Basse-normandie Securite
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Basse-normandie Securite as PDF for free.
More details
- Words: 4,679
- Pages: 22
Comité Opérationnel de Sécurité Economique de Basse-Normandie
Dispositif de Sécurité Economique
Avant propos
La sécurité économique met en œuvre une action de protection contre les menaces qui pèsent sur les intérêts économiques nationaux, notamment en matière d’indépendance technologique et de prise de contrôle financier, ainsi qu’une action de sécurisation des systèmes d’information. Au niveau de l’entreprise, la sécurité économique est la protection de l’information stratégique, volet défensif d’une démarche globale de caractérisation et de maîtrise de l’information au sein des entreprises : l’intelligence économique. Ce document, à usage interne, est destiné aux représentants de l’Etat, devant sensibiliser les entreprises à la sécurité économique. Les visites entreprises sécurité économique ont une double finalité : • recueillir des informations sur les entreprises, notamment sur la structure de leur capital, leur potentiel technologique et leurs besoins de financement (questionnaire entreprise). Ces informations seront analysées par le Comité opérationnel de sécurité économique pour apporter des mesures d’appui et de suivi pour les entreprises ciblées. • sensibiliser. les entreprises à la sécurité économique. Le guide de visite recense l’ensemble des thèmes à aborder lors des entretiens et devra être adapté en fonction de l’entreprise visitée. Une grille d’auto évaluation sera transmise au chef d’entreprise à la fin de l’entretien. Lors de ces visites, les intervenants sensibiliseront leurs correspondants aux autres volets de l’intelligence économique et notamment à la maîtrise de l’information stratégique. La plus grande confidentialité est demandée pour l’ensemble des démarches.
Le Sgar Drire Michaël REYNIER
Le Chargé de Mission Défense Economique Pascal BROCARD
*avec la participation de Benjamin Deltete, stagiaire à la Drire de Basse Normandie et étudiant au mastère Traitement Décisionnel de l’Information de l’Ensicaen
Dispositif de Sécurité Economique
Sommaire GUIDE DE VISITE SÉCURITÉ ÉCONOMIQUE DE L’ENTREPRISE
➡ ➡ ➡ ➡ ➡ ➡ 1
SENSIBILISATION / SÉCURITE SALARIÉS
2
LA PROTECTION DU PATRIMOINE IMMATÉRIEL (ET DES DONNÉES SENSIBLES)
3
LA SÉCURITÉ INFORMATIQUE
4
LA PROTECTION DU PATRIMOINE PHYSIQUE
5
GESTION DE CRISE
6
INTÉLLIGENCE ÉCONOMIQUE ET TERRITORIALE* ∑ ANNEXE
Les 12 clés de la sécurité Exemple de grille d’auto-évaluation «Guide des organismes de soutien et d’aides aux entreprises en Région»
1
Dispositif de Sécurité Economique
1
SENSIBILISATION ET SÉCURITÉ DU PERSONNEL
1.1 Sensibilisation du personnel à la protection de l’information ➡ Les risques et menaces proviennent d’abord de l’intérieur de l’entreprise : collaborateurs internes et stagiaires à l’origine des 2/3 des actes de malveillance. 70 à 80 % des sinistres informatiques d’origine interne. ➡ Présentation des enjeux de sécurité, principes et règles de la sécurité de l’entreprise, comportements à adopter. • Formation, sensibilisation du personnel sur ces problématiques de protection de l’information.
1.2 Notion de reconnaissance des responsabilités du personnel et clauses de sécurité ➡ Clauses spécifiques de confidentialité, ou de fin de contrat de travail, ou de non-concurrence insérées dans le contrat de travail. ➡ Un engagement de responsabilité peut être signé par le salarié, actant que celui-ci a pris note des règles de sécurité, relatives au poste de travail donnant accès aux ressources informatiques.
1.3 Accueil stagiaires dans l’entreprise / sensibilisation protection de l’information ➡ Le stage devient parfois un moyen détourné d’obtenir de l’information stratégique. Les rapports de stage peuvent contenir des informations stratégiques de l’entreprise ➡ Présentation des enjeux de sécurité, principes et règles de la sécurité de l’entreprise, comportements à adopter. ➡ Les clauses de confidentialités peuvent aussi concerner les stagiaires.
1.4 Politique de recrutement des salariés ➡ Validation stricte des références pour des fonctions sensibles lors de procédures d’embauche. ➡ Toute personne aura accès aux informations dont elle a besoin dans l’accomplissement de sa tâche : déterminer un périmètre d’accès aux informations en fonction du niveau de responsabilité. ➡ Veiller à ne pas donner de l’information trop sensible, ou stratégique au personnel par intérimaire : risque de fuite possible.
3
Dispositif de Sécurité Economique
2
LA PROTECTION DES DONNÉES SENSIBLES ET STRATÉGIQUES 2.1 Identification des données et informations «sensibles» et stratégiques de l’entreprise ➡ Informations sensibles : Informations dont la divulgation ou l’altération peut porter atteinte aux intérêts, ou à l’image de l’entreprise. ➡ Informations stratégiques : ce sont des informations dont la connaissance est nécessaire pour atteindre les objectifs correspondant aux orientations stratégiques de l’entreprise. ➡ Quelques exemples de données sensibles : Savoir faire technologique, propositions commerciales, résultats audits financiers ou audit de sécurité interne, codes informatiques… ➡ Quelques exemples de données stratégiques : Listes clients - prospects, projets de développement, cahier des charges ,«gros» contrats, nouveaux concepts… 2.2 Archivage de ces informations en lieu sûr et protection contre les intrusions, les incendies, les inondations… ➡ La destruction, la perte de ces données peuvent avoir des conséquences dramatiques pour l’entreprise : faillites, pertes de contrats et / ou de clients… ➡ Ne pas stocker ces données, informations exclusivement sur le serveur ou le système d’information : penser à les dupliquer : CD Rom, stockage hors site (entreprise) en cas de sinistre (incendie, inondation…). ➡ Archivage des contrats, et autre documentation d’importance dans des armoires métalliques fermées à clefs. ➡ Utilisation d’un broyeur pour la destruction de papiers contenant des informations confidentielles 2.3 Contractualiser ses relations partenaires (fournisseurs, sous-traitants…) ➡ Engagement de confidentialité des partenaires ou autres sous-traitants). 2.4 Contrôle d’accès et classification des données stratégiques et / ou sensibles ➡ Autorisation nominative (qui est autorisé à consulter ces données et qui ne l’est pas ?) : restriction d’accès conformément à la sensibilité (classification) de ces données. ➡ Déterminer un degré d’importance ou une criticité pour les données ou informations de l’entreprise.
4
Dispositif de Sécurité Economique
2.5 Détournement d’informations stratégiques ou sensibles par : ➡ Fausses enquêtes, questionnaires par téléphone. ➡ Négociation commerciale particulièrement ardue. ➡ Détournement des procédures d’appels d’offre. ➡ Sollicitation «insistante» partenaires, fournisseurs, clients… ➡ Salons professionnels en France, à l’étranger où l’entreprise est présente. ➡ «Ingénierie sociale» : un manipulateur utilise l’influence et la persuasion pour duper ses interlocuteurs en se faisant passer pour quelqu’un d’autre pour obtenir des renseignements. 2.6 Moyens juridiques pour protéger ses innovations, produits ou savoir faire : ➡ Brevet : La protection par brevet n’est accordé qu’aux inventions nouvelles impliquant une activité inventive et qui sont susceptibles d’application industrielle (art. 610-11.1 cde pénal propriété intel.) • Concerne les produits de l’entreprise. ➡ Secret industriel ou secret de fabrication : Procédé de fabrication* offrant un intérêt pratique ou commercial pour l’entreprise qui le met en œuvre, et tenu caché des concurrents. Il peut s’étendre à toute information susceptible d’application industrielle, gardée secrète par son détenteur et utilisée afin de créer ou de fournir des biens ou des services. • Concerne le savoir faire de l’entreprise. * Comprend les procédés de fabrication mettant en œuvre les technologies les plus sophistiquées ou encore des méthodes, ou des données commerciales (listing clients…).
