Exposition sur la contrefaçon : vraie ou fausse polémique ?

La Cité des Sciences et de l'Industrie organise jusqu'à mi-février une exposition sur la contrefaçon nommée : "La vraie expo qui parle du faux" qui alerte sur les dangers pour les consommateurs, mais aussi pour l’innovation. "La vraie expo qui parle du faux" veut aider à distinguer le "vrai" du "faux" et alerter sur les dangers liés à la contrefaçon, mais aussi engager une réflexion sur la création et l’innovation. L’exposition a été initiée par l’Institut national de la propriété intellectuelle (INPI). Pour le directeur général de l’Institut, Benoît Battistelli, "l’exposition montre de manière ludique et pédagogique les dangers de la contrefaçon et met également l’accent sur le rôle des brevets et de la propriété intellectuelle et industrielle dans la protection de l’innovation". Suivant une rhétorique bien rodée, Benoît Batistelli insiste sur la perte de chiffre d'affaires, les destructions d'emplois et les risques pour les consommateurs générés par l'ampleur de la contrefaçon. L’exposition conçue par la Cité et la scénographe Zette Cazalas (agence Zen+dCo), prend la forme d’une installation artistique en trois dimensions. L’espace est ouvert sur quatre thèmes développés en quatorze cubes mettant en scène de nombreux objets et iconographies, comme autant d’objets de réflexion et de dialogue. Les paroles d’experts, les visuels géants, les objets, les audiovisuels, les manipulations portent et mettent en perspective le propos sur la contrefaçon :
A.Prologue
B.Pourquoi copier ?
C.Garantir l’authentique
D.Combattre le faux.

A noter que selon le site Ecrans de Libération l'exposition a fait preuve d'une polémique avec la censure (?) d'un message d'Isabelle Vodjani, artiste et enseignante à Paris I, sur le logiciel libre qui devait être inséré dans une borne audio de l'exposition. L'INPI se serait formellement opposé à la diffusion d'un tel message. La commissaire de l'exposition a donc fait parvenir un courriel à l'artiste : "Notre partenaire principal, l'INPI, est farouchement opposé à ce que l'exposition donne la parole aux défenseurs du “libre”. Nous avons essayé de discuter et d'argumenter avec eux mais l'INPI reste intransigeant sur sa position. Nous sommes donc obligés, avec grand regret, de ne pas présenter votre parole que vous aviez, aimablement, accepté de rédiger et d'enregistrer". Dans une tribune publiée sur Transactiv.exe, Isabelle Vodjani regrette ce choix, et reproduit le texte mis au point avec l'équipe de la Cité des sciences. "C'est une expo de propagande, pour un public captif" déclare t-elle. Selon le site rue89, au service communication de l'INPI, on se défend d'avoir influencé ce choix :
"Au sein de l'institut, on n'utilise que du libre ! On a travaillé avec tout un tas d'experts, le thème de la contrefaçon touchant plein de domaines. Le choix de retirer finalement ce texte partait d'une bonne intention : on ne voulait pas apporter de la confusion dans l'esprit du public entre l'univers du libre et des pratiques illégales".
Au "public captif et sous propagande" d'aller se faire une idée par lui-même.

INFORMATION DU PUBLIC
01 40 05 80 00 www.cite-sciences.fr/contrefacon

Le juste prix ... des mots et du vide

L'artiste et enseignant Christophe Bruno propose une réflexion critique sur les phénomènes de réseau et de globalisation dans les champs de l'image et du langage. Il a ainsi été primé au célébre festival Ars Electronica en 2003 pour le Google Adwords Happening une performance globale sur le capitalisme sémantique. Ce happening repose sur le fait que désormais "chaque mot de chaque langue a désormais un prix qui fluctue suivant les lois du marché". Comme le détaille un article dans une revue de l'École Nationale Supérieure d’Art de Nancy : les mots "poétiques"diffusés par Bruno et qui remplacent les habituels messages publicitaires ciblés de Google, les Adwords, se révélent insuffisamment performants en terme de taux de clics. Bruno a alors pu constater que ces mots deviennent alors "censurés" par le robot de surveillance du dispositif sous prétexte qu'ils mettraient en péril la dynamique économique globale de Google. Dans la suite de l'article, Christophe Bruno démontre également que contrairement à une opinion répandue, Internet et les diverses formes de réseaux sociaux ne s'orientent pas sur une forme idéale démocratique mais au contraire sur une logique aristocratique. Il appuie ses conclusions sur les travaux du mathématicien Albert-László Barabási vulgarisés dans son ouvrage Linked: How Everything Is Connected to Everything Else and What It Means. Enfin Christophe Bruno considère que le succès de Google sur des industries plus traditionnelles provient du fait que ce qui est stratégique sur Internet c'est "d'utiliser le réseau de l'économie de l'attention afin de s'emparer des espaces laissés vacants, des interstices divers, de créer des places vides pour les valoriser et les entretenir en tant que places vides.(...) Plus l'espace vide est proche d'un "hub" important du réseau de l'économie de l'attention, plus sa valeur sera grande." Le succès de Google proviendrait de sa "position sur le marché du langage" et à exploiter cette "Friche du vide". Nous serions donc dans une nouvelle conception de gestion du risque, où le succès d'une stratégie industrielle et commerciale serait intimement lié à la manière de gérer les espaces vides du réseau Internet et où les espaces "pleins" des réseaux réels (exemples : boutiques de luxe) se trouveraient fragilisés par cette nouvelle forme de concurrence à l'efficacité redoutable.

