Sécurité du Patrimoine Informationnel de l’entreprise :

Un enjeux Stratégique

 

INTRODUCTION

 

En tant qu’actif immatériel de l’entreprise, le patrimoine informationnel aurait certainement de la valeur financière. Toutefois, la réalité de cette valeur semble difficile à faire admettre comme une généralité à défaut d’être une vérité absolue. Après tout, ce ne sont que des données, des documentations, du savoir-faire. Comme le capital humain, le patrimoine informationnel n’est pas considéré comme partie intégrante des valeurs d’actifs financiers. Le capital humain, lui, a fait un pas en avant, devenu un élément chiffrable dans le cadre du risque opérationnel des entreprises financières.

 

Le patrimoine informationnel commence aussi à être considéré comme un capital de l’entreprise. Il doit être développé et enrichi afin de conquérir pour de bon la valeur financière qu’il mérite. L’enjeu est donc pour les entreprises de protéger et de développer son patrimoine informationnel afin d’en constituer un capital qui aura une valeur financière.

 

Les économies occidentales sont devenues en une décennie massivement immatérielles. Selon une étude de la Banque mondiale, l’économie française est immatérielle à 86 %. Sur les grandes places financières, l’évolution est de même nature. Ainsi, la valeur immatérielle des entreprises cotées est devenue nettement supérieure à leur valeur comptable. Enfin, les normes IAS-IFRS accompagnent ce mouvement en reconnaissant un nombre important d’actifs incorporels et la nécessité de les mesurer précisément. Mais avons-nous les bons instruments de mesure ?

 

Des méthodes existent mais un important travail de recherche et de standardisation s’impose. C’est pour répondre à ce besoin qu’Ernst & Young, SAS France, l’INPI, Mar-Tech & Finance et leurs partenaires ont créé l’Observatoire de l’Immatériel. Ce portail en est la première initiative. Il offre aux entreprises européennes de toutes tailles, les informations, méthodes et outils qui leur permettront d’étudier et de valoriser leurs actifs immatériels.

 

« Le patrimoine informationnel peut être considéré comme l’ensemble des données et des connaissances, protégées ou non, valorisables ou historiques d’une personne physique ou morale. Il s’agit donc d’assurer la protection et la valorisation de l’information. A ce titre, l’information doit être sécurisée depuis sa création ou sa collecte, tant pendant la phase de transmission que pendant la phase de conservation »[1].

 

Les technologies de l’information et de la communication sont omniprésentes dans la vie des citoyens et des entreprises que l’on ne les considère plus comme « nouvelles » malgré leur incessante évolution. Elles influencent non seulement nos habitudes de vie et notre façon de communiquer, aussi elles déterminent notre façon de procéder, nos méthodes de travail. Tout tourne autour de notre relation avec l’information et notre manière de l’utiliser.

 

Cette culture de l’information a engendré certains réflexes. Pas de décision ni d’action avant d’être informé. Cela a toujours été le cas, quand on lisait attentivement la notice ou le manuel d’utilisation d’un produit quelconque avant de l’acheter ou l’utiliser. Ce réflexe est aussi perceptible au niveau de l’entreprise, c’est l’information qui précède un achat. La question est de savoir si ce sont les entreprises qui ont fait évoluer l’information ou l’inverse.

 

Tout le monde n’a pas la même réactivité ni la même empathie envers l’information. Ceux qui voient le monde comme un système ouvert, car on agit en fonction des informations qui nous parviennent sans cesse, changeant les paramètres de décision ; sont-ils les chefs d’entreprise d’aujourd’hui ou de demain. Ceux-ci font ou feront preuve de flexibilité, de réactivité et de capacité de remise en cause dans leur gouvernance. Leur finalité est de gagner contre des adversaires issus su monde entier en se battant à armes égales contre eux.

 

Cette bataille se gagne par l’innovation et une connaissance améliorée de ses concurrents et du marché en général. L’arme en question est donc la maîtrise de l’information stratégique. Elle est utilisée pour chaque précision de décision que ce soit dans une phase d’attaque ou de défense. L’information est une arme mais elle est aussi le trésor à protéger. La détention, l’accumulation, le stockage et l’utilisation de l’information constituent ce patrimoine immatériel qui est un actif de l’entreprise.

