• en
  • fr
Intelligence économique et veille : pour que l'information se transforme en action

Actulligence lance son service de Veille Stratégique

header_newsletter_13

Actulligence Consulting accompagne, depuis maintenant plus de 5 ans, le fleuron des entreprises et de l’industrie du CAC40, en fournissant des services de conseil, d’accompagnement et de formation intelligence économique à forte valeur ajoutée.

Dans un contexte de besoin de réactivité et devant une demande croissante de la part de nos clients, nous avons créé une solution de veille permettant aux entreprises de s’affranchir des contraintes techniques et organisationnelles souvent liées au lancement de telles prestations.

  • Vous souhaitez mettre en place une cellule de veille de façon ponctuelle ou temporaire pour traiter un sujet spécifique.
  • Vos délais de mise en place sont trop courts pour le réaliser en interne ou vous n’avez pas les ressources à disposition.

Nous intervenons de façon rapide en proposant la mise à disposition de notre offre complète comprenant un chargé de veille spécialiste du domaine, une solution logicielle configurée selon les besoins et une livraison des résultats au format compatible choisi.

Pour bénéficier d’une présentation plus détaillée de notre offre “Solution Veille Actulligence” , rendez vous sur la page www.actulligence.com/veille ou prenez contact avec notre équipe.

Nouveau Délégué Interministériel à l’Intelligence Economique

Après deux ans de bons et loyaux service, Claude Revel vient de quitter ses fonctions de Déléguée Interministérielle à l’Intelligence Economique. Un départ (précipité ? abrupte ? surprenant ?) que certains qualifient de “cadeau” étant donné qu’elle occupera prochainement l’un des postes les plus rémunérateurs de la fonction publique au sein de la cour des comptes. Point de vue démenti dans un article de Challenges et émoluments également démentis par l’intéressée.

Un départ qui fait suite à celui de l’inoxydable Alain Juillet, dont le titre de ex-Haut Responsable à l’Intelligence Economique  ne le quitte plus, et qui avait quitté ses fonctions avec une certaine amertume, n’hésitant pas à dénoncer le manque de vision stratégique et à long terme du gouvernement pour les problématiques d’intelligence économique.

Le nom du remplaçant, au moins par interim, est donc désormais officiellement connu : il s’agit de Jean-Baptiste Carpentier, chef du service à compétence nationale Tracfin. C’est donc un nouveau Délégué Interministériel à l’Intelligence Economique avec un parcours de magistrat qui occupera cette fonction délicate si l’on en juge par la durée des mandats de ses prédécesseurs.

Mettre en place une veille sécurité

L’on parle souvent de veille concurrentielle, de veille image / e-réputation, de veille technologique…

L’on oublie souvent de citer la veille sécurité. Il y a plusieurs raisons à cela :

  • Tout d’abord ceux qui font de la veille sûreté en parlent rarement. Il faut dire que le sujet est sensible et nous verrons pourquoi.
  • Ensuite elle est aussi probablement moins répandue. En effet, la veille sécurité dépend souvent de la direction sûreté / sécurité dans les grands groupes, et ces dernières sont plus souvent attachés à ce que l’information ne sorte pas plutôt que détecter l’information qui est déjà sortie.

Commençons par définir la veille sécurité. En tout cas je vais vous donner ma définition opérationnelle. Je ne suis pas un homme de livres…

De mon point de vue la veille sécurité est l’ensemble des techniques et outils qui permettent d’identifier des fuites d’informations potentielles qui pourraient porter atteinte à la pérennité de l’entreprise. Ainsi secret industriels de fabrication, organisation des sites de production, volumes de production, sous-traitants, machines outils, mais également des informations qui pourraient porter atteinte lourdement à l’image de l’entreprise ou porter atteinte durablement à son image et impacter son bon fonctionnement.

La listes est bien évidemment non exhaustive.