Colloque sur l'Intelligence économique

La conférence annuelle sur l'Intelligence économique a été organisée le 29 mai dernier par les Echos. L'occasion d'observer grandeur nature, l'évolution d'un concept parfois l'objet de polémiques et qui s'apparente, en ces temps troubles, de plus en plus à une gestion des risques pour les entreprises présentes.
Lors de la séance d'ouverture, Olivier Buquen, Délégué interministériel chargé de l'intelligence économique, a référencé cinq actions clés :
- Renforcer la protection des informations stratégiques pour les entreprises et en particulier celles étant liées à l'innovation notamment par des actions en interne. Olivier Buquen a en particulier insisté sur l'arsenal juridique avec des sanctions en droit français s'inspirant du Code Act américain de 1996.
- Elaborer une grille d'évaluation qui permette de mesurer le degré de protection des entreprises.
- Participer activement aux organismes d'Etats qui soutiennent les grandes entreprises.
- Elaborer un guide pratique destiné aux organismes de recherche publique afin de protéger la recherche et la valoriser.
- Mieux faire connaître l'Intelligence économique et aboutir à ce que l'ensemble des diplômés du supérieur français ait suivi un module de formation dans ce domaine.
Selon la DCRI qui recense les menaces depuis quatre ans, la plupart des filières serait touchée (194) et les auteurs de telles "agressions" auraient des origines variées (90 pays).
Fait plus inquiétant : 50% des infractions seraient commises sans infraction pénale et les plus fréquentes concerneraient les risques financiers (pour 33% avec en particulier des acquisitions non désirées). Les "intrusions consenties" figurent aussi parmi les menaces majeures avec en particulier les visites de délégations étrangères ou les stagiaires. Les cyberattaques (10%) ou encore les atteintes à l'image seraient plus marginales.

La première conférence sur le rôle de l'IE en entreprises a été l'occasion de confronter les points de vue de divers intervenants.
- Luc Doublet, PDG de Doublet SA, a une démarche atypique de la gestion de l'information et considère qu'il est essentiel de ne garder aucune information secrète et de "noyer" l'information stratégique dans un flux de contenus qui contient également de fausses informations. Un tiers malveillant aura alors des difficultés pour repérer et interpréter les informations valides.
- Michel Mollard, membre du directoire d'Euler Hermes, a précisé que son groupe investit 100 millions d'euro par an dans le recueil d'informations dans le monde. Cette collecte d'informations qui est au coeur du métier de l'entreprise se fait en plusieurs étapes. Michel Mollard a insisté sur le croisement des informations en particulier en prenant en compte les paramètres locaux, sectoriels et macroéconomiques. Il est également essentiel pour son groupe que le recueil de l'information soit séparé de sa dimension décisionnelle afin que l'information reste la plus "pure" possible et d'éviter les conflits d'intérêts. Enfin la confidentialité est fondamentale dans la gestion de l'information et son groupe a pu discrètement se désengager de ses relations avec Enron grâce à une notation interne non publique.
- Jean-Michel Salvadori, directeur de l'intelligence économique chez Total, a précisé que son groupe avait intégré l'IE depuis deux ans dans un cadre fortement stratégique. Ce service d'une dizaine de personnes ne comprend pas de professionnels de l'IE mais des cadres du groupe qui ont une bonne connaissance sectorielle et qui sont détachés en général pour trois ans. Le département n'est pas impliqué dans des activités de veille, de prospective ou de lobbying gérées par d'autres services mais se concentre sur des informations "contraires" qui doivent aider à l'anticipation , être un soutien à la décision et créer un avantage concurrentiel grâce à une meilleure compréhension de l'environnement. Le service IE de Total s'intéresse à des acteurs variés (ONG, media, concurrents...) sur une échelle globale. L'objectif de l'IE est aussi de participer à une "culture du doute" qui doit permettre de confronter des avis variés sur les risques présents ou potentiels pour le groupe.
- Philippe Trouchaud, associé pour PriceWaterhouseCoopers, a dressé un tableau assez sombre de la gestion de l'information en entreprises. Selon une étude récente réalisée par PWC auprès de 470 entreprises : 42% des entreprises françaises auraient une définition stratégique des données et 15% les valoriseraient. D'autre part seulement 20% des entreprises qui ont un pôle IE, diffuseraient ces informations à leurs employés alors que selon Trouchaud il importe d'associer un maximum d'acteurs en interne sur de tels enjeux et en particulier les clients souvent en possession des informations les plus critiques. La plupart des intervenants ont insisté sur le rôle décisif que le dirigeant doit avoir dans la prise en compte de l'IE et de sa bonne intégration.

Colloque Intelligence économique (suite)

Lors de la deuxième conférence du colloque qui visait à rendre compte des meilleures pratiques dans le traitement de l'information, Véronique Mesguich, directrice de l'infothèque du Pôle Léonard de Vinci, a insisté sur les paramètres "temps réel" et "personnalisation" du traitement de l'information ainsi que sur l'importance d'une surveillance régulière de sources ciblées grâce à des agrégateurs, des logiciels ou encore des cartographies comme Touchgraph. Selon Véronique Mesguisch il est également important de savoir si l'IE est un besoin instrumental, conceptuel ou encore décisionnel car en fonction du besoin en question les outils seront différents. Cela dit il n'existe pas d'outil "idéal" et certains logiciels peuvent aussi révéler des coûts cachés dans leur paramétrage : il s'agit donc d'évaluer avec soin en amont ses instruments de veille avant de faire son choix final.
Gilles Bugada, Directeur adjoint chez Sofrecom, a mis en avant l'importance de la combinaison de trois composantes pour le développement d’une intelligence collective en entreprise :
- L’intelligence collective via des coopérations intellectuelles, une capacité collective de transformer des informations en connaissances contextualisées et prises de décision.
- Le knowledge management, à savoir la gestion du savoir et des connaissances.
- Les technologies de l’information et de la collaboration qui favorisent les flux relationnels et informationnels.
Dans le cadre d'une session sur les risques d'image, Yann Le Bel, conseiller IE auprès du Secrétaire général de la SNCF, a relaté un cas de phishing auprès de clients de la SNCF à qui un faux site proposait une mise à jour de leurs données. Face à cette situation de crise la SNCF a privilégié une communication claire et transparente par l'intermédiaire de son site. Mais dans un autre cas de situation de crise qui concernait la diffusion d'une fausse vidéo parodique de la SNCF assez violente, après réunion de différents services, la direction a fait le choix de ne pas interdire le clip en question. La décision a été prise après avis de tous les services concernés (communication, sûreté, commercial et juridique) qui ont tous eu le même poids dans leurs recommandations. Selon Yann Le Bel, il n'existe donc pas de règle absolue et il est important de ne pas réagir toujours de manière trop visible.
Stéphane Morillon, PDG de Cybion, a lui insisté sur le fait que sur internet une "minorité fait l'opinion" : 100 000 personnes produiraient 70% des contenus en particulier ceux qui appellent au boycott de certains produits. D'autre part Internet aurait un impact fort sur les comportements sociaux avec notamment un poids de l'image majeur et un rôle de l'émotionnel croissant.

