ocdie : protection et défense du patrimoine informationnel et des connaissances
DESCRIPTION
TRANSCRIPT
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Protection et défense du patrimoineinformationnel et des
connaissances
SecrSecréétariat Gtariat Géénnééral de la Dral de la Dééfense Nationale fense Nationale -- Mission du Haut Responsable Mission du Haut Responsable àà ll’’Intelligence EconomiqueIntelligence Economique
Outils Communs de Diffusion de lOutils Communs de Diffusion de l’’Intelligence Economique: 4Intelligence Economique: 4èème pôleme pôle
Eric Delbecque Directeur de l’IERSE
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
INTELLIGENCEECONOMIQUE
INTELLIGENCEINTELLIGENCEECONOMIQUEECONOMIQUE
Source : Référentiel de formationà l ’intelligence économique
Commission A.Juillet . SGDN. 2005
Influence etInfluence etcontre Influencecontre Influence
Protection et Protection et ddééfense dufense dupatrimoinepatrimoine
informationnel informationnel et deset des
connaissancesconnaissances
Intelligence Intelligence ééconomiqueconomique
et organisationset organisations
22
44
Les 5 pôles de l’Intelligence Economique
ManagementManagementde lde l’’informationinformation
et des connaissanceset des connaissances
33
11Environnement Environnement et compet compéétitivittitivitéé
Intelligence
Economique
2
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Sommaire
I/ Patrimoine informationnel
II/ Propriété intellectuelle et industrielle
III/ Politique de sécurité de l’information et des systèmes d’information
IV/ Risques liés à la sécurité et à la sûreté de l’entreprise.
VI/ La gestion des crises
Gestion de CrisePatrimoine Sécurité RisquesPII
3
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
• Les PME-PMI sont en général conscientes de la nécessité d’assurer la protection de l’information stratégique, mais ne disposent pas du temps et des ressources internes suffisantes pour le faire.
• Les menaces sont de moins en moins « physiques » et de plus « immatérielles »
Elles prennent leur source dans la généralisation du numérique et le développement de multiples partenariats.
• Les compétences sont de plus en plus dispersées et l’entreprise de plus en plus éclatée.
• Les échanges avec l'extérieur se multiplient.
• La fonction de « sécurité » n'est pas reconnue à sa juste valeur.
• Les crises ne sont pas anticipées.
La vulnérabilité des PME/PMI
Gestion de CrisePatrimoine Sécurité RisquesPII
4
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
L’entreprise: un réseau d’informations• L’entreprise comporte un patrimoine informationnel qui recouvre toutes les
informations, données et connaissances qu’elle a acquises.
• Les informations représentent un enjeu stratégique pour l’entreprise.
• Elles peuvent être sources d’avantage concurrentiel ou de risque (si elles viennent à être divulguées). La prise de conscience est nécessaire à tous les niveaux de l’entreprise.
• Le droit français ne protège pas l’ensemble du patrimoine informationnel de l’entreprise.
• Seules certaines catégories d’informations sont protégées sous conditions :
– Une partie du patrimoine est susceptible d’être protégée par la propriétéintellectuelle et industrielle (Cf. 4.2).
– Une protection pour le secret de fabrique est prévue par l’article L 152-7 du code du travail.
Il faut donc valoriser le patrimoine informationnel et le protéger.
Patrimoine Gestion de CrisePatrimoine Sécurité RisquesPII
5
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Patrimoine informationnel et législation française
– Il existe d’autres moyens de protection:
• Protection par le secret professionnel• Protection par le secret des correspondances.• Protection par les mécanismes du secret défense.
– La loi dite « Godfrain » protège indirectement les informations en sanctionnant les atteintes au système de traitement automatisé de données.
– Les données à caractère personnel connaissent également une protection juridique de part leur statut particulier.
– L’article 9 du code civil sanctionne la divulgation des informations individuelles (lorsqu’elle porte atteinte à la vie privée).
