Cybersécurité : « Nous traitons près de 600 alertes par an liées à la sécurité économique » (J. Célestin-Urbain)

« S’il y a une faille dans la chaîne de sécurité globale de l’entreprise, cela peut rejaillir sur elle. Cela veut dire qu’implicitement elle accepte le risque ». À des chefs d’entreprises qui lui opposent : « Je n’ai pas le temps, cela coûte trop cher », Joffrey Célestin-Urbain, chef du Service de l’information stratégique et de la sécurité économiques (SISSE), se montre ferme : « Le risque lié à la sécurité économique est tellement important pour les PME qui sont super ciblées que c’est un risque vital. Il faut le voir plutôt comme un investissement ».

Chaque année, le Service de l’information stratégique et de la sécurité économiques (SISSE) traite en moyenne 600 alertes liées à la sécurité économique, dont 25 menaces types recensées et récurrentes, soit une à deux chaque jour. « On est une tour de contrôle. En 2022, on traite en moyenne entre 50 et 60 alertes mensuelles, contre une trentaine en 2020, soit une hausse de 39 % entre janvier 2020 et juin 2022 », chiffre-t-il. À 40 %, il s’agit d’« alertes de type capitalistique », soit de tentatives de rachat d’entreprises stratégiques par des concurrents étrangers.

Le SISSE les protège de prédateurs étrangers « potentiellement dangereux ». Objectif, faire en sorte que la France garde ses entreprises stratégiques et renforcer son autonomie sur des technologies d’avenir. Lorsque ces pépites technologiques ou industrielles cherchent à lever des fonds, « on regarde le profil de l’entreprise étrangère et soit on bloque l’opération car les risques ne sont pas gérables pour la souveraineté, soit on l’encadre en plaçant des garde-fous », détaille Joffrey Célestin-Urbain. Grâce au fonds d’investissement French Tech Souveraineté (FTS) crée en juin 2020, le SISSE a la possibilité de proposer à ces entreprises prometteuses en matière de technologies souveraines des sources de financement alternatives.

Autre menace récurrente, les problématiques liées à la propriété intellectuelle et à la captation de données sensibles –38% des alertes traitées en 2021. « C’est de l’ingérence pure qui s’assimile à de l’espionnage industriel. C’est très illégal », commente-t-il. Il peut également s’agir « d’entreprises étrangères qui ont une stratégie agressive de rachat de brevets, y voyant un potentiel stratégique ». En termes de pays, Joffrey Célestin-Urbain admet rencontrer « plus de risques avec certains qu’avec d’autres », sans toutefois citer de noms. Enfin, les risques cyber, qui ont augmenté avec la crise, représentent 10 % des menaces.

Trois listes

Grâce à un travail de sourcing mené en étroite collaboration avec l’ensemble des administrations et des services de la DGE et les services de renseignement qui servent de capteurs d’alerte, le SISSE a accès à 95 % des informations lors des alertes. Mais Joffrey Célestin-Urbain regrette que « la part des entreprises qui viennent nous voir reste marginale. J’aimerais qu’elles viennent d’elles-mêmes ». Aussi, il les enjoint à contacter l’un des quinze délégués régionaux à l’information stratégique et à la sécurité économiques (Disse) si elles rencontrent par exemple un problème de sécurité sur leur poste de travail ou qu’un État étranger leur demande une information sensible.

Dans ce cas, le SISSE leur apporte un accompagnement et une intermédiation pour les aider à gérer cette demande d’informations. Et analyse les risques et les bénéfices potentiels pour déterminer si l’entreprise doit coopérer ou pas. « Car si elle a d’un côté intérêt à répondre pour préserver ses marchés dans ce pays si une bonne part de son CA se fait là-bas, de l’autre, le SISSE peut opposer la loi de blocage du 26 juillet 1968 qui interdit de communiquer des « renseignements d’ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public », précise Joffrey Célestin-Urbain.

Grâce à sa plateforme intégrée de collecte et de traitement d’alertes, le SISSE intervient comme une « gare de triage » pour évaluer si l’entreprise ou la technologie relève du champ de la sécurité économique.

Reste que toutes les entreprises ne sont pas dans le viseur du SISSE – « On n’intervient pas sur les 3,8 millions d’entreprises françaises », admet-il. L’antenne de la DGE concentre ses actions sur les entreprises stratégiques établies à partir de trois listes : des entités publiques de recherche ; des entreprises classées stratégiques en vertu de certains critères qui sont à protéger en priorité mais dont « le nombre reste confidentiel » ; et 150 technologies critiques et secteurs d’avenir, comme la sécurité publique, la défense nationale, l’aéronautique, la micro-électronique, le cloud, la conservation des données…

Grâce à sa plateforme intégrée de collecte et de traitement d’alertes, le SISSE intervient comme une « gare de triage » pour évaluer si l’entreprise ou la technologie relève du champ de la sécurité économique. Avec la crise du covid, le SISSE a élargi la liste de ses domaines d’intervention à des secteurs comme la santé, l’agroalimentaire, la mécanique, la chimie ou les biotechnologies. On est dans une « logique d’extension continue ».

Lire aussi Cybersécurité : 10 pistes sénatoriales pour protéger les TPE/PME

Outils de sécurité économique

Si l’entreprise ne fait pas partie d’une de ces listes, « on ne va pas l’abandonner mais l’orienter vers le service adéquat, comme l’Anssi (autorité nationale en matière de sécurité et de défense des systèmes d’information) en cas de problème lié par exemple à la cybersécurité ».

Concrètement, le SISSE gère l’information de manière confidentielle. « On joue le rôle d’interface de confiance pour l’entreprise en tant qu’administration à l’aise dans cette zone grise ». L’enjeu, « passer de la sensibilisation de masse à une vraie montée en maturité des entreprises en termes de protection, que ce soit lors d’un déplacement à l’étranger, pour sécuriser son bâtiment ou les relations avec un fournisseur ou pour inciter les collaborateurs à avoir une bonne hygiène technologique », détaille Joffrey Célestin-Urbain.

« Si les entreprises se protègent plus et mieux, elles seront plus résilientes »

Pour y parvenir, les entreprises disposent de deux outils, les 28 fiches pratiques « la sécurité économique au quotidien » éditées par le SISSE en novembre 2021 qui permettent aux PME « de développer une culture de sécurité globale et d’anticiper les risques pour ne pas être paralysée ». Et l’outil d’auto-diagnostic en ligne Diese (Diagnostic d’intelligence économique et de sécurité des entreprises).

Ce logiciel, qui évalue les vulnérabilités d’une entreprise et son niveau de sécurisation, se présente sous forme d’un questionnaire informatisé de 83 à 86 questions réparties sur huit thématiques. Résultat, l’entreprise obtient son profil personnalisé et anonyme. « Si les entreprises se protègent plus et mieux, elles seront plus résilientes », conclut le chef du Service de l’information stratégique et de la sécurité économiques.

Lire aussi Cybermalveillance : les bons gestes pour renforcer sa sécurité numérique

Charlotte de Saintignon