La journée mondiale du mot de passe, ce 6 mai, est là pour nous rappeler combien la cybersécurité constitue un élément central en veille stratégique. Application, infrastructure : les enjeux se situent à plusieurs endroits. Explications.

En quelques mois, la pandémie de COVID-19 aura eu un effet très net sur l’utilisation de nos mots de passe. Selon certains spécialistes, à la fin de l’année 2020, un internaute moyen devait retenir une centaine de « passwords », soit 25% de plus que quelques mois plus tôt. Le développement du télétravail a encore accéléré ce phénomène, attirant l’attention de chacun vis-à-vis de la notion d’hygiène numérique. Et pour cause : en 2022, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) relevait dans son panorama de la cybermenace que les cybercriminels étaient toujours plus performants, en lien avec l’appât du gain, l’espionnage ou la déstabilisation.

---

Une demande plus forte des clients

Les solutions de veille stratégique et économique sont largement impactées par cette problématique cyber. Elles concernent les entreprises qui, privées comme publiques, ont recours à des solutions de veille en mode SaaS. Elles impactent également les éditeurs de veille eux-mêmes, dont les solutions doivent être le plus protégées possibles. Pour les premières, l’enjeu est clair, et il s’exprime dès la phase de la consultation ou de l’appel d’offre. Les données, les requêtes, les thèmes de curation sont-ils protégés ? Telle est la question qui est le plus fréquemment posée, et qui depuis quelques années est devenue un passage obligé. Dans ce contexte, l’enjeu pour l’éditeur consistera à déployer les outils et méthodes adaptés à toute attaque, à anticiper, à tenter de déployer des parades. Même si en l’espèce, il convient de demeurer humble, l’idée est de prévoir au maximum toute attaque afin de ne pas se trouver démuni si le danger venait à se préciser. En cela, il faut bien admettre que les entreprises clientes ont depuis quelques années forcé leurs éditeurs de veille à progresser, englobant la dimension cyber dans le Règlement général sur la Protection des Données (RGPD). C’est très net lorsque l’on consulte les appels d’offres : on y trouve parfois presque autant de demandes de solutions fonctionnelles que d’éléments liés à la sécurité des données.

---

Protéger les applications de veille

Les éditeurs de veille doivent ainsi être particulièrement vigilants sur la cybersécurité, et accorder une attention spécifique aux différents points de fragilité qui les concernent. Deux d’entre eux sont plus particulièrement importants à préserver. 

Les applications développées pour la veille constituent le premier point de vigilance. Ouvertes sur le Web et accessibles via un login et un mot de passe, elles sont suspectibles d’être piratées à tout moment. En tant que développeur d’une solution de veille, il convient d’être particulièrement attentif, et ce dès la phase de conception de l’outil. Il y a des règles à respecter afin de jouer sur les codes, sachant que toute faille pourrait permettre aux cyberattaquants de récuprer la liste de l’ensemble des utilisateurs enregistrés dans la base de données. Verrouiller est donc le mot d’ordre absolu en termes de développement. Cela signifie de veiller à la bonne étanchéité des accès, afin qu’un hacker ne puisse s’ouvrir un accès à plusieurs clients à partir d’un seul. Dans cette approche, le postulat de départ est le suivant : la cybersécurité démarre dès la phase du développement. Un code source mal assuré, c’est une faille ! Il s’agit ici de bien repérer chaque point d’entrée possible, et de le colmater.

---

Protéger l’infrastructure

Protéger l’infrastructure est le second grand chantier à mener, et ce en permanence. Dans ce cas précis, il existe plusieurs niveaux de sécurité, identifiés à différents endroits de l’architecture du réseau. Les points d’entrée par lesquels passent tous les clients en sont un premier. Les serveurs, puis les applications en sont d’autres. Les équipes techniques le constatent régulièrement : les tentatives d’intrusion sur l’infrastructure sont régulières, et émanent le plus souvent de groupes issus de pays étrangers. Un contexte qui amène très régulièrement à lancer en chaîne de nombreux tests. En l’espèce, le fait d’être présent sur un cloud privé n’est pas nécessairement une faiblesse. Il faut simplement que le travail de sécurisation soit correctement effectué, en adoptant les techniques et les outils les mieux adaptés à toutes les situations possibles, sans oublier les bonnes pratiques. S’il est sérieux, un éditeur de solutions de veille pourra tout à fait garantir à ses clients un niveau de cybersécurité minimal.

