QUAND TOUS LES MOYENS SONT BONS...
Publié le | L'Usine Nouvelle n° 3221
©
La fin justifie les moyens pour certains de vos concurrents. Pour porter atteinte à une organisation, obtenir les secrets d'un nouveau produit ou les détails d'une stratégie, certains industriels n'hésitent pas à franchir la ligne rouge. Vols, corruption, espionnage, intimidations... tous les coups sont permis pour atteindre son but. « Pour déstabiliser un concurrent, on peut salir l'image d'un produit, dénigrer un dirigeant ou même déstabiliser une assemblée générale avant un vote essentiel », souligne Christian Harbulot, le directeur de l'École de guerre économique.
La PME suisse Ethical Coffee Company (ECC), qui s'est attaquée au monopole de Nestlé sur les dosettes Nespresso, a dû subir les pressions du géant de l'agroalimentaire. Si ce dernier a porté l'affaire sur le terrain juridique, pour Jean-Paul Gaillard, le PDG d'ECC, « Nestlé s'est procuré d'une manière illicite un certain nombre de nos capsules. Nous en avons la preuve ». Ces informations, obtenues illégalement selon ECC, lui aurait permis de faire réaliser, le 23 juin, une action en saisie-contrefaçon des dosettes d'ECC chez son sous-traitant de Chambéry (Savoie), les Cafés Folliet. « Sur place, ils ont tenté d'intimider des personnes pour obtenir l'adresse de nos fournisseurs alors que cette demande ne figurait pas dans l'ordonnance du juge », s'indigne aujourd'hui encore le dirigeant qui a porté plainte contre X en France pour espionnage industriel... Tout en restant réaliste : « Rien ne peut être sécurisé à 100 % lorsqu'une tentative émane de quelqu'un ayant d'aussi gros moyens. »
Les risques de vol de données se sont accrus avec l'internationalisation des entreprises. À l'étranger, le salarié est loin de son directeur sécurité. Surtout, la culture des salariés est différente d'un pays à l'autre. Dans certains pays, la transmission des informations est naturelle, alors qu'ailleurs, la rétention est la règle. « Il faut donner un niveau de confidentialité à chaque information, que chacun sache dans quelle mesure il peut ou non en parler, et avec qui », conseille Olivier Hassid, le directeur du Club des directeurs de sécurité des entreprises (CDSE).
La menace provient, très souvent, de l'intérieur même des entreprises. « C'est le salarié, le technicien ou l'ingénieur, qui part avec la technologie de la société, soit pour créer son entreprise, soit pour travailler pour un concurrent », observe Frédéric Saffroy, avocat associé chez Alberion. La plupart des dossiers se règlent discrètement, entre avocats. « Pour les vols d'informations et de technologies, cela peut finir au pénal. Mais généralement, cela intervient de manière discrète, sans communication des avocats. On essaie d'éviter la sphère pénale, à la fois en termes d'efficacité et en termes de discrétion. »
Le « cas » Renault met en évidence, s'il en était besoin, ce maillon faible : le facteur humain. « La loyauté des dirigeants ou des salariés doit être un ressort de développement de l'entreprise. La loyauté joue si elle est réellement réciproque, note Luc Renouil, directeur du développement de Bertin Technologies. L'affaire Renault nous amène à reconsidérer nos pratiques et à balayer devant notre porte. Nos contrats de travail sont-ils correctement conçus en termes de propriété intellectuelle et de secret ? L'intérêt du salarié et celui de l'entreprise y sont-ils bien retranscrits ? »
Les parades
Il faut identifier les informations dont l'entreprise a besoin, et celles qui peuvent intéresser. Les spécialistes de l'intelligence économique recommandent de former des gestionnaires des risques, qui s'occupent entre autres de l'espionnage industriel. Il faut utiliser la mémoire de l'entreprise, ses réseaux, pour identifier les moments risqués, les entités qui pourraient avoir recours à des méthodes illégales. Une bonne politique de prévention consiste à écouter les cadres. Ils doivent être considérés, pour devancer les situations personnelles de fragilité. L'intelligence économique se fait avec tous les salariés de l'entreprise.
C'est grâce à la « procédure déontologique » mise en place en 2007 que Renault aurait appris les fuites. Un salarié a donc vraisemblablement utilisé ce dispositif pour dénoncer un manquement à l'éthique. Aux États-Unis, depuis la loi Sarbanes-Oxley, adoptée en 2002 après l'affaire Enron, un système d'alerte éthique (whistleblowing) est obligatoire dans toutes les entreprises cotées. Les groupes français s'y mettent doucement, mais ne souhaitent pas communiquer. « Toutes les entreprises du CAC 40 en sont sans doute dotées », estime un expert. Numéro vert ou boîte mail, le système soulève la méfiance voire l'hostilité des syndicats, qui y voient un encouragement à la délation. La CGT de la métallurgie a par exemple attaqué le système mis en place par Dassault Systèmes. La Cour de cassation lui a donné raison en décembre 2009, invoquant une atteinte à la liberté d'expression, et un non-respect des règles édictées par la Commission nationale informatique et libertés (Cnil). « Le système d'alerte fait partie de la légitime défense de l'entreprise, analyse Bernard Besson, collaborateur du Haut responsable à l'intelligence économique de 2003 à 2010. Mais, dans la mesure où il touche aux libertés individuelles, il doit être élaboré avec les salariés et dans le respect de la protection des données personnelles. »
ANTIPIRATES Outils Firewall et anti-intrusion Éditeurs Symantec, McAfee, Aruba... Notre conseil Installer et tenir à jour le duo de logiciels « anti-espion » et « pare-feu », pour limiter le risque d'intrusion dans le réseau de l'entreprise. Et, pour limiter la fuite des données, désactiver les connecteurs USB des micro-ordinateurs et choisir des modèles sans graveur de DVD. ANTI-INTRUSION Outils VPN, réseau privé virtuel Éditeurs CheckPoint, Cisco, HP... Notre conseil Toujours choisir un réseau Wi-Fi avec une clé de chiffrement WPA2, les clés WEP et WPA étant totalement inefficaces face aux pirates, même amateurs. Interdire l'accès à internet depuis un réseau Wi-Fi public et obliger l'utilisateur à passer par le serveur de son entreprise via un « réseau privé virtuel » (VPN). ANTIFUITES Outil Chiffrement à la volée Éditeurs TrueScrypt (libre), GNU Privacy Guard, Sophos... Notre conseil Équiper les micro-ordinateurs portables, comme les smartphones, d'un logiciel de chiffrement à la volée, paramétré par défaut. Pour les documents confidentiels, penser à interdire l'impression, l'envoi à une tierce personne, et prévoir la destruction automatique, dans les préférences, des PDF, après un certain temps. ANTIVOL Outil Traqueur Éditeurs Prey, Lalarm... Notre conseil En cas de perte ou de vol, des systèmes existent pour bloquer, voire détruire le disque dur d'un micro-ordinateur portable ou l'espace de stockage d'un smartphone, dès la première tentative de connexion à internet. On peut aussi localiser l'appareil. Des parades à installer en standard, notamment sur les smartphones.
