Une dimension nouvelle dans le monde virtuel

Dossier : L'Intelligence économiqueMagazine N°640 Décembre 2008
Par Philippe WOLF (78)

Pour une entre­prise ou une orga­ni­sa­tion, l’in­tel­li­gence éco­no­mique numé­rique (IEN) doit pro­cé­der de deux pra­tiques com­plé­men­taires et inséparables.

Tout d’a­bord la consti­tu­tion, l’en­tre­tien et l’u­sage d’une base infor­ma­tion­nelle irri­guant l’en­semble de son savoir-faire : le déve­lop­pe­ment de cette base fait appel à des outils infor­ma­tiques en per­ma­nente évolution.

Ensuite la pro­tec­tion de son propre sys­tème d’in­for­ma­tion com­bi­née à la maî­trise de sa com­mu­ni­ca­tion numérique.

Repères
On ne peut s’empêcher de pen­ser à l’a­dap­ta­tion ciné­ma­to­gra­phique de la nou­velle épo­nyme de Phi­lip K. Dick, Mino­ri­ty Report, dont le cadre est le Washing­ton de 2054 où des êtres humains mutants, les Pré­cogs, peuvent pré­dire les crimes à venir grâce à leur don de pres­cience dans l’or­ga­ni­sa­tion appe­lée » Precrime « .

Un véritable arsenal d’armes logicielles

L’en­re­gis­tre­ment et la dif­fu­sion de don­nées de plus en plus nom­breuses et variées ont per­mis de construire des outils de fouille infor­ma­tion­nelle (« data mining ») dont la sophis­ti­ca­tion devient surprenante.

De nou­velles tech­niques d’a­na­lyse de la parole, de tra­duc­tion mul­ti­langue auto­ma­tique ou de modé­li­sa­tion des pro­ces­sus cog­ni­tifs sans par­ler de la révo­lu­tion de l’i­ma­ge­rie numé­rique enri­chissent la trousse à outils de cette révo­lu­tion du ren­sei­gne­ment numé­rique qui touche direc­te­ment quatre des six domaines édic­tés par la Direc­tion géné­rale du ren­sei­gne­ment exté­rieur (DGSE) à savoir : le ren­sei­gne­ment d’o­ri­gine élec­tro­ma­gné­tique (ROEM), le ren­sei­gne­ment d’o­ri­gine image (ROIM), le ren­sei­gne­ment d’o­ri­gine opé­ra­tion­nelle (ROOPS) et, bien sûr, le ren­sei­gne­ment de source ouverte (Info SO). Dans le domaine du ren­sei­gne­ment d’o­ri­gine humaine (ROHUM) on peut éga­le­ment pré­voir une intru­sion crois­sante du numé­rique mar­quée, par exemple, par les addic­tions tech­no­lo­giques de l’homme moderne ou l’ex­plo­sion des réseaux sociaux virtuels.

La vita­li­té et la varié­té extra­or­di­naire de ces recherches algo­rith­miques com­mencent éga­le­ment à irri­guer l’in­tel­li­gence éco­no­mique. Une tech­nique essen­tielle est ici la fusion d’in­for­ma­tions qui cor­res­pond à la volon­té d’u­ti­li­ser simul­ta­né­ment plu­sieurs sources de don­nées, ou de grou­per des infor­ma­tions hété­ro­gènes afin d’ob­te­nir une nou­velle infor­ma­tion de meilleure qua­li­té pour une meilleure déci­sion. Il s’a­git sou­vent à par­tir de signaux faibles et d’une obser­va­tion impar­faite de la situa­tion de for­mer des hypo­thèses partielles.

La ges­tion des crises (catas­trophe natu­relle, attaque ter­ro­riste, crise sani­taire, crise sys­té­mique…) aus­si bien dans leur anti­ci­pa­tion (pré­ven­tion et alerte) que dans leur trai­te­ment béné­fi­cie de ces tech­no­lo­gies qui per­mettent de mieux com­prendre et de par­ta­ger une vision com­mune aux acteurs éco­no­miques pour mieux agir. Dans la ges­tion post­crise qui a pour objec­tif d’a­mé­lio­rer la rési­lience en res­tau­rant l’ac­ti­vi­té, l’a­na­lyse des retours d’ex­pé­rience per­met éga­le­ment d’en­ri­chir la base d’IEN. L’en­tre­tien d’un patri­moine infor­ma­tion­nel dyna­mique peut éga­le­ment être por­teur de » séren­di­pi­té » qui est le fait de com­prendre que l’on a trou­vé ou décou­vert par hasard, par chance ou par acci­dent, quelque chose d’im­por­tant que l’on ne cher­chait pas. On rejoint ici les tech­niques modernes de la guerre info­cen­trée. La créa­tion de » war rooms » numé­ri­sées au sein de cer­taines entre­prises pro­cède de ces nou­veaux pro­ces­sus de mana­ge­ment actif.