Quel bilan peut-on tirer d'une telle conférence ?
Sur le plan opérationnel, il est incontestable que la gestion de l'information devient de plus en plus stratégique pour les entreprises et que ce phénomène reste sous-évalué notamment si l'on compare la cas français au cas anglo-saxon. D'autre part la démocratisation d'Internet et des moteurs de recherche tels que Google incitent les meilleures entreprises à partager et à diffuser des informations en interne. Face à l'atomisation et à la variété des menaces, il n'existe pas d'organisations miracles et encore moins de solutions standards tant les situations à risque sont variables. Ainsi que l'a précisé Stéphane Rosenwald, président du groupe IE de l'ESCP Europe : "il importe surtout de continuer à diffuser une culture de l'intelligence en entreprises". L'essentiel étant de penser l'organisation et les outils adéquats avec une adaptabilité optimale en temps réel.
Pourtant force est de constater que le concept d'Intelligence économique ne semble pas fondamentalement plus clair au terme de cette conférence malgré la bonne volonté de la plupart des intervenants. Les eléments opérationnels présentés sont apparus globalement limités au regard des défis auxquels sont confrontés de nombreuses entreprises. Enfin il manquait sans doute aussi des experts indépendants plus au fait des enjeux notamment techniques qui auraient pu remettre en cause ou mieux contextualiser certains propos d'entreprises peu contredites dans leur discours.

Pas Sage en Seine 2010

Pas Sage en Seine est une manifestation qui a été organisée du 14 au 16 mai à la Cantine, lieu de diffusion des cultures numériques qui a le mérite de proposer une vision souvent alternative d'Internet.
A cette occasion, Jean-Marc Manach, journaliste pour Internet Actu et blogger pour Le Monde, est intervenu dans le cadre d'une conférence nommée Anonymat, identités numériques et réseaux sociaux. Il a notamment précisé que 55 000 emails seraient piratables sur les sites officiels gouv.fr car dotés d'adresses standardisées de type yahoo.fr. Depuis le célèbre pirate Kevin Mitnick, Manach a confirmé que la plupart des techniques de piratage n'implique pas d'avoir des compétences particulières mais que ce sont les techniques de manipulation humaine qui sont souvent décisives en particulier pour récupérer des mots de passe. Le journaliste, fin observateur des dysfonctionnements du net, a également mis en relief une approche française anxiogène des menaces notamment depuis les attentats du 11 septembre. Depuis cette date l'utilisation de la cryptologie serait réservée aux activités terroristes ou de pédophilie. Quant aux Etats-Unis ils auraient, depuis cette même date, une vision décomplexée des menaces informatiques. Manach cite ainsi les modules d'autoformation fournis par la CIA ou le NSA pour la protection de l'enfance avec par exemple l'étonnant Cryptokids. Toujours selon le journaliste, on assiste à une démocratisation des moyens d'espionnage et il n'a jamais été aussi aisé de recourir à de telles techniques pour un non spécialiste en informatique. Les risques de virus existeraient aussi par la simple consultation de pages web ou lecture d'emails (même sans pièces jointes). Les parades existent et elles consistent souvent à utiliser un ordinateur neuf lors de ses déplacements avec un encryptage du disque dur et un non usage de clé USB ou de toutes données externes. Selon des sources citées par la DST, 60% de l'espionnage serait aujourd'hui à des fins économiques et 40% dans un objectif politique.
Dans une deuxième conférence au titre provocateur Hacking the law, Jérémie Zimmerman de la Quadrature du net, a insisté sur une démarche de lobbying active notamment vis-à-vis des assistants parlementaires, interlocuteurs stratégiques dans les prises de décisions. Selon Zimmerman, il est important de ne pas avoir une vision trop étroite des lois liées à Internet, souvent résumées par la célèbre formule de l'universitaire américain Lawrence Lessig "Code is law". En effet le rôle du lobbyiste qui vise à préserver les libertés individuelles dans la société de l'information, doit aussi influer sur l'ensemble des débats de société et prendre en compte la dimension interprétative des lois ainsi que le rôle des opinions publiques dans les mobilisations. Une mission que cherche à remplir le site Nosdéputés qui vise à remettre en cause les processus de décision opaques qui tendent à se dévélopper au sein des institutions.

Dérives du marché de l'art

Les journalistes Danièle Granet et Catherine Lamour décrivent dans ce livre les évolutions récentes du marché de l'art et en particulier l'explosion des prix de certains artistes contemporains qui s'explique, selon les auteurs, en grande partie par la raréfaction des oeuvres classiques ou modernes sur le marché. Cet ouvrage se révèle être une vision honnête mais somme toute assez superficielle des enjeux économiques en cours.

Quant aux "Grands et petits secrets" de ce monde opaque, on peut simplement relever à la lecture de l'ouvrage :

- l'affaire Lawrence Salander, galeriste new-yorkais renommé, arrêté en mars 2009 dans le cadre d'une vaste affaire d'escroquerie qui impliquait deux banques et un fonds d'investissement.

- le rôle du port franc de Genève qui depuis une nouvelle loi de douane du 1er mai 2009 ne jouit plus de l'extraterritorialité. Les oeuvres d'art stockées ne bénéficient donc plus de l'exonération des droits de douanes et de TVA. Objectif : limiter l'exportation en Suisse d'oeuvres illégales et qui ressortiraient "blanchies".

Mondialisation oblige : notons enfin que Singapour prévoit la mise en place d'un port franc de 10 000 mètres carrés près de son aéroport où l'extraterritorialité sera assurée.

A l'heure où se tient à Genève, une conférence sur le journalisme d'investigation, une démarche plus volontaire aurait été la bienvenue.

