Un nouvel article en français la clé du médium algorithmique random notes ...
2 ème partie du magazine
1. Stratégie
et décision
Le pilotage stratégique
et l’intelligence de situation
Dépassant la simple fonction de surveillance des environnements, la
pratique de l’Intelligence Economique épouse une certaine forme de
dextérité mentale pour assurer sa fonction d’éclairage stratégique,
nécessaire au management de l’incertitude. Cette forme d’intelligence Daniel Tartonne
de situation, ce mode du connaître, fait référence à un type de pensée Coordinateur du programme d’Intelligence Economique
et Territoriale au sein du WTC-Lyon. Conférencier dans
très bien décrit dans la mythologie de la Grèce antique. les cycles nationaux d’IES à l’Institut des Hautes Etudes
Dès lors, pour avoir prise sur une situation constamment changeante, de la Défense Nationale.
comment faut-il piloter la stratégie de l’entreprise afin qu’elle soit
tartonne@regards-intelligence-economique.com
réceptive à toutes les alternatives et qu’elle ne cesse de s’ajuster, si elle
veut triompher là où il n’existe pas de règles préétablies pour obtenir le
succès ?
La réponse tient en deux propositions : pilotage stratégique et intelligence
de situation.
Cette rubrique “ S t ratégie et
Décision” a pour ambition de
La Mètis du Stratège rusée exprimée par chacun d’eux de décrire les techniques d’intelligence
manière particulière. Prenons l’exemple économique permettant d’optimiser
La Mètis des Grecs, ou “intelligence de du poulpe, qui symbolisait l’insaisissa- les processus décisionnels des entre-
la ruse”, impliquait une série d’attitudes bilité par poly m o rphie. Il était décrit prises et des collectivités. De grands
mentales combinant l’intuition, la sagacité, comme furtif, se développant en mille
la prévision, l’attention vigilante, le noms de l’intelligence économique
membres agiles : les entreprises configu-
sens de l’opportunité et la dextérité m’aideront, par ailleurs, dans cette
rent des alliances pour déployer leur
cognitive. Engagée dans le devenir et influence et cultiver l’effet de surprise sur perspective.
l’action, cette forme de savoir conjectural leurs marchés. Ensemble, nous aborderons diffé-
s’appliquait à des réalités mouvantes, à Pour tromper son ennemi, le poulpe rentes approches méthodologiques
des situations ambiguës ou inédites dont dispose d’une arme infaillible : l’encre. favorisant la manœuvrabilité, l’in-
l’issue était toujours suspendue : les Ce voile lui permet à la fois d’échapper fluence et l’agilité des organisations,
contextes de marché que doivent doréna- à la prise de ses victimes et de capturer pour répondre aux niveaux d’exi-
vant affronter les Dirigeants d’entreprise ses adversaires, comme dans un filet. À ge n c es imposés par la complexité
répondent pleinement à ces fa c t e u r s . travers cette nuée, le poulpe est le seul à croissante des environnements, par
L’intelligence rusée assurait sa prise sur savoir tracer son chemin, indétectable,
les événements par ce qu’elle était capable l’intensité de la pression concurren-
déstabilisant les scénarios attendus ou
de prévoir, par-delà le présent immédiat. tielle et par les nouvelles formes de
les situations anticipées : les opérations
Vigilante, sans cesse sur le qui-vive, la de contre-intelligence et les voiles infor- déstabilisation.
Mètis disposait de toutes les qualités mationnels propagés par les entreprises, Nous explore rons également la
d’une intelligence qui doit, pour se rendre dans le but de dissimuler leurs intentions m a n i è re dont les techniques
insaisissable et pour dominer des réalités à leurs compétiteurs, cultivent cet effet. d’intelligence économique peuvent
fluides ou mouvantes, se montrer toujours Le modèle d’intelligence proposé par les optimiser certaines activités clés de
plus ondoyante et plus polymorphe que Grecs antiques se caractérisait également l’entreprise (marketing industriel,
les situations auxquelles elle était par le thème du lien. Le poulpe est un planification stra t é g i q u e, Risk
confrontée : “l’enjeu de l’Intelligence nœud de mille bras entrelacés ; toutes m a n a ge m e n t , m a n a gement de
Economique consiste en la faculté de les parties de son corps sont des liens
compréhension et d’adaptation à l’innovation, …).
qui enserrent tout et que rien ne peut
un environnement économique en Enfin, nous étudierons les disciplines
saisir. Ce lien vivant qui se plie, se
mutation permanente”, comme le déplie, s’ajuste avec flexibilité et vitesse, managériales dont l’intellige n c e
souligne Bernard Besson. traduit également la forme d’intelligence économique peut s’inspirer pour
des organisations qui déploient leur renforcer son impact au sein des
La Mètis animale décrite par le réseau pour manœuvrer sur les marchés, organisations.
Poète Oppien (Les halieutiques, déjouer les barrières d’entrée, activer
Chant second), rayonnait à travers des leviers d’influence ou semer la
certains animaux ; intelligence confusion.
26
regards sur l’IE - N°1 - Janvier/Février 2004
2. Le filet, invisible réseau de liens, était Exploiter le potentiel de situation a cartographié les rapports de force
une des armes préférées de la Mètis des La complexité croissante des environne- entre les différents types d’acteurs
Grecs : c’est par le filet que Pittacos tri- ments ne nous permet plus d’appliquer des (rivalité avec les concurrents titulaires-
omphe de Phrynon, que Clytemnestre plans opérationnels dressés d’avance, directs, menace des nouveaux entrants,
immobilise Agamemnon, qu’Héphaïstos traduisant un modèle stratégique convoité. pouvoir de négociation des clients,
emprisonne Aphrodite et Arès (d’après
les écrits de Eschyle et de Homère). Le
filet a la forme la plus fluide, la plus
insaisissable et aussi la plus déroutante : il
associe la souplesse du lien à la puissance
du cercle, que sa rotation rend mobile et
mouvant.
Le filet, ce réseau polymorphe de liens,
est capable d’échapper à tout piège
d’encerclement et apte à saisir tout ce
qui représente une opportunité : les
entreprises tissent, trament, tressent des
partenariats multiples pour disposer
d’un corpus agile et insaisissable.
La Mètis employait des stratagèmes afin
d’inverser les règles du jeu dans les
é p r e u ves de force. Intelligence à l’œuvre Figure 1 : Les acteurs et les forces d’intervention sur le marché.
Daniel Tartonne d’après Michael Porter.
dans le devenir, en situation de lutte, la
Mètis revêtait la forme d’une puissance
En effet, les interactions concurrentielles menace des offres de substitution, pouvoir
d’affrontement, usant d’adresse pour
et les frictions opérées par les forces de négociation des fournisseurs, des
agir de manière bigarrée.
d’interventions sur le marché décrivent distributeurs…). À ce modèle, ajoutons
S’orienter dans le monde du changement
un environnement économique qui vit et les forces qui interfèrent sur le marché :
et de l’instabilité, maîtriser le devenir en
réagit, qui se dérobe à tout plan préétabli. les interventions politiques, réglementaires
jouant de ruse avec lui, nécessitait aux
Le Dirigeant stratège doit donc disposer et juridiques ; l’évolution des matériaux,
yeux des Grecs antiques, que l’intelligence
d’une lecture dynamique, car l’entreprise des procédés et des technologies ; les
soit elle-même mouvance incessante.
opère au sein d’un environnement qui ne tendances et la volatilité de la demande ;
Elle présidait à toutes les activités où
cesse de se transformer : il s’agit de penser les pôles d’influence et les groupes de
l’homme devait apprendre à manœuvrer
et piloter la stratégie dans une logique de pression (organisations professionnelles,
des forces hostiles, trop puissantes pour
déroulement. ONG, associations…) ; les risques pays
être directement contrôlées, sans jamais
et les contraintes géopolitiques. Cet
les affronter de face, pour faire aboutir Ceci confi rme que la stratégie repose sur ensemble interactif d’acteurs et de forces
par un biais opportun le projet que l’on une démarche d’information systémique, constitue un dispositif dynamique.
