Une dimension nouvelle dans le monde virtuel

Dossier : L'Intelligence économiqueMagazine N°640 Décembre 2008
Par Philippe WOLF (78)

Pour une entre­prise ou une organ­i­sa­tion, l’in­tel­li­gence économique numérique (IEN) doit procéder de deux pra­tiques com­plé­men­taires et inséparables.

Tout d’abord la con­sti­tu­tion, l’en­tre­tien et l’usage d’une base infor­ma­tion­nelle irriguant l’ensem­ble de son savoir-faire : le développe­ment de cette base fait appel à des out­ils infor­ma­tiques en per­ma­nente évolution.

Ensuite la pro­tec­tion de son pro­pre sys­tème d’in­for­ma­tion com­binée à la maîtrise de sa com­mu­ni­ca­tion numérique.

Repères
On ne peut s’empêcher de penser à l’adap­ta­tion ciné­matographique de la nou­velle éponyme de Philip K. Dick, Minor­i­ty Report, dont le cadre est le Wash­ing­ton de 2054 où des êtres humains mutants, les Précogs, peu­vent prédire les crimes à venir grâce à leur don de pre­science dans l’or­gan­i­sa­tion appelée ” Precrime “.

Un véritable arsenal d’armes logicielles

L’en­reg­istrement et la dif­fu­sion de don­nées de plus en plus nom­breuses et var­iées ont per­mis de con­stru­ire des out­ils de fouille infor­ma­tion­nelle (“ data min­ing ”) dont la sophis­ti­ca­tion devient surprenante.

De nou­velles tech­niques d’analyse de la parole, de tra­duc­tion mul­ti­langue automa­tique ou de mod­éli­sa­tion des proces­sus cog­ni­tifs sans par­ler de la révo­lu­tion de l’im­agerie numérique enrichissent la trousse à out­ils de cette révo­lu­tion du ren­seigne­ment numérique qui touche directe­ment qua­tre des six domaines édic­tés par la Direc­tion générale du ren­seigne­ment extérieur (DGSE) à savoir : le ren­seigne­ment d’o­rig­ine élec­tro­mag­né­tique (ROEM), le ren­seigne­ment d’o­rig­ine image (ROIM), le ren­seigne­ment d’o­rig­ine opéra­tionnelle (ROOPS) et, bien sûr, le ren­seigne­ment de source ouverte (Info SO). Dans le domaine du ren­seigne­ment d’o­rig­ine humaine (ROHUM) on peut égale­ment prévoir une intru­sion crois­sante du numérique mar­quée, par exem­ple, par les addic­tions tech­nologiques de l’homme mod­erne ou l’ex­plo­sion des réseaux soci­aux virtuels.

La vital­ité et la var­iété extra­or­di­naire de ces recherch­es algo­rith­miques com­men­cent égale­ment à irriguer l’in­tel­li­gence économique. Une tech­nique essen­tielle est ici la fusion d’in­for­ma­tions qui cor­re­spond à la volon­té d’u­tilis­er simul­tané­ment plusieurs sources de don­nées, ou de grouper des infor­ma­tions hétérogènes afin d’obtenir une nou­velle infor­ma­tion de meilleure qual­ité pour une meilleure déci­sion. Il s’ag­it sou­vent à par­tir de sig­naux faibles et d’une obser­va­tion impar­faite de la sit­u­a­tion de for­mer des hypothès­es partielles.

La ges­tion des crises (cat­a­stro­phe naturelle, attaque ter­ror­iste, crise san­i­taire, crise sys­témique…) aus­si bien dans leur antic­i­pa­tion (préven­tion et alerte) que dans leur traite­ment béné­fi­cie de ces tech­nolo­gies qui per­me­t­tent de mieux com­pren­dre et de partager une vision com­mune aux acteurs économiques pour mieux agir. Dans la ges­tion post­crise qui a pour objec­tif d’amélior­er la résilience en restau­rant l’ac­tiv­ité, l’analyse des retours d’ex­péri­ence per­met égale­ment d’en­richir la base d’IEN. L’en­tre­tien d’un pat­ri­moine infor­ma­tion­nel dynamique peut égale­ment être por­teur de ” sérendip­ité ” qui est le fait de com­pren­dre que l’on a trou­vé ou décou­vert par hasard, par chance ou par acci­dent, quelque chose d’im­por­tant que l’on ne cher­chait pas. On rejoint ici les tech­niques mod­ernes de la guerre info­cen­trée. La créa­tion de ” war rooms ” numérisées au sein de cer­taines entre­pris­es procède de ces nou­veaux proces­sus de man­age­ment actif.

