Anticiper les risques informationnels

 

Désinformation bien ordonnée commence par soi-même !

par Christian MARCON

Dans un article récent, Jean-Bruno Renard, sociologue à l'université de Montpellier III écrivait : " La dose de peurs collectives dans une société est toujours la même. C'est sa nature qui évolue. Les figures surnaturelles d'antan, auxquelles les gens croyaient de bonne foi, ont d'autres visages. " Interrogé sur ces nouveaux croquemitaines, Jean Bruno Renard en distingue quatre : la violence urbaine, l'étranger, la nature sauvage et les nouvelles technologies. Il pourrait y ajouter la désinformation sur Internet qui renvoie à notre grande peur collective des nouvelles technologies. Ce que Sophie Mariage formule ainsi dans un article paru dans l'Express : " Nouveau vecteur de la rumeur, Internet est en passe de devenir l'ardoise magique des paranoïaques. "

Dans ces conditions, pour éviter tout à la fois de demeurer dans la béatitude de la naïveté ou de basculer dans la paranoïa , il est nécessaire de sensibiliser chacun, et en particulier dans le cadre de l'entreprise, aux pratiques de la désinformation. Il y a là un véritable travail de pédagogie à mener.

1. A situations complexes, désinformation complexe.

Un première question s'impose : qu'est-ce que la désinformation dans des situations qui ont atteint le degré de complexité que nous connaissons aujourd'hui ? La réponse est loin d'être simple.

Rappelons pour commencer que si la réalité existe, nous n'avons accès par nos sens et notre intelligence qu'à une réalité perçue, donc interprétée, dans laquelle la place de l'objectivité est extrêmement réduite. Jean-Louis Lemoigne écrit ainsi " nos environnements ne nous sont accessibles qu'au travers des cartes que nous nous en construisons " Citons encore Paul Watzlawick qui écrivait en 1978 " Il n'existe pas de réalité absolue mais seulement des conceptions subjectives et souvent contradictoires de la réalité. " Dès lors, si toute information est subjective, déterminer ce qui est désinformation devient extrêmement difficile.

Pour progresser dans notre analyse de la désinformation en situation complexe, il convient de distinguer trois mécanismes de désinformation :

- L'auto-désinformation. Chacun sélectionne ou tend naturellement à retenir les informations qui tendent à confirmer ses opinions, qui trouvent confortablement leur place dans ses schémas de pensée, et donc qui le séduisent. Ce qui nous conduit à nous désinformer nous mêmes, en l'absence de toute initiative malveillante de désinformation. C'est sans doute en partie ce qui nous interdit de percevoir suffisamment en amont des signaux faibles ou des événements annonciateurs de changements susceptibles de perturber notre activité. Nombre d'entreprises aujourd'hui disparues pourraient sans doute le confirmer.

- La désinformation involontaire : elle nous trompe par des données fausses transmises sans intention maligne. Nous reviendrons sur les motifs sous-jacents à ce type de désinformation.

- La désinformation volontaire. Nous en sommes victimes parce qu'il y a, de la part d'un acteur aux intérêts opposés aux nôtres, intention de tromper. Cette désinformation volontaire cherche à biaiser nos représentations de la réalité, à nous fournir de faux repères, de fausses cartes et une boussole qui n'indique pas le nord. Elle est redoutable, mais sans doute pas davantage que la précédente. C'est pourtant à celle-ci que nous pensons le plus souvent. Chacun se souvient de la remarquable opération de désinformation que fut le cheval de Troie. Plus près de nous, l'opération " Chair à pâté " représente un parfait exemple de désinformation de l'ennemi. Les Anglais réussirent ainsi à persuader Hitler que le débarquement allié en Méditerranée aurait lieu en Grèce, qu'une diversion serait opérée en Sardaigne et que, finalement, la Sicile ne constituerait qu'une diversion de la diversion. L'actualité récente se fait l'écho de désinformations de ce type ou de tentatives de désinformation. Les Etats-Unis ont-ils été tentés de mettre en place un service de désinformation de leur population ? Ils s'en défendent. Les Etats-Unis - encore eux - ont-ils sciemment désinformé le public en annonçant qu'un avion avait percuté le Pentagone ? Le réseau Voltaire a lancé le débat sur ce point. Internet joue, dans ce dernier cas, un rôle de premier plan.

