Net Focus France 2005 - 23 juin 2005 à Paris « Intelligence économique » et sécurité de l’information : Equilibre entre impératifs sécurité et stratégie d’entreprise 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information. Net Focus France 2005 - 23 juin 2005 à Paris Bruno KEROUANTON Responsable Sécurité & Nouvelles Technologies Clear Channel France

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

De l’ère industrielle… Dans le monde industriel du XIXème siècle : Ce sont les machines et les outils qui créent la richesse.

… à l’ère de l’information Au XXIème siècle, l’information est essentielle pour l’entreprise. Idées, concepts, brevets, savoir faire, etc.  Contribuent à la richesse de l’entreprise.

Un premier constat pessimiste Postulat : L’ère numérique a considérablement amélioré la communication de l’information en temps réel (média, réseaux, etc.) ET Les informations sont infiniment plus nombreuses (bases de données, etc.), et leur valeur augmente DONC Les fuites et vols d’informations sont beaucoup plus fréquents… (et le seront de plus en plus ?)

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

L’Intelligence Economique aux Etats-Unis Dispositif très puissant intégré au cœur de l’état : Acteurs publics : Department of Justice, Defense, State, Commerce, etc. Renseignement : NSA, DIA, CIA, FBI etc. Acteurs privés : investigation (Kroll), auditeurs, etc. Collaboration public-privé efficace : Think-tanks influents (Rand) Aides aux entreprises : Lois (Economic Espionage Act) fonds d’investissements (In-Q-tel) Aide à l’export (advocacy centers) Etc. Circulation des hommes Mécanisme rôdé depuis 20 ans !

L’Intelligence Economique : Made in U.S.A. ! La mentalité des américains favorise l’IE : Patriotisme Respect de l’institution, respect de l’entreprise Sentiment de suprématie  Les employés US font naturellement de l’IE !

Documentation aux USA Nombreux ouvrages disponibles Discipline « banalisée » Lien fort entre quatre domaines : Competitive Intelligence Business Intelligence Counter - Intelligence Industrial Espionage Les auteurs (et acteurs de l’IE) sont très souvent issus du monde des services gouvernementaux !

Quelques définitions La « Business Intelligence » correspond à des méthodes de collecte d’information dans le domaine économique, permettant de valoriser des données brutes en information, puis en savoir, dans le but de maintenir un avantage concurentiel. La « Competitive Intelligence » sert à acquérir un avantage compétitif majeur en étudiant les données de son/ses concurrents sur un marché donné. L’espionnage industriel est une forme de « Business Intelligence » qui utilise des techniques détournées. Il y a une zone grise entre « business intelligence » normale et espionnage industriel. Source : www.wikipedia.com

L’intelligence économique en France France : La Grande Pagaille Des officines plus ou moins douteuses, Des organismes de formation méconnus, Le rôle de l’Etat mal compris, Beaucoup de discussions, peu d’actions, Confusion entre espionnage et IE, Et l’IE est contraire à la mentalité française… « … Et de toute façon c’est inutile, les français n’ont pas besoin de cela : on a bien le TGV et l’A380, donc on est les meilleurs, non ? »

L’IE en France : du concret ? 1994 : Rapport Martre « Intelligence économique et stratégique des entreprises » Indifférence générale… 2001 : Alain Juillet Nommé « Haut Responsable pour l’entelligence économique » au SGDN. Scepticisme… 2003 : Rapport Carayon « Intelligence économique, compétitivité et cohésion sociale »  Début de prise de conscience ! I E

Le référentiel de formation en IE Publié en janvier 2005 Par Alain Juillet (Haut fonctionnaire Intelligence Economique au SGDN) L’IE : Cinq pôles d’expertise : Environnement international et compétitivité. Intelligence économique et organisations. Management de l’information des connaissances. Protection et défense du patrimoine informationnel et des connaissances. Influence et contre-influence.

Comprendre l’environnement 1. Environnement international et compétitivité  Comprendre l’environnement Connaître et comprendre les problé- matiques liées à la globalisation et à la société de l’information. Maîtriser les clefs de lecture géo- politiques et géo-économiques permettant d’éclairer les stratégies des acteurs publics et privés.

Sensibiliser et animer 2. Intelligence économique et organisations  Sensibiliser et animer Définir les enjeux et présenter l’IE comme un facteur clé de succès pour la réalisation des objectifs stratégiques des organisations. Organiser et animer des séminaires internes de sensibilisation. Elaborer et mettre en œuvre des méthodes et outils d’audit et de gestion du système d’intelligence économique.

Maîtriser le cycle de l’information 3. Management de l’information et des connaissances  maîtriser le cycle de l’information Identifier et exprimer les besoins de l’organisation en information. Mettre en œuvre, animer et piloter un dispositif de recueil, d’exploitation et de diffusion de l’information en adéquation avec l’échelon décisionnel. Mettre en œuvre un dispositif de mémorisation et de capitalisation des connaissances.