 

Trêve de velléités, revenons à l’essentiel. Comment amener la sécurité du patrimoine informationnel au cœur des enjeux stratégiques des entreprises. En tant qu’actif, il faudra bien le protéger des prédateurs ou des voleurs potentiels, que ce soit en interne ou de l’extérieur. En tant que patrimoine immatériel, les informations dont dispose l’entreprise font partie des critères pris en compte lors d’une évaluation au même titre que le patrimoine matériel et les flux. Il faut donc passer l’obstacle de cette immatérialité pour donner une valeur financière ou économique à l’information. Quand un document, le support ou l’objet qui contient l’information, est perdu ou détérioré, on saisit tout de suite la gravité de la situation.

 

Paradoxalement, la profusion des systèmes d’information n’a pas permis de matérialiser le concept du stockage, de la gestion et de l’utilisation des données. Même si ces dernières sont devenues des documents, des renseignements ou parfois des analyses toute faite mis à la disposition du décideur, l’information reste un bien immatériel. Les systèmes d’information héritent aussi d’une idée préconçue sur la dualité réel/virtuel dans le concept multimédia. Une fois informatisée, l’information entre dans le domaine du virtuel. Elle perd la notion de réalité. Ce qui est totalement faux. Techniquement, le virtuel est opposé à l’actuel, les deux constituant le réel.

 

Les informations sorties aujourd’hui pour un besoin particulier est l’actuel, le reste des données qui ne sont pas utilisées mais qui existent dans le système est le virtuel. Le réel est le patrimoine informationnel entier. Pour asseoir l’idée d’un capital informationnel, la mise en valeur de cette partie virtuelle du système est donc primordiale. Sa valeur économique, encore moins marchande, n’est pas reconnue car elle n’est pas visible. C’est aussi cette partie cachée du réel qui a besoin d’être protégée car elle représente encore un intérêt probable en fonction des décisions qui devraient être prises par l’entreprise ou des actions à mener.

 

Un adage anglais dit que vous ne pouvez gérer ce que vous ne pouvez pas mesurer (You can’t manage what you can’t measure). Comment donc mesurer les informations. En tant que support, les documents sont facilement mesurables qu’ils aient la forme écrite, sonore ou visuelle. L’information est à détacher de ce support physique ou virtuel. Elle est alors matérialisée par un code. Ce que l’on peut mesurer, ce sont les unités d’information, une notion apparue avec le traitement automatique des informations. Il s’agit d’un bloc insécable qui n’est pas forcément soumis à des contraintes sémantiques. On peut aussi mesurer le flux de l’information, c’est-à-dire la quantité d’information transmise ou produite par unité de temps. Enfin, on peut mesurer l’état de connaissance sur un sujet donné grâce à l’apport d’une connaissance extraite d’une information.

 

La première démarche est de définir les sources et les producteurs d’information. Ensuite, une catégorisation s’impose pour que l’on puisse mesurer de manière efficiente. Après il est possible d’effectuer des mesures autour de l’utilisation du système d’information par les entreprises. Pour avoir une idée précise des besoins d’informations, il faut relever les occurrences des requêtes et la nature de ces dernières. L’on peut aussi mesurer l’usage du système par les utilisateurs afin de déterminer si le service offert correspond à leurs besoins. Enfin, la mesure de l’usabilité de l’information et du système permet de savoir à quel point ils sont prêts à l’usage.

 

L’efficacité d’un bon système d’information est, tout en étant protégé des intrusions, de rendre accessible l’information pertinente, celle qui apporte la connaissance nécessaire au bon moment ou à la demande. Avec l’explosion documentaire de ce début du 21^ème siècle, les entreprises sont submergées par les flux d’informations au quotidien. Le phénomène de « silence » fait place à celui du « bruit » même si le résultat est le même : l’utilisateur n’a pas accès à l’information.

 

Par silence, on entend l’absence des données susceptibles de constituer l’information. Par contre, le bruit signifie l’abondance de données rendant l’information introuvable. Tous les jours, un chef d’entreprise est confronté à des flux d’informations qui lui paraissent toujours nouvelles mai qui traitent des mêmes sujets. Le filtrage des informations avant que les données soient stockées et archivées permet d’atténuer plus tard l’inévitable phénomène de bruit.