a médité. favorisant un processus itératif d’inter-
Elle n’était pas unique, mais multiple et prétation et de création de sens pour Au sein de ce dispositif, le stratège doit
changeante : telles les organisations éclairer et guider les prises de décisions. détecter les variables qui influencent
étendues d’aujourd’hui. Sa souplesse, Et c’est, parce qu’elle a pour champ l’évolution en cours, de manière favorable
sa malléabilité donnaient à la Mètis la d’application le monde du mouvant, du ou défavorable pour l’entreprise. C’est
victoire dans les domaines où il n’est pas, multiple et de l’ambigu, que la démarche pourquoi la surveillance de l’environne-
pour le succès, de règles toutes faites, de d’Intelligence Economique vise à ment ne doit pas être globale mais c i blée
recettes figées, mais où chaque épreuve concentrer son attention sur le cours des sur les variables clés qui conduisent la
exigeait l’invention d’une parade nouvelle, événements, pour déceler les variables à transformation du marché et qui
la découverte d’une issue cachée. l’œuvre dans la configuration que produisent les perturbations. Il convient
composent les acteurs et les forces de réactualiser systématiquement ces
La pratique de l’intelligence économique d’intervention. axes de surveillance en fonction des
doit épouser cette configuration mentale Ainsi, le positionnement marché d’une paramètres émergents qui vont modifier
pour aspirer à servir l’habileté entreprise se configure en interaction la configuration du dispositif et, par
stratégique, nécessaire au management avec les acteurs et les forces intervenant conséquent, modifier le potentiel de
de l’incertitude. sur son environnement. Michael Porter situation.
27
regards sur l’IE - N°1 - Janvier/Février 2004
3. Stratégie
et décision
Le pilotage stratégique
et l’intelligence de situation
Ceci exclut donc toute idée de prédéter- La technique des scénarios privilégie une apprécier l’impact ou l’incidence de
mination du cours des événements, et démarche d’analyse intuitive et structurée. certaines variables, et limiter la prise de
consiste à créer les conditions visant à Son but : stimuler la créativité des risque dans les actions qui engagent
appréhender les différentes alternatives. Décideurs en situation d’arbitrage. l’avenir de son entreprise. C’est enfin
un excellent processus pour remettre en
cause les idées reçues, et permettre au
stratège de confronter ses convictions,
ses intuitions et sa perception des
enjeux avec la réalité de son marché.
Cependant, l’écoute active de l’environ-
nement économique doit aussi être
conjuguée à l’inventaire des ressources
détenues par l’entreprise, pour décrire
pleinement le potentiel de situation dont
peut disposer le stratège. Ceci permet
d’apprécier comment l’entreprise peut
concrétiser ses intentions stratégiques,
en fonction de ses capacités, de ses
performances et de ses vulnérabilités.
Les ressources constituent l’arsenal
concurrentiel que l’entreprise peut activer
en termes d’adaptabilité, de manœuvra-
bilité et d’agilité afin de saisir les
opportunités ou parer aux situations à
Figure 2 : Un arsenal concurrentiel générateur de compétitivité. Daniel Tartonne. risque (figure 2).
Pour avoir prise sur une situation Tous les acteurs devant manager dans Par l’intermédiaire de ces mesures
constamment changeante, la stratégie de l’incertitude, qu’ils soient pilotes de permanentes croisées (environnements
l’entreprise doit rester ouverte à tous les chasse ou astronautes, utilisent les exerci- /ressources), le stratège peut finalement
possibles et ne cesser de s’adapter : ces de simulation pour apprendre à tester s’appuyer sur les facteurs favorables
grâce à sa malléabilité, elle triomphe là des alternatives ou à éviter des erreurs qu’il a su déceler dans le potentiel de
où il n’existe pas de règles figées pour de jugement. Le Dirigeant stratège doit situation, laisser déployer leur puissance
obtenir le succès. bénéficier de ce type de techniques pour accumulée en sa faveur, et les exploiter
C’est pourquoi la notion de planification lutter contre ses rites décisionnels ou ses au travers des circonstances rencontrées :
laisse dorénavant la place à la notion crispations stratégiques. Par l’intermé- nous quittons alors la logique d’un
d'appréciation rigoureuse des interactions diaire des scénarios, le Décideur peut modèle stratégique normé (Prévo i r-
en présence et des évolutions possibles, évaluer le rendement de ses options, Planifier-Agir-Contrôler) pour adopter
afin d’être en capacité d’anticipation et une log iqu e
d’opérer les ajustements stratégiques. de processus
Mais anticiper ne consiste pas à prévoir rapide, flexible
l’avenir, puisqu’il se dérobe à tout plan et à géométrie
projeté d’avance et qu’il est en perpétuel variable (figure
changement. L ’alternative est donc de se 3).
préparer à un futur que l’on ne peut pas
préfigurer mais tout juste explorer. La
technique des scénarios répond à cette
attente. Comme l’indique, Wayne A.
Rosenkrans – Global Intelligence Director
& Strategic Planning chez AstraZeneca
Pharmaceuticals : “If you don’t plan for
the future. You can’t have one !”.
Figure 3 : Le triptyque du pilotage stratégique. Daniel Tartonne.
28
regards sur l’IE - N°1 - Janvier/Février 2004
4. Configurer sa sphère d’influence 1- Le Noyau : C'est le marché des produits investit pour planter des jalons en prévi-
Pour déployer son potentiel de puissance dont l’entreprise reçoit la plupart de ses sion d’opportunités à venir. Cette parade
sur le marché, le Dirigeant d’entreprise revenus et de ses profits. L ’entreprise est permet d’éviter qu’un des principaux
doit pouvoir configurer ses avantages maître des règles du jeu sur son noyau. acteurs puisse détenir à l’avenir une
concurrentiels et ses facteurs d’attractivité, C’est la partie qu’elle doit absolument position dominante, qui aurait pour
sans avoir recours à des affrontements préserver pour sa survie. C’est à la fois le conséquence de décaler l'équilibre des
directs, générant des lésions et pouvant “core market” et la zone d’influence géo- forces sur le marché ou sur une zone
provoquer le chaos. S’il veut manœuvrer économique où s’assoit sa suprématie. géographique. Elles sont employées
avantageusement au sein de son envi- 2- Les Intérêts vitaux : Cette zone se pour éviter par exemple qu’un acteur
obtienne la mainmise sur des approvi-
ronnement, il doit également tisser son compose des activités qui à elles seules
sionnements capitaux, sur des canaux de
système de pouvoir étendu, capitalisé au ne sont pas attrayantes par leur volume
ou leur rentabilité, d i s t r i bution, sur un segment d’activité
mais qui contribuent captif…
à la position de l’en- 5- Les Positions vers l'avant : Ce sont
treprise sur son mar- des combinaisons de produit-marché,
ché et à l’attractivité qui sont développées en partenariat avec
des produits situés des acteurs exerçant dans d’autres
dans la zone du secteurs, dans le but de disposer de
noyau. Elles peuvent véritables “têtes de pont”, capables de
favoriser l'anticipation fournir un avantage critique par rapport
de nouvelles préféren- aux concurrents directs. Elles peuvent
ces des clients. Ce contribuer à accélérer l’entrée de
sont soit des activi- l’entreprise dans des domaines techno-
Figure 4 : La sphère d’influence : ou comment déployer son potentiel de tés/marchés intercon- logiques ou des zones géographiques
puissance et de suprématie ? Richard A. d’Aveni.
nectés qui assurent le ciblées, pour prendre de vitesse ses
succès du “cœur”, ou concurrents ou contrer la velléité de
travers des liens composant son réseau soit des compléments indispensables. position dominante d’un produit de
d’alliances : nous retrouvons les facultés Citons à titre d’exemples : l’approvision- substitution. Elles sont éga l e m e n t
de la Mètis et son rôle dans les mythes nement de composants clés, les produits employées pour pacifier un contexte
de la souveraineté. d'entrée, les savo i r- faire spécifiques d ’ a ffrontement potentiel en ay a n t
Le modèle élaboré par Richard A. fournissant une offre d’appel, les presta- recours à une “business venture” ou une
d’Aveni, Expert international en stratégie tions dédiées au prototypage… coopération tacite.
