Objet de diverses interprétations, la veille est encore un domaine assez méconnu du grand public. Parmi les quiproquos récurrents subsiste celui de l’amalgame entre la veille et l’espionnage. Alors, réalité ou fantasme ? Pourquoi ces deux notions se confondent-elles ? Comment clairement distinguer la veille et l’espionnage ? Quelles sont, dans les grandes masses, les tactiques utilisées pour soutirer de l’information ?

Dangereusement vôtre : pourquoi une telle confusion ?

Une des causes les plus plausibles pourrait être la cinématographie hollywoodienne. Elle a largement contribué à la diffusion de films liées aux thématiques de surveillance ou d’espionnage industriel. Des affaires comme celle des Swissleaks et des longs-métrages comme Snowden continuent de défrayer régulièrement la chronique. De manière plus fictive, des films ou des séries comme James Bond ou La Casa de Papel sont rentrés dans la culture populaire. Et la recette est souvent toujours la même : surveiller ou hacker de manière illégale semble aussi facile que d’actionner un interrupteur pour allumer une lumière.

Que nous dit la loi sur ce genre de pratiques ?
Le terme espionnage, qu’il soit industriel, commercial ou économique, n’est pas spécifiquement mentionné dans les textes de droit français. Les actions en justice reposent principalement sur la violation :

• Du code pénal (vol de documents, violation du secret professionnel, violation de clauses de confidentialité),
• Des éléments du droit civil (dommages et intérêts pour un préjudice subi),
• Du code de la propriété intellectuelle (violation de brevet).

Le cadre juridique n’étant pas clair, les entreprises sont régulièrement victimes d’espionnage et très peu intentent une action en justice. D’abord par risque pour leur réputation, mais surtout parce que les chances de remporter leur procès sont souvent minces.

Au shaker ou à la cuillère ? Quelles différences entre la veille et l’espionnage ?

La veille et l’espionnage sont deux techniques utilisées pour collecter des informations. Toutefois, la veille acquiert ses informations par des moyens légaux, alors que l’espionnage est revêtu d’un manteau d’illégalité. La veille est le processus mis en place pour surveiller son environnement juridique, technologique et/ou concurrentiel. Elle permet de récolter les informations utiles pour l’activité propre de l’entreprise. L’espionnage commercial, économique et industriel, quant à lui, consiste à recueillir clandestinement des renseignements sur des personnes physiques ou morales, afin d’en tirer un avantage quelconque.

Les informations récoltées par les deux activités divergent également. La veille s’attache à collecter de l’information blanche, et, idéalement, de l’information grise. En d’autres termes, elle cherche respectivement à obtenir des données publiques et/ou à accès relativement restreint. L’espionnage, de son côté, se concentre sur l’information dite fermée, ou non-accessible. Sa collecte renvoie à des pratiques complètement illégales.

L’espion qui m’épiait

La protection de l’Information reste de nos jours une des préoccupations principales des organisations. Ne reculant devant rien, les “espions des temps modernes” n’hésitent plus à employer des techniques douteuses afin d’acquérir des renseignements stratégiques ou confidentiels. Leurs procédés visent aussi bien à exploiter des renseignements techniques que d’origines humaines. De manière non exhaustive, voici un échantillon des techniques utilisées par les espions :

• écoutes téléphoniques ou applicatifs (ex: skype),
• logiciels de type spyware ou virus, 
• vol de données ou piratages informatiques,
• intrusions physiques dans des locaux,
• photographies à l’insu des personnes, 
• recrutement d’anciens employés de concurrents, 
• intimidations, ou fouilles au corps,
• jouer les clients-mystères,
• etc.

La protection des informations est aujourd’hui devenue un sujet sensible pour toute entreprise. Avec le développement des moyens de communication modernes et la prolifération des échanges de toute nature, les données détenues par l’organisation doivent faire l’objet d’une attention renforcée. Alors, quelles types d’informations cela concerne t-il ? Comment les détracteurs de l’entreprise exploitent-ils les failles de sûreté ? Et comment sécuriser ce que la société produit ou émet ? On vous partage quelques trucs et astuces.

Se protéger : pourquoi ? pour quoi ? pour qui ?

Un pan méconnu de l’intelligence économique concerne tous les aspects liés à la protection de l’information. En effet, processus de veille engagé ou non, toute entreprise est à même de collecter, rédiger, traiter et communiquer des données. Et ce, en interne, comme à l’extérieur. Or, ces contenus sont parfois mal maîtrisés, et représentent ainsi une menace à court comme à long terme.

