et pourtant... L'essentiel de la croissance et de la créativité
en France est portée par les PME. La capacité d'innovation des
toutes petites structures est énorme. Et malheureusement ce sont ces
mêmes structures qui sont aussi les plus mal initiées à
l'intelligence économique alors que leurs richesses en matière
grise en font des cibles prioritaires pour ceux qui cherchent l'information.
Ce mémo s'adresse aussi bien aux employés qu'aux indépendants
et patrons de startup. Son objectif est clair : vous rendre totalement parano.
D'autant que le point faible n'est pas tant le système d'information
que l'humain.
La clause de confidentialité avec vos employés :
Nous sommes nombreux a avoir signé des contrats de travail incluant
une clause de confidentialité. Mais est ce que vous la respectez ?
Dans les années 70 le KGB envoyait de jeunes (et superbes) polonaises
faire les vendanges en France avec l'ordre de séduire un local... Si
le bonhomme était ferré, s'en suivait le mariage... Et le couple
vivait quelques années ... Puis un miraculeux héritage d'une
tante éloignée tombait... Et le couple achetait un bistrot - comme
par hasard en face d'un site militaire... Vous vous dites certainement pourquoi
je vous parle de cela ? Mais pour une raison simple. Le premier point d'information
est le restaurant. Les gens y parlent de tout : information technique, projet
en cours, état d'ame, ... Et c'est aussi l'une des voies royales qu'utilisera
une personne qui se renseigne.
Il est essentiel d'initier les employés ou les membres d'une équipe
à la culture de confidentialité. De plus précisez les règles
dans le contrat de travail et faites les lire à voix haute par votre
employé.
A propos de la clause de non-concurrence ... De nombreuses clauses de non-concurrence
sont léonines (considérées comme non écrites puisque
illégales). Une clause doit être limitée en temps et en lieu et
doit être rémunérée si elle est sollicitée
pour un montant de 50% du salaire brut sur la période couverte par la
clause. Pour les postes critiques provisionnez cette clause et faites tout pour
qu'elle soit légale !
La confidentialité avec vos prospects et vos clients :
Autres points critiques ... Il est tentant pour un commercial de lever le voile
sur vos projets en cours pour renforcer le profil de votre entreprise et prendre
des marchés. Le problème est que c'est aussi une voie de renseignement
critique. Si vous avez réellement besoin de lever le voile sur vos projets
critiques avec un prospect ou client (après une évaluation la
plus objective), vérifiez l'identité et l'activité de votre
prospect ou client, et invitez le. Avant toute chose, assurez vous de visu de
ses motivations et de la maturité de sa demande. Puis faites signer un
accord de confidentialité (NDA) complet que vous aurez fait rédiger
par un avocat spécialisé (au minimum le modèle)... Après
levez le voile mais en vous limitant à ce qui est réellement nécessaire
... Rien de plus.
Définissez vos informations critiques et vos procédures
de sécurité :
Pas la peine de virer à la parano totale. De nombreuses informations
ne sont pas critiques dans une entreprise. La première chose à
faire est justement de définir ce qui est critique et rend vulnérable
l'entreprise en cas d'intrusion. Puis vous devez mettre en place les moyens
de sécuriser l'information... Et pour finir vous devez nommer un responsable
sécurité même si vous êtes une toute petite PME, une personne
de confiance qui ne soit pas le patron peut avoir cette fonction de poils-à-gratter
... Une procédure se sécurité doit etre écrite maintenu
à jour. Chaque mise à jour donnant lieu à un briefing sécurité.
Définissez aussi les niveaux d'habilitation de chaque personne ....
Certains points critiques sont pourtant à tort communiqués. Ainsi
ne communiquez jamais sur la nature même de votre installation informatique,
ni sur les OS et logiciels, ni sur le hardware, ... On est dans le domaine du
"dis moi comment est ton système d'information je te dirais qui
tu es ...". Donc quand vous remplissez un formulaire mettez n'importe quoi
! Genre 5 PC sous BeOS et 3 sur QNX ... D E S I N F O R M E Z ! Meme si le prestataire
est sérieux il est aussi vunérable que vous. Hors plus vous donnez
d'information, plus la probabilité qu'une personne ayant ces informations
se fassent hacker est forte, ...
Protégez votre système d'information :
je vais éviter de parler de sécurité informatique, je
ne serais pas assez compétent. Mais vous vous devez de protéger
votre réseau informatique. Supprimez tous les lecteurs de disquettes
et graveurs de CD ROM, ainsi que les prises USB, IEEE1394, quand c'est possible
et quand ils ne sont pas nécessaires à la fonction de l'utilisateur.
Sinon responsabilisez légalement les utilisateurs.
Surveillez le courrier électronique, mettez des filtres sur le serveur
de mail en interdisant les pièces jointes. Un commercial peut envoyer
un mail avec un lien FTP ou HTTP vers le devis, ou la doc, au format PDF.
Une information critique c'est comme un avion :
je vous propose une analogie à la sauce TOP GUN ! Ok j'avoue limite
j'ai honte. Mais bon, une information critique se protège de la meme
manière. Votre information peut etre blindée (cryptée).
Afin de la protéger contre des attaques. Votre information peut être
camouflé et furtive ( information stockée dans un format inhabituel,
propriétaire, sur un répertoire inhabituel, etc ... J'ai connu
un gars qui protégait ses words critiques dans un répertoire de
counterstrike en les renommant comme des maps ... Et c'était trés
efficace ! La dernière voie est la guerre électronique pure et
dure. Vous noyez votre information au milieu de pleins de fausses informations,
en gros vous brouillez l'écoute (Ok y'en a qui se marrent !!!)
La solution ultime, le double réseau :
Voila une solution que je conseille fortement aux PME qui développent
du brevetable ou des projets industriels pointus et concurrentiels. Le principe
est simple deux réseaux : Un réseau interne ,intranet ou non,
non sortant (pas de connexion à Internet). et un réseau de petits
postes (Linux, ou Imac). Quand il est nécessaire de récupérer
des données sur son poste de développement on passe par le responsable
sécurité... Qui transfert via un support amovible les données
d'un réseau à un autre.
Votre site internet, une arme de guerre :
Quand une personne cherche des informations sur une entreprise elle va fouiller
ce qu'on appelle l'Internet profond. L'une des failles exploitées est
l'absence de redirection sur l'erreur 404 ou l'affichage du contenu d'un répertoire
quand le document par défaut ne s'y trouve pas (index.htm, default.htm,
etc ...)... C'est à la fois un point faible mais aussi un moyen de diffuser
des fausses informations, avec de vrais faux documents commerciaux non publiés
officiellement. Pour l'avoir fait je peux vous assurer que c'est trés
drôle et aussi trés révélateurs ... A la condition
que le moyen pour obtenir ce document ait été du domaine de l'intrusion.
Bon la bonne nouvelle !
En France les sociétés pratiquent encore peu l'intelligence économique.
Mais les sociétés américaines, et asiatiques la pratiquent
fréquemment. Aux Etats Unis c'est meme une affaire d'état. En
France un monsieur "intelligence économique" a été
nommé. Il est trés compétent... Même si cela va finir
par une commission puis des assises de l'intelligence... et comme toujours les
startup seront oubliées !!!
Des sites pour en savoir plus :
Bon OK comme d'hab un business s'organise autour de l'intelligence... Donc
on va aussi jouer sur la parano et nous prendre pour des cons ... Mais comme
dans le domaine du logiciel il y'a matière à la mise en place
d'une communauté pour s'entraider ....
Forum |
Actu |
Glossaire |
Codes |
Tips |
Liens |
Livres |
Annuaire