➡ Enveloppe Soleau : Moyen simple et peu coûteux de preuve d’une invention : permet à un inventeur de rapporter la preuve de la date à laquelle l’invention a été créée. Ce n’est pas un titre de propriété industrielle mais elle permet de conserver un droit de possession personnelle de sa création et peut également constituer, dans certains cas, un outil de négociation. ➡ Des cabinets de conseil en propriété industrielle peuvent aider l’entreprise à définir une stratégie de protection industrielle (évaluer le juste nombre de brevets ; ne breveter que ce qui est indispensable…). ➡ Le(s) brevet(s) peuvent, dans les cas extrêmes, assurer la survie de l’entreprise : en cas d’arrivée d’un nouvel acteur aux moyens financiers importants sur le marché (ou domaine d’activité) de l’entreprise, celui-ci pourrait être contraint payer des droits à l’entreprise détentrice du brevet, et / ou de devoir tenir compte de ses exigences. ➡ Le secret industriel ou secret de fabrication a un coût moins élevé pour l’entreprise. Il n’y a pas de divulgation d’informations (publication de titres de propriété industrielle comme pour le brevet). ➡ Les clauses particulières du contrat de travail des salariés - confidentialité, non concurrence… - (voir partie 1) peuvent faire référence aux notions de secret de fabrication.
5
Dispositif de Sécurité Economique
3
LA SÉCURITÉ INFORMATIQUE 3.1 Présence d’un Responsable de la Sécurité des Systèmes d’Information (R.S.S.I) au sein de l’entreprise ➡ Assure la politique de sécurité des systèmes d’information à tous les échelons et domaines de l’organisme. ➡ Il fait prévaloir l’aspect sécuritaire sur les intérêts particuliers et intègre la sécurité dans tous les projets touchant au système d’information. 3.2 Audit de sécurité des systèmes d’information ➡ Analyse des failles, et menaces du système d’information / Etat et analyse de son système d’information existant. ➡ Connaissance de ses besoins en sécurité des systèmes d’information. 3.3 Protection du système d’information par logiciels antivirus et firewall (pare-feu) ➡ Le «système» anti-virus peut être envisagé à trois niveaux (de protection) : sur la passerelle Internet, serveur de messagerie, sur les postes de travail (ordinateurs) ➡ Le firewall (pare-feu*) : Grâce à un firewall, toute donnée repérée comme dangereuse ou «douteuse» sera filtrée et évitera d’entrer sur le réseau. C’est une «barrière» entre l’extérieur (Internet) et l’intérieur (le réseau local d’ordinateurs). 3.4 La gestion des mises à jour et la sécurité du système d’information ➡ Les mises à jour non effectuées du système de protection (anti-virus et firewall) affaiblissent l’efficacité de la protection, et rendent le système plus vulnérable aux attaques informatiques. ➡ Les mises à jour doivent aussi concernées l’ensemble des logiciels (bureautique, comptables…) présents sur le système d’information de l’entreprise. Les vulnérabilités du système d’information se trouveraient renforcées dans le cas contraire. 3.5 Repérer des sources pertinentes pour identifier les attaques informatiques du moment (avis et alertes) ➡ Consulter le site web du C.E.R.T.A (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) : www.certa.ssi.gouv.fr➡ Consulter le site web du CERT-IST (Computer Emergency Response Team : Industrie, Services et Tertiaire) : www.cert-ist.com
6
Dispositif de Sécurité Economique
3.6 Quelques outils méthodologiques pour la sécurité des systèmes d'information disponibles sur Internet : ➡ Méthode de gestion de risques informatique E.B.I.O.S (Expression des Besoins et Identification des Objectifs de Sécurité) : www.ssi.gouv.fr/fr/confiance/methodes.html ➡ Guide d'élaboration de Politiques de Sécurité des Systèmes d'Information (P.S.S.I) : www.ssi.gouv.fr/fr/confiance/methodes.html ➡ Guide d'élaboration de Tableaux de Bord de Sécurité des Systèmes d'Information (T.D.B.S.S.I) : www.ssi.gouv.fr/fr/confiance/methodes.html 3.7 Vulnérabilités par le site web de l’entreprise ➡ Un concurrent ou toute autre personne pourrait accéder à des informations confidentielles à partir d’un site web mal sécurisé. ➡ Les données confidentielles seront stockées sur un poste informatique non connecté au réseau 3.8 Quelques éléments de risques, vulnérabilités informatiques : ➡ Postes et équipements nomades (ordinateurs portables, assistants numérique de poche…) : risques de vols, pertes plus élevés. ➡ Connexion informatique hors réseau : le connexion hors réseau (wi-fi, par exemple) de l’entreprise ne doit pas être autorisée s’il n’existe pas de réseau privé virtuel (VPN) ➡ Messagerie non protégée / Echange de données par messagerie électronique non sécurisée. ➡ Plan de sauvegarde inexistant. ➡ Mise en réseau de son système d’information avec des partenaires (fournisseurs, clients…). ➡ Télémaintenance : l’installation d’une ligne de communication entre le système d’information et la société de maintenance (ce qui lui donne des droits d’accès sur le réseau de l’entreprise) accroît les risques d’attaques du système d’information ➡ Ouverture pièces jointes de messagerie sans vérification d’un logiciel anti-virus. ➡ Absence de sécurisation des périphériques informatiques : imprimantes, routeurs… : dans le cas de location de photocopieurs numériques, le disque dur doit rester la propriété de l’entreprise 3.9 Echanger par messagerie des données sensibles ➡ Solutions d’échanges électroniques sécurisées: outils de chiffrement intégré à la messagerie électronique ou services de messagerie sécurisée (associés à des certificats de signature électronique), commercialisés par des sociétés informatiques spécialisées.
7
Dispositif de Sécurité Economique
4
LA PROTECTION DU PATRIMOINE PHYSIQUE 4.1 «Système» de sécurité installé dans l’entreprise ➡ Grillages, vidéo surveillance, alarmes…. ➡ Dispositif anti-incendie dans les locaux informatiques. 4.2 Visiteurs dans l’entreprise ➡ Circuit de visite prédéterminé. ➡ Contrôle d’accès des entrées et sorties au sein de l’entreprise.
5
GESTION DE CRISE 5.1 Sinistres majeurs et plans de secours opérationnels ➡ Plus de la moitié des sociétés ayant connu un sinistre majeur de leur système d'information ont cessé leur activité dans les deux ans qui ont suivi. (enquête revue informatique 01 Net 2001). ➡ Plan de secours des moyens informatiques / Plan de récupération des données après sinistre ➡ Plan de continuité d’activité économique / Plan de Reprise d’Activité ➡ Plan de crise ➡ Certains spécialistes informatiques proposent des outils et services pour répondre à ces problématiques de sécurité et crise : - Ex. : Bull peut garantir le temps de restauration complète d'un serveur NT, en cas de destruction et quel que soit le type de serveur NT. L’entreprise propose aussi un logiciel d'aide à la définition et à la gestion du Plan de Secours du système d'information et à son maintien opérationnel.
8
Dispositif de Sécurité Economique
5.2 Limiter une dépendance trop forte à l’égard de ses partenaires ➡ Recherche nouveaux fournisseurs industriels. ➡ Prospection nouveaux clients, nouveaux marchés.
5.3 Assurer la pérennité de l’entreprise en cas de difficultés financières ou de tentatives de rachats hostiles ➡ Partenaires financiers et / ou repreneurs potentiels «sous la main» pour pallier ces difficultés.
5.2 Pallier d’éventuels problèmes de désinformation ➡ Surveiller la réputation de l’entreprise et identifier les sources d’informations négatives (qui est à l’origine, pourquoi, et quelles conséquences sur mon activité, marché ?). ➡ Des spécialistes du «Risk management» peuvent aider à répondre à ces questions (ex. : Datops fournit ce type de services). ➡ Moyen plus simple, mais tout aussi efficace, taper le nom de l’entreprise sur un moteur de recherche Internet pour savoir ce qui se dit (dans la presse ou les forums) sur l’entreprise.