Grands et petits secrets du monde de l'Art de Danièle Granet et Catherine Lamour, Fayard, 350 p., 20, 90 euros

Aux limites du cybermonde (1)

La Revue de la gendarmerie nationale consacre un numéro spécial dédié aux nouvelles frontières d'Internet où de nombreux articles viennent éclairer souvent avec pertinence les évolutions les plus récentes notamment en termes de risques. "Nous ne sommes plus dans un monde déterministe où les phénomènes sont régis par des lois prévisibles et impératives, mais dans un monde gouverné par des lois probabilistes" déclare le Général Nicolas Géraud dans un premier article qui dresse le tableau d'un Internet où la gestion des risques gagne donc en complexité. Le journaliste Nicolas Arpagian s'intéresse lui au Web 2.0 et insiste sur l'identité numérique car "alors que les fiches des services de renseignement d'un pays mettaient des années à s'élaborer, avec en plus des risques d'erreurs ou d'oublis, elles sont ici obligeamment inscrites et mises à jour par les intéressés eux-mêmes." Ce risque de dévoiler ses propres informations personnelles n'est pas négligeable puisqu'en 2007 le vol d'identités représentait 250 000 plaintes dans le palmarès des contentieux recensé aux Etats-Unis par la Federal Trade Commission. Selon Arpagian, la technique la plus répandue serait celle du phishing qui consiste à envoyer un courriel avec une charte graphique trompeuse, d'une banque par exemple, qui a pour objectif de récupérer les numéros de cartes de crédit ou les codes d'accès en ligne des comptes bancaires. La cessation d'activités de certaines sociétés comme Mc Colo Corp. (depuis novembre 2008), aurait eu un impact conséquent sur une baisse des flots de courriels contaminés. Arpagian reconnaît toutefois qu'une évaluation précise du risque que représente de telles techniques est délicate à effectuer. Une étude des universités de Berkeley et de San Diego fait toutefois référence car les chercheurs auraient tentés de piéger les pirates et de mettre en valeur leur modèle économique. Les résultats publiés fin 2008 concluent qu'"un émetteur de spams pouvait mener une activité rentable en obtenant une réponse sur 12,5 millions de courriers électroniques envoyés."

La gestion de tels risques a aussi impliqué aussi une démarche pro active de responsables politiques qui aboutit à des résultats plutôt nuancés.

Nicolas Arpagian cite ainsi deux exemples révélateurs. Le premier émane de la Corée du Sud où 95% des foyers sont reliés à Internet. Dans un article repris par Courrier International, l'hebdomadaire coréen Sisajournal relate comment l'administration a doté chaque individu d'un numéro d'identification de 13 chiffres mais combiné avec des habitudes de consommation, ce numéro représente aussi un actif informationnel stratégique pour les "pirates informatiques". Autre cas cité : celui de Chrome, le nouveau navigateur de Google lancé en septembre 2008. Dans une interview au Berliner Zeitung de septembre 2008, Matthias Gärtner, porte-parole du BSI, l'office fédéral allemand en charge de la sécurité informatique, s'inquiétait du fait que 2% des informations tapées dans la barre de navigation pouvaient être enregistrées. Résultat : "l'accumulation de données par un fournisseur pose problème" a expliqué le responsable allemand. Selon Arpagian, suite à la polémique le BSI "s'est fendu trois jours plus tard d'un communiqué nettement plus diplomatique", mais le gouvernement allemand a eu le rare mérite de soulever un risque technologique également lié à des enjeux éminement politiques.

Aux limites du cybermonde (2)

Dans un article intitulé "Cybercriminalité : identifier la menace", Xavier Guimard, officier de gendarmerie au bureau de la sécurité et de la sécurité, met en relief le concept de menace informatique. Selon lui "l'inadéquation des moyens de protection à la menace réelle est un facteur de faiblesse, lorsque la protection est sous-calibrée mais également lorsque les moyens de protection sont trop élevés. En effet le comportement des utilisateurs restant traditionnellement le point faible du système, l'inadéquation des mesures peut provoquer un rejet et les inciter à contourner ce système." Autres caractéristiques : la rapidité d'évolution de la menace informatique ainsi que l'évolution des virus qui ne contiennent plus une charge destructrice mais cherchent avant tout à se dissimuler en récupérant des données privées. Alain Permingeat, chef de division de la lutte contre la cybercriminalité, insiste aussi sur le risque que représentent les délocalisations des hotlines ou de services de facturation dans des pays où la protection des données personnelles est moins assurée qu'en France. Enfin selon Sébastien Héon, conseiller opérationnel pour la société EADS Defence & Security, il importe de prendre en compte de nombreux paramètres dans la lutte contre la cybercriminalité :

- Plus les technologies deviennent complexes et se développent rapidement, plus le risque de failles augmente.
- Des produits autrefois inertes peuvent se transformer aujourd'hui en produits communicants. Ainsi un simple compteur électrique va peu à peu devenir aussi complexe qu'un PC et saura communiquer à distance. L'unification des technologies combinée à l'augmentation des équipements connectés augmentent le risque potentiel des cyberattaques.
- Il est important de prendre en compte l'importance d'une culture de la sécurité à tous les niveaux de l'entreprise à la fois sur le plan présent mais aussi en anticipant les risques futurs.
-Il est quasiment impossible de remonter jusqu'à la source d'une attaque. Pour pallier les imperfections techniques et juridiques qui empêchent cette identification de manière souvent fiable, il est important de corréler toutes les formes d'informations disponibles : données techniques, données comportementales, bases de données de renseignements, analyses des modes opératoires, récupérations des forums spécialisés, etc.

Augmentation des cyberattaques : à quand un débat sur la fiabilité des statistiques ?

Selon une étude de la société Symantec, la cybercriminalité a continué de progresser dans le monde en 2009, mais un peu moins en France qui passe ainsi du 8e au 13e rang mondial dans l'activité malveillante sur internet. Globalement, les menaces sur internet auraient augmenté de 71% l'an dernier, indique Symantec, qui les mesure grâce à un réseau de millions d'ordinateurs, de comptes mails leurres (pour attirer les spams) et de sondes installées sur internet."Cela nous donne la météo de l'internet", explique Laurent Heslault, directeur des technologies de sécurité pour l'Europe de l'Ouest chez Symantec. "On constate une mondialisation de la cybercriminalité, avec de nouveaux pays comme le Brésil, l'Inde, la Pologne, la Roumanie, la Turquie...", une expansion liée "au développement de l'internet à haut débit" dans ces pays-là, indique-t-il. Il s'agit alors d'"utilisateurs qui ne sont ni habitués ni formés" aux cyberattaques comme les spams, les virus ou les faux sites internet, notamment dans les cybercafés, tandis que "les forces de l'ordre non plus ne sont pas habituées" à ces menaces. En 2009, les Etats-Unis et la Chine arrivent en tête de classement dans les attaques de cybercriminalité, surtout en raison de leur grand nombre d'internautes. Le Brésil est en troisième position, devant l'Allemagne et l'Inde. Le classement plus flatteur de la France en 2009, par rapport à 2008, "ne veut pas dire que les attaques ont baissé, mais qu'elles ont plus augmenté dans d'autres pays", prévient M. Heslault. "Aujourd'hui, un des vecteurs d'infection les plus importants est le simple fait de surfer, alors que pendant très longtemps c'était la messagerie", souligne-t-il, insistant sur les risques que va représenter la prochaine Coupe du monde de football, en Afrique du Sud, les cybercriminels essayant d'attirer les internautes sur des sites en leur proposant des infos ou des vidéos infestées de virus...