Pour autant, il faut rester modeste. L’ANSSI l’indique dans son panorama 2022 : toutes les entreprises, y-compris les TPE et les PME, sont actuellement les cibles de cyberattaques. Les éditeurs de logiciels sont donc tout autant exposés que les autres. C’est pour cette raison que la formation de nos développeurs est une clé. Nous observons depuis quelques années que les ingénieurs informatique ont une sensibilité et des compétences accrues en termes de cybersécurité. En sus de cette appétance, il convient de veiller à ce qu’ils soient formés en permanence, tant la nature des attaques évolue. Ne jamais s’endormir sur ses lauriers : tel est le challenge technologique qu’il convient de relever.

Learn More

Depuis quelques années, la voix est de plus en plus prisée afin de commander nos smartphones ou nos assistants vocaux, mais également pour avoir accès à des informations de plus en plus larges. La journée mondiale de la radio, ce lundi 13 février, nous permet de faire le point sur cette forte inclination, qui touche aussi le secteur de la veille.

La tendance est sociétale et elle agit depuis plusieurs années comme une lame de fond : de plus en plus d’organisations se mettent en quête du son – voire de la radio – afin de parfaire leur veille. Il faut dire que le marché de la reconnaissance vocale est, tous secteurs et toutes activités continues, en plein essor. Evalué à quelque 10,7 Mds $ US en 2020 (9,87 Mds €), il devrait atteindre 27,15 Mds $ US à l’échéance 2026 (25,04 Mds €), avec un taux de croissance annuel de près de 17% (Source : Mordor Intelligence).

---

Des sources orales captées grâce au Speech to Text

Dans le champ de l’intelligence économique, de plus en plus d’organisations sont en demande de solutions de veille capables de surveiller à la fois des contenus audio et des sources vidéo. Conférences, discours, podcasts, webinaires, ateliers, réunions… Les solutions de veille les plus qualitatives et les plus expérimentées du marché s’attachent à capter ces sources d’information multiples et parfois très qualitatives, afin de les transformer en textes.

Technologie de pointe développée spécifiquement, le Speech to Text permet tout particulièrement d’opérer une veille remarquable sur Youtube, véritable vitrine pour la quasi-totalité des organisations. Il est également très prisé par les documentalistes (lorsqu’il y en a au sein des entreprises) ainsi que par les structures scientifiques. Car les contenus sont légion, y-compris sur certains réseaux sociaux), pour consolider des connaissances parfois très pointues, pour ne pas dire de niche.

---

De nouvelles étapes à franchir

Telle qu’elle se présente aujourd’hui, la conversion de la parole en textes n’en est toutefois qu’à ses premiers balbutiements. En l’espèce, nous observons que le temps de la maturité est à venir. D’ici là, quelques caps demeurent encore à franchir. Nous pouvons en retenir au moins deux.

Le premier est d’ordre juridique, et nous renvoie au RGPD, le Règlement Général sur la Protection des Données. La voix de chacun d’entre nous constitue en effet une donnée biométrique. Elle permet de reconnaître le locuteur, et à ce titre elle se trouve protégée par plusieurs législations de protection des données. Pour le dire autrement, tout contrôle et toute exploitation de ces données se trouvent strictement encadrés, générant parfois la suspicion des personnes dont les informations sont collectées (par exemple dans le cadre d’un webinaire ou d’une conférence).

