Comment décrire la veille stratégique ? Comme de nombreux professionnels vous le diront probablement, tout dépend de vos objectifs en tant qu’organisation.

L’équipe Digimind a décidé de consacrer une série d’articles sur les différentes thématiques de la veille stratégique, et leurs applications concrètes en entreprise, basées sur les expériences de nos clients, qui sont des leaders dans divers secteurs allant de la sécurité aux services bancaires, en passant par l’industrie.

Sans plus attendre, voici notre premier sujet : la veille sécurité ou risk intelligence

La veille sécurité, même si elle varie selon le secteur d’activité, peut être défini par l’anticipation de tous les risques possibles pouvant affecter votre organisation et la création de plans d’urgence, de protocoles de réponse et de stratégies de communication.

Découvrons maintenant pourquoi il est essentiel de mettre en place une stratégie rigoureuse de risk intelligence :

– Acquérir une connaissance précise de votre environnement et comprendre où vous êtes vulnérable.
– Représenter ou définir clairement vos risques (ce processus peut également être appelé «cartographie des risques», et il comprend généralement la mise en place de vos risques sur un graphique, une carte ou tout autre autre représentation visuelle).
– Surveiller de près vos risques (ou les facteurs qui pourraient se transformer en risques).
– Prendre des mesures stratégiques pour éviter les risques en trouvant des moyens de les prévenir ou en améliorant votre temps de réponse et votre efficacité lorsqu’un risque devient réalité.

Mais quels risques surveiller ? La liste ci-dessous, non exhaustive, vous donnera un premier élément de réponse :
– Économique
– Social
– Géopolitique
– Légal et normatif
– Pays
– Écologique
– Technologique
– Sécurité
– Employé / personnel (prévention de la fuite de données)
– Réputation

Planifier, planifier, planifier

Même si la veille sécurité peut être utilisée à de nombreuses fins, il est important pour les organisations de mettre en place une méthodologie rigoureuse afin de maîtriser les risques.

1. Faites un brainstorming sur tous les risques possibles pouvant vous affecter, votre organisation, vos partenariats, votre secteur d’activité, votre pays, etc. Impliquez le plus grand nombre de collaborateurs d’autres business units car ils possèdent une excellente connaissance de votre environnement. Lorsque vous identifiez pour la première fois des risques potentiels, n’excluez rien.
2. Une fois que vous avez identifié tous les risques possibles, déterminez comment ces risques pourraient vous affecter. Il faut associer à chaque risque des typologies de risque.
3. Créez des plans pour atténuer ces risques et des plans pour répondre à ces risques dans le cas où vous n’êtes pas en mesure de les arrêter. 
4. Maintenant, définissez vos paramètres de monitoring pour surveiller ces risques.

Choisissez des sujets généraux, mais spécifiques

Lorsque vous surveillez à des fins de veille sécurité, vos paramètres de surveillance / recherche seront à la fois considérablement plus larges et incroyablement spécifiques.

La veille sécurité est très différente des autres applications de la veille à cet égard.

Mais où commencer ? Nous avons listé ci-dessous les principales sources que vous devriez inclure dans votre plan de surveillance :
– Nouvelles et changements sectoriels
– Nouvelles régulations
– Actualités des fournisseurs / fabricants
– Les risques pays dans les états où vous opérez
– Menaces de sécurité
– Innovations
– Changements politiques
– Scandales / problèmes éthiques
– Risques naturels / catastrophes
– Risques économiques
– Différence de prix / changements
– Concurrents
– Cyber ​​menaces *

*Notez qu’il est extrêmement difficile d’anticiper une cyberattaque vous visant, mais que vous pouvez vous tenter de vous protéger en répertoriant les types de virus ou cyberattaques les plus récents et en établissant un plan de réponse.

Cette liste peut sembler au premier abord effrayante :  comment pouvez-vous surveiller toutes ces informations ? Que faire si vous êtes une entreprise de fabrication internationale avec des usines et des fournisseurs dans le monde entier ? Comment surveillez-vous tous ces sujets dans tous les pays où vous opérez ?

Soyez organisé et utilisez la technologie, parce que vous n’y arriverez pas tout seul

Comme mentionné précédemment, la cartographie des risques est un moyen de représenter visuellement les risques en fonction de la probabilité qu’ils se produisent.

Lorsque vous menez un projet de veille sécurité il est fortement recommandé d’utiliser des outils de visualisation des données pour vous aider à suivre toutes les informations.

En connectant votre outil de surveillance aux outils de visualisation de données, vous serez alors en mesure d’établir une carte virtuelle de gestion des risques, ou une sorte de «salle de guerre».

Imaginez que toutes vos informations soient automatiquement importées dans une carte de visualisation de données. Si vous voyez soudainement la ville dans laquelle se situe votre usine s’allumer, vous pourrez rapidement vérifier les mentions et identifier le risque, et dans un second temps mettre en place les plans prédéterminés pour le type de risque en question.

Livrer des informations rapidement

Encore une fois, il est fortement recommandé de prévoir suffisamment de temps avant de configurer votre projet de veille sécurité pour : 1) répertorier tous les risques possibles et 2) déterminer les réponses à tous ces événements à l’avance.

La direction générale devra être fortement impliquée dans ce processus, ainsi plusieurs départements clés (par exemple, votre service de relations publiques devra établir des réponses à un accident de travail, une violation d’une nouvelle réglementation ou un problème de réputation à l’avance).


