La maîtrise des risques et l'intelligence économique au CEA - Frédéric Mariotte

La maîtrise des risques et l’i t lli é il’intelligence économique

au CEA

Frédéric MARIOTTEFrédéric MARIOTTEDirecteur Adjoint

Direction Centrale de la SécuritéPôle Maitrise des Risques

Coordinateur de l’Intelligence Economique au CEA

Paris, GFII - Journée "IE et Recherche", 5 mars 2015

Domaines d’intervention du CEA

Énergies bas-carbone

Énergies bas-carbone

Technologies pour l’Information et

Technologies pour l’Information et

Recherchefondamentale(sciences du

Recherchefondamentale(sciences du

l Information etTechnologies pour la Santé

l Information etTechnologies pour la Santé

(sc e ces duvivant et de la

matière)

(sc e ces duvivant et de la

matière)Conception et exploitation

des TGIR

Conception et exploitation

des TGIR

Défense etDéfense et

des TGIR des TGIR

2

Défense et Sécurité Globale

Défense et Sécurité Globale

Implantation territoriale dans 9 régions

10 Centres de recherche

4 Plateformes régionales de transfert techno.(CEA T h)

Sciences de la matière, technologies logicielles, calcul intensif, biomédicalSaclay

Fontenay-aux-RosesMetz

(CEA-Tech)

Ile-de-France

Micro-NanotechnologiesNanobiotechnologies

Valduc

Bruyères-le-Châtel

y

Le RipaultNantesg

Nouvelles technologies de l’énergieRhône-Alpes

Grenoble

MatériauxCentre, Bourgogne

Nucléaire :Bordeaux

Cesta

Marcoule

Gramat

C d h

Nucléaire : Cycle du combustible et gestion des déchetsVallée du RhôneN lé i

ToulouseCadarache

Lasers et plasmasAquitaine

Nucléaire : Fusion, fissionBioénergies, solaireProvence-Alpes-Côte-d’Azur

33

Evaluation de la vulnérabilité DétoniqueMidi-Pyrénées

Organisation du CEA

44

Maîtriser les risques dans un environnement en évolution

RisqueToute situation, tout évènement qui, s’il se produit, peut avoir des conséquences dommageables pour :a o des co séque ces do ageab es pou

• la sécurité et la santé des personnes ;• l’environnement ;

notre activité notre patrimoine ;• notre activité, notre patrimoine ;

• notre image.

Evolution importante de la perception et de l’acceptabilité du risque dans la société

Globalisation des échanges Opportunités / Risques

55

g pp q

Ouverture Protection

Maîtrise des risques au CEA

Maîtriser les risques : Identifier et analyser. Evaluer et hiérarchiser. Prévenir et réduire les conséquences potentielles. Cartographie des risques du CEA

Risques identifiés sur la base d’une « cartographie des processus » établie en liaison avec les pôles opérationnels et fonctionnels.

Garantie apportée sur taux de couverture. Niveau de risque = Asset Vulnérabilité Menace.

Asset : objectifs du CEA à préserver (COP 2015 - 2018) 37 risques identifiées (5 niveaux). Pour chaque risque : les conséquences, les causes et les parades.

Gérer la crise éventuelle.Gérer la crise éventuelle.

Pôle Maîtrise des Risques :Un rôle de cohérence d’interlocuteur des

66

Un rôle de cohérence, d interlocuteur des autorités de contrôle, de soutien aux unités

opérationnelles, de vigie et de contrôle.

Cartographie macroscopique des processus

‐ StratégieAdaptation des

Évaluationet contrôle

‐ Relations extérieures et partenariats

Gestion de crise

Processus de management

Exigencesdes clients

Satisfactiond li t

‐ Relations intern.

