La journée mondiale du mot de passe, ce 6 mai, est là pour nous rappeler combien la cybersécurité constitue un élément central en veille stratégique. Application, infrastructure : les enjeux se situent à plusieurs endroits. Explications.

En quelques mois, la pandémie de COVID-19 aura eu un effet très net sur l’utilisation de nos mots de passe. Selon certains spécialistes, à la fin de l’année 2020, un internaute moyen devait retenir une centaine de « passwords », soit 25% de plus que quelques mois plus tôt. Le développement du télétravail a encore accéléré ce phénomène, attirant l’attention de chacun vis-à-vis de la notion d’hygiène numérique. Et pour cause : en 2022, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) relevait dans son panorama de la cybermenace que les cybercriminels étaient toujours plus performants, en lien avec l’appât du gain, l’espionnage ou la déstabilisation.

Une demande plus forte des clients

Les solutions de veille stratégique et économique sont largement impactées par cette problématique cyber. Elles concernent les entreprises qui, privées comme publiques, ont recours à des solutions de veille en mode SaaS. Elles impactent également les éditeurs de veille eux-mêmes, dont les solutions doivent être le plus protégées possibles. Pour les premières, l’enjeu est clair, et il s’exprime dès la phase de la consultation ou de l’appel d’offre. Les données, les requêtes, les thèmes de curation sont-ils protégés ? Telle est la question qui est le plus fréquemment posée, et qui depuis quelques années est devenue un passage obligé. Dans ce contexte, l’enjeu pour l’éditeur consistera à déployer les outils et méthodes adaptés à toute attaque, à anticiper, à tenter de déployer des parades. Même si en l’espèce, il convient de demeurer humble, l’idée est de prévoir au maximum toute attaque afin de ne pas se trouver démuni si le danger venait à se préciser. En cela, il faut bien admettre que les entreprises clientes ont depuis quelques années forcé leurs éditeurs de veille à progresser, englobant la dimension cyber dans le Règlement général sur la Protection des Données (RGPD). C’est très net lorsque l’on consulte les appels d’offres : on y trouve parfois presque autant de demandes de solutions fonctionnelles que d’éléments liés à la sécurité des données.

Protéger les applications de veille

Les éditeurs de veille doivent ainsi être particulièrement vigilants sur la cybersécurité, et accorder une attention spécifique aux différents points de fragilité qui les concernent. Deux d’entre eux sont plus particulièrement importants à préserver. 

Les applications développées pour la veille constituent le premier point de vigilance. Ouvertes sur le Web et accessibles via un login et un mot de passe, elles sont suspectibles d’être piratées à tout moment. En tant que développeur d’une solution de veille, il convient d’être particulièrement attentif, et ce dès la phase de conception de l’outil. Il y a des règles à respecter afin de jouer sur les codes, sachant que toute faille pourrait permettre aux cyberattaquants de récuprer la liste de l’ensemble des utilisateurs enregistrés dans la base de données. Verrouiller est donc le mot d’ordre absolu en termes de développement. Cela signifie de veiller à la bonne étanchéité des accès, afin qu’un hacker ne puisse s’ouvrir un accès à plusieurs clients à partir d’un seul. Dans cette approche, le postulat de départ est le suivant : la cybersécurité démarre dès la phase du développement. Un code source mal assuré, c’est une faille ! Il s’agit ici de bien repérer chaque point d’entrée possible, et de le colmater.

Protéger l’infrastructure

Protéger l’infrastructure est le second grand chantier à mener, et ce en permanence. Dans ce cas précis, il existe plusieurs niveaux de sécurité, identifiés à différents endroits de l’architecture du réseau. Les points d’entrée par lesquels passent tous les clients en sont un premier. Les serveurs, puis les applications en sont d’autres. Les équipes techniques le constatent régulièrement : les tentatives d’intrusion sur l’infrastructure sont régulières, et émanent le plus souvent de groupes issus de pays étrangers. Un contexte qui amène très régulièrement à lancer en chaîne de nombreux tests. En l’espèce, le fait d’être présent sur un cloud privé n’est pas nécessairement une faiblesse. Il faut simplement que le travail de sécurisation soit correctement effectué, en adoptant les techniques et les outils les mieux adaptés à toutes les situations possibles, sans oublier les bonnes pratiques. S’il est sérieux, un éditeur de solutions de veille pourra tout à fait garantir à ses clients un niveau de cybersécurité minimal.

