Mettre en place une veille sécurité

L’on parle souvent de veille concurrentielle, de veille image / e-réputation, de veille technologique…

L’on oublie souvent de citer la veille sécurité. Il y a plusieurs raisons à cela :

  • Tout d’abord ceux qui font de la veille sûreté en parlent rarement. Il faut dire que le sujet est sensible et nous verrons pourquoi.
  • Ensuite elle est aussi probablement moins répandue. En effet, la veille sécurité dépend souvent de la direction sûreté / sécurité dans les grands groupes, et ces dernières sont plus souvent attachés à ce que l’information ne sorte pas plutôt que détecter l’information qui est déjà sortie.

Commençons par définir la veille sécurité. En tout cas je vais vous donner ma définition opérationnelle. Je ne suis pas un homme de livres…

De mon point de vue la veille sécurité est l’ensemble des techniques et outils qui permettent d’identifier des fuites d’informations potentielles qui pourraient porter atteinte à la pérennité de l’entreprise. Ainsi secret industriels de fabrication, organisation des sites de production, volumes de production, sous-traitants, machines outils, mais également des informations qui pourraient porter atteinte lourdement à l’image de l’entreprise ou porter atteinte durablement à son image et impacter son bon fonctionnement.

La listes est bien évidemment non exhaustive.

La veille sécurité est finalement un maillon essentiel de la mise en oeuvre de l’intelligence économique. Faisant référence aux 3 piliers de l’intelligence économique, la veille s’occupe de l’aspect renseignement et information, la veille sécurité est elle directement rattaché au pilier “sécurité de l’information”.

Les affaires nombreuses et récentes dans les plus hautes instances nationales et internationales nous montrent bien que, quels que soient les mécanismes de protection mis en place, l’information peut sortir et qu’il FAUT mettre en place des moyens visant à identifier ces fuites au plus tôt.

Quels sont les freins à la mise en place de ce type de veille ?

  • Où regarder :
    • Là où le veilleur sait approximativement identifier les endroits où l’information utile est accessible, la veille sécurité peut difficilement présumer où va se produire une fuite. Qu’elle soit malveillante ou faite par inadvertance, une fuite d’information est souvent peu accessible.
  • La légalité :
    • Nous y revenons encore et encore, mais la fuite d’information est souvent liée aux personnes. Le fameux problème qui se situe inexorablement entre la chaise et le clavier. A parti du moment où des collaborateurs peuvent être impliqués, les fuites peuvent survenir dans des espaces professionnels et / ou personnels. Or l’entreprise ne peut en aucun cas porter atteinte à la vie privée de ses salariés. Par ailleurs la surveillance des médias sociaux est un sujet délicat (CGU, API de plus en plus fermées, données personnelles)
  • Les filtres :
    • Déterminer un champ lexical qui définirait un document ou une information sensible est quasi impossible : taille d’une équipe, mentions de collaboration entre un salarié et un prestataire, appel d’offres trop détaillé… Alors bien évidemment certains documents, noms de code de projet, nom de technologies peuvent être des déterminants clairs mais il peut être délicat de les utiliser dans des solutions de veille qui sont aujourd’hui en SaaS (de la futilité de la veille et des traces laissées. Au final, la volumétrie liée à la mise en place d’une veille sécurité peut entraîner une volumétrie d’informations collectées élevée, difficile à réduire sans risque de silence sur le peu de documents sensibles.

Comment mettre en place une veille sécurité ?

Difficile mais pas impossible, la veille sécurité doit amener à faire évoluer notre façon parfois simpliste de voir la veille : une veille accès sur un schéma linéaire source -> crawling -> filtre par mots clés -> filtre humain.

  • Sélectionner ses sources :
    • Ici l’on privilégiera les sources sur une approche probabilité d’apparition du risque + exposition de la source. En somme, il faut cibler les endroits où les informations à risque ont le plus de chance de survenir et où ces informations sont le plus explosé. Au final s’il y a fuite mais que l’information est très difficile à trouver il y a moins de risque qu’elle se propage.
    • De fait les sources impliquant des “humains” sont celles où il y a le plus de chances de voir apparaître le risque. Réseaux sociaux professionnels, réseaux sociaux personnels, file sharing type Slideshare ou Prezi, YouTube, Foursquare, Instagram. Qu’il s’agisse de valoriser son travail pour en chercher un nouveau, de partager des moments exaltants de sa vie professionnelle ou de mettre à disposition des présentations, ces réseaux sont à risque.
    • En complément de ces sources privilégiées externes, la surveillance de son propre environnement informationnel ne doit surtout pas être oubliée. Failles de sécurité d’intranet ou de RSE, serveurs FTP, une simple surveillance sur le différents noms de domaine l’entreprise peut permettre de limiter la casse lors de la mise en ligne de serveur de test ou de pré-ipod par exemple.
  • Ajuster son vocabulaire :
    • Le vocabulaire de filtre devra être adapté. Il faut impérativement limiter la sortie d mots clés trop sensibles ou de combinaisons de mots clés parlantes qui pourraient dévoiler la stratégie de l’entreprise ou de Recherche et Développement.
    • L’on privilégiera ainsi un champ très large (simple nom de l’entreprise) sur les sources les plus sensibles et l’on combinera sur d’autres types de sources des combinaisons entre le nom de l’entreprise et le type d’information : présentation, réunion, conférence, confidentiel, ne pas diffuser, diffusion restreinte, budget,… ou avec le type de fichiers (PDF, XLS)
  • Imaginer de nouvelles approches :
    • Ce type de projets m’a amené à réfléchir à de nouvelles approches dont l’une d’elle que je peux livrer : lister tous les sites physiques d’une entreprise et extraire l’information via les API des réseaux sociaux, sans mots clés, mais sur des zones de publication. Bien que peu d’informations soient géolocalisées, lorsque cette dernière est présente, ce critère de collecte peut-être particulièrement pertinent et discriminant.
    • C’est l’une des approches… mais il y en a clairement d’autres. Des petits trucs et astuces…