Dans ces tech­no­lo­gies de pointe, des pôles de com­pé­ti­ti­vi­té en France, coor­don­nant les tra­vaux de PME et de grandes entre­prises, essaient de struc­tu­rer l’in­no­va­tion autour de thé­ma­tiques en par­tie sécu­ri­taires. Deux exemples peuvent être cités. Infom@gic, qui relève de l’in­gé­nie­rie des connais­sances, en explore trois axes tech­no­lo­giques fon­da­men­taux : les moteurs de recherche avan­cés, l’ex­trac­tion de connais­sances et la fusion d’in­for­ma­tions mul­ti­mé­dias, et ce sur tous les types de sources. System@tic, dans sa thé­ma­tique sécu­ri­té et défense en par­ti­cu­lier, traite des inno­va­tions signi­fi­ca­tives en matière de tech­no­lo­gies logi­cielles et d’ar­chi­tec­ture de grands sys­tèmes complexes.

Une créa­tion orwellienne
Quelques semaines après les attaques du 11 sep­tembre 2001, l’a­mi­ral John Poin­dex­ter – connu pour avoir été mêlé au scan­dale de l’I­ran­gate – pro­pose comme res­pon­sable du » Infor­ma­tion Awa­re­ness Office « , un des prin­ci­paux pro­grammes de ren­sei­gne­ment du DARPA (Dépar­te­ment de la recherche de défense aux USA) de réa­li­ser un sys­tème d’in­for­ma­tion inti­tu­lé » Total Infor­ma­tion Awa­re­ness Sys­tem » (TIA).
Il s’a­git de déve­lop­per un sys­tème modu­laire et auto­ma­tique apte à révé­ler des acti­vi­tés prototerroristes.
TIA recueille, pour tout indi­vi­du iden­ti­fié dans le sys­tème par ses mar­quants bio­mé­triques – pho­to­gra­phie faciale, empreintes digi­tales, iris, déam­bu­la­tion, etc. -, l’en­semble de ses traces numé­riques dans une liste à la Pré­vert qu’il n’est pas utile de tra­duire : Finan­cial, Edu­ca­tion, Tra­vel, Medi­cal, Vete­ri­na­ry, Country/Entry, Place/Event Entry, Trans­por­ta­tion, Hou­sing, Cri­ti­cal Resources, Govern­ment, Communications.
Toute une pano­plie de logi­ciels d’a­na­lyse mul­ti-agents, de recherches séman­tiques de connexions, de modé­li­sa­tion com­por­te­men­tale et de recon­nais­sance de » pat­terns » carac­té­ris­tiques fouille, en per­ma­nence, cette méta­base de don­nées dyna­mique pour aver­tir, in fine, des ana­lystes humains sur un évé­ne­ment clé en moins d’une heure.
Après une bataille média­tique d’as­so­cia­tions de pro­tec­tion des liber­tés civiles, le pro­gramme a été rebap­ti­sé » Ter­ro­rist Infor­ma­tion Awa­re­ness Sys­tem « . Depuis, peu d’in­for­ma­tions ont fil­tré sur l’a­van­cée de TIA (il est éli­mi­né du bud­get de la Dar­pa dans les dépenses mili­taires approu­vées par le Sénat pour 2004) et, bien sûr, sur son effi­ca­ci­té réelle.

Neuf principes pour bâtir une politique de protection de ce patrimoine

L’autre dimen­sion de l’IEN consiste pour une entre­prise, une admi­nis­tra­tion ou un pays à savoir sécu­ri­ser ses sys­tèmes et réseaux d’in­for­ma­tion selon les pra­tiques d’une science dési­gnée, en France, sous le sigle SSI (Sécu­ri­té des sys­tèmes d’information).