Si la plupart des experts confirment le rôle leader de la Chine, des Etats-Unis ou du Brésil : ces résultats posent plus globalement le problème de l'indépendance des études en question sur un phénomène particulièrement opaque et on peut se demander dans quelle mesure un fabricant aurait intérêt à indiquer une baisse significative des cybermenaces. Ces résultats affichés par Symantec sont du même acabit que ceux de l'éditeur Kaspersky, dont le fondateur Eugène Kaspersky confirmait il y a quelques semaines sa conviction qu'"une minorité peut demain bloquer toute l’économie mondiale, qui dépend déjà à 90% de la Toile, et ce n’est pas de la science-fiction (sic)." Les récents rapports de Microsoft ou de KPMG  confirment cette tendance à une gestion anxiogène des menaces informatiques, cela dit jusqu'à présent la plasticité d'Internet n'a pas validé de tels scénarios qui doivent aussi se décrypter dans une logique commerciale. La mise en place de centres de recherche indépendants sur le sujet devrait permettre une meilleure visibilité du phénomène. Le rôle de la discrète et discutée agence européenne ENISA, pourrait par exemple se réorienter en partie sur de tels objectifs afin que le débat public gagne en clarté et rationalité. A moins qu'une agence dédiée coordonne des actions sur la cybercriminalité ne soit créée à cet effet ainsi qu'une récente réunion des ministres européens le laisse à penser.

Finlande : deux conférences à venir en juin

La Finlande, pays de référence dans les nouvelles technologies, propose cet été deux conférences intéressantes. La première conférence intitulée Security in Futures est organisée par le Futures Research Center et le Finland Futures Academy les 3-4 juin prochains à Turku. Cette douzième édition sera l'occasion d'analyser les nombreux changements à venir dans le domaine de la sécurité avec  des experts du champ scientifique, des responsables politiques et des représentants de grandes sociétés privées. Parmi tous les séminaires, deux "workshops" s'intéresseront plus particulièrement aux enjeux culturels et technologiques. La seconde conférence, la Global Intelligence Conference aura lieu du 7 au 9 juin 2010 à Helsinki, et abordera les défis liés à l'intelligence économique notamment sur certains aspects liés au  risk management en entreprises.

Industries créatives : lancement d'une initiative de la Commission européenne

La Commission européenne lance 27.04.2010 au 30.07.2010 une consultation publique en ligne concernant les industries créatives en Europe, dont elle souhaite libérer tout le potentiel. Cette consultation est liée à la parution d'un livre vert qui souligne la nécessité d’améliorer l’accès au financement, en particulier pour les petites entreprises, afin de permettre au secteur de la  de la création de prospérer et de contribuer à une croissance durable et accessible.

Le secteur de la culture et de la création représente 2,6 % du PIB européen, c’est-à-dire plus que beaucoup d’industries manufacturières, et connait également une croissance plus rapide que la plupart des secteurs de l’économie. Les réponses reçues aideront la Commission à s'assurer que les programmes et politiques communautaires sont adaptés aux besoins des industries culturelles et créatives.

Plus d'informations : http://ec.europa.eu/culture/our-policy-development/doc2577_fr.htm

China Express

L’Empire du Milieu n'en finit par d'accélérer sur tous les fronts. La contrefaçon n'échappe pas au phénomène, car alors que l'iPad 3G doit être lancé -avec retard- le 7 mai aux Etats-Unis et fin mai en Europe, la Chine anticipe ce lancement. Si l'on en croit une dépêche de l'agence Reuters :"des versions pirates de la tablette d'Apple sont déjà disponibles dans certaines boutiques chinoises". Les boutiques en question seraient situées à Shenzen près de Hong Kong. Selon Reuters, ce modèle pirate de l’iPad serait "plus épais et rectangulaire que l'original, muni de trois ports USB" et "fonctionne sous Windows". S’il est plus grand en taille, son prix est vraisemblablement inférieur à celui commercialisé par Apple :  410 dollars d’un côté contre 499 dollars minimum de l’autre (l’iPad d’Apple peut coûter jusqu’à 699 dollars). Des sites en ligne comme Taobao propose les deux versions, la piratée et celle d’Apple, en précisant que le modèle piraté est "encore plus performant que le vrai". Mais grâce à sa notoriété et à la classe moyenne qui tend à préférer les produits originaux, Apple n’aurait pas trop de soucis à se faire. D'autre part la tablette a un format et des composants différents qui fonctionnent sous Windows, ce qui relative la contrefaçon. Cela dit ces copies devraient gagner en qualité avec les nouvelles versions produites.

