Quand l’affaire dite d’espionnage de Renault illustre les diverses facettes de la sécurité
Par Pierre-Antoine GARCIA le lundi 17 janvier 2011, 20:14 - QSE - Lien permanent
LA PROTECTION DE L’INFORMATION SENSIBLE
La Sécurité d’une entreprise dépasse et de loin la simple mise en œuvre de moyens de contrôle d’accès à ses locaux. Au-delà de la protection des biens et des personnes intra muros, de la protection du consommateur, c’est la protection de l’environnement et de l’information qu’il faut aussi prévoir.
L’AFFAIRE DITE D’ESPIONNAGE INDUSTRIEL dont Renault serait la victime vient opportunément le rappeler. La Sécurité d’une entreprise a diverses facettes. À l’origine, la Sécurité se place à deux niveaux. Le niveau d’une personne considérée comme un être individuel. Le niveau collectif, celui de la personne dans la société. Il y a aussi deux états très différents « se sentir en sécurité » et « être en sécurité ». L’un « psy » l’autre « phy » avec lesquels il faut compter quand il est question de Sécurité dans l’entreprise. Mais en réalité quand on parle de Sécurité dans l’entreprise, on parle de Sécurité Industrielle. Sécurité Industrielle dont on distingue plusieurs éléments.
La Sécurité c’est, d’abord, le fruit d’actions menées à titre préventif vis-à-vis des biens, des personnes et de l’environnement. Pour les biens, durant leur vie, il s’agit d’entretenir et de maintenir dans un bon état de fonctionnement des bâtiments, des installations et des équipements techniques. Tout comme la circulation des personnes dans l’entreprise demande un contrôle d’accès à ses locaux. Pour les personnes, il s’agit de veiller avant tout à la santé et sécurité au travail des salariés, mais aussi de protéger contre tout défaut d’usage/de consommation le consommateur à qui on vend un bien, un produit ou un objet. Quant à l’environnement, la Sécurité porte sur la surveillance et le contrôle des rejets de produits nocifs dans l’air, l’eau, le sol, le sous-sol ; et vis-à-vis des populations voisines. Mais la sécurité de l’environnement, c’est aussi autre chose.
C’est, par exemple, se protéger des agressions venant de l’extérieur de l’entreprise (voisinage dangereux, malveillance…). Et comme le souligne cette affaire dite d’espionnage industriel de Renault. C’est assurer la Sécurité de l’information qui circule à la fois dans et hors de l’entreprise. Information qui circule via les technologies de l’information : réseaux informatiques, ordinateurs portables, téléphones mobiles, etc. Information qui se mémorise sur des supports numériques et papiers. Information qui via la parole et l’écrit sert d’outil de travail et qui s’échange entre autres sur les projets d’innovation et de création de nouveaux produits. Information que créent, fabriquent, et avec laquelle travaillent les hommes et les femmes de l’entreprise.
PROTÉGER L'INFORMATION SENSIBLE
Les hommes et les femmes qui sont indispensables à la vie de l’entreprise et qui en sont aussi le maillon le plus sensible. Car d’eux dépend la confidentialité de l’information. C’est-à-dire celle qui en matière de concurrence doit être protégée. Sous peine de faire courir un risque à l’entreprise si elle est dévoilée. Au-delà de toute action d’espionnage, le risque de se faire piller un secret de fabrication, une publication… trouve sa source dans le système même qui gère les relations commerciales entre entreprises industrielles. Ainsi, la pratique des audits Qualité clients/fournisseurs ouvre la porte à la récolte de toute une somme d’informations sur l’entreprise auditée, auscultée sous toutes les coutures. On connaît aussi le cas des entreprises qui produisent des leurres, en déposant un faux brevet, en fabricant un faux prototype ou en montant une fausse équipe projet.
C’est pourquoi, l’entreprise a intérêt à appliquer à la gestion de la Sécurité de l’information la notion de risque majeur définie par William Dab (1). Risque majeur qui se caractérise en six points. L’importance en termes d’ampleur et de gravité plus que de fréquence (la probabilité que cela arrive est faible en général). L’invisibilité et une charge émotive forte. Une incertitude importante au niveau des conséquences avec de fortes divergences de points de vue. Un évènement inacceptable aux yeux de la population, surtout dans le cas où le risque est dû à une exposition involontaire pouvant être évitée. L’existence d’enjeux économiques importants. Une forte médiatisation.
Sinon, l’entreprise court ─ comme Renault aujourd’hui ─ le risque de subir la règle des « 5 D » : déferlement, dérèglement, décrédibilisation, divergences multiples et déstabilisation. Sachant que face à ce risque, la petite et la moyenne entreprises sont les plus fragiles.
Bref, sans céder à la paranoïa, la Sécurité Industrielle exige de l’entreprise la protection de l’information par des dispositifs ad hoc, y compris pour les salariés. C’est une des conditions de sa survie. Mais, dans ce domaine comme dans d’autres, le risque zéro est une vue de l’esprit : il n’existe pas ! Sans oublier qu’en matière d’espionnage, tout le monde espionne tout le monde.
Notes
1. William Dab, La décision en santé publique, Éditions ENSP, Rennes, 1993.
Billets en rapport
Le trio Qualité, Sécurité et Environnement
La logistique : de l’entrepôt à l’installation classée
