Défensif

Tel est le sujet de cet excellent site dédié à la sécurité informatique: Security in-a-box (http://security.ngoinabox.org/fr). Il est l'œuvre d'une ONG internationale (http://www.tacticaltech.org/) dont l'objectif est d'aider les défenseurs des droits de l'homme à utiliser l'information et les technologies digitales dans leurs combats. Leurs conseils sont évidemment aussi pertinents pour votre entreprise et pour vous aider à protéger vos données.
Le site security in-a-box vous propose trois grands chapitres:

• des livrets pratiques
• des guides pratiques
• un regard sur la sécurité portable

On y trouve des informations pour sécuriser nos communications, nos échanges d'informations, nos sessions sur Internet, nos mots de passe...

Le touareg, quand il installe son camp dans le désert, déploie toujours la même stratégie de protection. Il assure d'abord la protection de sa tente, puis celle du camp contre les attaques extérieures. Ensuite, seulement, il ira explorer plus loin à la recherche de nourriture et de vivres. Cette stratégie a été prise comme exemple et analogie de la stratégie à mettre en place dans le cadre de la protection des entreprises, dans des démarches d'intelligence économique défensive. C'était à l'occasion du colloque "Intelligence économique & Compétition Internationale", en novembre 2006, plus particulièrement par Jean-Hugues Vasen et Bruno Poyet, à l'occasion de leur intervention intitulée "Veiller futé à l'International".
Leur intervention est disponible sous forme d'acte (http://www.esce.fr/web_fr/fichiers_PDF/Vasen_Poyet_IECI_2006.PDF) et est intéressante à lire. Pas seulement pour plus de précisions sur la stratégie du touareg, mais aussi parcequ'elle regorge d'exemples (réels) mettant en évidence des mécanismes de fuite d'information et leurs conséquences. L'objectif n'est pas de vous faire sombrer dans la paranoïa, mais d'attirer votre attention sur les risques et vous inviter à colmater les principales brèches existant dans votre entreprise. En commençant par celles qui sont les plus proches de vous, en application de la stratégie du touareg.

On considère souvent que les pratiques d'intelligence économique (ou stratégique) sont composées de 3 volets:

• un volet offensif (la veille stratégique)
• un volet défensif (la protection de l'information)
• un volet influence (l'utilisation de l'information dans des opérations d'influence)

C'est du premier volet que nous traitons le plus dans ces colonnes, mais nous n'oublions pas les autres.
Lorsqu'on parle d'intelligence économique défensive aux entreprises, on attire leur attention sur le fait que l'intelligence stratégique est une pièce à deux faces:

• recto, la recherche d'information
• verso, la publication d'information

Les entreprises se doivent donc d'être attentives prendre le moins de risques possibles en:

• encadrant strictement les visites dans l'entreprise
• évitant de jeter négligemment les documents d'entreprise
• évitant de discuter "business" dans les endroits publics (restaurants, trains, ascenseurs...)
• en briefant correctement le personnel présent sur les salons
• en responsabilisant les employés...

Une anecdote récente vient de nous rappeler que l'on oublie régulièrement les tiers qui disposent d'information, et plus particulièrement les fournisseurs.
Ainsi, nous avons rencontré, il y a peu, un "partenaire" qui nous a entretenu de l'avancement d'un de ses projets en nous expliquant tout particulièrement qu'ayant opté pour une politique de la discrétion, ils ne souhaitaient pas communiquer avant que tout soit nickel. Ce partenaire travaille notamment à la réalisation d'un site web qui devrait être rendu public dans quelques semaines. Dont acte.
Seulement voilà, suite à la maladresse d'un de ses fournisseurs, nous avons eu la possibilité de visiter le prototype du site web et nous pouvons imaginer que d'autres acteurs ont aussi aujourd'hui cette opportunité. Dans ce cas-ci, il est peu probable qu'un concurrent fasse l'effort d'étudier ce site en profondeur et prépare d'ores et déjà sa réplique, mais le risque s'est accru considérablement.
En conclusion, n'oubliez pas que la protection de vos informations est un challenge important et d'autant plus difficile qu'on ne sait jamais prédire où se produira la fuite. Il convient donc d'envisager toutes les hypothèses...