concurrentielle, permet d’illustrer la mise 3- Les Zones Tampon : Elles se composent La sphère d’influence permet au
en pratique de ce pilotage stratégique. des activités qui rendent difficile à un Dirigeant stratège de façonner les activités
Selon ce modèle, l’entreprise agit concurrent une attaque de la position de de son entreprise sur une plate-forme à
comme une véritable tour de contrôle, l’entreprise sur son noyau. Cette zone “air- géométrie variable, dédiée au déploiement
qui opère une surveillance active de son bag” permet d’endiguer une possible de ses avantages concurrentiels. Cette
environnement et engage son arsenal entrée ou expansion de la concurrence. modélisation permet de traduire les
concurrentiel sur différentes focales Citons à titre d’exemple : les activités intentions stratégiques du Dirigeant
d’intervention : cette configuration qui conditionnent les données d’entrées dans un cadre de cohérence qui favorise
constitue la sphère d’influence, comme des clients, l’agr é gation de biens ou la furt ivité, la manœuvrabilité et l’écoute
en témoigne le schéma ci-dessous… services dans un bouquet “bundling”, active pour dominer les réalités fluides
Articulé autour de 5 niveaux d’interac- les services plaçant le client en dépen- générées par l’environnement économique
tions, ce modèle est applicable tant par dance stratégique, les standards proprié- et concurrentiel.
les Groupes que par les PME. Il utilise, taires…). Les zones tampons sont aussi Mes sincères remerciements à Philippe Clerc pour
comme la Mètis, la souplesse du lien et utilisées pour détecter les mouvements ses précieux éclairages.
la puissance du cercle, favorisant la concurrentiels sur le marché, au travers Pour approfondir le sujet :
> François Julien – Traité de l’efficacité - Editions
rapidité et la mobilité. des fournisseurs-partenaires intervenant Grasset & Fasquelle, 1996 ;
La conduite de la stratégie passe par la dans la chaîne de valeur de l’entreprise. > Michael Porter – Competitive strategy – The Free
Press, 1980 ;
prévision et le contrôle des relations au 4- Les Zones pivot : Celles-ci se > Richard A. D’Aveni – Strategic supremacy – The Free
sein de chaque niveau de la sphère composent des activités indirectes ou de Press, 2001 ;
> Marcel Detienne & Jean-Pierre Vernant – Les ruses de
d’influence : complément dans lesquelles l’entreprise l’intelligence – Editions Flammarion, 1978.
29
regards sur l’IE - N°1 - Janvier/Février 2004
5. Stratégie
et décision
Exportation
ou transfert de technologie ? Michel BESSON
Dirigeant de BEIC -
Plaidoyer pour un savoir-faire Bureau Européen
d’Informations
Commerciales -
besson@regards-
La stratégie de croissance de bon nombre d’entreprises s’articule autour du intelligence-
economique.com
développement de leurs produits ou des leurs prestations à l’international. Le ou les
pays convoités sont alors ciblés par étude de marché et analyse de la concurrence.
Au terme de cette première étape, les modalités d’implantation restent à définir : En collaboration avec :
faut-il créer une filiale commerciale sur place ou trouver un distributeur ? Laetitia SARRAZIN,
Comment trouver un distributeur sérieux et impliqué ? Les barrières à franchir Consultante du Cabinet Vaucher-Tisseront
et les autres contraintes ne sont-elles pas trop pénalisantes : droits de douane, François Tisseront,
frais et conditions de transports, quotas d’importation, risques financiers, coûts Consultant
de protection, différences de langues et de culture…
L’analyse de ces surcoûts par rapport à la fabrication locale conduit parfois à
conclure à l'impossibilité d'exporter, mais faut-il renoncer pour autant ?
Une solution : A qui s’adresser ?
le transfert de technologie Notre volonté d’ouvrir nos colonnes
Le transfert de technologie n’est pas un aux PME nous amènera à traiter
Envisager un transfert de technologie exercice facile. Il est vivement conseillé des cas de TPE car l’intelligence
est une solution inquiétante au premier de s’appuyer sur un professionnel, économique n’est pas l’apanage des
abord. Elle permet à d’autres, pourquoi conseil dans le domaine. Le cabinet plus grands. La prise de décision est
pas concurrents, de s’approprier un “Vaucher-Tisseront (1)” implanté dans la une prérogative commune à tous les
savoir-faire, objet de plusieurs années région lyonnaise depuis presque 25 ans
dirigeants.
de recherches et d’investissements, avec accompagne ainsi les PME/PMI - et
parfois un ou plusieurs brevets à la clé. parfois les grands groupes - à tous les
stades de leurs projets de transfert inter- Ils pourront ainsi s’exprimer sur une
La barrière psychologique peut être national de technologie. Le début d’une problématique, un fait marquant,
franchie en considération des avantages mission consiste à s’interr oger sur une expérience digne de témoignage.
de cette solution lorsque l'exportation l’opportunité du transfert de technologie, Les exemples variés concern e ront des
est difficile à envisager. Bien souvent, le qui doit être mené à bon escient et avec échecs ou des réussites, l’important
choix d'une entreprise locale déjà active le partenaire adéquat. étant de mettre en exergue la capacité
dans le secteur concerné est privilégié à décider et à en tirer profit pour
car elle maîtrise alors les coûts et L i n t e rv
’ ention de l’ex p e rt est déterminante l’avenir.
connaît bien son marché. S’associer à en matière de valorisation du transfert
un nouvel entrant sur ce métier comport e de technologie. “La tentation est grande,
Aussi, notre rôle ne sera pas de
des risques évidents. précise François Tisseront, pour les
patrons de PME, de toucher du cash et juger mais d’attribuer à chaque cas,
Le transfert de technologie permet au de passer à autre chose. C’est une err e ur, la place qui lui convient dans le
partenaire de conquérir des parts de le cash doit rémunérer le passé, les dispositif d’intelligence économique,
marché tout en acquérant un savoir- investissements, les années de recherche attestant des multiples facettes et
faire. Il s’acquitte d’un règlement et de développement et la mise au intérêts de cette discipline.
immédiat et paye des royalties sur les point.
ventes réalisées. Nous ferons régulièrement appel
Les redevances d’exploitation perm e t t e n t aux commentaires d’un expert.
Cette f o rme de rémunération semble de rémunérer l’avenir”. Valoriser un
préférable à une vente ferme et définitive savoir-faire et déterminer le montant des
qui prive le vendeur de perspectives de redevances d’exploitation ne s’improvisent
gains à long terme, toujours les plus pas. L’opération est complexe car l’ex p e rt
intéressants. De plus, le transfert de est souvent contraint de reconstituer
t e c h n o l og peut déboucher sur un
ie tous les frais induits par la création d’un
pa rtenariat d’ex p o rtation d’autres produits produit. La complexité est accentuée
non concernés par un savoir-faire. lorsque des brevets ont été déposés.
