L’on y verrait presque l’incarnation du mythe de Sisyphe : d’une part les entreprises françaises créent, innovent et inventent (la France est en sixième position mondiale dans la course aux brevets). De l’autre, le pillage de nos entreprises n’a jamais été aussi intense. « Nous sommes plutôt dans l’ordre de plusieurs milliers d’attaques chaque année et cela ne fait qu’augmenter » , révèle Jean-Martin Jaspers, Directeur du CHEMI (Centre des Hautes études du Ministère de l’Intérieur).

Il intervenait dans le cadre des sixièmes rencontres parlementaires sur la sécurité, où un panel d’experts a dressé un bilan très cru des défis qu’il reste à relever afin de protéger les savoir-faire et l’expertise de nos entreprise dans l’arène économique mondiale.

Première constat, une évidence : le cyber a changé la donne. Pour toujours. « Le numérique traverse toutes ces questions [de protection du patrimoine immatériel, ndlr] » , observe ainsi Claude Revel, déléguée interministérielle à l’Intelligence Economique. L’information dématerialisée est désormais accessible depuis n’importe quel point de la planète et son vol est invisible. Il s’agit certes d’une évidence, mais cela lie définitivement les questions de sécurité du système d’information à la question, plus large et plus stratégique, de la protection de l’information de l’entreprise. Il est désormais impensable de parler d’Intelligence Economique sans aborder l’aspect SSI.

Cela amène à la nécessité d’introduire dans la réflexion SSI une composante IE, ce qui n’est pas encore toujours le cas. « Il est par exemple très facile de décapiter une entreprise en ayant accès [même seulement en consultation, ndlr] à son système RH. En ayant connaissance des salaires de quelques collaborateurs-clés il sera plus simple pour un concurrent de les débaucher au juste prix. Privez ainsi une entreprise de plusieurs de ses employés essentiels et vous pourrez la décapiter », explique Jean-Martin Jaspers.

Ce type d’attaque dépasse pourtant le cadre de réflexion habituel de l’expert SSI, qui ignorera peut-être la finalité de ce type d’action et pourra, par exemple, dans son analyse rétrograder le risque d’accès en lecture seule pour se concentrer sur celui de sa prise de contrôle à distance. C’est en partie la raison pour laquelle un certain nombre d’entreprises décident désormais de rattacher la fonction SSI à une entité plus transverse (la maîtrise des risques, par exemple), voire à une Direction Sécurité Groupe.

Et pour Thierry Sueur, Vice-président d’Air Liquide et président de la commission Propriété Intellectuelle du MEDEF, il faudrait même aller encore plus loin : « Au delà des informations individuelles, c’est aussi le contexte et les processus qui lient toutes ces informations qu’il convient de protéger, car c’est là que se trouve véritablement la valeur de l’entreprise » .

Mais c’est là une vision idéale. Car sur le terrain, il semblerait que nous en soyons encore loin ! A entendre les experts se lamenter, bon nombre d’entreprises peinent ne serait-ce qu’à identifier leurs informations stratégiques, celles dont la divulgation aurait un impact fortement négatif sur leur activité.

La majorité des captations d’information n’auraient pas eu lieu si les entreprises avaient, au préalable, correctement identifié leurs informations  stratégiques. Il faut faire un effort pour former les entreprises à cela » , explique Claude Revel.

Ainsi, alors que l’on se contente le plus souvent de sensibiliser les collaborateurs aux attaques de social engineering, il conviendrait peut être de mettre l’accent, aussi, sur la classification des données au sein de l’entreprise et l’identification de ce qui fait sa valeur.

Et pour cela, évidemment, il n’y a pas de recette miracle. « Le problème c’est que si l’on prend deux entreprises de taille équivalente et d’activité identique, elles auront forcément une vision très différente de ce qui constitue leurs informations stratégiques. Car cela est très dépendant de l’éducation, la formation et la sensibilisation de leurs dirigeants » , alerte Etienne Drouard, avocat associé chez K&L Gates.

En bref, sensibiliser les utilisateurs au social engineering c’est bien. Former les dirigeants à l’Intelligence Economique, c’est mieux.

Heureusement, les entreprises françaises ne sont pas seules face à ce défi. L’action de l’Etat s’est fortement renforcée en matière d’Intelligence Economique au point d’en faire un enjeu national. « C’est de la sécurité et de la compétitivité de nos entreprises que dépendent l’indépendance et la prospérité de notre pays » , allait même jusqu’à affirmer le ministre de l’intérieur, Bernard Cazeneuve, qui ouvrait cette matinée de réflexion.

Il existe ainsi une politique publique d’Intelligence Economique : entre la feuille de route IE donnée aux préfets, les cartographies régionales des entreprises stratégiques, les conseil et la sensibilisation auprès des entreprises menés par les services de l’Etat (DGSI, DPSD, ANSSI, Gendarmerie…), la création d’un Service central du renseignement territorial et l’inauguration d’un plan d’actions triennal pour l’intelligence économique territoriale, l’Etat a pris la mesure du risque et il a fait de l’Intelligence Economique une priorité.