 

La finalité de tout système d’information au service d’une entreprise est d’avoir un outil stratégique ou une aide à la décision permettant de préserver ou de gagner un avantage concurrentiel. La protection du patrimoine de l’entreprise est alors essentielle pour rester compétitif. L’archivage électronique et l’intelligence économique poursuivent le même but que la sécurité informatique. La notion de sécurité englobe des dispositions multiples visant à garantir le fonctionnement du système et son développement tout en garantissant un usage optimal et sécurisé.

 

L’archivage en lui-même participe à cette mission de sécurité mais à un niveau très élémentaire. Sa mission est de préserver l’intégrité des documents et veiller à ne pas altérer les données. Par contre, l’intelligence économique participe non seulement à la défense de ce patrimoine informationnel mais elle contribue largement au développement et à l’enrichissement de celui-ci. Cette forme d’intelligence permet de savoir ce que demain sera fait dans un domaine précis ou dans un contexte général. Cette connaissance précédant les événements permet aux entreprises d’être proactif.

 

Chaque apport d’une nouvelle unité d’information dans le système enrichit le patrimoine. De ce fait, l’utilisateur du système protège son patrimoine. Mais cet accès aurait pu aussi nuire au système : une session d’accès exploitée par un individu malveillant, des données ou des informations qui brouillent les connaissances déjà constituées… C’est la qualité et la pertinence des informations et des données les précédant qui enrichit le patrimoine informationnel.

 

La hantise principale dans la gestion de la sécurité de ce patrimoine est de voir des informations dérobées par des intrus. Il arrive aussi que ce soient les informations qui sont rapportées à la concurrence par un élément interne. Quand la stratégie d’une entreprise est dévoilée aux adversaires, l’avantage concurrentiel procurée par la connaissance apportée par une information pertinente et immédiatement annulé. La sécurité doit donc préserver le capital informationnel de l’entreprise. Une perte d’information peut être exploitée par autrui, affaiblissant la position concurrentielle.

 

Nos travaux consistent à décrire dans un premier temps à contextualiser la constitution d’un patrimoine informationnel. La notion de document électronique et d’information sera développée.

 

Ensuite, nous allons présenter la notion de sécurité dans le contexte de la protection d’un patrimoine informationnel. Nous allons étudier les aspects sécuritaires sur le plan informatique et aussi les aspects juridiques de cette protection.

 

Dans une troisième partie, nous prendrons un cas concret de l’entreprise Wolseley France afin d’illustrer la sécurisation d’un patrimoine informationnelle dans le cadre d’un projet dénommé « DC transfert ».

 

Enfin, nous étudierons les enjeux stratégiques d’un patrimoine informationnel sécurisé avec un gros plan sur l’entreprise Wolseley France. On parlera des effets bénéfiques de la protection et des risques pour un patrimoine mal protégé. Ces enjeux seront déclinés dans différents domaines, à savoir technologique, économique et la gouvernance.

 

 

 

 

PLAN

 

I – INTRODUCTION

 

II – La constitution d’un patrimoine informationnel

1 L’approche de la théorie de l’information

2 Définition du patrimoine informationnel

3 Le document électronique

4 Le datacenter

 

III – Gestion de la sécurité d’un patrimoine informationnel

1 Le besoin de sécurité

2 Les différents aspects de la sécurité

3 Le transfert de données

4 Les obligations juridiques

 

IV – Etudes de cas : projet Data transfert de l’entreprise Wolseley France

 

1 Le projet

 

1.1 Présentation de l’entreprise

1.2 Les objectifs du projet

1.3 Le cahier des charges

1.4 Le choix technologique

1.5 Les préparatifs

 

2 Réalisation du projet

 

2.1 Virtualisation du Système d’information

a- Architecture
b- Projet
c- Mise en œuvre
d- Sécurité

2.2 Consolidation de la messagerie

a- Projet
b- Architecture
c- Migration du service Exchange
d- Migration des Utilisateurs

3 Evaluation

 