Il est évidemment impossible de dresser un panorama complet des procédés de désinformation. Ce serait en outre passablement fastidieux. Citons simplement quatre procédés et efforçons nous d'en envisager les parades.

- Donner de fausses informations : c'est sans doute le procédé le plus simple à détecter. Il suffit de croiser les sources d'information électroniques ou de faire appel à son réseau d'information personnel.

- Combiner le vrai et le faux, tromper sur la valeur de l'information : c'est le procédé le plus dangereux. Le désinformateur insère quelques éléments faux dans un ensemble d'éléments vrais. La parade existe. Elle consiste encore une fois à croiser les sources et surtout à trier les sources selon leur fiabilité. Une source d'information qui s'est révélée fiable pendant un certain temps n'est a priori plus fiable. Mais dans tous les cas, elle peut se tromper, et nous retombons dans le schéma de la désinformation volontaire ou de l'auto-désinformation

- Ne dire que du vrai, mais de manière partielle. Le procédé est bien connu et souvent pratiqué dans les tracts politiques, syndicaux ou anonymes. La parade est simple : se reporter au texte d'origine, à condition de le trouver. . Monopoliser le débat sur un sujet pour occuper les esprits et les distraire d'autres questions. Nous entrons là dans des schémas de guerre cognitive . Il s'agit d'une logique de diversion que l'on rencontre par exemple sur les forums de discussion sur Internet, mais le procédé est ancien. Il est également utilisé dans les réunions traditionnelles lorsque l'on ne souhaite pas faire avancer un projet. L'une des parades consiste à introduire un électron libre dans le débat, capable d'en montrer l'enlisement.

Une lecture attentive de " L'art d'avoir toujours raison " de Schopenhauer ou des " 36 stratagèmes " achève de nous convaincre qu'Internet n'a pas inventé l'art de la désinformation. Il ne fait que la mettre davantage à notre portée en l'habillant des paillettes de la nouveauté technologique et de la liberté d'expression.

2. Quel plaisir peut-on prendre à désinformer ?

Comprendre les intentions de celui qui met en ouvre une stratégie de désinformation nous est aussi nécessaire que la recherche des mobiles du criminel à un policier. S'il est difficile d'apporter des chiffres fiables, il semble bien que quatre intentions se partagent le gros du " marché " de la désinformation.

- S'amuser d'abord : nous trouvons là une dimension ludique à la désinformation, liée à l'impression d'anonymat. Une partie des " hoax " sont des canulars.-6 Comment expliquer sinon l'information selon laquelle un ordinateur fonctionnant à la pomme de terre avait été mis au point ? Information reprise dans quelques web magazines.

- Protester : sur une base fausse, une information mal vérifiée. L'homme est ainsi fait qu'une rumeur négative l'intéresse davantage qu'une rumeur positive. Il bondit donc sur son clavier pour protester, sans toujours prendre le temps de vérifier l'information. La possibilité technique de réagir en temps réel conjuguée au culte de la réponse immédiate à tout message sont sans doute des facteurs importants de propagation de la désinformation.

- Se venger : si près de 60 % des causes de sinistres informatiques sont de la malveillance, comment ne pas penser qu'une bonne partie de la désinformation procède de cette intention ? D'autant que 75 % des sources d'attaques informatiques seraient d'origine interne. Comment être certain que personne, au sein de l'entreprise, n'a intérêt à faire courir des rumeurs négatives ?

- Nuire : dans une logique d'infoguerre. Nous sommes là réellement en présence d'une offensive informationnelle pour déstabiliser un concurrent. Ce type d'approche est bien plus facile et bien moins coûteux qu'une longue recherche d'information. Calomniez, calomniez, il en restera toujours quelque chose. Dans ce genre de situation, mieux vaut réagir rapidement et recevoir de bons conseils .