Par ailleurs, il serait illusoire de croire que la protection de l’information en entreprise ne regarde que les données sensibles. En d’autres termes, sécuriser ses données, ce n’est pas seulement mettre à l’abri ses renseignements financiers (investissements, marges, etc.), économiques (parts de marché, chiffre d’affaires, etc.) ou stratégiques (lancements, acquisitions, etc.).
La protection de l’information porte également sur toute indication utile et pertinente relative à l’activité de l’entreprise (fiches techniques, cotations, arguments de vente, etc.). Les informations surveillées dans le cadre de sa veille doivent aussi être protégées. Même s’il s’agit d’informations blanches, c’est-à-dire d’informations disponibles en libre accès sur Internet, savoir ce que l’entreprise suit peut déjà en dire long et révéler une partie de sa stratégie.

Enfin, se protéger ne se limite pas à contrôler les informations gérées par l’entreprise elle-même, et pour elle-même. D’autres informations peuvent être gérées par l’entreprise pour le compte de tiers (partenaires commerciaux, fournisseurs, distributeurs, etc.), et par des tiers pour le compte de l’entreprise. La protection des données intervient donc dans un périmètre plus large que celui réservé à l’organisation propre.

L’information : une mine d’or pour vos détracteurs

L’information, c’est le pouvoir ? En tout cas, obtenir une information, capitale ou non, apporte des possibilités d’actions à son détenteur.

Toute entreprise peut un jour rechercher des informations stratégiques au sujet de ses concurrents, mais l’inverse est également vrai, et chaque organisation peut alors devenir une cible. Il apparaît donc nécessaire d’identifier les différentes menaces probables. Celles-ci peuvent être liées :

• A des actions illicites destinées à exploiter des failles de la politique de sûreté de la société. Exemples les plus fréquents : les vols, les piratages informatiques, ou, plus récemment, les ransomware (prise en otage de données stratégiques d’une entreprise en échange d’une rançon)
• A des campagnes de désinformation. Elles sont généralement vouées à nuire à l’image ou à la réputation de l’entreprise. Elles peuvent naître de rumeurs ou de propos intentionnellement malveillants.
• A un manque de prudence de l’entreprise et de ses collaborateurs. L’absence de surveillance de documents, les déplacements professionnels, la prise de parole publique, le bavardage dans un lieu fréquenté, etc., sont autant d’opportunités de surprendre ou d’obtenir des informations qui ne nous sont pas réservées à l’origine.

Que mettre en place pour sécuriser les informations de l’entreprise ?

De fait, identifier la source des menaces permet de combler les brèches existantes et d’instaurer les correctifs appropriés en conséquence.

• Au sein de l’entreprise d’abord :
  • Les informations “communes”
    • Sensibiliser et responsabiliser les collaborateurs à la sécurité des données (enjeux, conséquences, menaces, etc.).
    • Repenser le cycle de vie et la traçabilité de l’information en rédigeant des procédures pour chaque étape (acquisition, diffusion, conservation, destruction).
    • Encadrer les stagiaires, notamment par rapport à leurs rapports de stage pouvant contenir des informations confidentielles.
  • Les informations dites « sensibles »
    • Inventorier et trier les informations sensibles. Ensuite, lister les personnes pouvant accéder aux différents classements de l’information.
    • Être vigilant et attentif par rapport aux origines et aux conditions de stockage de l’information sensible : chiffrement des données, clauses de confidentialité, etc.
  • Les innovations
    • Protéger ses innovations auprès de l’Institut National de la Propriété Industrielle (dépôt de brevets, dessins et modèles industriels, éléments de recherche et développement, enveloppe Soleau, etc.).
  • Les locaux
    • Sécuriser les accès à l’entreprise (code, badges, biométrie, registre des visites, consignes pour les téléphones portables des visiteurs, etc.)
    • Restreindre l’accès à certaines zones (salle des serveurs, bureaux du PDG, Directeur juridique, R&D, etc.)
    • Encadrer la navigation sur internet en interne en utilisant un compte administrateur
    • Si l’installation d’un quelconque matériel doit être effectuée au domicile personnel, le faire protéger par des moyens techniques efficaces, sélectionner et faire valider l’installateur par l’entreprise.

