Gestion des risques

Mercredi 12 décembre 2007 3 12 /12 /Déc /2007 11:10

Structures de lutte contre la cybercriminalité en France

Dans un précédent post je m’intéressais à la censure sur internet dans les pays peu démocratiques. Cela ne veut pas dire que dans nos sociétés on puisse dire tout et n’importe quoi sur internet. Cet espace de communication doit respecter des règles : ne pas faire l’apologie du racisme, de la pédophilie et autres déviances. Mais comment s’organise la lutte contre la cybercriminalité en France ? Sans prétendre à l’exhaustivité, voici la présentation de quelques structures.
 
Un décret du 15 mai 2000* porte sur la création d’un office central de lutte contre la criminalité liée aux technologies de l’information et de la communication
 
L’article premier paru au J.O. numéro 113 (du 16 Mai 2000) détaille la structure générale : « Il est créé au ministère de l’intérieur (direction générale de la police nationale, direction centrale de la police judiciaire) un office central de lutte contre la criminalité liée aux technologies de l’information et de la communication. Sont associés aux activités de cet office le ministère de la défense (direction générale de la gendarmerie nationale) et le ministère de l’économie, des finances et de l’industrie (direction générale des douanes et droits indirects et direction générale de la concurrence, de la consommation et de la répression des fraudes). »
 
La gendarmerie nationale est donc engagée dans la lutte contre le « technocrime », aux côtés de la police nationale. Comment se répartissent leurs domaines d’intervention ?
- à la gendarmerie, la veille des contenus pédopornographiques,
- à la police, la veille des faits de racisme, d'antisémitisme et de haine raciale, terrorisme et piratage informatique.
 
La gendarmerie se coordonne avec la police au travers de trois structures :
- l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC)
- du centre national d'analyse d'images pédopornographiques (CNAIP) du Service technique de recherches judiciaires et de documentation (STRJD),
- ainsi qu'au niveau européen.
 
La gendarmerie intervient à deux niveaux:
- au niveau central (autrement dit via des structures rattachées directement à la direction générale de la gendarmerie nationale - DGGN)
- au niveau territorial (régional et départemental).
 
Au niveau central, il y a les départements suivants :
- Département cybercriminalité du service technique de recherches judiciaires et de documentation (STRJD). Il assure la surveillance du réseau en recherchant les infractions portant atteinte aux personnes et aux biens et relatives à la transmission de données à caractère illicite sur Internet (sites, les « Internet Relay Chat», les newsgroups, les réseaux d’échanges communautaires, le peer to peer).
- Département informatique et électronique de l’institut de recherche criminelle de la Gendarmerie nationale (IRCGN). Il développe des méthodes, des outils et des logiciels permettant de détecter automatiquement des images pédophiles connues ou d’extraire des données.
- Plus récemment, en octobre 2003, la gendarmerie s’est vue confier la charge de mettre en œuvre à Rosny-sous-Bois, le centre national d’images pédopornographiques (CNAIP) en collaboration avec la Police nationale. Elle collecte et classe dans une base de données toutes les images (à ce jour plus de 470 000) et vidéos saisies au cours des enquêtes judiciaires, assiste les enquêteurs lors de saisies importantes et effectue des rapprochements judiciaires d’initiative ou à la demande des unités.
- Depuis 2002, la gendarmerie a mis en place une formation spécifique dans le domaine des nouvelles technologies au profit d’enquêteurs spécialisés, dénommés N-TECH, affectés en unités de recherches. Cette formation est dispensée au centre national de formation de police judiciaire (CNFPJ) situé à Fontainebleau. A l’issue de leur formation, les stagiaires rejoignent leur unité avec un matériel spécifique, dénommé « lot enquêteur ». A raison de 30 enquêteurs formés chaque année, la gendarmerie disposera fin 2007 de 170 enquêteurs spécialisés au sein des unités dédiées de la chaîne territoriale. Actuellement, 90 gendarmes N-TECH sont en fonction.
 
