dimanche 24 juin 2018    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges
Jacques Cheminat / lundi 12 mars 2018 / Catégories: Dossiers

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.

La représentation en nuage de points du sujet des droits d’accès et des comptes à privilèges se révèle particulièrement dense. PAM (Privileged Access Management), gouvernance des accès, proxy, serveur de rebond, SSH, RDP, bastion, rotation et coffre-fort des mots de passe, discovery, collecte de logs, chiffrement de bout en bout, sont une liste non exhaustive des termes utilisés. Le sujet est porteur comme le prédit Gartner en estimant qu’en 2020, plus de 40% des PME et grands comptes vont déployer des solutions de PAM pour répondre aux problèmes de sécurité du Cloud.

Pour autant, si ce marché est complexe en se déclinant comme un sous-ensemble de la gestion des identités (IAM), il a évolué avec le temps. Dans une première phase, il se développe autour de la protection des mots de passe des comptes administrateurs et de la technique du coffre-fort, tout en ayant les yeux vers le Cloud. Puis le marché se tourne vers la gestion des accès à travers la technologie du bastion, sorte de boîte noire capable d’enregistrer les sessions, de détecter les comportements anormaux et de s’adapter aux nouvelles exigences comme l’automatisation, l’IA et l’IoT. Enfin, les comptes à privilèges ciblent maintenant les métiers en créant des datarooms, des zones de confiance, dédiées à la direction, les RH ou la finance au sein de l’entreprise.

 

L’ÈRE DU COFFRE-FORT DES MOTS DE PASSE ADMIN

Ce marché est relativement jeune et les anciens réflexes ont encore la vie dure. Selon, une étude menée par Dimensional Resarch pour One Identity, 38% des responsables français utilisent un tableur et 18% gardent les mots de passe des comptes à privilèges sur version papier. La prise de conscience de ces problématiques d’accès a été tardive, se souvient Sébastien Faivre, CTO de Brainwave, spécialiste français de la gouvernance des accès, « elles ont émergé il y a une dizaine d’années, avec les interrogations sur les mots de passe des systèmes Root, le plus haut niveau de privilèges au sein de la DSI et donc un accès à l’ensemble de l’infrastructure de l’organisation ». Ces comptes cristallisent 3 types de menaces : la malveillance interne (un administrateur système mécontent ou un utilisateur un peu trop curieux) ; la malveillance externe (attaque ciblée sur les administrateurs systèmes ou malwares visant les systèmes à privilèges) et l’accident (mauvaise configuration ou erreur de mise à jour).

En 2015, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié une note de « recommandations relatives à l’administration sécurisée des systèmes d’information ». Elle donne des éléments utiles d’aide à la conception d’architectures sécurisées tout en mettant à la disposition des administrateurs les moyens techniques et organisationnels nécessaires à la réalisation de leurs missions. Les comptes à privilèges y sont abordés.

Bunkeriser les mots de passe

Face à un problème technique, la réponse a été aussi technique avec la création des coffres-forts de mots de passe. Plusieurs acteurs sont présents sur ce marché toujours très dynamique. Le principe général repose sur la centralisation en un seul point, sur site ou dans le Cloud, de la gestion des mots de passe pour les comptes à privilèges. Concrètement, la solution analyse l’ensemble de l’environnement IT pour recenser les comptes à privilèges. « En général, un agent se charge de scanner les annuaires de l’entreprise comme Active Directory sur site ou sur le Cloud Azure, mais aussi des services comme Okta ou G Suite de Google » explique Thibault Behaghel, spécialiste produit EMEA chez LastPass. « Il y a beaucoup de demandes autour des offres Cloud et notre offre permet d’appliquer 70 règles de sécurité », précise le dirigeant. L’agent analyse aussi les clés SSH publiques et privées (OpenSSH, Putty, Tectia, Windows, Linux, etc.). L’administrateur IT peut ensuite décider quels comptes associés aux clés doivent intégrer le coffre-fort. La sécurité des mots de passe s’effectue à travers des algorithmes de chiffrement AES 256 ou RSA 2048. En fonction du degré de sensibilité du compte, l’authentification peut être simple couplant identifiant et mot de passe ou bien forte en intégrant des token, de la biométrie, des serveurs Radius, Google Authenticator ou SAML (Security Assertion Markup Language).