La veille sécurité est finalement un maillon essentiel de la mise en oeuvre de l’intelligence économique. Faisant référence aux 3 piliers de l’intelligence économique, la veille s’occupe de l’aspect renseignement et information, la veille sécurité est elle directement rattaché au pilier “sécurité de l’information”.

Les affaires nombreuses et récentes dans les plus hautes instances nationales et internationales nous montrent bien que, quels que soient les mécanismes de protection mis en place, l’information peut sortir et qu’il FAUT mettre en place des moyens visant à identifier ces fuites au plus tôt.

Quels sont les freins à la mise en place de ce type de veille ?

  • Où regarder :
    • Là où le veilleur sait approximativement identifier les endroits où l’information utile est accessible, la veille sécurité peut difficilement présumer où va se produire une fuite. Qu’elle soit malveillante ou faite par inadvertance, une fuite d’information est souvent peu accessible.
  • La légalité :
    • Nous y revenons encore et encore, mais la fuite d’information est souvent liée aux personnes. Le fameux problème qui se situe inexorablement entre la chaise et le clavier. A parti du moment où des collaborateurs peuvent être impliqués, les fuites peuvent survenir dans des espaces professionnels et / ou personnels. Or l’entreprise ne peut en aucun cas porter atteinte à la vie privée de ses salariés. Par ailleurs la surveillance des médias sociaux est un sujet délicat (CGU, API de plus en plus fermées, données personnelles)
  • Les filtres :
    • Déterminer un champ lexical qui définirait un document ou une information sensible est quasi impossible : taille d’une équipe, mentions de collaboration entre un salarié et un prestataire, appel d’offres trop détaillé… Alors bien évidemment certains documents, noms de code de projet, nom de technologies peuvent être des déterminants clairs mais il peut être délicat de les utiliser dans des solutions de veille qui sont aujourd’hui en SaaS (de la futilité de la veille et des traces laissées. Au final, la volumétrie liée à la mise en place d’une veille sécurité peut entraîner une volumétrie d’informations collectées élevée, difficile à réduire sans risque de silence sur le peu de documents sensibles.

Comment mettre en place une veille sécurité ?

Difficile mais pas impossible, la veille sécurité doit amener à faire évoluer notre façon parfois simpliste de voir la veille : une veille accès sur un schéma linéaire source -> crawling -> filtre par mots clés -> filtre humain.

  • Sélectionner ses sources :
    • Ici l’on privilégiera les sources sur une approche probabilité d’apparition du risque + exposition de la source. En somme, il faut cibler les endroits où les informations à risque ont le plus de chance de survenir et où ces informations sont le plus explosé. Au final s’il y a fuite mais que l’information est très difficile à trouver il y a moins de risque qu’elle se propage.
    • De fait les sources impliquant des “humains” sont celles où il y a le plus de chances de voir apparaître le risque. Réseaux sociaux professionnels, réseaux sociaux personnels, file sharing type Slideshare ou Prezi, YouTube, Foursquare, Instagram. Qu’il s’agisse de valoriser son travail pour en chercher un nouveau, de partager des moments exaltants de sa vie professionnelle ou de mettre à disposition des présentations, ces réseaux sont à risque.
    • En complément de ces sources privilégiées externes, la surveillance de son propre environnement informationnel ne doit surtout pas être oubliée. Failles de sécurité d’intranet ou de RSE, serveurs FTP, une simple surveillance sur le différents noms de domaine l’entreprise peut permettre de limiter la casse lors de la mise en ligne de serveur de test ou de pré-ipod par exemple.
  • Ajuster son vocabulaire :
    • Le vocabulaire de filtre devra être adapté. Il faut impérativement limiter la sortie d mots clés trop sensibles ou de combinaisons de mots clés parlantes qui pourraient dévoiler la stratégie de l’entreprise ou de Recherche et Développement.
    • L’on privilégiera ainsi un champ très large (simple nom de l’entreprise) sur les sources les plus sensibles et l’on combinera sur d’autres types de sources des combinaisons entre le nom de l’entreprise et le type d’information : présentation, réunion, conférence, confidentiel, ne pas diffuser, diffusion restreinte, budget,… ou avec le type de fichiers (PDF, XLS)
  • Imaginer de nouvelles approches :
    • Ce type de projets m’a amené à réfléchir à de nouvelles approches dont l’une d’elle que je peux livrer : lister tous les sites physiques d’une entreprise et extraire l’information via les API des réseaux sociaux, sans mots clés, mais sur des zones de publication. Bien que peu d’informations soient géolocalisées, lorsque cette dernière est présente, ce critère de collecte peut-être particulièrement pertinent et discriminant.
    • C’est l’une des approches… mais il y en a clairement d’autres. Des petits trucs et astuces…

