Programme de contre-espionnage d’entreprise
Introduction
Une tendance inquiétante s’est développée, dans laquelle des services de renseignement étrangers, des acteurs non étatiques et des criminels utilisent des techniques de collecte de renseignements contre des entreprises pour voler des secrets commerciaux et des actifs précieux. Cette activité peut ruiner une entreprise en compromettant des années de recherche et de développement coûteux, affaiblir l’économie et menacer la sécurité nationale.
Les conseils d’administration et les dirigeants d’entreprise doivent comprendre la véritable menace à laquelle leurs entreprises sont confrontées. C’est une menace qui a évolué au-delà de l’étape où la sécurité de l’information, peut simplement être déléguée au bureau de sécurité ou au CIO – elle nécessite une pleine implication de la direction. Avec les outils à la disposition des espions économiques, le secteur privé est plus vulnérable que jamais.
L’espionnage peut être défini comme l’acte de collecter, en secret, des informations sensibles ou classifiées sans l’autorisation du détenteur de ces informations, généralement dans le but de les transmettre à une entité rivale ou concurrente. Cette pratique est souvent associée aux activités de gouvernements ou d’organisations, mais elle peut également se produire dans le contexte des entreprises et autres organisations non gouvernementales. L’espionnage implique généralement des techniques de surveillance, de piratage informatique, d’infiltration ou d’autres méthodes clandestines pour accéder à des informations confidentielles.
Les entreprises doivent avoir des programmes de sécurité agressifs pour protéger leur propriété intellectuelle, leurs secrets commerciaux, leurs processus d’affaires, leurs objectifs stratégiques et l’intégrité de leurs marques. Ce guide décrit les étapes impliquées dans la construction d’un programme de contre-espionnage d’entreprise pour compléter le programme de sécurité de votre entreprise et répondre aux techniques de collecte de renseignements utilisées par les espions d’aujourd’hui. Un programme de contre-espionnage efficace assurera que votre entreprise identifie ses actifs les plus vulnérables, comprenne les menaces qui pèsent sur ces derniers, découvre les vulnérabilités susceptibles de rendre l’entreprise vulnérable à l’exploitation et prenne les mesures appropriées pour réduire ces risques.
Où se trouve l’argent : La transformation des valeurs des actifs d’entreprise crée une vulnérabilité économique
L’économie canadienne a changé au cours des 20 dernières années. La transition d’une économie d’actifs tangibles (immobilier, matériel, véhicules) vers une économie d’actifs intangibles (technologie brevetée, secrets commerciaux, données propriétaires, processus d’affaires et plans de marketing) rend les actifs d’entreprise beaucoup plus susceptibles d’espionnage.
Simon Hunt, vice-président et directeur de la technologie de McAfee, a déclaré ce qui suit dans un rapport de 2011 intitulé “Underground Economies” : “Criminals understand that there is much greater value in selling a company’s proprietary information to competitors and foreign governments . . . the cyber underground economy has shifted its focus to the theft of corporate intellectual capital.”
Quand la sécurité ne suffit pas
Lorsque les entreprises deviennent les cibles des concurrents et des services de renseignement étrangers, même des programmes de sécurité agressifs peuvent ne pas suffire. L’évaluation des risques en matière de contre-espionnage permet de déterminer l’ampleur de la menace d’espionnage visant votre entreprise et d’établir en conséquence la taille et l’étendue du programme ou des éléments de contre-espionnage nécessaires pour y faire face.
Le contre-espionnage et la sécurité sont des disciplines distinctes mais complémentaires. Il est important pour les organisations envisageant la mise en place d’un programme de contre-espionnage de comprendre la différence.
- Toute entreprise se doit de posséder une sécurité physique efficace assurant la protection de ses employés, de ses installations et de ses systèmes d’information. La sécurité, à sa racine, est défensive.
- Le contre-espionnage est à la fois défensif et proactif. Il intègre des activités d’analyse et d’investigation uniques conçues pour anticiper, contrer et prévenir les actions d’un adversaire, protégeant les ressources et l’innovation de l’entreprise.
Les programmes de contre-espionnage et de sécurité créent un continuum de protection efficace pour votre entreprise.
