L’être humain se trouve au cœur de tout processus de sécurité économique. Recourir à une méthodologie construite autour, et pour vos salariés, peut donc s’avérer être la clé, non seulement pour anticiper les menaces, mais également protéger les informations stratégiques de votre organisation. C’est l’objectif de la méthode SHERPA : permettre à toute entreprise de mieux se connaître, mais aussi de mieux cerner ses adversaires, au travers d’ingrédients simples, basés sur du bon sens, de l’organisation, de l’observation et de l’analyse.
De l’intelligence économique à la sécurité économique
Avant de parler de sécurité économique, il me semble important de s’intéresser brièvement à l’intelligence économique. Entre amalgames et fantasmes, cette discipline reste, encore aujourd’hui, difficile à définir.
Mon expérience professionnelle a été jusqu’à présent riche en enseignements et m’a permis, notamment, d’observer la perception que se font les acteurs économiques de cette science. Que ce soit chez un leader mondial, dans le monde consulaire ou même dans un cercle d’amis, leur vision de mon métier était à chaque fois identique, et malheureusement erronée : « Oui donc tu es un espion ! ». Plusieurs fois, des décideurs ont d’ailleurs tenté, par méconnaissance, de me faire franchir les frontières de l’éthique, pour glaner des informations stratégiques.
A qui la faute ? Le but ici n’est pas de jeter la pierre à mes anciens collègues ou amis, mais au contraire, de comprendre leur raisonnement et, surtout de faire en sorte que cette discipline soit comprise et appréciée à sa juste valeur. Notre mission, en tant que praticiens de l’IE, est de montrer que la récolte, le croisement, le partage d’informations disponibles et obtenues en toute légalité procure à l’organisation de nombreux avantages tangibles.
L’humain au centre du processus d’intelligence économique
Chez ACCEIS, nous avons fait le choix d’aborder les trois piliers de l’intelligence économique, à savoir la veille, la protection de son patrimoine et le lobbying à travers l’humain. N’est-il pas, finalement, au centre du processus ?
Reprenons la définition d’Henri Martre : « L’intelligence économique peut être définie comme l’ensemble des actions coordonnées de recherche, de traitement et de distribution, en vue de son exploitation, de l’information utile aux acteurs économiques. Ces diverses actions sont menées légalement avec toutes les garanties de protection nécessaires à la préservation du patrimoine de l’entreprise, dans les meilleures conditions de délais et de coûts. L’information utile est celle dont ont besoin les différents niveaux de décision de l’entreprise ou de la collectivité, pour élaborer et mettre en œuvre de façon cohérente la stratégie et les tactiques nécessaires à l’atteinte des objectifs définis par l’entreprise dans le but d’améliorer sa position dans son environnement concurrentiel. Ces actions, au sein de l’entreprise, s’ordonnent autour d’un cycle ininterrompu, générateur d’une vision partagée des objectifs de l’entreprise. »
Très complète, cette définition ne parle néanmoins à aucun moment de collaborateurs, d’acteurs, de salariés ou d’employés. Pourtant, ne sont-ils pas à l’origine des processus de protection du patrimoine de l’organisation ? Ne traitent-ils pas l’information au quotidien ? Ne partagent-ils pas cette même information avec leurs collègues ? Que ce soit pour les influencer ou créer de la connaissance – et donc de la valeur – l’Homme est, à chaque fois, un rouage essentiel au bon fonctionnement d’une politique d’intelligence économique.
Nous aborderons donc la sécurité économique à travers l’être humain. Même si des notions comme la threat intelligence, le machine learning ou encore l’intelligence artificielle sont aujourd’hui très présentes, nous montrerons qu’une méthodologie, construite autour, et pour vos salariés, peut être très efficace, non seulement pour anticiper les menaces, mais également pour protéger les informations stratégiques de votre organisation.
SHERPA : genèse et fonctionnement
SHERPA. Pour commencer, pourquoi ce nom ? Et pourquoi pas ?
Plus sérieusement, SHERPA est une méthode, un outil, un guide – ça y est vous voyez le rapport – dont les buts premiers sont à la fois de mieux se connaître, mais également de mieux cerner ses adversaires/opposants. Il peut également être utilisé dans un processus de veille ou de recherche en source ouverte.
Cette méthode n’a rien de révolutionnaire, elle sert juste à poser les bases d’un processus efficace de protection du patrimoine d’une organisation. Les ingrédients sont simples : du bon sens, de l’organisation, de l’observation et de l’analyse.
Qui suis-je ?
La première étape consiste à faire le point sur sa propre structure. Qui suis-je ? Histoire, marché, concurrents, nombres d’employés, fuites de données, leaders, personnels clés, forces, faiblesses, forme juridique… Ce travail peut parfois s’avérer compliqué, tout particulièrement concernant l’identification de ses forces et faiblesses. Il est en effet plus aisé de voir la poutre dans l’œil du voisin que la paille dans le sien. Aussi, nous recommandons de construire cette partie – comme les autres d’ailleurs – en équipe, et si possible avec des personnes issues de différents services. Le résultat n’en sera que plus pertinent. Pour rendre l’analyse plus précise, nous vous conseillons de compléter cette première partie avec un échiquier « invisible économique ». Cet outil, au demeurant très utile, permet de vous situer vis-à-vis des différents acteurs – concurrents, civils, géopolitiques – de votre environnement économique pertinent. Vous trouverez plus d’informations sur ce dispositif dans le livre de Christophe Deschamps et Nicolas Moinet qui s’intitule « La boîte à outils de l’intelligence économique ».
