lundi 22 octobre 2018    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges
Jacques Cheminat / lundi 12 mars 2018 / Catégories: Dossiers

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.

La représentation en nuage de points du sujet des droits d’accès et des comptes à privilèges se révèle particulièrement dense. PAM (Privileged Access Management), gouvernance des accès, proxy, serveur de rebond, SSH, RDP, bastion, rotation et coffre-fort des mots de passe, discovery, collecte de logs, chiffrement de bout en bout, sont une liste non exhaustive des termes utilisés. Le sujet est porteur comme le prédit Gartner en estimant qu’en 2020, plus de 40% des PME et grands comptes vont déployer des solutions de PAM pour répondre aux problèmes de sécurité du Cloud.

Pour autant, si ce marché est complexe en se déclinant comme un sous-ensemble de la gestion des identités (IAM), il a évolué avec le temps. Dans une première phase, il se développe autour de la protection des mots de passe des comptes administrateurs et de la technique du coffre-fort, tout en ayant les yeux vers le Cloud. Puis le marché se tourne vers la gestion des accès à travers la technologie du bastion, sorte de boîte noire capable d’enregistrer les sessions, de détecter les comportements anormaux et de s’adapter aux nouvelles exigences comme l’automatisation, l’IA et l’IoT. Enfin, les comptes à privilèges ciblent maintenant les métiers en créant des datarooms, des zones de confiance, dédiées à la direction, les RH ou la finance au sein de l’entreprise.

 

L’ÈRE DU COFFRE-FORT DES MOTS DE PASSE ADMIN

Ce marché est relativement jeune et les anciens réflexes ont encore la vie dure. Selon, une étude menée par Dimensional Resarch pour One Identity, 38% des responsables français utilisent un tableur et 18% gardent les mots de passe des comptes à privilèges sur version papier. La prise de conscience de ces problématiques d’accès a été tardive, se souvient Sébastien Faivre, CTO de Brainwave, spécialiste français de la gouvernance des accès, « elles ont émergé il y a une dizaine d’années, avec les interrogations sur les mots de passe des systèmes Root, le plus haut niveau de privilèges au sein de la DSI et donc un accès à l’ensemble de l’infrastructure de l’organisation ». Ces comptes cristallisent 3 types de menaces : la malveillance interne (un administrateur système mécontent ou un utilisateur un peu trop curieux) ; la malveillance externe (attaque ciblée sur les administrateurs systèmes ou malwares visant les systèmes à privilèges) et l’accident (mauvaise configuration ou erreur de mise à jour).

En 2015, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié une note de « recommandations relatives à l’administration sécurisée des systèmes d’information ». Elle donne des éléments utiles d’aide à la conception d’architectures sécurisées tout en mettant à la disposition des administrateurs les moyens techniques et organisationnels nécessaires à la réalisation de leurs missions. Les comptes à privilèges y sont abordés.

Bunkeriser les mots de passe

Face à un problème technique, la réponse a été aussi technique avec la création des coffres-forts de mots de passe. Plusieurs acteurs sont présents sur ce marché toujours très dynamique. Le principe général repose sur la centralisation en un seul point, sur site ou dans le Cloud, de la gestion des mots de passe pour les comptes à privilèges. Concrètement, la solution analyse l’ensemble de l’environnement IT pour recenser les comptes à privilèges. « En général, un agent se charge de scanner les annuaires de l’entreprise comme Active Directory sur site ou sur le Cloud Azure, mais aussi des services comme Okta ou G Suite de Google » explique Thibault Behaghel, spécialiste produit EMEA chez LastPass. « Il y a beaucoup de demandes autour des offres Cloud et notre offre permet d’appliquer 70 règles de sécurité », précise le dirigeant. L’agent analyse aussi les clés SSH publiques et privées (OpenSSH, Putty, Tectia, Windows, Linux, etc.). L’administrateur IT peut ensuite décider quels comptes associés aux clés doivent intégrer le coffre-fort. La sécurité des mots de passe s’effectue à travers des algorithmes de chiffrement AES 256 ou RSA 2048. En fonction du degré de sensibilité du compte, l’authentification peut être simple couplant identifiant et mot de passe ou bien forte en intégrant des token, de la biométrie, des serveurs Radius, Google Authenticator ou SAML (Security Assertion Markup Language).