Le second cap qu’il conviendra de franchir à l’avenir est plus directement lié à la veille économique qui s’opère parmi les informations issues des médias radios – et singulièrement des podcasts. Certes, ces derniers (de plus en plus nombreux sur les plateformes de nos radios, à l’image de Radio France) constituent des sources précieuses, parce que souvent centrées sur des enjeux pointus. Il convient toutefois de savoir qu’à ce jour de nombreux médias refusent que leurs podcasts se trouvent captés. Pour que cela soit le cas, il faut passer par Youtube… si toutefois le contenu y a été déposé par la radio en question !

Au-delà de ces écueils, une chose reste sûre : au niveau des services comme des usages, de plus en plus d’appareils intègrent la voix comme principal vecteur d’expression ou de commande. Des assistants vocaux à nos smartphones, une part de plus en plus grande de nos environnements numériques ne nous obéissent plus seulement au doigt et à l’œil, mais bel et bien à la voix. Le secteur de l’intelligence économique n’y échappera pas et sera, quoi que l’on en pense, amené à poursuivre dans cette voie.

Learn More

Les sanctions de la CNIL auprès des entreprises ne respectant pas le RGPD se multiplient. Une étape dans l’acculturation des organisations au respect des données personnelles, que la journée mondiale du 28 janvier (« Data Privacy Day ») permet d’évoquer.

Depuis plusieurs mois, la Commission Nationale de l’Informatique et des Libertés (CNIL) multiplie les sanctions à l’attention d’entreprises ne respectant par le Règlement Général sur la Protection des Données (RGPD). Le 15 septembre 2022, elle attribuait une amende record de 405 M€ à Instagram pour divulgation publique d’adresses de mails et/ou de numéros de téléphone. Le 20 octobre, elle sanctionnait la société Clearview AI pour collecte de données de personnes se trouvant en France. Un mois plus tard, Discord INC ainsi qu’EDF étaient priées de s’acquitter respectivement de 800 000 € et  600 000 €. Au mois de décembre dernier, la CNIL sanctionnait entre autres Microsoft, Apple, TikTok et la société Voodoo…

---

Discord : les données de 2,5 millions de comptes français conservées

Que nous disent ces différentes décisions sur la protection des données personnelles ? D’abord que le « gendarme » français de nos données, à savoir la CNIL, se montre extrêmement vigilant quant au respect des textes en vigueur, édictées en avril 2016 avant d’être appliqués en 2018. Prenons l’exemple de Discord : après contrôle de la CNIL, l’entreprise s’est révélée dans l’incapacité de respecter la durée de conservation des (très nombreuses) données qu’elle véhiculait au quotidien – à savoir des échanges oraux, à la fois de nature professionnelle et personnelle. Elle a notamment relevé que les informations de près de 2,5 millions de comptes français inutilisés depuis plus de trois années avaient été conservées par l’entreprise américaine. La CNIL a aussi noté que Discord avait manqué à son obligation d’information sur les durées de conservation, et que l’application vocale demeurait connectée à l’ordinateur lorsque l’utilisateur avait fermé la fenêtre. La sécurité des données personnelles a par ailleurs été pointée du doigt dans la mesure où le mot de passe de l’entreprise n’était pas suffisamment robuste (aucune variation entre les types de caractères n’était exigée), et qu’aucune étude d’impact relative à la protection des données n’avait été diligentée par Discord. 

---

Le temps du respect du RGPD est venu

Bien que relativement modeste eût égard aux quelque 400 M€ réclamés à Instagram par la CNIL, l’amende infligée à Discord pointe une différence d’approche patente entre la protection des données telle qu’elle est pratiquée au sein de l’Union Européenne, et celle qui est en vigueur Outre-Atlantique. Des organisations telles que Microsoft, Apple ou encore Clearview relèvent clairement d’une culture juridique où l’orientation business prédomine sur la défense du consommateur, c’est-à-dire du citoyen. Après quelques années au cours desquelles certaines pratiques ont été constatées sans engendrer de sanctions, nous sommes semble-t-il entrés dans une autre séquence. Estimant sans doute que les organisations – notamment celles qui sont basées hors de l’UE – ont largement eu le temps de s’acculturer au RGPD, la CNIL fait valoir son droit de faire respecter strictement la loi continentale. Une nouvelle que l’ensemble des délégués à la protection des données (DPO) doivent désormais pleinement intégrer, surtout en cas de retard de mise en conformité au sein de leur entreprise…

