OCDIE : Protection et défense du Patrimoine informationnel et des Connaissances
1. Outils Communs de Diffusion de l’Intelligence Economique: 4ème pôle
Protection et défense du patrimoine
informationnel et des
connaissances
Secrétariat Général de la Défense Nationale - Mission du Haut Responsable à l’Intelligence Economique
Eric Delbecque Directeur de l’IERSE
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE)
2. Les 5 pôles de l’Intelligence Economique
1
Environnement
et compétitivité
2
Intelligence
INTELLIGENCE
Intelligence
Influence et INTELLIGENCE
ECONOMIQUE économique
contre Influence ECONOMIQUE
Economique et organisations
4
Protection et 3
défense du Management
patrimoine
informationnel
de l’information
et des et des connaissances
Source : Référentiel de formation connaissances
à l ’intelligence économique
Commission A.Juillet . SGDN. 2005
4 ème
pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 2
3. Patrimoine PII Sécurité Risques Gestion de Crise
Sommaire
I/ Patrimoine informationnel
II/ Propriété intellectuelle et industrielle
III/ Politique de sécurité de l’information et des systèmes d’information
IV/ Risques liés à la sécurité et à la sûreté de l’entreprise.
VI/ La gestion des crises
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 3
4. Patrimoine PII Sécurité Risques Gestion de Crise
La vulnérabilité des PME/PMI
• Les PME-PMI sont en général conscientes de la nécessité d’assurer la protection
de l’information stratégique, mais ne disposent pas du temps et des ressources
internes suffisantes pour le faire.
• Les menaces sont de moins en moins « physiques » et de plus « immatérielles »
Elles prennent leur source dans la généralisation du numérique et le
développement de multiples partenariats.
• Les compétences sont de plus en plus dispersées et l’entreprise de plus en plus
éclatée.
• Les échanges avec l'extérieur se multiplient.
• La fonction de « sécurité » n'est pas reconnue à sa juste valeur.
• Les crises ne sont pas anticipées.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 4
5. Patrimoine PII Sécurité Risques Gestion de Crise
L’entreprise: un réseau d’informations
• L’entreprise comporte un patrimoine informationnel qui recouvre toutes les
informations, données et connaissances qu’elle a acquises.
• Les informations représentent un enjeu stratégique pour l’entreprise.
• Elles peuvent être sources d’avantage concurrentiel ou de risque (si elles
viennent à être divulguées). La prise de conscience est nécessaire à tous les
niveaux de l’entreprise.
• Le droit français ne protège pas l’ensemble du patrimoine informationnel de
l’entreprise.
• Seules certaines catégories d’informations sont protégées sous conditions :
– Une partie du patrimoine est susceptible d’être protégée par la propriété
intellectuelle et industrielle (Cf. 4.2).
– Une protection pour le secret de fabrique est prévue par l’article L 152-7 du
code du travail.
Il faut donc valoriser le patrimoine informationnel et le protéger.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 5
6. Patrimoine PII Sécurité Risques Gestion de Crise
Patrimoine informationnel et législation française
– Il existe d’autres moyens de protection:
• Protection par le secret professionnel
• Protection par le secret des correspondances.
• Protection par les mécanismes du secret défense.
– La loi dite « Godfrain » protège indirectement les informations en
sanctionnant les atteintes au système de traitement automatisé de données.
– Les données à caractère personnel connaissent également une protection
juridique de part leur statut particulier.
– L’article 9 du code civil sanctionne la divulgation des informations
individuelles (lorsqu’elle porte atteinte à la vie privée).
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 6
7. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque informationnel
Menaces internes
Menaces externes Groupes de pression
Menaces mixtes
Attaques image/notoriété
Intelligence Economique
Désinformation
Divulgation d’informations sensibles
Perte/vol d’informations vitales
Rumeurs
Communication non maîtrisée
INHES - MININT
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 7
8. Patrimoine PII Sécurité Risques Gestion de Crise
Les types d’information du patrimoine
informationnel
La notion de patrimoine informationnel recouvre divers types d’informations sur l’entreprise:
- Les informations commerciales, - les projets de l’entreprise (lancement d’un
financières, industrielles et technologiques nouveau produit…).