L'intelligence économique, ce n'est pas seulement collecter des informations relatives à l'évolution de l'environnement et aux activités des concurrents. L'IE, c'est aussi ne pas faciliter la tâche de ceux qui surveillent leur environnement et leurs concurrents, dont vous êtes probablement. Faire de l'intelligence économique, d'est donc aussi protéger les données de son entreprises.
Un problème classique, dans ce domaine, est que un grand nombre d'entreprises, et surtout le majorité de leur personnel, ne sont pas conscients de l'existence de ces données confidentielles. Dans ces conditions, il devient très difficle de les protéger. C'est la raison pour laquelle la Gendarmerie française est chargée d'éduquer les entreprises françaises.
Notre excellent confrère sphere ie nous a proposé, il y a quelques jours, un billet  (Maîtrise de l'information: un nouveau guide pratique http://tinyurl.com/bewxy2) donnant accès à un nouveau de la Gendarmerie destiné à aider les PME à prendre conscience et à prendre les premières mesures (qui sont les plus simples et les plus efficaces). Au rang de celles-ci:

• Avez-vous identifié le savoir-faire le plus stratégique pour votre entreprise?
• Détruisez les documents confidentiels devenus inutiles
• Aménagez un lieu d'accueil spécifique et non sensible
• Contrôlez les informations adressées aux partenaires économiques de l'entreprise
• Cryptez les informations transmises par courrier électronique depuis et vers l'entreprise
• Méfiez-vous des adresses électroniques inconnues
• Faites faire le nettoyage en présence de vos salariés pour éviter les vols et les indiscrétions... 

La sécurité informatique est un sujet difficile puisque d'un côté on nous dit combien elle est importante et combien on devrait y consacrer de l'attention, et de l'autre côté, si l'on en croit les échos dans la presse, on a l'impression que très peu d'entreprises se font réellement prendre.
J'invite tout le monde à prendre connaissance de et article et de cette video (pour la video complète, voir l'article dans Veille.ma), une interview d'un spécialiste en sécurité et détection de failles de sécurité. Si vous regarder cette video attentivement, et quelque soit votre niveau de responsabilité (chef d'entreprise, responsable réseau, utilisateur...), vous ne manquerez pas de sentir des perles de sueurs froides parcourir votre dos.
A retenir de cette leçon:

• il y a toujours une faille, il est surtout important de savoir de qui se protéger - voici une petite typologie des pirates
• le pirate du dimanche (à la recherche de reconnaissance)
• le pirate professionnel (free lance - revend les informations)
• le pirate professionnel (qui honore une commande)
• plus l'entreprise est grande, plus il y a des risques
• le maillon faible est le plus souvent l'utilisateur
• les machines n'intéressent pas les pirates et ne sont pas à l'origine de grands dégâts; ce sont les informations détenues par les personnes clés (patron, secrétaire du patron, comptable...) de l'entreprise qui intéressent les pirates et qui sont potentiellement à l'origine des plus grands dégâts financiers

01net - Test d'intrusion : quelles sont les méthodes ?
http://www.01net.com/editorial/397282/test-d-intrusion-quelles-sont-les-methodes-./
langue: français
accès: gratuit

Veille.ma - On peut s’introduire dans un réseau à l’aide d’un faux livreur de pizzas
http://www.veille.ma/+On-peut-s-introduire-dans-un+.html
langue: français
accès: gratuit