Dans ces tech­nolo­gies de pointe, des pôles de com­péti­tiv­ité en France, coor­don­nant les travaux de PME et de grandes entre­pris­es, essaient de struc­tur­er l’in­no­va­tion autour de thé­ma­tiques en par­tie sécu­ri­taires. Deux exem­ples peu­vent être cités. Infom@gic, qui relève de l’ingénierie des con­nais­sances, en explore trois axes tech­nologiques fon­da­men­taux : les moteurs de recherche avancés, l’ex­trac­tion de con­nais­sances et la fusion d’in­for­ma­tions mul­ti­mé­dias, et ce sur tous les types de sources. System@tic, dans sa thé­ma­tique sécu­rité et défense en par­ti­c­uli­er, traite des inno­va­tions sig­ni­fica­tives en matière de tech­nolo­gies logi­cielles et d’ar­chi­tec­ture de grands sys­tèmes complexes.

Une créa­tion orwellienne
Quelques semaines après les attaques du 11 sep­tem­bre 2001, l’ami­ral John Poindex­ter — con­nu pour avoir été mêlé au scan­dale de l’I­ran­gate — pro­pose comme respon­s­able du ” Infor­ma­tion Aware­ness Office “, un des prin­ci­paux pro­grammes de ren­seigne­ment du DARPA (Départe­ment de la recherche de défense aux USA) de réalis­er un sys­tème d’in­for­ma­tion inti­t­ulé ” Total Infor­ma­tion Aware­ness Sys­tem ” (TIA).
Il s’ag­it de dévelop­per un sys­tème mod­u­laire et automa­tique apte à révéler des activ­ités prototerroristes.
TIA recueille, pour tout indi­vidu iden­ti­fié dans le sys­tème par ses mar­quants bio­métriques — pho­togra­phie faciale, empreintes dig­i­tales, iris, déam­bu­la­tion, etc. -, l’ensem­ble de ses traces numériques dans une liste à la Prévert qu’il n’est pas utile de traduire : Finan­cial, Edu­ca­tion, Trav­el, Med­ical, Vet­eri­nary, Country/Entry, Place/Event Entry, Trans­porta­tion, Hous­ing, Crit­i­cal Resources, Gov­ern­ment, Communications.
Toute une panoplie de logi­ciels d’analyse mul­ti-agents, de recherch­es séman­tiques de con­nex­ions, de mod­éli­sa­tion com­porte­men­tale et de recon­nais­sance de ” pat­terns ” car­ac­téris­tiques fouille, en per­ma­nence, cette métabase de don­nées dynamique pour aver­tir, in fine, des ana­lystes humains sur un événe­ment clé en moins d’une heure.
Après une bataille médi­a­tique d’as­so­ci­a­tions de pro­tec­tion des lib­ertés civiles, le pro­gramme a été rebap­tisé ” Ter­ror­ist Infor­ma­tion Aware­ness Sys­tem “. Depuis, peu d’in­for­ma­tions ont fil­tré sur l’a­vancée de TIA (il est élim­iné du bud­get de la Darpa dans les dépens­es mil­i­taires approu­vées par le Sénat pour 2004) et, bien sûr, sur son effi­cac­ité réelle.

Neuf principes pour bâtir une politique de protection de ce patrimoine

L’autre dimen­sion de l’IEN con­siste pour une entre­prise, une admin­is­tra­tion ou un pays à savoir sécuris­er ses sys­tèmes et réseaux d’in­for­ma­tion selon les pra­tiques d’une sci­ence désignée, en France, sous le sigle SSI (Sécu­rité des sys­tèmes d’information).

