View
105
Download
0
Category
Preview:
Citation preview
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’information :et sécurité de l’information :
Equilibre entre impératifs sécuritéEquilibre entre impératifs sécuritéet stratégie d’entrepriseet stratégie d’entreprise
Net Focus France 2005 - 23 juin 2005 à Paris
Bruno KEROUANTON
Responsable Sécurité & Nouvelles Technologies
Clear Channel France
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
Les fonctions et métiers de l’IELes fonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
Les fonctions et métiers de l’IELes fonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
De l’ère industrielle…
Dans le monde industriel du XIXème siècle :
Ce sont les machineset les outils qui créentla richesse.
© 2005 bruno@kerouanton.net
… à l’ère de l’information
Au XXIème siècle, l’information est essentielle pour l’entreprise.
Idées, concepts, brevets,savoir faire, etc.
Contribuent à larichesse de l’entreprise.
© 2005 bruno@kerouanton.net
Un premier constat pessimiste
Postulat :
L’ère numérique a considérablement amélioré la communication de l’information en temps réel (média, réseaux, etc.)
ET
Les informations sont infiniment plus nombreuses (bases de données, etc.), et leur valeur augmente
DONC
Les fuites et vols d’informationssont beaucoup plus fréquents…(et le seront de plus en plus ?)
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
Les fonctions et métiers de l’IELes fonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
Les fonctions et métiers de l’IELes fonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
L’Intelligence Economique aux Etats-Unis
Dispositif très puissant intégré au cœur de l’état :– Acteurs publics : Department of Justice, Defense, State, Commerce, etc.– Renseignement : NSA, DIA, CIA, FBI etc.– Acteurs privés : investigation (Kroll), auditeurs, etc.
Collaboration public-privé efficace :
– Think-tanks influents (Rand)
– Aides aux entreprises :• Lois (Economic Espionage Act)• fonds d’investissements (In-Q-tel)• Aide à l’export (advocacy centers)• Etc.
– Circulation des hommes Mécanisme rôdé depuis 20 ans !
© 2005 bruno@kerouanton.net
L’Intelligence Economique : Made in U.S.A. !
La mentalité des américains favorise l’IE :
– Patriotisme
– Respect de l’institution,respect de l’entreprise
– Sentiment de suprématie
Les employés US font naturellement de l’IE !
© 2005 bruno@kerouanton.net
Documentation aux USA
• Nombreux ouvrages disponibles
• Discipline « banalisée »
• Lien fort entre quatre domaines :
• CompetitiveIntelligence• Business Intelligence• Counter - Intelligence• Industrial Espionage
Les auteurs (et acteurs de l’IE) sont très souvent issus du monde des services gouvernementaux !
© 2005 bruno@kerouanton.net
Quelques définitions
La « Business Intelligence » correspond à des méthodesde collecte d’information dans le domaine économique,permettant de valoriser des données brutes en information,puis en savoir, dans le but de maintenir un avantage concurentiel.
La « Competitive Intelligence » sertà acquérir un avantage compétitif majeur en étudiant les données de son/ses concurrentssur un marché donné.
L’espionnage industriel est une forme de« Business Intelligence » qui utilise destechniques détournées. Il y a une zonegrise entre « business intelligence » normaleet espionnage industriel.
Source : www.wikipedia.com
© 2005 bruno@kerouanton.net
L’intelligence économique en France
France : La Grande Pagaille
Des officines plus ou moins douteuses,
Des organismes de formation méconnus,
Le rôle de l’Etat mal compris,
Beaucoup de discussions, peu d’actions,
Confusion entre espionnage et IE,
Et l’IE est contraire à la mentalité française…
« … Et de toute façon c’est inutile, les français n’ont pas besoin de cela : on a bien le TGV et l’A380, donc on est les meilleurs,
non ? »
© 2005 bruno@kerouanton.net
L’IE en France : du concret ?
1994 : Rapport Martre« Intelligence économique etstratégique des entreprises »Indifférence générale…
2001 : Alain JuilletNommé « Haut Responsable pourl’entelligence économique » au SGDN.Scepticisme…
2003 : Rapport Carayon« Intelligence économique,compétitivité et cohésion sociale » Début de prise de conscience !