(dont la R&D).
- les méthodes de distribution.
- la clientèle.
- le personnel. - les procédés de fabrication.
- les partenaires commerciaux (sous - les contentieux.
traitant, fournisseur, financeur…).
- la situation de trésorerie et/ou fiscale.
- les savoir-faire de l’entreprise.
- les archives.
- l’état de santé des dirigeants…
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 8
9. Patrimoine PII Sécurité Risques Gestion de Crise
Compléter la protection du patrimoine informationnel
• Mettre en place une politique globale de sécurité de l’information et
des systèmes d’information.
• Organiser une protection physique et technique des informations.
• Elaborer une protection contractuelle des informations.
• Trouver le juste équilibre entre le partage de l’information et sa
protection.
Partage Protection
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 9
10. Patrimoine PII Sécurité Risques Gestion de Crise
Eléments protégeables par le droit de la
propriété intellectuelle
• Les inventions, marques, œuvres de l’esprit, dessins et modèles, base de
données…sont protégeables.
• La propriété intellectuelle et industrielle est un dispositif stratégique au service de
la croissance de l’entreprise.
• Il y a deux types de protection des inventions:
- le brevet,
- le secret.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 10
11. Patrimoine PII Sécurité Risques Gestion de Crise
Le brevet
– Ce titre est délivré par l’Institut National de la Propriété Industrielle (INPI) ou
l’Office Européen des Brevets (OEB) et confère au titulaire un monopole
temporaire d’exploitation sur une invention (maximum 20 ans).
– Pour qu’une création constitue une invention brevetable, elle doit répondre à un
certain nombre de critères: nouveauté, application industrielle, activité inventive,
conformité à l’ordre public…
– Trois principaux systèmes existent pour l’extension à l’étranger :
• La voie nationale
• Le brevet européen (qui n’est pas un titre unitaire)
• Le PCT (Patent Cooperation Treaty)
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 11
12. Patrimoine PII Sécurité Risques Gestion de Crise
Le brevet
Avantages du brevet : Inconvénients du brevet :
• Il constitue un bien immatériel sur lequel on • Déposer un brevet est coûteux.
peut contracter (ex: licence). L’entreprise
doit valoriser son portefeuille de brevets en • Cela implique de dévoiler une technique.
nouant des partenariats.
• Il ouvre un accès à la justice par l’action en • Le monopole d’exploitation est pour une
contrefaçon. durée déterminée sur un territoire donné.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 12
13. Patrimoine PII Sécurité Risques Gestion de Crise
Le secret
Avantages du secret : Inconvénients du secret :
• Le secret permet de ne pas diffuser ses • Le secret exige une culture affirmée de la
connaissances vers la concurrence. sûreté.
• La protection est sans limite dans le temps. • Organiser le secret dans une entreprise
nécessite une grande rigueur. Cela peut se
révéler contraignant pour le personnel.
• Le secret ne nécessite aucun frais de procédure
en termes de propriété industrielle • Un concurrent a le droit de produire et vendre
le même produit (invention).
• Un concurrent peut déposer un brevet sur
l’invention. Dans ce cas, le détenteur du
secret prend le risque d’être considéré comme
contrefacteur (sauf à prouver un « droit de
possession antérieur »).
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 13
14. Patrimoine PII Sécurité Risques Gestion de Crise
Le droit d’auteur
– L’auteur d’une « œuvre » a droit de propriété sur celle-ci.
– Les « œuvres » protégées par le droit d’auteur peuvent être très variées (livres,
conférences, compositions musicales, logiciels, bases de données…) mais
doivent toujours être originales (c’est-à-dire porter la marque de la personnalité de
l’auteur).
– L’auteur bénéficie de droits moraux (droit au nom, au respect de l’œuvre, de
repentir et de retrait) et patrimoniaux (droit de reproduction et de représentation).
– Les droits moraux sont attachés à la personne.
– La durée de protection des droits patrimoniaux est de 70 ans après la mort de
l’auteur.
