La compétition technologique, une guerre de l’ombre entre Etats et entreprises

You are currently viewing La compétition technologique, une guerre de l’ombre entre Etats et entreprises

[ACCI-CAVIE] Entre la rivalité sino-américaine et le nouvel impératif de souveraineté, les entreprises innovantes sont la cible de déstabilisations et d’ingérences étrangères croissantes. Aidées par différents mécanismes étatiques, elles organisent leur défense.

Une start-up voit l’un de ses revendeurs dérober un prototype de son produit, pour déposer sans autorisation un brevet à son nom. Un industriel surprend, lors d’un salon professionnel, des ressortissants étrangers tenter de capter, via une caméra dissimulée, des éléments de sa technologie. Une pépite obligée de se séparer de l’un de ses cofondateurs après qu’il a dévoilé dans son pays d’origine des données technologiques confidentielles. La liste des ingérences étrangères, indiquées par des sources anonymes ou par le flash dédié de la Direction générale de la sécurité intérieure (DGSI), pourrait être longue. Car dans la confrontation à laquelle se livrent les États, les entreprises sont devenues une cible de choix.

Pour protéger leur réputation, les victimes s’affichent rarement. Parmi celles qui ont défrayé la chronique : Ommic, une pépite française de semi-conducteurs revendue depuis à l’américain Macom. Quatre de ses cadres ont été mis en examen au printemps pour avoir livré des technologies sensibles à la Chine et à la Russie. «La guerre économique a toujours existé. Cela s’appelle la concurrence», dédramatise Stéphane Volant, le président du Club des directeurs de sûreté des entreprises (CDSE) et ancien de la SNCF. Si les risques ne sont pas nouveaux, «leur ampleur a changé de dimension, assure un expert de la sécurité économique. Les entreprises doivent naviguer dans une guerre de déstabilisation tous azimuts». En cause : la confrontation technologique frontale entre la Chine et les États-Unis, ainsi que la volonté de l’Europe de renforcer sa souveraineté, donc la protection de ses entreprises stratégiques à la suite des crises du covid et de la guerre en Ukraine.

900 alertes en 2023

Après avoir musclé son dispositif de surveillance, Bercy confirme la tendance. En 2023, «on devrait atteindre 900 alertes» de menaces sur le tissu économique français, chiffre Joffrey Célestin-Urbain, le patron du Service d’information stratégique et de sécurité économique (Sisse). Sur les seuls huit premiers mois de l’année, cette antenne ministérielle a répertorié 621 signaux d’alerte, contre 694 en 2022 et 353 en 2020. De quoi faut-il se méfier ? Dans près de la moitié des cas, les menaces concernent la montée au capital d’acheteurs étrangers dans des pépites technologiques. Celles dont l’innovation est duale, à portée civile et militaire, sont parmi les plus surveillées. En septembre, Bruno Le Maire a mis son veto au rachat par l’américain Flow serve de Segault et Velan, deux groupes qui équipent les sous-marins et les centrales nucléaires.

Mais depuis cinq ans, le champ des secteurs stratégiques dans lesquels l’État s’octroie un droit de regard ne cesse de s’élargir, intégrant désormais les énergies renouvelables, les biotechnologies et les matériaux critiques. Le seuil de surveillance est par ailleurs passé de 25 à 10% de détention du capital. Finalement, un tiers des opérations ont été autorisées. Et la moitié des 131 feux verts ont été accordés sous conditions, que ce soit sur la gouvernance, le maintien de certaines technologies ou la cession d’une action de préférence à l’État – comme chez Exxelia, Aubert & Duval, le spécialiste des lasers Cilas et l’agence d’intelligence économique Adit –, qui lui garantit un contrôle sur la stratégie de l’entreprise. Des engagements que Bercy commence à vérifier avec des visites sur le terrain.

Vigilance sur les fournisseurs 

Le choix des fournisseurs est également une préoccupation mise en avant par l’État. «S’il est un acteur sur lequel ses services nous demandent d’être plus vigilants, c’est la Chine, confie Théau Peronnin, le directeur général d’Alice & Bob, une start-up du quantique accompagnée par le Sisse. La machine que l’on construit sert à casser des codes, on sait que tous les coups sont permis. C’est à l’État de nous dire qui sont les alliés et quels pays ont des pratiques commerciales déloyales.» Vidéo surveillance, gardiennage et porte blindée pour la sécurité des locaux, audits réguliers du système d’information et formation des collaborateurs à la cybersécurité font partie des mesures mises en place. Pour l’hébergement des données critiques, Alice & Bob n’utilise que des outils souverains ou faits maison. Il se protège ainsi du Cloud act, qui rend les données stockées par des entreprises américaines, y compris sur des serveurs localisés en Europe, potentiellement accessibles à l’administration américaine.