Gestion de CrisePatrimoine Sécurité RisquesPII
6
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le risque informationnel
Groupes de pressionMenaces externes
Menaces internes
Menaces mixtes
Divulgation d’informations sensibles
Intelligence Economique
Perte/vol d’informations vitales
Attaques image/notoriété
Désinformation
Communication non maîtrisée
Rumeurs
INHES - MININT
Patrimoine Gestion de CrisePatrimoine Sécurité RisquesPII
7
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Les types d’information du patrimoine informationnel
La notion de patrimoine informationnel recouvre divers types d’informations sur l’entreprise:
- Les informations commerciales, financières, industrielles et technologiques (dont la R&D).
- la clientèle.
- le personnel.
- les partenaires commerciaux (sous traitant, fournisseur, financeur…).
- les savoir-faire de l’entreprise.
- les projets de l’entreprise (lancement d’un nouveau produit…).
- les méthodes de distribution.
- les procédés de fabrication.
- les contentieux.
- la situation de trésorerie et/ou fiscale.
- les archives.
- l’état de santé des dirigeants…
Gestion de CrisePatrimoine Sécurité RisquesPII
8
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Compléter la protection du patrimoine informationnel
• Mettre en place une politique globale de sécurité de l’information et des systèmes d’information.
• Organiser une protection physique et technique des informations.
• Elaborer une protection contractuelle des informations.
• Trouver le juste équilibre entre le partage de l’information et sa protection.
Partage Protection
Patrimoine Gestion de CrisePatrimoine Sécurité RisquesPII
9
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Eléments protégeables par le droit de la propriété intellectuelle
• Les inventions, marques, œuvres de l’esprit, dessins et modèles, base de données…sont protégeables.
• La propriété intellectuelle et industrielle est un dispositif stratégique au service de la croissance de l’entreprise.
• Il y a deux types de protection des inventions:- le brevet,- le secret.
Gestion de CrisePatrimoine Sécurité RisquesPII
10
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le brevet
– Ce titre est délivré par l’Institut National de la Propriété Industrielle (INPI) ou l’Office Européen des Brevets (OEB) et confère au titulaire un monopole temporaire d’exploitation sur une invention (maximum 20 ans).
– Pour qu’une création constitue une invention brevetable, elle doit répondre à un certain nombre de critères: nouveauté, application industrielle, activité inventive, conformité à l’ordre public…
– Trois principaux systèmes existent pour l’extension à l’étranger :• La voie nationale • Le brevet européen (qui n’est pas un titre unitaire)• Le PCT (Patent Cooperation Treaty)
Gestion de CrisePatrimoine Sécurité RisquesPII
11
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Inconvénients du brevet :
• Déposer un brevet est coûteux.
• Cela implique de dévoiler une technique.
• Le monopole d’exploitation est pour une durée déterminée sur un territoire donné.
Le brevet
Avantages du brevet :
• Il constitue un bien immatériel sur lequel on peut contracter (ex: licence). L’entreprise doit valoriser son portefeuille de brevets en nouant des partenariats.
• Il ouvre un accès à la justice par l’action en contrefaçon.
Gestion de CrisePatrimoine Sécurité RisquesPII
12
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le secret
Inconvénients du secret :
• Le secret exige une culture affirmée de la sûreté.
• Organiser le secret dans une entreprise nécessite une grande rigueur. Cela peut se révéler contraignant pour le personnel.
• Un concurrent a le droit de produire et vendre le même produit (invention).
• Un concurrent peut déposer un brevet sur l’invention. Dans ce cas, le détenteur du secret prend le risque d’être considéré comme contrefacteur (sauf à prouver un « droit de possession antérieur »).
Avantages du secret :
• Le secret permet de ne pas diffuser ses connaissances vers la concurrence.
• La protection est sans limite dans le temps.
• Le secret ne nécessite aucun frais de procédure en termes de propriété industrielle
Gestion de CrisePatrimoine Sécurité RisquesPII
13
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le droit d’auteur
– L’auteur d’une « œuvre » a droit de propriété sur celle-ci.
– Les « œuvres » protégées par le droit d’auteur peuvent être très variées (livres, conférences, compositions musicales, logiciels, bases de données…) mais doivent toujours être originales (c’est-à-dire porter la marque de la personnalité de l’auteur).
– L’auteur bénéficie de droits moraux (droit au nom, au respect de l’œuvre, de repentir et de retrait) et patrimoniaux (droit de reproduction et de représentation).
– Les droits moraux sont attachés à la personne.
– La durée de protection des droits patrimoniaux est de 70 ans après la mort de l’auteur.
