Face aux nouvelles formes de cybercriminalité, comment les entreprises peuvent-elles se protéger? C’est l’objet de cet article, paru dans la Nouvelle Revue Géopolitique (Janvier-février-mars 2013). Son auteur est Olivier Kempf, géopolitologue et stratégiste. La Nouvelle Revue Géopolitique est disponible en kiosque.
[image:1,l]
De nombreux colloques (cf.1) montrent la prise de conscience par l’entreprise des risques suscités par le cyberespace. Jusqu’à présent, celui-ci était considéré comme un instrument rendant les opérations plus faciles, mais nombre d’affaires récentes évoquent une face cachée de cet outil, au point de menacer le fonctionnement même de l’entreprise.
Cette prise de conscience reste cependant le fait des spécialistes, non encore des directions générales. En effet, la classique stratégie d’entreprise peine à appréhender les nouvelles conditions de la guerre économique. Or, celle-ci est renforcée par les nouvelles conditions du cyberespace. La
cyber-stratégie n’est donc pas simplement l’affaire des informaticiens ou des directeurs de sécurité.
Elle appartient désormais à la fonction stratégique centrale de l’entreprise. Cela amène logiquement à recommander quelques mesures qui permettront de développer un cyber-stratégie d’entreprise.
Stratégie d’entreprise et grande stratégie
Il existe plusieurs définitions de la stratégie d’entreprise. Une des plus classiques affirme que « la stratégie, c’est l’acte de déterminer les finalités et les objectifs fondamentaux à long terme de l’entreprise, de mettre en place les actions et d’allouer les ressources nécessaires pour atteindre lesdites finalités » (cf.2).
Un courant plus récent a insisté sur l’environnement concurrentiel. Ainsi, pour Porter, « la stratégie consiste à définir les orientations générales permettant à l’entreprise de détenir un avantage concurrentiel durable » (cf.3). Détaillant cette définition, on peut donc dire que « la stratégie d’entreprise consiste à fixer des objectifs en fonction de l’environnement (contraintes extérieures) et des ressources disponibles dans l’organisation, puis à allouer ces ressources afin d’obtenir un avantage concurrentiel durable et défendable » (cf.4).
Pour atteindre ses buts, l’entreprise cherche à faire coïncider sa structuration interne – par l’utilisation des facteurs de production dont le capital, le travail, le management, et par l’organisation et la maîtrise des processus – et son « théâtre d’opération » externe – le marché ou le client. Le produit – ou le service – est l’instrument de cette coïncidence. Les théoriciens ont proposé de multiples modèles d’organisation (cf.5), assemblages de recettes plus ou moins simples, même si leur mise en œuvre présente d’évidentes difficultés. Il existe plusieurs définitions de la grande stratégie.
Pour Liddell Hart, elle consiste à « coordonner et diriger toutes les ressources de la Nation […]
en vue de l’atteinte de ses objectifs ». Desportes et Phélizon distinguent la stratégie conceptuelle et la stratégie opérationnelle, la seconde mettant en œuvre le cap fixé par la première. Ces deux approches distinguent la définition des objectifs – à partir d’une séquence articulant le diagnostic, la fixation des buts puis la planification – de la mise en action de ce plan. En cela, elles ont beaucoup en commun avec les approches de stratégie d’entreprise.
Toutefois, si les stratèges militaires se sont un peu intéressés à la conduite de la stratégie, ceux de l’entreprise en disent peu. Or, les militaires savent que le premier mort à la guerre, c’est le plan. Que la guerre est un être autonome qu’on ne peut domestiquer, et le combat est rendu difficile par le brouillard de la guerre qui rend les mêlées si confuses. Le stratège – au sens premier, le chef de l’armée en campagne, celui qui conduit la guerre – a donc les plus grandes difficultés à prendre les bonnes décisions au bon moment. C’est pourquoi les militaires distinguent clairement la stratégie de la tactique – ajoutant même un niveau intermédiaire, le niveau opératif. Si l’on connait des traités de tactique théorique, on n’a jamais entendu parler de « tactique d’entreprise ».
