Avant la pandémie de COVID-19, seules quelques entreprises offraient des options de travail à distance. Cependant, le scénario du lieu de travail a changé radicalement à la suite de la pandémie mondiale qui a saisi le monde depuis le début de cette année. Du jour au lendemain, les employeurs ont été contraints de passer à une réalité de travail à domicile pour un avenir imprévisible. Pour de nombreuses entreprises, l’avenir comprendrait des employés travaillant à domicile, un personnel squelettique sur place et des employés pratiquant la distanciation sociale au travail, laissant les employeurs aux prises avec une préoccupation plus importante : la protection des actifs de propriété intellectuelle de l’entreprise tout en gérant une main-d’œuvre à distance.
Les actifs de propriété intellectuelle typiques d’une entreprise peuvent être largement divisés en quatre catégories :
- brevets ;
- marques déposées (voir l’outil TMView) ;
- copyright ;
- informations commerciales sensibles ;
- secrets commerciaux.
Alors que les brevets, les droits d’auteur et les marques déposées peuvent être protégés par le dépôt et l’obtention d’une demande, les secrets commerciaux sont protégés en gardant les informations confidentielles. Dans le scénario actuel, les risques de vol de propriété intellectuelle par des employés ou des tiers ont considérablement augmenté, car les employés accèdent régulièrement à des informations confidentielles, les partagent, les créent ou les conservent à distance. Les employeurs devraient adopter une approche à plusieurs volets pour protéger les actifs de PI.
Le suivi des actifs de PI :
Actifs de PI non secrets commerciaux :
Identifiez et documentez tous les enregistrements de brevets, de marques et de droits d’auteur appartenant à l’entreprise, ainsi que les demandes en cours et mettre en évidence les échéances applicables. Identifiez une équipe d’employés clés qui serait responsable de la gestion et de la mise à jour régulière de la liste.
Secret commercial :
Documentez tous les secrets commerciaux en les étiquetant comme confidentiels et stockez-les dans un endroit sécurisé avec un accès uniquement basé sur le besoin de savoir. Des exemples de ces secrets commerciaux peuvent être les données liées à la recherche et au développement, le savoir-faire commercial, les données liées au marketing, les données de fabrication ou les données de vente. La documentation doit comprendre une description des informations confidentielles et des mesures prises pour en assurer la confidentialité. En outre, mettez en œuvre une politique visant à limiter les informations en fonction du besoin d’en connaître. Les entreprises peuvent envisager d’ajouter d’autres mesures telles que l’utilisation de connexions sécurisées, le cryptage, les pare-feu, les fenêtres contextuelles décrivant la politique en matière de secrets commerciaux afin de protéger davantage les secrets commerciaux. Si des informations sur les secrets commerciaux sont partagées avec un tiers collaborateur, il faut s’assurer que la portée précise de tout accord de partage d’informations est claire pour tous les employés concernés. Les employeurs devraient également évaluer les fournisseurs, les vendeurs et les autres entrepreneurs / professionnels externes impliqués dans l’hébergement, la facilitation de l’accès ou l’accès aux informations de l’entreprise pour s’assurer qu’ils prennent des mesures pour protéger les secrets commerciaux s’ils ont, eux aussi, des politiques de travail à distance.
Suivi de l’inventaire physique :
Dans la situation actuelle, il est plus important qu’avant pour les entreprises de délivrer au moins un ordinateur portable (et d’autres appareils intelligents si nécessaires) à chaque employé et d’exiger que tous les employés effectuent tout travail à distance en utilisant uniquement un appareil délivré par l’entreprise. Lorsqu’elles distribuent des appareils appartenant à l’entreprise, les entreprises doivent les équiper d’applications de suivi et de contrôle afin de garantir le retour en toute sécurité de ces appareils en cas de départ de l’employé. La délivrance d’appareils appartenant à l’entreprise aux employés est particulièrement importante, car sinon, lorsqu’un employé quitte l’entreprise, il pourrait encore avoir des informations sensibles sur l’entreprise sur son appareil personnel.
Mesure de sécurité du réseau :
Les employeurs devraient envisager d’exiger la mise en œuvre de mesures de sécurité pour les réseaux internet domestiques des employés, telles que l’utilisation d’un réseau privé virtuel (VPN), d’un logiciel antivirus et anti-malware, et des changements réguliers de mot de passe.
VPN :
Les entreprises devraient s’assurer que les employés ne peuvent accéder à des informations exclusives qu’en utilisant un VPN autorisé par l’entreprise.
Utilisation d’un appareil fourni par l’entreprise :
Les employeurs devraient décourager les employés d’utiliser à titre personnel les appareils fournis par l’entreprise. En outre, les employeurs peuvent restreindre l’accès aux sites Web non sécurisés.
Procédure de signalement des incidents :
Les employeurs devraient créer une procédure de signalement robuste pour permettre aux employés de signaler toute activité suspecte.Accès aux secrets commerciaux:Les employeurs devraient créer une procédure de check-in/check-out pour l’accès aux documents confidentiels à distance.
Surveillance de l’utilisation :
Les employeurs devraient mettre en place un système qui notifie le service informatique dès qu’un employé télécharge, copie, imprime ou supprime une quantité importante de données du réseau de l’entreprise.
Mise à jour des politiques :
Les employeurs devraient mettre à jour les manuels des employés et les contrats de travail et renforcer la formation des employés sur la manipulation des informations confidentielles de l’entreprise.
Mise à jour des politiques relatives aux accords de non-divulgation et aux accords de propriété intellectuelle :
Mettre à jour les politiques relatives aux accords de non-divulgation et aux accords de propriété intellectuelle et exiger l’exécution par les employés avant d’accorder un accès à distance, ou comme condition pour un accès continu.
Accords de confidentialité et de non-divulgation :
S’assurer que des accords de confidentialité appropriés sont mis en place, notamment pour la divulgation d’idées nouvelles au cours d’une collaboration.
Autorisation claire :
Mettre en place une politique et une procédure d’autorisation pour l’accès aux informations confidentielles à distance. Mettre à jour la politique de sortie : Mettre à jour la politique de sortie pour s’assurer que des entretiens de sortie sont menés (même s’ils sont effectués à distance) pour chaque employé qui quitte l’entreprise en demandant expressément la restitution de toute information commerciale sensible tangible et de tout ordinateur, support de stockage ou autre équipement fourni par l’entreprise. Il convient de rappeler aux employés que la divulgation de toute information confidentielle qu’ils ont apprise pendant leur emploi reste interdite par les politiques de l’entreprise. En outre, les employeurs devraient immédiatement supprimer l’accès au réseau pour les employés partis et mis à pied et vérifier l’appareil remis par l’entreprise pour s’assurer qu’aucune information sensible n’a été transférée, conservée ou utilisée à mauvais escient.
Sensibilisation et formation des employés :
Les employeurs devraient créer une politique de travail à distance décrivant clairement les protocoles de sécurité pour l’accès aux documents sensibles pour les employés. Les employés devraient être formés à l’utilisation de toutes les fonctions de sécurité des logiciels de vidéoconférence. Les employés devraient également être formés sur la façon de repérer et d’éviter les escroqueries typiques de phishing, comme :
- le phishing trompeur (usurpant l’identité d’une entreprise comme Apple),
- le spear phishing (courriels ciblés personnalisés)
- la fraude de dirigeant (usurpant l’identité d’un PDG ou d’un autre dirigeant de haut niveau).
