« Informations, Incertitudes, Hypothèses, Décisions : l’humain au cœur des processus » (Le Renseignement Humain à l’Ère Numérique, @terryzim)

Chapitre de l’ouvrage collectif « Le Renseignement Humain à l’Ère Numérique » coordonné par Terry Zimmer – Editions VA Presse, 2018

Trouver de l’information n’est plus aujourd’hui un défi mais un problème que nous tentons de résoudre par de plus en plus d’outils logiciels qui tentent de représenter la complexité et l’interconnexion entre les données et les humains. Mais plus nous entrons de données dans un logiciel de cartographie relationnelle ou de Big Data, plus les représentations elles-mêmes deviennent complexes à appréhender pour l’humain. L’objectif à atteindre n’est pas de représenter un réseau de personnes sur LinkedIn, Facebook ou Twitter mais d’en tirer des conclusions afin de prendre des décisions : quels sont les réseaux à surveiller si l’on parle d’anti-terrorisme ou quels sont les réseaux de coopération scientifique si l’on parle de veille technologique. La décision à prendre est alors d’engager des moyens de recherche pour contrecarrer ou se différencier de ses adversaires ou concurrents. A ce jour les décisions sont prises par des humains.

Contraintes internes et externes

Compte tenu de la masse de données à traiter, les dizaines de millions d’utilisateurs des réseaux sociaux et leurs interconnexions, la majeure partie des moyens est concentrée sur la collecte et le traitement, pas l’analyse, souvent confondue avec l’exploitation initiale consistant justement à représenter ces réseaux. Si l’on considère cet exemple, ou celui consistant à représenter un réseau d’inventeurs/chercheurs à partir des bases de données brevets/scientifiques (gratuites et structurées), la fait de savoir que A est connecté à B, M ou Y n’est pas en soi une réponse mais un nouveau problème car il faut vérifier tous les liens, pour en conclure que A et M sont de « connivence » ou pas. Dans la représentation classique du « cycle du renseignement », il s’agit d’une relance de la recherche initiale, demandant du temps et parfois des moyens supplémentaires, les vérifications étant réalisées par des humains.

En effet, toujours dans notre exemple, le fait que A et M soient connectés n’est pas une information qualifiée. La source en elle-même est sûre : la base de données des relations de LinkedIn est fiable d’un point de vue technique. Mais l’information n’est pas vérifiée : on peut douter du fait que les utilisateurs qui ont plusieurs milliers de relation les connaissent tous personnellement et travaillent avec eux professionnellement. Il y a donc une incertitude qui ne permet pas de valider l’hypothèse « A et M sont de connivence ». Et à moins de vérifier directement qu’ils le sont, le doute persistera, d’où la question de l’engagement de nouveaux moyens. On passe ainsi d’une phase simple de collecte en sources ouvertes à une phase de gestion financière et de recherche humaine. Or admettons que le collecteur n’ait pas prévu dans sa planification de projet un budget pour ces phases supplémentaires qui demandent l’intervention d’opérateurs humains.

Quel est l’intérêt de savoir que A et M sont effectivement en contact ? On pourrait émettre plusieurs hypothèses : A et M sont de simples relations d’affaires, fournisseur/client par exemple ; ils se sont croisés à une conférence et veulent rester en contact ; A est cadre d’une entreprise qui veut répondre à un appel d’offres dont M est responsable. Ces hypothèses sont en elles-mêmes valables mais est-ce cela que nous cherchions à vérifier ? Non car la demande initiale de la recherche était : « mon concurrent, chez qui travaille A, va tenter d’influencer l’appel d’offres public, dans tel pays, dont M est responsable, car il le connaît », l’hypothèse sous-jacente étant de vérifier que M est corrompu. Si tel est le cas il faudra prendre une décision : dénoncer la collusion, se retirer du marché, adapter sa réponse à l’appel d’offres. Cette phase est au-delà des capacités des logiciels car il ne s’agit pas de facteurs chiffrables mais d’une décision stratégique.

