Le Club des directeurs de sécurité des entreprises (CDSE) est membre associé Mouvement des entreprises de France (MEDEF) depuis 2020. Geoffroy Roux de Bézieux, président du MEDEF, était ainsi invité à intervenir en tant que « Grand témoin » lors du Colloque du CDSE « Sécurité en entreprise : stagnation, évolution, révolution ? », jeudi 16 décembre 2021, au Palais des Congrès d’Issy-les-Moulineaux. Dans son intervention, il évoque les enjeux souveraineté, de dépendance et de sécurité des entreprises ainsi que leur traitement au sein du MEDEF.
>> Retrouvez l’intervention de Geoffroy Roux de Bézieux en replay vidéo :
CDSE : Quel regard portez-vous sur le contexte international et les tensions géopolitiques qui impactent fortement les entreprises, notamment sur le plan des enjeux de souveraineté et de dépendance ?
Geoffroy Roux de Bézieux : Ce n’était peut-être pas le cas il y a 20 ans, mais, petit à petit, la notion de sécurité des entreprises a pris un sens beaucoup plus large. J’en veux pour preuve, aujourd’hui, la présence du directeur de la sécurité-sûreté au comité exécutif dans de nombreuses entreprises du CAC 40. C’est un sujet auquel j’attache beaucoup d’importance.
Ainsi, en arrivant à la présidence du MEDEF, une de mes premières décisions ont été de créer une commission « Souveraineté et sécurité des entreprises ». En associant bien les deux mots et en leur donnant un sens assez large, puisqu’il s’agit au fond de la préservation du continuum de l’entreprise. Car il y a des menaces au périmètre de l’entreprise, au périmètre du pays, au périmètre du continent et, peut-être qu’une sorte de naïveté avait habité certain qui imaginait que le développement du commerce mondial, qui a été totalement spectaculaire depuis 20 ans, allait conduire, par ce que Montesquieu appelait le « doux commerce », au développement du modèle de démocratie occidentale partout dans le monde. En réalité, il s’est passé l’inverse. La démocratie recule dans le monde. Il y a de moins en moins de pays démocratiques et des pays qui ont pu être démocratiques se durcissent dans ce qu’on appelle des « démocratures ». Un néologisme qui essaie de dire que la liberté recule. À cela s’ajoutent les pays qui ont des stratégies d’extension de leur influence par des moyens officiels, mais aussi des moyens moins officiels. On entre dans une période où nous sommes à la fois amis et ennemis avec les mêmes personnes et les mêmes pays. Je crois que la relation entre la Chine et l’Union européenne illustre cette idée. C’est un partenaire quand il s’agit de parler de climat, mais c’est un concurrent quand il s’agit de puissance économique et c’est un adversaire dans un certain nombre de cas. On peut donc signer des partenariats avec des pays avec lesquels nous sommes concurrents et parfois adversaires du point de vue de l’entreprise.
Quel regard portez-vous sur le contexte international et les tensions géopolitiques qui impactent fortement les entreprises, notamment sur le plan des enjeux de souveraineté et de dépendance ?
Ce n’était peut-être pas le cas il y a 20 ans, mais, petit à petit, la notion de sécurité des entreprises a pris un sens beaucoup plus large. J’en veux pour preuve, aujourd’hui, la présence du directeur de la sécurité-sûreté au comité exécutif dans de nombreuses entreprises du CAC 40. C’est un sujet auquel j’attache beaucoup d’importance.
Ainsi, en arrivant à la présidence du MEDEF, une de mes premières décisions ont été de créer une commission « Souveraineté et sécurité des entreprises ». En associant bien les deux mots et en leur donnant un sens assez large, puisqu’il s’agit au fond de la préservation du continuum de l’entreprise. Car il y a des menaces au périmètre de l’entreprise, au périmètre du pays, au périmètre du continent et, peut-être qu’une sorte de naïveté avait habité certain qui imaginait que le développement du commerce mondial, qui a été totalement spectaculaire depuis 20 ans, allait conduire, par ce que Montesquieu appelait le « doux commerce », au développement du modèle de démocratie occidentale partout dans le monde. En réalité, il s’est passé l’inverse. La démocratie recule dans le monde. Il y a de moins en moins de pays démocratiques et des pays qui ont pu être démocratiques se durcissent dans ce qu’on appelle des « démocratures ». Un néologisme qui essaie de dire que la liberté recule. À cela s’ajoutent les pays qui ont des stratégies d’extension de leur influence par des moyens officiels, mais aussi des moyens moins officiels. On entre dans une période où nous sommes à la fois amis et ennemis avec les mêmes personnes et les mêmes pays. Je crois que la relation entre la Chine et l’Union européenne illustre cette idée. C’est un partenaire quand il s’agit de parler de climat, mais c’est un concurrent quand il s’agit de puissance économique et c’est un adversaire dans un certain nombre de cas. On peut donc signer des partenariats avec des pays avec lesquels nous sommes concurrents et parfois adversaires du point de vue de l’entreprise.
