L’agence de presse AEF Info revient, dans une dépêche publiée mercredi 21 décembre 2021, sur différents échanges survenus lors du Colloque annuel du CDSE sur les problématiques des risques économiques, de la sûreté à l’international, du risque cyber et terroriste. Quel rôle doivent jouer les directeurs sûreté-sécurité face à ces menaces ? Eléments de réponse avec notamment Nicolas Lerner (DGSI), Guillaume Poupard (ANSSI), Geoffroy Roux de Bezieux (MEDEF), et Stéphane Romatet (CDCS).
La DGSI, « prestataire de services » des entreprises
« Nous sommes là pour accompagner vos entreprises. » Tel est le message adressé par Nicolas Lerner, DGSI (Directeur Général de la Sécurité Intérieure), aux directeurs sûreté-sécurité. Guillaume Poupard, directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information), souligne, en outre, le rôle des entreprises dans la prévention vis-à-vis de ces risques.
Le DGSI s’attarde sur l’une des compétences du service de renseignement, qui intéresse particulièrement les entreprises : la lutte contre les atteintes au potentiel économique, industriel et scientifique de la Nation. « C’est le domaine sur lequel nous avons le plus investi », affirme-t-il, présentant la DGSI en « prestataire de services » aux directeurs de sécurité. Il propose de les accompagner par exemple « en termes de criblages sécuritaires lorsque le cadre réglementaire ou législatif le permet », ou à travers l’organisation de conférences afin de sensibiliser les salariés à ces menaces. Nicolas Lerner leur conseille également de se rendre sur le nouveau site internet de la DGSI, d’y consulter des conseils pratiques et d’entrer en contact avec ses services si nécessaire.
Face aux menaces cyber, « prévention et protection »
Nicolas Lerner s’exprime également sur la menace cyber. Dans le cadre de la stratégie de cyberdéfense définie en 2018, le service de renseignement collabore avec des partenaires nationaux comme l’Anssi. « En lien étroit avec l’Anssi, nous nommons des référents cyber qui sont capables d’aller recueillir des préoccupations, et de les orienter vers tel ou tel service », détaille le DGSI, qui salue « les progrès dans l’organisation collective ».
Guillaume Poupard, directeur général de l’Anssi, partage les préconisations de Nicolas Lerner. « La menace criminelle est de niveau élevé mais se protéger de ces menaces-là est tout à fait accessible à l’ensemble d’entre vous », souligne-t-il. Il appelle surtout, pour les plus petites entreprises, à faire attention aux « règles d’hygiène de base » et encourage le développement de « centres opérationnels au niveau régional, construis avec les conseils régionaux » pour les entreprises de taille moyenne.
Plus généralement, Guillaume Poupard estime que « les menaces les plus inquiétantes sont celles qui vont cibler des systèmes les plus critiques d’ici dix ans, si on ne les prépare pas maintenant ». « Si on ne fait pas attention, dans quelques années, si quelqu’un est capable d’éteindre le réseau 5G, les conséquences seront aussi importantes pour le monde qu’une panne électrique », alerte-t-il.
Comment garantir une souveraineté numérique ?
Le président du Medef, Geoffroy Roux de Bézieux, s’est positionné en faveur de la souveraineté numérique. Sur le cloud, ce dernier estime que le manque d’alternatives aux offres américaines pose un « problème de sécurité et de sûreté, et de confiance ». En effet, en vertu du droit extraterritorial américain – le Cloud Act – le gouvernement états-unien peut demander l’accès à certaines données d’entreprises européennes stockées sur les serveurs américains. Face à ce risque pour la confidentialité des données, « il faut accepter de payer le prix de l’autonomie et de la liberté sur un certain nombre de technologies ou d’entreprises », préconise-t-il.
Il poursuit en rappelant que « nous sommes dépendants en cas d’attaques cyber, dépendants si notre site physique est envahi de manifestants, mais aussi dépendants si, dans la chaîne de valeur, nous sommes dépendants d’un ou deux fournisseurs ». « Nous avons dans toutes les régions un correspondant souveraineté économique, mais également beaucoup de contacts avec l’Anssi et les services du Bercy pour travailler sur des listes d’entreprises ou de technologies stratégiques », ajoute-t-il. Geoffroy Roux de Bézieux salue par ailleurs le lancement du « service alerte cyber » à destination des PME qui bénéficie selon lui à près de 20 000 personnes.