L’entreprise face à la nouvelle guerre économique
Au fond, les difficultés de la stratégie d’entreprise tiennent à un de ses présupposés : l’environnement serait fluide et je serais un trop petit acteur pour pouvoir influencer les conditions globales du marché. Le lecteur aura reconnu là les préceptes de la concurrence pure et parfaite. Les économistes ont d’ailleurs tenté de desserrer ce cadre en décrivant une économie imparfaite, sous le nom d’économie industrielle, notamment avec des situations de duopoles ou d’oligopoles. Il reste que ces situations sont assez simplifiées et rendent mal compte de la diversité des situations des entreprises, notamment dans une économie mondialisée. On observe également un courant récent d’études managériales qui considère que l’entreprise peut agir sur son environnement, notamment via le lobbying et les actions d’influence (cf.6).
Par ailleurs, le rapport au temps de ces stratégies est très sommaire : on distingue simplement l’avant de l’après – le fameux ex ante – ex post – sans s’intéresser à la façon dont le marché réagit concrètement – le phénomène de boîte noire – ni au phénomène de la continuité temporelle. Le temps est un facteur le plus souvent ignoré des stratégistes d’entreprise. On le voit : les présupposés de la stratégie d’entreprise prennent rarement en question la fluidité de la vie réelle, que ce soit dans les dimensions spatiales, temporelles ou dans les rapports à l’autre – le client, le concurrent, l’actionnaire, l’État, le salarié, les médias, les groupes de pression ou diverses associations.
C’est probablement pour tenir compte de ces difficultés que le général Beaufre, un des plus grands stratégistes français du XXe siècle, un des pères de la doctrine de dissuasion nucléaire, expliquait que la stratégie était l’art de la dialectique des volontés employant la force pour résoudre les conflits. Le point-clé n’est pas tellement la notion de conflit et la contingence qui l’accompagne, mais la notion de dialectique des volontés : mon action sera non seulement gênée par le cours des événements, mais en plus l’adversaire conduira une action opposée qui viendra encore compliquer ma tâche. Cela entraîne que la difficulté est double et augmente d’autant mes calculs. L’environnement est encore plus mouvant que ce que je pouvais escompter à l’abord.
Mais, si Beaufre est pertinent pour des stratégies guerrières ou simplement conflictuelles – puisqu’on identifie un ennemi –, sa transposition au monde de l’entreprise n’est pas simple : celle-ci parle plus de concurrent que d’adversaire et de marché que de théâtre d’opérations. Sauf si elle considère qu’elle agit dans un contexte de guerre économique. Celle-ci est délicate à expliquer, surtout si l’on veut aller au-delà des expressions des journalistes qui l’utilisent abondamment sans réellement la définir. Tentons une définition : la guerre économique serait une méta-concurrence qui dépasserait la « simple » concurrence entre entreprises pour associer entreprises et États dans une nouvelle conflictualité de puissance. Elle résulterait d’un nouvel état international, post-westphalien, qui ne nierait pas le rôle persistant de l’État mais lui associerait d’autres acteurs, et notamment les entreprises.
Cette guerre économique a été rendue possible par des conditions particulières : la mondialisation économique – dérégulation, circulation des biens, des personnes et des capitaux, élargissement géographiques des cadres d’échange – et le développement des technologies de l’information et de la communication, qui a permis à la fois la circulation extrêmement rapide de l’information, et la financiarisation des échanges.
Autrement dit, la guerre économique, dans laquelle agit l’entreprise, est structurée par le cyberespace et il ne peut y avoir de stratégie d’entreprise qui ne considère ce cyberespace.
Le cyberespace en différentes couches
Comme ce cyberspace n’est pas simplement un espace technique, mais aussi un espace social, voici la définition que nous proposons de retenir : il s’agit de l’espace constitué des systèmes informatiques de toutes sortes connectés en réseaux et permettant la communication technique et sociale d’informations par des utilisateurs individuels ou collectifs. Il s’agit d’une définition large qui englobe les trois couches de ce cyberespace : physique, logique et sémantique.