Étape Un : Réaliser une évaluation des risques de contre-espionnage
La décision d’établir des programmes et des pratiques de contre-espionnage d’entreprise repose sur la prise de conscience que votre entreprise et ses actifs sont susceptibles d’être ciblés par des services de renseignement étrangers, des criminels, des concurrents économiques et des mercenaires espions. Ainsi, la première étape dans l’établissement d’un programme de contre-espionnage consiste à effectuer une évaluation des risques. Celle-ci analyse la menace pesant sur votre entreprise par l’examen des informations disponibles sur les menaces, l’évaluation des vulnérabilités de votre organisation et l’estimation des conséquences d’une perte d’actifs critiques. Un cadre supérieur ou un membre du conseil d’administration de votre entreprise devrait superviser le processus d’évaluation des risques de contre-espionnage du début à la fin. Cette supervision implique de s’appuyer sur des experts internes ainsi que sur une expertise externe en matière d’analyse, d’opérations et d’enquêtes de contre-espionnage pour mener à bien l’évaluation. Cette évaluation des risques est cruciale pour déterminer les capacités et les ressources nécessaires à l’exécution d’un programme de contre-espionnage efficace.
Bien que les entreprises devront adapter l’évaluation des risques de contre-espionnage à leurs circonstances uniques, toute évaluation nécessite trois actions importantes :
- Déterminer et hiérarchiser ses actifs
Il est essentiel pour votre entreprise de déterminer et de hiérarchiser ses actifs les plus essentiels, incluant le personnel, les équipes, les relations, les équipements, les infrastructures, les procédures et les approvisionnements. La perte ou la compromission de ces actifs pourrait gravement nuire à votre organisation, entraîner d’importantes pertes financières ou menacer la sécurité nationale.
Travailler en collaboration avec des partenaires industriels et des agences fédérales ou provinciales responsables de la supervision ou de la réglementation dans votre secteur peut offrir une vision plus globale, facilitant ainsi le processus de priorisation pour votre entreprise. Toutefois, la décision finale concernant les actifs les plus méritants de protection incombe à la direction de votre entreprise.
- Déterminer les Menaces
Votre entreprise doit ensuite évaluer les capacités, intentions et opportunités des potentiels adversaires à exploiter ou endommager ses actifs ou informations. Il est également crucial de déterminer si ces adversaires possèdent des lacunes dans leurs connaissances sur votre entreprise, ou s’ils visent à acquérir une technologie ou un produit spécifique que vous développez. Pour cette évaluation, les dirigeants devraient solliciter l’expertise de professionnels en contre-espionnage et établir des liens avec les agences fédérales et provinciales afin de tirer parti des rapports de menaces existants.
- Évaluer les vulnérabilités
En conclusion, votre entreprise doit évaluer la vulnérabilité de ses procédures, installations, systèmes d’information, équipements et politiques face à une éventuelle attaque. Il est essentiel de déterminer comment un adversaire, y compris un initié malveillant, pourrait tenter d’accéder à vos actifs critiques. Dans cette évaluation, prenez en compte l’emplacement physique des actifs et les personnes y ayant accès, qu’il s’agisse d’employés ou de tiers. Il est important d’identifier les vulnérabilités systémiques ou institutionnelles. Accordez une attention particulière aux situations où les employés sont géographiquement dispersés, y compris dans des sites internationaux, ou lorsqu’ils ont accès à, ou sont impliqués dans des systèmes ou projets sensibles.
Étape Deux : Préparer le terrain pour un programme de contre-espionnage d’entreprise
L’évaluation des risques permettra de mieux comprendre l’étendue et la nature des menaces pesant sur les actifs clés de votre entreprise. À ce stade, plusieurs actions initiales sont recommandées pour établir les bases d’un programme efficace de contre-espionnage. Votre entreprise devrait :
- Nommer ou recruter un responsable dédié au programme de contre-espionnage, avec un accès direct au PDG ou aux partenaires principaux pour traiter rapidement et efficacement les questions de contre-espionnage et de sécurité.
- S’assurer que le programme de contre-espionnage dispose d’une structure de gestion centralisée tout en soutenant toutes les branches de l’entreprise, indépendamment de leur localisation.