Les hypothèses effectives de travail sont alors : Est-ce que la corruption est fréquente dans le pays désigné ? Est-ce qu’il y a déjà eu des soupçons de corruption sur A et M, ainsi que leurs entreprises et administrations respectives ? Est-ce qu’il y a d’autres décideurs, ou facteurs de décisions, permettant de contourner ce problème ? Le travail de réponse à un appel d’offres technique, par exemple visant à fournir et exploiter une centrale nucléaire ou développer et exploiter un métro, est important : il s’agit à nouveau d’une décision de gestion humaine et financière. Or si la réponse effective dépend de la relation A/M, A ayant par exemple rédigé l’appel d’offres afin de favoriser le choix du produit de son entreprise. La décision peut être de ne pas répondre – gain de temps et investissement moindre – afin également de ne pas révéler les caractéristiques technique et financière de votre offre, ce qui est parfois le cas : on parle alors de fuites d’informations organisées par des humains.

L’objectif de la recherche n’est donc pas réellement de reconstituer les réseaux d’une personne mais d’apporter une information élaborée, un renseignement, au décideur en charge de l’appel d’offres dans votre entreprise. L’autre dimension à prendre en compte, après la collecte « technique » – l’interprétation « visuelle » et la validation « humaine » est le temps. Votre entreprise a trois mois pour déposer son offre ce qui implique une rétro-planification, imposée : finalisation du dossier technique et financier deux semaines avant la fin du délai pour validation par le conseil de direction, et lancement du travail d’équipe ad-hoc (une dizaine de personnes) deux mois avant cette date car ses membres sont répartis sur trois sites (France plus pays visé) et quatre services (R&D, production, finance et direction). En résumé vous avez deux semaines pour valider la relation A et M, la coordination entre des personnes différentes étant la clé.

Si l’identification de la relation possible entre A et M, et sa validation, mettent trois semaines ou un mois pour être obtenues, on est « en retard » mais encore à temps pour prendre la décision sur la présentation du dossier d’appel d’offres. S’il faut trois mois, on est en dehors de la cible. Il en va de même pour la validation industrielle ou légale d’un partenaire étranger : se rendre compte six mois après avoir signé un contrat avec lui qu’il n’est pas « pertinent » peut avoir des conséquences sur le projet local pour lequel il a été sélectionné voire présente un risque si sa réputation est mauvaise dans les circuits de décision du pays visé. Il en va toujours de même si les études préparatoires au lancement d’un produit sur un marché arrivent trop tard pour stopper la production. La coordination des fonctions recherche/analyse et financement/production est essentielle car les cycles de chacun sont différents même si les contraintes pratiques ou financières peuvent être les mêmes.

Compréhension de l’environnement

Bien entendu les solutions existent : veille technologique et commerciale permanente ; équipe d’analyse dédiée pour les marchés et la concurrence ; mise en place de processus d’identification/validation des partenaires et circuits de décisions ; validation des projets et des produits en fonction de ces étapes ; maîtrise des outils d’analyse de l’environnement (dossiers pays, concurrents, décideurs mis à jour). Cela nécessite un investissement en formation et en technologies. Les méthodes d’analyse sont également connues mais pas systématiquement mises en œuvre : les matrices « classiques » (5 forces de Porter, PESTEL ou SWOT) ; les outils de cartographie (basées sur le Data Mining ou sur la qualification humaine des relations) ; les outils de simulation stratégique pour jouer différentes décisions (« War Games », analyse par scénario). Toutes ces tâches ne peuvent être réalisées que par des humains, même si des automatisations existent.

Si les premières méthodes sont enseignées dans les écoles de commerce ou d’ingénieur, la mise en œuvre d’une cartographie et la simulation se limitent souvent au brainstorming à base de cartes heuristiques. En tenant compte de certaines contraintes légales, il est possible de mettre en place une base de données sur ses concurrents et leurs produits (permettant de réaliser des benchmarks) ou leurs partenaires : comme nous l’avons déjà indiqué le choix d’un partenaire peut être lourd de conséquence. Par exemple dans les pays du Moyen Orient ou d’Europe de l’Est leur nombre est limité et ils ont souvent au-delà de leurs activités industrielles un rôle politique. Il ne s’agit plus d’une simple analyse de marché mais d’une compréhension parfois poussée des réseaux d’influence et des options politiques à venir ou passées, de même que des choix diplomatiques du pays. Le relationnel existant entre décideurs est difficilement quantifiable par une machine.

