Le dirigeant sécurise de façon instinctive le capital matériel, tangible de son entreprise. Il pose des caméras, des verrous, fixe au sol ou au mur les pièces qu’il estime chères ou indispensables à la continuité de son activité. S’il n’est pas en mesure de sécuriser ce capital physique, le chef d’entreprise va l’assurer. Dans tous les cas, il s’agit de protéger ses biens contre le vol ou la destruction.

Pourtant, la cybersécurité des biens intangibles n’est pas une priorité lors du budget prévisionnel. Bien que compréhensible avant l’avènement de l’internet, ce biais est aujourd’hui inexcusable dans le pilotage d’une organisation.

Aussi appelé capital immatériel de l’entreprise #CIME, ce bien est pleinement intégré dans la gestion des risques et fait l’objet d’un traitement propre. Elf Aquitaine étudie le CIME dès 1979 : www.immateriel.org

 

Pourquoi protéger le capital immatériel ?

“L’information est l’or noir du XXI° siècle”. Effectivement, elle est présente dans toutes les couches de l’entreprise, de la gestion et la production en passant par le support ou le commerce. Cette information est de plus boostée par des outils modernes grâce aux ordinateurs et téléphones portables, à internet, et plus récemment au télétravail. L’information constitue la substantifique moelle du capital immatériel votre organisation.

Cette information est aujourd’hui le support principal de la connaissance et des savoirs de l’entreprise : la culture et le savoir-être, l’image et la marque, le savoir-faire et l’expérience, la stratégie (d’achat, de gestion, commerciale, etc…)

Dès lors l’expansion du domaine de l’information augmente d’autant son exposition aux risques. La plupart du temps ce capital transite ou est stocké sur des supports informatiques. Les informaticiens s’attachent alors à préserver sa disponibilité, son intégrité, sa confidentialité et sa traçabilité.

Intentionnellement ou non, l’information est exposée au risque de la même manière que le capital matériel : vol, destruction ou modification.

Toute atteinte à ce capital intangible a néanmoins des conséquences graves. De l’incapacité à produire ou la dégradation de l’image, le coût financier, voire la cohésion des collaborateurs.

 

Comment protéger ce capital ?

La prise de conscience du risque d’atteinte au capital immatériel permet au dirigeant de sécuriser son activité et de pérenniser sa production. Ceux qui poussent la démarche jusqu’à la certification ISO 27001 « système de management de la sécurité de l’information » mettent en avant un atout commercial supplémentaire qui consolide les relations avec leurs clients, partenaires et fournisseurs.

Pour cela, le chef d’entreprise s’appuie sur des experts en mesure de l’accompagner de la gestion du risque jusqu’à la mise en conformité selon ses contraintes et exigences :

• La première fonction est de cartographier l’information. Cela permet d’identifier les flux, les nœuds, les entrées et sorties
• Un outil d’audit permet d’identifier les risques auxquels l’organisation est exposée (naturels, de sécurité, de sûreté, systémiques et spécifiques)
• La formation des décideurs et des collaborateurs
• La sécurisation physique & fonctionnelle (accès aux locaux, accès à l’information sensible ou stratégique)
• La cybersécurité (solutions techniques informatiques)
• Le juridique (connaissance des contraintes auxquelles vous êtes soumis réglementairement en France ou à l’étranger)
• L’assurantiel (il s’agit du traitement des risques « transférés » à un tiers)

Quels outils pour sécuriser le CIME ?

Aujourd’hui les solutions existent. La France dispose des ressources techniques et humaines pour protéger les administrations et les acteurs économiques de la TPE/PME aux grands groupes.

• Le diagnostic CIME permet de valoriser le capital immatériel et ainsi lui donner une valeur en euros. A défaut de le rendre tangible, cela rend l’immatériel compréhensible
• Les agences de l’état (notamment l’ANSSI et la méthode EBIOS Risk Manager), quelques sociétés privées proposent des diagnostics de sécurité / sûreté
• Les organismes de formation (OPCO) proposent de plus en plus de formations dédiées aux techniciens pour leur permettre de monter en compétence dans le domaine de la cybersécurité
• Les sensibilisations permettent enfin de sensibiliser les collaborateurs aux risques de vol, perte ou destruction de l’information sensible dans l’entreprise.
• Les experts en intelligence économique et protection des entreprises et cybersécurité proposent ces diagnostics, formations et mises en conformité.

