Défensif

Vous avez sans doute vu passer quelqu'écho de la mésaventure des clients de la plate-forme d'échange QuadrigaCX qui gère des comptes de cryptomonnaie. Suite au décès de son patron, qui a trop bien gardé secret le mot de passe donnant accès aux trésors, les clients de QuadrigaCX n'ont plus accès à près de 190 millions de dollars... (Cryptomonnaie : Il meurt avec son mot de passe et 190 millions de dollars se retrouvent bloqués  - 2018.02.05 - https://tinyurl.com/yafr2kz5).
Voilà un bel exemple qui illustre les conséquences possibles d'une gestion défaillante et inappropriée de mots de passe. En l'occurrence, on peut ici imaginer au minimum une confusion entre les patrimoine personnel et de l'entreprise, cette dernière, en tant que personnalité propre, n'ayant pas le total contrôle de ses actifs... Bien sûr, l'enjeu était de taille et le secret était à priori une bonne idée. Mais s'il permet d'assurer la confidentialité d'une information, il ne protège pas assez contre les risques de disparition de cette information... Gerald Cotten aurait pu partager son secret avec une personne de confiance, un ami, un partenaire, un notaire... mais avait-il suffisamment de confiance à partager? N'a-t-il pas non plus reculé devant le besoin d'une gestion dynamique de son mot de passe, le changer régulièrement et conserver sa personne de confiance dans la confidence (voire changer régulièrement de personne de confiance...)
Il serait erroné de croire que cette situation est exceptionnelle. Je ne compte pas les situations dans lesquelles il est apparu que mes interlocuteurs, patrons de PME, n'avaient rien mis en place pour gérer correctement les multiples mots de passe de leurs entreprises. Ils n'avaient d'ailleurs aucune idée ni du nombre de mots de passe que cela concernait, ni de leurs impacts potentiels sur le fonctionnement de leurs sociétés. Il est vrai qu'aujourd'hui, avec toutes ces applications en ligne (SAAS), le recours à des comptes et services en ligne a fait exploser le nombre de mots de passe à gérer. Et si la perte d'un mot de passe peut passer inaperçue un certain temps aux yeux de l'équipe de management, elle est rarement indolore lorsqu'elle se révèle (pensez aux conséquences de la perte de l'accès à un hébergement de site web, à la persistance, en ligne, d'une version obsolète d'un site Web et aux efforts qu'il faudra faire pour obtenir de la part de l'hébergeur soit un accès soit la fermeture du compte).
Autre exemple, récemment j'ai été confronté à la problématique de la perte d'identifiants et de mots de passe donnant accès à des actifs matériels d'une entreprise. En l'occurrence, un système de vidéo conférence ainsi qu'un tableau interactif autorisant des réunions "distribuées". Le tout représentant plusieurs milliers d'euros d'investissements. Avant de pouvoir l'utiliser, je ne vous raconte pas le temps qu'il a fallu mobiliser, auprès du futur utilisateur, du gestionnaire de l'équipement, du fournisseur... pour tenter de connaître les identifiants et mots de passe à utiliser. Pour au bout compte ne pas les retrouver et devoir utiliser ce matériel performant en mode "dégradé". On peut pointer ici, de manière générale, une absence de conscience du besoin de gérer les mots de passe et de manière plus particulière, une absence de responsabilité de l'équipement. Il est à tout le monde, donc il n'est à personne... Et, entre-temps, la personne la plus susceptible de mettre la main sur ces mots de passe a quitté l'entreprise, sans interview de sortie durant lequel il aurait dû remettre à disposition tous les mots de passe dont il avait connaissance...
Un des piliers de l'intelligence économique/stratégique est la protection des données. Les mots de passe en font partie et sont particulièrement stratégiques. Ne l'oubliez pas et mettez en oeuvre des politiques de gestion et de protection de ces données importantes...


Continuer à lire "La protection des actifs (im)matériels passe aussi par une bonne gestion (protection) des mots de passe..."