Des pays comme l’Inde sont en même temps suffisamment ouverts économiquement et diplomatiquement pour avoir des relations avec des pays antagonistes comme la Russie et les Etats Unis, le Japon et la Chine ou l’Iran et Israël. La taille du pays n’est pas un critère même si elle peut limiter les options comme en Chine (i) ou au Qatar et en Arabie Saoudite. On passe donc de la veille concurrentielle à l’analyse politique pour un suivi de dynamiques qui n’ont rien à voir avec le secteur industriel visé. Mais quelques soient les outils et méthodes utilisés on est toujours confrontés à des contraintes internes ou externes : les entreprises ont des cycles courts de 3, 6 ou 12 mois pour les décisions de gestion régulières et des cycles longs de 2, 3 ou 5 ans pour les décisions liées aux actionnaires et donc souvent au renouvellement des équipes de direction. Ce changement aboutit souvent à la réorganisation des équipes qui aboutit également à une désorganisation des processus.

Les incertitudes liées aux évolutions du management, de l’environnement et des concurrents s’opposent à la nécessité de prendre des décisions constamment, à la stratégie parfois réduite à la rentabilité seule et aux processus d’analyse asynchrones avec la vie de l’entreprise. Construire une équipe de veille/analyse peut prendre plusieurs mois voire années à la condition d’avoir les personnes formées, les outils adaptés et les moyens nécessaires dans la durée sans « horizon » à 2 ou 3 ans. Cette opposition entre les cycles et les processus conduit parfois les décideurs à agir de façon instinctive (ii), sans tenir compte d’informations pourtant disponibles et analysées, ou en fonction de critères financiers. Il ne s’agit pas de critiquer le concept de rentabilité, sans lequel une entreprise ne peut survivre, ou de nier la capacité de certains managers à agir en temps contraint. C’est un fait mais décider sans tenir compte de l’analyse de l’environnement est source d’échecs.

Le paradoxe réside bien dans la disponibilité des informations, ou la capacité à les intégrer aux processus, et leur non utilisation pour prendre des décisions. Cela pourrait s’expliquer par les différences « culturelles » entre formations à la recherche/analyse et celles à la gestion/direction. De fait même si les « business cases » font partie intégrante des formations en écoles de management, il s’agit d’identifier la meilleure solution en tenant compte, celle-ci étant connue en tenant compte de critères quantifiables, dans la situation présentée et non pas toutes les solutions afin de les évaluer et voir si une autre solution aurait pu être meilleure selon certains critères. Pour prendre une décision il ne faut pas hésiter trop longtemps, l’incertitude permanente n’étant pas un critère quantifiable puisqu’il représente un risque potentiel dans la gestion régulière (iii). Les décideurs ont des formations initiales et des profils psychologiques tendant à exclure les incertitudes (iv).

Par exemple, « l’analyse par hypothèses concurrentes » (v) illustre bien ces problématiques : créée par un analyste de la CIA, elle est faite pour invalider des hypothèses afin de garder les plus « plausibles ». Issue de la « culture » du renseignement elle donne à l’échelon hiérarchique un tableau synthétique et chiffré pour qu’il l’exploite à des fins de décision. Comme d’autres méthodes, elle représente une situation mais sans donner de réponse. Elle nécessite de plus de nombreuses vérifications car l’analyste doit vérifier en quoi les informations collectées valident ou invalident les hypothèses présentées. La génération d’hypothèses elle-même est une incertitude car elle dépend de la capacité des analystes à les imaginer (vi). Et même si elle a été conçue pour éviter les « biais cognitifs » (vii) elle est dépendante d’un certain « conformisme » (viii) de ses utilisateurs tant la culture interne des entreprises est souvent « homogène », par un recrutement issu de la même école (ix).

L’information élaborée vient parfois remettre en question une décision « logique » de gestion : ne pas travailler avec tel ou tel partenaire ou ne pas répondre à un appel d’offres truqué revient à ne pas atteindre l’objectif de chiffre d’affaires de l’année et même si le risque légal est identifié le décideur à l’origine du contact ou du projet peut vouloir ne pas en tenir compte. Dans ce genre de cas le cadre légal vient d’évoluer ajoutant une contrainte externe à la décision en déportant la responsabilité de l’(in)décision non plus sur l’analyste mais sur le dirigeant (x). Or dans une étude sur la manière dont les managers utilisent leur temps, le chercheur canadien Henry Mintzbeg a constaté qu’ils consacraient en moyenne neuf minute à chaque sujet méritant décision (xi) : « leur emploi du temps est si morcelé, ils subissent une telle pression de l’immédiat et du superficiel qu’ils sont obligés de raisonner à court terme ».