 

Pour toute question relative à l’acquisition, au traitement et à la protection de votre capital immatériel, contactez Sébastien CASTET, expert en intelligence économique et protection des entreprises : contact@serendis.fr ou visitez le site internet www.serendis.fr

Joseph Popp et le premier ransomware en 1989

30 ans, les noces de perle… informatiques ! En 1989 Joseph POPP a codé « AIDS Trojan ». Il s’agissait alors d’une disquette envoyée par la poste. Au bout de 90 redémarrages de votre ordinateur, tous les dossiers étaient renommés et rendus inexploitables. Vous deviez alors vous retourner vers votre fournisseur (une adresse postale au Panama) qui vous renvoyait la clé de déchiffrement. Clé qui se trouvait d’ailleurs être sur la disquette originelle contre la somme de 189 dollars US.
Scotland Yard fini par arrêter POPP, incapable mentalement d’être jugé. Il promit de reverser l’argent volé à un fond de recherche contre le SIDA (d’où le nom de ce premier ransomware de l’histoire).
Si les techniques ont évolué avec les nouvelles technologies, l’internet haut débit et les bases de données démultipliées #bigdata, le principe reste suffisamment efficace pour ne pas changer dans la forme : Il s’agit d’interrompre violemment votre fonctionnement quotidien au bureau, d’appliquer une couche de menaces ; la surprise, le stress et l’adrénaline font le reste. C’est la panique !

30 ans après monsieur Popp

30 ans après monsieur Popp, on bombarde les dirigeants de statistiques effrayantes dans le but de les faire réagir. Par exemple : coût d’une cyber-attaque 300k€, 80% des entreprises françaises touchées par une attaque, cessation d’activité d’environ 3 semaines, montant des rançons de 3000€ à plusieurs millions d’euros (mon record personnel date de juin 2020 avec une rançon à 1,8M€ !), 1 entreprise sur 3 ferme dans les 18 mois après une cyberattaque, etc… (source IRT SystemX – 2019)
Le coût macroéconomique est également à souligner car tout cumulé, l’impact sur l’économie d’un pays est significatif. Elle pourrait même entrer dans une stratégie de déstabilisation pour les adeptes de guerre économique (ce que je confesse volontiers). Bien qu’extrêmement difficile à définir, voir impossible pour une TPE/PME, l’origine des attaques pourrait aisément supporter un effort de fragilisation d’un concurrent, d’une filière voire d’un pays.
Il ne s’agit pas là de tomber dans la paranoïa, mais plutôt de « connaitre son ennemi » comme le préconisait Sun Tzu il y a 2500 ans (bien avant le ransomware de Joseph Popp !)

Des escrocs plus que des hackers

Car votre principal souci est un escroc avant d’être un informaticien malicieux. Car il ne faut pas être un génie pour créer un virus informatique, acheter une base de données d’adresses mails pour le diffuser. Puis finir par récupérer la rançon.
Certains de ces escrocs (terme que je préfère à « hacker » qui peuvent être « éthiques ») font ça pour le jeu (les « kiddy hackers » et les « challengers »), pour la vengeance (un ancien collaborateur mécontent), pour une cause (les « hacktivists »), ou pour une action de déstabilisation géopolitique comme vu supra.