30
regards sur l’IE - N°1 - Janvier/Février 2004
6. Si les transferts de technologies sont Cette dernière situation n’est d’ailleurs transférée, représentera une participation
porteurs de développement durable et favorable au licencié qu’en apparence, car légitime du concédant aux profits
profitables sur les marchés internationaux, le concédant qui n’est pas suffisamment réalisés par le licencié grâce à cette
ils doivent être menés en s’appuyant sur rémunéré pour son apport finit toujours technologie.
les compétences d’un expert. par “abandonner” son licencié, en ne lui
apportant pas l’assistance dont il peut Un chiffrage et un argumentaire de
avoir besoin pour exploiter au mieux la négociation basés sur ces principes
technologie. généraux et préparés avec professionna-
LE CABINET VAUCHER-TISSERONT lisme conduisent toujours à des discus-
Créé en 1979, aujourd'hui dirigé par François Pour fixer conve n a blement la valeur sions constructives avec le futur licencié
Tisseront, le Cabinet Vaucher-Tisseront est reconnu d’une technologie à transférer, il est et permettent aux deux partenaires de
comme le meilleur spécialiste français de l’étude, de conclure dans un climat serein.
la préparation et de la négociation d’opérations de
important de prendre en compte d’une
transfert de technologie international. part les raisons qui poussent le licencié
à acquérir une technologie, d’autre part Le transfert de technologie : une
Les trois consultants du Cabinet Vaucher-Tisseront,
rompus aux méthodes spécifiques d’approche de les conséquences économiques de ce autre façon d’exporter
l’international par les transferts de technolog i e , choix. En choisissant d’acquérir une (Par Mademoiselle Laetitia SARRAZIN,
conseillent et accompagnent chaque année dans de technologie plutôt que de lancer lui-même Consultante du Cabinet Vaucher-Tisseront)
tels projets des dizaines d’entreprises industrielles
françaises de toutes tailles et de tous secteurs d’activité. un programme de recherche et dévelop-
pement, le futur licencié veut gagner du L’exportation
Identification des savoir-faire transférables, définition
de la stratégie du transfert, évaluation de la valeur temps et éviter les aléas de la recherche,
financière des technologies à transférer, recherche et en supprimant à la fois le risque d’échec Avant même d’apparaître comme multi-
validation des partenaires industriels, f ixation des technique et celui du “dérapage” budgé- nationale, l’entreprise se constitue et se
conditions du partenariat et négociation des conditions développe sur une base nationale.
de licence sont les prestations phares du Cabinet
taire par rapport à une estimation initiale,
Va u c h e r- Tisseront, validées par vingt-cinq ans dont on sait l’imprécision en matière de
d’expérience. création d’innovation. En exploitant une A partir des usines installées sur son
technologie fournie par le concédant, et territoire d’origine, elle diffuse ses
Cabinet Vaucher-Tisseront produits sur son marché domestique.
8 rue des Frères Lumière
justement grâce à cette technologie, le
69330 Pusignan licencié réalisera un chiffre d’affaires C’est ensuite un réflexe naturel de vouloir
Tél. 04 78 31 30 32 supplémentaire, augmentera sa part de fabriquer plus et d’exporter vers les
Fax: 04 78 31 30 56 marché, confortera ses positions et marchés étrangers.
contact@vaucher-tisseront.com engendrera un profit additionnel. Il est
de la sorte logique que la rémunération Traditionnellement l’exportation vers les
pour le concédant reflète ces différents pays industrialisés, au niveau national
concepts économiques : global, se présente comme un échange
- le paiement “cash”, versé en général de spécialités ; tel pays a acquis une
La valeur financière avant que la technologie
d’une technologie à transférer ne soit transférée,
(par François Tisseront, consultant) rémunérera le gain de
temps et le gain de
Le transfert de technologie n’est pas une risque que permettent
science exacte ! Et chiffrer la valeur les eff o rts de recherche-
financière d’une technologie à transférer d é veloppement déjà
est un exercice bien délicat. Il s’agit réalisés par le concédant.
pourtant d’une phase fondamentale de Le montant du paiement
la préparation et de la négociation d’un cash sera alors une
transfert international de technologie. fraction du coût support é
par le concédant pour
Une surestimation de cette valeur rendra développer la techno-
la transaction impossible, en décourageant logie concernée. réputation internationale dans tel
le licencié potentiel. Au contraire, une domaine et vend aux autres en achetant
sous-estimation conduira peut-être à un - la redevance d’exploitation (“royaltie”), leurs spécialités : cognac français contre
accord rapide, mais ne permettra pas au versée comme son nom l’indique au fur whisky écossais !
concédant de tirer de l’opération tout le et à mesure de l’exploitation industrielle Cette forme d’exportation est durable
profit qu’il aurait été en droit d’attendre. et commerciale de la technologie mais sa croissance limitée.
31
regards sur l’IE - N°1 - Janvier/Février 2004
7. Stratégie
et décision
Exportation
ou transfert de technologie ?
Plaidoyer pour un savoir-faire
Par contre, l’exportation vers les pays Quant au bureau de liaison, il n’est autre peuvent être lourdes. De plus, l’entreprise
en développement, par exemple les pays qu’une simple ambassade interdite doit supporter le risque de non-paiement
d’Afrique, est le plus souvent un échange “d’affaires” dont les frais sont entièrement par le client.
de produits finis contre des matières pris en charge par l’entreprise : cette
premières, assorti le plus souvent d’un dernière les déduit de ses bénéfices L’importateur distributeur est dans tous
appauvrissement du pays le moins comme de simples frais généraux. les cas une société indépendante qui
développé. On ne peut admettre aujour- Un tel bureau ne se justifie que si un achète à l’entreprise et revend à la
d’hui q’une telle situation puisse durer, lobbying s’impose ou s’il s’agit d’une clientèle de son territoire.
la plupart des pays concernés, mettant à vente très technique qui nécessite la Il est souvent un écran entre l’entreprise
juste titre dans l’industrie tous les présence dans le pays d’un technicien à et cette clientèle, ce qui prive d’une
espoirs de se hisser au niveau des plein temps pour épauler les commerçants. part, les commerçants de l’entreprise de
nations riches. la liste des clients et, d’autre part, les
En ce qui concerne la succursale, celle-ci
fabricants de l’entreprise de l’information
Les formes de l’exportation fait partie intégrante de l’entreprise.
capitale que sont les desiderata du marché.
Cette formule peut poser des problèmes
Le distributeur est seul à décider de la
juridiques et fiscaux relativement
L’exportation peut être approchée, mais marge qu’il s’octroie et peut, si les prix
complexes puisque l’entreprise doit en
avec méthode. Il existe plusieurs façons qu’il pratique sont trop élevés, restreindre
e ffet faire face à deux législations
d’ex p o rter : soit l’entreprise est elle-même la pénétration de l’entreprise sur le
différentes et déclarer aux deux autorités
directement présente sur le marché territoire et gâter l’image de marque.
fiscales les profits globaux.
étranger, soit elle intervient de façon
indirecte avec un agent ou un distributeur. La filiale commerciale à 100 % est une Cet agent ou ce distributeur peuvent être
société nouvelle, créée dans le pays des personnes tiers ou un accord de
La présence directe sur un marché d’accueil et régie par le droit des sociétés j o i n t - venture purement commercial
du pays en question. Les liens juridiques (plus rare cependant). La joint-venture
Lorsque l’entreprise souhaite être présente entre elle et l’entreprise sont constitués commerciale offre à l’entreprise un droit
directement sur le marché étranger qu’elle par le capital social dont l’entreprise de regard sur les activités de l’agent ou
désire investir, elle peut choisir de ve n d re détient tout ou partie, et par les accords distributeur. De plus, cette formule
directement ou alors traiter avec des commerciaux conclus ensemble. Cette remédie simultanément aux inconvénients
représentants. Ces représentants sont en forme d’exportation permet le corps à du distributeur pur (coupure du marché)
réalité des membres détachés du service corps avec le marché local, d’où une et à ceux de la filiale à 100 % (lourdeur
commercial (les bureaux de liaison) ; ou meilleure pénétration. des coûts commerciaux du début).
des bureaux de représentations (les Que l’entreprise traite avec un agent ou
filiales commerciales ou encore des La présence indirecte sur un marché un distributeur, elle aura à contourner
succursales). une fondamentale contradiction entre
Si l’entreprise ne souhaite pas une les intérêts du partenaire local et ses
La vente directe ne nécessite aucune présence permanente dans le pay s propres intérêts. Cependant, que l’on
représentation commerciale dans le c i ble, elle peut choisir de traiter ave c choisisse une présence directe ou
pays ciblé. L’entreprise ex p o rtatrice un partenaire local, soit un agent, soit indirecte, l’exportation a aussi ses limites.
opère directement avec un acheteur sur un distributeur.
place. L’agent est une sorte d’employé rétribué Les inconvénients de l’exportation
à la commission.