Pour les livrables, les alertes sont probablement les plus efficaces. Si vous voyez qu’un risque théorique est sur le point de devenir réel, vous n’aurez pas le temps d’attendre une semaine et de créer une newsletter. Vos collaborateurs auront besoin un besoin immédiat d’information à ce sujet. Mettez en place des alertes chaque heure ou par mots-clés spéciaux, et assurez-vous que les parties prenantes reçoivent ces nouvelles alertes afin qu’ils puissent agir rapidement.

Ebook gratuit : 20 bonnes pratiques essentielles pour votre projet de veillehttps://js.hscta.net/cta/current.js hbspt.cta.load(636866, ’41ed431c-27a0-4281-a940-fe8c77f0a38f’, {});

La veille sécurité en action

Prenons l’exemple d’une société de loisirs implantée en périphérie urbaine brassant des millions de visiteurs par an.

Penchons nous maintenant sur les risques qu’elle surveille :

  • Les grèves de transports publics : elles représentent un risque très important car elles paralysent une partie du trafic et peuvent démotiver de potentiels clients à se déplacer.
  • Evolution du cours de la pomme de terre : cela peut paraître surprenant mais une partie du chiffre d’affaires du parc de loisirs repose sur la restauration qu’elle fournit à ses visiteurs. Si le cours de la bourse a une évolution défavorable sur le prix des aliments phares, alors les ventes s’effondrent, avec des répercussions financières pour le parc.
  • Actualité économique de la région : imaginons qu’un concurrent indirect (par exemple un de centre bien être & aquatique) s’installe à proximité du parc. Ce dernier doit alors évaluer l’impact de ce changement de situation pour pouvoir décider de la nature du risque, des potentielles répercussions et de la stratégie à adopter : est-ce que le parc doit baisser ces prix, proposer de nouveaux services pour contrer ce nouveau concurrent, ou proposer un partenariat pour limiter les effets sur son activité ? C’est à ce genre de questions que doit répondre le risk intelligence.
  • Risque employeur : compte-tenu de la nature de son activité, l’entreprise est plus sensible que d’autres aux accidents de travail. Elle se doit donc de faire une veille législative rigoureuse du droit du travail pour s’assurer qu’elle met tout en place pour prévenir ces accidents.

Utiliser le Web Invisible pour une veille sécurité encore plus complète

Devriez-vous surveiller le «web invisible» dans le cadre de votre stratégie risk intelligence ? Cela en vaut-il la peine ?

Avant de répondre à cette question, intéressons-nous à la définition du web invisible. Ce dernier est composé par le dark web et le deep web.

Saviez-vous que le web invisible représenterait 96 % de l’intégralité du web alors que le web accessible par tous ne représenterait que 4% du contenu ? Imaginez la quantité d’informations disponibles !

Le deep web, ou web profond, est l’internet de tous les contenus qui ne sont pas indexés par les moteurs de recherche (ex : Google, Bing). Il est très difficile d’y accéder sans connaître l’adresse précise.  Le deep web héberge un certain nombre d’informations :

    • Base de données utilisateurs
    • Intranets d’entreprise
    • Sites web protégés par authentification
    • Informations académiques
    • Records médicaux
    • Données bancaires
    • Sites utilisant exclusivement des technologies incomprises des robots d’indexation

Le dark web, ou web sombre, est encore plus difficile à accéder : parce qu’il s’agit d’un réseau parallèle, il faut non seulement connaître les adresses spécifiques, mais également utiliser des outils informatiques particuliers (ex : navigateur dédié). L’anonymat y est garantie.

Différents sites peuvent être trouvés : trafic de drogue, d’armes à feu, transfert d’organes, communications privées, pédo-pornographie, achat de logiciels malveillants etc.

Pour répondre à la question initiale, tous les veilleurs faisant du risk intelligence ne trouveront pas forcément une utilité à surveiller le web invisible.

En effet, cela peut représenter des perspectives intéressantes  pour les organisations qui souhaitent surveiller les sujets suivants :

  • Commerce illégal
  • Trafic de données personnelles / bancaires / santé
  • Cyber sécurité
  • Revendications politiques, activistes
  • Identification de lanceur d’alertes
  • Surveillance de réseaux terroristes

Voici un exemple concret :

MasterCard a réussi dernièrement à identifier une menace. En surveillant certaines communautés clandestines sur le web invisible, les analystes ont découvert qu’un groupe d’acteurs avait développé un logiciel similaire d’enregistrement EMV, ainsi que les techniques de fabrication nécessaires pour fabriquer des cartes de crédit à puce capables de contourner les plus robustes contrôles anti-fraude.

Après avoir été mis au courant de ces résultats, MasterCard a été en mesure d’ajuster sa stratégie de mise en œuvre de la norme EMV et de renforcer les mesures de sécurité pour éviter que la menace ne devienne réalité.

Ce qu’il faut retenir : plus une organisation se place dans une posture anticipative, en alliant une connaissance précise et parfaitement actualisée de son environnement et de ses vulnérabilités, plus elle sera en mesure de se prémunir contre les risques et de construire des protocoles de réponses adaptés.

 

New Call-to-action

Vanessa Querry
Vanessa est responsable marketing chez Digimind en charge du marché de la veille stratégique. Passionnée par les technologies de l’information, le marketing digital et le B2B, Vanessa aime débattre des meilleures stratégies pour aider les entreprises à se démarquer dans un environnement hautement concurrentiel et en pleine mutation.

LEAVE A REPLY

Please enter your comment!
Please enter your name here