9
Dispositif de Sécurité Economique
6
INTELLIGENCE ECONOMIQUE 6.1 Recherche d’informations dans le cadre d’un objectif stratégique de l’entreprise dans le but de détecter les opportunités et menaces de son environnement ➡ Environnement commercial : Surveiller les « comportements » des clients (ont-ils un nouveau fournisseur ? pour quelles raisons ?...), détecter de nouvelles opportunités de développement (nouveau marché à l’international…). ➡ Environnement marché : Se comparer aux concurrents (benchmarking), mieux les identifier, déceler les tendances du marché et anticiper. ➡ Environnement technologique : Déceler une nouvelle technologie, l’intégrer ou pas dans le processus de fabrication ? Evaluer l’impact d’une nouvelle technologie sur son marché (s’agit-il d’un produit de substitution ?). ➡ Environnement juridique : Surveiller l’évolution des réglementations concernant l’activité de l’entreprise, quels impacts ont les directives ou autres décisions européennes sur mon activité ? ➡ Environnement « socio-économique » ou conjoncturel : Anticiper, par une bonne appréhension de la conjoncture économique et sectorielle, sa politique d’embauche ou de recrutement, être capable d’investir au bon moment. ➡ Environnement fournisseur : Détection d’un nouveau fournisseur offrant des conditions avantageuses, veille auprès d’un fournisseur considéré comme stratégique (mono dépendance) 6.2 Les grands objectifs d’une action d’Intelligence Economique (ou veille stratégique) ➡ Mieux connaître le marché, ses évolutions, et opportunités _ Gagner des parts de marché. ➡ Surveiller ses concurrents, se comparer à eux _ S’approprier leurs meilleures pratiques. ➡ Déceler l’apparition de nouveaux concurrents, de possibles produits de substitution _ Anticiper, assurer la pérennité de l’entreprise. ➡ Transformer une information en «connaissance» _ La donner à la bonne personne, au bon moment, optimiser le processus de décision dans l’entreprise.
10
Dispositif de Sécurité Economique
6.3 Actions d’influence pour remporter un marché ➡ Lobbying, bureau de représentation ou autres partenaires commerciaux à l’étranger.
6.4 Quelques exemples concrets d’actions de veille stratégique, facile à mettre en œuvre ➡ Aller sur le site des concurrents pour connaître leur actualité (nouveaux contrats, nouveaux projets industriels…). ➡ Identifier et consulter les portails d’information sectorielle et / ou sa fédération professionnelle pour obtenir de l’information pertinente. ➡ Utiliser les portails d’Intelligence Economique qui existent et exploiter leur moteur de recherche ou annuaire thématiques (www.basse-normandie.net ; www.portail-intelligence.com). ➡ Se rendre à un salon professionnel en ayant déterminer au préalable son besoin d’information. ➡ Contacter l’A.R.I.S.T (service « veille de la C.R.C.I) qui propose notamment des actions de veille technologique et concurrentielle, ainsi que sur les marchés publics européens.
11
Dispositif de Sécurité Economique
LES 12 CLÉS DE LA SÉCURITÉ 1 - Admettre que toute entreprise possède des informations à protéger (plans de recherche, prototypes, plans marketing, stratégie commerciale, fichiers clients, contrats d’assurance, …) 2 - Faire appel à l’ensemble des capacités de l'entreprise (chercheurs, logisticiens, gestionnaires de personnel, informaticiens, juristes, financiers,…) pour réaliser l’inventaire des informations sensibles, des points faibles, des risques encourus et de leurs conséquences 3 - Exploiter l’information ouverte sur l’environnement dans lequel évolue l'entreprise, observer le comportement des concurrents, partenaires, prestataires de service, fournisseurs, pour identifier les menaces potentielles 4 - S’appuyer sur un réseau de fournisseurs de confiance pour ceux d’entre eux qui partagent ou accèdent à des informations sensibles 5 - Ne pas chercher à tout protéger : classifier les informations et les locaux en fonction des préjudices potentiels et des risques acceptables 6 - Mettre en place les moyens de protection adéquats correspondant au niveau de sensibilité des informations ainsi classifiées, s’assurer qu’ils sont adaptés et, si besoin, recourir à des compétences et expertises extérieures 7 - Désigner et former des personnes responsables de l’application des mesures de sécurité 8 - Impliquer le personnel et les partenaires en les sensibilisant à la valeur des informations, en leur apprenant à les protéger et en leur inculquant un réflexe d'alerte en cas d'incident 9 - Déployer un système d’enregistrement des dysfonctionnements (même mineurs), et analyser tous les incidents 10 - Ne pas hésiter à porter plainte en cas d’agression 11 - Imaginer le pire et élaborer des plans de crise, des fiches "réflexe" afin d’avoir un début de réponse au cas où… 12 - Evaluer et gérer le dispositif (voir annexe autodiagnostic), anticiper les évolutions (techniques, concurrentielles,…) et adapter la protection en conséquence en se conformant aux textes législatifs et réglementaires en vigueur 12
Dispositif de Sécurité Economique
Exemple de grille d'auto-évaluation
Rubrique 1 2 Organisation générale de la sécurité
3 4 5 6 7
Sécurité de l'information
Protection des locaux
Une classification et un repérage des documents selon leur niveau de confidentialité existent
10
La sécurité des informations est prise en considération dès l’élaboration d’un projet
11
Les règles de protection, différentes selon le niveau de classification, sont connues et appliquées (diffusion, exploitation, conservation, destruction des documents)
12
Une classification des sites et secteurs selon leur niveau de confidentialité a été réalisée
13 14
18 19 20 21 22 23 24 25 26 27
Partenariat
28 Cadre juridique
Un dispositif de contrôle de l'application des règles de sécurité existe Le personnel et les partenaires de l'entreprise sont conscients de l’aspect protéiforme des informations et de leur valeur (sensibilisation continue)
9
17
Comportement des personnes
Des systèmes de reporting, d'alerte et d'intervention en cas d'incident sont opérationnels
L’inventaire du patrimoine informationnel a été fait et il est régulièrement mis à jour
16
Transport de fret et de courrier
Les situations de crise et/ou de désinformation ont été anticipées
8
15
Moyens de communication et systèmes d'information
Les risques et menaces qui pèsent sur l'entreprise ont été identifiés L’entreprise dispose d’une documentation générale sur sa sécurité (objectifs, organisation, moyens, procédures de mise à jour, …) Des responsables ont été désignés et formés
29 30
Les règles d'accès, de circulation des personnes sont connues et appliquées, les contrôles d'accès sont en place Les moyens de prévention des agressions, de détection d'intrusions et d'intervention appropriés sont opérationnels, les incidents sont analysés et les dysfonctionnements corrigés L’accueil des visiteurs est organisé Le personnel connaît les risques liés à l’informatique, aux réseaux, aux portables, et applique des consignes de sécurité (accès aux systèmes contrôlé, chiffrement des données sensibles, etc) Les inventaires (matériels, logiciels, utilisateurs, etc) ont été effectués et les procédures, les tests de validité sont documentés Des procédures d’administration des systèmes, des réseaux et des utilisateurs existent L’entreprise est équipée de logiciels anti-virus, de détection d’erreurs et d’intrusions, de logiciel parefeux pour ses connexions avec l’extérieur ; ses échanges informatiques à distance sont sécurisés Des dispositifs de sauvegarde et de secours (données, systèmes et leur alimentation, …), des règles d’archivage des données et de destruction des supports informatiques existent et sont appliquées L’entreprise a rédigé une charte pour l’usage d’Internet et le personnel est formé aux risques liés à l'utilisation des réseaux et d'Internet Les procédures pour le transport de fret ou de courrier sensibles ont été définies et sont utilisées Le parcours et les étapes sont connus et enregistrés ; un système d’analyse des incidents rencontrés lors de transport de fret ou de courrier est en place L’obligation de confidentialité est mentionnée dans les contrats de travail, le règlement intérieur, etc… Une sensibilisation continue aux risques de divulgation involontaire de l’information est réalisée, des recommandations sont données aux personnels en déplacement et la communication est encadrée Des engagements particuliers sont imposés à certains métiers de l’entreprises (acheteurs, vendeurs, financiers) ou à certains prestataires La capacité et la volonté des partenaires à garantir la protection des informations sensibles sont évaluées La protection des informations est définie conjointement avec les partenaires et les contrats comportent des clauses de protection du secret L’entreprise utilise l’ensemble des moyens de protection juridique disponibles (brevet, enveloppe Soleau, dépôt de marques ou de modèles, contrats,…) Les mesures de protection respectent le cadre légal et réglementaire
Dispositif de Sécurité Economique
Quelques organismes de soutien et d’aides aux entreprises en région ➡ DRIRE : (Direction Régionale de l'Industrie, de la Recherche et de l'environnement) Financement de projets industriels et informations sur les politiques industrielles nationales et Européennes. ➡ OSEO-A.N.V.A.R : Financement, expertise dans les cadre d’un projet innovant. ➡ C.T.N : Appui technologique en Productique et en Technologies de l'Information et de la Communication (aide dans leur démarche d’innovation). ➡ C.R.I.T.T Basse-Normandie Cotentin : aides, conseils et expertise technologique ( missions de veille technologique et concurrentielle + « état de l’art » dans le cadre d’un projet innovant…). ➡ A.R.I.S.T (service de la C.R.C.I) : Apporte conseils et expertises dans le domaine des brevets, marques, dessins et modèles. ➡ G.R.A.V.I.R (Groupe Régional d’Action pour la Valorisation Industrielle de la Recherche) : Réseau d’experts de la recherche (matériaux, T.I.C, systèmes complexes / maîtrises d’ambiance…). ➡ EURO INFO CENTRE (service de la C.R.C.I) : Accès à de l’information «commerciale» européenne (marchés publics européens, opportunités d’affaires). ➡ D.R.C.E (Direction Régionale du Commerce Extérieur) : Informations marchés étranger, financements projets d’exportation. ➡ CODEFI (Comité Départemental d’Examen des Difficultés Financières) : Aides et appuis en cas de difficultés financières. pour en savoir plus...