Le radar d’horizon

Quel que soit le nombre de sources mises sous surveillance, il est essentiel de pouvoir disposer d’une surveillance large, ouverte, du web. Et là on se heurte clairement à l’opacité des outils…

L’automatisation de la veille ouverte en se servant par exemple de Google c’est un peu le saint Graal du veilleur. Chacun de nous rêve d’un outil performant lui permettant de détecter sur le web tous les nouveaux documents disponibles.

Personnellement cela fait quelques années que je ne crois plus au Père Noël…

Google ne dispose pas ou plus d’API… Jusque là Google Custom Search pouvait permettre pus ou moins d’attaquer proprement les résultats de Google. Désormais il faut passer par du parsing de pages de résultats en mode passager clandestin.

C’est faisable. Techniquement challenging, budgétairement déraisonnable mais faisable…

Mais au final cela ne fonctionne pas. J’ai eu beau le tourner dans tous les sens : les résultats ne sont pas à la hauteur. Beaucoup de résultats manquent à l’appel. Pas seulement des résultats qui relèveraient de l’information grise d’ailleurs. Des résultats qui a priori devraient remonter dans le résultats mais en sont au final absents…

MAIS, même si le résultat n’est pas satisfaisant, il est difficile de s’abstenir de mettre en place cette veille. Car pour le coup, la source “Google” (NDLR : qui n’est pas une source soyons clair mais un moyen d’accès à l’information) est une “source” à haute exposition.

Mobiliser les personnes

Là où certains pourraient être tentés de centraliser la veille sécurité il est essentiel de travailler avec toutes les forces vives de l’entreprise et non pas se situer dans une logique de concurrence. L’accès au Web est mondial mais la masse d’information disponible a amené les différents médias à favoriser l’accès à l’information pour un public local.

Géolocalisation, cloaking, SOLOMO, sont autant d’outils ou d’approche que les médias mettent en place pour limiter l’accès à l’information à partir d’un autre endroit du monde.

Cette accessibilité limitée et géolocalisée, ajoutée à la barrière linguistique, doit amener à mettre en place et à concevoir des systèmes de remontées internes de remontée d’information à partir du terrain et par des capteurs humains.

De la limite des algorithmes

Les algorithmes du web, tous calibrés pour amener à l’information pertinentes, pour valoriser également l’information “buzz”, pour limiter l’accès au dark web est un frein massif à la veille sécurité.

De même les algorithmes de machine learning qui pourraient arriver à typer ce qu’est un document critique en terme de sécurité ne peuvent pas fonctionner… : la volumétrie de documents critiques identifiée est trop faible pour permettre un “profiling”.

De l’intérêt de la veille sécurité

Lorsque je participe à des présentations et conférences sur l’intelligence économique avec des heures et des heures consacrées à la sécurité économique allant jusqu’à dire “débrancher internet” cela me dépasse.

La solution n’est pas dans la stigmatisation des connexions et du numérique ni le catastrophisme mais passe bien par une sensibilisation et par le développement de la prévention mais doit aussi considérer que les accidents peuvent arriver, qu’ils sont inhérents à l’exercice de l’activité économique et que des solutions d’identification, via une veille sécurité, et de résolution des incidents doit être mis en place. Ne nous leurrons pas, ce n’est pas le numérique qui a donné naissance aux failles de sécurité.

Le droit d’auteur, Kryptonite du veilleur ?

