Lutte anti-corruption : guerre économique ou moralisation de la vie publique


File 20170710 5970 mkuy66
Corruption.
Pixabay

Pierre Memheld, Université de Strasbourg

Quand une entreprise commet des erreurs de gouvernance interne, qu’elle est poursuivie par une juridiction étrangère pour cela et qu’elle doit en « paiement » céder des activités ou des brevets, s’agit-il d’une « attaque » ou d’une faille du système de management ?

De même, lorsque la presse révèle des activités illicites liées à une organisation terroriste, lorsque les mots de passe du réseau informatique sont accessibles, ou encore lorsque le management refuse de considérer des technologies ou marchés émergents. Dans tous ces cas, il s’agit d’erreurs humaines ou de jugement, et non d’actions « ennemies ».

La plupart du temps, lorsqu’une entreprise défaille, ce n’est pas de la faute de la concurrence. D’après des études publiées par BPI France, les défaillances d’entreprises sont dues au contexte économique, la taille et l’âge de l’entreprise, son endettement ou plus simplement l’inadéquation entre son marché, ses produits et son modèle économique.

De même, pour Benjamin Gilad, « surveiller ses concurrents sans perspective » conduit à des échecs. Si l’analyse des concurrents se limite à reporter ces erreurs sur eux, il s’agit là d’un biais particulièrement handicapant dans l’avenir. Et considérer que nos adversaires ne peuvent, voire ne doivent, pas tirer parti des failles et faiblesses qui leurs sont offertes, est une erreur fondamentale de stratégie sans parler d’une certaine naïveté.

À l’heure du débat sur la moralisation de la vie publique, polémique car lui-même entaché d’affaires, et d’une explosion des normes et lois en la matière, les entreprises n’ont plus le choix que d’anticiper le risque légal lié à la corruption ou aux organisations criminelles, ou les attaques financières ou réputationnelles.

À ce sujet le cas Alstom a fait couler beaucoup d’encre mais il est en soi révélateur de certains dysfonctionnements internes graves et répétés dans la gouvernance d’une entreprise. À vouloir accuser les États-Unis de manier renseignement et justice à leurs bénéfices, ne chercherait-on pas à justifier le contournement des règles et donc la corruption ?

Le cas Alstom

Depuis 2007, Alstom se trouve ainsi englué dans plusieurs affaires de corruption au Mexique, en Italie, en Suisse, en Zambie, en Slovénie, au Brésil, aux États-Unis et au Royaume-Uni. Elles sont repérées par la NSA et la CIA et, en juillet 2013, le Department of Justice lance des poursuites judiciaires contre l’entreprise française pour un pot-de-vin de 300 000 dollars versé en 2004, par la filiale PT Alstom Indonesia, à un politicien local.

Alstom refuse de reconnaître les faits et n’accepte pas le « plaider coupable » suggéré par l’administration américaine. Celle-ci élargit alors ses investigations à plusieurs autres contrats internationaux. Le 15 avril 2013, elle fait arrêter Frédéric Pierucci, vice-président de la division chaudières, à l’aéroport JFK de New York.

En même temps l’entreprise française est condamnée à une amende de 772 millions d’euros – la plus forte jamais infligée par l’administration américaine pour fait de corruption en dehors des États-Unis – amende qui n’a pas été provisionnée dans ses comptes.

Dans cette situation l’entreprise a « dû » vendre sa branche énergie. Mais ses dirigeants, et actionnaires, pouvaient-ils ignorer les risques alors que plusieurs affaires émergeaient et que l’entreprise avait déjà été mise en cause en Suisse pour corruption en entre 2008 et 2011, par exemple ?

Qui est corrompu ? Qui est le corrupteur ?

L’entreprise avait adopté un code éthique, créé une direction éthique et conformité, obtenu une certification. Mais malgré cela,

« plongée dans le quotidien de la compétition au couteau de la mondialisation… elle a poursuivi ses pratiques de conquête de marchés de façon très sophistiquée mais sans prendre de précaution ».

Donc malgré des pratiques illégales connues, l’entreprise s’est laissée attaquer par la concurrence. Cette justification a posteriori est spécieuse d’autant que cela permet d’occulter le fait que l’on pourrait également enquêter légitimement sur cette concurrence aux pratiques identiques.

La recherche sur le sujet existe et les entreprises américaines ne sont pas les dernières à corrompre (JP Morgan, HP, Wall-Mart).

Cependant, il est également bien pratique d’accuser les entreprises d’être à l’origine des affaires de corruption.

Prenons un exemple fictif mais réaliste : dans le cadre de la modernisation de l’aéroport de sa capitale, le premier ministre d’un pays d’Europe de l’Est, nouvellement entré dans l’union, mets en place un système corruptif faisant appel à d’anciens de ses services, reconvertis dans tous les trafics, et à un de ses députés européens, membre d’un parti nationaliste.

