Flash DGSI : Les audits de conformité ou de certification, une source de vulnérabilité pour les entreprises françaises
L'Association des Ingénieurs Polytech Lille est une association à but non lucratif. Nous finançons nos actions (dont l'accompagnement des étudiants vers leur premier emploi) grâce à vos cotisations et à vos dons. Pour nous soutenir, envoyez vos dons soit via la plateforme Leetchi accessible via ce lien :
soit à cette adresse :
Ce « flash » de l’ingérence économique relate un fait dont une entreprise française a récemment été victime. Ayant vocation à illustrer la diversité des comportements offensifs susceptibles de viser les sociétés, il est mis à votre disposition pour vous accompagner dans la diffusion d’une culture de sécurité au sein de votre entreprise.
Vous êtes libres de le partager avec vos salariés.
Dans un souci de discrétion, le récit ne comporte aucune mention permettant d’identifier l’entreprise visée.
Pour toute question relative à ce « flash » ou si vous souhaitez nous contacter, merci de nous écrire à l’adresse :
securite-economique@interieur.gouv.fr
Les audits de conformité ou de certification,
une source de vulnérabilité pour les entreprises françaises
La réalisation d’audits de conformité ou de certification s’inscrit dans le fonctionnement courant de l’économie et des échanges entre les entreprises. Toutefois, ces procédures favorisent des situations de vulnérabilité pour les entreprises n’ayant pas suffisamment apprécié les risques d’une exposition de leur patrimoine informationnel.
Si les manoeuvres d’intrusion pour accéder à l’information stratégique des entreprises peuvent revêtir un aspect clandestin, elles sont aussi, souvent, réalisées avec leur consentement. C’est le cas des audits de conformité ou de certification imposés à des sociétés françaises par des entreprises étrangères lors d’une phase d’expansion à l’international ou de suivi de relations commerciales avec des pays tiers.
La présente communication vise à mettre en lumière des risques de fragilisation de l’entreprise à travers des demandes de vérifications de conformité, amenant des sociétés hexagonales à divulguer des informations stratégiques (plans, matériels, procédés, offres, etc…) ou permettant d’accéder à des informations sensibles.
Exemple 1 : Vérification de conformité par envoi de matériel à l’étranger
Une société propriétaire d’un produit innovant à haute valeur ajoutée a été approchée par une entreprise publique d’un pays tiers, se déclarant intéressée par l’acquisition de plusieurs modèles.
Cette perspective représentait une opportunité commerciale très importante pour la société et pouvait assurer la pérennité de son activité.
Il a été demandé à la société, préalablement à la conclusion de l’achat, d’envoyer un exemplaire de son produit afin que l’autorité compétente du pays de l’acquéreur puisse certifier son innocuité pour la population locale. Or, la durée annoncée de détention du matériel pour vérification s’étendait sur plusieurs semaines et l’administration requérante sollicitait un envoi dans les plus brefs délais.
Bien que consciente du fait que son produit n’était pas protégé à l’international contre les risques de contrefaçon, la société s’est sentie obligée de prendre une décision dans l’urgence.
N’ayant pas le temps de procéder aux démarches juridiques indispensables à la protection de son patrimoine, l’entreprise française se voit confrontée au dilemme de privilégier la logique commerciale, au risque de subir des opérations de rétro-ingénierie sur son produit phare.
Exemple 2 : Vérification de conformité sur le territoire national
Une société française, leader européen sur son marché, a été sollicitée par une filiale française d’un groupe étranger pour un audit de conformité en vertu des normes nationales du pays tiers.
Cette opération exigeait l’accès aux serveurs de la société, rendant son patrimoine immatériel vulnérable.
Par peur de perdre le lien commercial qui l’unissait à l’entreprise tierce, la société française a autorisé ces vérifications sans conditions, s’exposant ainsi à la captation d’informations à l’occasion de l’audit.
Commentaire :
L’enjeu de ces contrôles, dont il est difficile d’évaluer précisément a priori le caractère intrusif, réside dans le fait qu’ils conditionnent fréquemment la pérennisation d’une relation commerciale ou l’accès à un marché à l’étranger, considéré comme nécessaire au développement de l’entreprise.
