L’intelligence économique recouvre, d’une part, l’ensemble des activités coordonnées de collecte, de traitement et de diffusion de l’information stratégique pour une entreprise/organisation, d’autre part, l’ensemble des mesures de protection physique et immatérielle du patrimoine de l’entreprise/organisation, et enfin, l’ensemble des mesures d’influence et de notoriété menées au profit de l’entreprise/organisation. Aujourd’hui, si le vol physique, la malveillance ou la destruction sont toujours d’actualité et portent encore gravement atteinte aux entreprises/organisations, ces dernières doivent de plus en plus s’intéresser à l’utilisation des moyens informatiques et de télécommunication modernes qui sont en passe de devenir le vecteur principal des escroqueries et atteintes qu’elles subissent.

La 12e édition du Forum International de la Cybersécurité de Lille avait pour thème central : "l’humain au cœur de la cybersécurité" (Photo C.C.)

Ce faisant, la Cybersécurité, qui devient une activité majeure, a en France son propre grand rendez-vous annuel. Il s’agit du Forum International de la Cybersécurité de Lille. Le FIC est devenu, au fil du temps, le rendez-vous incontournable pour tous ceux qui s’intéressent à la Sécurité économique des entreprises… via l’univers digital ! La 12e édition s’est tenue avant le confinement, un confinement qui a encore plus mis en exergue les enjeux de la cybersécurité. Organisé conjointement par la Gendarmerie Nationale et la CEIS (Compagnie Européenne d’Intelligence Stratégique), avec le soutien de la Région Hauts-de-France, cette édition avait pour thème central : « l’humain au cœur de la cybersécurité ». Oui, c’est bien l’humain qui doit être au centre des réflexions car la technique seule ne suffit pas. L’humain est souvent décrit comme le maillon faible. L’ambition des participants -industriels, concepteurs de solutions logicielles, organismes de formations, service de l’État, élus et intervenants- est d’en faire le maillon fort dès 2020 afin de garder confiance dans l’usage du numérique.

Un vent d’espoir sur l’horizon d’une souveraineté numérique française et européenne

J’étais présent, parmi les 12 000 visiteurs du Salon. Cette 12e édition restera gravée dans ma mémoire. La séance plénière inaugurale a insufflé un vent d’espoir sur l’horizon d’une souveraineté numérique française et européenne… pour ne pas (plus) être tributaire ni des Américains, ni des Chinois, reconnus comme étant leader du secteur et de l’usage du numérique… avec leurs propres règles du jeu. A cet effet, les interventions du Général d’armée Marc Watin-Augouard, directeur du Centre de Recherche de l’École des Officiers de la Gendarmerie, de Guillaume Tissier, président de la Compagnie Européenne d’Intelligence Stratégique (CEIS), du Général d’armée Christian Rodriguez, directeur général de la Gendarmerie, de Xavier Bertrand, président de Région, de Jean-Noël De Galzain, Président d’Hexatrust, et de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont toutes souligné l’importance de « former les hommes et les femmes » au bon usage du numérique… tout en adoptant une réglementation et des usages qui garantissent la souveraineté numérique de l’Europe. De nombreux ateliers, conférences, tables rondes, démonstrations techniques, challenges cyber, challenges de hacking, permettaient aux visiteurs de découvrir de nouveaux outils, de nouvelles formations, de nouvelles approches… tout en arpentant les 450 stands implantés sur le Salon. Comment ne pas apprécier« la Conférence plénière sur « l’ingénierie sociale : Hacke-moi si tu peux ! » même s’il n’y a pas eu vraiment d’annonce de nouvelles façons d’utiliser le facteur humain pour commettre une escroquerie ou pénétrer dans un système. Là encore, seule la formation des utilisateurs (particuliers, salariés, collaborateurs) semble être la frontière ultime à atteindre, car la technique, elle, est déjà là. Les bonimenteurs et les escrocs ont toujours existé. Pour certain, c’est même un Art. Aussi, le fait, pour nous tous, de savoir comment ils procèdent permet d’être sur le qui-vive et de limiter « la casse ».

Le Massive Open Online Course (Mooc) de l’Anssi, disponible gratuitement en ligne qui permet de se former/s’informer sur la sécurité du numérique

Quelques focus comme éclairage. L’Anssi s’impose tant cet acteur étatique est majeur et incontournable de la cybersécurité en France. Outre le manifeste sur sa vision de la Cybersécurité pour les dix prochaines années, l’agence a annoncé le projet d’un Campus Cyber pour « fédérer et faire rayonner l’écosystème de la cybersécurité » d’ici au 1er semestre 2021. Et l’Anssi n’est pas que parisienne. Moïse Moyal est le représentant de l’Agence à Marseille pour la Région Provence-Alpes-Côte d’Azur. Il promeut, à l’attention des particuliers, des professionnels et des chefs d’entreprise, le Massive Open Online Course (Mooc) de l’Anssi, disponible gratuitement en ligne qui permet de se former/s’informer sur la sécurité du numérique. La CEIS (Compagnie Européenne d’Intelligence Stratégique) offre du conseil en stratégie et management des risques. Basant son action sur une démarche l’intelligence économique et d’analyse stratégique, elle accompagne ses clients dans leur développement, en France comme à l’étranger. Spécialisée dans les industries stratégiques ou sensibles (défense, sécurité, aéronautique, finance, énergie …), elle étend aussi son expertise aux marchés émergents, à la cybersécurité et à la transformation numérique des entreprises. Afin de devenir un acteur majeur et de taille européenne, elle s’est associée à Avisa Partners en janvier 2020, devenant le challenger de l’Adit, soutenue par L’État français.

