2 ème partie du magazine
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

2 ème partie du magazine

on

  • 720 views

 

Statistics

Views

Total Views
720
Views on SlideShare
720
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

2 ème partie du magazine Document Transcript

  • 1. Stratégie et décision Le pilotage stratégique et l’intelligence de situation Dépassant la simple fonction de surveillance des environnements, la pratique de l’Intelligence Economique épouse une certaine forme de dextérité mentale pour assurer sa fonction d’éclairage stratégique, nécessaire au management de l’incertitude. Cette forme d’intelligence Daniel Tartonne de situation, ce mode du connaître, fait référence à un type de pensée Coordinateur du programme d’Intelligence Economique et Territoriale au sein du WTC-Lyon. Conférencier dans très bien décrit dans la mythologie de la Grèce antique. les cycles nationaux d’IES à l’Institut des Hautes Etudes Dès lors, pour avoir prise sur une situation constamment changeante, de la Défense Nationale. comment faut-il piloter la stratégie de l’entreprise afin qu’elle soit tartonne@regards-intelligence-economique.com réceptive à toutes les alternatives et qu’elle ne cesse de s’ajuster, si elle veut triompher là où il n’existe pas de règles préétablies pour obtenir le succès ? La réponse tient en deux propositions : pilotage stratégique et intelligence de situation. Cette rubrique “ S t ratégie et Décision” a pour ambition de La Mètis du Stratège rusée exprimée par chacun d’eux de décrire les techniques d’intelligence manière particulière. Prenons l’exemple économique permettant d’optimiser La Mètis des Grecs, ou “intelligence de du poulpe, qui symbolisait l’insaisissa- les processus décisionnels des entre- la ruse”, impliquait une série d’attitudes bilité par poly m o rphie. Il était décrit prises et des collectivités. De grands mentales combinant l’intuition, la sagacité, comme furtif, se développant en mille la prévision, l’attention vigilante, le noms de l’intelligence économique membres agiles : les entreprises configu- sens de l’opportunité et la dextérité m’aideront, par ailleurs, dans cette rent des alliances pour déployer leur cognitive. Engagée dans le devenir et influence et cultiver l’effet de surprise sur perspective. l’action, cette forme de savoir conjectural leurs marchés. Ensemble, nous aborderons diffé- s’appliquait à des réalités mouvantes, à Pour tromper son ennemi, le poulpe rentes approches méthodologiques des situations ambiguës ou inédites dont dispose d’une arme infaillible : l’encre. favorisant la manœuvrabilité, l’in- l’issue était toujours suspendue : les Ce voile lui permet à la fois d’échapper fluence et l’agilité des organisations, contextes de marché que doivent doréna- à la prise de ses victimes et de capturer pour répondre aux niveaux d’exi- vant affronter les Dirigeants d’entreprise ses adversaires, comme dans un filet. À ge n c es imposés par la complexité répondent pleinement à ces fa c t e u r s . travers cette nuée, le poulpe est le seul à croissante des environnements, par L’intelligence rusée assurait sa prise sur savoir tracer son chemin, indétectable, les événements par ce qu’elle était capable l’intensité de la pression concurren- déstabilisant les scénarios attendus ou de prévoir, par-delà le présent immédiat. tielle et par les nouvelles formes de les situations anticipées : les opérations Vigilante, sans cesse sur le qui-vive, la de contre-intelligence et les voiles infor- déstabilisation. Mètis disposait de toutes les qualités mationnels propagés par les entreprises, Nous explore rons également la d’une intelligence qui doit, pour se rendre dans le but de dissimuler leurs intentions m a n i è re dont les techniques insaisissable et pour dominer des réalités à leurs compétiteurs, cultivent cet effet. d’intelligence économique peuvent fluides ou mouvantes, se montrer toujours Le modèle d’intelligence proposé par les optimiser certaines activités clés de plus ondoyante et plus polymorphe que Grecs antiques se caractérisait également l’entreprise (marketing industriel, les situations auxquelles elle était par le thème du lien. Le poulpe est un planification stra t é g i q u e, Risk confrontée : “l’enjeu de l’Intelligence nœud de mille bras entrelacés ; toutes m a n a ge m e n t , m a n a gement de Economique consiste en la faculté de les parties de son corps sont des liens compréhension et d’adaptation à l’innovation, …). qui enserrent tout et que rien ne peut un environnement économique en Enfin, nous étudierons les disciplines saisir. Ce lien vivant qui se plie, se mutation permanente”, comme le déplie, s’ajuste avec flexibilité et vitesse, managériales dont l’intellige n c e souligne Bernard Besson. traduit également la forme d’intelligence économique peut s’inspirer pour des organisations qui déploient leur renforcer son impact au sein des La Mètis animale décrite par le réseau pour manœuvrer sur les marchés, organisations. Poète Oppien (Les halieutiques, déjouer les barrières d’entrée, activer Chant second), rayonnait à travers des leviers d’influence ou semer la certains animaux ; intelligence confusion. 26 regards sur l’IE - N°1 - Janvier/Février 2004
  • 2. Le filet, invisible réseau de liens, était Exploiter le potentiel de situation a cartographié les rapports de forceune des armes préférées de la Mètis des La complexité croissante des environne- entre les différents types d’acteursGrecs : c’est par le filet que Pittacos tri- ments ne nous permet plus d’appliquer des (rivalité avec les concurrents titulaires-omphe de Phrynon, que Clytemnestre plans opérationnels dressés d’avance, directs, menace des nouveaux entrants,immobilise Agamemnon, qu’Héphaïstos traduisant un modèle stratégique convoité. pouvoir de négociation des clients,emprisonne Aphrodite et Arès (d’aprèsles écrits de Eschyle et de Homère). Lefilet a la forme la plus fluide, la plusinsaisissable et aussi la plus déroutante : ilassocie la souplesse du lien à la puissancedu cercle, que sa rotation rend mobile etmouvant. Le filet, ce réseau polymorphe de liens,est capable d’échapper à tout pièged’encerclement et apte à saisir tout cequi représente une opportunité : lesentreprises tissent, trament, tressent despartenariats multiples pour disposerd’un corpus agile et insaisissable.La Mètis employait des stratagèmes afind’inverser les règles du jeu dans lesé p r e u ves de force. Intelligence à l’œuvre Figure 1 : Les acteurs et les forces d’intervention sur le marché. Daniel Tartonne d’après Michael Porter.dans le devenir, en situation de lutte, laMètis revêtait la forme d’une puissance En effet, les interactions concurrentielles menace des offres de substitution, pouvoird’affrontement, usant d’adresse pour et les frictions opérées par les forces de négociation des fournisseurs, desagir de manière bigarrée. d’interventions sur le marché décrivent distributeurs…). À ce modèle, ajoutonsS’orienter dans le monde du changement un environnement économique qui vit et les forces qui interfèrent sur le marché :et de l’instabilité, maîtriser le devenir en réagit, qui se dérobe à tout plan préétabli. les interventions politiques, réglementairesjouant de ruse avec lui, nécessitait aux Le Dirigeant stratège doit donc disposer et juridiques ; l’évolution des matériaux,yeux des Grecs antiques, que l’intelligence d’une lecture dynamique, car l’entreprise des procédés et des technologies ; lessoit elle-même mouvance incessante. opère au sein d’un environnement qui ne tendances et la volatilité de la demande ;Elle présidait à toutes les activités où cesse de se transformer : il s’agit de penser les pôles d’influence et les groupes del’homme devait apprendre à manœuvrer et piloter la stratégie dans une logique de pression (organisations professionnelles,des forces hostiles, trop puissantes pour déroulement. ONG, associations…) ; les risques paysêtre directement contrôlées, sans jamais et les contraintes géopolitiques. Cetles affronter de face, pour faire aboutir Ceci confi rme que la stratégie repose sur ensemble interactif d’acteurs et de forcespar un biais opportun le projet que l’on une démarche d’information systémique, constitue un dispositif dynamique.a médité. favorisant un processus itératif d’inter-Elle n’était pas unique, mais multiple et prétation et de création de sens pour Au sein de ce dispositif, le stratège doitchangeante : telles les organisations éclairer et guider les prises de décisions. détecter les variables qui influencentétendues d’aujourd’hui. Sa souplesse, Et c’est, parce qu’elle a pour champ l’évolution en cours, de manière favorablesa malléabilité donnaient à la Mètis la d’application le monde du mouvant, du ou défavorable pour l’entreprise. C’estvictoire dans les domaines où il n’est pas, multiple et de l’ambigu, que la démarche pourquoi la surveillance de l’environne-pour le succès, de règles toutes faites, de d’Intelligence Economique vise à ment ne doit pas être globale mais c i bléerecettes figées, mais où chaque épreuve concentrer son attention sur le cours des sur les variables clés qui conduisent laexigeait l’invention d’une parade nouvelle, événements, pour déceler les variables à transformation du marché et quila découverte d’une issue cachée. l’œuvre dans la configuration que produisent les perturbations. Il convient composent les acteurs et les forces de réactualiser systématiquement cesLa pratique de l’intelligence économique d’intervention. axes de surveillance en fonction desdoit épouser cette configuration mentale Ainsi, le positionnement marché d’une paramètres émergents qui vont modifierpour aspirer à servir l’habileté entreprise se configure en interaction la configuration du dispositif et, parstratégique, nécessaire au management avec les acteurs et les forces intervenant conséquent, modifier le potentiel dede l’incertitude. sur son environnement. Michael Porter situation. 27regards sur l’IE - N°1 - Janvier/Février 2004