Rotation et révocation des mots de passe

Puis, petit à petit, le coffre-fort a évolué avec des fonctionnalités de rotation et de révocation de mots de passe. Dans le premier cas, le coffre-fort est capable de générer de manière aléatoire des éléments d’authentification. Une fonctionnalité rassurante pour minimiser la menace interne, mais elle facilite également la sécurisation de projets en équipes ayant accès à des données sensibles. Dans un environnement DevOps où plusieurs métiers travaillent à la création et à la production d’applications, il est nécessaire d’accéder et de manipuler des données sensibles comme les bases de données. Affecter des éléments d’authentification pour une durée limitée est donc nécessaire. De même, cette fonctionnalité est utile pour les partenaires et les prestataires qui ont besoin d’accéder à des programmes sensibles.

La révocation des mots de passe sur les comptes à privilèges est essentielle. L’actualité est riche d’affaires mettant en cause d’anciens salariés ayant gardé leurs accès à des applications critiques. Ils peuvent ainsi voler des données, les transmettre à des concurrents ou les vendre sur le marché noir. « Il est donc important de pouvoir supprimer l’ensemble des accès quand un administrateur s’en va. Il faut donc vérifier ses identifiants, connaître les couples (mots de passe, identifiant) de ses accès et les révoquer », poursuit Valérie Husson, channel Sales Mananger France & North Africa de Thycotic, nouvel acteur du PAM, arrivé récemment en France. Une tâche automatisable pour laquelle la direction des ressources humaines peut supprimer les accès dès le départ d’un collaborateur depuis un simple bouton.

 

LE BASTION : LA VIGIE ATTENTIVE ET PRÉDICTIVE

Renforcer la gestion des identités des comptes à privilèges (PIM, pour Privileged Identity Management) sur certains éléments du SI est important, mais les responsables IT réclamaient des solutions de traçabilité des sessions des comptes à haut pouvoir.

Le surveillant en chef des sessions à privilèges

D’où l’idée du PAM et plus particulièrement du concept de bastion. « Le bastion s’apparente à la vidéosurveillance dans un appartement », résume Julien Cassignol, ingénieur avant-vente et responsable de l’activité France pour Balabit. Si la partie coffre-fort s’inquiète des identités et intègre le PAM, le bastion s’intéresse aux couches les plus basses de l’IT, « Nous analysons les flux basés sur différents protocoles : RDP (Remote Desktop Protocol), Telnet, Citrix, VNC et SSH » explique Serge Adda, CTO de Wallix, le champion français du bastion. Dans certains cas, des demandes d’analyses de protocoles spécifiques sont réclamées comme dans le cadre des systèmes industriels et les automates SCADA en particulier. « Certains protocoles sont plus complexes que d’autres, comme par exemple les demandes SQL, il y a autant de parfums que les glaces chez Berthillon », constate avec humour Julien Cassignol.

Sur le plan technique, les PAM du marché s'appuient sur des serveurs proxy et des serveurs de rebond pour scruter les flux des tâches. Concrètement, une connexion par rebond consiste à passer par une machine intermédiaire lors d’une connexion entre deux machines, PC ou serveurs, via les protocoles cités précédemment. Cette technique sécurise l’accès aux applications en déléguant l’injection des mots de passe au serveur proxy pour masquer les identifiants.

Mais ces serveurs savent aussi enregistrer les flux. Ils sont capables de rejouer une session en vidéo au format MPEG4 compressé. « 1 h de vidéo correspond à une taille de 20 Mo », assure Valérie Husson de Thycotic en mettant en avant l’offre Secret Server. Elle ajoute : « l’enregistrement se fait en direct et a un intérêt historique pour savoir ce que l’administrateur a fait ou a essayé de supprimer ».

 

Les yeux doux au DevOps et à l’IA

Forts de la traçabilité en vidéo, les bastions récoltent dans le même temps beaucoup de métadonnées. Une mine d’informations à valoriser via des solutions analytiques et de machine learning. Ces efforts aboutissent à l’émergence de solutions d’UBA (User Behavior Analytics), l’analyse comportementale des utilisateurs. « Nous allons maintenant vers l’expérience utilisateur. A travers cette vidéosurveillance, nous collectons énormément d’informations sur ce qui se passe et s’est passé », précise Serge Adda de Wallix.

