Actes Sécurité 2010

29 - 06 - 20102E RENCONTRES DE LA SECURITE INTÉRIEURE

Salle Victor Hugo, Immeuble Chaban-Delmas

L’entreprise face aux nouvelles menaces : quelle politique de Sécurité nationale ?

Sous le Haut Patronage de

Brice Hortefeux,Ministre de l’Intérieur, de l’Outre-mer

et des Collectivités territoriales

Les Deuxièmes Rencontres de la Sécurité nationale

L’entreprise face aux nouvelles menaces : quelle politique de Sécurité nationale ?

mardi 29 juin 2010Salle Victor Hugo

Immeuble Chaban-Delmas

OUVERTURE DES TRAVAUX

Eric CIOTTI, Député des Alpes-Maritimes, Rapporteur du Projet de Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieure, Président des Rencontres de la Sécurité Intérieure

PREAMBULE

Nouvelles menaces et priorisation des menaces Alain BAUER, Président du Conseil Supérieur de la Formation et de la Recherche Stratégique (CSFRS)

PREMIERE TABLE RONDE QUELLE POLITIQUE DU RENSEIGNEMENT AU SERVICE DE L’ENTREPRISE ?

Animateur : Jacques MYARD, Député des Yvelines, membre de la Délégation Parlementaire au Renseignement Eric DENECE, Directeur du Centre Français de Recherche sur le Renseignement Général de brigade Georges LISSOT, Directeur adjoint « Opérations » de la Protection de la Sécurité et de la Défense Pascal TEIXEIRA DA SILVA, Ministre plénipotentiaire, Directeur de la Stratégie à la Direction Générale de la Sécurité Extérieure

DEUXIEME TABLE RONDE QUELLES POLITIQUES PUBLIQUES AU SERVICE DE LA SECURITE GLOBALE DE L’ENTREPRISE ?

Animateur : Bernard CARAYON, Député du Tarn, Président de la Fondation Prometheus et de l’Institut de l’IE, Maître de conférences à l’IEP de Paris Commissaire divisionnaire Eric BELLEMIN-COMTE, Sous-directeur par intérim de la Protection économique, Direction Centrale du Renseignement Intérieur Capitaine Olivier CHARDAVOINE, Chef de la Section Intelligence économique, Direction Générale de la Gendarmerie Nationale Philippe CLERC, Directeur de l’Intelligence économique, de l’Innovation et des Technologies de l’information, Assemblée des Chambres Françaises de Commerce et d’Industrie Eric DELBECQUE, Chef du Département Sécurité Economique, Institut National des Hautes Etudes de la Sécurité et de la Justice Ingénieur en Chef de l’Armement Anne DIAZ de TUESTA, Chef du Service des Biens à double usage, Direction Générale de la Compétitivité, de l’Industrie et des Services Contrôleur Général Gilles GRAY, Adjoint au Délégué Interministériel à l’Intelligence Economique, chargé de la Sécurité économique, des Affaires intérieures et de l’Action territoriale Christian HARBULOT, Directeur de l’Ecole de Guerre Economique Yann JOUNOT, Haut fonctionnaire de Défense adjoint, Directeur de la Planification de Sécurité Nationale au Ministère de l’Intérieur, de l’Outre-mer et des Collectivités Territoriales

INTERVENTION

Christian ESTROSI, Ministre auprès de la Ministre de l’Economie, de l’Industrie et de l’Emploi, en charge de l’Industrie

INTERVENTION

Brice HORTEFEUX, Ministre de l’Intérieur, de l’Outre-mer et des Collectivités Territoriales

TROISIEME TABLE RONDE

QUELLE POLITIQUE DE SECURITE NATIONALE AU SERVICE DE L’ENTREPRISE DANS LE CYBERESPACE ? Animateur : Jean-Jacques URVOAS, Député du Finistère Nicolas ARPAGIAN, Rédacteur en Chef de la revue Prospective Stratégique Vice-amiral Michel BENEDITTINI, Directeur Général adjoint de l’Agence Nationale de la Sécurité des Systèmes d’Information Colonel Joël FERRY, Commandant la Section Recherches de Versailles de la Gendarmerie Nationale Alain FILEE, Directeur de la Business Unit « Sécurité », Groupe Bull Denis GARDIN, Senior Vice President, Directeur du CyberSecurity Center, EADS-DS Franck GREVERIE, Vice-président, Sécurité des Technologies de l’Information, Thales Dominique LAMIOT, Haut fonctionnaire de Défense et de Sécurité, Secrétaire Général à l’Administration centrale des ministères économique et financier Fred MESSIKA, Directeur de mission sécurité, Sekoia Régis POINCELET, Vice-président du Club des Directeurs Sécurité des Entreprises, Directeur de la Sûreté, GDF-Suez

Intervention

Eric CiottiDéputé des Alpes-Maritimes

Président des Rencontres

2èmes Rencontres de la Sécurité intérieure, 29 juin 2010

« L’entreprise face aux nouvelles menaces : quelle politique de Sécurité nationale ? »

INTERVENTION

ERIC CIOTTI Député des Alpes-Maritimes, Président des Rencontres

L'internationalisation des échanges poursuivie depuis la fin de la Seconde Guerre mondiale, a connu au tournant des années 90, une brusque accélération. Les entreprises sont devenues dans ce nouveau contexte les principaux acteurs du processus de mondialisation de l'économie. C'est précisément en raison de ce rôle moteur que les entreprises sont aujourd'hui la cible de nouvelles menaces, que vous avez évoquées ce matin, terrorisme, cybercriminalité, fraude, contrefaçon, des menaces qui se multiplient et marquant une vulnérabilité plus grande des entreprises. Selon une étude de la DCRI, entre le 1er janvier 2006 et le 13 mars 2009, 4 600 agressions d'entreprises françaises par des entreprises étrangères ont été recensées. Ces chiffres sont assez édifiants! Face à ces menaces, il est naturellement nécessaire de développer une culture de la sécurité dans l'entreprise par une plus grande sensibilisation de l'ensemble de ses acteurs. Dans ce but, beaucoup d'entreprises conduisent une politique d'intelligence économique en internet. Elles peuvent naturellement s'appuyer sur les initiatives mises en œuvre par l'Etat – et je salue les initiatives nombreuses et importantes prises en la matière par Brice Hortefeux – avec la création d'une délégation interministérielle à l'intelligence économique, rattachée au ministère de l'Economie au niveau central et l'existence d'une action territoriale au niveau régional coordonnée par les préfets de région. Cette action de l'Etat est cependant encore insuffisante pour répondre de façon globale aux besoins des acteurs économiques, lesquels ont donc souvent recouru aux prestations fournies par les entreprises privées. Force est de reconnaître que l'observation des pratiques de ce secteur a démontré pour le moins certaines carences, voire dérives inacceptables telles que consultation illégale de fichiers, écoutes téléphoniques illégales, opérations de déstabilisation, enquêtes intrusives. C'est la raison pour laquelle, la Loi d'orientation, de programmation pour la performance de la Sécurité intérieure, présentée par Brice Hortefeux, et dont j'ai l'honneur d'être le rapporteur à l'Assemblée Nationale, s'est engagée résolument dans une démarche de clarification, de définition de ce qu'est l'intelligence économique et nous avons ajusté par amendements le texte présenté, mais aussi de moralisation de l'activité en écartant du marché les acteurs aux méthodes douteuses. De même l'évolution des technologies a permis l'émergence de nouvelles formes de criminalité, autour notamment de la cybercriminalité, contre lesquels des moyens juridiques et techniques, à la disposition des enquêteurs, doivent être mis en œuvre. LA LOPPSI2 comporte des dispositions permettant de mieux lutter contre les utilisations illégales des nouvelles technologies, notamment par la lutte contre l'usurpation d'identité et le harcèlement sur les réseaux de communication électronique. La LOPPSI2 crée un délit d'utilisation frauduleuse de l'identité ou de données à caractère personnel d'un tiers sur un réseau de communication électronique, comblant ainsi un vide juridique important. La LOPPSI2 introduit aussi des dispositions visant à pénaliser les atteintes à la propriété intellectuelle, réalisées par le biais d'internet. L'article du 3 du projet de loi aggrave les peines encourues pour un certain nombre de délits de contrefaçon commis via un réseau de communication. Par ailleurs, les réseaux de communication électronique sont de plus en plus utilisés par les criminels et les délinquants, particulièrement par les groupes terroristes ou les milieux du grand banditisme. Le projet de loi vise donc de façon globale à doter nos forces de sécurité, les enquêteurs, des moyens et des outils aussi efficaces dans l'espace virtuel que sur le terrain réel. Tels sont très rapidement évoqués certains axes de la sécurité des entreprises françaises face aux nouvelles menaces auxquelles elles sont confrontées et auxquelles nous voulons apporter des réponses concrètes par la Loi de programmation et pour la performance de la sécurité intérieure, dont l'examen du texte sera conduit au Sénat en septembre et dans la foulée en seconde lecture à l'Assemblée. Nos débats d'aujourd'hui seront riches et nous permettront d'ouvrir des perspectives extrêmement fructueuses. Monsieur le Ministre, merci de votre présence et des actions concrètes que vous avez engagées pour la sécurité des entreprises comme pour la sécurité globale de nos concitoyens.

Intervention

Alain BauerPrésident du Conseil Supérieur

de la Formation et de la Recherche Stratégiques



INTERVENTION

ALAIN BAUER Président du Conseil Supérieur

de la Formation et de la Recherche Stratégiques

Si je m'exprime devant vous, c'est sans doute en raison d'une activité professionnelle liées à l'enseignement de la criminologie et à l'analyse des phénomènes criminels, à la fois à l'Observatoire national de la Délinquance et au Conseil de la Recherche Stratégique qui vient de tenir ses premiers travaux un jour de grève générale mais dans des conditions de présence tout à fait exceptionnelles, eu égard à ces circonstances. Je voudrais également m'excuser auprès de ceux qui m'auraient déjà entendu. La pédagogie est, parait-il, l'art de la répétition. Même si la pensée évolue, elle garde des bases strictes et il faut en repasser par là. La problématique « Sécurité et entreprises » est une problématique à la fois ancienne et systématiquement renouvelée en France, un pays où la relation entre entreprise privée et sécurité publique a toujours été marquée soit par l'hypocrisie, soit par la mauvaise foi, soit par le rejet culturel. Il y a certes des évolutions lentes mais importantes. Cependant elles se font dans des conditions complexes et avec une capacité à ne pas traiter directement et de manière volontaire le sujet essentiel de la relation entre l'Etat et l'entreprise privée, ses intérêts et ses obligations de sécurité publique, qui sont considérables. Tout ceci est malencontreusement est encore aujourd'hui marqué malgré quelques textes importants, notamment la LOPPSI, qui montrent les limites de l'exercice. Pour autant, il m'apparaît nécessaire de placer le contexte dans sa réalité et dans sa globalité. En la matière, la réalité d'aujourd'hui c'est que le crime n'est pas en récession, le terrorisme non plus, mais sous d'autres formes. Le crime profite de la crise, c'est même pour lui un booster économique et financier. Pour la première fois, l'Organisation des Nations Unies dans un rapport publié mi-juin, a enfin pris en compte la problématique du crime organisé comme un enjeu mondial du niveau des états et concurrent des états. De la même manière, Europol dans ses rapports sur la restructuration du crime organisé en Europe, a éclairé ce qui n'est pas une résurgence folklorique en Italie mais une réalité à l'intérieur dans chacun de nos pays, et au sein de nos pays, sur un certain nombre de territoires qui sont aujourd'hui des territoires à reconquérir. Il y a une difficulté majeure et l'entreprise est à la fois une cible et un modèle. C'est un modèle parce que les organisations criminelles ont décidé que l'entreprise libérale avancée, l'étalon du système capitaliste moderne était leur modèle. Le système criminel fonctionne aujourd'hui selon les règles de l'entreprise : intégration horizontale, intégration verticale, recherche & développement, initiatives pour le petit personnel, gestion des zones de chalandise, nouveaux produits, publicité. La gestion de la concurrence est sans doute un peu plus définitive que dans le monde économique classique, mais à part ça, il n'y a pas de différence. Il faut bien le reconnaître, Adam Smith avait raison, la main invisible existe ! Il n'avait cependant pas expliqué qu'elle était criminelle ! Cette réalité amène le secteur criminel aujourd'hui à avoir un produit intérieur brut ou un chiffre d'affaires équivalent à plusieurs milliers de milliards de dollars ou d'euros. D'après les statistiques du FMI, de l'Organisation des Nations Unies et de l'OCDE, entre 20 et 30% des réserves bancaires mondiales sont grises, ni blanches, ni noires – nous ne savons pas très bien les définir – pour deux raisons essentielles. Premièrement, l'optimisation fiscale est une jolie expression inventée pour définir la fraude fiscale, dans laquelle l'ensemble du secteur économique, entreprises et banques, françaises et étrangères, se sont engouffrées pour permettre une respiration fiscale à certains clients maltraités par le fisc ou se considérant comme tels, et le faisant pour des raisons qui sont traditionnellement celles que tout le monde connaît, y compris, la création de niches fiscales, qui elles-mêmes créent les conditions de cette optimisation. Il y a une optimisation grise à la marge du système qui permet aussi le blanchiment. Le problème c'est que le tuyau de l'optimisation fiscale aujourd'hui, pour légal qu'il soit, permet aussi tous les autres branchements, celui de la rétrocommission, celui du blanchiment, celui du financement du crime organisé, et bien évidemment, à une petite mesure certes, le financement du terrorisme. La réalité c'est que l'hypocrisie générale qui prévaut sur les questions de l'optimisation fiscale et du offshore est un problème majeur; Ce n'est pas un problème majeur uniquement aux Iles Caïman, aux Bahamas ou autres, mais aussi dans les Iles anglo-normandes, à Chypre ou dans ces certains territoires de l'Union européenne sur lesquels des parlementaires ont déjà émis des rapports circonstanciés et nombreux, dont aucun aujourd'hui n'a fait l'objet d'une mise en œuvre véritable par les états concernés. Les watch-listes qui concernent les états propres au blanchiment ne fonctionnent pas plus aujourd'hui qu'hier, y compris dans des états dont personne ne parle. Le plus grand dispositif offshore existant dans le monde est un dispositif inshore dans l'Etat du Delaware aux Etats-Unis, dont personne ne parle jamais comme s'il avait été marqué par une sorte d'extraterritorialité dans une autre dimension alors que probablement 50% de l'activité criminelle mondiale passe par cet état américain, Parangon de la lutte officielle contre le blanchiment et la fraude. La difficulté de ces explications est que dans ces territoires gris, les états s'en tirent à peu près en faisant une



démonstration de volonté, une grande déclaration formelle et officielle, un conclave à l'issue duquel sort une fumée qu'on ne saurait pas très bien clarifier car la situation des G8, G20 et autres réunions internationales fait que nous ne savons pas très bien ce qu'il en est entre la déclaration officielle et la mise en œuvre réelle, y compris la traduction de la déclaration officielle. La volonté existe, il faut le reconnaître et le souligner, mais au delà, la pratique réelle des flux internationaux de capitaux amène à considérer les évènements de manière diverse. Certaines entreprises se sont dotées de moyens ressemblant à ceux des état. Elles disposent de leur service de sécurité, de leurs organisations bancaires et financières, de leurs capacités de trésorerie, y compris inter-entreprises et montent un dispositif qui prend en compte un certain nombre de dures réalités, de ce qu'est l'export dans des pays où les règles morales ne sont pas développées, de pays où les règles morales sont très développées mais qui les oublient de temps en temps – la Grande-Bretagne n'a pas hésité à interrompre une investigation interne sur la vente d'avions militaires à d'autres pays dans le Golfe Persique. Les règles de l'OCDE sont formellement intéressantes mais techniquement flexibles. Les pays qui veulent suivre les règles sont les premières victimes, ceux qui disent vouloir les suivre sont les premiers à les contourner, et ceux qui ne suivent pas les règles dans une indifférence générale à quelques condamnations morales près. Mais les entreprises qui n'ont pas ces moyens, cette force, cette puissance, les entreprises qui vivent dans le monde réel, à la fois soumis aux dures réalités de l'activité économique et des règles officielles sont dans une situation plus complexe. Il y a un certain nombre de problématiques liées au changement de la nature des activités criminelles. Pendant longtemps, l'activité criminelle était une activité simple. On faisait cela et pas autre chose, c'était une activité marquée par la spécialisation, et un mode d'organisation très classique. Aujourd'hui l'hybridation est à la mode. Le dispositif change de nature à tel point qu'il est de plus en plus difficile d'identifier la nature de l'adversaire, de la menace ou de l'ennemi. Cette absence de définition nous amène mécaniquement à une difficulté majeure du même traditionnellement que celle de la rencontre chez le médecin où à peine êtes-vous arrivés pour une éruption cutanée qu'il faut a) une amputation immédiate b) ne surtout pas s'en occuper parce que ce n'est pas grave, et ce sans même vous ausculter. Or, même en période de RGPP, le diagnostic est une chose utile. Il n'est pas indispensable d'y passer des semaines mais il est nécessaire d'avoir une petite vérification du sujet car si l'éruption cutanée est due à un fruit mal lavé, l'amputation est peut-être exagérée. Si c'est le signal d'un cancer foudroyant, la camomille ne sera pas efficace. La difficulté générale des problématiques que nous rencontrons dans l'entreprise comme dans l'appareil d'état, est relativement simple : soit nous le savions déjà, soit ce n'est pas possible et ne peut pas arriver – du moins ne peut pas nous arriver. Ces deux modes de négation sont extrêmement répandus, à tel point qu'il suffit de lire le journal pour découvrir tous les matins, y compris dans de très grandes entreprises, des modes de gestion de la crise ou de négation du réel absolument formidables. Le dernier exemple est British Petroleum mais il y en a une série d'autres, y compris aux couleurs nationales. Il y a un curiosité dans cette incapacité culturelle à voir la réalité et de ce fait, à ne pas se préoccuper du diagnostic mais à rester dans les docteurs thérapeutiques : les spécialistes de l'homéopathie – avec un peu de camomille, tout va bien – les spécialistes de la chimie – quelques pilules et ça repart – les spécialistes de la chirurgie – une amputation et ensuite nous discuterons. Rares sont ceux qui vous expliquent ce dont vous souffrez. Cette problématique générale qui vise autant la culture de l'entreprise que la culture de l'Etat en France est un enjeu majeur dans la mesure où tout change, tout change vite, tout change très vite et en contrepartie, les classiques sont toujours là. En réalité la nouvelle criminalité n'est pas nouvelle. C'est l'ancienne plus quelques évolutions technologiques mais le fait d'oublier les fondamentaux ne facilite pas la vie. L'entreprise est devenue une cible. Auparavant, c'était l'entreprise, centre de production, l'espace où se crée de la richesse, le brevet, l'outil, etc. dans l'entreprise était volé de l'argent, des outils, des puces électroniques, des ordinateurs, des chocolats, des spiritueux. Le fret était autant attaqué que l'usine. Maintenant c'est le virtuel, l'image qui est attaqué. Ce qui est au cœur de la stratégie de la valorisation immatérielle de l'entreprise tout autant que ses expatriés, ses centres de production, ses gisements u son service informatique. Cette réalité est au cœur de la nouvelle modification de l'approche qui doit être celle des nouvelles menaces d'une manière relativement exceptionnelle et spectaculaire depuis le 11 septembre. Le 11 septembre nous a montré que l'entreprise virtuelle était devenue une cible car rien ne se produisait au World Trade Center qui était cependant le symbole du mouvement, de la dynamique, du transport, de la liaison, de la bourse, de la valorisation, du tourisme, de l'argent. C'est cette dimension symbolique qui est au cœur des crises virtuelles qui nous frappent aujourd'hui. Le deuxième élément, c'est que lors du lancement d'un plan de relance économique, lorsque beaucoup d'argent est insufflé dans l'économie, les premiers profiteurs de ce dispositif qui allège les contraintes et les règles sont bien évidemment les organisations criminelles et en leur sein, les rares mais puissantes organisations mafieuses. Elles continuent à profiter le plus du surinvestissement qui existe aujourd'hui dans l'ensemble du système, et ce avec d'autant plus de facilité que lorsqu'elles perdent de l'argent comme tout le monde lorsque les bourses s'effondrent, leur capacité à le récupérer est beaucoup plus efficace que personne d'autre. Lorsque vous vous adressez à un trader maladroit pour lui expliquer que malheureusement il faudra rembourser les pertes parce qu'autrement le parcours de ses enfants sur le chemin de l'école risque d'être perturbé, c'est un élément sensible. Je ne vous parle pas de ceux qui utilise des produits qui ne sont pas systématiquement naturels pour augmenter leur capacité de production dans le back-office ou ailleurs. Il y a une problématique criminelle sur l'économie dérégulée que personne n'a vu venir et qui est pourtant au cœur de la réalité. Je le dis avec d'autant plus de facilité qu'il ne s'agit pas de prédire des évènements qui auraient pu se produire, mais de prendre la liste des faits divers de ce qui s'est produit, de la fausse officine des agents de change jusqu'à l'annonce truquée de la mort d'un grand patron américain, visant à spéculer sur la baisse du titre pour gagner



beaucoup d'argent. Il y a une réalité de l'activité criminelle, une structuration de l'activité criminelle qui devient une réalité physique, à tel point qu'elle devient une règle puisque si je venais vous proposer d'acheter un cocktail de dérivés de fonds basés sur rien mais qui rapporte beaucoup, votre réaction naturelle, eu égard à l'idée que vous vous faites de la préservation de vos économies, serait de ne pas investir chez moi. Pourtant vous le ferez tous par un simple mécanisme qui s'appelle l'appât du gain et cela crée une magnifique madofferie qui semble surprendre tout le monde alors qu'elle a duré presque 20 ans, surfant sur un processus général d'augmentation d'une valeur fausse à tel point, que nous ne savons pas encore aujourd'hui quel a été le coût de cette crise. La réalité des problématiques criminelles ce n'est pas que nous savons pas ce qui se passe mais que nous ne voulons pas le savoir. Ce n'est pas que nous ne voyons pas les choses mais que nous ne voulons pas les voir. Nous avons une difficulté culturelle majeure à accepter la réalité simplement parce qu'elle nous dérange. Nous ne l'acceptons pas parce que nous ne voulons pas l'accepter et parce qu'elle va perturber notre mode d'organisation face à la réalité, peut-être même, si vous êtes en situation sensible par rapport à ces évènements, qu'elle pourrait accélérer la survenue d'un drame. S'occuper d'un sujet oblige à le traiter d'une manière structurée, ce qui a peu d'effet sur le hasard. Mais la réalité est que le fait de se préparer à un événement, n'empêche pas l'évènement de survenir, il permet simplement d'y survivre. Cette réalité est au cœur d'une démarche d'entreprise relativement rare même si elle s'est développée, et je salue l'activité du CDSE ou de l'IERSE, désormais intégré dans l'INHESJ. Ces deux structures ont été parmi les rares à prendre en main la destinée de certains responsables sécurité des entreprises, le CLUSIF l'a fait pour des problématiques plus particulièrement liées à l'informatique dans l'indifférence générale à un moment où les organismes lents et lourds avaient de grandes difficultés à se projeter dans l'avenir. La difficulté c'est que nous sommes aujourd'hui face à deux préoccupations majeures. La première c'est de poursuivre cet effort culturel d'acceptation du réel, de prise en compte de la menace telle qu'elle l'est et non telle que nous voudrions qu'elle soit, d'acceptation de l'information, construisant une réalité réelle parfois différente de la réalité fantasmée qui est la nôtre. La deuxième difficulté est d'éviter le fétichisme technologique, cette capacité merveilleuse à considérer qu'un outil est en même temps la solution, la réponse au problème et pourrait également remplacer le facteur humain, la réalité, la probabilité, la survenance, etc. Or nous sommes marqués par ces évènements, à tel point que nous passons notre temps à vouloir mettre en place des outils qui ne répondent pas à la question qui se pose, simplement parce que nous avons un outil sous la main qui devrait rassurer les populations. C'est vrai pour l'Etat, c'est vrai pour les entreprises. C'est vrai du bioscan, dont on se demande en quoi il répondrait à la problématique de quelqu'un qui aurait un explosif en poudre ou liquide sur lui-même puisqu'il n'est pas fait pour repérer les explosifs, à toute une série d'autres dispositifs qui sont mis en place alors qu'ils n'ont pas vocation à répondre mécaniquement au problème. La problématique générale de l'activité criminelle est un peu la même que celle de la pêche à la ligne. Si vous sortez de cet amphithéâtre avec la plus belle canne à pêche du monde, un filin de compétition et un asticot olympique, et que vous vous postez devant le 101 rue de l'université, vous ne mangerez pas grand chose ce midi. Si vous avez un bout de bâton, une vieille ficelle et un asticot neurasthénique, que vous demandez à Jacques Myard le point le plus poissonneux de sa circonscription, vous feriez un festin. L'outil n'est pas le même mais l'important c'est la localisation. Or nous sommes des spécialistes de la compilation contre une logique d'analyse. Nous aimons les watch-list, nous voulons enregistrer, écouter et entendre tout ce qui se passe, comme si le fait de connaître 150 milliards d'e-mails, de sms, de coups de téléphone internationaux pouvait aider à détecter quelque terroriste que ce soit. Cette réalité n'existe pas. Ces outils sont utiles pour valider ou invalider une intuition. Ils ne la remplacent pas. Il y a une chance dans le système français, c'est la culture de la DST devenue DCRI, liée à une histoire coloniale très marquée qui vaut pour la France comme pour la Grande-Bretagne, c'est la capacité d'avoir du renseignement humain de qualité, qu'il soit efficace. Cela a donné un certain nombre de résultats dans la lutte antiterroriste. Cela n'empêchera probablement pas un événement de survenir un jour, mais cela en a empêché beaucoup et le stock de terroristes ou de terroristes présumés dans le système pénitentiaire français est suffisamment important pour montrer l'efficacité et la qualité du dispositif. En contrepartie, les entreprises n'ont pas cette compétence ni cette capacité. La difficulté majeure aujourd'hui est dans ce lien qui doit exister entre le service public et les enjeux privés. Il ne s'agit pas d'un lien où les services publics sont à la disposition des entreprises, deviennent des éléments supplétifs, perdent leur culture, qui est celle de l'importance de l'intérêt supérieur de l'Etat et de la Nation. Il s'agit de la capacité à éviter ou à mettre fin à la vente en soldes du carnet d'adresses d'un certain nombre de serviteurs de l'Etat, se réinsérant dans le système de l'entreprise, non pas en fonction de leurs compétences et de leurs capacités, ce qui serait juste et légitime, mais en fonction de l'idée que l'on pourrait avoir de leur capacités à faire sauter les contraventions ou à obtenir des renseignements illégaux dans des conditions inadmissibles. Le problème, c'est que l'entreprise se fait prendre parce que les fichiers sont de mieux en mieux protégés. De plus, le fait de le faire pour des raisons mercantiles devrait amener l'ensemble de ces personnels, en activité comme en retraite, directement à la case prison. Tout le monde doit comprendre que l'idée que l'impunité existe est terminée. La démonstration en est faite tous les jours dans les journaux mais elle est faire dans la réalité physique de ce que sont un certain nombre d'enquêtes et d'investigations. Enfin, il y a une nécessité de créer un guichet public permettant aux entreprises privées d'avoir un interlocuteur clairement identifié pour mettre fin au



perruquage et à l'utilisation détournée de compétences pour répondre à des questions légitimes. Certaines questions que se posent les entreprises sont parfaitement légitimes et répondent aux préoccupations qui sont les leurs pour lutter contre le blanchiment, identifier leurs interlocuteurs étrangers pour savoir s'ils sont fréquentables, etc. Elles ne le peuvent pas sans avoir de compétences, lesquelles existent dans le privé du point de vue de l'analyse et sont nécessaires et utiles, et elles existent dans les services publics du point de vue de l'information. Il y a une différence fondamentale entre la collecte d'informations illégales par les entreprises qui doivent être sévèrement punies et l'ouverture d'un guichet public clairement identifié, comme cela se fait dans les pays anglo-saxons, permettant aux entreprises d'avoir un interlocuteur clairement identifié, légalement capable, et permettant de leur dire – même s'ils n'ont pas obligation de leur écrire de manière systématique! - que celui-ci ou celui-là est plus ou moins fréquentable et que tous les oligarques ne sont pas des criminels. Certains sont tous aussi fréquentables que certains hommes d'affaires français, partis de rien, qui ont réussi par leur jugeote, leurs capacités, leur audace, leur volonté. Le crime n'est pas partout. Pour être criminologue, je tiens à préciser qu'il y a des limites à l'exercice de cette profession même si elle a vocation ces temps-ci à une certaine inflation. La réalité c'est que dans les entreprise privées, les anciens font de l'analyse au lieu de faire du renseignement et de la revente de listes d'anciens collègues permettant d'obtenir illégalement ce qu'ils ne peuvent obtenir légalement – et je conçois que cette tentation existe – mais il est possible d'y arriver! Il faut sortir de la compliance et de la monochromie susytémique. L'importation des Etats-Unis du système de compliance a montré son extraordinaire efficacité dans la dernière crise bancaire, puisque chacun avait sa règle de compliance, de la page 1 à la page 398 – et la réalité doit s'insérer dans les 398 pages avec des normes, des numéros, des nomenclatures, qui ne fonctionnent pas puisque la réalité vit, elle est ce qu'elle est et d'ailleurs, elle gagne toujours. Il faut sortir de cet univers normé qui vise à empêcher la pensée, la réflexion, l'imagination, l'intuition. Sinon ces éléments couleront l'entreprise – celles qui existent comme celles à venir. L'idée de n'avoir qu'un outil de validation d'une non-intuition ne fonctionne pas. Miraculeusement de temps en temps vous pouvez faire semblant, mais ce n'est pas la réalité. Tous ces éléments existent, et c'est important notamment à l'occasion de ces Rencontres mais aussi lors d'échanges qui existent avec l'INHESJ, le CDSE, et d'autres clubs ou forums de responsables de sécurité des entreprises, mais pas seulement car cela concerne aussi les élus. Nous sommes dans un espace où le brevet, le chiffre d'affaires, le fait d'être un gros contributeur fiscal, l'emploi, sont des éléments majeurs qui nécessitent de défendre un certain nombre d'entreprises françaises à taille mondiale ou de petites entreprises ayant des niches technologiques tout à fait majeures et aujourd'hui parfaitement invisibles dans la manière dont sont structurés les dispositifs d'aide mais aussi de support. La DCRI le fait de mieux en mieux mais nous n'en sommes aujourd'hui qu'à des balbutiements de la relation qui doit exister entre le privé et le public tant du point de vue culturel que du point de vue structurel. Evidemment, je pourrais rappeler toutes les catastrophes antérieures ou les annonces écoutées avec un sourire moqueur, narquois, suffisant ou méprisant comme toujours dans le monde de la Banque française, vis-à-vis d'informations sur la fragilité de Dubaï ou la capacité à long terme de produire 10 à 15% de retour sur investissement quand vous êtes un fond, alors que la réalité économique dit que 5% c'est déjà très bien. Nous sommes aujourd'hui au cœur d'une crise, qui n'est pas, contrairement à ce qui est souvent dit, une surprise stratégique, mais de l'aveuglement stratégique : la capacité à savoir des choses et à ne pas les accepter. Il y a de l'aveuglement aveugle, un état culturel, de la désinformation. Jacques Myard a d'ailleurs fait sur cette question un rapport remarquable, difficile à sortir, car il ne faut pas parler des choses qui fâchent, ni de la réalité qu'est un événement particulier qui touche tout l'Occident en même temps et qui est la crise de la pensée stratégique, ce moment particulier où nous avons les meilleurs tacticiens du monde et plus aucun stratège, ces personnes capables de protéger dans les meilleures conditions, sans savoir pourquoi, cette pièce de haut en bas, alors même que nous pouvons nous demander si l'intérêt général c'est que le Centre de commandement et de gestion de crises soit bien ici plutôt qu'ailleurs. Ces éléments-là ont disparu parce que depuis Gallois ou Aron, la pensée stratégique a été annihilée par une pensée plus forte qui a parfaitement fonctionné pendant un demi-siècle, qui était celle de la dissuasion nucléaire. Le fait de ne pas discuter de la dissuasion nucléaire est un enjeu de la dissuasion elle-même. Les revues de pensée stratégique ont disparu, la dissuasion nucléaire répondait à tout, la Sécurité était globale parce que la Défense était globale. Ceci a parfaitement fonctionné jusqu'en 1989. A la chute du mur de Berlin, l'ennemi rouge est devenu l'ennemi jaune – vert ou rose, mais le même. D'un coup, l'ennemi a changé de nature, il est devenu infra-étatique, asymétrique. Quelle bombe nucléaire avons-nous lancé sur ce que nous croyons appelé Al-Qaïda alors qu'il a attaqué au cœur de la capitale fédérale du pays le plus puissant au monde, au cœur de sa capitale économique et dans des conditions qui ont amené à faire la chose la plus intéressante, le sujet le plus curieux, l'invasion de l'Afghanistan ? L'invasion pour libérer l'Afghanistan des Talibans mais aussi l'invasion avec occupation du territoire et les effets que nous connaissons sur les épisodes successifs, notamment la situation irakienne. Ces éléments ne sont pas particulièrement réfléchis. Ils ne le sont pas alors qu'ils sont des enjeux pour les entreprises – ces pays sont aussi des marchés. La question de la présence, ou de la non-présence, à la fois dans la partie militaire et dans la partie civile, sont des enjeux. Si nous ne savons pas ce qu'il s'y passe, ce qu'il va s'y passer, ni comment ça fonctionne, nous ne pouvons pas beaucoup progresser. Or notre système public comme notre système privé est de considérer que les penseurs atypiques doivent être éliminés, au mieux, installés entre les lieux d'aisance et la photocopieuse, au pire, la porte est ce qu'il y a de mieux pour eux. La discipline du système empêche l'émission de pensées atypiques, le fait de prendre en compte des réalités qui peuvent



