En matière de protection des informations stratégiques, les méthodes de management ont largement emprunté aux techniques de protection du secret de la Défense nationale. Or, nous savons qu’il est impossible aujourd’hui de transformer une PME/PMI en bunker… C’est l’air du temps : « On ne peut pas ne pas communiquer ». Pour autant, il n’est pas nécessaire de dire tout, à tout le monde, tout le temps… Le principe de toute protection des informations repose donc sur la segmentation des informations à » forte valeur ajoutée « . Dans le glossaire qui suit, nous faisons un parallèle entre les concepts de protection du secret de Défense et la protection des savoir-faire en entreprise, le résultat est saisissant…
-
L’avis de sécurité est « la conclusion émise par un service spécialisé à l’issue d’investigations au sujet d’une personne et visant à détecter et évaluer les vulnérabilités de cette personne. L’avis de sécurité est une aide à la décision d’habilitation, mais il ne lie pas l’autorité responsable de la décision ». En entreprise, on évalue le » risque humain » au moment du recrutement. Ainsi, le fait de recruter un cadre venant de la concurrence peut constituer une opportunité (connaissance la partie adverse, accès à l’information interne du concurrent, récupération d’un fichier client…) mais aussi une menace (attaque judiciaire en concurrence déloyale, fiabilité du nouveau salarié ?…).
-
Le besoin d’en connaître est la « nécessité impérieuse de prendre connaissance d’une information dans le cadre d’une fonction déterminée et pour la bonne exécution d’une mission précise ». En entreprise, le » besoin d’en connaître » correspond à la participation au projet. En fonction de la gestion de projet, certaine personne détiennent l’information ou pas.
-
Une classification est une « catégorie d’informations ou supports protégés classifiés » au niveau Très Secret Défense (TSD) , Secret Défense (SD) ou Confidentiel Défense (CD). Elle répond à la nécessité de cloisonnement découlant du » besoin d’en connaître ». En entreprise, on pourra procéder à une classification, en fonction du niveau de responsabilité exercée (approche hiérarchique) ou en fonction de la participation au projet (approche fonctionnelle). La difficulté résulte généralement du fait que le management d’équipe favorise les échanges. Un cadre chargé d’un dossier stratégique pourra être tenté pour se valoriser, d’échanger l’information qu’il détient avec d’autre salariés (logique de pouvoir).
-
La compromission est « la prise de connaissance, certaine ou probable, d’une information ou support protégé par une ou plusieurs personnes non autorisées ». En entreprise, cela signifie que le détenteur d’une information protégée a commis une indiscrétion interne ou externe. Cette indiscrétion interne résulte de la violation d’une obligation de confidentialité incluse dans le contrat de travail. En cas d’indiscrétion externe, on invoquera souvent de la violation d’une obligation de loyauté envers l’employeur résultant du contrat de travail ou la violation contenue dans une clause de secret professionnel.
-
La confidentialité est « le caractère réservé d’une information ou d’un traitement dont l’accès est limité aux seules personnes admises à la (le) connaître pour les besoins du service, ou aux entités ou processus autorisés. » En entreprise, la confidentialité consiste à réserver l’accès et l’usage de certaines informations à des personnes nommément désignées pour en connaître.
-
On appelle information « tout renseignement ou tout élément de connaissance susceptible d’être représenté sous une forme adaptée à une communication, un enregistrement ou un traitement. » En entreprise, la qualité de l’information sera fonction de sa valeur ajoutée. Ainsi telle information sera jugée » critique » si sa compromission suffit à remettre en question la stratégie ou la pérennité de l’entreprise.
-
Une information sensible est une information « dont la confidentialité, la disponibilité et l’intégrité ne procèdent pas du secret de la défense nationale tel que défini par les articles 413-9 à 413-12 du code pénal et le décret 98-608. » Une information sensible est néanmoins protégée par des dispositions telles que l’obligation de discrétion professionnelle, le secret professionnel, les textes sur les données nominatives et les obligations contractuelles. En entreprise, l’information » sensible » est appelée » information critique » c’est à dire de nature à compromettre l’existence de l’entreprise.