Même s’il agit En effet, la pénétration des marchés
d’un commerçant extérieurs par les exportations se heurte
indépendant, à un certain nombre d’entraves. Les
l’agent est souvent frais de transport et les taxes douanières
très protégé par sa ou autres (l’impôt sur les produits
législation et les industriels (IPI), l’impôt sur la circula-
indemnités de tion des marchandises et des services
clientèle que (ICMS) ; l’impôt d’importation (IP)…)
l’entreprise doit quand elles existent, grèvent le coût
lui verser, en cas final des produits exportés. Les délais
d e s é p a r a t i o n, de livraison induits par la distance, les
32
regards sur l’IE - N°1 - Janvier/Février 2004
8. Dans une telle ILLUSTRATION
transaction, le Jacques Valdenaire dirigeait l’entreprise familiale
fabricant ne VA SYSTEM à La Bresse dans les Vosges. Seul
au sein de sa structure en SARL, il était l’inventeur
pourrait pas en 1990 d’une machine à bois (cadreuse volumé-
vendre sans une trique) dont l’innovation consistait en un système
notice, d’ailleurs de blocage sur la poutre supérieure.
incluse dans le Bien inspiré, Jacques Valdenaire avait pris la
précaution de breveter son système dans tous les
prix du produit. pays d’Europe, au Canada et aux Etats-Unis.
Dès que l’on Durant quatre années, il a commercialisé sa
réactions nationalistes des clients limitent parle d’un outil machine en France et à l’exportation. Sa présence
sur des salons de Belgique et d’Allemagne lui a
l’accroissement des parts du marché plus sophistiqué, comme une machine à
permis de se faire connaître mais au prix d’une
contrôlable à partir des ex p o rt a t i o n s. traitement de textes, la notice insuffi- grande disponibilité et à des coûts prohibitifs.
Ces différentes entraves enlèvent tout sante est remplacée par un stage de Aussi, lorsque le constructeur allemand
espoir de compétitivité des produits lors f o rmation payant. A l‘échelle industrielle, LIGMATECH du groupe HOMAG, leader
on retrouve une démarche analogue, à la mondial dans le domaine de la machine à bois,
de leur arrivée vers les distributeurs frappe à sa porte, il est prêt à céder sa technologie.
locaux. taille près, dans la vente d’une usine Le transfert de technologie s’impose naturellement.
Finalement, une des façons les plus clés en mains. Jacques Valdenaire a connu les difficultés de
efficaces de vaincre ces entraves est de les Dans tous ces cas, il y a transfert de l’exportation et souhaite trouver une solution
technologie, mais partiel et accessoire. radicale mais intéressante financièrement.
éviter en devenant soi-même producteur Il conclut un contrat de transfert de technologie
local par des opérations de transfert Il couvre seulement une infime partie avec les Allemands qui inclut le versement de
international de technologie de la technologie et il est déterminé par royalties minimales avant la cession complète
le seul souci du fabricant de vendre son des brevets. La force de ce contrat est de prévoir,
produit parce que le marché concurrentiel en outre, des indemnités supérieures à la valeur
La définition du transfert dans lequel il se trouve est tel qu’il oblige
des brevets en cas de non-paiement des royalties.
De son côté, l’acquéreur a pu valider pendant
de technologie le vendeur à négliger le coût de ce transfert. 4 années d’exploitation, l’intérêt de l’invention
et aboutir finalement à un rachat total.
Il convient dès à présent d’évoquer une Le transfert de technologie tel que nous L’entrepreneur et inventeur vosgien est satisfa i t
confusion sérieuse qui plane sur le l’entendons vise à rentabiliser la tech- de son opération. Les royalties lui ont remboursé
nologie en faisant fabriquer son produit ses années de recherche et de développement et
terme de “transfert de technologie”. En la vente lui a permis de rétribuer son génie. Il
effet, pour certains, le transfert inter- par d’autres et en prélevant sur ces au- consacre désormais son temps à son autre société
national de technologie désigne une tres une partie des profits qu’ils réali- JEDO SAS dont il est le président. Spécialisée
voie d’approche du développement sent en l’exploitant. En d’autres termes, dans l’hydromassage, elle emploie une vingtaine
il s’agit de donner, moyennant rétribu- de salariés. Jacques Valdenaire baigne toujours
international de l’entreprise et c’est la dans l’innovation (“on ne se réinvente pas”).
vraie définition que nous retenons pour tion, à un autre fabricant les éléments Avec ses systèmes spécifiques, JEDO entend
ce mémoire. Pour d’autres, le terme pour qu’il produise un produit identique conserver sa place de leader sur le marché de la
transfert de technologie consiste en la au nôtre, le vende et nous rémunère. cabine de douche avec recyclage de l’eau.
valorisation de résultats de recherche Dans certains cas, lorsque le destinatai- Michel BESSON
obtenus dans les laboratoires et la façon re du pays récepteur ne dispose pas des
de les mettre en valeur par la suite. Cette moyens financiers pour acquérir la tech-
étape constitue la phase aval du mana- nologie, il lui est possible de mettre en
gement de l’innovation et ne s’intègre œuvre des financements internationaux
nullement dans les développements qui pour financer l’opération de transfert.
vont suivre. Pour transférer une technologie, il faut
en avoir une, donc fabriquer soi-même.
Tout le monde fait peu ou prou du transfert Toute prestation de transfert de techno-
de technologie. Acheter un magnétoscope l ogie s’adresse donc aux industriels,
sans sa notice d’emploi ne viendrait à petits et gros.
l’esprit de personne. Or cette notice
même transfère du fabricant à l’acheteur Transférer une technologie, c’est donner
une partie de sa technologie, celle le moyen à un tiers hors de France de (1) Cabinet Vaucher-Tisseront,
qui concerne le mode d’utilisation de faire ces profits en vous en rétrocédant 8, rue des Frères Lumière ZI du Mariage
l’appareil. une part substantielle. 69330 Pusignan www.vaucher-tisseront.com
33
regards sur l’IE - N°1 - Janvier/Février 2004
9. Acrie Réseau National
votre partenaire pour l’information stratégique
Ses clients
Des dirigeants de plus de 100 PME-PMI depuis 1998, des groupes, des collectivités…
Ses 4 métiers
La recherche, le traitement, la diffusion et la protection de l’information stratégique.
Ses prestations
• Réalisation d’études ponctuelles et de veille, visite de salons (60%) ;
• audit, mise en place de dispositif, conseil (20%) ;
• formations, sensibilisations, programmes (15%)…
Ses produits (5%)
• des livres sur la recherche et le traitement de l’information
• des bases de données sur :
- l’intelligence économique ;
- les pouvoirs publics ;
- décideurs...
• un cd d’autoformation
pour chercher sur internet
Ses implantations
Le premier réseau d’intelligence économique national privé
Brest, Douai, Nancy, Nantes, Normandie,
Paris, Strasbourg, Toulouse, Valence
SIÈGE DU RÉSEAU :
Acrie, Aéroport Nantes-Atlantique, Rue Nungesser et Coli
44860 Saint-Aignan-de-Grand-Lieu
Tél : 02 40 04 25 25 - Fax : 02 40 04 10 04
Mail : info@acrie.fr - Site web : www.acrie.fr
10. La vocation clairement opérationnelle et concrète de regards sur l’IE ne doit pas faire oublier que
l’intelligence économique est en France un sujet émergent qui stimule un assez grand nombre de travaux
de recherche.
Parce que ces travaux constituent le terreau sur lequel les applications seront demain déployées, nous
avons souhaité leur faire une place dans cette revue.
Le cahier scientifique ainsi nommé relayera au gré des numéros, une sélection de travaux notamment
universitaires qui nous aideront à structurer une vision prospective de l’intelligence économique.