- Ne nous arrêtons pas à l'évocation des intentions de la source de la désinformation. La désinformation ne se propagerait pas si elle ne trouvait pas aussi facilement de complaisants relais. Ceux-ci ont aussi de bonnes raisons de relayer la désinformation. De toute bonne foi, assez souvent. . Beaucoup veulent simplement rendre service. Lorsqu'ils reçoivent un message alarmiste ou une information qui leur paraît concerner une personne, une entreprise, ils ont le gentil réflexe de la renvoyer vers d'autres destinataires. Pour ces gens là, une sensibilisation à la désinformation est utile. Il suffit parfois de leur recommander la prudence et de leur demander de vérifier les informations avant de les relayer

- La tentation du conformisme. Bien souvent, les individus propagent des informations fausses dans un réflexe moutonnier qui consiste à dire comme tout le monde. Une expérience citée par Watzlawick est édifiante. Un groupe de personnes se voit présenter un dessin que chacun doit observer. Sur ce dessin un petit trait. Puis une feuille est passée à tous les membres du groupe. Sur cette feuille, trois traits. Chacun doit dire lequel des trois traits est de longueur égale à celui du dessin initial. La même expérience est renouvelée plusieurs fois, avec des dessins différents. A partir d'un moment, un membre du groupe commence à se trouver en désaccord avec tous les autres sur l'identification du bon trait. Qu'observe Watzlawick ? Dans près d'un cas sur deux, l'individu divergent par rapport au groupe se range à son avis, alors que c'est lui qui a raison !

Comment éviter ce genre de réflexe ? En suivant un principe simple : ne tuez pas les porteurs de messages, particulièrement s'ils sont discordants. Trop souvent, le risque est plus grand de manifester son désaccord sur une information même fausse que de suivre le groupe.

3. Les forums de discussion sur Internet, haut lieu de la désinformation ?

Quelle est la place de la désinformation sur Internet en général et dans les forums de discussion en particulier ? Beaucoup d'articles sont parus sur ce point, dont la lecture ne conduit qu'à une seule conviction : la place de la désinformation dans les forums de discussion est . impossible à évaluer. Tout chiffre ne peut être que fantaisiste, eu égard à la complexité de la notion de désinformation.

Considérons, à titre d'exemple, quelques grandes envolées lyriques chiffrées.

La première : " 95 % de l'information dont on a besoin est disponible et blanche ! " Comment peut-on justifier ce chiffre hormis par une intime conviction ou une volonté militante visant à dissuader de pratiquer l'espionnage ? Certains attribuent la formule à un ancien président des Etats-Unis. La fonction de président des Etats-Unis, si considérable soit-elle, ne donne pas un crédit supplémentaire à la formule. Admettons encore que la formule ait, par miracle, recouvré une réalité au milieu du siècle dernier. Comment vérifier, dans un monde où l'information connaît un processus d'expansion phénoménal, la véracité d'un tel chiffre cinquante ans après ? Enfin, sait-on toujours de quelle information on a besoin -8? Dans le doute, on pourra toujours faire précéder la formule de : " l'expérience prouve que "

La deuxième affirmation : " Les Japonais consacrent en moyenne 1 % de leur chiffre d'affaires à l'intelligence économique. " Comment des Japonais réputés redoutablement performants en matière d'intelligence économique pourraient-ils laisser filtrer des chiffres réels sur ce qu'ils investissent en intelligence économique ? Et d'ailleurs, quand on sait la difficulté qu'il y a à chiffrer le coût de l'intelligence économique. Une troisième affirmation, par gourmandise. Selon Computer Electronics, le coût de revient du virus " I love you " par internaute l'ayant reçu sans le déclencher a été de 125 $. Comment ce chiffre est-il calculé par Computer Electronics ? En prenant en compte le temps de travail perdu, lié à la panique ou à l'arrêt des messageries, les interventions des techniciens sur les postes, le temps passé à la cafétéria pour en parler avec les collègues. Quand le journal Libération demande à Computer Electronics comment il fait pour évaluer ce chiffre, il s'entend répondre " Nous savons évaluer les coûts associés aux virus.-9"