V- Les enjeux stratégiques de la sécurisation du patrimoine informationnel

 

1 L’enjeu technique

2 L’enjeu économique

3 Le mode de gouvernance des entreprises

4 Les enjeux de Wolseley France

 

CONCLUSION

 

Les informations sont produites tous les jours. L’explosion documentaire qui caractérise la société actuelle fait qu’il est impossible de tout capter, de tout traiter et de tout stocker. L’exhaustivité est donc fictive. Par ailleurs un système d’information qui a l’ambition de devenir exhaustif sera très vite saturé. Le mal informationnel concerne dans ce contexte la quantité excessive de données. Trop d’information tue l’information ! Aucune machine ne peut être entièrement autonome pour gérer le processus de l’information. La programmation par l’homme et souvent l’intervention de ce dernier sont nécessaires pour que le système puisse être efficace.

 

L’idéal dans certains secteurs où l’intelligence économique est gérée avec une technologie de pointe, est que la machine par le biais d’un calcul mathématique très compliquée puisse proposer une décision. Dans un cas extrême, la machine peut elle-même décider en initiant de manière automatique une action. Il reste que ces machines ultra-performantes sont toujours à la merci des humains. Elles ont donc besoin d’une mesure de sécurité.

 

La réflexion stratégique sur la sécurité intègre des paramètres et obligations juridiques ou réglementaires. La politique de sécurité des systèmes d’information est un ensemble de différents éléments. La politique d’archivage adapte le système aux besoins de l’entreprise mais aussi à des obligations légales concernant notamment le cycle de vie des documents. Les obligations de confidentialités dépassent le simple engagement à ne pas dévoiler des informations stratégiques. Elles sont stipulées dans d’autres engagements comme le contrat de travail ou un contrat avec un prestataire de service. Le respect de la charte d’utilisation garantie aussi cette confidentialité. Elle est un outil de protection du patrimoine informationnel car assurant la pérennité du système et l’intégrité des données.

 

Le choix de la virtualisation du système d’information s’inscrit dans une politique de sécurité. Cette technique permet de dématéraliser l’ensemble des ressources informatiques de l’entreprise et par conséquent des opérations visant à manipuler et stocker les données. Une solution utilisant les machines virtuelles est la plus intéressante en termes de sécurité et de disponibilité. Les comportements rées d’un système d’exploitation dont simulés sur des architectures différentes mais sur un même système hôte. Le logiciel émule le matériel.

 

Grâce à des machines physiques toujours plus performantes, pouvant accueillir de plus en plus de machines virtuelles, la diminution des coûts est palpable : moins d’investissements dans les infrastructures et matériels, mutualisation des ressources physiques, économie d’électricité… L’investissement pour le logiciel est par contre assez conséquent mais il inclue la licence, le service et la maintenance. L’intérêt est aussi de faire évoluer l’équipe technique, libérant les exploitants de tâches répétitives en les orientant vers des tâches à plus forte valeur ajoutée. L’externalisation reste la meilleure solution pour que l’entreprise bénéficie de la virtualisation sans avoir à recruter un spécialiste aux compétences multiples.

 

Sur le plan technique, l’avantage de la virtualisation est sans conteste sa haute disponibilité. Cette technologie permet d’optimiser l’utilisation du serveur matériel puisque les machines peuvent se déplacer d’un serveur à un autre. Grâce à la déduplication des données, l’entreprise gagne en espace de stockage. Le choix portant sur la technologie VmWare est justifié la virtualisation du système d’information de bout en bout afin d’optimiser la sécurité et la traçabilité des données. Après le serveur, l’infrastructure de virtualisation s’étend au réseau et au stockage. Le risque sur le matériel physique est par contre plus élevé. L’interconnexion de plusieurs serveurs matériels permet toutefois aux machines virtuelles de migrer vers un autre.

Déménager un data center est une opportunité de faire évoluer un système d’information. L’analyse fonctionnelle en regroupant les applications par groupe métier facilite le déménagement.