  • 3. Stratégie et décision Le pilotage stratégique et l’intelligence de situation Ceci exclut donc toute idée de prédéter- La technique des scénarios privilégie une apprécier l’impact ou l’incidence de mination du cours des événements, et démarche d’analyse intuitive et structurée. certaines variables, et limiter la prise de consiste à créer les conditions visant à Son but : stimuler la créativité des risque dans les actions qui engagent appréhender les différentes alternatives. Décideurs en situation d’arbitrage. l’avenir de son entreprise. C’est enfin un excellent processus pour remettre en cause les idées reçues, et permettre au stratège de confronter ses convictions, ses intuitions et sa perception des enjeux avec la réalité de son marché. Cependant, l’écoute active de l’environ- nement économique doit aussi être conjuguée à l’inventaire des ressources détenues par l’entreprise, pour décrire pleinement le potentiel de situation dont peut disposer le stratège. Ceci permet d’apprécier comment l’entreprise peut concrétiser ses intentions stratégiques, en fonction de ses capacités, de ses performances et de ses vulnérabilités. Les ressources constituent l’arsenal concurrentiel que l’entreprise peut activer en termes d’adaptabilité, de manœuvra- bilité et d’agilité afin de saisir les opportunités ou parer aux situations à Figure 2 : Un arsenal concurrentiel générateur de compétitivité. Daniel Tartonne. risque (figure 2). Pour avoir prise sur une situation Tous les acteurs devant manager dans Par l’intermédiaire de ces mesures constamment changeante, la stratégie de l’incertitude, qu’ils soient pilotes de permanentes croisées (environnements l’entreprise doit rester ouverte à tous les chasse ou astronautes, utilisent les exerci- /ressources), le stratège peut finalement possibles et ne cesser de s’adapter : ces de simulation pour apprendre à tester s’appuyer sur les facteurs favorables grâce à sa malléabilité, elle triomphe là des alternatives ou à éviter des erreurs qu’il a su déceler dans le potentiel de où il n’existe pas de règles figées pour de jugement. Le Dirigeant stratège doit situation, laisser déployer leur puissance obtenir le succès. bénéficier de ce type de techniques pour accumulée en sa faveur, et les exploiter C’est pourquoi la notion de planification lutter contre ses rites décisionnels ou ses au travers des circonstances rencontrées : laisse dorénavant la place à la notion crispations stratégiques. Par l’intermé- nous quittons alors la logique d’un dappréciation rigoureuse des interactions diaire des scénarios, le Décideur peut modèle stratégique normé (Prévo i r- en présence et des évolutions possibles, évaluer le rendement de ses options, Planifier-Agir-Contrôler) pour adopter afin d’être en capacité d’anticipation et une log iqu e d’opérer les ajustements stratégiques. de processus Mais anticiper ne consiste pas à prévoir rapide, flexible l’avenir, puisqu’il se dérobe à tout plan et à géométrie projeté d’avance et qu’il est en perpétuel variable (figure changement. L ’alternative est donc de se 3). préparer à un futur que l’on ne peut pas préfigurer mais tout juste explorer. La technique des scénarios répond à cette attente. Comme l’indique, Wayne A. Rosenkrans – Global Intelligence Director & Strategic Planning chez AstraZeneca Pharmaceuticals : “If you don’t plan for the future. You can’t have one !”. Figure 3 : Le triptyque du pilotage stratégique. Daniel Tartonne. 28 regards sur l’IE - N°1 - Janvier/Février 2004
  • 4. Configurer sa sphère d’influence 1- Le Noyau : Cest le marché des produits investit pour planter des jalons en prévi-Pour déployer son potentiel de puissance dont l’entreprise reçoit la plupart de ses sion d’opportunités à venir. Cette paradesur le marché, le Dirigeant d’entreprise revenus et de ses profits. L ’entreprise est permet d’éviter qu’un des principauxdoit pouvoir configurer ses avantages maître des règles du jeu sur son noyau. acteurs puisse détenir à l’avenir uneconcurrentiels et ses facteurs d’attractivité, C’est la partie qu’elle doit absolument position dominante, qui aurait poursans avoir recours à des affrontements préserver pour sa survie. C’est à la fois le conséquence de décaler léquilibre desdirects, générant des lésions et pouvant “core market” et la zone d’influence géo- forces sur le marché ou sur une zoneprovoquer le chaos. S’il veut manœuvrer économique où s’assoit sa suprématie. géographique. Elles sont employéesavantageusement au sein de son envi- 2- Les Intérêts vitaux : Cette zone se pour éviter par exemple qu’un acteur obtienne la mainmise sur des approvi-ronnement, il doit également tisser son compose des activités qui à elles seules sionnements capitaux, sur des canaux de système de pouvoir étendu, capitalisé au ne sont pas attrayantes par leur volume ou leur rentabilité, d i s t r i bution, sur un segment d’activité mais qui contribuent captif… à la position de l’en- 5- Les Positions vers lavant : Ce sont treprise sur son mar- des combinaisons de produit-marché, ché et à l’attractivité qui sont développées en partenariat avec des produits situés des acteurs exerçant dans d’autres dans la zone du secteurs, dans le but de disposer de noyau. Elles peuvent véritables “têtes de pont”, capables de favoriser lanticipation fournir un avantage critique par rapport de nouvelles préféren- aux concurrents directs. Elles peuvent ces des clients. Ce contribuer à accélérer l’entrée de sont soit des activi- l’entreprise dans des domaines techno-Figure 4 : La sphère d’influence : ou comment déployer son potentiel de tés/marchés intercon- logiques ou des zones géographiquespuissance et de suprématie ? Richard A. d’Aveni. nectés qui assurent le ciblées, pour prendre de vitesse ses succès du “cœur”, ou concurrents ou contrer la velléité detravers des liens composant son réseau soit des compléments indispensables. position dominante d’un produit ded’alliances : nous retrouvons les facultés Citons à titre d’exemples : l’approvision- substitution. Elles sont éga l e m e n tde la Mètis et son rôle dans les mythes nement de composants clés, les produits employées pour pacifier un contextede la souveraineté. dentrée, les savo i r- faire spécifiques d ’ a ffrontement potentiel en ay a n tLe modèle élaboré par Richard A. fournissant une offre d’appel, les presta- recours à une “business venture” ou uned’Aveni, Expert international en stratégie tions dédiées au prototypage… coopération tacite.concurrentielle, permet d’illustrer la mise 3- Les Zones Tampon : Elles se composent La sphère d’influence permet auen pratique de ce pilotage stratégique. des activités qui rendent difficile à un Dirigeant stratège de façonner les activitésSelon ce modèle, l’entreprise agit concurrent une attaque de la position de de son entreprise sur une plate-forme àcomme une véritable tour de contrôle, l’entreprise sur son noyau. Cette zone “air- géométrie variable, dédiée au déploiementqui opère une surveillance active de son bag” permet d’endiguer une possible de ses avantages concurrentiels. Cetteenvironnement et engage son arsenal entrée ou expansion de la concurrence. modélisation permet de traduire lesconcurrentiel sur différentes focales Citons à titre d’exemple : les activités intentions stratégiques du Dirigeantd’intervention : cette configuration qui conditionnent les données d’entrées dans un cadre de cohérence qui favoriseconstitue la sphère d’influence, comme des clients, l’agr é gation de biens ou la furt ivité, la manœuvrabilité et l’écouteen témoigne le schéma ci-dessous… services dans un bouquet “bundling”, active pour dominer les réalités fluidesArticulé autour de 5 niveaux d’interac- les services plaçant le client en dépen- générées par l’environnement économiquetions, ce modèle est applicable tant par dance stratégique, les standards proprié- et concurrentiel.les Groupes que par les PME. Il utilise, taires…). Les zones tampons sont aussi Mes sincères remerciements à Philippe Clerc pourcomme la Mètis, la souplesse du lien et utilisées pour détecter les mouvements ses précieux éclairages.la puissance du cercle, favorisant la concurrentiels sur le marché, au travers Pour approfondir le sujet : > François Julien – Traité de l’efficacité - Editionsrapidité et la mobilité. des fournisseurs-partenaires intervenant Grasset & Fasquelle, 1996 ;La conduite de la stratégie passe par la dans la chaîne de valeur de l’entreprise. > Michael Porter – Competitive strategy – The Free Press, 1980 ;prévision et le contrôle des relations au 4- Les Zones pivot : Celles-ci se > Richard A. D’Aveni – Strategic supremacy – The Freesein de chaque niveau de la sphère composent des activités indirectes ou de Press, 2001 ; > Marcel Detienne & Jean-Pierre Vernant – Les ruses ded’influence : complément dans lesquelles l’entreprise l’intelligence – Editions Flammarion, 1978. 29regards sur l’IE - N°1 - Janvier/Février 2004
  • 5. Stratégie et décision Exportation ou transfert de technologie ? Michel BESSON Dirigeant de BEIC - Plaidoyer pour un savoir-faire Bureau Européen d’Informations Commerciales - besson@regards- La stratégie de croissance de bon nombre d’entreprises s’articule autour du intelligence- economique.com développement de leurs produits ou des leurs prestations à l’international. Le ou les pays convoités sont alors ciblés par étude de marché et analyse de la concurrence. Au terme de cette première étape, les modalités d’implantation restent à définir : En collaboration avec : faut-il créer une filiale commerciale sur place ou trouver un distributeur ? Laetitia SARRAZIN, Comment trouver un distributeur sérieux et impliqué ? Les barrières à franchir Consultante du Cabinet Vaucher-Tisseront et les autres contraintes ne sont-elles pas trop pénalisantes : droits de douane, François Tisseront, frais et conditions de transports, quotas d’importation, risques financiers, coûts Consultant de protection, différences de langues et de culture… L’analyse de ces surcoûts par rapport à la fabrication locale conduit parfois à conclure à limpossibilité dexporter, mais faut-il renoncer pour autant ? Une solution : A qui s’adresser ? le transfert de technologie Notre volonté d’ouvrir nos colonnes Le transfert de technologie n’est pas un aux PME nous amènera à traiter Envisager un transfert de technologie exercice facile. Il est vivement conseillé des cas de TPE car l’intelligence est une solution inquiétante au premier de s’appuyer sur un professionnel, économique n’est pas l’apanage des abord. Elle permet à d’autres, pourquoi conseil dans le domaine. Le cabinet plus grands. La prise de décision est pas concurrents, de s’approprier un “Vaucher-Tisseront (1)” implanté dans la une prérogative commune à tous les savoir-faire, objet de plusieurs années région lyonnaise depuis presque 25 ans dirigeants. de recherches et d’investissements, avec accompagne ainsi les PME/PMI - et parfois un ou plusieurs brevets à la clé. parfois les grands groupes - à tous les stades de leurs projets de transfert inter- Ils pourront ainsi s’exprimer sur une La barrière psychologique peut être national de technologie. Le début d’une problématique, un fait marquant, franchie en considération des avantages mission consiste à s’interr oger sur une expérience digne de témoignage. de cette solution lorsque lexportation l’opportunité du transfert de technologie, Les exemples variés concern e ront des est difficile à envisager. Bien souvent, le qui doit être mené à bon escient et avec échecs ou des réussites, l’important choix dune