Le 9 Juin se tenait à Lyon, Veille Connect, un événement organisé dans plusieurs villes de France depuis 3 ans bientôt. Veille Connect c’es un moment entre professionnels de la veille. Un moment d’changes, de convivialité mais également un moment de réflexion autour de nos métiers, de leurs évolutions et de nos pratiques entre professionnels de la veille et de l’intelligence économique.

Lors de cette soirée, Mickaël, patron de Sindup, m’a proposé d’intervenir sur “la légalité de la veille” et de développer ainsi la série de prises de positions et de publications que j’ai pu réaliser sur le sujet dont celle relativement extensive : La veille une activité légale.

Je ne vais pas développer longuement ce sujet, mais je voulais surtout vous livrer le support de présentation, synthétique qui ne rendra pas honneur à l’intervention de grande qualité. (Fleurs / Servi par soi même / etc)

Je peux juste rajouter qu’en plus de 15 ans dans ce métier je n’ai pas vu un seul projet de veille qui soit 100 % conforme à la législation relative au droit d’auteur. Ce qui est sur, c’est que pour de nombreux clients, y compris grands comptes, il y a une confusion assez effrayante entre droit d’auteur et information monétisée. En somme, pour nombre d’entre les veilleurs : si c’est gratuit je peux faire ce que je veux avec. Le point de vue pourrait se défendre en le nuançant un peu : en gestion du risque il est assez évident en effet que copier et utiliser de l’information non monétisée par l’ayant droit est moins risqué que de pomper un article des Echos par exemple.

Concernant le risque lié à la furtivité, on est souvent également dans une méconnaissance assez profonde (souvent entretenue par les éditeurs logiciels) de même que pour le risque d’atteinte au bon fonctionnement des SATD.

Au final j’insiste lors de cette courte intervention sur le fait que la situation actuelle est inquiétante pour les métiers de la veille : la diminution sensible et continue des effectifs, le mythe entretenu du livrable de veille auto-généré, a amené la profession a développer des livrables peu analytiques, basées sur la détection et l’extraction de contenus en minimisant le temps homme d’expertise et d’analyse.

Les éditeurs d’outils de veille ont délaissé les workflow facilitant la collaboration entre capteurs d’informations et experts internes.

Le marché, offre et demande, a ainsi évolué inexorablement vers des services de veille remplaçant l’être humain par des logiciels dès que cela est possible.

C’est ainsi selon moi une erreur stratégique et conceptuelle de se battre contre elle droit d’auteur en tant que veilleur en disant qu’il n’est pas en adéquation avec les usages. Ce sont les usages qui sont erronés et qui appauvrissent nos métiers.

Là où certains combattent le droit d’auteur pour faire des newsletters copiés-collés, l’énergie serait mieux mobilisée à se demander où réinjecter de l’être humain dans des processus et produits de veille.

Plus d’énergie serait bien venue au final dans l’animation des communautés de veille, dans la mobilisation des expertises, dans l'”infomédiation”.

Au final, le droit d’auteur, si l’on omet l’aspect monétaire de la chose, est un garde fou qui vise à favoriser l’investissement temps en réflexion, en création, en “production” intellectuelle.

Au final, le droit d’auteur ne serait plus la kryptonite du veilleur mais le meilleur moyen d’éviter les dérives d’une société de l’information et de favoriser l’émergence d’une société de la connaissance et du savoir.

Il n’y a rien de neuf depuis 10 ans sur ce point. Il y a déjà plusieurs années je me souviens de présentations powerpoint où la Valeur Ajoutée de processus de veille était matérialisée en gros sur la pause d’analyse et d’animation / transmission de l’information. Au final, trop d’énergie est toujours attribuée à la phase de collecte de l’information…

Une conclusion plus optimiste finalement sur Veille Connect.

C’est une bonne chose d’organiser ce genre d’événements. La communauté des veilleurs est une petite communauté. Nombre d’entre nous se connaissent entre blogueurs / consultants / Twittos mais parfois les veilleurs en entreprise, une fois en poste, sont moins connectées avec cette communauté.

