Mardi 7 février, le SYNFIE et la Délégation militaire du Morbihan appelaient les chefs d’entreprise bretons à se rassembler autour d’une table ronde portant sur les enjeux de souveraineté économique, industrielle et numérique. L’objectif de la soirée était aussi vaste que simple : sensibiliser les divers acteurs économiques régionaux au fait qu’ils contribuaient à la souveraineté française et leur donner des pistes d’analyse à ce sujet.
« Dans un monde hyperconnecté comme le nôtre, la souveraineté est l’affaire de tous »
« Nous sommes tous acteurs de notre souveraineté » rappelait consciencieusement Olivier Cardini pour introduire le débat ayant lieu dans les bâtiments du 3ème Régiment d’Infanterie de Marine à Vannes. Les entrepreneurs bretons, par la richesse de leur écosystème territorial, de leurs savoirs et savoir-faire, avaient de quoi être interpellés. En effet, la Bretagne représente un très grand intérêt pour les divers services de renseignement étrangers, et notamment chinois, rapportait le journal local Le Télégramme. Et pour cause, la région concentre, à elle-seule, les écoles d’officier de l’armée de Terre et de la Marine, des bases navales et sous-marines d’envergure, des laboratoires de recherche, des industries de pointe dans le secteur maritime civil et une filière d’excellence en cyberdéfense. De fait, les principales menaces soulevées ce soir-là – qui planent généralement au-dessus de ces entreprises – ont été les cyberattaques et celles portant sur le financement des entreprises et de leurs partenaires.
La souveraineté a un prix
« La souveraineté et l’indépendance d’une entreprise et d’un État ont un prix », soulignait François Jeanne-Beylot, président du SYNFIE et PDG de Troover. Cela nécessite des moyens physiques et financiers importants, autant que cela exige de bien suivre les évolutions de son environnement informationnel et concurrentiel. À titre d’illustration, les entreprises informatiques souhaitant faire certifier leur logiciel par l’ANSSI dépensent souvent plusieurs centaines de milliers d’euros pour pouvoir se targuer de cet atout compétitif qui est un gage de confiance pour les utilisateurs.
Cette souveraineté entrepreneuriale a pour objectif de redonner aux chefs d’entreprise une autonomie dans la décision. Objectivement, il semble impossible pour une entreprise de se rendre totalement indépendante. Elle ne peut pas faire fi de ses partenaires fournisseurs ou clients et de l’État. Toutefois, elle peut choisir ses dépendances, de sorte à ne pas mettre tous ses œufs dans le même panier et préserver ainsi sa capacité d’agir, soutient un délégué de la DGSI présent à la table-ronde.
Les bonnes pratiques pour se prémunir des menaces concurrentes
De cette table ronde ressortent plusieurs bonnes pratiques à retenir :
En matière de financement, il est primordial que les entreprises puissent réaliser des due diligence (investigations) sur les investisseurs qui leur proposent un financement. La DGSI prévient les entreprises au sujet des prédations capitalistiques qui, parfois, peuvent être opérées à l’encontre de fournisseurs ou de clients auxquels les entreprises sont en grande partie dépendantes. En cela, « le modèle de société coopérative paraît être une solution attrayante » précise Antoine Clapier, PDG de la société DISTRO. Il complexifie considérablement la prise de contrôle par le capital.
Il convient néanmoins de rappeler que la prise de contrôle à 50 % d’une société n’est pas nécessaire pour porter préjudice à une société. En effet, il arrive couramment à des associations comme Greenpeace d’investir dans une action de société ou de faire équipe avec des fonds d’investissement pour contraindre les conseils d’administration d’entreprises ciblées.
Les exemples de prédation par le financement ne manquent pas, on l’aura compris. C’est d’ailleurs le rôle du Service de l’information stratégique et de la sécurité économiques (SISSE) de rester vigilant en aidant les entreprises françaises à trouver un fonds d’investissement souverain pour les recapitaliser. Ainsi, le SISSE a été directement impliqué dans le financement de la société Photonis, dans l’affaire éponyme, alors qu’elle semblait bien partie pour être rachetée par un fonds américain. Ce soutien de l’État auprès des entreprises est enrichi du côté du secteur privé par la création du fonds Eiréné par Weinberg Capital Partners (WCP) le 8 février 2023, pour « accompagner le développement des PME et ETI du secteur de la défense et de la sécurité ». Le fonds est doté d’un montant de 100 millions d’euros, ambitionne de doubler de taille et intègre une dimension d’intelligence économique éminente autant que des profils institutionnels et industriels dans son comité de pilotage, à travers la participation du PDG de l’Adit Philippe Caduc, de l’ancien Délégué Général pour l'Armement Laurent Collet-Billon et d’Hervé Guillou, ex-PDG de Naval Group.