De ce fait, par peur de perdre des opportunités commerciales, mais également par manque de préparation en amont, les entreprises se plient fréquemment aux exigences des audits, sans poser leurs propres conditions et limites.
Préconisations de la DGSI :
Au regard de la problématique et en vue d’accompagner les entreprises françaises dans leurs stratégies d’internationalisation, la DGSI formule les recommandations suivantes :
- en exigeant un accord de confidentialité signé par les auditeurs,
- en imposant un suivi de l’audit par un juriste de la société.
ASSOCIATION DES INGENIEURS POLYTECH LILLE
Avenue Paul Langevin
59655 VILLENEUVE D'ASCQ Cedex
Avenue Paul Langevin
59655 VILLENEUVE D'ASCQ Cedex
Ce « flash » de l’ingérence économique relate un fait dont une entreprise française a récemment été victime. Ayant vocation à illustrer la diversité des comportements offensifs susceptibles de viser les sociétés, il est mis à votre disposition pour vous accompagner dans la diffusion d’une culture de sécurité au sein de votre entreprise.
Vous êtes libres de le partager avec vos salariés.
Dans un souci de discrétion, le récit ne comporte aucune mention permettant d’identifier l’entreprise visée.
Pour toute question relative à ce « flash » ou si vous souhaitez nous contacter, merci de nous écrire à l’adresse :
securite-economique@interieur.gouv.fr
Les audits de conformité ou de certification,
une source de vulnérabilité pour les entreprises françaises
La réalisation d’audits de conformité ou de certification s’inscrit dans le fonctionnement courant de l’économie et des échanges entre les entreprises. Toutefois, ces procédures favorisent des situations de vulnérabilité pour les entreprises n’ayant pas suffisamment apprécié les risques d’une exposition de leur patrimoine informationnel.
Si les manoeuvres d’intrusion pour accéder à l’information stratégique des entreprises peuvent revêtir un aspect clandestin, elles sont aussi, souvent, réalisées avec leur consentement. C’est le cas des audits de conformité ou de certification imposés à des sociétés françaises par des entreprises étrangères lors d’une phase d’expansion à l’international ou de suivi de relations commerciales avec des pays tiers.
La présente communication vise à mettre en lumière des risques de fragilisation de l’entreprise à travers des demandes de vérifications de conformité, amenant des sociétés hexagonales à divulguer des informations stratégiques (plans, matériels, procédés, offres, etc…) ou permettant d’accéder à des informations sensibles.
Exemple 1 : Vérification de conformité par envoi de matériel à l’étranger
Une société propriétaire d’un produit innovant à haute valeur ajoutée a été approchée par une entreprise publique d’un pays tiers, se déclarant intéressée par l’acquisition de plusieurs modèles.
Cette perspective représentait une opportunité commerciale très importante pour la société et pouvait assurer la pérennité de son activité.
Il a été demandé à la société, préalablement à la conclusion de l’achat, d’envoyer un exemplaire de son produit afin que l’autorité compétente du pays de l’acquéreur puisse certifier son innocuité pour la population locale. Or, la durée annoncée de détention du matériel pour vérification s’étendait sur plusieurs semaines et l’administration requérante sollicitait un envoi dans les plus brefs délais.
Bien que consciente du fait que son produit n’était pas protégé à l’international contre les risques de contrefaçon, la société s’est sentie obligée de prendre une décision dans l’urgence.
N’ayant pas le temps de procéder aux démarches juridiques indispensables à la protection de son patrimoine, l’entreprise française se voit confrontée au dilemme de privilégier la logique commerciale, au risque de subir des opérations de rétro-ingénierie sur son produit phare.
Exemple 2 : Vérification de conformité sur le territoire national
Une société française, leader européen sur son marché, a été sollicitée par une filiale française d’un groupe étranger pour un audit de conformité en vertu des normes nationales du pays tiers.
Cette opération exigeait l’accès aux serveurs de la société, rendant son patrimoine immatériel vulnérable.
Par peur de perdre le lien commercial qui l’unissait à l’entreprise tierce, la société française a autorisé ces vérifications sans conditions, s’exposant ainsi à la captation d’informations à l’occasion de l’audit.
