Penser la sûreté de son service et a fortiori de son entreprise consiste à faire nécessairement preuve d'imagination. De quelles menaces pourriez-vous être victime ? Votre pensée vous conduira certainement à les imaginer d'abord à l'extérieur, c'est bien mais insuffisant. Il vous faudra aussi imaginer celles générées de l'intérieur : négligence, inorganisation sont au premier rang des coupables. Pour éviter tout scénario catastrophe, quelques conseils...
Cerner et clarifier l'information
L'information est :
- multiple et pluridisciplinaire, fluctuant dans le temps et l'espace pour la connaissance actualisée des environnements à aborder, sorte de bagage de route indispensable : économique, géographique, sociologique, politique, sécuritaire, sociale, réglementaire, juridique, environnemental.
- opérationnelle sur les hommes, les entreprises, partenaires, intermédiaires, adversaires et sur les tendances à court terme des environnements.
- sensible lorsqu'elle concerne les bases de la compétitivité : technologie, recherche & développement, know-how, innovation mais aussi méthodes de gestion, technique et financière, de marketing, de publicité et de communication, de management, de cohérence de l'approvisionnement et de la distribution, de conduite des ressources humaines. Elle est sensible lorsqu'elle touche les systèmes d'information, l'organisation de la collecte, du traitement et de la diffusion, quand elle concerne le risque pays, la fraude, les lobbies, la conjoncture politique et sociale.
- concurrentielle enfin quand elle établit le niveau relatif dans le cercle de la compétition.
Adopter une vision large de l'entreprise
Le terme d'entreprise recouvre, aujourd'hui, un cercle de partenaires de plus en plus large résultant de l'externalisation, de la pratique des flux tendus et des relations en amont et en aval pour
- la recherche-développement,
- le maintien de l'avance technologique (laboratoires-formation)
- mais aussi dans le rapprochement professionnel géographique ou de filière. C'est dans ce cadre qu'il va falloir protéger l'information, matériau stratégique.
Créer un réseau transversal d'intelligence
L'information ainsi définie est au centre de la concurrence, alternativement recherchée ou protégée par les protagonistes. 95 % de l'information recherchée se trouve dans l'information ouverte. La surabondance de l'information disponible, le risque de désinformation active ou passive, l'encombrement souvent "pollué" du Net impliquent la validation de la source et le recoupement. Dans chaque fonction de l'entreprise, il y a de l'information à protéger. Pour cela, dans beaucoup d'entreprises, fonctionne autour d'un proche de la direction que nous appellerons "sherpa" et du responsable de sécurité classique, un groupe informel de réflexion et de proposition tant pour la vigilance que pour la veille, où chaque fonction est représentée par un "pragmatique". Ce Réseau Transversal d'Intelligence (RTI) est le carrefour de traitement de l'information et les chevilles ouvrières de l'adaptation compétitive.
Déterminer le patromoine à protéger
La vigilance attentive ajoute à la sécurité traditionnelle des hommes, des machines, des réseaux et des bâtiments, la protection d'un patrimoine immatériel et matériel, fondement de la marge de compétitivité autour de la technologie et l'innovation mais aussi l'ensemble des savoir-faire de gestion et d'organisation. Le patrimoine a ses priorités et points sensibles : laboratoire interne, informatique, centre nerveux des réseaux, ensemble des systèmes d'information et informations « sensibles ».
Connaître l'entreprise et son environnement
Au centre d'un cercle de convoitise (concurrents) ou d'intérêt (partenaires ou acquéreurs), l'entreprise doit apprécier les risques externes mais aussi internes (vulnérabilités) pour mieux protéger l'essentiel. Le « connais-toi toi même » du stratège chinois Sun Tzu recouvre non seulement la détermination du patrimoine essentiel (trop de protection tue la protection) mais aussi l'appréciation des vulnérabilités, sources d'accroissement des risques de l'extérieur comme de l'intérieur.
Recenser les vulnérabilités internes
Les vulnérabilités internes sont à recenser (nomades de l'entretien, personnel temporaire, visites, absence de clause de confidentialité dans les contrats avec la sous-traitance, congés, désaccords entre responsables...) à prévenir (négligences) et à juguler par des audits périodiques (systèmes d'information). En France où les exigences légales ou d'usage sont multipliées, s'impose en outre le contrôle des documents sortants depuis les dossiers d'assurance, bancaires ou fiscaux jusqu'aux projections comptables, en passant par la liste des hommes-clef, répertoires de clientèle, calculs des prix de revient, plans techniques divers, publication des résultats... et enquêtes INSEE. Enfin, ne négligeons pas les vulnérabilités basiques dans l'utilisation des photocopieurs, le déchiquetage des documents inutiles.
Apprécier les risques extérieurs
L'approche des risques extérieurs, dernier volet de la démarche de protection rassemble et évalue les composants de la "menace". Ils tiennent :
- à l'environnement : risque-pays, politique économique, social, évolution réglementaire, sécuritaire, etc.
- au cercle de concurrence à identifier en ciblant les "adversaires" majeurs.
- à la criminalisation économique et financière sans omettre la cyberdélinquance.
Définir des actions de protection
C'est le Réseau Transversal d'Intelligence (Comité d'Action Stratégique dans certains grands groupes) qui rassemble et synthétise
- l'inventaire hiérarchisé du patrimoine,
- l'analyse de la menace,
- le recensement des vulnérabilités
- et les suggestions d'audit, préconisations d'instructions et d'actions de sensibilisation
Valider et mettre en oeuvre les actions de protection
L'ensemble est soumis à la direction de l'entreprise pour validation et mise en oeuvre :
- de directives de sécurité (classement d'informations sensibles) ;
- d'aménagements et équipements ;
- de consignes individuelles ;
- de programmes d'accompagnement « ressources humaines ».
Gérer les connaissances et savoir-faire
Dans la gestion du personnel (licenciement d'hommes-clés par exemple) et la poursuite des relations avec les retraités, les entreprises doivent se préoccuper utilement :
- du maintien du capital de matière grise ;
- du transfert d'expérience et des savoir-faire (parrainage, clubs de réflexion, formation).
Dossier réalisé par Bernard Gérard
source: www.veille.com
|
Aucun commentaire:
Enregistrer un commentaire
ajouter votre commentaire: n'oubliez pas votre commentaire nous intéresse