Au niveau territorial :
- Les unités territoriales et de recherches :
* Dès lors qu’ils sont confrontés à ce type d’infractions, les enquêteurs des unités territoriales, qui sont des généralistes, bénéficient du concours des spécialistes des unités de recherches spécifiquement formés dans le domaine des technologies liées à la cybercriminalité.
* Dans les brigades de recherches (BR), les enquêteurs N-TECH, formés au CNFPJ, prennent en charge l’aspect technique des investigations judiciaires.
* Les sections de recherches (SR), traitent des infractions spécifiques concernant les atteintes aux systèmes d’information. S’agissant d’Internet, ces unités ont vocation à exercer une surveillance ciblée du réseau en liaison avec le STRJD.
- Les Brigades Départementales de Renseignements et d’Investigations Judiciaires (BDRIJ) :
- Implantées au chef-lieu du département, elles constituent le pôle criminalistique départemental de la Gendarmerie nationale. La concentration des effectifs de techniciens en criminalistique (techniciens en investigations criminelles, N-TECH, analyse criminelle…) dans ces unités favorise les échanges d’expériences techniques et la pérennisation des savoir-faire et des compétences.
 
Rappelons que tout internaute peut signaler les sites qui l'ont choqué en envoyant un courrier électronique à : judiciaire@gendarmerie.defense.gouv.fr.
 
Jérôme Bondu
 
Sources :
* Décret n° 2000-405
Par Jerome Bondu - Publié dans : Gestion des risques
Ecrire un commentaire - Voir les 1 commentaires
Mardi 27 novembre 2007 2 27 /11 /Nov /2007 09:16

Pour la création d'un Conseil de sécurité nationale

bauer2.jpg rocard.jpg


Alain Bauer et Michel Rocard esquissent dans un article de la revue "Défense nationale et sécurité collective" (octobre 2007) les contours d’un organe d'analyse et de conseil, le Conseil de Sécurité Nationale, qui serait placé auprès de la présidence de la République. Cet organe avait été évoqué par le candidat Sarkozy avant son élection. 

 

Les bénéfices de la création d’un CSN seraient multiples, selon les deux auteurs :
Cela permettrait d’abord de mieux répondre aux menaces, et à leurs évolutions. Face à un phénomène global, où toutes les composantes du crime sont reliées, apporter des réponses partielles revient à appliquer un cautère sur une jambe de bois. Pire, l’accent mis sur certaines composantes du risque (comme la lutte contre le terrorisme) fait le bonheur d’autres composantes qui voient la pression sur leurs activités illicites se relâcher : « le crime organisé est d’ailleurs très satisfait de la réorientation des moyens policiers contre le terrorisme » assurent-ils. Si l’Europe du crime est déjà faite, l’Europe de la police reste à faire. Plus agiles et plus mouvants, les acteurs du crime ont mieux su s’adapter à la mondialisation que les structures en charge de les réduire. La création du CSN donnerait de ce fait au Chef de l’Etat une vision claire et globale sur les trois dimensions de la politique de défense : sécurité du territoire, défense militaire, action extérieure. En outre, cela aura le mérite de "mettre un peu d'ordre dans le capharnaüm administratif français" lancent les auteurs.
 
Ce CSN réunirait de nombreuses structures déjà existantes, améliorant ainsi leur coordination.
Les auteurs n’éludent d’ailleurs pas les difficultés de la mise en place de cette structure centralisée. Cela supposerait "de regrouper toutes les enceintes existantes". Ils évoquent entre autres le Conseil de défense qui se réunit autour du président de la République, le Comité interministériel du renseignement, et le Haut responsable à l'intelligence économique. Cette réforme "impliquerait la disparition, en tout cas dans sa forme présente", du Secrétariat général de la défense nationale (SGDN) qui assure notamment le secrétariat des Conseils de défense [NB : Tous les sigles sont développés en fin d’article].
 
Cette structure comprendrait trois Conseils, aux zones d’intervention complémentaires.
Le CSN placé "sous l'autorité" du président comprendrait un Conseil politique au niveau des ministres (Intérieur, Défense, Affaires étrangères...), un Conseil du renseignement regroupant l'ensemble des services intérieurs et extérieurs (DST, DCRG, DGPN, DGGN, Douanes, DGSE et DRM) ainsi qu'un Comité de recherche qui devra assurer l’intégration des divers instituts de recherche existants (INHES, IHEDN, IERSE, …).
Il aurait également une "responsabilité élargie pour l'intelligence économique", et sa "coordination permanente" serait assurée par le secrétaire général de l'Elysée. En outre, il se traduirait par la création d'une "salle de gestion des crises" à l'Elysée (le dispositif Jupiter n’étant pas adapté à la problématique).
 