Une entreprise face à ce système n’a d’autre choix que de se retirer de l’appel d’offres car les risques sont trop importants du point de vue légal et financier.

Mais sans une organisation interne vigilante sur l’éthique et la connaissance de la réalité des pays en développement ou même européens, l’entreprise pourrait être contrainte de respecter les « conditions » imposées : ici le corrompu est le pouvoir légal du pays, comme ce fut le cas en Indonésie. On pourrait citer d’autres pays où la situation est identique, comme l’Inde, le Brésil, l’Afrique du Sud mais aussi le Canada et même la Suède !

L’anticorruption, moyen de défense économique

L’application stricte des lois, standards et codes dans le domaine de la lutte anticorruption devient donc un moyen de « défense économique » mais aussi un outil concurrentiel face à des pays/entreprises ne les appliquant pas toujours à la lettre : les entreprises n’appliquant pas la norme 37001 sur les systèmes de management anticorruption ne devraient plus être autorisées à des appels d’offres ou obtenir des financements internationaux.

Un reproche souvent fait aux États-Unis est l’utilisation extraterritoriale de leur droit pour contrer des pays dans le développement de leurs relations avec l’Iran par exemple. Un Vice-Ministre des Affaires étrangères iranien a témoigné devant des industriels que les États-Unis avaient rédigé un vade-mecum pour les entreprises américaines permettant de contourner leurs propres sanctions légalement.

L’existence de ce vade-mecum était connue du Ministère de l’Économie, ainsi que des services de l’État, mais n’a jamais était dénoncée par le Ministère des Affaires étrangères. Au-delà de leur posture « anti-Iran » les États-Unis développaient, avant même la signature de l’accord sur le nucléaire, leurs affaires, quitte à passer par des « faux nez ». Est-ce de la duplicité ou de « l’intelligence stratégique » ?

Le volet anticorruption de la Loi Sapin II pourrait s’appliquer non seulement aux entreprises françaises mais aussi aux filiales d’entreprises étrangères. Le Department of Justice américain a bien poursuivi la filiale de la BNP à New York par exemple. Celle-ci savait parfaitement qu’elle enfreignait la loi interdisant les transactions en dollars avec l’Iran et a pourtant continué, cas aboutissant à une amende record.

Le droit et la guerre économique

Dans ces cas, peut-on objectivement contester l’application du droit au prétexte d’une « guerre économique » où nous ne prenons pas les précautions sécuritaires et éthiques élémentaires pour éviter une « attaque » fût-elle étatique dans un objectif économique. Si le que concept de guerre économique est parlant, car faisant appel à un champ lexical s’appuyant sur une mémoire collective encore marquée par les conflits mondiaux, la Guerre froide, ou les opérations extérieures, on peut considérer qu’il s’agit d’un abus de langage, comme le souligne Fanny Coulomb.

Au-delà de la question des termes, les objectifs, moyens et acteurs des relations économiques, même s’il s’agit de prise de contrôle « hostiles » (à nouveau un terme marquant) ou de captation de technologies par l’espionnage, n’impliquent pas de destructions à grandes échelles, d’attaques contre des populations civiles.

Cependant l’impact stratégique des « opérations de guerre économique » est effectif avec la remise en cause du modèle social. Les pays doivent s’adapter aux évolutions des flux économiques, avec la mise en place de stratégies pour spécialiser un pays sur certains produits, d’au contraire diversifier les activités ou encore privilégier l’innovation technologique comme moteur de croissance.

L’expression « guerre économique » est présente chez les auteurs dits mercantilistes ou marxistes dès le XVIe siècle, face aux libéraux dont la théorie défend la thèse selon laquelle le « laisser-faire » et l’accroissement du « commerce des nations » vont dans le sens d’une pacification des relations entre pays. La conception mercantiliste elle considère que pour accroître ses débouchés il faut les prendre aux autres pays et concurrents.

La guerre économique est donc une opposition de pensées économiques qui pourrait s’appeler alors « conflictualités des économies ». À l’inverse, on pourrait considérer que la balance commerciale déficitaire de la France, les pertes de parts de marché ou une organisation productive concentrée autour de quelques grands groupes (contrairement à l’Allemagne ou l’Italie), sont la conséquence de la guerre économique menée à notre encontre par les pays concurrents.

The ConversationMais ne s’agit-il pas plutôt d’un déficit d’analyse à l’échelle des entreprises ou de l’état des marchés exports et des stratégies de ces concurrents ? Il s’agit aussi d’un déficit de formation sur les métiers du renseignement, donc d’organisation et culture de l’enseignement. Mais il faut surtout cesser de considérer l’espionnage économique ou la corruption politique comme des raccourcis facilitant les « affaires ».