Pour Balabit, le machine learning permet d’apprendre et de connaître le comportement des détenteurs d’accès aux comptes sensibles. Julien Cassignol le reconnaît, « le machine learning apprend les habitudes de comportement des administrateurs, il est ainsi capable de déterminer les moindres différences comme la façon de frapper sur un clavier, la répétition de commandes peu ou pas utilisées ». Du côté de Wallix, la partie analytique facilite la création de scénarii, « les gens ont des comportements récurrents et répétitifs sur les applicatifs, si une attitude ne correspond pas, il peut y avoir une alerte ».

Car l’objectif de cette analyse comportementale est double, à la fois pour la prévention et dans le cadre d’une enquête. Les bastions sont paramétrés pour lancer des alertes en cas de comportement anormal, voire bloquer immédiatement le compte, si le risque est important. La priorité est le Cloud et l’accompagnement du DevOps. CyberArk est clairement dans cette voie. « Aujourd’hui, les comptes à privilèges ne sont plus nécessairement le fait des humains, mais des robots comme les solutions d’orchestration ou les générateurs de scripts », explique Jean-Christophe Vitu, Pre-Sales Director West & South Europe de CyberArk. Et l’histoire pourrait bien lui donner raison, le vol de données d’Uber est à l’origine un accès à des identifiants AWS codés en dur dans un référentiel privé sur GitHub. Le spécialiste du PAM a donc sorti une offre dédiée, Conjur, pour cibler cette population et cette méthode de travail nécessitant rapidité et agilité.

 

GOUVERNANCE DES ACCÈS ET DATAROOM, AU-DELÀ DU BASTION

Si les deux éléments centraux dans le droit d’accès et la gestion des comptes à privilèges sont le coffre-fort et le bastion, il ne faut pas oublier des solutions complémentaires : la gouvernance des accès et les datarooms. La gouvernance des données s’interroge sur le cycle de vie de la donnée, alors que la notion de dataroom étend la notion de zone de confiance et d’habilitation, réservée à l’IT en général et en particulier aux sysadmins, aux dirigeants et aux responsables métiers (RH, marketing ou finances).

La gouvernance des accès, une tour de contrôle pour les PAM

« Les outils de PAM configurent le coffre-fort de mots de passe et les droits d’accès, mais ils n’englobent pas le cycle de vie des accès. Il faut croiser les logs des PAM avec d’autres bases de données comme celles des RH par exemple », confie Sébastien Faivre de Brainwave. Le concept de gouvernance des accès emprunte à la gestion des risques sur le SI et à l’audit. Il donne à un ensemble d’acteurs légitimes la possibilité de suivre l’évolution des identités et des accès des utilisateurs au sein du SI et d’en contrôler la conformité et de répondre aux questions « qui a le droit à quoi, comment et pourquoi. Le contrôle a posteriori, la réconciliation des comptes », poursuit le dirigeant.

Pour mener à bien cet audit, il est nécessaire de réaliser une cartographie. « Nous extrayons des données du SI de manière très granulaire, allant du référentiel RH, l’accès des partenaires, les bases de données, les annuaires (Active Directory, LDAP). Au final, nous dressons un inventaire des droits d’accès », explique Arnaud Fléchard, CTO de Kleverware, également spécialiste français de la gouvernance des accès. Il ajoute, « ce travail donne une vue des droits à pouvoir ou sensibles et facilite la ségrégation des tâches afin d’assurer une véritable séparation des tâches ». Les offres d’IAG (Identity and Access Governance) sont des tours de contrôle et s’imposent en complément de solutions de PAM ou d’IAM.

 

Les Dataroom blindent les données à privilèges

Les comptes à privilèges ne sont plus l’apanage des seuls administrateurs. Le Cloud, la mobilité et même les médias sociaux rebattent les cartes de la gestion d’accès. La direction d’une entreprise, les directeurs financiers, ressources humaines disposent d’accès spécifiques à des ressources sensibles. Mais la protection ne doit pas porter uniquement sur les accès, mais aussi sur le contenu. D’où la création des datarooms, des espaces sécurisés autorisant le partage de documents sensibles. Une offre qui s’adresse spécifiquement aux comités exécutifs des entreprises, manipulant des informations stratégiques (budget, fusions-acquisitions, plan de recrutement ou de licenciement, etc.). La sécurité est assurée depuis le poste de travail « avec une connexion TLS 1.2 entre les serveurs, le passage d’un antivirus sur l’objet transféré plus un chiffrement en AES 256 spécifique et un enregistrement sur disque », assure Alexis Boissinot, responsable de Brainloop France. Pas d’inquiétudes de voir la DSI disposer d’un accès privilégié aux documents, « les gens de l’IT et de la sécurité gèrent l’accès à la porte d’entrée des datarooms, mais pas aux contenus », soutient le dirigeant. Les services en mode SaaS comme Office 365 ou Salesforce sont gérés via des API, « avec un simple glisser-déposer » des objets dans la dataroom.