La soirée Lyonnaise fut une vraie réussite, sympathique, avec de nombreux échanges. Un moment de convivialité et j’ai été ravi des questions que ma brève intervention a suscité. Des questions et échange qui se sont poursuivis hors micro.

  • Le support de l’intervention : La veille un une activité légale ? consultable ci-après.
  • Quelques photos de la soirée Veille Connect Lyon

Dossier littérature grise : L’information grise

Information grise

Appréhender la notion d’information grise conduit à aborder la question éthique. Celle-ci monte en puissance avec l’internet et le rôle joué par les réseaux sociaux où l’humain garde toutefois une place essentielle. Cet article clarifie cet aspect incontournable de la veille.

L’information grise est généralement définie comme une information accessible de façon légale mais « caractérisée par des difficultés dans la connaissance de son existence ou de son accès » . Il s’agit donc d’une notion qui complète celle de littérature grise (considérée en partie comme une information grise) mais qui, ayant bénéficié des facilités apportées par Internet pour la mise à disposition d’informations non commercialisées, devient une information blanche.

Souvent associée à l’« intelligence » dans son acception anglophone de renseignement et, plus particulièrement, de renseignement terrain, l’information grise est une information complexe, polymorphe, aux canaux de diffusion hétérogènes. Elle peut être acquise de façon licite, mais aussi quelquefois éthiquement discutable. Elle peut être implicite, déduite, calculée, avec un indice de confiance variable en fonction des sources primaires ayant servi à sa construction.

L’éthique de l’accès à une information
L’éthique est difficile à cerner car souvent variable au fil du temps et d’un interlocuteur à un autre. Au final, elle se définit souvent par ses infractions. Dans un environnement économique auquel certains associent le terme de « guerre », on peut imaginer que l’asymétrie de position dans l’accès à l’information entre deux concurrents, dont l’un serait éthique et l’autre non, se traduise, pour le plus intègre, à courir un 100 mètres haies avec une paire de chaînes. La meilleure façon de protéger son information grise serait donc de la mettre en terrain noir.

Parmi les actions connues comme étant éthiquement discutables, on peut citer : faire les poubelles de ses concurrents ayant oublié de déchiqueter des documents, prendre sa pause cigarette au pied de l’immeuble de son concurrent aux heures d’affluence, etc. Que feriez-vous enfin si l’un de vos concurrents ouvrait son ordinateur à côté de vous, dans un avion par exemple ? Déclineriez-vous votre identité et votre fonction ?
Inattentions, erreurs, oublis sont autant de paramètres permettant d’accéder à l’information grise.

Information grise et réseaux sociaux
L’information grise se caractérise par sa difficulté d’accès ou même d’identification. En ce sens, les réseaux sociaux sont indiscutablement une source d’information grise. Facebook ou LinkedIn, par exemple, regorgent d’espaces que l’on qualifiera de « semi-privatifs » car, à moins d’être naïf, il est illusoire de penser qu’une information numérisée, mise à la disposition d’une société privée et partagée avec ses « amis » soit privée. Qu’il s’agisse de groupes privés sur LinkedIn ou de vos statuts partagés avec vos proches, voici autant de sources d’information qui ont relégué les techniques de social engineering traditionnelles aux oubliettes.

