legendre@siiq.qc.ca

 Les médias nous apprenaient récemment qu’une entente était survenue entre les compagnies aériennes West Jet et Air Canada visant à mettre fin aux procédures judiciaires concernant des allégations « d’espionnage industriel » par West Jet. Cette nouvelle illustre bien les éléments menant à cette forme de méfait contre la propriété intellectuelle d’une entreprise.

Trop souvent les mots « espionnage » et « espions » nous ramènent aux stéréotypes que le cinéma et la télévision imposent à la connaissance collective. La série de films de James Bond et une série télévisée comme Mission impossible, reprise au grand écran, nous laissent croire que l’espionnage rime avec des coups d’éclats, des prouesses technologiques et des plans machiavéliques. La réalité nous ramène à un monde beaucoup plus terre à terre et moins spectaculaire, tant du point de vue technologique que du point de vue intellectuel.

Technologiquement parlant, oubliez les gadgets et les voitures modifiées de James Bond. Plusieurs experts en sécurité vous indiqueront que l’on peut considérer le photocopieur comme le principal outil d’espionnage industriel. Les principaux « espions » sont des ex-employés ou pire encore des employés « insatisfaits » de leurs conditions ou amers d’une promotion non concrétisée. Il s’agit de foyers potentiels qui, trop souvent, se manifestent ou bénéficient d’une attitude négligente de la part de l’entreprise victime d’espionnage industriel.

LE CAS WEST JET – AIR CANADA
D’après les informations véhiculées dans les médias, il s’agit ici d’un cas où ces deux éléments seraient présents. Tout d’abord, d’anciens employés d’Air Canada se retrouveraient à l’emploi de West Jet. S’agit-il d’employés congédiés dans la restructuration d’Air Canada, lorsque l’entreprise connaissait des années difficiles ? L’histoire officielle ne le dit pas. Elle nous indique cependant que ces anciens employés d’Air Canada auraient transmis à leurs nouveaux patrons leurs codes d’accès au site intranet de leur ancien employeur. Comment cette information a été recueillie ? Cette question permettrait d’identifier le responsable et du même coup de qui on doit se méfier. En effet, si cette information a été obtenue sous la pression du nouvel employeur auprès des nouveaux employés, la transgression éthique et même légale dans ce genre de cas devrait nous inciter à nous méfier des gestionnaires à l’origine de ces pressions. Le cas contraire devrait inciter le nouvel employeur à se méfier de ses nouveaux employés à la conscience élastique, prêt à transmettre l’accès à des informations confidentielles de leur ancien employeur. Dans une telle situation on pourrait se demander que se passera-t-il le jour où ils quitteront leur nouvel employeur ?

L’OCCASION FAIT LE LARRON
Encore une fois, s’il faut croire  les informations publiées dans les médias, il semble que les accès au site intranet d’Air Canada avec les mots de passe des anciens employés se seraient produits durant plusieurs mois. Pourquoi des mots de passe d’employés, n’étant plus à l’emploi et de surcroît maintenant à l’emploi d’un compétiteur, sont-ils demeurés actifs durant une aussi longue période de temps ? Pourquoi l’accès au site intranet de ces ex-employés n’a-t-il pas été immédiatement bloqué et les mots de passe annulés ? La loi américaine « Economic Espionnage Act » de 1996 mentionne qu’une entreprise doit prendre les moyens nécessaires pour protéger les informations sensibles et les secrets industriels. La gestion des mots de passe donnant accès à un site intranet privé est un moyen de base pour protéger l’accès à l’information et peut se modifier très rapidement et simplement.

Règle générale, les entreprises devraient en effet faire preuve de moins de naïveté et considérer sérieusement le traitement et la protection des informations sensibles de l’organisation. D’un autre côté toute information n’est pas à protéger, l’information sensible, celle pouvant avoir un impact si elle se retrouve dans les mains de la compétition doit être protégée. Tout protéger se révèle une tâche colossale, voire impossible.

Lors d’une conférence de la Society of Competitive Intelligence Professionals (SCIP) des agents du FBI incitaient les entreprises à impliquer les veilleurs, technologiques ou concurrentiels, dans les processus de sécurité de l’entreprise. En effet, par leur travail, les veilleurs peuvent facilement identifier les informations sensibles de l’entreprise. Les responsables de la sécurité pourront par la suite mettre en place les processus et outils nécessaires pour protéger ces informations.

N’oubliez pas :

• de contrôler les visiteurs et leurs déplacements dans l’usine et les bureaux ;
• de prendre les mesures nécessaires, tant électronique que physique, pour protéger les informations confidentielles et sensibles ;
• de concevoir les locaux destinés aux visiteurs (salle de présentation ou de formation) afin de limiter le déplacement des visiteurs dans l’usine et éviter les zones sensibles où s’effectuent des travaux de R&D ;
• de contrôler « en temps réel » les accès électroniques aux bâtiments et aux systèmes électroniques ;
• de contrôler la circulation des documents sensibles.

La SCIP recommande la rédaction d’un code de déontologie concernant l’information et son traitement  propre à l’entreprise. La direction pourra ainsi tracer la ligne entre ce qui est acceptable et souligner les limites légales du ou des pays où l’entreprise rayonne. Ce document permettra à tous les employés de prendre conscience des limites à ne pas dépasser afin d’éviter de mettre dans l’embarras l’entreprise, et eux-mêmes, comme individu. La réputation des individus et des entreprises n’a pas de prix, alors que les frais juridiques impliquent des dépenses importantes. La prévention dans ce domaine a bien meilleur coût !

Plusieurs études de la SCIP indiquent que les entreprises qui systématisent leur processus de veille ou de gestion des connaissances apprennent la valeur réelle de l’information et vont naturellement élever leur niveau de prudence face à l’information qu’elles diffusent.

Ne créez pas, par négligence, l’occasion qui fera le larron. Soyez suffisamment prudents sans pour autant sombrer dans la paranoïa. Une entreprise doit être visible et doit se faire connaître ainsi que ses produits. Comme dirigeant d’entreprise participer avec votre veilleur, vos employés clés et votre responsable de la sécurité à la définition des informations sensibles à protéger.

Fait à Québec le 6 juin 2006.

Envoyer cet article à un ami