Pour autant, il faut rester modeste. L’ANSSI l’indique dans son panorama 2022 : toutes les entreprises, y-compris les TPE et les PME, sont actuellement les cibles de cyberattaques. Les éditeurs de logiciels sont donc tout autant exposés que les autres. C’est pour cette raison que la formation de nos développeurs est une clé. Nous observons depuis quelques années que les ingénieurs informatique ont une sensibilité et des compétences accrues en termes de cybersécurité. En sus de cette appétance, il convient de veiller à ce qu’ils soient formés en permanence, tant la nature des attaques évolue. Ne jamais s’endormir sur ses lauriers : tel est le challenge technologique qu’il convient de relever.

Pour les organisations, alors que l’époque est à l’imprévu, il est de plus en plus difficile de piloter un développement en se passant de certains outils. La veille est l’un d’entre eux, comme le rappelle cette petite fable à l’occasion de la journée mondiale du conte…

Il était une fois, dans un pays lointain mais toutefois pas si différent du nôtre, un navigateur et son équipage. Le travail de ce navigateur consistait à acheminer, dans les nombreuses îles avoisinantes qui composaient l’archipel où il vivait, des denrées diverses telles que des vivres, du matériel de construction, des objets électroménagers, et même parfois des voitures. Ce travail était la raison d’être de notre navigateur. Afin de s’en acquitter, il devait traverser une mer parfois capricieuse, avec ses courants, ses tempêtes et ses coups de vents.

« La période de transition »

---

Naviguer sur cette mer n’était vraiment pas chose aisée. Parfois, au petit matin, alors que le navire de notre commandant de bord quittait son port d’attache, il devait traverser un épais brouillard qui l’empêchait de faire usage de son sextant. À d’autres moments, des courants malicieux venaient déporter le navire vers les côtes. Sans compter que d’épais nuages noirs pouvaient venir se former au-dessus des têtes du navigateur et de ses hommes et ses femmes d’équipage, bouchant l’horizon et empêchant toute orientation.

De telles mésaventures étaient relativement nouvelles. Longtemps, l’archipel avait été considéré comme calme, sa météo clémente, et la navigation assez aisée. Mais force était de constater que les choses avaient progressivement changé ces derniers temps : les experts appelaient cela « la période de transition ». Celle-ci avait un impact plus ou moins prononcé sur les différents habitants de l’archipel. Pour le navigateur ainsi que pour l’ensemble des personnes qui, comme lui, avaient pour tâche d’acheminer des produits à des clients, les conséquences étaient importantes. Relier le port à l’ensemble des îles de l’archipel était progressivement devenu difficile, et nombreuses étaient les embarcations à chavirer, parfois même à couler.

---

« Le veilleur » : une importance stratégique

Face à cette « période de transition » (que certains experts allaient même jusqu’à qualifier de « grande transition »), le navigateur dont on parle ici s’était interrogé. Comment parvenir à naviguer, avec son seul sextant, sur une mer devenue imprévisible ? Comment arriver à faire son travail, à livrer ses clients, à être payé et ainsi à faire vivre son équipage et sa famille ? Après en avoir parlé autour de lui, le navigateur se rendit compte qu’un outil pouvait lui permettre de mieux affronter cet ensemble d’inconnues. Cet outil ne coûtait pas très cher. Il se composait de deux tubes reliés entre eux, et que l’on plaçait devant ses yeux. Cet outil avait un nom : jumelles.

