Académique Documents
Professionnel Documents
Culture Documents
Camille Alloing
2010/1 3 | pages 36 à 42
ISSN 2101-4736
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
Article disponible en ligne à l'adresse :
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-securite-et-strategie-2010-1-page-36.htm
--------------------------------------------------------------------------------------------------------------------
Distribution électronique Cairn.info pour Club des Directeurs de Sécurité des Entreprises.
© Club des Directeurs de Sécurité des Entreprises. Tous droits réservés pour tous pays.
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
à délivrer en toute conscience des informations sensibles. L’auteur préconise
quelques recommandations d’usage à destination des entreprises.
Le web 2.0 désigne les technologies et les matériels, où l'information est devenue une
usages du World Wide Web «qui ont suivi la matière stratégique inhérente à la croissance
forme initiale du web»1, en particulier les inter- des entreprises, Internet et le web 2.0 amènent
faces permettant aux internautes d’interagir une rupture en donnant la possibilité à chacun
simplement à la fois avec le contenu des de créer du contenu, de générer des flux
pages mais aussi entre eux, créant ainsi le d'informations : en résumé de s'accaparer une
Web social. Cette expression lancée par Tim partie des richesses que seules les entreprises
O'Reilly2 en 2006 s’est imposée à partir de pouvaient créer il y a encore une vingtaine
2007. d'années. Dans son ouvrage intitulé «La révolte
du pronétariat : des mass média aux média de
Au-delà de l'aspect purement technique lié masse», Joël de Rosnay3 définit ces nouveaux
au développement de nouveaux outils de utilisateurs d'Internet comme des «pronétaires».
communication et de médiatisation de contenus Selon lui, «les «pronétaires» ou «pronétariat»
numériques (blogs, forums, réseaux sociaux, (du grec pro, devant, avant, mais aussi favorable
etc.), l'évolution rapide des technologies dites à, et de l’anglais net, qui signifie réseau et est
2.0 (ou SGC pour Systèmes de Gestion de aussi l’appellation familière en français
Contenus) a aussi sensiblement modifié les d’Internet – le «Net») sont une nouvelle classe
usages des individus sur Internet, et leur d’usagers des réseaux numériques capables
appréhension de l'information. de produire, diffuser, vendre des contenus
numériques non propriétaires, en s’appuyant
Dans une société où l'économie devient de sur les principes de la «nouvelle économie»
plus en plus dématérialisée, c'est-à-dire où (de l'immatériel). Ils utilisent pour cela des
les services prennent le pas sur les biens outils analogues à ceux des professionnels et
1
Le Monde Informatique, no 1139
2
J. Musser, T. O'Reilly, 2006, Web 2.0 : principles and best practices, O'Reilly Media
3
Joel de Rosnay, 2005, La révolte du pronétariat : des mass média aux média de masse, Broché
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
entreprises soignent leur e-réputation»5. Dans
L'internaute (parfois appelé aussi «consom'ac- celui-ci, il est notamment détaillé la gestion,
teur») a bien pris en compte cette nouvelle qualifiée de «désastreuse», des avis et
donne, ce nouveau pouvoir que lui confère le commentaires postés sur le web par Eurostar,
web sur l'image de l'entreprise. L'influence lors des incidents causés par les intempéries
qu'un producteur de contenus web a sur sa durant les fêtes de fin d'année. De même, le
communauté d'internautes, c'est-à-dire les web voit apparaître de nombreux articles
individus se référant à son discours pour présents sur des blogs et explicitant de
formuler un avis sur un produit ou service, est manière plus ou moins claire les risques liés
un élément constitutif de ce que l'on appelle à la réputation numérique.
aujourd'hui l'e-réputation d'une entreprise.
L’internaute pronétaire vient donc de plus en
plus se substituer au discours de l'entreprise
De nombreuses organisations
et interfère dans la projection de l'image de viennent à mettre en place des
marque que celle-ci envoie sur le web à ses stratégies de gestion de leur
cibles. Certaines statistiques sont là pour le réputation en ligne. Cet éveil aux
démontrer4 : chaque seconde dans le monde, opportunités et risques inhérents
1,4 blog en moyenne est créé, 15 billets sont aux nouveaux usages du web 2.0
publiés sur les blogs, 160 messages instantanés en France est dû en partie à la
sont échangés, plus de 500 pages web sont médiatisation de plus en plus
ajoutées ou modifiées, plus de 1 000 vidéos
accrue de ce concept dans
sont échangées sur YouTube (plateforme
dédiée)…
les médias.