Ce premier dossier est coordonné par M. Damien Bruté de Rémur qui dirige une équipe dont le travail
porte sur l’intelligence informationnelle et s’intéresse à deux sujets :
“la sécurisation des processus dans les dotcoms” et “les open sources dans la sécurisation des systèmes
d’information”.
En compulsant les pages du “Cahier Scientifique” de Rie, le lecteur
Damien BRUTÉ DE RÉMUR averti pourra y découvrir notre ambition : donner un meilleur statut
et une vraie reconnaissance à l’IE dans la communauté scientifique.
Cela ne pourra se faire que par un travail patient d’observation et
Directeur de l’Institut de Recherche en Intelligence
d’analyse des réalités ainsi que par une recherche documentaire
Informationnelle, équipe commune entre le groupe Sup
aussi exhaustive que possible et une réflexion amont sur les origines
de Co de Montpellier et l’Université de Montpellier I,
propres à la discipline : son épistémologie.
constituant un département du Centre de Recherche
Pour cela, le chercheur doit d’abord reconnaître des “maîtres”, des
en Information et Communication de l’UMI.
références, des “influences”, qui lui permettront de construire sa propre
L’IR2i compte 25 chercheurs dont 6 doctorants en
réflexion. Voilà pourquoi, dès le prochain numéro, les contributions qui
Intelligence Economique.
composeront ce Cahier Scientifique seront examinées et sélectionnées
par un “Comité de Lecture” composé des meilleurs spécialistes de la
Site Internet : www.ir2i.com
question.
Édito
L’intelligence économique a tous les atouts de la jeunesse : fraîcheur
et ouverture. Je ne veux pour preuve de ce jeune âge que la recherche
scientifique commence seulement à s’y intéresser.
D’une manière générale, on considère qu’une discipline naît comme
un ensemble de pratiques (qui commencent à être identifiées
comme constitutives d’un tout qui prend peu à peu une cohérence)
au regard de ses finalités, de ses méthodes, de ses objets, comme
dans ses rapports aux autres disciplines. C’est ce que nous appelons
l’épistémologie.
L’intelligence économique ne naît pas ex nihilo. Bien évidemment !
Pas plus que les autres disciplines. Elle est la réunion de pratiques
de gestion, de communication et de traitement de l’information, plus
généralement de management de l’information. Tous les mots qui
ont annoncé ou accompagné l’émergence du concept sont toujours
d’actualité : veille, benchmark, aide à la décision, sécurité de l’information,
management des connaissances…
L’expression, elle-même, ne s’est imposée que depuis une dizaine
d’années. La France a dû “apprivoiser” un concept anglo-saxon rela-
tivement intraduisible. Il est faux, comme j’ai pu le lire récemment,
d’assimiler l’I.E. à une : “pratique de l’espionnage économique
pompeusement qualifié d’intelligent” ! Le concept est bien sûr très
différent dans la réalité de sa pratique ainsi que dans la pensée des
spécialistes.
Cahier
scientifique
35
regards sur l’IE - N°1 - Janvier/Février 2004
11. Sécurisation des processus et processus de sécurisation
dans les DotComs
Yves BARLETTE
Enseignant-chercheur
CEROM, Centre d'Etudes et de Recherche sur les
Organisations et le Management
Groupe Sup de Co Montpellier, France
IR2I, Institut de Recherche en Intelligence
Informationnelle, CRIC
Doctorant en sciences de Gestion, Université de
Montpellier I
Adresse professionnelle :
Groupe Sup de Co Montpellier
2300 avenue des Moulins
34185 Montpellier Cedex 4
barlette@supco-montpellier.fr
Tel . 04.67.10.25.26
Figure 1 (Source Clusif, 2003)
Mobile : 06.18.44.59.35
Si la sécurité est incorrectement assurée, la confiance n'est pas au
rendez-vous, et le e-commerce est pénalisé; la sécurité et la confiance
représentent donc bel et bien un enjeu marchand… Selon un ingénieur
en informatique américain(1), "Le site Web est la représentation
Cette communication a été présentée lors de la journée de recherche publique de notre entreprise. S’il tombe en panne ou s'il est piraté
Montp'2003 du 12 décembre 2003, "Manager l'entreprise électronique" ou défiguré, notre réputation est immédiatement touchée. On ne
peut empêcher le diable (les informations) de sortir de sa boîte (le
site Web) parce que la boîte est toujours ouverte."
Résumé
Cette communication met en évidence la nécessité d'une meilleure Dans une première partie, nous allons examiner les processus
sécurisation des processus métiers des Dotcoms. Les systèmes métiers qui sont mis en œuvre dans les Dotcoms, puis nous mettrons
techniques ayant montré leurs limites, les solutions à ces problé- en évidence le besoin d'une sécurisation, ce qui nous conduira à
matiques vont se retrouver dans des solutions organisationnelles. examiner quelles solutions peuvent répondre à ces problématiques
Pourtant, les politiques de sécurité globales ne sont toujours pas sécuritaires.
mises en place… Nous verrons que la solution pourrait résider dans Dans une deuxième partie, nous étudierons les processus de sécurité
la sensibilisation des décideurs, et surtout dans l'amélioration de actuels et leurs limites, et nous rechercherons une solution afin
leur propension à agir. d'améliorer la sécurité des Dotcoms.
Abstract I - Les processus et leur sécurisation
This paper highlights the need to improve the security involved in the
Dotcom's business processes. As technical solutions have shown I.1. Les processus métiers : un besoin de sécurisation
their limits, organizational solutions are the solution to security problems. Selon Soh (Soh et AL., 1997), la majorité des applications liées au
However, global security policies aren't developed yet … e-commerce réside dans cinq domaines principaux : marketing,
We will see that the solution could reside in the building of the manager's publicité, service et support client, commande et livraison, et paie-
awareness, and an improvement of their propensity to act. ment. D’un autre côté, selon Clarke (1993), les applications de
e-commerce couvrent les cinq phases du processus d’achat et de
Introduction vente, qui sont les phases précontractuelle, contractuelle, commande
Le marché du commerce électronique grand public en France et logistique, règlement et suivi.
augmente de 60 à 100 % par an selon le Benchmark Group (2003). Dans le tableau 1, Sulaiman Ainin (2000) a mis en relation ces deux
Il atteignait environ 2400 millions d'euros en 2002, ce qui représentait classifications :
27 % des revenus de la vente à distance. Concernant le BtoB, le
marché devait être multiplié par 5 entre 2002 et 2005 (Gartner Phases Applications
Group, 2002).
L'ouverture des S.I. vers l'Internet progresse fortement entre 2002 pré-contractuelle marketing
et 2001 (Clusif 2003) : les entreprises de plus de 1000 salariés
publicité
enregistrent 24 % d'achats sur Internet, ce chiffre s'explique par les
commandes de masse et la migration sur Internet des solutions contractuelle service et support client
d'EDI. Les entreprises de plus de 200 salariés ont un site Internet
pour plus de 80 % d'entre elles. commande et logistique commande et livraison
Dans la figure 1 ci-contre, tout augmente sauf le commerce
règlement paiement
électronique qui a enregistré un recul en 2002. La cause en est une
sécurisation encore insuffisante des Dotcoms et de leurs processus suivi service et support client
métiers.
36
regards sur l’IE - N°1 - Janvier/Février 2004
12. Sécurisation des processus et processus de sécurisation
dans les DotComs
Nous allons étudier les besoins en sécurité pour chacun de ces 5 Nous avons examiné les processus, les applications, les outils et
types d'applications, pour cela nous allons tout d'abord examiner les moyens utilisés dans les Dotcoms, voyons maintenant comment
outils et autres moyens spécifiques mis en place par les Dotcoms. sécuriser tout ceci. Les problématiques que nous allons évoquer
Le marketing électronique sera lié à l'utilisation de la messagerie, maintenant sont liées au triptyque disponibilité, intégrité, confidentialité,
des forums et newsgroups, et au référencement sur les moteurs de il conviendra de le compléter par la traçabilité et la non-répudiation qui
recherche. Des bases de données pourront contenir les informations sont particulièrement importants dans le cadre des Dotcoms et du
p o rtant sur les clients, leurs besoins (ERP CRM, …). Internet constitue
, e-commerce.
aussi un outil d'intelligence économique et permet de réaliser une
veille concernant les offres et les services des concurrents. I.2. Les solutions de sécurité
La e-publicité se fera par l'intermédiaire du site de la Dotcom, ou par Afin de sécuriser non seulement les processus métiers mais aussi
des sites qui véhiculeront cette publicité. la Dotcom en elle-même, le tableau 3 présente les techniques répondant
à quelques-unes des problématiques que l'on pourra rencontrer.