– il est recommandé de déposer les œuvres afin de leur donner une date certaine de création (enveloppe Soleau, société des gens de lettres…).
Gestion de CrisePatrimoine Sécurité RisquesPII
14
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
La marque
• La marque est un titre de propriété industrielle qui doit être enregistré auprès de l’INPI au niveau national et de l’OHMI au niveau communautaire . Une fois enregistrée, elle devient un bien immatériel qui donne un droit exclusif d’exploitation et protège contre la contrefaçon.
• La durée de la protection est de dix ans indéfiniment renouvelable.
• La marque est un titre de propriété qui va acquérir une notoriété et une valeur pécuniaire et sur lequel le titulaire pourra conclure des contrats d’utilisation, source de revenus.
Autres signes distinctifs
• Le nom commercial, la dénomination sociale, l’enseigne et le nom de domaine (permettant l’identification sur internet)...
• La protection de ces signes ne fait pas l’objet d’un droit de propriété industrielle.
• La défense de ces signes en cas d’usage similaire se fonde sur le droit commun de la responsabilité civile.
• La protection est limitée au « secteur commercial » par le principe de spécialité.
Signes distinctifs
Gestion de CrisePatrimoine Sécurité RisquesPII
15
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le risque d’obsolescence de l’image
• Il implique une démarche anticipée.
• L’entreprise doit identifier les éléments qui constituent son image afin de pouvoir les modifier, corriger ou renforcer.
• Ce travail nécessite l’animation d’un réseau d’alertes auprès des clients et partenaires.
Gestion de CrisePatrimoine Sécurité RisquesPII
16
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Groupes de pression
Menaces externes
Menaces internes
Menaces mixtes
Divulgation d’informations sensibles
Espionnage économique
Perte/vol d’informations vitales
Attaques image/notoriété
Intrusion informatique (hacking)
Le risque informatique
Utilisation de logiciels contrefaits
Attaques virales
Sécurisation insuffisante des SI
Défaillance des équipements informatiques
Non respect des habilitations
Perte/dégradation de données et piratage.
INHES - MININT
Gestion de CrisePatrimoine Sécurité RisquesPII
17
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
• Les entreprises se différencient aujourd’hui par leur capacité à gérer leurs ressources immatérielles.
• La sécurité de l’information et des systèmes d’information est donc un enjeu essentiel.
• L’internet a fait apparaître de nouvelles menaces pour les données stockées et envoyées par l’utilisateur.
• La sécurité de l’information n’est pas le domaine réservé des services informatiques.
• La protection du patrimoine informationnel doit être globale et assurée à la fois par des moyens techniques et juridiques.
La protection des systèmes d’information
Gestion de CrisePatrimoine Sécurité RisquesPII
18
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
• Le dispositif de sécurité physique (précédé d’un audit et accompagné d’une validation juridique).
• L’audit de sécurité DCIP (disponibilité, intégrité, confidentialité, preuve/traçabilité).
• La sécurisation du réseau informatique contre les attaques (Installation d’antivirus, pares feux, anti spams…).
• La mise en place d’un contrôle d’accès aux informations (avec différents niveaux d’habilitation).
• La mise en place de moyens d’identification et d’authentification des utilisateurs.
Les principaux moyens techniques de protection
Gestion de CrisePatrimoine Sécurité RisquesPII
19
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
– La classification de l’information.
– L’utilisation de méthodes de chiffrement et de cryptologie.
– L’utilisation de signatures électroniques.
– L’installation d’armoires fortes.
– L’élaboration d’un plan de continuité (de service/d’activité) et de tests réguliers.
– L’utilisation de la télésurveillance.
Les principaux moyens techniques de protection
Gestion de CrisePatrimoine Sécurité RisquesPII
20
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
• Mettre en place une politique de sécurité des SI :
– Déterminer la responsabilité des acteurs concernés par la sécuritéinformatique (RSSI, DSI, utilisateurs…).
– Prévoir des délégations de pouvoirs.
– Prévoir une charte d’utilisation du SI à intégrer dans le règlement intérieur et/ou les contrats de travail et promouvoir une culture de la sécurité.