CyberInde

L'Occident n'a pas le monopole des cyberattaques chinoises.     Une étude canadienne conduite par l'Université de Toronto a révélé au mois d'avril qu'une équipe de cyber-espions d'origine chinoise avait causé une brèche majeure dans le système de cybersécurité indien. Selon le The Economics Times, l'Inde envisage la mise en place d'un bureau en charge des questions liées à la sécurité informatique. La mise en place de cette structure implique une nouvelle approche pour l'Inde à la fois sur le plan organisationnel ou sur le profil des agents. L'étude canadienne a été menée pendant près d'un an par le Munk Centre for International Studies de Toronto University, l'entreprise de sécurité canadienne SecDev Group et la Fondation de lutte contre le piratage Shadowserver Foundation a ramené cette question sur le devant de la scène. Cette étude intitulée "Shadows in the Cloud, An investigation into cyber espionage 2.0" met en évidence les techniques employées par les deux hackers basés à Chengdu, capitale du Sichuan. Ce rapport présente les différents organismes indiens qui ont vu leur sécurité compromise : le National Security Council Secretariat (NSCS), qui est une section du bureau du Premier Ministre; différentes missions diplomatiques à Kaboul, Dubaï, Abuja; mais aussi les services d'ingénierie militaire; des institutions d'éducation militaire et différentes entreprises indiennes. Il s'avère difficile d'estimer les dommages liés à ces attaques mais les cibles semblent avoir été choisies avec soin. Le rapport insiste sur le manque de préparation et l'importance des vulnérabilités du système d'information indien face à ce type de menace. Une autre raison de la mise en place d'une sécurité informatique forte à l'échelle nationale est l'importance des entreprises IT en Inde, celles-ci gèrent des informations économiques et financières en provenance de nombreux pays étrangers qui se révèlent être une véritable manne pour un hacker en recherche d'informations. L'un des premiers mandats de ce bureau en charge des questions liées à la sécurité informatique sera de créer un système de protection multicouches autour des sources d'informations jugées sensibles et de mettre en place un ensemble de normes et de codes de bonnes conduites. Ce bureau serait placé sous l'autorité du National Security Advisor. Une partie des employés de ce bureau serait en charge de l'aspect défensif du hacking, l'autre serait en charge d'écouter les tendances et de participer à la mise en place de malware et de software afin d'avoir accès à leur structure et pouvoir ainsi les neutraliser.

Création d'un centre de recherche sur les risques

Le CNRS, en partenariat avec l’UTT (Université de Technologie de Troyes), créé la première unité mixte de recherche (UMR) en "Sciences et Technologies pour la Maîtrise des Risques". Proposant une approche pluridisciplinaire par l’association de sept équipes de recherche, la nouvelle UMR travaillera notamment sur le concept de sécurité globale qui englobe des thèmes variés comme la sécurité économique, sanitaire, informatique et numérique, la sécurité des transports, la gestion de crise, la sécurité industrielle, mais la lutte contre le terrorisme, la criminalité et la fraude. Au programme, trois axes de recherche : anticipation et conception pour la maîtrise des risques des systèmes et réseaux complexes (vulnérabilité d’infrastructures critique, réduction d’impact environnemental, transport de matières dangereuses), maîtrise des risques et pilotage des systèmes et réseaux complexes (surveillance de systèmes, e-santé) et gestion des situations de crise et post-crise (outils d’aide à la décision).

Livre blanc américain : dégradation du climat des affaires en Chine

Pour la douzième année consécutive le "livre blanc 2010" de la Chambre américaine de commerce en Chine dresse un bilan complet du climat des affaires en 32 chapitres et plus de 100 recommandations. Le rapport constate globalement une dégradation de la situation et même une discrimination croissante à l'égard des investisseurs étrangers en matière d'interprétation de la réglementation, de pratiques protectionnistes et une contestation plus systématique des droits de propriété intellectuelle (PI). En matière de PI, seules 26 % des entreprises étrangères (sur un échantillon de 146), considèrent que leurs droits sont effectivement protégés.

Etude EIRIS : entreprises et corruption

Selon une étude internationale du cabinet EIRIS du 20 avril 2010, les entreprises françaises ne font pas assez d'efforts pour lutter contre la corruption. Selon ce rapport, certaines des plus importantes entreprises françaises n'ont pas de politique de lutte contre la corruption et aucune ne communique efficacement sur le sujet. Bien que la France soit signataire de la convention de l'OCDE de 1997 sur la lutte contre la corruption, selon laquelle les 38 pays signataires actuels se sont engagés à réglementer et rendre illégale la corruption des fonctionnaires étrangers, l'étude EIRIS —l'agence européenne de recherche spécialisée pour l'investissement responsable — montre que la plupart des entreprises françaises n'ont pas les ressources nécessaires pour lutter contre la corruption. Cette étude analyse les entreprises de l'indice "FTSE All World Developed" (mesure de la transparence, de la performance et de la responsabilité sociétale) qui ont des activités dans les secteurs et régions identifiés comme ayant le risque le plus sérieux concernant la corruption.
74%des entreprises françaises n'ont pas de politique de lutte contre la corruption.
L'étude montre que 74 % des entreprises françaises n'ont pas de politique de lutte contre la corruption, 88 % n'ont pas de système de management adéquate pour y faire face et aucune ne communique de manière appropriée sur le sujet. Les récentes accusions de corruption impliquant des entreprises importantes au Royaume-Uni (BAE Systems) et en Allemagne (Daimler et Siemens) indiquent que les entreprises partout dans le monde négligent cet enjeu, en particulier celles impliquées dans des activités à haut risque. Selon l'étude EIRIS, "parmi les 625 sociétés analysées, 85 % n'ont pas de politique de lutte contre la corruption adéquate et 94 % n'ont pas de système de management approprié pour y faire face. La transparence et l'ouverture des entreprises sur ce sujet sont médiocres avec seulement 1 % des entreprises ayant un reporting adéquat sur le sujet." Le rapport montre notamment la dimension internationale de ce phénomène. Environ un tiers des 2 000 sociétés du "FTSE All World Developed Index" sont fortement exposées aux risques de corruption mais seulement une entreprise, Terna (Italie), a été évaluée par EIRIS comme étant avancée dans son approche pour lutter contre la corruption – grâce à sa politique sophistiquée de lutte contre la corruption et à sa grande transparence. D'une manière générale, le risque de corruption augmenterait pour la grande majorité des entreprises. L'étude effectue également une analyse sectorielle : les sociétés des secteurs fortement risqués comme l'extraction minière, l'électricité, l'eau, matériel et équipement informatique sont davantage conscientes des risques auxquels elles sont confrontées et anticipent davantage les risques que celles qui sont moins exposées. Dans cette étude, il ressort aussi que le secteur immobilier est le secteur à haut risque ayant le plus besoin de s'améliorer sur cet enjeu avec seulement 6% des entreprises ayant reçu une note intermédiaire, et que les entreprises des pays ayant une réglementation spécifique concernant la lutte contre la corruption et des exigences de la part des autorités de marché ont une meilleure performance que celles basées dans des pays n'en ayant pas tels que Hong Kong et Singapour où presque la moitié des entreprises (49 %) n'ont mis en place aucune démarche pour lutter contre la corruption. L'auteur de l'étude EIRIS précise : "Les entreprises qui ne luttent pas suffisamment contre la corruption représentent des risques importants pour les investisseurs ; elles s'exposent à des risques d'amendes illimitées, de mauvaises réputations, de limites d'accès aux marchés et à des difficultés pour lever des capitaux.""Il paraît évident que les entreprises françaises ont besoin d'une nouvelle approche concernant la lutte contre la corruption pour éviter les risques significatifs liés à une mauvaise performance sur le sujet", ajoute- t-il. Robert Barrington, Director of External Affairs à Transparency International UK, observe que "le risque de corruption augmente pour presque toutes les entreprises, et donc leurs investisseurs. A travers le monde, le cadre législatif se durcit et les efforts pour le faire appliquer se développent. La globalisation des échanges et des marchés a davantage mis en évidence les milieux de corruption mais la plupart des sociétés sont mal préparées pour faire face à cet enjeu». Le rapport n'aborde pas spécifiquement le cas des entreprises issues de l'économie numérique ou des industries créatives.