![Figure 1 : cartographie des acteurs formant la communauté étatique cyber française [ aperçu : pour un affichage optimal veuillez télécharger la version A3 ]](https://lh5.googleusercontent.com/DbF5EA1TPyf8QYthMfrc5sPIlBP77VVJY2VE_6s8P65rKQZRSfPhhnjjMCLP5Thy_JdUHhaaXqj9W1mOqylZiXZ5ciojzm9fQ5uRw7tDh4xPT_XZ_iZjVd5eSOoCkidGnoHMioPUPPGGGTB43ZCZzQ)
Figure 1 : Structuration européenne et française de la sécurité numérique – Crédits : IHEMI
D’un point de vue cyber, l’omniprésence des systèmes informatiques au sein des entreprises offre un danger supplémentaire pour des sociétés dont les activités sont dites « plus traditionnelles ». Emmanuel Frenod, fondateur de See-d, n’omettait pas de signaler à ce propos que « désormais, un simple artisan ou une industrie peut être la victime d’une cyberattaque, et ça ne fera que s’accélérer avec l’apparition de l’intelligence artificielle ». En moyenne, c’est une entreprise sur deux qui fait faillite dans les six mois suivant une cyberattaque.
Celles-ci peuvent être de deux ordres : crapuleux ou prédateur. Dans les deux cas, la donnée ou l’information sont les éléments recelés. Les organismes étatiques sensibles à la question de la cyberdéfense – à savoir la DGSI, la Direction du Renseignement et de la Sécurité de la Défense (DRSD), l’Agence Nationale à la Sécurité des Systèmes d’Information (ANSSI), le SISSE et le Commandement de cyberdéfense (COMCYBER) – suggèrent tout d’abord de compartimenter l’accès aux données, de façon à dissocier hermétiquement les données confidentielles et stratégiques, des données opérationnelles utilisées quotidiennement. Cela s’est souvent vu dans le cas d’une réponse à un appel d'offres. De même, ils incitent fortement les entreprises à effectuer souvent des sauvegardes de leurs données à intervalle non-régulier.
Cette posture préventive constitue, entre autres, une préoccupation actuelle de la Chambre de Commerce et d’Industrie (CCI) du Morbihan. Des formations à ce sujet, destinées aux entrepreneurs et à leurs salariés, sont d’ailleurs prévues par la Chambre dans les prochains moins, précise Charles Puyette, vice-président en charge des services de la CCI du Morbihan. Des formations en intelligence économique seraient dispensées en parallèle. Enfin, les représentants de ces organes étatiques n’omettaient pas de marteler les cyberattaquants s’appuyaient, la plupart du temps, sur la faible acculturation des employés à la sécurité des systèmes d’information, comme chemin d’entrée pour opérer via des mails ou des clefs USB piégées.
La sécurité et de sûreté doivent-ils être au cœur de la stratégie des entreprises ?
Afin de lutter contre l’ensemble de ces menaces, les discussions de ce mardi 7 février ont également mis en avant l’importance de construire, et d’entretenir, une cartographie des risques internes et externes. Deux typologies de risques ont été distinguées : ceux d’ordre stratégique, et ceux d’ordre opérationnel.
Les risques dits « stratégiques » affectent directement la poursuite de l’activité de l’entreprise, au risque de la voir disparaître. La perte du contrat de vente de sous-marins à l’Australie s’est avérée être stratégiquement dommageable, tant la perte financière était volumineuse et la détérioration – ou le manque à gagner – de la réputation significative.
A contrario, les risques « opérationnels » ont plutôt une répercussion sur la vie quotidienne de l’entreprise, en la pénalisant temporairement. Il peut s’agir de la « perte non-anticipée d’un savoir-faire, lors du départ à la retraite d’un technicien ou spécialiste » qui s’avère pourtant être crucial pour la société en question, comme le commentait Gildas Blévin, directeur commercial de la société ETA. La méthodologie de la construction d’une cartographie des risques repose sur la prise en compte de l’ensemble des parties prenantes – États, clients, actionnaires, fournisseurs et associations – environnant l’activité de la société. En effet, « en 2022, le SISSE recensait justement 600 menaces, qui, pour la plupart, étaient de pures prédations de concurrents étrangers, visant à nuire à des entités françaises » appuie fortement Jérôme Lainé, délégué du SISSE en Bretagne.
En plus d’identifier les menaces potentielles, la cartographie doit permettre à l’entreprise d’identifier les dommages qui seraient causés en cas d’incident ainsi que les moyens a priori et a posteriori pour contrer ces menaces. Le Club des directeurs de sécurité des entreprises (CDSE) contribue, par ailleurs, à soutenir les entreprises dans leur démarche d’identification des menaces. Il a publié un livre blanc exclusivement consacré à ce sujet en mai 2022, suggérant de nombreuses recommandations pratiques aux entrepreneurs. Cela peut amener l’entreprise à mettre en place une veille sur certains acteurs ou environnements d’acteurs qu’elle juge opportun de garder à vue. Elle se met alors dans une posture d’anticipation des risques.
Les démarches de la CCI du Morbihan et des autres organismes étatiques visent à élaborer en France un état d’esprit entrepreneurial fortement teinté des enjeux d’intelligence économique et des rapports de force économiques, le portant à la démocratisation des logiques de résilience, de souveraineté et de puissance économique.
Du reste, le CDSE pointe du doigt l’importance de placer les problématiques de sécurité et de sûreté au cœur de la stratégie des entreprises, et ainsi renforcer leur position à l’égard des acteurs tiers. Ceci passera notamment par la promotion des success story qui replumeront, avec le temps, la fierté économique du coq français et amènera fondamentalement au changement de nos codes économico-culturels afin de rompre avec l’attitude parfois candide – qui caractérise tant les Français – à l’égard des partenaires et adversaires économiques.
Tiphaine de Rauglaudre et Luc de Petiville
Pour aller plus loin :