Intelligence économique et cybersécurité

Jimmy Merlet

Moodle : https://e-uapv2024.univ-avignon.fr/course/view.php?id=1054&lang=fr

Ressources

https://cyber.gouv.fr/formation-ebios-risk-manager

Notes de cours

technique EBIOS, "moi ce que j'ai fait, j'ai repris toutes les étapes et complété avec de la littérature"
"on est à cheval sur l'aspect économique et l'aspect gestion, vous voyez que la passerelle entre les deux notions est assez fine"

"normalement j'ai 18h de cours pour parler d'intelligence économique, et là on me demande de faire le lien entre intelligence économique et cybersécurité en 9 heures, ça je l'ai dit à vos directeurs"

1. De l'intelligence à la cybersécurité

Intelligence économique

Intelligence économique des territoires/des entreprises
"c'est celle des entreprises qui va nous intéresser" => s'appuyer sur les données contenues dans le cadre de l'entreprise pour générer de la performance
"dans le processus décisionnel dans lequel vous êtes déjà inscrits en tant qu'apprentis, vous verrez que c'est intéressant bien au-delà du cours"

théorie de la contingence (Mintzberg): "c'est un peu une usine à gaz", "on ne va pas avoir le temps de développer"

3 piliers :

informer (données entrantes) ; veille technologique
protéger (données internes) ; approche offensive
communiquer (données sortantes) ; approche défensive

objectifs (Carlier 2012) :

sécuriser les informations
développer les connaissances
organiser la communication
sensibiliser les participants

interpréter de grands volumes de données
identifier de nouvelles opportunités

une stratégie efficace peut induire un avantage concurrentiel et une stabilité à long terme
l'intelligence économique aide donc les dirigeants à prendre ds décisions intelligentes

les donnés sont transformées pour les rendre "accessibles" aux décideurs => rapports, tableaux de bord et autres outils de data visualisation

les informations récoltées peuvent permettre de développer une veille concurrentielle => mettre en lumière les tendances du marché
optimiser ses KPI (e-commerce, organisationnel, financier...)

sources de données :

CRM
informations sur la chaîne logistique
tableaux de bord des performances commerciales
analyses marketing
appels des call centers
données historiques

à l'origine, l'intelligence économique était réservée aux data analystes, modeleurs prédictifs et autres statisticiens
aujourd'hui, il existe des plateformes en libre-service qui permettent de sous-traiter cette tâche (ex. ReportOne)

Problématique (énoncer les questions) > Collecte des données > Analyse > Diffusion des résultats > S'assurer que les résultats correspondent à la problématique

Exemple du CRM : gérer et analyser les interaction et données des clients tout au long de leur cycle de vie
"quand vous passez devant certaines boutiques, vous allez recevoir une notification"

5 grands facteurs de prise de décision (Herbert Simon, 1955) :

budget
temps
contexte -> le décideur doit s'adapter aux forces et et faiblesses de son environnement
formation du décideur
personnalité du décideur -> l'entrepreneur est "plus dans l'action", au contraire du manager qui passe au préalable par la gestion
"y'a un tas d'aspects ici présents qui sont pris en compte dans la méthode EBIOS"

Prise de décision (March et Simon, 1958) : l'optimisation est remplacée par la satisfaction (biais comportementaux)
les alternatives d'action et les conséquences de l'action sont découvertes séquentiellement par des processus de recherche
chaque action spécifique traite d'une gamme restreinte de situations et de conséquences

"ce qui fait un bon manager, c'est d'être capable de prendre en considération l'aspect humain"

modèle IMC (Intelligence, Modélisation, Choix) de Simon (1978) : la décision n'est pas optimale, car elle varie en fonction de facteurs personnels, propres à l'organisation ou à l'environnement (= rationalité limitée, par opposition à la rationalité parfaite)

intelligence : mener une réflexion, trouver plusieurs options ("j'ai un problème de sécurité informatique, pour piloter ce risque je pourrais former en interne, ou recruter un étudiant de gouvernance des données ")
modélisation : classer ses options en fonction des risques et des opportunités ("on ne sait pas se former en interne, mais j'ai le budget pour recruter")
choix : ce choix ne sera pas optimal selon Simon, car le décideur peut difficilement recueillir l'ensemble des informations utiles à la prise de décision parfaite

autres critères d'influence :

le caractère du décideur (stéréotypes, vision des choses...) -> pose problème dans l'appréciation de la situation
l'environnement

la rationalité limitée vise à un minimum de satisfaction dans un cadre organisationnel contraignant : l'information est imparfaite, les capacités cognitives du décideur sont limitées