Neuf minutes : si l’information qui leur donnée n’est pas synthétiser à l’extrême, comment peuvent-ils en tenir compte pour prendre une décision ? Nous l’avons vu tout au long du cycle, l’humain est au cœur des processus : c’est lui collecte l’information, programme les logiciels pour l’interpréter, l’analyse par souvent les mêmes voire uniques méthodes enseignées, rédige des synthèses pour sa hiérarchie et prend des décisions. Les logiciels n’exploitent que les informations que nous entrons : si celles-ci sont incomplètes voire erronées, le résultat sera incomplet et erroné. Nous manquons structurellement de temps pour exploiter toutes les sources et mettre en œuvre toutes les méthodes d’analyse, elles même souvent issues d’un contexte ou milieu spécifique : une méthode financière peut-elle s’appliquer à l’armée et une méthode militaire peut-elle s’appliquer à une entreprise. Dans certains cas comme les « War Games » ou PESTEL, les transpositions sont utiles et instructives.

Mais à nouveau l’adaptation, la collecte des données nécessaires et l’utilisation va prendre du temps. Au-delà, la seule manière de rapprocher les rythmes de décision et d’analyse est d’en systématiser la formation pour les managers et la mise en œuvre à tous les niveaux (xii). Les outils logiciels sont là pour pallier le facteur temps, même s’ils génèrent de nouvelles contraintes, voire bientôt la décision elle-même si l’on considère les avancées dans le domaine des « intelligences artificielles » (xiii). La seule période où nous aurions du temps pour intégrer de nouvelles méthodes c’est en formation : or ici aussi le temps est devenu un facteur critique avec de nombreuses matières différentes et travaux à restituer. Afin de répondre à des processus complexes, les formations se spécialisent en excluant de fait l’interdisciplinarité. Il en résulte que « le manager qui ne voudrait décider qu’en totale connaissance de cause ne déciderait jamais » (xiv), antithèse de tout le travail de recherche/analyse !

——-

Références

i La Chine malgré sa taille est un pays où même si plusieurs réseaux existent le Parti Communiste, qui a plusieurs dizaines de millions de membres, contrôle tous les niveaux économiques et sociaux.

ii « Ils se croyaient les meilleurs : histoire des grandes erreurs de management », Christine Kerdellant, 2017, page 17.

iii Les risques « hors tableur » dans « Intelligence économique, décision stratégique et analyse de l’environnement incertain: l’analyse des hypothèses concurrentes », Philippe Silberzahn, blog personnel, 1er Mars 2012

iv « Myers-Briggs Type Indicator – Decision-Making Style Report », https://www.cpp.com/pdfs/smp261190.pdf

v « Analysis of Competing Hypotheses », Richards J. Heuer- https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/psychology-of-intelligence-analysis/art11.html

vi Silberzahn 2012

vii « Psychology of Intelligence Analysis », Richards J. Heuer, Center for the Study of Intelligence, https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/psychology-of-intelligence-analysis/PsychofIntelNew.pdf

viii « Établir une culture d’entreprise : les pour / les contre », http://www.dynamique-mag.com/article/etablir-culture-entreprise-pour-contre.8576

ix Il y a des entreprises à culture ingénieur, financier, commercial, communiquant avec, à partir des niveaux hiérarchiques supérieurs, un recrutement parmi le réseau dont on est issu.

x Loi Sapin II du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique

xi Kerdellant 2017

xii « Pourquoi il faut renforcer l’enseignement de l’analyse stratégique en France », Pierre Memheld, 21 Décembre 2016, https://theconversation.com/pourquoi-il-faut-renforcer-lenseignement-de-lanalyse-strategique-en-france-70569

xiii « Intelligence Artificielle : Vers de meilleures décisions humaines, avec ou sans humain ? » – https://comarketing-news.fr/intelligence-artificielle-vers-de-meilleures-decisions-humaines-avec-ou-sans-humain/ – 9 Janvier 2017

xiv Kerdellant 2017

Faut-il plus de cybersécurité, de cyberdéfense ou de cyber-renseignement ?