C’est sur ce point sans doute que les organisations (françaises comme étrangères) doivent actuellement se montrer vigilantes. La Journée Européenne de la Protection des Données à Caractère Personnel (Data Privacy Day) de ce 28 janvier est là pour nous rappeler combien les données personnelles relèvent d’un bien spécifique, sanctuarisé, précieux, dans un contexte tout à la fois marqué par une recrudescence des cyber-attaques, une instabilité internationale qui perdure et des transitions plurielles à mener. 

Au passage, cette journée symbolique du 28 janvier rappellera aux veilleurs comme aux entreprises férues d’intelligence économique la nature exacte de leur rôle lorsque des recherches sont opérées. Il est en effet de la responsabilité de chacun que les outils de curation utilisés ne captent pas de données personnelles, encore moins que celles-ci ne se retrouvent stockées au sein de serveurs professionnels. Une évidence qu’il est toujours bon de conserver à l’esprit…

Learn More

EDITO

Depuis plusieurs semaines des bouleversements géopolitiques impactent nos organisations et mettent en lumière le rôle prépondérant de la veille pour agir et réagir face à ces changements qui selon toute vraisemblance vont entraîner des conséquences majeures jusque dans notre quotidien. Quelles soient politiques, sociales, économiques, sanitaires ou encore écologiques, ces mutations sont déjà amorcées mais elles prennent une nouvelle tournure et s’accélèrent pour répondre aux impératifs de l’actualité. Dans un contexte dont la notion de mouvement permanent n’est plus à démontrer, l’information s’impose de plus en plus comme une donnée stratégique dont la valeur ne cesse de prendre de l’importance. Dans ces moments de trouble où les informations se multiplient et les canaux de communication s’ajoutent les uns aux autres, le veilleur prend toute son importance. Véritable tour de contrôle, il élimine les bruits indésirables et autres fausses nouvelles pour ne garder que le meilleur et le plus utile dans ce tourbillon de données. Aucune machine, aucun algorithme aujourd’hui n’a la capacité de remplacer l’œil et la connaissance de l’humain. Bien évidemment nos plate-formes utilisent ces technologies d’intelligence artificielle ou de machine learning mais uniquement dans le but d’aider et de faciliter le travail des équipes de veille. L’essentiel n’est pas de faire à la place du veilleur mais de lui redonner du temps pour l’analyse en le débarrassant de certaines actions à faible valeur ajoutée. On a notamment vu fleurir sur les plateaux de télévision des cellules de « fact checking » avec des armées de journalistes et stagiaires qui s’affèrent à vérifier les affirmations des candidats à l’élection présidentielle et réaliser une veille en direct. Le veilleur est plus que jamais le garant de qualité informationnelle.

Arnaud MARQUANT

---

ZOOM SUR…

• SAVE THE DATE  – WEBINAR :

---

TEMOIGNAGE

Le cas client Systra : un département de veille grâce à la solution KB Crawl

Spécialiste depuis 1957 des solutions de transport public guidé, Systra est à l’origine de 50% des lignes de métro et à grande vitesse à l’échelle mondiale. Depuis 10 ans, l’entreprise fait confiance à KB Crawl SAS pour ses solutions de veille, de plus en plus utilisées en interne – et prisées par le Top Management.

Chez Systra, ce mois de mars n’est pas tout à fait un mois comme les autres. « En mars, nous lançons la nouvelle ergonomie de nos newsletters de veille », indique Brigitte Verchère, responsable du département Management des Connaissances de l’entreprise. « Pour cela, nous avons travaillé en collaboration avec nos collègues de la direction de la Communication. Nous nous sommes adaptés, avons mis en place des pages d’accueil différenciées qui permettront à chacun d’opter pour un design personnalisé… en espérant séduire un peu plus encore de personnes en interne. »

« KB Crawl correspondait le plus à nos besoins »