Nous sommes bien d'accord, l'intelligence stratégique, et les services y associés, ont pour objectif l'accroissement de la compétitivité des entreprises et leur pérennité (au profit de leurs actionnaires et de leurs territoires). Ceci dit, avoir les meilleurs produits, aux meilleurs prix, n'est pas forcément un gage de succès et de survie. Les pratiques d'intelligence stratégique ont donc de bonnes raisons de regarder un peu plus loin que leurs domaines de prédilection, à savoir ceux qui touchent directement l'information et les renseignements.
Les activités des entreprises créent de la valeur (et des richesses), dont une bonne partie est valorisée en argent, mais pas en totalité. Une partie du job des dirigeants d'entreprises est donc de gérer au mieux ces deux types de valeurs. Et en bons observateurs du monde des entreprises, on doit bien constater que les PME qui pèchent dans ce domaine sont souvent des oiseaux pour le chat. Elles deviennent les proies d'entrepreneur capables de discerner des poches de valeurs non monétisées qui les invitent à les acquérir pour des prix parfois étonnants pour les béotiens.
Parmi les patrons de PME que je fréquente, nombreux sont ceux qui, dans les premières conversations, sont capables de me dire où, dans leurs entreprises, sont cristallisées les richesses produites par leurs activités. Bien sûr, on peut tracer l'argent. Mais quand il s'agit d'identifier les connaissances, les expertises, la réputation, l'image de marque, les actifs immatériels (protégés ou non)... c'est plutôt le silence qui s'installe. Et lorsque je leur demande ce qu'un éventuel repreneur achèterait (pourquoi mettrait-il de l'argent sur la table), on sent frémir un début de prise de conscience... que ces valeurs se dissipent et se perdent... Finalement, peu importe où ces valeurs se concentrent, pour autant que le patron en aie conscience et qu'il intègre cette dimension dans sa gestion. Il doit faire grandir et protéger son "coffre fort" pour un jour être capable de le valoriser correctement et peut-être éviter les tentatives de rachat prédatrices.
La marque est souvent un réceptacle pertinent pour ces valeurs. Malheureusement, pas mal de patrons de PME les considèrent comme des gadgets. D'autant que dans leurs esprits, ils assimilent les marques aux grands produits B2C (Apple, Google, Coca-Cola...) et se disent que comme ils ne parviendront jamais à leurs chevilles, une marque à eux ne méritent pas d'efforts. A leur décharge, convenons que la construction d'une marque relève de pratiques professionnelles qui ne sont pas les leurs... (c'est d'ailleurs une difficulté récurrente dans les PME, ce besoin pour les patrons de pratiquer de nouveaux métiers lorsque leurs entreprises grandissent).
Pour les aider, je leur recommande la lecture de cet article récent sur Medium, qui nous rappelle l'importance des marques et les étapes indispensables à la construction d'une marque forte (6 Critical Steps to Building a Powerful Brand - https://tinyurl.com/ycdh24ud). Cet article peut aussi inspirer quelque consultant en IS dans ses relations et ses conseils pour des patrons de PME.

Ceux qui pensent que le plagiat, la copie non autorisée, cela n'arrive qu'aux autres, qu'aux marques de luxe et que cela vient toujous de Chine ont tout faux! Pour preuve, la récente accusation lancée contre la chaine H&M par la créatice de lingerie féminine Murielle Scherre et sa marque "La Fille d'O" (http://lafilledo.com/). Cette dernière a été récemment avisée par une cliente de ce que un soutien gorge de la chaine suédoise ressemblait étrangement à un des modèles emblématiques de la marque gantoise (http://tinyurl.com/h3ptm7k - http://tinyurl.com/z87z5kf).
A un clic de cette histoire, on découvre rapidement qu'elle n'est as isolée. Pareille mésaventure est aussi arrivée à l'illustrateur Tuesday Bassen de Los Angeles dont certains dessins ont été repris par la chaine ZARA (http://tinyurl.com/zyxn7wa). Tout comme au bijoutier anversois Studio Collect qui aurait vu un de ses bijoux copié par la marque suédoise COS, qui au demeurant appartiendrait à H&M (http://tinyurl.com/jkvlxze). Et il ne faudrait pas chercher bien loin pour trouver d'autres exemples, comme ceux que j'ai déjà évoqués dans ces colonnes (La guerre économique existe, même entre PME belges - http://tinyurl.com/jb4p4o4 et Guerre économique entre PME: pas que la bière, le saucisson aussi! - http://tinyurl.com/hk535jm).
A ce stade, ne connaissant pas ces histoires, ni le dessous des cartes, il est difficile de prendre position et de formuler des commentaires sur les cas évoqués. On peut toutefois se demander si les (grandes) marques font bien leur boulot, à savoir au minimum:

• briefer leurs créateurs pour qu'ils évitent le plagiat


• s'assurer du respect de la propriété intellectuelle avant de commercialiser un produit

On pourrait aussi interroger les créateurs pour savoir s'ils ont pris en compte les risques de contre-façon et s'ils ont envisagé des pistes de défense (il est vrai que la perspective d'un procès face à des méga multinationales, même gagné d'avance, ne réjouis personne). Parmi les anticipations liées aux risques évoqués dans ce billet, on peut citer, sans être exhaustif:

• le dépôt de modèles


• une large publicité autour des créations, pour l'ignorance des possibles plagiaires, mais aussi du grand public et des clients


• la préparation d'un plan de crise, pour disposer de l'énergie et des ressources pour réagir rapidement et efficacement (par exemple, des relais dans les médias (sociaux) pour diffuser l'information et créer "le buzz"


• le provisionnement des honoraires d'avocats

A la limite, la décision de gestion des risques peut simplement être l'acceptation du phénomène, pour ensuite l'ignorer (et ne pas dissiper inutilement de l'énergie et des ressources dans émotionnelles et matérielles dans un combat difficile) ou en profiter pour créer un coup de projecteur sur son travail et ainsi le rendre plus visible et désirable (s'il est copié, c'est qu'il est pas mal... et cela vaut peut-être la peine de le faire savoir).
Le secret, dans une telle situation, reste la préparation et l'anticipation qui permet de réagir vite et efficacement. C'est vraiment une démarche d'intelligence stratégique.

