Objet de diverses interprétations, la veille est encore un domaine assez méconnu du grand public. Parmi les quiproquos récurrents subsiste celui de l’amalgame entre la veille et l’espionnage. Alors, réalité ou fantasme ? Pourquoi ces deux notions se confondent-elles ? Comment clairement distinguer la veille et l’espionnage ? Quelles sont, dans les grandes masses, les tactiques utilisées pour soutirer de l’information ?

Dangereusement vôtre : pourquoi une telle confusion ?

Une des causes les plus plausibles pourrait être la cinématographie hollywoodienne. Elle a largement contribué à la diffusion de films liées aux thématiques de surveillance ou d’espionnage industriel. Des affaires comme celle des Swissleaks et des longs-métrages comme Snowden continuent de défrayer régulièrement la chronique. De manière plus fictive, des films ou des séries comme James Bond ou La Casa de Papel sont rentrés dans la culture populaire. Et la recette est souvent toujours la même : surveiller ou hacker de manière illégale semble aussi facile que d’actionner un interrupteur pour allumer une lumière.

Que nous dit la loi sur ce genre de pratiques ?
Le terme espionnage, qu’il soit industriel, commercial ou économique, n’est pas spécifiquement mentionné dans les textes de droit français. Les actions en justice reposent principalement sur la violation :

• Du code pénal (vol de documents, violation du secret professionnel, violation de clauses de confidentialité),
• Des éléments du droit civil (dommages et intérêts pour un préjudice subi),
• Du code de la propriété intellectuelle (violation de brevet).

Le cadre juridique n’étant pas clair, les entreprises sont régulièrement victimes d’espionnage et très peu intentent une action en justice. D’abord par risque pour leur réputation, mais surtout parce que les chances de remporter leur procès sont souvent minces.

Au shaker ou à la cuillère ? Quelles différences entre la veille et l’espionnage ?

La veille et l’espionnage sont deux techniques utilisées pour collecter des informations. Toutefois, la veille acquiert ses informations par des moyens légaux, alors que l’espionnage est revêtu d’un manteau d’illégalité. La veille est le processus mis en place pour surveiller son environnement juridique, technologique et/ou concurrentiel. Elle permet de récolter les informations utiles pour l’activité propre de l’entreprise. L’espionnage commercial, économique et industriel, quant à lui, consiste à recueillir clandestinement des renseignements sur des personnes physiques ou morales, afin d’en tirer un avantage quelconque.

Les informations récoltées par les deux activités divergent également. La veille s’attache à collecter de l’information blanche, et, idéalement, de l’information grise. En d’autres termes, elle cherche respectivement à obtenir des données publiques et/ou à accès relativement restreint. L’espionnage, de son côté, se concentre sur l’information dite fermée, ou non-accessible. Sa collecte renvoie à des pratiques complètement illégales.

L’espion qui m’épiait

La protection de l’Information reste de nos jours une des préoccupations principales des organisations. Ne reculant devant rien, les “espions des temps modernes” n’hésitent plus à employer des techniques douteuses afin d’acquérir des renseignements stratégiques ou confidentiels. Leurs procédés visent aussi bien à exploiter des renseignements techniques que d’origines humaines. De manière non exhaustive, voici un échantillon des techniques utilisées par les espions :

• écoutes téléphoniques ou applicatifs (ex: skype),
• logiciels de type spyware ou virus, 
• vol de données ou piratages informatiques,
• intrusions physiques dans des locaux,
• photographies à l’insu des personnes, 
• recrutement d’anciens employés de concurrents, 
• intimidations, ou fouilles au corps,
• jouer les clients-mystères,
• etc.

La protection des informations est aujourd’hui devenue un sujet sensible pour toute entreprise. Avec le développement des moyens de communication modernes et la prolifération des échanges de toute nature, les données détenues par l’organisation doivent faire l’objet d’une attention renforcée. Alors, quelles types d’informations cela concerne t-il ? Comment les détracteurs de l’entreprise exploitent-ils les failles de sûreté ? Et comment sécuriser ce que la société produit ou émet ? On vous partage quelques trucs et astuces.