Des logi­ciels malicieux
L’an­née 2007 a mar­qué une rup­ture dans la sophis­ti­ca­tion et l’am­pleur des attaques sur Inter­net. On cit­era, entre autres, les cyber­at­taques ciblées dites chi­nois­es (orig­ine large­ment incon­nue), la sat­u­ra­tion des réseaux estoniens par des attaques en déni de ser­vice (pre­mière cyber­guerre pour cer­tains com­men­ta­teurs), l’ex­ten­sion des réseaux de machines com­pro­mis­es (bot­net Storm­worm), etc. Vin­cent Cerf, par­fois appelé le ” père de l’In­ter­net “, a annon­cé à la con­férence de Davos, en 2007, qu’une machine sur qua­tre rece­lait au moins un logi­ciel mali­cieux ou ” malware “.

Au-delà des prob­lèmes clas­siques de vol ou de piégeage de matériel comme les porta­bles ou les sup­ports amovi­bles, et du traite­ment sys­té­ma­tique des traces élec­tron­iques, des formes nou­velles de men­ace sont apparues ou se sont dévelop­pées. Des événe­ments récents démon­trent claire­ment que les mafias, les officines privées d’in­tel­li­gence économique et les ser­vices de ren­seigne­ments étrangers savent prof­iter des vul­néra­bil­ités non traitées des nou­velles technologies.

L’OCDE a établi neuf principes qui per­me­t­tent un exa­m­en rapi­de des défis à relever pour l’IEN et la SSI (Sécu­rité des sys­tèmes d’in­for­ma­tion) dans leur dimen­sion défen­sive. L’OCDE plaide, bien évidem­ment, pour un point de vue glob­al et cohérent. Ces recom­man­da­tions n’ont pas un car­ac­tère obligatoire.

1 — Sen­si­bil­i­sa­tion. Le référen­tiel des for­ma­tions en intel­li­gence économique, élaboré dans le cadre de la mis­sion du haut respon­s­able en charge de l’in­tel­li­gence économique, liste, dans ses qua­tre grands thèmes d’en­seigne­ment, l’é­conomie de l’in­for­ma­tion et de la con­nais­sance. Plus large­ment, des actions de sen­si­bil­i­sa­tion doivent être régulière­ment organ­isées au sein des entre­pris­es ou des organ­ismes pour faire pren­dre con­science des risques numériques et des enjeux des bonnes pra­tiques dans l’e­space numérisé. Une place doit y être con­sacrée dans les cur­sus sco­laires à tous niveaux et cela passe oblig­a­toire­ment par une for­ma­tion des formateurs.

2 — Respon­s­abil­ité. ” Chaque acteur des sys­tèmes d’in­for­ma­tion a une part de respon­s­abil­ité dans la SSI. ” Il s’ag­it aus­si, con­cer­nant la base IEN, de bien définir le besoin d’en con­naître et de fix­er les apports de cha­cun à un tra­vail de veille qui ne peut être que collectif.

3 — Réac­tion. ” Ce principe évoque l’u­til­ité d’a­gir de manière réac­tive et coopéra­tive pour prévenir, détecter et répon­dre aux inci­dents. ” Une pra­tique régulière d’ex­er­ci­ces à par­tir de scé­nar­ios sim­ples a démon­tré sa pertinence.

4 — Éthique. ” Les par­ties prenantes doivent adopter une con­duite éthique afin de ne pas causer de tort à autrui. Cela con­siste notam­ment à adopter des pra­tiques exem­plaires et pro­mou­voir des com­porte­ments qui tien­nent compte des impérat­ifs de sécu­rité et respectent les intérêts légitimes des autres par­ties prenantes. ” Cette recom­man­da­tion s’op­pose sou­vent à l’im­punité qui règne dans le cyberespace.

5 — Démoc­ra­tie. ” La SSI doit être com­pat­i­ble avec les valeurs des sociétés démoc­ra­tiques, notam­ment la liber­té d’échang­er des pen­sées et des idées, la libre cir­cu­la­tion de l’in­for­ma­tion, la con­fi­den­tial­ité de l’in­for­ma­tion et des com­mu­ni­ca­tions, la pro­tec­tion adéquate des infor­ma­tions à car­ac­tère per­son­nel, l’ou­ver­ture et la trans­parence. ” Les 30 pays mem­bres actuels de l’OCDE ont une pra­tique numérique glob­ale­ment com­pat­i­ble avec les con­tra­dic­tions appar­entes de cette recom­man­da­tion (trans­parence ver­sus protection).