– il est recommandé de déposer les œuvres afin de leur donner une date certaine
de création (enveloppe Soleau, société des gens de lettres…).
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 14
15. Patrimoine PII Sécurité Risques Gestion de Crise
Signes distinctifs
La marque
• La marque est un titre de propriété industrielle qui doit être enregistré auprès de l’INPI au
niveau national et de l’OHMI au niveau communautaire . Une fois enregistrée, elle devient un
bien immatériel qui donne un droit exclusif d’exploitation et protège contre la contrefaçon.
• La durée de la protection est de dix ans indéfiniment renouvelable.
• La marque est un titre de propriété qui va acquérir une notoriété et une valeur pécuniaire et sur
lequel le titulaire pourra conclure des contrats d’utilisation, source de revenus.
Autres signes distinctifs
• Le nom commercial, la dénomination sociale, l’enseigne et le nom de domaine (permettant
l’identification sur internet)...
• La protection de ces signes ne fait pas l’objet d’un droit de propriété industrielle.
• La défense de ces signes en cas d’usage similaire se fonde sur le droit commun de la
responsabilité civile.
• La protection est limitée au « secteur commercial » par le principe de spécialité.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 15
16. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque d’obsolescence de l’image
• Il implique une démarche anticipée.
• L’entreprise doit identifier les éléments qui constituent son image afin de pouvoir
les modifier, corriger ou renforcer.
• Ce travail nécessite l’animation d’un réseau d’alertes auprès des clients et
partenaires.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 16
17. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque informatique
Menaces internes Sécurisation insuffisante des SI
Menaces externes Défaillance des équipements informatiques
Menaces mixtes Non respect des habilitations
Utilisation de logiciels contrefaits
Perte/dégradation de données et piratage.
Divulgation d’informations sensibles
Attaques virales
Perte/vol d’informations vitales
Attaques image/notoriété
Intrusion informatique (hacking)
Espionnage économique
Groupes de pression
INHES - MININT
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 17
18. Patrimoine PII Sécurité Risques Gestion de Crise
La protection des systèmes d’information
• Les entreprises se différencient aujourd’hui par leur capacité à gérer leurs
ressources immatérielles.
• La sécurité de l’information et des systèmes d’information est donc un enjeu
essentiel.
• L’internet a fait apparaître de nouvelles menaces pour les données stockées et
envoyées par l’utilisateur.
• La sécurité de l’information n’est pas le domaine réservé des services informatiques.
• La protection du patrimoine informationnel doit être globale et assurée à la fois par
des moyens techniques et juridiques.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 18
19. Patrimoine PII Sécurité Risques Gestion de Crise
Les principaux moyens techniques de protection
• Le dispositif de sécurité physique (précédé d’un audit et accompagné d’une
validation juridique).
• L’audit de sécurité DCIP (disponibilité, intégrité, confidentialité,
preuve/traçabilité).
• La sécurisation du réseau informatique contre les attaques (Installation
d’antivirus, pares feux, anti spams…).
• La mise en place d’un contrôle d’accès aux informations (avec différents
niveaux d’habilitation).
• La mise en place de moyens d’identification et d’authentification des
utilisateurs.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 19
20. Patrimoine PII Sécurité Risques Gestion de Crise
Les principaux moyens techniques de protection
– La classification de l’information.
– L’utilisation de méthodes de chiffrement et de cryptologie.
– L’utilisation de signatures électroniques.
– L’installation d’armoires fortes.
– L’élaboration d’un plan de continuité (de service/d’activité) et de tests
réguliers.
– L’utilisation de la télésurveillance.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 20
21. Patrimoine PII Sécurité Risques Gestion de Crise
Les principaux moyens juridiques de protection
• Mettre en place une politique de sécurité des SI :
– Déterminer la responsabilité des acteurs concernés par la sécurité
informatique (RSSI, DSI, utilisateurs…).
– Prévoir des délégations de pouvoirs.
