La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

© 2005 « Intelligence économique » et sécurité de linformation : Equilibre entre impératifs sécurité et stratégie dentreprise Net.

Présentations similaires


Présentation au sujet: "© 2005 « Intelligence économique » et sécurité de linformation : Equilibre entre impératifs sécurité et stratégie dentreprise Net."— Transcription de la présentation:

1 © 2005 « Intelligence économique » et sécurité de linformation : Equilibre entre impératifs sécurité et stratégie dentreprise Net Focus France juin 2005 à Paris Bruno KEROUANTON Responsable Sécurité & Nouvelles Technologies Clear Channel France

2 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

3 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

4 © 2005 De lère industrielle… Dans le monde industriel du XIX ème siècle : Ce sont les machines et les outils qui créent la richesse.

5 © 2005 … à lère de linformation Au XXI ème siècle, linformation est essentielle pour lentreprise. Idées, concepts, brevets, savoir faire, etc. Contribuent à la richesse de lentreprise.

6 © 2005 Un premier constat pessimiste Postulat : Lère numérique a considérablement amélioré la communication de linformation en temps réel (média, réseaux, etc.) ET Les informations sont infiniment plus nombreuses (bases de données, etc.), et leur valeur augmente DONC Les fuites et vols dinformations sont beaucoup plus fréquents… (et le seront de plus en plus ?)

7 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

8 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

9 © 2005 LIntelligence Economique aux Etats-Unis Dispositif très puissant intégré au cœur de létat : –Acteurs publics : Department of Justice, Defense, State, Commerce, etc. –Renseignement : NSA, DIA, CIA, FBI etc. –Acteurs privés : investigation (Kroll), auditeurs, etc. Collaboration public-privé efficace : –Think-tanks influents (Rand) –Aides aux entreprises : Lois (Economic Espionage Act) fonds dinvestissements (In-Q-tel) Aide à lexport (advocacy centers) Etc. –Circulation des hommes Mécanisme rôdé depuis 20 ans !

10 © 2005 LIntelligence Economique : Made in U.S.A. ! La mentalité des américains favorise lIE : –Patriotisme –Respect de linstitution, respect de lentreprise –Sentiment de suprématie Les employés US font naturellement de lIE !

11 © 2005 Documentation aux USA Nombreux ouvrages disponibles Discipline « banalisée » Lien fort entre quatre domaines : CompetitiveIntelligence BusinessIntelligence Counter-Intelligence IndustrialEspionage Les auteurs (et acteurs de lIE) sont très souvent issus du monde des services gouvernementaux !

12 © 2005 Quelques définitions La « Business Intelligence » correspond à des méthodes de collecte dinformation dans le domaine économique, permettant de valoriser des données brutes en information, puis en savoir, dans le but de maintenir un avantage concurentiel. La « Competitive Intelligence » sert à acquérir un avantage compétitif majeur en étudiant les données de son/ses concurrents sur un marché donné. Lespionnage industriel est une forme de « Business Intelligence » qui utilise des techniques détournées. Il y a une zone grise entre « business intelligence » normale et espionnage industriel. Source :

13 © 2005 Lintelligence économique en France France : La Grande Pagaille Des officines plus ou moins douteuses, Des organismes de formation méconnus, Le rôle de lEtat mal compris, Beaucoup de discussions, peu dactions, Confusion entre espionnage et IE, Et lIE est contraire à la mentalité française… « … Et de toute façon cest inutile, les français nont pas besoin de cela : on a bien le TGV et lA380, donc on est les meilleurs, non ? »

14 © 2005 LIE en France : du concret ? 1994 : Rapport Martre « Intelligence économique et stratégique des entreprises » Indifférence générale… 2001 : Alain Juillet Nommé « Haut Responsable pour lentelligence économique » au SGDN. Scepticisme… 2003 : Rapport Carayon « Intelligence économique, compétitivité et cohésion sociale » Début de prise de conscience ! I E

15 © 2005 Le référentiel de formation en IE Publié en janvier 2005 Par Alain Juillet (Haut fonctionnaire Intelligence Economique au SGDN) LIE : Cinq pôles dexpertise : 1.Environnement international et compétitivité. 2.Intelligence économique et organisations. 3.Management de linformation des connaissances. 4.Protection et défense du patrimoine informationnel et des connaissances. 5.Influence et contre-influence.

16 © 2005 Comprendre lenvironnement 1. Environnement international et compétitivité Comprendre lenvironnement Connaître et comprendre les problé- matiques liées à la globalisation et à la société de linformation. Maîtriser les clefs de lecture géo- politiques et géo-économiques permettant déclairer les stratégies des acteurs publics et privés.

17 © 2005 Sensibiliser et animer 2. Intelligence économique et organisations Sensibiliser et animer Définir les enjeux et présenter lIE comme un facteur clé de succès pour la réalisation des objectifs stratégiques des organisations. Organiser et animer des séminaires internes de sensibilisation. Elaborer et mettre en œuvre des méthodes et outils daudit et de gestion du système dintelligence économique.

