Dans une étude publiée fin 2014, le spécialiste de la sécurité Kasperky Lab, soulignait que près de 20 % des entreprises industrielles ont subi un vol de propriété intellectuelle. S’il existe un cadre juridique et des solutions qui permettent de protéger sa propriété intellectuelle sur un marché local et à l’international, l’espionnage industriel n’en reste pas moins une réalité.
Ces mesures juridiques sont le plus souvent complétées par des solutions de protection physique (vidéosurveillance, alarmes, etc.) et informatique. Pourtant, l’évolution permanente des technologies, des terminaux et des applications complexifie la mise en œuvre d’une sécurité efficace.
Que ce soit le fait d’un employé peu scrupuleux qui profite d’un mauvais paramétrage ou de permissions d’accès trop étendues aux données sensibles ou d’une attaque extérieure qui exploitera une faille, une mise à jour oubliée ou une attaque ciblée, comment garantir que vos données sont à l’abri ? Comment faire en sorte que même piratés, les plans ou la formule de votre prochain produit stratégique ne puissent être exploités ?
Car une entreprise peut protéger le périmètre de son système d’information autant qu’elle veut, elle sera forcément victime d’une attaque dans un avenir plus ou moins proche. Or que ce passera-t-il si les protections ne fonctionnent pas ? Comment garantir la confidentialité des données relatives à la propriété intellectuelle même en cas de vol ?
Le contrôle des permissions et des accès : une bonne gouvernance est essentielle
Au delà des protections classiques que l’on retrouve au sein des entreprises (pare-feu, antivirus, proxy, etc.), l’une des premières choses à faire lorsque l’on souhaite garder le contrôle des données sensibles, c’est de mettre en place une bonne gouvernance des données. Cela consiste à définir qui a le droit d’accéder à quelles données et de pouvoir contrôler l’historique des accès, des modifications et les changements d’emplacement de ces dernières.
Le contrôle des permissions d’accès et surtout le suivi de ces accès permet d’avoir un premier niveau d’alerte en cas de mouvements suspects, que ceux-ci soient le fait d’un employé indélicat ou d’un pirate ayant réussit à pénétrer le système. Nous avons chaque jour des preuves que cela est possible.
L’autre solution consiste à protéger les données elles-mêmes afin de les rendre inexploitables en l’état en cas de piratage.
Protéger la données elle-même : le chiffrement
Le chiffrement reste une valeur sûre pour protéger des données de manière efficace. Comme le définit Wikipedia « Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. ». Le chiffrement présente donc un réel intérêt pour les entreprises qui souhaitent protéger des données telles que celles liées à leur propriété intellectuelle pour les rendre illisibles, même (et surtout) en cas de vol. Il faudrait en effet déployer des efforts considérables et utiliser un matériel sophistiqué tel qu’un supercalculateur, pour avoir une chance de déchiffrer des données chiffrées obtenues de manière frauduleuse.
Une fois chiffrées, les données ne peuvent être lues que par les personnes ayant la clé pour pouvoir le faire et ce, où qu’elles sont stockées. Qu’elles soient sur le réseau de l’entreprise, dans le cloud, sur une clé USB ou qu’elles soient échangées par email ou tout autre moyen. Les données chiffrées resteront constamment protégées. L’entreprise sera ainsi la seule à pouvoir accéder au contenu des fichiers, garantissant ainsi leur totale sécurité.
Il convient toutefois de choisir sa solution de chiffrement avec soin. Mieux vaut éviter les solutions de chiffrement non validées ou gratuites dont la fiabilité n’est pas complètement garantie. Idéalement, une entreprise devra porter son choix vers une solution certifiée par des organismes reconnus tel que l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Ensuite, il faut que cette solution garantisse à l’entreprise, et uniquement à l’entreprise, la totale responsabilité en ce qui concerne la gestion des clés. Le chiffrement doit se faire sur votre système avec la clé conservée en interne.
Si vous décidez d’opter pour le chiffrement et que vous restez maître de vos clés, alors la sécurité de votre propriété intellectuelle sera pleinement garantie.
Dans une récente étude, l’institut Ponemon révélait que « 33 % des entreprises françaises disposent d’une stratégie de chiffrement ». On peut s’étonner que le nombre d’utilisateurs soit si faible alors que la protection des données n’a jamais été aussi importante. Mais soyons positif cela laisse une bonne marge de progression. (Par Xavier Dreux, Responsable Marketing chez Prim’X)