Tribune libre : Sécurité de l’information : même les PME peuvent être déstabilisées

Mais on parle moins des PME (cibles de prédilection car les moins sensibilisées) qui peuvent aussi être confrontées à ce type d’approche, peu importe leur secteur d’activité.

Dans les faits, même les plus petites entreprises peuvent se faire déstabiliser, comme cette PME traditionnelle de quelques dizaines de salariés, dont l’un des cadres gérant l’ensemble des réseaux informels avec les fournisseurs et clients a été retourné.

Approché par un concurrent, et grâce à une proposition d’embauche alléchante et une défiance latente à l’égard de son précédent employeur, cet employé a cédé à la tentation en envoyant régulièrement pendant plusieurs semaines, avant de déposer son préavis, l’ensemble de la stratégie commerciale de son ancien employeur.

Pour avoir commis l’imprudence d’utiliser les adresses e-mail professionnelles lors de ces échanges, l’individu et le concurrent ont été confondus.

Bien sûr, il ne s’agit pas de tomber dans la paranoïa. Mais mal prendre conscience des risques expose aux pires maux pour l’entreprise : être devancée lors du lancement d’un nouveau produit, voire sa clientèle et ses marchés détournés, être déstabilisée par une information compromettante qui pourrait devenir publique…

Dans certains cas, l’entreprise victime aura bien du mal à s’en relever.

Des gestes et des comportements simples permettent de limiter les risques de fuite d’information émanant des collaborateurs:
-se méfier de toute approche suspecte (convocation à un entretien, interview, appel téléphonique demandant d’outrepasser les règles établies quel que soit le prétexte);
– vérifier les identités (une carte de visite ne peut être considérée comme une pièce d’identité!);
– encadrer strictement les déplacements et utiliser des filtres de confidentialité sur les écrans des ordinateurs à l’extérieur de l’entreprise;
– se déplacer avec le minimum de dossiers sensibles (il est d’ailleurs conseillé d’utiliser des ordinateurs dont la mémoire aura été complètement effacée avant le déplacement, et de ne transporter que les fichiers indispensables sur une clé USB savamment dissimulée);
– être conscient que lieu public n’est pas synonyme d’anonymat, faire attention aux informations évoquées à haute voix lors de conversations téléphoniques, sont déjà quelques règles indispensables.

Et du côté de l’employeur bien vérifier l’application de ces politiques et les clauses de non-concurrence notamment …

La prise en compte du point de vue de l’attaquant est essentielle. A la fois pour sensibiliser l’ensemble des collaborateurs aux menaces et techniques utilisées par l’adversaire pour mieux détecter les premiers signaux et savoir y faire face, mais aussi pour mieux cerner ses vulnérabilités.

Quelles sont mes failles ? Qu’est ce qui transparait de mon entreprise, directement ou indirectement, dans les cercles informels et sur le Web ? Comment un attaquant motivé procéderait-il pour me voler de l’information ou pour s’introduire dans l’enceinte de l’entreprise ? Quels sont mes collaborateurs clés et comment renforcer leur engagement ? Ne pas hésiter à pratiquer des audits de sécurité, et ce à tous les niveaux (SI, terrain, humain).

Autre élément important : garder à l’esprit qu’un collaborateur motivé sera toujours plus enclin à appliquer les consignes de sécurité qu’un collaborateur en état de défiance vis-à-vis de sa hiérarchie, qui augmentera les risques de négligence et de malveillance.

Managers et chefs d’entreprises, voilà une raison supplémentaire de prendre en considération les attentes de vos équipes !