Dans le cadre de la Réserve Citoyenne Cyberdéfense, j’ai eu la chance de rencontrer Stéphanie Aubert, consultante en Intelligence Economique. Stéphanie a lancé son propre cabinet AS Conseil ! Si vous êtes intéressés, n’hésitez pas à la contacter par mail ou via son compte Twitter @ChanelPhanette.
Le pilier défensif de l’Intelligence Economique repose sur la sécurité de l’information, protéger le patrimoine informationnel de l’entreprise. Cela m’a semblé intéressé d’en parler ici (surtout que j’ai travaillé 3 ans dans un cabinet de conseil en intelligence économique).
En tout cas, merci à Stéphanie de s’être prêtée au jeu !
Bonjour Stéphanie. Peux-tu te présenter en quelques mots et nous parler de ton parcours professionnel ?
Stéphanie Aubert – J’ai 32 ans et je viens de créer ma société de conseil en intelligence économique et juridique. Mes parcours universitaire et professionnel sont marqués par deux choses : la passion et les hasards de la vie. Après des études littéraires (un bac L et les classes préparatoires Hypokhâgne et Khâgne), j’ai rejoint l’Université de droit de Panthéon ASSAS. Choisir l’université me permettait d’exercer librement l’équitation à haut niveau. Ce fut là le premier hasard car il faut reconnaitre que les matières enseignées ne me plaisaient guère. J’ai continué jusqu’en Master 1 (anciennement la maîtrise) avec une spécialité droit privé mention sciences criminelles. Un autre hasard m’a alors conduite jusqu’au Master 2 de droit et stratégie de la sécurité en partenariat avec l’EOGN (école des officiers de la Gendarmerie Nationale). Ce fut d’autant plus un hasard que c’est un Master de droit public. J’ai travaillé à ce moment là sur le thème de l’ennemi en prenant comme métaphore la guerre en Irak. J’ai intégré l’année suivant l’IERSE où j’ai alors découvert l’intelligence économique et la gestion de crise.
Mais en parallèle de cette formation, je faisais le choix d’entrer en thèse pour continuer la réflexion entamée avec mon mémoire enrichie de ce que j’apprenais à l’IERSE et des nouvelles formes de confrontation. J’ai donc la chance d’être juriste en droit pénal mais également de faire une thèse en droit public et sciences politiques.
En plus, j’ai donc donné des TD et des cours magistraux dans différentes universités : UPEC, ASSAS, Lyon III. Cela fait maintenant 6 ans et c’est toujours un vrai plaisir que d’enseigner. A cela s’ajoute un travail de recherche important : articles, colloques, conférences. La formation est donc au cœur de mon parcours.
Voulant confronter ma version théorique au monde opérationnel, j’ai fait le choix de la SNCF. C’est un groupe que je connaissais bien pour avoir travailler au sein de la Direction juridique. Cette fois-ci, je me suis tournée vers la Direction de la sûreté et le hasard a voulu que son ancien directeur adhère au projet et comprenne ma démarche. J’ai donc été chargée de faire l’état des lieux de ce qui se fait dans l’entreprise en matière d’intelligence économique. A partir de cette remise à plat, j’ai proposé une nouvelle structure, des principes de fonctionnement et de nouveaux axes de travail. Ma mission s’est terminée en mai 2013 et depuis j’ai décidé de créer ma propre structure de conseil.
Pour le surplus, j’ai l’honneur d’être officier dans la Réserve citoyenne de la Gendarmerie Nationale et intégrée dans le réseau cyberdéfense.
Beaucoup de gens parlent d’intelligence économique. Mais beaucoup racontent n’importe quoi. Peux-tu nous expliquer en quoi l’IE est finalement indispensable à toute organisation ?
SA – La première chose que j’ai faite en prenant mes fonctions à la SNCF a été d’associer sur Google : SNCF et IE. En regardant juste les résultats concernant les personnes, je me suis rendue compte que beaucoup disaient faire de l’IE dans ce groupe sans véritablement en faire tandis que d’autres en faisaient sans le savoir. En partant de ce résultat, j’ai fait le constat suivant : l’IE est à la mode mais personne ne sait vraiment ce qu’il faut mettre derrière.