Dans une vidéo diffusée lors du colloque, Jean-Noël de Galzain, P-DG de l’entreprise de cybersécurité française Wallix et président d’Hexatrust, a exhorté les entreprises à « choisir un partenaire qui garantit la protection des données, d’être en conformité avec les réglementations européennes ». « La priorité absolue de la stratégie cloud, c’est de construire un cloud différent, souverain et autonome, qui nous permette de redevenir leader dans le domaine du numérique », affirme-t-il.
Développer une coproduction de sécurité avec le Quai d’Orsay pour anticiper les menaces
Lors d’une table ronde consacrée à l’état de la menace qui pèse sur la sécurité des entreprises françaises à l’étranger, Stéphane Romatet, directeur du centre de crise et de soutien du ministère de l’Europe et des Affaires étrangères, chargé de tenir et de mettre à jour la carte « conseils aux voyageurs » classant les pays et régions par niveau de risque, constate que « le monde devient de plus en plus carmin ».
Pour Émile Pérez, directeur de la sécurité et de l’intelligence économique du groupe EDF, les risques peuvent arriver partout, « y compris dans des zones qui sont en vert », en raison notamment de la menace terroriste. Nicolas Lerner rappelle l’enjeu : « c’est de rester conscient de cette menace terroriste, que les canaux de signalements vers les services de renseignement continuent de fonctionner, et à ce titre, les directeurs sécurité ont un rôle éminent à jouer. » Il incite aussi ces derniers à signaler des menaces provenant de « groupes anti-étatique et anti- système », qui peuvent cibler des entreprises « qui incarnent le capitalisme ».
« Nous devons mener une analyse fine des risques et des menaces, mais nous ne pouvons pas le faire seuls, nous le faisons avec le ministère des Affaires étrangères pour adapter notre propre dispositif », souligne Emile Perez. En outre, il appelle à saisir le bureau partenarial de la direction de la coopération internationale de sécurité, direction commune à la police et la gendarmerie nationales, car « seuls au sein des entreprises et seuls au sein des États, nous ne pouvons tout faire, il s’agit bien de développer une coproduction de la sécurité ».
Du côté de la DCIS, le lieutenant-colonel Stéphane Barbé note que « les entreprises sont confrontées à un triple enjeu : protéger leurs biens, leurs personnels et leurs données ». Il présente son service comme l’un « des maillons à disposition des directeurs sûreté des entreprises pour décider de lutter contre ces types de menace ». Parmi les pistes opérationnelles pour renforcer la sécurité des entreprises françaises à l’étranger, le lieutenant-colonel Stéphane Barbé cite le rapprochement des directeurs de la sécurité des entreprises avec les attachés de sécurité intérieure des ambassades. « Lorsqu’un directeur sécurité arrive sur un territoire, l’attaché de sécurité intérieure devrait en être informé et ils doivent être mis en relation. »
Une « Red team » du CDSE
La « Red team Défense » rassemble une équipe de dix auteurs et de scénaristes de science-fiction qui travaillent avec des experts scientifiques et militaires pour imaginer les futures menaces susceptibles de mettre en danger la France et ses intérêts. Lors de la présentation, Emmanuel Chiva, le directeur de l’agence de l’innovation de la défense, se montre favorable à l’initiative du CDSE. « Je pense qu’il est tout à fait envisageable de constituer un cercle de réflexion entre nous […]. Cela peut être tout à fait intéressant et éclairant ».
« Nous allons nous inspirer de ce que vous avez fait pour essayer d’anticiper les menaces pour les entreprises de demain et voir comment y associer des auteurs de science-fiction », conclut Stéphane Volant, président du CDSE.
>> L’intégralité de la dépêche est accessible en ligne sur le site d’AEF Info (abonnés) : https://www.aefinfo.fr/depeche/664425