Il faut doter la présidence de la République, assurent-ils « d’un organe d’analyse et de conseil appuyant l’action publique, dans le cadre d’une restructuration forte et d’un contrôle parlementaire adapté ». Ainsi "une obligation de consultation et d'information du Parlement", notamment sur les options militaires, serait instituée "selon un système simplifié et rapide, mais obligatoire".
 
Nécessité fait loi !
Le message des auteurs est que la création de cette structure va beaucoup plus qu’une simple amélioration de rouages actuels. Elle est une nécessité imposée par les changements dans lesquels la France est plongée. Comme ils le résument en fin d’article : « Il faut prendre acte du fait que les problèmes de sécurité intérieure et extérieure sont de plus en plus imbriqués, et que les questions de police, de défense ou de diplomatie nécessitent la mise en place d’un espace commun, mais pas unique, de traitement. »


Notez que le Club IES aura l’honneur de recevoir Alain Bauer le 6 mars 2008. Voir l’annonce de la conférence.
 
Jérôme Bondu

----------------------------------------- 
 
Biographie
- Michel Rocard est ancien Premier ministre socialiste.
- Alain Bauer est criminologue, et président de AB Associates, Société de conseil en sécurité.
Juriste de formation, il rejoint l'Institut de Criminologie après avoir enseigné à l'IEP de Paris. Il enseigne aujourd'hui dans de nombreuses structures en France et à l’étranger : universités de Paris I, II et V, Centre d'Études Supérieures de la Gendarmerie Nationale, École Nationale de la Magistrature, École Nationale Supérieure de Police. Il est également Président du Conseil d'Orientation de l'Observatoire national de la délinquance (depuis 2003) et de la commission nationale de la vidéosurveillance (depuis 2007).
 
Sigles cités dans l'article et signification :
DST :    Direction de la surveillance du territoire
DCRG : Direction centrale des renseignements généraux
DGPN : Direction Générale de la police nationale
DGGN : Direction Générale de la Gendarmerie Nationale
DGSE : Direction générale de la sécurité extérieure
DRM :   Direction du Renseignement Militaire
INHES : Institut des Hautes Etudes de Sécurité
IHEDN : Institut des Hautes Etudes de Défense Nationale   
IERSE : Institut d’études et de recherche pour la sécurité des entreprises  
 
 
Par Jerome Bondu - Publié dans : Gestion des risques
Ecrire un commentaire - Voir les 0 commentaires
Mercredi 14 novembre 2007 3 14 /11 /Nov /2007 11:55

Compte rendu conference : COMPETITIVE INTELLIGENCE & RISK MANAGEMENT

P1010590.JPG Conférence du 24 octobre 2007, organisée par
le Club Intelligence Economique et Stratégique de l'AAE IAE de Paris
en partenariat avec LexisNexis et le Club IE de l'AA ESIEE
 
COMPETITIVE INTELLIGENCE & RISK MANAGEMENT, Retours d’expériences à l’international
Animé par Jean-Michel Lavoizard
 
Compte rendu rédigé par Jérôme Bondu
 
 
Présentation du thème
La compétition internationale implique pour les entreprises des nouveaux besoins d’informations, et donc de nouveaux moyens.
Durant cette conférence, un certains nombre de cas concrets ont été présentés dans lesquels des entreprises cherchent à se défendre (ou à « attaquer ») sur des marchés concurrentiels, et utilisent pour se faire toutes les ressources de la technologie, des réseaux relationnels, et du droit, dans le cadre des législations des pays concernés.
 
 
Présentation de l’intervenant
Jean-Michel Lavoizard dirige depuis deux ans le bureau de Bruxelles de la compagnie de business intelligence DILIGENCE International LLC 
 
Ancien officier des forces spéciales, spécialisé dans le domaine du renseignement opérationnel et des actions d’influence, sa dernière affectation a consisté à créer le premier poste français au sein du bureau Opérations spéciales de l'état-major stratégique opérationnel de l'OTAN (SHAPE, Belgique).
 