Rotation et révocation des mots de passe

Puis, petit à petit, le coffre-fort a évolué avec des fonctionnalités de rotation et de révocation de mots de passe. Dans le premier cas, le coffre-fort est capable de générer de manière aléatoire des éléments d’authentification. Une fonctionnalité rassurante pour minimiser la menace interne, mais elle facilite également la sécurisation de projets en équipes ayant accès à des données sensibles. Dans un environnement DevOps où plusieurs métiers travaillent à la création et à la production d’applications, il est nécessaire d’accéder et de manipuler des données sensibles comme les bases de données. Affecter des éléments d’authentification pour une durée limitée est donc nécessaire. De même, cette fonctionnalité est utile pour les partenaires et les prestataires qui ont besoin d’accéder à des programmes sensibles.

La révocation des mots de passe sur les comptes à privilèges est essentielle. L’actualité est riche d’affaires mettant en cause d’anciens salariés ayant gardé leurs accès à des applications critiques. Ils peuvent ainsi voler des données, les transmettre à des concurrents ou les vendre sur le marché noir. « Il est donc important de pouvoir supprimer l’ensemble des accès quand un administrateur s’en va. Il faut donc vérifier ses identifiants, connaître les couples (mots de passe, identifiant) de ses accès et les révoquer », poursuit Valérie Husson, channel Sales Mananger France & North Africa de Thycotic, nouvel acteur du PAM, arrivé récemment en France. Une tâche automatisable pour laquelle la direction des ressources humaines peut supprimer les accès dès le départ d’un collaborateur depuis un simple bouton.

 

LE BASTION : LA VIGIE ATTENTIVE ET PRÉDICTIVE

Renforcer la gestion des identités des comptes à privilèges (PIM, pour Privileged Identity Management) sur certains éléments du SI est important, mais les responsables IT réclamaient des solutions de traçabilité des sessions des comptes à haut pouvoir.

Le surveillant en chef des sessions à privilèges

D’où l’idée du PAM et plus particulièrement du concept de bastion. « Le bastion s’apparente à la vidéosurveillance dans un appartement », résume Julien Cassignol, ingénieur avant-vente et responsable de l’activité France pour Balabit. Si la partie coffre-fort s’inquiète des identités et intègre le PAM, le bastion s’intéresse aux couches les plus basses de l’IT, « Nous analysons les flux basés sur différents protocoles : RDP (Remote Desktop Protocol), Telnet, Citrix, VNC et SSH » explique Serge Adda, CTO de Wallix, le champion français du bastion. Dans certains cas, des demandes d’analyses de protocoles spécifiques sont réclamées comme dans le cadre des systèmes industriels et les automates SCADA en particulier. « Certains protocoles sont plus complexes que d’autres, comme par exemple les demandes SQL, il y a autant de parfums que les glaces chez Berthillon », constate avec humour Julien Cassignol.

Sur le plan technique, les PAM du marché s'appuient sur des serveurs proxy et des serveurs de rebond pour scruter les flux des tâches. Concrètement, une connexion par rebond consiste à passer par une machine intermédiaire lors d’une connexion entre deux machines, PC ou serveurs, via les protocoles cités précédemment. Cette technique sécurise l’accès aux applications en déléguant l’injection des mots de passe au serveur proxy pour masquer les identifiants.

Mais ces serveurs savent aussi enregistrer les flux. Ils sont capables de rejouer une session en vidéo au format MPEG4 compressé. « 1 h de vidéo correspond à une taille de 20 Mo », assure Valérie Husson de Thycotic en mettant en avant l’offre Secret Server. Elle ajoute : « l’enregistrement se fait en direct et a un intérêt historique pour savoir ce que l’administrateur a fait ou a essayé de supprimer ».

 

Les yeux doux au DevOps et à l’IA

Forts de la traçabilité en vidéo, les bastions récoltent dans le même temps beaucoup de métadonnées. Une mine d’informations à valoriser via des solutions analytiques et de machine learning. Ces efforts aboutissent à l’émergence de solutions d’UBA (User Behavior Analytics), l’analyse comportementale des utilisateurs. « Nous allons maintenant vers l’expérience utilisateur. A travers cette vidéosurveillance, nous collectons énormément d’informations sur ce qui se passe et s’est passé », précise Serge Adda de Wallix.