Les acteurs du marché des droits d’accès et comptes à privilèges

IAM (Identity Access Management) Ilex, Gemalto, GlobalSign, Okta, IBM, AWS, Google 
Coffre-fort de mots de passe Lastpass, Dashlane, Keepass
PIM (Privileged Identity Management) IBM, CyberArk, Balabit, Centrify, CA Technologies
PAM (Privileged Access Management) Wallix, CyberArk, Balabit, Thycotic, CA Technologies, Bomgar
Gouvernance des accès Brainwave, Kleverware, One Identity, Sailpoint
Dataroom Brainloop, Drooms, OOdrive, Intralinks

 

Dossier publié sur le site mag-securs.com avec le concours de Kleverware.


Infos partenaire

Kleverware, éditeur français, est un précurseur depuis 2005 dans le domaine du contrôle des identités et des accès. Avec ses innovations brevetées et la reconnaissance du marché par l’obtention de labels (France Cybersecurity, Bpifrance Excellence…), Kleverware prouve la robustesse de ses solutions, qui sont utilisées par des grands noms depuis des années pour auditer des centaines de milliers de droits tous les jours.

Les solutions de Kleverware sont flexibles et efficientes, que ce soit pour :

  • Les opérationnels de la sécurité, pour savoir rapidement quels sont les droits qui sont réellement donnés aux collaborateurs (cartographie exhaustive) au regard de leur fonction (SOD).
  • Les correspondants Métier, pour leur simplifier les revues de droits et leur offrir un gain de temps sur des taches qui ne sont pas obligatoirement bien comprises (ROI).
  • Vos auditeurs (CAC, Contrôle Interne) à qui vous démontrez que non seulement vous répondez aux préconisations, mais auxquels vous donnerez le reporting idoine.

Les solutions de Kleverware :

Kleverware IAG « Quick Start »

Cette solution ne nécessite pas d’infrastructure, un poste ou une VM suffit. Simple d’installation, elle est efficiente pour l’analyse et le contrôle, cela même pour des milliers d’identités grâce à sa technologie brevetée. Kleverware IAG « Quick Start » vous donne très rapidement des premiers indicateurs (SoD, Comptes dormants, orphelins…) pour une bonne gouvernance de vos identités et de leurs accès. Vous pouvez l’utiliser pour une cartographie exhaustive des droits, établir des tableaux de bord, vérifier que votre PSSI est respectée…

Kleverware IAG « Enterprise »

En complément de tous les avantages la version stand alone, vous bénéficiez d’une solution faite pour vos collaborateurs en charge de la revue des droits et ce au plus près des métiers. Avec ses interfaces intuitives pour les différents rôles (Managers de campagnes, approbateurs…), Kleverware IAG « Enterprise » simplifie grandement le travail qui leur est demandé. Vos collaborateurs vous remercieront d’avoir évolué vers une solution robuste, flexible et reconnue par des entreprises depuis plusieurs années.

 

Print
55346

x

Face la multiplicité des attaques, les entreprises doivent désormais s’outiller pour parer à la menace. Sans craindre d’utiliser les armes, techniques et outils du renseignement.  

Hasard du calendrier aussi, c’est au moment où nous terminons cet article que le présumé tueur du Musée Juif de Bruxelles, Medhi Nemmouche, est appréhendé par la justice française. Une arrestation tout ce qu’il y a de plus ordinaire : un contrôle douanier de routine dans un autocar en provenance d’Amsterdam à la gare routière de Marseille Saint-Charles. Incarcéré à de multiples reprises pour des larcins, il se serait radicalisé en prison et son comportement aurait fait l’objet de plusieurs signalements à la DGSI (Direction Générale de la Sécurité Intérieure), par l’administration pénitentiaire. Aucun rapport entre les deux, pensez-vous. Pas si sûr… Le renseignement et l’espionnage, qui existent depuis l’Antiquité, trouvent un nouveau souffle avec la radicalisation de la menace terroriste, la guerre économique accrue entre les Etats, et la concurrence très serrée entre les entreprises. Ne soyons pas angéliques : les révélations d’Edward Snowden, qui ont provoqué un électrochoc dans les pays européens, ne sont que l’épiphénomène de pratiques qui existent depuis bien longtemps et qui se pratiquent couramment entre Etats, voire entre les entreprises. 