 

L’environnement juridique de la sécurité du patrimoine informationnel est très large. La protection de l’information passe par le droit des propriétés intellectuelles afin de protéger les brevets, marques, dessins, bases de données, logiciels, droits d’auteur. Ce sont des aspects de la matérialisation du patrimoine informationnel. Comme dans tout autre domaine, la sécurité de ce patrimoine requiert la souscription à une assurance. Les risques sont nombreux et il vaut toujours mieux être assuré contre l’impondérable. La perte d’exploitation informatique survient après un sinistre, un accident ou un acte de malveillance. Le patrimoine informationnel doit être sécurisé au sein du système d’information. Sans sécurité. Il est susceptible d’être pillé par des concurrents ou des prestataires. Il pourrait être attaqué par un pirate informatique ou détérioré par des fausses manipulations de ses utilisateurs.

 

La sécurité technique du patrimoine informationnel fait l’objet d’un audit. Les éléments à considérer sont la disponibilité, l’intégrité, la confidentialité, la preuve / traçabilité (DICP). Dans la pratique, la sécurité en elle-même concerne le contrôle des accès au système d’information par l’identification des utilisateurs et leur authentification. Les informations doivent ainsi être conservées de façon intègre dans le temps. Par ailleurs la confiance en une information découle également de son imputabilité. Il faut en effet pouvoir être sûr que c’est bien la personne authentifiée qui est à l’origine de l’envoi des données et de ce fait assurer une traçabilité desdites données.

 

La disponibilité est le premier critère de sécurité du patrimoine informationnel. Un ensemble de données stratégiques ne sert à rien s’il n’est pas accessible ou ne l’est plus suite à un incident. Cette disponibilité est en fonction de la politique d’utilisation du système. L’accès direct ou non à certaines informations dépendent de leur importance ou de l’urgence de leur utilisation. L’information doit être disponible, avec une garantie d’accès sécurisée, sans interruption ni dégradation et réservées aux seules personnes autorisées. La valeur d’une information ne dépend pas uniquement de la conservation de son intègrité dans le temps mais également de son exactitude, de sa pertinence.

 

Les données qui constituant la base du patrimoine informationnel doivent être classifiées. Les règles de stockage sont appliquées selon la valeur de l’information. Cela permet aussi d’ajuster au mieux les coûts de stockage aux exigences de sécurité, de conservation et de disponibilité des données. Dans le cadre d’un plan de classement, la constitution d’un index permet de trouver le bon emplacement des données. L’utilisation de moteurs de recherche est également possible, cette indexation permet d’affiner les résultats et atténuer le phénomène de bruit.

 

L’accessibilité des données n’est pas un élément purement sécuritaire mais elle influe considérablement sur la performance du système. Elle fait intervenir l’organisation des données avec le souci de mettre en place une structure cohérente et efficace, permettant de retrouver facilement et rapidement l’information. Elle se soucie de l’identification et l’authentification des utilisateurs. Cet aspect de l’accès concerne les réseaux. Le niveau externe l’accessibilité sera directement liée à la bande passante du réseau, au nombre de connexions simultanées que le système d’information sera capable de traiter.

 

Il ne suffit pas de recuellir l’information que l’on souhaite. Il faut aussi vérifier l’intégrité de ces informations car elles sont susceptibles d’être fausses ou mutantes. Le risque en rapport avec l’intégrité des documents et des données s’amplifient au fil du temps. L’intégrité de l’information est préservée si et seulement si elle n’est modifiée que par les utilisateurs habilités dans les conditions d’accès normalement prévues. La norme européenne définit l’intégrité comme la confirmation que les données qui ont été envoyées, reçues ou stockées sont complètes et n’ont pas été modifiées. Dans la plupart des cas, les atteintes à l’intégrité que ce soit des flux ou des traitements sont d’origine malveillante.

 

Au niveau du patrimoine informationnel, la confidentialité est une caractéristique très importante abordée également au niveau du contrôle d’accès. Elle revêt à la fois la notion de secret et de diffusion restreinte à un petit nombre de personnes. Seuls les utilisateurs autorisés ont accès aux informations concernées. Les mesures de sécurité concernent la mise en place d’un système de contrôle d’accès ; le chiffrement des données et l’externalisation des données. La problématique de la confidentialité est plus sensible dans le cas de l’outsourcing ou de

l’info gérance. L’hébergeur ou le prestataire de solution externe s’y engage. L’externalisation des données chiffrées permet d’éviter des délits dont deux cas sur trois sont commis de l’intérieur.