Se protéger : pourquoi ? pour quoi ? pour qui ?

Un pan méconnu de l’intelligence économique concerne tous les aspects liés à la protection de l’information. En effet, processus de veille engagé ou non, toute entreprise est à même de collecter, rédiger, traiter et communiquer des données. Et ce, en interne, comme à l’extérieur. Or, ces contenus sont parfois mal maîtrisés, et représentent ainsi une menace à court comme à long terme.

Par ailleurs, il serait illusoire de croire que la protection de l’information en entreprise ne regarde que les données sensibles. En d’autres termes, sécuriser ses données, ce n’est pas seulement mettre à l’abri ses renseignements financiers (investissements, marges, etc.), économiques (parts de marché, chiffre d’affaires, etc.) ou stratégiques (lancements, acquisitions, etc.).
La protection de l’information porte également sur toute indication utile et pertinente relative à l’activité de l’entreprise (fiches techniques, cotations, arguments de vente, etc.). Les informations surveillées dans le cadre de sa veille doivent aussi être protégées. Même s’il s’agit d’informations blanches, c’est-à-dire d’informations disponibles en libre accès sur Internet, savoir ce que l’entreprise suit peut déjà en dire long et révéler une partie de sa stratégie.

Enfin, se protéger ne se limite pas à contrôler les informations gérées par l’entreprise elle-même, et pour elle-même. D’autres informations peuvent être gérées par l’entreprise pour le compte de tiers (partenaires commerciaux, fournisseurs, distributeurs, etc.), et par des tiers pour le compte de l’entreprise. La protection des données intervient donc dans un périmètre plus large que celui réservé à l’organisation propre.

L’information : une mine d’or pour vos détracteurs

L’information, c’est le pouvoir ? En tout cas, obtenir une information, capitale ou non, apporte des possibilités d’actions à son détenteur.

Toute entreprise peut un jour rechercher des informations stratégiques au sujet de ses concurrents, mais l’inverse est également vrai, et chaque organisation peut alors devenir une cible. Il apparaît donc nécessaire d’identifier les différentes menaces probables. Celles-ci peuvent être liées :

• A des actions illicites destinées à exploiter des failles de la politique de sûreté de la société. Exemples les plus fréquents : les vols, les piratages informatiques, ou, plus récemment, les ransomware (prise en otage de données stratégiques d’une entreprise en échange d’une rançon)
• A des campagnes de désinformation. Elles sont généralement vouées à nuire à l’image ou à la réputation de l’entreprise. Elles peuvent naître de rumeurs ou de propos intentionnellement malveillants.
• A un manque de prudence de l’entreprise et de ses collaborateurs. L’absence de surveillance de documents, les déplacements professionnels, la prise de parole publique, le bavardage dans un lieu fréquenté, etc., sont autant d’opportunités de surprendre ou d’obtenir des informations qui ne nous sont pas réservées à l’origine.

Que mettre en place pour sécuriser les informations de l’entreprise ?

De fait, identifier la source des menaces permet de combler les brèches existantes et d’instaurer les correctifs appropriés en conséquence.

• Au sein de l’entreprise d’abord :
  • Les informations “communes”
    • Sensibiliser et responsabiliser les collaborateurs à la sécurité des données (enjeux, conséquences, menaces, etc.).
    • Repenser le cycle de vie et la traçabilité de l’information en rédigeant des procédures pour chaque étape (acquisition, diffusion, conservation, destruction).
    • Encadrer les stagiaires, notamment par rapport à leurs rapports de stage pouvant contenir des informations confidentielles.
  • Les informations dites « sensibles »
    • Inventorier et trier les informations sensibles. Ensuite, lister les personnes pouvant accéder aux différents classements de l’information.
    • Être vigilant et attentif par rapport aux origines et aux conditions de stockage de l’information sensible : chiffrement des données, clauses de confidentialité, etc.
  • Les innovations
    • Protéger ses innovations auprès de l’Institut National de la Propriété Industrielle (dépôt de brevets, dessins et modèles industriels, éléments de recherche et développement, enveloppe Soleau, etc.).
  • Les locaux
    • Sécuriser les accès à l’entreprise (code, badges, biométrie, registre des visites, consignes pour les téléphones portables des visiteurs, etc.)
    • Restreindre l’accès à certaines zones (salle des serveurs, bureaux du PDG, Directeur juridique, R&D, etc.)
    • Encadrer la navigation sur internet en interne en utilisant un compte administrateur
    • Si l’installation d’un quelconque matériel doit être effectuée au domicile personnel, le faire protéger par des moyens techniques efficaces, sélectionner et faire valider l’installateur par l’entreprise.

