L’espionnage accidentel

7 Septembre 2012
Marc Delhaie



Dans l’inconscient collectif, l’espionnage industriel fait penser à tout un monde de gadgets high-tech et d’agents du renseignement, vêtus d’imperméable, luttant contre le crime organisé. Nous voici bien loin du quotidien du bureau, n’est-ce pas ? Les entreprises mésestiment le risque que présentent les documents papier et perdent de vue la gravité des menaces auxquelles leurs employés les exposent.

83 milliards d’euros dépensés dans la protection

Marc Delhaie, p-dg d'Iron Moutain
Pour faire simple, l’espionnage industriel ou économique se définit par le fait d’obtenir des informations sur une entreprise, d’une façon illégale ou contraire à l’éthique. Les entreprises doivent aujourd’hui se défendre en permanence contre les tentatives d’intrusion de tiers souhaitant accéder à leurs informations depuis l’extérieur. Pour construire une forteresse numérique tout autour de leurs données, elles n’hésitent pas à investir lourdement dans l’informatique. En 2011, par exemple, les gouvernements, l’industrie et les particuliers équipés en informatique ont dépensé quelque 83 milliards d’euros dans des solutions et services de protection contre les menaces externes ; un chiffre qui devrait doubler au cours des cinqs prochaines années.

Mais comme je viens de l’indiquer, l’espionnage économique recouvre de multiples activités, qui ne sont pas toutes manifestement criminelles ou forcément malveillantes. Il existe de multiples catégories d’information et autant de moyens de se les procurer. La responsabilité de la gestion de l’information revenant le plus souvent aux services informatiques, l’attention et les budgets sont alloués à la maintenance et la consolidation des systèmes informatiques. Conclusion : les entreprises mésestiment le risque que présentent les documents papier et perdent de vue la gravité des menaces auxquelles leurs employés les exposent, souvent inintentionnellement.

Une étude récente d’Iron Mountain révèle que les employés de bureau se fient souvent à leur bon sens pour déterminer s’ils peuvent ou non manipuler les informations confidentielles et sensibles de leur employeur. Faute de politique clairement établie, ils décident eux-mêmes des pratiques qui leur semblent acceptables. Les résultats de l’étude vis-à-vis de l’accès aux informations de la concurrence sont d’ailleurs particulièrement intéressants.

L’initié en situation d’espionnage économique est souvent présenté comme l’employé qui sort des informations de l’entreprise, plutôt que celui qui fait rentrer des informations. La liste des profils d’initiés établie par Securelist pour aider les entreprises à identifier les groupes à haut risque et les comprendre, répertorie ainsi quatre catégories :

- « l’initié négligent » , le type le plus fréquent, le plus souvent un exécutant qui laisse fuiter des informations accidentellement ;
- « l’initié naïf » , qui répond sans se méfier à des études de marché intéressées ou d’autres escroqueries procédant par abus de confiance ;

et ceux qui organisent délibérément la fuite d’information, y compris le :

- « saboteur » , souvent un employé mécontent qui se sent lésé,
- et « l’initié déloyal », qui envisage généralement de quitter rapidement l’entreprise.

La faute revient à l'entreprise

Les politiques internes de gestion de l’information doivent absolument tenir compte de chacune de ces catégories de risque, mais comment procéder avec les employés qui font rentrer des informations confidentielles ? Dans son étude, Iron Mountain révèle que plus de la moitié des employés interrogés (53 %), feraient volontiers part des informations recueillies à leur employeur.

L’analyse des réponses obtenues nous apprend que beaucoup parmi les sondés seraient surpris d’être accusés de comportement indigne. De plus, ils seraient nombreux à considérer que la faute revient à l’entreprise, trop négligente dans la protection de ses informations confidentielles. Iron Mountain a souhaité savoir quel comportement les employés de bureau sondés adopteraient, en Europe, s’ils découvraient par hasard des informations confidentielles sur un concurrent.

Les réponses obtenues révèlent des disparités frappantes entre les quatre pays européens étudiés. Par exemple, plus des 2/3 (69 %) des employés en France n’hésiteraient pas à révéler des informations confidentielles s’ils en avaient l’occasion, contre 57 % en Espagne, 50 % au Royaume-Uni et seulement 33 % en Allemagne. Les employés de bureau allemands sont ceux qui rechignent le plus à communiquer des informations obtenues accidentellement, puisqu’ils sont moins d’1/3 des sondés (32 %) à l’envisager, contre 51 % au Royaume-Uni, 61 % en France et 63 % en Espagne.

Un code de conduite

Une conclusion très intéressante s’impose à la comparaison des résultats de l’étude : le comportement des employés est directement lié à la politique de protection des données de l’entreprise et à la manière dont elle leur est communiquée. Ainsi, les sondés allemands sont de loin les plus nombreux à indiquer que les informations confidentielles sont clairement estampillées comme telles dans leur entreprise (67 % des employés, contre 56 % au Royaume-Uni et en Espagne et seulement 49 % en France) et ils sont 80 % à déclarer connaître les consignes de leur entreprise vis-à-vis des informations qu’il est ou non possible de sortir de l’entreprise, 66 % au Royaume-Uni et un peu plus de la moitié des sondés en France et en Espagne (57 et 56 %.)

Voici ce qu’il faut retenir : les mesures mises en place pour éviter toute fuite des informations confidentielles et sensibles de l’entreprise semblent inciter les employés à adopter un code de conduite qu’ils appliquent d’emblée aux informations appartenant à des tiers. La frontière entre comportement éthique et contraire à l’éthique est, et restera floue. La curiosité est un penchant naturel qui, au mieux, stimule la créativité et la motivation. Qu’un employé soit fasciné par les secrets de la concurrence peut signifier sa loyauté envers son employeur et son intérêt pour son secteur d’industrie. S’il nous serait difficile de ne pas jeter un œil à la présentation Powerpoint que visionne votre voisin dans le train, salarié d’une société concurrente, ou d’ignorer la conversation d’employés d’un concurrent faisant une pause devant la machine café entre deux sessions de conférence, la plupart d’entre nous refuseraient d’entrer par effraction dans les locaux d’une entreprise pour copier ou voler des informations confidentielles. Mais entre ces deux extrêmes, finalement, seul notre propre code moral peut nous guider. Des consignes claires de gestion de l’information semblent aider les employés à définir ce code.

En d’autres termes, les directives de gestion de l’information les plus efficaces ne sont pas simplement celles qui protègent physiquement l’information en contrôlant les conditions de stockage, de distribution, d’accès, de sécurité et de destruction, voire même celles qui sensibilisent les employés aux risques de divulguer des informations par inadvertance. Non, ce sont celles qui encouragent les employés à considérer les informations de leur entreprise avec un sentiment de fierté, de propriété et de responsabilité.

À propos de l'auteur : Marc Delhaie est p-dg d’Iron Mountain France, société de réduction des coûts et des risques liés à la gestion, au stockage et à l'archivage des documents et données numériques ou physiques.

Marc Delhaie