Le document est vieux d'une bonne dizaine d'années, mais il est toujours pertinent sur le fond. "La problématique de la sous-traitance internationale vue sous l'angle de la propriété intellectuelle" de Donna Ghelfi, administratrice chargée de programme, Division des petites et moyennes entreprises (PME), à l'OMPI nous brosse un aperçu complet des points d'attention important lorsqu'on envisage de sous-traiter une partie de ses activités à l'étranger (http://tinyurl.com/zyzpo4y).
Les recommandations de ce papier n'ont rien d'extravagant ni d'inattendu. On y retrouve les incontournables audit et cadastre des droits de propriété intellectuelle et, dans la foulée, l'importance de la négociation et de la contractualisation des actions de sous-traitance. Il est primordial d'identifier les actifs immatériels, présents et  venir, et de déterminer qui en seront les légitimes propriétaires, et dans quelles conditions.  

Pour nombre d'entrepreneurs, et d'autres, les termes "lobby" et "influence" sont des gros mots, qu'ils ne veulent pas utiliser. Sans doute parce qu'ils sont connotés négativement et qu'ils étiquettent le plus souvent des actions, jugées peu éthiques et peu morales menées par les plus grandes entreprises puissantes auprès des grandes institutions multinationales. Le tout à leur seul profit. Pourtant, la réponse à ces actions de lobby est souvent des actions menées par des groupes de pression plus proches des citoyens, jugées plus éthiques, même si de moindre ampleur, qui doivent elles aussi être qualifiées d'actions de lobby.
Pour faire bref, les actions de lobby (et d'influence) sont menées par des acteurs qui visent à informer les parties impliquées dans des processus de décisions (légales, réglementaires ou autres) en vue d'obtenir une évolution qui penche en faveur (ou le moins possible en défaveur) de cet acteur. Le lobby n'est donc fondammentalement ni mauvais, ni bon. C'est l'intention qui en colore la perception. Les techniques de lobby et d'influence, peuvent être utilisées à tous niveaux de décisions, du local à l'international, et de manière offensive ou défensive (contre-lobby en réponse à du lobby offensif).
Pour la plupart des acteurs, les manières de mener des actions de lobby restent nébuleuses, ce qui explique aussi pourquoi ils restent sur leur réserve et ne se lancent pas. Pourtant, une action de lobby n'est jamais qu'un projet à mener, avec des objectifs, des moyens et un calendrier. Ce que tout entrepreneur maîtrise parfaitement et fait très régulièrement. La partie délicate du processus est probablement celle de l'analyse de l'environnement. Il est, en effet, primordial de bien comrendre à la fois le processus de décision, son calendrier et les acteurs qui y jouent un rôle important, et les différentes parties prenantes qui pourraient interférer et influencer les points de vue. Mais ce "devoir" initial fait partie du projet, au même titre que l'analyse des risques et des bénéfices qui devrait mener à une décision de "go" ou "no go" de l'action de lobby. Notons que la connaissance du calendrier vaut surtout pour les actions de lobby défensif, lorsqu'il faut se synchroniser avec un processus en cours, l'acteur initiant un lobby offensif choisit est plus en mesure de fixer l'agenda.
L'article publié par Ludovic François et Romain Zerbid, début août, dans la Harvard Business Review, "Stratégie d'influence: un plan d'attaque en 8 points" (http://tinyurl.com/hpeol8u) résume bien les différentes étapes d'un projet d'influence:

• formuler un objectif


• cartographier l'environnement


• identifier les acteurs clés


• repérer les leviers de basculement


• identifier les vecteurs


• choisir la séquence de lancement


• analyser les impacts


• ajuster la campagne

La "guerre économique" dans laquelle nous évoluons montre à suffisance que ceux qui osent le lobby ont des avantages sur leurs concurrents, à commencer par le fait de ne pas subir l'environnement, mais bien de de faire évoluer celui-ci dans un sens qui leur permet d'imposer et d'exploiter leurs différences et leurs spécificités. Pour les autres, le premier pas devrait probablement consister en une dédiabolisation du concept de lobby, préalable indispensable au lancement d'actions de contre-lobby efficaces.