• Au niveau individuel enfin :
  • L’attitude :
    • Être discret, faire attention à ses propos, surtout dans les lieux publics.
    • Maîtriser sa communication quotidienne (même par réseaux sociaux et dans les e-mails personnels).
    • Rester prudent lorsqu’une personne vient vous aborder. C’est une technique toujours très utilisée pour manipuler et obtenir quelque chose de manière volontaire ou involontaire.
  • Le matériel :
    • Désactiver le Wi-Fi et le Bluetooth sur son téléphone portable professionnel lors de la visite d’un salon professionnel.
    • Mettre en place des codes de sécurité complexes et modifiés régulièrement (ne jamais laisser la session de son ordinateur professionnel/personnel ouverte).
    • Stocker le minimum de données nécessaires sur un ordinateur portable neuf.
    • Ne pas ouvrir d’e-mail d’origine inconnue.
    • Utiliser un support informatique d’origine externe connu et contrôlé.
    • Faire transiter les données très sensibles par la valise diplomatique de l’ambassade française au besoin.

Véritable bête noire des journalistes, la “fake news” (ou “infox” pour les puristes) a envahit notre quotidien. Cette “fausse nouvelle” s’immisce et se propage tel un virus au sein du flux permanent d’informations. Dans le processus de veille, elle peut s’avérer dangereuse lors d’analyses de résultats et de prises de décisions hâtives. Pour autant, doit-on systématiquement la bannir ? La vérité est souvent bien plus complexe qu’une logique binaire 1-0 ou vrai-faux. D’une rumeur peut parfois émerger une innovation. Le travail du veilleur s’apparente alors parfois à une (vraie) enquête. Tel un détective privé, il remonte l’information, cherche des indices et s’assure de disposer de tous les éléments pour pouvoir clore le dossier.

1/ Vérifier ses sources

Lors de la collecte d’informations, l’enquêteur-veilleur se doit de vérifier ses sources. En d’autres mots, il doit s’assurer que les sites, personnes, entreprises, références, etc. d’où il puise ses données sont dignes de confiance. Cela pourrait paraître une évidence, mais il arrive régulièrement que cette étape soit négligée.

Comment s’y prendre concrètement ?

• Avoir du flair concernant l’émetteur de l’information
  • Vérifier les informations de base de l’auteur ou de l’entreprise : activité, longévité/date de création, statut, structure et organisation, etc.
  • Déterminer le lien entre l’auteur et l’information publié : la nouvelle fait-elle du sens au regard de son activité ? L’émetteur a t-il légitimité à publier cette information ? Est-ce une référence dans le domaine ? Etc.
  • Définir s’il s’agit d’une publication originelle ou bien s’il s’agit d’un simple relai d’information. Auquel cas, il faudra remonter à la source de départ.

• S’attacher aux petits indices qui font la différence
  Sur la publication en tant que telle :
  • Se méfier de l’information, quelle qu’elle soit. L’un des principe de base étant de ne pas prendre pour argent comptant ce qui est écrit. Faire appel à son jugement, ou à son bon sens peut parfois éviter certains écueils. 
  • Vérifier la date de l’article. S’agit-il d’une information ancienne ? S’agit-il d’une information trop récente ?
  • Analyser le style et la qualité de la nouvelle. Contient-elle des fautes ? Est-elle facilement lisible ? Doit-on payer ou donner ses coordonnées pour y accéder ?
  • La source contient-elle elle même des sources ? Quel est le degré de fiabilité de ces sources ? Les propos sont-ils étayés par des études ?