Les principaux moyens juridiques de protection
Gestion de CrisePatrimoine Sécurité RisquesPII
21
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
• Intégrer dans les contrats de l’entreprise des clauses de confidentialité(contrats de travail, contrats avec les prestataires …) et élaborer des accords de confidentialité.
• Mettre en place une démarche de conformité à la réglementation afin d’éviter l’engagement de la responsabilité de l’entreprise.
• Ex : vis-à-vis des obligations prévues par la Loi informatique et liberté du 6 janvier 1978 relative aux données à caractère personnel.
• L’entreprise doit désigner en son sein un correspondant à la protection des données à caractère personnel qui fera le lien avec la CNIL.
Les principaux moyens juridiques de protection
Gestion de CrisePatrimoine Sécurité RisquesPII
22
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Exemples
• En mai 2008, à Dijon, la gendarmerie a démantelé un réseau de 22 pirates âgés de 14 à25 ans soupçonnés d’avoir profité des failles de sécurité des sites internet de 34 PME en France, en Russie et en Islande.
Cuir CCM
• Cuir CCM est une entreprise qui s’est faite piller ses données informatiques.
• La boîte email du dirigeant était contrôlée par une société concurrente. Elle a pu s’emparer de données essentielles et confidentielles pour cette PME.
• Une plainte a été déposée auprès du procureur de la république pour espionnage industriel, vol de données et contrefaçon.
Gestion de CrisePatrimoine Sécurité RisquesPII
23
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
La sécurité du patrimoine informationnel
• La sécurité du patrimoine informationnel doit faire partie intégrante de la culture de l’entreprise.
• En plus des protection techniques, l’entreprise s’assurera contre les pertes de données provoquées par un accident ou un acte de malveillance.
Gestion de CrisePatrimoine Sécurité RisquesPII
24
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
La sécurité/sûreté c’est :
• 1: détecter, calculer, hiérarchiser les risques et menaces de toutes natures. Renseigner les instruments de pilotage de la politique de protection. Créer des communautés d’experts internes et externes dédiés à chaque menace.
• 2: organiser la sécurité et la sûreté de l’entreprise en partenariat avec les services de l’Etat et le marché de la protection. Imaginer des scénarii de crise et appliquer le calendrier des obligations légales et réglementaires.
• 3: Créer pour chaque crise potentielle une cellule de crise virtuelle composée des experts identifiés préalablement. Préparer pour chaque éventualité un processus de gestion de crise.
Les 3 étapes de la politique de sécurité et de sûreté
Gestion de CrisePatrimoine Sécurité RisquesPII
25
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Eventail de la protection
Les huit familles de risques et de menaces qui pèsent sur l’entreprise.
INHES - MININT
Gestion de CrisePatrimoine Sécurité RisquesPII
26
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Inondations
Menaces externes
Menaces internes
Menaces mixtes
Phénomènes volcaniques
Incendie
Raréfaction des ressources énergétiques
Grêle
Tremblement de terre
Le risque environnemental
Typhons, Ouragans, tornades, tempête
Phénomènes climatiques
Avalanches
Mouvements de terrain
Foudre
Tsunamis
Pollution chimiqueINHES - MININT
Gestion de CrisePatrimoine Sécurité RisquesPII
27
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le risque environnemental
• Les menaces environnementales qui concernent l’entreprise font l ’objet d’une abondante documentation.
• Le dossier départemental des risques majeurs et sa déclinaison municipale constitueront la porte d’entrée idéale dans la prévention des risques environnementaux.
• Les normes ISO 14001 et suivantes permettront à l’entreprise de découvrir à la fois les enjeux des risques environnementaux et d’entamer une procédure de certification.
• Le risque environnemental anticipé et bien traité doit se transformer en avantage concurrentiel et en image positive.
• Exemple: Dacral, société de l’Oise spécialisée dans la fabrication de pièces détachées, entreprise polluante, s’est faite certifier ISO 14001 avec pour objectif d’améliorer son image.