L'intelligence économique, ce n'est pas que de la recherche d'information. C'est aussi la gestion de sa propre information, pour s'assurer que ceux qui cherchent de l'information sur vous trouvent "la bonne" information. Cette activité d'intelligence économique "défensive" n'est pas nécessairement de la désinformation, c'est souvent simplement la mise en place d'une stratégie d'occupation d'espaces informationnels visités par les internautes.
Il est toujours bon de maîtriser son image numérique, que ce soit personnellement ou au niveau de sa société (organisation) ou de ses marques.
Sans surprise, une stratégie complète de gestion de son image numérique comprendra:

• un volet de stratégie de présence et d'occupation d'espace
• un volet de surveillance (identification d'événements susceptibles de porter atteinte à l'image numérique)
• un volet DRP (Desaster Recovery Plan), pour pouvoir réagir rapidement dans le cas d'une atteinte à la réputation potentiellement importante

A cet égard, le Journal du Net à publié, début avril 2008, un article intéressants sur le sujet: http://bsfda05.notlong.com.

Je dois avouer avoir été surpris par la lecture de ce billet d'il y a quelques semaines de Guy Gweth sur son blog dédié à l'intelligence économique (http://bsfd81.notlong.com). La raison? Ce billet, qui se présente comme une fable africaine sur le danger, pour les données de l'entreprise, des clés USB.
Ce billet nous raconte comment l'auteur, en "perdant" une clé USB, a pu s'introduire dans les ordinateurs d'une entreprise cible, pour y accéder aux données confidentielles (s'agissant d'une opération expérimentale, les données n'ont pas été utilisées, et le management mis au courant). Bien sûr, lorsqu'on porte les lunettes de l'intelligence économique (défensive), il s'agit d'une invitation claire à protéger les ordinateurs et à bloquer les ports USB. Par contre, lorsqu'on chausse les lunettes d'un consultant prestant en entreprise, il y a de quoi s'inquiéter. Au fil du temps, il devient de plus en plus difficile d'utiliser ses outils chez les clients qui bloquent les connexions réseau, les ports USB, les accès internet...
Les entreprises sont clairement face à un défi de taille: comment protéger l'information en impactant le moins possible les outils de travail de ses collaborateurs? Il y a certainement mieux à faire que de simplement fermer toutes les portes.

De nombreux chefs d'entreprise, principalement dans le monde des PME-PMI, n'ont pas encore pris conscience de la valeur de l'information de leur entreprise (et ne la protègent pas). Pourtant, nombreux parmi ces dirigeants sont ceux qui souhaiteraient en savoir plus sur leurs concurrents, leurs politiques, leurs coûts..., histoire d'être en mesure de remporter plus de contrats plus facilement.
La plupart des entreprises collectent de l'information sur leur environnement. Non organisée, cette collecte est souvent peu efficace. Un certain nombre de patrons ont engagé leurs entreprises dans des démarches plus organisées et structurée, qui en général portent leurs fruits. Il s'agit de politiques qualifiées, aujourd'hui, d'intelligence économique (offensive). Quelques patrons moins scrupuleux n'hésitent pas à franchir la ligne blanche et s'engager dans des politiques d'espionnage économique. Et ceux-ci ne s'intéressent pas qu'aux grandes entreprises. J'en veux pour preuve la mésaventure de la société Cuir CCM, qui nous est rapportée par le blog IE Love PME, et qui victime d'espionnage industriel pendant près de 10 ans, en a vu son chiffre d'affaires divisé par 3.
Ceci nous permet de rappeler que l'intelligence économique s'intéresse aussi à la protection de l'information et du capital intellectuel des entreprises. Et Brainsfeed peut vous aider à progresser dans les 2 volets de l'IE:

• collecte, analyse de l'information, pour progresser plus vite que la concurrence
• protection de l'information, pour éviter de faciliter le travail des concurrents

http://ielovepme.blogspot.com/2008/05/carvin-une-pme-se-fait-piller-toutes.html
http://ielovepme.blogspot.com/2008/05/tmoignagne-du-directeur-de-cuir-ccm.html