La CNIL (Commission Nationale de l’Informatique et des Libertés) est la gardienne de l’éthique et de la morale dans l’usage du numérique en France. Sa mission est d’aider à protéger les données personnelles pour préserver les libertés individuelles. Sur son Stand, il était possible, pour les professionnels, de bénéficier de conseils personnalisés en matière de conformité au RGPD (Règlement Général de la Protection des Données), notamment sur les fonctions de DPO (Délégué à la Protection des Données), de précisions sur la notion de Privacy by Design, sur le déroulé de l’étude d’impact sur la vie privée (PIA pour Privacy Impact Assessment) et plein d’autres sujets d’actualité et recommandation sur la réglementation européenne. Hexatrust est une association qui regroupe les leaders européens du Cloud et de la Cybersécurité. Il fédère un écosystème intelligent et pragmatique, permettant de délivrer une offre commune et complémentaire sur des domaines tels que la sécurisation des systèmes industriels, la prévention contre la fuite de données, la gouvernance, la traçabilité et l’audit, le chiffrement et la confidentialité, la gestion des identités et des accès, la sécurisation des transactions et plein d’autres encore. Enfin, en feuilletant l’exemplaire de la Revue de la Gendarmerie Nationale j’ai découvert un article d’Olivier Pommeret, spécialiste de la Veille informationnelle et de la recherche d’information stratégique, Chercheur associé au Laboratoire de Droit International et Européen, de l’Université Côte d’Azur. Ses propos ne pouvaient pas tomber plus juste : comment faire durablement évoluer les comportements pour améliorer la cybersécurité ?

Bien qu’ils soient minoritaires, les actes malveillants l’emportent médiatiquement sur les actes involontaires

C’est un fait, la cybersécurité est un sujet de préoccupation dès que survient un problème, qu’il soit lié à un défaut du logiciel, à un mauvais usage intentionnel dudit logiciel ou à une manipulation involontaire. Or, bien qu’ils soient minoritaires, les actes malveillants l’emportent médiatiquement sur les actes involontaires… à l’origine de la plupart des dommages subis par les entreprises ou les particuliers. Ils résultent des comportements des uns et des autres, qu’il faut changer. Or sensibilisation et formations, souvent dispensées en « one shot », ne visent que le court terme. Les mauvaises habitudes et les biais cognitifs sont pourtant fortement enracinés en nous… parfois de manière native, car héritée de nos ancêtres chasseurs et cueilleurs. Oui, nous parlons bien des hommes des cavernes… mais quel rapport entre l’âge du feu et le monde digital ? Et bien, la construction de notre cerveau et les raccourcis cognitifs qu’il construit pour générer un acte réflexe (attaquer ou fuir) ou économiser de l’énergie. Comme le précise Olivier Pommeret, « les recherches en économie comportementale ont déjà mis en avant des biais cognitifs pouvant être à l’origine d’erreurs aux conséquences parfois très graves », tels les accidents d’avions ou les accidents nucléaires. Pour contrer cela, les nudges (ou incitations douces) sont une des pistes explorées par les chercheurs. Chacun connaît l’histoire du sticker d’une mouche collée aux fonds des urinoirs, obligeant instinctivement les hommes « à viser » ce simulacre de diptère commun (réflexe du chasseur). Il a conduit à réduire drastiquement les frais de nettoyage des toilettes publiques. Mais la première piste d’expérience « sociale » a été la sécurité routière et la réduction remarquable du nombre d’accidents à des endroits fortement accidentogènes par l’apposition sur la route de « trompe l’œil » (Chicago, Paris, …). En effet, bien que le cerveau conscient sache qu’il s’agit d’un faux, le cerveau inconscient, plus rapide, oblige à un acte réflexe attendu : ici, celui de « lever le pied » et d’être « sur ses gardes » face à un danger potentiel. Olivier Pommeret pose la question : cette technique peut-elle influencer le facteur humain de la cybersécurité ? Peu d’études abordent le sujet mais de nombreuses pistes, qu’il cite dans son article, tendent à le prouver. Mais il va encore plus loin : « pour replacer l’humain au centre de la cybersécurité, ce sont tous les enseignements liés à l’optimisation de nos comportements et à l’amélioration de (…) nos décisions qui doivent être mobilisés : intelligence émotionnelle, intelligence interpersonnelle, psychologie sociale et cognitive, (…) soft-skills, (…) ». Olivier Pommeret regroupe tout cela sous le vocable « intelligence personnelle », par analogie à « l’intelligence économique » et à la bonne gestion des informations reçues par notre cerveau. La boucle est bouclée : le facteur humain de la cybersécurité consiste bien à remettre l’utilisateur au cœur du processus… par un apprentissage et une formation adapté(e)s. Conduire une voiture ne s’apprend pas en un jour et si vous finissez par partir de la maison et rejoindre votre lieu de travail sans avoir le souvenir du trajet effectué, tant vos pensées vous ont emmené ailleurs, c’est parce que votre cerveau a appris à fonctionner en mode automatique. Et bien faisons en sorte que, pour l’usage des outils informatiques, ce soit la même chose.

Christophe Clarinard est consultant en intelligence économique et stratégique iessse.fr