I E
© 2005 bruno@kerouanton.net
Le référentiel de formation en IE
Publié en janvier 2005Par Alain Juillet (Haut fonctionnaire Intelligence Economique au SGDN)
L’IE : Cinq pôles d’expertise :
1. Environnement international et compétitivité.
2. Intelligence économique et organisations.
3. Management de l’informationdes connaissances.
4. Protection et défense du patrimoineinformationnel et des connaissances.
5. Influence et contre-influence.
© 2005 bruno@kerouanton.net
Comprendre l’environnement
1. Environnement international et compétitivité
Comprendre l’environnement
• Connaître et comprendre les problé-matiques liées à la globalisation et àla société de l’information.
• Maîtriser les clefs de lecture géo-politiques et géo-économiquespermettant d’éclairer les stratégiesdes acteurs publics et privés.
© 2005 bruno@kerouanton.net
Sensibiliser et animer
2. Intelligence économique et organisations
Sensibiliser et animer
• Définir les enjeux et présenter l’IE comme unfacteur clé de succès pour la réalisation desobjectifs stratégiques des organisations.
• Organiser et animer des séminaires internesde sensibilisation.
• Elaborer et mettre en œuvre desméthodes et outils d’audit et de gestiondu système d’intelligence économique.
© 2005 bruno@kerouanton.net
Maîtriser le cycle de l’information
3. Management de l’information et des connaissances
maîtriser le cycle de l’information
• Identifier et exprimer les besoins del’organisation en information.
• Mettre en œuvre, animer et piloter undispositif de recueil, d’exploitation etde diffusion de l’information enadéquation avec l’échelon décisionnel.
• Mettre en œuvre un dispositif demémorisation et de capitalisation desconnaissances.
© 2005 bruno@kerouanton.net
Protection du patrimoine informationnel
4. Protection et défense du patrimoine informationnel
Gérer le risque et protéger
• Identifier et maîtriser les enjeuxet risques de l’information, ainsique les méthodes, techniques etoutils liés à la protection dupatrimoine informationnel.
• Définir et mettre en œuvre unepolitique de sécurité.
• Mettre en place et piloter unecellule de gestion des crises.
© 2005 bruno@kerouanton.net
Maîtriser le cycle de l’information
5. Influence et contre-influence
Maîtriser la communication
• Identifier les risques informationnels(rumeurs, désinformation, manipu-lation), ainsi que les actionsdéfensives de l’IE.
• Identifier et comprendre les probléma-tiques liées aux stratégies d’influence,de contre-influence et de lobbying.
• Détecter et contrer la manipulation del’information
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
Les fonctions et métiers de l’IELes fonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
LesLes fonctions et métiers de l’IEfonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
Le cycle del’intelligenceéconomique
Le cycle de l’intelligence économique
•Direction générale•Métiers
•Métiers•Cellule veille•Experts, Consultants
•Cellule veille•Réseaux humains•Direction SI
•Communication•Direction SI
RSSIRSSI
© 2005 bruno@kerouanton.net
Les différentes veilles
technologique
boursièrejuridique
sociale
sociétale
commerciale
concurrentiellestratégique
pédagogiquebrevets
propriété intellectuelle
géopolitique
média
Vei
lles
financière• De nombreuses veilles
• Très spécialisées
• Expertise requise
C’est un métier à part : Le VeilleurVeilleur
etc. !
© 2005 bruno@kerouanton.net
Le métier de « Veilleur »
Responsable de la cellule de veille
•Formation initiale souvent littéraire (documentaliste, etc.)
•Bonne connaissance du métier,des clients, ancienneté dans l’entreprise.
•Esprit d’organisation, de synthèse
Les RSSI sont assez rarement« veilleurs » IE.
Formation « initiale » IE rarement priseen considération à l’embauche.
Les meilleurs « veilleurs » sont des anciens du métier !
© 2005 bruno@kerouanton.net
Les réseaux humains
Le « vrai » moteur de l’IE : les réseaux humains (HUMINT)
Groupes d’influenceRenseignement, lobbying, dynamique de groupe Forums internet, club utilisateurs, etc.
Think-tanks (« réservoirs de réflexion »)Rassembler les compétences échange de savoirs , lobbying, influence
Ingénierie socialePas forcément négative Salons, téléphone et contact direct Attention à ne pas aller trop loin !
