Sommaire
Ce qui fait la valeur d’une entreprise ça n’est ni ses patrons, ni ses actionnaires. La valeur d’une entreprise se trouve dans le savoir-faire de ses employés, dans les méthodes acquises avec les épreuves et le temps, dans le portefeuille de clientèle, dans les machines des usines, et parfois aussi dans sa propriété intellectuelle/industrielle.
Pour résumer, dans le monde de l’entreprise la connaissance est puissance. Mais cette connaissance attise les convoitises de la concurrence et des pirates du numérique.
Alors comment protéger son entreprise des assauts de ces ennemis qui oeuvrent dans l’ombre?
Protéger légalement son activité
Des dispositions légales existent pour protéger au mieux votre coeur de métier.
Pour les entreprises ayant un aspect innovant, le point fort face aux compétiteurs est la propriété intellectuelle créée au sein de l’entreprises. Cette propriété intellectuelle peut être protégée sous plusieurs formes
Le droit d’auteur
Et oui les droits d’auteur servent à protéger l’innovation en entreprise. Comment? Pourquoi?
Le logiciel (précisément les algorithmes créés pour faire tourner le logiciels) est considéré en droit français comme une œuvre de l’esprit protégée par le droit d’auteur.
Les développeurs sont donc des auteurs qui s’ignorent. Enfin, si ce sont des professionnels ils sont au fait de cette particularité juridique et donc de leur pouvoir. Pour une entreprise qui souhaite développer ses propres outils informatiques il est donc conseillé de cadrer cela dans le contrat de travail de ses collaborateurs pour qu’ils cèdent leurs droits d’auteur à l’employeur.
Au delà des droits d’auteur, notre conseil à CJS est de ne pas faire développer un logiciel par une seule et unique personne, auquel cas l’entreprise serait en position de faiblesse par rapport à son employé. Mieux vaut donc si possible inclure impliquer plusieurs personnes dans le développement pour anticiper et prévenir au mieux d’éventuels conflits avec les développeurs.
Déposer un brevet ou garder le secret?
Pour une entreprise dont l’innovation est l’élément clé de sa compétitivité, la concurrence est rude. Les nouveautés mises au point par les équipes de Recherche & Développement sont susceptibles d’être volées par les compétiteurs pour combler leur retard.
Pour protéger l’innovation il y a deux stratégies principales :
Le brevet
Un brevet est un titre de propriété industrielle qui confère à son titulaire un monopole d’exploitation sur l’invention brevetée à compter, en principe, de la date de dépôt et pour une durée maximale de 20 ans. Le brevet n’est valable que sur un territoire déterminé, pour un État déterminé. Il est possible de déposer une demande de brevet auprès d’un État (auprès de de l’INPI pour la France, l’USPTO pour les États-Unis, du JPO pour le Japon…), ou auprès d’un groupe de pays. Ainsi, une demande de brevet peut couvrir plusieurs États, mais à la délivrance, il y a toujours autant de brevets nationaux que d’États où une protection est recherchée. C’est donc potentiellement un investissement financier conséquent.
En contrepartie de ce droit, le titulaire du brevet est tenu de divulguer au grand public l’invention pour que celle-ci puisse être reproduite.
Il est à noter que le brevet n’équivaut pas à l’obligation d’exploitation et que l’auteur du brevet peut très bien autoriser un tiers à exploiter son invention.
Vous l’avez compris du fait de la divulgation des aspects innovants de la propriété intellectuelle brevetée, le brevet est surtout considéré pour toutes les entreprises dont le produit peut être à court et moyen terme démonté pièce par pièce par ses concurrents, et recopié.
Le secret
Il y a cependant des secteurs, comme l’alimentaire, où il est préférable de cultiver le secret pour maintenir une position de force sur les marchés.
Si l’entreprise considère que l’aspect innovant de son produit ne peut être immédiatement compris et exactement recopié par ses concurrents alors il est préférable de ne pas divulguer au public le processus exact d’ingénierie du produit.
C’est par exemple la recette de grand-mère qui se transmet de génération en génération. Sans la recette exacte on peut deviner les ingrédients et imiter mais… on ne peut jamais égaler l’original.
Chiffrer le contenu pour sécuriser les données: l’investissement
Pour toutes les entreprises, qu’elles soient concernées par la propriété intellectuelle ou non, il y a de bonnes pratiques à adopter pour se prémunir d’attaques de concurrents contre ses données .
Sensibiliser ses employés
Les employés sont les maillons faibles de l’entreprise quand il s’agit de la sécurité des informations.
Ceux et celles qui font l’entreprise sont les mêmes qui peuvent provoquer des fuites des données, que ce soit consciemment ou non.