– Prévoir une charte d’utilisation du SI à intégrer dans le règlement intérieur
et/ou les contrats de travail et promouvoir une culture de la sécurité.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 21
22. Patrimoine PII Sécurité Risques Gestion de Crise
Les principaux moyens juridiques de protection
• Intégrer dans les contrats de l’entreprise des clauses de confidentialité
(contrats de travail, contrats avec les prestataires …) et élaborer des accords
de confidentialité.
• Mettre en place une démarche de conformité à la réglementation afin d’éviter
l’engagement de la responsabilité de l’entreprise.
• Ex : vis-à-vis des obligations prévues par la Loi informatique et liberté du 6
janvier 1978 relative aux données à caractère personnel.
• L’entreprise doit désigner en son sein un correspondant à la protection des
données à caractère personnel qui fera le lien avec la CNIL.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 22
23. Patrimoine PII Sécurité Risques Gestion de Crise
Exemples
• En mai 2008, à Dijon, la gendarmerie a démantelé un réseau de 22 pirates âgés de 14 à
25 ans soupçonnés d’avoir profité des failles de sécurité des sites internet de 34 PME en
France, en Russie et en Islande.
Cuir CCM
• Cuir CCM est une entreprise qui s’est faite piller ses données informatiques.
• La boîte email du dirigeant était contrôlée par une société concurrente. Elle a pu
s’emparer de données essentielles et confidentielles pour cette PME.
• Une plainte a été déposée auprès du procureur de la république pour espionnage
industriel, vol de données et contrefaçon.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 23
24. Patrimoine PII Sécurité Risques Gestion de Crise
La sécurité du patrimoine informationnel
• La sécurité du patrimoine informationnel doit faire partie intégrante de la
culture de l’entreprise.
• En plus des protection techniques, l’entreprise s’assurera contre les
pertes de données provoquées par un accident ou un acte de
malveillance.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 24
25. Patrimoine PII Sécurité Risques Gestion de Crise
Les 3 étapes de la politique de sécurité et de
sûreté
La sécurité/sûreté c’est :
• 1: détecter, calculer, hiérarchiser les risques et menaces de toutes natures.
Renseigner les instruments de pilotage de la politique de protection. Créer
des communautés d’experts internes et externes dédiés à chaque menace.
• 2: organiser la sécurité et la sûreté de l’entreprise en partenariat avec les
services de l’Etat et le marché de la protection. Imaginer des scénarii de
crise et appliquer le calendrier des obligations légales et réglementaires.
• 3: Créer pour chaque crise potentielle une cellule de crise virtuelle composée
des experts identifiés préalablement. Préparer pour chaque éventualité un
processus de gestion de crise.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 25
26. Patrimoine PII Sécurité Risques Gestion de Crise
Eventail de la protection
INHES - MININT
Les huit familles de risques et de menaces qui pèsent sur l’entreprise.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 26
27. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque environnemental
Menaces internes Avalanches
Menaces externes Mouvements de terrain
Menaces mixtes Foudre
Typhons, Ouragans, tornades, tempête
Tsunamis
Phénomènes volcaniques
Phénomènes climatiques
Raréfaction des ressources énergétiques
Grêle
Tremblement de terre
Incendie
Inondations
Pollution chimique INHES - MININT
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 27
28. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque environnemental
• Les menaces environnementales qui concernent l’entreprise font
l ’objet d’une abondante documentation.
• Le dossier départemental des risques majeurs et sa déclinaison
municipale constitueront la porte d’entrée idéale dans la prévention
des risques environnementaux.
• Les normes ISO 14001 et suivantes permettront à l’entreprise de
découvrir à la fois les enjeux des risques environnementaux et
d’entamer une procédure de certification.
• Le risque environnemental anticipé et bien traité doit se transformer
en avantage concurrentiel et en image positive.
• Exemple: Dacral, société de l’Oise spécialisée dans la fabrication de
pièces détachées, entreprise polluante, s’est faite certifier ISO 14001
avec pour objectif d’améliorer son image.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 28
29. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque sanitaire
Légionellose SRAS
Amiante Maladies tropicales
Menaces internes Stress des collaborateurs Prolifération d’agents pathogènes
Menaces externes Accidents du travail Pollution bactériologique
Menaces mixtes Intoxications alimentaires Pollution biologique
Contamination de produits
Toxicologie
Maladies professionnelles
Epidémie/pandémie
Infections nosocomiales
Infections méningocoques
Encéphalopathie spongiforme
Grippe aviaire
Champs
électromagnétiques INHES - MININT
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 29
30. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque sanitaire
• L’entreprise doit mettre en place une veille sanitaire de manière à
prévenir accidents du travail et maladies professionnelles.