entreprise locale déjà active le partenaire adéquat. étant de mettre en exergue la capacité dans le secteur concerné est privilégié à décider et à en tirer profit pour car elle maîtrise alors les coûts et L i n t e rv ’ ention de l’ex p e rt est déterminante l’avenir. connaît bien son marché. S’associer à en matière de valorisation du transfert un nouvel entrant sur ce métier comport e de technologie. “La tentation est grande, Aussi, notre rôle ne sera pas de des risques évidents. précise François Tisseront, pour les patrons de PME, de toucher du cash et juger mais d’attribuer à chaque cas, Le transfert de technologie permet au de passer à autre chose. C’est une err e ur, la place qui lui convient dans le partenaire de conquérir des parts de le cash doit rémunérer le passé, les dispositif d’intelligence économique, marché tout en acquérant un savoir- investissements, les années de recherche attestant des multiples facettes et faire. Il s’acquitte d’un règlement et de développement et la mise au intérêts de cette discipline. immédiat et paye des royalties sur les point. ventes réalisées. Nous ferons régulièrement appel Les redevances d’exploitation perm e t t e n t aux commentaires d’un expert. Cette f o rme de rémunération semble de rémunérer l’avenir”. Valoriser un préférable à une vente ferme et définitive savoir-faire et déterminer le montant des qui prive le vendeur de perspectives de redevances d’exploitation ne s’improvisent gains à long terme, toujours les plus pas. L’opération est complexe car l’ex p e rt intéressants. De plus, le transfert de est souvent contraint de reconstituer t e c h n o l og peut déboucher sur un ie tous les frais induits par la création d’un pa rtenariat d’ex p o rtation d’autres produits produit. La complexité est accentuée non concernés par un savoir-faire. lorsque des brevets ont été déposés. 30 regards sur l’IE - N°1 - Janvier/Février 2004
  • 6. Si les transferts de technologies sont Cette dernière situation n’est d’ailleurs transférée, représentera une participation porteurs de développement durable et favorable au licencié qu’en apparence, car légitime du concédant aux profits profitables sur les marchés internationaux, le concédant qui n’est pas suffisamment réalisés par le licencié grâce à cette ils doivent être menés en s’appuyant sur rémunéré pour son apport finit toujours technologie. les compétences d’un expert. par “abandonner” son licencié, en ne lui apportant pas l’assistance dont il peut Un chiffrage et un argumentaire de avoir besoin pour exploiter au mieux la négociation basés sur ces principes technologie. généraux et préparés avec professionna-LE CABINET VAUCHER-TISSERONT lisme conduisent toujours à des discus-Créé en 1979, aujourdhui dirigé par François Pour fixer conve n a blement la valeur sions constructives avec le futur licenciéTisseront, le Cabinet Vaucher-Tisseront est reconnu d’une technologie à transférer, il est et permettent aux deux partenaires decomme le meilleur spécialiste français de l’étude, de conclure dans un climat serein.la préparation et de la négociation d’opérations de important de prendre en compte d’une transfert de technologie international. part les raisons qui poussent le licencié à acquérir une technologie, d’autre part Le transfert de technologie : uneLes trois consultants du Cabinet Vaucher-Tisseront,rompus aux méthodes spécifiques d’approche de les conséquences économiques de ce autre façon d’exporterl’international par les transferts de technolog i e , choix. En choisissant d’acquérir une (Par Mademoiselle Laetitia SARRAZIN,conseillent et accompagnent chaque année dans de technologie plutôt que de lancer lui-même Consultante du Cabinet Vaucher-Tisseront)tels projets des dizaines d’entreprises industriellesfrançaises de toutes tailles et de tous secteurs d’activité. un programme de recherche et dévelop- pement, le futur licencié veut gagner du L’exportationIdentification des savoir-faire transférables, définitionde la stratégie du transfert, évaluation de la valeur temps et éviter les aléas de la recherche,financière des technologies à transférer, recherche et en supprimant à la fois le risque d’échec Avant même d’apparaître comme multi-validation des partenaires industriels, f ixation des technique et celui du “dérapage” budgé- nationale, l’entreprise se constitue et seconditions du partenariat et négociation des conditions développe sur une base nationale.de licence sont les prestations phares du Cabinet taire par rapport à une estimation initiale,Va u c h e r- Tisseront, validées par vingt-cinq ans dont on sait l’imprécision en matière ded’expérience. création d’innovation. En exploitant une A partir des usines installées sur son technologie fournie par le concédant, et territoire d’origine, elle diffuse sesCabinet Vaucher-Tisseront produits sur son marché domestique.8 rue des Frères Lumière justement grâce à cette technologie, le69330 Pusignan licencié réalisera un chiffre d’affaires C’est ensuite un réflexe naturel de vouloirTél. 04 78 31 30 32 supplémentaire, augmentera sa part de fabriquer plus et d’exporter vers lesFax: 04 78 31 30 56 marché, confortera ses positions et marchés étrangers.contact@vaucher-tisseront.com engendrera un profit additionnel. Il est de la sorte logique que la rémunération Traditionnellement l’exportation vers les pour le concédant reflète ces différents pays industrialisés, au niveau national concepts économiques : global, se présente comme un échange - le paiement “cash”, versé en général de spécialités ; tel pays a acquis une La valeur financière avant que la technologie d’une technologie à transférer ne soit transférée, (par François Tisseront, consultant) rémunérera le gain de temps et le gain de Le transfert de technologie n’est pas une risque que permettent science exacte ! Et chiffrer la valeur les eff o rts de recherche- financière d’une technologie à transférer d é veloppement déjà est un exercice bien délicat. Il s’agit réalisés par le concédant. pourtant d’une phase fondamentale de Le montant du paiement la préparation et de la négociation d’un cash sera alors une transfert international de technologie. fraction du coût support é par le concédant pour Une surestimation de cette valeur rendra développer la techno- la transaction impossible, en décourageant logie concernée. réputation internationale dans tel le licencié potentiel. Au contraire, une domaine et vend aux autres en achetant sous-estimation conduira peut-être à un - la redevance d’exploitation (“royaltie”), leurs spécialités : cognac français contre accord rapide, mais ne permettra pas au versée comme son nom l’indique au fur whisky écossais ! concédant de tirer de l’opération tout le et à mesure de l’exploitation industrielle Cette forme d’exportation est durable profit qu’il aurait été en droit d’attendre. et commerciale de la technologie mais sa croissance limitée. 31 regards sur l’IE - N°1 - Janvier/Février 2004
  • 7. Stratégie et décision Exportation ou transfert de technologie ? Plaidoyer pour un savoir-faire Par contre, l’exportation vers les pays Quant au bureau de liaison, il n’est autre peuvent être lourdes. De plus, l’entreprise en développement, par exemple les pays qu’une simple ambassade interdite doit supporter le risque de non-paiement d’Afrique, est le plus souvent un échange “d’affaires” dont les frais sont entièrement par le client. de produits finis contre des matières pris en charge par l’entreprise : cette premières, assorti le plus souvent d’un dernière les déduit de ses bénéfices L’importateur distributeur est dans tous appauvrissement du pays le moins comme de simples frais généraux. les cas une société indépendante qui développé. On ne peut admettre aujour- Un tel bureau ne se justifie que si un achète à l’entreprise et revend à la d’hui q’une telle situation puisse durer, lobbying s’impose ou s’il s’agit d’une clientèle de son territoire. la plupart des pays concernés, mettant à vente très technique qui nécessite la Il est souvent un écran entre l’entreprise juste titre dans l’industrie tous les présence dans le pays d’un technicien à et cette clientèle, ce qui prive d’une espoirs de se hisser au niveau des plein temps pour épauler les commerçants. part, les commerçants de l’entreprise de nations riches. la liste des clients et, d’autre part, les En ce qui concerne la succursale, celle-ci fabricants de l’entreprise de l’information Les formes de l’exportation fait partie intégrante de l’entreprise. capitale que sont les desiderata du marché. Cette formule peut poser des problèmes Le distributeur est seul à décider de la juridiques et fiscaux relativement L’exportation peut être approchée, mais marge qu’il s’octroie et peut, si les prix complexes puisque l’entreprise doit en avec méthode. Il existe plusieurs façons qu’il pratique sont trop élevés, restreindre e ffet faire face à deux législations d’ex p o rter : soit l’entreprise est elle-même la pénétration de l’entreprise sur le différentes et déclarer aux deux autorités directement présente sur le marché territoire et gâter l’image de marque. fiscales les profits globaux. étranger, soit elle intervient de façon indirecte avec un agent ou un distributeur. La filiale commerciale à 100 % est une Cet agent ou ce distributeur peuvent être société nouvelle, créée dans le pays des personnes tiers ou un accord de La présence directe sur un marché d’accueil et régie par le droit des sociétés j o i n t - venture purement commercial du pays en question. Les liens juridiques (plus rare cependant). La joint-venture Lorsque l’entreprise souhaite être présente entre elle et l’entreprise sont constitués commerciale offre à l’entreprise un droit directement sur le marché étranger qu’elle par le capital social dont l’entreprise de regard sur les activités de l’agent ou désire investir, elle peut choisir de ve n d re détient tout ou partie, et par les accords distributeur. De plus, cette formule directement ou alors traiter avec des commerciaux conclus ensemble. Cette remédie simultanément aux inconvénients représentants. Ces représentants sont en forme d’exportation permet le corps à du distributeur pur (coupure du marché) réalité des membres détachés du service corps avec le marché local, d’où une et à ceux de la filiale à 100 % (lourdeur commercial (les bureaux de liaison) ; ou meilleure pénétration. des coûts commerciaux du début). des bureaux de représentations (les Que l’entreprise traite avec un agent ou filiales commerciales ou encore des La présence indirecte sur un marché un distributeur, elle aura à contourner succursales). une fondamentale contradiction entre Si l’entreprise ne souhaite pas une les intérêts du partenaire local et ses La vente directe ne nécessite aucune présence permanente dans le pay s propres intérêts. Cependant, que l’on représentation commerciale dans le c i ble, elle peut choisir de traiter ave c choisisse une présence directe ou pays ciblé. L’entreprise ex p o rtatrice un partenaire local, soit un agent, soit indirecte, l’exportation a aussi ses limites. opère directement avec un acheteur sur un distributeur. place. L’agent est une sorte d’employé rétribué Les inconvénients de l’exportation à la commission. Même s’il agit En effet, la pénétration des marchés d’un commerçant extérieurs par les exportations se heurte indépendant, à un certain nombre d’entraves. Les l’agent est souvent frais de transport et les taxes douanières très protégé par sa ou autres (l’impôt sur les produits législation et les industriels (IPI), l’impôt sur la circula- indemnités de tion des marchandises et des services clientèle que (ICMS) ; l’impôt d’importation (IP)…) l’entreprise doit quand elles existent, grèvent le coût lui verser, en cas final des produits exportés. Les délais d e s é p a r a t i o n, de livraison induits par la distance, les 32 regards sur l’IE - N°1 - Janvier/Février 2004