Notre navigateur se procura une paire de ces jumelles dont on lui avait dit beaucoup de bien. Il la confia à un homme de son équipage, qu’il fit monter au sommet du mât principal de son bateau et qu’il appela « le veilleur ». Grâce aux jumelles, le veilleur pouvait voir loin, jusqu’à la ligne d’horizon. Il était capable de repérer un banc de nuages noirs menaçants, des endroits où la mer était plus remuante que d’autres, des coups de vent et même des nappes de brouillard opaque. Dès qu’il apercevait cela, le veilleur avertissait son capitaine, lequel réunissait ses adjoints dans sa cabine et revoyait la route à suivre. Il était les yeux de l’ensemble de l’équipage, une véritable aide à la prise de décision. Grâce à son travail d’observation, le veilleur participait de la réussite de chaque voyage. Son importance était stratégique.

Une paire de « jumelles augmentées »

Mais les éléments n’avaient pas dit leur dernier mot. La mer était décidément de plus en plus capricieuse au sein de notre archipel, pour ne pas dire dangereuse. Parfois, alors que rien ne le laissait entendre, elle se déchaînait, plongeant le navire dans une situation très périlleuse. Elle générait également des coups de vent puissants, qui là encore mettaient en péril l’équipage et sa cargaison. Il arrivait même qu’un épais brouillard tombe sur le navire, parfois au beau milieu d’une journée calme, comme ça, sans crier gare…

Le navigateur parla de ces phénomènes de plus en plus violents et inattendus autour de lui. Les experts lui apprirent que la « période de transition » s’était accélérée, et qu’il fallait faire très attention désormais. En échangeant avec certains de ses autres collègues navigateurs, il apprit qu’un outil existait afin de déceler les tendances des phénomènes météo et naturels à venir. Cet outil se présentait comme une paire de jumelles, mais une paire de jumelles que l’on appelait « augmentée ». En regardant à l’intérieur, on pouvait non seulement repérer un élément dissonant, mais également prévoir la direction que cet élément allait prendre. Ainsi, avec ces jumelles augmentées (on les disait même dotées d’une « intelligence artificielle »), une tempête repérée à l’Ouest pouvait être percée à jour dans sa dynamique. On pouvait notamment prédire si elle allait continuer de se développer à l’Ouest, ou évoluer à l’Est, au Nord ou au Sud… La vie du navigateur venait de changer, même si bien sûr il lui restait l’essentiel : prendre les bonnes décisions, au bon moment.

Ce petit conte est là pour nous rappeler combien la veille est importante. En des temps où l’incertitude devient notre quotidien, l’intelligence économique constitue plus que jamais l’un des murs porteurs des décisions stratégiques des entreprises. Des grands groupes aux PME, voire aux TPE, chaque « équipage », chaque équipe de direction peut être guidée par une solution personnalisée, adaptée et ajustée à chaque cas. Automatisé, l’outil de veille bénéficie de l’intelligence artificielle et permet de « crawler » de nombreuses sources – y-compris les sources audio et vidéo –, ce qui permet aux « hommes métier » de parvenir à la bonne information, loin du bruit et des fake news.

Une évidence qu’il convient de rappeler aujourd’hui, alors que l’imprévu et l’inattendu nous entraînent parfois loin des rives de la décision la plus juste, pour ne pas dire la plus rationnelle.

La veille règlementaire semble a priori bien bornée : il s’agirait de se concentrer sur un bouquet de sources connues et peu nombreuses. C’est sans compter sur la nécessité, pour les organisations, d’anticiper des mouvements en visualisant les tendances à venir.

Soyons attentifs à la sémantique : l’usage veut que l’on parle de veille règlementaire et juridique d’un seul tenant, en englobant tout à la fois des informations de nature législative, jurisprudentielles ou doctrinales et des informations strictement liées aux règlements. Avec la veille juridique, il s’agit surtout de visualiser la manière dont est rendue la justice, étant entendu que nul n’est censé ignorer la loi – surtout pas les entreprises. Avec la veille règlementaire, le prisme est différent et concerne les règlementations nationales et internationales susceptibles d’avoir une incidence sur l’organisation.

Ces dernières années, cette dimension est devenue d’autant plus importante que les directives européennes (notamment) se sont démultipliées, avec un impact avéré sur toutes les catégories d’entreprises, depuis le grand groupe jusqu’à la PME.