Pierre Memheld, Responsable du Master Intelligence Economique et Gestion du Développement International, Université de Strasbourg

La version originale de cet article a été publiée sur The Conversation.

Prédiction: Pourquoi les experts se trompent plus que les chimpanzés | Le blog de Philippe Silberzahn

« Le domaine de la prédiction est le bûcher des vanités, mais cela semble particulièrement le cas pour les experts. C’est en tout cas ce que montrent les travaux très originaux d’un chercheur américain, Philip Tetlock. Il montre que les experts se trompent plus que les généralistes, et plus encore que… des chimpanzés lançant des fléchettes au hasard! Regardons pourquoi. »

Source : Prédiction: Pourquoi les experts se trompent plus que les chimpanzés | Le blog de Philippe Silberzahn

The nexus of conflict and illicit drug trafficking – Syria and the wider region

The nexus of conflict and illicit drug trafficking – Syria and the wider region http://ow.ly/nBTq30bnTxl

Les services de renseignement face à l’incertitude des personnalités


Image 20170413 25898 1ge2gkn
Sur la route de l’agence de renseignement électronique, près de Baltimore.
Marco Verch/Flickr, CC BY

Pierre Memheld, Université de Strasbourg

Que ce soit dans la vie personnelle ou professionnelle, notre psychologie joue un rôle central sur nos relations, nos décisions et notre capacité à appréhender le monde. Mais cette psychologie peut aussi nous desservir, en prenant de mauvaises décisions évidemment, mais aussi en nous laissant influencer par des « agents d’influence » par exemple. Ceux-ci peuvent être des entreprises souhaitant nous vendre leurs produits ou des collègues cherchant – consciemment ou non – à nous manipuler dans l’organisme social complexe qu’est une entreprise. The Conversation

Cette problématique a été présentée dès 1984 par Robert Cialdini, professeur de l’Université d’État d’Arizona, dans ses livres Psychologie de la persuasion ou dans Influence et manipulation. Il rassemble en six principes les facteurs de persuasion : la réciprocité, la rareté, l’autorité, l’engagement, l’affection et le consensus. Au quotidien, on retrouve certains de ces principes dans la publicité par exemple.

Les failles chez les sous-traitants

Utilisée comme telle depuis au moins la Seconde Guerre mondiale, la psychologie est également utile dans le renseignement à plusieurs titres : dans la contre-ingérence où des fuites d’informations ont pour origine la psychologie des personnes ; dans les méthodes de « profilage psychologique » pour connaître les intentions des décideurs ou encore les « biais cognitifs » (aussi appelés psychologiques) qui constituent de véritables enjeux dans l’analyse des informations dont nous disposons.

Pour ce qui est de la sécurité de l’information, il semblerait que la dernière fuite d’informations de la CIA révélées par Wikileaks vienne d’un sous-traitant, tout comme l’était Edward Snowden. Dans ce cadre, un employé insatisfait aurait récupéré des informations sur les programmes d’écoute de l’agence américaine et les aurait divulgués.

En dehors du fait que les agences de renseignement américaines sont devenues très dépendantes de sous-traitants, moins impliqués et moins « habilités », la gestion des ressources humaines est devenue une faille de sécurité. Outre les employés insatisfaits – pour des raisons de carrières et financières –, beaucoup d’entreprises n’appliquent pas certains principes destinés à éviter les fuites : clauses de confidentialité–non concurrence, suppression des droits d’accès aux systèmes d’information ou contrôle de l’accès à la seule information nécessaire à l’emploi – le droit d’en connaître.

Ce ressort humain qui est exploité pour collecter de l’information est connu sous l’acronyme de MICE : « money, ideology, compromise, ego ». Toute personne, quel que soit son degré hiérarchique, peut ressentir une perte de sens dans son emploi ou ne pas se sentir suffisamment reconnu pour son travail, menant à une perte de motivation ou d’attention face aux risques liés à l’information. Et même si les autres leviers sont fréquents, encore aujourd’hui, l’ego est utilisable dans les deux sens : flatter l’ego d’une personne peut l’amener à révéler des informations soit dont on n’a pas idée de l’importance ou au contraire volontairement comme revanche contre l’organisation.

Edward Snowden en couverture du magazine Wired (septembre 2014).
Mike Mozart/Flickr, CC BY

C’est cette approche humaine qui est utilisée dans l’« ingénierie sociale » social engineering à l’origine de la plupart des attaques dites informatiques : obéir à quelqu’un se faisant passer pour un supérieur hiérarchique pour opérer un transfert d’argent ; révéler des informations privées permettant de reconstituer un mot de passe ou d’identifier une compromission ; ne pas être impliqué dans l’entreprise – par l’absence de mise en valeur de son travail – et donc ne pas suivre les recommandations liées à la sécurité des informations.