Le service et support client seront assurés grâce aux
e-mails et aux FAQ (foire aux questions). Des formulaires permettent Problématique Sécurisation Techniques
de véhiculer certaines questions ou plaintes.
Concernant la commande et la livraison, la majorité des sites de
Mots de passe
e-commerce permet le suivi de la commande, certains vont jusqu'à
Qui est-ce ? Identification Certificats numériques
assurer le suivi de la livraison, en sous-traitant si besoin cette tâche
Comment le prouver ? Authentification Cartes à puce
à une société d'expédition.
Biométrie, …
Le paiement est réalisé en France principalement par carte bleue,
avec des confirmations par e-mail, en passant éventuellement par un
Qui peut accéder à l'information ? Applications
intermédiaire de paiement.
sécurisées
Le tableau 2 récapitule les outils et moyens mis en œuvre qui vont
Contrôle d'accès Annuaires LDAP
devoir être sécurisés.
Quels sont ses droits d'accès ? Contrôle d'accès
centralisé
Applications Outils et moyens utilisés
Qui peut envoyer, lire, l'information ? Confidentialité Logiciels d'analyse
Peut-elle être modifiée ? et Intégrité
marketing Messagerie, forums,
A-t-elle été altérée ? des données. Clé publique/clé privée
news groups, sites,
bases de données.
Tableau 3
publicité Site, sites partenaires D'après : "Web Security", Amrit Tiwana, Digital Press, 1999
service et support client Messagerie, FAQ, Si nous rapprochons ce tableau du triptyque de la sécurité, nous
formulaires, bases de retrouvons l'intégrité et la confidentialité. La disponibilité est sous-
jacente, en effet si l'identification et l'authentification sont correctes
données.
et que les accès sont bien contrôlés, il sera par exemple impossible
commande et livraison Site, formulaires, base pour un pirate de bloquer le fonctionnement du site. Par contre, ceci
n'empêchera pas les pannes de courant ou les dysfonctionnements
de données du réseau.
Nous avons choisi de ne traiter que des systèmes de sécurité les
paiement Site, intermédiaires,
plus proches des activités des Dotcoms, c'est pourquoi nous ne
messages de serons pas exhaustifs.
confirmation Notre point de départ correspondra au serveur de la Dotcom, il s'a-
gira de colmater ses failles afin de se prémunir au mieux contre les
logiciels d'attaque utilisés par les pirates, et contre les attaques vira-
Tableau 2 les : les principales conséquences seront le déni de service (dispo-
nibilité), et le "defacement(2)", mais nous retrouverons ici le vol d'in-
Tonglet et Johnstone (2001) relèvent une quantité impressionnante formations, l'altération, etc.
de risques liés à l'e-commerce : la redirection d'informations, l'usur-
pation d'identité, l'interception de communications, les erreurs de Les antivirus viendront en complément, accompagnés d'un ou plu-
programme, les problèmes liés à la sécurité du client ou du site, les sieurs Firewalls(3) et proxy(4), qui assureront une certaine traçabilité
données altérées, la fraude, les e-mails non sollicités, le déni de des échanges.
service, l'espionnage, les atteintes à la propriété intellectuelle et au
copyright. Des logiciels de détection d'intrusion permettront d'avertir qu'une
Tous ces risques vont toucher directement les Dotcoms dans ce qu'elles attaque est en train de se préparer ou de se produire.
ont de plus sensible : leurs informations, que ce soient celles concernant Concernant les échanges, le tableau 3 indique certaines protections,
leurs clients et leurs partenaires, celles échangées, ou celles qu'elles qui sont souvent mises en place dans le cadre du commerce électro-
vont véhiculer au travers de leur site. nique, notamment pour les échanges d'informations, de formulaires,
L'image même (au sens propre comme au figuré) de la Dotcom et la prise de commande sécurisés. Ces protections pourront aussi
pourra être atteinte, avec toutes ses conséquences sur la confiance faire appel à une infrastructure à clé publique ou à des réseaux privés
que lui portent les clients et partenaires (Barlette, 2003). virtuels utilisant par exemple le protocole IPSec.
37
regards sur l’IE - N°1 - Janvier/Février 2004
13. Sécurisation des processus et processus de sécurisation
dans les DotComs
Le paiement sécurisé se fera principalement grâce au système SET Les firewalls ne sont pas remis à jour alors que leurs failles sont
ou C-SET(5), ou bien la carte bleue virtuelle, et fera appel à un tiers diffusées sur Internet par les pirates dans les 15 jours qui suivent
de confiance et à une autorité de certification pour assurer la leur mise sur le marché. De plus, certains employés contournent
traçabilité et la non-répudiation des diverses transactions. ces firewalls en utilisant un modem par "besoin d'intimité" afin de
P o u rtant, la sécurité ne se résume pas à ces solutions technologiques, surfer sur des sites peu recommandables ou de gérer leurs affaires
sans cesse plus perfectionnées. Les entreprises subissent des sinistres personnelles (banque, bourse, …). Ils ouvrent ainsi largement les
contre lesquels les technologies sont impuissantes. A ce sujet un des portes de leur entreprise aux pirates les moins équipés.
plus grands spécialistes américains de la sécurité informatique(6)
déclare dans l'étude CSI/FBI (Power, 2001) : "Ce qui est intéressant Les systèmes de détection d'intrusion ne sont pas aujourd'hui
est que toutes ces attaques se sont produites malgré le large totalement satisfaisants et occasionnent des fausses alertes ou bien
déploiement de technologies de sécurité (...) Clairement, les technologies ne détectent pas une vraie attaque.
sont inefficaces."
Deux ans plus tard, Richardson (2003) relève dans cette même Le chiffrement de données est trop majoritairement réalisé sur
enquête annuelle du C.S.I.(7) que "même les organisations qui ont disque (Clusif 2003), au détriment des réseaux privés virtuels,
déployé un large éventail de technologies de sécurité peuvent être infrastructures à clé publique et signature électronique.
victimes de pertes significatives". Il précise en outre que les deux Les systèmes de sauvegarde sont fiables, mais qu'en est-il des
plus grosses sources de pertes de revenus sont liées au vol d'infor- derniers lecteurs qui ne sont plus compatibles avec les anciennes
mations et au déni de service. sauvegardes ? Que se passe-t-il quand le responsable des sauvegardes
Nous observons que même s'il est reconnu que les réponses à notre est absent ou malade ?
problématique de sécurité des Dotcoms sont loin de résider dans les Ghernaouti-Hélie(8) (2000), nous met en garde : "Internet évoluant
solutions technologiques depuis 1992, plus de dix ans après, le sans cesse, les solutions de sécurité doivent donc être adaptées en
remède n'a toujours pas été mis en place !!! permanence".
II- Les processus de sécurité, de la technique à Selon Power (2001), voici les tendances qui ont émergé ces dernières
l’organisation années :
1. "les organisations souffrent de cyber-attaques provenant de
Les systèmes techniques ne sont donc pas la solution à la mise en l'intérieur et de l'extérieur de l'entreprise;
place d'une sécurité satisfaisante en entreprise. Nous allons maintenant 2. un grand éventail de cyber-attaques ont été détectées;
mettre en évidence les limites des solutions technologiques et nous 3. ces cyber-attaques peuvent occasionner de sérieuses pertes
montrerons que les solutions organisationnelles sont la condition financières;
nécessaire pour que les technologies soient efficientes, les aspects 4. se défendre avec succès contre de telles attaques nécessite plus
humains étant incontournables. que l'utilisation des technologies de la sécurité des informations".