Qui est suffisamment bien placé pour avoir une vue d'ensemble de la désinformation sur Internet en général et dans les forums de discussion en particulier ? Qui est techniquement en mesure de suivre tous les newsgroups français ou mondiaux ? Qui est suffisamment compétent pour déceler la place de la désinformation dans les données ? Questions sans réponses à ce jour. Ce qui est sûr, en revanche, si nous renonçons à aborder globalement le problème, c'est qu'un suivi régulier et ciblé de forums spécifiques traitant de thèmes qui le concernent doivent permettre à un acteur (une entreprise par exemple) de se faire une idée assez précise de la désinformation dans son domaine. A condition que le dit acteur ne se désinforme pas lui-même.

Cette question renvoie immanquablement à l'un des grands sujets classiques de philosophie : " nos sens nous trompent-ils ? " La réponse est bien connue des potaches : nos sens nous trompent lorsqu'ils nous disent que le bâton se coude en entrant dans l'eau, mais notre esprit redresse le dit bâton parce qu'il connaît les effets d'optique. Transposée aujourd'hui, la question devient " Internet nous trompe-t-il ? " Répondons en philosophes : elle tient la place que nous lui laissons tenir.

4. La sensibilisation, premier engagement stratégique

La première parade à la désinformation dans les entreprises réside sans doute dans la sensibilisation la plus large du personnel. Mieux il est sensibilisé à la désinformation, moins celle-ci pourra prendre de place dans les informations échangées, et par conséquent dans les prises de décision.

Des expériences réussies dans ce domaine, il semble que nous pouvons tirer quelques conseils, dont celui ci, primordial : ne pas paniquer, même si, pour reprendre la formule devenue célèbre Andy Groove [PDG D'Intel] " seuls les paranoïaques survivent " ! Commençons par nous convaincre que monde entier ne cherche pas à nous désinformer, et efforçons nous de suivre les lignes de conduite suivantes :

1. Sensibiliser à la sécurité en général. C'est le meilleur moyen de mettre en éveil une vigilance spécifique à l'égard de la désinformation. Cela incombe à la communication interne et, lorsqu'elle existe à la cellule chargée de l'intelligence économique. Un message fort : la désinformation peut surprendre tout le monde.

2. Sensibiliser par l'exemple. Un site comme " Hoaxbuster " est un bon moyen, à la fois sérieux et distrayant, de sensibiliser par l'exemple. Ne cachons pas non plus les mésaventures de l'entreprise lorsqu'elle a été victime d'une campagne de désinformation malveillante.

3. Attirer l'attention du personnel sur le phénomène d'auto-désinformation. Cela procède d'un travail en groupes réduits. La démarche est d'autant plus difficile que la plus grande partie de notre système de formation nous apprend à résoudre des problèmes sur la base des données fournies, et non à nous interroger sur la validité même de ces données. Or, bien souvent, dans l'entreprise l'attitude est la même.

4. Envisager une hot line " désinformation ", pour proposer des supports de réflexion, donner des repères déontologiques et le cas échéant apporter une aide à la vérification d'une information. Le simple fait de l'existence de cette hot line est un signe visible de l'importance accordée par la direction au problème.

5. Réaliser une surveillance de forums choisis parce qu'ils concernent directement l'activité de l'entreprise. Tous les cas de désinformation observés devraient être archivés et mis à disposition du personnel au titre de sa sensibilisation. De manière plus offensive, les cas de désinformation manifeste justifient une réaction rapide dans la plus grande transparence possible.

6. Pour ce qui concerne les forums internes, le meilleur moyen pour limiter la désinformation, même s'il n'est pas parfait, consiste encore à le doter d'un médiateur. Sous réserve que celui-ci ne transforme pas un site d'échange en un site de propagande par un excès de zèle qui verrait de la désinformation dans tous les messages qui ne relaient pas le discours de la direction.

