Module sûreté et Intelligence économique à l’ENSIBS de Vannes

Pour la deuxième année consécutive, je suis très heureux d’avoir animé le module de cours « Entreprise et Intelligence » à l’ENSIBS de Vannes.

L’objectif de cette intervention est de sensibiliser les futurs ingénieurs à la réalité de la guerre économique (espionnage industriel, ingénierie sociale, stratégies d’influence…) pour qu’ils en soient des acteurs avertis et non des victimes. Les élèves ingénieurs ont ainsi acquis les compétences suivantes :

• Savoir apprécier la valeur de son patrimoine informationnel

• Acquérir les connaissances pratiques permettant d’évaluer et de maîtriser les risques pour la sécurité de ces informations

• Maîtriser les principes de la mise en place d’outils et de procédures de sécurisation des informations par le développement d’une culture de la sécurité économique

• Prendre conscience de la variété des acteurs du renseignement (avec un focus sur les unités de rens cyber).

La sûreté et l’Intelligence économique ne sont pas sujets réservés à des spécialistes, aux vues de l’intérêt qu’ils ont manifesté pour ces thématiques pendant le semestre, je suis certain que les ingénieurs cyber de l’ENSIBS, déjà parmi les meilleurs dans leur domaine, en maitrisent les fondamentaux.

Espionnage. « La Bretagne intéresse au plus haut point la Chine »

Les orientations prioritaires des services chinois sont : les énergies renouvelables, les bio-technologies, la cybersécurité, l’agroalimentaire, les innovations dans les secteurs de la défense et du naval. Tous ces domaines sont des sujets d’excellences bretons, alors comment s’étonner que la Bretagne soit un objectif majeur pour le renseignement économique chinois?

Si l’article du « Télégramme » s’étend longuement sur les mariages mixtes, il faudrait surtout citer : les propositions de partenariats, les stagiaires, les voyages d’affaires ou les visites d’entreprises, les intrusions numériques ou physiques, les investissements et rachats d’entreprises… . Les espions chinois peuvent également s’appuyer sur une puissance financière sans communes mesures et entièrement contrôlée par les moyens de l’Etat et du Comité central.

Mieux que les investisseurs français, l’Intelligence économique chinoise sait repérer les pépites en devenir, c’est pourquoi la sûreté économique doit être envisagée de façon native en conduite de projet. En écartant toute paranoïa, mais en étant réaliste, c’est une culture de sûreté qui doit se diffuser tant au niveau des entreprises que des pouvoirs publics et des collectivités territoriales.

Une société israélienne capable de pirater des données dans le cloud

Encore une fois, le nom de la société NSO est cité pour ses capacités d’intrusion numérique. Après avoir démontré qu’elle pouvait craquer un iphone grâce à son logiciel de hack « pegasus », la firme israélienne laisse entendre qu’elle est en mesure de récupérer toutes données stockées sur les cloud d’Apple, Google, Facebook, Amazon ou Microsoft.

Le cloud est-il pour autant un lieu ou vos données personnelles ou professionnelles sont en libre accès. Non, si vous prenez un minimum de précautions dans l’usage que vous en faite et si vous chiffrez vos données avant leur envoi sur les serveurs. De préférence choisissez une solution de chiffrement sans aucun lien avec le fournisseur de cloud. Par ailleurs, il est important de choisir avec soin votre solution cloud. Celui-ci doit impérativement être en Europe pour bénéficier de la protection du cadre RGPD et ne pas appartenir à une société américaine qui est contrainte par le « cloud act » de donner libre accès aux services américains aux données qu’elle héberge, même hors du sol américain.

La sûreté ce n’est pas de craindre l’évolution mais de la maitriser !

Des informations personnelles collectées sur 198 millions d’américains dans la nature…

Fuite BDD

http://www.fredzone.org/

Une société d’analyse de données travaillant pour le parti Républicain à subi une perte massive d’informations confidentielles et très personnelles concernant 198 millions de citoyens américains.

L’existence même de tels fichiers en dit long sur le marketing politique et surtout sur le peu de cas que les data brokers font de la sécurité des informations qu’ils collectent à l’insu des populations étudiées.