Je suis d’accord avec l’idée qu’il est séduisant de s’afficher comme étant responsable de l’IE ou encore expert car il y a derrière, tout l’imaginaire fantasmé de l’espion : de 007 aux barbouzes en passant par Mister Q.
Mais ce n’est pas du tout ma version de cette pratique consistant à rendre les organisations plus fortes. Je n’ai ni la prétention de ressembler à un James Bond féminin ni la capacité d’inventer le gadget du futur. J’ai une vision plus simpliste de l’IE puisque ce n’est qu’une somme de pratiques de bon sens et d’évidences à mettre en place et ce pour n’importe quelle structure. C’est une erreur de vouloir complexifier la matière ou de vouloir la rendre opaque et secrète. Je crois au contraire en la formation, au bon sens humain et à la circulation de l’information et de la connaissance. En ça, je privilégie le dialogue, l’ouverture d’esprit et la curiosité. Nous savons que la première faille est l’humain, rendons le plus fort.
Je vois donc 3 raisons de se mettre à l’IE : la protection, l’envie d’être fort sur un segment donné et la volonté de le rester. Or ces 3 points sont indispensables pour toutes les organisations : associations, collectivités, entreprises. La question n’est donc pas de mieux vivre dans un environnement donné mais bien de survivre dans un contexte où les menaces sont polymorphes. Chaque type d’organisation est donc concerné.
Tu as lancé très récemment ton entreprise et tu vises particulièrement les PME. Quelle est ta vision de l’IE pour les PME et comment arrives-tu à les convaincre d’adhérer à cette démarche et à les aider ?
SA – Effectivement, mon offre de service s’adresse en priorité aux PME car les grands groupes ont déjà leurs propres cellules composées d’anciens préfets, policiers ou gendarmes.
Je crois qu’il faut dédramatiser et rendre plus accessible l’IE pour les PME. L’offre doit correspondre aux besoins du client tout en ne perdant pas de vue les trois leviers d’action : la protection du patrimoine informationnel stratégique, la veille et l’influence. Au final, rien d’insurmontable, même pour une petite structure. Ainsi le contenu va être le même mais c’est l’organisation et le discours qui vont être différents selon que l’on s’adresse au dirigeant d’une PME ou au patron d’une entreprise du CAC 40.
Etre reconnu et vouloir être gagnant sur un secteur donné signifie être visible et exposé. Or les PME sont des proies faciles. Je viens donc en renfort pour minimiser l’impact du danger. Mais le pari est réussi quand elles anticipent les coups. Il l’est d’autant plus quand elles parviennent à voir venir les opportunités. A ce moment là, la démarche est un succès car on ne situe pas exclusivement sur l’aspect défensif. Les PME ont donc tout intérêt à investir dans l’intelligence économique car elles peuvent gagner beaucoup.
La méthode pour parvenir au succès n’est pas écrite dans le marbre et elle diffère suivant plusieurs critères. Je commence en règle générale par un audit. Mais je ne crois pas à une lecture unique imposée par une grille pré établie. Je fais du conseil individualisé. Je passe donc du temps à observer, à écouter. Je cherche ensuite à faire prendre conscience aux dirigeants des forces et des faiblesses de la structure. C’est toujours plus fort quand ce sont les dirigeants qui mettent les mots sur les vulnérabilités plutôt que moi. Je parviens à ce résultat par des exercices participatifs car une bonne démarche d’IE doit impliquer la structure dans son ensemble.
Une fois, l’audit terminé, vient le temps des préconisations adaptées à la taille de la structure, à son agencement managérial, à ses contraintes externes et internes. Je ne m’arrête pas là puisque une politique d’IE ne se cantonne pas à des règles à suivre. J’assure également un suivi régulier convenu à l’avance avec l’équipe dirigeante. Dans le même temps sont mises en place des formations programmées en fonction de l’entreprise. Je mise beaucoup sur l’accessibilité et la disponibilité pour y arriver.
