© 2005 [email protected] « Intelligence économique » et sécurité de linformation : Equilibre entre impératifs sécurité et stratégie dentreprise Net

© 2005 [email protected]

« Intelligence économique »« Intelligence économique »et sécurité de l’information :et sécurité de l’information :

Equilibre entre impératifs sécuritéEquilibre entre impératifs sécuritéet stratégie d’entrepriseet stratégie d’entreprise

Net Focus France 2005 - 23 juin 2005 à Paris

Bruno KEROUANTON

Responsable Sécurité & Nouvelles Technologies

Clear Channel France


« Intelligence économique »« Intelligence économique »et sécurité de l’informationet sécurité de l’information

IntroductionIntroduction

L’intelligence économiqueL’intelligence économique

Les fonctions et métiers de l’IELes fonctions et métiers de l’IE

Rôle et actions du RSSIRôle et actions du RSSI

ConclusionConclusion









De l’ère industrielle…

Dans le monde industriel du XIXème siècle :

Ce sont les machineset les outils qui créentla richesse.


… à l’ère de l’information

Au XXIème siècle, l’information est essentielle pour l’entreprise.

Idées, concepts, brevets,savoir faire, etc.

Contribuent à larichesse de l’entreprise.


Un premier constat pessimiste

Postulat :

L’ère numérique a considérablement amélioré la communication de l’information en temps réel (média, réseaux, etc.)

ET

Les informations sont infiniment plus nombreuses (bases de données, etc.), et leur valeur augmente

DONC

Les fuites et vols d’informationssont beaucoup plus fréquents…(et le seront de plus en plus ?)
















L’Intelligence Economique aux Etats-Unis

Dispositif très puissant intégré au cœur de l’état :– Acteurs publics : Department of Justice, Defense, State, Commerce, etc.– Renseignement : NSA, DIA, CIA, FBI etc.– Acteurs privés : investigation (Kroll), auditeurs, etc.

Collaboration public-privé efficace :

– Think-tanks influents (Rand)

– Aides aux entreprises :• Lois (Economic Espionage Act)• fonds d’investissements (In-Q-tel)• Aide à l’export (advocacy centers)• Etc.

– Circulation des hommes Mécanisme rôdé depuis 20 ans !


L’Intelligence Economique : Made in U.S.A. !

La mentalité des américains favorise l’IE :

– Patriotisme

– Respect de l’institution,respect de l’entreprise

– Sentiment de suprématie

Les employés US font naturellement de l’IE !


Documentation aux USA

• Nombreux ouvrages disponibles

• Discipline « banalisée »

• Lien fort entre quatre domaines :

• CompetitiveIntelligence• Business Intelligence• Counter - Intelligence• Industrial Espionage

Les auteurs (et acteurs de l’IE) sont très souvent issus du monde des services gouvernementaux !


Quelques définitions

La « Business Intelligence » correspond à des méthodesde collecte d’information dans le domaine économique,permettant de valoriser des données brutes en information,puis en savoir, dans le but de maintenir un avantage concurentiel.

La « Competitive Intelligence » sertà acquérir un avantage compétitif majeur en étudiant les données de son/ses concurrentssur un marché donné.

L’espionnage industriel est une forme de« Business Intelligence » qui utilise destechniques détournées. Il y a une zonegrise entre « business intelligence » normaleet espionnage industriel.

Source : www.wikipedia.com


L’intelligence économique en France

France : La Grande Pagaille

Des officines plus ou moins douteuses,

Des organismes de formation méconnus,

Le rôle de l’Etat mal compris,

Beaucoup de discussions, peu d’actions,

Confusion entre espionnage et IE,

Et l’IE est contraire à la mentalité française…

« … Et de toute façon c’est inutile, les français n’ont pas besoin de cela : on a bien le TGV et l’A380, donc on est les meilleurs,

non ? »


L’IE en France : du concret ?