Que nous soyons un simple citoyen ou une entreprise, ce cas, qui serait un scandale majeur en Europe, doit nous faire réfléchir l’utilisation et le devenir, à moyen et long termes, des informations que nous laissons en libre disposition sur Internet ou que nous confions à n’importe qui.

Les obligations européennes sur la protection des données personnes (GDPR) qui s’imposeront à toutes les entreprises à partir de mai 2018, sont une contrainte de plus, notamment pour les PME, mais c’est aussi une garantie contre des incompétences aussi cyniques. Les entreprises doivent se préparer dès maintenant aux enjeux et défis du GDPR (ou RGPD en français, Règlement général sur la protection des données).

Par ailleurs, il convient de se poser quelques questions simples et saines :

  • Quelles sont mes informations réellement sensibles ?
  • Où et comment sont-elles stockées ?
  • Qui y a accès en dehors de moi ?
  • Que se passera-t-il si ces informations venaient a être diffusées publiquement ?

Les nouvelles obligations de compliance des entreprises,

De nouvelles dispositions législatives s’imposent désormais aux entreprises françaises en matière de compliance. Il s’agit des dispositions anti-corruption de la loi Sapin II qui entreront en vigueur à partir du 1 juin 2017 ainsi que des mesures imposées par la loi du 27 mars 2017 sur l’obligation de vigilance des sociétés mères.

Ces innovations sont souvent présentées comme des opportunités de développement nouvelles et surtout comme des outils pour lutter contre l’impérialisme juridique états-uniens (voir article : https://www.linkedin.com/pulse/le-droit-américain-comme-arme-de-guerre-économique). Néanmoins, si les grandes entreprises disposent de compétences pour mettre en place ces obligations nouvelles, il en est tout autrement des structures de tailles plus modestes, typiquement les ETI. Sans parler de distorsion de concurrence au bénéfice des grosses structures, celles-ci peuvent quand même y trouver un avantage concurrentiel.

La Loi Sapin II s’applique à toute entreprise de plus de 500 salariés et d’un chiffre d’affaires annuel supérieur à 100 millions d’euros exerçant toute ou partie de son activité en France.

Ces entreprises devront mettre en place des outils et des mesures destinés à lutter contre les manquements à la probité. Il s’agit en particulier :

  • d’intégrer au règlement intérieur de l’entreprise un code de conduite décrivant les comportements à proscrire ;
  • de mettre en place des formations à destination des cadres et des personnels de la société les plus exposés ;
  • de mettre en place un dispositif d’alerte et d’écoute interne;
  • de réaliser des contrôles comptables internes ou externes, pour permettre la détection de comportements à risques ;
  • d’établir une cartographie des risques propre à l’environnement et à l’activité de chaque entreprise ;
  • de mettre en place des procédures d’évaluation de la situation des clients, des fournisseurs et des intermédiaires ;

La loi Sapin II instaure également une Agence Française Anti-corruption dont le rôle sera de participer à la mise en application de la réglementation.

La loi relative au devoir de vigilance des sociétés mères s’applique, quant à elle, aux entreprises de plus grandes tailles (5 à 10 000 salariés dans le groupe en direct et dans les filiales selon que le siège social est en France ou à l’étranger).

Cette loi impose, cette fois, de mettre en place un plan de vigilance comportant des mesures «  propres à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement », résultant des activités de la société … ainsi que des activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie »,

Ce plan doit permettre de mettre en place, entre autre, :

  • Une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation ;
  • Des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs ;
  • Des actions adaptées d’atténuation des risques ou de prévention des atteintes graves;
  • Un mécanisme d’alerte et de recueil ;

Au delà du risque légal, les entreprises sont désormais confrontées aux risques réputationnels, aux conséquences souvent bien plus importantes que les sanctions judiciaires et, de toute façon, cumulées avec celles-ci. Se conformer de façon efficace et pro-active à ces lois est également un moyen de se protéger et d’afficher un comportement responsable et durable.

Les entreprises de tailles intermédiaires ne doivent pas hésiter à faire appel à des spécialistes extérieurs pour transformer ces obligations légales en opportunités.