Les opérations psychologiques

Autre emploi de la psychologie à des fins d’influence ou de manipulations : le domaine des « opérations psychologiques ». Il s’agit des actions menées sur le terrain psychologique en soutien à des opérations militaires. Elles ont été popularisées par l’expression « gagner les cœurs et les esprits », concept ancien mais régulièrement remis au goût du jour, récemment par exemple par les Américains en Afghanistan.


DR, FAL

Ces opérations de soutien transcendent les différents échelons de commandement militaire : l’échelon stratégique pour influencer le contexte global de l’information afin d’atteindre des objectifs politiques ; l’échelon opérationnel pour avoir une incidence sur la zone d’opérations afin d’assurer une cohérence entre les objectifs des parties prenantes ; l’échelon tactique pour appuyer des opérations en particulier. Ces différents types d’action reposent sur une compréhension des principes clés de la psychologie, des auditoires cibles et sur l’évaluation de l’efficacité des opérations.

Cette méthode d’influence est bien documentée dans le milieu universitaire aux États-Unis mais aussi au cinéma avec un film éclairant de Barry Levinson, Des hommes d’influence : il s’agit d’une fiction qui décrit comment un expert de la manipulation et un réalisateur d’Hollywood créent de toutes pièces un conflit en Europe de l’Est à des fins politiques.

Bill Clinton et Saddam Hussein, objet d’analyses

On le voit, la psychologie est utilisée pour la collecte d’information, avec des leviers connus que l’on pourrait retourner pour améliorer la sécurité des entreprises. Mais la psychologie est aussi utilisée pour savoir quelle décision un responsable va prendre. Agent de la CIA et fondateur du Centre d’analyse de la personnalité et du comportement politique, Jerrold M. Post s’est donné pour objectif d’étudier la personnalité et le fonctionnement d’un décideur pour savoir comment il va appréhender et réagir à une situation donnée.

Ainsi dans son livre datant de 2003, The Psychological Assessment of Political Leaders, Jerrold M. Post, directeur du programme de psychologie politique de l’université Georges Washington, décrit dans le détail le profil psychologique, et donc le processus de décision, de deux personnalités politiques bien spécifiques : Bill Clinton et Saddam Hussein. Celle de l’ex-Président américain, par exemple, peut être analysée par ses relations avec les femmes, à commencer par sa mère qui menait une vie sociale active au détriment de l’éducation de son fils, et qui ont influencé ses ambitions et sa carrière. Le second souvent qualifié comme « l’homme fou du Moyen-Orient » est, au contraire, présenté comme un calculateur politique avisé mais dont les moyens pour rester au pouvoir sont extrêmement violents, disposant donc sa propre rationalité.

Saddam Hussein, au temps de sa toute-puissance en Irak.
Amir Farshad Ebrahimi/Flickr, CC BY-SA

Cette application peut sembler extrême, mais l’étude à grande échelle de la psychologie est appliquée dans la gestion des ressources humaines, avec la méthode Myers Briggs Type Indicator et ses 16 types de personnalités. Par des questions, les DRH peuvent savoir comment un employé va fonctionner en équipe, interagir avec d’autres personnalités ou se comporter dans l’échange d’information, critères essentiels au bon fonctionnement d’une entreprise.

Deux personnalités distinctes, face à la même information, vont en effet réagir de façon différente, même s’ils ont reçu la même formation. Les entreprises, ou les services de renseignement, cherchent à mettre en place des procédures d’analyse « robustes », c’est-à-dire des processus appliqués et opérationnels quelles que soient les circonstances et qui que soient les personnels les mettant en œuvre. Or la psychologie des individus et les processus d’analyse ne sont pas toujours compatibles.

La part d’affect

En 1999, Richards J. Heuer, vétéran de la CIA, publie Psychology of Intelligence Analysis faisant le lien entre les problématiques d’analyse et celle de prise en compte des personnalités. Même avec des procédures à suivre, et des méthodes d’analyses dites « structurées », la limite est l’humain et ses perceptions : les biais cognitifs. Ceux-ci sont une partie intégrante de notre personnalité car constitués de l’ensemble de ce qui fait notre personnalité : enfance, éducation, expérience, croyance, a priori, etc.

Quelques exemples : le biais de confirmation d’hypothèse qui nous pousse à ne chercher que les informations allant dans le sens de ce que nous pensons déjà ; le biais de disponibilité qui nous pousse à évaluer la fréquence d’occurrence d’un évènement uniquement en fonction des informations déjà disponibles ; le biais rétrospectif qui nous pousse à reconstruire notre mémoire d’après une interprétation des évènements a posteriori ; ou encore l’illusion des séries qui tend à nous faire établir des liens entre des évènements distincts… Comme les crash des avions de Malaysian Airlines dans des contextes pourtant différents.