14
sur les «stratégies de protection du patrimoine» (brevet, secret industriel, alliance d’entreprises…) : - «Le droit pour dynamiser votre business» de Thibaut du Manoir (éditions d’Organisation) sur la protection du patrimoine de l’entreprise : - Référentiel Adit - Club Intelligence Economique de l’Ouest (http://www.cieouest.com) - Guide pour l’élaboration d’une politique de sécurité de système d’information téléchargeable sur le lien suivant : www.ssi.gouv.fr/fr/confiance/methodes.html sur la sécurité informatique (en plus des liens mentionnés dans le guide) : - Guide MEDEF sur la Sécurité des Systèmes d’Information (téléchargeable sur le site internet du Medef) - Site Internet du clusif (club de la sécurité des systèmes d’information français) : www.clusif.asso.fr/index.asp sur l’intelligence économique : - Rapport parlementaire sur l’Intelligence Economique du député B. CARAYON (+ articles sur ce sujet + liens internet) : www.bcarayon-ie.com - Guide pratique Intelligence Economique et PME du MEDEF ((téléchargeable sur le site internet du Medef) Sur les actions locales et régionales d’Intelligence Economique : - www.basse-normandie.net (rubrique l’intelligence économique en région)
Questionnaire Entreprise Sécurité Economique
Plan 1. L’ENTREPRISE 2. SECURITE STRUCTURE CAPITAL 3. CAPACITE DE FINANCEMENT ET INNOVATION DANS L’ENTREPRISE 4. RISQUES CONCURRENTIELS 5. RISQUES EXTERNALISATION / FOURNISSEURS
FICHE D’IDENTITÉ Raison sociale : ................................................................................................................................................................................................ Numéro siret :...................................................................................................................................................................................................... Nom du dirigeant :...................................................................................................................................................................................... Nom de la personne contactée : ........................................................................................................................................ Fonction : .................................................................................................................................................................................................................... Localisation :.......................................................................................................................................................................................................... ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
Numéro de téléphone : ...................................................................................................................................................................... Mel :...................................................................................................................................................................................................................................... Site internet : ........................................................................................................................................................................................................ Nationalité de l’entreprise : ........................................................................................................................................................ Code activité ()Naf : ................................................................................................................................................................................ Appartenance à un groupe :...................................................................................................................................................... Chiffre d’affaires : ........................................................................................................................................................................................ Effectif : .......................................................................................................................................................................................................................... Date de la visite : .......................................................................................................................................................................................... Effectuée par : .................................................................................................................................................................................................... Service : .......................................................................................................................................................................................................................... Coordonnées : .................................................................................................................................................................................................... 15
Questionnaire Entreprise Sécurité Economique
1. L’ENTREPRISE
1.1 Rappel des principales activités (produits/services, savoir faire/métiers) de l’entreprise : ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
1.2 Quelle est la tendance de votre activité (hausse, baisse du chiffre d’affaires ; chute brutale de l’activité ou des commandes ; croissance…) ? ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
1.3 Pouvez-vous brièvement nous décrire le profil de votre clientèle (secteur d’activité, grands comptes, PME, collectivités publiques, localisation pays…) ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
NB : Préciser si éloignement géographique des principaux clients 1.4 Estimez-vous être en situation de forte dépendance (ou mono dépendance) vis à vis de vos clients ? (Quelques clients représentent-ils une part importante de votre C.A ?)
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
1.5 Part du chiffre d’affaires à l’exportation (et principaux marchés/zones) : ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
16
........................................................................................................................................................................................................................................................
Questionnaire Entreprise Sécurité Economique
2. SECURITE STRUCTURE CAPITAL 2.1 Etes-vous l’actionnaire majoritaire de votre entreprise ? OUI
NON
2.2 Quel est le profil des autres actionnaires de votre entreprise (industriels, famille, fonds d’investissement, investisseurs étrangers…) ? (valider l’appartenance ou pas à un groupe) (si le dirigeant détient 100 % du capital, aller à question 2.3 et 2.4) ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
Si investisseurs étrangers (si non, aller à question 2.3 et 2.4)
➡ Parts dans le capital : ........................................................................................................................................................................................................................................................
➡ Profil des investisseurs (fonds d’investissements, industriels…) : ........................................................................................................................................................................................................................................................
2.3 Etes-vous actuellement en train de rechercher de nouveaux partenaires financiers et /ou industriels ? OUI
NON
2.4 Avez-vous déjà été approché par des investisseurs étrangers ? OUI
NON
3. CAPACITE DE FINANCEMENT ET INNOVATION DANS L’ENTREPRISE 3.1 Estimez-vous avoir des capacités de financement assez fortes pour soutenir la croissance de votre entreprise et son potentiel d’innovation technologique ? OUI
NON
3.2 Votre activité nécessite-elle des investissements réguliers dans le domaine de l’innovation et de la recherche ? (l’activité est-elle fortement capitalistique ?) OUI
17
NON
Questionnaire Entreprise Sécurité Economique
3.3 Dans le cadre de votre politique de R & D, vous arrive-t-il de mettre en place une politique de partenariat (co-conception) avec d’autres entreprises ou organismes? OUI
NON
Si oui, pouvez-vous préciser laquelle (ou lesquelles) : ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
3.4 Avez-vous déjà bénéficié d’une aide financière et / ou subvention publique (ANVAR, DRIRE, DRRT,BDPME*…) ? OUI
NON
* Détail des aides financières et organismes dans le référérentiel de sécurité économique 3.5 Estimez-vous que l’endettement de votre entreprise est un frein à son développement ? OUI
NON
4. RISQUES CONCURRENTIELS
4.1 Avez-vous identifié vos principaux concurrents (français et étrangers) ? OUI
NON (aller directement à la partie 5 «risques EXTERNALISATION / FOURNISSEURS»)
4.2 Certains d’entre eux sont-ils implantés dans des pays à faible coût de main d’œuvre (Europe de l’Est, Asie…) ? OUI 4.3 Quel est leur profil gers…) ?
NON
(PME / PMI ; grands groupes ; français, étran-
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
18
Questionnaire Entreprise Sécurité Economique
4.4 Avez-vous identifié « toutes » les offres de produits concurrents aux vôtres (produits approchants positionnés sur le même marché ; autres produits ou technologies de substitution) ? OUI
NON
4.5 Vous estimez-vous «menacé» par ces produits ou technologies ? OUI
NON
5. RISQUES EXTERNALISATION/FOURNISSEURS
5.1 Estimez-vous avoir des capacités de financement assez forte pour soutenir la croissance de votre entreprise et son potentiel d’innovation technologique ? OUI
NON
5.2 Si vous avez déjà fait appel à des cabinets d’audit, de conseil, pouvez-vous préciser le(s)quel(s) et dans quels domaines (qualité, marketing / management, comptable…) ? ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
5.3 Faites-vous appel à une entreprise extérieure pour l’archivage de certaines données sensibles ou stratégiques ? OUI
NON
5.4 Au sein de votre entreprise, quelles services, fonctions externalisez-vous (comptabilité, informatique, qualité…) ? ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
19
Questionnaire Entreprise Sécurité Economique
5.5 En cas de défaillance de l’un de vos principaux fournisseurs (faillites, rupture de stock momentanée…), avez-vous des partenaires de rechange ? OUI
NON
5.6 Estimez-vous être en situation de forte dépendance (ou mono dépendance) vis à vis de vos fournisseurs ? OUI
NON
REMARQUES - COMMENTAIRES VISITE
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
20
Dispositif de Sécurité Economique
Avant propos
La sécurité économique met en œuvre une action de protection contre les menaces qui pèsent sur les intérêts économiques nationaux, notamment en matière d’indépendance technologique et de prise de contrôle financier, ainsi qu’une action de sécurisation des systèmes d’information. Au niveau de l’entreprise, la sécurité économique est la protection de l’information stratégique, volet défensif d’une démarche globale de caractérisation et de maîtrise de l’information au sein des entreprises : l’intelligence économique. Ce document, à usage interne, est destiné aux représentants de l’Etat, devant sensibiliser les entreprises à la sécurité économique. Les visites entreprises sécurité économique ont une double finalité : • recueillir des informations sur les entreprises, notamment sur la structure de leur capital, leur potentiel technologique et leurs besoins de financement (questionnaire entreprise). Ces informations seront analysées par le Comité opérationnel de sécurité économique pour apporter des mesures d’appui et de suivi pour les entreprises ciblées. • sensibiliser. les entreprises à la sécurité économique. Le guide de visite recense l’ensemble des thèmes à aborder lors des entretiens et devra être adapté en fonction de l’entreprise visitée. Une grille d’auto évaluation sera transmise au chef d’entreprise à la fin de l’entretien. Lors de ces visites, les intervenants sensibiliseront leurs correspondants aux autres volets de l’intelligence économique et notamment à la maîtrise de l’information stratégique. La plus grande confidentialité est demandée pour l’ensemble des démarches.