- Prendre des mesures pour initier ou renforcer les relations entre les départements de sécurité, de l’intégrité de l’information, de conseil général et de ressources humaines de l’entreprise, car ces relations sont essentielles à l’efficacité du programme de contre-espionnage.
- Établir des relations de liaison avec les agences gouvernementales pertinentes dans le domaine de la sécurité et du renseignement, afin de faciliter une communication bidirectionnelle efficace sur les sujets de contre-espionnage qui concernent à la fois l’entreprise et le gouvernement.
- Solliciter des orientations claires de la part du conseiller juridique de l’entreprise sur les activités potentielles du programme.
Étape Trois: Identifier les éléments nécessaires de contre-espionnage
À mesure que les préparatifs avancent, votre entreprise doit se concentrer sur l’identification des éléments de contre-espionnage nécessaires pour un programme efficace, dédié à la protection des actifs, de la marque et de la propriété intellectuelle. L’évaluation des risques jouera un rôle clé dans cette phase.
Nous recommandons une approche stratifiée pour développer les éléments de contre-espionnage. Ces éléments sont cruciaux pour détecter et contrer les menaces internes et cybernétiques, qui sont parmi les défis les plus importants pour la protection des actifs des entreprises.
Voici les six éléments principaux qui devraient être prises en compte lors de la détermination de la taille et de la portée du programme de contre-espionnage nécessaire à votre entreprise :
Éléments du programme de contre-espionnage d’entreprise
- Sensibilisation aux menaces et formation
- Des sessions d’orientation pour les nouveaux employés, combinées à des formations de mise à niveau régulières, peuvent équiper votre personnel des compétences nécessaires pour reconnaître les adversaires de l’entreprise, identifier les menaces et appliquer les procédures de signalement des activités suspectes. Une main-d’œuvre bien formée et informée est essentielle pour détecter précocement les menaces potentielles. Il est conseillé aux entreprises d’employer un accord de non-divulgation spécifique au contre-espionnage avant de révéler leurs menaces et vulnérabilités.
- Analyse, rapport et réponse
- Une capacité à analyser, rapporter et répondre efficacement doit combiner des ressources et informations issues de divers départements pertinents de l’entreprise (contre-espionnage, sécurité, intégrité de l’information, ressources humaines, conseiller juridique), permettant de fournir des évaluations et des alertes sur des données susceptibles de signaler une menace. Les programmes de contre-espionnage avancés devraient également intégrer des évaluations des risques associés aux acquisitions sensibles dans ce processus d’analyse et de rapport.
- Signalement des activités suspectes
- La définition et la formation de votre personnel sur les politiques de signalement des activités suspectes, inappropriées ou potentiellement menaçantes, peuvent constituer un système d’alerte précoce efficace contre les menaces potentielles à l’encontre de vos employés ou de votre entreprise.
- Audit de contre-espionnage
Une fonction d’audit de contre-espionnage permet à votre entreprise de surveiller les activités des utilisateurs sur ses systèmes informatiques. Ceci est crucial pour détecter les comportements inhabituels, prévenir le vol ou l’utilisation non autorisée des informations de l’entreprise, et se prémunir contre les intrusions réseau. - Enquêtes de contre-espionnage
Les entreprises avec des programmes de contre-espionnage plus évolués peuvent envisager de renforcer leurs enquêtes de sécurité en y intégrant des investigations préliminaires de contre-espionnage, tout en respectant la législation en vigueur. - Liaison
- Les entreprises devraient envisager de créer ou de renforcer leurs relations de liaison avec les agences gouvernementales d’application de la loi et de renseignement afin de faciliter l’échange d’informations de renseignement, la collaboration dans les enquêtes, les recommandations et les opportunités de formation.
Étape Quatre: Mise en oeuvre d’un programme de contre-espionnage d’entreprise
Après avoir évalué les risques, établi les bases et identifié les capacités de contre-espionnage nécessaires, votre entreprise peut entamer la mise en œuvre d’un programme de contre-espionnage. Bien que la création d’un tel programme nécessite des investissements et l’allocation de ressources qui auraient pu servir au développement de produits, au marketing ou à d’autres domaines prioritaires, il est essentiel de garder à l’esprit qu’un programme bien conçu, adapté aux besoins spécifiques de sécurité de votre entreprise et protégeant vos actifs cruciaux, peut largement compenser ces coûts.