Capitaliser sur les réseaux humainsSurveiller les groupes d’influence
© 2005 bruno@kerouanton.net
Le rôle du DSI
Rôle du Directeur des Systèmes d’Information
Fourniture d’outils SI de :
• CollecteCrawlers, abonnements BDD, etc.
• TraitementData-mining, analyseurs sémantiques, etc.
• ArchivageBases de données, indexeurs, etc.
• Diffusion interneIntranet sécurisé
© 2005 bruno@kerouanton.net
Le rôle du RSSI
Rôles du Responsable Sécurité des Systèmes d’Information
• Conseiller la DSI sur les choix d’outils IEaspects sécurité, pertinence, etc.
• Apporter son support à la cellule veille :anonymiser les processus de collecte, déceler les pièges, etc.
• Protéger le traitement et la diffusion de l’informationRôle normal du RSSI, cela dit ! (chiffrement, isolation etc.)
• Sensibiliser, conseiller, former les acteurs IE en sécuritéCulture sécurité, nomadisme, charte, etc.
• Participer aux processus de gestion de crise IEPlan de crise, association avec le plan de continuité d’activité
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
LesLes fonctions et métiers de l’IEfonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
Les fonctions et métiers de l’IELes fonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
Le patrimoine informationnel
Concerne tous les domaines :• Brevets, savoir-faire, procédés de fabrication
Risque de contrefaçon ou clonage
• Recherche et développement, prospective Risque de vol de concepts innovants
• Historique, bases clients et prospects Risque de détournement de clients
• Données financières et stratégiques Risque de déstabilisation, OPA, etc.
• Données personnelles Atteinte à la vie privée, risque légal (CNIL)
• Etc. …et là, le DG ne dort plus du tout !
© 2005 bruno@kerouanton.net
Fuite involontaire d’information
• Mauvaise compréhension des mécanismesde diffusion et de stockage de l’informationsur Internet.
• Nomadisme et télétravail, portables volés,clefs USB perdues, etc.
• Logiciels et outils mal conçus, provoquantdes fuites dans les documents.
• Etc.
Solutions
Former et sensibiliser.
Mesures techniques (audits, protections)
© 2005 bruno@kerouanton.net
Fuite volontaire d’informations
Risque faible, mais conséquences importantes.
• Motivations de la personne indélicateArgent, ego, amour, pouvoir, pressions
Permet parfois de retrouver l’individu par déduction.
• Détection et suivi difficiles, mais possiblesNécessite vigilance, temps, rigueur et souplesse.
Ex : insertion de « traceurs » dans l’information
pour suivre son cheminement.
• DénouementA l’amiable (discret) ou procès (retentissant).
© 2005 bruno@kerouanton.net
etc… etc… etc… etc… etc…
Affaire DuPont (1989)5 personnes impliquées pour vol de procédés de fabrication de l’élasthane (Lycra), exigeant 10M$ en échange des documents. Se finit en course poursuite autour du monde puis arrestation des malfaiteurs par le FBI et la police helvète.
Affaire Lopez (1993)Un cadre de Volkswagen fournit des documents confidentiels à General Motors. Arrangement amiable entre les deux constructeurs automobiles : Volkswagen contraint d’acheter 1,1 Mds $ de pièces détachées auprès de GM en compensation.
Affaire Gemplus (2002)Le conseil d’administration du leader mondial de cartes à puces et fleuron de l’industrie française passe sous contrôle américain. L’ensemble des rouages du dispositif américain d’Intelligence Economique est utilisé à cette fin, mais la France réagit trop tard et perd le contrôle de Gemplus.
Affaire Sté Panou-panou (fiction !)Une PME industrielle décide de délocaliser son support téléphonique en Asie. Tout se passe bien au début, mais une gamme identique semble produite peu après par une nouvelle société chinoise. Puis des forums internet critiquent la PME française qui perd tout crédit et fait faillite.
Faits divers
© 2005 bruno@kerouanton.net
Le rôle du Responsable Sécurité en IE
Quelles actions pour le
RSSI ?
© 2005 bruno@kerouanton.net
Les mesures « techniques »
• Sécurité des Systèmes d’InformationFirewalls, chiffrement, authentification, etc.
• Sécurité physiqueBadges, caméras, gardiens, broyeurs, etc.
