En tant que dirigeant, nous avons un rôle particulier à jouer dans la sécurité (et la future valorisation) du capital informationnel de nos entreprises, c’est à dire “des données et des connaissances, reposant sur des propriétés intellectuelles (littéraires et artistiques) et industrielles. Sont concernés par exemple : les données clients et fournisseurs (voix et images), les logiciels maisons portables et documentés, les savoir-faire, les brevets et secrets de fabrique, les bases de données, etc..”
Nous nous devons de veiller à mettre en place les conditions qui permettent de prendre soin et développer ce patrimoine informationnel.
Qu’il soit à la tête d’une PME, d’une institution, d’une collectivité locale, d’un syndicat, d’une TPE ou encore d’une direction d’un grand compte, de par sa fonction, le dirigeant manipule et centralise de nombreuses données à forte valeur ajoutée (note stratégique, roadmap d’une sortie d’un produit, projets d’achats ou de fusion, etc …) et participe à de nombreuses rencontres qui sont réputées devoir être discrètes (voire pleinement secrètes), tels que : une rencontre avec le salarié d’un confrère en vue de le débaucher ou encore des échanges avec ses avocats en vue d’un rachat mais aussi le contenu de réunions visant à préparer un grand virage stratégique, par exemple.
La discrétion fait pleinement partie de notre métier de dirigeants
Or depuis des années, j’observe que bien trop peu de dirigeants (et leurs équipes) ont mis en place des bonnes pratiques pour apporter une réponse convaincante à ce besoin de discrétion. Souvent, nous nous retrouvons dans une salle de réunion, smartphones sur la table, après être venus en voiture de fonction connectée (ou en utilisant une application mobile de VTC) et s’être donnés rendez-vous dans un échange de sms non chiffrés puis d’une invitation dans un google calendar ou une suite Office, souvent sous juridiction américaine. Combien de fois ai-je reçu dans ma messagerie Gmail (Google) des documents sensibles en pièce jointe sans aucune autre forme de précaution, y compris des dossiers par exemple de recherche et développements, entre autres.
Plusieurs facteurs ont amené cette situation (et cette liste n’est pas exhaustive) :
- un sentiment souvent de ne pas avoir le choix, d’autant plus ces derniers mois : il fallait passer dans le cloud, permettre le télétravail, faciliter la continuité des activités et seuls les Gafam semblaient proposer des services adaptés
- un manque patent de sensibilisation des dirigeants aux traces (fortes et faibles) qu’ils laissent derrière eux en utilisant de nombreux services numériques (de leur voiture à leur playlist musicale en passant par leur suite de bureautique en ligne), sans compter le mix usage privé-pro souvent depuis un même device.
- un sentiment que ce n’est pas grave, voire qu’on a “rien à cacher” auquel s’ajoute une forte (et souvent complète) méconnaissance des principes de chiffrement ou de la possibilité de créer des services (ou de demander à utiliser des services) qui soient “Privacy by design” par défaut, c’est à dire qui placent la protection de l’intimité numérique au coeur de sa conception
- un oubli qu’avant nous savions quand mettre un document sous pli et quand l’accrocher sur le frigo à la vue de tous. Nous le savions car nous l’avions appris avec nos parents le plus souvent. Il est tout à fait possible de reproduire ces pratiques dans un monde numérique. ?Non, le numérique n’oblige pas à abandonner peu à peu notre droit à la vie privée, à la discrétion, à la confidentialité ? Il est possible et nécessaire de les protéger, y compris pour favoriser la libre expression nécessaire à l’expression de la démocratie.
- trop peu de conscientisation de cette évidence : en tant que dirigeant nous avons une responsabilité toute particulière à sécuriser (et permettre de valoriser) le patrimoine informationnel de nos organisations.
Au titre de mes propres activités, j’ai décidé de trouver à pleinement me remettre en capacité de discrétion et de meilleure maîtrise de notre environnement numérique de travail et voici quelques choix que nous sommes en train de faire / ou d’expérimenter :
- Sortir au moins en partie de Google, la dropbox and co pour trouver des services équivalents mais hors juridiction américaine, a minima pour les parties les plus sensibles de nos travaux. A noter que j’ai adoré et j’adore encore leurs services qui sont excellents et sans lesquels je n’aurai pu développer autant mes activités. Ils m’ont facilité grandement le travail nomade et la création d’une entreprise distribuée géographiquement.
Toutefois il me semble essentiel de savoir aussi parfois utiliser d’autres services qui me garantissent une bien meilleure confidentialité si besoin.
> sur ce pan, nous testons kDrive qui permet de retrouver les principales fonctionnalités de ces services : 1/pouvoir stocker dans le cloud tout en bénéficiant de nos documents sur l’ensemble de nos machines (comme la dropBox) 2/pouvoir coopérer en ligne, co-écrire, commenter, etc … dans une suite bureautique suffisante et compatible avec les principaux logiciels bureautiques du marché (comme la suite Google)
L’excellent Presse-Citron a fait quelques articles très bien pour découvrir kDrive ici et là encore. D’autres tests sont à venir dont NextCloud par exemple.
- Amener mes principaux interlocuteurs à prendre le réflexe de privilégier des échanges chiffrés et donc les inviter à me rejoindre sur Signal qui reste l’une des meilleures solutions sur ce point (si vous utilisez Whatsapp, je vous invite à lire par exemple cet article puis à changer de solution)
- Côté mails, je ne sais pas encore si je migre vers la solution proposée par Infomaniak pour avoir une bien meilleure maîtrise de la confidentialité des mails transmis
- Côté réunion, j’invite à se mettre d’accord en amont sur les conditions de discrétion souhaitées pour autoriser ou non l’usage des smartphones, voitures connectées et autres … bien entendu, en période de pass sanitaire, la situation est encore moins simple qu’avant. Ce sera l’objet d’un prochain billet : jusqu’où le Pass Sanitaire trace (ou non) nos déplacements ? Avec quelle(s) garantie(s) ?
Juste pour partage, voici les critères qui m’ont amenée à choisir kDrive à ce jour :
- pouvoir travailler en tout lieu et tout point et sans dépendance à une machine en particulier. Vive le cloud à condition de pouvoir aussi pleinement travailler sans aucune connexion internet et sécuriser d’avoir accès à l’ensemble de ses documents en cas d’arrêt du service par le prestataire.
- Pouvoir partager, collaborer en temps réels à plusieurs sur un même document et rester maître des éléments partagés : pouvoir à tout moment supprimer un lien de partage, lui donner une durée limitée, …
- Etre à l’abri (autant que possible et lorsque nécessaire) de la NSA — entre autres — et de la justice américaine ou encore des IA des grands acteurs BATX ou GAFAM
- Eviter tant que possible la dépendance à des fournisseurs de services numériques et avoir si possible un plan B pour changer de fournisseur si besoin (être donc vigilant aux possibilités de transférabilité des données par exemple)
- Réapprendre, avec mes partenaires clés, à remettre de la confidentialité et de la discrétion dans nos rencontres et nos échanges
Nous sommes au bout de ce billet. Si vous souhaitez échanger ou réagir n’hésitez pas — je suis très preneuse de retour ou futures discussions. Au plaisir donc !