  • 8. Dans une telle ILLUSTRATION transaction, le Jacques Valdenaire dirigeait l’entreprise familiale fabricant ne VA SYSTEM à La Bresse dans les Vosges. Seul au sein de sa structure en SARL, il était l’inventeur pourrait pas en 1990 d’une machine à bois (cadreuse volumé- vendre sans une trique) dont l’innovation consistait en un système notice, d’ailleurs de blocage sur la poutre supérieure. incluse dans le Bien inspiré, Jacques Valdenaire avait pris la précaution de breveter son système dans tous les prix du produit. pays d’Europe, au Canada et aux Etats-Unis. Dès que l’on Durant quatre années, il a commercialisé saréactions nationalistes des clients limitent parle d’un outil machine en France et à l’exportation. Sa présence sur des salons de Belgique et d’Allemagne lui a l’accroissement des parts du marché plus sophistiqué, comme une machine à permis de se faire connaître mais au prix d’unecontrôlable à partir des ex p o rt a t i o n s. traitement de textes, la notice insuffi- grande disponibilité et à des coûts prohibitifs.Ces différentes entraves enlèvent tout sante est remplacée par un stage de Aussi, lorsque le constructeur allemandespoir de compétitivité des produits lors f o rmation payant. A l‘échelle industrielle, LIGMATECH du groupe HOMAG, leader on retrouve une démarche analogue, à la mondial dans le domaine de la machine à bois,de leur arrivée vers les distributeurs frappe à sa porte, il est prêt à céder sa technologie.locaux. taille près, dans la vente d’une usine Le transfert de technologie s’impose naturellement.Finalement, une des façons les plus clés en mains. Jacques Valdenaire a connu les difficultés deefficaces de vaincre ces entraves est de les Dans tous ces cas, il y a transfert de l’exportation et souhaite trouver une solution technologie, mais partiel et accessoire. radicale mais intéressante financièrement.éviter en devenant soi-même producteur Il conclut un contrat de transfert de technologielocal par des opérations de transfert Il couvre seulement une infime partie avec les Allemands qui inclut le versement deinternational de technologie de la technologie et il est déterminé par royalties minimales avant la cession complète le seul souci du fabricant de vendre son des brevets. La force de ce contrat est de prévoir, produit parce que le marché concurrentiel en outre, des indemnités supérieures à la valeurLa définition du transfert dans lequel il se trouve est tel qu’il oblige des brevets en cas de non-paiement des royalties. De son côté, l’acquéreur a pu valider pendantde technologie le vendeur à négliger le coût de ce transfert. 4 années d’exploitation, l’intérêt de l’invention et aboutir finalement à un rachat total.Il convient dès à présent d’évoquer une Le transfert de technologie tel que nous L’entrepreneur et inventeur vosgien est satisfa i tconfusion sérieuse qui plane sur le l’entendons vise à rentabiliser la tech- de son opération. Les royalties lui ont remboursé nologie en faisant fabriquer son produit ses années de recherche et de développement etterme de “transfert de technologie”. En la vente lui a permis de rétribuer son génie. Ileffet, pour certains, le transfert inter- par d’autres et en prélevant sur ces au- consacre désormais son temps à son autre sociéténational de technologie désigne une tres une partie des profits qu’ils réali- JEDO SAS dont il est le président. Spécialiséevoie d’approche du développement sent en l’exploitant. En d’autres termes, dans l’hydromassage, elle emploie une vingtaine il s’agit de donner, moyennant rétribu- de salariés. Jacques Valdenaire baigne toujoursinternational de l’entreprise et c’est la dans l’innovation (“on ne se réinvente pas”).vraie définition que nous retenons pour tion, à un autre fabricant les éléments Avec ses systèmes spécifiques, JEDO entendce mémoire. Pour d’autres, le terme pour qu’il produise un produit identique conserver sa place de leader sur le marché de latransfert de technologie consiste en la au nôtre, le vende et nous rémunère. cabine de douche avec recyclage de l’eau.valorisation de résultats de recherche Dans certains cas, lorsque le destinatai- Michel BESSONobtenus dans les laboratoires et la façon re du pays récepteur ne dispose pas desde les mettre en valeur par la suite. Cette moyens financiers pour acquérir la tech-étape constitue la phase aval du mana- nologie, il lui est possible de mettre engement de l’innovation et ne s’intègre œuvre des financements internationauxnullement dans les développements qui pour financer l’opération de transfert.vont suivre. Pour transférer une technologie, il faut en avoir une, donc fabriquer soi-même.Tout le monde fait peu ou prou du transfert Toute prestation de transfert de techno-de technologie. Acheter un magnétoscope l ogie s’adresse donc aux industriels,sans sa notice d’emploi ne viendrait à petits et gros.l’esprit de personne. Or cette noticemême transfère du fabricant à l’acheteur Transférer une technologie, c’est donnerune partie de sa technologie, celle le moyen à un tiers hors de France de (1) Cabinet Vaucher-Tisseront,qui concerne le mode d’utilisation de faire ces profits en vous en rétrocédant 8, rue des Frères Lumière ZI du Mariagel’appareil. une part substantielle.  69330 Pusignan www.vaucher-tisseront.com 33regards sur l’IE - N°1 - Janvier/Février 2004
  • 9. Acrie Réseau National votre partenaire pour l’information stratégiqueSes clientsDes dirigeants de plus de 100 PME-PMI depuis 1998, des groupes, des collectivités…Ses 4 métiersLa recherche, le traitement, la diffusion et la protection de l’information stratégique.Ses prestations• Réalisation d’études ponctuelles et de veille, visite de salons (60%) ;• audit, mise en place de dispositif, conseil (20%) ;• formations, sensibilisations, programmes (15%)…Ses produits (5%)• des livres sur la recherche et le traitement de l’information • des bases de données sur : - l’intelligence économique ; - les pouvoirs publics ; - décideurs... • un cd d’autoformation pour chercher sur internetSes implantationsLe premier réseau d’intelligence économique national privé Brest, Douai, Nancy, Nantes, Normandie, Paris, Strasbourg, Toulouse, Valence SIÈGE DU RÉSEAU : Acrie, Aéroport Nantes-Atlantique, Rue Nungesser et Coli 44860 Saint-Aignan-de-Grand-Lieu Tél : 02 40 04 25 25 - Fax : 02 40 04 10 04 Mail : info@acrie.fr - Site web : www.acrie.fr
  • 10. La vocation clairement opérationnelle et concrète de regards sur l’IE ne doit pas faire oublier que l’intelligence économique est en France un sujet émergent qui stimule un assez grand nombre de travaux de recherche. Parce que ces travaux constituent le terreau sur lequel les applications seront demain déployées, nous avons souhaité leur faire une place dans cette revue. Le cahier scientifique ainsi nommé relayera au gré des numéros, une sélection de travaux notamment universitaires qui nous aideront à structurer une vision prospective de l’intelligence économique. Ce premier dossier est coordonné par M. Damien Bruté de Rémur qui dirige une équipe dont le travail porte sur l’intelligence informationnelle et s’intéresse à deux sujets : “la sécurisation des processus dans les dotcoms” et “les open sources dans la sécurisation des systèmes d’information”. En compulsant les pages du “Cahier Scientifique” de Rie, le lecteur Damien BRUTÉ DE RÉMUR averti pourra y découvrir notre ambition : donner un meilleur statut et une vraie reconnaissance à l’IE dans la communauté scientifique. Cela ne pourra se faire que par un travail patient d’observation et Directeur de l’Institut de Recherche en Intelligence d’analyse des réalités ainsi que par une recherche documentaire Informationnelle, équipe commune entre le groupe Sup aussi exhaustive que possible et une réflexion amont sur les origines de Co de Montpellier et l’Université de Montpellier I, propres à la discipline : son épistémologie. constituant un département du Centre de Recherche Pour cela, le chercheur doit d’abord reconnaître des “maîtres”, des en Information et Communication de l’UMI. références, des “influences”, qui lui permettront de construire sa propre L’IR2i compte 25 chercheurs dont 6 doctorants en réflexion. Voilà pourquoi, dès le prochain numéro, les contributions qui Intelligence Economique. composeront ce Cahier Scientifique seront examinées et sélectionnées par un “Comité de Lecture” composé des meilleurs spécialistes de la Site Internet : www.ir2i.com question.  Édito L’intelligence économique a tous les atouts de la jeunesse : fraîcheur et ouverture. Je ne veux pour preuve de ce jeune âge que la recherche scientifique commence seulement à s’y intéresser. D’une manière générale, on considère qu’une discipline naît comme un ensemble de pratiques (qui commencent à être identifiées comme constitutives d’un tout qui prend peu à peu une cohérence) au regard de ses finalités, de ses méthodes, de ses objets, comme dans ses rapports aux autres disciplines. C’est ce que nous appelons l’épistémologie. L’intelligence économique ne naît pas ex nihilo. Bien évidemment ! Pas plus que les autres disciplines. Elle est la réunion de pratiques de gestion, de communication et de traitement de l’information, plus généralement de management de l’information. Tous les mots qui ont annoncé ou accompagné l’émergence du concept sont toujours d’actualité : veille, benchmark, aide à la décision, sécurité de l’information, management des connaissances… L’expression, elle-même, ne s’est imposée que depuis une dizaine d’années. La France a dû “apprivoiser” un concept anglo-saxon rela- tivement intraduisible. Il est faux, comme j’ai pu le lire récemment, d’assimiler l’I.E. à une : “pratique de l’espionnage économique pompeusement qualifié d’intelligent” ! Le concept est bien sûr très différent dans la réalité de sa pratique ainsi que dans la pensée des spécialistes.Cahierscientifique 35regards sur l’IE - N°1 - Janvier/Février 2004
