CybersécuritéTribunes

Protéger la propriété intellectuelle des menaces internes !

Par Pierre-Louis Lussan, Country Manager South-West Europe chez Netwrix

La propriété intellectuelle est souvent l’atout le plus important d’une entreprise, puisque le développement de solutions innovantes est le moyen le plus efficace de se démarquer de ses concurrents. Contrairement aux brevets, qui peuvent garantir un droit d’exclusivité, en échange d’une divulgation publique, la propriété intellectuelle inclut des secrets commerciaux et un savoir-faire que le titulaire ne peut pas divulguer, et qui nécessitent une protection particulièrement rigoureuse.

Malheureusement, des employés ayant accès aux informations de telle envergure ont parfois une attitude laxiste vis-à-vis de leur sécurité. Selon une étude Netwrix, 39 % des entreprises considèrent que le départ et le licenciement d’employés sont le plus grand risque pour leur propriété intellectuelle. Si une entreprise ne détecte pas la personne malveillante à temps, cette dernière peut transmettre les données volées à un concurrent. S’il parait difficile d’empêcher le vol de propriété intellectuelle – car tous les employés qui entrent en contact avec ces données confidentielles peuvent chercher à en tirer profit -quelques étapes simples permettent pourtant de protéger l’organisation :

Savoir où se trouvent les données confidentielles et qui peut y accéder.

Aujourd’hui, de nombreuses entreprises stockent leur propriété intellectuelle dans le cloud, ou bien la répartissent sur plusieurs systèmes et applications. Des exemples de telles informations confidentielles peuvent inclure du code source, des formulations, des méthodes et des processus. De plus, les utilisateurs copient souvent des informations sur leurs appareils personnels lorsqu’ils travaillent à distance, ce qui rend très difficile l’élimination totale du risque de violation des données. Pour pouvoir protéger de tels actifs, une entreprise doit donc déterminer quelles données sensibles elle détient et les hiérarchiser. Ensuite, il est nécessaire d’identifier tous les utilisateurs, contractuels et partenaires qui y ont accès, et de définir les points potentiels de compromission. Par exemple, si un employé travaille sur le développement de nouveaux produits, il appartient alors à un groupe à haut risque.

Établir des stratégies de sécurisation des données pour l’ensemble de l’organisation

Une étape essentielle de la protection de la propriété intellectuelle d’une entreprise consiste à faire en sorte que les informations sensibles ne soient accessibles qu’au personnel autorisé, via une gestion des moindres privilèges. Pour reprendre l’exemple précédent, cela signifie que les accès aux fichiers liés au développement de nouveaux produits doivent être limités aux seuls employés impliqués dans la recherche et le développement. Il est également nécessaire de mettre à jour régulièrement les droits d’accès, ainsi que de désactiver systématiquement tous les comptes d’un collaborateur immédiatement après son départ. Une autre étape importante consiste à veiller à ce que tous les employés, dont les tâches incluent la propriété intellectuelle, soient informés des stratégies de sécurité et des sanctions encourues en cas de non-respect.

S’assurer que tous les utilisateurs suivent les règles de sécurité

Il arrive que les employés oublient, ou ignorent, les bonnes cyber-pratiques. En outre, toutes les organisations, quelles que soient leur taille et leur secteur, sont concernées par le risque de menace interne. Récemment, les autorités américaines ont arrêté un ancien employé d’Apple alors qu’il était sur le point de se rendre en Chine avec des informations confidentielles relatives au projet de voiture autonome de son employeur précédent. Par conséquent, les organisations doivent déployer tous les efforts possibles pour assurer l’application des règles de sécurité. Il est notamment nécessaire de mettre en œuvre des outils adaptés, pour surveiller le comportement des utilisateurs et suivre les tentatives d’accès non autorisées ou inutiles. Les équipes IT pourront ainsi mettre fin à une session suspecte si nécessaire.

Impliquer la direction dans l’établissement d’une culture de la cybersécurité

Pour éliminer le risque que des employés malhonnêtes volent de la propriété intellectuelle et perturbent les opérations, le responsable de la cybersécurité doit collaborer avec le dirigeant pour élaborer une stratégie de cybersécurité. Ce dernier définit alors des objectifs pour l’équipe de direction et le département des ressources humaines, afin d’accroître la sensibilisation à la cybersécurité dans l’ensemble de l’organisation. Le rôle des managers est de s’assurer que leurs subordonnés respectent les politiques de sécurité ; celui du département RH consiste à dispenser une formation aux employés en matière de cybersécurité, pour leur rappeler comment traiter les données confidentielles et les encourager à signaler les incidents. En outre, la question de la sécurité lors d’un recrutement doit être définie, telles que des questions spécifiques lors de l’entretien d’embauche pour découvrir l’attitude d’un individu à l’égard de l’éthique. Il est conseillé de demander aux employés de certifier par eux-mêmes qu’ils ont lu et compris les politiques de sécurité de l’entreprise, qu’il s’agisse de la propriété intellectuelle ou d’autres ressources informatiques, et de s’assurer que ce processus soit effectué au moins une fois par an.

Finalement, il est primordial que toute entreprise ait une stratégie claire pour atténuer les menaces internes sur sa propriété intellectuelle. Les organisations disposent en effet de points potentiels de compromission uniques, et font face à des menaces spécifiques. Or, il est impossible d’externaliser la solution de ce problème, et il n’existe aucun algorithme pour minimiser ce risque. C’est pourquoi les dirigeants doivent collaborer avec les responsables de la cybersécurité afin d’identifier la stratégie la plus efficace pour protéger les données et les systèmes, tout en respectant les processus de l’entreprise et en préservant sa productivité.

Send this to a friend