La couche physique comprend non seulement les ordinateurs de toutes sortes et de toutes tailles – depuis les super-calculateurs jusqu’au plus petit ordiphone –, mais aussi tous les prolongements de ces produits – comme les clefs USB, les cartes mémoire, les différentes cartes à puce que nous détenons en masse, etc. – et les infrastructures nécessaires au fonctionnement de la société et de l’économie – du distributeur de billet au lecteur de carte Vitale chez le pharmacien. Cette couche comprend également toutes les infrastructures de connexion, qu’elles soient filaires ou par ondes – comme les relais GSM, les réseaux wifi et bluetooth et les relais satellitaires –, les machines destinées à faire fonctionner ce réseau – routeurs, fermes de données –, les différents systèmes de contrôle ainsi que les moyens permettant au système de fonctionner, notamment les services électriques.
Pour l’entreprise, une partie de ces moyens sont privatifs – et lui appartiennent – quand beaucoup d’autres dépendent d’autres acteurs à qui elle loue l’utilisation de services. Toutefois, elle peut utiliser certains services gratuitement – comme par exemple quand ses collaborateurs utilisent leurs moyens personnels pour travailler à la maison (cf.7). La multiplicité des matériels et des services associés constitue d’emblée une source de fragilité de l’entreprise, si elle n’y prend pas garde – ce qui est le plus souvent le cas.
La couche logique – ou logicielle – comprend tous les « programmes » informatiques qui permettent de faire fonctionner ou d’utiliser la couche physique. Elle comporte deux dimensions, l’une liée au dialogue entre l’homme et la machine – le codage –, l’autre liée au dialogue entre les machines – les protocoles. Les codes permettent de transformer le langage humain en langage machine – les systèmes d’exploitation et les « logiciels » conçus en fonction de tâches précises et plus ou moins complexes. Les protocoles permettent de faire fonctionner les échanges sur les réseaux. Pour le comprendre, il suffit de penser au code de la route qui existe pour réguler le trafic des voitures – d’ailleurs pilotées par des conducteurs conscients et capables de s’adapter aux circonstances. De la même manière, il est nécessaire de disposer d’un protocole partagé permettant de découper les flux d’informations émis par une machine de départ en paquets de données, puis de les lancer sur le réseau où chaque paquet voyagera selon un itinéraire qui lui sera propre, passant de routeurs en nœuds et par des voies les plus diverses, pour se recomposer avec les autres paquets sur la machine d’arrivée afin de reconstituer le message d’origine.
L’entreprise a une marge d’action sur les logiciels : selon le prestataire auprès de qui elle se les procure, elle choisit un niveau de risque et de confiance, mais elle n’est jamais sûre que les logiciels ne cachent pas des portes dérobées qui seront utilisées par des agents hostiles8. De même, elle fera appel à un fournisseur d’accès – à internet ou à des réseaux privatifs – pour organiser ses flux de données, soit au sein de son organisation, soit entre elle et ses partenaires, par exemple par l’internet. Là encore, la sûreté n’est pas qu’affaire de prix, mais aussi de confiance et de procédure. À tout le moins, l’entreprise doit prendre conscience que ces deux sous-fonctions logiques sont sources de risque.
La couche sémantique – ou informationnelle – nous invite à considérer que le cyberespace ne peut se réduire à un simple outil physique s’occupant de transporter des informations neutres : les informations transportées ont un sens et le cyberespace doit inclure les différentes actions sur le sens, selon une guerre informationnelle au sens large. Le cyberespace n’est pas qu’un espace informatique, c’est aussi un espace informatif. Cela revient à considérer la nature extrêmement diverse de l’information dans l’entreprise : à bien y regarder, tout est information, qu’il s’agisse des processus internes – recherche et développement, processus d’organisation, plans financiers, états comptables, bases de données des ressources humaines – ou externes – position marketing, communication financière, relations avec la presse, site Internet de vente en ligne, image de marque. C’est, à l’évidence, une source de fragilité.