Image 20170306 20767 chdzgs
Exercice de cyber-défense à l’académie militaire de West Point en avril 2016.
Army Cyber/Flickr

Pierre Memheld, Université de Strasbourg

Aujourd’hui nous subissons, que ce soit dans le domaine économique/privé ou politique/public une quantité telle d’attaques qu’il est difficile de faire autrement que réagir. Les enjeux financiers ou électoraux, quand il ne s’agit pas des opérations extérieures, font que les autorités mobilisent des moyens de plus en plus importants, même s’il est parfois difficile d’attribuer la cyberattaque à telle ou telle partie. The Conversation

S’agit-il seulement de réagir, de se prémunir ou d’anticiper les attaques dans le domaine cyber, dans une dimension parfois perçue comme virtuelle, mais dont l’impact est concret dans les domaines économiques, militaires et diplomatiques ?

Les données personnelles, comme les codes d’accès bancaires, sont volées et revendues. Les données essentielles des entreprises, ou des hôpitaux, sont prises en otage puis libérées contre rançons payées en bitcoins. Les campagnes électorales sont influencées par la révélation d’informations compromettantes, sur un plan personnel ou financier.

La diffusion sans limite des localisations et matériels d’unités militaires en opération est facilitée par l’omniprésence et l’hyperréactivité des réseaux sociaux. Tout se passe, semble-t-il dans la dimension cyber, sans que les modes d’action soient réellement nouveaux, puisque les attaques de réseaux ou la désinformation sont des moyens anciens.

S’agit-il d’attaques hautement techniques ou de simples négligences humaines ? Selon les exemples cités : les emails des adhérents/soutiens d’un candidat français sont directement accessibles car le site Internet de sa campagne est mal sécurisé ; l’utilisation trop fréquente des mêmes mots de passe basés sur nos vies personnelles est une faille ; les méthodes de « social engineering » qui permettent d’initier un virement au profit du hacker sont méconnues ; la publication non sécurisée de données personnelles sur Facebook représente un risque de vol d’identité ou de « social engineering » ; un encore la cadeau/achat de clés USB piégées pour avoir accès à des réseaux sécurisés.

De la sécurité à l’action dans le domaine cyber

Face à ses menaces, l’État renforce ses moyens d’action, avec la création d’un Commandement de cyberdéfense par exemple pour les armées, mais aussi une action au niveau individuel avec la création d’un dispositif national d’assistance aux victimes créé par l’ANSSI (ACYMA).

Entre ces deux extrêmes, l’ANSSI, et les ministères concernés, accompagnent les Opérateurs d’intérêt vital (OIV), devant renforcer la sécurité de leurs systèmes d’informations, ou publient des guides d’hygiène information ou de bonnes pratiques dans les différents usages informatiques.

La tâche est sans fin puisque tous les aspects et secteurs utilisant le numérique sont concernés : des viticulteurs, des menuisiers ou des imprimeurs sont attaqués et perdent leurs données, la conséquence pouvant être la fermeture définitive de ces PMEs et donc la disparition d’emplois. L’Internet des objets démultiplie les brèches ouvertes aux hackers : caméras de surveillance, réfrigérateurs connectés ou robots (industriels, médicaux ou agricoles) et même jouets. Si les grandes entreprises, OIV ou non, ont les moyens de sécuriser leurs réseaux, elles sont tout autant ciblées et victimes.

D’après les chiffres d’une étude menée par l’Usine nouvelle et Orange Business Service en 2016, 56 % des entreprises industrielles interrogées reconnaissent avoir été victimes de cyberattaques, un chiffre en hausse de 5 % par rapport à 2015. Et ce malgré les mesures prises ou les sensibilisations effectuées en interne ou par les services habilités, dont par exemple la Gendarmerie Nationale. Une autre étude pointe les disparités de perception des responsabilités et de l’impact de la cybersécurité entre les responsables IT et les dirigeants d’entreprises, le management de la sécurité.

Quelle est la nature des menaces cyber ?