‐ Adaptation des moyens aux objectifs

Communication

et contrôle interne

et partenariats‐ Relations avec tutelles

des clientset desparties

intéressées

des clientset desparties

intéressées

Processus de réalisation liés aux missions du CEA

• Recherche, développement et innovationC i dé l l i i• Etat

• Tutelles• Autorités de sûreté

et de sécurité• Partenaires scientifiques et

• Etat• Tutelles

• Autorités de sûreté et de sécurité• Partenaires i tifi t

• Conception, développement et exploitationde grands outils de recherche scientifique et technologique

• Production ‐ Fabrication Assainissement Démantèlementscientifiques et

industriels• Clients industriels

• Personnel• Public

• Environnement

scientifiques et industriels

• Clients industriels• Personnel

• Public • Environnement

• Assainissement – Démantèlement

Processus support

urces

aine

s

port

que et

atique

ction

sites

ations

moine

tion

cière

ats /

tes

uctio

novation

llatio

n

tatio

n llatio

n

tien

ique

on

des

ntieux

rité

san

té

onnt

7

Ressou

huma

Supp

Techniq

inform

a

Protec

des s

install

patri m

‐Ges

finan

c‐A

cha

vent

Constru

et ré

nod’insta

Exploit

d’instal

‐Sou

jurid

i‐G

estio

conten

Sécu

Sûreté,

Envir o

Gestion administrative Gestion technique Soutien sécurité

Risque = Asset Vulnérabilité Menace

AssetAsset

MVulnérabilité( quand parades ) (~ cause du

i )

Menace

8

( q p )risque)

( quand parades )

Organisation du Pôle Maitrise des Risques

CoordinateurIE

9

Quelques risques liés à l’IE

Sécurité économiqueRSP3 Atteinte aux informations sensibles et protégées

RST2 Perte ou indisponibilité du système d’informationp y

RST4 Attaque des systèmes de contrôle des process

RSP1 Acte de malveillance sur installation sensible

Veille, influence, formation/sensibilisationRMP2 Perte de partenariat stratégique

RMS2 Perte de crédibilité liée à une stratégie inadaptéeg

RMS3 Changement des conditions externes (niveaux national / international)

RMP1 Perte d’image et de confiance

10

RMCo2 Inadaptation à l’évolution des moyens/vecteurs de communication

Pourquoi faire de l’IE au CEA ?

Les meilleurs suscitent la convoitise… 699 étrangers en contrat de

formation (stage post doc

754 dépôt de brevets en 2013 169 start-up technologiques

52 780 visiteurs au total*

formation (stage, post-doc, thésard, formation par

alternance) 835 CDD en 2014

(54 nationalités différentes)

15 505 missions* à l’étranger en 2014 …Un atout (mal exploité ?)

mais aussi une vulnérabilité

p g qcrées depuis 1972

27 pôles de compétitivité, dont 18 où le CEA est

administrateur(54 nationalités différentes) 27 Equipex , 33 Labex, 3 Idex

11

Le penseur et le tricheur, R. Doisneau

* centres civils CEA

Différents volets de l’IE au CEA

Veille stratégique• Bibliographique (publications, sources

ouvertes, …)

SensibilisationCollective / Individuelle

E i t DGSI

ProtectionDispositions règlementaires• Protection du Potentiel ST de la nation (PPSTn) , )

• Juridique: veille réglementaire, plaintes• Sur concurrents, partenaires,

fournisseurs stratégiques, …• Eudes économiques sur sociétés :

menaces/opportunités évolutions

• En interne CEA

• DGSI• …

( )• Protection des informations classifiées et

sensibles (IGI 1300)• Protection des SAIV (IGI 6600) • Protection des SI sensibles (II 901)• Politique de sécurité des SI de l’Etat (PM 2014)

Coordination IE

sif

sif O

fO

f

menaces/opportunités, évolutions, …• Sur d’éventuelles atteintes à l’image

Acquisition d’informationsSources internes :

• Politique de sécurité des SI de l Etat (PM 2014)• Protection du secret des affaires (confidentiel

industrie - en cours)• Procédures des investissements étrangers en

France liés à certains secteurs d’activité (Code d M hé Fi i )

Déf

ens

Déf

ens ffensifffensif

IESources internes :• Retour d’expériences• CR d’étonnement/d’opportunité suite à

missions• Conseillers nucléaires

des Marchés Financiers)• Confidentialité sur les secrets de fabrication

(Code travail) • Pas de communication à l’étranger en cas de

contentieux (Loi de 1968 et Code Pénal) DD ffSources externes : services état., indust.