2/ Croiser ses informations

Après avoir pris le temps d’évaluer ses sources d’information, le veilleur est à même d’identifier différentes pistes d’analyse. Il recoupe les données qu’il possède, en les mettant devant leurs incohérences. Au fur et à mesure, il arrive alors à affiner ses hypothèses et à en éliminer certaines.

Pour ce faire, le veilleur peut s’appuyer sur :

• La confrontation des sources
  En utilisant la fonction d’alerte de dédoublonnage, le veilleur évite d’ajouter plusieurs fois la même source d’information à l’outil de collecte de données.
• La corrélation des faits
  Le chargé de veille peut être alerté lorsque le contenu des articles sont similaires via le moteur d’analyse lexicale. Cet outil permet de placer les publications en face à face et de mettre en évidence les parties qui sont semblables. De cette façon, le veilleur peut choisir de conserver tel ou tel article selon son origine ou si celui-ci fait état d’une analyse complémentaire.

3/ Évaluer le mobile de l’indique

Dernier atout caché dans la longue veste de l’inspecteur-veilleur : son instinct. Son expérience et ses compétences lui permettent d’avoir un œil avisé sur l’Information. Il traite et exploite les données récoltées pour les projeter et les appliquer à l’entreprise. Son jugement rend possible l’interprétation des signaux faibles et la prise de décision au niveau stratégique.

Pour y parvenir, le détective-veilleur ne doit pas se laisser influencer par ceux qui ont un intérêt à faire capoter l’enquête :

• Il écarte de ses sources les sites à caractère commercial ou les auteurs qui vendent directement leurs services.
• Le veilleur reste vigilant quant aux annonces ou aux résultats de recherche pour lesquels l’émetteur de l’information a payé pour être référencé dans les premières positions.
• Via son outil de veille, il indique à ses lecteurs la valeur d’une information collectée. A cette fin, il assigne un marqueur (tag) à la publication permettant de la qualifier. A titre d’exemples : “information vérifiée”, “information officielle”, “rumeurs”, etc. Ces dernières ne sont pas nécessairement intéressantes. Toutefois, elles peuvent souligner l’émergence de nouvelles tendances ou mettre en avant le ressenti du public vis-à-vis d’une nouvelle.

Vous définissez (ou redéfinissez) vos besoins informationnels pour votre projet de veille, et vous ne savez pas trop par où commencer ? Cet article est fait pour vous. Cette première étape du processus de veille joue un rôle capital et peut être déterminant pour la suite. Alors comment faire pour bien poser le cadre de sa veille ? Quelles informations seront les plus pertinentes à surveiller par rapport à ses besoins ? Y a t-il des astuces pour identifier les bonnes manières de procéder ?

Posons ensemble les fondations de l’édifice de la veille.

L’importance de cerner les (bons) besoins en information

Comme nous l’avons déjà évoqué dans un autre article, mettre en place son projet de veille demande de respecter quelques étapes clés. L’analyse des besoins en constitue la première étape, avant la collecte, le traitement et la diffusion des informations. A ce titre, elle forge la performance des paliers suivants dans le processus. Cette phase n’est donc pas à sous-estimer.

On le constate souvent, une bonne préparation conditionne une bonne partie de l’action engagée. “Si j’avais 6 heures pour abattre un arbre, je passerai les 4 premières à affûter ma hache.” écrivait d’ailleurs Abraham Lincoln. Bien définir en amont les objectifs et les besoins répondant à son projet de veille peut ainsi contribuer vivement à son succès.