Le Sgar Drire Michaël REYNIER
Le Chargé de Mission Défense Economique Pascal BROCARD
*avec la participation de Benjamin Deltete, stagiaire à la Drire de Basse Normandie et étudiant au mastère Traitement Décisionnel de l’Information de l’Ensicaen
Dispositif de Sécurité Economique
Sommaire GUIDE DE VISITE SÉCURITÉ ÉCONOMIQUE DE L’ENTREPRISE
➡ ➡ ➡ ➡ ➡ ➡ 1
SENSIBILISATION / SÉCURITE SALARIÉS
2
LA PROTECTION DU PATRIMOINE IMMATÉRIEL (ET DES DONNÉES SENSIBLES)
3
LA SÉCURITÉ INFORMATIQUE
4
LA PROTECTION DU PATRIMOINE PHYSIQUE
5
GESTION DE CRISE
6
INTÉLLIGENCE ÉCONOMIQUE ET TERRITORIALE* ∑ ANNEXE
Les 12 clés de la sécurité Exemple de grille d’auto-évaluation «Guide des organismes de soutien et d’aides aux entreprises en Région»
1
Dispositif de Sécurité Economique
1
SENSIBILISATION ET SÉCURITÉ DU PERSONNEL
1.1 Sensibilisation du personnel à la protection de l’information ➡ Les risques et menaces proviennent d’abord de l’intérieur de l’entreprise : collaborateurs internes et stagiaires à l’origine des 2/3 des actes de malveillance. 70 à 80 % des sinistres informatiques d’origine interne. ➡ Présentation des enjeux de sécurité, principes et règles de la sécurité de l’entreprise, comportements à adopter. • Formation, sensibilisation du personnel sur ces problématiques de protection de l’information.
1.2 Notion de reconnaissance des responsabilités du personnel et clauses de sécurité ➡ Clauses spécifiques de confidentialité, ou de fin de contrat de travail, ou de non-concurrence insérées dans le contrat de travail. ➡ Un engagement de responsabilité peut être signé par le salarié, actant que celui-ci a pris note des règles de sécurité, relatives au poste de travail donnant accès aux ressources informatiques.
1.3 Accueil stagiaires dans l’entreprise / sensibilisation protection de l’information ➡ Le stage devient parfois un moyen détourné d’obtenir de l’information stratégique. Les rapports de stage peuvent contenir des informations stratégiques de l’entreprise ➡ Présentation des enjeux de sécurité, principes et règles de la sécurité de l’entreprise, comportements à adopter. ➡ Les clauses de confidentialités peuvent aussi concerner les stagiaires.
1.4 Politique de recrutement des salariés ➡ Validation stricte des références pour des fonctions sensibles lors de procédures d’embauche. ➡ Toute personne aura accès aux informations dont elle a besoin dans l’accomplissement de sa tâche : déterminer un périmètre d’accès aux informations en fonction du niveau de responsabilité. ➡ Veiller à ne pas donner de l’information trop sensible, ou stratégique au personnel par intérimaire : risque de fuite possible.
3
Dispositif de Sécurité Economique
2
LA PROTECTION DES DONNÉES SENSIBLES ET STRATÉGIQUES 2.1 Identification des données et informations «sensibles» et stratégiques de l’entreprise ➡ Informations sensibles : Informations dont la divulgation ou l’altération peut porter atteinte aux intérêts, ou à l’image de l’entreprise. ➡ Informations stratégiques : ce sont des informations dont la connaissance est nécessaire pour atteindre les objectifs correspondant aux orientations stratégiques de l’entreprise. ➡ Quelques exemples de données sensibles : Savoir faire technologique, propositions commerciales, résultats audits financiers ou audit de sécurité interne, codes informatiques… ➡ Quelques exemples de données stratégiques : Listes clients - prospects, projets de développement, cahier des charges ,«gros» contrats, nouveaux concepts… 2.2 Archivage de ces informations en lieu sûr et protection contre les intrusions, les incendies, les inondations… ➡ La destruction, la perte de ces données peuvent avoir des conséquences dramatiques pour l’entreprise : faillites, pertes de contrats et / ou de clients… ➡ Ne pas stocker ces données, informations exclusivement sur le serveur ou le système d’information : penser à les dupliquer : CD Rom, stockage hors site (entreprise) en cas de sinistre (incendie, inondation…). ➡ Archivage des contrats, et autre documentation d’importance dans des armoires métalliques fermées à clefs. ➡ Utilisation d’un broyeur pour la destruction de papiers contenant des informations confidentielles 2.3 Contractualiser ses relations partenaires (fournisseurs, sous-traitants…) ➡ Engagement de confidentialité des partenaires ou autres sous-traitants). 2.4 Contrôle d’accès et classification des données stratégiques et / ou sensibles ➡ Autorisation nominative (qui est autorisé à consulter ces données et qui ne l’est pas ?) : restriction d’accès conformément à la sensibilité (classification) de ces données. ➡ Déterminer un degré d’importance ou une criticité pour les données ou informations de l’entreprise.
4
Dispositif de Sécurité Economique
2.5 Détournement d’informations stratégiques ou sensibles par : ➡ Fausses enquêtes, questionnaires par téléphone. ➡ Négociation commerciale particulièrement ardue. ➡ Détournement des procédures d’appels d’offre. ➡ Sollicitation «insistante» partenaires, fournisseurs, clients… ➡ Salons professionnels en France, à l’étranger où l’entreprise est présente. ➡ «Ingénierie sociale» : un manipulateur utilise l’influence et la persuasion pour duper ses interlocuteurs en se faisant passer pour quelqu’un d’autre pour obtenir des renseignements. 2.6 Moyens juridiques pour protéger ses innovations, produits ou savoir faire : ➡ Brevet : La protection par brevet n’est accordé qu’aux inventions nouvelles impliquant une activité inventive et qui sont susceptibles d’application industrielle (art. 610-11.1 cde pénal propriété intel.) • Concerne les produits de l’entreprise. ➡ Secret industriel ou secret de fabrication : Procédé de fabrication* offrant un intérêt pratique ou commercial pour l’entreprise qui le met en œuvre, et tenu caché des concurrents. Il peut s’étendre à toute information susceptible d’application industrielle, gardée secrète par son détenteur et utilisée afin de créer ou de fournir des biens ou des services. • Concerne le savoir faire de l’entreprise. * Comprend les procédés de fabrication mettant en œuvre les technologies les plus sophistiquées ou encore des méthodes, ou des données commerciales (listing clients…).