On ne souhaite pas être à la place de Véronique qui a tout perdu dans le récent incendie de sa maison. Y compris son ordinateur portable et les clés USB qui lui servaient de back-ups. Pour le malheur de Véronique, son PC contenait les manuscrits d'un roman et de nombreuses nouvelles, et les copies de sécurité étaient sur les clés USB... Heureusement, cette histoire se termine bien pour Véronique, qui doit s'être félicitée d'avoir acquis du matériel de qualité (le disque dur a résisté aux flammes et à la température...), comme nous le raconte cet article du journal La Nouvelle Gazette (Un véritable miracle: Jean-Marc a sauvé le roman de Véronique qu'elle pensait perdu dans l'incendie de son habitation de Silenrieux - 26.06.16 - http://tinyurl.com/zgu4wkr).
Si j'évoque cette histoire c'est que je rencontre régulièrement des individus et des PME qu i vivent dans la même insouciance que Véronique. Ils font des back-ups (ir)réguliers, mais de manière un peu mécanique, sans aller au bout de la démarche. N'oublions jamais que l'intérêt du back-up n'est pas simplement de disposer de la copie des fichiers (lesquels?) mais est surtout d'assurer la continuité du service et de l'activité, et donc la capacité d'accéder et de réutiliser les données et les informations utiles à la poursuite des activités, tout en minimisant les coûts de relance. Dans la sécurisation de ses données, informations et documents stratégiques, il faut garder à l'esprit que conserver les copies de sécurité au même endroit que les originaux présente des risques, comme en atteste l'histoire de Véronique, et que des back-ups illisibles ne servent à rien. Et cette lisibilité est conditionnée par de nombreux facteurs, notamment l'état physique du support des informations et la capacité à relire les supports de back-ups. Cette dernière dépend de la disponibilité d'appareils de lecture, d'ordinateurs capables de piloter des appareils de lecture et de faire tourner les programmes qui permettent d'exploiter ces données.
Dans cet esprit, les questions à se poser (et se rposer à intervales réguliers) sont les suivantes:

• est-il possible de relire les back-ups (le programme de restore est-il fonctionnel?)


• est-il possible de réinstaller et de reconfigurer les programmes de gestion?


• le matériel utilisé ne risque-t-il pas d'être frappé d'obsolescence? (Operating system, disponibilité des prériphériques...)

La meilleure manière d'y répondre est de tester les différents scénarios (cette étape fait souvent défaut).
Vous pensez être à l'abri? Je vous le souhaite. Il n'en reste pas moins que le passé récent a multiplié les exemples d'incidents:

• je ne doute pas que les récentes inondations ont causé de nombreuses défaillances de systèmes informatiques


• je connais un entrepreneur qui a été dans de grandes difficultés consécutives à la défaillance d'une machine pour laquelle il était très difficile de trouver un technicien, un progammeur et un ordintateur pour intervenir sur son code interne


• une de mes connaissance a perdu l'accès à son environnement de travail suite à la corruption de son profil utilisateur (PC + Windows 7)... 

Un récent article du blog du modérateur nous apprend que les "digital natives" sont un peu en délicatesse avec leur présence en ligne (un tiers des 18-34 ne sont pas conscients des résultats d'une recherche portant sur leur nom - http://tinyurl.com/zg5k5t6). Dans la foulée, il met en évidence les dangers que cette situation induit et invite les jeunes, et les autres, à être plus attentifs à l'image qu'ils projettent. Il est vrai que pour les baby-boomers (si,si, il en reste...) et la génération Y les codes ne sont pas les mêmes et que certaines traces peuvent heurter les plus anciens. Au point d'avoir peur d'une possible collaboration?
Bon. il ne faut pas non plus crier au loup! En lisant l'article, il apparaît que moins de 5% des Français interrogés (de 33% de 14%) ont découvert, en se googlant, un ancien profil. Ils ne sont pas plus nombreux à avoir découvert un profil qu'ils pensaient caché ou à être tombés sur des contenus publiés sans autorisation. Le survol de l'enquête de RegionJob 2014 (http://tinyurl.com/hg9o8yo) mise en lien, doit nous aider à relativiser. Celle-ci nous présente des résultats issus d'un panel dont 2/3 des répondants sont proches des jeunes (25-44). Ils partagent donc probablement un certain nombre de codes et se comprennent certainement. La moitié des recruteurs déclarent mener des recherches en ligne sur les candidats (seulement, serais-je tenté de dire...), lesquelles peuvent influencer la décision finale, en mal ou en bien, dans les mêmes proportions. Toutefois, ce que je retiens, c'est que les informations (négatives?) liées à la vie privée des candidats n'interviendraient qu'à concurrence de 28% dans les éléments jouant en leur défaveur. Loin derrière les erreurs (volontaires?) sur la carrière et l'expérience professionnelle (85%) et la (piètre) orthographe (71%), éléments qui sont indépendants de la présence en ligne, bien ou mal gérée...
Par ailleurs, mon expérience de terrain m'incite à croire que les approximations des jeunes en matière de présence sur le Web ne sont pas pires que celles des PME. Dans combien de cas n'ai-je pas attiré l'attention de dirigeants sur la persistance de vieux sites, de comptes de réseaux/médias sociaux peu ou mal alimentés, de discours incohérents... Pour les entreprises, comme pour les individus, la présence en ligne et les éléments qui constituent l'identité et la réputation numériques font partie de leur capital immatériel. Il convient donc de les gérer avec attention. Pour cela, trois conseils:

• ces aspects doivent faire partie des points d'attention du patron


• un responsable opérationnel doit être identifié, avec un ordre de mission clair et du temps (il devrait être le seul à pouvoir ouvrir des comptes au nom de l'entreprise)


• un registre des inscriptions à aux comptes en ligne doit être géré, avec mention des identifiant et des mots de passe

Sans doute parce qu'il y a quelques jours j'ai rencontré un patron de PME en pétard car victime d'un vol de données, de savoir-faire et de secrets d'affaires, se traduisant dans les faits par l'émergence d'une nouvelle concurrence, des tentatives de détournements de clientèle et d'une guerre des prix, ma requête matinale s'est intéressée à l'espionnage en PME. La (bonne?) surprise a été que la requête [pme espionnage] dans le moteur de recherche n'a renvoyé que très peu d'occurrences récentes. L'impression qui se dégage des résultats de cette requête, une baisse de "popularité" du sujet, est confirmée par trends.google. Espérons que cette évolution soit celle des cas d'espionnage dont seraient victimes les PME.
Après, s'agissant de vols de données ou de secrets d'affaires, on a l'impression qu'un grand amalgame est proposé aux responsables d'entreprises, regroupant des risques et des situations assez disparates allant du comportement indélicat d'un employé guidé par l'esprit de lucre aux demandes crapuleuses de rançons en passant par le véritable espionnage industriel ou l'absence de conscience du personnel. Et dans le débat, c'est la cyber sécurité qui impose sa loi et sa logique, probablement car c'est le domaine dans lequel il y a le plus de bénéfices à faire pour les acteurs externes (aux entreprises).
Dans le domaine, j'ai apprécié le récent document de KPMG Switzerland dont on peut assez aisément étendre le propos à la sécurité des données et des capitaux immatériels des entreprises (The five most common cyber security mistakes - http://tinyurl.com/hqtff6h). Les erreurs mises en avant sont:

• il faut assurer la sécurité à 100%


• la mise en place des meilleurs outils assure la sécurité maximale


• les armes et les moyens doivent être meilleurs que ceux des assaillants


• la qualité de la cyber sécurité dépend de la surveillance


• il faut recruter les meilleurs techniciens pour se défendre contre les cyber attaques

KPMG complète cette liste d'erreur d'un tableau comparatif, opportunément caricatural, entre l'attitude commune en matière de cyber sécurité et celle, de bon père de famille, d'un bijoutier.
Ce qui ressort de ceci, c'est que la sécurité des données commence par une prise de conscience, suivies de décisions de gestion, y compris du personnel, pour enfin se terminer par de la technologie. Ce constat est illustré par les résultats d'une enquête récente menée par KPMG auprès d'entreprises suisses et qui montre certaines faiblesses dans les comportements (Swiss companies underestimate the threat posed by cybercrime - http://tinyurl.com/j4na54s). Tout en ne perdant pas de vue les biais de cette étude, notamment le fait que les répondants soient principalement issus du monde financier, on ne peut que s'étonner de ce que:

• plus de la moitié des dirigeants n'ont pas une bonne compréhension des risques engendrés par la cyber criminalité


• plus de la moitié des dirigeants pensent qu'il s'agit d'un problème technique


• dans près de 60% des entreprises la "sécurité" ne rapporte pas au comité de direction (ou au conseil d'administration)


• près de 60% ne sont pas convaincus de la compétence de leurs prestataires spécialisés


• seules 8% des entreprises ont un plan pour répondre aux attaques et le testent; une petite moitié a aussi un plan mais ne le teste pas...

Bref, les malfrats qui ont envie de s'attaquer aux entreprises ont encore de beaux jours devant eux. Et il reste encore beaucoup de travail pour amener les dirigeants d'entreprises à intégrer la dimension "sécurité de l'information" dans leurs schémas de pensée et de gestion. 

la gestion de l'information est un thème qui devrait intéresser tous les chefs d'entreprise. Las, de nombreux d'entre-eux, surtout dans les entreprises de petites tailles, laissent le sujet sur le côté. Il est vrai que, concentrés sur leurs performances économiques, ils négligent un peu ces aspects, par souci de rentabilité ou par ignorance. Il est vrai que la prise de conscience du fait informationnel et la mise en place d'une politique d'entreprise nécessite des ressources en temps, en argent et en compétences que de nombreuses PME ne souhaitent pas engager. Elles préfèrent ignorer ou vivre avec le risque et profiter de toutes informations, d'où qu'elles viennent.
A contrario, les grands groupes se doivent de développer une grande conscience de la problématique de l'information, de son acquisition, de sa protection... Pour eux les enjeux sont de taille et les risques financiers et opérationnels sans commune mesure avec les moyens à engager pour assurer une bonne politique de gestion de l'information. Les dirigeants de PME ont donc beaucoup à gagner à s'inspirer de ce que font les grandes entreprises en la matière, puisqu'il s'agit du résultat d'analyses plutôt complètes et pertinentes des conditions des marchés sur lesquels elles opèrent.
Prenons, à titre d'exemple, le document disponible sur le site du groupe Thalès, le guide des bonnes pratiques en matière de gestion de l'information (http://tinyurl.com/o4oq99p - 2013). Il nous rappelle quelques lignes de conduites importantes:

• la nécessité d'assurer la protection de l'information et de respecter les différentes législations (qui varient selon les pays)


• quatre niveaux de classification des documents (ouverte - usage interne - confidentiel - secret)


• en aucun cas, on n'utilise des informations/documents qui n'ont pas été acquis de manière légale et éthique

Ce document propose aussi un rapide tour d'horizon des environnements législatifs dans les principaux pays européens.