Le cyberespace : lieu de la guerre économique
L’analyse des différentes couches du cyberespace permet de comprendre les nombreuses fragilités de l’entreprise qui peut être la cible d’agressions. Peu importe leur motivation : force est de constater que, dans la vie réelle, certains peuvent vouloir s’attaquer à l’entreprise, quitte à enfreindre les lois, les règlements ou la simple morale des affaires.
De ce point de vue, le cyberespace offre beaucoup de marges de manœuvre, notamment parce que, contrairement à l’opinion commune qui le considère comme extrêmement transparent, le cyberespace est relativement opaque. Pour peu qu’on fasse attention, on peut y agir incognito. Cela entraîne un principe d’inattribution qui favorise globalement l’attaquant (cf.9).
Que peut faire cet agresseur du cyberspace contre l’entreprise ? L’espionnage est la première pratique malveillante. Il a pour ambition d’acquérir les informations sensibles de l’entreprise, qu’il s’agisse de son fonctionnement interne – finances, organisation, technologie, organisation – ou de sa posture externe – données financières, campagnes marketing, axes de développement stratégique. L’agresseur utilise bien sûr les procédés classiques du renseignement, mais il y ajoute une couche technique qui peut être physique ou surtout logicielle. En effet, toutes les entreprises utilisent désormais des systèmes d’information et de communication sécurisés à des degrés variables et dont la mise en œuvre par les collaborateurs de l’entreprise est plus ou moins prudente. Les adversaires pourront non seulement implanter des logiciels espions dans les systèmes de l’entreprise, mais également exploiter les imprudences. Ainsi, les cadres qui laissent leurs ordinateurs dans leurs chambres d’hôtel ou qui utilisent internet pour communiquer des données sensibles constituent des cibles faciles à espionner. Il faut ainsi comprendre que cet espionnage peut à la fois viser le cœur de l’entreprise ou ses extensions mobiles comme les ordinateurs portables, les ordiphones ou les comptes internet accessibles à distance.
La deuxième pratique est le sabotage. Il peut être plus ou moins ouvert. S’il est discret, il s’agit de perturber le dispositif-cible sans que celui ne s’en aperçoive. Il opère plutôt dans les deux premières couches. Mais il peut être plus ouvert, et l’on passe alors de la gêne à la corruption de l’intégrité du dispositif attaqué. C’est la forme la plus aiguë des cyber-conflits d’entreprise. Elle peut avoir des impacts informationnels dans la troisième couche du cyberespace. Ainsi, quand des hackers iraniens attaquent à l’été 2012 la compagnie pétrolière saoudienne Aramco au moyen du virus Shamoon, l’action se situe dans la deuxième couche du cyberespace : Aramco doit fonctionner pendant quinze jours en mode dégradé au moyen de fax et ne retrouve un fonctionnement à peu près normal qu’au bout d’un mois. On ne connaît pas le coût financier immédiat, ni de long terme.
Quand le groupe Anonymous attaque Visa-Mastercard pour déranger son site internet et entraver son commerce en ligne, l’action se concentre à la fois sur la dimension logicielle et sur la dimension sémantique du cyberespace. L’action Visa perd instantanément 10 % de sa valeur en bourse : la réputation ne touche pas seulement l’image de marque, mais aussi le goodwill de l’entreprise et donc sa valorisation.
La subversion, enfin, touche plutôt la dimension sémantique du cyberespace. Il peut s’agir de soutenir une cause militante – comme le fait Anonymous – mais aussi d’attaquer la réputation de l’entreprise, en utilisant la viralité des médias sociaux. Ainsi, Apple a dû réagir à une campagne d’opinion dénonçant l’exploitation des travailleurs chinois opérée par ses sous-traitants en Chine. Il ne s’agit pas seulement d’e-réputation, domaine dans lequel se sont spécialisés un certain nombre de communicants et marketeurs, mais bien de l’utilisation du cyberespace dans la guerre informationnelle que se livrent les entreprises. Nous n’en sommes aujourd’hui qu’aux balbutiements, et nul ne doute que les opérations futures seront de plus en plus complexes et articuleront simultanément des lignes d’opération dans les trois couches du cyberespace.