Un travail préliminaire d’identification

Comment structurer une veille règlementaire digne de ce nom ? A priori, l’affaire semble simple et relativement bien entendue. Les sources de référence paraissent aisées à repérer, relativement connues et peu nombreuses. Mais il s’agit bel et bien là d’une idée reçue… Car si certains sites sont évidents à identifier (à commencer par celui de Legifrance), d’autres sont plus difficiles à débusquer. En effet, la veille règlementaire ne s’appuie pas uniquement sur des textes publics. Elle repose également sur des normes, c’est-à-dire sur des textes de droit privé. Particularité de ces derniers : leur accès est payant, ce qui nécessite de la part de toute entreprise un certain investissement – car la plupart des éditeurs de normes vendent chèrement leurs données.

L’autre élément à avoir en tête lorsque l’on se lance dans une démarche de veille règlementaire consiste à bien définir le champ d’application de celle-ci. Sur quels sujets, quels thèmes, quels champs veiller ? Pour cela, il faut se poser certaines questions préliminaires, notamment liées au secteur dans lequel votre organisation se déploie, le type d’industrie qui est le vôtre, les produits et services que vous commercialisez, etc. Cette étape est importante dans la mesure où elle vous permettra d’éliminer tout ce qui ne vous concerne pas. Dans une règlementation qui paraît, tout ne vous concerne pas ! L’art de la veille consiste à savoir repérer le bon chapitre, le bon paragraphe, et même parfois la bonne phrase… À ce stade, c’est bel et bien une étude qu’il faut réaliser, en se posant les bonnes questions.

Allez jusqu’à anticiper les tendances

Une fois ces éléments stabilisés, vous pensez en avoir terminé… Au contraire, c’est maintenant que la veille règlementaire prend tout son sens. Vers quoi le législateur se dirige-t-il ? Quelles sont les tendances ? Voici les questions ultimes, les questions de fond que pose nécessairement toute veille règlementaire. Car la finalité de celle-ci est l’anticipation, par votre organisation, de toute règlementation appelée à impacter en profondeur l’activité ainsi que la stratégie. Admettons par exemple que votre entreprise fabrique des meubles, et qu’un règlement national ou international est en passe d’interdire un type de colle en particulier. Dans ce cas, vous allez devoir probablement changer de marque de produit, de sous-traitant, de distribution, voire de fabrication. On comprend ici que c’est potentiellement toute votre organisation qui se trouve impactée, et avec elle votre modèle économique…

Comment aller débusquer les tendances à venir ? En surveillant des blogs, des forums spécialisés, des sites règlementaires mais également des sites privés. Il vous faudra identifier ici certains experts, certains spécialistes, certains influenceurs de textes législatifs et règlementaires, mais aussi certains acteurs politiques particulièrement engagés dans des combats visant à faire avancer ou modifier la règlementation. Comme souvent, il faut ici être en capacité de repérer certains signaux forts, mais aussi d’aller débusquer des signaux faibles. Et il faut, bien entendu, le faire dans la durée…

Le propre de la veille règlementaire est qu’elle touche tout type de sujets, et qu’elle intervient à tous les niveaux de l’organisation de votre entreprise. Éminemment stratégique, elle est directement reliée à la survie de votre business : une évolution règlementaire peu ou mal anticipée et c’est le résultat annuel de votre organisation qui sera potentiellement impacté. Une raison suffisante pour que l’ensemble des entreprises s’y intéressent, depuis les grands groupes aux PME, TPE ou encore aux start-ups.

Nouvelles habitudes de consommation, innovations, crise sanitaire… Des TPE aux grands groupes, la période actuelle pose de nombreux défis. Le premier d’entre eux étant la nécessité de mieux se repérer au sein d’un environnement en perpétuelle évolution. Gros plan sur la veille et ses enjeux pour les entreprises.

Un radar : telle est l’image que mobilise, en 1967, le spécialiste américain de la planification Francis-Joseph Aguilar afin de décrire la veille stratégique dont il est l’un des pionniers. Un radar qui doit aider les entreprises à mieux se repérer dans leurs environnements respectifs. Un radar pour permettre aux organisations de détecter des événements, voire de les anticiper. 