 
Introduction
Jean-Michel Lavoizard a mené une première carrière dans le renseignement humain et les opérations spéciales. Il estime que la devise de cette discipline militaire, «  penser différemment pour agir autrement », s’applique parfaitement à la « due diligence », discipline d’investigation économique, financière et de réputation qu’il pratique désormais. [L’expression « due diligence » est parfois traduite par « devoir de vigilance »]
 
Partant d’une critique ouverte du modèle français du conseil en intelligence économique, qu’il estime inadapté au besoin des entreprises a l’international, il a présenté au cours de son intervention, la compagnie qu’il représente, les méthodes de recherche et d’analyse utilisées, et des cas concrets d’intervention. Sans vouloir s’ériger en modèle, il pense que les cabinets français auraient intérêt à s’inspirer des bonnes pratiques à l’international.
 
 
A- Critique de la situation de l’IE en France
 
- Jean-Michel Lavoizard estime que le marché francophone de l’IE n’est pas mature. Du côté des clients et des bénéficiaires de prestations d’IE, un important travail de sensibilisation et de pédagogie reste à faire sur ce qu’ils peuvent attendre d’un acteur externe d’IE en appui d’une démarche globale et déterminée, discrète et légale d’IE. Côté prestataires, la plupart des  fournisseurs francophones n’ont pas la taille critique ni la ressource humaine adaptée pour  répondre en interne aux besoins de leurs clients a international.
- En outre, il y a un mélange des genres, avec des cabinets qui viennent à l’IE par la Sécurité. Or ces deux domaines d’activité sont à ses yeux foncièrement différents.
- Enfin, il déplore que la clientèle d’un cabinet d’IE en France soit souvent issue du réseau relationnel de ses dirigeants, ce qu’il appelle une clientèle « captive ». Cela nuit à la compétitivité.
 
Partant de ce constat, il dresse le tableau de l’entreprise qu’il a rejoint. Et mettant en valeur quelques bonnes pratiques.
 
 
B- Détection des bonnes pratiques
 
1- Présentation du cabinet
- Le concept structurel de la compagnie Diligence International LLC repose sur un réseau international d’une dizaine de bureaux locaux répartis en Europe, aux Etats-Unis et en Asie.
- La compagnie compte une centaine d’employés d’environ 30 nationalités. Le bureau le plus important du réseau compte 25  employés. Celui de Bruxelles en compte 8, et a en permanence 6 à 8 dossiers en cours. La taille de la compagnie et la diversité des profils de leur ressource humaine, leur permettent de réaliser en interne la quasi-totalité, sinon la totalité, des recherches et de l’analyse des informations. Un critère que Jean-Michel Lavoizard estime essentiel pour assurer au client la maitrise des budgets (alors que la règle sur le marché est de doubler le prix de toute tache sous-traitée), le contrôle qualité et éthique, ainsi que la confidentialité du client et du projet.
- Les clients de Diligence sont pour 40% environ des institutions financières (dont la Banque Mondiale, la BEI, la BERD) et pour le reste répartis dans  tous secteurs d’activité, y compris l’énergie, le transport, la distribution … Le dénominateur commun de ses clients est la dimension internationale de leurs besoins ou de leurs problèmes. De nombreux clients font appel a Diligence sur un mode réactif, quand un problème a surgi et que « le mal est déjà fait ».
 
- La confidentialité est pour Diligence un souci permanent. Leur relatif  éloignement de la place de Paris peut être un avantage pour des clients français. Certains de leurs clients français estiment en effet que la discrétion est davantage assurée et que leurs problèmes « ne ressortiront pas dans la presse parisienne ». 
- La clientèle du cabinet est internationale. Selon M. Lavoizard, un cabinet d’IE ne devrait pas prendre en ligne de compte la nationalité du client, dont il devrait « épouser la cause » sans arrières pensées. D’ailleurs les collaborateurs de Diligence sont issus de 30 nationalités différentes, ce qui offre une réelle diversité. 25% viennent de services publics de renseignement et d’investigation. 75% sont des experts en droit, économie, et finance, sciences politiques, etc. La diversité et la complémentarité sous toutes leurs formes sont recherchées avant tout. A titre d’exemple, c’est avant tout sur ce critère que son collègue australien, qui a fait une première carrière comme journaliste d’investigation économique et financière en Asie avant de faire un MBA a Cambridge et de rejoindre le bureau de Londres de Diligence, lui a propose de le rejoindre pour développer un bureau a Bruxelles.
 
