La sécurité économique est-elle encore possible dans la société de l'information?

Un changement de paradigme


L’émergence d’un monde immatériel symbolisé par Internet et les mutations constantes des technologies de l’information ont profondément fait évoluer les méthodes d’agression contre les entreprises. Dans le monde matériel, la cible principale des « agresseurs » était le capital informationnel de l’entreprise visée par l’attaque. Dans le monde immatériel, cette menace existe toujours et est même amplifiée par la démultiplication des techniques d’intrusion et de piratage informatique. L’élément nouveau est l’évolution du champ conflictuel de l’information.

Avant Internet, les opérations offensives contre les entreprises portaient principalement sur l’acquisition de leurs secrets. Les tentatives de désinformation pour tromper leur approche de marchés, les lancements de rumeur sur leurs dirigeants, l’atteinte à l’image de leurs produits, étaient des actions de portée limitée par le cadre de diffusion et la difficulté opérationnelle d’aboutir à une résonance efficace dans les médias. Il était difficile dans un tel contexte d’obtenir un résultat pertinent. Internet a modifié la donne en permettant aux agresseurs de toute nature (concurrents déloyaux, prédateurs économiques, acteurs manipulés de la société civile) de pouvoir frapper des cibles en temps réel ou différé en jouant sur la multiplicité des moyens de résonance, la portée illimitée des messages lancés et la densité possible des attaques informationnelles.

Société de l'information et rapports de force


Si la société de l’information est en train de révolutionner la pratique de la guerre traditionnelle (cf. systèmes de commandement, gestion de la logistique, mode de combat par le recours aux drones, guerre informatique), elle modifie aussi les méthodes d’affrontement sur le terrain économique et concurrentiel. La prise en compte dispersée des rapports de force informationnels qui dissocie le contenant, le contenu et le facteur humain crée des fenêtres de vulnérabilités majeures dans le pilotage des organisations.

La problématique de l’offensive dans la société de l’information est mal perçue par les décideurs. Ces derniers sont peu sensibilisés au fait que, contrairement à la guerre militaire classique, l’avantage est à l’offensif. C’est le constat qui est fait en 2006 dans un rapport interministériel réalisé sous la direction d’Alain Juillet, alors Haut Responsable à l’Intelligence Economique au Secrétariat Général de la Défense Nationale (SGDN). Le titre de ce rapport "Les méthodes d’influence informationnelle par manipulation de l’information stratégique à des fins de déstabilisation économique et financière », résume les nouvelles préoccupations de l’administration française à propos des menaces générées par la société de l’information.

En France, la perception des rapports de force informationnels était centrée jusqu’à cette date sur les problèmes du contenant (intrusion, piratage, virus). Cette approche défensive était surtout appréhendée sous l’angle technique et posait le problème de la compréhension du sujet par les décideurs qui n’avaient pas les compétences pour en saisir la dimension stratégique.

L’affaire PRISM[1] a modifié la perception des enjeux en termes de sécurité de l’information. Elle a mis en évidence la nécessité de dépasser le cadre technique de la sécurité des systèmes d’informations. Les menaces sur le contenant sont désormais indissociables des menaces liées à la révélation ou à la manipulation du contenu dans lesquelles le facteur humain joue un rôle essentiel comme le démontre le rôle joué par Edward Snowden[2] dans les révélations sur l’espionnage américain orchestré par le biais des agences de renseignement américaines.

L’accumulation des affaires (WIKILEAKS[3] et PRISM) souligne la nécessité d’une approche globale de la sécurité de l’information qui s’affirme de plus en plus comme un enjeu stratégique pour les Etats mais aussi pour le monde économique.

Une prise de conscience encore trop limitée du danger


En 2010, le Cercle Européen de la Sécurité et des Systèmes d’information diffusa un questionnaire aux participants de la plénière lors de sa conférence nationale. L’analyse des réponses à ce questionnaire surprit les intéressés. La grande majorité de l’assistance ne sut pas formuler de demandes précises concernant l’apport de l’Agence nationale de la sécurité des systèmes d'information ANSSI.  Cette nouvelle agence d’Etat venait d’être créée pour trouver des parades aux nouvelles menaces concernant ce milieu professionnel dont la responsabilité était justement d’y faire face. Ces experts de la sécurité informatique semblaient encore très réticents à nouer un dialogue plus dynamique avec l’appareil d’Etat. Par la suite, la situation a évolué sous la pression des évènements et de l’élargissement du champ et du volume des agressions informatiques. Il n’en demeure pas moins vrai que cette difficulté à établir un cadre commun de partage de l’information dans un but de sécurité économique collective, est une question récurrente dans la démarche pédagogique que mènent les spécialistes du management de l’information et de l’intelligence économique.

Comment situer l’importance stratégique de l’information dans un cadre de puissance, et quel dialogue faut-il bâtir avec le monde industriel dès lors que la France se dote d’une vision adaptée aux enjeux du monde actuel. Quel périmètre informationnel faut-il défendre et comment contrer une attaque au-delà du constat de l’agression ?  Ces deux questions sont au centre des préoccupations de nombreux acteurs économiques. L’Union Européenne a encore beaucoup de difficultés à se saisir d’un tel dossier à cause des multiples contradictions et divergences d’intérêts entre les pays membres. Cette absence de réponse collective nuit aux intérêts de l’ensemble des citoyens européens. Le durcissement de la compétition économique et la multiplication des intrusions et des attaques informationnelles dans le monde immatériel dépasse le cadre de la réflexion entamée sur la cybersécurité. La défense de l’économie européenne est devenue un enjeu stratégique majeur qui n’est pas pris en compte pour l’instant par les autorités compétentes à Bruxelles.

Pour une approche globale de la sécurité


Il s’agit de faire la part des choses entre les risques liés au contenant, au contenu et au facteur humain. Si la répartition des expertises (sécurité informatique, sureté, action juridique, communication, marketing, ressources humaines) se justifie par la nature de l’organisation de l’entreprise, les nouvelles menaces issues de la société de l’information impliquent une approche globale des rapports de force informationnels.

Cette nouvelle forme de grille de lecture repose sur les principes suivants :

  • La prise en compte de la sécurité de l’information à un niveau stratégique et non plus seulement technique.
  • La détection de la stratégie informationnelle des adversaires potentiels.
  • La distinction entre le jeu direct et indirect des acteurs.
  • L’analyse des capacités de nuire par le contenant, le contenu et le facteur humain.

Préconisations

  • Former des cadres de la sécurité à la double culture du risque informationnel contenant/contenu.
  • Faciliter les approches transversales au sein de l’entreprise pour maîtriser l’étendue d’un conflit informationnel.
  • Formaliser les procédures et les outils adaptés à ce type d’affrontement (par exemple formation de juristes aux affrontements informationnels).
  • Identifier les structures de soutien et les moyens d’emploi.

 

 

Christian Harbulot


 

[1] PRISM est un programme américain de surveillance électronique par la collecte de renseignements, notamment à partir d'Internet. Depuis 2007, le FBI et la NSA ont accès aux serveurs des plus grands acteurs du Web -Google, Microsoft, Facebook.

[2] Ancien consultant de la National Security Agency (NSA).

[3] Le site WikiLeaks, animé à l’origine par Julian Assange, a publié en 2010 des centaines de milliers de documents confidentiels du Pentagone et du département d'État américain.