PME-PMI : la sensibilité du dirigeant, facteur d’engagement

Ce radar sera bien utile aux TPE, PME et PMI dans les mois à venir, dans un contexte attendu de sortie plus ou moins longue de crise sanitaire. Certaines d’entre elles se structurent déjà afin d’anticiper l’avenir en mettant en place une organisation et les outils de la veille. Dans bien des cas, l’implication de leurs dirigeants et/ou de leurs équipes opérationnelles est à la base de cet élan. Affaire de sensibilité personnelle s’il en est : c’est parce que certains leaders sont intimement convaincus de sa nécessité que l’organisation prend le virage de la veille quotidienne. À chaque fois, les étapes du cycle de renseignement sont clairement balisées : expression des besoins, recherche et sélection qualitative des informations à collecter, fréquence de collecte, exploitation, utilisation et enfin diffusion. L’enjeu consiste à bien cadrer sa veille, qu’elle soit concurrentielle, technologique, commerciale, juridique, sociétale et in fine stratégique.

Il s’agit surtout, pour les équipes de direction des organisations plus modestes que celles des grands opérateurs du marché, d’être en capacité de mobiliser du temps et de la disponibilité d’esprit, alors même que le bateau file et que les plannings doivent être respectés.

La veille stratégique : une nécessité pour les entreprises

Plus de 50 ans après les travaux pionniers de Francis-Joseph Aguilar, les impératifs restent ainsi les mêmes. En intervenant à tous les niveaux de l’organisation, la veille stratégique permet aux organisations, particulièrement les grands groupes, d’ajuster leurs choix de positionnement et de mouvements. Ces dernières décennies, plusieurs facteurs sont venus aiguillonner un peu plus encore cette nécessité, à commencer par la mondialisation. En dilatant considérablement les écosystèmes économiques, en complexifiant les données à considérer, en démultipliant les acteurs, les produits et les services concurrentiels, en accroissant les cadres légaux, l’universalisation du monde a de facto amené une grande partie des grandes entreprises à structurer leurs actions dédiées à la veille stratégique. Les études sont là pour le montrer : désormais, tous les grands groupes disposent d’instruments de veille. Ce qui est encore loin d’être le cas de la majorité des ETI et des PME, et a fortiori des TPE.

Reterritorialisation : la veille stratégique comme impératif

S’attacher à cheminer sur le sentier étroit qui permet à l’organisation de poursuivre sa croissance en dépit d’un environnement évolutif et incertain, voici l’élan et la conviction qui animent les dirigeants des entreprises de toutes tailles et de tous secteurs pour qui la veille constitue un véritable outil d’aide à la décision stratégique. 

Une conviction qui, loin de faiblir, est actuellement en train d’opérer une nouvelle mue. Car si la mondialisation constitue toujours la toile de fond des organisations, de nouvelles dynamiques de reterritorialisation liées à la crise sanitaire et économique sont venues accentuer un peu plus encore la complexité de nos environnements économiques. Habitudes et usages des clients renouvelés, innovations technologiques, dématérialisation, infobésité, nouveaux acteurs sur les marchés, fake news… L’instabilité a progressé au fur et à mesure que l’horizon était transfiguré. Et le radar de Francis-Joseph Aguilar de redevenir un instrument plus que nécessaire pour mieux se diriger dans cet environnement volatil…

Un nouvel outil au service des organisations de taille moyenne

Faisant partie des leaders français des éditeurs de solutions de veille à destination des organisations privées et publiques, KB Crawl a pleinement conscience de ces enjeux qui pèsent sur les ETI, PME et TPE. C’est pour cette raison que KB Crawl a lancé KB Access, une solution spécifiquement dédiée aux organisations petites et moyennes. Celle-ci offre une alternative sur mesure aux structures agiles, en complément de KB Suite, solution proposée aux grandes entreprises depuis de nombreuses années et qui a fait ses preuves. Elle constitue un moyen incontournable pour qui tente de tracer sa voie dans l’environnement en transition devenu notre quotidien.