➡ Enveloppe Soleau : Moyen simple et peu coûteux de preuve d’une invention : permet à un inventeur de rapporter la preuve de la date à laquelle l’invention a été créée. Ce n’est pas un titre de propriété industrielle mais elle permet de conserver un droit de possession personnelle de sa création et peut également constituer, dans certains cas, un outil de négociation. ➡ Des cabinets de conseil en propriété industrielle peuvent aider l’entreprise à définir une stratégie de protection industrielle (évaluer le juste nombre de brevets ; ne breveter que ce qui est indispensable…). ➡ Le(s) brevet(s) peuvent, dans les cas extrêmes, assurer la survie de l’entreprise : en cas d’arrivée d’un nouvel acteur aux moyens financiers importants sur le marché (ou domaine d’activité) de l’entreprise, celui-ci pourrait être contraint payer des droits à l’entreprise détentrice du brevet, et / ou de devoir tenir compte de ses exigences. ➡ Le secret industriel ou secret de fabrication a un coût moins élevé pour l’entreprise. Il n’y a pas de divulgation d’informations (publication de titres de propriété industrielle comme pour le brevet). ➡ Les clauses particulières du contrat de travail des salariés - confidentialité, non concurrence… - (voir partie 1) peuvent faire référence aux notions de secret de fabrication.
5
Dispositif de Sécurité Economique
3
LA SÉCURITÉ INFORMATIQUE 3.1 Présence d’un Responsable de la Sécurité des Systèmes d’Information (R.S.S.I) au sein de l’entreprise ➡ Assure la politique de sécurité des systèmes d’information à tous les échelons et domaines de l’organisme. ➡ Il fait prévaloir l’aspect sécuritaire sur les intérêts particuliers et intègre la sécurité dans tous les projets touchant au système d’information. 3.2 Audit de sécurité des systèmes d’information ➡ Analyse des failles, et menaces du système d’information / Etat et analyse de son système d’information existant. ➡ Connaissance de ses besoins en sécurité des systèmes d’information. 3.3 Protection du système d’information par logiciels antivirus et firewall (pare-feu) ➡ Le «système» anti-virus peut être envisagé à trois niveaux (de protection) : sur la passerelle Internet, serveur de messagerie, sur les postes de travail (ordinateurs) ➡ Le firewall (pare-feu*) : Grâce à un firewall, toute donnée repérée comme dangereuse ou «douteuse» sera filtrée et évitera d’entrer sur le réseau. C’est une «barrière» entre l’extérieur (Internet) et l’intérieur (le réseau local d’ordinateurs). 3.4 La gestion des mises à jour et la sécurité du système d’information ➡ Les mises à jour non effectuées du système de protection (anti-virus et firewall) affaiblissent l’efficacité de la protection, et rendent le système plus vulnérable aux attaques informatiques. ➡ Les mises à jour doivent aussi concernées l’ensemble des logiciels (bureautique, comptables…) présents sur le système d’information de l’entreprise. Les vulnérabilités du système d’information se trouveraient renforcées dans le cas contraire. 3.5 Repérer des sources pertinentes pour identifier les attaques informatiques du moment (avis et alertes) ➡ Consulter le site web du C.E.R.T.A (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) : www.certa.ssi.gouv.fr➡ Consulter le site web du CERT-IST (Computer Emergency Response Team : Industrie, Services et Tertiaire) : www.cert-ist.com
6
Dispositif de Sécurité Economique
3.6 Quelques outils méthodologiques pour la sécurité des systèmes d'information disponibles sur Internet : ➡ Méthode de gestion de risques informatique E.B.I.O.S (Expression des Besoins et Identification des Objectifs de Sécurité) : www.ssi.gouv.fr/fr/confiance/methodes.html ➡ Guide d'élaboration de Politiques de Sécurité des Systèmes d'Information (P.S.S.I) : www.ssi.gouv.fr/fr/confiance/methodes.html ➡ Guide d'élaboration de Tableaux de Bord de Sécurité des Systèmes d'Information (T.D.B.S.S.I) : www.ssi.gouv.fr/fr/confiance/methodes.html 3.7 Vulnérabilités par le site web de l’entreprise ➡ Un concurrent ou toute autre personne pourrait accéder à des informations confidentielles à partir d’un site web mal sécurisé. ➡ Les données confidentielles seront stockées sur un poste informatique non connecté au réseau 3.8 Quelques éléments de risques, vulnérabilités informatiques : ➡ Postes et équipements nomades (ordinateurs portables, assistants numérique de poche…) : risques de vols, pertes plus élevés. ➡ Connexion informatique hors réseau : le connexion hors réseau (wi-fi, par exemple) de l’entreprise ne doit pas être autorisée s’il n’existe pas de réseau privé virtuel (VPN) ➡ Messagerie non protégée / Echange de données par messagerie électronique non sécurisée. ➡ Plan de sauvegarde inexistant. ➡ Mise en réseau de son système d’information avec des partenaires (fournisseurs, clients…). ➡ Télémaintenance : l’installation d’une ligne de communication entre le système d’information et la société de maintenance (ce qui lui donne des droits d’accès sur le réseau de l’entreprise) accroît les risques d’attaques du système d’information ➡ Ouverture pièces jointes de messagerie sans vérification d’un logiciel anti-virus. ➡ Absence de sécurisation des périphériques informatiques : imprimantes, routeurs… : dans le cas de location de photocopieurs numériques, le disque dur doit rester la propriété de l’entreprise 3.9 Echanger par messagerie des données sensibles ➡ Solutions d’échanges électroniques sécurisées: outils de chiffrement intégré à la messagerie électronique ou services de messagerie sécurisée (associés à des certificats de signature électronique), commercialisés par des sociétés informatiques spécialisées.
7
Dispositif de Sécurité Economique
4
LA PROTECTION DU PATRIMOINE PHYSIQUE 4.1 «Système» de sécurité installé dans l’entreprise ➡ Grillages, vidéo surveillance, alarmes…. ➡ Dispositif anti-incendie dans les locaux informatiques. 4.2 Visiteurs dans l’entreprise ➡ Circuit de visite prédéterminé. ➡ Contrôle d’accès des entrées et sorties au sein de l’entreprise.
5
GESTION DE CRISE 5.1 Sinistres majeurs et plans de secours opérationnels ➡ Plus de la moitié des sociétés ayant connu un sinistre majeur de leur système d'information ont cessé leur activité dans les deux ans qui ont suivi. (enquête revue informatique 01 Net 2001). ➡ Plan de secours des moyens informatiques / Plan de récupération des données après sinistre ➡ Plan de continuité d’activité économique / Plan de Reprise d’Activité ➡ Plan de crise ➡ Certains spécialistes informatiques proposent des outils et services pour répondre à ces problématiques de sécurité et crise : - Ex. : Bull peut garantir le temps de restauration complète d'un serveur NT, en cas de destruction et quel que soit le type de serveur NT. L’entreprise propose aussi un logiciel d'aide à la définition et à la gestion du Plan de Secours du système d'information et à son maintien opérationnel.
8
Dispositif de Sécurité Economique
5.2 Limiter une dépendance trop forte à l’égard de ses partenaires ➡ Recherche nouveaux fournisseurs industriels. ➡ Prospection nouveaux clients, nouveaux marchés.
5.3 Assurer la pérennité de l’entreprise en cas de difficultés financières ou de tentatives de rachats hostiles ➡ Partenaires financiers et / ou repreneurs potentiels «sous la main» pour pallier ces difficultés.
5.2 Pallier d’éventuels problèmes de désinformation ➡ Surveiller la réputation de l’entreprise et identifier les sources d’informations négatives (qui est à l’origine, pourquoi, et quelles conséquences sur mon activité, marché ?). ➡ Des spécialistes du «Risk management» peuvent aider à répondre à ces questions (ex. : Datops fournit ce type de services). ➡ Moyen plus simple, mais tout aussi efficace, taper le nom de l’entreprise sur un moteur de recherche Internet pour savoir ce qui se dit (dans la presse ou les forums) sur l’entreprise.
