Protéger les entreprises françaises face aux menaces croissantes d’ingérences étrangères. Rattachée au préfet de région Occitanie et au Sisse (service de l’information stratégique et de la sécurité économique, 20 délégués en régions, 30 personnes à Bercy), Claire Basty (homologue à Toulouse : Christian Szypura), convie les Indiscrétions à un échange avec l’ex-président du Medef, Geoffroy Roux de Bézieux, auteur du rapport classifié « La sécurité économique des entreprises », remis l’an dernier au président de la République. Morceaux choisis.
Espionnage, cyberattaques, guerre juridique et désinformation : la guerre économique ne relève plus du fantasme. « Le rapport de force est redevenu la règle. Le monde s’est durci, constate Geoffroy Roux de Bézieux. Les alertes remontées par la DGSI et le SISSE se multiplient. En ligne de mire : le vol de données sensibles, le débauchage ciblé de talents, la création de faux comptes visant à ternir la réputation d’entreprises. Derrière ces opérations, ce ne sont pas des citoyens isolés, mais des États. »
Les tensions géopolitiques (Chine, Russie, certaines puissances africaines, mais aussi entre alliés) accentuent ces risques. L’affaire des écoutes américaines sur le téléphone d’Angela Merkel reste dans les mémoires. « Les démocraties s’étaient endormies. Le dernier rapport public sur ce sujet en France date de 1994 ! », rappelle-t-il. À la différence des États-Unis, où les anciens dirigeants du renseignement siègent dans les conseils d’administration, « la France manque de passerelles entre l’État et ses entreprises ».
Le défi touche aussi à l’intelligence artificielle. « Un tiers des salariés utilisent des IA grand public. Si c’est pour rédiger un contrat ou un projet, cela revient à envoyer des données sur des serveurs étrangers. » D’où l’importance du lieu de stockage.
Pour les entreprises comme pour l’État, la difficulté est la même : trouver un équilibre entre attractivité et souveraineté. « Il ne s’agit pas de se barricader. Mais entre Choose France (attirer des investisseurs étrangers en France) et Protect France, il faut enfin définir une ligne claire. »
J’en apprends plus
Que dit le rapport ? Les alertes de sécurité économique relevées par le SISSE ont quasiment triplé entre 2020 et 2023 pour atteindre près de 1.000 par an.
Le rapport fait état de « nationalisations arbitraires d’usines à l’étranger, y compris au sein de l’UE. Exemple en Europe de l’Est, où une coopérative agricole française a été expropriée de ses terres et de ses installations industrielles »
Beaucoup d’entreprises sortent de l’illusion qu’elles sont « apatrides ».
Les entreprises sont victimes des tensions diplomatiques avec la France : appel au boycott au Maghreb, et, depuis la semaine dernière, droits de douane aux Etats-Unis.
Fuite de données. Parmi les menaces identifiées : risque de fuite de données, « accru par la digitalisation et la conservation sur le cloud des données des entreprises. La vulnérabilité est accrue en cas de recours à des sous-traitants, dont le niveau de protection est inférieur à celui des entreprises, ou à des sociétés de conseils, généralement étrangères et soumises au droit extraterritorial américain ».
Groupes Whatsapp. Au sein des conseils d’administration et des comités exécutifs, « il n’est pas rare de recourir, par facilité, à des outils non sécurisés : boucle WhatsApp, téléphones non sécurisés, système de visio grand public… Une part significative des grandes entreprises utilise pour leurs conseils d’administration des outils non souverains, malgré l’existence de solutions sécurisées françaises ».
Il est fait mention du danger du recours à de « nombreux prestataires extérieurs, soit par obligation réglementaire (experts-comptables, entreprises de certification) soit pour la fourniture de services (courtiers en assurances, avocats d’affaires internationaux, conseils en stratégie, banques d’affaires…) : ils ont accès aux systèmes internes des entreprises, et reçoivent des informations nombreuses, de quantité variable (…). Beaucoup d’entreprises sont assez peu conscientes de la vulnérabilité de ces données, du fait de stockage de celles-ci à l’étranger. »
Le rapport pointe la possibilité « d’encadrer les interventions, d’imposer des prescriptions dans le cadre d’une annexe de sécurité au contrat ou d’une lettre d’affirmation sur la protection et le stockage des données. » Par exemple, « la Chine impose à ses grands groupes l’utilisation de cabinets d’expertise-comptable uniquement chinois ».