Google indexe tout le Web
Non, bien sûr que non, et la récente disposition sur le droit à l’oubli en donne un exemple : pour nos politiciens, une information non trouvée sur Google est une information qui n’existe pas (à moins d’utiliser la version états-unienne de Google non soumise au même droit). En France, on considérera (assez justement) qu’une information non disponible sur Google est une information grise car difficilement accessible. Or, Google est très loin d’indexer tout le Web. Sans parler des espaces sécurisés, il suffit de citer :
– les fichiers robots.txt interdisant à Google d’indexer certaines pages Web ou encore les méta-balises robots no follow/no index,
– les fichiers de formats non ou mal indexés tels que le Flash,
– les contenus multimédias indexés uniquement via le contenu textuel de la page et non via la piste audio et encore moins vidéo (même si avec Google Audio Indexing, Google s’était essayé au speech to text),
– les contenus interdits d’indexation par les autorités locales,
– les serveurs hébergeant du contenu « dark Web » (piratage logiciel, pornographie et trafics en tout genre),
– les contenus protégés par le Digital Millenium Copyright Act aux États-Unis.
En dehors de ces freins, un cas d’information grise est encore plus difficile à traiter. En effet, même si un document comporte le mot clé que vous recherchez, Google ne vous le renverra pas systématiquement dans les résultats, car il peut considérer que sa présence est anecdotique.

L’information déduite ou calculée
En octobre 2013, les chercheurs de Facebook ont démontré qu’ils pouvaient deviner, à partir des échanges (likes /commentaires) entre les membres, qu’une relation de couple était sur le point de se terminer.
La donnée n’existe pas. Elle est calculée. Nous avons tous eu l’occasion de voir des CV LinkedIn se « réactiver » et deviner que la personne mentionnée passait en « écoute active » du marché. La théorie des réseaux nous enseigne que les interactions, aussi minimes soient-elles, trouvent un ancrage, un intérêt, un but poursuivi dans la vraie vie. Pour schématiser, un simple like est porteur de sens. Plusieurs le sont encore plus.

L’exploitation des interactions sur les réseaux sociaux (Social Network Analysis) et l’exploitation des technologies de big data permettent de traiter des données transactionnelles ou comportementales en ligne pour anticiper les comportements ou détecter les relations non explicites.

Reconstitution d’itinéraires individuels avec les solutions de géolocalisation telles que Foursquare ou d’objets connectés, analyse sémantique et lexicale des prises de parole publiques, requêtes sur les moteurs de recherche ou pages visitées : autant de données de grande valeur si l’on se donne la peine de mettre en place les dispositifs de valorisation et de compréhension de ces informations. Les technologies actuelles permettent de réaliser le fantasme du veilleur et de faciliter la détection et la vérification du signal faible.

Le poids du PBCK
Une stratégie de sécurisation de l’information par les entreprises se limitant à la sécurité informatique n’est plus suffisante. La protection de l’information passe par la sensibilisation des personnels à sa valeur et aux règles de prudence élémentaires. « The problem is between chair and keyboard » (PBCK) – en somme, le problème, c’est le facteur humain.

A contrario, pour celui en quête d’information grise, fréquenter les mêmes espaces, les mêmes festivités alcoolisées que ses concurrents est un facteur clé de succès quand il s’agit d’acquérir de l’information potentiellement intéressante. Là encore, les réseaux sociaux ont facilité l’accès à ces types d’information : savoir qui est à quelle soirée, à quoi il ressemble et les sujets qui l’intéressent. Un social engineering qui ne dit pas son nom.

Ne pas franchir la ligne jaune
Aujourd’hui, les entreprises souffrent d’une surabondance d’information ou plutôt d’une inertie à mettre en place des processus, des règles, des outils adaptés pour faire face à l’explosion des volumes. L’information grise est souvent une information blanche noyée dans une masse, et tous ceux qui recherchent des pépites grises devraient prendre soin d’exploiter ce qui est déjà à leur portée.

Mais un veilleur ne doit jamais franchir la ligne jaune le faisant basculer dans l’illégalité. Or, c’est loin d’être toujours le cas dans un univers numérique où la réglementation et la jurisprudence évoluent continuellement.

Amis veilleurs, soyez donc imaginatifs, inventifs, voire impitoyables. L’information est votre matière première : le cœur de votre métier est d’aller la chercher, de la façonner et de l’utiliser !

Article publié dans le numéro 1 de I2D de mars 2015, Information Données et Documents, la revue éditée par l’ADBS

Voir aussi : L’information grise

Crédits photos : ShutterStockModern wireless technology illustration with a computer device, Tous droits réservés