Les mutations numériques, qui permettent des avancées technologiques considérables, représentent une source de risques pour les entreprises. Comment le MEDEF appréhende ces enjeux de souveraineté technologique et numérique?
En tant qu’entrepreneur, la définition que je donne du terme de souveraineté, est la suivante : garder la liberté de choix. C’est ne pas dépendre de manière exclusive d’un pays, d’un fournisseur ou d’une technologie, mais ce n’est pas le fait de tout produire soi-même, car ce n’est pas possible. En effet, il ne faut plus se dire, « on va tout refaire en Europe ou en France ». C’est une évidence… Mais il faut que l’on ait le choix !
Je définis donc la souveraineté à trois niveaux. D’abord, il y a la souveraineté au regard du domaine régalien. C’est le choix d’un pays de vouloir une autonomie totale sur un certain nombre de sujets. Prenons par exemple le sous-marin nucléaire : la France est un des rares pays à construire entièrement son sous-marin nucléaire et ne dépendre ainsi aucunement de l’étranger. Or, il n’y a pas d’engin plus sophistiqué qu’un sous-marin nucléaire. C’est un petit réacteur nucléaire et une petite fusée Ariane, le tout 100 % français. Ce choix a un coût certainement beaucoup plus élevé que si des coopérations étaient réalisées. Les Britanniques le démontrent. Cependant, c’est un choix régalien de l’autorité politique que d’être autonome sur ce sujet.
Ensuite, le deuxième niveau de souveraineté, peut-être plus difficile à définir, renvoie à la décision qui doit être prise collectivement et conjointement entre le monde entrepreneurial et politique, quant aux secteurs, entreprises et technologies pour lesquels nous voulons avoir la liberté de choix. Pour donner un exemple de l’actualité : les constructeurs automobiles dépendent de nanopuces qui sont fabriquées quasi-exclusivement dans une seule et unique usine à Taiwan. Sur ce plan, il existe donc une très forte dépendance des constructeurs automobiles européens. Le même problème s’est posé sur les masques, en l’occurrence pour un problème coût, pas de technologie. Il faut donc accepter de payer le prix de l’autonomie et de la liberté, sur un certain nombre de secteurs, de technologies, d’entreprises. J’insiste sur la notion de « payer le prix », car l’autonomie et la liberté ont un prix. Sur le cloud, aujourd’hui, nous n’avons pas réellement le choix. Il existe OVH, mais l’alternative est quand même à 95 % américaine. Le droit américain extraterritorial, une aberration du droit international que l’on a laissé faire depuis 40 ans, pose un problème de sécurité, de sûreté, de cybersécurité, de confiance. Ce n’est pas pour rien, d’ailleurs, que l’on parle aujourd’hui du besoin d’un « cloud de confiance » : c’est bien parce nous avons un problème de confiance… ou de défiance [vis-à-vis de certaines solutions]. Je pense que l’on doit, collectivement, au niveau français et au niveau européen, décider d’une liste [de solutions de confiance], qui ne devra pas être trop longue parce que sinon elle perd de sa crédibilité.
Enfin, il y a un troisième niveau d’autonomie, de souveraineté, qui se situe l’intérieur des entreprises. Au Japon, le raz-de-marée de 2011 a entraîné des conséquences sur la centrale nucléaire de Fukushima, mais pas uniquement. Un sous-traitant automobile japonais, qui était le fournisseur principal, voire quasi-exclusif d’un système de freinage qu’utilisaient Renault et PSA a également été touché. À l’époque, des usines de Renault et de PSA sont restées bloquées pendant plusieurs mois parce qu’ils n’avaient pas la liberté de choix sur ce système ou, du moins, ils avaient choisi de mettre tous leurs œufs dans le même panier. Depuis, ils ont choisi la diversification. C’est ce que l’on voit beaucoup en termes de souveraineté et d’autonomie stratégique à l’intérieur des entreprises. C’est ce choix de ne pas concentrer tous les fournisseurs dans un même pays ou sur un même continent. Là aussi, il y a un prix à payer. Si vous choisissez un fournisseur européen qui sera plus cher, prenez 30 % chez ce fournisseur européen et 70 % ailleurs. Faire le tour des facteurs de dépendance est une dimension du travail des directeurs de sécurité des entreprises qui est assez nouvelle et peut-être pas tout à fait encore appréhendée.
Quelles sont les actions que le MEDEF mène en termes de sécurité des entreprises ?