Protection du patrimoine informationnel 4. Protection et défense du patrimoine informationnel  Gérer le risque et protéger Identifier et maîtriser les enjeux et risques de l’information, ainsi que les méthodes, techniques et outils liés à la protection du patrimoine informationnel. Définir et mettre en œuvre une politique de sécurité. Mettre en place et piloter une cellule de gestion des crises.

Maîtriser le cycle de l’information 5. Influence et contre-influence  Maîtriser la communication Identifier les risques informationnels (rumeurs, désinformation, manipu- lation), ainsi que les actions défensives de l’IE. Identifier et comprendre les probléma- tiques liées aux stratégies d’influence, de contre-influence et de lobbying. Détecter et contrer la manipulation de l’information

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

Le cycle de l’intelligence économique Direction générale Métiers Cellule veille Réseaux humains Direction SI Communication Direction SI Le cycle de l’intelligence économique RSSI RSSI Métiers Cellule veille Experts, Consultants

Les différentes veilles De nombreuses veilles Très spécialisées Expertise requise  C’est un métier à part : Le Veilleur financière etc. ! commerciale pédagogique brevets sociétale géopolitique média sociale technologique Veilles concurrentielle stratégique boursière juridique propriété intellectuelle

Le métier de « Veilleur » Responsable de la cellule de veille Formation initiale souvent littéraire (documentaliste, etc.) Bonne connaissance du métier, des clients, ancienneté dans l’entreprise. Esprit d’organisation, de synthèse Les RSSI sont assez rarement « veilleurs » IE. Formation « initiale » IE rarement prise en considération à l’embauche. Les meilleurs « veilleurs » sont des anciens du métier !

Capitaliser sur les réseaux humains Surveiller les groupes d’influence Le « vrai » moteur de l’IE : les réseaux humains (HUMINT) Groupes d’influence Renseignement, lobbying, dynamique de groupe Forums internet, club utilisateurs, etc. Think-tanks (« réservoirs de réflexion ») Rassembler les compétences échange de savoirs , lobbying, influence Ingénierie sociale Pas forcément négative Salons, téléphone et contact direct Attention à ne pas aller trop loin ! Capitaliser sur les réseaux humains Surveiller les groupes d’influence

Rôle du Directeur des Systèmes d’Information Le rôle du DSI Rôle du Directeur des Systèmes d’Information Fourniture d’outils SI de : Collecte Crawlers, abonnements BDD, etc. Traitement Data-mining, analyseurs sémantiques, etc. Archivage Bases de données, indexeurs, etc. Diffusion interne Intranet sécurisé

Rôles du Responsable Sécurité des Systèmes d’Information Le rôle du RSSI Rôles du Responsable Sécurité des Systèmes d’Information Conseiller la DSI sur les choix d’outils IE aspects sécurité, pertinence, etc. Apporter son support à la cellule veille : anonymiser les processus de collecte, déceler les pièges, etc. Protéger le traitement et la diffusion de l’information Rôle normal du RSSI, cela dit ! (chiffrement, isolation etc.) Sensibiliser, conseiller, former les acteurs IE en sécurité Culture sécurité, nomadisme, charte, etc. Participer aux processus de gestion de crise IE Plan de crise, association avec le plan de continuité d’activité

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

Le patrimoine informationnel Concerne tous les domaines : Brevets, savoir-faire, procédés de fabrication Risque de contrefaçon ou clonage Recherche et développement, prospective Risque de vol de concepts innovants Historique, bases clients et prospects Risque de détournement de clients Données financières et stratégiques Risque de déstabilisation, OPA, etc. Données personnelles Atteinte à la vie privée, risque légal (CNIL) Etc. …et là, le DG ne dort plus du tout !

Fuite involontaire d’information Mauvaise compréhension des mécanismes de diffusion et de stockage de l’information sur Internet. Nomadisme et télétravail, portables volés, clefs USB perdues, etc. Logiciels et outils mal conçus, provoquant des fuites dans les documents. Etc. Solutions Former et sensibiliser. Mesures techniques (audits, protections)

Fuite volontaire d’informations Risque faible, mais conséquences importantes. Motivations de la personne indélicate Argent, ego, amour, pouvoir, pressions  Permet parfois de retrouver l’individu par déduction. Détection et suivi difficiles, mais possibles Nécessite vigilance, temps, rigueur et souplesse. Ex : insertion de « traceurs » dans l’information pour suivre son cheminement. Dénouement A l’amiable (discret) ou procès (retentissant).

etc… etc… etc… etc… etc… Faits divers Affaire DuPont (1989) 5 personnes impliquées pour vol de procédés de fabrication de l’élasthane (Lycra), exigeant 10M$ en échange des documents. Se finit en course poursuite autour du monde puis arrestation des malfaiteurs par le FBI et la police helvète. Affaire Lopez (1993) Un cadre de Volkswagen fournit des documents confidentiels à General Motors. Arrangement amiable entre les deux constructeurs automobiles : Volkswagen contraint d’acheter 1,1 Mds $ de pièces détachées auprès de GM en compensation. Affaire Gemplus (2002) Le conseil d’administration du leader mondial de cartes à puces et fleuron de l’industrie française passe sous contrôle américain. L’ensemble des rouages du dispositif américain d’Intelligence Economique est utilisé à cette fin, mais la France réagit trop tard et perd le contrôle de Gemplus. Affaire Sté Panou-panou (fiction !) Une PME industrielle décide de délocaliser son support téléphonique en Asie. Tout se passe bien au début, mais une gamme identique semble produite peu après par une nouvelle société chinoise. Puis des forums internet critiquent la PME française qui perd tout crédit et fait faillite. etc… etc… etc… etc… etc…

Le rôle du Responsable Sécurité en IE Quelles actions pour le RSSI ?