Nous voyons donc que même en admettant que certaines solutions
II.1. Les limites des systèmes techniques de sécurité sont au point, il existe des failles organisationnelles qui
Nous allons nous baser sur la figure 2 pour commenter les solutions font que ces solutions ne sont pas exploitées correctement.
technologiques mises en place :
Daniel Guinier (1992), rapporte que : "La sécurité des systèmes
d'information est fortement liée au fameux facteur humain puisque,
directement ou indirectement, il est représenté dans l'ensemble des
pertes pour une part qui avoisine 80 %. Ceci s'explique par
l'interactivité entre un domaine technologique, aussi puissant que
fragile, et l'homme, son ambiguïté et sa propre représentation de
l'organisation qui peuvent mettre en péril l'outil dont l'entreprise ne
peut se passer aujourd'hui. Il convient donc d'expliquer; il faudra former
et faire communiquer les différents acteurs."
T. Davenport (2002) ajoute : "Il ne suffit pas de se doter d'outils
informatiques puissants. Pour mieux gérer leurs informations, les
entreprises doivent éviter l'écueil de l'obsession technologique et
mettre l'accent sur le facteur humain".
Nous ajouterons que selon le Clusif (2003), ce sont les erreurs
humaines qui ont le plus grand impact sur les entreprises, et cela
aucune protection ne pourra l'empêcher…
Figure 2 (Source Clusif, 2003) Quels sont alors les moyens de disposer d'une sécurité satisfaisante ?
Les antivirus qui équipent 92 % des entreprises (voir figure 2) ne II.2. Les solutions organisationnelles
sont pas toujours mis à jour alors qu'il apparaît entre 600 et 1200
nouveaux virus par mois. La première chose à faire est de mettre en place dans l'entreprise
Les solutions d'authentification par mots de passe sont encore très une politique de sécurité globale, comme le souligne Gonik (1996) :
répandues et ont pourtant avoué leurs limites. Une très grande "Avoir une politique générale de sécurité qui soit partie intégrante
majorité de mots de passe sont faciles à deviner ou pire encore sont des grandes orientations retenues par et pour l'entreprise est
conservés dans un tiroir ou même sur un "post-it" collé sur l'écran. l'invariant de base à respecter".
38
regards sur l’IE - N°1 - Janvier/Février 2004
14. Sécurisation des processus et processus de sécurisation
dans les DotComs
Ceci est confirmé par Ghernaouti-Hélie (2000), qui précise que cette Enfin, des faits récents de l'actualité peuvent être un bon moyen de
politique doit intégrer non seulement les aspects techniques, mais sensibilisation, même si ce sont souvent les mêmes sinistres qui
aussi les aspects organisationnels et managériaux. Plus loin, elle sont présentés, les virus et les piratages principalement.
ajoute qu'"une réflexion globale sur les solutions de sécurité (9) et une
recherche des bonnes solutions technologiques permettent de Malheureusement, le Clusif (2003) a déterminé que 64 % des
ramener le risque (…) comparable au risque résiduel inhérent à entreprises n'ont toujours pas défini de politique de sécurité des sys-
toute activité commerciale". tèmes d'information, même si ce chiffre est en légère amélioration
par rapport à l'année précédente. La figure 3 montre que même si
Les solutions pourraient se diviser selon nous en trois grandes la sensibilisation et la formation du personnel sont maintenant mises
familles de processus : en place par pratiquement toutes les entreprises, il n'y a que 37 %
- ceux éliminant l'humain par l'automatisation de certains processus de chartes de sécurité et 30 % d'audits de sécurité réalisés. Nous
de sécurisation, comme la mise à jour des antivirus, la "robotisation" reprendrons le commentaire des experts dans l'enquête du Clusif
des sauvegardes; (2003) : "Les entreprises forment, ne formalisent pas et contrôlent
- ceux rapprochant au contraire les solutions humaines des solutions encore moins."
technologiques, tels que l'amélioration de la détection d'intrusion
par des utilisateurs(10) mieux avertis et préparés;
- des processus indirects, tels que la limitation du contournement
des procédures de sécurité par une meilleure sensibilisation des
employés et la diminution des erreurs humaines grâce la formation.
Les processus limitant l'intervention humaine nous ramènent à des
solutions technologiques existant déjà pour leur plupart sur le marché,
nous n'entrerons pas dans ces détails : si la politique de sécurité et les
réflexions globales existent, ces problèmes seront résolus.
Pour le reste, il est nécessaire de mieux sensibiliser et former le
personnel, toujours dans le cadre d'une politique de sécurité globale.
Mais comment s'assurer que ces politiques seront mises en place
et que les budgets seront débloqués ?
Le principal acteur sera donc la direction de l'entreprise, qui devra
elle-même être sensibilisée et prête à agir, comme le soulignent Figure 3 (Source Clusif, 2003)
Archimbaud et Longeon (1999) : "La détermination et la supervision
de la politique de sécurité sont des fonctions de direction. Rien de Même si l'on progresse, cette progression est encore insuffisante,
valable ne peut se faire sans le directeur : encore faut-il qu’il en ce qui nous ouvre des pistes de recherches…
connaisse tous les enjeux. L’argument « la sécurité, c’est le problème
d’un administrateur système » n’est-il pas une forme de démission ?
N’est-ce pas avouer qu’on cherche des solutions techniques à des Conclusion
problèmes qui sont d’abord organisationnels ?"
Même si les processus métiers des Dotcoms intègrent des spécificités
Malheureusement, sensibiliser les décideurs ne sera pas si simple. par rapport aux entreprises classiques, ils font appel à des processus
En effet, selon Guinier (1992) : "Les directions générales d'entreprises de sécurisation similaires à ceux des entreprises classiques. Si certains
dites stratégiques sont sensibles et déclarent souvent avoir fait un risques sont effectivement plus présents du fait de l'ouverture des
effort. Quelquefois même, il existe un responsable sécurité dans Dotcoms sur Internet, tels que les problèmes liés aux virus et aux
l'entreprise. Bien souvent cependant, elles abandonnent toute attaques de hackers, il n'en reste pas moins que la part de l'organisation
responsabilité dans les choix et considèrent que c'est totalement une et de l'humain dans ces processus est primordiale.
a ffaire d'informaticiens. Pour beaucoup d'entreprises, le système
d'information est réduit à la seule informatique et l'unique préoccupation Pourtant cet aspect majeur n'est pas pris en compte
semble bien être celle de l'acquisition d'un matériel qui assure sa fonction correctement, même s'il a été mis en évidence depuis longtemps.
d'exploitation et quelquefois, seulement de gestion de l'entreprise."
Il apparaît alors que les décideurs en entreprise sont la clé de la
Dans ce cas, comment sensibiliser réellement le décideur à ces mise en place d'une politique de sécurité globale, qui prendra en
enjeux ? compte des processus incluant non seulement les technologies, les
problématiques organisationnelles, mais aussi les synergies possibles
Premièrement, la détermination de la valeur des informations détenues, entre les hommes et les systèmes automatisés.
primordiales dans le cas des Dotcoms, permettra de mettre en balance
les investissements avec les pertes financières potentielles. Sensibiliser les décideurs à ces problématiques, et surtout les
amener à agir, permettra de se diriger dans la bonne voie… Mais
Deuxièmement, en sensibilisant le décideur aux risques pris en ne comment faire ?
sécurisant pas l'entreprise, la survie de l'entreprise pouvant être en jeu.
Troisièmement, le fait qu'un sinistre se soit produit déclenche en L'étude du Clusif (2003) montre que les réponses organisationnelles
général une réaction de protection, mais uniquement pour que le même se sont améliorées entre 2001 et 2002, alors qu'elles avaient
type de sinistre ne se reproduise plus, si l'entreprise a survécu … régressé l'année précédente. Cette tendance se maintiendra-t-elle ?
39
regards sur l’IE - N°1 - Janvier/Février 2004