perturber, le fait de perturber le système parce qu'il va devoir y répondre. Du coup nous n'y répondons pas. De l'affaire préalable au 11 septembre jusqu'à aujourd'hui, clairement une liste ininterrompue de cas où nous savions tout ou à peu-près tout, mais où nous avons décidé de rien faire parce que nous ne voulions pas y croire, a été au cœur de la démarche de la réponse. Cette démarche est aussi suicidaire pour le secteur privé que pour le secteur public. La France a décidé de s'y prendre d'une autre manière, d'autres pays se sont intéressés à la chose. Le renouveau de la pensée stratégique est un enjeu qui doit irriguer du bas vers le haut, personne ne décidera de ce renouveau d'en-haut, mais le fait de pousser les personnes qui s'interdisent de penser ou de publier des choses bizarres est aujourd'hui essentiel. C'est vrai pour le secteur privé, c'est encore plus vrai pour le secteur public. La démarche existe, nous en verrons les résultats. Il y a des enjeux. Ces enjeux sont au cœur d'une démarche volontaire qui associe les meilleurs esprits du privé et les meilleurs esprits du public car il y a du bon des deux côtés, afin de faire passer un message qui permette non pas de hiérarchiser les menaces - les menaces se hiérarchisent dans une logique du sur-mesure et non pas du prêt-à-porter – mais de déterminer les enjeux. Nous voyions arriver la crise de la dette souveraine il y a quelques mois, et pourtant tous les journaux expliquaient que cela n'arriverait pas, jusqu'à la Grèce et vous voyez la situation dans laquelle nous sommes aujourd'hui. Quelques experts, quelques économistes, ont vu arriver la crise de la madofferie mais personne n'y croyait, même lorsque la crise a été dénoncée auprès des organismes de régulation de la Bourse américaine. Nous voyons arriver une série d'évènements. Ils ne sont pas incroyables. Ils ne sont pas impossibles. Mais nous avons décidé que le moment n'était pas encore venu de les prendre dans leur réalité. Ces évènements vont impacter les états comme les entreprises, les peuples comme les salariés, les actionnaires comme les dirigeants. Rien n'empêche de s'y préparer. Rien n'empêche même de penser que peut-être le fait de s'y préparer pourrait en atténuer la durée, la longueur, l'ampleur. Évidemment, nous pourrions nous lancer dans des épisodes intéressants. Pour ceux qui aiment la science-fiction, dans Fondation, un des piliers de la science-fiction moderne, Isaac Asimov crée un dispositif secret visant à sauver la planète qui dure cinq longs épisodes et charge un psycho-historien de le mettre en place. Celui-ci dit qu'il ne peut pas empêcher les crises - qui arrivent parce qu'elles arrivent - mais qu'il a une influence sur leurs effets. Soit il ne fait rien, et les crises vont durer très longtemps, soit il fait quelque chose et il pourra ainsi beaucoup réduire l'ampleur, la durée et l'intensité de la crise. La question c'est de le vouloir. C'est exactement la même chose aujourd'hui dans la relation privé-public sur l'apparition des crises à venir. C'est déjà trop tard pour les crises qui sont déjà là. La question est simplement de savoir comment la gérer. Toutes celles qui sont à venir sont déjà connues. Il suffit d'y croire, de les accepter et ensuite de décider de la hiérarchie propre à la gestion de cette crise. Je conclurai en citant le maître des criminologues, notre chef à tous, Sherlock Holmes : « Une fois l'impossible supprimé, ce qui reste, même invraisemblable, doit être la vérité ». Pour l'époque, c'était assez facile, « ce qui reste, même invraisemblable », c'était chercher la femme ! Une option qu'il ne fallait pas sous-estimer. Pour des raisons étranges, ce qui est vrai en matière criminologique, n'est pas vrai en matière terroriste : si c'est invraisemblable, cela ne peut pas être possible, donc nous éliminons. Si j'étais ici le 10 septembre 2001, je vous dirais voilà ce que nous savons : Narodnaya Volya, la grande organisation terroriste russe avait décidé de détourner un avion vers la fin du 19ème siècle, de le remplir de bombes et de le faire s'écraser sur le palais impérial. C'est un fait historique. Nous savons également que des avions sont détournés depuis 1928. Nous savons qu'en 1994, le détournement de l'airbus Alger-Paris était une répétition générale visant, non pas à libérer des militants islamistes emprisonnés mais à le faire s'écraser entre le couloir de la chimie et la banlieue parisienne. Nous savons que l'attentat du World Trade Center, le premier, est organisé par Ramzi Youssef, une sorte de mercenaire bienveillant pour Al Qaïda, mais pas particulièrement islamiste, et qui a dit « Je reviendrais! ». Quand un terroriste dit qu'il va revenir, écoutez-le, ça peut arriver! Le même a été pris en 1996, à Manille, aux Philippines, en train d'organiser l'opération de Bojinka qui visait à détourner une vingtaine d'appareils américains et à les faire s'écraser au sol, dans la mer, ou exploser en l'air. Nous avons enfin – c'est la partie sans doute la moins publique mais elle n'était pas secrète – que des étudiants en pilotage étaient entrés aux Etats-Unis et que l'un au moins avait expliqué à son moniteur, longtemps avant l'attentat du 11 septembre, que ce qui l'intéressait c'était d'apprendre à décoller parce qu'atterrir, il n'en n'avait que faire. Moi j'ai plutôt la préoccupation inverse voyez-vous ! Voilà ce que nous savons! Je vous aurais alors dit qu'il n'était pas impossible d'imaginer qu'il pourrait y avoir un attentat organisé en détournant des avions, en les faisant s'écraser au sol, et pourquoi pas au World Trade Center. Ce serait de l'analyse, sans aucune information secrète. A ce moment précis, les auditeurs se seraient dit que j'avais besoin de repos et deux messieurs habillés en blanc m'auraient embarqué pour une séquence de remise en forme. Le lendemain après-midi, les deux-mêmes seraient venus m'expliquer que je n'étais pas gentil de ne pas avoir essayer de les convaincre puisque je savais des choses - que je ne sais pas ! Mon rôle n'est pas d'être un agent de renseignement, je ne fais pas de la collecte d'informations, pas plus pour le secteur public que pour le secteur privé, j'en fais de l'analyse. Je prends des informations et je dis ce qu'elles m'indiquent. Est-ce vraisemblable, invraisemblable, possible, impossible ? C'est un métier qualitatif, celui où opérateurs publics et privés – publics ayant en plus la collecte de l'information et pouvant la valider ou l'invalider, privés ayant la capacité d'invention, de possibilité de voir autre chose, même si ça n'arrive pas. La réalité est là, nous savons à peu près tout de ce qui va nous arriver. Nous ne sommes pas obligés de le clamer, de terroriser les populations mais nous sommes en revanche obligés, parce que c'est une impérieuse nécessité, de le dire à des interlocuteurs qui ont la capacité de décider s'il faut en tenir compte et s'ils veulent en tenir compte les effets que cela peut, ou pas, avoir. Il est assez facile d'imaginer les lieux les plus vulnérables pour un attentat que nous ne



protégeons pas parce que nous avons décidé que nous serons purement réactifs. Nous savons quelles sont les limites de l'exercice qui est une gesticulation inutile mais nécessaire, voire indispensable. J'en suis l'un des créateurs, je le dis donc avec d'autant plus de facilité! C'est une autocritique, et encore! Je ne suis pas sûr qu'elle soit si critique que cela par rapport à l'enjeu que cela représente. La réalité du système c'est la qualité du renseignement public, du partage, de l'ouverture et du dialogue qui doit exister entre le privé et le public, c'est la capacité pour le secteur privé comme pour le secteur public à prendre en compte l'anticipation, la prévention, la prévision, la simulation des évènements, pas pour les écarter d'un revers de main, comme s'ils n'allaient jamais arriver, mais pour les prendre en considération parce qu'il est possible qu'ils arrivent, même s'il n'est pas indispensable de s'y préparer, soit parce qu'on ne le peut pas, soit parce que ce n'est pas son rôle, soit parce que le coût en est trop important. La différence entre les Européens, et particulièrement les Français, et les Américains sur ces questions, c'est qu'en France, c'est culturel, cela ne peut pas nous arriver, aux Etats-Unis, c'est trop cher de s'y préparer. Ce n'est pas la même chose car la dimension de l'acceptation du réel n'a pas la même importance. Dans ce type de Rencontres, ce qui est important, c'est la capacité à voir l'avenir, à s'y préparer et surtout à prendre en considération les éléments de la réalité, sortir de la compilation, allez vers l'analyse, travailler ensemble, faire remonter la compétence de chacun sur la capacité de voir l'avenir, accepter les atypiques – mauvais pour les carrières mais extrêmement important pour la survie des institutions. C'est ce à quoi je me permets de vous engager aujourd'hui : faites en sorte que vos compétences et votre expérience individuelles, votre connaissance des faits, votre analyse du terrain ou votre compétence intellectuelle au sens philosophique du terme, puisse être utile à voir un avenir comme il est et pas à l'imaginer comme vous voudriez qu'il soit – en général, à part dans les rêves, cela ne fonctionne pas très bien !

Première table ronde

Quelle politique du Renseignement au service de l’entreprise ?

Animateur : Jacques MYARD, Député des Yvelines, membre de la Délégation Parle-

mentaire au Renseignement

Eric DENECE, Directeur du Centre Français de Recherche sur le Renseignement

Général de brigade Georges LISSOT, Directeur adjoint « Opérations » de la Protec-

tion de la Sécurité et de la Défense

Pascal TEIXEIRA DA SILVA, Ministre plénipotentiaire, Directeur de la Stratégie à la

Direction Générale de la Sécurité Extérieure



PREMIERE TABLE RONDE

QUELLE POLITIQUE DU RENSEIGNEMENT AU SERVICE DE L’ENTREPRISE ?

Animateur : Jacques MYARD, Député des Yvelines, membre de la Délégation Parlementaire au Renseignement Eric DENECE, Directeur du Centre Français de Recherche sur le Renseignement Général de brigade Georges LISSOT, Directeur adjoint « Opérations » de la Protection de la Sécurité et de la Défense Pascal TEIXEIRA DA SILVA, Ministre plénipotentiaire, Directeur de la Stratégie à la Direction Générale de la Sécurité Extérieure

Jacques MYARD

Ce matin nous allons nous interroger sur la politique du renseignement au service de l'entreprise. Lorsque j'ai reçu ce programme, je me suis dit que jusqu'à présent, nous parlions d'intelligence économique au service des entreprises, c'est-à-dire la capacité d'une entreprise d'analyser le monde dans lequel elle évolue, et de prendre le créneau avec un certain nombre d'informations qui sont d'ailleurs tout à fait ouvertes, pour définir une stratégie industrielle, ce qui doit être fait à de multiples reprises et en fonction du pays dans lequel l'entreprise en question doit s'implanter, exporter, etc. En France jusqu'à présent, la liaison entre l'entreprise et nos services de renseignement avait toujours été un peu occultée, alors que nous savons que dans certains pays, la connivence entre les services officiels de renseignement et les industriels est avérée. Nous le savons, nous l'avons parfois appris à nos dépens. Des informations futiles que nous laissons traîner sont récupérées par ces services et mises à disposition de vos concurrents. C'est une réalité que nous devons pas occulter et je me félicite que nous sortions de la langue de bois, de l'hypocrisie et que nous nous interrogions sur cette donnée, une donnée internationale, incontournable, et que nous rencontrons, pour ceux qui s'intéressent à la politique étrangère de la France, à de nombreuses reprises. Quelles sont les menaces auxquelles doivent faire aujourd'hui les entreprises qui nécessitent le développement de pratiques de renseignement ? Le renseignement est-il nécessaire pour nos entreprises à l'exportation et à l'international ? Eric DENECE Il l'est bien sûr et cela va bien au delà de l'intelligence économique. Nous pouvons identifier quatre types de risques qui conduisent les acteurs économiques à faire appel à des pratiques ou des méthodes qui viennent du renseignement; Le premier c'est ce que nous appelons les risques géopolitiques dans notre domaine, ce que les assureurs appellent les risques spéciaux. C'est l'ensemble de l'impact de l'évolution de la géopolitique mondiale sur les activités de l'entreprise. Au premier rang de ces menaces, le terrorisme : comment le terrorisme islamique impacte l'implantation d'une entreprise à l'étranger, l'ouverture d'un bureau, le transport maritime, etc. ? Sur ce premier volet, nous sommes, au delà du principe de concurrence, sur la prise en compte nouvelle, avec une importance beaucoup plus marquée que ces dernières années, du facteur géopolitique dans la conduite des affaires extérieures de l'entreprise. Deuxième volet, le risque criminel. La part de l'argent criminel dans le monde représente 20% de la richesse privée mondiale, entre 1 000 et 2 000 milliards de dollars selon les sources. Le crime cherche à pénétrer l'entreprise pour s'y livrer à des activités légales et des activités de blanchiment. Les acteurs économiques ont donc besoin de pratiques du renseignement pour l'identification de partenaires, de l'origine des fonds pour savoir avec qui ils vont travailler, mais aussi pour se prémunir de l'entrisme, du kidnapping, de la criminalité, de la piraterie maritime. La notion de renseignement se développe donc sur des activités criminelles. Troisième type de risque, les risques concurrentiels. C'est tout ce qui relève de l'intelligence économique, c'est-à-dire la concurrence entre entreprises et avec des acteurs non étatiques comme les ONG. Quatrième type de risque qui apparaît et qui nécessite le recours à une forme de renseignement au service de l'entreprise, il s'agit des risques sociétaux. Afin d’y faire face, il faut développer des pratiques de renseignement de type RG, afin que nos entreprises soient capables d'anticiper les risques liés aux évolutions des comportements dans



nos sociétés postindustrielles. C'est le risque islamiste sous sa forme sectaire : comment les entreprises de la grande distribution, du transport et du gardiennage sont infiltrés par des islamistes qui ne sont pas des terroristes, pas des criminels, mais qui sont là pour changer les règles du jeu. Ce sont également toutes les sectes qui viennent des Etats-Unis : sectes animalistes, sectes éco-terroristes, qui représentent pour l'activité des entreprises un véritable risque de déstabilisation qui peut aller jusqu'aux attentats. Pascal TEIXEIRA DA SILVA Les quatre catégories décrivent bien les menaces sécuritaires auxquelles les entreprises sont confrontées. D'abord, les personnels expatriés sont des occidentaux, qui sont des cibles en temps qu'occidentaux, notamment du terrorisme djihadiste. Tout occidental est une cible potentielle. Ensuite, elles sont une source de richesse, donc tous les prélèvements illégaux, criminalité ordinaire comme la piraterie, la piraterie informatique, etc. visent les entreprises. Elles sont également visées parce qu'elles sont le symbole de la globalisation occidentale, qui est honnie par un certain nombre de gens. Enfin, elles peuvent être perçues comme liées à des régimes en butte à des oppositions politiques ou idéologiques. Dans un certain nombre de cas, soit de contestations politiques locales, soit de rebellions ou de sécessions, les entreprises sont visées parce qu'on essaye de les dissuader d'investir pour assécher les ressources d'un régime contesté, soit parce qu'en cas de sécession, on estime qu'elles participent à la spoliation, qu'elles sont l'instrument de la spoliation dont certaines ethnies s'estiment victimes. Voilà quatre raisons pour lesquelles les entreprises sont ciblées. Je rajouterais une préoccupation qui ne rentre dans aucune catégorie mais qui est un petit risque, qui ne vise pas toutes les entreprises et qui est lié à quelque chose de peu évoqué dans ce cadre-là. C'est la prolifération parce que les entreprises, notamment occidentales et qui détiennent des technologies duales, sont volens nollens l'objet d'attentions particulières de la part des pays proliférants. Certaines savent ce qu'elles font et violent délibérément les règles mais la grande majorité est victime inconsciente de stratégies parfois extrêmement sophistiquées de la part des états et des réseaux proliférants. Les entreprises doivent essayer de s'en prémunir et être particulièrement vigilantes, notamment en appliquant bien toutes les règles en matière de contrôle des exportations et le régime des biens à double usage. Leur réputation peut être mise en jeu, si à un moment nous voyons qu'une entreprise a été engagée dans quelque chose, sans avoir une idée précise de ce que sera l'utilisation finale ou l'utilisateur final. Jacques MYARD

Je crois reconnaître un certain nombre de préoccupations majeures des états occidentaux car nous savons que les produits à double usage sont convoités à l'insu de l'entreprise. Le travail qui est fait sur la prévention et l'alerte fonctionne plutôt bien me semble-t-il. Qu'apporte le renseignement à l'entreprise ? Est-ce que les entreprises savent exploiter le renseignement qui leur arrive ? Nos entreprises sont-elles enclines à rechercher du renseignement et à l'exploiter correctement, c'est-à-dire à avoir l'information et à la mettre en œuvre ? Eric DENECE Globalement non même s'il y a des exceptions qui confirment la règle. Avec les élites économiques, il y a le même problème qu'avec nos élites politiques : il y a un manque de culture sur le renseignement. Ce qui n'est pas enseigné dans nos grandes écoles d'administration ne l'est pas plus dans nos grandes écoles de commerce, sauf depuis une dizaine d'années. Mais avant que les dirigeants qui parviennent aux affaires aient cette culture du renseignement, il y a encore quelques années à attendre. Notre discours sur l'intelligence économique et le renseignement, qui a été extrêmement popularisé, reste un discours idéologique. Nous avons publié plus de livres, d'articles et fait de colloques en France que les Etats-Unis et le Canada réunis ! C'est merveilleux de travailler avec les Américains parce qu'eux écrivent et publient une fois qu'ils sont passés à l'action, pour formaliser. Ils analysent ce que nous faisons en France, en se disant : les Français sont très forts, s'ils ont autant de colloques, de diplômes, de publications, si les Chambres de commerce aident autant les entreprises, c'est que derrière, il doit y avoir une machine de guerre. Or c'est l'inverse. En France, nous aimons concepts et abstractions, nous écrivons et publions, et cela nous exonère souvent de passer à l'action. Je suis délibérément un peu négatif parce que malgré les énormes efforts qui ont été faits, et qui doivent être salués, nous sommes encore dans un désert relativement peu peuplé d'oasis verdoyants. Jacques MYARD Mon Général, votre présence peut susciter quelques interrogations. La DPSD est un service de renseignement dans l'appareil d'Etat mais spécifique dans le domaine des armées. En quoi votre travail et les entreprises se rencontrent-ils et comment le travail de votre service et la vie des entreprises peuvent avoir des interfaces, voire des



connivences ? Général de brigade Georges LISSOT La Direction de la Protection de la Sécurité de Défense est un service de renseignement et de sécurité qui dépend directement du ministre de la Défense. C’est le service de contre-ingérence (contre-espionnage, contre-terrorisme, contre-subversion) du ministère de la Défense, au même titre que la DCRI pour le « monde civil », mais sans en avoir les capacités judiciaires. C'est un service de renseignement et de sécurité préventif, qui agit en amont pour prévenir les atteintes aux intérêts de la Défense. Rentrent dans son domaine de compétence les organismes militaires mais également les entreprises qui travaillent pour la Défense. C'est donc un domaine bien circonscrit mais qui rejoint parfois les prérogatives de la DCRI : les grands groupes ont bien souvent des activités duales. La DPSD s’intéresse au volet militaire de l’activité de l’entreprise, c'est-à-dire essentiellement à la protection du secret de la Défense nationale lié à la fabrication des armements dans le cadre d’un contrat. La DPSD s’intéresse à l'entreprise depuis des décennies. Il s’agissait initialement de grandes entreprises d'armement étatisées. Elle exerçait une fonction régalienne de contrôle et d’inspection. Puis, progressivement, avec la privatisation, les grands groupes se sont tournés vers le cœur de leur métier, c'est-à-dire essentiellement la finance et l'architecture d'armement ; ils ont laissé aux PME le volet industriel : la fabrication de l'armement. La légitimité de la DPSD était initialement de s'assurer que les secrets de la Défense nationale, détenus par les grands groupes pour construire des programmes d'armement, étaient bien protégés. Durant la Guerre Froide, il fallait s’opposer à l'espionnage d’origine étrangère. Aujourd'hui, nous ne sommes plus exactement sur ce portage. Au-delà du secret de la Défense nationale lié aux programmes d’armement, il s’agit également de protéger le patrimoine scientifique et technologique, les savoir-faire et les informations stratégiques qui sont détenus dans les PME en tant que sous-traitants des grands groupes. La DPSD dans le cadre du suivi des grands programmes d'armement doit s'intéresser à toutes ces ramifications des entreprises. Sur le terrain, nos agents croisent les autres services de l’Etat : les militaires de la Gendarmerie qui sont, dans leur zone géographique de compétence, au contact des petites entreprises plutôt sur le segment de la sécurité publique (prévention des vols et des malveillances) ; les fonctionnaires de la DCRI, en particulier sur les grands groupes industriels pour les problématiques d'espionnage, de terrorisme, ou de compromission au secret de la Défense nationale. Les échanges d’informations entre services sont fréquents et la coopération interservices est très forte. Ce que nous pouvons apporter à l'entreprise en termes de renseignement, ce n'est pas du renseignement de nature stratégique, sur la concurrence et les opportunités. A la différence des grands groupes qui peuvent mettre en œuvre des outils d’intelligence économique offensive, la petite entreprise n’a pas les ressources humaines et financières pour se doter d’une telle capacité. Mais nous pouvons l'aider au titre de la protection, de la prévention, de la sensibilisation, de l'audit et du conseil. Nous pouvons la sensibiliser lorsqu’elle accueille des visiteurs et des stagiaires étrangers, lorsque ses commerciaux partent à l'étranger, lorsqu’elle participe à un salon. Nous l’aidons à mieux connaître et mieux protéger son patrimoine et ses innovations. En protégeant l’entreprise nous avons la conviction de contribuer à la défense du pays. En effet, la défaillance d’une PME peut retarder la finalisation d’un programme d'armement. Et in fine ce sont nos soldats sur les théâtres d’opérations qui peuvent en subir les conséquences. Pour résumer, la mission de la DPSD est de faire en sorte que l'entreprise travaille en toute sécurité, que le programme d'armement soit finalisé, que les moyens militaires soient livrés à nos armées, et que l'ennemi n'ait pas un temps d'avance en s'étant approprié des technologies que nous possédons mais que nous n'avons pas su préserver. Jacques MYARD Ce que vous venez de décrire c'est défensif, c'est la protection des données et de notre patrimoine, une vigilance quotidienne car souvent un ingénieur qui passe une frontière en ayant dans son ordinateur un certain nombre d'informations se les fait voler rapidement. Ce sont des négligences coupables qui arrivent régulièrement.



Votre service est-il uniquement sur la défensive ou peut-il, à un moment donné, compte tenu de ce qu'il aurait pu recueillir ici, orienter les stratégies d'entreprise ? Général de brigade Georges LISSOT

Nous sommes vraiment sur le segment de la protection et de la sécurité. Notre action s’inscrit dans le volet défensif de la démarche d’intelligence économique. Nous avons pour mission de protéger le secret de la Défense nationale et le patrimoine scientifique et technologique des entreprises travaillant pour la défense. Nous contribuons, au sein de l’entreprise, au développement d’une culture de sécurité et de vigilance. En matière de renseignement, ce que nous apportons à l'entreprise, sous réserve qu'elle ait signé ce que nous appelons un contrat sensible, c'est l’assurer que le personnel qu'elle va recruter présente certaines garanties d’honorabilité. Mais le renseignement stratégique dont l'entreprise aurait besoin pour lutter contre la concurrence ou déboucher sur des marchés, ce n'est pas la DPSD qui va l'apporter. Jacques MYARD

En matière de protection de nos entreprises, c'est aussi un sujet et un enjeu réels à l'étranger. Sommes-nous capables de le faire ? Pascal TEIXEIRA DA SILVA Dans l'identification des menaces, nous avons déterminé trois grands groupes. Il y a les prélèvements illégaux, criminalité ordinaire, piraterie, enlèvement, piraterie informatique. Il y a les violences idéologiques et politiques et les atteintes aux intérêts économiques, espionnage, vol de savoir-faire, d'informations sensibles, contrefaçon ou désinformation et campagne dans les médias pour nuire à la réputation et à l'image. Dans ces trois domaines, nous couvrons un champ très large qui correspond à beaucoup de missions confiées par l'Etat aux services spécialisés. C'est une palette diversifiée, mouvante, furtive, qui est au cœur des menaces auxquelles nos sociétés sont confrontées au XXIème siècle. Les entreprises et leurs personnels sont des cibles dont la protection, au sens large, intéresse l'Etat à double titre. Les personnels expatriés sont des ressortissants français et ce sont ces ressortissants qui, à travers le monde et de plus en plus de pays, sont confrontés à différentes menaces. Deuxième raison pour laquelle l'Etat est intéressé, les entreprises sont porteuses d'intérêt national dans la compétition économique mondiale. Les services de renseignement et de sécurité interviennent de cinq façons. D'abord, ils interviennent pour évaluer les menaces, leur nature, leur ampleur, leur évolution. De ce point de vue, le paysage est extrêmement mouvant et compliqué. Nous sommes vraiment dans un contexte souterrain, quelque chose qui est, par nature, dissimulé et qui est vraiment ce à quoi les services spécialisés doivent s'attaquer. Ils doivent également donner l'alerte lorsqu'une menace est particulièrement grave et imminente. Lorsqu'il y a des menaces d'enlèvement de ressortissants français à l'étranger, ou des menaces d'attentat contre une entreprise française à l'étranger, il y a un devoir d'action et de réaction extrêmement rapide. Ce n'est pas théorique. Il y a quelque temps, une société en Algérie a fait l'objet d'un attentat de la part de l'ancien GSPC, devenu Al-Qaïda au Maghreb Islamique. Il y a eu des repérages. Nous avons eu connaissance d’un certain nombre d’éléments, ce qui nous a permis d’anticiper et des alertes ont été données. Ensuite il faut transformer ces alertes en mesures de prévention ou de protection. Troisième modalité, les services conseillent sur la façon de prévenir ou de se protéger des menaces. La connaissance intime et précise que nous en avons met les services spécialisés en mesure de dire ce qu'il faut faire ou ne pas faire. Lorsque l'entreprise est sur un chantier et que nous connaissons la nature de la menace qui l'environne, un certain nombre de mesures peuvent être changées, l'itinéraire, les horaires, par exemple. Est-ce faisable ? Est-ce fait ? C'est un autre type de questions mais c'est un exemple parmi d'autres de conseils pratiques. Quatrième modalité, entraver les menaces, les groupes, les complots de différentes natures. Cinquième modalité, lorsque nous n'avons pas pu prévenir la menace et qu'elle s'est concrétisée, il faut intervenir pour permettre aux personnes de recouvrer la liberté et leur intégrité. C'est ce qui se passe pour les affaires d'enlèvement qui ne sont pas spécifiques aux entreprises, mais ces dernières sont particulièrement visées parce que leur personnels est présent en permanence, qu’elles sont solvables et parce qu’il y a un aspect symbolique qui peut intéresser les ravisseurs. Le rôle des services de sécurité et de renseignement n'est pas isolé. C'est un travail collaboratif entre les services, intérieur et extérieur, militaire et civil parce que pour la plupart des menaces nous sommes dans un continuum qui rendrait artificielles les séparations. C'est un travail collaboratif avec les autres ministères, le ministère des Affaires étrangères, qui a une mission fondamentale de protection des Français à l'étranger, avec le ministère de l'Economie et de l'Industrie qui s'intéresse, de même que le ministère des Affaires