Alain Beauvieux, PDG d’AMI Software, une PME française spécialisée dans l’intelligence économique, nous confie ainsi avec humour : « On ne s’en souvient pas avec l’affaire de la NSA, mais le système Echelon (un système d’écoute sur les satellites commerciaux et regroupe les Etats-Unis, le Royaume-Uni, le Canada, la Nouvelle-Zélande, et l’Australie ndlr-) existe depuis belle lurette ». Et l’espionnage commercial n’a pas attendu les révélations de la NSA pour diversifier ses approches. Mag-Securs (cf. n°33) avait ainsi cité l’exemple de cette ex-salariée chinoise d’un soustraitant clermontois dans l’industrie du luxe, qui récupère le fichier client de son entreprise et tente de le monnayer auprès de ses contacts asiatiques. Elle n’a été condamnée qu’à trois mois de prison avec sursis, et 3 000 euros d’amende, mais c’est la première fois que la qualification pour vol de patrimoine informationnel a été retenue. Et que dire de ce cas baroque raconté par Jean Magne et Jacques Pinault, de PEA Consulting, dans leur livre, « Gestion des Risques et Culture de la Sécurité », parlant de ces visiteurs d’Extrême-Orient d’un laboratoire, trempant comme par mégarde leurs cravates dans des solutions chimiques qui pouvaient être analysées par leurs laboratoires une fois revenus sur le sol national ? La ruse n’a été déjouée que par la présence d’esprit d’un membre de l’entreprise visitée, qui a réussi à persuader les visiteurs mal intentionnés que l’échange des cravates faisait partie des coutumes locales… Aussitôt dit, aussitôt fait : les salariés de l’entreprise visitée échangent leurs cravates avec les visiteurs, qui repartent, déconfits, sans échantillons à faire analyser par leurs laboratoires… 

95% du renseignement est d’origine ouverte

Cette anecdote plutôt amusante montre à quel point la quête du renseignement, la protection du patrimoine informationnel, l’intelligence économique demeurent d’actualité pour les entreprises. « Pour l’intelligence économique, les Anglo-Saxons parlent volontiers de « market intelligence », ce qui est peut-être le mot le plus proche de la réalité du concept, qu’intelligence économique », souligne Alain Beauvieux. Or, il faut d’origine ouverte, c’est-à-dire accessible au public », comme le précise Franck Franchin, tout nouvellement arrivé pour prendre le développement commercial de la cybersécurité chez Bertin IT, la division du Groupe Bertin Technologies qui conçoit notamment des outils innovants dans le domaine de l’analyse des sources ouvertes (ce que l’on appelle en termes consacrés le ROSO –Renseignement d’Origine Source Ouverte). « La capacité à collecter et à identifier les informations pertinentes parmi toutes ces sources – Internet, et notamment les réseaux sociaux, les flux audio et vidéo – aussi ouvertes soient-elles, suppose des technologies à la fois robustes et évolutives », tient-il à souligner.

Pour moi, l’intelligence économique recoupe trois actions », détaille Benoît de Saint-Sernin, co-fondateur de l’École de Guerre Economique (EGE), et fondateur de l’EEIE (École Européenne d’Intelligence Economique), basée à Versailles et à Bruxelles (cf. encadré). « Il s’agit de se protéger, de se renseigner, et d’influencer. Aujourd’hui, en France, nous sommes relativement bien organisés. La PME est plus facile à protéger qu’un grand groupe. Le grand groupe fera de la collecte de renseignement, et travaillera son influence dans les cercles du pouvoir, pour faire prendre dans ces cercles gouvernementaux des décisions conformes à ses intérêts, alors que la PME cherchera dans un premier temps à se protéger. L’offre des cabinets d’intelligence économique est importante, mais elle ne porte pas toujours ce nom-là : on parlera de stratégie, de marketing offensif, et de sécurité/Sûreté ». Le but reste le même : se protéger, se renseigner, influencer. « Néanmoins, relativise-til, la conception de l’information n’est pas la même selon les cultures. Dans les pays occidentaux, c’est une arme de pouvoir, et on a tendance à la garder pour soi. Dans les pays asiatiques, c’est une matière première à partager. Celui qui garde une information pour lui est sanctionné par sa hiérarchie ».