On le voit, les biais impactent directement nos capacités d’analyse ou de raisonnement. Ce sujet est jugé suffisamment pertinent pour qu’il ait fait l’objet d’un projet : « Reduction of Cognitive Biases in Intelligence Analysis ». Celui-ci a été financé par l’Union européenne dans le cadre du 7e programme-cadre de recherche en sécurité. Même au quotidien, ces biais jouent dans notre capacité à vérifier les informations à l’heure de la post-vérité.

De plus, dans les processus de décision, des mécanismes liés à la « politique » interne ou externe des organisations viennent encore biaiser la décision ou l’analyse dans un autre processus appelé la « politisation du renseignement ». Celui-ci consiste à orienter ou à confirmer les intentions politiques en tordant les faits et leur analyse : le cas le plus récent connu et étudié est celui de la seconde guerre d’Irak (en 2003). Mais on pourrait convoquer d’autres exemples plus anciens : la Guerre du Vietnam, la Guerre froide, etc.

Notre psychologie est donc utilisée aussi bien dans la sphère personnelle que commerciale, professionnelle ou stratégique, afin de nous faire passer des messages ou d’influencer nos perceptions, et donc nos décisions. Cet outil est à disposition en permanence puisque nous ne nous pouvons pas nous en séparer… Même une personne formée à cette problématique, rationnelle dans ses actes, et objective dans ses choix, peut être « biaisée » ou voir ses émotions prendre le dessus. Seule la formation à l’analyse, et ses biais, ou la sensibilisation au « social engineering » peuvent permettre de contenir le poids de notre psychologie.

Pierre Memheld, Responsable du Master Intelligence Economique et Gestion du Développement International, Université de Strasbourg

La version originale de cet article a été publiée sur The Conversation.

Faut-il plus de cybersécurité, de cyberdéfense ou de cyber-renseignement ?


Image 20170306 20767 chdzgs
Exercice de cyber-défense à l’académie militaire de West Point en avril 2016.
Army Cyber/Flickr

Pierre Memheld, Université de Strasbourg

Aujourd’hui nous subissons, que ce soit dans le domaine économique/privé ou politique/public une quantité telle d’attaques qu’il est difficile de faire autrement que réagir. Les enjeux financiers ou électoraux, quand il ne s’agit pas des opérations extérieures, font que les autorités mobilisent des moyens de plus en plus importants, même s’il est parfois difficile d’attribuer la cyberattaque à telle ou telle partie. The Conversation

S’agit-il seulement de réagir, de se prémunir ou d’anticiper les attaques dans le domaine cyber, dans une dimension parfois perçue comme virtuelle, mais dont l’impact est concret dans les domaines économiques, militaires et diplomatiques ?

Les données personnelles, comme les codes d’accès bancaires, sont volées et revendues. Les données essentielles des entreprises, ou des hôpitaux, sont prises en otage puis libérées contre rançons payées en bitcoins. Les campagnes électorales sont influencées par la révélation d’informations compromettantes, sur un plan personnel ou financier.

La diffusion sans limite des localisations et matériels d’unités militaires en opération est facilitée par l’omniprésence et l’hyperréactivité des réseaux sociaux. Tout se passe, semble-t-il dans la dimension cyber, sans que les modes d’action soient réellement nouveaux, puisque les attaques de réseaux ou la désinformation sont des moyens anciens.

S’agit-il d’attaques hautement techniques ou de simples négligences humaines ? Selon les exemples cités : les emails des adhérents/soutiens d’un candidat français sont directement accessibles car le site Internet de sa campagne est mal sécurisé ; l’utilisation trop fréquente des mêmes mots de passe basés sur nos vies personnelles est une faille ; les méthodes de « social engineering » qui permettent d’initier un virement au profit du hacker sont méconnues ; la publication non sécurisée de données personnelles sur Facebook représente un risque de vol d’identité ou de « social engineering » ; un encore la cadeau/achat de clés USB piégées pour avoir accès à des réseaux sécurisés.

De la sécurité à l’action dans le domaine cyber

Face à ses menaces, l’État renforce ses moyens d’action, avec la création d’un Commandement de cyberdéfense par exemple pour les armées, mais aussi une action au niveau individuel avec la création d’un dispositif national d’assistance aux victimes créé par l’ANSSI (ACYMA).

Entre ces deux extrêmes, l’ANSSI, et les ministères concernés, accompagnent les Opérateurs d’intérêt vital (OIV), devant renforcer la sécurité de leurs systèmes d’informations, ou publient des guides d’hygiène information ou de bonnes pratiques dans les différents usages informatiques.