18 © 2005 Maîtriser le cycle de linformation 3. Management de linformation et des connaissances maîtriser le cycle de linformation Identifier et exprimer les besoins de lorganisation en information. Mettre en œuvre, animer et piloter un dispositif de recueil, dexploitation et de diffusion de linformation en adéquation avec léchelon décisionnel. Mettre en œuvre un dispositif de mémorisation et de capitalisation des connaissances.

19 © 2005 Protection du patrimoine informationnel 4. Protection et défense du patrimoine informationnel Gérer le risque et protéger Identifier et maîtriser les enjeux et risques de linformation, ainsi que les méthodes, techniques et outils liés à la protection du patrimoine informationnel. Définir et mettre en œuvre une politique de sécurité. Mettre en place et piloter une cellule de gestion des crises.

20 © 2005 Maîtriser le cycle de linformation 5. Influence et contre-influence Maîtriser la communication Identifier les risques informationnels (rumeurs, désinformation, manipu- lation), ainsi que les actions défensives de lIE. Identifier et comprendre les probléma- tiques liées aux stratégies dinfluence, de contre-influence et de lobbying. Détecter et contrer la manipulation de linformation

21 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

22 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

23 © 2005 Le cycle de lintelligence économique Direction générale Métiers Cellule veille Experts, Consultants Cellule veille Réseaux humains Direction SI Communication Direction SI RSSI

24 © 2005 Les différentes veilles technologique boursière juridique sociale sociétale commerciale concurrentielle stratégique pédagogique brevets propriété intellectuelle géopolitique média Veilles financière De nombreuses veilles Très spécialisées Expertise requise Veilleur Cest un métier à part : Le Veilleur etc. !

25 © 2005 Le métier de « Veilleur » Responsable de la cellule de veille Formation initiale souvent littéraire (documentaliste, etc.) Bonne connaissance du métier, des clients, ancienneté dans lentreprise. Esprit dorganisation, de synthèse Les RSSI sont assez rarement « veilleurs » IE. Formation « initiale » IE rarement prise en considération à lembauche. Les meilleurs « veilleurs » sont des anciens du métier !

26 © 2005 Les réseaux humains Le « vrai » moteur de lIE : les réseaux humains (HUMINT) Groupes dinfluence Renseignement, lobbying, dynamique de groupe Forums internet, club utilisateurs, etc. Think-tanks (« réservoirs de réflexion ») Rassembler les compétences échange de savoirs, lobbying, influence Ingénierie sociale Pas forcément négative Salons, téléphone et contact direct Attention à ne pas aller trop loin ! Capitaliser sur les réseaux humains Surveiller les groupes dinfluence

27 © 2005 Le rôle du DSI Rôle du Directeur des Systèmes dInformation Fourniture doutils SI de : Collecte Crawlers, abonnements BDD, etc. Traitement Data-mining, analyseurs sémantiques, etc. Archivage Bases de données, indexeurs, etc. Diffusion interne Intranet sécurisé

28 © 2005 Le rôle du RSSI Rôles du Responsable Sécurité des Systèmes dInformation Conseiller la DSI sur les choix doutils IE aspects sécurité, pertinence, etc. Apporter son support à la cellule veille : anonymiser les processus de collecte, déceler les pièges, etc. Protéger le traitement et la diffusion de linformation Rôle normal du RSSI, cela dit ! (chiffrement, isolation etc.) Sensibiliser, conseiller, former les acteurs IE en sécurité Culture sécurité, nomadisme, charte, etc. Participer aux processus de gestion de crise IE Plan de crise, association avec le plan de continuité dactivité

29 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

30 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

31 © 2005 Le patrimoine informationnel Concerne tous les domaines : Brevets, savoir-faire, procédés de fabrication Risque de contrefaçon ou clonage Recherche et développement, prospective Risque de vol de concepts innovants Historique, bases clients et prospects Risque de détournement de clients Données financières et stratégiques Risque de déstabilisation, OPA, etc. Données personnelles Atteinte à la vie privée, risque légal (CNIL) Etc. …et là, le DG ne dort plus du tout !

32 © 2005 Fuite involontaire dinformation Mauvaise compréhension des mécanismes de diffusion et de stockage de linformation sur Internet. Nomadisme et télétravail, portables volés, clefs USB perdues, etc. Logiciels et outils mal conçus, provoquant des fuites dans les documents. Etc. Solutions Former et sensibiliser. Mesures techniques (audits, protections)

33 © 2005 Fuite volontaire dinformations Risque faible, mais conséquences importantes. Motivations de la personne indélicate Argent, ego, amour, pouvoir, pressions Permet parfois de retrouver lindividu par déduction. Détection et suivi difficiles, mais possibles Nécessite vigilance, temps, rigueur et souplesse. Ex : insertion de « traceurs » dans linformation pour suivre son cheminement. Dénouement A lamiable (discret) ou procès (retentissant).