En conclusion, on l'aura compris : dans une très large mesure, désinformation bien ordonnée commence par soi-même ! La formule n'est pas une boutade. Elle est une invitation à la vigilance. Ni plus, ni moins que la vigilance.

Source: Stratego (Juin 2002)

 

Vers la normalisation de l’audit de risques informationnels

En 1994, le rapport Martre donna naissance au concept d'intelligence économique en France. De nombreuses entreprises perçurent alors les enjeux et la nécessité de développer en interne des structures de veille stratégique. L'apport de cette étude dans l'appréhension des facteurs de développement économique fut essentiel car il permit réellement de décomplexer les organisations vis-à-vis de cette doctrine. Si aujourd'hui les principaux acteurs économiques reconnaissent volontiers pratiquer l'intelligence économique, en revanche il apparaît clairement qu'il convient de réaliser de nouveaux progrès dans la gestion offensive des sources ouvertes. L'acceptation de pratiques offensives demeure encore marginale. Pourtant les cas de déstabilisation stratégique par l'information abondent et ils révèlent les lacunes organisationnelles des entreprises confrontées quotidiennement aux agissements agressifs de la concurrence. L'ouvrage publié récemment par l'Institut des Hautes Etudes de la Défense Nationale constitue une avancée décisive dans la connaissance des pratiques en vigueur. Les recherches du Professeur Bournois et de Pierre-Jacquelin Romani menées auprès de 1200 entreprises françaises dressent aujourd'hui une cartographie exhaustive des pratiques en vigueur. Parions que ce benchmarking original figurera très bientôt parmi les ouvrages de références auprès des spécialistes du sujet.

Guerre économique et sécurité des entreprises

Cette étude révèle quelques paradoxes dans le discours des cadres dirigeants et des responsables de l'intelligence économique et stratégique qui ont accepté de livrer leur perception de l'environnement. Une immense majorité d'entre eux (95%) déclarent ainsi évoluer dans un climat de guerre économique. S'il ne nous appartient pas de juger de l'effectivité de ce contexte, en revanche il semble surprenant d'observer qu'il existe à cet égard peu de structures dévolues à l'évaluation, la prévention et la gestion des menaces qui découlent de cette compétition exacerbée. Autrement dit, pourquoi les entreprises ne sont elles généralement pas dotées de war room destinées à la conduite d'opérations en situation de crise ? Le durcissement du jeu concurrentiel ne tolère désormais plus de minimiser les risques nouveaux issus de la globalisation des échanges. Il importe donc de prendre conscience des pratiques offensives existantes, pratiques dont la finalité consiste en la déstabilisation stratégique de l'adversaire. Qu'il s'agisse de désinformation, de rumeurs savamment orchestrées ou de stratégies d'influences, ces manœuvres subversives visent toutes au discrédit et à l'affaiblissement financier de l'entreprise qui en est la cible. Dès lors, il apparaît urgent et fondamental que chaque entreprise s'organise afin d'assurer la protection de son patrimoine immatériel et notamment informationnel. Les war room idéalement constituées devraient réunir les structures dédiées à l'intelligence économique, la prospective et la stratégie, la communication de crise et le lobbying. A cet égard, il convient de saluer l'initiative du groupe Danone qui vient récemment de communiquer sur la fusion de ces cellules au sein d'une seule et même entité afin d'optimiser la prévention et le suivi des actions de contre-communication en cas de crise ou d'agression extérieure,