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
d'informations venant le mettre en garde face boite personnelle avant de rentrer chez lui, il
aux potentiels dangers pour son image et celle tombe sur le mail d'un ancien collègue (perdu
de son entreprise d'une information numérique de vue depuis quelques années), lui deman-
mal gérée ? dant des nouvelles, et lui indiquant aussi qu'il
est prêt à l'aider à trouver un nouvel emploi si
besoin est... Monsieur X est étonné : l'entre-
Le social engineering qui,
prise pour laquelle il travaille fonctionne bien,
sommairement, consiste à elle est même parmi les leaders du marché.
exploiter la faille humaine pour Il répond donc à son ami en lui demandant
accéder à des données pourquoi celui-ci lui propose son aide.
confidentielles d'une entreprise Son ami lui répond ceci :
ou d'une personne est alors, pour «Quoi ? Tu ne connais pas le site ****.com ?
les cybercriminels, facilité par C'est un des sites les plus en vogue pour
ce décalage entre les usages obtenir des renseignements économiques sur
du web et leur appréhension par les entreprises... Tu sais, comme Score 3 ou
Societes.com. Tu devrais aller voir les résultats
un usager lambda.
sur ta boite, ils font peur !!! Méfie-toi, un buzz
est vite parti !!! A +»
Le social engineering qui, sommairement, Monsieur X se rue donc sur le site en
consiste à exploiter la faille humaine pour question... Et là, surprise...
accéder à des données confidentielles d'une Les résultats annoncés sont négatifs (donc
entreprise ou d'une personne7 est alors, pour erronés par rapport à la réalité), le site se
les cybercriminels, facilité par ce décalage permet même de classer l'entreprise en
entre les usages du web et leur appréhension «fournisseurs à risques» (en parallèle à
par un usager lambda, en particulier lorsqu'il d’autres entreprises, réellement en faillites).
s'agit d'un cadre dirigeant déléguant souvent De plus, le site annonce une moyenne de
sa communication web à une équipe (ou un 12 000 visites par semaine !
prestataire) dédiée. Habitué du web, M. X cherche le formulaire de
contact du site afin d'exprimer son indignation
Afin d'illustrer ces propos, voici un cas fictif face à un tel manque de professionnalisme.
mettant en scène un cadre dirigeant face à Suite à cela, il décide de prévenir certains de
7
E. Lehmann, F. Decloquement, Petit traité d'attaques subversives contre les entreprises : théorie et pratique de la contre-ingérence
économique, éditions Chiron
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
ment au numéro indiqué. Une personne se Avec des moteurs dédiés à la recherche de
présentant comme Mlle Z lui répond immédia- personnes sur Internet (comme 123 people
tement. M. X exprime son mécontentement et ou Webmii) trouver l'adresse mail person-
demande que les informations présentées nelle de M. X a été simple ;
soient immédiatement changées. Mlle Z lui
répond que cela ne pose pas de problème • Un «faux site» Internet a été créé. Celui-
à partir du moment où M. X peut lui présenter ci a pu être propulsé dans les premiers
les documents justifiant ce qu'il avance. résultats des moteurs de recherches grâce
Le lendemain, les documents (sources ou- à la formation de ce que l'on appelle des
vertes ou informations blanches) sont envoyés «fermes de blogs». Les moteurs de
à l'adresse fournie au téléphone. recherches déterminent la popularité d'un
Le lendemain matin, Mlle Z rappelle M. X pour site (et donc son positionnement), en
lui annoncer que les documents sont vérifiés fonction du nombre de sources créant des
et que les informations vont être changées au hyperliens vers celui-ci. Afin d'assurer un
plus vite sur le site. De plus, puisque M. X a été référencement rapide d'un site, certains
lésé, elle lui propose de réaliser gratuitement webmasters créent automatiquement
une offre de référencement sur le site qui lui plusieurs blogs sur des thématiques
permettrait un vrai buzz sur son entreprise ainsi diverses et variées. Ces sites sont auto-
qu'une mise en valeur sur ****.com (où, elle le alimentés par un principe de flux RSS.