  • 11. Sécurisation des processus et processus de sécurisation dans les DotComs Yves BARLETTE Enseignant-chercheur CEROM, Centre dEtudes et de Recherche sur les Organisations et le Management Groupe Sup de Co Montpellier, France IR2I, Institut de Recherche en Intelligence Informationnelle, CRIC Doctorant en sciences de Gestion, Université de Montpellier I Adresse professionnelle : Groupe Sup de Co Montpellier 2300 avenue des Moulins 34185 Montpellier Cedex 4 barlette@supco-montpellier.fr Tel . 04.67.10.25.26 Figure 1 (Source Clusif, 2003) Mobile : 06.18.44.59.35 Si la sécurité est incorrectement assurée, la confiance nest pas au rendez-vous, et le e-commerce est pénalisé; la sécurité et la confiance représentent donc bel et bien un enjeu marchand… Selon un ingénieur en informatique américain(1), "Le site Web est la représentationCette communication a été présentée lors de la journée de recherche publique de notre entreprise. S’il tombe en panne ou sil est piratéMontp2003 du 12 décembre 2003, "Manager lentreprise électronique" ou défiguré, notre réputation est immédiatement touchée. On ne peut empêcher le diable (les informations) de sortir de sa boîte (le site Web) parce que la boîte est toujours ouverte."RésuméCette communication met en évidence la nécessité dune meilleure Dans une première partie, nous allons examiner les processussécurisation des processus métiers des Dotcoms. Les systèmes métiers qui sont mis en œuvre dans les Dotcoms, puis nous mettronstechniques ayant montré leurs limites, les solutions à ces problé- en évidence le besoin dune sécurisation, ce qui nous conduira àmatiques vont se retrouver dans des solutions organisationnelles. examiner quelles solutions peuvent répondre à ces problématiquesPourtant, les politiques de sécurité globales ne sont toujours pas sécuritaires.mises en place… Nous verrons que la solution pourrait résider dans Dans une deuxième partie, nous étudierons les processus de sécuritéla sensibilisation des décideurs, et surtout dans lamélioration de actuels et leurs limites, et nous rechercherons une solution afinleur propension à agir. daméliorer la sécurité des Dotcoms.Abstract I - Les processus et leur sécurisationThis paper highlights the need to improve the security involved in theDotcoms business processes. As technical solutions have shown I.1. Les processus métiers : un besoin de sécurisationtheir limits, organizational solutions are the solution to security problems. Selon Soh (Soh et AL., 1997), la majorité des applications liées auHowever, global security policies arent developed yet … e-commerce réside dans cinq domaines principaux : marketing,We will see that the solution could reside in the building of the managers publicité, service et support client, commande et livraison, et paie-awareness, and an improvement of their propensity to act. ment. D’un autre côté, selon Clarke (1993), les applications de e-commerce couvrent les cinq phases du processus d’achat et deIntroduction vente, qui sont les phases précontractuelle, contractuelle, commandeLe marché du commerce électronique grand public en France et logistique, règlement et suivi.augmente de 60 à 100 % par an selon le Benchmark Group (2003). Dans le tableau 1, Sulaiman Ainin (2000) a mis en relation ces deuxIl atteignait environ 2400 millions deuros en 2002, ce qui représentait classifications :27 % des revenus de la vente à distance. Concernant le BtoB, lemarché devait être multiplié par 5 entre 2002 et 2005 (Gartner Phases ApplicationsGroup, 2002).Louverture des S.I. vers lInternet progresse fortement entre 2002 pré-contractuelle marketinget 2001 (Clusif 2003) : les entreprises de plus de 1000 salariés publicitéenregistrent 24 % dachats sur Internet, ce chiffre sexplique par lescommandes de masse et la migration sur Internet des solutions contractuelle service et support clientdEDI. Les entreprises de plus de 200 salariés ont un site Internetpour plus de 80 % dentre elles. commande et logistique commande et livraisonDans la figure 1 ci-contre, tout augmente sauf le commerce règlement paiementélectronique qui a enregistré un recul en 2002. La cause en est unesécurisation encore insuffisante des Dotcoms et de leurs processus suivi service et support clientmétiers.36 regards sur l’IE - N°1 - Janvier/Février 2004
  • 12. Sécurisation des processus et processus de sécurisation dans les DotComsNous allons étudier les besoins en sécurité pour chacun de ces 5 Nous avons examiné les processus, les applications, les outils ettypes dapplications, pour cela nous allons tout dabord examiner les moyens utilisés dans les Dotcoms, voyons maintenant commentoutils et autres moyens spécifiques mis en place par les Dotcoms. sécuriser tout ceci. Les problématiques que nous allons évoquerLe marketing électronique sera lié à lutilisation de la messagerie, maintenant sont liées au triptyque disponibilité, intégrité, confidentialité,des forums et newsgroups, et au référencement sur les moteurs de il conviendra de le compléter par la traçabilité et la non-répudiation quirecherche. Des bases de données pourront contenir les informations sont particulièrement importants dans le cadre des Dotcoms et dup o rtant sur les clients, leurs besoins (ERP CRM, …). Internet constitue , e-commerce.aussi un outil dintelligence économique et permet de réaliser uneveille concernant les offres et les services des concurrents. I.2. Les solutions de sécuritéLa e-publicité se fera par lintermédiaire du site de la Dotcom, ou par Afin de sécuriser non seulement les processus métiers mais aussides sites qui véhiculeront cette publicité. la Dotcom en elle-même, le tableau 3 présente les techniques répondant à quelques-unes des problématiques que lon pourra rencontrer.Le service et support client seront assurés grâce auxe-mails et aux FAQ (foire aux questions). Des formulaires permettent Problématique Sécurisation Techniquesde véhiculer certaines questions ou plaintes.Concernant la commande et la livraison, la majorité des sites de Mots de passee-commerce permet le suivi de la commande, certains vont jusquà Qui est-ce ? Identification Certificats numériquesassurer le suivi de la livraison, en sous-traitant si besoin cette tâche Comment le prouver ? Authentification Cartes à puceà une société dexpédition. Biométrie, …Le paiement est réalisé en France principalement par carte bleue,avec des confirmations par e-mail, en passant éventuellement par un Qui peut accéder à linformation ? Applicationsintermédiaire de paiement. sécuriséesLe tableau 2 récapitule les outils et moyens mis en œuvre qui vont Contrôle daccès Annuaires LDAPdevoir être sécurisés. Quels sont ses droits daccès ? Contrôle daccès centralisé Applications Outils et moyens utilisés Qui peut envoyer, lire, linformation ? Confidentialité Logiciels danalyse Peut-elle être modifiée ? et Intégrité marketing Messagerie, forums, A-t-elle été altérée ? des données. Clé publique/clé privée news groups, sites, bases de données. Tableau 3 publicité Site, sites partenaires Daprès : "Web Security", Amrit Tiwana, Digital Press, 1999 service et support client Messagerie, FAQ, Si nous rapprochons ce tableau du triptyque de la sécurité, nous formulaires, bases de retrouvons lintégrité et la confidentialité. La disponibilité est sous- jacente, en effet si lidentification et lauthentification sont correctes données. et que les accès sont bien contrôlés, il sera par exemple impossible commande et livraison Site, formulaires, base pour un pirate de bloquer le fonctionnement du site. Par contre, ceci nempêchera pas les pannes de courant ou les dysfonctionnements de données du réseau. Nous avons choisi de ne traiter que des systèmes de sécurité les paiement Site, intermédiaires, plus proches des activités des Dotcoms, cest pourquoi nous ne messages de serons pas exhaustifs. confirmation Notre point de départ correspondra au serveur de la Dotcom, il sa- gira de colmater ses failles afin de se prémunir au mieux contre les logiciels dattaque utilisés par les pirates, et contre les attaques vira-Tableau 2 les : les principales conséquences seront le déni de service (dispo- nibilité), et le "defacement(2)", mais nous retrouverons ici le vol din-Tonglet et Johnstone (2001) relèvent une quantité impressionnante formations, laltération, etc.de risques liés à le-commerce : la redirection dinformations, lusur-pation didentité, linterception de communications, les erreurs de Les antivirus viendront en complément, accompagnés dun ou plu-programme, les problèmes liés à la sécurité du client ou du site, les sieurs Firewalls(3) et proxy(4), qui assureront une certaine traçabilitédonnées altérées, la fraude, les e-mails non sollicités, le déni de des échanges.service, lespionnage, les atteintes à la propriété intellectuelle et aucopyright. Des logiciels de détection dintrusion permettront davertir quuneTous ces risques vont toucher directement les Dotcoms dans ce quelles attaque est en train de se préparer ou de se produire.ont de plus sensible : leurs informations, que ce soient celles concernant Concernant les échanges, le tableau 3 indique certaines protections,leurs clients et leurs partenaires, celles échangées, ou celles quelles qui sont souvent mises en place dans le cadre du commerce électro-vont véhiculer au travers de leur site. nique, notamment pour les échanges dinformations, de formulaires,Limage même (au sens propre comme au figuré) de la Dotcom et la prise de commande sécurisés. Ces protections pourront aussipourra être atteinte, avec toutes ses conséquences sur la confiance faire appel à une infrastructure à clé publique ou à des réseaux privésque lui portent les clients et partenaires (Barlette, 2003). virtuels utilisant par exemple le protocole IPSec. 37regards sur l’IE - N°1 - Janvier/Février 2004
