Renforcer la protection de l’information par une stratégie d’Intelligence économique

La tendance générale du monde à numériser tous les aspects de ses activités, notamment économiques, rend toujours plus complexe le traitement et la maîtrise de l’information. Celle-ci afflue de toute part et transite par des systèmes d’information internes et externes aux entités. Les surfaces d’attaque et les vulnérabilités se multiplient et le défi consiste aujourd’hui non plus à contenir mais à anticiper celles-ci afin de préserver ou conquérir des avantages stratégiques.

Cette densification et “porosification” de l’information justifie et valide la pertinence du concept d’Intelligence économique (IE) dont il est nécessaire de rappeler les aspects fondamentaux.

Selon le rapport Martre de 1994, “l’Intelligence économique peut être définie comme l‘ensemble des actions coordonnées de recherche, de traitement et de distribution, en vue de son exploitation, de l’information utile aux acteurs économiques. Ces diverses actions sont menées légalement avec toutes les garanties de protection nécessaires à la préservation du patrimoine de l’entreprise, dans les meilleures conditions de délais et de coûts. L’information utile est celle dont ont besoin les différents niveaux de décision de l’entreprise ou de la collectivité, pour élaborer et mettre en œuvre de façon cohérente la stratégie et les tactiques nécessaires à l’atteinte des objectifs définis par l’entreprise dans le but d’améliorer sa position dans son environnement concurrentiel. Ces actions, au sein de l’entreprise, s’ordonnent autour d’un cycle ininterrompu, générateur d’une vision partagée des objectifs de l’entreprise.”

Le référentiel de 2004-2005 du groupe de travail dirigé par Alain Juillet, alors Haut responsable pour l’Intelligence économique, complète et synthétise cette définition : “L’Intelligence économique consiste en la maîtrise et la protection de l’information stratégique pour tout acteur économique. Elle a pour triple finalité la compétitivité du tissu industriel, la sécurité de l’économie et des entreprises et le renforcement de l’influence dans notre pays”.

On ne peut dissocier l’IE d’un thème parfois controversé mais pourtant d’une réalité indéniable : la guerre économique. Laquelle, dans un monde si ouvert et connecté, fait rage et touche tous les marchés. S’en croire hors d’atteinte parce que l’on serait un acteur de petite taille ou que l’on se placerait sur une niche, c’est l’avoir déjà perdue. Pour rester compétitif, l’entreprise ne peut faire, si l’on peut dire, l’économie d’une réflexion sur la question : c’est dans ce cadre que les outils de protection de l’information prennent bien davantage d’importance encore que dans le simple cadre de la cybersécurité classique. Les cyber menaces ne se résument pas à des individus isolés, des groupes criminels, ou à des luttes entre États. Elles englobent également les manoeuvres offensives de captation d’information de la part de concurrents ou d’entités poursuivant un but stratégique.

Aujourd’hui, les cabinets de conseil ont de moins en moins de valeur ajoutée à proposer des solutions soit purement techniques, soit purement fonctionnelles, et se doivent d’être en capacité de proposer des solutions opérationnelles, transversales et englobantes. C’est notamment à ce niveau que s’opèrent les interconnexions entre Intelligence économique et protection des données au sens classique. La gestion, la protection et éventuellement la diffusion d’information à des fins défensives et/ou d’influence doit s’articuler autour d’une stratégie globale clairement définie en amont.

Les savoir-faires traditionnels en protection de l’information (analyse de risques, GDPR, DPIA, gouvernance, etc.) doivent aujourd’hui s’enrichir et prendre en considération les champs que couvrent l’IE que sont les facteurs sociaux, culturels, géopolitiques, géoéconomiques, entre autres. Avant même d’être un outil d’aide à la décision, il s’agit d’une approche élargie et parfois à revers des méthodes habituelles. On peut observer l’apport de l’IE dans les exemples ci-dessous.

Dans le cadre d’une fuite de données, l’approche classique consistera souvent à mettre en place des mécanismes de détection, de prévention  et de résolution d’incidents. Mais il est possible d’aller plus loin et déployer des outils de surveillance du cyberespace, des menaces et des tendances, en portant une attention particulière aux « signaux faibles ». On peut également définir des plans de contingence et travailler sur l’agilité afin de répondre rapidement aux évolutions de l’environnement.

Si la mise en conformité et la cartographie des données, notamment dans la continuité des exigences du RGPD, constituent des aspects fondamentaux et incontournables pour la protection des données, une démarche d’IE peut permettre d’anticiper les évolutions juridiques à venir, voire, sur son volet offensif, à chercher à orienter ce changement. Cet état d’esprit, fait à la fois de vigilance aiguë et de sens de l’anticipation, est déjà présent et habituel en ce qui concerne la propriété intellectuelle et les brevets par exemple, et doit être étendu.   

En termes de gestion des risques, l’IE poussera à porter davantage d’attention à l’analyse des risques relatifs aux données en fonction de leur criticité stratégique, même si cette approche commence également déjà à se démocratiser. L’impérative cartographie des données exigée par le RGPD doit donc aller au-delà du « caractère personnel », intégrer des critères plus larges et couvrir l’ensemble de l’organisation.

Dans le cadre plus large de la transformation des SI, une démarche d’IE poussera à être plus attentif tant en amont que dans le temps à l’intégrité de toutes les parties-prenantes du SI, avec par exemple des due diligences de partenaires.

Ces exemples, non limitatifs, montrent les synergies évidentes entre protection des données et Intelligence économique et tout l’intérêt pour les entreprises soucieuses de préserver et accroître leur compétitivité d’opter pour des stratégies renouvelées et englobantes.


Découvrir l’offre Cybersécurité de Devoteam

devoteam

Contact

Chloe Niedergang

Consultante Junior Légal et Réglementaire
Data Protection

Marvin Looz

Consultant CyberSécurité et Data Protection

Romulus Wagner

Consultant Cybersécurité et Data Protection