Pour Balabit, le machine learning permet d’apprendre et de connaître le comportement des détenteurs d’accès aux comptes sensibles. Julien Cassignol le reconnaît, « le machine learning apprend les habitudes de comportement des administrateurs, il est ainsi capable de déterminer les moindres différences comme la façon de frapper sur un clavier, la répétition de commandes peu ou pas utilisées ». Du côté de Wallix, la partie analytique facilite la création de scénarii, « les gens ont des comportements récurrents et répétitifs sur les applicatifs, si une attitude ne correspond pas, il peut y avoir une alerte ».

Car l’objectif de cette analyse comportementale est double, à la fois pour la prévention et dans le cadre d’une enquête. Les bastions sont paramétrés pour lancer des alertes en cas de comportement anormal, voire bloquer immédiatement le compte, si le risque est important. La priorité est le Cloud et l’accompagnement du DevOps. CyberArk est clairement dans cette voie. « Aujourd’hui, les comptes à privilèges ne sont plus nécessairement le fait des humains, mais des robots comme les solutions d’orchestration ou les générateurs de scripts », explique Jean-Christophe Vitu, Pre-Sales Director West & South Europe de CyberArk. Et l’histoire pourrait bien lui donner raison, le vol de données d’Uber est à l’origine un accès à des identifiants AWS codés en dur dans un référentiel privé sur GitHub. Le spécialiste du PAM a donc sorti une offre dédiée, Conjur, pour cibler cette population et cette méthode de travail nécessitant rapidité et agilité.

 

GOUVERNANCE DES ACCÈS ET DATAROOM, AU-DELÀ DU BASTION

Si les deux éléments centraux dans le droit d’accès et la gestion des comptes à privilèges sont le coffre-fort et le bastion, il ne faut pas oublier des solutions complémentaires : la gouvernance des accès et les datarooms. La gouvernance des données s’interroge sur le cycle de vie de la donnée, alors que la notion de dataroom étend la notion de zone de confiance et d’habilitation, réservée à l’IT en général et en particulier aux sysadmins, aux dirigeants et aux responsables métiers (RH, marketing ou finances).

La gouvernance des accès, une tour de contrôle pour les PAM

« Les outils de PAM configurent le coffre-fort de mots de passe et les droits d’accès, mais ils n’englobent pas le cycle de vie des accès. Il faut croiser les logs des PAM avec d’autres bases de données comme celles des RH par exemple », confie Sébastien Faivre de Brainwave. Le concept de gouvernance des accès emprunte à la gestion des risques sur le SI et à l’audit. Il donne à un ensemble d’acteurs légitimes la possibilité de suivre l’évolution des identités et des accès des utilisateurs au sein du SI et d’en contrôler la conformité et de répondre aux questions « qui a le droit à quoi, comment et pourquoi. Le contrôle a posteriori, la réconciliation des comptes », poursuit le dirigeant.

Pour mener à bien cet audit, il est nécessaire de réaliser une cartographie. « Nous extrayons des données du SI de manière très granulaire, allant du référentiel RH, l’accès des partenaires, les bases de données, les annuaires (Active Directory, LDAP). Au final, nous dressons un inventaire des droits d’accès », explique Arnaud Fléchard, CTO de Kleverware, également spécialiste français de la gouvernance des accès. Il ajoute, « ce travail donne une vue des droits à pouvoir ou sensibles et facilite la ségrégation des tâches afin d’assurer une véritable séparation des tâches ». Les offres d’IAG (Identity and Access Governance) sont des tours de contrôle et s’imposent en complément de solutions de PAM ou d’IAM.

 

Les Dataroom blindent les données à privilèges

Les comptes à privilèges ne sont plus l’apanage des seuls administrateurs. Le Cloud, la mobilité et même les médias sociaux rebattent les cartes de la gestion d’accès. La direction d’une entreprise, les directeurs financiers, ressources humaines disposent d’accès spécifiques à des ressources sensibles. Mais la protection ne doit pas porter uniquement sur les accès, mais aussi sur le contenu. D’où la création des datarooms, des espaces sécurisés autorisant le partage de documents sensibles. Une offre qui s’adresse spécifiquement aux comités exécutifs des entreprises, manipulant des informations stratégiques (budget, fusions-acquisitions, plan de recrutement ou de licenciement, etc.). La sécurité est assurée depuis le poste de travail « avec une connexion TLS 1.2 entre les serveurs, le passage d’un antivirus sur l’objet transféré plus un chiffrement en AES 256 spécifique et un enregistrement sur disque », assure Alexis Boissinot, responsable de Brainloop France. Pas d’inquiétudes de voir la DSI disposer d’un accès privilégié aux documents, « les gens de l’IT et de la sécurité gèrent l’accès à la porte d’entrée des datarooms, mais pas aux contenus », soutient le dirigeant. Les services en mode SaaS comme Office 365 ou Salesforce sont gérés via des API, « avec un simple glisser-déposer » des objets dans la dataroom.