• Au niveau individuel enfin :
  • L’attitude :
    • Être discret, faire attention à ses propos, surtout dans les lieux publics.
    • Maîtriser sa communication quotidienne (même par réseaux sociaux et dans les e-mails personnels).
    • Rester prudent lorsqu’une personne vient vous aborder. C’est une technique toujours très utilisée pour manipuler et obtenir quelque chose de manière volontaire ou involontaire.
  • Le matériel :
    • Désactiver le Wi-Fi et le Bluetooth sur son téléphone portable professionnel lors de la visite d’un salon professionnel.
    • Mettre en place des codes de sécurité complexes et modifiés régulièrement (ne jamais laisser la session de son ordinateur professionnel/personnel ouverte).
    • Stocker le minimum de données nécessaires sur un ordinateur portable neuf.
    • Ne pas ouvrir d’e-mail d’origine inconnue.
    • Utiliser un support informatique d’origine externe connu et contrôlé.
    • Faire transiter les données très sensibles par la valise diplomatique de l’ambassade française au besoin.

Les sources humaines, une source d’information pour sa veille stratégique

La veille stratégique est le processus mis en place pour surveiller l’environnement marché d’une entreprise. Elle permet de récolter les informations utiles pour sa propre activité. Ces informations peuvent être issues de diverses sources : sites web, réseaux sociaux, bases de données, mais également des sources humaines, c’est-à-dire provenant de personnes physiques. Ce terme est issu du « renseignement », dont les méthodes d’acquisition d’information sont différentes : la subtilité peut résider dans la notion de la légalité de la collecte.

Identification des informations issues de sources humaines

L’information est une « donnée acquise d’une source ». On peut en distinguer plusieurs types, telles que :

• Information blanche : elle provient de sources ouvertes, elle est publique ou réservée (internet, presse, publications, plaquettes d’entreprises, et dans le cas de sources humaines, entretiens avec des experts/clients/fournisseurs/partenaires). On peut l’acquérir et la détenir légalement.
• Information grise : elle provient de sources ayant un accès restreint (intranets, bases de données…). Il s’agit d’une “information licitement accessible, mais caractérisée par des difficultés dans la connaissance de son existence ou de son accès”. Pour l’obtenir, il faut être habilité.
• Information noire : elle est dite fermée. C’est une “information à diffusion restreinte dont l’accès est strictement protégé”. Posséder ou diffuser celle-ci sans y être autorisé est illégal.
  On distingue également l’information formelle et l’information informelle :
  • Information formelle : c’est l’information qui est collectée et enregistrée sous forme de texte, de son ou d’image et sur différents supports (ex. textes de lois, brevets, publications, documents d’une entreprise, etc.)
  • Information informelle : on recueille ce type d’informations lors de salons, en collectant des échantillons, des prospectus, des emballages ou encore pour le cas de veille stratégique avec les sources humaines à la suite d’une rencontre avec des commerciaux, clients, fournisseurs, experts, etc
• Les sources humaines, par définition informelles, doivent donc permettre d’obtenir des informations blanches ou grises à haute valeur ajoutée. Elles peuvent être internes ou provenir de l’extérieur, mais sont acquises et utilisées ouvertement et en toute légalité afin d’être exploitées dans le cadre d’une activité d’intelligence économique.

Utilisation des sources humaines dans votre veille stratégique

Les sources humaines sont porteuses d’un nombre important d’informations potentiellement utiles, mais également d’incertitudes. Il convient de bien les utiliser pour obtenir une complémentarité aux sources dites « techniques » (en opposition aux sources humaines : bases de données, articles de presse…). Le recoupement des informations issues de ces sources permettra de les qualifier et de les analyser.
La première étape est celle de la création de son réseau de contacts (tel que des cercles économiques, les réseaux commerciaux…), passant par l’identification de la source : reste à savoir qui peut apporter une connaissance utile à la veille stratégique ?
La source doit être à la fois pertinente, fiable, mais également objective. Si elle ne l’est pas, il faudra prendre en compte la subjectivité de la personne pour le traitement de son renseignement. Cela vaudra qu’elle travaille dans l’entreprise ou soit une personne externe.
Il faut ensuite pouvoir qualifier la source et ses renseignements : ce contrôle qualité est essentiel afin d’établir un rapport de confiance vis-à-vis du contenu des informations. L’évaluation peut notamment se faire grâce à un recoupement. Si on retrouve la même information via une autre source (humaine ou non), on peut estimer plus facilement que cette source est fiable.
Comme pour une source technique, il faudra passer par les étapes classiques :

• Collecte de l’information (points réguliers ou spontanés avec la personne afin d’échanger, ou fiche à remplir) ;
• Analyse du renseignement et de la diffusion (tout en gardant l’anonymat de ses sources).

