OPSEC (renseignement)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

OPSEC ou Sécurité opérationnelle est une méthode pour se prémunir des risques que peut courir une structure si des informations sensibles sont acquises par des adversaires à cette structure. Elle fut formalisée par une équipe de l'armée américaine pendant la guerre du Viêt Nam.

Introduction[modifier | modifier le code]

La collecte de renseignements et l'analyse ressemble beaucoup à l'assemblage d'un puzzle. Les collecteurs sont tout à fait conscients de l'importance d'obtenir des petits bouts d'informations (les « pièces » du puzzle) de sources variées et de les assembler pour former l'image globale. La base de l'OPSEC est que l'accumulation d'éléments d'informations sensibles déclassifiées peut révéler des informations classifiées. Le but de l'OPSEC, en tant que programme de contre-mesures, est d'empêcher l'adversaire l'accès aux pièces du puzzle de renseignements.

Cinq étapes du processus OPSEC[modifier | modifier le code]

NSDD 298 formalisé OPSEC et le décrivit comme un processus en 5 étapes :

  • identifier l'information critique à protéger
  • analyser les menaces
  • analyser les vulnérabilités
  • évaluer les risques
  • appliquer des contre-mesures

Identification des informations critiques[modifier | modifier le code]

La base du processus OPSEC est de déterminer quelle information, si disponible à un ou plusieurs adversaires, pourrait endommager la capacité de l'organisation à mener à bien efficacement ses opérations ou activités. Cet information critique constitue le « cœur secret » de l'organisation, c'est-à-dire, les quelques pépites d'information qui sont cruciales pour l'activité spécifique ou mission de l'organisation. L'information critique est en principe classifiée, ou au minimum protégée comme une information déclassifiée sensible.

Analyse des menaces[modifier | modifier le code]

Savoir qui sont les adversaires et de quelles informations ils ont besoin pour atteindre leurs objectifs est essentiel pour déterminer quelle information est vraiment critique pour l'efficacité de la mission de l'organisation. Dans toute situation, il est probable qu'il y ait plus d'un adversaire et chacun peut être intéressé par différents types d'informations. La capacité de l'adversaire à collecter, traiter, analyser et utiliser l'information, c'est-à-dire la menace, est ainsi déterminée.

Analyse des vulnérabilités[modifier | modifier le code]

Déterminer les vulnérabilités de l'organisation met en œuvre des systèmes d'analyse de la façon dont l'opération ou l'activité est menée par l'organisation. L'organisation et l'activité doit être vue du point de vue des adversaires, fournissant ainsi la base de la compréhension de comment l'organisation opère et quels sont les vraies, plutôt qu'hypothétiques, vulnérabilités.

Évaluation des risques[modifier | modifier le code]

Les vulnérabilités et les menaces spécifiques doivent être mises en correspondances. Quand les vulnérabilités sont importantes et que la menace adverse est évidente, le risque d'utilisation par l'adversaire est attendu. Ainsi, la plus haute priorité est assignée et des actions correctives sont prises. Quand la vulnérabilité est faible et que l'adversaire a une capacité de collection marginale, la priorité est considérée comme basse.

Application de contre-mesures[modifier | modifier le code]

Les contre-mesures sont développées afin d'éliminer les vulnérabilités, les menaces, ou l'utilité de l'information pour l'adversaire. Les contre-mesures possibles devraient inclure des alternatives qui peuvent varier en efficacité, faisabilité, et coût. Les contre-mesures peuvent inclure tout ce qui est susceptible de marcher dans une situation particulière. La décision d'implanter ou non des contre-mesures doit être basée sur une analyse coût/bénéfice et une évaluation des objectifs pour le programme dans son ensemble.