étrangères, à la protection des intérêts économiques français à l'étranger. Tout le monde travaille main dans la main de façon étroite et confiante, et les services de l'Etat travaillent pour l'Etat. C'est à l'Etat de décider comment et avec qui il partage les informations qui sont utiles pour la préservation des intérêts et de la sécurité des entreprises et de leurs personnels. C'est parce que les entreprises ont du personnel expatrié et qu'elles sont porteuses d'intérêts nationaux que l'Etat a le devoir de transmettre une partie de ce qu'il sait dans les cinq modalités que j'ai décrites et pour faire face aux trois types de menaces que nous avons identifiées au début de cette séance. Jacques MYARD

Le rôle de protection est tout à fait légitime et conforme à ce qu'est la mission de l'Etat et au droit international public. Je voudrais revenir sur une catégorie d'entreprise qui est sans doute une cible plus facile. Ce ne sont pas les grands groupes qui ont développé des moyens forts en interne de protection mais les PME/PMI. Est-ce qu'elles sont une cible plus facile sur la scène internationale ? Eric DENECE Il faut aussi rapporter les choses à leur juste valeur. 80% des PME françaises exportent dans l'Union européenne. La notion de risque international est assez nuancée pour ces entreprises. Le risque criminel, le risque concurrentiel, les autres types de risques peuvent émerger. Nos PME, sauf lorsqu'elles sont de haute technologie, ne sont, le plus souvent, pas des cibles directes. Elles peuvent l'être lorsque c'est un grand groupe qui est visé et que ne pouvant s'en prendre au groupe, c'est le sous-traitant qui est attaqué. Pour les risques internationaux que nous évoquions, les enlèvements, les kidnappings, la piraterie, ils concernent essentiellement les grands groupes. Bien sûr, il existe des PME menacées, par exemple la société thonière de Concarneau qui est en ce moment au large du Yémen, mais cela reste secondaire. Par ailleurs, en matière de renseignement aujourd'hui, nos grands groupes ont un besoin d'autonomisation. Nous ne pouvons pas lorsqu'on est une société de conseil, une entreprise de BTP, ou un tour-opérateur, s'en remettre aux directives que donne le Quai d'Orsay, aux éléments que donnent les différents ministères français. Ces directives qui sont données sur la situation internationale par notre ministère des Affaires étrangères, sont connotées à travers les relations politiques que nous entretenons avec les états étrangers, ce qui est tout à fait normal. Elles sont généralement faites pour le voyageur isolé qui représente le type de risques que doit souvent résoudre le ministère. Un certain nombre d'entreprises qui sont dans le secteur touristique se retrouvent coincées et désavantagées en matière concurrentielle lorsqu'une destination est interdite par le Quai d'Orsay, alors que les Belges, les Allemands, les Espagnols, les Britanniques, considèrent que l'Indonésie n'est pas un pays dangereux. Nous voyons des variations sur les marchés saisonniers des réservations hôtelières et aériennes. Les entreprises françaises sont ainsi parfois en retard par rapport à leurs concurrents étrangers, puis quelques semaines plus tard, ce sera l'inverse lorsque les ministères interdiront également les destinations. Le type de relations politiques que nous avons avec le Maroc amènera très probablement le Quai d'Orsay à retarder au maximum l'annonce que le Maroc est un pays dangereux. Inversement, il suffit qu'il y ait un attentat à Bali ou à Jakarta pour interdire la totalité de l'Indonésie avec laquelle nos relations politiques et économiques sont beaucoup moins fortes. Pour les PME comme pour les grands groupes, c'est un paramètre à prendre en compte. Il y a ce besoin d'autonomisation, d'avoir une prise de décision autonome et de ne pas s'en remettre uniquement à l'avis donné par les autorités. Jacques MYARD

Il faut aussi savoir lire la langue diplomatique où sont parfois pratiqués la litote et l'euphémisme. Mais lorsqu'il s'agit de la protection de nos concitoyens à l'étranger, nous sommes très prudents. Les situations peuvent se développer - ou comme disait un ambassadeur : « la situation, évolue rapidement, dans une direction que je ne connais pas ». Parfois, nous sommes prudents car beaucoup d'éléments peuvent dévier très rapidement. Pascal TEIXEIRA DA SILVA Je nuancerais cette appréciation. Le Quai d'Orsay dans sa mission de sensibilisation et d'information a la réputation de ne pas prendre de gants et de faire des recommandations qui mettent certains gouvernements un peu mal à l'aise. Les gens nous disent « en interdisant tout la bande sahélienne, vous nuisez au tourisme, aux gens qui aiment le folklore touareg, etc. » Au contraire, il y a une assez grande conscience professionnelle. Par ailleurs, nous savons distinguer entre différentes catégories d'expatriés, entre ceux qui aiment se balader pour avoir des sensations fortes et occuper leur ennui, des distractions au sens pascalien, et ceux qui travaillent et qui contribuent à la promotion des intérêts économiques de la Nation. Entre les amateurs de rallye dans les sables et l'entreprise qui fait de l'exploration pétrolière, sur les départs au Yémen, entre les gens qui ont envie d'aller voir la



beauté des montagnes et ceux qui exploitent le gaz, l'Etat – qui comprend le Quai d'Orsay, Bercy, les services de renseignement, etc. - ne les traite pas de la même manière et les consignes qui leur sont données ne sont pas comparables. Pour la navigation en mer, il est évident que puisque le golfe d'Aden qui est un point de passage considérable pour le trafic maritime, l'Etat n'a jamais dit aux armateurs de ne plus passer par Bab-el-Mandeb. Simplement, l'Etat donne un certain nombre de consignes, telle que l'utilisation du RAI international, etc. En revanche, pour les personnes qui veulent aller faire de la plaisance, l'Etat leur dit non. Pour les uns c'est une nécessité professionnelle et économique, pour les autres c'est du loisir et le loisir est la première chose qui est supprimée. Le site « Conseil aux voyageurs » du Quai d'Orsay donne des indications, mais lorsque nous sommes dans un dialogue plus concret, plus direct avec les opérateurs économiques, nous savons faire la nuance entre ce qui est utile socialement et économiquement et ce qui relève de la distraction individuelle. Jacques MYARD

Heureusement que l'Etat a pris ses responsabilités dans le Paris-Dakar et a dit non. Nous allions vers une catastrophe, compte tenu de la situation dans cette zone de l'Afrique. Bernard RIBIOLLET, Mission Union pour la Méditerranée, Présidence de la République

Au regard de l'existence de nombreuses sociétés type Geos, SOS International, Risk&Co qui conseillent les entreprises sur leurs actions à l'étranger, n'est-ce pas un espace occupé par du privé, non-occupé par du public et n'est-ce pas la traduction d'un manque de lien entre le privé et le public ? Eric DENECE

C'est un nouveau marché qui s'est créé par rapport à des nouveaux besoins, parce que le type de discrimination nécessaire quand vous êtes une entreprise n'est pas la connaissance d'un marché très général. Je ne suis pas d'accord avec les propos précédents sur le rôle de responsabilité de l'Etat. Le principe de précaution est appliqué au plus haut niveau. Il suffit de faire une analyse comparative à l'instant « t » des sites canadien, suisse, français, allemand, américain, pour voir que les positions que nous prenons sont souvent dictées par des intérêts politiques. Mais c'est normal ! Mettez-vous à la place d'un chef d'entreprise qui a besoin d'informations haute-sécurité précises sur un domaine d'action. L'Etat ne peut pas tout couvrir. Souvent nos chefs d'entreprise se demandent ce que l'Etat fait pour eux! Mais quand vous êtes entrepreneur vous prenez vos risques si vous décidez d'aller dans un pays délicat, vous prévoyez un budget, vous protégez vos hommes. Le soutien de l'Etat est indispensable mais dans une société libérale, l'Etat ne doit pas tout faire. A partir du moment où il y a eu cette mondialisation, cette disparition des frontières dans les deux blocs et que l'ensemble de nos acteurs économiques se sont risqués à l'étranger, il était indispensable qu'ils se dotent des acteurs capables de le faire, ce que nous avons moins fait en France que dans les autres pays anglo-saxons. C'est plus ou moins bien fait, mais la nature ayant horreur du vide, c'est un nouveau créneau qui s'est ouvert et dans lequel certains opérateurs se sont engouffrés avec plus ou moins de bonheur. Pour moi c'est quelque chose de mécanique et de normal. Pascal TEIXEIRA DA SILVA

Il y a une nécessaire complémentarité, chacun devant rester dans son cœur de métier. Les entreprises dans la compétition mondiale, ont besoin de recueillir et d'analyser le maximum d'informations, de source ouverte ou de zone grise. Soit elles le font par leurs propres moyens, soit elles recourent à des gens qui se spécialisent. C'est normal. L'Etat a différents bras armés, différents bras spécialisés, pour remplir un certain nombre de missions de service public. Par exemple, la menace terroriste djihadiste, les menaces d'enlèvement, sont prégnantes partout et sont de différentes natures : des enlèvements de nature criminelle, des enlèvements de nature politique, idéologique, etc. Mais la frontière n'est pas si nette. Des groupes terroristes font des enlèvements à des fins crapuleuses pour avoir des rançons, pour avoir de l'argent, pour acheter des armes et subvenir à leurs besoins en tant que groupe terroriste. La connaissance, l'anticipation et la prévention de groupes terroristes incombent principalement à l'Etat. Vous ne pouvez pas demander à une entreprise, fut-elle très grande d'avoir des spécialistes du terrorisme djihadiste. Ils ont un service de sécurité qui va évaluer les risques mais une entreprise n'a pas à être capable de dire que tel groupe terroriste se déplace en Mauritanie. C'est l'Etat qui a la responsabilité et qui peut avoir la capacité de le faire. Dès lors que ces renseignements visent directement ou constituent une menace pour des entreprises et son personnel, l'Etat les partage avec ceux que cela concerne. A chacun son cœur de métier principal, sachant qu'il y a une forme de complémentarité tout à fait indispensable. Je ne pense pas que le développement de ce que nous avons appelé



intelligence économique ou des formes plus organisées de recueil et d'analyse de l'information signifie une espèce de retrait de l'Etat. Il faut trouver la bonne complémentarité, chacun sur son cœur de métier en fonction de ses responsabilités. Nous n'allons pas débattre de ce que sont les responsabilités de l'Etat dans nos sociétés et au 21ème siècle. De façon pragmatique, nous arrivons à trouver cette complémentarité. Jacques MYARD

L'intelligence économique, c'est d'abord le bon sens et le recueil de l'information pour monter une stratégie. J'ai toujours été assez étonné que nous, Français, nous venions à l'intelligence économique d'une manière si tardive. Si nous analysons ce que font les pays anglo-saxons, c'est le recueil d'informations extrêmement ouvertes, c'est la mise en parallèle de toutes ces informations pour monter une stratégie et de rien négliger dans aucun secteur dans une attaque commerciale. C'est aussi simple que cela. Chaque fois que j'essaye de définir l'intelligence économique, nous tombons presque sur des lieux communs, du b-a-ba d'une politique commerciale, structurée, intelligente et adaptée. Général de brigade Georges LISSOT L'entreprise a besoin d'être sécurisée face aux menaces diverses et d'être informée pour mieux saisir les opportunités. L’Etat a des responsabilités en matière de sécurité et de contrôle notamment. Pour autant il ne peut répondre à toutes les sollicitations. L’entreprise peut donc être tentée de faire appel aux services de sociétés privées de renseignement et de sécurité. Mais ce recours à des prestataires privés n’est pas sans risque. Récemment, les Américains en Irak ont eu à déplorer les dérives de la société militaire privée Blackwater. L’usage non maîtrisé des armes et de la violence à l’encontre des populations locales a eu des conséquences en termes politiques et diplomatiques. En France, nous sommes beaucoup plus réservés sur l'emploi de sociétés militaires privées, en particulier sur les théâtres d’opérations. Y compris sur le territoire national, dans nos garnisons, le recours à des sociétés privées pour assurer des prestations de maintenance ou de gardiennage, peut poser problème en termes de protection des installations et des informations. Par exemple, un réparateur de photocopieurs peut extraire le disque dur sur lequel sont enregistrées des données sensibles. On le voit, une simple opération de maintenance n’est pas anodine. Il faut donc mettre en place des mesures réglementaires pour limiter les risques liés à l’externalisation. Certaines prestations ne doivent être effectuées que par des personnes dûment habilitées ou autorisées. Cela suppose donc de l'encadrement, du contrôle, des vérifications lors du recrutement et un cadre juridique adapté. L'Etat a un rôle en matière d’autorisation et de contrôle de ce type de société. Une réflexion est actuellement conduite au niveau interministériel sous l’égide du SGDSN pour mieux encadrer l'activité de ces sociétés qui pourraient signer des contrats, en particulier avec le ministère de la Défense. Jacques MYARD

Il ne vous a pas échappé que le législateur est intervenu, notamment, sur toutes les sociétés d'intelligence économique par une procédure d'agrément. Nous avons le sentiment qu'il faut mettre un peu d'ordre pour éviter les dérives. Cela a été fait dans la loi sur la Sécurité intérieure. Général Jean-Albert EPITALON, Directeur des Affaires internationales, GICAT Avez-vous une cartographie de ces PME innovantes sensibles au regard de la sécurité du cyberespace par exemple ou de la Défense ? Avons-nous besoin d'outils au sein des structures étatiques et pas seulement au niveau du ministère de la Défense, mais peut-être dans d'autres organismes. Quelles sont les attentes vis-à-vis de structures type CGPME, Chambres du Commerce et de l'Industrie, groupements professionnels spécialisés ? Général de brigade Georges LISSOT

La coordination de l’action des services de l’Etat au profit des entreprises et des PME en particulier est organisée au niveau des régions économiques, en partenariat avec les autres groupements professionnels. Les services de renseignement et de sécurité, la DCRI, la DPSD, la Gendarmerie, participent à la remontée d'informations vers les instances nationales sur les difficultés rencontrées par telle ou telle PME innovante. Ces entreprises en difficulté de trésorerie peuvent être rachetées par des sociétés d'origine étrangère qui s’intéressent à des technologies de pointe. L’Etat doit intervenir rapidement pour sauver l’entreprise et éviter un transfert de technologies préjudiciable à notre économie. Jacques MYARD

Un décret a été pris du temps du Gouvernement Villepin, déterminant par avance un certain nombre de secteurs stratégiques avec lequel les instances européennes ont marqué leur désaccord. La question qui se pose aujourd'hui



c'est la définition d'une politique industrielle. Il faut sortir de la naïveté ambiante bruxelloise. Il y a effectivement un certain nombre de jeunes pousses qui sont des cibles en termes de stratégie industrielle et de savoir-faire qui peut être volé au profit d'une puissance étrangère. J'ai été chargé par la Commission des Affaires européennes dont je suis membre, d'un deuxième rapport sur la nécessité d'élaborer une politique industrielle pour notre pays et au niveau européen. Nous sommes au cœur du sujet car il y a des PME/PMI dont le savoir-faire est vital pour notre pays en termes de stratégie mais prise dans sa globalité. Comment notre pays peut-il protéger ses entreprises en termes d'OPA hostiles ? Je regrette profondément que nous ayons abandonné les instruments politiques que nous avions. Je connais les deux coupables : l'un s'appelle Jean-Claude Trichet et était Directeur du Trésor, l'autre s'appelle Edouard Balladur. Nous avions dans notre législation des instruments qui nous permettaient, à tout le moins vis-à-vis des pays non-membres de l'Union européenne, de contrôler la prise du capital. Par une naïveté de l'ultra-libéralisme, nous avons abandonné ces instruments, comprenant l'Ordonnance de 44 notamment, qui nous permettaient de le faire. Eric DENECE Pour revenir sur l'essence du renseignement d'Etat et du renseignement d'entreprise, il faut effectivement rappeler que l'Etat, dans sa façon d'aborder le renseignement, est dans une logique à la fois de recherche d'informations et de protection de la communauté nationale. Le sens de responsabilité est fort, c'est sa finalité essentielle et mises à part les quelques réserves que j'ai émises, tout ce qui est fait est plutôt bien fait et les réformes vont dans le bon sens. Il n'en est pas de même au niveau des entreprises. Aujourd'hui, les entreprises, quand elles cherchent à faire du renseignement, ne sont pas dans une logique de performance – elles ne cherchent pas à protéger le salarié d'une logique d'enlèvement mais à être dans la conformité, la compliance. Nous vivons sous une influence du droit anglo-saxon, ce qui signifie que nous ne rentrerons pas forcément dans une logique d'information et de sécurité pour l'efficacité de la sécurité et la performance du renseignement, mais pour être sûr qu'en cas de procès avec ses employés - par exemple le salarié enlevé pendant une liaison entre son hôtel et son bureau à Alger - ceux-ci ne pourront pas se retourner contre l'entreprise, que les touristes ne peuvent pas se retourner contre leur agent de voyage. Sous l'influence anglo-saxonne, il y a un recours à ces démarches de sécurité et de renseignement qui est limité par l'environnement juridique des affaires dans lequel nous évoluons et c'est le souci de la compliance. Il est beaucoup plus employé que le mot efficacité ! Dans le blanchiment, un chef d'entreprise ne se préoccupe pas tant de vérifier l'origine des fonds que d’être sûr que s'il est pris un jour la main dans le sac, il pourra montrer que la liste des étapes imposée par la nouvelle régulation économique a été respectée, que ses guichetiers dans les agences bancaires, jusqu'à ses chefs de service ont reçu la bonne formation, etc. Au delà, la logique d'efficacité et de retour sur investissement est assez absente. Cela reste encore une logique et une activité très périphérique aux autres activités de l'entreprise.

Sébastien HEON, Security Center, EADS DS Vous avez beaucoup parlé de ce que l'Etat peut apporter à l'entreprise. Est-ce que les entreprises peuvent apporter quelque chose à l'Etat dans le domaine du renseignement ? Général de brigade Georges LISSOT L’entreprise peut recueillir des informations que je qualifie de stratégiques pour l’économie du pays. Les occasions sont multiples : déplacements à l’étranger, participation à un séminaire, visite d’un salon international, stage en entreprise… Malheureusement en France, la remontée de ce renseignement, son exploitation et sa diffusion ne sont pas organisées. Ainsi, il n’y a pratiquement pas de débriefing ou de rapport d'étonnement au retour d’une mission à l’étranger, ce que font pourtant les anglo-saxons de manière tout à fait naturelle et culturelle. Ces remontées d'informations pourraient se faire de l'entreprise vers l'Etat à travers les agents des services de renseignement. Nous sommes encore très loin du compte. Cette remontée est encore trop marginale car elle n'est pas culturellement acceptée. Ce serait pourtant extrêmement utile. Les services de renseignement anglo-saxons récupèrent à travers ces « missionnaires » beaucoup d'informations sur le secteur étranger concurrentiel. Pascal TEIXEIRA DA SILVA Tous les Français qui sont dans la coopération scientifique et technique, universitaire, ont accès à des choses qui peuvent intéresser l'Etat dans son ensemble. Il faut trouver un bon équilibre. Pour les Britanniques, c'est historiquement et culturellement aisé, cela se fait naturellement. Il faut organiser les flux dans les deux sens mais éviter de créer l'impression que les entreprises sont des relais des services, c'est déplorable pour leur propre image. Il faut avancer dans une espèce de communication naturelle mais qui n'est pas limitée au monde de l'entreprise. C'est



aussi valable dans le monde de la recherche et de l'université ou dans d'autres secteurs en trouvant ce bon équilibre. Il ne faut pas de suspicion sur qui est qui et qui fait quoi, pas de mélange des genres, mais une communication naturelle entre les gens d'une même communauté nationale. François-Xavier GRISON, étudiant Qu'appelez-vous une entreprise française ? Est-ce une entreprise dont la majorité du capital est « français », c'est-à-dire toutes sortes de personnes physiques ou morales ? Est-ce une entreprise dont la majorité des salariés est française ? Est-ce une entreprise dont le management a fait une école française ? Nous copions certaines choses du modèle anglo-saxon mais qui sont mauvaises, comme par exemple, le côté compliance qui est difficile à traduire. En revanche, nous n'arrivons pas à copier les bonnes choses! Ils ont un système de renseignement plus solide ou plus précis. Est-ce que l'élite économique française se perçoit comme française ? Jacques MYARD Pour déterminer si une entreprise est française, il y a deux notions, celle du siège social et celle du contrôle. Effectivement, dans certains cas, l'Etat s'intéressera à une entreprise dont l'établissement principal est en France, les brevets pris en France et dont les dirigeants sont français même si parfois le capital peut appartenir parfois à des fonds de pension américains. Si la technologie est stratégique, l'Etat a intérêt à la considérer comme française pour pouvoir la protéger. L'établissement économique est en France et rapporte à la Maison France. Le problème c'est que fut un temps où l'accès au capital de ce genre de société était protégé. Depuis quelques temps, nous avons levé les obstacles pour le faire. La politique industrielle doit primer. Aux Etats-Unis, vous ne pouvez pas accéder au capital de certaines entreprises. Si vous accédez au capital, c'est que c'est une boîte noire. La société sera dirigée par des Américains. Lorsque EADS a acheté aux Etats-Unis une société américaine travaillant dans le domaine de la Défense, cette société était au dernier étage et les services d'EADS étaient en dessous. Lorsque la représentante d’EADS aux Etats-Unis voulait accéder à la filiale achetée, elle montait d'un étage puis remplissait les mêmes documents d'accès que si elle avait été une étrangère. Cette filiale américaine avait tout scellé et EADS ne pouvait accéder à la maîtrise des brevets. Certains états savent protéger leurs entreprises nationales, même si elles détenues par une entreprise étrangère. La question de la nationalité est à prendre sous de multiples facettes et il n'y a pas un seul critère pour déterminer quelle entreprise relève de la juridiction française ou des intérêts français. Bernard CARAYON Il n'y a qu'en France que nous nous posons ce type de questions. J'y vois un manque de lucidité et de patriotisme pour employer une expression qui peut paraître surannée mais qui ne l'est pas pour la plupart des pays. Il n'y a pas de définition objective de la nationalité. Est d'une nationalité l'entreprise qui est désignée comme telle par le pouvoir politique. Nous pouvons nous appuyer sur les travaux des juristes, de la Commission européenne. Cela n'a aucun sens. Est Française une entreprise que le pouvoir politique français désigne comme telle. Le Groupe canadien Bombardier est installé à Valenciennes mais est-ce le Président de Bombardier ou d'Alstom que le Chef de l'Etat emmènera avec lui pour conquérir un marché à l'international ? La nationalité d'une entreprise découle également du système d'intelligence économique auquel va s'adosser les entreprises. Voilà les trois points qui permettent de résumer ce débat qui montre que nous cherchons tous les prétextes pour éviter de répondre à la seule question qui compte : doit-on ou non protéger nos savoir-faire industriels stratégiques ? C'est d'ailleurs une question à laquelle le Président de la République a répondu en créant le fonds stratégique d'investissement qui est destiné précisément à protéger les savoir-faire irremplaçables dans le domaine de l'industrie stratégique. Jacques Myard Dernier point, pour ce qui est d'une élite qui se dirait « mondialiste » et détachée de la nationalité française, je peux simplement dire que je les plains. Je me vois mal sans identité nationale pour ce qui me concerne.

Deuxième table ronde

Quelles politiques publiques au service de la sécurité globale de l’entreprise ?

Animateur : Bernard CARAYON, Député du Tarn, Président de la Fondation Prometheus et

de l’Institut de l’IE, Maître de conférences à l’IEP de Paris

Commissaire divisionnaire Eric BELLEMIN-COMTE, Sous-directeur par intérim de la Pro-

tection économique, Direction Centrale du Renseignement Intérieur

Capitaine Olivier CHARDAVOINE, Chef de la Section Intelligence économique, Direction Gé-

nérale de la Gendarmerie Nationale

Philippe CLERC, Directeur de l’Intelligence économique, de l’Innovation et des Technologies

de l’information, Assemblée des Chambres Françaises de Commerce et d’Industrie

Eric DELBECQUE, Chef du Département Sécurité Economique, Institut National des Hautes

Etudes de la Sécurité et de la Justice

Ingénieur en Chef de l’Armement Anne DIAZ de TUESTA, Chef du Service des Biens à dou-

ble usage, Direction Générale de la Compétitivité, de l’Industrie et des Services

Contrôleur Général Gilles GRAY, Adjoint au Délégué Interministériel à l’Intelligence Econo-

mique, chargé de la Sécurité économique, des Affaires intérieures et de l’Action territoriale

Christian HARBULOT, Directeur de l’Ecole de Guerre Economique

Yann JOUNOT, Haut fonctionnaire de Défense adjoint, Directeur de la Planification de Sécu-

rité Nationale au Ministère de l’Intérieur, de l’Outre-mer et des Collectivités Territoriales

2èmes Rencontres de la Sécurité intérieure, 29 juin 2010 « L’entreprise face aux nouvelles menaces : quelle politique de Sécurité nationale ? »

DEUXIEME TABLE RONDE

QUELLES POLITIQUES PUBLIQUES AU SERVICE DE LA SECURITE GLOBALE DE L’ENTREPRISE ?

Animateur : Bernard CARAYON, Député du Tarn, Président de la Fondation Prometheus et de l’Institut de l’IE, Maître de conférences à l’IEP de Paris Commissaire divisionnaire Eric BELLEMIN-COMTE, Sous-directeur par intérim de la Protection économique, Direction Centrale du Renseignement Intérieur Capitaine Olivier CHARDAVOINE, Chef de la Section Intelligence économique, Direction Générale de la Gendarmerie Nationale Philippe CLERC, Directeur de l’Intelligence économique, de l’Innovation et des Technologies de l’information, Assemblée des Chambres Françaises de Commerce et d’Industrie Eric DELBECQUE, Chef du Département Sécurité Economique, Institut National des Hautes Etudes de la Sécurité et de la Justice Ingénieur en Chef de l’Armement Anne DIAZ de TUESTA, Chef du Service des Biens à double usage, Direction Générale de la Compétitivité, de l’Industrie et des Services Contrôleur Général Gilles GRAY, Adjoint au Délégué Interministériel à l’Intelligence Economique, chargé de la Sécurité économique, des Affaires intérieures et de l’Action territoriale Christian HARBULOT, Directeur de l’Ecole de Guerre Economique Yann JOUNOT, Haut fonctionnaire de Défense adjoint, Directeur de la Planification de Sécurité Nationale au Ministère de l’Intérieur, de l’Outre-mer et des Collectivités Territoriales Bernard CARAYON

Comment pouvons-nous aujourd'hui mesurer aussi objectivement que possible les menaces qui pèsent sur nos entreprises – sur les entreprises françaises puisque nous ne parlerons que de celles-ci – et celles qui importent au représentant de l'Etat que vous êtes ? Contrôleur Général Gilles GRAY

Quand nous parlons intelligence économique à la française - et vous le savez bien puisque vous êtes le fondateur de la nouvelle Ecole de l'intelligence économique française, et à l'origine de la politique publique d'intelligence économique - nous disons à chaque fois que la bouteille est à moitié vide. Nous Français, sommes arrivés en retard sur le terrain de la sécurité économique et de l'intelligence économique. Je dirais plutôt que la bouteille est à moitié pleine : nous ne sommes pas dans un désert en matière d'intelligence économique. Pour répondre précisément à la question sur les menaces, il faut savoir que j'ai été pendant des années un producteur de renseignement dans mes anciennes fonctions à la DCRI. En étant à mes nouvelles fonctions à la Délégation Interministérielle, je suis destinataire de ces informations et ces renseignements. Parmi ces informations et ces renseignements dont est destinataire la Délégation Interministérielle, il y a les notes d'alerte, et singulièrement la Direction Centrale du Renseignement intérieur. Les notes d'alerte sont faites à partir d'une base de données purement française, créée par la DCRI, rejointe ensuite par la PDSD et la Gendarmerie Nationale, unique au monde. Il n'y a pas un seul pays qui ait créé une base de données, relevant les agressions enregistrées sur les entreprises nationales. Il y en a plus de 5 000 enregistrées. Nous sommes partis de faits concrets réels. C'est à partir de cette base de données sur les menaces pesant sur nos entreprises, agression par agression, que nous tirons un certain nombre d'analyses et de synthèses. Pour ne pas déflorer le sujet sur l'état de la menace précis, je voudrais mettre l'accent sur une menace particulière concernant les entreprises françaises. Cette menace vient des salariés eux-mêmes dans les entreprises. Je veux parler des réseaux sociaux. En l'espace de quelques mois, via les sites que tout le monde connaît bien, comme Facebook, Twitter, Notetonentreprise.com, les entreprises sont devenues les objets principaux d'une menace venant de leurs propres salariés. Mettez vous à la place de la concurrence étrangère ou de l'officier d'un service de renseignement étranger en France : il suffit de se rendre sur Facebook, de regarder quels sont les salariés dans les entreprises stratégiques qui peuvent les intéresser. Ils n'ont plus besoin d'effectuer des recherches. Ils peuvent rester dans leur bureau et à partir de leur bureau, choisir leur cible. Voilà une menace particulière, qui est d'autant plus terrible qu'elle vient des salariés des entreprises. Bernard CARAYON

Monsieur Harbulot, vous avez promu depuis plusieurs années, un enseignement d'intelligence économique. C'est probablement – et je le sais d'expérience – la meilleure école de ce type, peut-être même la seule! Parlez nous de la guerre d'information, dont la cible est aussi l'entreprise.