La tâche est sans fin puisque tous les aspects et secteurs utilisant le numérique sont concernés : des viticulteurs, des menuisiers ou des imprimeurs sont attaqués et perdent leurs données, la conséquence pouvant être la fermeture définitive de ces PMEs et donc la disparition d’emplois. L’Internet des objets démultiplie les brèches ouvertes aux hackers : caméras de surveillance, réfrigérateurs connectés ou robots (industriels, médicaux ou agricoles) et même jouets. Si les grandes entreprises, OIV ou non, ont les moyens de sécuriser leurs réseaux, elles sont tout autant ciblées et victimes.

D’après les chiffres d’une étude menée par l’Usine nouvelle et Orange Business Service en 2016, 56 % des entreprises industrielles interrogées reconnaissent avoir été victimes de cyberattaques, un chiffre en hausse de 5 % par rapport à 2015. Et ce malgré les mesures prises ou les sensibilisations effectuées en interne ou par les services habilités, dont par exemple la Gendarmerie Nationale. Une autre étude pointe les disparités de perception des responsabilités et de l’impact de la cybersécurité entre les responsables IT et les dirigeants d’entreprises, le management de la sécurité.

Quelle est la nature des menaces cyber ?

Comme le montre cette dernière étude, les entreprises considèrent que les menaces ont les origines suivantes : une erreur ou une imprudence humaine ; un employé corrompu ou démotivé ; un individu ou un groupe isolé, extérieurs à l’entreprise ; des concurrents ; des organisations criminelles ; des organisations idéologiques (Anonymous) ; des organisations étatiques. Que l’origine des menaces, ou des failles, soient internes ou externes, il s’agit avant tout d’une question de coordination de la sécurité au niveau de l’ensemble de l’entreprise, pas seulement du service IT.

Il ne s’agit plus simplement que les employés ou les cadres soient sensibilisés mais bien formés aux problématiques techniques (en fonction de leurs implications), aux menaces récurrentes ou émergentes (nécessité d’un plan de veille spécifique) et à la coordination interne : que les « approches » directes des personnes (par e-mail ou par téléphone) soient signalées ; que les bonnes pratiques soient appliquées à tout niveau ; que les personnels soient responsabilisés au vu des enjeux économiques et sociaux. Seule la formation, continue ou initiale, peut couvrir ces besoins.

Séminaire cyberconflictualite et forces armées à Saint-Cyr.
defense.gouv.fr

Or en France, même sur les profils de spécialistes la demande (emplois) est supérieure à l’offre (diplômés). Sciences Po Paris ou le Lycée Militaire de Saint-Cyr ont récemment annoncé la création de cursus dédiés à la sécurité et au cyber. Mais les écoles de commerce ou d’ingénieurs n’ont pas généralisé l’enseignement des principes de sécurité, sans même parler de cybersécurité, y compris dans les cursus où l’informatique (réseaux ou logiciels) est abordée. Comment donc former les futurs personnels, mais aussi et surtout les personnels en activités ?

Faut-il développer le renseignement d’origine cyber ?

La liste de l’origine des menaces est révélatrice : des individus, des concurrents, des groupes et des organisations. Il serait utile d’approfondir l’étude de l’emploi par les organisations criminelles de hackers réputés indépendants par nature. Celles-ci ont des modes de fonctionnement équivalent à ceux des entreprises, mais avec des modes d’action illégaux : objectifs de parts de marché, offres de service différenciées, diversification ou spécialisation des activités (production, transport, revente) mais aussi externalisation à des prestataires de services.

Le « marché » du rançonnage est en pleine croissance car il implique peu de risques physiques directs, contrairement à la production/distribution de drogues, des moyens limités (hackers et ordinateurs), des revenus moins élevés que d’autres activités mais un marché mondial. Tout comme pour le « cyber-djihadisme », l’analyse des modes de communications et d’actions des organisations criminelles améliorerait notre capacité de réaction voire d’anticipation. Il ne s’agit pas de se murer derrière des firewalls et des procédures mais de se renseigner sur un adversaire, la cyber intelligence.

Les entreprises mettent elles en place des solutions anti cyberattaques ?
Sekurigi

L’adversaire peut être économique (concurrents ou criminels), militaire (états ou mouvements terroristes) et politique (états ou concurrents). Pour en revenir aux failles humaines, le fait que des emails de responsables soient facilement accessibles, car non protégés, ou que nous ne soyons pas capables de répondre à de la propagande sur Internet, est une faute grave que ces adversaires ont tout loisir d’exploiter. Nous sommes responsables collectivement de ces manquements car les méthodes existent au niveau de la sécurité, de la formation ou de la vérification de l’information.

Il est possible de vérifier qui est l’émetteur d’un e-mail avant de cliquer sur un lien d’hameçonnage ou de renforcer nos mots de passe. Il est possible de cloisonner les droits d’administration et d’utilisation d’un réseau information, ou de le rendre inaccessible aux anciens employés. Il est possible, pour les services habilités mais aussi des hackers « noirs », d’avoir accès aux messageries sécurisées.