Commentaire :
L’enjeu de ces contrôles, dont il est difficile d’évaluer précisément a priori le caractère intrusif, réside dans le fait qu’ils conditionnent fréquemment la pérennisation d’une relation commerciale ou l’accès à un marché à l’étranger, considéré comme nécessaire au développement de l’entreprise.
De ce fait, par peur de perdre des opportunités commerciales, mais également par manque de préparation en amont, les entreprises se plient fréquemment aux exigences des audits, sans poser leurs propres conditions et limites.
Préconisations de la DGSI :
Au regard de la problématique et en vue d’accompagner les entreprises françaises dans leurs stratégies d’internationalisation, la DGSI formule les recommandations suivantes :
- Pour se prémunir contre les risques d’un audit à l’étranger : préparer en amont le lancement de produits sur le marché international en faisant une veille active sur la règlementation des pays tiers ciblés quant aux conditions d’accès à leur marché. De plus, il s’avère pertinent d’identifier les pays où les risques de contrefaçon sont avérés dans le domaine d’activité considéré.
- Prendre contact avec les différents acteurs publics pouvant apporter leur concours à une meilleure connaissance des marchés et des risques liés (CCI, Business France, services économiques des ambassades, etc…).
- Protéger son savoir-faire en déposant des brevets : la demande d’extension d’un brevet à l’international (PCT-traité de coopération en matière de brevets) auprès de l’INPI est une étape incontournable pour une entreprise innovante et facilite la défense de ses droits en cas de litige.
- Dans le cas d’un audit de conformité dans l’entreprise même, négocier des conditions relatives au mode opératoire des vérifications :
- en exigeant un accord de confidentialité signé par les auditeurs,
- en imposant un suivi de l’audit par un juriste de la société.
J'aime
1148 vues
Visites
Flash DGSI : Les audits de conformité ou de certification, une source de vulnérabilité pour les entreprises françaises
2016-05-09 21:19:36
lesingenieurs.net
https://www.lesingenieurs.net/medias/image/18305263775a4e47051b02f.jpg
2016-05-09 21:19:36
2016-05-09 21:19:36
Chan-Thaï LAM
L'Association des Ingénieurs Polytech Lille est une association à but non lucratif. Nous finançons nos actions (dont l'accompagnement des étudiants vers leur premier emploi) grâce à vos cotisations et à vos dons. Pour nous soutenir, envoyez vos dons soit via la plateforme Leetchi accessible via ce lien :
Don à l'Association des Ingénieurs Polytech Lille
soit à cette adresse :
ASSOCIATION DES INGENIEURS POLYTECH LILLE
Avenue Paul Langevin
59655 VILLENEUVE D'ASCQ Cedex
Ce « flash » de l’ingérence économique relate un fait dont une entreprise française a récemment été victime. Ayant vocation à illustrer la diversité des comportements offensifs susceptibles de viser les sociétés, il est mis à votre disposition pour vous accompagner dans la diffusion d’une culture de sécurité au sein de votre entreprise.
Vous êtes libres de le partager avec vos salariés.
Dans un souci de discrétion, le récit ne comporte aucune mention permettant d’identifier l’entreprise visée.
Pour toute question relative à ce « flash » ou si vous souhaitez nous contacter, merci de nous écrire à l’adresse :
securite-economique@interieur.gouv.fr
Les audits de conformité ou de certification,
une source de vulnérabilité pour les entreprises françaises
La réalisation d’audits de conformité ou de certification s’inscrit dans le fonctionnement courant de l’économie et des échanges entre les entreprises. Toutefois, ces procédures favorisent des situations de vulnérabilité pour les entreprises n’ayant pas suffisamment apprécié les risques d’une exposition de leur patrimoine informationnel.
Si les manoeuvres d’intrusion pour accéder à l’information stratégique des entreprises peuvent revêtir un aspect clandestin, elles sont aussi, souvent, réalisées avec leur consentement. C’est le cas des audits de conformité ou de certification imposés à des sociétés françaises par des entreprises étrangères lors d’une phase d’expansion à l’international ou de suivi de relations commerciales avec des pays tiers.