- Pour notre intervenant,  les services d’IE en général, et de due diligence en particulier, font partie intégrante du processus de décision qu’ils « éclairent ». Ils apportent au décideur de précieux éléments d’information et d’analyse qui lui permettent de prendre sa décision en connaissance de cause. Dans cette optique, la « due diligence » doit être considérée comme une investigation sur mesure qui consiste a recueillir de l’information privilégiée a caractère économique, financier ou de réputation, que le cabinet analyse et dont il retire des conclusions et des recommandations utiles a la prise de décision (projet de partenariat, de fusion acquisition, de développement sectoriel ou géographique, appel d’offre, etc.). Le contexte peut être « offensif » dans le sens où le client a l’initiative (appui au développement), ou bien « défensif » quand il s’agit de parer une perte de marche, une concurrence exacerbée, une tentative de déstabilisation (atteinte a l’image et a la réputation, a la propriété intellectuelle, risque de non conformité, etc.). D’une manière générale, il s’agit d’anticiper et de réduire l’incertitude. Pour ce qui est du cadre de la légalité, le cabinet s’adapte à la législation des pays dans lequel il intervient.
- La taille du cabinet (une centaine d’employés au total) et le déploiement de leur réseau permettent de mener des investigations sans limites géographiques et quelque soit le domaine d’activité.
- Le cabinet de conseil en intelligence économique ne se substitue pas aux services internes d’IE de ses clients ; il prolonge ponctuellement leurs capacités le temps d’un projet, qui dure en moyenne de quelques semaines a plusieurs mois, au cours duquel un dialogue étroit est établi avec ses clients.
 
 
2- La création de la confiance avec le client est la première étape essentielle dans la réalisation d’un contrat
Comment assurer cela, surtout quand on a des équipes internationales ?
- Chaque bureau est autonome,  tout en travaillant en synergie. Face a une nouvelle demande client, M. Lavoizard  constitue une « task force », une équipe opérationnelle de trois a dix collègues en moyenne selon les capacités et expériences exigées.
- Le cabinet applique une charte d’éthique et de déontologie et s’interdit tout conflit d’intérêt. Sans prétendre être plus vertueux que les autres, le cabinet applique strictement cette règle qui, si elle peut l’amener a refuser ponctuellement des demandes de services, lui assure une solide réputation a long terme sur le marché.
 
- Chaque bureau est autonome et conserve la maitrise de sa clientèle comme des cas sur lesquels il travaille. Les contrats  comme les rapports ne sont pas transmis au siège.
- Chaque projet est « dénationalisé ». Les employés n’ont  pas d’état d’âme à travailler contre les intérêts d’une entreprise de sa nationalité – mais que signifie aujourd’hui la nationalité d’une grande entreprise ?  « Business is Business » est la règle.
- La facturation peut se faire selon le mode d’une enveloppe mensuelle ou au projet, avec parfois une partie variable en fonction de la réussite de la mission (« succes fee », de 30% en moyenne).
- Le livrable est souvent une information orale, complétée par un rapport écrit dont le volume peut osciller entre 3 et 50 pages avec les annexes. Le mode et la fréquence des rapports sont précisément définis au préalable avec le client pour éviter toute surprise.
 
- Diligence est très attachée a un positionnement lisible et clair sur le marché unique du « due diligence », sans empiéter sur les disciplines d’audit, de communication stratégique, de lobbying, d’étude de marche ou de conseil en stratégie. D’ailleurs –dit-il- les « big five » font partie de leurs clients, même s’ils ont eux-mêmes des entités de « due diligence » en interne.
- Si le cabinet s’est installé à Bruxelles plutôt qu’à Paris, c’est par ce que la capitale européenne regroupe de nombreuses représentations internationales, de cabinets d’avocats d’affaires et de lobbying, de « public affairs », …
 