9
Dispositif de Sécurité Economique
6
INTELLIGENCE ECONOMIQUE 6.1 Recherche d’informations dans le cadre d’un objectif stratégique de l’entreprise dans le but de détecter les opportunités et menaces de son environnement ➡ Environnement commercial : Surveiller les « comportements » des clients (ont-ils un nouveau fournisseur ? pour quelles raisons ?...), détecter de nouvelles opportunités de développement (nouveau marché à l’international…). ➡ Environnement marché : Se comparer aux concurrents (benchmarking), mieux les identifier, déceler les tendances du marché et anticiper. ➡ Environnement technologique : Déceler une nouvelle technologie, l’intégrer ou pas dans le processus de fabrication ? Evaluer l’impact d’une nouvelle technologie sur son marché (s’agit-il d’un produit de substitution ?). ➡ Environnement juridique : Surveiller l’évolution des réglementations concernant l’activité de l’entreprise, quels impacts ont les directives ou autres décisions européennes sur mon activité ? ➡ Environnement « socio-économique » ou conjoncturel : Anticiper, par une bonne appréhension de la conjoncture économique et sectorielle, sa politique d’embauche ou de recrutement, être capable d’investir au bon moment. ➡ Environnement fournisseur : Détection d’un nouveau fournisseur offrant des conditions avantageuses, veille auprès d’un fournisseur considéré comme stratégique (mono dépendance) 6.2 Les grands objectifs d’une action d’Intelligence Economique (ou veille stratégique) ➡ Mieux connaître le marché, ses évolutions, et opportunités _ Gagner des parts de marché. ➡ Surveiller ses concurrents, se comparer à eux _ S’approprier leurs meilleures pratiques. ➡ Déceler l’apparition de nouveaux concurrents, de possibles produits de substitution _ Anticiper, assurer la pérennité de l’entreprise. ➡ Transformer une information en «connaissance» _ La donner à la bonne personne, au bon moment, optimiser le processus de décision dans l’entreprise.
10
Dispositif de Sécurité Economique
6.3 Actions d’influence pour remporter un marché ➡ Lobbying, bureau de représentation ou autres partenaires commerciaux à l’étranger.
6.4 Quelques exemples concrets d’actions de veille stratégique, facile à mettre en œuvre ➡ Aller sur le site des concurrents pour connaître leur actualité (nouveaux contrats, nouveaux projets industriels…). ➡ Identifier et consulter les portails d’information sectorielle et / ou sa fédération professionnelle pour obtenir de l’information pertinente. ➡ Utiliser les portails d’Intelligence Economique qui existent et exploiter leur moteur de recherche ou annuaire thématiques (www.basse-normandie.net ; www.portail-intelligence.com). ➡ Se rendre à un salon professionnel en ayant déterminer au préalable son besoin d’information. ➡ Contacter l’A.R.I.S.T (service « veille de la C.R.C.I) qui propose notamment des actions de veille technologique et concurrentielle, ainsi que sur les marchés publics européens.
11
Dispositif de Sécurité Economique
LES 12 CLÉS DE LA SÉCURITÉ 1 - Admettre que toute entreprise possède des informations à protéger (plans de recherche, prototypes, plans marketing, stratégie commerciale, fichiers clients, contrats d’assurance, …) 2 - Faire appel à l’ensemble des capacités de l'entreprise (chercheurs, logisticiens, gestionnaires de personnel, informaticiens, juristes, financiers,…) pour réaliser l’inventaire des informations sensibles, des points faibles, des risques encourus et de leurs conséquences 3 - Exploiter l’information ouverte sur l’environnement dans lequel évolue l'entreprise, observer le comportement des concurrents, partenaires, prestataires de service, fournisseurs, pour identifier les menaces potentielles 4 - S’appuyer sur un réseau de fournisseurs de confiance pour ceux d’entre eux qui partagent ou accèdent à des informations sensibles 5 - Ne pas chercher à tout protéger : classifier les informations et les locaux en fonction des préjudices potentiels et des risques acceptables 6 - Mettre en place les moyens de protection adéquats correspondant au niveau de sensibilité des informations ainsi classifiées, s’assurer qu’ils sont adaptés et, si besoin, recourir à des compétences et expertises extérieures 7 - Désigner et former des personnes responsables de l’application des mesures de sécurité 8 - Impliquer le personnel et les partenaires en les sensibilisant à la valeur des informations, en leur apprenant à les protéger et en leur inculquant un réflexe d'alerte en cas d'incident 9 - Déployer un système d’enregistrement des dysfonctionnements (même mineurs), et analyser tous les incidents 10 - Ne pas hésiter à porter plainte en cas d’agression 11 - Imaginer le pire et élaborer des plans de crise, des fiches "réflexe" afin d’avoir un début de réponse au cas où… 12 - Evaluer et gérer le dispositif (voir annexe autodiagnostic), anticiper les évolutions (techniques, concurrentielles,…) et adapter la protection en conséquence en se conformant aux textes législatifs et réglementaires en vigueur 12
Dispositif de Sécurité Economique
Exemple de grille d'auto-évaluation
Rubrique 1 2 Organisation générale de la sécurité
3 4 5 6 7
Sécurité de l'information
Protection des locaux
Une classification et un repérage des documents selon leur niveau de confidentialité existent
10
La sécurité des informations est prise en considération dès l’élaboration d’un projet
11
Les règles de protection, différentes selon le niveau de classification, sont connues et appliquées (diffusion, exploitation, conservation, destruction des documents)
12
Une classification des sites et secteurs selon leur niveau de confidentialité a été réalisée
13 14
18 19 20 21 22 23 24 25 26 27
Partenariat
28 Cadre juridique
Un dispositif de contrôle de l'application des règles de sécurité existe Le personnel et les partenaires de l'entreprise sont conscients de l’aspect protéiforme des informations et de leur valeur (sensibilisation continue)
9
17
Comportement des personnes
Des systèmes de reporting, d'alerte et d'intervention en cas d'incident sont opérationnels
L’inventaire du patrimoine informationnel a été fait et il est régulièrement mis à jour
16
Transport de fret et de courrier
Les situations de crise et/ou de désinformation ont été anticipées
8
15
Moyens de communication et systèmes d'information
Les risques et menaces qui pèsent sur l'entreprise ont été identifiés L’entreprise dispose d’une documentation générale sur sa sécurité (objectifs, organisation, moyens, procédures de mise à jour, …) Des responsables ont été désignés et formés
29 30
Les règles d'accès, de circulation des personnes sont connues et appliquées, les contrôles d'accès sont en place Les moyens de prévention des agressions, de détection d'intrusions et d'intervention appropriés sont opérationnels, les incidents sont analysés et les dysfonctionnements corrigés L’accueil des visiteurs est organisé Le personnel connaît les risques liés à l’informatique, aux réseaux, aux portables, et applique des consignes de sécurité (accès aux systèmes contrôlé, chiffrement des données sensibles, etc) Les inventaires (matériels, logiciels, utilisateurs, etc) ont été effectués et les procédures, les tests de validité sont documentés Des procédures d’administration des systèmes, des réseaux et des utilisateurs existent L’entreprise est équipée de logiciels anti-virus, de détection d’erreurs et d’intrusions, de logiciel parefeux pour ses connexions avec l’extérieur ; ses échanges informatiques à distance sont sécurisés Des dispositifs de sauvegarde et de secours (données, systèmes et leur alimentation, …), des règles d’archivage des données et de destruction des supports informatiques existent et sont appliquées L’entreprise a rédigé une charte pour l’usage d’Internet et le personnel est formé aux risques liés à l'utilisation des réseaux et d'Internet Les procédures pour le transport de fret ou de courrier sensibles ont été définies et sont utilisées Le parcours et les étapes sont connus et enregistrés ; un système d’analyse des incidents rencontrés lors de transport de fret ou de courrier est en place L’obligation de confidentialité est mentionnée dans les contrats de travail, le règlement intérieur, etc… Une sensibilisation continue aux risques de divulgation involontaire de l’information est réalisée, des recommandations sont données aux personnels en déplacement et la communication est encadrée Des engagements particuliers sont imposés à certains métiers de l’entreprises (acheteurs, vendeurs, financiers) ou à certains prestataires La capacité et la volonté des partenaires à garantir la protection des informations sensibles sont évaluées La protection des informations est définie conjointement avec les partenaires et les contrats comportent des clauses de protection du secret L’entreprise utilise l’ensemble des moyens de protection juridique disponibles (brevet, enveloppe Soleau, dépôt de marques ou de modèles, contrats,…) Les mesures de protection respectent le cadre légal et réglementaire
Dispositif de Sécurité Economique
Quelques organismes de soutien et d’aides aux entreprises en région ➡ DRIRE : (Direction Régionale de l'Industrie, de la Recherche et de l'environnement) Financement de projets industriels et informations sur les politiques industrielles nationales et Européennes. ➡ OSEO-A.N.V.A.R : Financement, expertise dans les cadre d’un projet innovant. ➡ C.T.N : Appui technologique en Productique et en Technologies de l'Information et de la Communication (aide dans leur démarche d’innovation). ➡ C.R.I.T.T Basse-Normandie Cotentin : aides, conseils et expertise technologique ( missions de veille technologique et concurrentielle + « état de l’art » dans le cadre d’un projet innovant…). ➡ A.R.I.S.T (service de la C.R.C.I) : Apporte conseils et expertises dans le domaine des brevets, marques, dessins et modèles. ➡ G.R.A.V.I.R (Groupe Régional d’Action pour la Valorisation Industrielle de la Recherche) : Réseau d’experts de la recherche (matériaux, T.I.C, systèmes complexes / maîtrises d’ambiance…). ➡ EURO INFO CENTRE (service de la C.R.C.I) : Accès à de l’information «commerciale» européenne (marchés publics européens, opportunités d’affaires). ➡ D.R.C.E (Direction Régionale du Commerce Extérieur) : Informations marchés étranger, financements projets d’exportation. ➡ CODEFI (Comité Départemental d’Examen des Difficultés Financières) : Aides et appuis en cas de difficultés financières. pour en savoir plus...