Christian HARBULOT

Effectivement, aujourd'hui il y a d’abord cette menace facilitée par les réseaux sociaux, qui avantagent terriblement l'accès aux sources humaines et à leur ciblage. Il y en a une autre qui prend aussi de l'importance à cause du développement de la société d'information, c'est la manière de porter atteinte à l'image de l'entreprise. Nous avons relevé un certain nombre de cas d'école où des groupes très restreints, limités parfois à quelques individus, ont réussi par leur habileté à piéger l'émergence de nouvelles activités économiques. Nous avons cité durant la réunion de travail un cas « exemplaire », celui des nanotechnologies où une toute petite structure a, en quelques années, réussi à polluer l'image de l'émergence d'un secteur émergent qui peut représenter un enjeu vital à l’avenir. Nous sommes confrontés à des structures qui ont tiré les leçons du passé, essayent de ne pas tomber sous le coup de la loi, sont très difficiles à réprimer par le système juridique classique, et portent atteinte à l'intérêt économique de notre pays. Bernard CARAYON

Comment le ministère de l'Intérieur appréhende-t-il de manière globale la menace qui plane sur nos entreprises ? Préfet Yann JOUNOT

La Sécurité nationale est un concept relativement récent puisqu'elle est issue du Livre blanc sur la Défense et la Sécurité nationale. Ce concept a une densité juridique forte puisqu'il est inscrit dans la loi de programmation militaire de juillet 2009. C'est un élément qui fonde une stratégie et donc une politique publique, à l'instar des autres politiques publiques dont le gouvernement est chargé de la mise en œuvre. Au titre de la Stratégie de Sécurité nationale, quatre politiques publiques particulièrement importantes correspondent à cette stratégie et la sécurité économique en fait partie. Il s'agit de faire face aux menaces qui peuvent peser sur les entreprises, qui peuvent prendre différentes formes : ingérence plus ou moins agressive, attaques contre l'image des entreprises, tout ce qui concoure à fausser le jeu normal de la concurrence et qui peut aboutir à faire perdre à notre pays un certain nombre de richesses économiques. Nous voyons bien dans l'évolution de l'état du monde aujourd'hui, les conséquences que peuvent avoir sur l'économie d'un pays, sur le statut, sur l'image de ce pays, des désordres que peuvent affecter l'économie. Au titre de la Sécurité nationale, et pour la mise en œuvre de cette politique particulièrement importante, rappelée par le Président de la République, à l'issue de la réflexion sur le Livre blanc, le ministère de l'Intérieur a mis en œuvre une organisation qui vise à faire travailler une bonne complémentarité des directions propres du ministère de l'Intérieur, je pense notamment à la DCRI, à la Gendarmerie nationale, à toutes les forces des Sécurité qui peuvent aider à l'application de cette politique sur le territoire, mais aussi à faire en sorte que les préfets de région, qui au plan territorial sont chargés de la mise en œuvre de cette politique, appréhendent de la manière la plus homogène possible sur le territoire national, la prise en compte de ces enjeux. Le rôle qui m'a été confié au titre de la Direction de la Planification de la Sécurité nationale comprend tout ce travail que nous faisons avec les directions du Ministère, le Délégué Interministériel, nouveau dans le paysage et qui a vocation à donner une puissance supplémentaire à cette politique publique, mais également toute la dimension territoriale, qui vise à rendre plus harmonieux la prise en compte des enjeux de sécurité économique sur l'ensemble du territoire. Bernard CARAYON

Pouvez-vous nous donner quelques exemples récents d'atteintes qui aient pu être portées à l'image ou aux intérêts de nos entreprises ? Commissaire divisionnaire Eric BELLEMIN-COMTE

La DCRI est une création récente mais repose sur le rapprochement entre la Direction de la Surveillance des Territoires et la Direction Centrale des Renseignements Généraux qui ont respectivement plusieurs décennies de travail en matière de sécurité économie et de contact de sensibilisation et de veille auprès du monde économique, scientifique, technologique, national, en partenariat avec d'autres services de l'Etat comme la DPSD ou la Gendarmerie nationale. Notre approche est pragmatique, de terrain, intuitive. Lorsque nous évaluons la menace d'ingérence économique, nous l'abordons de manière très concrète parce qu'elle résulte directement du travail de contact et de lien avec les entreprises. Notre idée c'est que par le dialogue que nous avons établi avec les entreprises, nous nourrissons l'évaluation de la menace d'ingérence économique. Il y a quelques grandes tendances que nous décelons dans la vulnérabilité et les menaces émergentes en matière de sécurité économique. L'environnement s'est extrêmement complexifié. Les entreprises nationales, de toutes tailles – il n'y a pas de grand groupe qui serait plus ciblé que la petite entreprise, toutes peuvent représenter un potentiel technologique, scientifique, de recherche & développement, de souveraineté, de Défense, d'emploi et de richesse nationale, et peuvent être visées à un moment ou à un autre par un intérêt concurrentiel - évoluent dans un monde qui se complexifie de plus en plus, parce qu'elles sont dépendantes au sein d'un dispositif systémique. Par exemple, une entreprise évolue au sein d'une filière stratégique. La fusée Ariane représente plus de 1 600 sous-traitants, notre missile de dissuasion nucléaire représente plus de 800 sous-traitants. Nous sommes particulièrement vigilants et nous avons des exemples réguliers de tentatives d'acquisition, de prédation, sur le petit sous-traitant stratégique. Si à un moment ou à un autre, il est capté, si ses savoir-faire, son capital, son contrôle sont captés par des intérêts concurrents, voire hostiles, toute la chaîne de production sera menacée. Le caractère systémique de la menace d'ingérence économique est de plus en plus prégnant.


Les technologies de l'information sont au cœur des enjeux contemporains, indispensables au développement de l'entreprise, à sa vie, à sa recherche, etc. mais également un formidable talon d'Achille. Il y a foule d'exemples de menaces, de vulnérabilités, d'incidents, d'infractions, voire d'attaques directes commises contre des entreprises : vol d'ordinateur dans les entreprises, par dizaines tous les jours, dans les locaux, dans les trains, les avions, lors de déplacements à l'étranger. Une délégation étrangère normative vient contrôler et normer des entreprises françaises afin d'ouvrir un marché étranger. Au terme de la visite, l'un des membres de la délégation demande à connecter une clé usb au motif que son imprimante ne fonctionne pas. Heureusement, le responsable RSSI de l'entreprise a le réflexe de passer cette clé USB à l'anti-virus et découvre qu'elle contient un cheval de troie. Les moyens numériques sont de formidables moyens de pénétration, d'attaque contre lesquelles il convient de se défendre. Autre caractéristique, la démultiplication des acteurs périphériques au monde de l'entreprise. Il y a toujours les concurrents, les chercheurs, les stagiaires étrangers, tout ce qui à un moment ou à un autre, peut entrer en concurrence directe avec nos entreprises. Il y a également une implication très forte des états à cause de la crise dans la défense de leur économie, soit sous des formes réglementaires, normatives de lobbies et de politique protectionniste, et au delà par l'engagement de leurs services de renseignement. Nous n'avons pas d'alliés. Tous nos partenaires sur des sujets aussi divers que la lutte contre le terrorisme, la prolifération, sont sur d'autres terrains, nos concurrents directs. La mobilisation des services de renseignement est un véritable enjeu. Enfin, il y a une démultiplication d'autres acteurs avec le secteur du renseignement privé : les officines de renseignement privé, les cabinets d'intelligence économique, de conseils divers et variés, un ensemble de prestataires qui environnent l'entreprise et contre lesquels elle doit se prémunir en termes de visibilité et de contrôle de qualité. Tous les jours j'ai des exemples très concrets d'acteurs qui, pouvant travailler pour une entreprise, travaillent pour la concurrence ou agit en ingérence contre tel ou tel acteur économique national, comme les groupes de pression et divers groupes militants. Tous les jours j'ai des exemples d'atteintes à nos entreprises qui se servent également des moyens numériques ou d'internet, en termes d'atteinte à l'image, de déstabilisation. Un groupe animaliste s'en prend à des cadres d'une entreprise qui se livrent à des tests sur des animaux en ayant repéré que ses cadres sur les réseaux sociaux se livraient à certaines indiscrétions, avaient même donné leur adresse, et qui ont retrouvé des tags hostiles voire des manifestations d'hostilité devant leur domicile. Il faut être particulièrement vigilant. Bernard CARAYON

Y a-t-il vraiment dans notre pays un périmètre stratégique de l'économie française ? Préfet Yann JOUNOT Nous devons tous considérer que l'intelligence économique est un engagement collectif au profit de la richesse économique du pays. Par rapport à ce que vous avez dit Monsieur le Ministre, nous sommes engagés au ministère de l'Intérieur dans une démarche collective, à la fois au niveau territorial et au niveau national. Au niveau territorial, c'est parfaitement clair puisque l'action des préfets de région s'inscrit par nature dans une dimension interministérielle avec les ministères présents sur le territoire et l'ensemble des acteurs, collectivités territoriales et consulaires notamment. C'est particulièrement vrai au niveau national également puisque la création de la Délégation interministérielle inscrit bien cette politique dans le schéma d'un travail collectif entre les ministères même s'il est vrai que le ministère de l'Intérieur, pour le compte duquel je parle, a des compétences particulières qu'il met au profit de la sécurité économique des entreprises. Je pense notamment au travail fait par la DCRI, la Gendarmerie nationale, la DCSP et le travail de complémentarité que nous organisons avec l'ensemble des acteurs. Mon témoignage au titre du ministère de l'Intérieur est parfaitement dans la ligne de ce que le Ministre vient d'indiquer. Nous sommes dans un travail collectif et c'est ce qui donne du sens à l'efficacité de notre action par la mobilisation de l'ensemble des acteurs, aussi bien au niveau national qu'au niveau territorial. Il n'y a aucune ambiguïté et les administrations travaillent ensemble, améliorent ensemble cette capacité. Bernard CARAYON

Parmi l'ensemble des dispositifs existants, il y a également les organisations consulaires. Monsieur Clerc, qui poursuit depuis plus de quinze ans un travail de pédagogie, d'animation, de coordination de la réflexion et de l'action des chambres consulaires, pourrait apporter un éclairage particulier à nos débats. Philippe CLERC

Avec mes collègues et nos élus des CCI, je travaille effectivement à l’accompagnement des entreprises PME à partir des orientations des politiques publiques et des stratégies nationales, notamment en matière d’intelligence économique, d'innovation et de politique industrielle. Pour illustrer l'action, je peux relater beaucoup d'expérience. Je souhaite me concentrer sur trois exemples sur le thème coopération et sécurité. A nouvelles menaces, nouvelle organisation pour traiter les problèmes de sécurité économique. La coopération revient en force, y compris à l'échelle internationale. Cela nous permet d’innover dans nos organisations et dans la riposte aux nouvelles menaces multidimensionnelles liées à la mondialisation. Premier exemple, hier, nous avons réuni la Commission internationale du Comité national anti-contrefaçon, le CNAC, présidé par Monsieur Bernard Brochant, maire de Cannes qui insuffle une dynamique considérable dans la lutte anti-contrefaçon. Cette commission est présidée par le Vice-président de l'Assemblée des Chambres de commerce et d’industrie, le Président Michel Dieudonné, président consulaire de la région Franche-Comté. Nous recevions Madame Gallo, député européen, qui porte un rapport sur la cybercontrefaçon un peu seule et qui avait besoin du soutien français. Nous sommes donc en train d'écrire à tous


les députés européens français pour leur demander de soutenir le rapport de Madame Gallo. Par ailleurs, nous avions invité le représentant d'Europol et les policiers en charge du dossier anti-contrefaçon dans le cadre de la coopération internationale, qui partent en Chine, à Hong-Kong, à Pékin. Le CNAC, qui est une plateforme entre le public et le privé, les fédérations professionnelles, les entreprises et l'Etat, définit en coopération des stratégies de lutte contre la contrefaçon. Les experts du ministère de l’intérieur ont pu échanger sur les préoccupations des entreprises et resteront en contact réguliers avec le CNAC. Ce qui est intéressant dans cette organisation, au delà de sa réactivité, c'est la coopération public-privé qui la distingue. Les représentants des ministères sont autour de la table avec les entreprises et nous avons décortiqué le cas Europol qui nous a montré combien pour les TPE les réseaux mafieux qui vont d'Italie en Australie, ont complètement infiltré les circuits de l'économie réelle. Il portent et constituent un danger considérable de déstabilisation de nos économies jusque dans nos terroirs. Deuxième exemple, celui de la Chambre de commerce et d'industrie de l'Essonne qui a piloté une cellule de renseignement économique à laquelle participent la DCRI et la Gendarmerie, et qui répond aux préoccupations des nouvelles menaces des entreprises. La Chambre de commerce anime, traite, analyse parfois - en coopération donc - et riposte. Cette organisation est très innovante. Nous souhaitons la diffuser le plus largement possible dans les Chambres. A l'échelle internationale, nos CCI des DOM-TOM sont confrontées à des enjeux considérables sur les zones de la Grande Caraïbe et du Bassin amazonien. Nous avons lancé en 2008 sur place avec M. Alain Juillet, avec le ministère de l'Economie de l’Industrie et de l’Emploi, avec le ministère du Budget et leur Coordonateur de l'Intelligence économique, un Observatoire d'études stratégiques « Grande Caraïbe - Bassin amazonien » pour partager des capacités « d’intelligence » et d’analyse, notamment sur des questions de sécurité globale concernant le transport, le tourisme, la protection de la biodiversité contre le biopiratage. Y participent le réseau des CCI de la zone et l’Agence universitaire de la Francophonie. Nous travaillons avec le Surinam, le Brésil, les pays de la Grande Caraïbe. Nous découvrons que nous pouvons échanger et coopérer en matière d’analyse y compris sur des sujets « concurrentiels » pour les entreprises, petites et moyennes, mais aussi pour les grands groupes transport ou tourisme. Bernard CARAYON

Capitaine Chardavoine, comment est menée l'action de la Gendarmerie qui s'est impliquée très tôt dans la politique publique d'intelligence économique qui a été lancée sous Jean-Pierre Raffarin ? Capitaine Olivier CHARDAVOINE

Comme Monsieur Jourdain, la Gendarmerie faisait sans doute de l'intelligence économique, ou de la sécurité économique, sans le savoir. En termes de police judiciaire, d'enquêtes de cybercriminalité, de délinquance économique et financière, etc. la Gendarmerie mène des actions depuis de nombreuses années. Une nouvelle impulsion a été donnée à cette politique publique par votre rapport, Monsieur le Député, et par la nomination de Monsieur Alain Juillet, et la Gendarmerie s'est associée depuis 2004 à cette dynamique en lançant une réflexion pour monter un dispositif qui est opérationnel depuis 2006. A propos des colloques et des actions en entreprise évoquées ce matin, à titre d'exemple, entre 2006 et 2009, la Gendarmerie a touché plus de 12 600 entreprises au cours de colloques, et a visité 12 129 établissements au sein desquels elle a établi des questionnaires. Cette démarche est nouvelle depuis 2006. Nous orientons notre action vers la prévention à travers les colloques et les visites en entreprises à l'issue desquelles nous établissons des diagnostics. Nous ne parlons pas d'audit, qui est un métier réservé aux entreprises privées. Nous faisons de la sensibilisation mais il y a déjà beaucoup à faire à ce niveau là ! Notre public est essentiellement celui des PME/PMI. Les grands groupes et les secteurs stratégiques sont davantage du ressort de la DCRI et l'industrie de défense de la DPSD. Entre nous, il y a également des échanges d'informations constructifs. En matière de complémentarité entre services, nous sommes en train d'adopter la grille de lecture des atteintes aux entreprises de la DCRI. Nous reprenons nos chiffres depuis le début de l'année pour donner une grille de lecture territoriale de l'état de la menace sur son territoire au Préfet de région. Bernard CARAYON

Madame, pouvez-vous nous préciser la façon dont nos concurrents, en Europe en particulier, se sont organisés sur ces questions de sécurité économique ? Ingénieur en Chef de l’Armement Anne DIAZ DE TUESTA

Je ferai cette présentation sous un tropisme un peu particulier. En effet, je m'occupe notamment du contrôle des exportations des biens à double usage. L'exportation touche directement la compétitivité des entreprises. Nous avons parlé d'un risque auquel nous sommes tous soumis en tant que citoyens, la prolifération d'armes de destruction massive ou autres. Le contrôle des exportations s'inscrit dans la protection et la lutte contre cette prolifération et crée un nouveau risque qui n'est pas « complètement écrit » : certains de nos voisins ont su utiliser ce contrôle comme une arme économique. Le contrôle des exportations n'est qu'un exemple parmi d'autres. Nous pourrions évoquer également la normalisation. Les politiques nationales, la nôtre en tant que pays européen, se décline en premier lieu, chronologiquement, au sein de groupes d'experts internationaux dans lesquels les entités présentes, les états discutent des règles que nous nous engageons - non juridiquement - à appliquer en termes de contrôle. Par exemple, ils fixent la liste de biens suivant leurs caractéristiques technologiques et leurs performances, qui seront soumis à contrôle parce que présentant des risques d'application duale qui nous obligent à préserver une dissémination de ce type de biens.


Depuis longtemps, certains états ont lancé dans cette bataille de papiers des forces considérables. Nos amis Britanniques et Américains déploient des délégations puissantes dans ces enceintes et souvent qui comptent dans leurs rangs des représentants de l'industrie et pas uniquement des représentants de l'Etat. Ceci peut leur permettre d'imposer certains contrôles qui peuvent les favoriser économiquement. En effet, si une technologie dans laquelle la France a développé un leadership devient contrôlée à l'exportation alors que la technologie concurrente qui a les mêmes applications mais est développée dans un autre pays et échappe à ce contrôle pour des questions de technologies de base ou de caractéristiques particulières, alors un avantage économique décisif peut être apportée à la technologie qui n'est pas contrôlée par rapport à celle qui l'est. Nous sommes en train de renforcer notre action dans ce type d'instance. C'est également vrai dans les instances de normalisation et nous renforçons fortement le dialogue qui me paraît essentiel. Lorsque vous parlez d'intelligence économique, il faut préciser que c'est une notion qui met l'accent sur le dialogue entre l'Etat et les entreprises. C'est un dialogue qui ne peut qu'être bénéfique aux deux parties. Bernard CARAYON

Christian Harbulot, vous connaissez bien l'Allemagne. Est-ce que vous pouvez nous dire quelques mots du dispositif et du savoir-faire allemand en la matière ? Christian HARBULOT

L'Allemagne est un pays à deux visages. Le premier visage, celui régulièrement présenté dans les médias, est assez lisse. On ne fait pas de vagues et on évite d’évoquer les sujets qui fâchent, en particulier les rapports de force économiques qui opposent les entreprises et plus particulièrement les pratiques déloyales de guerre de l’information entre concurrents. Le passif généré par la Seconde Guerre Mondiale est à l’origine d’un certain tabou autour de ces notions-là. Mais lorsque nous étudions sur le terrain les offensives commerciales de certains groupes allemands et les capacités de projection de l’économie allemande sur le marché mondial, nous découvrons un autre visage de l’Allemagne, qui laisse transparaître un esprit combatif sur le terrain géoéconomique. Parler aujourd'hui des affrontements économiques en termes de menaces visant les intérêts nationaux c'est faire le constat qu'il y a trois groupes de pays. Le premier fait de l'arme économique un moyen d’accroissement de puissance, les pays du second groupe cherchent plutôt à préserver leur patrimoine et le troisième groupe est composé par les pays qui subissent la puissance des autres. L'Allemagne se classe dans le premier groupe. Les services spécialisés allemands, à l'image de la DCRI, n'hésitent plus à solliciter des intervenants étrangers pour intervenir en assemblée générale pour sensibiliser leurs personnels à la notion de guerre économique, ce qu'ils ne peuvent pas faire eux-mêmes, et en pensant à des puissances étrangères, et notamment de nouveaux entrants. L'Allemagne exploite habilement les marges de manœuvre que lui confèrent ces deux visages : d'un côté elle commerce énormément avec ces nouveaux entrants, et de l'autre, elle commence à consolider ses positions pour protéger ses intérêts économiques, notamment dans le cas des rachats d'entreprises sur le territoire allemand ou dans les tensions internationales qui apparaissent sur la question des métaux rares. L'exemple allemand est intéressant à suivre parce que les groupes allemands sont très offensifs - nous allons mettre bientôt en ligne plusieurs rapports qui montrent qu'ils ont monté d'un cran dans la recherche de puissance. L'intelligence économique n'est pas simplement un moyen de détecter les menaces, mais c'est surtout un moyen de s'enrichir et de conquérir des parts de marché. L'Administration allemande, très discrète jusqu'à présent, semble être en mouvement et bouger dans des directions qui peuvent surprendre. J'ai été très étonné de voir des conférences très explicites, avec exemples à la clé, désignant des pays qui font de la contrefaçon, montrant des produits allemands contrefaits - alors que ce sont des conférences publiques - sans que cela ne crée des incidents diplomatiques avec le pays accusé par les services de sécurité allemands de contrefaçon. Bernard CARAYON

Sur la notion de périmètre stratégique de l'économie française, il y a deux logiques, logique de compétitivité et logique de puissance suivant que nous parlons des entreprises dont l'activité est soumise exclusivement aux critères du marché, qualité du produit et prix ou des entreprises dites de souveraineté, énergie, défense, TIC, pharmacie, aéronautique, spatial, etc. Est-ce qu'il y a aujourd'hui une difficulté avec le niveau communautaire pour affirmer notre volonté de mieux protéger les entreprises qui relèvent de ces secteurs qui en même temps ne sont pas la déclinaison parfaite de l'article 296 du Traité ? Contrôleur Général Gilles GRAY

Sur le périmètre stratégique, le décret instaurant le Délégué interministériel demandait de redéfinir, revoir, nettoyer, la liste du périmètre stratégique à protéger et des secteurs. Un excellent travail avait été fait préalablement par Alain Juillet et son équipe depuis 2005, qui avaient déterminé une liste de quatorze secteurs qui sont restés couverts par le « Confidentiel Défense ». Il y avait la liste du décret sur les investissements étrangers en France et la protection de la France face à des financements ou des tentatives de spoliation de nos entreprises figurant dans les secteurs stratégiques, il y a en avait onze et cela était officiel. Cela concernait des investissements provenant soit de pays hors Union européenne, soit de pays de l'Union européenne. Il y a des listes qui ont été faites par le service de Madame Diaz de Tuesta. Nous avions donc un certain nombre de listes de secteurs stratégiques, d'entreprises ou de filières. Il faut savoir que les services de l'Etat, qu'il s'agisse des services du ministère de l'Intérieur - la DCRI - du ministère de la Défense – la DPSD - et des services de Bercy qui étaient déconcentrés dans les régions, ont travaillé à partir des quatorze secteurs déterminés par le Haut responsable à l'Intelligence économique. Ces quatorze secteurs stratégiques très proches du concept de Défense nationale au sens strict du terme, doivent être élargis avec trois grands critères. Les études sont en cours avec les différents services de l'Etat et les nouveaux secteurs seront bientôt déterminés. Les secteurs de souveraineté concernent la Défense nationale, la Sécurité intérieure, les infrastructures d'importance vitale. Les


services de l'Etat vont retrouver peu ou prou les secteurs sur lesquels ils avaient travaillé préalablement. Il y a également les secteurs porteurs de richesse actuelle ou future pour la France. Nous devons aller plus loin dans la liste des secteurs à protéger, ils seront donc plus nombreux que les quatorze initiaux. Dernier facteur, l'image de la France. Vous retrouverez l'industrie de l'armement dans la souveraineté, dans les secteurs porteurs de richesse et image de la France. La conception de logiciels de jeux vidéo, dans lesquels les Français sont les premiers du monde, peut concerner la souveraineté puisque cela intéresse la Défense nationale. Si ces petites start-up sont les meilleures du monde, c'est bien pour l'image de la France. Il faudra donc prendre en compte ce secteur. L'industrie du luxe est stratégique pour la France, l'image de la France à l'extérieur est importante, l'image de la femme française, si nous parlons des parfums, des sacs, etc., cela donne envie aux gens de venir faire du tourisme en France. Le tourisme est une manne financière considérable. Il est extrêmement difficile de pouvoir parler d'intelligence économique au niveau européen. Sur la filière aéronautique civile, avec EADS nous avons le monde entier contre nous : les Américains et Boeing, les Brésiliens et Embraer, etc. Nous pouvons trouver une filière européenne qui peut faire travailler les pays européens ensemble pour défendre cette filière. Mais il n’y en a pas beaucoup d'autres. Le problème de l'intelligence économique c'est que ce sont des recettes de cuisine. La politique française mise en place est une politique de recettes de cuisine, notamment en matière de sécurité économique. Partager cela avec nos voisins amis mais aussi concurrents est difficile. Nous n'avons pas très envie de donner les petits secrets de la recette qui donnent la french touch ! Tout cela doit être pris en compte dans le travail sur le périmètre stratégique et tout sera prêt au mois de septembre. Bernard CARAYON

Je crois que l'expression officielle américaine pour « hégémonie » est « suprématie » qui renvoie d'ailleurs à un discours de Bill Clinton en 2000 quand il quittait la Présidence « Shaping the world », « Modelons le monde ! ». C'est une vision éloignée des logiques communautaires de compétitivité et qui renvoie plutôt à la notion de puissance. Il y a le concurrent de suprématie que constituent les Etats-Unis. Il y a aussi les nouveaux états-nations qui ont, semble-t-il, une vraie logique de puissance et de compétitivité, Brésil, Inde, Chine. Leurs dispositifs offensifs vous apparaissent-ils taillés aux enjeux de leur Nation ? Leurs dispositifs de protection sont-ils aussi élaborés et sophistiqués que nous le pensons ? Eric DELBECQUE

Je pense que cette puissance repose sur des déterminants culturels. Il est difficile de comparer l'efficacité des dispositifs. Sur certains pays, les informations restent lacunaires, le dispositif chinois n'est pas si lisible que cela. Mais une question est claire : dans l'ensemble de ces puissances, le fait-même d'avoir un patrimoine à protéger ne fait pas question. Ce n'est pas totalement le cas dans notre pays. Lorsqu'il serait légitime de protéger certains intérêts, cela semble soulever des débats sans fonds. Cela peut être dérangeant. Nous avons besoin d'investissements étrangers. Nous ne pouvons pas criminaliser toute forme de participation étrangère au développement de notre pays. En revanche, mettons en parallèle quelques dispositifs, dont l'un qui permet d'échelonner ce qui se fait dans un certain nombre de pays. En l'occurrence le dispositif américain nous dit qu'une puissance n'a aucune forme de difficulté à poser qu'un enjeu de sécurité nationale est un enjeu sur lequel certains responsables et le premier d'entre eux, le Président, dit qu'il relève de cet espace identifié comme Sécurité nationale et nous pouvons donc y mettre certaines conditions restrictives. Les investissements étrangers peuvent tout simplement interdits ou assortis de conditions éminemment restrictives : ne pas toucher à la direction de l'entreprise acquise, il n'est pas possible d'entrer dans les laboratoires de recherche, etc. Je vous laisse imaginer ce que cela pourrait donner en Europe et particulièrement en France, fut-ce d'évoquer le débat. Cela a été fait d'ailleurs, et on a dit que c'était totalement inacceptable et infaisable dans notre pays, sans doute pour des raisons culturelles et pas simplement liées au droit européen. Pour le cas de la Chine, ces questions ne souffrent pas de difficulté sur le fond. Je ne sais pas si elles sont argumentées dans des textes précis, mais nous en voyons le résultat sur le traitement des investissements étrangers. Si vous travaillez avec des partenaires chinois pour développer l'activité économique dans le pays, il y a des prises de position assez nettes et à la base du dispositif d'efficacité de ces pays. Mais il serait relativement vain d'essayer de lister de manière mécanique ce que le droit dans tel pays dit sur ces questions-là, ce qu'il dit dans un autre. Il y a des pays qui assument clairement une stratégie de puissance dans laquelle il y a un volet de sécurité économique déterminant, d'autres l'assument moins bien. C'est essentiellement ce qui fait la différence. Bernard CARAYON

Comment pouvons-nous décrire les dispositifs publics chinois, brésiliens ou indiens, d'accompagnement de leurs entreprises sur les marchés mondiaux. Eric DELBECQUE

Tout dépend de si nous parlons d’un dispositif d'accompagnement transparent ou moins transparent. Pour ce qui est des dispositifs les moins transparents, j'en sais moins que la DCRI par exemple. Pour ce qui est des aspects transparents, la coordination existe entre les différentes élites dans ces pays - je fais référence au débat qui agite les différentes formes d'élites chinoises, qu'elles soient politiques, militaires, économiques. Il n'y a pas véritablement de différence entre les stratégies suivies qui s'articulent les unes aux autres. Le dispositif d'accompagnement des intérêts économiques chinois en Afrique notamment est une réussite de coordination de l'ensemble des initiatives prises par des intérêts économiques et des intérêts politiques, qui soulagent des problématiques démographiques. Il y a une coordination entre l'ensemble de ces intérêts générée par une question culturelle. Deux brillants officiers supérieurs chinois l'ont écrit dans le livre « La guerre hors limites » en précisant qu'il n'y a pas


des conflits géopolitiques, des conflits économiques, des conflits culturels, des conflits liés à la sécurité des systèmes d'information, mais qu'il y a tout cela en même temps. Le soutien aux intérêts économiques est la coordination de ces efforts qui produit la réussite. Nous pourrons toujours dire qu'ils utilisent leurs stagiaires étudiants dans telle ou telle entreprise, qu'ils ont telle ou telle forme d'associations d'étudiants basées en Belgique ou ailleurs, que tout cela produit de la déperdition d'information dans nos entreprises. C'est sans doute vrai mais c'est ailleurs que cela se joue et principalement dans la coordination des différents responsables. Bernard CARAYON

Est-ce qu'il y a aujourd'hui de la part des services déconcentrés de l'Etat une véritable mobilisation sur ce sujet ? Qui coordonne ? Le préfet de région ? Comment se comportent les autres services de l'Etat dans cette démarche interministérielle par nature ? Préfet Yann JOUNOT Nous sommes aujourd'hui dans un horizon d'une meilleure organisation des services territoriaux. Cette politique publique est relativement récente. L'enjeu que nous avions était d'assurer la meilleure cohérence possible au plan territorial de la politique. La règle c'est que ce sont les préfets de régions au niveau territorial qui assurent cette coordination, à la fois sur le périmètre des services de l'Etat mais au delà puisqu'il faut mobiliser l'ensemble des acteurs, collectivités territoriales et réseau des consulaires. Ce que nous faisons au niveau national pour renforcer la complémentarité des services, gérer la mobilisation des ministères sous l'autorité du nouveau Délégué contribue aussi à l'efficacité de la chaîne territoriale. Le national et le territorial sont étroitement liés. Concrètement sur le plan territorial, il y a un préfet de région en charge du dispositif qui est généralement piloté par un collaborateur direct du préfet de région qui lui-même s'appuie sur un collaborateur direct pour assurer au quotidien la mobilisation de l'ensemble des acteurs. Sur le plan de l'organisation, nous avons donc un comité stratégique présidé par le préfet de région qui va associer les collectivités territoriales, les réseaux consulaires, qui se réunissent à échéances plus ou moins régulières tout au long de l'année. L'instance opérationnelle en dessous du comité stratégique ce sont des comités opérationnels qui se mobilisent à la fois sur l'offensif et le défensif. Traditionnellement, en France nous faisons la distinction entre offensif et défensif. Le défensif regroupe les démarches de connaissance sur les attaques qui peuvent porter sur le patrimoine matériel, immatériel de l'entreprise et les systèmes de communication et les démarches de réponse. Il est extrêmement important de rationaliser la mobilisation des services de l'Etat, de façon à ce que cette intervention soit réalisée dans un axe de complémentarité en direction des entreprises et nous avons besoin sur le plan territorial de l'ensemble des services. La DCRI a une place essentielle, notamment sur la contre ingérence. L'ensemble des autres services, Gendarmerie, SDIG, DPSD, Services du ministère de l'Economie et des Finances, doit être mobilisé dans un axe de complémentarité. La Direction de la Planification de Sécurité Nationale, à sa création et à partir de l'état des lieux qui a été mené, inscrit l'ensemble des préfets de région dans un schéma d'organisation le plus homogène possible sur l'ensemble du territoire. Les préfets ont établi des schémas triennaux qui permettent d'engager, sur le plan territorial, des actions visant à atteindre les objectifs que nous poursuivons tous. Ces schémas vont évoluer à la lumière du travail qui va être conduit par le Délégué notamment, sur la question des secteurs à protéger. Ce qui est important c'est le collectif dans cette réponse sur les enjeux de l'intelligence économique, à la fois au niveau national et au niveau territorial. Le ministère de l'Intérieur, par rapport au niveau territorial, a une responsabilité particulière puisque c'est ce ministère qui assure le relais en direction des préfets de région, notamment sur l'ensemble de ces aspects d'organisation. Mais le schéma assurera une meilleure couverture territoriale sur l'ensemble du territoire. Contrôleur Général Gilles GRAY