Il est également important de pouvoir échanger régulièrement avec la personne, pour lui assurer de son utilité : c’est ainsi qu’on la fidélise, grâce à ces échanges. Il est possible de les faciliter avec l’installation d’une boite email via la solution de veille KB Platform.

Les sources humaines en quelques mots

Les sources humaines apportent une forte valeur ajoutée dans la veille stratégique. Il convient de toujours varier ses sources pour ne pas dépendre uniquement d’un seul témoignage, de pouvoir les comparer et de mieux les qualifier. L’utilisation des sources humaines répond à un processus identique au schéma traditionnel d’une source technique.

Faire une veille superficielle et se contenter de l’information blanche n’est aujourd’hui plus démarquant. Accéder à l’information grise devient un enjeu critique. Comment atteindre ces données difficiles d’accès ?

Information blanche : un accès facilité

Pour que la veille soit efficace et soit un outil pertinent, il faut qu’elle soit constituée d’informations de qualité. L’accès y est souvent restreint on la nomme alors information blanche, c’est-à-dire celle facile à consulter car libre d’accès. 

Néanmoins, si ces informations sont facilement consultables, cela signifie tout le monde peut les consulter, que ces informations sont connues de beaucoup de monde. L’information blanche est de l’information accessible donc l’accès n’est pas restreint. Elle peut être recueillie dans la presse, sur internet, dans les banques de données, etc.
Ces informations peuvent avoir un impact moindre sur la prise de décision. Le décideur sait que sa décision n’aura pas l’avantage d’être anticipative ou exclusive par rapport aux mouvements du marché.

Information grise, plus difficile à consulter mais légale

Il est essentiel de parvenir à obtenir des informations de qualité et d’avoir accès à un autre type d’information, dites information grise, légalement accessible mais difficile d’accès. C’est une information inconnue du public, mais qui n’a pas été recueillie de manière illégale. Laissons de côté l’information noire, protégée par des contrats ou des textes juridiques.
Plus difficile d’accès, l’information grise est plus rare, mais essentielle pour se démarquer.  

Comment accéder à l’information grise ?

1 – Accès par le Web invisible

Surveiller le web invisible devient une nécessité pour qui veut obtenir de l’information démarquante. Pour cela, il est essentiel d’avoir accès au contenu non indexé par les moteurs de recherche. Les enregistreurs de macro sont un moyen efficace de mettre sous surveillance des pages protégées et accessibles uniquement par identification, ou encore de visiter des pages générées par des formulaires dynamiques. Ces pages, non référencés par les moteurs de type Google, contiennent de l’information grise.

2 – Formalisation de la remontée d’information grise

L’entreprise peut ne pas se contenter de chercher ses informations de veille sur internet, où la plupart des informations sont blanches. L’un des moyens d’obtenir de l’information grise est grâce à la collaboration. Les lecteurs de la veille doivent devenir veilleurs à leur tour, en partageant les informations auxquels ils sont accès. Les informations peuvent provenir de personnes qui ne sont pas veilleurs. La force de vente est notamment une source d’information grise, grâce au contact avec les fournisseurs et clients externes, qui apportent des informations orales qui ne sont pas accessibles par internet.
Formaliser la remontée d’informations et systématiser le partage de ces informations est essentiel et peut être facilement mis en place, en créant des canaux de communication directe entre les collaborateurs de la société et le département de veille :

• L’activation d’une adresse email récipiendaire d’informations dans la plateforme de veille permet de regrouper toutes les informations et de les transformer aisément en articles, en un clic.
• Il est également possible de donner le droit à tous ou certains de ses utilisateurs de créer des articles, qui seront automatiquement publiés ou devront être validés par un veilleur.

Si la veille est gérée par le département de veille, nombreux sont ceux qui pensent qu’il ne doit pas être l’unique acteur de la veille. Pour aller plus loin que de simples canaux de communication, l’aspect coopératif de la veille peut être entériné grâce à un espace collaboratif. L’utilisateur de la plateforme de veille passe alors du statut de lecteur à celui d’acteur. Il peut suggérer du contenu, publier des articles et participer à des groupes de discussion. De cet effort collaboratif et de cette rencontre des esprits peuvent émerger de l’information grise plus conséquente que l’équipe de veille n’aurait pu regrouper d’elle-même.