  • 13. Sécurisation des processus et processus de sécurisation dans les DotComsLe paiement sécurisé se fera principalement grâce au système SET Les firewalls ne sont pas remis à jour alors que leurs failles sontou C-SET(5), ou bien la carte bleue virtuelle, et fera appel à un tiers diffusées sur Internet par les pirates dans les 15 jours qui suiventde confiance et à une autorité de certification pour assurer la leur mise sur le marché. De plus, certains employés contournenttraçabilité et la non-répudiation des diverses transactions. ces firewalls en utilisant un modem par "besoin dintimité" afin deP o u rtant, la sécurité ne se résume pas à ces solutions technologiques, surfer sur des sites peu recommandables ou de gérer leurs affairessans cesse plus perfectionnées. Les entreprises subissent des sinistres personnelles (banque, bourse, …). Ils ouvrent ainsi largement lescontre lesquels les technologies sont impuissantes. A ce sujet un des portes de leur entreprise aux pirates les moins équipés.plus grands spécialistes américains de la sécurité informatique(6)déclare dans létude CSI/FBI (Power, 2001) : "Ce qui est intéressant Les systèmes de détection dintrusion ne sont pas aujourdhuiest que toutes ces attaques se sont produites malgré le large totalement satisfaisants et occasionnent des fausses alertes ou biendéploiement de technologies de sécurité (...) Clairement, les technologies ne détectent pas une vraie attaque.sont inefficaces."Deux ans plus tard, Richardson (2003) relève dans cette même Le chiffrement de données est trop majoritairement réalisé surenquête annuelle du C.S.I.(7) que "même les organisations qui ont disque (Clusif 2003), au détriment des réseaux privés virtuels,déployé un large éventail de technologies de sécurité peuvent être infrastructures à clé publique et signature électronique.victimes de pertes significatives". Il précise en outre que les deux Les systèmes de sauvegarde sont fiables, mais quen est-il desplus grosses sources de pertes de revenus sont liées au vol dinfor- derniers lecteurs qui ne sont plus compatibles avec les anciennesmations et au déni de service. sauvegardes ? Que se passe-t-il quand le responsable des sauvegardesNous observons que même sil est reconnu que les réponses à notre est absent ou malade ?problématique de sécurité des Dotcoms sont loin de résider dans les Ghernaouti-Hélie(8) (2000), nous met en garde : "Internet évoluantsolutions technologiques depuis 1992, plus de dix ans après, le sans cesse, les solutions de sécurité doivent donc être adaptées enremède na toujours pas été mis en place !!! permanence".II- Les processus de sécurité, de la technique à Selon Power (2001), voici les tendances qui ont émergé ces dernièresl’organisation années : 1. "les organisations souffrent de cyber-attaques provenant deLes systèmes techniques ne sont donc pas la solution à la mise en lintérieur et de lextérieur de lentreprise;place dune sécurité satisfaisante en entreprise. Nous allons maintenant 2. un grand éventail de cyber-attaques ont été détectées;mettre en évidence les limites des solutions technologiques et nous 3. ces cyber-attaques peuvent occasionner de sérieuses pertesmontrerons que les solutions organisationnelles sont la condition financières;nécessaire pour que les technologies soient efficientes, les aspects 4. se défendre avec succès contre de telles attaques nécessite plushumains étant incontournables. que lutilisation des technologies de la sécurité des informations". Nous voyons donc que même en admettant que certaines solutionsII.1. Les limites des systèmes techniques de sécurité sont au point, il existe des failles organisationnelles quiNous allons nous baser sur la figure 2 pour commenter les solutions font que ces solutions ne sont pas exploitées correctement.technologiques mises en place : Daniel Guinier (1992), rapporte que : "La sécurité des systèmes dinformation est fortement liée au fameux facteur humain puisque, directement ou indirectement, il est représenté dans lensemble des pertes pour une part qui avoisine 80 %. Ceci sexplique par linteractivité entre un domaine technologique, aussi puissant que fragile, et lhomme, son ambiguïté et sa propre représentation de lorganisation qui peuvent mettre en péril loutil dont lentreprise ne peut se passer aujourdhui. Il convient donc dexpliquer; il faudra former et faire communiquer les différents acteurs." T. Davenport (2002) ajoute : "Il ne suffit pas de se doter doutils informatiques puissants. Pour mieux gérer leurs informations, les entreprises doivent éviter lécueil de lobsession technologique et mettre laccent sur le facteur humain". Nous ajouterons que selon le Clusif (2003), ce sont les erreurs humaines qui ont le plus grand impact sur les entreprises, et cela aucune protection ne pourra lempêcher…Figure 2 (Source Clusif, 2003) Quels sont alors les moyens de disposer dune sécurité satisfaisante ?Les antivirus qui équipent 92 % des entreprises (voir figure 2) ne II.2. Les solutions organisationnellessont pas toujours mis à jour alors quil apparaît entre 600 et 1200nouveaux virus par mois. La première chose à faire est de mettre en place dans lentrepriseLes solutions dauthentification par mots de passe sont encore très une politique de sécurité globale, comme le souligne Gonik (1996) :répandues et ont pourtant avoué leurs limites. Une très grande "Avoir une politique générale de sécurité qui soit partie intégrantemajorité de mots de passe sont faciles à deviner ou pire encore sont des grandes orientations retenues par et pour lentreprise estconservés dans un tiroir ou même sur un "post-it" collé sur lécran. linvariant de base à respecter".38 regards sur l’IE - N°1 - Janvier/Février 2004
  • 14. Sécurisation des processus et processus de sécurisation dans les DotComsCeci est confirmé par Ghernaouti-Hélie (2000), qui précise que cette Enfin, des faits récents de lactualité peuvent être un bon moyen depolitique doit intégrer non seulement les aspects techniques, mais sensibilisation, même si ce sont souvent les mêmes sinistres quiaussi les aspects organisationnels et managériaux. Plus loin, elle sont présentés, les virus et les piratages principalement.ajoute qu"une réflexion globale sur les solutions de sécurité (9) et unerecherche des bonnes solutions technologiques permettent de Malheureusement, le Clusif (2003) a déterminé que 64 % desramener le risque (…) comparable au risque résiduel inhérent à entreprises nont toujours pas défini de politique de sécurité des sys-toute activité commerciale". tèmes dinformation, même si ce chiffre est en légère amélioration par rapport à lannée précédente. La figure 3 montre que même siLes solutions pourraient se diviser selon nous en trois grandes la sensibilisation et la formation du personnel sont maintenant misesfamilles de processus : en place par pratiquement toutes les entreprises, il ny a que 37 %- ceux éliminant lhumain par lautomatisation de certains processus de chartes de sécurité et 30 % daudits de sécurité réalisés. Nous de sécurisation, comme la mise à jour des antivirus, la "robotisation" reprendrons le commentaire des experts dans lenquête du Clusif des sauvegardes; (2003) : "Les entreprises forment, ne formalisent pas et contrôlent- ceux rapprochant au contraire les solutions humaines des solutions encore moins." technologiques, tels que lamélioration de la détection dintrusion par des utilisateurs(10) mieux avertis et préparés;- des processus indirects, tels que la limitation du contournement des procédures de sécurité par une meilleure sensibilisation des employés et la diminution des erreurs humaines grâce la formation.Les processus limitant lintervention humaine nous ramènent à dessolutions technologiques existant déjà pour leur plupart sur le marché,nous nentrerons pas dans ces détails : si la politique de sécurité et lesréflexions globales existent, ces problèmes seront résolus.Pour le reste, il est nécessaire de mieux sensibiliser et former lepersonnel, toujours dans le cadre dune politique de sécurité globale.Mais comment sassurer que ces politiques seront mises en placeet que les budgets seront débloqués ?Le principal acteur sera donc la direction de lentreprise, qui devraelle-même être sensibilisée et prête à agir, comme le soulignent Figure 3 (Source Clusif, 2003)Archimbaud et Longeon (1999) : "La détermination et la supervisionde la politique de sécurité sont des fonctions de direction. Rien de Même si lon progresse, cette progression est encore insuffisante,valable ne peut se faire sans le directeur : encore faut-il qu’il en ce qui nous ouvre des pistes de recherches…connaisse tous les enjeux. L’argument « la sécurité, c’est le problèmed’un administrateur système » n’est-il pas une forme de démission ?N’est-ce pas avouer qu’on cherche des solutions techniques à des Conclusionproblèmes qui sont d’abord organisationnels ?" Même si les processus métiers des Dotcoms intègrent des spécificitésMalheureusement, sensibiliser les décideurs ne sera pas si simple. par rapport aux entreprises classiques, ils font appel à des processusEn effet, selon Guinier (1992) : "Les directions générales dentreprises de sécurisation similaires à ceux des entreprises classiques. Si certainsdites stratégiques sont sensibles et déclarent souvent avoir fait un risques sont effectivement plus présents du fait de louverture deseffort. Quelquefois même, il existe un responsable sécurité dans Dotcoms sur Internet, tels que les problèmes liés aux virus et auxlentreprise. Bien souvent cependant, elles abandonnent toute attaques de hackers, il nen reste pas moins que la part de lorganisationresponsabilité dans les choix et considèrent que cest totalement une et de lhumain dans ces processus est primordiale.a ffaire dinformaticiens. Pour beaucoup dentreprises, le systèmedinformation est réduit à la seule informatique et lunique préoccupation Pourtant cet aspect majeur nest pas pris en comptesemble bien être celle de lacquisition dun matériel qui assure sa fonction correctement, même sil a été mis en évidence depuis longtemps.dexploitation et quelquefois, seulement de gestion de lentreprise." Il apparaît alors que les décideurs en entreprise sont la clé de laDans ce cas, comment sensibiliser réellement le décideur à ces mise en place dune politique de sécurité globale, qui prendra enenjeux ? compte des processus incluant non seulement les technologies, les problématiques organisationnelles, mais aussi les synergies possiblesPremièrement, la détermination de la valeur des informations détenues, entre les hommes et les systèmes automatisés.primordiales dans le cas des Dotcoms, permettra de mettre en balanceles investissements avec les pertes financières potentielles. Sensibiliser les décideurs à ces problématiques, et surtout les amener à agir, permettra de se diriger dans la bonne voie… MaisDeuxièmement, en sensibilisant le décideur aux risques pris en ne comment faire ?sécurisant pas lentreprise, la survie de lentreprise pouvant être en jeu.Troisièmement, le fait quun sinistre se soit produit déclenche en Létude du Clusif (2003) montre que les réponses organisationnellesgénéral une réaction de protection, mais uniquement pour que le même se sont améliorées entre 2001 et 2002, alors quelles avaienttype de sinistre ne se reproduise plus, si lentreprise a survécu … régressé lannée précédente. Cette tendance se maintiendra-t-elle ? 39regards sur l’IE - N°1 - Janvier/Février 2004