Le chef d’entreprise face à la menace cyber en 2020

En 2020 le chef d’entreprise s’est protégé contre des menaces nouvelles. Citons par exemple le défaut de paiement, risques à l’international, terrorisme, inondation, incendie, RGPD, etc…). Mais il ne s’est pas protégé contre le risque cyber. Selon moi parce qu’il a été mal adressé !
En effet, qui a dit aux chefs d’entreprise que le seul moyen de se prémunir des ransomware aujourd’hui était un bon plan de sauvegarde ? Pas d’ingénieur en cryptographie ni de budgets inconséquents, mais tout simplement des process, des outils adaptés et de la méthodologie.
Les experts en cybersécurité disposent aujourd’hui d’une panoplie complète d’outils en mesure de s’adapter à vos contraintes. Cela ne nécessite pas nécessairement une transformation de vos méthodes de production. Nous disposons de solutions de sécurisation organisationnelles, techniques et physiques, informatiques et logiques, assurantielles, juridiques, en complément des actions de formation des collaborateurs.
Pour les plus sceptiques, rendez-vous dans 30 ans pour les noces de diamant ! Certaines perles auront pris de la valeur …

Si vous êtes confronté à du ransomware, n’hésitez pas à me contacter en cliquant ici

Retours d’expérience – gestion de crise suite à un ransomware

 

La gestion de crise cybersécurité, une question de souveraineté numérique !

En 2016 les multiplications d’attaques informatiques paralysent les TPE/PME en France. Une vague de virus (les ransomware ou rançongiciels) chiffrent et bloquent les données présentes sur tous les ordinateurs infestés. Peu averties ou mal protégées, ces entreprises doivent faire face à une situation de crise inédite qui bloque l’activité sur plusieurs semaines : plus de compta, plus d’accès aux fichiers clients, produits, ou aux process de fabrication !
Sébastien Castet intervient alors en remédiation afin d’accompagner les dirigeants dans la prise de décision pendant cette période complexe.

 

L’enjeu de la cybersécurité pour les TPE/PME en France : dès 2016 la cybersécurité devient un risque qui met en danger la survie et la pérennité des TPE/PME en France. Quel que soit votre taille ou votre activité, votre capital immatériel est exposé. En effet, la perte, le vol ou la destruction des données stratégiques d’une entreprise peuvent avoir un impact direct sur le maintien de son activité. Le rançongiciel, ou ransomware, fait partie des attaques les plus communes mais également les plus efficaces. Cet article de la République des Pyrénées rappelle l’enjeu de la cybersécurité ; il explique comment réagir lors d’une crise cyber, ainsi que les bonnes pratiques à mettre en œuvre pour s’en prémunir :

http://www.larepubliquedespyrenees.fr/2016/04/20/une-entreprise-ranconnee-par-un-pirate-informatique,2019097.php

Tous les experts vous le diront : l’intelligence économique est une aide à la gouvernance indispensable aux dirigeants aujourd’hui. Quand on a dit ça on a tout dit … ou plutôt on n’a rien dit !

Intelligence économique, la gestion de l’information ?

Quand un consultant me propose des prestations de transformation numérique, je vois très bien de quoi il s’agit. Quand il me propose un accompagnement commercial, marketing ou ressources humaines, je comprends de quoi il s’agit. Et surtout quelle sera la plus-value pour mon entreprise et l’impact potentiel sur mes revenus.
En revanche (soyons honnêtes), lorsque l’on parle d’«intelligence économique» (IE), qui peut deviner que l’on parle (tout simplement) de « gestion de l’information » ? L’IE qui adresse la veille, la gestion des connaissances, la sécurité économique et la communication stratégique subit une mauvaise importation anglophone de « business intelligence ». Et d’une phobie gauloise du «renseignement économique». Sans mentionner les spécialistes qui maintiennent ce flou afin de vendre une expertise accessible uniquement à quelques élus. Pendant des années, ce flou a généré un blocage voire une aversion de l’IE dans les TPE/PME.
Venons-en donc au fait ! L’exploitation de l’information (stratégique, sensible, confidentielle, à votre guise…) doit vous permettre de prendre vos décisions tactiques et stratégiques en disposant d’une compréhension de la situation économique actuelle et des évolutions potentielles (la «situation awareness» pour les militaro-anglo-philes). On parle alors de prospective et non pas de prédiction ou d’anticipation que nous laisserons aux auteurs de science-fiction.
Car toutes les techniques de prospectives ont pour but de vous présenter le panel des futurs possibles. Et toutes sont bonnes si l’on admet qu’aucune n’est en mesure de prédire le futur à 100%. Les grands stratèges peuvent se fier à Napoléon qui confesse « je n’ai jamais eu de plan d’opération ». En effet, un plan immuable, ainsi qu’une vision rigide de l’avenir tout comme une stratégie figée mènent à l’échec.

