La sécurité numérique orientée vers les usages, nouvel enjeu des entreprises

• Imprimer

Une nouvelle forme de sécurité informatique doit émerger dans les entreprises. Elle ne sera pas traitée par les RSSI.  Il s'agit de la sécurité numérique, orientée vers les usages. Elle rejoint le besoin de mieux protéger le capital informationnel de l'entreprise et l'intelligence économique. Cet objectif a été annoncé lors d'une conférence réunissant le 2 juillet le nouveau délégué interministériel à l'intelligence économique et le Cigref.

« Lénine disait que le capitaliste allait vendre la corde pour le pendre mais, en fait, aujourd'hui, les entreprises la donne » a fustigé Olivier Buquen, nouveau délégué interministériel à l'intelligence économique, lors du petit déjeuner organisé pour ses membres par le Cigref (Club informatique des grandes entreprises françaises) le 2 juillet dernier. Citer Lénine quand on est directement rattaché à Nicolas Sarkozy est certes une provocation. Mais l'image marque.

Olivier Buquen a une position différente de son « prédécesseur » Alain Juillet. Ce dernier était en effet rattaché au SGDN (Secrétariat Général à la Défense Nationale). Alain Juillet a défriché le sujet de l'intelligence économique et évangélisé mais il était trop connoté « militaire » pour réellement séduire le secteur privé.

Olivier Buquen indique : « Claude Guéant et Nicolas Sarkozy s'intéressent à ce sujet depuis des années et, en 2009, ont voulu faire évoluer le dispositif. » La fonction d'Alain Juillet avait été créée suite au rapport du député Bernard Carayon en 2003 (le véritable déclencheur d'une prise de conscience sur l'intelligence économique), neuf ans après le rapport d'Henri Marte (le premier rapport soulignant un besoin en i.e mais qui avait fini dans un placard).

La fonction d'Olivier Buquen est, selon ses mots, un « gros projet transversal qui s'appuie sur les business units (les ministères) mais qui est rattaché à la holding de tête, c'est-à-dire la Présidence de la République ». Le travail de ce nouveau délégué interministériel à l'intelligence économique concerne autant l'Etat pour son propre compte que les entreprises dont les intérêts doivent être défendus dans le cadre d'une protection des intérêts économiques du pays.

Mais en aucun cas, le délégué ne remplace les cabinets privés. Son intervention ne se fait que dans le cadre de la protection de l'intérêt national, plutôt à titre défensif. Olivier Buquen pourrait être amené à soutenir de grands contrats à l'exportation mais sous l'expresse condition que ce contrat mette en jeu une puissance publique étrangère. Intervenir dans des affaires franco-françaises n'est pas son rôle ou intervenir dans des contrats privés internationaux risquerait d'être contre-productif.

« Beaucoup font de l'intelligence économique comme Monsieur Jourdain faisait de la prose, sans le savoir, mais il faut savoir formaliser et professionnaliser la démarche, ce qui n'est pas si naturel que cela » concède Olivier Buquen. Le rôle de l'Etat, comme il l'a martelé, n'est certainement pas de faire tout le travail à la place des entreprises mais, en revanche, il doit savoir initier et accompagner.

L'intelligence économique a encore parfois une image barbouzarde. Or elle consiste à collecter les informations stratégiques, analyser celles-ci, diffuser les bonnes informations aux bonnes personnes et enfin protéger les informations stratégiques afin qu'elles ne soient pas accédées par des personnes qui ne doivent pas en prendre connaissance (comme les concurrents par exemple).

Pourquoi les managers IT devraient-ils s'en préoccuper ? Une anecdote rapportée par Olivier Buquen vaut sans doute plus qu'un long discours : « un PDG du CAC 40 a dû se séparer d'un collaborateur direct ...

Photo : Olivier Buquen, nouveau délégué interministériel à l'intelligence économique, lors du petit déjeuner organisé par le Cigref le 2 juillet.



... membre du comité exécutif parce que, dans ses états Facebook, il racontait sa journée quasiment en direct en révélant dans quel pays son patron se rendait et quelles personnes il rencontrait. » Cette anecdote illustre bien le discours introductif de Bruno Ménard, président du Cigref et Vice-président systèmes d'information de Sanofi-Aventis : « le sujet n'est pas nouveau (le premier rapport du Cigref sur la veille stratégique date de 1998) mais prend de l'ampleur car, avec le développement de la société numérique vient celui des usages et donc des risques ».

Le président du Cigref a rappelé que si le citoyen déclare désormais ses impôts en ligne, va à la banque sur Internet et accèdera demain à son dossier médical via le DMP, il en est de même pour les entreprises. De ce fait, leur valeur repose de plus en plus sur leur capital numérique qui peut être mis en danger par des usages inappropriés. « Nous passons d'une problématique de sécurité technique informatique -aujourd'hui bien traitée par les RSSI- à une problématique de sécurité numérique, orientée vers les usages. C'est dans cet esprit que le Cigref et l'INHESJ (NDLR : Institut National des Hautes Etudes de la Sécurité et de la Justice) ont collaboré pour créer une formation dédiée. »

Olivier Buquen s'est félicité de cette « excellente collaboration entre le public et le privé au service du pays ». Outre son action générale de sensibilisation et d'action défensive à l'égard des entreprises, la DIIE (délégation interministérielle à l'intelligence économique) va mener trois chantiers dont deux en collaboration avec le Cigref.

Les deux chantiers communs avec le Cigred concernent d'une part la conception d'une grille d'auto-évaluation de la maturité des entreprises et des établissements en terme d'intelligence économique (idéalement prête pour la fin de 2010) et d'autre part le renforcement de la protection des informations stratégiques. Si l'innovation - la Recherche et le Développement au sens large - est en général bien protégée au travers de la propriété intellectuelle, il n'en est pas du tout de même des plans stratégiques à moyen ou long terme ou des informations commerciales alors que l'entreprise connaitrait de grave soucis si ces informations tombaient dans des mains hostiles concurrentes.

Une adaptation du cadre juridique est peut être à mener selon les dires d'Olivier Buquen, notamment pour sanctionner les atteintes au secret interne des entreprises voire pour limiter les publications obligatoires, y compris en terme de détail des comptes au greffe du tribunal de commerce. « Beaucoup d'entreprises préfèrent payer une amende pour se protéger plutôt que de respecter l'obligation légale, ce qui n'est pas une situation satisfaisante » soupire Olivier Buquen.

En terme de sécurité du système d'information (au sens plein du mot, au delà de la seule informatique), cela passe par une formalisation. Une piste avancée par Olivier Buquen est d'adopter en interne un mécanisme comme celui adopté au sein de la Défense Nationale : catégoriser clairement les informations en « public », « confidentiel », « secret », etc. et gérer des habilitations individuelles explicites.

Un troisième chantier de la DIIE concernera la recherche scientifique. Par nature, celle-ci est collaborative et s'appuie sur les publications. Mais un vrai travail sur la protection des travaux doit être mené afin que celle-ci intervienne avant la publication. Pour Olivier Buquen, « les bonnes attitudes ne sont pas encore acquises au point d'être naturelles. »