34 © 2005 etc… etc… etc… etc… etc… Affaire DuPont (1989) 5 personnes impliquées pour vol de procédés de fabrication de lélasthane (Lycra), exigeant 10M$ en échange des documents. Se finit en course poursuite autour du monde puis arrestation des malfaiteurs par le FBI et la police helvète. Affaire Lopez (1993) Un cadre de Volkswagen fournit des documents confidentiels à General Motors. Arrangement amiable entre les deux constructeurs automobiles : Volkswagen contraint dacheter 1,1 Mds $ de pièces détachées auprès de GM en compensation. Affaire Gemplus (2002) Le conseil dadministration du leader mondial de cartes à puces et fleuron de lindustrie française passe sous contrôle américain. Lensemble des rouages du dispositif américain dIntelligence Economique est utilisé à cette fin, mais la France réagit trop tard et perd le contrôle de Gemplus. Affaire Sté Panou-panou (fiction !) Une PME industrielle décide de délocaliser son support téléphonique en Asie. Tout se passe bien au début, mais une gamme identique semble produite peu après par une nouvelle société chinoise. Puis des forums internet critiquent la PME française qui perd tout crédit et fait faillite. Faits divers

35 © 2005 Le rôle du Responsable Sécurité en IE Quelles actions pour le RSSI ?

36 © 2005 Les mesures « techniques » Sécurité des Systèmes dInformation Firewalls, chiffrement, authentification, etc. Sécurité physique Badges, caméras, gardiens, broyeurs, etc. Législation Contrats de travail, chartes, lois et décrets, etc.

37 © 2005 Le facteur humain … cest le souci numéro 1 ! Diffusion par erreur erreur de manipulation dun logiciel, documents imprudemment laissés sur un bureau ou dans une imprimante, bavardages, forums internet etc. Manipulation par autrui ingénierie sociale, sondages, téléphone ou messagerie, flatterie, pressions etc. Mauvais jugement erreur dappréciation de la criticité de linformation manipulée, une fois hors contexte (annuaire interne). Etc.

38 © 2005 Sensibiliser et impliquer Nécessité de sensibiliser à tous les échelons Par une culture dentreprise adaptée, En illustrant par des exemples courants, En présentant lingénierie sociale (démonstration ?), Par des règles appropriées.

39 © 2005 Sensibiliser et responsabiliser Ne pas se reposer aveuglement sur les outils de sécurité, car le maillon faible de la chaîne sécurité, cest souvent lutilisateur. Inciter à adopter un « réflexe » sécurité en permanence, pas seulement face à son poste de travail : documents papier, conversations, déplacements, etc. Ne pas hésiter à utiliser : règlement intérieur, charte informatique, clauses de confidentialité,etc. pour responsabiliser lutilisateur. Dans certains secteurs sensibles, une formation complémentaire peut être justifiée.

40 © 2005 Classification des informations CivilMilitaire PublicNon classifiéSites web, communiqués de presse, plaquettes commerciales, etc. InterneRestreintDonnées du personnel (salaires etc.), reporting, procédures, etc. Critique / Sensible ConfidentielPlans de développement, achats stratégiques, R&D, etc. StratégiqueSecret / Top secretDonnées financières sensibles, rachats potentiels, etc. « Un classique… trop souvent oublié » !

41 © 2005 Anonymisation de la veille Protéger la cellule de veille, cest : Garder un avantage concurrentiel Le concurrent ne sait pas ce que vous recherchez Se protéger vis à vis des contre-attaques Le concurrent ne pourra pas fausser les recherches

42 © 2005 Anonymisation de la veille (2) Mise en place de comptes utilisateurs temporaires peu de traces dans le temps Fourniture de PC et de liaisons Internet dédiés Aucun indice établissant la provenance des recherches Isolation du réseau SI de collecte Risques en cas dattaque/fuite limités Utilisation doutils danonymisation Relais de messagerie, proxy ouverts, chiffrement etc.

43 © 2005 Surveillance de crise Utiliser la cellule veille pour déceler les prémices dune crise Les crises « média » (déstabilisation, influence etc.) peuvent souvent être détectées en avance : -isolation des signaux faibles et tendances émergentes -Surveillance Internet (forums, etc.), presse, ONG, etc. Le RSSI apporte ses conseils, mais cest au Veilleur que la tâche incombe

44 © 2005 Gestion de la crise En cas de crise, il est primordial de communiquer dès que possible. -Mise en place dune stratégie de communication. -Modèles de communiqués prêts à remplir en cas durgence. -Circuits de diffusion de linformation pré-établis et testés régulièrement (web, presse, etc.) Le RSSI a un rôle important à jouer

45 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

46 © 2005 « Intelligence économique » et sécurité de linformation Introduction Lintelligence économique Les fonctions et métiers de lIE Rôle et actions du RSSI Conclusion

47 © 2005 Le vrai rôle du RSSI en IE LIntelligence Economique est un vaste domaine RSSI, vous avez un rôle important à jouer en IE MAIS… Focalisez-vous sur votre métier : La protection du patrimoine immatériel

48 © 2005 Questions ? Contact : Merci pour votre attention


Télécharger ppt "© 2005 « Intelligence économique » et sécurité de linformation : Equilibre entre impératifs sécurité et stratégie dentreprise Net."

Présentations similaires


Annonces Google