Des logi­ciels malicieux
L’an­née 2007 a mar­qué une rup­ture dans la sophis­ti­ca­tion et l’am­pleur des attaques sur Inter­net. On cite­ra, entre autres, les cybe­rat­taques ciblées dites chi­noises (ori­gine lar­ge­ment incon­nue), la satu­ra­tion des réseaux esto­niens par des attaques en déni de ser­vice (pre­mière cyber­guerre pour cer­tains com­men­ta­teurs), l’ex­ten­sion des réseaux de machines com­pro­mises (bot­net Storm­worm), etc. Vincent Cerf, par­fois appe­lé le » père de l’In­ter­net « , a annon­cé à la confé­rence de Davos, en 2007, qu’une machine sur quatre rece­lait au moins un logi­ciel mali­cieux ou » malware « .

Au-delà des pro­blèmes clas­siques de vol ou de pié­geage de maté­riel comme les por­tables ou les sup­ports amo­vibles, et du trai­te­ment sys­té­ma­tique des traces élec­tro­niques, des formes nou­velles de menace sont appa­rues ou se sont déve­lop­pées. Des évé­ne­ments récents démontrent clai­re­ment que les mafias, les offi­cines pri­vées d’in­tel­li­gence éco­no­mique et les ser­vices de ren­sei­gne­ments étran­gers savent pro­fi­ter des vul­né­ra­bi­li­tés non trai­tées des nou­velles technologies.

L’OCDE a éta­bli neuf prin­cipes qui per­mettent un exa­men rapide des défis à rele­ver pour l’IEN et la SSI (Sécu­ri­té des sys­tèmes d’in­for­ma­tion) dans leur dimen­sion défen­sive. L’OCDE plaide, bien évi­dem­ment, pour un point de vue glo­bal et cohé­rent. Ces recom­man­da­tions n’ont pas un carac­tère obligatoire.

1 – Sen­si­bi­li­sa­tion. Le réfé­ren­tiel des for­ma­tions en intel­li­gence éco­no­mique, éla­bo­ré dans le cadre de la mis­sion du haut res­pon­sable en charge de l’in­tel­li­gence éco­no­mique, liste, dans ses quatre grands thèmes d’en­sei­gne­ment, l’é­co­no­mie de l’in­for­ma­tion et de la connais­sance. Plus lar­ge­ment, des actions de sen­si­bi­li­sa­tion doivent être régu­liè­re­ment orga­ni­sées au sein des entre­prises ou des orga­nismes pour faire prendre conscience des risques numé­riques et des enjeux des bonnes pra­tiques dans l’es­pace numé­ri­sé. Une place doit y être consa­crée dans les cur­sus sco­laires à tous niveaux et cela passe obli­ga­toi­re­ment par une for­ma­tion des formateurs.

2 – Res­pon­sa­bi­li­té. » Chaque acteur des sys­tèmes d’in­for­ma­tion a une part de res­pon­sa­bi­li­té dans la SSI. » Il s’a­git aus­si, concer­nant la base IEN, de bien défi­nir le besoin d’en connaître et de fixer les apports de cha­cun à un tra­vail de veille qui ne peut être que collectif.

3 – Réac­tion. » Ce prin­cipe évoque l’u­ti­li­té d’a­gir de manière réac­tive et coopé­ra­tive pour pré­ve­nir, détec­ter et répondre aux inci­dents. » Une pra­tique régu­lière d’exer­cices à par­tir de scé­na­rios simples a démon­tré sa pertinence.

4 – Éthique. » Les par­ties pre­nantes doivent adop­ter une conduite éthique afin de ne pas cau­ser de tort à autrui. Cela consiste notam­ment à adop­ter des pra­tiques exem­plaires et pro­mou­voir des com­por­te­ments qui tiennent compte des impé­ra­tifs de sécu­ri­té et res­pectent les inté­rêts légi­times des autres par­ties pre­nantes. » Cette recom­man­da­tion s’op­pose sou­vent à l’im­pu­ni­té qui règne dans le cyberespace.

5 – Démo­cra­tie. » La SSI doit être com­pa­tible avec les valeurs des socié­tés démo­cra­tiques, notam­ment la liber­té d’é­chan­ger des pen­sées et des idées, la libre cir­cu­la­tion de l’in­for­ma­tion, la confi­den­tia­li­té de l’in­for­ma­tion et des com­mu­ni­ca­tions, la pro­tec­tion adé­quate des infor­ma­tions à carac­tère per­son­nel, l’ou­ver­ture et la trans­pa­rence. » Les 30 pays membres actuels de l’OCDE ont une pra­tique numé­rique glo­ba­le­ment com­pa­tible avec les contra­dic­tions appa­rentes de cette recom­man­da­tion (trans­pa­rence ver­sus protection).