1994 : Rapport Martre« Intelligence économique etstratégique des entreprises »Indifférence générale…

2001 : Alain JuilletNommé « Haut Responsable pourl’entelligence économique » au SGDN.Scepticisme…

2003 : Rapport Carayon« Intelligence économique,compétitivité et cohésion sociale » Début de prise de conscience !

I E


Le référentiel de formation en IE

Publié en janvier 2005Par Alain Juillet (Haut fonctionnaire Intelligence Economique au SGDN)

L’IE : Cinq pôles d’expertise :

1. Environnement international et compétitivité.

2. Intelligence économique et organisations.

3. Management de l’informationdes connaissances.

4. Protection et défense du patrimoineinformationnel et des connaissances.

5. Influence et contre-influence.


Comprendre l’environnement

1. Environnement international et compétitivité

Comprendre l’environnement

• Connaître et comprendre les problé-matiques liées à la globalisation et àla société de l’information.

• Maîtriser les clefs de lecture géo-politiques et géo-économiquespermettant d’éclairer les stratégiesdes acteurs publics et privés.


Sensibiliser et animer

2. Intelligence économique et organisations

Sensibiliser et animer

• Définir les enjeux et présenter l’IE comme unfacteur clé de succès pour la réalisation desobjectifs stratégiques des organisations.

• Organiser et animer des séminaires internesde sensibilisation.

• Elaborer et mettre en œuvre desméthodes et outils d’audit et de gestiondu système d’intelligence économique.


Maîtriser le cycle de l’information

3. Management de l’information et des connaissances

maîtriser le cycle de l’information

• Identifier et exprimer les besoins del’organisation en information.

• Mettre en œuvre, animer et piloter undispositif de recueil, d’exploitation etde diffusion de l’information enadéquation avec l’échelon décisionnel.

• Mettre en œuvre un dispositif demémorisation et de capitalisation desconnaissances.


Protection du patrimoine informationnel

4. Protection et défense du patrimoine informationnel

Gérer le risque et protéger

• Identifier et maîtriser les enjeuxet risques de l’information, ainsique les méthodes, techniques etoutils liés à la protection dupatrimoine informationnel.

• Définir et mettre en œuvre unepolitique de sécurité.

• Mettre en place et piloter unecellule de gestion des crises.


Maîtriser le cycle de l’information

5. Influence et contre-influence

Maîtriser la communication

• Identifier les risques informationnels(rumeurs, désinformation, manipu-lation), ainsi que les actionsdéfensives de l’IE.

• Identifier et comprendre les probléma-tiques liées aux stratégies d’influence,de contre-influence et de lobbying.

• Détecter et contrer la manipulation del’information












LesLes fonctions et métiers de l’IEfonctions et métiers de l’IE




Le cycle del’intelligenceéconomique

Le cycle de l’intelligence économique

•Direction générale•Métiers

•Métiers•Cellule veille•Experts, Consultants

•Cellule veille•Réseaux humains•Direction SI

•Communication•Direction SI

RSSIRSSI


Les différentes veilles

technologique

boursièrejuridique

sociale

sociétale

commerciale

concurrentiellestratégique

pédagogiquebrevets

propriété intellectuelle

géopolitique

média

Vei

lles

financière• De nombreuses veilles

• Très spécialisées

• Expertise requise

C’est un métier à part : Le VeilleurVeilleur

etc. !


Le métier de « Veilleur »

Responsable de la cellule de veille

•Formation initiale souvent littéraire (documentaliste, etc.)

•Bonne connaissance du métier,des clients, ancienneté dans l’entreprise.

•Esprit d’organisation, de synthèse

Les RSSI sont assez rarement« veilleurs » IE.

Formation « initiale » IE rarement priseen considération à l’embauche.

Les meilleurs « veilleurs » sont des anciens du métier !


Les réseaux humains

Le « vrai » moteur de l’IE : les réseaux humains (HUMINT)

Groupes d’influenceRenseignement, lobbying, dynamique de groupe Forums internet, club utilisateurs, etc.