Société d’ingénierie spécialisée dans les solutions de transport public guidé et issue du rapprochement de la SNCF et de la RATP, Systra rassemble des ingénieurs, des architectes et des experts en planification territoriale. Créée en 1957, la société emploie actuellement 8 000 collaborateurs, dont une majeure partie à l’international. « Nous sommes à l’origine de 50% des lignes à grande vitesse et d’un réseau de métros sur deux à l’échelle mondiale », résume Brigitte Verchère, qui a participé à la création du service de veille de l’entreprise il y a une petite dizaine d’années. « L’objectif était alors de mettre en place une veille commerciale, en amont des appels d’offres auxquels nous participons. Il s’agissait également de jeter les bases d’une veille réputationnelle, mais aussi d’une veille concurrentielle, demandée alors par notre top management et qui demeure plus que jamais d’actualité. » 

Après un premier tour de table réalisé auprès de sept prestataires de services potentiels, la sélection se resserre autour de quatre d’entre eux. Parmi ces derniers figure KB Crawl SAS, qui finit par l’emporter. « KB Crawl correspondait le plus à nos besoins : du multilinguisme, une forte capacité à ‘crawler’ l’information, un excellent niveau en termes de design et de communication, sans compter la possibilité d’envoyer de nombreuses newsletters », explique la responsable du département Management des Connaissances.

Découvrez la suite sur notre blog : Une veille en évolution permanente.

---

L’ASTUCE DU VEILLEUR

Diffuser l’information

Faire circuler l’information est essentiel. La caractérisation d’une information est une étape cruciale dans le plan de diffusion de l’information. Donner la bonne information, à la bonne personne, au bon moment. Pour les détenteurs de KB Access, vous pouvez désormais diffuser vos informations stratégiques par deux vecteurs, des newsletters, qui seront automatiquement remplies selon vos paramétrages et que vous pourrez personnaliser afin d’attirer l’œil de vos lecteurs sur un livrable agréable à lire. Vous avez également la possibilité de diffuser cette information via un blog de veille, dans lequel vos lecteurs retrouveront, thématiques par thématique, les sujets qui les intéressent. Mieux encore, vous pouvez combiner ces deux fonctionnalités pour un impact maximal.

T.V

---

DECRYPTAGE : La protection des données (épisode III)

RGPD : Responsabilités et risques 

Lors de notre dernier décryptage, nous avons vu le rôle du DPO dans les organisations mais qu’en est-il des responsabilités en cas de manquement au RGPD et quelles sanctions sont envisageables ?​

Le DPO doit pouvoir agir avec indépendance au sein de l’organisation principalement vis-à-vis des responsables du traitement des informations dont il ne doit pas dépendre. Par principe, le DPO n’est pas responsable en cas de non-respect du RGPD. C’est le responsable du traitement (ou un sous-traitant) qui portent la responsabilité. Celle-ci ne peut pas lui être transférée car il s’agirait alors de créer un conflit d’intérêt. ​

Le RGPD confère de nombreux droits aux personnes dont les données sont collectées :​

• Le droit d’accès ;​
• Le droit de rectification ;​
• Le droit à la portabilité : toute personne doit pouvoir récupérer les données qu’elle a fournies à une organisation.​

Les organisations ont l’obligation de respecter ces droits sous peine de sanctions.​

Le RGPD prévoit deux types de sanctions :​

• Les amendes administratives ;​
• Les sanctions pénales.​

D’autres conséquences sont envisageables comme la possibilité de rendre public les infractions et le risque en termes d’image.​

Au chapitre VIII, l’article 83 du RGPD liste les éléments à prendre en compte pour les amendes administratives avec en premiers facteurs la nature, la gravité et la durée de la violation. Certaines amendes administratives peuvent s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.​

Les sanctions pénales sont prévues par les états membres pour les violations qui ne sont pas soumises à amendes administratives.​

En conclusion, le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Toutes les entreprises de l’Union Européenne sont concernées si elles traitent des données à caractère personnel car toute activité ciblant un citoyen européen est soumise au RGPD.​

Arnaud MARQUANT 

Directeur des opérations et DPO de KB Crawl SAS

Learn More

Le risque que Google Analytics disparaisse en Europe reste probable après que la CNIL ait déclaré l’outil « illégal ». En effet, le non-respect du règlement général sur la protection des données (RGPD) est ici concerné.