Big Brother a 10 ans

La nouvelle édition des Big Brother Awards a annoncé sa liste de nominés sur le site Zdnet. Ce rendez-vous annuel épingle les élus, les sociétés et les système qui ont le plus porté atteinte à la vie privée. Pour l' édition 2010 : Facebook, Google, les Pages Jaunes (via 123people) ou encore Frédéric Mitterrand sont parmi les nominés les plus prestigieux. Six prix seront décernés dans des catégories telles que "États et Élus", "Exécuteur des basses œuvres" ou encore "Mention spéciale Internet". Du côté des entreprises, Alcatel Shanghaï Bell se voit montré du doigt pour avoir fourni aux autorités birmanes des équipements pour surveiller en masse les communications des citoyens. Le palmarès sera annoncé lors d’une conférence publique qui se tiendra mercredi 12 mai, à 9h30, à La Cantine, dans le 2e arrondissement de Paris. Les prix seront remis lors de la cérémonie finale, le 29 mai prochain, au Théâtre La belle étoile (Paris).

Cyberguerre

Le Centre d'études et de recherches internationales de Sciences Po, a organisé le 30 avril dernier une conférence sur le thème "Cyberwarfare in the 21st Century : the Need for preparedness" avec pour invité Boaz Dolev, ancien directeur du E-Gov Department au sein du Ministère des Finances israélien. Si le thème des cybermenaces est régulièrement sous le feu de l'actualité, il implique aussi des défis géopolitiques sans doute majeurs dans un proche avenir. Selon Boaz Dolev, le risque informatique ne réside pas exclusivement dans une connexion directe avec Internet car toute mise en réseau d'un ordinateur peut aboutir à un risque indirect avec Internet.
Dolev distingue par ailleurs six types d'utilisateurs :
- les passionnés,
- les hackers individuels,
- les groupes de hackers,
- les groupes d'hacktivistes,
- les organisations criminelles (par exemple le Russian Business Network),
- les Etats avec trois superpowers que sont les Etats-Unis, la Chine et la Russie.

L'expert israélien a insisté sur l'importance d'anticiper les risques. Au sein du gouvernement israélien, une "red team" a ainsi été mise en place pour donner des solutions à des dangers repérés avant qu'ils n'apparaissent : la Recherche et Développement doit donc être intégrée en amont pour évaluer et résoudre de tels risques. Selon Boaz Delev, les jeux pour enfants ou encore les sources qui peuvent aider à gagner ces mêmes jeux (games hack) sont des risques majeurs de cybermenaces. Dolev s'attend par ailleurs à un accord international sur le sujet de la "cyberguerre" d'ici six mois. Mais selon lui cet accord sera assez basique et impliquera peu de conséquences pour la plupart des acteurs. Boaz Dolev a par ailleurs insisté sur le concept de "Pearl Harbour électronique" notamment dans sa dimension de surprise. L'argument n'est guère nouveau et avait été introduit en 2001 par Richard Clarke, le très polémique conseiller en cybersécurité de George W. Bush. Dans un article du Washington Post de 2002, le journaliste Joshua Green avait critiqué le peu d'éléments tangibles permettant de valider un risque majeur global et la dimension "constructiviste" du phénomène. Cela dit Internet a pris depuis une dimension stratégique majeure avec notamment l'émergence de Google. L'effet de surprise dont parle Dolev n'est donc plus à exclure et les cyberattaques estoniennes ou les multiples affaires liées aux cyberattaques chinoises, qui selon Dolev s'exercent directement sans l'intermédiaire de proxy, tendent à confirmer un tel scénario à venir. L'ampleur et le sens politique de cet effet de surprise restent à définir. Sur ce point le déficit de centres de recherche en "cyber risques" pose problème dans le cadre d'analyses neutres sur des phénomènes encore opaques et techniquement complexes dont l'impact mériterait une réelle normalisation.

Google : le nouveau défi européen

Cet ouvrage a pour mérite de montrer que, contrairement à certains propos relayés dans le débat public, Jean-Noël Jeanneney ne perçoit pas Google comme une menace en tant que tel mais avant tout comme une entreprise qui cherche à imposer sa vision anglo-saxonne des droits de propriété intellectuelle. Par ailleurs si l'ancien directeur de la BNF indique que la mise en place de partenariats avec la multinationale américaine peut s'envisager, il insiste surtout sur la nécessité d'un sursaut européen et d'éviter tout partenariat d'exclusivité avec des entreprises de haute-technologie. Ce sont en effet les partenariats prévus de la BNF ou de la bibliothèque municipale de Lyon avec Google qui ont inquiété l'auteur qui a su créer une mobilisation efficace au-delà des clivages politiques pour suspendre de telles initiatives. Réaliste, mais non défaitiste, Jeanneney considère que même si l'Europe n'arrive pas à mettre en place des moteurs de recherche de l'envergure des Américains, elle n'en demeure pas moins potentiellement puissante en mutualisant ses compétences par des sites divers et éparpillés sur notre continent qu'il importerait de mieux coordonner. Enfin Google incarne aussi une vision du monde avec une indexation quantitative trop primaire des contenus notamment éditoriaux, or selon Jeanneney "l'obsession du nombre doit céder aux préoccupations qualitatives". C'est aussi sur cette logique de référencement que l'auteur souhaite voir l'Europe s'impliquer davantage en valorisant le savoir-faire sophistiqué de son capital culturel.
Enfin la formation d'historien de ce haut fonctionnaire, met en relief l'importance de réfléchir aux enjeux stratégiques de la durée de l'archivage sur Internet. Car si rien ne disparaît complètement sur le web : qu'adviendrait-t-il des archives en question si Google, malgré le sens de l'innovation singulier que les observateurs lui reconnaissent, venait un jour à faire faillite ?
On peut juste regretter que ce petit livre rouge sur la révolution du numérique n'aborde pas le cas chinois. Mais la lecture de cet ouvrage qui fera date est agréable et on y sent parfois le charme un peu suranné de notre esprit européen. Ce qui reste malgré tout préférable aux étranges errements du communisme notamment contemporain ou du capitalisme le plus sauvage.