 

Les supers pouvoirs des signaux faibles

Dans une vie passée, j’ai pu expérimenter l’analyse des hypothèses concurrentes (Analysis of Competing Hypotheses) et je garde une appétence pour cette technique qui s’est avérée fiable. Je vais donc m’appuyer sur cette connaissance pour démystifier les supers pouvoirs des signaux faibles.

Question sémantique  1 :

un « signal » est un fait, un évènement ou un dispositif destiné à avertir, prévenir ou annoncer quelque chose. Le signal est donc un émetteur, il est actif. Or dans le cadre de notre veille stratégique, les détails que nous relevons dans un article de presse, sur le site d’un concurrent, ou lors d’un échange avec une source humaine, n’émettent rien. Ils sont des indices fondus dans une grande quantité d’informations. (nota : ici la source humaine n’est pas à prendre au sens d’une personne qui crie à tout va qu’elle envisage une fusion acquisition avec votre fournisseur, mais bien comme une information transmise sans volonté de nuire lors d’une conversation anodine).

Question sémantique 2 :

le signal n’est pas « fort » ou « faible ». Il est présent ou il ne l’est pas ! L’épaisseur du brouillard dans lequel l’indice est dissolu ne le rend pas plus fort ni plus faible. Seules votre capacité d’analyse et votre connaissance du sujet détermineront la force de l’indice et sa criticité.
Pour cette raison je préfère parler d’indicateur d’alerte (IA) plutôt que de «signal faible». Ce court biais cognitif nous permet d’avoir une approche différente et plus proactive de la veille, de sa fonction analyse et surtout, de son impact sur la prise de décision pour le dirigeant.
Afin d’être considéré comme critique, un indicateur doit cumuler six critères :

– Précoce : l’activité détectée doit l’être suffisamment tôt de façon à déclencher des actions à temps

– Fiable : l’indicateur doit être sûr – il doit clairement démontrer l’activité que vous anticipez

– Possible à collecter : l’information doit être accessible, de façon légale

– Identifiable : désigne de façon exclusive l’activité en cours. Il peut être discriminé des autres indicateurs

– Révélateur : l’indicateur mène le veilleur vers un scénario. Le veilleur peut prendre une décision en s’appuyant sur cet indicateur

– Sans ambiguïté : l’indicateur cible un évènement défini. S’il identifie plusieurs scénarii cela va mener à la confusion.

 

Exploitation des signaux faibles, ou indicateurs d’alerte

Venons-en à présent à l’exploitation de ces indicateurs d’alerte : l’analyse des hypothèses concurrentes vous a permis d’identifier trois scenarii de futurs possibles (se contraindre à 3 permet d’éviter les scenarii rocambolesques). Cette méthode étant itérative et agile (revoir la référence à Napoléon supra), vous mettrez à jour vos scenarii de façon régulière.
Votre solution de veille et son travail d’analyse intrinsèque vous permettront de déceler les indicateurs d’alerte. Grâce à ces indicateurs critiques vous pouvez à présent confirmer ou bien infirmer un scenario anticipé. Le traitement des IA vous permet à présent de valider une stratégie probable et d’exclure une stratégie invraisemblable.

 

Avoir un coup d’avance !

