Management

Cigref : l'intelligence économique pour la sécurité numérique

Le Cigref (Club informatique des grandes entreprises françaises) a réuni ses membres autour du nouveau délégué interministériel à l'intelligence économique pour un petit déjeuner le 2 juillet 2010.

Publicité« Lénine disait que le capitaliste allait vendre la corde pour le pendre mais, en fait, aujourd'hui, les entreprises la donne » a fustigé Olivier Buquen, nouveau délégué interministériel à l'intelligence économique, lors du petit déjeuner organisé pour ses membres par le Cigref ce 2 juillet 2010. Citer Lénine quand on est directement rattaché à Nicolas Sarkozy est certes une provocation. Mais l'image marque.

Olivier Buquen a une position différente de son « prédécesseur » Alain Juillet. Ce dernier était en effet rattaché au SGDN (Secrétariat Général à la Défense Nationale). Il a certes défriché le sujet de l'intelligence économique et bien évangélisé mais était trop connoté « militaire » pour réellement séduire le secteur privé. Olivier Buquen indique : « Claude Guéant et Nicolas Sarkozy s'intéressent à ce sujet depuis des années et, en 2009, ont voulu faire évoluer le dispositif. » La fonction d'Alain Juillet avait été créée suite au rapport du député Bernard Carayon en 2003, neuf ans après le rapport de Henri Marte. Celle d'Olivier Buquen est, selon ses mots, un « gros projet transversal qui « s'appuie sur les business units (les ministères) mais est rattachée à la holding de tête (la Présidence de la République) ».

Le travail de ce nouveau délégué interministériel à l'intelligence économique concerne autant l'Etat pour son propre compte que les entreprises dont les intérêts doivent être défendus dans le cadre d'une défense des intérêts économiques du pays. Mais en aucun cas il ne remplace les cabinets privés : son intervention ne se fait que dans le cadre de la défense de l'intérêt national, plutôt à titre défensif. Il pourrait être amené à soutenir de grands contrats à l'exportation mais sous l'expresse condition que ce contrat mette en jeu une puissance publique étrangère. Intervenir dans des affaires franco-françaises n'est pas son rôle, et dans des contrats privés internationaux risquerait d'être contre-productif.

« Beaucoup font de l'intelligence économique comme Monsieur Jourdain faisait de la prose, sans le savoir, mais il faut savoir formaliser et professionnaliser la démarche, ce qui n'est pas si naturel que cela » concède Olivier Buquen. Le rôle de l'Etat, comme il l'a martelé, n'est certainement pas de faire tout le travail à la place des entreprises mais par contre il doit savoir initier et accompagner.

Comprendre l'importance de l'IE

L'intelligence économique a encore parfois une image barbouzarde.

Or elle consiste à collecter les informations stratégiques, analyser celles-ci, diffuser les bonnes informations aux bonne personnes et enfin protéger les informations stratégiques des personnes qui ne doivent pas en prendre connaissance (comme les concurrents par exemple).

PublicitéMais pourquoi le Cigref s'intéresse-t-il au sujet ? Et, au delà, pourquoi les DSI devraient-ils s'en préoccuper ?

Une anecdote rapportée par Olivier Buquen vaut sans doute plus qu'un long discours : « un PDG du CAC 40 a dû se séparer d'un collaborateur direct membre du comité exécutif parce que, dans ses états Facebook, il racontait sa journée quasiment en direct en révélant dans quel pays son patron se rendait et quelles personnes il rencontrait. »

D'une sécurité informatique à la sécurité numérique

Celle-ci illustre bien le discours introductif de Bruno Ménard, président du Cigref et Vice-président systèmes d'information de Sanofi-Aventis : « le sujet n'est pas nouveau (le premier rapport du Cigref sur la veille stratégique date de 1998) mais prend de l'ampleur car, avec le développement de la société numérique vient celui des usages et donc des risques. Si le citoyen déclare désormais ses impôts en ligne, va à la banque sur Internet et accèdera demain à son dossier médical via le DMP, il en est de même pour les entreprises. De ce fait, leur valeur repose de plus en plus sur leur capital numérique qui peut être mis en danger par des usages inappropriés. Nous passons d'une problématique de sécurité technique informatique -aujourd'hui bien traitée par les RSSI- à une problématique de sécurité numérique, orientée vers les usages. C'est dans cet esprit que le Cigref et l'INHESJ ont collaboré pour créer une formation dédiée. »

Olivier Buquen s'est félicitée de cette « excellente collaboration entre le public et le privé au service du pays ».

Deux chantiers communs entre la DIIE et le Cigref

Outre son action générale de sensibilisation et d'action défensive à l'égard des entreprises, la DIIE (délégation interministérielle à l'intelligence économique) va mener trois chantiers dont deux en collaboration avec le Cigref.

Ces deux derniers concernent d'une part la conception d'une grille d'auto-évaluation de la maturité des entreprises et des établissements en terme d'intelligence économique (idéalement prête pour la fin 2010) et d'autre part le renforcement de la protection des informations stratégiques. Si l'innovation (la R&D au sens large) est en général bien protégée au travers de la propriété intellectuelle, il n'en est pas du tout de même des plans stratégiques à moyen/long terme ou des informations commerciales alors que l'entreprise connaitrait de grave soucis si ces informations tombaient dans des mains hostiles concurrentes.

Il y a peut-être une adaptation du cadre juridique à mener selon les dires d'Olivier Buquen, notamment pour sanctionner les atteintes au secret interne des entreprises voire pour limiter les publications obligatoires, y compris en terme de détail des comptes au greffe du tribunal de commerce. « Beaucoup d'entreprises préfèrent payer une amende pour se protéger plutôt que de respecter l'obligation légale, ce qui n'est pas une situation satisfaisante » soupire Olivier Buquen.

En terme de sécurité du SI (au sens plein du mot, au delà de la seule informatique), cela passe par une formalisation. Une piste avancée par Olivier Buquen est d'adopter en interne un mécanisme comme celui adopté au sein de la Défense Nationale : catégoriser clairement les informations en « public », « confidentiel », « secret », etc. et gérer des habilitations individuelles explicites.

Le troisième chantier de la DIIE concernera la recherche scientifique. Par nature, celle-ci est collaborative et s'appuie sur la publication. Mais un vrai travail sur la protection des travaux doit être mené afin que celle-ci intervienne avant la publication. Pour Olivier Buquen, « les bonnes attitudes ne sont pas encore acquises au point d'être naturelles ».