Les enjeux de l'audit de risques informationnels

La démarche d'audit de risques informationnels se présente donc comme une solution simple et relativement aisée dans sa mise en œuvre. Elle devient fondamentale pour prévenir et détecter toute crise susceptible de déboucher sur la perte de parts de marchés. Si le pilotage d'actions classiques de communication, à l'occasion de catastrophes naturelles ou de défaillance, conduit généralement à la résolution de la crise, en revanche ces procédés ont démontré leur limites opérationnelles lorsqu'une entreprise est confrontée à des crises liées à des opérations de guerre par l'information. Il ne s'agit donc plus de penser ces scénarii en terme de gestion des risques accidentels, mais au contraire de les anticiper. Une telle démarche nécessite donc l'élaboration de mesures destinées à l'évaluation des vulnérabilités informationnelles auxquelles sont soumises les entreprises. Bien qu'encore hétérodoxe, elle devrait constituer un point de réflexion élémentaire des dirigeants en charge de la sûreté économique. Est-il nécessaire de rappeler les coûts financiers engendrés par une attaque majeure, au regard de l'investissement qu'il convient de réaliser afin de s'assurer let réduction de ces risques ?

De l’ évaluation à la procédure d'audit

L'évaluation des vulnérabilités préalables à l'audit repose sur une exigence naturelle d'objectivité et de systématisation. Elle consiste, en ce qui nous concerne, à analyser l'environnement de l'entreprise afin de détecter les failles potentielles exploitables par la concurrence ou un tiers. Sa nature intuitive se caractérise donc par une construction aussi logique que formelle. Toute la difficulté de cette démarche réside dans l'éventail très large de pratiques cognitives auxquelles est confrontée l'évaluateur. On se trouve donc face à un continuum de pratiques impliquant la collecte et le traitement d'informations, de préoccupations normatives et/ou instrumentales. Mais on pourrait aussi bien, dans beaucoup de cas, parler de contrôle ou d'analyse de gestion, de contrôle de conformité, de conseil, d'expertise ou de recherche appliquée. La définition du rapport Viveret (1989) met l'accent sur la dimension normative de l'évaluation: «évaluer, c'est former un jugement sur sa valeur ». Le terme d'évaluation contient le mot « valeur », et il est aisé de constater que des valeurs de référence sont à l'arrière plan de la plupart des évaluations. La décision d'évaluer est toujours liée à la volonté d'argumenter sur la réussite finale ou le bien fondé d'une action. Evaluer sa vulnérabilité informationnelle consiste donc à déterminer la valeur des mesures de sécurité et de protection de son image corporate.

Cela renvoie à l'unique question: quels sont les dysfonctionnements de mon organisation qui pourraient être utilisés à mon encontre par un acteur soucieux de me déstabiliser? La démarche évaluative de type objectif se définit comme une procédure formalisée, productrice de connaissances inédites au regard de la propre vision et de la réalité du commanditaire de l'évaluation, ainsi que des autres destinataires. Les jugements de valeur portés par l'évaluation doivent être perçus par eux comme fondés sur des arguments légitimes. Cette exigence de légitimité de l'argumentation n'impose pas à l'évaluateur de ne formuler que des conclusions qu'il estime acceptable pour le commanditaire. Compte tenu de ce qui vient d'être dit, cette démarche fera appel à deux registres d'élaboration méthodologique: le référentiel, et au débat quantitatif/ qualitatif. Qu'elles soient de nature qualitatives ou quantitatives, les données s'intègrent dans des assertions qui visent à qualifier la réalité et à former le jugement des lecteurs du rapport. On peut distinguer trois registres principaux d'argumentation, qui contribuent de manière complémentaire à assurer la crédibilité des conclusions de l'évaluation:

          - le registre du constat : ces constats semblent induits par l'observation directe de la réalité, même si tout constat comprend nécessairement un mixte d'inductions et de déductions (les constats quantitatifs peuvent s'apparenter à un comptage physique ou financier et les constats qualitatifs sont orientés vers la description de processus socio-organisationnel) :

          - le registre démonstratif et interprétatif. 

          - le registre de l'opinion: le point de vue de groupes d'intérêts concernés par une mesure constitue parfois la principale information disponible pour évaluer sa réussite.