Les acteurs du marché des droits d’accès et comptes à privilèges

IAM (Identity Access Management) Ilex, Gemalto, GlobalSign, Okta, IBM, AWS, Google 
Coffre-fort de mots de passe Lastpass, Dashlane, Keepass
PIM (Privileged Identity Management) IBM, CyberArk, Balabit, Centrify, CA Technologies
PAM (Privileged Access Management) Wallix, CyberArk, Balabit, Thycotic, CA Technologies, Bomgar
Gouvernance des accès Brainwave, Kleverware, One Identity, Sailpoint
Dataroom Brainloop, Drooms, OOdrive, Intralinks

 

Dossier publié sur le site mag-securs.com avec le concours de Kleverware.


Infos partenaire

Kleverware, éditeur français, est un précurseur depuis 2005 dans le domaine du contrôle des identités et des accès. Avec ses innovations brevetées et la reconnaissance du marché par l’obtention de labels (France Cybersecurity, Bpifrance Excellence…), Kleverware prouve la robustesse de ses solutions, qui sont utilisées par des grands noms depuis des années pour auditer des centaines de milliers de droits tous les jours.

Les solutions de Kleverware sont flexibles et efficientes, que ce soit pour :

  • Les opérationnels de la sécurité, pour savoir rapidement quels sont les droits qui sont réellement donnés aux collaborateurs (cartographie exhaustive) au regard de leur fonction (SOD).
  • Les correspondants Métier, pour leur simplifier les revues de droits et leur offrir un gain de temps sur des taches qui ne sont pas obligatoirement bien comprises (ROI).
  • Vos auditeurs (CAC, Contrôle Interne) à qui vous démontrez que non seulement vous répondez aux préconisations, mais auxquels vous donnerez le reporting idoine.

Les solutions de Kleverware :

Kleverware IAG « Quick Start »

Cette solution ne nécessite pas d’infrastructure, un poste ou une VM suffit. Simple d’installation, elle est efficiente pour l’analyse et le contrôle, cela même pour des milliers d’identités grâce à sa technologie brevetée. Kleverware IAG « Quick Start » vous donne très rapidement des premiers indicateurs (SoD, Comptes dormants, orphelins…) pour une bonne gouvernance de vos identités et de leurs accès. Vous pouvez l’utiliser pour une cartographie exhaustive des droits, établir des tableaux de bord, vérifier que votre PSSI est respectée…

Kleverware IAG « Enterprise »

En complément de tous les avantages la version stand alone, vous bénéficiez d’une solution faite pour vos collaborateurs en charge de la revue des droits et ce au plus près des métiers. Avec ses interfaces intuitives pour les différents rôles (Managers de campagnes, approbateurs…), Kleverware IAG « Enterprise » simplifie grandement le travail qui leur est demandé. Vos collaborateurs vous remercieront d’avoir évolué vers une solution robuste, flexible et reconnue par des entreprises depuis plusieurs années.

 

Print
25177

Name:
Email:
Subject:
Message:
x

Le travail des gendarmes N’Tech et le code pénal en vigueur




L’adjudant Laurent Frappart, spécialiste N’Tech de la cellule d’Arras, a accepté
de nous livrer son analyse de gendarme sur l’évolution du patrimoine informationnel de l’entreprise. Elle est sans appel.

Mag-Securs : Les entreprises se font-elles voler des données faisant partie de leur patrimoine informationnel ?
Adjudant Laurent Frappart : Oui, cela arrive de plus en plus souvent. On vole des fichiers clients, des secrets de fabrication, des brevets, des marques, des données de facturation.

Les entreprises sont-elles conscientes du risque ?
L.F : Elles en sont de plus en plus conscientes. La concurrence internationale s’exacerbe, notamment avec les pays asiatiques. Il suffit d’une histoire comme l’affaire Renault pour se rendre compte du niveau de risque. Il est de plus en plus internationalisé.