Des failles cyber dont les dirigeants n’ont pas conscience
La plupart des entreprises qui se sont faites espionner électroniquement sont incapables de dire « depuis quand » le dispositif est en place. Et, d’après les spécialistes, il semble que cela atteigne en moyenne deux années. Pendant cette période, l’entreprise a agi en croyant qu’elle cachait son jeu, alors que son adversaire savait pertinemment quelles en étaient les forces et les faiblesses – aussi bien les avancées en recherche et développement, les structures financières, les projets d’expansion que la future campagne de publicité, par exemple.
Or, à cause de l’apparence technique du cyberespace et du langage souvent compliqué des informaticiens, la plupart des chefs d’entreprise se désintéressent de ces questions et font confiance à leur directeur informatique. Il ne s’agit pas ici de dévaluer leur rôle, mais de faire comprendre aux dirigeants qu’ils ne peuvent plus négliger cette fonction. Avoir un directeur financier ne les empêche pas de consacrer du temps aux comptes de l’entreprise. Il en est de même pour le cyberespace. Les attaques majeures remontent rarement au dirigeant ou au directoire, car chacun est persuadé qu’il ne s’agit que de biais techniques et finalement marginaux. Or, ils sont essentiels et appartiennent au cœur stratégique de l’entreprise. Enfin, à supposer qu’une telle attaque survienne et soit reportée aux dirigeants, ceux-ci ne la communiquent que très rarement : en effet, l’entreprise considère souvent qu’elle est en faute et surtout qu’une telle affaire pourrait causer une publicité négative.
Cette réaction se comprend, mais on peut y opposer deux contre-arguments de taille. D’une part, de telles affaires n’aident pas à mobiliser les collaborateurs à augmenter leur « hygiène cyber ». Autrement dit, le secret n’incite pas à modifier l’architecture de protection puisque celle-ci ne peut être exclusivement technique : la plus grande source de faille cyber est située entre le siège et le clavier. D’autre part, sans qu’il soit besoin de faire un grand communiqué de presse, il est très souvent utile de se tourner vers l’autorité publique qui dispose de l’expérience requise pour aider à mettre en place de bonnes pratiques. Car, à la guerre et notamment à la guerre économique, on n’est pas seul et la discrétion des affaires va de pair avec des alliances choisies. Toutefois, ces mesures ne sont que des palliatifs si le dirigeant ne comprend pas qu’il doit développer une véritable cyber-stratégie d’entreprise. Dès lors, comment définir une cyber-stratégie d’entreprise ? Cette question émergente n’a pas encore de réponses tranchées et n’appelle pour l’instant que des réponses partielles.
Vers une cyber-stratégie d’entreprise
On peut d’ores et déjà déceler trois axes. Il faut tout d’abord bien comprendre que l’information est au cœur stratégique de l’entreprise et que celle-ci doit tout d’abord cartographier sa structure informative. Au-delà des facteurs de production classiques – le capital et le travail –, il faut envisager un nouveau facteur de production : l’information. Celle-ci est à la fois acquise et créée par l’entreprise ou par l’organisation. Elle n’est que très mal décrite par la théorie économique – et encore plus mal par l’analyse financière qui calcule les valorisations d’entreprise. Pourtant, l’information au sens large constitue un actif essentiel de l’entreprise. Elle est à la fois un stock et un flux.
L’information est multiple et innerve toute l’activité intérieure de l’entreprise. Il ne s’agit pas seulement des courriels échangés entre collaborateurs, mais aussi et d’abord d’une méta-information. Tous les travaux de recherche et développement sont évidemment de l’information, probablement la plus sensible de l’entreprise, car ils déterminent les valeurs-ajoutées de demain. Au-delà, la mise en œuvre des processus de production constitue également une information significative pour des concurrents. De même, le plan stratégique de l’entreprise constitue une donnée cruciale, qui pourrait intéresser les concurrents en leur permettant de s’adapter. La structure et l’organisation sont ainsi indicatives des efforts et des priorités de l’entreprise.