Le MEDEF essaye de définir des doctrines. Le comité « Souveraineté et Sécurité des entreprises », présidé par Laurent Giovachini, le président de la fédération Syntec, publie des éléments de doctrines. Ces éléments de doctrines sont ensuite portés auprès des pouvoirs publics français et européens. Par exemple, une des questions que je leur ai posées – qui n’est pas la plus simple – est : Qu’est-ce qu’une entreprise française ou européenne ? Qu’est-ce que la nationalité d’une entreprise ? Quand vous êtes une PME à capitaux familiaux, implantée dans un territoire, la question ne se pose pas trop. Mais quand vous êtes une société cotée dont une partie importante des actionnaires est mondiale, la question est un peu plus compliquée. Et donc nous avons répondu dans une note qui établit un faisceau d’indices tels que la nationalité des dirigeants, l’endroit du siège, l’endroit du centre de R&D, les actionnaires…
En outre, le MEDEF aide ses adhérents répartis sur le territoire. Nous avons dans toutes les régions un correspondant « souveraineté économique», des contacts avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et avec les services de sécurité qui dépendent de Bercy, notamment pour travailler sur les listes d’entreprises ou de technologies stratégiques. L’organisation a ainsi contribué au lancement du service Alerte cyber. Ce service est très utile pour les PME, comme l’a démontrée récemment une première alerte concernant un ransomware. C’est un service moins utile aux grandes entreprises qui disposent d’un directeur de sécurité… Mais le MEDEF, ce ne sont pas uniquement les grandes entreprises du CAC 40, ce sont 190.000 entreprises avec une moyenne globale de 47 salariés. Et puis le MEDEF joue un rôle d’évangélisateur grâce aux unions territoriales qui constituent souvent le maillon de proximité pour les PME et ETI. C’est dans ce cadre-là que l’on peut agir pour propager, évangéliser, commencer une prise de conscience, notamment sur la cybersécurité. Et je pense que l’on a encore beaucoup de travail d’éveil des consciences sur ce plan. Surtout dans les entreprises où il n’y a pas de directeur de sécurité.
À quel niveau doivent-être gérées toutes ces questions de souveraineté, de sécurité économique ? Comptez-vous particulièrement sur l’échelon européen ?
Il y a l’échelon de l’entreprise, l’échelon régalien français, mais il y a des choses que nous devons faire collectivement en Europe parce que l’échelon national est insuffisant. L’Europe a longtemps été l’idiot du village mondial. Au départ, quand on crée le premier noyau des six pays fondateurs, les échanges se font à 98 % à l’intérieur des frontières européennes. Puis, il y a eu cette mondialisation accélérée et nous avons gardé ces principes de libre-circulation sans se rendre compte qu’un déséquilibre se créait.
En parallèle, le dollar est devenu la monnaie d’échange internationale, et les États-Unis profitent de leur droit extraterritorial pour infliger des sanctions et des règles. C’est un problème qui a été identifié dès les années 60. C’est justement ce qu’avait dit John Connally Jr, secrétaire du Trésor entre 1971 et 1972 : « The dollar is our currency, but it’s your problem (Le dollar est notre devise, mais c’est votre problème) ». C’est toujours vrai. Et c’est la raison pour laquelle les entreprises françaises, notamment le groupe PSA, sont parties d’Iran en catastrophe le jour où Donald Trump a dénoncé l’accord sur le nucléaire iranien, alors que l’activité était profitable et significative.
Depuis l’arrivée de Thierry Breton en tant que commissaire européen au Marché intérieur, la vision d’une politique industrielle plus rééquilibrée entre l’Europe et les autres continents est à l’ordre du jour. Mais nous avons deux problèmes fondamentaux : le premier, c’est que tous les pays d’Europe sont exportateurs nets en dehors de l’Europe, sauf deux : la France et la Grèce. Et c’est un club dont on aimerait bien sortir. Il y a donc toujours une réticence des pays européens dans le renforcement des mesures de protection, avec cette idée qu’il y a toujours un risque de mesures de représailles.
Le deuxième problème tient de l’élargissement très rapide de l’UE. Sur les 27 Etats membres et les autres qui sont en attente, de petits pays ont besoin, structurellement, d’être ouverts au monde entier, et ne partagent pas la même vision. Quand vous leur dites : « Si vous prenez un opérateur de télécom chinois, il y a des risques de sécurité ». Ils vous répondent, « Oui, mais c’est le moins cher, c’est le plus compétent, c’est celui qui a le meilleur rapport qualité/prix, donc ce n’est pas mon problème ». Il en est de même pour le cloud et les outils de défense. Donc l’échelon européen est indispensable, mais il n’est pas encore tout à fait mûr sur ces sujets.
Au MEDEF, en préparation de la présidence française de l’UE, nous avons tenu une réunion sur la politique industrielle européenne avec nos homologues européens rassemblés au sein de BusinessEurope, présidé par Pierre Gattaz (président du MEDEF de 2013 à 2018, Ndlr). Dans la déclaration finale qui a été publiée à l’issue de cette rencontre, BuissnessEurope cite notamment le besoin d’une « autonomie stratégique » de l’Europe. Il y a donc des progrès qui se font et une certaine sortie de la naïveté qui s’opère petit à petit.
>> Colloque du CDSE 2021 : retrouvez l’événement intégral en replay vidéo !