La diversité des menaces, des acteurs, donc des interactions peut être vue comme une série de cyber-conflictualités plutôt qu’une cyber-guerre, même si le concept est parlant.

Pierre Memheld, Responsable du Master Intelligence Economique et Gestion du Développement International, Université de Strasbourg

La version originale de cet article a été publiée sur The Conversation.

The High Cost of Politicizing Intelligence – The Atlantic

« Recently—during my tenure as an analyst with the CIA—President George W. Bush’s administration exerted unusual pressure to have the CIA support its plans to invade Iraq because of that country’s alleged ties to al-Qaeda and its weapons of mass destruction program. Both assumptions proved flawed. Nada Bakos wrote about the problems with efforts to tie Iraq to al-Qaeda for Wired. An internal CIA post-mortem concluded that the CIA’s assessments of the Iraqi WMD program were a case of an effective denial-and-deception program that fed prevailing assumptions. »

Source : Trump Is Attempting to Politicize American Intelligence Agencies – The Atlantic

Vérifier les informations à l’heure de la post-vérité et du big data

Pierre Memheld, Université de Strasbourg

L’actualité récente regorge de fausses informations, de rumeurs, de « faits alternatifs » ou de désinformation pure et simple. Le défi est double : d’une part arriver à suivre le rythme de l’information diffusée par de plus en plus de canaux et d’intermédiaires, les médias ; d’autre part, réussir à vérifier l’information diffusée pour s’assurer de son exactitude ou objectivité. La nature même des médias, eux-mêmes confrontés aux défis ci-dessus, est d’assurer un droit du public à une information de qualité, complète, libre, indépendante et pluraliste.

Or, les formats papiers, télévisuels ou même Internet sont de plus en plus contraints. Peut on fournir en 1/8e de page, ou en 30 secondes, une information complète ? Comment faire pour fournir une information indépendante lorsque tous les groupes de presse appartiennent à des fortunes privées ? Où trouver chaque jour des spécialistes, experts, de sujets pour apporter leur analyse en continu ?

Face aux « opérations d’information » russes, efficaces car venant en soutien à leurs opérations tactiques, ou aux déclarations du Président Trump, tonitruantes mais correspondant à ses déclarations de campagne, des médias ont commencé à réagir. Certains proposent des « ressources pour la collecte et la vérification d’informations à destination des journalistes » ou « un outil de vérification de l’information … les Décodeurs, venons en aux faits ».

On pourrait critiquer ces initiatives en remettant en doute leur objectivité, les médias présentant souvent une orientation politique, présentée comme ligne éditoriale, contraire à la charte de déontologie de la profession en France :

« un journaliste tient l’esprit critique, la véracité, l’exactitude, l’intégrité, l’équité, l’impartialité, pour les piliers de l’action journalistique ; tient l’accusation sans preuve, l’intention de nuire, l’altération des documents, la déformation des faits, (…) la non vérification des faits, pour les plus graves dérives professionnelles (…) proscrit tout moyen déloyal et vénal pour obtenir une information (…) n’use pas de la liberté de la presse dans une intention intéressée (…) ne confond pas son rôle avec celui du policier ou du juge ».

Cette approche est saine d’autant que la diffusion d’information volontairement, ou non, fausses ou biaisées peut avoir des conséquences judiciaires, jugée comme diffamation, violation du secret défense ou du secret de l’instruction.

Un exemple de fausse information économique : Vinci

Il faut ici mettre cette problématique en perspective avec un cas récent ayant touché la société Vinci : le 22 novembre 2016, le cours en bourse de la société a brusquement chuté après la diffusion à quelques rédactions, et aux principales agences d’information, d’un faux communiqué annonçant le licenciement du directeur financier de la société suite à de mauvais résultats.

Malgré des « indices étonnants » certaines des agences, dont une très importante en matière financière (Bloomberg), ont diffusé ce communiqué, sans aucune vérification, entraînant une perte de capitalisation de 7 milliards d’euros sur 36 le jour même. Pire, un faux démenti est parvenu aux rédactions. Le vrai démenti de Vinci est arrivé immédiatement après.

En l’espace d’une heure pourtant le mal était fait : le temps de l’attaque rends difficile la vérification du fait, au vu des volumes d’informations ne serait ce que sur cette société, l’action se déroulant sur moins d’une heure. On pourrait alors dire que les médias diffusent de fausses informations en oubliant qu’une partie des communiqués sont générés et utilisés quasi automatiquement par des robots. Au demeurant la sensibilité du sujet, et le fait que des cas similaires ont déjà eu lieu, devrait pousser les rédactions à une attention particulière pour les informations dont la diffusion a clairement un impact financier et donc social.