"montrez que vous avez une capacité à prendre du recul, de la hauteur"

modèle poubelle (Cohen, March et Olsen, 1972) : les individus ne sont pas tout à fait honnêtes sur leur capacité à effectuer les tâches en entreprise, ils vont "créer des problèmes plus que les résoudre" pour justifier leur place en entreprise
"l'exemple que j'aime bien prendre, c'est la DOSI qui ne fournit pas toujours les câbles pour les ordinateurs dans les amphis"
"si on embauche un expert en cybersécurité en freelance et qu'il est performant, il pourrait vous former pour faire son travail, mais c'est aussi son intérêt de revenir"
"ce genre de comportement ne sont pas si peu fréquents que ça"

"en déployant une solution qui risque d'introduire un nouveau problème, vous êtes dans le modèle poubelle"

garder une vision stratégique : une solution va vendre des problèmes à l'organisation, mais ces problèmes ne sont pas nécessairement les plus importants

Cybersécurité

"le piratage industriel ça peut être vite dramatique" (fuites d'informations d'éditeurs de jeu vidéo)

"on va sauter les définitions parce qu'on a pas le temps"

2. La gouvernance du risque cyber

Les mesures à prendre doivent être en cohérence avec :

la menace sur ce qui doit être protégé
la valeur accordée aux éléments à protéger

cette cohérence s'appuie sur 2 approches complémentaires (Salamon, 2020) :

approche par la conformité (≠ "conformité" au sens juridique)
approche par l'analyse des risques

le risque cyber est historiquement lié à la sphère technique, toutefois il s'étend aujourd'hui à la sphère des préoccupations des dirigeants et des décideurs -> prise de décision

approche par la "conformité" = mettre en œuvre des socles de mesures issues de référentiels adaptés au contexte de l'organisation
il peut aussi s'agir de listes de mesures très basiques : https://cyber.gouv.fr/publications/guide-dhygiene-informatique
permet de protéger des SI peu complexes contre des menaces génériques et peu sophistiquées

"la méthode EBIOS, je l'ai découverte il y a pas très longtemps, et je me suis rendu compte qu'elle était totalement cohérente avec les métiers que vous cherchez à pratiquer"

approche par l'analyse des risques = analyser la menace qui pèse spécifiquement sur le SI concerné, et mettre en avant les événements redoutés qui peuvent survenir
"on est plus dans un consultant"
plus adaptée aux systèmes complexes, soumis à des menaces significatives

le risque cyber doit être gouverné et donc mesuré, objectivé, piloté

axes liés à la gouvernance du risque cyber (Salmon 2020) : sensibilisation, management, homologation, documentation, veille et audits du marché (= intelligence économique), etc.

la méthode EBIOS a été développée en cohérence avec les normes existantes : ISO 31000 (gestion des risques), ISO/IEC 27001 (exigences pour un système de management de la sécurité de l'information) et 27005 (gestion des risques de sécurité de l'information, visas de sécurité de l'ANSSI...
"c'est pas les documents les plus sympas à lire"

EBIOS : temporalité par ateliers, "c'est très subjectif à mon sens"

pyramide de management du risque numérique

Atelier 1 : cadrage et socle, vise à identifier :

l'objet de l'étude
les participants aux ateliers
le cadre temporel
les événements redoutés
la gravité des événements
les impacts des événements
"c'est une état des lieux, on n'a pas besoin de le refaire ensuite"
correspond aux 2 premiers étages de la pyramide

