vendredi 3 juillet 2015

Garder le secret, est-ce encore possible ?


Ces derniers jours, un tunnel d’articles a fait de la NSA l’Espion mondial absolu – ce que sa puissance financière et technologique explique. Ce coup de projecteur arrange probablement les autres grands services moins médiatiques mais assurément pas moins actifs (SVR russe, MSS chinois, MOSSAD israélien, BND allemand ...). Hier, l’Obs a sorti un article très documenté sur le positionnement de la DGSE en matière de surveillance de l’Internet. On peut raisonnablement penser qu’il n’y a pas de hasard à ce que le service français soit ainsi mis en lumière après son homologue américain. Toujours est-il que même des services dont le métier est le secret n’arrivent plus à le garder ! 

Qu’est-ce que le monde de l’entreprise peut en retenir ?  

Que la protection de l’information stratégique est devenue un véritable défi pour l'entreprise
D’abord celui de bien identifier le caractère stratégique d’une information. Et ce n'est pas la partie la plus facile. En sachant ce qu’il faut vraiment protéger on est plus efficace car on concentre ses efforts sur l’essentiel et on reste simplement discret pour le reste. « Qui trop enserre mal étreint ».

Cette distinction de ce qui est stratégique est encore moins évidente pour certaines catégories professionnelles : les scientifiques et les ingénieurs notamment, constitués en de multiples réseaux – alumni, réseaux sociaux dédiés, contacts informels... imprégnés de la culture du partage avant celle du secret. 

Pour ne pas stigmatiser sur une catégorie spécifique, c’est parfois l’entreprise dans son ensemble, centrée sur l’objectif, qui a du mal discerner ce qu’il faut protéger : 

Pas de difficulté il s'agit du modèle d’avenir, du process qui divise par deux les coûts ou de la nouvelle pierre philosophale. Mais il y a de multiples informations, d’apparence plus anodine qui, sans être nécessairement stratégiques en elles-mêmes, doivent être gardées secrètes : l’acquisition de tel matériel par le service achat peut révéler le stade d’avancement en matière de R&D ; une mise en test de production peut informer sur une prochaine commercialisation ou, selon le résultat, signer des difficultés techniques qu’on cherche à corriger... Les exemples sont multiples et chaque situation particulière doit être analysée.

Une seconde difficulté tient à notre culture latine qui est celle de la parole. Le secret est plus facile à préserver dans les pays d’Asie qu’en France, au Nord qu’au Sud. Seule la sensibilisation - menée avec adresse - des détenteurs de secrets peut compenser cette faiblesse.

Enfin, la fidélité à l’entreprise, comme à l’Etat pour ses serviteurs, n’est plus une garantie. La poursuite d’intérêts individuels prime de plus en plus l’honneur de tenir un engagement. Ainsi combien de détenteurs de secrets cèdent aux sirènes d’un nouvel employeur généreux (1), d’un journaliste sympathique ou d’un concurrent déloyal.

Quelle solution appliquer pour tout de même préserver la confidentialité : 

  • Limiter au strict nécessaire le nombre des collaborateurs détenteurs du secret en se fondant sur le droit à en connaître (lister dans l’entreprise qui peut avoir accès à quel type d’information protégée). 
  • Même si la personne y est autorisée, ne communiquer une information confidentielle qu’à ceux qui ont vraiment un impératif besoin d’en connaître. Et s’il y a communication, elle gagne à n’être que partielle (ce qui permet de « personnaliser » le secret détenu, de limiter les conséquences en cas de fuite mais aussi d'identifier plus aisément l’origine d’une fuite éventuelle).
  • Pour les secrets les plus stratégiques, limiter les écrits et échanges informatiques au strict nécessaire et en garantir les conditions de stockage.
  • Considérer, pour ces informations stratégiques, qu’en parler au téléphone est encore plus risqué qu’à la cafetaria du concurrent !!
Les RSSI savent combien il est difficile de convaincre le top management d’utiliser les outils d’entreprise dédiés – lorsqu’ils existent. Dans le cas de situation particulière, ces outils peuvent n’être utilisés que ponctuellement, lorsque les échanges portent sur LA question stratégique. Téorem, le téléphone crypté de Thalès est une solution souveraine efficace. Le faire utiliser nécessite de la psychologie : « Monsieur le président, si vous utilisez cet outil, c’est parce que vous êtes important, parce que le projet est stratégique, parce que c’est sa réussite qui fera la réussite de l’entreprise »... et la vôtre ! Mais ça, faut pas le dire. Pour les autres échanges, il pourra continuer d’utiliser le futur iPhone 7 en présérie VIP... 

Enfin, si protéger l’information se heurte de plus en plus à la fragilité technologique, devenue majeure à la faveur de l’hyperconnexion, la fragilité humaine demeure centrale : au MICE anglo-saxon (Money, Ideology, Compromise/Coercion, Ego), je préfère le SANSOUCI (2) plus complet (Solitude, Argent, Nouveauté, Sexe, Orgueil, Utilité, Contrainte, Idéologie, Suffisance). Autant de raisons pour un collaborateur d’être manipulé plus ou moins consciemment. 

Le pire ennemi : lorsque la naïveté le dispute au fatalisme

Mais il manque une lettre à ces acronymes : « N » comme Naïveté. J’ai croisé infiniment plus de naïfs que de malveillants (encore que les naïfs sont évidemment plus faciles à détecter : ils ne se cachent pas parce qu’ils ignorent souvent l’être ; alors que les malveillants...). 
La naïveté serait donc l'ennemi le plus dangereux pour la prospérité de nos entreprises. Faut voir : le fatalisme lui dispute la première place. Il est peut-être le précurseur de lendemain qui déchantent. Les services informatiques, sous la forte pression des métiers de l'entreprise, du service achat ou du top management se rendent compte qu'être secure est source de conflits, de solides inimitiés...  Alors qu'accepter la solution techno type gruyère qui facilite la vie de tout le monde vous rend spontanément un RSSI sympathique (ceci reste évidemment une caricature !). 



(1) Un article du Figaro sur la mobilité professionnelle indique que 4 cadres sur 10 sont prêts à quitter leur entreprise et que seulement 6% d’entre eux s’estiment très satisfaits de leur rémunération - dont il faut bien avoir conscience – hélas diront les idéalistes - que c’est l’un des premiers gages de fidélité.

(2) Gérard Desmaretz, Le renseignement humain, Éditions Chiron, 2004

La D2IE a publié le référentiel de formation à la cybersécurité des TPE et PME, téléchargeable ici.