---

Le 10 février dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) mettait en demeure un gestionnaire d’un site Web français suite à son utilisation de Google Analytics. L’entreprise a désormais un mois pour régulariser ses pratiques sous risque de sanctions et d’une amende à hauteur de 4% de son chiffre d’affaires.

Depuis, d’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de certains gestionnaires de sites utilisant aussi Google Analytics. La CNIL appuie sa décision sur l’arrêt dit « Schrems II » du 16 juillet 2020, qui rend potentiellement problématique au regard du droit européen tout transfert de données personnelles de l’Europe vers les grands fournisseurs de « cloud » aux Etats-Unis. La protection des données personnelles telle qu’encadrée par le RGPD (Règlement Général sur la Protection des Données) est ici au cœur du contentieux.

Il convient ici de rappeler que la CNIL et ses homologues européens avaient déjà été saisis par le passé par l’association My Privacy Is None of Your Business (NOYB). En France, les données personnelles d’internautes des sites Internet de Sephora, Auchan ou Décathlon auraient été transmises aux services américains via Google Analytics. Ainsi, NOYB a déposé au total 101 plaintes, dont trois concernent les entreprises françaises. Le consentement des internautes avait pourtant été obtenu via l’acceptation des cookies mais il resterait tout de même illégal au vu du RGPD.

Ces attaques ont de quoi mettre en danger la pérennité de Google Analytics en Europe. L’utilisation de cet outil est pourtant extrêmement répandue au sein des entreprises, particulièrement dans le domaine du marketing. Il est le principal dispositif adopté pour les veilles concurrentielles et la web analyse qui sont aujourd’hui indispensables pour les équipes managériales et de direction. TPE de niche, PME, ETI, grands groupes… Toutes les entreprises sont concernées, quels que soient leur taille ou leur domaine.

La probable disparition de Google Analytics aurait d’importantes conséquences sur les données et les entreprises elles-mêmes. D’une part, un impact économique : un grand nombre d’entreprises utilisent cet outil gratuitement et n’ont pas anticipé l’utilisation d’outils payants même si des outils gratuits sont également à leur disposition. D’autre part, un impact sur l’organisation interne : de nombreuses entreprises avaient l’habitude de travailler avec ce service et ont développé des process et une confiance envers celui-ci grâce à son utilisation régulière. Les usages et la structuration de leur veille pourraient s’en trouver modifiés, posant notamment des interrogations en termes d’analyse comparative de données. Comment comparer efficacement et rapidement des rapports émis par deux outils différents, construits différemment et ne disposant pas toujours des mêmes indicateurs? De nombreuses entreprises avaient déjà été bousculées ces derniers mois par la disparition de Facebook Analytics ou simplement de l’indicateur du taux de rebond dans Google Analytics 4. Nous pouvons donc présager de grands bouleversements pour le métier de veilleur si Google Analytics tout entier venait à disparaître de nos entreprises.

La montée en puissance du marketing et de la communication digitale impose désormais aux entreprises des veilles hebdomadaires, voire quotidiennes. La réunion de données clients sur les produits, les concurrents, le marché général et le contexte macro-économique en un seul outil permet un gain de temps considérable pour les veilles concurrentielles. La mesure de ces données ne peut plus être négligée : elle fait pleinement partie du quotidien des équipes stratégiques.

Est-ce pour autant la « fin du monde » ? Certes non. Rassurez-vous, pour maintenir des veilles complètes, il existe de nombreuses alternatives en capacité de répondre aux besoins de votre entreprise, qu’elles soient gratuites ou payantes. Si le géant américain venait à être interdit d’utilisation au sein des entreprises européennes, sa disparition ferait place à des entreprises spécialisées dans la veille, assurant un suivi tout aussi complet pour vos veilleurs.

Learn More