L’affaire Renault a au moins le mérite de souligner l’importance du management de l’information au niveau d’une Direction générale. Il est clair que ce type de fiasco devait arriver compte tenu de l’importance relative que les comités exécutifs accordent à la problématique de la sécurité des entreprises. Contrairement aux États-Unis, la culture entrepreneuriale française n’a pas donné une dimension stratégique à la gestion des menaces. Les affaires de sécurité ont toujours été considérées comme des problèmes secondaires à traiter à la marge par des responsables limités à des rôles fonctionnels. La montée en puissance des risques liés à l’informatique et à l’utilisation d’Internet ont rendu encore plus complexes l’approche globale de la sécurité. Les dirigeants ne sont pas préparés à appréhender ce niveau de complexité et ne réagissent que lorsqu’une crise majeure affecte le pilotage stratégique de l’entreprise.
La condition préalable à toute politique de prévention des risques est la prise de position dirigeant d’entreprise et par conséquent sa préparation à comprendre la nature et la forme prise par les affrontements économiques et l’évolution des menaces individuelles ou collectives. Si le dirigeant d’entreprise affiche une position claire sur la question auprès de ses salariés, une politique de prévention des risques a une légitimité admise et reconnue par les différents niveaux hiérarchiques.
Dans le cas contraire, les séances de sensibilisation ne servent à rien. Les méthodes pour prévenir les risques se professionnalisent de plus en plus, en particulier grâce aux technologies de l’information. Il est donc possible de créer aujourd’hui une culture interne sur la protection de l’information, fondée sur du bon sens et des mesures simples.
La première mesure à prendre est la responsabilisation du salarié sur sa manière de gérer l’information à son poste de travail. En France, il est très difficile d’arriver à un résultat pertinent car la plupart des salariés considèrent que ce n’est pas un problème qui les concerne. Les salariés qui doivent être impliqués dans la gestion des risques sont ceux qui sont « en première ligne » c'est-à-dire, les responsables de la recherche, les chefs de projet, les animateurs des réseaux informatiques, le directeur du marketing, le directeur de la communication, les commerciaux, les responsables des achats, les financiers et les juristes. Ce réseau doit être placé sous la responsabilité d’un membre du comité exécutif ou du corporate. Peu d’entreprises françaises mettent en place un tel processus de sécurité. Le mouvement est récent et s’est développé depuis le début des années 2000. Il ne se ressent pas encore par une évolution notable dans les organisations. Chaque direction vit la sécurité en fonction de ses propres objectifs. Il est encore très difficile de créer une approche concertée et réfléchie. Le colloque France/Israël sur les problèmes de cybersécurité qui s’est tenu à la CCIP le 4 avril dernier a démontré que l’attention des intervenants se concentrait avant tout sur les problèmes de contenant, autrement dit, les virus et les questions d’intrusion. Les attaques informationnelles par le contenu ne sont pas encore prises en compte et restent encore considérées comme des faits divers anecdotiques alors que leurs conséquences peuvent être désastreuses pour l’image de l’entreprise.
Peu de chefs d’entreprise ont intégré cette culture du danger informationnel. Les recours judiciaires ne sont pourtant pas leurs meilleures parades. En France, les juristes français n’ont pas encore su définir le mot information. Cette lacune crée de nombreuses vulnérabilités exploitables par des individus malveillants. Les entreprises victimes de ce type d’actions néfastes ont le plus grand mal à faire valoir leurs droits devant des tribunaux.
La condition préalable à toute politique de prévention des risques est la prise de position dirigeant d’entreprise et par conséquent sa préparation à comprendre la nature et la forme prise par les affrontements économiques et l’évolution des menaces individuelles ou collectives. Si le dirigeant d’entreprise affiche une position claire sur la question auprès de ses salariés, une politique de prévention des risques a une légitimité admise et reconnue par les différents niveaux hiérarchiques.
Dans le cas contraire, les séances de sensibilisation ne servent à rien. Les méthodes pour prévenir les risques se professionnalisent de plus en plus, en particulier grâce aux technologies de l’information. Il est donc possible de créer aujourd’hui une culture interne sur la protection de l’information, fondée sur du bon sens et des mesures simples.
La première mesure à prendre est la responsabilisation du salarié sur sa manière de gérer l’information à son poste de travail. En France, il est très difficile d’arriver à un résultat pertinent car la plupart des salariés considèrent que ce n’est pas un problème qui les concerne. Les salariés qui doivent être impliqués dans la gestion des risques sont ceux qui sont « en première ligne » c'est-à-dire, les responsables de la recherche, les chefs de projet, les animateurs des réseaux informatiques, le directeur du marketing, le directeur de la communication, les commerciaux, les responsables des achats, les financiers et les juristes. Ce réseau doit être placé sous la responsabilité d’un membre du comité exécutif ou du corporate. Peu d’entreprises françaises mettent en place un tel processus de sécurité. Le mouvement est récent et s’est développé depuis le début des années 2000. Il ne se ressent pas encore par une évolution notable dans les organisations. Chaque direction vit la sécurité en fonction de ses propres objectifs. Il est encore très difficile de créer une approche concertée et réfléchie. Le colloque France/Israël sur les problèmes de cybersécurité qui s’est tenu à la CCIP le 4 avril dernier a démontré que l’attention des intervenants se concentrait avant tout sur les problèmes de contenant, autrement dit, les virus et les questions d’intrusion. Les attaques informationnelles par le contenu ne sont pas encore prises en compte et restent encore considérées comme des faits divers anecdotiques alors que leurs conséquences peuvent être désastreuses pour l’image de l’entreprise.
Peu de chefs d’entreprise ont intégré cette culture du danger informationnel. Les recours judiciaires ne sont pourtant pas leurs meilleures parades. En France, les juristes français n’ont pas encore su définir le mot information. Cette lacune crée de nombreuses vulnérabilités exploitables par des individus malveillants. Les entreprises victimes de ce type d’actions néfastes ont le plus grand mal à faire valoir leurs droits devant des tribunaux.