Actualités

Contenu

Colloque : les atteintes à la sécurité économique des entreprises

 

Les services de l’État en charge de la sécurité ont organisé un colloque le mercredi 27 novembre 2019 à la Cité administrative à Alençon sur le thème  :

" Les atteintes à la sécurité économique des entreprises ont des conséquences graves, tant pour leurs finances que pour leur réputation. Ne soyez pas la prochaine victime, protégez vous".

Cette manifestation a pour objectif de présenter aux entreprises les différents outils et retours d’expérience pour mieux se protéger :

- sécuriser l’accès d’une entreprise,
- éviter les escroqueries et limiter les risques d’atteinte à la réputation d’une entreprise,
- protéger les systèmes d’information,
- identifier et limiter les vulnérabilités des entreprises.

I - Une période de profonds bouleversements …

Globalement, deux phénomènes :

Le contexte géopolitique sous tension caractérisé par le retour flagrant de guerres économiques, en contre-point du concept de « mondialisation heureuse » ;

La transition numérique de nos sociétés qui sont autant d’opportunités que de risques, le lancement de l’Appel de Paris en novembre 2018, par le Président de la République, pour la confiance et la sécurité dans le cyberespace confirmant ce diagnostic opportunités/risques.

Qui se traduisent, par exemple, par :

L’instrumentalisation du droit par certains États, à l’image des effets extraterritoriaux du droit américain (Foreign Corrupt Practices Act (FCPA), Cloud Act, sanction, etc.), pouvant déboucher, en autres, sur l’arrestation de cadres dirigeants (Frédéric Pierucci de Alstom et Meng Wanzhou de Huawei) ou à l’intervention très intrusive de cabinets américains (dans le cadre d’audits de conformité) ;

La campagne dite « de chalutage » sur les réseaux sociaux professionnels (ex : linkedin), à l’initiative de la Chine, touchant des cadres (publics et privés) à des fins d’appropriation d’informations stratégiques (corruption) ;

De l’espionnage humain massif (en particulier dans les universités) à l’image de l’affaire Liu Ruopeng aux État-Unis ; Des guerres commerciales, comme celles se déroulant actuellement entre Washington et Pékin et celle latente avec l’Europe (cf. annonce de D.Trump
sur les voitures importées qui menacent la sécurité nationale des E-U) ;
Des attaques informatiques, étatiques ou non, multiformes (hameçonnage, malware, rançongiciel, etc.), dont les coûts pour l’économie s’avèrent critiques, à l’instar du ransomware Notpetya qui a provoqué 250 millions d’euros de perte pour Saint-Gobain (2017).

Concernant les attaques informatiques :

Le risque est indifférencié et persistant - « plus sophistiquées, mieux élaborées, plus destructrices et touchant désormais toute la société, du citoyen à la grande entreprise jusqu’à nos institutions démocratiques, les attaques informatiques sont entrées dans une dimension nouvelle. » – Libération 21/01/2019 - Guillaume Poupard (ANSSI) ;

Et les petites entreprises ne sont pas exemptes, une enquête de la CPME révélait que 4 entreprises (de moins de 50 salariés) sur 10 sont touchées par une
attaque cyber. Une attention particulière doit être portée aux sous-traitants de grands groupes qui sont désormais des cibles privilégiés (cf. affaire Airbus, concernant le piratage de données personnelles des salariés du groupe) ;

Le risque ne pèse pas uniquement sur le secteur privé, à l’image des attaques qui ont touché récemment plusieurs collectivités territoriales (Région, Rouen Métropole, etc.) ou des hôpitaux (CHU de Montpellier, avec 600 ordinateurs infectés, CHU de Rouen, Charles Nicolle paralysé la semaine dernière par une attaque cyber) ;

Par ailleurs, rappeler que le RGPD prévoit des sanctions pour les entreprises qui n’auraient pas mis en place de protection suffisante pour les données à caractère personnel (nécessité fait loi).

En perspective :

Le sujet des objets connectés et de leur vulnérabilité, en particulier en matière de système industriel (prise de contrôle à distance) – ex : Attaque des ports
de Barcelone et de San Diego fin 2018 et le rappel de 1,4 million de véhicules JEEP aux Etats-Unis suite à des prises de contrôle par piratage.

II - Qui doit pousser les acteurs économiques à s’adapter …

À l’intérieur de son entreprise :

Définir ce que l’on doit protéger (informations sensibles/stratégiques) ;
Mettre en place des procédures en matière de sécurité économique et d’hygiène informatique (charte, mot de passe robuste, sauvegarde régulière, etc.), etc.

À l’extérieur de son entreprise :

Définir une politique de mobilité (lors des salons, des déplacements professionnels) ;
Mieux étudier les marchés étrangers prospectés (connaître les réglementations, les us et coutumes, etc.)
S’intéresser à l’honorabilité des investisseurs (se prémunir contre les fonds activistes – intérêt exclusif pour la rentabilité – et les fonds hostiles pour la captation de savoir-faire, brevets, etc.)

Pour y parvenir, une solution :

Sensibilisation des salariés (la technique seule ne peut rien) – lien avec les services proposés par l’État.

III - En comptant sur les pouvoirs publics :

Un dispositif de sécurité économique :

Une organisation régionale bénéficiant d’une articulation privilégiée avec le niveau départemental (sous-préfet référent) qui a pour objectif d’identifier et
d’accompagner les entreprises du territoire ;

Une coordination par les DISSE, en étroite collaboration avec les services de renseignement, afin d’apporter aux entreprises des conseils/services individualisés sur l’ensemble des sujets touchant ce domaine ;

Un travail de terrain sur les sujets suivants :

Accompagner les entreprises pour l’identification de leurs informations stratégiques ;
Détecter et identifier les opérations d’investissement étranger dans les secteurs sensibles ;
Sensibiliser les acteurs économiques aux enjeux de la sécurité économique/informatique et aux bonnes pratiques (ex : charte informatique) ;
Informer les autorités sur les personnes, les entités, représentant une menace pour les intérêts nationaux ;
Mettre en œuvre des dispositifs de protection du potentiel scientifique et technique de la nation (PPST), à l’image des zones à régime restrictif (ZRR).

IV - Conclusion :

Rappel sur les objectifs de cette matinale :

Fournir aux entreprises du territoire les clés de compréhension et les outils de la sécurité économique et numérique ;

Créer une dynamique via les acteurs territoriaux afin de favoriser l’échange de bonnes pratiques et la sensibilisation aux enjeux d’actualité.