La cybersécurité devient un enjeu majeur pour les PME/PMI françaises. Même s’il reste encore beaucoup de chemin pour les convaincre des risques qui peuvent peser contre elles. En quoi, l’intelligence économique et la sécurité informatique peuvent elles être complémentaires ?
SA – Je dirais simplement que la cybersécurité doit être incorporée dans une politique globale d’intelligence économique. Si on part du principe que l’intelligence économique a pour mission, entre autres, de protéger le patrimoine informationnel d’une structure, il est logique d’y inclure la protection des SI. Ils recèlent de données stratégiques, de savoir-faire qui ne peuvent passer en aucun cas entre les mains d’un adversaire ou d’un concurrent. Rappelons à ce titre, que la jurisprudence tend à reconnaitre le vol immatériel depuis le jugement rendu dans l’affaire ROSE du 26 novembre 2011.
De plus, une cyberattaque ou à moindre échelle un incident peuvent avoir des répercussions sur l’image, sur la réputation ou le fonctionnement d’une entreprise.
Justement, l’intelligence économique apporte des correctifs à ces problématiques lorsque l’action malveillante n’a pas pu être évitée ou prévue.
Je vois trois autres points communs :
- Le premier est certainement le besoin d’anticipation. En effet, l’intelligence économique a pour mission la prévision des menaces et des opportunités pour une structure. Alors que dans le même temps, la cybersécurité se veut proactive en pensant les parades pour lutter contre des attaques futures. Elle a vocation à anticiper les coups. En cela, la cybersécurité s’attaque aux faiblesses pour rendre un système plus fiable et plus fort. L’IE partage cette vocation même si au-delà, elle analyse les chances d’évolution et de rayonnement d’une entreprise. Dans les deux cas, malheureusement, on y a recours après une attaque ou une perte importante. Ce sont dons deux démarches qui reposent le plus souvent sur un échec. C’est là une lacune commune.
- Le second, est le fait que les deux sont le résultat de politiques décidées par les dirigeants et portées par toutes les instances managériales. Elles nécessitent toutes les deux, une adhésion de tous les employés par le biais de sensibilisations et formations.
- Enfin, dans les deux cas, je prône une approche basée sur l’humain et non pas exclusivement dédiée à la technique. Ce sont deux démarches de réseaux en réseaux. Les deux se veulent inter actives et collaboratives. Il y a donc un lien à faire entre l’intelligence collective et le web 2.0. En effet, aujourd’hui l’information n’est plus exclusivement produite par les autorités inversant alors la logique traditionnelle. L’intelligence économique intervient donc pour façonner et rendre intelligible ce nouveau cycle de l’information. . Un autre levier de l’intelligence économique est l’influence. Là encore, certaines formes d’hacktivisme peuvent jouer un rôle. Les blogs peuvent être une arme stratégique de diffusion de l’information, d’où l’important de sécuriser ses données.
L’intelligence aurait donc bien tort d’ignorer cette nouvelle façon de communiquer mais elle ne peut s’en servir qu’en la maitrisant. Le point sensible d’intervention de l’intelligence économique est alors centré sur la protection et la réputation.
L’intelligence économique est un domaine à la réputation sulfureuse et comme le renseignement, il attire les fantasmes et caricatures. Beaucoup l’assimilent à de l’espionnage industriel. Comme en cyber, la question de l’offensif est souvent tabou. Pour toi, qu’est ce que l’offensif en IE ? Comment expliques-tu aux organisations les limites légales à ne pas dépasser ?
SA – Il est vrai de souligner la réputation sulfureuse de l’IE et je déplore l’assimilation à l’espionnage. Cela étant, je la comprends car le terme d’intelligence est négativement connoté par sa conception anglaise de renseignement.
Comme dans tous les métiers, il y a des pratiques déviantes. Elles sont traitées par la justice et deviennent des cas d’école comme étant des exemples à ne pas suivre.