18 jours pour recruter sur Facebook

En ce qui concerne la protection, « il s’agira, selon Franck Franchin, de cas de manipulation de cours de Bourse suite à des rumeurs fondées ou non (n’oublions pas que le cours de l’action Sony a considérablement chuté suite au piratage du PlayStation Network en 2011), de désinformation au cours d’opérations de fusions-acquisitions, de tentatives de déstabilisations de cadres dirigeants par un concurrent, ou encore de dénigrement sur les réseaux sociaux »… « Internet facilite le piratage informatique, les attaques numériques ou en réputation, même si le renseignement humain est plus efficace qu’Internet », complète Benoît de Saint-Sernin. N’oublions pas que, selon Imperva, un recrutement par Twitter, Facebook ou YouTube prend en moyenne 18 jours… Il est donc facile de débaucher un salarié chez un concurrent, de dénigrer une société sur les réseaux sociaux afin de faire chuter son cours de Bourse, de mener une attaque en e-réputation… Or, à ce petit jeu, l’utilisation des méthodes issues du secteur militaire a le vent en poupe, ce que Benoît de Saint- Sernin explique facilement : « il existe dans les cercles autorisés pas mal de personnel issu des services de renseignement, et c’est normal : la guerre conventionnelle s’est transformée, en grande partie, en guerre économique ». « Attention toutefois à ne pas confondre intelligence économique et espionnage », prévient Alain Beauvieux, d’AMI Software. Mais l’approche et les outils proposés ont fortement emprunté au secteur militaire. Témoin Bertin IT, qui a contribué au programme d’études amont HERISSON (Habile Extraction du Renseignement d’Intérêt Stratégique à partir de Sources Ouvertes Numérisées), pour le compte de la DGA, et qui intervient dans le cadre du projet IMM (Intégration Multimédia Multilingue), porté par l’Institut de Recherche Technologique SystemX, en partenariat du ministère de la Défense, dont l’objectif est de concevoir une plate-forme de test, de développement et d’évaluation pour l’analyse de contenus multimédias multilingues.

L’importance du signal faible

« Nos solutions servent différentes applications », explique Franck Franchin, de Bertin IT. « Par exemple le média monitoring, où nos outils automatisent la collecte et la recherche de séquences ciblées, remplaçant le visionnage et le traitement manuel d’heures de vidéo pour trouver celle qui intéresse. Nous nous adressons au marché de la cyberdéfense, qui représente 50% de notre activité . Nos clients ont besoin d’analyser ce qui se dit sur les réseaux sociaux, les forums, et de détecter les signaux faibles ». Précisons que les « signaux faibles » sont des éléments issus de l’environnement, qui marquent une tendance ou l’imminence d’une action : ainsi, on peut détecter, par exemple sur un forum, l’imminence manifestation devant le siège social d’une société : dans ces cas précis, le signal faible est constitué par l’information sur les forums et les réseaux sociaux, et le signal fort, par l’attaque en DDoS, ou bien la manifestation devant le siège social d’une entreprise. « Une information de rupture, c’est par exemple un concurrent qui s’allie à un fournisseur », explique Alain Beauvieux, d’AMI Software. « Il y a peut-être une opération de rachat masquée derrière… Le signal faible, c’est l’interprétation que l’on donne d’une information de rupture », précise encore Alain Beauvieux.

Les 30 secondes de vidéo qui permettent d’analyser un signal faible

Sans trop dévoiler, secret oblige, ni ses méthodes, ni ses clients, qui ne souhaitent d’ailleurs pas témoigner, Franck Franchin, de Bertin IT, poursuit : « En observant les réseaux sociaux, il est possible d’identifier des faiseurs d’opinion, des personnes capables de préparer une manifestation. De plus en plus, ceci passe par l’image et notamment la vidéo. L’enjeu est de pouvoir isoler, dans les flux vidéo, les 30 secondes importantes, qui contiennent ou sont susceptibles de contenir un signal faible. Nos technologies de transcription parole-texte permettent d’analyser les flux ouverts afin de détecter ces indices. Nos outils de traitement multimédia permettent également de reconnaître le visage d’un dirigeant attaqué ou le logo d’une entreprise, avec des alertes par des mots-clés. ». Bertin IT propose un ensemble d’outils capables de détecter des personnes et des logos, et de faire de l’extraction d’informations textuelles dans les vidéos : on obtient ainsi une identification de qui parle, dans quelle langue, et ce qui est dit dans les contenus audios. Cette solution, MediaCentric, une plateforme logicielle de traitement approfondi des sources ouvertes multimédias multilingues, qui peut être opérationnelle en acquisition H24 7j/7, a été choisie par l’État-Major des Armées pour du renseignement d’intérêt cyber.