Toute la difficulté, maintenant, est alors de faire venir les entreprises afin qu’elles prennent conscience de leur exposition au risque et des mesures de protection à mettre en oeuvre. Car au delà des difficultés à identifier les informations stratégiques, qui ne concernent finalement que les entreprises ayant au moins entamé une réflexion en la matière, elles sont encore nombreuses à ne pas se sentir du tout concernées. Et notamment les plus petites, persuadées que leurs activité n’intéresse personne. « Et pourtant nous ne sommes pas seuls au monde. Nous sommes en perpétuelle concurrence, même si nous sommes petits » a beau marteler Claude Revel, le message ne passe pas toujours.

Des initiatives publiques telles le partenariat que s’apprête à signer le ministère de l’intérieur avec le réseau des chambres de commerce et d’industrie, ou encore la « semaine de l’Intelligence Economique » (le 16 juin en Ile-de-France), permettront certainement de sensibiliser un certain nombre d’entreprises et pourra leur faire profiter du dispositif public d’Intelligence Economique.

Mais pour une majorité d’entre elles tout reste encore à faire pour les aider à prendre conscience des risques d’ingérence et de pillage. « Au moment de leur création, beaucoup d’entreprises ne prennent pas en compte la nécessité de protéger leur patrimoine immatériel. Leur priorité va au développement et au business. Elles sont par exemple peu regardantes sur l’origine de leurs premiers investisseurs ou sur la localisation de leurs infrastructures » , explique Etienne Drouard. Là encore, outre les salariés, ce sont donc avant tout les dirigeants et les entrepreneurs qu’il conviendrait d’approcher et de sensibiliser.

A ce stade du débat, la balle semble être dans le camp des entreprises : l’Etat se mobilise sur la question de l’Intelligence Economique et met en oeuvre une série d’actions, de formations et d’accompagnements afin de les aider, mais c’est avant tout aux dirigeants d’entreprises de prendre conscience de la menace et d’entamer une démarche volontaire d’audit et de protection.

Pourtant, l’Etat peut encore mieux faire. Ainsi afin d’aider ses entreprises à se protéger contre le pillage de leur patrimoine informationnel, la France doit par exemple créer ses propres armes juridiques. « Les entreprises n’ont pas à craindre seulement les attaques illégales. Il y a aussi les attaques légales : certaines lois de discovery, par exemple, permettent à des entreprises étrangères d’obtenir des informations stratégiques des entreprises françaises » , prévient Claude Revel.

Et l’une de ces armes pourrait être la prochaine loi sur le secret des affaires. Contrairement à un brevet ou une marque, qui sont publics dès qu’ils sont déposés, la notion de secret des affaires pourrait permettre aux entreprises françaises de protéger leurs informations stratégiques secrètes, et en particulier dans le cadre des procès intentés par des entreprises étrangères. Selon l’avocat Etienne Drouard, c’est une nécessité. « Ce texte est nécessaire afin de permettre, par exemple, au juge de créer un sas permettant l’examen d’informations stratégiques en petit comité, sans devoir les remettre à la partie adversaire. Ou encore pour éviter que la justice ne soit instrumentalisée par la partie adverse afin de forcer l’entreprise française à révéler des informations sensibles » , explique l’avocat.

A l’étranger, ce principe à fait ses preuves : selon Thierry Sueur (Air Liquide), il y aurait aux Etats-Unis aujourd’hui plus d’affaires judiciaires liées à la violation du secret des affaires qu’aux questions de brevets.

Et puis il y a l’aspect offensif. A l’image de la SSI, l’aspect défensif de l’Intelligence Economique est désormais plutôt bien documenté. Le corpus d’études, de publications et de formations est riche. En revanche l’aspect offensif demeure encore tabou. « On n’a pas de doctrine connue, on n’aborde pas ce point, il n’y a pas d’ouvrage sur le sujet. Pourtant les anglo-saxons sont très actifs, plus offensifs que nous, et notamment dans le domaine des normes et standards. C’est notre point faible » , observe Jean-Martin Jaspers (CHEMI).

Et ce n’est pas anodin, car les normes et les standards sont un terrain de bataille courant de l’Intelligence Economique offensive. Les opérations consistent alors à participer aux travaux des comités de normalisation internationaux afin de tenter d’influencer leur production en faveur des entreprises françaises. Tout le monde le fait, mais la France serait encore parmi les joueurs timides sur ce plan. « Il faut que l’on parvienne à faire la promotion des produits français, et par influence que nous parvenions à les standardiser ou à faire adapter les standards » , confirme Claude Revel.

Evidemment nous sommes ici loin des préoccupations des PME innovantes, pillées et ignorantes du risque (bien qu’elles aient indirectement elles aussi tout à gagner d’une standardisation internationale favorable, ou du moins pas défavorable !). Mais c’est la preuve que, en matière d’IE, les entreprises ont tout autant besoin de l’effort de l’Etat que l’inverse.