Accélération, accumulation

Certains journalistes eux-mêmes ont conscience de ces problématiques, en particulier de la « dictature de l’instantané », le fait de devoir produire en permanence du contenu menant à confondre avis, sentiment, opinion, réaction et informations ou faits, dans un « éditorialisme en continu ». En mettant à disposition des outils et méthodes, les médias ne font que décaler le problème du producteur vers le consommateur.

Or à son échelle, le consommateur/lecteur n’a pas le temps de mettre en application cette approche. Si tant est qu’il le veuille : car l’individu a naturellement des jugements, avis et biais cognitifs qui lui font choisir un média ou préférer une idée, posture et idéologie en particulier.

Malgré cette limite, contradictoire avec le fait de lire, de se bâtir sa propre conviction ou d’avoir l’esprit critique, du fait de l’accélération de la vie personnelle ou professionnelle et de la diffusion de plus en plus massive d’informations, seule la vérification des faits, la diversité des sources en plusieurs langues si besoin et l’utilisation de méthode permet de distinguer faits, information (faits exploités et mis en forme) et opinions.

Confrontés au déluge d’informations…
Esther Vargas/Flickr, CC BY-SA

Mais là apparaît un nouvel obstacle : pouvons-nous vérifier une information ?

Les limites du savoir ou le biais de la connaissance

La multiplicité des sites Internet de référence, pour s’en tenir au média le plus accessible et disponible, semble l’affirmer : nous pouvons explorer le monde par imagerie satellite, trouver des données macro-économiques sur tous les pays, reconstituer les parcours et réseaux des dirigeants, ou acheter en un clic tous les livres sur un sujet.

Mais il s’agit d’une illusion d’information : les moteurs de recherche ne couvrent pas la totalité du net ; de nombreux sites sont inaccessibles ou payants ; la masse d’information réellement disponible dépasse le temps de traitement disponible. Ce biais de connaissance est induit par les moyens technologiques mis à notre disposition.

Même les méthodes de visualisation des données les plus performantes, l’analyse des big data, ne peuvent traiter que les informations que nous leur fournissons. Au demeurant les utiliser, en connaissant cette limite, permet de représenter une réalité, celle que l’on a choisi d’étudier, et non pas la réalité dans son ensemble.

En matière de méthodologie on doit rappeler qu’il faut qualifier l’information mais également sa source de façon indépendante : des sites sérieux ont diffusé de fausses information (a posteriori celles sur les armes de destruction massives en Irak) et des séries télé ou des romans, par définition imaginaires, ont annoncé des scenarii qui se sont déroulés.

Les sites dits complotistes ont eux un objectif annoncé à savoir servir de caisses de résonnance aux opérations d’information d’un pays ou de l’autre. Les États-Unis, l’Angleterre, l’Allemagne et la France ont théorisé l’utilisation des actions psychologiques en soutien à leurs opérations militaires, avec l’utilisation des réseaux sociaux pour diffuser des messages calibrés ou capter du renseignement. Et c’est là que nous atteignons l’ultime limite de la vérification de l’information : certaines sont confidentielles, certaines sont techniques et certaines sont créées pour une opération d’influence.

Un exemple dont nous ne pouvons pas encore connaître tous les tenants et aboutissants : l’annonce du piratage du réseau électrique Nord américain par des hackers russes fin décembre 2016. Après que le Washington Post l’ait annoncé comme tel, dans le contexte que nous connaissons, l’article a été amendé suite à la modération des autorités officielles elles-mêmes. Sans parler de l’action politique ou médiatique, il est difficile pour un lecteur, même averti de vérifier par lui-même la réalité de cette attaque, qui plus dans un domaine où la danse des miroirs est techniquement faisable.

La figure du hacker…
Katy Levinson/Flickr, CC BY-SA

En conclusion, il faut garder à l’esprit que « le paysage narratif devient un champ de bataille permanent » où seule « l’éducation aux médias et à l’information, et la formation de futur.e.s citoyen.ne.s critiques » permet non pas d’avoir une réponse définitive, tant les intérêts privés et politiques s’entrechoquent, mais de pondérer l’information transmise, par la connaissance des limites de chaque élément de la chaîne de transmission.

On peut aussi citer l’utilisation de méthodes d’analyse, certes issues du renseignement, pour avancer en fonction des informations trouvées et qualifiées : la méthode des hypothèses comparées par exemple permet de réfléchir à toutes les possibilités tout en restant dépendante de ses « inputs ». Car l’information est un cycle, pas une série de points…

The Conversation

Pierre Memheld, Responsable du Master Intelligence Economique et Gestion du Développement International, Université de Strasbourg

La version originale de cet article a été publiée sur The Conversation.

%d blogueurs aiment cette page :