 

L’archivage électronique garantit la pérennité de l’information grâce à une organisation raisonnée d’une conservation sécurisée dans le but de la réutiliser plus tard. L’archivage répond à un réel besoin de l’entreprise qui doit pouvoir fournir des preuves de ce qu’elle a fait ou n’a pas fait, réutiliser des données dans la conduite des affaires comme des études déjà réalisées et réutilisables sans avoir à recréer l’information, préserver sa mémoire pour construire une culture.

 

Pour le patrimoine informationnel, l’enjeu peut se résumer aux conséquences pour l’entreprise de ne pouvoir retrouver des informations alors qu’elle a besoin de les communiquer ou de les utiliser. Ces conséquences diverses permettent de caractériser les enjeux. Sur le plan juridique, l’entreprise est à même de fournir une preuve en cherchant dans ses archives des données dont l’authenticité et l’intégrité sont irréfutables. Elle peut lutter contre la fraude informatique.

 

Sur le plan logistique, les données archivées sont disponibles et accessibles en toute sécurité. Le système protège la confidentialité des données personnelles et stratégiques. L’enjeu technique concerne l’évolutivité des supports et formats de données, l’interopérabilité des systèmes d’information et la pérennité du système. L’enjeu financier est d’éviter à reproduire des informations à coût élevé. L’espionnage et le renseignement économique engendrent des pertes en termes de marché si ce n’est directement financières.

 

L’enjeu économique du patrimoine informationnel est vital pour l’entreprise. Les PME innovantes suivent le pas des grandes entreprises et se lancent dans l’intelligence économique. Le dirigent cherche à savoir ce que demain sera à partir de ce qu’il sait d’aujourd’hui et d’hier dans son secteur d’activité. Ce besoin de proactivité le pousse à protéger son patrimoine informationnel. La qualité et la pertinence des informations possédées ou recueillies par l’entreprise lui permettent de ménager et renforcer son avantage concurrentiel sur son marché.

 

Une fois les enjeux stratégiques de la sécurité du patrimoine informationnel bien ancrés dans la culture d’entreprise, la mutation de la politique de management de l’information en une véritable intelligence économique peut s’opérer. L’enrichissement et la protection du patrimoine informationnel n’est plus une finalité. L’on ne s’achemine pas non plus vers la matérialisation pour qu’il y ait un intérêt économique et financier évident.

 

Dans un modèle d’intelligence économique, le patrimoine informationnel a d’autres points clés que les critères de disponibilité, d’accès, d’intégrité, de sécurité et de pérennité. Il préfère s’appuyer sur l’éthique dans la protection de la vie privée et des données individuelles. Il privilégie la déontologie dans le recueil ou la sous-traitance de l’information. L’intelligence économique consiste à identifier et évaluer les compétences et les connaissances à la disposition de l’entreprise. Elle protège les droits et les propriétés intellectuelles. Elle encourage à maîtriser la technologie.

 

Comme le patrimoine informationnel permet de préserver l’avantage concurrentiel, son exploitation par l’intelligence économique crée de la valeur pour l’entreprise en augmentant la productivité et soutenant une croissance durable. L’intelligence économique répond à l’exigence de création de valeur pour l’actionnaire qui est le seul juge de la performance de l’entreprise. Cette dernière peut optimiser sa production, afin d’être compétitive. Le client bénéficie indirectement de l’effet de l’intelligence économique par la qualité du produit et aussi un moindre prix grâce à la maîtrise des coûts.

 

C’est le personnel qui fait vivre et met en application l’intelligence économique de l’entreprise. L’ingénierie de la connaissance influence positivement la productivité. Les employés ne se lancent pas des actions inefficaces qui pourraient faire perdre de la valeur. Les partenaires tirent aussi profit de l’innovation développée par l’entreprise. En tant que capital immatériel, l’intelligence économique est aussi à sécuriser, au même titre que le patrimoine informationnel.

 

 

[1] Protection du patrimoine informationnel, dirigé par Jean-Marc Rietsch, FedISA – CIGREF, 2007