Quand Google défie l'Europe, Plaidoyer pour un sursaut de Jean-Noël Jeanneney, Mille et une nuits, 200 p., 14, 90 euros

Colloque Sens Public sur le Numérique

L'association Sens Public a organisé du 28 au 30 avril, un colloque nommé : "le numérique éditorial et sa gouvernance : entre savoirs et pouvoirs". Lors de la conférence d'ouverture, Jean-Louis Missika, adjoint au Maire de Paris et universitaire, a présenté sa vision des enjeux d'Internet. Selon Missika : "Internet n'incarne pas seulement une révolution technologique, mais aussi une révolution sociale, culturelle et globale équivalente à la révolution industrielle combinée à l'invention de l'imprimerie. L'architecture du réseau modifie les industries classiques et se caractérise par des effets destructeurs supérieurs aux effets constructifs du moins dans leur perception. Autre caractéristique : le changement d'échelle car de nombreuses industries créatives se caractérisaient avant l'émergence d'Internet par une économie fermée. Mais désormais les dispositifs mis en oeuvre dans une économie fermée ne peuvent plus fonctionner dans une économie ouverte. D'autre part le partage de la valeur se fait différemment car si la production de contenus se fait localement, la mise à disposition est globalisée." Enfin le sociologue a aussi précisé que le rôle du régulateur se trouve perturbé par ces changements d'échelle : "le régulateur essaie de nationaliser ce qui est international par exemple en taxant les FAI (fournisseurs d'accès internet) avec pour conséquence le risque de les affaiblir dans la compétition internationale. SFR, Orange et Free se trouveraient ainsi en position de faiblesse par rapport à un acteur tel que Google qui paradoxalement ne crée pas d'informations locales." D'autre part Internet serait, selon Missika, encore à un "stade infantile" et combinerait des phénomènes paradoxaux "d'intermédiation" et de "désintermédiation" qui rendent les analyses des enjeux en cours particulièrement complexes. A l'arrivée les industries traditionnelles sont confrontées à "la violence du changement économique" et par exemple les majors de la musique préférent assumer le risque de subir 80% de téléchargements illégaux plutôt que de remettre radicalement en cause leur modèle économique. Le point de vue de Missika sur l'industrie musicale pourrait aussi se décliner, dans une certaine mesure, à d'autres industries créatives telles que le luxe dont Internet a perturbé la problématique de distribution en faisant émerger de nouveaux risques.

Retour sur les tribulations de Google en Chine

Un récent article du New York Times sur le récent retrait de Google de Chine suite à un cas de piratage fait le point sur cette affaire depuis disparue de la plupart des media. Comme l'explique le sociologue François-Bernard Huyghe sur son site :"l'affaire était dès le départ passablement embrouillée : Google, lorsqu'il se référait aux "attaques informatiques" subies depuis la Chine en décembre 2009, parlait à la fois de tentatives d'intrusion dans les systèmes d'importantes sociétés et de pénétration dans les comptes de particuliers (dont de supposés partisans des droits de l'homme). Le tout recouvrant une troisième réalité : à savoir le fait que les demandes des internautes chinois au premier moteur de recherche du monde étaient filtrées à la demande des autorités." En fait Google ne s'est pas totalement retiré de la Chine et s'est replié sur Hong Kong : les requêtes faites à son moteur de recherche sont donc détournées vers l'ancienne colonie britannique. C'est le moteur de recherche chinois Baidu qui aurait profité en Chine continentale de ce repli stratégique. La stratégie anti-censure mise en avant par Google n'a pas, comme le remarque François-Bernard Huyghe, été suivie de mesures concrètes de la part d'autres entreprises ou du gouvernement américain : "Au moment où s'ouvre l'exposition universelle de Shanghaï, superbe opération de diplomatie publique, on n'entend plus guère parler du fabuleux facteur d'ouverture que serait la présence de millions d'étrangers, dotés de téléphones et d'accès à Internet, comme cela se disait avant les Jeux Olympiques de Pékin. Et après le discours d'Hillary Clinton plaçant la liberté de naviguer sur Internet au nombre de principales libertés que les USA devaient défendre, les gouvernants qui font le voyage de Chine reprennent pour le moins discrètement le thème de la fin de la censure." Selon le New York Times qui cite une personne ayant une connaissance directe de l'enquête, "l'attaque portait en réalité sur un système de mots de passe, surnommé Gaïa qui contrôle l'accès de millions d'internautes à travers le monde à plusieurs services de Google (y compris des services d'affaires et, accessoirement, des comptes e-mail). Les pirates, qui semblent avoir ciblé des développeurs de Google, auraient eu accès aux codes sources du programme en Californie. Google s'est contenté de déclarer qu'il renforçait la sécurité de Gaïa, sans que personne puisse établir définitivement le degré de gravité du dommage subi ni surtout du dommage futur." Les pessimistes décrivent les intrus comme désormais capables de percer les secrets de fabrication de Google et surtout ses failles de sécurité. La conclusion de Huyghe apparaît plutôt convaincante : "Au-delà du débat technique, qui concerne seulement quelques experts, il semble de plus en plus évident que nous soyons en face d'une gigantesque affaire d'espionnage industriel recouverte par les brumes d'une phraséologie morale."