rappelle, il y a 12 000 visites de professionnels Une fois qu'ils détiennent un volume
par semaine). de contenus conséquent, il suffit juste
M. X, qui tous les jours entend parler de buzz, d'inscrire dans ces blogs un maximum de
paraît séduit par cette offre (gratuite qui plus liens pointant vers la cible voulue (dans
est) et répond positivement mais demande un notre cas, le site d'informations d'entre-
délai le temps de consulter les communicants prises) pour la faire remonter rapidement
de l'entreprise et d'autres managers. Mlle Z. lui dans les moteurs de recherches. Ce genre
précise que cette offre doit être prise rapide- de pratiques est surveillé par les moteurs
ment, la tendance actuelle des internautes de recherches qui bien entendu font dispa-
étant au back to back plutôt qu'aux crawling raître relativement vite (une semaine en
ciblés, et le web allant «plus vite que la pen- moyenne) ce type de résultats qu'ils consi-
sée». M. X, dépassé par tant d'arguments de dèrent comme «truqués».
spécialiste accepte l'offre. Offre qui, bien
entendu, doit permettre la vision la plus trans- • La mise en avant du nombre de visites et
parente possible de l'entreprise (il faut «parler des termes techniques usités par les
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
méthodologique), la sensibilisation des cadres même serveur... En résumé, se demander
aux opportunités et risques liés à l'image si, par analogie, la carte d'identité du site
de l'organisation sur le web (axe communica- est assez rassurante pour le laisser vous
tionnel), et enfin la prise en compte de la questionner ou vous inciter à leur diffuser
gestion de l'identité numérique de chacun des certaines informations.
collaborateurs dans la mise en place d'une
politique de sécurité économique (axe socio-
logique).
Tout d'abord, vérifier si le
propriétaire de la source (dans
• La qualification des sources est une notre exemple le site fournissant
méthodologie issue de l'intelligence éco- des informations sur les
nomique et plus largement du renseigne- entreprises) existe bien réellement,
ment étatique ou militaire. L'objectif est de et dans quel pays est hébergé
coter la personne (ou en l'occurrence ici le le site.
site, blog, forum, etc.) fournissant une
information, par «l'analyse [d'éléments
factuels], le sens critique et le recoupement Si l'analyse du site paraît crédible (ou pour
[des informations diffusées par cette bien s'assurer qu'il ne l'est pas du tout),
source]»8. Dans le cas d'une source web, une vérification des hyperliens pointant
et de manière très concrète, il est relative- vers le site (ou backlinks) doit être faite.
ment simple d'évaluer rapidement la Comme nous l'avons vu, les moteurs de
fiabilité d'une source. Tout d'abord, vérifier recherches évaluent la notoriété et la
si le propriétaire de la source (dans notre crédibilité d'un site en partie par le nombre
exemple le site fournissant des informa- et la fiabilité des sources créant des hyper-
tions sur les entreprises) existe bien réelle- liens vers le site en question. Si les sources
ment, et dans quel pays est hébergé le site. paraissent, elles aussi, suspectes et peu
Pour cela, certains outils gratuits dits de fiables, alors il est clair qu'il s'agit d'une
WhoIs, et permettant d'obtenir des infor- action volontaire de référencement illicite
mations sur le nom de domaine d'une (d'après les moteurs de recherches).
source web, existent en ligne9. Très Inscrire dans la barre de recherche d'un
simplement, il suffit d'inscrire dans la barre moteur la requête link : suivi de l'adresse
8
M. Audigier, G. Coulon, P. Rassat, 2003, L'intelligence économique : un nouvel outil de gestion, Editions Maxima,
9
Par exemple whois.domaintools.com ou www.whois.net
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
explicite et didactique les bonnes pratiques n'empêche les collaborateurs de les utiliser
de la communication digitale permet de depuis chez eux. De surcroît, le développe-
clarifier les risques et opportunités liés au ment de l’Internet mobile (grâce à la commer-
web, et surtout de poser le point de vue et cialisation de téléphones portables dits
la stratégie de l'organisation quant à son «intelligents», type IPhone, Blackberry, etc.)