3- Présentation d’un cas concret
- Un grand groupe veut acquérir une niche technologique dans un pays de l’Union Européenne. Le service de veille de cette entreprise a détecté une opportunité, et le travail qui est demandé au cabinet de M. Lavoizard est de détecter les risques inhérents à cette opération.
- Le travail consiste dans une étude de la chaîne de valeur de la cible, et de la réputation professionnelle du management (danger sectaire, affiliation douteuses, …).
- Les sources ouvertes sont étudiées (sites internet, ou bases de données, dont celles de Lexis Nexis), mais l’accent est mis sur les sources humaines, en approchant sur le terrain des personnes clés sur toutes les étapes de la chaîne de valeur.
- Le cabinet gère aussi des questions connexes, comme l’intérêt de conserver tout ou partie des équipes de direction en place, par un travail de « senior profiling ».
Le cabinet estime avoir vis-à-vis de ses clients, une obligation a la fois de moyens et de résultats.
 
4- Méthodologie
- Tout nouveau projet commence par un briefing initial avec les collaborateurs du bureau qui sert à faire émerger un maximum de questions. La gestion du projet et le recueil d’informations s’apparentent à la reconstitution d’un puzzle. La recherche des pièces se fait grâce aux réseaux de chacun.
- La démarche initiale constitue a poser les bonnes questions, puis de travailler en contact étroit avec le client sur sa problématique. La gestion de projet suit un mode d’interaction horizontale, sans notion de hiérarchie qui consisterait a considérer que les plus senior auraient raison par principe. Chacun, quels que soient son âge et sa fonction, sont incités à produire le meilleur et à justifier leur participation. Les équipes, pluridisciplinaires, privilégient la créativité et l’échange d’analyses, dans un esprit de critique constructive et sans concession.
 
- Une fois le mode opératoire défini, une « task force » est mise sur pied, qui  met en œuvre les actions de recherche et d’analyse d’information selon le besoin d’en connaitre.
- Lors des opérations de recueil sur le terrain, les équipes bénéficient des services de « fixeurs » locaux, facilitateurs bien introduits qui les renseignent et leur permettent de pénétrer un milieu, selon un mode d’échange mutuel.
 
Les due diligence sont menées sous forte pression de temps : la durée moyenne d’un projet est d’environ un mois.
 
5- Coût d’une prestation
- La réalisation d’un « senior profile » dans une entreprise européenne coûte 5 à 7 000 € ( selon le nombre de juridictions impliquées).
- Une étude d’environnement sur une entreprise coûte de 12000 a 15000 euros (incluant un « senior profile »).
- M. Lavoizard présente le cas d’une entreprise qui lorgnait sur un marché de 18 millions d’€. La prestation de « due diligence » associée était facturée à 30 000 euros, pour donner une visibilité sur les différentes dimensions de risques ou le facteur humain était prédominant.
- Une fois sur trois en moyenne, les études approfondies menées par Diligence concluent a de fortes réserves quant a la suite a donner au projet.  
 
6- Livrables
Les livrables sont par exemple la réalisation d’une « photographie » sur la stratégie d’un concurrent, une étude des forces et faiblesses d’un concurrent, dans un secteur, ou dans un positionnement géographique.
 
 
Compte rendu rédigé par Jérôme Bondu
Diffusable sous réserve de mentionner l’auteur et le Club IES.
 
 
Par Jerome Bondu - Publié dans : Gestion des risques
Ecrire un commentaire - Voir les 0 commentaires
Mardi 6 novembre 2007 2 06 /11 /Nov /2007 21:46

Compte rendu conférence :Sécurité des informations, les problèmes, les enjeux et les solutions

Compte rendu de la Conférence du 21 mai 2001, organisée par le Club IES et animée par Pierre Barber et Pierre-Luc Réfalo.

Présentation des intervenants (ces biographies date de 2001) :

Pierre-Luc Refalo
- Responsable du programme "Sécurité de l'information" CEGETEL.
- En charge des aspects stratégiques et réglementaires de la cybercriminalité et de la signature électronique en relation avec Vivendi Universal et Vodafone.