Je rejoins entièrement les propos précédents. Quant à la question des dispositifs de nos amis voisins en matière l'intelligence économique, la grande force de la France, c'est que non seulement à l'instar des pays qui ont été cités, elle a un dispositif élaboré au niveau central, mais là où nous sommes les meilleurs, c'est que nous l'avons décliné au niveau territorial. Aux Etats-Unis, il y a de multiples structures au niveau fédéral qui travaillent sur la sécurité et l'intelligence économiques mais c'est difficile de faire passer le message dans les différents états des Etats-Unis. Est-ce que vous connaissez un seul pays au monde, même ceux un peu moins démocratiques que les autres, dont les entreprises voient arriver les services pour leur donner des conseils de sécurité ? En France nous avons la DCRI, la DPSD et la Gendarmerie nationale, ainsi que les services de Bercy déconcentrés qui vont dans les entreprises prodiguer des conseils en matière de sécurité. D'ailleurs, le fonctionnaire, qui est traditionnellement un fonctionnaire de contrôle dans l'Administration française, devient un fonctionnaire de conseil. Ce qui est parfois difficile à comprendre chez les fonctionnaires eux mêmes et chez les entrepreneurs. Aux Etats Unis, le FBI ne va pas dans les entreprises prodiguer des conseils de sécurité économique. Au Royaume Unis, le MI5 n’y va pas non plus. Ils laissent cela à des cabinets privés. Cette mise en place de l'intelligence économique territoriale a été une grande force depuis septembre 2005. Cette mise en place, réalisée d'ailleurs par le ministre de l'Intérieur de l'époque, qui est actuellement notre Président de la République, fait que le message passe aussi bien dans le 8ème arrondissement de Paris qu'à Aurillac dans le Cantal. C'est vraiment notre grande force par rapport aux autres pays. Nous avons une véritable politique publique d'intelligence économique. D'ailleurs nous sommes le seul pays au monde à avoir érigé cela en politique publique. Donc tous les ministères concernés doivent travailler. Bernard CARAYON

Monsieur Clerc, quelles sont, selon vous, les différentes portes d'entrées pour les entreprises qui sont soucieuses à la fois


d'améliorer leurs fonds propres, de mieux se protéger, de partir dans de bonnes conditions à la conquête des marchés étrangers, en dehors des Chambres de commerce bien sûr? Phillipe CLERC

Les meilleures portes d'entrée sont celles que nous avons décrites dans cette organisation collective, dans cette intelligence collective qui est répartie sur le territoire. L'ouverture vers l'expertise privée permet dans des organisations de plus en plus sophistiquées pour une entreprise d'entrer dans un collectif d’intelligence économique. Prenons l’exemple des pôles de compétitivités et leurs organisations sophistiquées ainsi que des grappes d'entreprises ou les filières. à travers le capteurs que sont les Chambres de commerce, nous sentons, par rapport à la politique publique qui pendant des années a mobilisé les entreprise en disant « faites de l'intelligence économique, protégez vos actifs », que ce sont à présent les entreprises qui créent de la dynamique, qui tirent les pratiques et les organisations. Si nous voulons penser la sécurité économique nouvelle, il faut penser ces nouvelles organisations. La sécurité économique d'un pôle de compétitivité, qui aujourd'hui se pose la question du marché mondial et qui doit rentrer dans des coopérations internationales, est illustrée par exemple par l’action de grands pôles tels que « System@tic » sur la région parisienne avec plusieurs centaines de PME et les grands groupes. Ils sont déjà dans des systèmes mondiaux et travaillent déjà en coopération avec les Chinois par exemple. Comment organiser la sécurité économique incluant la sécurisation du dispositif financier pour les fonds propres, dans ces grands dispositifs, composés de laboratoires, d’universités, de PME et de grands groupes? Ce sont des entrées qui m'apparaissent intéressantes et à exploiter. Nous voyons aussi apparaître des marchés que j’appelle « sophistiqués » entre les filières qui vont devoir, pour survivre par l'innovation, entrer dans des coopérations inter-filières, ce qui est un véritable enjeu de politique industrielle et de sécurité économique. Une filière mécanique devra ainsi travailler avec une filière éco industrie, TIC ou logistique. Elle devra élaborer une chaine de valeurs qui cartographie les savoir-faire existants et repère ceux nécessaires à l’innovation vers de nouveaux produits ou de nouvelles niches. Ainsi ces entreprises souvent sous-traitantes pourront trouver dans un marché collectif une dynamique pour s’extraire de son marché traditionnel et rénover ses savoir-faire traditionnels. Il y a là des potentiels considérables. Mais ce sont chaque fois des plates formes qui vont, grâce à la coopération public/privé, trouver des chemins d'accompagnement pour la sécurité et l'ouverture de nos marchés aux PME et que nous souhaitons ardemment pour des ETI. Bernard CARAYON

Monsieur le Commissaire, Philippe Clerc vient d'évoquer les pôles de compétitivité qui rassemblent les meilleurs talents industriels, scientifiques et universitaires, français et étrangers. Est-ce que ces pôles ne constituent pas un espèces de « pot de miel » attirant aussi tous les besoins d'informations inavouables? Commissaire divisionnaire Eric BELLEMIN-COMTE J'allais précisément employer le même mot. Effectivement nous avons constitué de formidables concentrations d'objectifs pour des manifestations d'intérêts de concurrents étrangers. Évidemment l'Etat est porteur d'une très lourde responsabilité en terme de protection de l'environnement des pôles de compétitivités. Car les entreprises qui vont adhérer à ces pôles doivent pouvoir évoluer en leur sein en toute sérénité, en toute confiance. Il est évident que la protection de ces pôles est une mission essentielle qui relève de la compétence des différents services de l'Etat et pas seulement de la DCRI. A titre d'exemple, la DCRI a contribué à la sécurisation des plates-formes collaboratives des pôles de compétitivités. A savoir les outils informatiques qui vont permettre aux entreprises qui ont intégré ces pôles d'échanger des données sensibles ou non, stratégiques ou relatives à certains projets, en toute sécurité. Avec des plateformes numériques avec un certain nombre de pare-feu, des outils informatiques sécurisés. Mais également dans la veille sur les entreprises prestataires de services qui offrent leurs services à ces mêmes pôles de compétitivités. Ce que j'appelle l'environnement de l'entreprise. Donc les pôles de compétitivités sont bien évidemment un centre d'intérêt majeur de préoccupation. D'autant plus que ces pôles, pour un grand nombre d'entre eux, sont tournés vers l'international, ont une vocation mondiale, mais également signent des accords de coopération avec un certain nombre de grands partenaires. Encore une fois nous sommes dans une logique d'influence croisée, de concurrence, mais également de partenariats croisés. Un pôle de compétitivité n'évolue pas dans une bulle sécurisée. Un pôle de compétitivité bien évidemment est tourné vers l'extérieur. Et à ce titre, la sécurité est un enjeu majeur de l'existence, de la survie de ces pôles. C'est un enjeu très complexe car il y a de l'ouverture, des échanges, notamment en matière de recherche et de développement. Bernard CARAYON

Il existe aux Etats Unis un droit du secret des affaires, le Cohen act. J'ai déjà eu l'occasion de signer une proposition de loi à ce sujet. Est-ce que la protection des informations économiques et sensibles est un sujet d'actualité pour votre délégation ? Contrôleur Général Gilles GRAY

C'est un sujet majeur et prioritaire. Le Comité directeur, présidé par le Secrétaire Général de l'Elysée, qui s'est réuni le 23 février, a donné comme mission, après proposition d'ailleurs du Délégué interministériel, de travailler sur le secret des affaires. Il y a trois aspects. Il faut d'abord le définir. Vous êtes sans doute, Monsieur le Député, le mieux placé pour parler de cette définition, définition qui peut être très proche du Cohen Act américain de 1996. Deuxième exigence, instaurer pour les entreprises qui le veulent un « confidentiel entreprise » qui donnera des obligations aux salariés qui ont été dûment désignés pour avoir connaissance d'un secret d'entreprise, d'un « confidentiel entreprise ». Nous voulons laisser la liberté à tous les chefs d'entreprise de déterminer si oui ou non au sein de leurs structures ils instaurent ce « confidentiel entreprise ». Y aurait-il une sanction pénale à la violation du « confidentiel entreprise » ? Nous sommes en cours de discussion avec le ministère de la Justice qui nous


indique, à juste titre, que les choses sont extrêmement complexes mais peut-être que ce « confidentiel entreprise » pourrait figurer comme le « confidentiel défense » sur un papier, mais sans habilitation préalable des personnels – on considère que les salariés d'une entreprise sont es-qualité habilités à voir du « confidentiel entreprise » - la sanction serait de mettre dans le contrat à l'embauche ou dans le règlement intérieur pour les salariés déjà présents dans l'entreprise que s'il y a violation, divulgation, volontaire ou involontaire, de ce « confidentiel entreprise », ce pourrait être assimilé à une faute lourde. Troisième aspect, qui résulte d'une demande forte des entreprises, ce sont les obligations de publication qui pèsent sur les dites entreprises. La plus connue est le dépôt annuel au Greffe du Tribunal de commerce des comptes de résultat, du bilan et des annexes. C'est souvent dans les annexes, consultables par tous sur infogreffe, que pour certains spécialistes il est possible de déceler la stratégie de l'entreprise. Notre travail est donc composé de trois parties. D'abord, nous devons définir le secret des affaires. Nous avons comme modèle votre proposition de loi, le Cohen Act, l'accord OMC de 1994, etc. Nous voudrions insérer le « confidentiel entreprise » dans ce futur texte. Quant aux obligations de publication, nous nous heurtons à l'exigence européenne. Les 4ème et 7ème directives imposent le dépôt de certains documents. Nous, Français, nous devrons, sur proposition du ministère de la Justice, revoir notre adhésion à cette 4ème directive et enlever des annexes dont le dépôt est obligatoire, ligne par ligne, ce qui pourrait laisser croire à une divulgation de la stratégie des entreprises françaises. Nous sommes allés trop loin et nous devrons faire marche arrière. Nicolas KATZ, Consultant en intelligence économique et lieutenant de réserve de Gendarmerie en Région de Gendarmerie Ile de France En France, nous avons une quarantaine de formations spécialisées en intelligence économique qui mettent chaque année sur le marché de l'emploi des étudiants ultra-formés aux pratiques d'intelligence économique et qui pourraient aider les entreprises françaises de manière opérationnelle et stratégique. Contrôleur Général Gilles GRAY

S'il y a trop de formations à l'intelligence économique, c'est qu'il y a peut-être un problème. C'est l'un des chantiers de la Délégation interministérielle de tenter de cadrer ces formations. La profession d'intelligence économique est un véritable métier. La LOPPSI future nous aidera à le voir et nous allons les séparer des agences de renseignement privé parce que la confusion est évidemment malsaine. Ce que nous cherchons à faire avec les Universités et les Grandes écoles, c'est avant de faire des formations spécifiques pour les métiers de l'intelligence économique, faire en sorte qu'il y ait déjà la connaissance de l'intelligence économique auprès des grandes écoles de commerce, d'ingénieur, de l'Administration et des grandes écoles scientifiques pour que les futurs décideurs, les futurs cadres du pays aient conscience que l'intelligence économique existe. Nous pensons que ce n'est que lorsqu'ils auront acquis la connaissance de l'intelligence économique, compris que cela sert à quelque chose et que c'est un investissement rentable, qu'ils feront venir les consultants. Il y a des formations en intelligence économique, elles sont relativement peu nombreuses, certaines sont très connues, comme l'Ecole de Christian Harbulot, mais il y a une multitude de petites fabriques de master qui ne vont pas très loin. Il faudrait que le discours et le message intelligence économique puisse passer auprès des futurs décideurs, pour qu'une fois en fonction, ils se disent qu'ils ont besoin d'une cellule ou d'une structure d'intelligence économique. Combien y en a-t-il qui font ça ? Les entreprises qui ont en régie un service d'intelligence économique se comptent sur les doigts d'une main. Si le message de la nécessité ou du caractère indispensable de l'intelligence économique ne passe pas auprès des décideurs, les métiers de l'intelligence économique ne pourront pas s'épanouir malgré la multiplicité de masters. Commissaire Eric BELLEMIN-COMTE

En tant que service de sécurité de l'Etat, la question de la formation est au cœur d'un enjeu de sécurité économique. Les prestataires en matière d'intelligence économique sont dépositaires, lorsqu'ils contractent ou lorsqu'ils travaillent en régie dans une entreprise, de données très sensibles sur l'entreprise. Une entreprise qui vient voir un cabinet d'intelligence économique va exposer sa stratégie de conquête de tel ou tel marché, son intérêt pour telle ou telle entreprise qu'elle souhaite acquérir, etc. Le cabinet deviendra donc un tiers de confiance. De la même façon, il va glaner de l'information sensible, mais ouverte - on a parfois du mal à dire ce qu'est l'intelligence économique mais en tant que service de sécurité de l'Etat, je sais ce que ce ne doit pas être. Notre perspective est de permettre aux entreprises d'avoir recours à des prestataires d'intelligence économique dûment labellisés, avec une formation labellisée, des personnes qui savent ce qu'est l'intelligence économique et ce qu'elle n'est pas, notamment au sens de la légalité. La formation est au cœur de cette discussion de sécurité économique à travers les prestataires d'intelligence économique. C'est pourquoi la LOPPSI qui sera prochainement votée prévoit de réglementer le secteur de l'intelligence économique au titre de la loi sur la sécurité privée car nous sommes au cœur d'un enjeu de sécurité économique pour les entreprises.

Nicolas KATZ

A propos de l'emploi en intelligence économique, sont issus des formations de l'EGE, l'EM Lyon ou le Master de Poitiers, de jeunes experts dans les problématiques actuelles. Pour internet, je suis souvent interloqué par le discours des entreprises qui ont des difficultés à gérer les problèmes liés à l'internet, aux réseaux sociaux, de leur communication, des problèmes d'influence, etc. A l'issue des masters, il y un vivier de personnes prêtes à intervenir très rapidement et à proposer des solutions très efficaces et parfois très simples. Il faut sans doute passer par un discours de sensibilisation à haut niveau des décideurs, mais les étudiants fraîchement diplômés pourraient représenter des solutions à bas coût, opérationnelles immédiatement pour dynamiser le discours d'intelligence économique auprès des entreprises. Ne faudrait-il pas un discours d'intelligence économique à plus large


échelle auprès des directeurs des ressources humaines et de l'emploi en général pour avancer de manière beaucoup plus dynamique, en particulier dans ce contexte de crise qui rend l'innovation importante, puisque les consultants en intelligence économique, grâce à leur connaissance de l'information ouverte permettent de détecter des pépites d'innovation pour fournir les entreprises françaises ? Christian HARBULOT

Vous avez mis le doigt sur un point important, le gap générationnel à franchir par rapport à l'univers de l'internet. C'est un problème qui touche beaucoup de milieux, aussi bien dans le monde de l’entreprise que dans l’appareil d’Etat. Nous en parlons souvent avec Eric Delbeque qui a une formation également très performante. Sur ce terrain, il faut s'armer de patience et faire évoluer les choses progressivement. L’Ecole de Guerre Economique (EGE) est aujourd’hui au cœur de ces problématiques et est devenue un centre d’expertise à vocation internationale dans le domaine des opérations d’information et d’influence. Sa pédagogie associe les deux dimensions vitales : l’usage opérationnel des technologies de l’information et la capacité de produire de la connaissance adaptée aux rapports de force économiques qui opposent des intérêts économiques de toute nature. Cela nous amène à opérer des transferts de savoir et de méthodologie entre le monde civil et le monde militaire. J'ai discuté dernièrement avec un de mes anciens stagiaires du Collège Interarmées de Défense qui a tiré les enseignements pratiques des démarches innovantes que nous initions à l’EGE pour les appliquer avec des résultats très encourageants sur les théâtres d’opérations extérieures. Cette nouvelle génération d'officiers a intégré la dimension de la société de l’information dans la maîtrise de la connaissance du terrain, comme le font aujourd’hui un certain nombre d’entreprises confrontées à ces nouvelles formes de développement et de compétition, donc d’opportunités et de menaces. Je le vois dans la ventilation de mes étudiants diplômés sur le marché de l’emploi. De nouveaux types de métiers apparaissent car les entreprises expriment de plus en plus clairement leurs besoins en matière de management de l’information. Même les formations qui ne sont pas spécialisées dans le domaine de l’intelligence économique, doivent s’adapter à ces nouvelles exigences. C’est le cas du mastère SMIB de l'ESSEC qui a fait passer l’IE à un statut d’en enseignement majeur. Il faut un message fort de l'Etat - et le Délégué interministériel est bien placé pour jouer ce rôle - afin de sensibiliser les grandes écoles, et en particulier le monde de l'ingénieur, car il est évident qu'il ne faut pas que se creuse un fossé entre les personnes chargées d’innover et celles dont la fonction est d’aider à la conquête des marchés. Ce n’est que sous l’effort conjugué des pouvoirs publics, des entreprises et des opérateurs privés que nos arriverons à doter notre pays des atouts suffisants pour préserver sa sécurité et son intégrité.

Intervention

Christian Estrosi

Ministre de l’Industrie



INTERVENTION

CHRISTIAN ESTROSI Ministre chargé de l’Industrie

Seul le prononcé fait foi

Mesdames, Messieurs,

Permettez-moi de remercier les organisateurs de ces deuxièmes Rencontres de la Sécurité intérieure pour leur

invitation à venir m’exprimer devant vous ce matin, en saluant tout particulièrement le président de cette manifestation, mon ami Eric Ciotti.

Pour les nombreux experts présents ce matin, la notion de « nouvelles menaces » renvoie à une réalité parfaitement

connue, celle d’une nouvelle donne géostratégique dans laquelle la menace globale n’est plus liée au rapport de forces interétatiques, mais à l’activité de réseaux capables de défier le pouvoir des Etats et les intérêts économiques

des entreprises.

Or à la différence des Etats, l’univers naturel des entreprises n’est pas celui de la menace, diffuse et incontrôlée, mais

celui du risque connu et mesuré. Anticiper des risques, évaluer leur opportunité et leur coût puis passer les provisions correspondantes, c’est même l’une des missions premières de la gestion d’une entreprise.

Avec l’émergence des nouvelles menaces, les entreprises se trouvent donc confrontées à une réalité inédite, celle de

devoir faire face à des risques de dégradation du résultat ou de destruction d’actif sans rapport direct avec leur activité et dont il est particulièrement difficile d’évaluer le coût a priori.

Cette situation est d’autant plus délicate que l’origine de ces nouvelles menaces peut faire intervenir une multiplicité

d’intervenants, qu’il s’agisse de concurrents directs cherchant à conquérir un même marché, d’acteurs étatiques et de fonds souverains poursuivant des intérêts géopolitiques et stratégiques, de prestataires privés agissant pour leur

compte, de lobbies ou de groupes militants, ou encore de véritables groupes criminels.

Cette incertitude qui pèse sur les entreprises est le cœur du mécanisme de déstabilisation lié à l’émergence des nouvelles menaces. Elle empêche, en outre, le développement de mécanismes d’assurance de type privé. Seule la

puissance publique est donc en mesure d’aider les entreprises à faire face à ces nouvelles menaces : c’est pourquoi le

thème de travail que vous avez retenu pour ces deuxièmes Rencontres de la Sécurité intérieure me paraît tout à fait bienvenu.

Parmi toutes les menaces qui pèsent sur les entreprises, nombreuses sont celles qui relèvent de mesures de sécurité relativement classiques. Assurer la protection des installations physiques et l’intégrité physique du personnel, se

prémunir contre le vol de matériel, sécuriser les transactions financières et déjouer les tentatives d’intrusions des systèmes informatiques constituent évidemment des enjeux de taille, mais pour lesquels nous avons des marges

d’action relativement fortes.

En tant que ministre de l’Industrie, il me semble pour ma part que la plus grande menace qui pèse sur nos

entreprises, mais aussi sur notre économie est celle qui concerne nos savoir-faire industriels. Dans un pays tel que le nôtre, qui met tout en œuvre pour conserver et pour accroître son rang parmi les grandes nations industrielles, c’est

à la fois un enjeu de compétitivité et de souveraineté que nous devons considérer comme tout à fait prioritaire.

Face à la concurrence que se livre l’ensemble des économies de la planète, notre capacité d’innovation constitue en

effet un avantage compétitif évident. C’est même la clé de notre compétitivité si nous voulons qu’elle soit fondée sur la qualité des produits et non sur la réduction des coûts de production, domaine dans lequel nous serons toujours

moins bien placés que les pays émergents à faible coût de main d’œuvre. Je veux saluer, à ce titre, la réflexion passionnante et toujours d’actualité qu’a conduite Bernard Carayon sur les questions d’intelligence économique qui

sont aujourd’hui d’une importance stratégique pour notre pays.



Le soutien à l’innovation constitue donc aujourd’hui un élément absolument déterminant de la nouvelle stratégie

industrielle de la France.

Cela passe, notamment, par la politique des pôles de compétitivité auxquels nous avons décidé de consacrer un budget de 1,5 milliards d’euros pour trois ans.

Cela passe également par le soutien au dispositif du crédit d’impôt recherche qui a représenté l’année dernière, en pleine crise économique mondiale, un soutien de plus de 4 milliards d’euros à la recherche des entreprises.

Cela passe aussi par toutes les mesures de soutien à l’innovation prévues dans le cadre des investissements d’avenir. Ainsi, près de dix milliards d’euros ont été consacrés à des priorités sectorielles sur des filières d’avenir dans le cadre

de l’emprunt national. Enfin, le Gouvernement soutient activement les entreprises innovantes. La création du Fonds stratégique

d’investissement a d’ores et déjà permis d’engager plus de 1,4 milliards d’euros dans le capital d’entreprises

innovantes et un dispositif a spécialement été conçu pour soutenir l’activité des jeunes entreprises innovantes pour lesquelles le Gouvernement a décidé, le mois dernier, de consacrer un budget de cent millions d’euros sous forme

d’exonérations de charges sociales.

Il ne suffit pas d’encourager l’innovation : il faut aussi la protéger face aux nouvelles menaces qui sont celles de la contrefaçon et des transferts forcés de technologie.

Le cas de la contrefaçon est particulièrement préoccupant. Il représente entre 7 et 10% du commerce mondial et touche tous les secteurs d’activité, bien au-delà de l’industrie du luxe. C’est d’autant plus préoccupant que la qualité

des copies de produits ne cesse de s’améliorer. Par la diversité des acteurs qu’elle met en jeu, par son déploiement à l’échelle mondiale, par son renouvellement incessant, la contrefaçon est tout à fait symptomatique des nouvelles

menaces qui pèsent sur notre économie. On estime qu’elle conduit à un manque à gagner pour les entreprises qui représente la perte d’environ trente mille emplois par an en France et de deux cent mille emplois en Europe.

Quant aux transferts de technologie, qui sont inéluctables dans une économie ouverte et mondialisée, ils traduisent

parfois un véritable pillage de ressources et de savoir-faire. Les premières victimes en sont les PME qui sont souvent

mal outillés pour faire respecter leurs droits de propriété intellectuelle. Le principal signe de cette fragilité juridique qui pèse sur nos entreprises et favorise ces nouvelles menaces, c’est la moindre protection de notre innovation. Pour

un milliard d’euros dépensés en recherche et développement, la France dépose quatre-vingt-un brevets en moyenne quand le Japon en dépose cent-cinquante-trois ! Cette situation nous rend particulièrement vulnérables face aux

agissements d’acteurs peu scrupuleux qui n’hésitent pas à copier nos produits et nos procédés industriels.

C’est la raison pour laquelle la France a commencé à se doter des outils nécessaires pour faire face à ces nouvelles menaces qui pèsent sur les actifs immatériels de ses entreprises.

Ainsi, dans le cadre des Etats généraux de l’Industrie, plusieurs mesures incitatives ont été actées pour favoriser

l’exploitation des brevets et inciter ainsi les entreprises à mieux protéger leur propriété intellectuelle. Une réflexion est actuellement en cours sur l’éventualité d’appliquer un taux d’imposition réduit sur les produits de cession ou de

licences des brevets, y compris si leur exploitation est réalisée par une filiale d’un même groupe, ce qui évitera ainsi aux entreprises d’avoir à faire exploiter leurs brevets à l’extérieur du groupe voire dans leurs filiales étrangères. Par

ailleurs, la création d’un fonds d’investissement dénommé France Brevets est envisagée pour permettre l’attribution

de licences d’exploitation de brevets à l’étranger.

La France est également très attachée au projet de création d’un brevet de l’Union européenne qui permettra aux entreprises européennes d’être protégées sur l’ensemble du territoire de l’Union européenne, tout comme elle

soutient le projet de juridiction unique des brevets en Europe. Par ailleurs, la lutte contre la contrefaçon s’est intensifiée. Les saisies douanières sont ainsi passées à sept millions

d’articles en 2008, contre cinq millions et demi en 2005 et trois cent mille en 1995. C’est un sujet qui fait l’objet de

négociations bilatérales soutenues et constructives avec les pays émergents, notamment avec la Chine. Mon ministère mène ainsi une politique active de coopération avec la Chine qui passe notamment par la coopération

technique entre l’Institut National de Propriété Intellectuelle (INPI) et son homologue chinois (SIPO). La coopération policière et douanière a été renforcée et un accord de coopération anti-contrefaçon a été signé en 2009.

Cela donne des résultats concrets : les douanes chinoises ont saisi des contrefaçons dans le cadre de l’Exposition Universelle de Shanghai, pour utilisation illicite du logo de l’exposition.



Mesdames, Messieurs,

Notre économie fait face, aujourd’hui, à de nouvelles menaces qui pèsent directement sur nos efforts en matière d’innovation et d’intelligence collective. Mais ces nouvelles menaces sont aussi à la mesure des nouvelles échelles

auxquelles vivent nos entreprises, celle d’un monde globalisé dans lequel la diffusion de l’information est toujours plus rapide et d’une économie de la connaissance fondée sur l’innovation. A nouvelles menaces, nouvelle stratégie :

c’est tout le sens de la nouvelle politique industrielle que le Président de la République m’a demandé de conduire.

Je vous remercie.

Intervention

Brice HortefeuxMinistre de l’Intérieur, de l’Outre-mer

et des Collectivités territoriales



INTERVENTION

BRICE HORTEFEUX

Ministre de l’Intérieur, de l’Outre-mer et des Collectivités territoriales Seul le prononcé fait foi

Monsieur le Président, Mesdames et Messieurs, C'est avec beaucoup de plaisir que je réponds, aujourd'hui, à l'invitation de mon ami Eric Ciotti, Président de ces 2èmes Rencontres de la Sécurité intérieure. Eric Ciotti est sans doute le député qui connaît le mieux les questions de sécurité, et je serai donc naturellement très attentif aux conclusions des travaux de ces Rencontres qu'il a bien voulu organiser. Vous avez choisi de consacrer ces échanges au thème des « nouvelles menaces de sécurité pesant sur les entreprises ». C'est un enjeu essentiel, que les différentes forces du ministère de l'Intérieur ont pris à bras le corps. Mais c'est aussi un sujet complexe autant, d'ailleurs, par la variété des menaces potentielles que par la disparité des acteurs impliqués dans ce combat. C'est, enfin, une question stratégique, touchant parfois aux intérêts économiques vitaux de la Nation. Pour se protéger efficacement, il faut d'abord cibler la menace. Quels sont, en effet, les risques auxquels sont exposées nos entreprises ? Les menaces les plus fréquentes restent des menaces classiques, bien connues et assez peu sophistiquées. Je pense, d'abord, aux atteintes matérielles. Les vols de produits et d'équipements, ainsi que les fraudes internes, restent les délits les plus fréquents. Selon une enquête EDHEC/CDSE réalisée sur 73 multinationales françaises, 60 % des entreprises auraient été victimes de ce type d'agissement en 2009. Ces cambriolages et ces dégradations volontaires sont, généralement, bien intégrés dans la politique de gestion des risques des entreprises. Je crois, néanmoins, qu'il ne faut pas les sous-estimer et qu'il existe des marges de progression que nous devons exploiter en renforçant les mesures de prévention, de précaution et de protection. Je pense, aussi, à la contrefaçon, qui demeure une réelle menace pour notre capacité d'innovation. Aujourd'hui, l'accessibilité des technologies et des savoir-faire est de nature à accélérer l'émergence et le développement des marchés de la contrefaçon. En 2009, les saisies de produits contrefaits réalisés par la douane ont augmenté de plus de 8%. Mais le plus inquiétant reste l'évolution du phénomène qui est passé, en quelques années d'une industrie locale se consacrant à la copie de produits ciblés de grand luxe, à une production de série et une vente en masse de produits de toute nature. Nous sommes, ainsi passés d'un risque purement économique ne touchant que les marques copiées à une menace beaucoup plus large touchant à la santé et à la sécurité des consommateurs et au fonctionnement de notre société. Je vous le dis : notre détermination à lutter contre la contrefaçon n'en est que décuplée. Aujourd'hui, la crise économique mondiale que nous traversons ajoute inévitablement à ces risques des menaces spécifiquement liées à la conjoncture. Je pense, par exemple, à certains modes de contestation au sein des entreprises. Nous avons vécu des actions à fort retentissement médiatique, comme la séquestration inadmissible de chefs d'entreprises ou les menaces de sabotage ou de destruction physique de l'outil de production. Pour l'instant, ces crises ont toujours été résolues sans mise en danger des populations, mais il s'agit d'une évolution à prendre en compte en définissant des stratégies pour prévenir ces situations ou y mettre rapidement un terme si elle venait à survenir de nouveau. Parallèlement, dans ce contexte de concurrence mondiale exacerbée, le risque de pratiques déloyales ou frauduleuses se multiplie.