-
La mise en éveil est « la démarche effectuée par le service spécialisé auprès de la personne à habiliter, pour la sensibiliser sur ses vulnérabilités découvertes au cours de l’enquête. » En entreprise, il s’agit de sensibiliser les différents échelons de l’organigramme et le comité de direction aux risques informationnels.
-
La mise en garde est « la démarche effectuée par le service spécialisé visant à sensibiliser le chef du service employeur sur l’existence d’éléments pouvant présenter des risques de vulnérabilité pour la personne à habiliter. » En entreprise, il s’agit de sensibiliser le chef d’entreprise aux risques, vulnérabilités et menaces qui pèsent sur lui ou sur son organisation.
-
La procédure d’habilitation est « la procédure qui consiste à vérifier qu’une personne peut sans risque pour la défense nationale ou pour sa propre sécurité, connaître des informations ou supports protégés dans l’exercice de ses fonctions. » En entreprise cela signifie qu’il est nécessaire pour le chef d’entreprise de désigner certaines personnes pour accéder à certaines informations de façon privilégiée ou exclusive sur certains projets.
-
La sensibilisation est « l’instruction périodiquement prodiguée aux personnes habilitées ou susceptibles d’être habilitées et destinée à leur faire prendre conscience des enjeux de la protection du secret de la défense nationale, des sanctions judiciaires et administratives encourues et de la nécessité d’appliquer les mesures de sécurité prescrites. » En entreprise la logique est identique. Il faut effectuer des » piqûres de rappel » sous forme de tests d’intrusion ou de compromission pour éviter le relâchement » naturel » de toute personne en charge d’informations protégées.
-
Un système d’information est un « ensemble des moyens humains et matériels ayant pour finalité d’élaborer, traiter, stocker, acheminer, présenter ou détruire l’information. » En entreprise aussi la protection des informations résulte d’une approche globale centrée non seulement sur la technologie informatique mais aussi sur la prise en compte des vulnérabilités humaines et organisationnelles.
-
Le timbre est la « mention figurant sur un support d’information précisant son niveau de classification et, le cas échéant, son usage national exclusif. Le timbre possède des caractéristiques définies (dimensions, aspect). » En entreprise, on apposera un » cachet » sur chaque document : confidentiel, diffusion restreinte… Seul ce timbre peut permettre de responsabiliser les salariés de l’entreprise. Sur le plan du Droit du travail, à noter que le timbre est indispensable à toute logique de sanction disciplinaire en cas de compromission du secret par des salariés.
-
La vulnérabilité est « un fait relatif à la situation d’une personne et qui amoindrit les garanties qu’elle présente en termes de protection des informations ou supports protégés. Il s’agit d’une fragilité qui peut entraîner des pressions de diverses natures et qui doit être prise en compte pour accorder avec ou sans restriction, refuser ou retirer l’accès aux informations ou supports protégés. » En entreprise, il convient d’évaluer au moment du recrutement mais aussi dans le déroulement du contrat de travail quelles sont les vulnérabilités des salariés. Cette démarche doit être compatible avec la détention d’information nomination individuelle (prescription de la CNIL) et la réalité des faits (pas de procès d’intention)..
-
On appelle zone réservée « les locaux et emplacements qui font l’objet de mesures de protection matérielle particulières et dont l’accès est réglementé et subordonné à des conditions spéciales. » En entreprise, la notion de » zone réservée » se matérialise à partir de zones dont l’accès est restreint. L’accès à certaines zones est alors réservé au personnel disposant d’un badge. De même, les visiteurs font l’objet d’une attention particulière. Des circuits de visite sont déterminés selon le type de visiteur et la sensibilité des informations.
Source: Instruction générale interministérielle sur la protection du secret et des informations concernant la défense nationale et la sûreté de l’État n° 1300/SGDN/ PSE/SSD du 25 août 2003