Pierre Barber
- Commissariat à l'Energie Atomique. En charge des relations internationales à l'institut de protection et de sûreté nucléaire – IPSN, puis à la direction de la sûreté nucléaire, enfin à l'agence nationale de gestion des déchets radioactifs – ANDRA.
- Actuellement consultant, expert auprès de la Commission Européenne et de l'Agence Internationale de l'Energie Atomique. En outre, M. Barber est Commissaire Enquêteur, et membre du Conseil d'Administration, de la Compagnie des Commissaires Enquêteurs d'Ile de France.



Idées développées par M. Barber

L'intelligence économique est aujourd'hui dans la même situation qu'était le principe de "qualité" il y a 20 ans. C'est à dire que nous n’en sommes qu'aux balbutiements ! Le rapport de l'IHEDN  le montre bien. La pratique de l'IE est loin d'être généralisée dans les entreprises françaises.
Différentes causes peuvent être mentionnées : La faible prise de conscience de l'importance de cette discipline dans les entreprises est liée à l'aspect financier. Le fait que l'indicateur financier soit si important n'incite pas à "investir" dans ce secteur qui apparaît comme "non productif".

Deux illustrations
Après nous avoir présenté le cas du Condorde, M. Barber développe un exemple de "partage non voulu" d'information tiré de son expérience professionnelle. Il s'agit du copiage de la technologie française de stockage des déchets radioactifs par les Japonais.
Dans le cadre de cet exemple, M. Barber a mis en exergue la formidable organisation de collecte des informations à l'échelle du Japon. Toutes les informations utiles convergent vers le MITI. Les rapports sont ensuite retransmis aux personnes qui en ont l'utilité. M. Barber a fait l'expérience d'une délégation japonaise, qui suivait de trois ans une autre délégation du pays du soleil levant (avec des membres différents), lui rappelant des propos qu'il avait tenu alors. Cela signifie que ces propos avaient été notés, puis transmis à la nouvelle délégation à trois ans d'intervalle. Les notes ont été analysées par la nouvelle délégation et pour finir, utilisées pour obtenir des informations. Cela prouve un système extrêmement organisé et efficace de gestion de l'information.

En conclusion, et dans le cadre précis du produit concerné, à savoir la technologie de stockage des déchets nucléaires, M. Barber relativise l'effet du "vol" d'information :
Il semble que les Japonais se soient fortement inspirés de la technologie française. Mais est-ce vraiment un problème? Le produit en question, le stockage des déchets dangereux, n'est pas un produit (à proprement parler) à garder secret. Une coopération internationale n'est-elle pas plus souhaitable que de risquer un mauvais stockage sur un endroit de la planète avec les risques à grande échelle que cela suppose ? C'est le principe de la coopétition, qui est mis ici en valeur.


Idées développées par M. Réfalo

M. Réfalo s'exprime en son nom propre et non au nom de l'entreprise pour laquelle il travaille.
Voici quelques convictions qu'il a bien voulu nous commenter, et qui vont trouver une illustration dans les deux exemples ci-dessous :
- La révolution informatique est une révolution à prendre au sens littéral, c'est-à-dire, que la société évolue par rotation. Il n'y a pas de rupture, mais une continuité dans les changements. L'important pour bien saisir les évolutions à venir est de savoir déterminer les continuités.
- Dans le cadre de l'informatique, "l'arme est aussi la cible" ! Dans les deux cas, c'est l'ordinateur. D'où une réflexion, au sein des plus hautes instances de décision internationales, qui a été menée pour savoir s'il fallait libéraliser, les ordinateurs, les logiciels… La réponse a été clairement : oui.
- M. Réfalo insiste sur le rôle de la qualité et sur la définition des causes d'accident. "Un accident est très souvent causé par une erreur ou une négligence", dans les deux cas c'est un problème de qualité des comportements ou des procédures.
- La sensibilisation de la DG sur l’augmentation de la cybercriminalité, des fraudes et des piratages, est facilitée par les médias.

Pour les entreprises, la sécurité est en grande partie un enjeu marketing et légal, et non pas un enjeu technique comme il est souvent dit. Une entreprise peut très bien subir une attaque informatique sans que cela mette en péril son existence. Par contre, la manière dont elle va réagir peut très bien conditionner son avenir à court terme voire sa survie. Les deux exemples développés ci-dessous illustrent ces propos.