Programme de contre-espionnage
Votre entreprise devra prendre des décisions relatives au personnel en fonction de la taille et de la portée définies pour le programme de contre-espionnage.
Un responsable de programme de contre-espionnage est chargé de développer et mettre en œuvre le programme. Il est souvent avantageux que cette personne soit également responsable de la sécurité. Il est préférable que cette personne dispose d’un accès direct à la haute direction de l’entreprise. Ce responsable agit comme le point central d’un programme de contre-espionnage centralisé, avec un aperçu complet et un accès aux informations issues de tous les départements de l’entreprise (sécurité, intégrité de l’information, ressources humaines, conseiller juridique) pertinents pour le contre-espionnage.
Afin de garantir des programmes et processus efficaces de partage d’informations, le responsable du programme de contre-espionnage coordonne la liaison avec les agences gouvernementales d’application de la loi et de renseignement. Son rôle consiste à recueillir des informations sur les menaces, à les transmettre à l’agence gouvernementale appropriée et à s’occuper des questions préoccupantes de contre-espionnage.
Le programme devrait inclure à la fois des agents de sécurité et des analystes de sécurité dans son personnel.
- Les agents de sécurité doivent transmettre les informations sur les menaces au responsable du programme de contre-espionnage de l’entreprise, et devraient également envisager de les communiquer à leurs contacts locaux d’application de la loi.
- Les analystes de sécurité doivent posséder une connaissance adéquate des menaces globales pesant sur l’entreprise et sur ses actifs spécifiques. La personne idéale pour ce rôle devrait bénéficier d’une formation en analyse, avoir une bonne compréhension de l’organisation et un accès total aux systèmes d’information technologique pertinents.
Le responsable du programme dispense des conseils et des informations en contre-espionnage au personnel de l’entreprise, en les intégrant aux programmes de formation existants. Il est recommandé qu’une personne assiste le responsable du programme et les dirigeants de l’entreprise dans les fonctions de base de la gestion du programme, telles que la stratégie, la politique, le budget et l’évaluation du programme.
Afin d’éviter des situations de conflits d’intérêts à l’intérieur de l’entreprise, il est recommandé de sous contracter des fonctions du programme de contre-espionnage.
Maintenir un programme de contre-espionnage d’entreprise efficace
Après l’établissement de votre programme de contre-espionnage, nous recommandons plusieurs activités de suivi pour maintenir son efficacité. Nous suggérons ce qui suit :
- Mettre en place un processus de partage des ‘meilleures pratiques’ en matière de sécurité et de contre-espionnage entre les départements de contre-espionnage, de sécurité, de ressources humaines et d’intégrité de l’information, en veillant à leur application uniforme dans toute l’organisation.
- Mettre régulièrement à jour les compétences techniques en contre-espionnage afin de faire face aux menaces internes et cybernétiques, tout en tenant compte de l’évolution des nouvelles technologies. Ces mesures incluent l’utilisation des dernières solutions de sécurité électronique, comme les pare-feu, les outils d’audit, les mots de passe sécurisés, ainsi que le renforcement des pratiques de sécurité et de signalement.
- Mettre en place des processus pour examiner les acquisitions sensibles de l’entreprise, en surveillant les éventuelles préoccupations liées au contrôle étranger des propriétés afin de minimiser le risque qu’un adversaire introduise de nouvelles menaces au sein de votre organisation en exploitant la chaîne d’approvisionnement.
- Effectuer des évaluations périodiques de l’efficacité de votre programme de contre-espionnage et de ses capacités pour vous assurer qu’ils restent focalisés sur les menaces les plus critiques pour votre entreprise et qu’ils offrent un retour significatif sur vos investissements.
Cet article est inspiré du programme américain et a été traduit et adapté en fonction de notre marché. Protecting Key Assets: A Corporate Counterintelligence Guide
SVP communiquer avec moi afin d’engager la discussion. Benoit