Les mesures « techniques » Sécurité des Systèmes d’Information Firewalls, chiffrement, authentification, etc. Sécurité physique Badges, caméras, gardiens, broyeurs, etc. Législation Contrats de travail, chartes, lois et décrets, etc.

Le facteur humain … c’est le souci numéro 1 ! Diffusion par erreur erreur de manipulation d’un logiciel, documents imprudemment laissés sur un bureau ou dans une imprimante, bavardages, forums internet etc. Manipulation par autrui ingénierie sociale, sondages, téléphone ou messagerie, flatterie, pressions etc. Mauvais jugement erreur d’appréciation de la criticité de l’information manipulée, une fois hors contexte (annuaire interne). Etc.

Sensibiliser et impliquer Nécessité de sensibiliser à tous les échelons Par une culture d’entreprise adaptée, En illustrant par des exemples courants, En présentant l’ingénierie sociale (démonstration ?), Par des règles appropriées.

Sensibiliser et responsabiliser Ne pas se reposer aveuglement sur les outils de sécurité, car le maillon faible de la chaîne sécurité, c’est souvent l’utilisateur. Inciter à adopter un « réflexe » sécurité en permanence, pas seulement face à son poste de travail : documents papier, conversations, déplacements, etc. Ne pas hésiter à utiliser : règlement intérieur, charte informatique, clauses de confidentialité,etc. pour responsabiliser l’utilisateur. Dans certains secteurs sensibles, une formation complémentaire peut être justifiée.

Classification des informations Civil Militaire Public Non classifié Sites web, communiqués de presse, plaquettes commerciales, etc. Interne Restreint Données du personnel (salaires etc.), reporting, procédures, etc. Critique / Sensible Confidentiel Plans de développement, achats stratégiques, R&D, etc. Stratégique Secret / Top secret Données financières sensibles, rachats potentiels, etc. « Un classique… trop souvent oublié » !

Anonymisation de la veille Protéger la cellule de veille, c’est :  Garder un avantage concurrentiel Le concurrent ne sait pas ce que vous recherchez  Se protéger vis à vis des contre-attaques Le concurrent ne pourra pas fausser les recherches

Anonymisation de la veille (2) Mise en place de comptes utilisateurs temporaires  peu de traces dans le temps Fourniture de PC et de liaisons Internet dédiés Aucun indice établissant la provenance des recherches Isolation du réseau SI de collecte Risques en cas d’attaque/fuite limités Utilisation d’outils d’anonymisation  Relais de messagerie, proxy ouverts, chiffrement etc.

Surveillance de crise Utiliser la cellule veille pour déceler les prémices d’une crise Les crises « média » (déstabilisation, influence etc.) peuvent souvent être détectées en avance : isolation des signaux faibles et tendances émergentes Surveillance Internet (forums, etc.), presse, ONG, etc. Le RSSI apporte ses conseils, mais c’est au Veilleur que la tâche incombe

Gestion de la crise En cas de crise, il est primordial de communiquer dès que possible. Mise en place d’une stratégie de communication. Modèles de communiqués prêts à remplir en cas d’urgence. Circuits de diffusion de l’information pré-établis et testés régulièrement (web, presse, etc.) Le RSSI a un rôle important à jouer

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

« Intelligence économique » et sécurité de l’information Introduction L’intelligence économique Les fonctions et métiers de l’IE Rôle et actions du RSSI Conclusion 15:50-16:35 Double Cycle de Sessions Session 13: « Intelligence économique » et sécurité de l’information, équilibre entre impératifs sécurité et stratégie d’entreprise « Toute l’info est sur le Net … Comment ont-il fait pour savoir cela ? … Nous nous sommes faits coiffer au poteau…». Force est de constater que la plupart des informations critiques d’une entreprise sont disponibles dans le système d’information ou sur Internet par recoupements. L’intelligence économique est une forme d’arme dans la guerre économique sans merci que se livrent les entreprises et à travers elles les activités stratégiques de chaque nation. Qu’est-ce qui a changé depuis l’apparition d’Internet et des hackers ? Comment votre entreprise peut-elle tirer profit de l’intelligence économique ? Quelle est la situation en France ? L’objet de cette session est de vous donner les clefs de cet enjeu directement lié à la sécurité des systèmes d’information.

Le vrai rôle du RSSI en IE L’Intelligence Economique est un vaste domaine RSSI, vous avez un rôle important à jouer en IE MAIS… Focalisez-vous sur votre métier : La protection du patrimoine immatériel

Merci pour votre attention Questions ? Merci pour votre attention Contact : bruno@kerouanton.net