Deux illustrations
1- En mars 98, CEGETEL subit une attaque : Un algorithme du GSM est publié sur Internet. Les conséquences commerciales et en termes d'image peuvent être importantes. Les conséquences en terme techniques et opérationnels sont réelles mais maîtrisées. La gestion du problème doit prendre en considération ces différents paramètres.
En l'occurrence, cette divulgation représente plus probablement une matérialisation de la guerre économique Europe / Etats-Unis sur les standards de téléphonie mobile. Le GSM étant le standard européen que des concurrents cherchent sans doute à discréditer. L'incident ne visait donc pas tant CEGETEL que le standard en question, qui de toute manière était en train de s'imposer en Europe.

2- Plus récemment, un site pirate a téléchargé à partir d'un site CEGETEL des documents, et les a ensuite diffusés sur Internet en dénigrant la sécurité du site en question… Là encore, la gestion de l'affaire a eu pour but de prendre en considération les paramètres techniques, mais surtout les paramètres en terme d'image. En l'occurrence, il a été choisi d'ignorer médiatiquement cette attaque, sans pour autant la nier, ni omettre de traiter le problème (notamment en corrigeant certains paramètres et en vérifiant qu’il n’y avait aucun impact client).

La gestion de ce genre d'événement est donc très délicate, et est souvent autant - si ce n'est plus - du ressort de la communication que de la technique.
Dans tous les cas de figure, les entreprises doivent prendre des décisions en terme de sécurité des informations et trouver le juste milieu entre paranoïa et laxisme, entre prévention et réaction. En cas de « piratage », il est important d’évaluer les risques réels et non plus potentiels encourus sous toutes les facettes (économique, politique, marketing, image, technique…). Nous entrons alors dans le cercle vertueux du "risk management", de l’équilibre entre sur-protection inefficace (techniquement et économiquement) et sous-protection maîtrisée (évolutive, adaptable, corrigeable).

Jérôme Bondu

Par Jerome Bondu - Publié dans : Gestion des risques
Ecrire un commentaire - Voir les 0 commentaires
Mardi 6 novembre 2007 2 06 /11 /Nov /2007 09:10

Pour comprendre l’information, il faut être compétent

Henri Martre signe un article dans le blog IE des Echos qui ne devrait pas passer inaperçu.
« Pour comprendre l’information, il faut être compétent » posté le 22 octobre 2007.

- D’abord, parce qu’il met en cause la compétence de nos dirigeants. Nous avons tous des discussions type « café du commerce » où il nous est facile de blâmer tels ou tels dirigeants. Mais quand cela vient d’Henri Martre (ancien président de l’Aérospatiale, de l’AFNOR, …), cela a un autre poids.

- Ensuite, parce qu’il met le doigt sur un phénomène que nous, professionnels de l’IE, connaissons bien : Il s’agit de la difficulté de se faire comprendre des dirigeants qui n’ont pas la même culture de la gestion des informations et des TIC. L’exemple développé ci-dessous (à une autre échelle) traite en filigrane de cela.

- Enfin, l’article porte en substance sur les problèmes de management, de délégation de pouvoir et du type de management. Est-ce qu’un management plus transversal, moins pyramidal, aurait pu éviter ce problème ? La encore ce sont des questions récurrentes pour toutes dynamiques d'IE.

Il y aurait bien d’autres choses à dire. Le propos n’est pas blâmer outre mesure un fleuron européen (qu’il faudrait plutôt soutenir dans une période de turbulence) que d’en tirer des leçons. Leçons à diffuser et à appliquer dans d’autres entreprises pour éviter des conséquences similaires.

Ne pas tirer les conséquences managériales de cet "événement", serait certainement une seconde erreur, qui celle-ci pourrait couter beaucoup plus cher à la France que les retards de livraison d’Airbus !

Cordialement,
Jérôme Bondu

Par Jerome Bondu - Publié dans : Gestion des risques
Ecrire un commentaire - Voir les 0 commentaires

Sondage sur les réseaux

Participez au sondage sur la pratique des réseaux humains, mis en place par Inter-Ligere ! Cela ne vous prendra que 5 minutes, et vous recevrez les résultats. Cliquez ici.

 

Recherche

 

Albums Photos

Voir tous les albums

 

Articles récents

Liste complète

 

Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Signaler un abus - Articles les plus commentés