Maurizio Velletri, Haute Ecole de Gestion, Genève
Hélène Madinier, Haute Ecole de Gestion, Genève
L’information grise : Comment trouver des informations difficiles d’accès : compte-rendu de la 11ème Journée franco-suisse en intelligence économique et veille stratégique, 12 juin 2014, Haute école de gestion de Neuchâtel
L’information grise, véritablement stratégique, celle qui permet à l’entreprise de prendre la bonne décision au bon moment, demeure rare, cachée, difficilement accessible : souvent de source informelle, parfois fragmentée, nécessitant une ou plusieurs étapes d’élaboration, elle constitue la matière première de l’intelligence économique.
Entre l’information « blanche » accessible à tous, et l’information « noire », secrète et interdite, l’information « grise » se définit par les difficultés à connaître son existence, à la localiser, à y accéder.
« Cette journée de réflexion visait à revisiter les fondamentaux de la recherche d’information à forte valeur ajoutée. En abordant notamment l’expertise des services de renseignements publics ou privés, ainsi que les dernières techniques des spécialistes de l’investigation à l’heure du web 2.0 ou 3.0 », résume François Courvoisier, professeur à la HEG Arc et organisateur de cette journée.
Les hautes écoles de gestion Arc et Genève ont organisé, le 12 juin 2014 à Neuchâtel, la 11ème journée franco-suisse en intelligence économique et veille stratégique en collaboration avec l’Université de Franche-Comté. Plus de 50 participants, dirigeants et responsables d’entreprises suisses et françaises ainsi que des représentants du monde académique, ont pris part à cette manifestation durant laquelle six intervenants se sont exprimés sur l’accès aux informations cachées.
Après un message d’ouverture du colloque prononcée par Olivier Kubli, directeur de la HEG Arc, ainsi qu’une allocution de Christine Gaillard, présidente du Conseil communal de la Ville de Neuchâtel, les premières interventions ont débuté.
L’information grise : définition et problématiques, par Frédéric Martinet
Frédéric Martinet, consultant et formateur en veille, propose la définition suivante, de l'ADBS : « l'information grise est de l'information licitement accessible, mais caractérisée par des difficultés dans la connaissance de son existence ou de son accès ». L'acquisition de cette information n'est pas illégale, mais pas forcément éthique. Elle peut résulter de failles de sécurité, d’inattention, de manque de sensibilisation. Elle est souvent informelle. Elle peut être implicite, déduite, calculée, devinée. Elle a souvent une valeur élevée.
Elle peut se trouver sur des espaces privés sur le web (des groupes LinkedIn par exemple) et de façon plus générale, sur des espaces non indexés par les moteurs de recherche.
Car contrairement à ce qu'on pourrait imaginer, Google n'indexe pas tout : certains contenus sont protégés, accessibles uniquement par mot de passe, ou de type multimedia, ou protégés par le droit d'auteur (DMCA), et la pratique du « cloaking » que fait Google, consistant à présenter en priorité les résultats concernant son propre pays à l'internaute ne facilite pas la recherche d'information.
Les méthodes permettant de retrouver ce type d'informations légalement sont variées et peuvent se baser sur les failles de sécurité informatiques (utiliser des informations issues d'intranets mal sécurisés indexés par les moteurs de recherche) ou sur les failles humaines (guetter ceux qui parlent trop sur les réseaux sociaux, aller écouter des conversations des concurrents dans un restaurant à la pause-déjeuner).
Savoir bien utiliser un moteur de recherche est également une méthode efficace pour recueillir des informations grises. Notamment, savoir cibler des types de sites et de fichier peut être très utile (voir par exemple des requêtes spécifiques comme "document confidentiel" site: gouv.fr ou encore prezi.com glaxosmithline confidential, Google indexant Prezi quand on crée un compte Prezi en ligne).
Attention toutefois à ne jamais franchir la ligne rouge, c’est-à-dire qu'il ne faut jamais par exemple essayer de rentrer un mot de passe.
De manière générale, avant de focaliser sur ces informations grises, il faut penser à traiter et bien exploiter l'information blanche, éviter les pratiques risquées comme l'ingénierie sociale ou le social engineering, qui consiste à rentrer en confiance avec les gens pour leur soutirer de l'information (ce qui peut relever de l'abus de confiance) et privilégier d'une part la sociabilité comme les échanges lors de rencontres, conférences, et de l'autre une exploitation fine des moteurs de recherche.
Information grise et lutte contre la contrefaçon, par Michel Arnoux
Dans son exposé intitulé Information grise et lutte contre la contrefaçon, Michel Arnoux, responsable du service anti-contrefaçon de la Fédération de l’industrie horlogère suisse a montré comment la FH utilisait des informations a priori anodines, pour identifier les fabricants de contrefaçons horlogères.
Il faut savoir que la FH compte 500 membres, et regroupe 250 marques. Elle fédère environ 50 marques dans un groupement anti-contrefaçon, qui finance cette lutte, spécifiquement sur Internet.
Les estimations de 2013 se montent à environ 33 millions de fausses pièces, alors que 29 millions de montres suisses ont été produites.
L'équipe en charge de la lutte contre la contrefaçon collecte les informations grises qui vont lui permettre de faire des liens et reconstituer des réseaux.
Les recherches d'informations se basent d'abord sur des données douanières : nombre de saisies aux frontières, types de produits, origine.
La FH procède à des investigations en faisant des achats-tests sur Internet. Il faut ensuite garder le paquet et s'adresser au service de livraison UPS pour obtenir les adresses correspondant à ceux qui ont payé le colis, rechercher ces adresses sur Google, et puis de fil en aiguille, identifier le grossiste.