La crise du financement, en particulier, doit inciter à la vigilance face à des investisseurs aux stratégies très éloignées de l'intérêt national : fonds criminels en quête de blanchiment, fonds spéculatifs à court terme, investissements de prédation d'actifs, de savoir-faire ou de neutralisation concurrentielle, investissements souverains stratégiques. A ces menaces classiques ou conjoncturelles s'ajoutent, enfin, un certain nombre de menaces directement liées à l'évolution de nos sociétés. Je pense d'abord, au danger, encore trop souvent sous-estimé, que représente la cybercriminalité. Par cybercriminalité, j'entends non seulement les infractions spécifiques liées aux technologies de l'information et de la communication mais aussi toutes les infractions dont la commission est facilitée ou liée à l'utilisation de ces technologies. De ce point de vue, les entreprises sont exposées à quatre grands types de menaces : les vols de données ; les intrusions dans les réseaux, à l'aide, notamment, « d'espiogiciels » ou de virus ; les interceptions de communications ou de flux de données, enfin, la manipulation d'employés ou de partenaires de l'entreprise. La cybercriminalité n'est pas une menace à prendre à la légère. Une étude récente publiée par l'éditeur de logiciels de sécurité Symantec, estime en effet à 2,4 milliards d'euros la perte moyenne subie, en 2009, par les grandes entreprises françaises du fait d'attaques informatiques. Par ailleurs, selon l'enquête EDHEC/CDSE que je citais tout à l'heure, 35 % de nos sociétés ont été victimes d'intrusions dans leur système informatique et 27 % d'entre elles auraient fait l'objet d'une usurpation d'identité en 2009. En matière de cybercriminalité, les entreprises ont un rôle de pédagogie essentiel à jouer auprès de leurs employés. Or, au vu de certaines affaires, je suis effaré de constater l'importance des données dérobées et les conséquences incalculables que peut avoir, parfois, le seul vol d'un ordinateur portable à la suite d'une négligence ou d'un oubli. Je vous le dis, nombre de ces attaques pourraient être évitées en appliquant quelques règles élémentaires de prudence. Je pense, bien sûr, à la protection des réseaux internes. Dans de trop nombreux cas, en effet, les différents collaborateurs d'une entreprise peuvent connecter leurs ordinateurs portables au réseau interne en disposant d'un simple anti-virus et non d'un véritable « pare-feu », démultipliant ainsi les risques d'attaques. Je pense aussi aux réseaux sociaux et aux informations qui y sont divulguées sans intentions malveillantes mais qui, combinées, peuvent permettre à un pirate de déclencher une attaque. Je pense, également, à certaines conséquences délétères de la mondialisation. L'implantation de nombre de nos entreprises dans certains pays instables génère, par exemple, des risques nouveaux et non négligeables d'enlèvements simplement crapuleux ou dotés d'une dimension de chantage politique. De même la localisation de certaines matières premières essentielles dans des zones géopolitiquement très instables crée des risques nouveaux de rupture d'approvisionnement qui pourraient mettre en danger certaines de nos activités stratégiques. Je pense, enfin, aux risques liés à la défense, parfois radicale, de l'environnement. Certains défenseurs de l'environnement adoptent en effet des comportements particulièrement excessifs et violents. Je pense, par exemple, aux mouvements de « libération animale » qui se sont fait connaître par des opérations de dégradation importante de laboratoires pharmaceutiques ou d'entreprises de cosmétiques. Face à ces menaces, quelle doit être notre politique ? Les entreprises peuvent compter sur le soutien de l'Etat, mais elles doivent être les premiers acteurs de leur sécurité. Il est, bien sûr, du devoir de l'Etat et des forces de Sécurité intérieure de contribuer à la sécurité des entreprises en remplissant leur fonction de protection des personnes, des biens et du patrimoine matériel et immatériel contre tout acte illicite. Le ministère de l'Intérieur assume ainsi des fonctions de veille et de sensibilisation auprès des entreprises et s'attaque, grâce aux services de la Police judiciaire, à la contrefaçon et à la cybercriminalité.



Au-delà de cette protection classique, nous mettons en œuvre une véritable politique publique d'intelligence économique pour défendre la compétitivité et la capacité d'innovation de nos entreprises. Dans le respect du jeu normal de la concurrence entre acteurs privés, nous développons ainsi notre action suivant deux dimensions : une dimension défensive ou passive, pour protéger les entreprises et les acteurs de la recherche contre les tentatives de déstabilisation ou de prédation ; une dimension offensive ou active, ensuite, pour anticiper les mutations, trouver et diffuser l'information stratégique et exercer une influence sur l'environnement technologique, économique et scientifique. Concrètement, au sein du ministère de l'intérieur, la Direction Centrale du Renseignement Intérieur (DCRI), en liaison avec la Direction de la Planification de la Sécurité Nationale (DPSN), exerce un suivi particulier pour plus de huit mille entreprises détentrices d'intérêts économiques fondamentaux pour la nation. Par ailleurs, j'ai mis en place, sous l'autorité des préfets, un réseau territorial qui est à la disposition des entreprises. Mais l'action déterminée de l'Etat pour la sécurité des entreprises ne peut être pleinement efficace que si ces dernières s'engagent, à leur tour, dans une démarche volontaire de protection de leurs atouts. Il y a, en matière de sécurité, un véritable partenariat à développer entre les secteurs public et privé. Déjà, l'Etat incite les entreprises à se doter de systèmes de vidéo-protection, particulièrement efficaces pour dissuader les petits délinquants. Nous devons, ensemble, développer une stratégie offensive pour faire baisser la délinquance contre les locaux industriels et commerciaux et pour obtenir des résultats concrets comme nous en obtenons, depuis neuf mois, contre les cambriolages de résidences principales et secondaires. Déjà, aussi, de bonnes pratiques se développent sur le terrain. Je pense, par exemple, à la désignation de référents « sécurité des entreprises » au sein de certains commissariats ou de certaines brigades de Gendarmerie. Je pense, également au développement de procédures de dépôt de plainte simplifiées pour le contentieux de masse, comme le vol à l'étalage dans les grandes surfaces. Toutes ces initiatives méritent d'être développées et amplifiées pour parvenir à une stratégie commune et concertée de l'État et des entreprises en matière de sécurité. Elles ne pourront cependant produire des résultats que si les entreprises se mobilisent totalement à cet effet. Mesdames et Messieurs, Le Président de la République m'a confié une mission : assurer la sécurité, partout et pour tous. Cela signifie qu'il ne doit pas y avoir de territoire oublié, de population négligée, ni de forme de délinquance tolérée. La sécurité des entreprises fait, ainsi, naturellement partie de nos préoccupations. Sur des sujets comme la lutte contre la contrefaçon ou l'intelligence économique, la France obtient des résultats importants. Face à des risques d'autres natures, nous devons, tous ensemble, renforcer et unir nos efforts. Quelle que soit la menace, notre réponse doit, en tout cas, être à la fois collective, ferme et coordonnée. La sécurité est et doit être une priorité d'action pour les entreprises. En effet, leurs résultats, leurs parts de marché, leurs perspectives de développement y sont aujourd'hui largement suspendus. Investir dans la sécurité c'est donc préserver l'avenir. Pour les pouvoirs publics, la sécurité des entreprises est ce faisant non seulement une préoccupation, mais une véritable obsession. Gagner cette bataille de la sécurité des entreprises est notre défi commun.

Troisième table ronde

Quelle politique de Sécurité nationale au service de l’entreprise dans le cyberespace ?

Animateur : Jean-Jacques URVOAS, Député du Finistère

Nicolas ARPAGIAN, Rédacteur en Chef de la revue Prospective Stratégique

Vice-amiral Michel BENEDITTINI, Directeur Général adjoint de l’Agence Nationale de

la Sécurité des Systèmes d’Information

Colonel Régis FOHRER, Commandant le Groupement de Gendarmerie départemen-

tale du Nord, créateur du Forum International sur la Cybercriminalité (FIC)

Alain FILEE, Directeur de la Business Unit « Sécurité », Groupe Bull

Denis GARDIN, Senior Vice President, Directeur du CyberSecurity Center, EADS-DS

Franck GREVERIE, Vice-président, Sécurité des Technologies de l’Information, Tha-

les

Dominique LAMIOT, Haut fonctionnaire de Défense et de Sécurité, Secrétaire Général

à l’Administration centrale des ministères économique et financier

Fred MESSIKA, Directeur de mission sécurité, Sekoia

Régis POINCELET, Vice-président du Club des Directeurs Sécurité des Entreprises,

Directeur de la Sûreté, GDF-Suez



TROISIEME TABLE RONDE

QUELLE POLITIQUE DE SECURITE NATIONALE AU SERVICE DE L’ENTREPRISE DANS LE CYBERESPACE ?

Animateur : Jean-Jacques URVOAS, Député du Finistère Nicolas ARPAGIAN, Rédacteur en Chef de la revue Prospective Stratégique Vice-amiral Michel BENEDITTINI, Directeur Général adjoint de l’Agence Nationale de la Sécurité des Systèmes d’Information Colonel Régis FOHRER, Commandant le Groupement de Gendarmerie départementale du Nord, créateur du Forum International sur la Cybercriminalité (FIC) Alain FILEE, Directeur de la Business Unit « Sécurité », Groupe Bull Denis GARDIN, Senior Vice President, Directeur du CyberSecurity Center, EADS-DS Franck GREVERIE, Vice-président, Sécurité des Technologies de l’Information, Thales Dominique LAMIOT, Haut fonctionnaire de Défense et de Sécurité, Secrétaire Général à l’Administration centrale des ministères économique et financier Fred MESSIKA, Directeur de mission sécurité, Sekoia Régis POINCELET, Vice-président du Club des Directeurs Sécurité des Entreprises, Directeur de la Sûreté, GDF-Suez Jean-Jacques URVOAS

Notre thème de cet après-midi est naturellement dans la cohérence des échanges qui ont eu lieu ce matin. C'est un focus particulier sur la cybercriminalité à partir des problématiques évoquées dans la deuxième table ronde. Le juriste que je suis a un regard normatif sur ce qu'est la cybercriminalité et je voudrais vous en proposer une définition, du point de vue de la Commission des Lois à laquelle j'ai aujourd'hui le privilège d'appartenir. Il me semble que nous allons parler d'infractions qui appartiennent à deux grandes catégories : celles qui ont pour objet les technologies numériques, mais aussi celles dont les technologies constituent la caractéristique principale. Ce n'est d'ailleurs pas un sujet nouveau dans l'enceinte de cette assemblée puisque depuis un certain nombre d'années, nous nous sommes interrogé sur la vulnérabilité des réseaux informatiques. Il y a maintenant cinq ans, lors de la législature précédente, mon collègue de l'Essonne, Pierre Lasbordes, avait signé un rapport intitulé « La Sécurité des systèmes d'information : un enjeu majeur pour la France » dans lequel il dessinait les grandes tendances sur lesquelles nous aurons peut-être l'occasion de revenir. Le premier point soulevé était le développement très important des vers informatiques, permettant la constitution de réseaux de milliers de machines zombies sous le contrôle de criminels organisés internationalement. Les ordinateurs des particuliers et ceux appartenant à de petites entreprises, ou très petites entreprises, qui sont souvent mal sécurisés, sont à leur insu mêlés à des diffusions ou à l'organisation d'attaques concertées. La deuxième tendance était l'espionnage industriel, déjà désigné comme une réalité pour toutes les entreprises, quelle que soit leur taille. Je pense d'ailleurs que cette question de la taille des entreprises fera l'objet d'un échange. Nous avons trop tendance à penser que ces problématiques ne concernent que les entreprises du CAC40, ce qui est sans doute une erreur. En l'occurrence, mon collègue Lasbordes disait à l'époque que la plupart des attaques viennent de l'intérieur de l'entreprise puisque personne n'est à l'abri d'un employé éconduit ou indélicat qui part à la concurrence en emportant les données confidentielles de l'entreprise, voire en emportant les codes d'accès de l'intranet que la société a oublié de lui enlever. Le troisième point évoqué était le développement de la délinquance économico-financière et sa professionnalisation avec le fait que les pirates agissent pour le compte de particuliers ou d'entreprises qui veulent déstabiliser leurs concurrents, voire pour le compte de gouvernements contre rémunération. Le dernier point concernait le terrorisme par l'appropriation que les réseaux peuvent faire d'internet à travers les sites de propagande ou les réseaux de communication sécurisée, avec la volonté de déstabiliser l'économie ou les systèmes critiques de nos démocraties. Cinq ans après, cette prise de conscience a-t-elle évolué? Nous pouvons le penser. Le Livre blanc de 2008 a mis l'accent sur les risques que pouvait représenter justement la cybercriminalité. Les craintes évoquées en 2005 ont-elles été confirmées ? Avons-nous su relever les défis? Sans doute puisque la naissance de l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) en juillet 2008 est une des réponses de l'Etat. Est-ce qu'il y a des coopérations internationales ou européennes ? Formellement sans doute que oui, mais dans la réalité, qu'est-ce que cela veut dire ? Avons-nous modifié nos comportements individuels. Autant de questions que nous allons aborder, en commençant peut-être par la plus simple, mais la plus délicate, est-ce que le cyberespace est un espace particulier ?



Vice-amiral Michel BENEDITTINI

La réponse est oui ! Vous vous adressez à un marin : la mer était autrefois un espace très particulier, le res nullius. Le cyberespace, c'est un peu cela aussi. Il y a une gouvernance mondiale de l'internet qui est extrêmement morcelée. C'est un espace extrêmement particulier, qui n'appartient à personne, qui ressemble un peu au Far West, sans règles établies. C'est un peu l'automobile, puisqu'à l'apparition de l'automobile, il n'y avait pas de code de la route, pas de contrôle des véhicules. Il faut que nous mettions cela en place peu à peu. Des choses sont déjà faites, nous allons en parler. Jean-Jacques URVOAS

Colonel Fohrer, nous sommes au début de l'histoire, comment chiffrer la perte d'une information et le pouvons-nous ? Colonel Régis FOHRER

Le cyberespace est effectivement un nouveau territoire, la mer est aux marins ce que le territoire est aux forces de sécurité intérieures. Il est difficile de chiffrer exactement l'impact du risque numérique pour les entreprises car il n'y a pas vraiment un observatoire fiable officiel qui soit en mesure de donner ces statistiques que tout le monde attend. Les résultats ou les sondages, dont nous disposons, sont ceux effectués par des sociétés pourvoyeuses de solutions de sécurité. A mon sens cependant, le risque numérique est très vaste pour l'entreprise et ne concerne pas uniquement tel ou tel produit. Le risque numérique concerne toutes les technologies numériques, du smartphone à l'ordinateur portable, mais concerne également l'informatique embarquée et l'informatique de production. Le téléphone portable d'un chef d'entreprise contient du patrimoine - son agenda, son répertoire - et a de la valeur. Le coût du risque est bien plus élevé que les plusieurs millions d'euros que font apparaître plusieurs sondages. Jean-Jacques URVOAS

D'autant que nous pouvons imaginer qu'une attaque bien réussie est une attaque qui ne se voit pas... Colonel Régis FOHRER

Tout à fait. Encore la semaine dernière, j'ai eu le cas d'un chef d'entreprise, dont l'administrateur-système s'est rendu compte qu'un intrus s'introduisait dans le système pour aller dans le fichier-client. Je lui ai conseillé de porter plainte à la Gendarmerie la plus proche. La réponse a été « Que vont penser mes clients si cela se sait ? ». Cela crée un véritable chiffre noir de cette délinquance numérique. Jean-Jacques URVOAS Vu par les entreprises, Monsieur Poincelet, vous pouvez apporter une contribution au débat ? Régis POINCELET

Ce qui intéresse les entreprises, c'est d'abord ce dont le Colonel vient de parler, c'est-à-dire, sommes-nous victimes d'attaques et si oui, de quelle nature, en quel nombre, etc. Nous sommes dans le virtuel, mais c'est une triste réalité pour les entreprises qui sont pratiquement attaquées quotidiennement. Le coût de ces attaques est malheureusement impossible à chiffrer parce qu'il y a plusieurs types d'attaques. Il est relativement facile de chiffrer le coût d'une attaque classique, type spam ou botnet qui se traduit par un déni de service, c'est-à-dire qui bloque le système d'informations pendant un certain temps. En revanche, dans le domaine de l'e réputation, il y une atteinte à l'image de l'entreprise. Or, mon Président considère que la réputation est le bien le plus précieux que nous avons. Je suis incapable d'estimer le coût de cette atteinte sous ce dernier angle. Jean-Jacques URVOAS

Avons-nous une idée, y a-t-il des études ou une expérience qui permet d'isoler de qui viennent ces attaques et la finalité qu'elles peuvent avoir ? J'imagine qu'elles ne sont pas uniques. Régis POINCELET

Par hypothèse, ces attaques proviennent de lieux extrêmement divers. La profession est devenue extrêmement pointue dans ce domaine, tant les adversaires que les officines spécialisées. C'est tellement vrai que lorsque vous avez des cas concrets à régler, lorsque vous entrez dans le domaine de l'enquête pour savoir d'où vient l'attaque, si celle-ci est « correctement montée », elle est pratiquement impénétrable. Le mois dernier, j'ai été confronté, non pas à un cas d'atteinte au site institutionnel du groupe pour lequel je travaille, mais à une usurpation d'un nom de domaine auquel quelque chose avait été rajouté, ce qui faisait que les moteurs de recherche orientaient inexorablement vers le groupe en question avec toute une littérature parfaitement diffamatoire ! D'après l'enquête, qui a été construite par l'Office de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication, le montage ne procédait manifestement pas d’une simple association. L'hébergeur était au Texas, à Dallas, parce que dans cet état, la législation est la plus permissive. L'adresse internet était au Canada, l'administrateur sur l'Ile de Man, le propriétaire dans le Norfolk. Le système était inextricable, impénétrable, et les techniques classiques d'investigation actuelles s'avèrent rapidement, non pas impuissantes, mais limitées.



Jean-Jacques URVOAS

Y a-t-il une différence dans les menaces auxquelles les PME, les grands groupes et les administrations sont confrontés ? Fred MESSIKA

Il ne me semble pas que les menaces qui pèsent sur les petites entreprises soient différentes de celles pesant sur les grandes. En revanche, aujourd'hui, dans les PME/PMI et dans les TPE, c'est une problématique à laquelle le chef d'entreprise n'est pas préparé, pas attentif, et n'a pas les moyens nécessaires pour faire face à l'ensemble de ces menaces qui pèsent sur lui de manière très forte. Franck GREVERIE

Effectivement, toutes les entreprises, petites ou grandes, comme l'Administration, sont confrontées aux mêmes menaces. Les moyens que nous avons pour lutter contre ces cybermenaces sont en revanche différents suivant que vous êtes une PME ou un grand groupe. La plupart des PME que je rencontre, mais c'est le cas aussi de certains grands groupes, ne sont pas au courant qu'ils sont attaqués. Ils n'ont donc aucune chance de lutter contre une attaque qui vise par exemple un vol de données, puisqu'ils ne savent pas qu'ils sont attaqués. Cela a été mentionné dans la deuxième table ronde : ce qui est préoccupant, c'est que les grands groupes travaillent beaucoup avec les PME qui détiennent également des données sensibles. Il est donc important pour les grands groupes qui travaillent avec les PME de mettre en place les mesures nécessaires pour protéger ces données sensibles. Alain FILEE

L'ensemble des menaces se retrouve quelle que soit la typologie des entreprises, mais les PME sont le plus souvent la cible d'attaques sur le savoir-faire. Souvent une PME est attaquée pour découvrir les secrets industriels. Une grande entreprise a du savoir-faire à protéger bien sûr, mais elle est plus vulnérable aux attaques de type image de l'entreprise. Au delà, il y a une grande différence dans les vulnérabilités auxquelles sont exposées PME et grandes entreprises car les PME ont moins de moyens pour se protéger. Plus elles sont petites, plus elles sont concentrées sur leur cœur de métier et pas sur leurs problèmes informatiques. Elles sont donc beaucoup plus vulnérables de ce fait que les grandes entreprises ou les administrations qui ont un certain nombre de moyens à leur disposition. Jean-Jacques URVOAS

La table ronde porte sur la Sécurité nationale. Pourquoi Sécurité nationale plutôt que Défense nationale ? Colonel Régis FOHRER

Toutes les entreprises sont stratégiques. Les PME/PMI, qu'elles travaillent ou non avec un grand groupe sont des entreprises stratégiques parce qu'elles sont pourvoyeuses d'emplois et de richesses. A une époque de crise économique et financière, dans un monde mondialisé, l'ensemble des acteurs pourvoyeurs de solutions de protection, tant régaliens que privés, doivent soutenir le tissu socio-économique dans un logique de Sécurité nationale, de la protection de la production des biens qui font la puissance de notre pays. Nicolas ARPAGIAN

La particularité de ces cyberattaques c'est qu'elles peuvent atteindre des entreprises ou des organisations qui sont délibérément ciblées. Mais certaines entreprises en sont victimes alors qu'elles ne sont pas spécialement visées. Le seul fait d’être connecté à Internet peut suffire. A titre d’exemple, l’an dernier, un groupe de pirates a commencé à dépouiller des comptes bancaires. Parmi eux se trouvait le compte personnel de Nicolas Sarkozy. Les services de police ont donc déployé tous leurs talents pour trouver les coupables. Il y a fort à parier que s’ils avaient connu l’identité de leur illustre victime, les voleurs auraient choisi de piller un autre compte. Mais vu du Net, c’était un numéro de compte comme les autres. Toute entité présente sur la toile est donc potentiellement concernée. Vous pouvez être l'objet d'une opération ciblée, mais également, à l'occasion d'une campagne de captation de données, de détournement de fonds, de grande ampleur. Et ainsi être pris parmi une espèce de filet dérivant qui fait que vous êtes également victime. Dans la culture et la diffusion de l'esprit de sécurité, cette lutte contre les cyberattaques concernera des gens qui sont dans des secteurs paisibles jusqu'à présent et des gens qui considéraient que leur taille ou éventuellement leur localisation géographique les mettait à l'abri de ce type de mauvais comportement. Une PME installée au fond de telle région française ne rencontre pas des personnes hostiles tous les jours. Elle fait deux salons par an et globalement vit dans un monde relativement harmonieux. La difficulté c'est qu'à distance, si vous fabriquez un produit convoité ou que vous êtes sur un marché qui peut intéresser un compétiteur à l'autre bout de la planète, il y aura une véritable abolition des frontières. Pour les uns, cette frontière sera une protection parce qu'elle permettra de se mettre à l'abri en rendant plus difficiles les procédures de recherche. Pour les forces de sécurité et les magistrats, c'est au contraire un rempart car ils butent fréquemment sur les pesanteurs et le formalisme de la coopération judiciaire internationale. En matière d’attaques, il faut comprendre que tout ce qui se fait dans le monde réel – voler, dénigrer, détériorer, etc. – peut se faire sur la Toile à grande échelle, à distance, et avec une possible impunité liée à l'incapacité à établir un lien juridique précis sur la responsabilité. Régis POINCELET

Sur la question de la différence entre les PME/PMI et les grands groupes face à la menace, il ne faut pas s'imaginer que les grands groupes soient des masses monolithiques. Pour parler de groupes que je connais, beaucoup sont une fédération de PME/PMI et certaines sont de toutes petites unités de 200 ou 300 personnes. Le maillage n'est pas aussi évident qu'il n'y paraît.



Deuxième point, si le mode opératoire est le même, la bonne approche et le bon critère, c'est moins la taille que les activités elles-mêmes qu'il faut appréhender. La PME/PMI qui travaille dans le domaine des hautes technologies sera confrontée à des types d'attaques particuliers, qui consistent à lui voler son savoir-faire alors que dans le groupe pour lequel je travaille, dans le domaine de l'énergie, un électron portugais ressemble à un électron polonais, et il en va de même pour la molécule de gaz. En revanche, il y a d'autres thèmes susceptibles de les intéresser, mais pas nécessairement dans le domaine des brevets, marques, etc. L'activité elle-même me paraît prépondérante par rapport à la taille dans une bonne approche des menaces. Jean-Jacques URVOAS Il n'y a pas de secteur sensible ? Régis POINCELET

Il y a des secteurs sensibles. De plus, en France nous avons fait en sorte qu'ils soient désignés ! La création des pôles de compétitivité est en-soi une excellente idée, mais ils sont devenus ce qu'on appelle une véritable cage à miel (ce n'est pas moi qui le dit mais les services de renseignement). Les entreprises de haute technologie sont dans ce secteur et sont pour beaucoup d'entre elles de toutes petites structures, pas forcément armées pour lutter contre ce type d'ingérence. La solution pourrait se trouver dans un suivi particulier de l'Etat et une mutualisation de leurs moyens. Tout ceci coûte effectivement fort cher et chacune des entreprises, prises individuellement n'a pas les moyens d'y faire face. Colonel Régis FOHRER

Pour revenir sur la métaphore marine sur le filet dérivant, elle est tout à fait exacte. En dessous, ce ne sont pas des poissons qu'il doit y avoir, mais plutôt des sous-marins nucléaires d'attaque ou sous-marin nucléaires lanceurs d'engins. Ce qu'il faut, c'est inculquer une culture de la sécurité. Il y a la Justice, la Gendarmerie, la Police, mais nous sommes tous un peu égoïstes. Il est de notre rôle de sensibiliser les entreprises pour qu'elles se protègent. Certains chefs d'entreprise montrent du doigt certains pays en désignant leur adversaire. Je ne suis pas d'accord avec cela; pour nous autres forces de sécurité, ce n'est pas forcément un tel ou tel qui est l'adversaire, ce peut être l'entreprise qui n'a pas suffisamment de culture de sécurité, qui ne sait pas suffisamment s'ouvrir aux autres pour chercher la meilleure solution, et donc finit par subir. Pour poursuivre la métaphore marine, en termes de sécurité, quelque soit la taille de l'entreprise, soit elle est sur le Charles de Gaule, soit sur la corvette, mais avec une impulsion de sécurité qui vient du plus haut niveau, c'est-à-dire, du commandant du bateau. Autour du bateau, des pirates tournent sur des carcasses plus ou moins frêles, qui sont les véritables menaces. Nous sommes encore à l'époque de Christophe Colomb dans le cyberespace. Nous partons à un endroit, nous savons grosso-modo où nous allons, nous avons envie d'y aller, mais quand allons-nous arriver et avec quelle production, reviendrons-nous et reviendrons-nous avec des richesses ? Jean-Jacques URVOAS

Amiral, il y a des règles évidemment spécifiques dans ce cyberespace. Quelle est la place de l’Etat dans cette organisation qui n'en est pas une. Comment un état peut-il lutter contre un continent immatériel qui s'appelle Google ? Vice-amiral Michel BENEDITTINI

Google n'est pas un attaquant direct. C'est sans doute une nébuleuse derrière laquelle se cachent des choses, mais il apporte le service. Nous voudrions simplement que chacun réfléchisse à la qualité et à la sécurité du service qu'il apporte. Qu'attendons-nous d'un état dans le cyberespace ? La première chose que tout Français attend de l'Etat, c'est la sécurité. Cela signifie d'abord fixer les règles, fixer les limites de l'action de chacun. C'est le Code pénal qui précise ce qui est interdit. Il y a également tout un système policier et judiciaire pour sanctionner ceux qui ont franchi la ligne. L'Etat fait également un Code de la route. Il faudra qu'il fixe - il le fait déjà, surtout pour les administrations - un Code du cyberespace. Sans faire de publicité pour le dispositif Hadopi, qui est loin de nos affaires, nous avons commencé à évoquer le défaut de sécurité qui pourrait être reproché aux particuliers. Tout ordinateur de particulier peut servir de vecteur d'attaque en étant pris en contrôle et en constituant l'un des maillons d'un botnet, qui permettra ensuite de constituer des attaques. Par négligence, chacun peut être complice, involontaire, d'un système d'attaque informatique, du type de celle que l'Estonie a connu et qui a pendant trois semaines, quasiment paralysé la totalité de ces services numériques. Il faudra donc un Code du cyberespace avec les limites que ce code ne peut s'appliquer qu'en France et que dans le cyberespace, il n'y a pas de frontière. Troisième élément, le contrôle technique : l'Etat a le devoir de donner des labels à des produits de sécurité qui effectivement apportent la sécurité qu'ils annoncent avec des étiquettes qui disent exactement ce qu'il y a. Il faut donc un certain contrôle régalien sur le commerce qui doit rester libre. Il y a d'autres domaines d'activité de l'Etat, dans la mouvance de l'intelligence économique, de l'information, de la sensibilisation, mais le cœur c'est ces éléments de sécurité que l'Etat peut apporter et dont tout le reste est décliné. Jean-Jacques URVOAS Monsieur Lamiot, de votre point de vue du ministère de l'Economie, les Français sont-ils en retard ou en avance par rapport aux autres ? Dominique LAMIOT

Nous faisons le maximum. Les comparaisons internationales sont difficiles. Au ministère de l'Industrie, nous travaillons beaucoup sur ces questions en encourageant la recherche sur la sécurité des systèmes d'information. Il y a beaucoup d'argent



investi dans l'aide à l'innovation. Beaucoup de choses sont faites également dans le domaine de la sensibilisation des acteurs. Il y a enfin, une mobilisation de l'ensemble de l'appareil d'Etat. Par exemple, la semaine dernière, nous avons conduit un exercice avec l'ensemble des ministères, appelé Piranet, qui nous a conduit pendant deux journées entières à nous mobiliser dans les services des Hauts Fonctionnaires de la Défense et de la Sécurité de chacun des ministères, sous l'égide du SGDSN pour « jouer » de manière très sérieuse à ce que pourraient être les conséquences pour l'Etat, et pour l'économie, plus largement, d'une cyberattaque. Cela nous a permis de tester tous les moyens à mettre en œuvre pour réagir rapidement à une attaque de ce type. J'ai d'ailleurs été amené quelques heures après le début de l'attaque à prendre la décision de fermer les marchés boursiers parce que les informations transmises dans le cadre de cet exercice laissaient entendre qu'il y avait des risques majeurs et des milliards d'euros qui pouvaient partir en fumée. Il faut pouvoir prendre des décisions très rapidement. En nous préparant à ce type d'attaque, nous sommes à notre place et nous jouons pleinement notre rôle. Jean-Jacques URVOAS

Concrètement, dans les zones de défense, chaque préfet a auprès de lui un observatoire ? Colonel Régis FOHRER

Il y a un Directeur régional de la sécurité des systèmes d'information, qui commence à réunir les principaux DSSI des administrations et d'autres entreprises. Mais c'est une réalité qui a vu le jour il y a quelques mois seulement. Vice-amiral Michel BENEDITTINI

L'Etat dans ses rouages centraux, l'Agence Nationale de Sécurité des Systèmes d'Information pour ce qui est de la partie défensive, fixe un ensemble de règles, d'architecture de sécurité, de décrets, labellise des produits, bientôt labellisera des prestataires de service et a un rôle opérationnel dans la remontée d'informations pour connaître les attaques en cours, et dans la gestion de crise vers les territoires. Ce qui nous manquait c'était la déclinaison de ces services offerts par les échelons centraux sur les territoires. Dans les départements ministériels, il y a une chaîne avec des échelons déconcentrés et les échelons centraux des ministères peuvent donner des consignes. Mais il y a également tout un tissu, comprenant les PME, les professions libérales, et ceux qui n'ont pas une chaîne hiérarchique qui remonte jusqu'à Paris et qu'il faut pouvoir toucher. Les observatoires lancés depuis un an environ, fonctionnent, certes à l'état d'embryon avec quelques personnes à temps partiel mais font un énorme travail de sensibilisation, de présentation des produits, services, conseils, recommandations, que nous préparons. Ils nous font également remonter ce qui se passer sur le terrain, ce qui est essentiel pour nous pour que nous ne soyons pas des dogmatiques, près des préoccupations et des besoins du terrain. Jean-Jacques URVOAS Sur cet enjeu de souveraineté nationale, quelle peut être la contribution d'une entreprise ?