Les cyberattaques constituent la menace la mieux identifiée par les entreprises. «Il est devenu beaucoup plus simple de faire du cyber-espionnage et beaucoup moins risqué pour les États commanditaires que le renseignement humain, qui existe toujours», analyse l’ancien responsable de la sûreté d’un grand groupe. Il raconte plusieurs tentatives d’approche suspecte de cadres des services informatiques par des cabinets de conseil, leur proposant des rémunérations en échange de leur aide pour la rédaction de rapports. Le renseignement humain n’est pas toujours facile à déjouer. Dans une grande entreprise française, un alternant d’origine chinoise avait été embauché dans le service de gestion des brevets. «Il avait accès à beaucoup d’informations sensibles, alors qu’il était impossible de vérifier ses antécédents», souligne un cadre du groupe. Difficile d’aller contre les enjeux de diversité au nom d’un principe de précaution.

Les procédures extraterritoriales, en particulier celles des États-Unis pour affaiblir des entreprises étrangères, sont aussi redoutées. Notamment en matière de conformité, après les déboires d’Alstom et d’Airbus, déstabilisés parles enquêtes anticorruption menées parle Department of justice américain. De plus en plus d’entreprises révisent leurs règles internes avant de choisir un partenaire ou un collaborateur, encouragées parles obligations de la loi Sapin 2. «N’importe quel groupe dans le collimateur des Américains peut être épinglé. Cela conduit des entreprises à se retirer de certains marchés à risque, notamment en Afrique, et à perdre des opportunités d’affaires», regrette un expert. Pour sécuriser ses activités à l’étranger, le fonds d’infrastructures Meridiam s’est entouré d’un aréopage de conseillers, dont le général américain Wesley Clark, et d’anciens ambassadeurs de France. De quoi faire passer des messages dans les ministères des pays étrangers et servir de relais.

Les entreprises encore peu sensibilisées

Ces préoccupations nouvelles alimentent un regain d’intérêt pour l’intelligence économique. «Davantage d’entreprises recourent à des cabinets spécialisés ou commencent à structurer en interne des équipes qui pratiquent cette discipline, observe Christian Harbulot, le directeur de l’École de guerre économique. Elles y viennent, sensibilisées au départ par le risque cyber. Mais on n’observe pas forcément une prise en compte sérieuse du sujet.» Preuve en est : Airbus est l’un des rares groupes à avoir donné à son directeur de la sûreté les trois casquettes : cyber, intelligence économique et sécurité.

«Des directeurs de la DGSI interviennent dans des comex pour faire de la sensibilisation. C’est quelque chose qui ne se faisait pas avant, sauf dans le monde anglo-saxon », pointe Stéphane Volant, du CDSE. Mais l’État a encore fort à faire pour se poser en allié des plus petites entreprises. À Melun (Seine-et-Marne), en septembre, la préfecture avait mobilisé gendarmerie, douane, services de renseignement et experts pour un séminaire de sensibilisation à l’intelligence économique, en partenariat avec le Medef local. Mais dans la salle, difficile de trouver des entreprises au milieu des officiels et des représentants d’organisations patronales.

Passer d’une logique défensive à offensive

Identifier les besoins des sociétés en matière de sécurité économique, c’est la mission que l’Élysée a confiée fin octobre à Geoffroy Roux de Bézieux, l’ancien président du Medef. L’organisation patronale, dotée d’une commission sur la souveraineté, et l’Afep, le lobby des grands groupes, ont édicté un guide de bonnes pratiques sur l’identification des données sensibles à protéger. Mais là encore, la logique reste défensive. Peu d’acteurs reconnaissent s’engager sur le terrain offensif, pour aller conquérir des marchés et déstabiliser leurs concurrents.

Des lacunes que propose de combler un rapport sénatorial, remis au gouvernement l’été dernier par Marie-Noëlle Lienemann (PCF) et Jean-Baptiste Lemoyne (Renaissance). En audition, ce dernier a évoqué le cas d’un constructeur automobile français qui a renoncé, au profit d’une société allemande, à assurer le secrétariat d’un groupe de normalisation au niveau européen. Un engagement coûteux à court terme, mais qui aurait pu lui assurer une avance stratégique à long terme.

«La France doit travailler son soft power. Au Moyen-Orient, la plupart des consultants qui aident à rédiger les cahiers des charges des appels d’offres sont anglo-saxons. Il ne faut pas s’étonner que les groupes français aient du mal à décrocher des marchés», prévient l’expert en intelligence économique Alexandre Medvedowsky. Sur le volet offensif aussi, État et entreprises vont devoir apprendre à travailler main dans la main.

La Rédaction (avec NU et CA)