« Influence »• Partenariats industriels et académiques

( )

Sécurité économique

Dynamique, Concurrentiel

Dispositions organisationnelles au CEA• Déclinaison de la réglementation• Règlement intérieur sur chaque centre CEA• Charte CEA réseaux sociaux

• Pôles de compétitivité (CEA 27/≈60)• Expertise pertinente et écoutée

(SGDSN, ministères, collectivités locales, contribution à réglementation…)

• Participation aux organisations

Politique de propriété industrielle

Protection :S

Valorisation

• Règle de protection des informations sensibles non classifiées

• Catalogue des activités sensibles• Clause confidentialité dans les contrats de travail• Accompagnement stagiaires

1212

1210 MARS 2015

Participation aux organisations internationales

• Participation aux groupes de normalisation « recherche »

• Communication (dont celle de crise)

• Secret• Brevet• Publication• Cahiers de

labo

Accompagnement stagiaires Livrets collaborateurs/référents

• Fournisseurs sensibles :- 15 secteurs stratégiques (HRIE, D2IE)- Partenaires stratégiques CEA

Missions du coordinateur IE au CEA

Elaborer la stratégie globale en matière d’intelligence économique du CEA f é à l li i bli d’i lli é iCEA, conformément à la politique publique d’intelligence économique, et coordonner la mise en œuvre de cette politique au CEA.

Identifier les compétences internes déployées au CEA et animer un Identifier les compétences internes déployées au CEA et animer un réseau de correspondants dans les directions opérationnelles et fonctionnelles.

Diffuser en interne CEA des informations pertinentes, les bonnes pratiques et les outils de diagnostic.

Procéder à une analyse d’opportunité sur l’harmonisation des pratiques.

Développer un volet pédagogique : sensibilisation de tous les acteurs du CEA et formation systématique des managersCEA, et formation systématique des managers.

Assurer la représentation du CEA auprès des autorités ministérielles et interministérielles du domaine (D2IE).

1313

interministérielles du domaine (D2IE).

Quelques recommandations pour le CEA

Poursuivre la protection des actifs (immatériels notamment):1

Poursuivre la protection des actifs (immatériels notamment): Identification des activités sensibles (catalogue).

Gestion de la confidentialité (hors classifié) : niveaux de protection, règles diffusion et de conservation des informations sensibleset de conservation des informations sensibles.

Sensibilisation et formation de tous les acteurs, du chercheur au manageur.

Améliorer la connaissance de son environnement : Coordination de la veille, du traitement et de la diffusion de l’information pertinente.

2

, p Anticipation des menaces et des opportunités.

CR d’étonnement et d’opportunité suite à une mission.

Identifier et connaître les réseaux d’expertise IE de confiance3

1414Vers une IE adaptée à nos besoins

Conclusions

Un contexte réglementaire : Lettre du PM sur l’action de l’Etat en matière d’IE 15 nov 2011 Lettre du PM sur l action de l Etat en matière d IE - 15 nov. 2011. Guide de l’IE pour la recherche - Juin 2012. PPSTN, Protection des SI sensibles, …PPSTN, Protection des SI sensibles, …

Une décision de l’Administrateur Général du CEA suite à un audit interne Création d’un Coordinateur à l’Intelligence Economique pour valoriser g q p

et contribuer à améliorer les actions IE déjà existantes au CEA.

Des actions très variées au CEA qui concourent déjà à l’IE : protection et maîtrise de l’information, sensibilisations, veille, publications, valorisation, engagement dans des structures et des projets internationaux, communication, normalisation, ….

Une cartographie des risques du CEA qui apporte des éléments concrets (conséquences, causes et parades) à la gestion des risques liés à l’IE.

1515

L’adhésion de tous au CEA pour une réussite de cette démarche.

Merci de votre attention

Frédéric MariotteDi ti t l d l é ité

Commissariat à l’énergie atomique et aux énergies alternativesC t d F t R | 92265 F t R C d

| PAGE 16

Direction centrale de la sécuritéDirecteur Adjoint

Centre de Fontenay-aux-Roses | 92265 Fontenay-aux-Roses CedexT. +33 (0)1 46 54 72 77| F. +33 (0)1 46 54 83 43

Etablissement public à caractère industriel et commercial | RCS Paris B 775 685 019

CEA