Alain FILEE

En matière de souveraineté, c'est un enjeu majeur en termes économique, de fonctionnement de l'Etat et de fonctionnement de la société de façon générale pour trois raisons. Il ne faut pas oublier que les systèmes d'information et de communication sont devenus globaux, mondiaux, à cause notamment de l'interconnexion par internet de tous les systèmes d'information à l'exception de quelques systèmes de défense qui ne sont pas connectés. L'ensemble des systèmes informatiques qui sont utilisés dans le domaine du fonctionnement de l'Etat ou des entreprises est donc de fait interconnecté. L'ensemble des informations que nous utilisons pour faire fonctionner notre pays et notre économie se trouve dans ces systèmes d'information. Nous ne pouvons plus nous en passer et toutes les informations que nous manipulons sont sous forme informatique. Tous ces systèmes informatiques nous échappent parce que la complexité technologique va croissante. De fait, nous ne maîtrisons plus, nous Français et Européens, les puces qu'il y a dans les ordinateurs et qui sont fabriqués par de grands leaders qui ne sont pas européens. Les systèmes d'exploitation qui sont dans ces machines sont fabriqués par un grand leader qui n'est pas européen. Ne parlons pas de technologies de réseau ! Ajoutons à cela le phénomène de la mondialisation et de la concurrence économique - concurrence est peut être un mot faible, nous devrions parler de guerre économique - et nous avons tous les ingrédients pour nous rendre plus vulnérables. Jean-Jacques URVOAS

Sauriez-vous définir un périmètre de l'intervention de l'Etat ? Alain FILEE

L'Etat en matière de sécurité des systèmes d'information a, à la fois, un rôle de formation, de sensibilisation, de régulation, de réglementation et depuis quelques temps un rôle d'organisme d'évaluation et de certification des moyens de protection des systèmes d'information. C'est fondamental. Jean-Jacques URVOAS

C'est plutôt un avantage qu'une pesanteur administrative supplémentaire ?



Alain FILEE

Ce n'est pas une pesanteur administrative mais cela représente un coût pour les entreprises. Quand vous fabriquez un produit de sécurité, vous le faites au mieux, en fonction de ce que vous estimez être le besoin de vos clients, etc. Comme au moment du contrôle technique avec votre voiture vous êtes un peu stressé, nous le sommes aussi avec nos produits que nous donnons à l'ANSSI qui fait procéder à une évaluation par des laboratoires indépendants qui ont été agréés. En fonction de l'évaluation et du contexte d'emploi du système que vous faites évaluer, vous sera délivrée une qualification, qui est une reconnaissance de la bonne qualité et du bon niveau de confiance que vous pouvez avoir dans votre produit de protection des systèmes d'information. Face à la concurrence mondiale en matière de produits de sécurité, si vous n'avez pas ce label de qualité, à quoi les entreprises et les administrations pourront-elles se fier lorsque vous présentez le produit ? A la belle brochure marketing de quelque firme étrangère ? Vice-amiral Michel BENEDITTINI

Il y a deux grands labels de sécurité, dont l'un est utilisé par l'ANSSI, qui sont les critères communs et la sécurité dite FIPS. Ces labels sont un investissement pour l'entreprise pour répondre à l'ANSSI en France, mais permettent de vendre nos produits au niveau sensible mais non classifié dans le monde entier. Ce label de sécurité est réutilisable ailleurs. Jean-Jacques URVOAS

Finalement c'est une garantie et vous vous félicitez tous de l'intervention de l'Etat ? Vice-amiral Michel BENEDITTINI

Il n'y a plus un client qui achète aujourd'hui sans label de sécurité. La plupart des clients éduqués n'achètent plus sur des brochures marketing. Jean-Jacques URVOAS Il n'est donc plus utile de faire des brochures marketing Vice-amiral Michel BENEDITTINI

Si car il y a une complexité dans les produits de sécurité qu'il est toujours nécessaire d'expliquer. Denis GARDIN

Il y a une difficulté à évaluer l'enjeu et l'impact de la non-sécurité des systèmes d'information. Nous savons que du fait de la complexité des systèmes d'information, toutes les entreprises sont vulnérables face aux attaquants les plus sophistiqués. Nous avons besoin d'une politique publique pour faire le minimum, c'est-à-dire déployer les solutions sécurité qui existent aujourd'hui. Il faut aider l’économie et les entreprises en général à faire ce qu'il est possible de faire pour monter le niveau des produits de sécurité, au travers d'une labellisation qui rend les choses lisibles pour les entreprises. Le rôle de l'Etat sera important dans les années qui viennent pour définir les stratégies, et notamment les stratégies de recherche, pour s'attaquer à la partie la plus difficile, les vulnérabilités qui continuent d'exister sur les systèmes d'information. Il sera difficile de mettre en place des protections absolues et il faudra pouvoir s'engager dans des systèmes où nous répondrons de façon proportionnelle aux attaquants. L'arsenal réglementaire et la coopération internationale seront très importants dans ce domaine. Sur le plan technique, nous ne résoudrons sans doute pas le problème du jour au lendemain, au moins pour le haut de gamme des problèmes de sécurité, c'est-à-dire faire face aux attaquants les plus sophistiqués. Fred MESSIKA

La problématique de la sécurité doit s'étendre à tout le spectre de l'activité humaine. Il y a les entreprises, mais également les services, que ce soit les hôpitaux, les transports en commun, etc. Il y a plusieurs cas d'intrusion dans les hôpitaux. En Pologne, un jeune homme a fait dérailler un tramway. Lorsque nous développons des produits innovants comme nous savons en faire en France avec les transports par exemple, il faut également savoir protéger tous ces domaines. Aux Etats-Unis, sur le site du Homeland Security, nous voyons en direct les simulations sur une centrale de production d'électricité thermique. Elle a été découplée du réseau de distribution mais à travers l'interface internet, quelqu'un réussit à s'introduire dans le générateur et à le faire imploser. Il faut qu'il y ait une conscience globale de vulnérabilité et de culture de sécurité. Jean-Jacques URVOAS

Je suppose que cela comprend également les sous-traitants. Fred MESSIKA Bien sûr. Cela concerne tous les secteurs d'activité. Jean-Jacques URVOAS

Lorsque l'observateur que vous êtes regarde ce travail que l'Etat essaye de faire vis à vis des TPE, des entreprises, à travers notamment la déclinaison territoriale, qu'en pense-t-il ?



Nicolas ARPAGIAN

Le problème c'est que cette dépense est considérée comme un coût. En période économique un peu tendue, ce n'est pas une priorité. Par contre, l'Etat doit être vigilant en ce qui concerne le secteur industriel des technologies de l'information. Nous allons transférer à des opérateurs privés un certain nombre de prestations de sécurité et la question sera : où va la fidélité de ces prestataires ? S'ils ont des capitaux étrangers, est-ce que leur fidélité va à leur client qui les paye ou à leur pays d'origine ? A quoi cela sert-il de sécuriser si le prestataire qui fait tourner la sécurité d'un point de vue effectif, laisse une porte ouverte à d'autres autorités qu'il estime légitimes. C'est pourquoi il ne faut pas décoreller l'action de l'Etat de l'action industrielle. Pour faire fonctionner la cybersécurité, nous avons besoin d'acteurs économiques, nationaux ou régionaux, de confiance. Cette notion de confiance il faudra l'établir et l'entretenir. Prenons l'exemple des solutions de cryptage. Des solutions françaises existent et sont considérées d'un point de vue technologique comme très abouties et très performantes mais ce sont des sociétés qui n'ont pas la prospérité économique qu'elles devraient avoir. Alors même qu'elles sont unanimement considérées comme étant à la base de technologies extrêmement performantes. Mais elles n'ont pas les contrats publics qu'il faut. Contrairement à ce qui se passe dans d’autres pays, pourtant très libéraux dans leurs discours, elles ne bénéficient pas du soutien de l'appareil d'Etat. Je prends l'exemple des Etats-Unis qui ont le mérite de beaucoup communiquer sur ces thématiques. Il est possible de recenser depuis un an, trois ou quatre discours du Président des Etats-Unis qui disent qu'il faut associer les entreprises américaines à la Sécurité nationale des Etats-Unis. En plaidant pour une collaboration public-privé particulièrement étroite. Dominique LAMIOT

Sur les questions des PME/PMI, de l'informatique et des systèmes d'information, aujourd'hui il y a deux grands thèmes à la mode, qui sont au cœur de toutes les stratégies des grandes organisations informatiques, et qui sont : le « green IT » et le « cloud computing ». Il s'agit du développement durable et des technologies de l'information et du cloud computing qui est le fait de passer d'un monde de système propriétaire de serveurs à un système de location de fractions de serveurs pour des fractions de temps. C’est une question d’économie mais également un sujet majeur en terme de sécurité. Si nous réfléchissons à l'idée de passer en cloud computing, nous voyons bien les risques que nous prenons parce que la localisation des données se trouvera quasi nécessairement en dehors des frontières. Dès lors, des problèmes juridiques se posent pour savoir si nous devons faire confiance au prestataire qui pourrait être plus proche de son gouvernement que du nôtre. Ce n'est pas par hasard si dans le cadre du Grand Emprunt, un projet a été mis en place, auquel près de 500 millions d'euros sont consacrés pour faire en sorte que nous développions dans ce pays des acteurs de taille suffisante pour que les entreprises françaises puissent avoir des partenaires de grande confiance. Ce sujet-là illustre bien cette question des frontières du cyberespace. Comment placer la frontière entre ce qui est national et appartient à une entreprise et quelle est juridiquement la portée du droit de propriété sur les données qui évoluent dans ces systèmes ? Nicolas ARPAGIAN

Dans le Journal Officiel du 6 juin 2010, il y a une rubrique vocabulaire de l'informatique et de l'internet, dans laquelle se trouve la définition du cloud computing. On peut y lire : « informatique en nuage = Mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. » Tout est dit ! Si vous êtes préoccupé de sécurité … Vice-amiral Michel BENEDITTINI Vous avez raison de nous alerter sur ce point mais il faut faire la juste sécurité là où il faut. Il y a des données publiques, qui n'ont aucun caractère de confidentialité. Qu'elles soient sur un continent ou sur un autre, cela ne change pas grand chose dès lors qu'est garanti leur intégrité et que personne ne pourra les modifier. L'une des idées majeures de la sécurité pour qu'elle coûte le minimum indispensable, c'est toujours de regarder quel est l'enjeu de vos données, de vos processus numériques et de tous ces services que vous utilisez dans le numérique, en matière de confidentialité, de disponibilité, d'intégrité. Nous ne sommes pas contre l'externalisation et le cloud computing est la forme la plus aboutie de l'externalisation. Cela permet à une société au lieu d'être propriétaire de ses serveurs et donc d'avoir des coûts fixes, quelle que soit sa charge, d'adapter le service dont elle a besoin au strict nécessaire avec parfois des variations très importantes. C'est essentiel pour un directeur financier de boîte. De plus, le service acheté est plutôt moins cher que lorsqu'il est réalisé en interne. La question c'est quels sont les enjeux de sécurité sur les données ou les processus. Certaines données peuvent circuler, d'autres ne doivent pas circuler. Il ne faut pas mettre de la sécurité partout absolue. Sinon, nous allons tuer la réflexion. Alain FILEE

Le cloud computing est le troisième étage de la fusée qui risque, si nous n'y prenons pas garde de nous propulser dans un trou noir. Le premier étage c'est la non-maîtrise des technologies en matière de processeurs, de systèmes d'exploitation et de logiciels. Le deuxième étage c'était l'interconnexion de tous les systèmes informatiques. Jusque là, nous arrivions à nous protéger parce que les systèmes informatiques étaient chez nous, dans nos entreprises, nos administrations. A partir du moment où nous rentrons dans une technologie du cloud computing, l'information n'est plus chez vous, elle est quelque part dans le réseau, dans le nuage. C'est là qu'est le vrai danger.



Franck GREVERIE

Il faut être conscient aujourd'hui que de nombreuses entreprises utilisent des systèmes de cloud computing. C'est une réalité. Nombre d'outils de gestion de la relation client (CRM, Oracle, etc.) utilisés par les entreprises françaises sont externalisés. C'est le devoir de l'industriel et de l'Etat de travailler sur des solutions de sécurité pour essayer de limiter les impacts. Il faut, c'est vrai, mettre la sécurité au bon niveau. Si nous ne mettons pas de secrets sur ces systèmes, ils sont extrêmement efficaces. Il ne faut pas diaboliser le cloud computing parce qu'il correspond à une réalité pour beaucoup d'entreprises françaises. Vice-amiral Michel BENEDITTINI On ne peut que saluer l'initiative prise dans le cadre du Grand Emprunt, de tenter de monter un cloud à la française, qui garantisse, non pas la connaissance précise du lieu où sont les données, mais que ces données restent sur un territoire maîtrisé. Je pense par exemple aux données personnelles, la CNIL ne verrait pas d'un bon œil que ces données soient hébergées quelque part dans le monde sans savoir où car elles échapperaient à la juridiction française. Pour ce genre de données, nous devons pouvoir trouver une solution, nationale ou européenne. Les législations européennes sont à peu près cohérentes. Cela fait du grain à moudre pour ceux qui veulent se lancer dans l'aventure … Jean-Jacques URVOAS Sur ce caractère d'intervention technique, est-ce que la question de l'externalisation peut se poser dans ce domaine ? L'Etat peut-il confier à des entreprises privées ce type de travail ? Vice-amiral Michel BENEDITTINI

J'ai connu un monde de la Défense dans lequel nous n'imaginions pas pouvoir externaliser la protection de nos bases. Depuis un certain temps, ce sont les sociétés de gardiennage qui gardent certains de nos emplacements. La dissuasion nucléaire reste totalement maîtrisée par l'Etat mais nous avons externalisé beaucoup de fonctions. Si nous voulons réduire le coût de fonctionnement de l'Etat, il y a des choses à externaliser. Nous ne sommes pas contre l'externalisation, bien qu'on puisse penser qu'il soit plus simple de maîtriser les choses en interne pour des questions de sécurité. Pour des questions de disponibilité, parfois le prestataire de services spécialisé, qui fait cela à grande échelle et a à sa disposition des experts de haut niveau, sera plus performant que la société de taille moyenne qui n'aura pas les moyens de se payer un informaticien à temps plein pour sécuriser ses systèmes. L'externalisation peut donc être meilleure. Toute la question est de savoir comment externaliser. Nous allons sortir dans quelques jours un guide sur l'externalisation dans lequel nous suggérons fortement à ceux qui veulent externaliser, qu'ils soient étatiques ou privés, d'externaliser les fonctions des systèmes d'information et de demander dès le cahier des charges un plan d'assurance-qualité avec des exigences très formelles. Si les données ne doivent pas sortir de France, il faut le mettre dans le CCTP, que le prestataire puisse dans sa réponse me prouver qu'il ne fera pas sortir mes données. Il faut déterminer ces objectifs de sécurité dans chaque domaine. Ensuite lorsqu'on sait soi-même le niveau juste de sécurité qu'il faut apporter, on sait externaliser et cela peut coûter beaucoup moins cher, tout en étant plus efficace qu'en interne. Denis GARDIN

Dans certains domaines, le secteur privé peut apporter des compétences mutualisées entre les différents secteurs. C'est l'intérêt pour l'Etat d'externaliser. EADS opère dans un certain nombre de pays. Au Royaume-Uni, nous gérons comme un service la surveillance de la sécurité des systèmes d'information du ministère de la Défense britannique avec du personnel EADS localisé sur des bases britanniques. Aux Etats-Unis, nous sommes chargés de la formation de l'US Air Force à la cyberdéfense. Ce sont des services qui peuvent être mutualisés de façon assez efficace entre les différentes bases. Nous sommes souvent mieux placés pour capitaliser sur la R&D et développer de nouvelles technologies pour être plus productif. Il y a un certain nombre de domaines sur lesquels l'entreprise est bien placée pour faire pour le compte de l'Etat un certain nombre de tâches. Jean-Jacques URVOAS

La question de l'externalisation a-t-elle porté à débat au Royaume-Uni ? Denis GARDIN Dans le contexte budgétaire actuel, il y a une accélération en Angleterre de la mutualisation des moyens informatiques de l'Etat et la mise en place d'un cloud sécurisé en Angleterre qui devrait arriver avant la version française. Les Britanniques sont donc très réactifs au niveau central sous la pression budgétaire. Ce n'est pas la même chose au niveau des régions où il y a encore beaucoup de choses à faire en termes d'externalisation. Cela correspond à une mentalité et à un état d'esprit. En France, l'approche est plus technique. Fred MESSIKA

Nous touchons le cœur du problème : nous basculons dans un nouveau monde en parlant du cloud computing. Les entreprises sont directement concernées et le CLUSIF a d'ailleurs organisé au mois d'avril une conférence sur le sujet du cloud computing. Face à cette évolution inexorable de nos systèmes d'information, nous ne reviendrons pas en arrière, tout simplement pour des raisons financières. Les entreprises essayent de réduire les coûts. Le cloud computing intègre aussi bien les aspects logiciels que les aspects matériels, ce qui fait une importante réduction de coûts. L'ANSSI et d'autres organismes d'Etat ont un rôle important à jouer vis à vis des entreprises pour donner la position de l'Etat. Mais cela est spécifique à la façon de penser française, qui lorsqu'elle est confrontée à un problème, se retourne vers l'Etat en



réclamant la solution. Les Anglo-saxons devant un tel problème se réunissent entre personnels privés et produisent un document qui solutionne le problème en abordant à la fois les questions techniques et les questions business. Les fonds accordés aujourd'hui aux entreprises étatiques ne sont plus aussi larges qu'elles ne l'étaient à un moment donné. La première question qu'il faut se poser en entreprise, c'est bien sûr, quels sont les biens sensibles ? Il y a des biens ou des personnes pour lesquels il n'est pas nécessaire d'avoir un contrôle d'identification fort. Autour de ces biens sensibles, il faut construire des fortifications pour les protéger. Le reste peut aller n'importe où. Nous ne pourrons pas aller contre cela ! C'est une avancée inexorable. Le cloud computing sera une chose commune dans cinq ans. Vice-amiral Michel BENEDITTINI

Le débat pourrait laisser croire que les affaires de sécurité informatique sont extrêmement techniques. Il n'en est rien. C'est surtout une prise de responsabilités et une prise de conscience de la direction pour savoir quels sont les biens sensibles, les biens qu'elle veut garder dans un périmètre extrêmement restreint, le « secret défense » de l'entreprise, ce qu'elle va partager avec un peu plus de collaborateurs, ce qu'elle va partager avec ses partenaires étrangers. La notion de « spécial France » doit pouvoir exister. Elle existe dans l'Etat français. Le décret sorti il y a quelques jours, qui rénove le dispositif de protection du « Secret Défense » national impose la mention « spécial France » pour ceux qui travaillent sur les questions de défense. L'entreprise doit déterminer ce qu'elle partage avec ses partenaires, sa joint-venture, ses commerciaux, et ce qu'elle met dans le public. C'est un travail de direction. S'il n'est pas fait, nous ne saurons jamais bien spécifier la sécurité aux experts techniques qui la mettront en œuvre. Jean-Jacques URVOAS

Nous avons évoqué les normes internationales. Monsieur Messika, pouvez-vous nous parler de la norme ISO 27 001 ? Fred MESSIKA

La norme ISO 27 001 s'appelait BS 7799. Elle émane de la réflexion des grandes entreprises britanniques sur les questions de sécurité au milieu des années 90. Ils l'ont imposée comme standard ISO, ce qui a beaucoup fâché à l'époque la France. Pour avoir une visibilité à l'extérieur, nous pouvons proposer aux petites entreprises d'adhérer à ces normes qui valent ce qu'elles valent. Ce n'est pas parce qu'une entreprise est certifiée ISO 27 001 qu'elle est sécurisée mais cela a l'avantage de montrer que l'entreprise s'est inquiétée de ces questions, y a réfléchi, a posé quelques jalons de sécurité et a commencé d'apporter des éléments de réponse. En France, il doit y avoir aujourd'hui une quinzaine d'entreprises certifiées ISO 27 001, mais ces chiffres à l'équivalence de la norme ISO 9 001 devraient exploser. En Asie, c'est déjà le cas. Jean-Jacques URVOAS Il existe dans ce domaine une agence européenne chargée de la sécurité des réseaux et des systèmes d'information, basée en Crète depuis 2004. Au delà de son existence formelle, a-t-elle une utilité réelle ? Une activité reconnue ? Une production appréciée ? Alain FILEE

La coopération européenne ne pose pas plus de problème que la coopération entre deux sociétés françaises. En revanche, au niveau de la confiance que les états peuvent avoir dans les produits de SSI, c'est plus problématique. C'est lié au fait qu'historiquement, chaque pays a développé sa propre industrie en matière de sécurité de systèmes d'information, et de cryptologie notamment. Dans le passé, il y a eu un certain nombre de cas révélateurs de ce manque de confiance : dans les années 80, une société suisse, très réputée sur le marché, fournissait de nombreux gouvernements et des ambassades de petits pays qui n'avaient pas d'industrie nationale de protection du secret et de cryptologie. Il s'est avéré que le Président de cette société appartenait à la CIA et à la NSA. La question de confiance pour ce qui concerne ces technologies est primordiale. Il y a encore de la part des états une certaine réticence à accepter des produits étrangers. Nous avons essayé de mettre en place une coopération avec un industriel européen, cela s'est très bien passé avec l'industriel, nous avions l'appui de l'ANSSI qui était en mesure de donner un certain nombre de garanties au gouvernement étranger mais cela n'a toujours pas abouti. Nicolas ARPAGIAN

L’ENISA est dans le droit fil de la défense européenne, qui se concrétise surtout par des déclarations solennelles. Tandis que les éléments matériels sont moins consistants. Créée en 2004 et basée à Heraklion, un endroit très agréable mais quelque peu excentré, et dotée d'un budget famélique dès l'origine, cette agence a déjà une date de fin d'activité. Elle a été prolongée jusqu'en 2012. Elle vient de faire des rapports plutôt intéressants sur les réseaux sociaux et le cloud computing qui sont en ligne sur son site internet. Mais s’agit-il là de la voix européenne sur ces questions ? Toutes les organisations internationales se sont saisi d’un pan de la cybersécurité. L'OTAN a créé une agence à Talinn qui a un peu la même vocation de think tank. Interpol, le G7, l’OCDE, l’OSCE… Mais il n'y a pas de coopération internationale à proprement parler sur ces questions. Dans internet plus qu'ailleurs, nous sommes à la fois partenaires et compétiteurs, adversaires et amis. Inévitablement, si on ouvre son cœur sur ces questions, cela conduira à une faiblesse et donc on préfère y renoncer. Il y a très peu de discussions entre opérationnels. Jean-Jacques URVOAS

Je suppose que vous serez aussi sévère sur la Convention de Budapest ?



Nicolas ARPAGIAN

C'est le seul texte international, au delà de l'entente régionale que représente l'Union européenne, nourri de la lutte contre la pédopornographie. Un grand nombre de pays, dont nous ne pouvons absolument pas contester la puissance et la qualité démocratique, tels que l'Espagne et la Suisse ou l'Irlande, ont signé ce texte en 2001 mais ne l'ont pas transposé dans leur droit national. Nous avons une déclaration politique mais lorsqu'il s'agit d'être opérationnel, chacun a d'excellentes raisons pour ne qu'il ne soit pas applicable à tous ceux qui l'ont signé. Nous sommes dans une logique d'états juxtaposés. Cela prouve que les Etats qui veulent s'en donner les moyens ont un vrai rôle à jouer. Les états ont à rivaliser avec ou en tous cas à prendre en compte des acteurs qui n'existent pas dans les autres domaines de la géostratégie : ce sont les entreprises. Google est une entreprise d'à peine douze ans d'âge qui traite aujourd'hui d'égal à égal avec le Gouvernement chinois, ce que nous Français, nous hésitons parfois à faire. Dans l'échelle des valeurs, des domaines évoluent. Google a proposé et a apporté son aide à l'OMS au moment de la grippe en disant « Nous sommes un acteur mondial, nous savons exactement ce que les gens consultent sur internet. A chaque fois qu'ils choisiront les mots-clés grippe, symptômes, etc. nous vous avertirons et nous vous ferons une cartographie de l'avancée avant la contamination des préoccupations de l'opinion publique ». Autrefois, c'est sans doute une coalition d'Etats qui aurait proposé cette solution, aujourd'hui c'est un acteur qui décide de mettre ou non cette information à disposition d'une collectivité. Franck GREVERIE

Dans le domaine de la coopération internationale, il y a eu des accords au niveau de la cryptologie, dont certains produits ont un label « secret EU »; d'autres un label « secret OTAN ». Dans certains groupements d'états, des accords se sont mis en place. Nicolas ARPAGIAN

Ce sont des domaines très ciblés, avec des Etats e nombre restreints qui ont intérêt à agir dans le même sens. Vice-amiral Michel BENEDITTINI La réalité est complexe à décrire parce qu'extrêmement variable. Pour traiter du « spécial France », il est hors de question de partager les algorithmes avec qui que ce soit. Sinon, nous ne protégeons pas vis à vis de tous les étrangers les informations dont on a estimé qu'elles devaient rester en France. A l'autre extrême, sur un plan opérationnel, il y a une coopération au niveau mondial entre les CERT, centres de réponses aux attaques informatiques dont se sont dotées quasiment tous les pays au niveau gouvernemental et qui existent aussi au niveau des entreprises, pour faire cesser les attaques de cybercriminalité. Cette coopération fonctionne remarquablement. Par exemple, quand l'Estonie a été attaquée par quelques milliers de machines - avec un botnet qui a dû être loué par quelqu'un parce c'est monté en pic puis c'est redescendu et trois semaines après cela s'est arrêté d'un seul coup - les Estoniens ont passé aux CERT du monde entier les adresses IP des machines qui les attaquaient et chaque pays a tenté de faire couper les liaisons internet de ces machines compromises. Cela n'a pas suffi pendant un certain temps car ensuite l'attaque change de machines. Mais il y a une vraie coopération mondiale qui se fait à bas niveau opérationnel. Sur les attaques les plus insidieuses, vols de données diplomatiques, militaires, économiques, scientifiques, etc., il n'y aura jamais de coopération internationale, pas même avec nos voisins les plus proches puisqu'il faut se méfier de ses amis. Dans de nombreux domaines, la coopération avance vite. Au niveau européen, l'ENISA est assez loin et n'était pas très efficace. Dans le Livre blanc, il était écrit que la capacité de l'ENISA devra être notablement accrue, de même que son efficacité. Vu de la France, cette Agence n'a pas été très efficace parce que son premier rôle était de monter les pays nouvellement intégrés à l'Union européenne au niveau des pays les plus évolués. Ce décalage est à peu près rétabli. Un bon niveau de sécurité a été atteint. Nous avions souhaité que le mandat ne soit fixé que pour cinq ans pour pouvoir modifier la mission. Nicolas ARPAGIAN

Si l'ANSSI avait eu une date de péremption dès sa création en juillet 2009, je ne suis pas sûr que cela vous aurait aidé à galvaniser vos troupes… Vice-amiral Michel BENEDITTINI Sans doute, mais un décret fixe à cinq ans le délai d'une commission consultative pour éviter qu'elle ne se reproduise et travaille sans but. Je trouve cela bon de revoir de manière périodique ce mandat. Il y a une réflexion dans le cadre de la Commission européenne pour connaître le réel besoin de l'Union européenne en tant qu'union, et en subsidiarité avec ce que font les états, que doit satisfaire cette Agence. Cette réflexion est en cours, elle prend du temps parce que le sujet est complexe. Quand cette réflexion sera achevée, en principe d'ici un an, l'Agence aura un nouveau mandat avec les moyens correspondants. Colonel Régis FOHRER

Pour en revenir aux CERTS (centres de réponse et de traitement de la menace numérique), il y a ceux de l'Administration et ceux qui sont privés. Nous sommes sans doute aux prémices d'une nouvelle ère, d'une prise de conscience. L'avenir ne serait-il pas pour la protection du tissu socio-économique dans ces CERTS privés, accrédités par l'Etat. Puisque les PME/PMI sont implantées partout sur le territoire national, pourquoi ne pas créer des CERTS au niveau régional ? La politique d'intelligence économique ayant deux niveaux d'applications, gouvernemental et régional, pourquoi ne pas créer des plateformes régionales à la disposition du tissu économique régional. Plus globalement, la prise en compte du risque numérique peut être l'occasion de donner un peu plus de sens à l'Europe de la Sécurité, voire de l'Europe de la Défense. Sur cette problématique, le Droit reste à



construire et à élaborer pour apporter des réponses complètes, élaborées et pragmatiques aux usagers du cyberespace. Les personnes vulnérables sont importantes mais sont la face émergée de l'iceberg. Or, la face immergée est souvent bien plus importante que la face émergée. Elle est constituée en majorité par le tissu socio-économique, les services, et par tout le domaine d'activités humaines de production de richesses. Régis POINCELET

Ce qui s'est fait au niveau des CERTS est remarquable. C'est un exemple à citer en matière de réactivité et de réactions concrètes pour mettre un terme aux cybermenaces. Il y a longtemps que les entreprises ont appris à utiliser cet outil qui est à leur disposition – nous sommes nous-même partenaires du CERT IST – Industrie, Services, Tertiaire – qui fonctionne aussi bien en tant que centre d'alerte qu'au niveau de la réaction face à une éventuelle attaque. Jusqu'à présent, le CERT IST a été sollicité dans des cas relativement faciles à identifier parce que relevant de la cybercriminalité, c'est-à-dire du pénal, et entrant parfaitement dans l'Acceptable Usage Code. Mais récemment, nous l'avons utilisé pour mettre un terme à une campagne de dénigrement et cela a fort bien fonctionné. Nous avons réussi à faire déférencé un site. Ces résultats sont remarquables et les entreprises s'orientent vers ce type de solutions concrètes qui correspondent exactement à leurs besoins. Jean-Jacques URVOAS

Il y a donc la compétence technique, mais aussi la compétence humaine. Dans ce domaine, comment la France se situe face à ce problème de management ? « L'épaisseur du rempart compte moins que la volonté de le prendre ». Quel est l'enjeu du management de votre agence ? De quels moyens dispose-t-elle ? Vice-amiral Michel BENEDITTINI