Le propre des crises, c'est qu'en général elles se déclenchent sans crier gare, sans s'annoncer. C'est l'expérience que vit actuellement la siroperie Meurens, entreprise du plateau de Herve, qui fabrique un produit emblématique du pays de Liège, le sirop de Liège.
L'entreprise Meurens en est pleine crise depuis hier. Pourtant, elle ne doit faire face ni à un incident de production (involontaire ou non), ni aux conséquences d'un contrôle moins bon que prévu, pas plus qu'à des soucis financiers. Son produit phare, le sirop de Liège, est toujours fabriqué à partir de la même recette ancestrale faite de poires, de pommes et de dates. Meurens doit bêtement faire face à un bad buzz déclenché par un article de journal mettant en avant la certification halal du produit (http://tinyurl.com/otsd25c, http://tinyurl.com/p2r46tk).
Trahison, honteux, inadmissible... les réactions virulentes fusent dans les réseaux sociaux, allant parfois jusqu'à l'injure ou la menace. Pour certains, la sanction est immédiate: le pot de sirop de Liège, même à peine entamé, vole à la poubelle! Pourtant, cette certification n'est pas neuve, il ne s'agit que d'un renouvellement. Elle n'est pas intrusive et rien n'a été modifié, ni dans la recette, ni dans le processsus de fabrication. Elle se contente de constater que le produit respecte certains prescrits. Elle n'est ni contrainte, ni d'ordre religieux. Elle est simplement stratégique puisqu'elle confirme et ouvre de nouveaux marchés à l'export. Alors, où est le problème? Sans doute dans les relations tendues que nos contrées vivent actuellement avec l'Islam et qui poussent certains à des réactions épidermiques et irrationnelles...
Il est fort probable que le bad buzz reste circonscrit aux limites du plateau de Herve, le marché domestique et historique de Meurens. Mais il pourrait quand même contaminer au-delà. Alors, espérons que les dirigeants de Meurens seront en mesure d'éteindre rapidement l'incendie et que l'incident rappelera à tous les dirigeants de PME que les crises n'arrivent pas qu'aux autres, et qu'il n'es tpas inutile de s'y préparer (http://tinyurl.com/pnvnstz).

La vie d'une entreprise, grande ou petite, ne se résume jamais à un long fleuve tranquille. Que du contraire, elle est faite de hauts et de bas. Gérer une entreprise, c'est flirter avec les risques et les bénéfices retirés de l'activité peuvent être vus comme la rétribution des risques pris. Tout le challenge réside donc dans la capacité des gestionnaires à évaluer et à choisir les risques. Et comme quelques risques ne manqueront pas de se réaliser, il convient de s'y préparer. C'est tout l'objet de cette brochure publiée il y a quelques semaines par la FEB (Fédération des entreprises de Belgique - www.vbo-feb.be). Elle est sobrement intitulée "Gestion de crise - guide pratique" - http://tinyurl.com/ohpw8z5).
Le coeur du message est l'idée de la préparation. L'objectif est de se mettre en position de réagir rapidement et de se mettre en mesure d'éviter les mauvaises décisions prises dans l'urgence et la surprise. La démarche est donc simple:

• identifier les risques potentiels et choisir ceux que l'on va "traiter"


• imaginer le déroulement de la crise


• imaginer les meilleures décisions et actions à prendre, et les personnes à qui les confier


• tester régulièrement les scénarios retenus

Remarquons que les crises régulièrement mises en avant pour illustrer les problématiques de gestion de crise sont souvent de grande ampleur: incendie, crise alimentaire... Pourtant, les crises peuvent être plus modestes et fréquentes. Il en va ainsi des clients mécontents. Et si cela devait vous arriver? Etes-vous en mesure de réagir rapidement? Votre personnel sait-il comment il doit réagir ou bien vous laisserez-vous porter par les événements?