Nous ne sommes donc pas dans la prédiction mais bien dans la confirmation d’une tendance anticipée puisque l’indicateur est un fait réel, concret et avéré au moment de sa découverte. Dès cet instant vous êtes en possession d’informations capitales sur votre environnement. Vous êtes en mesure de prendre des décisions stratégiques avec plus d’assurance, voire avec un coup d’avance !
Voici un exemple type dans lequel chaque petit carré représente un indicateur :

exemple de veille concurrentielle

En conséquence, faites de la veille, anticipez les évolutions de votre environnement économique et confortez vos choix stratégiques ! Passez ensuite à l’étape suivante et challengez votre cellule de veille avec une «RedTeam». Puis mettez en place les « rapports d’étonnement ». Vous serez surpris !
Car l’intelligence économique n’est pas une conception académique, c’est bien un outil d‘aide à la décision, et les indicateurs d’alerte sont les cyalumes qui éclairent les pas du dirigeant.
Nota : le vocabulaire évolue en janvier 2016 lorsque la D2IE (délégation interministérielle à l’intelligence économique) fait place au SISSE : service de l’information stratégique et de la sécurité économique.

Et si c’était le bon moment …

Depuis toujours dans votre to do list de dirigeant vous avez souhaité mettre en place une « veille ». Sans trop savoir de quoi il s’agissait, mais parce qu’on vous a répété que c’était important, parce qu’on vous a déjà montré comment faire pendant vos études, parce que les autres le font…Vous deviez le faire mais vous n’aviez jamais vraiment le temps pour vous en occuper.

Et si c’était le bon moment ?

La veille pourquoi faire ?

Vous avez déjà entendu parler d’« infobésité ». Il ne s’agit pas de collecter de l’information et de la stocker dans le fameux dossier « à lire ».
Il s’agit de définir un temps quotidien, hebdomadaire, voire semestriel (bref, selon vos disponibilités) qui vous permette de prendre connaissance de l’environnement sur votre activité. Cette connaissance DOIT servir à éclairer vos choix, vos décisions.

Les indicateurs d’alerte

Cette lecture devenue routinière vous permettra rapidement de déceler des indicateurs (indûment appelés « signaux faibles » – mais cela fait l’objet d’un autre article) qui vont vous alerter sur des prémices ou un changement dans votre environnement : la règlementation évolue, votre concurrent recrute, un nouveau marché s’ouvre, en France ou à l’étranger, un nouvel entrant s’intéresse à votre société…

Par où commencer ?

Cette fonction dédiée à faciliter la prise de décisions doit rester sous la coupe de la direction de l’entreprise. Elle peut être sous-traitée (voir la solution VARIO de la CCI Pau Béarn), mais vous pouvez également vous l’approprier :

• Désignez une personne en charge du suivi de votre veille. Sans être un expert de la veille, il doit maîtriser votre domaine d’activité.
• Définissez le temps que vous pouvez accorder à la lecture des contenus,
• cela déterminera l’outil approprié à votre façon de veiller (supports web versus papier, visuels versus littéral, etc…)

Le sourcing :

Quel que soit votre domaine d’activité, identifiez le gourou, le professeur ou l’influenceur auquel tout le monde se réfère – qu’il soit une référence positive ou négative pour vous ! A partir de là charge à votre veilleur de paramétrer vos outils de façon à capter un maximum d’informations pertinentes qui seront diffusées par ces sources et leurs corolaires.

Les outils :

Une grande variété de solutions de veille est disponible pour les dirigeants, quel que soit votre budget, votre activité ou votre taille (lire cette étude ou me contacter).
Nota : la veille ne se focalise pas uniquement sur internet, la presse ou les médias sociaux. Les réseaux humains sont également des sources souvent plus fiables et plus sûres. Ne négligez pas les échanges avec vos pairs chefs d’entreprises, ni avec vos collaborateurs qui captent des informations souvent pertinentes et pragmatiques, mais qu’ils ne jugent pas utiles de faire remonter par des « rapports d’étonnement » par exemple.

La période favorise donc probablement la réflexion sur la mise en place d’une solution de veille dans votre établissement. En effet, autour de moi aujourd’hui, les industriels revoient de façon plus pragmatique, sous le prisme d’une guerre économique mondiale, la fiabilité et la résilience de leur chaine d’approvisionnement. La recherche d’un fournisseur nouveau peut être un bon début …

 

Sébastien CASTET
Expert en Protection des Entreprises & Intelligence Économique