Chercher l’information de rupture

Parmi les acteurs français cités par Benoît de Saint-Sernin, outre Digimind (qui n’a pas voulu témoigner), figure Qwam Content Intelligence et AMI Software, une dynamique PME française de 50 salariés qui réalise trois millions d’euros de chiffre d’affaires, et basée à Paris dans le XIIème arrondissement, non loin de la Gare de Lyon. AMI Software est présente aussi au Canada, au Maroc, en Tunisie, aux Emirats Arabes Unis, au Royaume- Uni, en Belgique et en Suisse. Alain Beauvieux, son Président, n’aime pas trop, on l’a compris, parler de « renseignement » qui, selon lui, ne correspond pas à la pratique des entreprises, mais plutôt de « market intelligence ».

Parmi ses clients, on peut citer GDF Suez, Air France, la SNCF, le ministère de la Défense, la Mairie de Paris, le Haut Comité Français pour la Défense Civile (HCFDC, cf. encadré). « Les solutions offertes par AMI Software répondent à trois fonctions », explique Alain Beauvieux. « Il faut capter l’information, la trier, l’organiser, chercher les corrélations et l’information de rupture. Enfin, il faut la diffuser aux bonnes personnes. Il faut livrer ce qui doit être lu au bon niveau. Nos solutions permettent, avec des recherches par mots-clés, d’élaborer des tableaux de bord, des newsletters, et de faire remonter des alertes temps réel. » Editeur de logiciels, AMI Software commercialise une plateforme de veille stratégique et d’intelligence économique AMI Enterprise Intelligence Software, avec une option pour les médias sociaux, AMI Opinion Tracker, qui, par une technologie de « text mining » permet de traiter, de mettre sous surveillance et de diffuser aux personnes choisies tout type de source (internet, blogs, forums, sites spécialisés, réseaux sociaux, Intranet, GED, serveurs mails, etc…). Ainsi, les outils de la veille économique accompagnent les entreprises dans leur développement. Utilisant des concepts fortement teintés de culture militaire, ils permettent, autant que possible, de lutter contre une guerre économique accrue entre les entreprises. Toutefois, ne soyons pas naïfs : la culture de l’intelligence économique, c’est aussi une sensibilisation de tous les instants aux enjeux de la guerre économique. Et cela ne se fait pas avec des tableurs… ■

Sylvaine Luckx

L’EEIE, une école au service de l’intelligence économique

Benoît de Saint-Sernin cultive l’excellence à la française. Ce père de cinq enfants, issu du milieu militaire et candidat sans étiquette aux municipales de Versailles, a fondé, outre l’École de Guerre Economique, qu’il quitte dans les années 2000, l’École Européenne d’Intelligence Economique. (EEIE) de Versailles en 2005. Située dans les anciens appartements de Madame de Pompadour, dans une aile du Château de Versailles (mais hors des circuits touristiques !), l’EEIE existe depuis neuf ans. Benoît de Saint Sernin parle de « son » école. « Nous formons entre 35 et 40 élèves par an, soit des jeunes de 23 à 25 ans qui veulent se spécialiser en intelligence économique, soit des personnes d’une quarantaine d’années, en reconversion du ministère de la Défense ou d’autres organismes, qui veulent intervenir, dans des entreprises, ou dans des cabinets de consultants, dans le domaine de l’intelligence économique. Nous travaillons avec peu d’effectifs, deux classes de 20 étudiants environ », précise Benoît de Saint-Sernin. « L’originalité de notre formation est d’associer des heures de cours (environ 400) à de véritables missions d’intelligence économique, opérationnelles en entreprise. Nous formons véritablement nos élèves à la collecte de renseignement, à la sécurité, à la protection de l’information, à l’influence et à la contre-influence. ». « L’EEIE délivre le titre d’Etat de Consultant en Intelligence Economique, accessible moyennant la somme de 10 600 euros. Pour 1 000 euros de plus, l’EEIE délivre MBA en double diplôme avec le Groupe ISC Paris et des accords ont été conclus avec l’Université de Versailles-Saint-Quentin en Yvelines pour décerner un triple diplôme (Titre d’Etat + MBA + Master 2), pour lequel il faut rajouter 1 000 euros », précise Benoît de Saint-Sernin. Parmi les cours donnés, on peut citer une mention particulière sur la veille et la recherche d’informations non-formalisée et formalisée, la gestion de crise et la communication, le lobbying, la sécurité. Les personnes diplômées de l’EEIE peuvent être embauchées dans des services de sûreté, de protection du patrimoine informationnel, ou bien au sein de cabinets de consultants en IE.