Think-tanks (« réservoirs de réflexion »)Rassembler les compétences échange de savoirs , lobbying, influence

Ingénierie socialePas forcément négative Salons, téléphone et contact direct Attention à ne pas aller trop loin !

Capitaliser sur les réseaux humainsSurveiller les groupes d’influence


Le rôle du DSI

Rôle du Directeur des Systèmes d’Information

Fourniture d’outils SI de :

• CollecteCrawlers, abonnements BDD, etc.

• TraitementData-mining, analyseurs sémantiques, etc.

• ArchivageBases de données, indexeurs, etc.

• Diffusion interneIntranet sécurisé


Le rôle du RSSI

Rôles du Responsable Sécurité des Systèmes d’Information

• Conseiller la DSI sur les choix d’outils IEaspects sécurité, pertinence, etc.

• Apporter son support à la cellule veille :anonymiser les processus de collecte, déceler les pièges, etc.

• Protéger le traitement et la diffusion de l’informationRôle normal du RSSI, cela dit ! (chiffrement, isolation etc.)

• Sensibiliser, conseiller, former les acteurs IE en sécuritéCulture sécurité, nomadisme, charte, etc.

• Participer aux processus de gestion de crise IEPlan de crise, association avec le plan de continuité d’activité





LesLes fonctions et métiers de l’IEfonctions et métiers de l’IE











Le patrimoine informationnel

Concerne tous les domaines :• Brevets, savoir-faire, procédés de fabrication

Risque de contrefaçon ou clonage

• Recherche et développement, prospective Risque de vol de concepts innovants

• Historique, bases clients et prospects Risque de détournement de clients

• Données financières et stratégiques Risque de déstabilisation, OPA, etc.

• Données personnelles Atteinte à la vie privée, risque légal (CNIL)

• Etc. …et là, le DG ne dort plus du tout !


Fuite involontaire d’information

• Mauvaise compréhension des mécanismesde diffusion et de stockage de l’informationsur Internet.

• Nomadisme et télétravail, portables volés,clefs USB perdues, etc.

• Logiciels et outils mal conçus, provoquantdes fuites dans les documents.

• Etc.

Solutions

Former et sensibiliser.

Mesures techniques (audits, protections)


Fuite volontaire d’informations

Risque faible, mais conséquences importantes.

• Motivations de la personne indélicateArgent, ego, amour, pouvoir, pressions

Permet parfois de retrouver l’individu par déduction.

• Détection et suivi difficiles, mais possiblesNécessite vigilance, temps, rigueur et souplesse.

Ex : insertion de « traceurs » dans l’information

pour suivre son cheminement.

• DénouementA l’amiable (discret) ou procès (retentissant).


etc… etc… etc… etc… etc…

Affaire DuPont (1989)5 personnes impliquées pour vol de procédés de fabrication de l’élasthane (Lycra), exigeant 10M$ en échange des documents. Se finit en course poursuite autour du monde puis arrestation des malfaiteurs par le FBI et la police helvète.

Affaire Lopez (1993)Un cadre de Volkswagen fournit des documents confidentiels à General Motors. Arrangement amiable entre les deux constructeurs automobiles : Volkswagen contraint d’acheter 1,1 Mds $ de pièces détachées auprès de GM en compensation.

Affaire Gemplus (2002)Le conseil d’administration du leader mondial de cartes à puces et fleuron de l’industrie française passe sous contrôle américain. L’ensemble des rouages du dispositif américain d’Intelligence Economique est utilisé à cette fin, mais la France réagit trop tard et perd le contrôle de Gemplus.

Affaire Sté Panou-panou (fiction !)Une PME industrielle décide de délocaliser son support téléphonique en Asie. Tout se passe bien au début, mais une gamme identique semble produite peu après par une nouvelle société chinoise. Puis des forums internet critiquent la PME française qui perd tout crédit et fait faillite.

Faits divers


Le rôle du Responsable Sécurité en IE

Quelles actions pour le

RSSI ?


Les mesures « techniques »

• Sécurité des Systèmes d’InformationFirewalls, chiffrement, authentification, etc.

• Sécurité physiqueBadges, caméras, gardiens, broyeurs, etc.

• LégislationContrats de travail, chartes, lois et décrets, etc.


Le facteur humain

… c’est le souci numéro 1 !

• Diffusion par erreurerreur de manipulation d’un logiciel, documentsimprudemment laissés sur un bureau ou dansune imprimante, bavardages, forums internet etc.

• Manipulation par autruiingénierie sociale, sondages, téléphoneou messagerie, flatterie, pressions etc.

• Mauvais jugementerreur d’appréciation de la criticitéde l’information manipulée, une foishors contexte (annuaire interne).

• Etc.


Sensibiliser et impliquer

Nécessité de sensibiliser à tous les échelons

• Par une culture d’entreprise adaptée,

• En illustrant par des exemplescourants,

• En présentant l’ingénierie sociale(démonstration ?),

• Par des règles appropriées.


Sensibiliser et responsabiliser

• Ne pas se reposer aveuglement sur les outils de sécurité, car le maillon faible de la chaîne sécurité, c’est souvent l’utilisateur.

• Inciter à adopter un « réflexe » sécurité en permanence,pas seulement face à son poste de travail :documents papier, conversations,déplacements, etc.

• Ne pas hésiter à utiliser : règlementintérieur, charte informatique,clauses de confidentialité,etc.pour responsabiliser l’utilisateur.

• Dans certains secteurs sensibles, une formationcomplémentaire peut être justifiée.


Classification des informations

Civil Militaire

Public Non classifié Sites web, communiqués de presse, plaquettes commerciales, etc.

Interne Restreint Données du personnel (salaires etc.), reporting, procédures, etc.

Critique / Sensible

Confidentiel Plans de développement, achats stratégiques, R&D, etc.

Stratégique Secret / Top secret Données financières sensibles, rachats potentiels, etc.

« Un classique… trop souvent oublié » !


Anonymisation de la veille

Protéger la cellule de veille, c’est :

Garder un avantage concurrentielLe concurrent ne sait pas ceque vous recherchez

Se protéger vis à vis des contre-attaquesLe concurrent ne pourra pas fausser les recherches


Anonymisation de la veille (2)

• Mise en place de comptes utilisateurs temporaires peu de traces dans le temps

• Fourniture de PC et de liaisonsInternet dédiésAucun indice établissant laprovenance des recherches

• Isolation du réseau SI de collecteRisques en cas d’attaque/fuite limités

• Utilisation d’outils d’anonymisation Relais de messagerie, proxy ouverts, chiffrement etc.


Surveillance de crise

Utiliser la cellule veille pour déceler les prémices d’une crise

Les crises « média » (déstabilisation,influence etc.) peuvent souventêtre détectées en avance :- isolation des signaux faibles et

tendances émergentes- Surveillance Internet (forums, etc.),

presse, ONG, etc.

Le RSSI apporte ses conseils,

mais c’est au Veilleur que la tâche incombe


Gestion de la crise

En cas de crise, il est primordial de

communiquer dès que possible.

- Mise en place d’une stratégie de communication.

- Modèles de communiqués prêts à remplir en cas d’urgence.

- Circuits de diffusion de l’informationpré-établis et testés régulièrement(web, presse, etc.)

Le RSSI a un rôle important à jouer
















Le vrai rôle du RSSI en IE

L’Intelligence Economique est un vaste domaine

RSSI, vous avez un rôleimportant à jouer en IE

MAIS…

Focalisez-vous sur votre métier :

La protection du patrimoine immatériel


Questions ?

Contact : [email protected]

Merci pour votre attention

Documents

© 2005 [email protected] « Intelligence économique » et sécurité de linformation : Equilibre entre impératifs sécurité et stratégie dentreprise Net