La présente communication vise à mettre en lumière des risques de fragilisation de l’entreprise à travers des demandes de vérifications de conformité, amenant des sociétés hexagonales à divulguer des informations stratégiques (plans, matériels, procédés, offres, etc…) ou permettant d’accéder à des informations sensibles.
Exemple 1 : Vérification de conformité par envoi de matériel à l’étranger
Une société propriétaire d’un produit innovant à haute valeur ajoutée a été approchée par une entreprise publique d’un pays tiers, se déclarant intéressée par l’acquisition de plusieurs modèles.
Cette perspective représentait une opportunité commerciale très importante pour la société et pouvait assurer la pérennité de son activité.
Il a été demandé à la société, préalablement à la conclusion de l’achat, d’envoyer un exemplaire de son produit afin que l’autorité compétente du pays de l’acquéreur puisse certifier son innocuité pour la population locale. Or, la durée annoncée de détention du matériel pour vérification s’étendait sur plusieurs semaines et l’administration requérante sollicitait un envoi dans les plus brefs délais.
Bien que consciente du fait que son produit n’était pas protégé à l’international contre les risques de contrefaçon, la société s’est sentie obligée de prendre une décision dans l’urgence.
N’ayant pas le temps de procéder aux démarches juridiques indispensables à la protection de son patrimoine, l’entreprise française se voit confrontée au dilemme de privilégier la logique commerciale, au risque de subir des opérations de rétro-ingénierie sur son produit phare.
Exemple 2 : Vérification de conformité sur le territoire national
Une société française, leader européen sur son marché, a été sollicitée par une filiale française d’un groupe étranger pour un audit de conformité en vertu des normes nationales du pays tiers.
Cette opération exigeait l’accès aux serveurs de la société, rendant son patrimoine immatériel vulnérable.
Par peur de perdre le lien commercial qui l’unissait à l’entreprise tierce, la société française a autorisé ces vérifications sans conditions, s’exposant ainsi à la captation d’informations à l’occasion de l’audit.
Commentaire :
L’enjeu de ces contrôles, dont il est difficile d’évaluer précisément a priori le caractère intrusif, réside dans le fait qu’ils conditionnent fréquemment la pérennisation d’une relation commerciale ou l’accès à un marché à l’étranger, considéré comme nécessaire au développement de l’entreprise.
De ce fait, par peur de perdre des opportunités commerciales, mais également par manque de préparation en amont, les entreprises se plient fréquemment aux exigences des audits, sans poser leurs propres conditions et limites.
Préconisations de la DGSI :
Au regard de la problématique et en vue d’accompagner les entreprises françaises dans leurs stratégies d’internationalisation, la DGSI formule les recommandations suivantes :
Pour se prémunir contre les risques d’un audit à l’étranger : préparer en amont le lancement de produits sur le marché international en faisant une veille active sur la règlementation des pays tiers ciblés quant aux conditions d’accès à leur marché. De plus, il s’avère pertinent d’identifier les pays où les risques de contrefaçon sont avérés dans le domaine d’activité considéré.
Prendre contact avec les différents acteurs publics pouvant apporter leur concours à une meilleure connaissance des marchés et des risques liés (CCI, Business France, services économiques des ambassades, etc…).
Protéger son savoir-faire en déposant des brevets : la demande d’extension d’un brevet à l’international (PCT-traité de coopération en matière de brevets) auprès de l’INPI est une étape incontournable pour une entreprise innovante et facilite la défense de ses droits en cas de litige.
Dans le cas d’un audit de conformité dans l’entreprise même, négocier des conditions relatives au mode opératoire des vérifications :
- en limitant l’accès aux serveurs informatiques aux personnels de l’entreprise française,
- en exigeant un accord de confidentialité signé par les auditeurs,
- en imposant un suivi de l’audit par un juriste de la société.
Découvrez les autres flash DGSI en cliquant ici
https://www.lesingenieurs.net/medias/image/18305263775a4e47051b02f.jpg
Commentaires0
Veuillez vous connecter pour lire ou ajouter un commentaire
Articles suggérés