S. L.

Le HCFDC : une utilisation raisonnée de l’outil de veille d’information

Le HCFDC (Haut Comité Français pour la Défense Civile) est une association Loi 1901 qui participe à la réflexion de l’Etat, des collectivités et des citoyens sur les questions de sécurité sociétale. Plus de 100 petits-déjeuners sont organisés par an, notamment au Sénat, qui réunissent différentes personnalités de la société civile pour sensibiliser les acteurs aux enjeux de la sécurité sociétale. Le HCFDC compte 120 organisations membres (services de l’Etat, grands groupes du CAC 40, PME). Il informe plus de 12 000 personnes chaque mois sur des sujets ayant trait à la sécurité et aux grands enjeux de sécurité de la Nation, et sert plus de 2 000 abonnés à ses travaux. Il diffuse sur Internet une chaîne de télévision, DEFENCiv TV. Christian Sommade, son Délégué Général, explique son système de veille : « Nous étions à la recherche d’un outil de veille, opérationnel tous les jours, sur la sécurité sociétale, avec des informations que nous pouvons remonter à nos membres. Nous ne voulions surtout pas faire de la veille en utilisant Google au petit bonheur, il nous fallait un outil plus maîtrisé. L’outil proposé par AMI Software nous permet de faire, pour nos membres, une veille globale quasi-permanente sur les situations de risque en France, en Europe et dans le monde. Nous employons deux personnes pour la veille, qui travaillent avec la plate-forme AMI Enterprise Intelligence. Nous opérons à partir de mots-clés et de requêtes. AMI Software nous fournit des tableaux de bords vivants et faciles à interpréter ».

S. L.

Une préoccupation accrue du renseignement sur la cyberdéfense

Le 4 juin, dans les locaux du Centre des Hautes Etudes du ministère de l’Intérieur (CHEMI), ont eu lieu les 6èmes Rencontres Parlementaires de la Sécurité Nationale. Bernard Cazeneuve, ministre de l’Intérieur, a tenu à rappeler toute l’importance que l’État accordait à l’intelligence économique. Il a insisté sur l’omniprésence des cybermenaces pour les entreprises (selon ses chiffres, un tiers des entreprises françaises seraient victimes de ces attaques), et a souligné l’importance du « renforcement du renseignement » pour lutter contre ces cybermenaces. Il a par ailleurs insisté sur l’importance de la sensibilisation du corps préfectoral et des entreprises. Il a mentionné, à cet effet, la prochaine signature d’une Convention entre les Chambres de Commerce et d’Industrie (CCI). Une sous-direction Cyber a été créée le 29 avril 2014. Un plan stratégique de lutte contre les cybermenaces a été défini, qui prévoit le développement des activités de renseignement, et un « préfet cybermenaces » va être nommé, dont la mission sera de coordonner l’action des services du ministère de l’Intérieur, avec l’ensemble des ministères concernés. Claude Revel, Déléguée Interministérielle à l’Intelligence Economique (D2IE) qui dépend du Premier Ministre a rappelé l’action de sensibilisation des entreprises à laquelle se consacrait sa délégation, notamment en lien avec l’ANSSI et le SGDN. Un outil d’auto-diagnostic de sa sécurité économique, DIESE, est à disposition des entreprises. Claude Revel a notamment rappelé que le « Guide du Routard » de l’Intelligence Economique nouvelle version était paru, et que 22 fiches thématiques sur « la sécurité économique au quotidien » étaient parues à destination des entreprises en avril 2014. Elle a enfin annoncé qu’un texte sur « le secret des affaires » était en cours de préparation.

S. L.

Dossier publié dans le magazine Mag-Securs n°43, daté 3ème trimestre 2014. Sommaire complet et achat en ligne sur cette page.

Autres Dossiers Gouvernance