Le Service de l’information stratégique et de la sécurité économiques (Sisse) a élaboré un guide de la sécurité économique destiné aux TPE, PME, ETI, administrations, organismes de recherche, et d’autres acteurs de nos territoires. L’objectif est de les aider à intégrer dans leurs stratégies les enjeux de souveraineté et à mettre en place au quotidien les processus leur permettant de protéger leurs données et activités économiques. Cet outil se présente sous la forme de fiches pratiques. En voici une succincte présentation :
A – Penser la sécurité économique
- Mener une véritable politique de sécurité économique au sein de l’entreprise en impliquant l’ensemble des personnels ;
- Mettre en place un processus de veille réglementaire de l’entreprise et de son écosystème ;
- Identifier l’information stratégique à protéger et analyser préalablement les risques.
B – Dans l’entreprise
- Protéger ses locaux : identifier les flux d’entrées et de sorties, réglementer l’accès aux différentes zones ;
- Accueillir et encadrer du personnel temporaire: le sensibiliser aux mesures de sécurité exigées (clause de confidentialité, règlement intérieur, charte informatique) ;
- Encadrer les visiteurs : vérifier l’identité, élaborer une procédure d’accueil et un circuit de notoriété excluant les zones confidentielles, surveiller l’utilisation des outils numériques.
C – Protéger son patrimoine
- Protéger son savoir et ses idées : identifier le titre de propriété intellectuelle (marque, brevet, etc…), vérifier l’antériorité, enregistrer ses droits, se prémunir des contrefaçons ;
- Éviter ou gérer la perte d’une compétence-clé en mettant en place des mesures préventives et réactives ;
- Gérer les archives papier / numériques et les rejets : tracer l’accès, encadrer le contrat avec le prestataire en cas d’externalisation, détruire de façon sécurisée les mémoires internes des équipements informatiques en fin de vie ou en fin de contrat.
D – La conduite des affaires
- Sécuriser les flux de marchandises entrants et sortants, leur stockage, protéger sa zone de production ;
- Penser la protection juridique de son entreprise (conditions générales de vente, contrats de travail, droits de propriété intellectuelle) ;
- Sécuriser les relations commerciales: mettre en place une veille sur ses principaux clients et partenaires, éviter d’utiliser des modèles de contrats préétablis, inclure des clauses d’arbitrage et/ou de médiation, numériser les « originaux » ;
- Sécuriser le recours aux modes de financement extérieurs : s’assurer de la bonne réputation des investisseurs, limiter la période d’investigation et encadrer l’accès des auditeurs aux données de l’entreprise, examiner les clauses et dispositions statutaires ;
- Utiliser la procédure de contrôle des investissements étrangers en Franceen déposant un dossier préalablement à l’opération (dans certains secteurs, l’entrée d’un investisseur étranger doit être autorisée par le ministre de l’Économie) ;
- Se protéger des escroqueries aux faux ordres de virement dites « au président » (ou Fovi) : mettre en place des procédures de vérifications et de signatures pour les paiements internationaux, exiger une sollicitation écrite, maintenir à jour le système de sécurité informatique ;
- Se prémunir des risques générés par les procédures de conformité : développer une veille dédiée à l’activité législative et normative concernant l’activité de l’entreprise et son implantation, dresser une cartographie des risques, conduire des audits sur les failles organisationnelles et techniques ;
- En cas de demande de communication d’informations par une autorité étrangère: contacter le plus en amont possible le Sisse qui est chargé de veiller à l’application de la loi de blocage*.
E – Le numérique
- Protéger son poste de travail: définir un mot de passe robuste et personnel, mettre à jour le système d’exploitation et les logiciels, utiliser un pare-feu local et un anti-virus, faire des sauvegardes de données, ne pas ouvrir des pièces jointes ou des liens provenant des courriels suspects ;
- Protéger et gérer l’accès au système d’information : tenir à jour la liste de tous les équipements informatiques de l’entreprise, supprimer les comptes anonymes, limiter le nombre d’utilisateurs « administrateurs », privilégier une connexion au réseau par câble, sécuriser l’accès au WiFi si utilisé, limiter la télémaintenance ;
- Utiliser des supports amovibles de façon sécurisée : interdire la connexion d’équipements amovibles personnels à des postes reliés au système d’information de l’entreprise, désactiver l’exécution automatique des périphériques, chiffrer les supports ;
- Sécuriser le télétravail: veiller à ce que personne dans l’entreprise n’utilise son appareil nomade personnel à des fins professionnelles, sans accord ni contrôle ;
- Maitriser l’externalisation informatique(« infogérance ») : déterminer les besoins en externalisation, demander aux prestataires un Plan d’assurance sécurité (Pas), faire analyser le contrat par des spécialistes, privilégier les services de Cloud Computing ;
- Se protéger contre les « rançongiciels » : effectuer des sauvegardes de données régulières, ne pas payer les rançons, assurer la mise à jour automatique de tous ses logiciels et applications, créer et se servir d’un compte « utilisateur ».
F – Communiquer
- Maitriser sa communication au quotidien et son e-réputation: préparer la communication lors des événements, identifier les informations sensibles, procéder à une veille régulière sur les réseaux sociaux, utiliser prudemment les données de géolocalisation.
G – À l’extérieur de l’entreprise
- Se déplacer au quotidien : installer un filtre de confidentialité sur les supports amovibles, prévoir une solution de chiffrement, se connecter via le système VPN en cas d’utilisation d’un WiFi / Bluetooth, privilégier les prises secteurs pour recharger les appareils plutôt que les prises USB ;
- Se déplacer à l’étranger : se renseigner sur les législations et les pratiques locales, préparer les numéros d’urgence des services diplomatiques, n’emporter que les documents indispensables à la mission ;
- Participer à un salon professionnel : vérifier la couverture assurantielle de l’entreprise, préparer un ordinateur dédié aux présentations et dénué de toutes données sensibles, demander une carte de visite à ceux qui témoignent un intérêt aux produits.
Pour télécharger le guide : www.entreprises.gouv.fr/fr/securite-economique/la-securite-economique-28-fiches-thematiques
*La loi de blocage n° 68-678 du 26 juillet 1968 vise à s’assurer qu’aucune communication à des autorités publiques étrangères de « documents ou renseignements d’ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public » ne soit réalisée (article 1 de la loi).
Paru dans #MagCAPIDF