Sur le plan humain, la première chose c'est la volonté de se défendre. C'est déjà prendre conscience de ces enjeux. C'est un travail de sensibilisation que nous menons qui a beaucoup progressé depuis quatre à cinq ans. Le rapport du Député Pierre Lasbordes a beaucoup fait avancé la réflexion, qui a aboutit à ce Livre blanc sur la Défense et la Sécurité nationale, premier document du genre, qui intégrait la cybersécurité et les cybermenaces dans le panorama global des menaces principales qui pouvaient s'exercer contre notre pays dans les prochaines années. La prise de conscience politique est faite, sinon, il n'y aurait pas eu la création de l'Agence, pas eu ce projet de doubler les effectifs dans les trois ans qui viennent, la création des observatoires zonaux, les projets de développement de produits de haute sécurité et les financements correspondants. Du côté de l'Etat, la prise de conscience est faite à bon niveau. Du côté des grands groupes, la prise de conscience est aussi faite. C'est plus variable dans les PME et il y a encore un énorme travail de pédagogie à faire. La bonne volonté ne suffit pas. Il faut aussi des murailles pour se protéger et donc des experts de haut niveau. Sur le plan théorique, la France doit avoir des experts d'aussi bonne qualité que les autres pays. Nous sommes connus pour avoir des chercheurs mathématiciens de très haut niveau et un excellent niveau théorique sur la cryptologie. Sur les autres systèmes d'information, nous sommes sans doute un peu plus dans la moyenne. Malgré tout, en recevant beaucoup de candidats qui souhaitent travailler chez nous, je fais le constat que ce sont des informaticiens à qui ont été inculqués tout petits les usages de l'informatique et parmi lesquels le fait que l'informatique est quelque chose de dangereux aussi. La sécurité des systèmes d'information est une branche terminale de la formation des informaticiens français. C'est parfois une spécialisation alors que la sécurité est l'affaire de tous et doit être prise en compte dès le début. Nous ne pouvons pas d'abord apprendre à faire des architectures informatiques, puis à les sécuriser. Nous devrions apprendre à faire des architectures sécurisées. Tant que nos écoles n'auront pas changé cet état d'esprit, nous aurons de bons informaticiens mais pas une bonne sécurité. Colonel Régis FOHRER

Nous sommes sur une problématique, sur un mal français : juin 1940-juin 2010. La ligne Maginot n'existe pas et ne pourra pas exister. La sécurité et la sécurité numérique surtout ne doivent pas être une affaire de spécialistes exclusifs mais une affaire de stratèges avec une vision globale, transverse, insufflée au plus haut niveau de l'entreprise. Thucydide a également dit « "Pour assurer notre sécurité, ne comptons pas sur la sévérité des lois mais sur la vigilance de notre administration". L'Etat ne doit pas construire une ligne Maginot numérique mais fédérer pour faire éclore des stratèges à tous les niveaux, ce qui passe également par le niveau formation des élites au sein des entreprises. Alain FILEE

Il est indispensable d'intégrer cette dimension de sécurité dès le début du cursus des ingénieurs, ne serait-ce que pour sensibiliser les jeunes générations qui sont nées avec l'informatique et leur faire prendre conscience qu'ils ne peuvent pas partager toute leur vie sur internet. Cela crée un risque pour la liberté individuelle à moyen terme. Franck GREVERIE Dans le domaine de la SSI, nous préconisons une démarche de sécurité de bout en bout. Cette démarche complète est loin d'être simplement technique. Le stratège sécurité me semble approprié mais il est important de suivre une formation avec une analyse de risques, une analyse des vulnérabilités pour être certain de mettre la sécurité au bon niveau. Les concepts de sécurité en profondeur doivent être mentionnés. Dans le domaine de la SSI, le concept de la ligne Maginot ne fonctionne plus, il faut sécuriser les systèmes de l'intérieur. Beaucoup d'entreprises ou d'opérateurs d'infrastructures vitales sont aujourd'hui protégés de manière périmètrique avec une sorte de ligne Maginot. La défense en profondeur, c'est-à-dire chiffrer



ses bases de données, protéger ses applications, est très peu développée. Or, toutes les attaques aujourd'hui passent par dessus, à travers l'introduction de clés usb ou les e-mails, compromet définitivement le concept de ligne Maginot. Jean-Jacques URVOAS

Après la technologie et la matière humaine, et puisque nous sommes à l'Assemblée Nationale et que c'est le cœur de notre activité au delà du contrôle du Gouvernement sur la production de la loi, quel est votre regard sur la problématique législative ? Pouvons-nous imposer des règles aux entreprises ? La législation actuelle est-elle satisfaisante ? Répressive comme obligataire, y a-t-il des améliorations à apporter ? Régis POINCELET

Le dispositif législatif existe déjà. Pour les infrastructures d'importance vitale, il y a un dispositif relatif à la protection des systèmes d'information. Nous avons parlé des normes, d'un dispositif de protection qui relève de la compétence de l'Etat qui peut être parfaitement réglementé et normé. En revanche, je n'ai rien entendu qui puisse orienter les entreprises d'une posture défensive vers quelque chose de plus offensif. C'est assez difficile de l'écrire dans une loi : le législateur peut dire comment faire pour élever une muraille, mais écrire dans une loi comment passer à l'attaque est plus subtil et paraît singulièrement intéressant. Nous pourrions imaginer un dispositif législatif français qui irait moins dans le fait d'imposer aux entreprises un certain nombre de choses que dans la mise à disposition auprès de moyens et d'outils permettant précisément de passer à l'offensive. Il a été dit que la compétence relevait des stratèges de l'entreprise. C'est vrai, mais l'application va du plus bas au plus haut de l'échelle. Tous les deux mois j'organise des sessions de formation dédiées à la sensibilisation à cette problématique avec le concours de la DCRI. A chaque fois, il y a plus de 150 participants à ces réunions. Les retombées sont très positives. Les cas qui remontent sont très intéressants. En ce qui concerne les réseaux sociaux et les réseaux soi-disant professionnels. Dire de ne pas mélanger vies privée et professionnelle ne mène pas bien loin. Mais si vous regardez ce qui se passe à l'intérieur de ces réseaux sociaux, vous seriez effarés. Qui administre ce réseau professionnel ? Bien souvent il n'est pas français. Si ce réseau est composé de personnes travaillant pour le compte de la recherche, nous pouvons légitimement nous poser des questions. Mais c'est de l'attaque. Nous ne resterons pas assis en attendant de constater qu'il y a une rupture de confidentialité à ce niveau. Si nous devions faire une loi, je voudrais qu'elle soit plus dynamique, qu'elle aille dans le sens de la mise à disposition d'outils auprès des entreprises et qu'elle les incite à passer d'une posture défensive à un concept de sécurité économique active. Nicolas ARPAGIAN

Je suis journaliste mais j’enseigne également à l'Institut des Hautes Etudes de la Sécurité et de la Justice, un établissement public rattaché au Premier Ministre. Dans ce cadre, j’ai conçu un cycle dédié à la sécurité numérique qui associe pour la première fois tous les services de l'Etat (l’ANSSI, la DCRI, la Gendarmerie Nationale avec le STRJD et l’IRCGN, la Police judiciaire avec l'OCLCTIC…) et les entreprises privées à travers le CIGREF, ce club qui réunit les 120 premières entreprises françaises. D’octobre à mai, à raison de deux jours par mois, nous leur faisons rencontrer à l’Ecole Militaire les spécialistes privés et publics des cyberattaques et de la guerre de l’information. Ils échangent ainsi dans un cadre neutre, se connaissent davantage et peuvent donc améliorer réciproquement leurs pratiques professionnelles. Vice-amiral Michel BENEDITTINI

Nous ne sommes pas pour la libéralisation de tout ce qui concerne la lutte informatique offensive qui est beaucoup plus attrayante que la défense. Il y a des publicités pour acheter sur internet quasiment librement un mouchard pour mettre sur le téléphone de votre conjoint ou de votre concurrent. Tous ces outils actifs de lutte informatique sont interdits à la vente, à l'exposition, à la détention, à l'usage sauf autorisation du Premier Ministre que nous sommes chargés de délivrer. Nous sommes plutôt pour que le cyberespace ne devienne pas le FarWest mais que l'Etat joue son rôle de régulateur et sanctionne. Jean-Jacques URVOAS

Serait-il nécessaire d'établir une doctrine sur la cybersécurité ? Si oui comment l'élaborer ? Fred MESSIKA Oui il faut établir une doctrine. L'Etat et quelques organismes ou institutions professionnelles devraient participer à l'élaboration de cette doctrine, qui serait ouverte ensuite à la communauté professionnelle française. Mais sur ce débat, pour les TPE et les PME, nous sommes confrontés au fait qu'ils ne se sentent pas concernés par ces problématiques. La seule fois, où des dirigeants de PME de taille assez importante, m'ont parlé de sécurité, c'était pour dire que quelqu'un lisait leurs mails et ils voulaient savoir qui. Ce n'est pas que cela ne les intéresse pas, mais ils ont d'autres soucis, d'autres contraintes et n'ont pas la capacité ni financière, ni en ressource humaine de déléguer des personnes à plein temps comme peuvent le faire un certain nombre de grandes structures sur cette fonction-là. C'est notre esprit français. Je pense que l'Etat en établissant cette doctrine pourrait offrir à ces TPE des centres régionaux ou nationaux pour gérer leur informatique et leur proposer de venir faire du cloud computing. Les petites entreprises n'ont de toute façon pas les moyens de faire les études de sécurité nécessaires, les interrogations auprès des prestataires de service. Si l'Etat veut agir dans le cyberespace, c'est dans ce sens-là que les politiques publiques doivent aller. Franck GREVERIE

La doctrine c'est une manière commune de voir les choses entre les différents services de l'Etat et entre l'Etat et les entreprises.



C'est utile mais ce n'est pas la priorité qui est avant tout de relever le niveau de sécurité d'un certain nombre d'entreprises ou d'infrastructures vitales. Le corpus réglementaire est sans doute aujourd'hui suffisant. En revanche, l'application de ces règles et faire en sorte que nos infrastructures vitales soient protégées au bon niveau est une priorité numéro 1. Denis GARDIN

J'ai deux propositions. La première c'est d'essayer de mettre des chiffres derrière le niveau de sécurité de nos infrastructures. Sans étude approfondie, une entreprise ou un système d'information protégé de façon basique avec des antivirus livrés avec l'ordinateur, c'est un investissement de 1 ou 2% du système d'information. Les organisations très sécurisées ou qui prétendent l'être, investissent jusqu'à 10% dans leur système de sécurité. Dans des programmes comme Galileo, nous arrivons à des niveaux où la sécurité doit être très forte et c'est ce type d'investissement qui est réalisé. Aux Etats-Unis qui ont mis depuis quelques temps l'accent sur les problèmes de cybersécurité, le Gouvernement publie le fait qu'ils vont dépenser 80 milliards de dollars dans l'informatique étatique dont 10% consacrés à la cybersécurité. Entre 1-2% et 10%, il y a une évolution avec des choses un peu plus compliquées, de la formation, de la sensibilisation, des Security Operation Centers. Il faut communiquer sur le cadre et les références à fixer pour savoir de quoi nous parlons en termes de niveau. Deuxième proposition, les enjeux sont multiples. Au sein du Groupe EADS, j'étais en charge des questions de recherche au niveau du Groupe. Nous avons créé au niveau français sous la tutelle du ministre Borloo, suite au Grenelle de l'Environnement, la Commission de la recherche aéronautique civile, avec autour de la table les acteurs industriels, les centres de recherche étatiques, les ministères pour travailler ensemble sur ces sujets sur lesquels nous pouvons voir et travailler sur cinq à dix ans. Au delà de la prise de conscience et du débat, je pense qu'il serait utile d'avoir au niveau français une commission qui s'assure que nous ayons une vision partagée entre acteurs industriels, états, centres de recherche, formation, etc. pour délivrer quelque chose qui soit au niveau de ce que nous attendons en France, sinon nous serons en ordre dispersé, nos industries locales disparaîtront car elles seront sous-critiques et nous serons obligés d'acheter sur étagère à l'étranger. Alain FILEE

Une doctrine peut être utile mais pour qu'elle le soit, il faut d'abord qu'elle ne se conçoive pas comme une doctrine de défense. Ce concept de défense est dépassé. Il faut passer à la vitesse supérieure. Je ne parle pas d'avoir une doctrine de domination au niveau de l'information, mais au minimum de maîtrise de l'information. Les Etats-Unis ont mis en place leur politique de l'information dominance il y a un certain nombre d'années. Elle comportait, en termes de financements, d'action, de stratégie, le volet défense comme le volet attaque. L'attaque n'est pas nécessairement agressive. Ce peut être aussi la capacité à connaître et comprendre les façons d'attaquer les systèmes d'information. Pour bien se défendre, il faut savoir comment attaquer. Il faudrait donc mettre en place une doctrine de maîtrise des systèmes d'information avec les acteurs industriels, les différents services de sécurité et de renseignement de l'Etat et évidemment le leadership des représentants politiques. C'est une stratégie à laquelle l'ensemble des acteurs de la Nation adhère pour qu'elle puisse se mettre en place. Il faut aussi et surtout passer aux travaux pratiques pour réaliser des choses sans rester au stade des recommandations. Régis POINCELET

Les entreprises ont une attitude très pragmatique dans ce domaine. Elles attendent des choses très concrètes. A l'Assemblée Générale du CDSE, clôturée par une intervention de la Direction de la Prospective et de la Stratégie du ministère de l'Intérieur sur le thème de la cybercriminalité nous avons pris connaissance du manque d’informations et de statistiques fiables dans ce domaine. En France, nous sommes totalement démunis parce qu'il n'y a pas d'obligation pour les entreprises de faire remonter ces informations. Mais si les entreprises ne le font pas, c'est parce qu'il y a des cas dans lesquels cela ne sert à rien tant que la Loi française ne fera pas sur le plan pénal, la différence entre le vol d'un sac à main et celui d'un ordinateur portable. Les entreprises ne sont pas incitées à porter plainte puisqu'elles savent que dans le meilleur des cas, la plainte leur servira à obtenir le remboursement par leur assurance de l'ordinateur. Voilà des éléments concrets sur lesquels nous pourrions vous pencher. Cet aspect statistique, remontée de l'information et traitement de l'information - parce qu'il y a toujours quelque chose à faire - est intéressant. Notre piste de réflexion est la suivante : pourquoi ne pas donner aux entreprises la possibilité d'avoir en face d'elles une structure dédiée. Aujourd'hui, il y a l'Office central mais dont la principale activité dédiée est la fraude au système bancaire, ce qui laisse de côté les autres secteurs d'activité. Colonel Régis FOHRER

Sur les infractions numériques, les forces de sécurité ne doivent pas traiter un vol de données comme un vol de scooter. C'est un défi à relever. Autant pour le scooter, la perte financière est immédiate, autant comment quantifier la perte de données immatérielles ? Je dirais surtout : halte à atermoiement ! Nous devons tous être des conquérants en avant vers un nouveau monde sur l'océan numérique. Comme les Anglais au temps de la Compagnie des Indes, donnons-nous les outils, la volonté et dotons-nous de toute la politique dont nous avons besoin pour être vainqueurs. Nicolas ARPAGIAN

Le problème de la doctrine c'est que nous sommes dans un environnement mouvant, glissant, qui évolue par rapport aux usages. En France, le nombre de téléphones portables par habitant a passé le cap du nombre de télés par habitant. Il y a des changements de sociétés. L'idée c'est de susciter une réflexion glissante en fonction des habitudes et des nouveaux comportements, de manière à ne pas être rigide sur ces thématiques. Il y a des usages que la population attend et qu'elle



s'approprie. Les premières années de télédéclarations fiscales, Bercy a été submergé parce que personne n'avait anticipé que les Français étaient à ce point prêts à le faire. Et c’est aujourd’hui considéré comme une réussite. Pourtant quelques mois plus tard, lorsque la déclaration pour le permis de conduire a été également mise en ligne, l’Etat a opté pour une autre solution technique. Personne n'a donc vu que le système fiscal était sécurisé, fonctionnait, avec un identifiant attribué aux personnes pour la déclaration d'impôts et que nous aurions pu l'utiliser pour le permis de conduire au lieu de reconstituer un système parallèle. Nous avons l'impression qu'il n'y a pas de stratégie, pas de vision globale. Vice-amiral Michel BENIDITTINI La doctrine c'est le « comment-faire ? ». Mais les choses sont effectivement trop mouvantes pour figer une doctrine. Dans les années 2005, une doctrine a été élaborée dans un très lourd travail interministériel. Quelques mois après, la situation avait déjà évolué et la doctrine était enterrée. Nous avons d'autres priorités, et notamment faire du concret comme cela a été dit par les entreprises avec les quelques ressources que l'Etat nous alloue. Il y a 137 personnes dans notre agence actuellement. Nous devrions monter à 250 tandis que les Allemands sont à 550 à périmètre équivalent, les Britanniques à 700. Il n'y aura rien de concret si nous nous lançons dans des travaux de doctrine. Nous essayons très modestement de faire de petites briques concrètes pour expliquer aux gens ce qu'il faut qu'ils fassent. Parmi nos productions, il y a un petit passeport fait avec le CDSE pour apprendre à ceux qui partent à l'étranger quelques règles de base. C'est élémentaire mais permet d'éviter 99% des vols de données si vous partez à l'étranger avec votre ordinateur portable. Nous allons également sortir un guide de l'externalisation et des documents régulièrement qui sont tous disponibles sur notre site. Nous faisons le travail qui s'impose à l'Administration. Nous sommes dans le droit, au nom du Premier Ministre de fixer des règles. Le référentiel général de sécurité des technologies de l'information est paru début mai. Il s'adresse aux autorités administratives, c'est-à-dire Administration française, collectivités territoriales, organismes de Sécurité sociale et autres, l'Etat au sens très large et dans toutes ses fonctions. Il est totalement public pour que quiconque le veuille puisse le lire – les pages 5 à 10 permettent de comprendre l'utilité de ce document. Il fait 600 pages, dont les 500 dernières pour les experts, les 10 premières pour les dirigeants d'entreprises. C'est un document dans lequel chacun à son niveau peut puiser des bonnes pratiques, des recommandations, des conseils, à défaut d'être obligé de les appliquer. Nous avons créer un site à destination des PME/PMI qui n'ont pas de service informatique, accessible aux citoyens qui ne sont pas experts en informatique, pour commencer à apprendre ce qu'est la sécurité, ne serait-ce que sécuriser sa box pour éviter de se faire pirater ses mails ou sa liaison internet avec des téléchargement prohibés ou autres. Il y a une vraie politique publique derrière dans laquelle nous avons tous notre rôle à jouer. Nous essayons de mettre un maximum d'outils concrets à la disposition de tous. Ce qui manque le plus, c'est un retour sur notre production de ses utilisateurs pour connaître les domaines dans lesquels ils manquent d'information et de renseignement. Cédric BLANCHER, Head of csc R&T Operations, EADS DS Je voudrais revenir sur l'importance sensible de la prise de conscience de la sécurité informatique. Cette prise de conscience m'inquiète un peu car si nous avons bien compris qu'il faut sécuriser ces systèmes, nous avons vu la semaine dernière que cela s'était traduit dans la loi par un « Il faut sécuriser son système et si vous ne le faites pas avec diligence, nous vous taperons dessus ». Pour autant, on ne nous explique pas comment sécuriser un système, on ne définit par la diligence pour sécuriser un système. Cela s'adresse à Madame Michu qui compte sans doute pour peu dans le grand ordre des choses. Mais aujourd'hui cette tendance à aller là dedans me fait un peu peur … sur le plan législatif, sur le plan réglementaire parfois. Il y a une réflexion autour d'une ligne Maginot pour certains offices. Dans certains cas, on aurait préféré que certains ne prennent pas conscience du problème et laissent les gens faire avec les solutions qui vont bien. Autre point de cette prise de conscience, malheureusement et contrairement au représentant de Thales, j'ai eu une expérience différente de l'utilisation des produits qualifiés. Je vois plutôt un marché privé qui est plus le marché décrit par Akerlof, avec des casseroles et de bonnes propositions, mais comme on ne sait pas faire la différence entre les deux on prend le moins cher pour ne pas avoir l'impression de se faire avoir. Pour ne pas la citer, Hadopi nous a donné un exemple extrêmement criant récemment où une entreprise propose un produit censé nous sécuriser et qui en fait propose un produit à Madame Michu, qui la rend encore plus vulnérable qu'elle ne l'était avant. Cela me fait peur parce que je ne pense pas qu'on puisse parler d'infrastructures en matière d'internet parce qu'on est tous partie de cette infrastructure critique, les entreprises, l'Etat et toutes les madames Michu de la Terre parce que c'est son ordinateur qui sera utilisé pour attaquer tout le monde. Il y a une prise de conscience mais il ne faut pas se tromper de moyens pour aller l'attaquer. Les moyens déployés pour des choses qui ne servent à rien, ce sont des moyens qui ne sont pas mis ailleurs et là où ils servent à quelque chose. Il y a beaucoup de travail à faire. Nicolas ARPAGIAN

Il n'y a pas d'équivalent dans le monde réel où l’on transfère à ce point à chaque individu la sécurité de ses équipements. Une fois que l’on a acheté son ordinateur il nous revient quel que soit notre âge, notre capacité intellectuelle ou nos diplômes de prendre en charge la sécurité de celui-ci. Il faut donc faire preuve d’une très grande pédagogie. Il m’est arrivé d’intervenir dans des classes d'enfants de 8-9 ans, environ quatre sur cinq étaient déjà allés tous seuls sur internet, et autant avaient déjà un compte Facebook. et à la question « c'est quoi internet ? », la majorité répondaient « c'est google ». De la même manière qu'il y a des cours de sécurité routière dans les écoles, il faudra que soit mis en place des modules dédiés à la cybersécurité. Nous ne pourrons pas faire l'économie de ce système. Il faut une décision politique qui assume le fait de donner des cours sur la sécurité



sans que ce soit vu comme étant du flicage ni au contraire un diffuseur d'angoisse. Mais la sécurité fait partie de la liberté. Cédric BLANCHER

Cela fait partie de ce que nous allons faire en CFRS. Nous avons une action à mener. Ce qui m'étonne, c'est que la décision de pénaliser l'incompétence en sécurité informatique a été prise avant la pédagogie. C'est inadmissible. Cela a par exemple été imposé avant l'obligation aux FAI de fournir des box configurées par défaut avec un niveau de sécurité. Nicolas ARPAGIAN C'est de la méconnaissance des enjeux technologiques par un certain nombre de décideurs. Colonel Régis FOHRER

N'importe qui peut acheter une voiture, quelle que soit la qualité de la voiture, ferrari, clio, etc. Vous n'avez pas besoin de permis de conduire. Pourquoi ne pas certifier les entreprises comme aptes aux nouvelles technologies, aptes à gérer le numérique ? Il faut que les entreprises sachent dans quel univers elles évoluent et quelles sont les failles. Il y a un travail de pédagogie à faire en direction des entreprises. Vice-amiral Michel BENEDITTINI

Un décret paru en février a mis en place ce dispositif de certification des prestataires de services de confiance, d'audits, d'hébergements, cloud peut-être un jour. Tout l'édifice reste à bâtir car il faut faire un référentiel technique extrêmement complexe. Le dispositif juridique existe et sera mis en œuvre dans les prochains mois. Raphaël MARICHEZ, Consultant en sécurité informatique et auditeur jeune de l'IHEDN A propos de l'effet anxiogène de ces lois et règlements, l'Australie a mis en place une législation permettant de filtrer certaines adresses réseau pour certains types de délits. La LOPPSSI 2 permettra de le faire pour la pédopornographie. Le temps de l'internet neutre est sans doute révolu. Il faudra réguler et l'ANSSI est sur le créneau. Mais avons-nous envisagé les réactions parfois hostiles de certains groupes d'internautes, adeptes des mondes de l'internet libre, qui parlent de fin du monde libre à chaque nouveau décret. En termes de désinformation, je pense qu'il faudrait le prendre en compte. Hadopi était un peu prématuré et a fait un peu de mal à ce niveau dans l'opinion publique. Régis POINCELET

En ce qui concerne le côté liberticide de certaines dispositions, internet était effectivement présenté comme un espace de liberté. Aujourd'hui les mêmes qui hurlent au caractère liberticide de certaines dispositions – je pense au fichier Edwige – sont sur Facebook, ce qui ne semble pas leur poser de difficultés. Les services de renseignement obtiennent plus en allant sur Facebook que dans leurs propres fichiers. Nicolas ARPAGIAN

Le Gouvernement russe a publié un décret en février 2008 qui impose à tous les opérateurs telecom & Internet qui ne sont pas présents sur le territoire de la CEI de passer par un serveur géré par le FSB. La Chine a été découpée en deux en donnant les deux monopoles à deux entreprises. Il y a deux tuyaux et des bugs dans les connexions entre les deux monopoles. L'internet ouvert et totalement libre était un mythe. Des systèmes de contrôle ont été mis en place à partir du moment où le Gouvernement américain a considéré qu'il n'était plus opportun que des sites internet existent en .iq pour l'irak et .af pour l'Afghanistan. Du jour au lendemain, vous ne pouviez plus ouvrir un site en af ou iq. Il est intéressant de constater que les militaires américains (avec un programme public doté de trente millions de dollars) et la DARPA (Agence gouvernementale en charge des questions de technologie liées à la Défense) ont publié l'an dernier un appel d'offres qui a réunit une demi-douzaine d'entreprises et d'universités comme celle de Stanford pour créer un internet militaire de 2ème génération. Considérant que les usages civils du Net encombrent et finalement pénalisent le bon fonctionnement de la Toile pour les instances de sécurité du pays. Raphaël MARICHEZ Nous allons vers la régulation d'internet y compris dans les pays démocratiques. En termes de Sécurité nationale avons-nous anticipé les réactions hostiles des internautes ? Les mêmes qui parfois partagent les informations d'une manière large. Je rappelle que le décret d'application d'une loi de 2004 sur la conservation des données de connexion n'est pas sorti. Il a fait l'objet de levées de boucliers sur certains forums. Il oblige les FAI à conserver ces données pendant un an ce qu'ils font malgré l'absence de décrets qui n'est pas promu par crainte de certains internautes. Colonel Régis FOHRER

Toutes les données ne sont pas stockées, cela dépend des adresses IP, des FAI, chacun a sa méthode de stockage. Ce n'est pas parce que vous avez une adresse IP que vous avez forcément une personne physique à mettre. Raphaël MARICHEZ

En réalité, il s'agit du décret sur la traçabilité de la modification des contenus en ligne. Certains groupes s'agitent sur les forums.



Colonel Régis FOHRER

Est-ce l'intérêt individuel ou collectif qui doit prévaloir ? Shanaz BENHAMI, Filimage

J'ai une question concernant l'ensemble des acteurs publics et privés. Si un responsable de sécurité se retrouve face à quelqu'un qui lui propose d'acheter une technologie, doit-il vérifier les questions juridiques avant d'intégrer ces technologies dans l'ensemble ? Cette personne sera-t-elle responsable ? Engagera-t-elle sa responsabilité, ou celle de l'entreprise, ou celle de l'Etat ? Le droit spatial dit que l'Etat lanceur est responsable de ce qui se passe dans les satellites si les questions ne sont pas éclaircies. Bertrand HUET, Consultant Internet est un objet de puissance économique, militaire et de connaissance (knowledge connaissace). Les réseaux des universités américaines des e-labs sont connectés pour faire de la cyberscience en temps réel. Nous faisons beaucoup de sécurité mais peu d'internet offensif. Il y a eu un exercice Piranet mais pas une grosse communication alors que les Américains ont fait un exercice purement fictif, Cyber Schockwave, qui a fait en sorte que tous comprennent les risques et ce qu'ils entrainaient. Quelle sera la politique réelle et pragmatique française non pas en termes de sécurité, mais en termes offensifs ? D'autres nations font de l'internet offensif. Vice-amiral Michel BENEDITTINI

En ce qui concerne la communication sur Piranet, nos effectifs sont réduits, nous essayons de faire des choses concrètes et nous avons fait un bon exercice. Nous avons revu l'organisation des services de l'Etat pour répondre à une panne totale d'internet. Le virus Conficker a compromis des dizaines de millions de machines dans le monde, occupé les réseaux, arrêté des hôpitaux. Nous avons donc joué au jeu « et si internet tombait ». Je ne pense pas que quelqu'un puisse mesurer - en tout cas pas moi - les conséquences qu'aurait un arrêt d'internet pendant des heures, des jours. La Bourse s'arrête, les impôts, tous les processus. Nous avons voulu montrer comment l'Etat pouvait à la fois gérer les effets de la crise informatique dévastateurs sur le ravitaillement des pharmacies, la chaîne alimentaire, le fonctionnement des hôpitaux, qui sont reliés à la Sécu et qui doivent être approvisionnés en médicaments. Tout s'arrête, y compris les transports. En revanche, le contrôle aérien n'est pas concerné. Comment gérer les effets de la crise informatique et traiter les causes techniques qui créent ce souci ? Nous avions fait cet exercice en 2008 mais l'organisation était moins bonne car nous avions mélangé causes et effets. Cette fois-ci l'organisation était très liée mais avec une cellule intergouvernementale de crise qui gère les aspects politiques les plus forts : la survie de la population, de l'économie, de la sécurité publique sans internet et avec l'Agence avec les même critères mais à un niveau un peu plus technique : gérer la crise informatique. L'exercice américain auquel vous faites allusion était une immense machine de communication. Sur le fond, je ne suis pas sûr qu'il ait été intéressant. Nous avons voulu tester une organisation, nous en avons tiré beaucoup d'enseignements mais je ne suis pas sûr que cela intéresse beaucoup les Français d'en savoir plus. A propos de l'internet offensif, nous avons plein d'exemples d'attaques informatiques majeures furtives totalement discrètes ou très visibles, comme celles de l'Estonie ou de la Géorgie. Je n'en connais pas où nous ayons trouvé le commanditaire de l'attaque. Bertrand HUET, Consultant Northrop Grumman a identifié que les attaques contre le programme JSF 35 émanaient de sources taïwannaises et chinoises. Vice-amiral Michel BENEDITTINI

Je précise qu'on parle du territoire chinois. Mais entre territoire chinois et autorités chinoises, il y a un pas difficile à faire pour protester sur le plan diplomatique. Nous avons un groupe d'experts à l'ONU qui devrait sortir une résolution de bonne conduite dans le cyberespace. Cela vaudra ce que ça vaudra et n'empêchera pas les états de se faire pirater données techniques, militaires, etc. Jamais nous n'avons réussi à remonter au commanditaire d'une attaque de cette nature. Dans le Livre blanc de la Défense et de la Sécurité, sont évoquées les luttes offensives. La France se réserve le droit d'en faire pour le renseignement ou pour répondre à des crises en complément de ses outils militaires. C'est comme la dissuasion nucléaire, elle existe, elle nous protège, mais ce ne pas un outil à la disposition des entreprises. Laissons à l'Etat ce rôle de défendre ou d'utiliser cette capacité offensive. Pour nous ce serait une catastrophe si nous laissions à d'autres le contrôle et la capacité d'attaquer sur internet.

Les partenaires des deuxièmes Rencontres de la Sécurité

Documents

Actes Sécurité 2010