Le radar d’horizon

Quel que soit le nombre de sources mises sous surveillance, il est essentiel de pouvoir disposer d’une surveillance large, ouverte, du web. Et là on se heurte clairement à l’opacité des outils…

L’automatisation de la veille ouverte en se servant par exemple de Google c’est un peu le saint Graal du veilleur. Chacun de nous rêve d’un outil performant lui permettant de détecter sur le web tous les nouveaux documents disponibles.

Personnellement cela fait quelques années que je ne crois plus au Père Noël…

Google ne dispose pas ou plus d’API… Jusque là Google Custom Search pouvait permettre pus ou moins d’attaquer proprement les résultats de Google. Désormais il faut passer par du parsing de pages de résultats en mode passager clandestin.

C’est faisable. Techniquement challenging, budgétairement déraisonnable mais faisable…

Mais au final cela ne fonctionne pas. J’ai eu beau le tourner dans tous les sens : les résultats ne sont pas à la hauteur. Beaucoup de résultats manquent à l’appel. Pas seulement des résultats qui relèveraient de l’information grise d’ailleurs. Des résultats qui a priori devraient remonter dans le résultats mais en sont au final absents…

MAIS, même si le résultat n’est pas satisfaisant, il est difficile de s’abstenir de mettre en place cette veille. Car pour le coup, la source “Google” (NDLR : qui n’est pas une source soyons clair mais un moyen d’accès à l’information) est une “source” à haute exposition.

Mobiliser les personnes

Là où certains pourraient être tentés de centraliser la veille sécurité il est essentiel de travailler avec toutes les forces vives de l’entreprise et non pas se situer dans une logique de concurrence. L’accès au Web est mondial mais la masse d’information disponible a amené les différents médias à favoriser l’accès à l’information pour un public local.

Géolocalisation, cloaking, SOLOMO, sont autant d’outils ou d’approche que les médias mettent en place pour limiter l’accès à l’information à partir d’un autre endroit du monde.

Cette accessibilité limitée et géolocalisée, ajoutée à la barrière linguistique, doit amener à mettre en place et à concevoir des systèmes de remontées internes de remontée d’information à partir du terrain et par des capteurs humains.

De la limite des algorithmes

Les algorithmes du web, tous calibrés pour amener à l’information pertinentes, pour valoriser également l’information “buzz”, pour limiter l’accès au dark web est un frein massif à la veille sécurité.

De même les algorithmes de machine learning qui pourraient arriver à typer ce qu’est un document critique en terme de sécurité ne peuvent pas fonctionner… : la volumétrie de documents critiques identifiée est trop faible pour permettre un “profiling”.

De l’intérêt de la veille sécurité

Lorsque je participe à des présentations et conférences sur l’intelligence économique avec des heures et des heures consacrées à la sécurité économique allant jusqu’à dire “débrancher internet” cela me dépasse.

La solution n’est pas dans la stigmatisation des connexions et du numérique ni le catastrophisme mais passe bien par une sensibilisation et par le développement de la prévention mais doit aussi considérer que les accidents peuvent arriver, qu’ils sont inhérents à l’exercice de l’activité économique et que des solutions d’identification, via une veille sécurité, et de résolution des incidents doit être mis en place. Ne nous leurrons pas, ce n’est pas le numérique qui a donné naissance aux failles de sécurité.

Tags: , , , ,

2 Réponses à “Mettre en place une veille sécurité”

  1. david 25 juin 2015 à 16 h 31 min #

    Deux billets le même jour !
    Après la fête de la musique, la fête des père, c’est la fête d’Actulligence aujourd’hui 😉

  2. Frédéric Martinet 25 juin 2015 à 18 h 17 min #

    Ouais en même temps ça fait tellement longtemps que j’avais rien écrit…
    Fallait que je me fouette. (Martinet / fouette… Humour)

Laisser une réponse à david