PICSI

L'information numérique fait partie intégrante du patrimoine de l'entreprise. Nul ne peut nier qu'une base de données clients, un procédé de fabrication particulier, des résultats de R&D ou parfois un simple carnet d'adresse peuvent avoir une importance déterminante, quelle que soit le secteur d'activités de l'entreprise ou sa taille. Leur destruction ou leur divulgation peut porter un préjudice sérieux à l'entreprise.

Dans certaines branches, l'information numérique est le coeur de métier:  dans l'industrie du jeu vidéo, de la musique ou du cinéma,... le vol et la diffusion d'un produit auprès du grand public avant son lancement commercial, peut causer des dommages financiers fatals. Des exemples de fuites existent.

L'intégrité et l'imputabilité des données financières et comptables est un élément important pour la bonne gouvernance d'une entreprise. La modification, frauduleuse ou accidentel de ces informations peut avoir des conséquences lourdes sur la gestion, voire des suites judiciaires. Pour les sociétés anonymes, la mise en place d'un contrôle interne, prévu par la loi "Sécurité Financière"  2003-706 du 1er août 2003, peut avoir un impact sur l'organisation de la sécurité informatique et le SI. Pour les grandes entreprises cotées sur les marchés américains,  suite aux scandales financiers ENRON et Worldcom, le Sarbanes - Oxley Act impose des mesures de contrôle pour améliorer la transparence et la sécurité financière. Ces mesures se reflètent nécessairement au niveau du SI.

Pour de nombreuses entreprises, qu'elles en soient conscientes ou non, l'information numérique a acquis une importance stratégique.

La valeur financière du patrimoine numérique peut être difficile à établir. En particulier, cela le rend délicat à assurer. En ce qui concerne la perte de données, les coûts induits par la reconstitution des données (par exemple de saisie) sont parfois utilisés par les compagnies d'assurance. Mais reflètent-ils la réalité du préjudice ? Et dans le cas de divulgation d'information, l'assurance est d'autant moins une réponse que le vol est difficile à établir avec certitude.

Bien que difficile à quantifier, cette valeur est réelle et attire les convoitises. Ainsi l'intelligence économique et l'espionnage industriel sont aussi des réalités. On trouvera quelques exemples d'affaires récentes dans le Panorama de la Cybercriminalité compilé par le CLUSIF. La sécurité de l'information est l'une des multiples dimensions de l'aspect défensif de l'intelligence économique. L'Etat a pris récemment la mesure du retard de la France en matière d'intelligence économique et de sécurité informatique par rapport à d'autres grands pays industrialisés:

• nomination fin 2003 d'un haut fonctionnaire en charge de l'intelligence économique au sein du Secrétariat Général à la Défense Nationale, suite au rapport Carayon et à l'affaire Gemplus.
• rapport Lasbordes sur la sécurité informatique, remis au Premier Ministre fin 2005.
• actions pilotes de structuration de la démarche au niveau de certaines Préfectures de Région.
  

Cette prise de conscience étatique s'accompagne d'actions de sensibilisation menées par les organisations professionnelles auprès des entreprises de toutes tailles. Par exemple:

• le Medef a réalisé un ensemble de documents sur la sécurité informatique destinés aux PME, 
• les chambres de commerce et d'industrie travaillent actuellement sur l'intelligence économique: formations de correspondants "intelligence économique", sensibilisation des entreprises, structuration de réseaux,... (exemple d'un site d'auto-diagnostic pour entreprises de la CRCI Lorraine).

Un type de convoitise indirecte engendre depuis quelques années une nouvelle forme de criminalité: le cyber-racket. Conscients de l'importance pour les entreprises de l'accès aux informations numériques certaines organisations criminelles les menacent d'attaques informatiques. Les "Panorama de la Cybercriminalité" successifs du CLUSIF donnent une idée de l'évolution des méthodes employées.

Finalement, un autre élément important du patrimoine de l'entreprise peut être mis à mal: son image.  Quelques cas de figure:

• Un "sport" pratiqué sur Internet par certains groupes de pirates est le défaçage de sites Internet. Il s'agit de remplacer la page d'accueil du site par une page à l'emblème du groupe. Bien que l'impact financier ne soit pas forcément important, une action de ce type atteint la crédibilité de l'entreprise. On trouve sur le site de la revue en ligne Zataz une liste de sites "défacés".
• Une intrusion sur un site marchand peut entraîner la divulgation d'information nominatives ou des numéros de cartes de crédits (nombreuses affaires de ce type). Ceci peut conduire à une perte de confiance dans un partenaire commercial, sans compter les préjudices éventuels pour les clients.
• Le phishing, attaque particulièrement à la mode ces dernières années, vise à obtenir des particuliers des informations confidentielles (numéro de compte client...) en les dirigeants vers des sites Internet contrefaits. A nouveau, l'image des entreprises concernées ne peut qu'en pâtir.