Lorsqu'il s'agit de parler de sécurité informatique, le discours est quasi monopolisé par ceux qui traitent des activités de bureau (secteur tertiaire) ne laissant à l'informatique industrielle qu'une portion congrue du temps de parole disponible. Pourtant, cette branche des systèmes d'information n'est ni négligeable, ni exempte de risques.
En france, l'ANSSI (Agence nationale de la sécurité des systèmes d'information - http://www.ssi.gouv.fr) s'intéresse légitimement à la question. Et dans le cadre de ses missions, elle a publié, il y a quelques années un guide traitant explicitement de la sécurité des systèmes d'information industriels (Maîtriser la SSI pour les systèmes industriels - juin 2012 - http://tinyurl.com/nzcf7tp). Ce guide a notamment pour objectif de pourfendre certaines idées reçues sur la pertinence d'alourdir l'informatique embarquée de fonctinonalités de sécurité.
J'en retiens le point de vue selon lesquels la SSI doit être proportionnée aux enjeux et donc coûter moins cher que l'impact d'une possible attaque. Avec, à titre de rappel, la conclusion tirée de l'expérience que la sécurité coûte d'autant moins chère qu'elle est prise en compte plus en amont du développement. Et pour nous aider à mieux évaluer les conséquences d'une attaque ou d'ubne défaillance, et donc l'opportunité de renforcer la sécurité des systèmes industriels, le document nous liste et nous explique les impacts potentiels:

• dommages matériels et corporels


• perte de chiffres d'affaires


• impacts sur l'environnement


• vol de données


• responsabilité civile ou pénale


• impact sur l'image et la notoriété 

Surfant un peu sur l'actualité, et les différentes attaques informatiques dont ont été victimes ces derniers jours, quelques médias francophones, je vous invite à vous interroger sur le degré de préparation de votre organisation et de sa capacité à faire face à de possibles crises. Le pire, dans une crise, n'est sans doute pas la crise elle-même, mais plutôt les conséquences de mauvaises réactions. Il y a d'ailleurs des crises qui n'évoluent pas, qui semblent s'éteindre toutes seules. Ce sont souvent celles qui ont été anticipées et qui ne prennent pas l'entreprise au dépourvu.
La théorie, les mots-clés, vous les connaissez: anticipation, préparation et gestion de crise. Pourtant, de nombreuses entreprises affrontent des crises sans préparation. La faute, probablement, à l'idée, pas forcément fausse, que toute préparation requiert des ressources en personnes, en temps et en argent. Mais parfois, ce sont des actions simples et peu onéreuses qui peuvent prévenir les risques et leur survenance. Le tout est de bien faire la balance entre les ressources engagées et les pertes (les dégats) potentiels.
Pour nous aider à identifier les riques potentiels liés aux systèmes d'informations et aux activités sur Internet, la CCI de Carcassonne a publié, en ce début 2015, un guide de "gestion de crise" (http://tinyurl.com/nywfbn5). En mettant l'accent sur les verbes (actions), ce document nous invite à prendre les actions utiles pour réduire les risques et leurs conséquences. Cela vaut la peine d'y jeter un coup d'oeil, ne fut-ce que pour identifier des quick-wins, ces actions faciles, rapides et pas chères qui peuvent déjà avoir un impact considérable sur les risques et leurs impacts.

L'un des trois piliers de l'intelligence stratégique est la protection des capitaux immatériels et intangibles de l'entreprise. Très naturellement, dans ce domaine, les regards se portent vers les procédés et secrets de fabrication ainsi que les marques. Il y a pourtant, selon les cas, bien d'autres choses à protéger.
Un des capitaux immatériels que bien des entreprises ont à protéger, ce sont les personnes, dont certaines sont vraiment les piliers de leurs organisations. Les accords de distributions, d'exclusivités, de locations, les engagements (réciproques)... meritent aussi d'être l'objet d'attentions voire de contrats renforcés.
Un des domaines les plus souvents oubliés par les chefs d'entreprises est liés à leur identité numérique et leurs présences en ligne (réseaux sociaux), comme nous le rappelle ce récent article des Echos, "L'épineux problème de l'héritage à l'ère numérique" (18.03 - http://tinyurl.com/nat6o8z). Il nous met en évidence la délicate situation problématique du flou existant autour de la transmission des comptes, des données et des fichiers d'un décédé à ses héritiers. C'est en effet un aspect de la gestion des comptes utilisateurs que les services en ligne ne gèrent pas encore au mieux des intérêts des utilisateurs.
Sans aller dans ces extrèmes, j'ai jusqu'à présent, rencontré beaucoup plus de chefs d'entreprises ayant rencontré des soucis en lien avec leur présence en ligne que ceux qui se sont emparés de la problématique. A ce jour, les problèmes les plus régulièrement rencontrés concernent la gestion du site Web. Je ne compte pas le nombre de sites obsolètes que les entreprises ne parviennent pas à supprimer par ignorance des codes d'accès aux espaces d'hébergement. Je ne compte pas non plus le nombre de fois où les entrepreneurs ont perdu le fil de la gestion de leur site suite aux mutations chez leur fournisseur de service (rachats, faillites...) ou même dans leur propre entreprise. Une autre situation fréquente est celle des comptes en ligne ouverts au nom de l'entreprise par un tiers (l'agence Web) qui en garde la maîtrise et donc la proporiété. c'est très régulièrement le cas des comptes de statistiques.
Le conseil, qu'on doit donc donner aux chefs d'entreprise, est donc de reprendre en main la gestion de ces éléments de propriétés immatérielles de leur entreprise. Parmi les actions à) prendre:

• interdir à tous les acteurs, employés ou tiers, la création de comptes au nom de l'entreprise, quels qu'ils soient, sans leur autorisation


• prévoir contractuellement que pour les comptes créés au nom de l'entreprise, les sous-traitants doivent transmettre les codes d'accès des comptes administrateurs


• tenir un inventaire des comptes ouverts au nom de l'entreprise, les URL des comptes, les codes d'accès et l'identité de la personne en charge de la gestion; dans le cadre de cet inventaire, il est utile de s'assurer, à intervales réguliers que les identifiants et mots de passe sont toujours valables


• en cas de fin de contrat d'une personne en charge de la gestion opérationnelle d'un de ces comptes, par exemple le Web master ou le community manager, prévoir une interview de sortie pour récupérer les identifiats des comptes et modifier les mots de passe des comptes administrateurs.

Ces précautions sont de nature à limiter les risques et les conséquences de conflits qui sont encore mal compris des usagers et de la justice, qui a encore des difficultés à déterminer, par exemple, à qui appartiennent les amis et les suiveurs d'un compte (au titulaire du compte, au titulaire de la marque...?)

Non, C'est une blague!
En tous cas, moi qui suis au contact de chefs d'entreprises depuis plusieurs années et qui, en tant que conseiller en intelligence stratégique,  ait l'occasion de parler avec eux des problématiques de sécurité de l'information, mon évaluation est très, très inférieure à ce chiffre alarmiste. Pourtant, je rencontre ces chefs d'entreprises sous couvert d'engagements de confidentialité et dans le cadre d'événements dédiés à la protection du capital immatériel des entreprises. Et même dans ces cadres privilégiés, ils sont très rares ceux qui évoquent d'éventuelles mésaventures dans le domaine.
Cette affirmation qui circule depuis quelques semaines sur le Web trouve sa source dans un document officiel de la Commission Européenne qui cite les résultats d'une étude réalisée par le cabinet d'avocats Baker & McKenzie. Le document en question est intitulé "Study on Trade  Secrets and Confidential Business Information in the Internal Market" et date d'avril 2013 (130711_final-study_en.pdf - http://tinyurl.com/k3af37e). Il y est dit que "Over the last 10 years, about one in five respondents has suffered at least one attempt at misappropriation within EU countries and nearly two in five (38% affirmative responses) feel that the risk has increased during the same period. Companies experiencing such acts are found mainly in the chemical, motor vehicle, and pharmaceutical sectors."
On trouve déjà pas beaucoup plus de nuances dans cette phrase:

• une entreprise sur cinq, certes, mais sur un période de 10 ans, ce qui signifie qu'en moyenne annuelle, cela ne représente plus que 2,5% des entreprises


• ils s'agit d'entreprises ayant fait l'objet de tentatives, elles ne sont donc pas toutes "victimes"


• on parle de "misappropriation" (appropriation illégale?), terme qui n'est pas synonyme d'espionnage industriel


• les secteurs industriels concernés sont principalement la chimie, les véhicules motorisés et le pharmaceutique

On lit par ailleurs que "537 responses to the survey were received from EU firms". En d'autres termes, l'échantillonnage n'est pas vraiment représentatif. Pas plus que le mien, d'ailleurs, qui est principalement wallon et composé de petites entreprises en dehors des secteurs de la chimie, de l'automobile et de la pharmacie. Et il apparaît également que le terme industriel n'est pas approprié puisque les secrets les plus convoités ne concernent pas tant les moyens de production que des informations commerciales et stratégiques. Je ne nie évidemment pas le besoin d'harmonisation des législations relatives à la protection des informations des entreprises et du secret des affaires mais je ne suis pas sûr qu'on puisse régler le problème en faisant peur à tout le monde avec de telles affirmations outrancières. J'ai déjà assisté à de nombreuses conférences et il est intéressant de voir les figures déconfites des patrons de PME lorsqu'on leur présente les risques d'espionnage et les moyens de défense sous la forme de barbouseries. Ils ne se sentent absolument pas concernés, et ils ont raison! Leurs problématiques en matière de protection de l'information et de leur capital immatériel sont ailleurs. Par exemple:

• comment retenir dans l'entreprise les informations et les connaissances tacites détenues par une ou deux personnes clés?


• faire prendre conscience à l'ensemble du personnel qu'il y a de l'information qu'il est préférable de ne pas communiquer à l’extérieur


• il y a des risques évidents qu'il faut gérer pour pouvoir réagir adéquatement lorsqu'ils surviendront (c'est-à-dire en fonction des ressources disponibles); il faut donc identifier et évaluer ces risques

Enfin, on pourrait s'étonner que pour réaliser une telle étude, qui vise à renforcer la position concurrentielle des entreprises européennes, connaissant la porosité des entreprises américaines et leurs capacités d'influence, on ait confié le marché à un cabinet d'avocats US. Il y a vraiment de quoi se demander si les instances européennes ne souffrent pas d'un certain aveuglement...