Le risque que Google Analytics disparaisse en Europe reste probable après que la CNIL ait déclaré l’outil « illégal ». En effet, le non-respect du règlement général sur la protection des données (RGPD) est ici concerné.

Le 10 février dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) mettait en demeure un gestionnaire d’un site Web français suite à son utilisation de Google Analytics. L’entreprise a désormais un mois pour régulariser ses pratiques sous risque de sanctions et d’une amende à hauteur de 4% de son chiffre d’affaires.

Depuis, d’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de certains gestionnaires de sites utilisant aussi Google Analytics. La CNIL appuie sa décision sur l’arrêt dit « Schrems II » du 16 juillet 2020, qui rend potentiellement problématique au regard du droit européen tout transfert de données personnelles de l’Europe vers les grands fournisseurs de « cloud » aux Etats-Unis. La protection des données personnelles telle qu’encadrée par le RGPD (Règlement Général sur la Protection des Données) est ici au cœur du contentieux.

Il convient ici de rappeler que la CNIL et ses homologues européens avaient déjà été saisis par le passé par l’association My Privacy Is None of Your Business (NOYB). En France, les données personnelles d’internautes des sites Internet de Sephora, Auchan ou Décathlon auraient été transmises aux services américains via Google Analytics. Ainsi, NOYB a déposé au total 101 plaintes, dont trois concernent les entreprises françaises. Le consentement des internautes avait pourtant été obtenu via l’acceptation des cookies mais il resterait tout de même illégal au vu du RGPD.

Ces attaques ont de quoi mettre en danger la pérennité de Google Analytics en Europe. L’utilisation de cet outil est pourtant extrêmement répandue au sein des entreprises, particulièrement dans le domaine du marketing. Il est le principal dispositif adopté pour les veilles concurrentielles et la web analyse qui sont aujourd’hui indispensables pour les équipes managériales et de direction. TPE de niche, PME, ETI, grands groupes… Toutes les entreprises sont concernées, quels que soient leur taille ou leur domaine.

La probable disparition de Google Analytics aurait d’importantes conséquences sur les données et les entreprises elles-mêmes. D’une part, un impact économique : un grand nombre d’entreprises utilisent cet outil gratuitement et n’ont pas anticipé l’utilisation d’outils payants même si des outils gratuits sont également à leur disposition. D’autre part, un impact sur l’organisation interne : de nombreuses entreprises avaient l’habitude de travailler avec ce service et ont développé des process et une confiance envers celui-ci grâce à son utilisation régulière. Les usages et la structuration de leur veille pourraient s’en trouver modifiés, posant notamment des interrogations en termes d’analyse comparative de données. Comment comparer efficacement et rapidement des rapports émis par deux outils différents, construits différemment et ne disposant pas toujours des mêmes indicateurs? De nombreuses entreprises avaient déjà été bousculées ces derniers mois par la disparition de Facebook Analytics ou simplement de l’indicateur du taux de rebond dans Google Analytics 4. Nous pouvons donc présager de grands bouleversements pour le métier de veilleur si Google Analytics tout entier venait à disparaître de nos entreprises.

La montée en puissance du marketing et de la communication digitale impose désormais aux entreprises des veilles hebdomadaires, voire quotidiennes. La réunion de données clients sur les produits, les concurrents, le marché général et le contexte macro-économique en un seul outil permet un gain de temps considérable pour les veilles concurrentielles. La mesure de ces données ne peut plus être négligée : elle fait pleinement partie du quotidien des équipes stratégiques.

Est-ce pour autant la « fin du monde » ? Certes non. Rassurez-vous, pour maintenir des veilles complètes, il existe de nombreuses alternatives en capacité de répondre aux besoins de votre entreprise, qu’elles soient gratuites ou payantes. Si le géant américain venait à être interdit d’utilisation au sein des entreprises européennes, sa disparition ferait place à des entreprises spécialisées dans la veille, assurant un suivi tout aussi complet pour vos veilleurs.