vendredi 21 décembre 2007

« Quelle défense face au pillage de nos entreprises: les réseaux Internet »

La DST est un service discret, mais non secret (comme on le croit trop souvent) sauf dans certaines de ses missions confidentielles. Son directeur est un Préfet et son sous-directeur un officier de police. Elle comporte, en plus de 2 directions logistique (moyens techniques, gestion, ressources humaines et finance) :

- une direction du contre espionnage chargée de la protection du secret défense (enquête de compromission) et de la lutte contre la prolifération des armes de destruction massive (NBC).

- une direction anti-terrorisme (extérieur).

- une direction de la protection du patrimoine en matière de technique industrielle (en préventif).

Les problèmes de sécurité dans l’entreprise sont transversaux : ils dépassent largement la compétence des seuls informaticiens mais relèvent des responsables au plus haut niveau : c’est la direction générale qui doit définir les risques, les objectifs et les responsabilités dans ce domaine. Tout commence au niveau de la prévention ! De la logique de rivalité Est-ouest, on est passé à la mondialisation, avec une menace multiforme la menace n’est plus seulement étatique, avec des agents essentiellement dans le personnel des ambassades, mais générale touchant tous les secteurs et non uniquement les domaine militaro-industriel ; et il existe dans le monde 83 sociétés privées de renseignement souvent plus puissantes que la DST !

Les pirates informatiques se classent en fonction de leurs compétences techniques et de leur moralité.

Risques: Le vol (surtout de PC portables, intéressants pour les données qu’ils contiennent) ; le cambriolage de disques durs (fichiers clients et fournisseurs, données techniques...) Les vols de données seules passent souvent inaperçus... La désinformation utilise très souvent Internet, magnifique outil de manipulation (y compris au niveau de la Bourse où la désinformation peut facilement faire varier le cours d’une action). Le sabotage peut être utilisé contre un concurrent ; exemple : une entreprise a dû interrompre trois mois une chaîne de montage détériorée par de l’acide.

Les cibles de la menace visent le plus souvent les données ou le personnel. Dans les données, l’information stratégique peut concerner tous les domaines, à tous les stades (émission, reproduction, conservation, diffusion, et même destruction : on peut trouver des informations capitales dans les poubelles!) Les produits convoités peuvent se trouver au niveau de la conception (cahier des charges, « design », tests « cliniques »...) ou du développement. Comment obtenir de telles informations : de façon légale ; c’est l’intelligence économique qui porte sur l’information ouverte, ou par méthodes déloyales ; c’est de l’ingérence économique qui peut utiliser des sources humaines ou techniques (réseaux Internet ou Intranet d’échange d’informations. Partout, les budgets de renseignement sont en augmentation : il importe donc de crypter les informations échangées, et par précaution, utiliser des outils de cryptage français ! Certes l’information circulante est de plus en plus volumineuse mais il existe des outils de tri performants et les pirates savent les utiliser ! La communication à visée commerciale peut renseigner la concurrence...

La protection de l’information est capitale pour l’entreprise: son système d’information est à la fois le cerveau, l’oeil et la moelle épinière de l’entreprise; ceci impose de hiérarchiser l’information de l’entreprise :

- blanche : 80 % de l’information est ouverte,

- grise : information semi-ouverte,

- noire : diffusion contrôlée : à ne jamais charger sur PC portable, ni sur ordinateur connecté à des réseaux extérieurs. Assurer la confidentialité et l’intégrité de l’information (sauvegarde), sa disponibilité (outils d’accès) et sa non répudiation (sous réserve de vérification des signatures des données ou commandes issues de réseaux) : donc mettre en place des contrôles d’accès (mot de passe d’au moins 8 caractères, strictement personnels et secrets). Il faut une traçabilité des mises à jour : à cet effet, mémoriser toutes les interventions sur les fichiers sensibles. Il faut encore disposer d’antivirus et de cryptographies fiables, et surtout, ne jamais sous-estimer la menace et retenir que 57 % des malveillances sont d’origine interne. La prévention du piratage est un problème de culture de l’entreprise.

Réponses aux questions : L’insécurité informatique double chaque année. Son surcoût est de 15 %. Souvent l’entreprise lésée ne s’en rend pas compte ou ne porte pas plainte pour ne pas porter atteinte à son image. Se méfier des entreprises privées de sécurité et des audits : ils peuvent introduire le loup dans la bergerie!

La DST s’efforce de prévenir en sensibilisant les entreprises par contacts réguliers, notamment avec les entreprises les plus sensibles, en formant les cadres (interventions dans les universités, organisations ou associations).

dimanche 16 décembre 2007

l'infosphère

Le terme « révolution de l’information » a été utilisé pour désigner le développement des technologies de l’information et ses conséquences sur la société. En incluant les progrès faits en terme de communication et d’influence, il a donné lieu à un véritable concept qui, avec la naissance d’Internet, est devenu une réalité accessible au grand public. Le développement de ces nouvelles technologies transforme la société en donnant au plus grand nombre, l’accès à toutes sortes d’informations auparavant réservées à des spécialistes. En quelques années, la mémoire collective de l’humanité s’est organisée, est consultable et s’enrichit chaque jour par l’apport permanent d’informations inédites. Ce bouleversement culturel induit une nouvelle manière d’appréhender le monde et d’y agir. Au cœur de cette révolution, la notion d’information est en train de changer pour devenir une nouvelle forme d’action, déjà utilisée en tant que telle dans de nombreux domaines.