6 — Éval­u­a­tion des risques. ” Éval­uer les risques SSI, par­ti­c­ulière­ment en ter­mes d’im­por­tance des infor­ma­tions à pro­téger, de men­aces, de vul­néra­bil­ités et de préju­dices pos­si­bles, per­met de déter­min­er un niveau accept­able de risque et des mesures de sécu­rité appro­priées. ” Sans tra­vail méthodologique sys­té­ma­tique de type ” ges­tion du risque “, il est illu­soire de pré­ten­dre pro­téger, dans toute sa com­plex­ité, son pat­ri­moine infor­ma­tion­nel numérique.

7 — Con­cep­tion et mise en oeu­vre de la sécu­rité. ” Ce principe rap­pelle qu’il est pri­mor­dial de con­sid­ér­er la sécu­rité comme un élé­ment essen­tiel des sys­tèmes d’in­for­ma­tion. ” En par­ti­c­uli­er, les con­trac­tu­al­i­sa­tions en matière de sys­tèmes d’in­for­ma­tion et de com­mu­ni­ca­tion doivent com­porter des claus­es touchant à la sécu­rité dont l’im­pact soit estimable.

8 — Ges­tion de la sécu­rité. ” Il est néces­saire d’adopter une approche glob­ale et con­tin­ue de la ges­tion de la sécu­rité, basée sur l’é­val­u­a­tion des risques SSI. ” La sécu­rité se gère au quo­ti­di­en par l’analyse per­ti­nente des traces infor­ma­tiques, par l’ap­pli­ca­tion des mis­es à jour de sécu­rité, par l’ap­pel réguli­er à des audits, par la mise en place d’indi­ca­teurs per­me­t­tant de mesur­er les progrès.

9 — Réé­val­u­a­tion. ” Le dernier principe prévoit de réé­val­uer régulière­ment la SSI et de met­tre à jour les poli­tiques, référen­tiels et mesures de sécu­rité afin de pren­dre en compte l’évo­lu­tion naturelle des risques. ” L’ap­pli­ca­tion de l’ensem­ble de ces recom­man­da­tions procède du con­cept raison­né de la ” défense en pro­fondeur ” et non d’une solu­tion ” clé en main ” car comme l’af­firme le philosophe Clé­ment Ros­set dans Le réel et son dou­ble : ” La fausse sécu­rité est plus que l’al­liée de l’il­lu­sion, elle en con­stitue la sub­stance même. ”

Conclusion

Le cyber­monde nous fait pénétr­er dans une dimen­sion nou­velle des activ­ités humaines. L’in­tel­li­gence économique numérique con­naît un développe­ment sans précé­dent en s’ap­puyant sur un out­il­lage de plus en plus sophis­tiqué. Son exploita­tion, qui néces­site la mise en place d’une véri­ta­ble poli­tique de SSI, relève cepen­dant d’abord de l’in­tel­li­gence humaine.

Bibliographie

•Edward Waltz, Infor­ma­tion War­fare : Prin­ci­ples and Oper­a­tions, Artech House, 1998.
•James Bam­ford, The Shad­ow Fac­to­ry, The Ultra-Secret NSA from 9/11 to the Eaves­drop­ping on Amer­i­ca, Dou­ble­day, 2008.
•Jean-Louis Desvi­gnes, Les enjeux de la sécu­rité des sys­tèmes d’in­for­ma­tion,
http://www.sstic.org/SSTIC03/articles/SSTIC03-Desvignes-Les_enjeux_de_la_securite_des_SI.pdf
•Ken Thomp­son, Reflec­tions on Trust­ing Trust,
http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf
•L’in­tranet sécurisé inter­min­istériel pour la syn­ergie gou­verne­men­tale (ISIS)http://www.ssi.gouv.fr/isis/
• La défense en pro­fondeur appliquée aux sys­tèmes d’information,
http://www.ssi.gouv.fr/fr/confiance/documents/methodes/mementodep-v1.1.pdf
•Lignes direc­tri­ces de l’OCDE régis­sant la sécu­rité des sys­tèmes et réseaux d’in­for­ma­tion : vers une cul­ture de la sécu­rité, http://www.ssi.gouv.fr/fr/dcssi/OCDE-lignesdir.pdf
•Por­tail de la sécu­rité infor­ma­tique : http://www.securite-informatique.gouv.fr/
•Total ” Ter­ror­ism ” Infor­ma­tion Aware­ness, http://epic.org/privacy/profiling/tia/

Poster un commentaire