Comment interviennent les gendarmes ?
L.F : Les gendarmes interviennent à la demande des entreprises, mais un travail d’évangélisation reste à faire. On livre des informations précieuses avec un portable dans le TGV, ou bien le salarié se connecte sur les réseaux sociaux, des « amis » parlent de leurs travaux en cours. Il faut remonter l’information à sa source. Or, les entreprises ne souhaitent pas communiquer. Le vol de données part souvent de l’étranger. Là, on se heurte à d’autres législations.

Quelles sont les limites législatives ?
L.F : Il y a une cohérence des lois au niveau européen, mais c’est tout. En France, le dispositif est relativement adapté, avec des institutions comme la Cnil ou l’INPI. Mais il n’existe pas de droit en temps que tel réprimant le vol du patrimoine informationnel de l’entreprise. Il n’en reste pas moins que, lorsqu’on vole une donnée, on pénètre par effraction dans un système automatisé de traitements de données. Cette infraction est répréhensible par la loi Godfrain.



Propos recueillis par Sylvaine Luckx

L’analyse de la législation actuelle


Entretien avec Maître Olivier de Maison Rouge

Olivier de Maison Rouge est Avocat, Docteur en Droit, Professeur associé à l’ESC Clermont et ancien Auditeur IHEDN. Il est par ailleurs membre de la commission permanente « secrets d’affaires » de l’AIPPI et du Comité scientifique de l’Institut de l’IE (Intelligence Economique).

Mag-Securs : Aujourd’hui, le vol a-t-il un sens juridique pour les biens immatériels ?
Olivier de Maison Rouge : A ce jour, au vu des textes applicables et des décisions des tribunaux, le vol n’est pas suffisamment reconnu par le droit s’agissant de l’appropriation de données exclusivement immatérielles. Ce fut notamment le cas dans l’affaire Valeo où le tribunal correctionnel de Versailles, en décembre 2007, a relaxé de ce chef de poursuite la stagiaire chinoise qui s’était appropriée des informations stratégiques de l’équipementier.
En effet, aux termes de l’article 311-1 du Code pénal, le vol est défini comme étant la soustraction frauduleuse du bien d’autrui ; dans les faits, il se traduit par la disparition matérielle du bien dans le patrimoine de la victime, et par son transfert dans l’actif du voleur. Or, une équivoque réside dans le cas d’une duplication illicite de données dématérialisées, sans vol de son support matériel. Par exemple, pour une copie réalisée sur une clef USB, le fichier d’origine demeure en possession de la victime. Cette position de principe des juridictions a très longtemps prévalu à l’exception de curieuses constructions juridiques autour du « vol d’usage » ou « vol de temps-machine » dans lesquelles le vol était admis pour le laps de temps d’emprunt du support matériel du bien incorporel et nécessaire à sa reproduction (il fut notamment qualifié de vol le temps de procéder à la photocopie d’un document, puis remis à son possesseur, mais non des informations figurant sur cet élément).
Un revirement a toutefois été opéré assez récemment : la Cour de cassation ayant reconnu en 2003 la qualification de vol de données informatiques retenant que « le fait d’avoir en sa possession, (...) après avoir démissionné de son emploi pour rejoindre une entreprise concurrente, le contenu informationnel d’une disquette support d’un logiciel, sans pouvoir justifier d’une autorisation de reproduction et d’usage du légitime propriétaire, qui au contraire soutient que ce programme source lui a été dérobé, caractérise suffisamment la soustraction frauduleuse de la chose d’autrui et la volonté de s’approprier les informations gravées sur le support matériel ». Une nouvelle décision très critiquée par les juristes est néanmoins venue confirmer cette position en 2008. Cela étant, l’ambigüité demeure et la question reste largement ouverte.