Pour moi, l’offensif n’est pas tabou et la raison est simple : je suis avant tout juriste et ma pratique de l’IE est avant tout juridique. Je milite d’ailleurs pour l’émergence d’un droit de l’intelligence économique. D’ailleurs, le 18 avril 2012, l’Ordre des avocats de Paris, le Conseil National des barreaux et la Délégation interministérielle à l’intelligence économique ont signé deux conventions de partenariats pour sécuriser le patrimoine matériel et immatériel des entreprises et de leur environnement.
Faire de l’offensif est possible dans les limites du légal et bien plus, il s’agit d’agir sous la protection du droit. On peut être agressif dans les limites imposées par le Code pénal. L’offensif en matière d’IE peut être défini comme étant toute technique tournée vers l’extérieur de l’entreprise et non plus uniquement d’avoir une posture interne de protection.
Les actions prospectives sont simples. D’une part, il suffit de collecter l’information grâce aux sources blanches et grises par le biais d’un système de veille performant. Cela permet d’avoir un coup d’avance sur l’adversaire et de modeler l’environnement à son offre. Il convient dans un second temps de définir une stratégie de présence via une matrice stratégique. Cela passe par une communication ciblée et orientée aussi bien dans les médias traditionnels que sur les nouveaux vecteurs de puissance via internet comme les réseaux sociaux ou les blogs.
D’autre part, l’information peut se trouver par d’autres biais. Entre en scène le facteur humain. Il s’agit d’être offensif en étant attentif à celui qui nous oppose. Ce sont les techniques d’ingénierie sociale, de perception management ou de PNL. Ce n’est qu’une question d’observation de la personne humaine et non de manipulation. Nous sommes donc dans un cadre légal. L’éthique et la déontologie sont alors fondamentales puisqu’il s’agit uniquement de surfer sur les failles visibles de l’humain. 80% des données sont divulguées par un membre du personnel, il n’y a donc à mon sens pas besoin de pratiquer l’espionnage. C’est pourquoi, je mise beaucoup sur l’humain pour le rendre moins vulnérable car c’est bien lui le premier facteur de risque avec ses négligences et ses faiblesses. La bonne offensive passe donc par une bonne culture défensive.
Enfin, l’influence des acteurs économiques et juridiques est perçue comme un levier du caractère offensif de l’intelligence économique. Cela n’a rien de choquant si on ne confond pas lobbying avec corruption ou trafic d’influence. Il s’agit d’avoir en amont une capacité à mettre en œuvre des concepts opérationnels. L’influence intervient alors pour imposer ces concepts et rendre malléable le droit mou ou soft law. C’est au final rendre l’environnement compatible avec sa propre offre et non l’inverse.
Merci Stéphanie et bonne chance pour ton nouveau défi professionnel !
Le sujet est intéressant, mais à la lecture de cette interview, je trouve que cela reste très nuageux. Autant la cybersécurité (et les comportements associés, auxquels ils faut former les collaborateurs) est un domaine concret à mes yeux, autant les autres sujets me semblent un melting pot plus ou moins indigeste de lobbying et de communication, saupoudrée d’une fine couche de mystification.
Loin de moi l’idée de dénigrer l’expertise de la personne interviewée, mais j’ai quand même l’impression que ce n’est qu’une activité de niche qui surfe sur la vague de la cyber-paranoïa ambiante, plus que sur un véritable enjeu, pour les PMEs en tout cas.
pour Madame Stéphanie Aubert
en ce début d’année je vous présente tous mes meilleurs voeux
suite à votre excellente conférence à UTA de Lyon sur la Guerre économique un conflit normal pour les entreprises, pourriez-vous me retourner vos slides afin que j’en revoie la pertinence, alors que ceux-ci ne sont pas encore accessibles sur le site de UTA?
d’avance, merci et bravo
bien cordialement
Je l ai eu en chargée de td y a 4 ans! Un vrai tyran, mais elle est geniale cette Stephanie.
Jai pas tout lu : la flemme. Mais bravo.
Un admirateur