• La responsabilité pénale de l’entreprise ou du chef de l’entreprise
peuvent être mises en cause même en l’absence d’accidents ou de
maladies.
L’article 223-1 du code pénal sur la mise en danger d’autrui engage la
responsabilité de l’entreprise même en l’absence d’accidents.
• Le défaut d’anticipation, l’absence de perception des risques sont
désormais sanctionnées pénalement.
• Exemple: l’hôpital Pompidou touché une nouvelle fois par une épidémie
de légionellose en 2007, suite à deux vagues en 2000 et en 2006.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 30
31. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque politique, sociétal et humain
Fraude
Embargo
Débauchage
Menaces internes Chantage
d’un homme clé
Menaces externes Crimes organisés
Violences psychologiques
Menaces mixtes Conflits armés
Harcèlements
Vol d’actifs
Comportements déviants
Sabotage
Violences physiques
Dégradations
Emprises sectaires
INHES - MININT
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 31
32. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque sociétal
• L’entreprise doit mettre en place une veille sociétale de manière à
percevoir les changements de goût, de valeur, qui fondent l’adhésion de
ses clients.
• Le risque sociétal de perte de fidélité doit être anticipé aussi loin et aussi
en amont que possible.
• Exemple: en s’intéressant à la façon dont se maquillent les adolescentes
chinoises, l’Oréal a su anticiper sur l’évolution du goût de ses futurs
clients.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 32
33. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque stratégique
Concurrence et nouveaux entrants
Menaces internes
Dépendance Retour de produits
Menaces externes Défaillance fournisseurs
Gouvernance inadaptée
Menaces mixtes Ralentissement économique
Mauvais choix d’investissement
boycott
Non cohérence objectifs/stratégie/
plan de développement.
Retour de produits
Insatisfactions client
INHES - MININT
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 33
34. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque stratégique
• Une perception élargie des menaces et des opportunités de toutes natures
susceptibles de modifier les conditions de la performance permettra à l’entreprise
d’écarter d’innombrables dangers.
• Par exemple, l’entreprise, en méconnaissant les réseaux de pré-normalisation
pourtant à sa disposition, risque de se laisser surprendre par la soudaine
obsolescence ou non-conformité de ses produits et services.
• Elle mettra donc en place une veille normative avec l’aide de la DRIRE, de
l’ARIST, des CCI, du MEDEF, de la CGPME et des professionnels de l’Intelligence
Economique.
• L’entreprise doit prendre conscience des aides que l’Intelligence Territoriale est
susceptible de lui apporter.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 34
35. Patrimoine PII Sécurité Risques Gestion de Crise
Le risque de contrefaçon
• L’entreprise a été, est ou sera victime de contrefaçon de ses produits.
• Ce fléau sera combattu en interne avec l’aide des conseils (experts
comptables, avocats) et avec l’aide des pouvoirs publics (douanes, ARIST).
• Seront examinés avec ces partenaires, les parades juridiques, commerciales,
technologiques, et sociétales.
• Le risque de contrefaçon s’appréhende en amont dès la conception du
produit.
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 35
36. Patrimoine PII Sécurité Risques Gestion de Crise
La fonction de sécurité/sûreté
Gestion
Détection, calcul et hiérarchisation des risques
Création de communautés d’experts
+
Organisation de la sécurité et de la sûreté de l’entreprise
Imaginer des scenarii et appliquer le calendrier des actions obligatoires et réglementaires.
+
Création d’une cellule de crise
Processus de gestion de crise pour chaque éventualité
4ème pôle OCDIE - Protection et défense du patrimoine informationnel et des connaissances – Eric Delbecque (IERSE) 36