L'examen des fausses montres permet de comparer et d'identifier des familles de contrefaçons. c'est ainsi que l'examen de bracelets, qui comportaient un composant chimique volatile utilisé dans l'industrie automobile, a permis d'identifier les fabricants.
Enfin, sur Internet, un logiciel va comparer les adresses de sites donnés en se basant sur l'identification du gestionnaire de domaine.
Toutes ces informations sont ensuite enregistrées dans une base de données.
Cet exposé a clairement montré combien il était utile de savoir rechercher ces informations d'accès difficile, mais légal (informations grises) puis de les traiter.
Deux exposés, plus axés sur la sécurité, ont ensuite été présentés.
Information grise et sécurité, par André Duvillard
Le premier, d'André Duvillard, délégué de la Confédération suisse et des cantons au Réseau national de sécurité a présenté le réseau national de sécurité qui permet de réagir aux menaces et aux dangers relevant de la politique de sécurité. Le délégué coordonne l'action des cantons et de la confédération, et il a au-dessus de lui deux conseillers fédéraux et deux conseillers d'Etat. Ses principes d’action sont la légalité, la proportionnalité et l'opportunité.
Le réseau peut bien entendu procéder à des écoutes téléphoniques préventives, et la meilleure source de renseignement est clairement le renseignement humain (HUMINT).
Le traitement de la source humaine, par Bruno Migeot
C'est précisément le renseignement humain, ce type d'information grise spécifique, qu'a présenté Bruno Migeot, ancien officier de la gendarmerie nationale responsable de l’antenne Intelligence économique de la région de gendarmerie de Franche-Comté.
Partant également du constat que le renseignement humain est essentiel, Bruno Migeot a expliqué qu’il faut trouver les méthodes adéquates pour obtenir les renseignements souhaités. D'autre part il est nécessaire de disposer de plusieurs sources pour confirmer une information (« one source, no source »). L'humain est fragile et on peut agir sur lui de différentes façons : le flatter, avancer masqué (scinder la recherche d’information en plusieurs sujets) et de façon générale utiliser un des moyens MICES : M : Money, I : Ideology, C : Compromission, E : Ego, S : Sex.
Pour obtenir la confiance d'une personne, l'ingénierie sociale est indiquée.
Il s'agit ensuite de faire preuve de convivialité, de ténacité, de discrétion et de diplomatie, et de façon plus classique en veille, rédiger un plan de renseignement et de recherche, puis consigner les informations recueillies dans des notes d'étonnement et coter les différentes sources.
Trouver l’information grise dans un environnement B2B hautement concurrentiel, par Annette Siegl
Annette Siegl a ensuite présenté le cas de la recherche d'informations grises à Faurecia, entreprise de sous-traitance pour l'automobile, dans le cadre de la recherche et développement. Faurecia compte environ 94'000 employés et 30 centres de recherche et développement. La veille est ici effectuée pour la section Faurecia automotive exteriors, qui compte 7'000 employés. Il s'agit de veille technologique.
Ce qui est utile ici, c'est de savoir qui travaille avec qui, avec quels matériaux, et quelles sont les innovations et brevets déposés.
Pour cela, Annette Siegl, qui est seule pour faire sa veille, utilise les sources d'informations grises suivantes, à savoir : les réseaux sociaux, les blogs, les forums, les sites de photos et de vidéos, les sites comme Slideshare et Docstoc, les sites d'évaluation d’entreprise comme Kununu (pour la région DACH) et Glassdoor (US), ainsi que des salons professionnels et des banques de données spécialisées externes comme A2Mac1 et Espacenet, pour la recherche de brevets.
Elle utilise également des sources d'informations blanches comme les sites de presse généraliste et spécialisé, et les sites les sites internet de concurrents, clients, fournisseurs.
Voici quelques exemples d'informations grises identifiées à partir de ces sources :
Par ailleurs, il faut aussi savoir qu’on trouve de l’information technologique utile dans les manuels d’utilisation et de réparation.
Bien entendu, il est nécessaire de disposer des compétences ad hoc pour évaluer et traiter ensuite ces informations.
Luxe, pharma et chocolat : comment utiliser l’information grise comme outil stratégique ? par Stéphanie Perroud
C'est enfin Stéphanie Perroud, Directrice associée chez Pélissier & Perroud, Service d’information et de veille professionnelle, qui a présenté la manière dont P&P utilise l'information grise. Celle-ci est utilisée au quotidien, que ce soit par le moyen du réseau d’experts de P&P, dans 60 pays du monde, ou par l'accès à des banques de données spécialisées.
P&P couvre tous les domaines et fait tout type de veille. L'entreprise identifie trois niveaux de sources d'information :
Par exemple, dans le domaine de la pharmacie, l'entreprise devait trouver des données de marché, des volumes de stockage et des prix, ce qui a pu être obtenu avec un appel -avec prétexte-. Dans le domaine du chocolat, P&P a mis en veille les concurrents d’un client dans divers pays émergents, en surveillance la presse internationale et en faisant appel aux partenaires locaux en Asie et Europe de l’Est.
Depuis 2007, les demandes faites par les clients ont passablement évolué. Elles sont passées d’une simple revue de presse mensuelle sur une société à une surveillance quotidienne de la presse sur une société avec des mots-clés précis. A l’heure actuelle, les demandes se complexifient : différents types de veille (concurrentielle, sectorielle, brevets, etc.), des études de marchés, recherche de fournisseurs dans des domaines techniques, etc.
Dans tous les cas P&P suit la loi sur la protection des données (principes de licéité, bonne foi et proportionnalité) et s'assure que ses partenaires locaux agissent avec légalité.