Sensibiliser les employés aux méthodes de la concurrence et aux stratégies commerciales de l’entreprise peut prévenir des dégâts causés au détour d’une discussion arrosée en fin de salon. Les déplacements sont en effet source de fuites de données car l’employé se trouve en milieu “hostile” et il est préférable qu’il/elle soit parfaitement conscient(e) des enjeux. Ici une communication efficace et en confiance entre la direction et les employés sera votre seul rempart.
Sécuriser les systèmes informatiques
Même si les entreprises ne peuvent se prémunir à 100% contre les risques de cyberattaques, ne rien faire n’est pas une option.
Le risque zéro n’existe pas, et il vaut mieux ainsi parler de cyber immunité plutôt que de cybersécurité.
Ce qui suppose d’impliquer réellement l’ensemble des salariés dans l’application des procédures et de faire porter le projet par la direction pour qu’elle investisse en conséquence et mobilise toutes les strates de l’entreprise. Comme dit précédemment, le maillon faible en cas de cyber-attaque est l’employé. En effet les attaques les plus utilisées sont le phishing (email trompeur) suivi par les arnaques au président. Dans ces deux cas c’est la personne qui clique sur un lien reçu par mail perçu comme légitime alors qu’il ne l’est pas, ouvrant ainsi la porte à une usurpation d’identité et une infection par malware.
Cependant pour éviter que ces attaques arrivent dans les boîtes mail des équipes, plusieurs outils sont à considérer:
- Une passerelle de sécurité mail et VPN
- Un proxy et un filtrage d’URL afin de bloquer des sites web considérés comme dangereux
- Une authentification multi-facteurs
Une entreprise est toutefois toujours vulnérable à une attaque et il faut par conséquent s’y préparer et surtout envisager la continuation de l’activité.
C’est pourquoi nous vous conseillons fortement de prendre une assurance couvrant les cyber-attaques car les dégâts financiers suite à une perte brutale d’activité peuvent grandement porter atteinte à la survie de l’entreprise. De plus même si les solutions zéro-papier s’avèrent de loin les plus intéressantes pour votre productivité, en cas de cyber-attaque vous risquez de vous retrouver coupés de vos dossiers et de vos outils. C’est pourquoi il est toujours conseillé de faire un back-up régulier de tous les fichiers de l’entreprise.
En complément de ces informations, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié le 29 janvier 2020 un rapport intitulé « Etat de la menace rançongiciel à l’encontre des entreprises et institutions » qui vous donnera un compte-rendu détaillé de la situation actuelle.
Comment réagir face à une cyber-attaque
Malgré tous les investissement qui peuvent être faits le risque zéro d’une cyberattaque n’existe pas. Il est donc préférable de mettre sur pied un Plan de Continuité d’Activité avec les éléments comme suit:
Utiliser les bons canaux de communication
Il s’agit de définir des canaux de communication non sujets à une cyber-attaque pour que les responsables informatiques soient prévenus au plus vite par les équipes.
Mettre sur pied une cellule de crise
Il s’agit là de prévoir une cellule de crise réunissant les responsables de tous les éléments de l’entreprise pouvant être impactés par l’attaque.
Par exemple: les directeurs financier, informatique, de production, le directeur général et les personnes responsables de la relation avec les assurances et les clients.
Cette cellule de crise aura pour responsabilité de décider au plus vite des premières mesures de protection de l’activité et de prévenir la CNIL (Commission Nationale de l’Informatique et des Libertés) qui peut guider les entreprises dans les démarches à suivre en cas d’attaque.
Manager les équipes
Une fois la production arrêtée et les équipes prévenues, un management fort doit être mis en place pour identifier la source de l’attaque et pour reconstruire un réseau parallèle pour continuer au mieux l’activité en attendant la résolution du problème.
Les cyber-attaques s’accompagnent généralement de demande de rançon et il est évidemment fortement conseillé de ne pas verser la rançon sous peine de rendre les pirates informatiques encore plus forts.
De plus, toute société attaquée est fortement susceptible d’être attaquée de nouveau et rapidement. Nous conseillons donc une fois la première cyber-attaque passée de faire un bilan de la sécurité informatique et d’investir au plus vite dans des protections plus robustes. Ceci peut être fait auprès de prestataires si la société ne dispose pas d’un département informatique en interne.
Conclusion
Peu importe votre secteur et la taille de l’entreprise, une stratégie de protection de vos données est au coeur de la survie de votre activité sur le long terme. Notre objectif ici est de généraliser la prise de conscience et de rendre accessible au plus grand nombre les bonnes pratiques d’une politique de sécurité des données, notamment numériques.
Mais les investissements financiers et humains sont lourds et c’est pourquoi c’est aux dirigeants d’entreprise de jouer leur rôle essentiel sur ces problématiques pour qu’il n’y ait aucun maillon faible dans la chaîne de production.