Comme le montre cette dernière étude, les entreprises considèrent que les menaces ont les origines suivantes : une erreur ou une imprudence humaine ; un employé corrompu ou démotivé ; un individu ou un groupe isolé, extérieurs à l’entreprise ; des concurrents ; des organisations criminelles ; des organisations idéologiques (Anonymous) ; des organisations étatiques. Que l’origine des menaces, ou des failles, soient internes ou externes, il s’agit avant tout d’une question de coordination de la sécurité au niveau de l’ensemble de l’entreprise, pas seulement du service IT.

Il ne s’agit plus simplement que les employés ou les cadres soient sensibilisés mais bien formés aux problématiques techniques (en fonction de leurs implications), aux menaces récurrentes ou émergentes (nécessité d’un plan de veille spécifique) et à la coordination interne : que les « approches » directes des personnes (par e-mail ou par téléphone) soient signalées ; que les bonnes pratiques soient appliquées à tout niveau ; que les personnels soient responsabilisés au vu des enjeux économiques et sociaux. Seule la formation, continue ou initiale, peut couvrir ces besoins.

Séminaire cyberconflictualite et forces armées à Saint-Cyr.
defense.gouv.fr

Or en France, même sur les profils de spécialistes la demande (emplois) est supérieure à l’offre (diplômés). Sciences Po Paris ou le Lycée Militaire de Saint-Cyr ont récemment annoncé la création de cursus dédiés à la sécurité et au cyber. Mais les écoles de commerce ou d’ingénieurs n’ont pas généralisé l’enseignement des principes de sécurité, sans même parler de cybersécurité, y compris dans les cursus où l’informatique (réseaux ou logiciels) est abordée. Comment donc former les futurs personnels, mais aussi et surtout les personnels en activités ?

Faut-il développer le renseignement d’origine cyber ?

La liste de l’origine des menaces est révélatrice : des individus, des concurrents, des groupes et des organisations. Il serait utile d’approfondir l’étude de l’emploi par les organisations criminelles de hackers réputés indépendants par nature. Celles-ci ont des modes de fonctionnement équivalent à ceux des entreprises, mais avec des modes d’action illégaux : objectifs de parts de marché, offres de service différenciées, diversification ou spécialisation des activités (production, transport, revente) mais aussi externalisation à des prestataires de services.

Le « marché » du rançonnage est en pleine croissance car il implique peu de risques physiques directs, contrairement à la production/distribution de drogues, des moyens limités (hackers et ordinateurs), des revenus moins élevés que d’autres activités mais un marché mondial. Tout comme pour le « cyber-djihadisme », l’analyse des modes de communications et d’actions des organisations criminelles améliorerait notre capacité de réaction voire d’anticipation. Il ne s’agit pas de se murer derrière des firewalls et des procédures mais de se renseigner sur un adversaire, la cyber intelligence.

Les entreprises mettent elles en place des solutions anti cyberattaques ?
Sekurigi

L’adversaire peut être économique (concurrents ou criminels), militaire (états ou mouvements terroristes) et politique (états ou concurrents). Pour en revenir aux failles humaines, le fait que des emails de responsables soient facilement accessibles, car non protégés, ou que nous ne soyons pas capables de répondre à de la propagande sur Internet, est une faute grave que ces adversaires ont tout loisir d’exploiter. Nous sommes responsables collectivement de ces manquements car les méthodes existent au niveau de la sécurité, de la formation ou de la vérification de l’information.

Il est possible de vérifier qui est l’émetteur d’un e-mail avant de cliquer sur un lien d’hameçonnage ou de renforcer nos mots de passe. Il est possible de cloisonner les droits d’administration et d’utilisation d’un réseau information, ou de le rendre inaccessible aux anciens employés. Il est possible, pour les services habilités mais aussi des hackers « noirs », d’avoir accès aux messageries sécurisées.

La diversité des menaces, des acteurs, donc des interactions peut être vue comme une série de cyber-conflictualités plutôt qu’une cyber-guerre, même si le concept est parlant.

Pierre Memheld, Responsable du Master Intelligence Economique et Gestion du Développement International, Université de Strasbourg

La version originale de cet article a été publiée sur The Conversation.

%d blogueurs aiment cette page :