Dans le code civil, la notion de réparation des torts causés à autrui (article 1382) peut-elle être utilisée en cas de vol de données ?
O.M-R. : Le principe de la réparation par son auteur des torts causés à autrui est le socle du principe de responsabilité en droit français. Il repose notamment sur trois conditions cumulatives : un fait dommageable, un préjudice qui en découle et un lien de causalité entre ces deux premiers événements. Une action judiciaire introduite sur ce texte sera nécessairement civile et se résout exclusivement sous forme de dommages et intérêts en vue de réparer financièrement le préjudice subi.
C’est dans le prolongement de l’article 1382 du Code civil qu’a été fondée la théorie de la concurrence déloyale que l’on doit au doyen Roubier, en 1952.
Depuis lors, à condition de rapporter des preuves tangibles et sincères, ce qui demeure souvent une difficulté de taille pour les demandeurs, la concurrence déloyale est appréhendée par la justice comme étant, en matière de vol de données, la déstabilisation de l’entreprise concurrente notamment sous le forme de détournement et d’appropriation frauduleuse de fichiers.
La seule sanction - et donc la seule dissuasion corrélative - est essentiellement de nature financière. Or, dans les faits, soit un ancien salarié installé à son compte se révèle souvent insolvable soit, plus souvent encore, il est difficile de quantifier le préjudice qui en découle, des secrets d’affaires n’étant parfois qu’un simple potentiel. Rappelons que les tribunaux n’allouent des dommages et intérêts que pour réparer un préjudice avéré et non prévisionnel ou à venir, à l’exclusion de toute somme punitive comme cela est notamment pratiqué aux Etats-Unis. En résumé, la justice civile privilégie la réparation à la sanction.


Olivier de Maison Rouge, avocat et membre de la commission permanente « secrets d’affaires » de l’AIPPI et du Comité scientifique de l’Institut de l’Intelligence Économique.

La loi Godfrain de janvier 1988 sanctionne l’intrusion et la tentative d’intrusion dans un système d’information, cela suffit-il pour protéger les informations des entreprises ?

O.M-R. : Intégrée sous les articles 323-1 et suivants du Code pénal, la loi Godfrain réprime effectivement l’intrusion ou la tentative d’intrusion dans un système de traitement automatisé de données. Plus largement, ce texte sanctionne le fait de pénétrer dans un programme ou un matériel informatique, de s’y maintenir, et de le modifier ou de le « pirater ». L’avantage de cette disposition est d’être suffisamment large et évolutive pour faire condamner les actes de cybercriminalité et en ce sens les tribunaux l’appliquent sans ambages. C’est pourquoi ce texte a le véritable mérite de répondre sans détour aux besoins de protection des données de l’entreprise contre les atteintes extérieures.
Cependant, il faut conserver à l’esprit que les statistiques démontrent que 80% des atteintes recensées proviennent de l’intérieur de l’entreprise, volontairement ou par inadvertance ou maladresse. Certains faits sont révélateurs : l’ANSSI a ainsi répertorié la disparition de près de 4 000 ordinateurs portables et de 600 000 téléphones mobiles sur une année. Si la majorité concerne des vols crapuleux relevant de la délinquance ordinaire, on estime que 20% de ces soustractions concernent une tentative d’appropriation de secrets d’affaires. Cela traduit donc le nécessaire rappel des consignes de sécurité aux employés, en vue d’éveiller leur conscience sur ce risque. Le mythe de l’espion pénétrant dans l’entreprise ou du hacker vidant un ordinateur de son contenu est un peu défraîchi, même si cela demeure encore une réalité.

Le code du travail ne permet-il de sanctionner un salarié dans un cas de vol d’information de l’entreprise ?
O.M-R. : Il est désormais largement admis par les juridictions sociales que l’atteinte, la divulgation ou la soustraction de données de l’employeur justifie un licenciement pour motif personnel (l’autre dénomination du licenciement pour faute); la jurisprudence est largement établie et constante en la matière. En fonction de la nature des faits, les conseils de prud’hommes qualifient tantôt de faute grave ou de faute lourde, selon le degré et la volonté de nuisance du salarié indélicat.
Cela étant, hormis la suppression du salaire et l’éviction de l’employé de l’effectif salarié, la parade peut paraître bien faible eu égard aux intérêts financiers et commerciaux en jeu. En effet, la révélation de secrets d’affaires peut faire perdre définitivement tout avantage concurrentiel à une entreprise.
Dans l’affaire Renault, rappelons que la mise à pied des cadres dirigeants par le constructeur automobile qui a précédé leur licenciement n’est pas considérée comme une sanction mais comme une mesure provisoire, à titre conservatoire ; il faut donc en user avec prudence.