Gestion de CrisePatrimoine Sécurité RisquesPII
28
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Prolifération d’agents pathogènes
Menaces externes
Menaces internes
Menaces mixtes
Toxicologie
Maladies tropicales
Le risque sanitaireLégionellose
Epidémie/pandémie
Stress des collaborateurs
SRAS
Infections nosocomiales
Pollution biologique
Pollution bactériologique
INHES - MININT
Amiante
Infections méningocoques
Encéphalopathie spongiforme
Grippe aviaire
Intoxications alimentaires
Accidents du travail
Contamination de produits
Champs électromagnétiques
Maladies professionnelles
Gestion de CrisePatrimoine Sécurité RisquesPII
29
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le risque sanitaire
• L’entreprise doit mettre en place une veille sanitaire de manière àprévenir accidents du travail et maladies professionnelles.
• La responsabilité pénale de l’entreprise ou du chef de l’entreprise peuvent être mises en cause même en l’absence d’accidents ou de maladies.
L’article 223-1 du code pénal sur la mise en danger d’autrui engage la responsabilité de l’entreprise même en l’absence d’accidents.
• Le défaut d’anticipation, l’absence de perception des risques sont désormais sanctionnées pénalement.
• Exemple: l’hôpital Pompidou touché une nouvelle fois par une épidémie de légionellose en 2007, suite à deux vagues en 2000 et en 2006.
Gestion de CrisePatrimoine Sécurité RisquesPII
30
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Chantage
Menaces externes
Menaces internes
Menaces mixtes
Embargo
Le risque politique, sociétal et humain
Fraude
Violences psychologiques
Harcèlements
Vol d’actifs
Comportements déviants
Sabotage
Violences physiques
Dégradations
Conflits armés
Crimes organisés
INHES - MININT
Emprises sectaires
Débauchage
d’un homme clé
Gestion de CrisePatrimoine Sécurité RisquesPII
31
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le risque sociétal
• L’entreprise doit mettre en place une veille sociétale de manière àpercevoir les changements de goût, de valeur, qui fondent l’adhésion de ses clients.
• Le risque sociétal de perte de fidélité doit être anticipé aussi loin et aussi en amont que possible.
• Exemple: en s’intéressant à la façon dont se maquillent les adolescentes chinoises, l’Oréal a su anticiper sur l’évolution du goût de ses futurs clients.
Gestion de CrisePatrimoine Sécurité RisquesPII
32
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
boycott
Menaces externes
Menaces internes
Menaces mixtes
Non cohérence objectifs/stratégie/
plan de développement.
Ralentissement économique
Insatisfactions client
Le risque stratégique
Dépendance
Gouvernance inadaptée
Mauvais choix d’investissement
Retour de produits
INHES - MININT
Concurrence et nouveaux entrants
Défaillance fournisseurs
Retour de produits
Gestion de CrisePatrimoine Sécurité RisquesPII
33
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le risque stratégique
• Une perception élargie des menaces et des opportunités de toutes natures susceptibles de modifier les conditions de la performance permettra à l’entreprise d’écarter d’innombrables dangers.
• Par exemple, l’entreprise, en méconnaissant les réseaux de pré-normalisationpourtant à sa disposition, risque de se laisser surprendre par la soudaineobsolescence ou non-conformité de ses produits et services.
• Elle mettra donc en place une veille normative avec l’aide de la DRIRE, de l’ARIST, des CCI, du MEDEF, de la CGPME et des professionnels de l’Intelligence Economique.
• L’entreprise doit prendre conscience des aides que l’Intelligence Territoriale est susceptible de lui apporter.
Gestion de CrisePatrimoine Sécurité RisquesPII
34
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Le risque de contrefaçon
• L’entreprise a été, est ou sera victime de contrefaçon de ses produits.
• Ce fléau sera combattu en interne avec l’aide des conseils (experts comptables, avocats) et avec l’aide des pouvoirs publics (douanes, ARIST).
• Seront examinés avec ces partenaires, les parades juridiques, commerciales, technologiques, et sociétales.
• Le risque de contrefaçon s’appréhende en amont dès la conception du produit.
Gestion de CrisePatrimoine Sécurité RisquesPII
35
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
Organisation de la sécurité et de la sûreté de l’entreprise
Imaginer des scenarii et appliquer le calendrier des actions obligatoires et réglementaires.
Création de communautés d’experts
GestionDétection, calcul et hiérarchisation des risques
+
Création d’une cellule de crise
La fonction de sécurité/sûreté
Processus de gestion de crise pour chaque éventualité
+
Gestion de CrisePatrimoine Sécurité RisquesPII
36