6 – Éva­lua­tion des risques. » Éva­luer les risques SSI, par­ti­cu­liè­re­ment en termes d’im­por­tance des infor­ma­tions à pro­té­ger, de menaces, de vul­né­ra­bi­li­tés et de pré­ju­dices pos­sibles, per­met de déter­mi­ner un niveau accep­table de risque et des mesures de sécu­ri­té appro­priées. » Sans tra­vail métho­do­lo­gique sys­té­ma­tique de type » ges­tion du risque « , il est illu­soire de pré­tendre pro­té­ger, dans toute sa com­plexi­té, son patri­moine infor­ma­tion­nel numérique.

7 – Concep­tion et mise en oeuvre de la sécu­ri­té. » Ce prin­cipe rap­pelle qu’il est pri­mor­dial de consi­dé­rer la sécu­ri­té comme un élé­ment essen­tiel des sys­tèmes d’in­for­ma­tion. » En par­ti­cu­lier, les contrac­tua­li­sa­tions en matière de sys­tèmes d’in­for­ma­tion et de com­mu­ni­ca­tion doivent com­por­ter des clauses tou­chant à la sécu­ri­té dont l’im­pact soit estimable.

8 – Ges­tion de la sécu­ri­té. » Il est néces­saire d’a­dop­ter une approche glo­bale et conti­nue de la ges­tion de la sécu­ri­té, basée sur l’é­va­lua­tion des risques SSI. » La sécu­ri­té se gère au quo­ti­dien par l’a­na­lyse per­ti­nente des traces infor­ma­tiques, par l’ap­pli­ca­tion des mises à jour de sécu­ri­té, par l’ap­pel régu­lier à des audits, par la mise en place d’in­di­ca­teurs per­met­tant de mesu­rer les progrès.

9 – Rééva­lua­tion. » Le der­nier prin­cipe pré­voit de rééva­luer régu­liè­re­ment la SSI et de mettre à jour les poli­tiques, réfé­ren­tiels et mesures de sécu­ri­té afin de prendre en compte l’é­vo­lu­tion natu­relle des risques. » L’ap­pli­ca­tion de l’en­semble de ces recom­man­da­tions pro­cède du concept rai­son­né de la » défense en pro­fon­deur » et non d’une solu­tion » clé en main » car comme l’af­firme le phi­lo­sophe Clé­ment Ros­set dans Le réel et son double : » La fausse sécu­ri­té est plus que l’al­liée de l’illu­sion, elle en consti­tue la sub­stance même. »

Conclusion

Le cyber­monde nous fait péné­trer dans une dimen­sion nou­velle des acti­vi­tés humaines. L’in­tel­li­gence éco­no­mique numé­rique connaît un déve­lop­pe­ment sans pré­cé­dent en s’ap­puyant sur un outillage de plus en plus sophis­ti­qué. Son exploi­ta­tion, qui néces­site la mise en place d’une véri­table poli­tique de SSI, relève cepen­dant d’a­bord de l’in­tel­li­gence humaine.

Bibliographie

•Edward Waltz, Infor­ma­tion War­fare : Prin­ciples and Ope­ra­tions, Artech House, 1998.
•James Bam­ford, The Sha­dow Fac­to­ry, The Ultra-Secret NSA from 911 to the Eaves­drop­ping on Ame­ri­ca, Dou­ble­day, 2008.
•Jean-Louis Des­vignes, Les enjeux de la sécu­ri­té des sys­tèmes d’in­for­ma­tion,
http://www.sstic.org/SSTIC03/articles/SSTIC03-Desvignes-Les_enjeux_de_la_securite_des_SI.pdf
•Ken Thomp­son, Reflec­tions on Trus­ting Trust,
http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf
•L’in­tra­net sécu­ri­sé inter­mi­nis­té­riel pour la syner­gie gou­ver­ne­men­tale (ISIS)http://www.ssi.gouv.fr/isis/
• La défense en pro­fon­deur appli­quée aux sys­tèmes d’information,
http://www.ssi.gouv.fr/fr/confiance/documents/methodes/mementodep-v1.1.pdf
•Lignes direc­trices de l’OCDE régis­sant la sécu­ri­té des sys­tèmes et réseaux d’in­for­ma­tion : vers une culture de la sécu­ri­té, http://www.ssi.gouv.fr/fr/dcssi/OCDE-lignesdir.pdf
•Por­tail de la sécu­ri­té infor­ma­tique : http://www.securite-informatique.gouv.fr/
•Total » Ter­ro­rism » Infor­ma­tion Awa­re­ness, http://epic.org/privacy/profiling/tia/

Poster un commentaire