14
sur les «stratégies de protection du patrimoine» (brevet, secret industriel, alliance d’entreprises…) : - «Le droit pour dynamiser votre business» de Thibaut du Manoir (éditions d’Organisation) sur la protection du patrimoine de l’entreprise : - Référentiel Adit - Club Intelligence Economique de l’Ouest (http://www.cieouest.com) - Guide pour l’élaboration d’une politique de sécurité de système d’information téléchargeable sur le lien suivant : www.ssi.gouv.fr/fr/confiance/methodes.html sur la sécurité informatique (en plus des liens mentionnés dans le guide) : - Guide MEDEF sur la Sécurité des Systèmes d’Information (téléchargeable sur le site internet du Medef) - Site Internet du clusif (club de la sécurité des systèmes d’information français) : www.clusif.asso.fr/index.asp sur l’intelligence économique : - Rapport parlementaire sur l’Intelligence Economique du député B. CARAYON (+ articles sur ce sujet + liens internet) : www.bcarayon-ie.com - Guide pratique Intelligence Economique et PME du MEDEF ((téléchargeable sur le site internet du Medef) Sur les actions locales et régionales d’Intelligence Economique : - www.basse-normandie.net (rubrique l’intelligence économique en région)
Questionnaire Entreprise Sécurité Economique
Plan 1. L’ENTREPRISE 2. SECURITE STRUCTURE CAPITAL 3. CAPACITE DE FINANCEMENT ET INNOVATION DANS L’ENTREPRISE 4. RISQUES CONCURRENTIELS 5. RISQUES EXTERNALISATION / FOURNISSEURS
FICHE D’IDENTITÉ Raison sociale : ................................................................................................................................................................................................ Numéro siret :...................................................................................................................................................................................................... Nom du dirigeant :...................................................................................................................................................................................... Nom de la personne contactée : ........................................................................................................................................ Fonction : .................................................................................................................................................................................................................... Localisation :.......................................................................................................................................................................................................... ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
Numéro de téléphone : ...................................................................................................................................................................... Mel :...................................................................................................................................................................................................................................... Site internet : ........................................................................................................................................................................................................ Nationalité de l’entreprise : ........................................................................................................................................................ Code activité ()Naf : ................................................................................................................................................................................ Appartenance à un groupe :...................................................................................................................................................... Chiffre d’affaires : ........................................................................................................................................................................................ Effectif : .......................................................................................................................................................................................................................... Date de la visite : .......................................................................................................................................................................................... Effectuée par : .................................................................................................................................................................................................... Service : .......................................................................................................................................................................................................................... Coordonnées : .................................................................................................................................................................................................... 15
Questionnaire Entreprise Sécurité Economique
1. L’ENTREPRISE
1.1 Rappel des principales activités (produits/services, savoir faire/métiers) de l’entreprise : ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
1.2 Quelle est la tendance de votre activité (hausse, baisse du chiffre d’affaires ; chute brutale de l’activité ou des commandes ; croissance…) ? ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
1.3 Pouvez-vous brièvement nous décrire le profil de votre clientèle (secteur d’activité, grands comptes, PME, collectivités publiques, localisation pays…) ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
NB : Préciser si éloignement géographique des principaux clients 1.4 Estimez-vous être en situation de forte dépendance (ou mono dépendance) vis à vis de vos clients ? (Quelques clients représentent-ils une part importante de votre C.A ?)
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
1.5 Part du chiffre d’affaires à l’exportation (et principaux marchés/zones) : ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
16
........................................................................................................................................................................................................................................................
Questionnaire Entreprise Sécurité Economique
2. SECURITE STRUCTURE CAPITAL 2.1 Etes-vous l’actionnaire majoritaire de votre entreprise ? OUI
NON
2.2 Quel est le profil des autres actionnaires de votre entreprise (industriels, famille, fonds d’investissement, investisseurs étrangers…) ? (valider l’appartenance ou pas à un groupe) (si le dirigeant détient 100 % du capital, aller à question 2.3 et 2.4) ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
Si investisseurs étrangers (si non, aller à question 2.3 et 2.4)
➡ Parts dans le capital : ........................................................................................................................................................................................................................................................
➡ Profil des investisseurs (fonds d’investissements, industriels…) : ........................................................................................................................................................................................................................................................
2.3 Etes-vous actuellement en train de rechercher de nouveaux partenaires financiers et /ou industriels ? OUI
NON
2.4 Avez-vous déjà été approché par des investisseurs étrangers ? OUI
NON
3. CAPACITE DE FINANCEMENT ET INNOVATION DANS L’ENTREPRISE 3.1 Estimez-vous avoir des capacités de financement assez fortes pour soutenir la croissance de votre entreprise et son potentiel d’innovation technologique ? OUI
NON
3.2 Votre activité nécessite-elle des investissements réguliers dans le domaine de l’innovation et de la recherche ? (l’activité est-elle fortement capitalistique ?) OUI
17
NON
Questionnaire Entreprise Sécurité Economique
3.3 Dans le cadre de votre politique de R & D, vous arrive-t-il de mettre en place une politique de partenariat (co-conception) avec d’autres entreprises ou organismes? OUI
NON
Si oui, pouvez-vous préciser laquelle (ou lesquelles) : ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
3.4 Avez-vous déjà bénéficié d’une aide financière et / ou subvention publique (ANVAR, DRIRE, DRRT,BDPME*…) ? OUI
NON
* Détail des aides financières et organismes dans le référérentiel de sécurité économique 3.5 Estimez-vous que l’endettement de votre entreprise est un frein à son développement ? OUI
NON
4. RISQUES CONCURRENTIELS
4.1 Avez-vous identifié vos principaux concurrents (français et étrangers) ? OUI
NON (aller directement à la partie 5 «risques EXTERNALISATION / FOURNISSEURS»)
4.2 Certains d’entre eux sont-ils implantés dans des pays à faible coût de main d’œuvre (Europe de l’Est, Asie…) ? OUI 4.3 Quel est leur profil gers…) ?
NON
(PME / PMI ; grands groupes ; français, étran-
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
18
Questionnaire Entreprise Sécurité Economique
4.4 Avez-vous identifié « toutes » les offres de produits concurrents aux vôtres (produits approchants positionnés sur le même marché ; autres produits ou technologies de substitution) ? OUI
NON
4.5 Vous estimez-vous «menacé» par ces produits ou technologies ? OUI
NON
5. RISQUES EXTERNALISATION/FOURNISSEURS
5.1 Estimez-vous avoir des capacités de financement assez forte pour soutenir la croissance de votre entreprise et son potentiel d’innovation technologique ? OUI
NON
5.2 Si vous avez déjà fait appel à des cabinets d’audit, de conseil, pouvez-vous préciser le(s)quel(s) et dans quels domaines (qualité, marketing / management, comptable…) ? ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
5.3 Faites-vous appel à une entreprise extérieure pour l’archivage de certaines données sensibles ou stratégiques ? OUI
NON
5.4 Au sein de votre entreprise, quelles services, fonctions externalisez-vous (comptabilité, informatique, qualité…) ? ........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................
19
Questionnaire Entreprise Sécurité Economique
5.5 En cas de défaillance de l’un de vos principaux fournisseurs (faillites, rupture de stock momentanée…), avez-vous des partenaires de rechange ? OUI
NON
5.6 Estimez-vous être en situation de forte dépendance (ou mono dépendance) vis à vis de vos fournisseurs ? OUI
NON
REMARQUES - COMMENTAIRES VISITE
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
........................................................................................................................................................................................................................................................................................................................................................................................................
20
Related Documents
Securite
October 2019 93
Securite Access
November 2019 92
Guide Securite
May 2020 40
Securite Systeme
November 2019 78
Livre Blanc Securite Toip
June 2020 42