Origine de l'OPSEC[modifier | modifier le code]

Il n'y a rien de nouveau à propos de principes sous-jacent à l'OPSEC. Cependant, l'OPSEC comme méthodologie, est apparu durant la guerre du Viêt Nam quand un petit groupe d'individus se sont vu assigné la mission de trouver comment l'ennemi obtenait des informations au sujet de certaines opérations de combat dans le Sud-Est asiatique. L'équipe eu le nom de code « Dragon Pourpre ».

Il devint apparent à l'équipe que bien que des programmes de contre-mesures de sécurité et de renseignement traditionnelles existaient, se reposer seulement sur ces derniers était insuffisant pour empêchant que des informations critiques arrivent à l'ennemi (notamment les informations et indicateurs concernant les intentions et les capacités). Le groupe conçu et développa une méthodologie pour analyser les opérations U.S. de point de vue adverse pour découvrir comment l'information était obtenue.

L'équipe recommanda alors des actions correctives. Le projet fut couronné de succès, et pour donner un nom à ce qu'ils avaient fait, ils proposèrent l'expression « Sécurité des opérations ».

OPSEC et activités gouvernementales[modifier | modifier le code]

Un poster de la 2e Guerre mondiale demandant de ne pas transmettre les informations

Au cours des années, il devint de plus en plus apparent que l'OPSEC avait des utilisations dans presque tous les programmes gouvernementaux qui nécessitait de protéger une information pour assurer l'efficacité des programmes. Les professionnels de l'OPSEC modifièrent et améliorèrent les techniques basées sur l'expérience acquise avec beaucoup d'organisations différentes et dans des domaines bien éloigné des opérations de combat militaire.

Aujourd'hui, OPSEC est applicable aussi bien pour des activités administratives ou de recherche et développement que pour des opérations de combat. Si OPSEC n'est pas intégré dans des activités sensibles et classifiées, il y a des chances que l'on puisse obtenir des informations significatives sur les capacités et les limitations. Il aurait sans doute été difficile pour l'équipe « Dragon Pourpre » d'imaginer que, 20 ans plus tard, leur méthode deviendrait un programme national américain.

OPSEC à la maison[modifier | modifier le code]

Vous avez sans doute pratiqué OPSEC dans votre vie personnelle sans le savoir. Quand vous allez partir en vacances, avez vous déjà :

  • arrêté la distribution de journal pour éviter qu'il s'empile à l'extérieur donnant un signe que vous n'êtes pas à la maison ?
  • demandé à vos voisins de prendre votre courrier pour ne pas que la boîte soit pleine, indiquant aussi que vous êtes parti ?
  • connecté les lumières de votre porche ou à l'intérieur à un minuteur pour qu'elles s'allument à des heures prédéfinies pour donner l'impression qu'il y a quelqu'un à la maison ?
  • Laissé un véhicule garé dans l'allée ?
  • Connecté une radio à un minuteur pour qu'elle s'allume à divers moments pour faire entendre comme si quelqu'un était à l'intérieur ?

Eh bien, devinez quoi ? Vous avez pratiqué OPSEC !

L'information critique est ici évidente - nous ne voulons pas que quiconque sache que la maison est inoccupée. Aucune des actions (contre-mesures) listées plus haut ne dissimule vraiment le fait que votre résidence est inoccupée. Un journal sur la pelouse ou dans l'allée ne signifie pas nécessairement que personne n'est à la maison. Ce ne sont que des indicateurs pour l'adversaire. Cet indicateur, combinés avec d'autres indicateurs (pas de lumière à l'intérieur la nuit, la boîte aux lettres pleine, etc.) donneront à l'adversaire l'information nécessaire pour arriver à une conclusion avec une certain niveau de confiance. Dans ce cas, plus il y a d'indicateurs que l'adversaire peut observer, plus le niveau de confiance dans ses conclusions est élevé. Quand vous éliminez ces indicateurs, vous avez plus de chances de vous assurer que votre maison n'est pas cambriolée pendant que vous êtes parti.

Le même chose a lieu au travail. Vous devez protéger des informations critiques et éliminer les indicateurs disponibles pour l'adversaire.