Quelles sont aujourd’hui les données de l’entreprise protégées par le code pénal en dehors des données à caractère personnel ?
O.M-R. : S’il existe de nombreux textes en matière pénale, bien peu en définitive se révèlent adaptés à l’appropriation et à la divulgation de données immatérielles de l’entreprise.
Relevons à ce titre la protection des secrets de fabrication pour laquelle l’article L. 1227-1 du Code du travail stipule que : «  Le fait pour un directeur ou un salarié, de révéler ou de tenter de révéler un secret de fabrication est puni d’un emprisonnement de deux ans et d’une amende de 30 000 € ». Pour la jurisprudence, cet article exige néanmoins trois conditions cumulatives :
• ce texte ne s’applique qu’à un secret de fabrication industrielle, à l’exclusion de tout autre secret d’affaires ;
• l’auteur de l’infraction doit nécessairement être un salarié ou un ancien salarié ;
• l’acte incriminé est une divulgation ou une tentative de divulgation.

Compte tenu de l’ensemble de ces impératifs restrictifs, un tel dispositif demeure délicat à appliquer ; il fut ainsi écarté dans l’affaire Michelin, le manufacturier n’ayant pu démontrer que son secret de fabrication était brevetable et encore moins breveté.
A ce jour, il apparaît donc que seul l’abus de confiance fait consensus pour protéger les secrets de l’entreprise, mais ce fondement ne trouve à s’appliquer que si au moins deux conditions sont réunies :
• il faut que la victime ait préalablement remis un bien à l’auteur de l’infraction pour un usage déterminé, d’une part,
• et qu’il existe un lien contractuel antérieur entre la victime et l’auteur, d’autre part.
Ce texte a ainsi été utilement appliqué pour réprimer les auteurs des agissements frauduleux dans les affaires Valeo et Michelin.

Qu’apporte la proposition de loi déposée par le député Bernard Carayon (lire pages suivantes) par rapport à l’arsenal juridique existant ?
O.M-R. : La proposition de loi de Bernard Carayon, député du Tarn, vise à instituer une protection des secrets d’affaires ayant une valeur commerciale, qui ne sont pas accessibles au public et pour lesquels leur détenteur légitime a mis en place des mesures raisonnables pour en assurer leur confidentialité.
La dernière mouture déposée en janvier 2011, à laquelle j’ai contribué, répond non seulement à cet objectif, mais définit mieux encore les secrets d’affaires, s’inspirant plus précisément de l’article 39.2 du Traité ADPIC qui est une annexe relative aux droits de propriété intellectuelle au traité de Marrakech du 14 avril 1994 instituant l’OMC. Or, à défaut de texte en droit positif, il faut toujours s’en remettre à une norme supérieure, ce que nous avons fait. Ainsi, l’apport notable de ce dernier texte est désormais d’être en adéquation avec les normes juridiques internationales, s’agissant d’une réglementation destinée à régir justement des échanges économiques mondiaux.
Enfin, cette nouvelle version intègre une sanction plus lourde de 3 ans d’emprisonnement et 375 000 € d’amende en vue renforcer l’aspect dissuasif et de l’aligner sur l’abus de confiance, et réprime également la tentative.

Quelle est la situation dans les autres grands pays ?
O.M-R. : D’une manière générale, il est possible d’affirmer que les pays émergents, qui ont postérieurement adhéré à l’OMC, ainsi que les pays de droit anglo-saxon, ont pour la plupart adopté une législation protégeant et sanctionnant l’atteinte aux secrets d’affaires selon la définition et les dispositions offertes par le Traité ADPIC.
Ainsi, les Etats-Unis d’Amérique ont voté dès 1996 le Cohen Act (ou « Economic espionnage act » qui sanctionne l’acquisition, l’appropriation, la divulgation ou l’usage de secrets d’affaires. Ces dispositions ont depuis lors été transposées dans l’accord NAFTA (en français Association de Libre Echange Nord-Américain ou « ALENA ») englobant les Etats-Unis, le Canada et le Mexique. De même, la Grande-Bretagne, l’Inde (1991), le Japon (1991) et Israël (1977), ont intégré à leur droit positif un arsenal de nature similaire.
Il est à regretter qu’à l’exception de l’Allemagne (depuis 1909), peu d’états d’Europe continentale aient eu la volonté de satisfaire cette exigence de protection des secrets d’affaires bien qu’étant de vieux pays industriels.
Autres Dossiers Gouvernance