Ainsi, l’entreprise doit tout d’abord cartographier son information sensible et définir des priorités. Sachant ce qu’elle veut protéger, elle pourra définir des procédures adéquates. Ainsi, un certain nombre de ces informations est sensible et appartient au cyberespace de l’entreprise qui doit le protéger. Elles transitent par de nombreux réseaux et machines sans que l’entreprise en ait forcément conscience.
Pour des raisons de coût, l’entreprise pourra par exemple utiliser les infrastructures de l’internet, sans voir que ce passage par un réseau extrêmement public fragilise la protection des informations qui y transitent. Tel cadre, en négociation à l’autre bout du monde, emportera son ordinateur sur lequel il aura tous ses fichiers, au lieu de prendre un ordinateur « de transit » sur lequel il n’aura chargé que les documents nécessaires à sa négociation. De même, il utilisera Skype ou un téléphone standard, sans se rendre compte que ses communications peuvent être très facilement écoutées. L’information n’est donc pas résidente, interne à l’entreprise. Dans le monde ultra-mobile dans lequel nous vivons, elle se déplace encore plus facilement que nous. Valeur essentielle de l’entreprise, elle a besoin d’être protégée.
Le dirigeant doit ensuite prendre conscience du rôle majeur de l’information multiforme dans son entreprise et élever la fonction de « sécurité informationnelle » au rang de fonction stratégique de l’entreprise. L’information est au cœur de sa stratégie et le dirigeant doit la comprendre comme un tout. Une stratégie informationnelle n’est pas simplement une stratégie de communication : c’est une stratégie globale. Le monde contemporain révèle notamment qu’il y a des adversaires et que l’entreprise a une action sur son environnement. La stratégie ne consiste pas seulement à allouer des ressources en fonction des objectifs fixés, elle incorpore aussi la dialectique des volontés qui suppose un environnement mouvant et malléable.
Il faut donc réunir les deux stratégies : non seulement la stratégie d’entreprise, mais aussi la stratégie générale. Et comprendre que l’action de l’entreprise doit être encadrée par une métafonction de sécurité. La fonction sécurité est une fonction stratégique majeure et il faut que le directeur « sécurité générale » fasse désormais partie du directoire et qu’il ait son mot à dire sur toutes les décisions de l’entreprise, qu’il s’agisse du plan stratégique, de décisions productives ou de décisions financières. Qu’il soit bien clair que ce directeur n’est pas simplement responsable de la sécurité (cf.10). Certes, la fonction sécurité en dépendra, ne serait-ce que du fait de la sécurité des locaux, de la sécurité des personnels ou encore de la sécurité des accès. Mais elle dépassera ces aspects pour s’intéresser également aux problématiques informationnelles, d’intelligence stratégique et d’influence. De même, ce directeur de la sécurité générale couvrira les fonctions de sécurité des systèmes d’information (SSI), voire celle de gestion des risques (risk manager) et le suivi des plans de continuité d’activité.
Le directeur « sécurité générale » établira deux lignes d’action stratégique. Une première ligne sera principalement défensive et visera à prévenir les atteintes à l’information d’entreprise, dans tous les domaines où celle-ci agit. Une seconde ligne sera principalement offensive puisqu’il faudra façonner l’environnement : tout d’abord par la veille informationnelle, appelée aussi «renseignement d’entreprise », mais aussi par des actions d’influence et de guerre informationnelle. Cette fonction devra rester dans les limites réglementaires : ainsi, il convient de demeurer dans un travail sur des sources ouvertes ou de mener des actions « blanches », ce qui n’empêche pas d’être discret. Le secret est essentiel aux affaires et à la source de bien des succès. Pas de stratégie sans ruse ni stratagème.
Interagir avec le régulateur et les alliés de l’entreprise
À la guerre, on n’est pas seul. Et même si l’entreprise se présente classiquement comme tournée uniquement vers son développement et son enrichissement, elle ne peut s’abstraire d’un environnement qui la surdétermine. Il ne s’agit pas de revenir aux confusions douteuses d’autrefois entre sphère privée et sphère publique, mais de prendre conscience que la guerre économique, revitalisée par le cyberespace, a des connexions nombreuses avec les rivalités géopolitiques.
