CyberCercle du 1er avril 2015 avec Claude REVEL, Déléguée Interministérielle à l’Intelligence Économique*, sous la présidence d‘Eduardo RIHAN CYPEL, Député de Seine-et-Marne
Le risque d’espionnage économique représente aujourd’hui un enjeu majeur pour les entreprises et les états.
Avec le développement du numérique dans notre société et son corollaire de cybermenaces, le risque du vol de données via la pénétration des systèmes d’information a considérablement augmenté. Le numérique, s’il est une chance pour le développement économique des entreprises et un outil au service de la souveraineté des états, peut également servir les intérêts de concurrents via, par exemple, le piratage de données confidentielles et stratégiques. Les entreprises et l’Etat français se doivent donc de donner une réponse cohérente et efficace face à ce risque afin de préserver à la fois la richesse que constituent le patrimoine immatériel des acteurs économiques, et la souveraineté et l’influence nationales au niveau de l’économie mondiale.
Face à cet enjeu majeur, Eduardo RIHAN CYPEL, député de Seine-et-Marne, rappelle l’engagement de la France pour lutter au mieux contre le vol de données. Il insiste sur le fait que la création de la Délégation interministérielle à l’Intelligence économique (D2IE) témoigne de la prise de conscience française dans ce domaine, et de sa volonté d’agir dans le sens de ses intérêts, tout en rappelant que les efforts doivent être poursuivis, à la fois aux niveaux national et européen.
« C’est une question de patriotisme que de ne pas se laisser faire face à ces menaces, et c’est un devoir que d’élever le niveau de conscience des acteurs nationaux et européens
face à cette problématique » Eduardo RIHAN CYPEL
Claude REVEL, Déléguée Interministérielle à l’Intelligence Economique, rappelle que le rattachement en mai 2013 aux services du Premier ministre s’est inscrit dans une optique interministérielle et témoigne de l’engagement de l’Etat pour répondre aux enjeux liés à la cybercriminalité et à l’intelligence économique. En effet, elle anime un réseau important d’acteurs institutionnels, en lien avec le monde de l’entreprise, et réfléchit à des solutions à apporter aux acteurs économiques. Ces derniers, qui participent au rayonnement de la France, doivent pouvoir se protéger face aux cybermenaces qui viendraient nuire à leur compétitivité sur le marché, et ainsi veiller aux intérêts économiques de la France.
Tout d’abord, Claude REVEL revient sur la définition de l’intelligence économique en tant que principe de gouvernance.
Pour rappel, l’intelligence économique est « un mode de gouvernance fondé sur la maîtrise et l’exploitation de l’information stratégique pour créer de la valeur durable dans une organisation » selon la définition de la D2IE. Elle permet ainsi aux acteurs économiques de mettre en œuvre des stratégies de développement et d’innovation afin d’être compétitifs sur un marché concurrentiel. L’intelligence économique en tant que bonne gouvernance repose sur trois piliers. Tout d’abord, elle doit se construire autour d’un travail de veille et d’anticipation afin de dégager les grandes tendances et guider les acteurs économiques dans leur prise de décision en s’adaptant à l’environnement extérieur. Un travail important de collecte et d’analyse d’informations est indispensable pour mieux répondre aux attentes du marché.
Le deuxième pilier est la sécurisation du patrimoine immatériel, élément indispensable du développement économique, et d’autant plus vulnérable aujourd’hui que les entreprises utilisent massivement les nouvelles technologies pour leur croissance et leur compétitivité.
Enfin troisième pilier : l’influence, action proactive sur l’environnement économique.
L’intelligence économique est un enjeu stratégique pour les états. Elle participe à leur rayonnement économique à l’échelle locale et mondiale. La D2IE élabore ainsi la politique nationale d’intelligence économique. Son action s’organise autour des trois piliers évoqués ci-dessus auquel s’ajoute un volet pédagogique pour sensibiliser les acteurs concernés sur les objectifs et les méthodes de l’intelligence économique.
Dans un contexte de crise économique et alors que l’accès à l’outil numérique est quasiment généralisé, les menaces visant les données confidentielles des entreprises sont de plus en plus présentes. Les services de l’Etat en charge de la sécurité économique recensent chaque année près de 1.000 actes hostiles significatifs à l’encontre des acteurs économiques, avec parfois des incidences graves sur leur compétitivité. Si ce chiffre parait conséquent, il ne témoigne pourtant que d’une part infime des cyberattaques dont sont effectivement victimes les entreprises françaises. Il est donc essentiel qu’un effort de réflexion soit fait afin d’établir une stratégie à la fois préventive et offensive.
