Pour le moment, le droit à l’oubli concerne les particuliers, mais qu’en est-il des entreprises dont l’image a été entachée, légitimement ou non, sur Internet ? Ont-elles le droit de demander la désindexation d’une partie de leur histoire sur les moteurs de recherche ? La question n’est pas tranchée. C’est pourquoi les entreprises ont tout intérêt à protéger leur e-réputation avant qu’elle ne soit mise à mal. Voici une tribune de Tanguy de Coatpont, directeur général de Kaspersky Lab France, sur le sujet.
Elles font la une des médias et des réseaux sociaux, ces entreprises victimes de vols et de fuites de données. Et il était un temps, certes un peu lointain, où l'atteinte à la réputation d'une personne ne pouvait se dénouer que par un duel. Malheureusement, aujourd’hui, lorsque l’e-réputation d’une entreprise est atteinte, il est parfois bien difficile de trouver un duelliste à affronter, d’abord parce qu’ils sont, en général, plusieurs et bien cachés, ensuite parce que souvent, le duel est déjà perdu, avant même d’avoir eu lieu ! Aussi, à l’heure où une grande partie de l’existence des entreprises se manifeste à travers les réseaux, tant pour leur fonctionnement interne que pour leurs échanges avec l’externe, la préservation de leur e-réputation revêt donc un caractère de plus en plus crucial.
L’e-réputation est une notion protéiforme et sa préservation s’étend bien au-delà de la « simple » sécurité informatique. Elle peut être atteinte par différents biais dont les principaux sont la diffusion d’informations négatives sur l’entreprise, le détournement de son identité, l’atteinte à ses services en ligne ou encore l’intrusion dans son système d’information. Autant de menaces qui mettent en péril l’activité de l’entreprise, mais aussi son image auprès de ses différents publics : clients, partenaires, fournisseurs, etc. Nous le voyons, les risques liés à l’e-réputation ont des implications qui touchent différents services de l’entreprise, la direction informatique, bien sûr, mais aussi la direction marketing ou le risk manager, sans qu’aucune d’entre elles ne détienne l’ensemble des compétences et des ressources nécessaires pour lutter efficacement. La pire des solutions, à part ne rien faire, étant sans doute que chacun de ces services se contente de gérer indépendant la partie qui lui revient.
À l’heure où la présence digitale des entreprises prend une importance prépondérante pour son développement, celles-ci ne peuvent se contenter d’une réponse uniquement sécuritaire. Cela équivaudrait, pour une boutique physique à chercher à vendre ses produits, avec un volet métallique fermé et verrouillé, pour protéger la vitrine et empêcher les clients d’entrer, de peur qu’ils ne volent.
Une collaboration entre les différents services concernés apparaît donc comme la seule solution pour mener une lutte efficace. La réponse, propre à chaque problématique d’entreprise, ne peut être que le fruit d’une concertation et d’un arbitrage, entre la nécessaire ouverture vers les réseaux extérieurs et l’obligation de protéger son réseau, principal support de son patrimoine numérique. Avant d’apporter une réponse technique, il s’agit bien de définir précisément une réelle politique de présence, tant sur internet que sur les réseaux sociaux. Celle-ci doit permettre, après avoir analysé les risques encourus, d’une part, d’établir le périmètre d’expression de l’entreprise, et d’autre part, d’identifier les personnes autorisées à s’exprimer. Cette politique de présence devra, bien entendu, comporter un volet de veille active de l’e-réputation de l’entreprise, ainsi qu’un plan de réponse au cas où celle-ci serait atteinte.
Une fois cette politique de présence digitale établie, il s’agit alors de déterminer la manière de l’intégrer à la politique de sécurité de l’entreprise. L’objectif étant de trouver le meilleur compromis entre les besoins de la direction marketing, pour s’assurer une présence digitale forte, et les contraintes de la direction informatique, pour assurer la sécurité du système d’information. On peut imaginer, que dans bien des cas, les arbitrages ne seront pas simples à rendre, puisqu’aucune des deux parties ne connaît réellement le métier de l’autre, et donc ses impératifs. Il peut donc être judicieux d’apporter un regard tiers, qui en fonction de la taille de l’entreprise pourra être un risk manager, lorsque la fonction existe, ou, pour le cas d’une PME, du dirigeant lui-même. Dans cette relation de concertation, c’est l’intérêt non pas de chaque fonction qui doit primer, mais bien celui de l’entreprise.