Certes, l’État a mauvaise réputation en économie. Il reste cependant le régulateur. Il existe une certaine conjonction entre les intérêts de l’entreprise et ceux de la nation où elle est principalement établie. L’entreprise ne peut s’abstraire de la géopolitique et il serait illusoire de penser qu’elle puisse agir sans tenir compte de ses intérêts, même si les théoriciens, les idéalistes et les doctrinaires prétendent le contraire.
Dès lors, l’entreprise doit interagir avec des alliés. Dans le cas de la France, une stratégie d’intelligence économique se met progressivement en place – sous la houlette du délégué à l’intelligence économique – et une loi garantissant le secret des affaires verra bientôt le jour. De même, depuis 2008, de gros efforts ont été conduits pour développer une cyber-défense, sous les auspices notamment de l’Agence nationale de sécurité des systèmes d’information.
Ces efforts doivent être poursuivis et les directeurs à la sécurité générale devront prendre langue et nouer des relations fécondes avec ces autorités gouvernementales. Des collaborations plus précises, notamment en cas d’attaque, permettront de mieux réagir et donc de mieux défendre les intérêts de l’entreprise. Ces relations peuvent notamment être discrètes et préserver l’image de marque de l’entreprise. Enfin, l’entreprise aura intérêt à développer un réseau de partenaires qui partagent les mêmes orientations et peuvent l’aider en cas de nécessité. Dans cette nouvelle ère, il est assez logique que le développement de ses propres réseaux soit l’un des meilleurs moyens de s’adapter à cet environnement inédit.
Ainsi, l’entreprise doit prendre conscience qu’après avoir pris le tournant de la mondialisation, elle doit désormais prendre celui du cyberespace. En la matière, il n’est plus possible de revenir en arrière. Toutefois, ces nouvelles conditions l’amènent à penser à nouveau sa stratégie, selon des considérations dialectiques, à la fois défensives et offensives.
Notes
1. Par exemple le Colloque du club des directeurs de sécurité des entreprises, organisé le 6 décembre 2012 sur le thème « Les entreprises et l’État face aux cyber-menaces ». De même, le 5e Forum international de cyber-sécurité est organisé les 28 et 29 janvier 2013 à Lille.
2. A. Chandler, Strategy and Structure: Chapters in the History of the American Industrial Enterprise, MIT Press, 1962.
3. M. Porter, Competitive Strategy, Free Press, 1980.
4. F. Leroy, les stratégies d’entreprise, Dunod, 2005.
5. Comme par exemple la matrice du fameux Boston Consulting Group ou encore la matrice de Porter.
6. On pourra consulter les travaux de Richard D’Aveni, William Starbuck et de Philippe Baumard, notamment.
7. Ce qu’on désigne par BYOD, de l’anglais « Bring your own device » (apportez vos propres terminaux).
8. En fait, tous les logiciels comportent des « portes dérobées », que celles-ci soient intentionnelles (placées là par le créateur du logiciel) ou non (erreur d’écriture, inévitable pour des programmes qui comptent des millions de lignes de code).
9. Les choses sont plus compliquées. On se reportera à O. Kempf, Introduction à la cyberstratégie, Economica, 2012, pour des considérations plus approfondies.
10. Suivant les entreprises, on parlera de sécurité ou de sûreté. Ici, nous entendons réunir aussi bien la sécurité physique de l’entreprise que sa sécurité informationnelle (et notamment la fonction d’intelligence économique).
Olivier Kempf, 48 ans, est un géopolitologue et un stratégiste qui réunit une solide pratique du terrain et des fonctions de direction, et la profondeur d’analyse forgée par la lecture, le retour d’expérience et l’écriture. Il a occupé de hautes fonctions aussi bien opérationnelles que dans des instances de direction, en France ou à l’Otan. Cela lui permet de nourrir une double compétence stratégique, réunissant la stratégie de défense et la stratégie des organisations. Il est depuis 2007 maître de conférences à Sciences-Po Paris (au master « sécurité internationale » et au collège universitaire) où il enseigne » »NATO in 21st century » ».