La guerre de l'information existe, et fait rage! Et même si on en parle le plus souvent dans un contexte de grands groupes et de grands contrats, elle peut également affecter les PME. C'est le sujet de la dernière livrée de l'émission 'Intelligence Economique" de France 24 (http://bsfd58.notlong.com).
Dans cette émission, des étudiants de l'Ecole de Guerre Ecoomique nous livrent le résultat de leur travail sur la bataille de l'information qui fait rage autour du juteux contrat d'avions ravitailleurs pour le Pentagone (US Air Force) remporté par EADS à la barbe de Boeing. Les armes? Influence, mensonges, amalgames... L'émission se termine par une interview de Eric Delbecque (secrétaire général de l'IERSE) qui nous rappelle que les PME sont aussi victimes de ces combats et nous donne quelques premiers conseils:

• anticiper la crise
• faire de la veille pour repérer et identifier les offensives informationnelles
• identifier et cartographier ceux qui pourraient vous vouloir du mal
• mettre en place une stratégie de communication d'influence (pour limiter les effets d'une attaque)
• pour les PME, mutualiser les efforts pour en réduire les coûts

Telle est l'information qu'on peut déduire de la coupure de presse relayée par le blog blogsetie (http://blogsetie.blogspot.com/2008/05/formation-ie-une-bonne-initiative-pour.html). Celle-ci évoque un ouvrage collectif dédié à la sécurisation des informations de l'entreprise (IE défensive). Ce livre est le résultat d'une initiative de Nicolas Loinet, professeur au Master d'Intelligence economique à l'Icomtec, qui a demandé à ses étudiants d'étudier la question et de formaliser leur synthèse.
Ce livre, qui doit être publié en octobre 2008 (L'Harmattan) s'annonce intéressant, pour toutes les entreprises. Certainement si comme le laisse entendre l'encart, une entreprise sur 7, en France, chaque année, décède suite à un sinistre informationnel (cela me paraît tellement énorme!?!). Dans ce cas, il est urgent de prendre des mesures.

P.S.: l'objectif de la formation est de rendre les étudiants paranos!

Le magazine DataNews nous mettait en garde, en début de mois (http://bsfd37.notlong.com), contre le droit que se sont arrogés les Etats-unis de vérifier le contenu des mémoires magnétiques entrant dans leur territoire. En clair, cela signifie que les autorités US peuvent vous demander d'examiner le contenu de votre PC portable, de vos disques durs portables, téléphones, MP3, cartes mémoires... et de décrypter tout contenu crypté. Cela me rappelle une information d'il y a quelques temps, je n'ai malheureusement plus la référence, qui nous révélait que les voyageurs professionnels, dans certains aéroports,se voyaient confisquer leurs PC portables, parfois pendant plusieurs heures...
Et n'oublions pas que, avec l'aval de la Commission Européenne, Oncle Sam s'est aussi arrogé le droit de collecter des informations privées sur tous les voyageurs entrant sur leur territoire. Parmi ces informations, votre n° de carte de crédit et votre adresse e-mail, qu'il peut, bien entendu surveiller, si le coeur lui en dit (http://bsfd38.notlong.com).
Ces pratiques ne peuvent que nous choquer, nous Européens qui avons érigé la liberté de circulation des des personnes, des fonds et des informations en droits fondamentaux.
Dans une optique d'intelligence économique défensive, il est important de s'assurer de la confidentialité des informations de l'entreprise. A la lueur de ces nouvelles, le challenge devient de plus en plus difficile pour les voyageurs internationaux, certainement à destination des US. Passer des supports magnétiques en fraude n'est assurément pas une option pertinente et pourra (sans doute) vous mener en taule. Utiliser des applications et stockage on-line est une meilleure idée, pour peu que les données ne soient pas sous législation US (faute de quoi, on peut parier qu'Oncle Sam a ussi le droit d'aller fouiller dedans). Reste, pour ceux qui en ont les moyens, le stockage "privé" accessible via VPN.
Dans quel monde vivons-nous?
Les américains nous répondrons que grâce à GW Bush, nous vivons dans un monde plus sûr...