Les menaces visant les organisations (gouvernements, entreprises, regroupements, et cetera) sont de plus en plus diversifiées et complexes à comprendre. C’est notamment dû au fait que la majorité de ces activités humaines sont désormais connectées de manière directe ou indirecte à Internet. Cela a pour conséquence de s’ajouter au spectre traditionnel des menaces. Ainsi, il y a surmultiplication des menaces; des menaces en provenance d’un peu partout dans le monde, et qui peuvent déstabiliser la conduite des activités d’une organisation.
Par exemple, une organisation est sous attaque depuis quelques heures, et ces attaques sont en provenance de la Chine. S’il est possible de colmater le tout et remettre les systèmes en marche, cela laisse deux questions en suspens : qui et pourquoi? Or, c’est exactement le genre de question que devrait se poser les services de renseignement d’une organisation.
Actuellement, l’approche de gestion des risques, qui cherche à amenuiser les risques les plus importants à une organisation, n’apparaît plus suffisante prise seule. En effet, pour bien gérer les risques, il faut tout d’abord les connaître.
Or, la réalité actuelle est qu’il devient très difficile de comprendre les menaces et les risques, car il faut non seulement avoir une idée des vulnérabilités, mais il faut aussi avoir une vue d’ensemble de l’environnement de sécurité.
Comment remédier à cela? Le renseignement.
Décloisonner le renseignement de la sécurité nationale
Pour la plupart des gens, le renseignement fait référence à la question de l’espionnage entre États. Certes, c’est effectivement le cas, mais c’est beaucoup plus que cela. Le renseignement touche surtout à tout un processus de traitement d’informations visant, au final, à pouvoir fournir des analyses utiles à des preneurs de décisions.
Ainsi, on constate que le renseignement en tant que processus est de plus en plus ancré dans les pratiques d’organisations très diverses, allant d’organismes gouvernementaux non impliqués dans les questions de sécurité publique, jusqu’à des entreprises.
Une simple question de gestion des ressources
Dans n’importe quel contexte, les ressources sont toujours limitées. Dans le contexte de la sécurité, c’est d’autant plus criant : plusieurs organisations ne réfléchissent pas aux questions de sécurité avant qu’il ne soit trop tard. Alors que les ressources dévolues à la sécurité sont peu nombreuses, il importe donc de les placer au bon endroit, et ce, dans l’optique de réduire au maximum les risques. En d’autres mots, les amis anglophones diraient simplement qu’il faut obtenir more bang for the bucks.
En quoi le renseignement peut être utile dans ce contexte? Il sert essentiellement à cerner deux éléments, soit l’organisation en tant que telle, et l’environnement de sécurité dans laquelle elle est appelée à évoluer. Depuis des années déjà, plusieurs agences d’application de la loi exploitent les principes de la gestion guidée par le renseignement. Ainsi, les décisions prises par les responsables de ces agences sont non seulement influencées par le contexte organisationnel, mais aussi par la lecture qui est faite de l’environnement. De cette façon, les gestionnaires sont mieux positionnés pour prendre des meilleures décisions en matière de distribution des ressources dans leur lutte face aux actions illégitimes.
La sécurité guidée par le renseignement implique donc le même genre de fonctionnement, sauf que cette fois-ci elle n’est pas axée dans la lutte contre les actions illégitimes, mais bien pour la protection d’une organisation, dans une situation où son environnement de développement comprend des risques très variables, tant dans l’espace que dans le temps. Dans cette perspective, la sécurité guidée par le renseignement cherche à mieux définir les forces et les faiblesses d’une organisation, à mieux comprendre son environnement de sécurité, et à mieux structurer les ressources sécuritaires en fonction des analyses produites.
Qu’est-ce que cela demande?
Une organisation qui désire se lancer dans un mode de gestion en lien avec la sécurité guidée par le renseignement doit faire face à un bon nombre de défis, notamment parce que cela demande une expertise de pointe qui n’est pas toujours disponible. Il faut donc la créer. Cela implique la mise en place d’une structure particulière mélangeant à la fois divers spécialistes de l’information, mais aussi des instruments techniques divers.
Aussi, l’organisation désirant se lancer dans cette façon de faire doit comprendre des éléments importants sur la question des activités de renseignement. Tout d’abord, le renseignement est difficile à mesurer en termes de résultats. Faire du contre renseignement efficace peut, par exemple, empêcher des actes d’espionnage industriel de se produire. Or, on ne peut pas mesurer l’impact bénéfique d’actes qui ne se sont pas produits. La protection que le renseignement offre n’est donc pas toujours claire, même si elle est effective.
Malheureusement, il faut comprendre que ce genre de système est long à développer. Le temps qu’un service de renseignement puisse trouver le bon processus et la bonne façon de fonctionner pour bien manipuler et analyser les informations de sécurité d’un organisation peut paraître long. Or, cette période d’adaptation est nécessaire, puisqu’elle permet non seulement d’amasser l’information pertinente pour mieux comprendre la situation, mais aussi pour roder le processus et devenir utile aux décideurs.
Finalement, le renseignement constitue en quelque sorte la mémoire des événements de sécurité. Il permet de faire des liens analytiques entre des actes qui se sont déroulés dans le passé et des événements qui sont contemporains. L’organisation qui décide de mettre en place un mode de gestion de la sécurité guidé par le renseignement doit donc comprendre que cela doit demeurer en place dans le temps pour que cela puisse être pertinent.
Un exemple : la protection contre la cybercriminalité
Au-delà de la théorie, comment cela peut se transposer dans une décision de sécurité au sein d’un organisme? Prenons un exemple. Une organisation est sous attaque depuis quelques heures, et ces attaques sont en provenance de la Chine. S’il est possible de colmater le tout et remettre les systèmes en marche, cela laisse deux questions en suspens : qui et pourquoi?
Or, c’est exactement le genre de question que devrait se poser les services de renseignement d’une organisation, et ce, dans l’optique de faire en sorte que la sécurité puisse mieux gérer ses ressources et de comprendre ce qui se passe. Dans le cas qui nous intéresse, peut-être qu’il sera possible de corroborer des informations créant l’hypothèse que des employés récemment mis à pieds ont pu fournir des informations sur le réseau à des personnes malintentionnées par exemple. Évidemment, les réponses ne sont pas toujours possibles et ne sont surtout pas automatiques, mais cela peut permettre à organisation de mieux se positionner dans l’avenir et conséquemment éviter de se faire prendre à contrepieds.
Alors que les menaces deviennent de plus en plus complexes et que les organisations doivent opérer dans des contextes on ne peut plus volatiles, cette solution apparaît de plus en plus intéressante pour bon nombre d’organisations. Cependant, encore une fois, ce qui joue contre la mise en place de ce genre de service demande un investissement important.
Seules les organisations sérieuses par rapport à leur sécurité seront portées à se lancer dans ce genre de méthodologies. Toutefois, celles qui le feront auront définitivement un avantage certain dans les années à venir.