• LégislationContrats de travail, chartes, lois et décrets, etc.
© 2005 bruno@kerouanton.net
Le facteur humain
… c’est le souci numéro 1 !
• Diffusion par erreurerreur de manipulation d’un logiciel, documentsimprudemment laissés sur un bureau ou dansune imprimante, bavardages, forums internet etc.
• Manipulation par autruiingénierie sociale, sondages, téléphoneou messagerie, flatterie, pressions etc.
• Mauvais jugementerreur d’appréciation de la criticitéde l’information manipulée, une foishors contexte (annuaire interne).
• Etc.
© 2005 bruno@kerouanton.net
Sensibiliser et impliquer
Nécessité de sensibiliser à tous les échelons
• Par une culture d’entreprise adaptée,
• En illustrant par des exemplescourants,
• En présentant l’ingénierie sociale(démonstration ?),
• Par des règles appropriées.
© 2005 bruno@kerouanton.net
Sensibiliser et responsabiliser
• Ne pas se reposer aveuglement sur les outils de sécurité, car le maillon faible de la chaîne sécurité, c’est souvent l’utilisateur.
• Inciter à adopter un « réflexe » sécurité en permanence,pas seulement face à son poste de travail :documents papier, conversations,déplacements, etc.
• Ne pas hésiter à utiliser : règlementintérieur, charte informatique,clauses de confidentialité,etc.pour responsabiliser l’utilisateur.
• Dans certains secteurs sensibles, une formationcomplémentaire peut être justifiée.
© 2005 bruno@kerouanton.net
Classification des informations
Civil Militaire
Public Non classifié Sites web, communiqués de presse, plaquettes commerciales, etc.
Interne Restreint Données du personnel (salaires etc.), reporting, procédures, etc.
Critique / Sensible
Confidentiel Plans de développement, achats stratégiques, R&D, etc.
Stratégique Secret / Top secret Données financières sensibles, rachats potentiels, etc.
« Un classique… trop souvent oublié » !
© 2005 bruno@kerouanton.net
Anonymisation de la veille
Protéger la cellule de veille, c’est :
Garder un avantage concurrentielLe concurrent ne sait pas ceque vous recherchez
Se protéger vis à vis des contre-attaquesLe concurrent ne pourra pas fausser les recherches
© 2005 bruno@kerouanton.net
Anonymisation de la veille (2)
• Mise en place de comptes utilisateurs temporaires peu de traces dans le temps
• Fourniture de PC et de liaisonsInternet dédiésAucun indice établissant laprovenance des recherches
• Isolation du réseau SI de collecteRisques en cas d’attaque/fuite limités
• Utilisation d’outils d’anonymisation Relais de messagerie, proxy ouverts, chiffrement etc.
© 2005 bruno@kerouanton.net
Surveillance de crise
Utiliser la cellule veille pour déceler les prémices d’une crise
Les crises « média » (déstabilisation,influence etc.) peuvent souventêtre détectées en avance :- isolation des signaux faibles et
tendances émergentes- Surveillance Internet (forums, etc.),
presse, ONG, etc.
Le RSSI apporte ses conseils,
mais c’est au Veilleur que la tâche incombe
© 2005 bruno@kerouanton.net
Gestion de la crise
En cas de crise, il est primordial de
communiquer dès que possible.
- Mise en place d’une stratégie de communication.
- Modèles de communiqués prêts à remplir en cas d’urgence.
- Circuits de diffusion de l’informationpré-établis et testés régulièrement(web, presse, etc.)
Le RSSI a un rôle important à jouer
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
Les fonctions et métiers de l’IELes fonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information
IntroductionIntroduction
L’intelligence économiqueL’intelligence économique
Les fonctions et métiers de l’IELes fonctions et métiers de l’IE
Rôle et actions du RSSIRôle et actions du RSSI
ConclusionConclusion
© 2005 bruno@kerouanton.net
Le vrai rôle du RSSI en IE
L’Intelligence Economique est un vaste domaine
RSSI, vous avez un rôleimportant à jouer en IE
MAIS…
Focalisez-vous sur votre métier :
La protection du patrimoine immatériel
© 2005 bruno@kerouanton.net
Questions ?
Contact : bruno@kerouanton.net
Merci pour votre attention
Recommended