« Il faut une bonne connivence entre la sécurité économique et l’influence sur l’environnement économique pour garantir la souveraineté économique française » Claude REVEL
Le volet offensif que représente l’influence est un point important qui doit mobiliser les acteurs. Il s’agit en effet pour les acteurs économiques de pouvoir défendre leur influence sur le marché international. Ils doivent pouvoir peser sur la régulation et les décisions prises au niveau institutionnel, national et européen, et dont les conséquences vont avoir une influence directe sur leur activité. Claude REVEL rappelle que les différents acteurs économiques devraient agir dans une logique de « coopétition », alliance de coopération et de compétition visant un objectif commun de compétitivité, sans pour autant tomber dans une optique d’affrontement.
La question de la sécurité des données numériques représente aujourd’hui un défi majeur pour les entreprises : elles doivent en effet veiller à la protection de leurs données confidentielles, concernant leurs clients par exemple, ou les données relatives à leur stratégie de développement et de croissance interne. La question de la protection des innovations et de la propriété intellectuelle est donc essentielle pour les entreprises. Cela pourrait être rendu possible notamment par la protection législative qu’offrirait une loi sur le secret des affaires.
Face à des menaces qui se multiplient, Claude REVEL rappelle que les entreprises doivent faire un choix dans les données qu’elles souhaitent protéger. En effet, les entreprises doivent se résoudre à renoncer à tout protéger pour se concentrer sur les informations stratégiques. Madame REVEL note qu’il est parfois difficile pour les entreprises de déterminer ce qui est vital pour elles.
La question de la sécurisation de ces données stratégiques doit également être appréhendée sous l’angle juridique et législatif. En effet, Claude REVEL rappelle que la législation concernant la protection des données sensibles des entreprises est déjà fournie, au niveau français et européen. La CJUE a par exemple confirmé la loi française dans son arrêt du 13 mai 2014 sur la protection des données personnelles. La coordination entre les législations française et européenne ainsi que la collaboration entre les différents acteurs internationaux sont nécessaires pour veiller à la bonne gouvernance en matière d’intelligence économique.
Madame REVEL tient néanmoins à rappeler que les risques liés à la fuite de l’information ne sont pas exclusivement liés aux cyberattaques. Il existe en effet des canaux légaux, comme l’achat de filiales ou de sous-traitants par des entreprises étrangères, ou bien encore l’instrumentalisation de procédures administratives ou judiciaires (discovery) qui permettent l’accès à des informations stratégiques.
La Déléguée insiste sur la capacité des états, via des agences spécialisées comme c’est le cas de l’ANSSI en France, à coopérer avec les entreprises pour renforcer la sécurité des systèmes d’information en adoptant notamment de bonnes pratiques, et ainsi mieux garantir la protection de leurs données stratégiques. Etats et entreprises doivent coopérer afin de pouvoir faire face à des menaces polymorphes, qu’elles soient internes, qu’elles ciblent l’information stratégique ou qu’elles cherchent à nuire, par exemple, à la réputation d’une entreprise. Selon Claude REVEL, il est donc essentiel de sensibiliser les chefs d’entreprises à ces enjeux afin qu’ils puissent procéder à une veille active pour faire face aux menaces. Le facteur humain est prépondérant dans la cybersécurité. La sensibilisation de tous est nécessaire, notamment des dirigeants afin qu’ils prennent en compte la cybersécurité dans la cadre d’une stratégie globale. La déléguée insiste néanmoins sur le fait que l’outil numérique est une opportunité qu’il faut exploiter pour en faire un atout économique en termes de produits et services.
« Il est essentiel de manager la connaissance interne
de l’entreprise pour veiller à la protection
des informations capitales » Claude REVEL
L’intervention de Madame REVEL a suscité de nombreuses questions au sein du public.
Un premier auditeur se demandait si la multiplicité des normes numériques (GSM par exemple) ne venait pas contraindre l’action des entreprises. Claude REVEL insiste sur le fait qu’il est nécessaire de mettre en place des normes qui favorisent l’innovation des entreprises, comme des standards technologiques. Beaucoup de normes européennes peuvent déjà être vues comme des outils encourageant la compétitivité des entreprises.
Madame REVEL conclue son propos en rappelant que la question de l’intelligence économique est un enjeu essentiel pour l’Etat qui développe des actions au niveau national, mais également au niveau local autour du préfet de région. Il est en effet essentiel de sensibiliser les différents acteurs économiques, afin de lutter contre une sorte d’illettrisme qui vient porter atteinte à la souveraineté économique de la France. Pour cela, il apparait essentiel que les différents organismes de l’Etat, comme l’ANSSI, la D2IE, ainsi que les différents ministères collaborent afin de mener une stratégie efficace.
*Claude REVEL a été nommée en juillet 2015 à la Cour des Comptes.
