Protéger la propriété intellectuelle lorsqu'elle doit être partagée

Protéger la propriété intellectuelle (IP) lorsqu'elle se trouve sur le réseau de l'entreprise ou dans le cloud est déjà assez difficile lorsqu'une entreprise contrôle les défenses du réseau, mais lorsque l'IP doit être partagée avec un partenaire commercial, les menaces augmentent de façon exponentielle. Alors que les obligations contractuelles et les assurances peuvent rembourser une entreprise avec un certain soulagement financier, il est impossible de remettre le génie proverbial dans la bouteille lorsque des secrets d'entreprise deviennent publics ou tombent entre les mains de concurrents.

D'un point de vue purement technologique, les RSSI peuvent utiliser des technologies qui limitent l'accès des utilisateurs, comme le passage à un architecture réseau zéro confiance (ZTNA) plutôt que l'accès à distance traditionnel au réseau privé virtuel (VPN), ou peut-être utiliser un contrôle d'accès basé sur les rôles (RBAC) basé sur la classification des données, la tokenisation ou un autre contrôle de sécurité. De plus, la limitation de l'accès par la gestion de l'accès à l'identité (IAM) est courante.

Toutes les IP ne sont pas identiques et toutes les IP ne nécessitent pas les mêmes contrôles de sécurité, note Aaron Tantleff, associé des groupes de pratique Transactions technologiques, Cybersécurité et Confidentialité du cabinet d'avocats Foley & Lardner LLP.

Déterminer quels contrôles sont nécessaires et à quel niveau dépend de la valeur de la propriété intellectuelle, à la fois financièrement et pour les opérations de l'entreprise. Il est difficile de généraliser à propos de la protection de la propriété intellectuelle, car chaque organisation possède différents types de propriété intellectuelle qu'elle protège différemment, note Tantleff. Les organisations ne mettraient pas nécessairement en œuvre les mêmes contrôles de sécurité via le train de fournisseurs, car les contrôles dépendent de la propriété intellectuelle critique par rapport à la propriété intellectuelle de moindre valeur, ajoute-t-il.

Partager en toute sécurité

Les technologies traditionnelles - et même certaines approches émergentes basées sur ZT - contribuent à limiter la possibilité de compromettre la propriété intellectuelle, mais ne font pas grand-chose pour assurer la sécurité lorsque la propriété intellectuelle doit être partagée avec des partenaires. Traditionnellement, les entreprises ne partageaient que de petites parties de leur propriété intellectuelle, faisant travailler divers partenaires commerciaux sans avoir accès à toute la propriété intellectuelle d'un produit. Par exemple, un partenaire commercial peut construire une seule pièce pour un projet plus important mais ne pas avoir suffisamment de connaissances pour tout dupliquer. Dans certains cas, de fausses "étapes" sont incluses dans le fonctionnement de quelque chose, salant la base de données partagée par l'entreprise, explique Tantleff.

Une autre façon pour les entreprises de modifier leur IP pour la rendre moins utile si elle est obtenue par quelqu'un qui n'est pas censé la voir est de masquer certains détails, tels que les noms de code de projet. On peut renommer certaines fonctionnalités, comme renommer codage, qui est la fonctionnalité principale pour changer une vidéo d'un format à un autre.

Bien que le contrôle du type et de la quantité de données partagées soit une stratégie, une entreprise peut limiter les vulnérabilités en conservant toutes les adresses IP sur son propre système et en permettant à ses partenaires directs d'accéder à ce dont ils ont besoin localement, ajoute Jennifer Urban, coprésidente pour la cybersécurité et les données. Confidentialité au sein du secteur des technologies innovantes de Foley & Lardner.

Une vulnérabilité majeure de la propriété intellectuelle d'entreprise est la gestion des risques tiers (TPRM), où les partenaires commerciaux partagent votre propriété intellectuelle avec leurs propres tiers. "Il est difficile avec le risque de tiers, de quatrième ou de cinquième partie de vraiment le contenir parce qu'il n'est pas dans votre environnement", dit-elle. Une recommandation "est évidemment de ne pas envoyer d'IP dans la mesure du possible, et de prioriser les fournisseurs en fonction du type d'IP qu'ils reçoivent".

Idéalement, une entreprise conservera l'IP sur son réseau protégé et ne partagera que les pièces dont un partenaire a besoin via une connexion sécurisée au réseau de l'entreprise. Limiter l'accès en fonction des besoins et des données spécifiques améliore les défenses de l'entreprise.

Fausses attentes

Peter Wakiyama, expert en propriété intellectuelle et associé du cabinet d'avocats Troutman Pepper, affirme qu'il existe deux problèmes de propriété intellectuelle importants sur lesquels de nombreux RSSI et dirigeants d'entreprise se trompent.

« Les RSSI peuvent penser que s'il n'y a pas de préjudice, [comme] une violation ou une perte de données, il n'y a pas de faute. Ce n'est pas vrai. Le simple fait de ne pas mettre en place des protections adéquates peut avoir des conséquences juridiques, car un propriétaire de secret commercial doit constamment déployer des efforts raisonnables pour protéger les secrets commerciaux et autres informations confidentielles », a-t-il déclaré. "Alors que de nouvelles menaces émergent, de nouvelles protections doivent être mises en œuvre en permanence pour garantir que les droits légaux en matière de secrets commerciaux ne soient pas compromis."

Quant au second, Wakiyama note : « De nombreux RSSI et autres professionnels de l'informatique pensent que si vous payez pour qu'il soit créé, vous le possédez. Pas vrai. Selon les faits et les circonstances, le fournisseur/développeur peut conserver des droits de propriété intellectuelle importants sur les inventions (brevets) et les droits d'auteur.

"Par exemple", poursuit-il, "si un fournisseur est engagé pour concevoir, construire et mettre en œuvre un programme de sécurité personnalisé, à moins que le fournisseur n'accepte par écrit de céder tous ses droits de propriété intellectuelle, il conservera les droits d'invention et les droits d'auteur et pourra être libres d'utiliser et de partager ces droits avec d'autres.

Andi Mann, fondateur de la société de conseil en gestion Sageable, a déclaré que la protection de la propriété intellectuelle doit être considérée comme un question humaine autant que technologique. Alors que les organisations peuvent effectuer des audits pour suivre l'utilisation de la propriété intellectuelle, en utilisant une gamme d'outils de surveillance et de visibilité du réseau, cela se résume généralement à un problème de personnes.

« Vous devez avoir des contrôles en place », dit-il. La composante technologique est importante, mais les ententes contractuelles visant à limiter ce qu'un tiers peut savoir et faire avec ces connaissances demeurent une pierre angulaire.

« Vous devez fournir des incitatifs. Vous devez comprendre pourquoi les gens accèdent à ce type de contenu dans ces données, comme si l'un de mes ingénieurs consultait notre base de données de brevets ou notre plan d'innovation. Pourquoi? Dis-moi pourquoi tu en as besoin. Et vous pouvez restreindre l'accès à certaines de ces données et à certaines de ces informations », explique Mann.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared