Sécurité des systèmes d’information et protection de l’information stratégique
Rémy FÉVRIER
Les atteintes aux systèmes d’information (SI) des entreprises constituent de plus en plus une « voie royale » de déstabilisation directe ou indirecte de l’entreprise. Au-delà d’une approche purement technicienne et restreinte aux spécialistes, la sécurité des systèmes d’information (SSI) doit bien plus opportunément être envisagée en tant que composante intrinsèque d’une intelligence économique (IE) réellement opérationnelle et susceptible d’être directement mis en œuvre par les entreprises, indépendamment de toute considération de taille ou de secteur d’activité. Le recours à l’intelligence économique résulte, pour les entreprises, bien plus d’une impérative nécessité que d’un choix véritable : la complexité croissante des environnements économique et sociétaux, catalysée par la diffusion des nouvelles technologies de l’information, ont conduit à une vulnérabilité accrue d’entités économiques conscientes de l’obsolescence de leurs anciens modes de réflexions.
Le concept d’intelligence économique
En dépit de l’absence de définition universellement acceptée du vocable d’intelligence économique, nous retiendrons celle proposée à l’occasion de l’élaboration du rapport du Commissariat général au Plan intitulé Intelligence économique et stratégie des entreprises (1994), dit rapport « Martre »[1] qui décrit l’intelligence économique comme l’ « L’ensemble des actions coordonnées de recherche, de traitement, de distribution et de protection de l’information utile aux acteurs économiques, obtenue légalement ». Cette définition, même si elle a fait, depuis, l’objet de nombreuses variantes, reflète néanmoins trois aspects fondamentaux : la grande diversité des actions constitutives d’une démarche d’intelligence économique, ses apports en termes de stratégie d’entreprises et son caractère exclusivement licite.
Historique de l’intelligence économique
Certains Etats, à la vocation maritime affirmée, furent les premiers de l’histoire à mettre en place assez naturellement une politique d’IE (république de Venise, Ligue hanséatique, empire britannique, etc.) fondée sur l’idée simple que le partage et la circulation de l’information entre les différents acteurs économiques était de nature à favoriser durablement leur développement économique. Ceux-ci furent rejoints tardivement en 1950 par le Japon qui devait assurer la reconstruction de sa compétitivité économique et par les Etats-Unis dès les années 1960 au travers de l’adaptation des pratiques issues du renseignement par les grands groupes industriels et, a fortiori, depuis l’administration Clinton, qui a élevé le soutien des entreprises nationales au rang de priorité gouvernementale.
Pour autant, dans la grande majorité des cas, il fallu souvent attendre l’effondrement de l’Union soviétique et l’émergence d’un nouveau type de capitalisme hyperconcurrentiel pour que les gouvernements prennent conscience de la nécessité de se doter d’une véritable doctrine de préservation de la compétitivité de leurs entreprises.
Emergence de l’intelligence économique en France
En France, une première tentative de politique publique verra le jour en au travers de la mise en place d’un Comité pour la compétitivité et la sécurité économique » qui n’aura finalement qu’une existence éphémère. En dépit de la mobilisation d’une poignée de hauts fonctionnaires singulièrement opiniâtres et de chefs d’entreprises convaincus, qui impulseront une véritable dynamique au travers d’actions locales, il faudra pourtant attendre 2003 et le choc psychologique induit par la prise de contrôle d’un des fleurons de la technologie française : la société Gemplus, par des fonds d’investissements anglo-saxons, pour qu’un parlementaire soit officiellement chargé de réfléchir spécifiquement au problème de la vulnérabilité des entreprises françaises.
Cela donnera lieu au rapport de Bernard Carayon, député du Tarn et intitulé Intelligence économique, compétitivité et cohésion sociale[2]. Ce document produira une véritable prise de conscience des faiblesses et vulnérabilités des entreprises françaises et fut en grande partie le catalyseur de la mise en place d’une véritable politique publique nationale d’Intelligence économique.
Le dispositif français d’intelligence économique
De 2004 à 2009, le Haut responsable à l’intelligence économique (HRIE), structure interministérielle placée sous l’autorité du Secrétariat général de la Défense nationale (SGDN) constitua la pierre angulaire du dispositif national d’intelligence économique. Selon son ancien dirigeant, M. Alain Juillet[3], « la politique publique d’intelligence économique est à la fois défensive et imaginative, légale et respectueuse des engagements de la France, sans pour autant être naïve »[4]. C’est ainsi qu’en six années, le HRIE a mené un ensemble d’actions visant à promouvoir l’intelligence économique, qu’elles soient de nature opérationnelle (conférences de sensibilisation) ou stratégique : définition d’un nouveau périmètre de souveraineté nationale et protection des entreprises françaises victimes de tentatives de déstabilisation.
Depuis le 17 septembre 2009, a été institué un Comité directeur de l’intelligence économique, placé auprès de la présidence de la République. Ce comité fixe les orientations du nouveau délégué interministériel à l’intelligence économique qui « élabore et propose la politique publique d’intelligence économique. Il en anime et en coordonne la mise en œuvre et en évalue l’efficacité. » [5]. Le premier titulaire du poste est M. Olivier Buquen[6], ancien élu et cadre dirigeant ayant exercé son activité au sein de plusieurs grands groupes privés.
Les outils et concepts de l’intelligence économique
Un certain consensus se dégage pour considérer que l’intelligence économique comme structurée autour d’un triptyque : veille, sécurité économique et influence.
- La veille : Le premier des préceptes de l’IE consiste en la maîtrise de l’information stratégique indispensable à l’entreprise. Or, dans un univers informationnel global, où le principal risque est celui de la surinformation, il devient essentiel, non seulement de connaître précisément les besoins en informations de l’entreprise, mais également de disposer des outils et ressources nécessaires à leur recueil et leur traitement.
- L’influence : L’environnement d’une entreprise étant devenu extrêmement complexe et changeant, les entreprises françaises doivent clairement s’inspirer du savoir faire anglo-saxon en matière de lobbying, afin d’acquérir, à leur tour, une véritable « culture d’influence ».
- La sécurité économique : Une des conséquences directes du développement sans précédant de la compétition économique, réside dans la mise en place, par certaines entreprises, de véritables politiques de déstabilisation de leurs concurrents, par le recours à des campagnes de dénigrement déléguées à certains cabinets spécialisés. Des actions de communication offensives ont ainsi été dirigées contre des entreprises hexagonales de toutes tailles. Si le but recherché est variable : élimination d’un concurrent trop performant ou tentative de prise de contrôle, le processus est toujours le même : la fragilisation de la cible au travers d’actions agressives coordonnées.
Sécurité des Systèmes d’Information et pérennité de l’entreprise
Les systèmes d’information constituant l’un des vecteurs majeurs de pénétration de l’entreprise et de captation de ses informations stratégiques, la SSI devient, de fait, un enjeu majeur en termes de pérennité de l’entreprise. Longtemps considérée comme une simple fonction support de la chaîne de valeur de l’entreprise, les systèmes d’nformation sont à présent au cœur de l’activité économique et tendent à constituer de fait une source d’avantage concurrentiel indirect (au sens de Michael Porter)[7].
– Captation d’informations stratégiques
Alors même que l’importance d’une gestion optimale du système d’information de l’entreprise devient essentiel, rares sont encore des dirigeants de PME à mettre l’accent sur leur sécurisation. Pourtant, les modes de captation des informations depuis les serveurs et postes de travail sont multiples et quelques précautions simples et de bon sens seraient de nature a considérablement réduire les risques encourus. Sans rentrer dans des détails techniques hors de propos, il est loisible de constater que les principaux risques liés à l’utilisation d’un système d’information peuvent essentiellement être envisagés au travers de trois grands types de risques : l’utilisation imprudente des postes de travail, les vols de portables et la pénétration directes des réseaux (filaires & sans-fil).
– Atteintes indirectes à l’image de l’entreprise
L’image institutionnelle d’une entreprise et de ses marques commerciales, constituées le plus souvent d’années d’efforts soutenues en matière de communication et de marketing, apparaissent ainsi extrêmement vulnérables à des menées concurrentielles de plus en plus agressives. Or, le détournement d’un site Internet constitue un exemple de nouvelle arme redoutable dans une lutte opposant groupe de pression ou ONG à de grands groupes relativement aux activités industrielles ou commerciales de ces derniers. Toutefois, si ce type d’attaques informationnelles paraît le plus souvent limité à des enjeux médiatiques et sociétaux propices à la polémique, il n’en demeure pas moins que n’importe quelle entreprise -indépendamment de sa taille ou de son secteur d’activité – peut se trouver victime de campagnes de dénigrement au travers d’une altération de l’intégrité de son SI.
– Mise en cause des dirigeants
Une autre menace réside dans la mise en cause des dirigeants relativement à une sécurisation insuffisante de leur SI : la volonté des tribunaux est de responsabiliser de plus en plus l’entreprise et donc ses responsables sur les problèmes de sécurité. On ne s’intéresse pas seulement à la faute mais aussi aux personnes qui auraient pu l’empêcher. Le but recherché est de pousser les dirigeants d’entreprise à prendre conscience du caractère indispensable que revêt aujourd’hui la sécurité des SI et d’utiliser l’ensemble des ressources à leur disposition afin de sécuriser ceux-ci, faute de quoi ils se retrouvent de plus en plus souvent mis directement en cause.
*
Au-delà de la recherche d’une sécurité économique optimale, le caractère singulièrement récurrent de l’absence de prise de précautions particulières au sein des entreprises françaises, en terme de sécurisation de leur système d’information, corrélé au nombre et à la diversité des menaces potentielles, font que l’entité économique soucieuse de protéger son SI dispose, dans les faits, d’un avantage concurrentiel indirect susceptible, non seulement de lui permettre de pérenniser son activité en cas de crise majeure, mais également d’éviter certaines mise en cause médiatiques extrêmement préjudiciables. Toutefois, un tel objectif n’est envisageable qu’au travers de la définition et de la mise en place d’une véritable politique de sensibilisation à destination de l’ensemble des salariés de l’entreprise, faute de quoi, tout effort envisagé en matière de réduction des risques de pertes d’information stratégiques demeurera vain.
- [1] Disponible en version intégrale sur le site de la Documentation Française : http://lesrapports.ladocumentationfrancaise.fr/BRP/074000410/0000.pdf
- [2] Disponible en version intégrale sur le site http://lesrapports.ladocumentationfrancaise.fr/BRP/034000484/0000.pdf
- [3] Ancien directeur du renseignement de la Direction générale de la sécurité extérieure (DGSE) et ancien dirigeant de plusieurs grandes entreprises privées.
- [4] http://www.intelligence-economique.gouv.fr/
- [5]Décret n° 2009-1122 du 17 septembre 2009 relatif au délégué interministériel à l’intelligence économique
- [6] Décret du 1er octobre 2009 portant nomination du délégué interministériel à l’intelligence économique
- [7] Michael Porter, L’Avantage concurrentiel, Dunod, Paris, 2003.