La souveraineté numérique est possible. Geoffroy Roux de Bézieux de citer, dans son rapport, « le cas d’une grande entreprise conciliant souveraineté et compétitivité : 99 % de ses informations sur ses infrastructures et systèmes sont localisées en France, par le développement de ses propres outils informatiques, stockage sur ses propres serveurs ». Et ce n’est pas plus cher : « Les coûts informatiques sont inférieurs de 25 % par rapport à son principal concurrent. »
Protéger l’essentiel. Conseil : protéger les « données stratégiques, qui représentent 3 % à 5 % des données globales : tout n’est pas stratégique. Il faut faire attention où on les stocke, qui y a accès, et comment on les transmet », explique aux Indiscrétions Geoffroy Roux de Bézieux. « La question à se poser, c’est ‘Qu’est-ce que je détiens qui est vital, qui ne doit pas fuiter à l’extérieur ? C’est moins que ce que l’on croit, mais souvent, ce n’est pas bien protégé. »
Le rapport pointe les agissements de certains capitaux-risqueurs étrangers de grande taille. « Il y a parfois des intentions d’investisseurs, qui demandent une délocalisation des centres de recherche », en contrepartie de leur investissement au capital d’une entreprise française.
Prédation de RH par des puissances étrangères. Des pays « n’hésitent pas à multiplier les approches directes, notamment par Linkedin, auprès de salariés actuels ou de retraités de grandes entreprises, sous prétexte d’offrir une prestation de consulting rémunéré ».
Des déstabilisations par des actions juridiques et des coûts de procédures exorbitants sont relevés. « Le but est alors d’étranger un concurrent étranger. C’est une pratique aux Etats-Unis ou en Chine (procédures de Contempt of court aux EU, Export Control Law en Chine), avec une portée extraterritoriale.
La menace réputationnelle se généralise, avec des déstabilisations de grandes entreprises via des campagnes, le plus souvent sur les réseaux sociaux et de manière anonyme. « Des informations déformées ou fausses sont amplifiées par des acteurs médiatiques ou associatifs de bonne foi ».
Autre tendance, des tentatives d’infiltration dans les grandes entreprises « d’activistes radicaux, qui sont déjoués au final par les services RH ».
Fragilité aux chaînes de valeur. Le rapport conseille d’éviter « une dépendance exclusive pour certains matériaux ou certains composants à un pays ou à un fournisseur », ce qui est souvent le cas, « conséquence de l’optimisation des chaînes d’approvisionnement ».
Une Europe de la sécurité économique apparaît « urgente et indispensable. Mais elle n’existe pas, du fait de la compétition entre les pays pour attirer les investisseurs étrangers, sans considération commune de sécurité, ou avec des divergences dans les réponses apportées vis-à-vis de certaines entreprises étrangères ».
Les ETI industrielles et technologiques doivent « améliorer leur compréhension des enjeux de sécurité économique. C’est un sujet très rarement abordé dans les enseignements destinés aux futurs cadres ou aux cadres existants ». Il est noté que « les entreprises échangent peu en la matière, hormis quelques initiatives comme les groupes de réflexion thématiques du club des directeurs de sécurité des entreprises (CDSE) ou la commission ‘souveraineté et sécurité économique’ du Medef. Mais il n’y a pas d’espace de confrontation et d’échange d’expériences, notamment pour les dirigeants d’ETI, pour faire progresser la culture de la sécurité éco dans les entreprises ».
La conscience est cependant « plus forte dans les jeunes entreprises de la deeptech, et dans les secteurs d’avenir à forte composante technologique (nucléaire, spatial, quantique, IA, biotech). Ces entreprises font preuve d’une forme de patriotisme économique, même si toutes ont ouvert ou vont ouvrir leur capital auprès de fonds étrangers. Leur objectif affiché est de garder les centres de décision de l’entreprise en France ».
Orientations. 40 recommandations, non publiées, sont articulées autour de 5 orientations :
-Renforcement des liens entre les services de l’État et les entreprises, par la création d’instances de dialogue, formelles ou informelles.
-Renforcement de la sensibilisation des entreprises à la sécurité économique, en particulier sur la clarification et la protection des données, les menaces RH, les menaces sur le capital…
-Renforcement de l’action du SISSE et l’amélioration du dispositif de renseignement économique.
– Renforcement de la sécurité des outils numériques utilisés par les entreprises et par l’État.
-Mise en place d’un point de situation annuel au Président de la République sur la mise en œuvre des recommandations.
– Améliorer la culture de la sécurité économique dans les entreprises françaises, en particulier dans les ETI et certaines PME technologiques.