Atelier 2 : sources du risque (SR) - et objectif visé (OV) par la source (= l'attaquant)
"normalement si vous avez bien travaillé, au moment de revenir aux sources du risque, soit elles auront disparu, soit elles seront grandement atténuées"
les couples SR/OV jugés les plus pertinents sont conservés

Atelier 3 : scénarios stratégiques = chemins d'attaque de la source du risque
Atelier 4 : scénarios opérationnels, en fonction du niveau de vraisemblance ("vous n'allez pas faire un scénario opérationnel sur un risque de chute de météore sur la fac")
Atelier 5 : réunir tout ce qui a été mobilisé dans les ateliers précédents (synthèse des risques, stratégie de traitement, mesures de sécurités, risques résiduels)

"vous allez cibler ce qu'il faut mettre en œuvre dans le cadre des problématiques associées à votre sujet, en mobilisant de la littérature"

l'atelier 1 dure 3 séances dune demi-journée
"le plus compliqué c'est souvent la coordination des individus"

définir le cadre de l'étude : présenter le projet, identifier les participants (matrice RACI), donner un cadre temporel
"ça influencera le budget qu'on vous accordera, il faut bien vendre le projet"
définir le périmètre métier et technique de l'objet étudié : sélectionner les valeurs métier (= patrimoine informationnel de l'entreprise) les plus pertinentes et/ou sensibles
"définir ces valeurs métier c'est très important, c'est sur ça qu'on s'appuiera ensuite"
ex. de valeurs métier pour une société de biotech fabriquant des vaccins = R&D (processus), fabriquer des vaccins (processus), traçabilité et contrôle (information)....
identifier les événements redoutés (ER) et leur gravité
ces ER peuvent être liés à : indisponibilité, intégrité, confidentialité, traçabilité... de la valeur métier, et qualité du service ("des exemples il y en a des tonnes, ça ce sont juste les 5 grandes catégories")
niveau de gravité : de G1 à G4
déterminer le socle de sécurité : règles, normes, réglementations en vigueur
code couleur d'application (rouge = non appliqué, orange = appliqué avec restrictions, vert = appliqué sans restriction)

l'atelier 2 dure 2h à 1 journée de travail

Identifier les SR et les OV
SR = activiste, concurrent, cyberterroriste...
OV = divulgation au grand public ("des vidéos de tests animaliers..."), espionnage, altération de la production
Évaluer les couples SR/OV
critères d'évaluation : motivation pour atteindre l'objectif, ressources, activité
Sélectionner les couples SR/OV jugés prioritaires
privilégier les couples distincts les uns des autres et impactant différentes valeurs métier
3 à 6 couples SR/OV suffisent pour élaborer des scénarios stratégiques

atelier 3 : 1 à 1,5 journée de travail

Construire la cartographie de menace numérique de l'écosystème et sélectionner les parties prenantes critiques (PPC) = susceptibles de constituer un vecteur d'attaque pertinent ("le maillon faible")
il s'agit d'inclure ce PPC dans l'élaboration des scénarios stratégiques, en effectuant une cartographie de menace numérique (dépendance/pénétration/maturité/confiance)
Élaborer les scénarios stratégiques ) réalistes, de haut niveau (procédé pour atteindre objectif)
quelles sont les valeurs métier que l'attaquant doit viser pour atteindre son objectif (événements redoutés) ?
doit-il attaquer les PPC de l'écosystème disposant d'un accès privilégié aux valeurs métier (événements intermédiaires) ?
Définir des mesures de sécurité sur l'écosystème = pistes de réduction (ex. réduire la dépendance à un sous-traitant)

atelier 4

élaborer les scénarios opérationnels : à structurer selon une séquence d'attaque-type
il est nécessaire de s'appuyer sur les scénarios stratégiques de l'atelier 3
"privilégiez la stratégie du moindre effort pour la SR"
évaluer leur vraisemblance : la gravité est évaluée lors de l'atelier 3
vraisemblance élémentaire de chaque action -> vraisemblance globale

atelier 5, "c'est un peu la même chose que le principe de la LOLF : d'année en année, l'État reprend la même structure, rejuge ses indicateurs pour voir ce qui a évolué"