positionnement sur le web. donne la possibilité à chaque collaborateur,
même au sein de l’entreprise, d’accéder
Un document de référence, et à rapidement à ses réseaux et territoires
d’expression favoris sur le web. Fin 2008,
destination des cadres dirigeants,
l'entreprise Virgin Atlantic (filiale aérienne du
présentant de manière explicite et groupe Virgin) a par exemple licencié treize de
didactique les bonnes pratiques de ses employés pour propos calomnieux et
la communication digitale permet diffamatoires portés à l'encontre de clients...
de clarifier les risques et sur Facebook !
opportunités liés au web, et surtout Afin d'éviter ce genre de déconvenues, une
de poser le point de vue et la mise en surveillance légale (c'est-à-dire sur
stratégie de l'organisation quant des sources ouvertes et accessibles à tous sur
à son positionnement sur le web. le web) des divers profils des collaborateurs de
l'organisation sur les réseaux sociaux peut être
faite. Mais dans une vision plus proactive et
Ce document peut présenter des cas axée sur la sensibilisation à ce type d'inci-
de crises informationnelles ou d'images dents, un «bilan identité numérique» peut par
découlant d'une mauvaise gestion de exemple être proposé aux collaborateurs. Ce
la communication web d'entreprises. bilan aura pour objectif d'auditer les profils
Accompagné des bonnes pratiques à numériques de ceux-ci, et d'évaluer si le
respecter (comme par exemple la qualifi- volume et le type d'informations fournies ne
cation des sources vue ci-dessus), ce peuvent pas faciliter des actions de social
document peut même être vu comme une engineering, si les propos tenus ou les
charte morale et éthique à signer par les informations diffusées (en particulier sur les
collaborateurs au moment de leur prise de réseaux sociaux professionnels comme Linke-
fonction. dIn ou Viadéo) ne sont pas considérés comme
sensibles par l'organisation, et bien entendu in
La gestion de l'identité numérique des fine d'alerter le collaborateur sur les risques
collaborateurs va devenir de manière crois- inhérents (pour lui et l'organisation) à une
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
contrat de travail, ou encore le droit de réserve
dans certaines activités précises, comme par
exemple celles liées à la défense. Au-delà, il
Sur Internet, il arrive souvent que le
faut pouvoir prendre en compte deux facteurs «problème n'existe qu'entre la
que sont le contenu diffusé par le collabora- chaise et le clavier».
teur, et «l’influence» (ou plutôt le niveau de
médiatisation sur le web) de celui-ci.
Le web 2.0, ses outils et ses usages, sont donc
• Dans le cas du contenu, il est évident que devenus une évidence pour la gestion straté-
si un collaborateur tient un blog sur sa pas- gique de l'information, de la communication et
sion pour la pêche alors que l’organisation de la réputation d'une organisation. Mais
pour laquelle il travaille est dans un tout Internet n’est qu’un outil qui démultiplie la
autre secteur, ce salarié présentera peu communication de chacun et l’impact des
d’intérêt dans le cadre d’une politique de messages propulsés sur ce support. Au-delà
sécurisation de l’information numérique. de la nécessaire sécurisation du discours entre
Mais à partir du moment où la thématique plusieurs machines (afin d'éviter les virus, les
du blog est liée à un sujet touchant de près intrusions dans les systèmes d'information,
l’organisation, un droit de regard peut être etc.), il faut maintenant prendre en compte la
demandé par l’employeur, notamment en déformation et la falsification possible du
incluant les outils numériques dans la discours entre humains sur le web. Car sur
clause de confidentialité. Les risques Internet, il arrive souvent que le «problème
sont potentiellement nombreux : diffusion n'existe qu'entre la chaise et le clavier»10... n
d’informations stratégiques, discours allant
à l’encontre de la position de l’organisation
sur le marché, social engineering…
10
Dénomination fréquente dans le jargon des spécialistes de la sécurité informatique : PEBCAK pour «problem exist between chair and keyboard»