Quatre techniques pour l’intelligence économique active

2 avr 2010

Elle passe par l’adaptation des pratiques de communication, et d’une prise en considération des risques de cette diffusion, à tous les niveaux de l’entreprise.

Ainsi, comment des analystes externes à une entreprise peuvent-ils s’informer sur les capacités techniques d’une entreprise, sur ses projets en cours ou à venir, sans jamais orienter quelconque investigation vers les systèmes informatiques de cette même entreprise ? Plusieurs pistes sont envisageables.

Une première méthode consiste, pour l’analyste, à ausculter les offres d’emploi émises par l’entreprise ciblée. Ces offres recèlent une double information : tout d’abord, les domaines de compétence sur laquelle l’entreprise accroit ses activités, ensuite, les caractéristiques même des services que l’entreprise développe, révélées par les compétences exigées dans les offres d’emploi.

Une seconde méthode consiste à analyser l’évolution des contrats et conditions générales de vente produites par l’entreprise. Ces contrats sont révélateurs de nombreuses informations, y compris, et surtout, des faiblesses potentielles de l’entreprise, ces contrats servant notamment à écarter des risques commerciaux avec les clients, fournisseurs et partenaires.

Cette analyse potentielle est grandement facilitée par l’obligation légale formulée à l’article L441-6 du Code de commerce : « Tout producteur, prestataire de services, grossiste ou importateur est tenu de communiquer ses conditions générales de vente à tout acheteur de produits ou tout demandeur de prestations de services qui en fait la demande pour une activité professionnelle ».

Une troisième pratique porte à détailler l’ensemble des CV des employés et ex-employés travaillant, ou ayant travaillé, au sein de l’entreprise ciblée. L’information diffusée au travers des CV des employés est difficilement contrôlable pour l’employeur. En effet, la constitution du CV est purement le fait de l’employé, et non celui de l’entreprise. Conséquence immédiate : de nombreux employés n’hésitent pas à enrichir et détailler les compétences et projets réalisés au sein de leur entreprise, laissant également fuir des informations cruciales sur les activités internes de la société ou sur ses équipements.

Une quatrième méthode s’appuie sur l’analyse des références publiées par les sous-traitants et partenaires, en lien avec la société auscultée. Ces références se résument bien souvent à l’utilisation d’un logo, et de la mention du nom de la société, mais elles peuvent aussi prendre l’apparence « d’études de cas », qui sont généralement riches en information techniques et commerciales.

La fuite de ces informations n’est pas le fait de faiblesses inhérentes aux systèmes informatiques des entreprises.

La sécurité de l’information est organisationnelle, et elle peut s’appuyer sur des techniques issues de la sécurité informatique pour renforcer son efficacité. Une société peut mettre en œuvre des outils d’analyse du web, à la recherche de mots clefs qui feraient ressortir un signal d’alarme si un certain contenu dépasse le nombre de mots-clefs sensibles autorisés, de la même manière que les systèmes de détection d’intrusion rapportent les contenus malveillants et potentiellement dangereux.

De même, les procédures organisationnelles relatives à l’utilisation des ressources informatiques, visant à renforcer la sécurité des systèmes d’information, pourraient aussi s’adapter au domaine du contrôle de l’information : sensibilisation des salariés, mise en garde quant au contenu diffusé, et l’adhésion à des chartes sont des outils potentiels pour réduire le risque des fuites d’information.

La maîtrise de l’information publique ou grise est donc un enjeu pour les grandes entreprises. C’est pourquoi, à l’instar des sociétés spécialisées dans l’externalisation de la protection informatique, émergent des sociétés spécialisées dans l’externalisation de l’analyse de l’information publique ou semi-publique, dont les services sont proches de celles proposant un contrôle de l’e-reputation.

Ces prestations de services sont toutefois mal comprises des grandes entreprises, notamment du fait que leur valeur ajoutée n’est pas clairement définie. Nous sommes plus proches, ici, des services d’assurance que de services de création de valeur ou  innovants.

Fabien Kerbouci

Pas encore de commentaires.

Laisser une réponse