Miroir
Une fois cette première étape terminée, identifiez une source de menace jugée prioritaire et effectuez le même travail en vous intéressant cette fois à votre adversaire. Cette partie, appelée « miroir », vous sert à mieux cerner votre « cible ». De plus, cela permet également de mettre en relief vos points de concordance et vos similitudes. Par exemple, un passé commun ou un salarié qui a travaillé pour les deux entités, etc. Nous préconisons de réaliser ce travail sous forme de carte mentale, soit à base de post-it, soit sur un logiciel de mindmapping de type XMIND. Vous pourrez ainsi jouer sur les couleurs, les formes et les connexions.
RED HAT
L’étape qui arrive ensuite est, selon nous, primordiale. Que ce soit pour initier une démarche de veille ou définir le paramètre de protection du patrimoine d’une organisation, nous devons nous mettre à la place de notre cible, penser comme elle.
Pas besoin de réinventer la roue. Il existe déjà des outils, il suffit de les adapter à notre utilisation. Ce troisième volet de notre méthodologie utilise un outil appelé « Carte de l’empathie ».
Ce dispositif est principalement utilisé en marketing où il sert à mieux cerner le consommateur. Encore une fois, pour être efficace, cette étape doit être réalisée en groupe. Cela vous aidera notamment à gommer au maximum les biais cognitifs.
Il est intéressant de distinguer « voit » et « regarde ». Le côté proactif du regard nous invite à réfléchir à ce que notre adversaire va « chercher à voir. »
Cette technique, qui consiste à se mettre dans la peau de son adversaire, est également connue sous le nom de « red hat » (rien à voir avec la célèbre distribution Linux). Ajoutez alors les problèmes/freins et les besoins de votre opposant et vous pourrez émettre des hypothèses d’attaque et ainsi être mieux préparé pour les parer.
Connaître ses forces et ses faiblesses
Les avantages et les utilisations sont multiples. Tout d’abord, faire le point sur son organisation, sur ses profils sensibles, sur ses faiblesses et ses avantages confère une plus grande visibilité sur les points de vigilance, ainsi que sur les points forts. Coupler SHERPA à une analyse de risques, en regardant également via des outils et techniques de recherche les informations que le personnel sensible, mais aussi l’organisation, laissent disponible sur Internet permettra d’anticiper de manière encore plus précise des attaques futures.
Toujours dans « La boîte à outils de l’intelligence économique », vous pouvez utiliser, dans le cadre d’une analyse de risques orientée « intelligence économique », la matrice SACH ou matrice des hypothèses comparées. Cet outil développé par la CIA croise des hypothèses d’attaques et des preuves qui permettent de confirmer ou d’infirmer ses hypothèses. Par élimination, seules les plus plausibles sont conservées.
A noter que, dans le cadre d’une recherche en source ouverte, SHERPA, à l’image d’un guide, permet avec l’appui d’autres outils et méthodes de recherche, de partir dans la bonne direction. En se mettant à la place de sa cible, il est plus aisé de deviner où elle peut potentiellement partager des informations, le nom qu’elle donnerait à ses documents sensibles, etc.
SHERPA peut également s’avérer être un puissant levier de sensibilisation. En effet, en alimentant cet outil avec vos équipes, vous sensibiliserez vos collaborateurs et les impliquerez dans le processus de protection du patrimoine de l’organisation.
Comment se défendre si on ne connaît pas son adversaire ?
Ne dit-on pas que la meilleure défense c’est l’attaque ? C’est un peu notre vision de la sécurité économique chez ACCEIS. Comment se défendre si on ne connaît pas son adversaire ? Comment mettre toutes les chances de son côté si on ne maîtrise pas son environnement économique et les informations qu’il laisse à notre disposition ?
Par attaque nous entendons prendre les devants, se renseigner, être proactif, mais toujours en restant du bon côté de la barrière. Une maxime de Napoléon disait « il est excusable de perdre, il est impardonnable de se faire surprendre. » Évidemment, on ne peut pas gagner à tous les coups. Mais perdre, se faire surprendre, car on a loupé une information qui était sous notre nez est inacceptable.
L’information est partout, le but est alors de s’en saisir, de la traiter et de la partager avec les bonnes personnes. En transformant l’information en connaissance, nous créons une plus-value pour l’organisation. Et, encore une fois, l’Homme est au centre de ce processus.
SHERPA nous aide à comprendre les hommes qui constituent notre organisation, à comprendre le mode de pensée de nos adversaires et, grâce à son côté collaboratif, à impliquer les collaborateurs dans le processus de protection du patrimoine de l’entreprise.
Donc non, l’intelligence économique n’est pas de l’espionnage. Si les comparaisons aident à la compréhension, nous pouvons dire que l’IE ressemble davantage à Sherlock Holmes qu’à James Bond, car il observe, récolte des informations, les croise pour étayer ses déductions.
Enfin, à quoi pourrait ressembler un service d’intelligence économique idéal ? Un financier, un expert en cybersécurité, un sociologue, un polémologue, un psychologue, un expert en recherche en source ouverte, un ingénieur… Finalement, des réunions régulières, avec des personnes de chaque service, formées aux techniques de recherche et de protection de l’information, pourraient à nos yeux constituer une alternative à un service dédié à la discipline.