Il y a quelques jours, j'assistais à une conférence consacrée à la sécurisation de l'information. Tout se passait plutôt bien jusqu'au moment où le sujet de l'information confidentielle et de l'information stratégique a été mis sur la table. L'orateur nous a alors proposé, sans nuance, ses listes d'informations confidentielles et stratégiques. Pour la petite histoire, voici sa liste d'informations stratégiques:
- plan stratégique
- fichiers clients, prospects et fournisseurs
- contrats
- données comptables, salaires
- données du personnel
- organigramme détaillé
- brevets, plans, procédés de fabrication, codes source
Alors, oui, on peut comprendre les raisons pour lesquelles ces listes sont constituées, et pourquoi elles comprennent tel ou tel élément. On a parfois l'impression que d'aucuns vivent des fruits d'une certaine paranoïa. Mais, profitant de l'occasion qui fait le larron, NON! Arrêtons avec ces listes définitives! Aucune information n'est confidentielle ou stratégique par essence. Ces caractères sont hérités des stratégies menées par les entreprises. Rendons donc cette responsabilité aux chefs d'entreprises. D'autant plus que, dans ces listes, se glissent régulièrement des erreurs plus factuelles. Pour remettre nos idées en place, rappelons que:
- l'information confidentielle est celle qu'on souhaite ne partager qu'avec un nombre restreint de parties;
- l'information stratégique est celle qui est indispensable à la bonne mise en oeuvre de la stratégie de l'entreprise;
- il existe deux types d'information stratégique, celle qui est stratégique pour l'entreprise elle-même (pour assurer son bon fonctionnement) et celle qui est stratégique pour les concurrents (pour ne pas favoriser un meilleur fonctionnement).
L'information sur les salaires est-elle confidentielle et stratégique? P'têt ben qu'oui, p'têt ben qu'non! Si on peut comprendre un certain secret autour des salaires notamment pour ne pas faciliter les tentatives de surenchères, la divulgation d'informations salariales, par exemple le salaire du patron, peut être stratégique si elle sert à assoir une stratégie de transparence. Le risque de surenchère et de débauchage sauvage peut être contre-balancé par un travail sur les vision, mission et valeurs de l'entreprise, qui peuvent s'avérer être suffisamment fortes pour retenir les collaborateurs.
Quant aux brevets, ils ne sont ni confidentiels ni stratégiques! N'ont-ils pas été créés pour les rendre les avancées techniques publiques? Alors, je ne nie pas l'importance de protéger certains informations périphériques aux brevets, comme par exemple les conditions et le contexte de mise en œuvre, mais il est inutile de protéger le brevet lui-même. Il faut, néanmoins, le défendre afin de le valoriser au mieux. Le contexte devient alors plutôt opérationnel. Il est par contre beaucoup plus pertinent de conserver la confidentialité de l'intérêt qu'on porte aux brevets des autres et sur l'usage que l'on pourrait en faire (veilles technologique et stratégique).
Sur base de ces exemples, on comprend bien que les notions d'informations confidentielles et stratégiques n'ont rien d'absolues. Elles ne peuvent être envisagées qu'en lien avec la culture et la stratégie de l'entreprise. D'ailleurs, l'expérience acquise auprès des PME montre que les informations véritablement stratégiques sont bien différentes de celles listées par les consultants en sécurité. Voici donc un florilège des informations les plus stratégiques rencontrées en PME:
- le mode d'emploi d'une vieille machine (et la capacité à la réparer);
- l'accès aux pièces comptables (gérées et conservées dans un endroit improbable par un vieux comptable externe);
- les codes d'accès aux différents comptes en ligne;
- la propriété intellectuelle sur les logos et les marques;
- la propriété et la documentation des codes source des applications développées en interne;
- les relations "personnelles" avec les clients...
Ce serait donc bien que si les consultants en sécurité de l'information pouvaient s'intéresser aux réalités des PME et intégrer cette dimension dans leurs discours et leurs recommandations.