  • 15. Références bibliographiques Nicolas MAYENCOURT• Ainin S., 2000, Information technology for development 9, p 153-161, IOS Press DREAMLAB INC.• Archimbaud J.L., Longeon R., (1999), Guide de la sécurité des systèmes dinformation à lusage des directeurs, CNRS, Paris Directeur général• Barlette Y., 2003, "Comment créer et conserver la confiance du consom- Monbijoustrasse 24 mateur dans le commerce électronique", Cahiers de la recherche en intelli- 3011 Berne gence informationnelle N°3, P 7 à 14, 2ème trimestre.• Benchmark Group, 2003, Fevad, dans le journal du net (journaldunet.fr), Tel: +41 31 398 38 38 mois de mars SUISSE• Clarke R., 1993, The strategic Intent of on-line trading systems : a case study in national livestock marketing, Xamax consultancy Pty Ltd• Clarke R., 1993, EDI is but one element of electronic commerce, Xamax nick@dreamlab.net consultancy Pty Ltd• CLUSIF (2001 à 2003), (CLUb de la sécurité des Systèmes dInformation Français), “études et statistiques sur la sinistralité en France”, 48 p.• Davenport T. (2002), “Privilégier linformation sur la technologie”, www.lesechos.fr• Gartner Group, 2002, dans le journal du net (journaldunet.fr), mois de mai Résumé• Ghernaouti-Hélie S., (2000), Sécurité Internet : stratégies et technologies, Paris, Dunod, p229 Il s’agit ici de développer d’une façon générale les caractéristiques et• Gonik J. (1996), Management de la sécurité des systèmes dinformation, Paris, Afnor avantages de l’approche “Open Source” et de montrer dans quelle• Guinier D. (1992), Sécurité et qualité des systèmes dinformation, Paris, mesure ils favorisent concrètement la sécurisation des systèmes Masson d’information.• Kerstetter J. et Madden J. (2000), “Web attack raise chilling questions for IT”, Zdnet eWeek, 11 février Abstract• Pipkin D. (2000), Sécurité des systèmes dinformation, Paris, Campus Press It’ s about to show what are the general characteristics and advantages• Power R. (2001), (2002), CSI/FBI, Computer Security Institute, “Computer Security Issues and Trends”, Spring of the “Open Source Approach” and how they concretely turn out to• Richardson R. (2003), CSI/FBI, Computer Security Institute, “Computer be especially useful in the field of information security. Security Issues and Trends”, Spring• Soh C., Mc Quee, Fong G., Chew D.; Reid E., 1997, The use of the Internet Introduction for business : the experience of early adopters in Singapore, Internet Research : electronic network application and policy 7, P 218-228 Le modèle des méthodes ouvertes ou Open Source a permis de• Tonglet M., Johnstone P 2001, "e-commerce risks in the open and ., créer des systèmes d’information de très haute qualité comme les competitive market", Journal of financial crime, Vol 8 N°3, P218225, serveurs web Apache(1), sur lesquels se basent plus de 60 % (2) des Henry stewart publications fournisseurs d’Internet à échelle mondiale. Le système d’exploitationRéférences électroniques Linux est également issu du modèle Open Source. Par ailleurs, il est en train de devenir le leader sur le marché des serveurs.• Costello S., 2001, www.infoworld.com Les solutions Open Source ont également gagné du terrain dans le• Journal du net, www.journaldunet.fr domaine de la sécurisation des systèmes d’information (SSI). Ce texte a pour objectif de développer les caractéristiques du modèle Open Source favorisant le développement de logiciels d’information de haute qualité et qualifiant le modèle Open Source comme un outil parfaitement adapté aux exigences de plus en plus importantes de la sécurité de l’information. I. Les avantages du modèle Open Source(1) Dans (Briney, 2001), P44(2) En général, la page daccueil du site est "défigurée". A. Définition du terme “logiciel libre” ou “Open Source”(3) Mur pare-feu, solution logicielle (principalement) de protectioncontre les attaques. La Free Software Foundation fondée par l’Américain Richard(4) Le proxy est un Firewall applicatif.(5) SET : Secure Electronic Transaction, le C étant pour "chipset", la Stallman, est sans doute l’une des organisations les plus connues etcarte à puce française. ayant le plus de mérite dans le domaine de l’Open Source. Elle propose(6) Bruce Schneier de Counterpane Systems (counterpane.com) dans la définition suivante du logiciel libre :(Power, 2001), P2. “Un logiciel libre est un logiciel qui est fourni avec lautorisation pour(7) Computer Security Institute, Carnegie Mellon University quiconque de lutiliser, de le copier, et de le distribuer, soit sous une(8) Op. Cit. p232 forme conforme à loriginal, soit avec des modifications, ou encore(9) En matière de commerce électronique gratuitement ou contre un certain montant. Ceci signifie en part i c u l i er(10) Selon D. Pipkin, (2000), les employés sont un maillon très impor- que son code source doit être disponible.(3)”tant de la sécurité puisque "les utilisateurs sont le plus souvent lespremiers à détecter un incident de sécurité". Détecter un incident de C’est une définition simplifiée, surtout en ce qui concerne les différentssécurité plus rapidement permet de le résoudre plus vite, ce qui peut être sous-groupes des logiciels libres et leurs aspects juridiques, c’est-à-décisif notamment en cas dattaque de pirate ou dattaque virale. dire les différentes formes d’attribution de licences.40 regards sur l’IE - N°1 - Janvier/Février 2004
  • 16. Les méthodes ouvertes ou "Open Source" dans la sécurisation des systèmes d’informationFigure 1 : Diagramme de Hung Chao-Kuei expliquant les différentescatégories de logiciels. Source : www.fsf.orgB. Premier avantage du modèle Open Source : Stabilité et Figure 2 : Statistique pourcentage Serveur WebFiabilité assurées par la Reproductibilité Source : www.netcraft.comLà où les scientifiques parlent de reproductibilité, les programmeurs C. Deuxième avantage du modèle Open Source :Open Source parlent de “débuggage”. L’univers informatique a un Perfectionnement et Développement grâce à laseul moyen de permettre à des partenaires de reproduire des résultats : coopération et à l‘échangepartager les codes sources. Dans le domaine scientifique, le partage ouvert des résultats d’étudesPour démontrer la validité d’un programme à quelqu’un, vous devez facilite les découvertes et le progrès. Dans le développement Openmettre à sa disposition les moyens de compiler et exécuter ce Source, il en est de même : Le partage et l’échange ouvert de solutionsprogramme. et codes existants accélèrent le développement de nouveaux logiciels. Parmi les plates-formes d’appui figure www.sourceforge.net, le plusLa reproductibilité rend les résultats solides. Un scientifique ou un grand site de développement de logiciels Open Source du monde.groupe de chercheurs appartenant à une entreprise ne peuvent ni Sur sourceforge.net des milliers de projets sont hébergés gratuitementespérer justifier toutes les conditions de test, ni forcément disposer et les codes sources peuvent directement être téléchargés et testés.de lenvironnement de test qui permettrait de vérifier absolument Grâce à la coopération et à l’échange, sur des sites Internet de com-tous les aspects dune hypothèse. En partageant les hypothèses et munauté, les programmeurs Open Source diminuent le nombre deles résultats avec une communauté de partenaires, les scientifiques situations où le même travail est effectué deux fois : ils savent ses’assurent que tous les aspects d’un sujet de recherche sont pris en baser sur des acquis”.compte : un grand nombre de personnes voit plus de choses qu’une Comme le prouvent, entre autres, les sites sourceforge.net ouseule. freshmeat.net, le milieu Open Source est aujourd’hui organisé d’une façon très professionnelle et efficace.Dans le modèle de développement Open Source, le même principe Les statistiques d’accès aux différents projets sourceforge les plusest exprimé ainsi : “À condition de disposer de suffisamment de sollicités montrent qu’en une seule journée entre 2000 et 7000regards, tous les bugs seront identifiés”. personnes se retrouvent et travaillent sur les sites du projet.En partageant le code source, les programmeurs Open Source rendentleur logiciel plus sûr. Les programmes seront utilisés et testés dansdes contextes très nombreux et variés. Un seul programmeur nepourrait pas générer cette diversité. Les bugs sont détectés alorsque, sans Open Source, on ne les aurait pas trouvés. Comme lecode source est disponible, les bugs peuvent souvent être éliminéset non seulement localisés. Souvent par quelquun qui, autrement,serait resté en dehors du processus de développement(4) .Figure 2 : Statistique pourcentage Serveur WebSource : www.netcraft.comLes statistiques « Netcraft Web Server Survey » montrent que dansle domaine de la connexion Internet, où stabilité et fiabilité sont de laplus grande importance, la solution Open Source Apache est depuisbientôt dix ans loin devant tous ses concurrents sur le marché des Figure 3 : Statistique d’usage du projet “popfile”serveurs. sur sourceforge.net. 41regards sur l’IE - N°1 - Janvier/Février 2004
  • 17. Les méthodes ouvertes ou "Open Source" dans la sécurisation des systèmes d’informationGrâce au système sophistiqué de coopération “CVS” (Concurrent Ces serveurs Radius doivent être compatibles avec toute l’infras-Versioning System(5)) même des milliers de programmeurs peuvent tructure informatique de l’entreprise, ses modes d’authentification ettravailler simultanément sur le même projet et le même code source, d’autorisation d’accès existants ainsi qu’avec la gestion de la sécuritésans rencontrer aucune difficulté coordinatrice. informatique en général.Beaucoup de programmeurs utilisent le système CVS pour gérer lesmodifications de leur code source et pour garantir l’intégrité de leurs La solution que propose DreamLab, le Serveur Radius “MyRadiusdefforts. Le système CVS offre la possibilité de ne pas seulement Middleware Server” a été construit à base de différents élémentssauvegarder la version actuelle d’un bout de code, mais aussi d’avoir Open Source. Il peut être intégré dans presque chaque environnementun enregistrement bien structuré de toutes les modifications qui ont existant, qu’il soit fourni par Microsoft, Linux ou Unix, en liaison avecété apportées, spécifiant les auteurs et les dates correspondants. n’importe quel mode de gestion de la sécurité.Ainsi, le système CVS assure que les modifications apportées par unprogrammeur ne sont pas effacées par mégarde lorsqu’un autreprogrammeur publie ses modifications au code source.Développement grâce au libre échange des résultats de re c h e rc h eGrâce au partage ouvert et clair des résultats, le progrès n’est pasbloqué parce quun chercheur ou une équipe de recherche d’uneentreprise cesse tout simplement de travailler sur un projet. Si