Les critères de qualités de l'évaluation, parfois appelés « standards » ou « valeurs » de l'évaluation, sont des caractéristiques typiques d'une « bonne évaluation », susceptibles de fournir des références pour juger la méthode, le déroulement ou le résultat d'une évaluation. Ces critères concernent à la fois la qualité scientifique des connaissances produites, le respect des règles déontologiques dans les rapports entre les différents protagonistes de l'évaluation, et enfin les éléments qui conditionnent l'utilisation pratique des résultats de l'évaluation. L'une des possibilités de juger de la qualité consiste à réaliser des méta-évaluations, revues comparatives portant sur un ensemble d'évaluations. Les méta-évaluations sont une pratique courante aux Pays-Bas et aux Etats-Unis.

A l'issue de l'évaluation, la démarche d'audit opérationnelle prend forme, déclinée en trois parties distinctes :

          - environnement économique de l'entreprise (positionnement de l'entreprise, environnement concurrentiel, perception de l'entreprise par ses clients, relation avec ses partenaires, analyse de l'environnement juridique)

          - image de l'entreprise sur Internet (gestion de l'image sur Internet, analyse du site et comparaison avec la concurrence, détection de la rumeur et des sources contestataires, analyse des signaux faibles)

          - mise en place d'une cartographie des acteurs susceptibles d'engager des attaques informationnelles intégrant les risques potentiels (Comment ces informations peuvent-elles être exploitées contre l'entreprise ? Quelles en sont les conséquences pour l'entreprise ? Quelle est l'importance du risque ? Est-il d'une intensité faible, moyenne ou importante?)

L'information dans son acceptation offensive perturbe fortement l'activité des entreprises. Chaque stratégie d'attaque par l'information se décline autour des grands principes que sont le mensonge, la dénonciation ou la protestation. Dans chacun des cas, le but est de créer le doute dans l'esprit des clients et des consommateurs, afin d'altérer l'image de l'entreprise et de l'enfermer dans un discours de justification. Quand la justification est assimilée à la reconnaissance effective d'un problème, une image dégradée se traduit au final par des pertes de parts de marchés.

La finalité de l'audit des risques informationnels vise donc à analyser les failles potentielles des sociétés qui pourraient être utilisées par la concurrence voire par certaine organisations de consommateurs. Cet audit doit conduire à l'anticipation de ce type d'agression et préparer plus efficacement à la gestion des risques dans le cadre d'une déstabilisation par l'information.

La normalisation de l’audit de risques informationnels

L'identification par l'entreprise d'une pratique offensive à son égard au cours des trois dernières années révèle des disparités suivant la typologie" dans laquelle elle se classe. Ainsi les « Internationales » ont identifié plusieurs attaques majeures à concurrence de 21.1% d'entre elles. Quant aux « Nationales », 12.6 % attestent de l'effectivité de telles agressions. L'observation de ces statistiques confortent donc l'obligation nouvelle qui est faite aux entreprises de se prémunir contre ces agissements. L'audit comptable et financier relève de l'obligation légale pour les sociétés anonymes qui sont tenues de faire certifier la conformité de leurs comptes. Cela semble aujourd'hui naturel car cela concourt au respect du droit d'information élémentaire des actionnaires. Au même titre, il est devenu courant, pour un dirigeant de grand groupe de faire authentifier sa politique générale par un prestataire de conseil renommé tel Mc Kinsey ou le Boston Consulting Group, car elle consiste à légitimer les plans d'actions stratégiques auprès du conseil d'administration. Pareillement, l'audit des risques informationnels tend à s'imposer comme un standard, au même titre que les normes sur la qualité, afin de satisfaire aux doléances des actionnaires, avant tout soucieux de la compétitivité de leur entreprise.

Les demandes croissantes des acteurs économiques envers cette démarche d'audit des risques informationnels, attestent de la nécessité de poursuivre l'élaboration d'outils de diagnostic plus performants, afin de réduire les risques nouveaux auxquels les entreprises sont aujourd'hui confrontées. A cet égard, il importe de persévérer dans la recherche et le développement, et d'inciter les entreprises à une pratique systématique de cet audit.

Source: Didier Luca et Alain Triffreau in Veille Magazine (Mars 2000)