- une direction du contre espionnage chargée de la protection du secret défense (enquête de compromission) et de la lutte contre la prolifération des armes de destruction massive (NBC).
- une direction anti-terrorisme (extérieur).
- une direction de la protection du patrimoine en matière de technique industrielle (en préventif).
Les problèmes de sécurité dans l’entreprise sont transversaux : ils dépassent largement la compétence des seuls informaticiens mais relèvent des responsables au plus haut niveau : c’est la direction générale qui doit définir les risques, les objectifs et les responsabilités dans ce domaine. Tout commence au niveau de la prévention ! De la logique de rivalité Est-ouest, on est passé à la mondialisation, avec une menace multiforme la menace n’est plus seulement étatique, avec des agents essentiellement dans le personnel des ambassades, mais générale touchant tous les secteurs et non uniquement les domaine militaro-industriel ; et il existe dans le monde 83 sociétés privées de renseignement souvent plus puissantes que la DST !
Les pirates informatiques se classent en fonction de leurs compétences techniques et de leur moralité.
Risques: Le vol (surtout de PC portables, intéressants pour les données qu’ils contiennent) ; le cambriolage de disques durs (fichiers clients et fournisseurs, données techniques...) Les vols de données seules passent souvent inaperçus... La désinformation utilise très souvent Internet, magnifique outil de manipulation (y compris au niveau de la Bourse où la désinformation peut facilement faire varier le cours d’une action). Le sabotage peut être utilisé contre un concurrent ; exemple : une entreprise a dû interrompre trois mois une chaîne de montage détériorée par de l’acide.
Les cibles de la menace visent le plus souvent les données ou le personnel. Dans les données, l’information stratégique peut concerner tous les domaines, à tous les stades (émission, reproduction, conservation, diffusion, et même destruction : on peut trouver des informations capitales dans les poubelles!) Les produits convoités peuvent se trouver au niveau de la conception (cahier des charges, « design », tests « cliniques »...) ou du développement. Comment obtenir de telles informations : de façon légale ; c’est l’intelligence économique qui porte sur l’information ouverte, ou par méthodes déloyales ; c’est de l’ingérence économique qui peut utiliser des sources humaines ou techniques (réseaux Internet ou Intranet d’échange d’informations. Partout, les budgets de renseignement sont en augmentation : il importe donc de crypter les informations échangées, et par précaution, utiliser des outils de cryptage français ! Certes l’information circulante est de plus en plus volumineuse mais il existe des outils de tri performants et les pirates savent les utiliser ! La communication à visée commerciale peut renseigner la concurrence...
La protection de l’information est capitale pour l’entreprise: son système d’information est à la fois le cerveau, l’oeil et la moelle épinière de l’entreprise; ceci impose de hiérarchiser l’information de l’entreprise :
- blanche : 80 % de l’information est ouverte,
- grise : information semi-ouverte,
- noire : diffusion contrôlée : à ne jamais charger sur PC portable, ni sur ordinateur connecté à des réseaux extérieurs. Assurer la confidentialité et l’intégrité de l’information (sauvegarde), sa disponibilité (outils d’accès) et sa non répudiation (sous réserve de vérification des signatures des données ou commandes issues de réseaux) : donc mettre en place des contrôles d’accès (mot de passe d’au moins 8 caractères, strictement personnels et secrets). Il faut une traçabilité des mises à jour : à cet effet, mémoriser toutes les interventions sur les fichiers sensibles. Il faut encore disposer d’antivirus et de cryptographies fiables, et surtout, ne jamais sous-estimer la menace et retenir que 57 % des malveillances sont d’origine interne. La prévention du piratage est un problème de culture de l’entreprise.
Réponses aux questions : L’insécurité informatique double chaque année. Son surcoût est de 15 %. Souvent l’entreprise lésée ne s’en rend pas compte ou ne porte pas plainte pour ne pas porter atteinte à son image. Se méfier des entreprises privées de sécurité et des audits : ils peuvent introduire le loup dans la bergerie!
La DST s’efforce de prévenir en sensibilisant les entreprises par contacts réguliers, notamment avec les entreprises les plus sensibles, en formant les cadres (interventions dans les universités, organisations ou associations).