lesrésultats ont de la valeur, dautres chercheurs prendront le relais.Dans le modèle de développement Open Source le partage du codefacilite aussi la créativité. Les programmeurs, travaillant sur des projetscomplémentaires, peuvent baser leurs propres résultats sur ceuxdes autres, ou combiner les différentes ressources dans un seulprojet. Un projet peut en inspirer la création d’un autre qui nauraitjamais vu le jour sans cet environnement créatif.D. Troisième avantage du modèle Open Source : Flexibilité, Figure 4 : Diagramme d’applicationCapacité d’adaptation et Interopérabilité “MyRadiusd Middleware Server”.La disponibilité du code source ne rend pas seulement les logiciels Comme le montre ce diagramme, le Serveur “MyRadiusdOpen Source plus fiables et plus faciles à contrôler, mais aussi plus Middleware Server” est capable de gérer toutes les méthodesflexibles et plus souples en ce qui concerne leur capacité d’adaptation d’authentification courantes selon RFC 2865 et 2866(9).aux exigences individuelles d’une entreprise. Cette multi-compatibilité est un avantage typique des solutions OpenPrenons l’exemple d’une entreprise qui souhaite modifier une fonction Source.de leur logiciel CRM pour optimiser le flux d’informations au sein del’entreprise. Avec un logiciel à base d’Open Source, cela ne pose II. Les avantages du modèle Open Source pour la sécurisationaucun problème. Comme le code source est disponible, il peut être des systèmes dinformationparfaitement adapté par des spécialistes. A. Sécurité par transparenceEn général, ceci n’est pas possible avec les solutions propriétaireset closes, sinon contre une rémunération excessive n’ayant aucune Grâce à la transparence des modèles Open Source, on peut identifier etrelation équilibrée avec le travail d’adaptation effectivement réalisé. éliminer des erreurs, des “bugs” ou des éléments néfastes qui mettent l’intégrité et la sécurité des systèmes d’information en danger.Interopérabilité Supposons qu’une organisation doute de l’intégrité et de l’efficacité deLa plupart des infrastructures informatiques dans les entreprises ont ses Logiciels SSI propriétaires. Comme la base de construction desgrandi de manière organique et beaucoup d’administrateurs système systèmes est confidentielle et donc impossible à reproduire, il estgèrent aujourd’hui des infrastructures complètement hétérogènes, se pratiquement exclu ou très coûteux (en terme de temps et d’argent),c o m p o s an de différents types de matériels et provenant de générations t même pour des experts, d’établir un bilan valable.différentes. En utilisant des systèmes de sécurisation Open Source, les entreprisesPour pouvoir intégrer de nouveaux systèmes dans de tels environnements ont la possibilité de faire vérifier le logiciel en détail et de s’assurer ainsihétérogènes, il est indispensable que ces nouveaux systèmes disposent qu’il y a uniquement les structures qu’elles avaient commandées,d’interfaces ouvertes à base de standards internationaux comme sans éléments non souhaités.par exemple SQL(7). B. Suivre le rythme vertigineux du développement de laIl existe actuellement une très grande demande de serveurs Radius(8) cyber-criminalitéAAA. Ce phénomène est à voir dans le contexte de la taille toujoursplus importante des réseaux d‘entreprise et de l‘utilisation de plus en Un autre fait très important a beaucoup accéléré l’implémentationplus fréquente des réseaux sans fil : des systèmes de sécurité Open Source ces dernières années : c’est l’évolution extrêmement rapide de la sécurité des systèmes d’informationEn remplaçant une gestion des utilisateurs et sécurité client par ainsi que le développement de la “cyber-criminalité”.client, ils simplifient la gestion et aident les entreprises à contrôler Chaque jour, de nouveaux problèmes de sécurité échappant auxtoutes sortes de réseaux (normaux, sans fil et distants) et plates-formes meilleures méthodes de protection sont découverts et utilisés deà partir d’une seule console. façon abusive. Il est devenu impossible de faire face à la dynamique42 regards sur l’IE - N°1 - Janvier/Février 2004
  • 18. Les méthodes ouvertes ou "Open Source" dans la sécurisation des systèmes d’informationdes risques de sécurité par des systèmes de sécurité fixes. ConclusionLes entreprises, pour pouvoir vraiment sécuriser leurs systèmes etréseaux, doivent aujourd’hui être capables de réagir immédiatement Les entreprises disposent enfin de solutions capables de répondreà de nouveaux risques de sécurité en adaptant l’ensemble des règles aux exigences particulièrement délicates pour obtenir une sécuritéde sécurité. maximale pour leurs systèmes d’information : des solutions OpenC’est la raison pour laquelle de plus en plus de fournisseurs spécialisés Source.en matière de sécurisation de systèmes comme ISS, Checkpoint ou Surtout en ce qui concerne la rapidité extrême de l’évolution duEnterasys Networks se sont tournés vers l’Open Source, par exem- domaine de la sécurisation, il faut retenir pour conclure que le modèleple en ce qui concerne les systèmes de détection d’intrusion IDS. Open Source représente une approche adaptée et suffisammentIls ont intégré dans leurs systèmes IDS le format ouvert des signatures, réactive.la séquence précise que recherche le logiciel pour identifier une Comme on peut actuellement constater qu’un grand nombre de four-intrusion. Ainsi leurs clients obtiennent la possibilité d’écrire leurs nisseurs établis intègrent et entérinent des solutions Open Sourcepropres signatures ou d’en récupérer au format ouvert et (c’est par exemple le cas pour les systèmes de détection d’intrus), ildocumenté des Signatures IDS Open Source comme Snort(10) ou est probable que le marché de la sécurité s’ouvrira d’avantage auxPrelude(11). méthodes ouvertes et Open Source.Ces systèmes IDS Open Source et leurs signatures ont une fortecommunauté sur l’Internet et à chaque nouvelle attaque, les signatures Bibliographielibres sont très rapidement disponibles et peuvent être téléchargées • O’ Reilly & Associates, James Guerin : “Le Logiciel libre, précis et concis.”gratuitement(12). Edition O’ Reilly (2001)L’avantage de Open Source se situe surtout dans la possibilité de • Jean-Paul Smets - Solanes, Benoît Faucon : “Logiciels Libres. Liberté, Egalité,contrôle que Open Source offre à l’utilisateur. Business.” Collection Edispere. Edition Vuibert (1999)Pour toutes les entreprises qui souhaitent complètement contrôler • Linus Torvald, David Diamond : “Il était une fois Linux : l’Extraordinaireleurs logiciels, la particularité de Open Source reste actuellement la Histoire d’une révolution accidentelle.” Osman Eyrolles Multimédia (2001)seule approche efficace mise au point par l’industrie. • Chris DiBona, Tim O’ Reilly, Linus Torvald et autres : “Tribune Libre, Ténors de l’Informatique Libre” O’ Reilly (1999)En plus, les sociétés utilisant des logiciels Open Source profitent desavantages liés à un modèle de développement très réactif, souvent Références Internetmis en place par plusieurs sociétés qui coopèrent, comme dans lecas des signatures ouvertes IDS. • Free Software Foundation : www.fsf.org • Open Source Initiative : www.opensource.org • La plus grande plate-forme de développement de logiciels Open SourceIII. Perspectives du modèle Open Source www.sourceforge.net • Un site très connu pour rechercher des projets Open SourceL’application du modèle Open Source et des méthodes ouvertes pour www.freshmeat.netla sécurisation d’information au niveau de l’organisation et au niveau • Un magazine Internet de la communauté Open Source : www.slashdot.orgdes procédures : • Site non commercial sur les audits de sécurité : www.greyhat.deL’approche des méthodes ouvertes et Open Source pour l’implé- • Site professionnel SSI : www.infosyssec.net • Site non commercial SSI : www.insecure.orgmentation d’une centrale d’excellence de sécurité ne doit surtout pas • Site indispensable avec beaucoup d’ outils SSI très actuels :se limiter au plan technique. www.packetstormsecurity.orgAu contraire : Les avantages de Open Source - Reproductibilité, • Autre Site SSI : www.securiteam.comEvolutivité et Flexibilité - sont valables et peuvent également être • Ressource Internet SSI de Symantec Corp. : w w w.securityfocus.comappliqués aux aspects organisationnels des stratégies et règles de • Ressource Internet Open Source sur la sécurisation des réseaux :sécurité. www.whitehats.com • Fournisseur SSI proposant des solutions Open Source : www.atstake.comL’application stricte d’une stratégie de sécurité globale et des règles Cette communication a été présentée lors de la journée de recherche Montp2003 du 12 décembre 2003, "Manager lentreprise électronique"de sécurité à tous les niveaux de l’entreprise demande un très hautniveau d’intégration top-down : du directeur général aux ingénieurs (1) www.apache.orgjusqu’à la secrétaire. (2) source : netcraft web server survey www.netcraft.com (3) Free Software Foundation www.fsf.org/Pour arriver à un tel niveau d’intégration et pour garantir l’intégrité (4) Source : Chris DiBona, Tim O’ Reilly,des efforts, les entreprises sont aujourd’hui de plus en plus obligées Linus Torvald et autres : “Tribune Libre, Ténors de l’Informatique Libre”de fixer de nouveaux critères concernant la sécurité et surtout les O’ Reilly (1999)modes d’audit et de contrôle. (5 ) Concurrent Versioning System (CVS) = Système d’élaboration simultanée de versions (6) Customer Relationship Management (CRM)La communauté Open Source s’est fortement professionnalisée au (7) Structured Query Language (SQL)cours des dernières années et répond aujourd’hui à la demande Langage de bases de données selon ISO / IEC 9075d’une assistance compétente sur le plan de l’organisation et au (8) RADIUS selon la spécification RFC 2865niveau des procédures. Remote Authentication Dial In User ServiceDes centres d’évaluation et de certification se sont formés comme (9) Request for Comments (RFC) : Ensemble de documents de la Internet Engineering Taskforce (IETF) contenant et réglant les spécifications techniquesISECOM(13), une organisation non-profit Open Source qui s’est spécialisée de l’Internet, comme par exemple la communication entre différents protocoles.dans le développement de nouveaux standards et méthodologies (10) www.snort.orgouvertes SSI. (11) www.prelude-ids.orgTout en respectant les principes Open Source décrits précédemment, (12) www.01net.com. Jérôme Saiz “Assurer la détection d’intrusion” (9. Septembre 2002)ISECOM fournit une méthode d’évaluation et certification pour la (13) Institute for Security and Open Methodologies (ISECOM)sécurisation des systèmes d’information libre, reconnue à l’échelle www.isecom.orginternationale. 43regards sur l’IE - N°1 - Janvier/Février 2004