L’information (ou le renseignement) a toujours été un des facteurs clés du succès des actions militaires. Désormais, dans des situations de crise dans lesquelles il n’y a pas forcément d’adversaire, le problème de l’information est encore plus crucial. On peut même dire que la crise est en soi un problème d’information entre les divers acteurs qui l’alimentent et que sa résolution passe impérativement par le rétablissement d’une communication entre ceux-ci. La crise impose donc un surcroît d’exigence informationnelle orienté d’une part vers le renseignement sur les acteurs de crise qui peuvent à certain moment de venir des adversaires potentiels, et, d’autre part, vers le retour de la communication entre ces acteurs et l’instauration du dialogue.

La vulgarisation du concept de l'âge de l'information a eu le grand mérite de faire percevoir le décalage important entre les problèmes posés à la collectivité humaine par l'évolution technique et l'état du débat collectif à ce sujet. Ce décalage tient essentiellement à la nature de la vision politique sur la connaissance qui reste liée à la pensée écrite. La connaissance est perçue comme tridimensionnelle, chronologique et factuelle. La multidimensionnalité, la projection dans l'avenir et la réalité virtuelle ne sont encore que des mots sans réalité expérimentale. Et pourtant, cette réalité est là, à l'aube du XXIe siècle. Ceux qui la saisiront pourront encore espérer maîtriser leur devenir. Les autres devront sans doute le subir. L’information et la communication non seulement donnent forme à la réalité, l’actualisent constamment, mais encore la transforment en permanence. Elles permettent la connaissance et l’action, mais sont elles-mêmes agissantes parce qu’elles modèlent continuellement systèmes d’idées, attitudes, comportements, décisions et, in fine, actions.

L’impératif de maîtrise de l’information étant admis, il devient nécessaire d’acquérir des concepts, méthodes et outils qui sont multidisciplinaires et valent autant aux niveaux les plus élevés des organisations qu’aux niveaux subordonnés, autant dans les secteurs de l’entreprise que dans ceux des organismes étatiques, internationaux ou des collectivités locales. On relève ainsi une des caractéristiques de la décennie qui est à la fois la nécessité d’élargir l’espace de la compréhension stratégique sous la pression des événements et de raccourcir les délais nécessaires à la décision.

La maîtrise de l’infosphère constitue donc une priorité absolue pour tout responsable en charge de projets et de stratégies. Il lui faut certes maîtriser les étapes de la décision que sont le recueil de l’information, la gestion du savoir, la création de la connaissance, l’anticipation et le choix stratégique, mais aussi maîtriser l’utilisation de l’information et de la communication par l’ensemble de l’organisme qu’il dirige.

Cette maîtrise concerne en premier lieu l’important domaine de ce que l’on peut appeler l’info-axiologie, c’est-à-dire la gestion des perceptions individuelles et collectives qui pose la question du sens à donner à l’action, du sens perçu et des procédés d’action dans les champs psychologiques. Elle touche en outre tout ce qui concerne les interventions dans les conflits et la gestion de l’environnement psychologique qui en découle.

La maîtrise de l’infosphère implique celle de l’info-réticulation, c’est-à-dire de la mise en synergie des informations par les systèmes d’information et de communication dans l’espace et le temps qui permettent l’existence et l’élargissement de l’infosphère. En effet, les NTIC ont décuplé les possibilités de la réticulation, engendrant ainsi des ambitions, des contraintes, des nécessités en terme de maîtrise technologique et organisationnelle. L’info-réticulation évolue en système fractal : Chaque réseau fait partie d’un autre réseau, lequel s’intègre en permanence ou par connexion momentanée à un réseau plus large, l’Internet. Certains réseaux restent protégés en raison de leur importance vitale pour la nation. Encore faut-il les avoir identifiés et proposer une politique spécifique concernant leur sécurité. Une place particulière est accordée à l’aspect militaire de l’info-réticulation, car elle permet la mise en œuvre d’une véritable vision stratégique de l’utilisation de l’information.

La maîtrise de l’infosphère intéresse également la façon dont l’information et la communication sont utilisées, préservées et protégées dans l’organisme. Si le réseau des réseaux est accessible aisément, l’exigence de confidentialité et d’intégrité est plus difficile à satisfaire, d’autant que les atteintes sont de plus en plus variées. Ce fait contraint les utilisateurs des systèmes d’information et de communication à faire face à une véritable guerre des réseaux. C’est sans doute l’aspect le plus paradoxal de l’arrivée de l’ère de l’information. L’information étant une valeur, son utilisation et sa diffusion doivent s’effectuer dans le cadre d’une stratégie réfléchie en vue d’atteindre l’objectif que l’on s’est fixé. L’info-sécurité constitue donc pour le responsable une priorité importante dans la conduite de son organisme.

Enfin le dernier chapitre consacré à l’infosphère et l’infostratégie souligne la nécessité de maîtriser l’information grâce à la cohérence et la synergie qu’apporte une intention à chaque niveau de réflexion et d’action, que ce soit dans les secteurs de l’entreprise, des organismes étatiques et internationaux ou des collectivités locales. Il insiste sur l’exigence nouvelle de s’intégrer dans la société de l’information en élaborant une véritable stratégie pour survivre, se développer et se faire connaître.

En s’adressant à un large public, l’auteur tente d’expliciter les différentes notions et de proposer de nouveaux concepts permettant de voir plus clair dans les activités d’information et de communication. Ce livre constitue avant tout une clé de compréhension, donne des méthodes et des outils afin de se forger une vision globale sur l’infosphère. Pour être parfaitement accomplie, cette vision aura vocation à être éclairée et motivée par un projet politique, une stratégie globale et une stratégie portant sur le développement de la société de l’information.