Mais encore faut-il savoir distinguer les besoins occasionnels des besoins réguliers. Il arrive effectivement que l’entreprise se méprennent sur le périmètre réel de sa veille, et y intègre des éléments qui n’ont pas leur place à long terme. Par exemple, elle confond parfois problématiques ponctuelles, liées à un rachat ou à un partenariat; et enjeux durables pour son activité, tels que la surveillance de ses concurrents. Instaurer le cadre de sa veille oblige donc les collaborateurs à opérer de vrais arbitrages. Elle les pousse à s’inscrire dans le cœur même du business de la société et à départager l’actualité du besoin métier. A défaut, le risque est d’initier une veille portée sur des contenus inadaptés, de générer inutilement du bruit, et ainsi de perdre en efficacité.

Comment détecter les besoins informationnels ?

Comprendre la nécessité d’identifier les bonnes attentes pour son processus de veille est une chose. Délimiter de manière claire et précise son rayonnement en est une autre bien plus délicate.

• Quelles sont les personnes moteurs de ma veille ?
  Il s’agit tout d’abord de distinguer les collaborateurs décisionnaires. En d’autres termes, les personnes clés capables d’avoir une vision globale des intérêts de l’entreprise. Il s’agit également de capter la chaîne de distribution de l’information au sein de l’organisation. Le but étant d’entourer son projet de veille des personnes à même de répartir l’information aux personnes appropriées.

• Quels sont les contours de ma veille ?
  Autrement dit, quel est l’éventail des sujets que ma veille doit balayer ? Pour répondre à quels objectifs en particulier ? Il convient ici de cadrer l’expression de ses besoins. La finalité est de parvenir à inventorier les sources d’informations principales à surveiller. C’est également de lister les mots-clés à pister, ainsi que les mots d’exclusions à écarter.

• Quelle fréquence pour ma veille ?
  L’idée est tout simplement d’estimer la fréquence des recherches à effectuer. C’est-à-dire définir un rythme de collecte de l’information. Cette fréquence à définir devra tenir compte des temps de traitement et d’analyse des données. Elle pourra aussi être fonction de la fréquence des publications à communiquer.

• Quelle(s) forme(s) pour ma veille ?
  Il s’agit ici de réfléchir aux paramètres de restitution de la veille. A savoir, par exemple, opter pour des alertes immédiates ou sous forme de newsletters ou bulletins périodiques. Autre exemple, approfondir la question d’un suivi détaillé de l’ensemble de l’information disponible, ou bien faire le choix de synthétiser les données. Se poser ce type de questions à cette étape du processus peut sembler prématuré. En réalité, il est important d’essayer d’y répondre à ce stade car les réponses conditionneront la manière de recueillir l’information.

Définir le périmètre de sa veille : les pièges à éviter

Voici les quelques questions de base pour y parvenir :

Lorsqu’il est question de définir l’étendue de son cycle de veille, certains écueils sont fréquents. Ils sont souvent liés à un manque de prise de recul et de temps consacré à cette étape clé. On retrouve :

• Un périmètre trop restreint :
  Attention à ne pas forcément s’en tenir aux besoins exprimés de manière stricte. Il semble au contraire utile d’ouvrir le champ de sa veille aux domaines périphériques de l’entreprise. Un conseil : rester curieux et être à l’affût de toute information originale peut aider. Après tout, c’est en cherchant un remède contre l’ulcère que l’aspartame a bien été inventé !

• Un périmètre trop large :
  A contrario, il convient cependant de limiter le cercle de ses recherches afin que celui-ci ne soit pas trop vaste. Un trop plein d’informations rendra le traitement et l’analyse plus longue et plus complexe. A terme, cela pourrait également décrédibiliser votre veille, noyant les informations pertinentes dans la masse.

• Un périmètre figé :
  Enfin, l’erreur commune est de voir l’analyse des besoins comme quelque chose d’immuable. Elle est, à l’inverse, à revoir régulièrement. En effet, elle doit suivre les évolutions de l’entreprise. Voir émerger de nouveaux besoins internes, mettre-à-jour ses objectifs en fonction de son marché, et réajuster son schéma de veille suite à l’arrivée de nouveaux collaborateurs, sont autant de raisons possibles d’améliorer son procédé de veille en continu.