Périmètre de sécurité - Le bon réflexe, faites votre auto-diagnostic de sécurité économique | L'Académie MEDEF

Description

Face à la multiplication des risques et menaces de sécurité économique, quel est le bon réflexe que doit adopter une entreprise pour préserver sa compétitivité et sa capacité à conquérir de nouveaux marchés ?

Ce podcast de la Commission Souveraineté et sécurité du MEDEF, animé par Stéphanie Tison, donne la parole à des acteurs économiques et publics pour décrypter l’actualité des risques et des enjeux de souveraineté, et transmettre des conseils pratiques pour sécuriser le développement des activités de votre entreprise et préserver leur compétitivité.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue dans Périmètre de sécurité, votre podcast MEDEF sur la sécurité et la souveraineté économique. A chaque épisode, nous donnons la parole à des acteurs publics et économiques pour décrypter l'actualité des risques, des enjeux de souveraineté, partager des bonnes pratiques et des bons réflexes. Bienvenue dans Périmètre de sécurité, je suis Stéphanie Tison, en charge des sujets de souveraineté et de sécurité économique au MEDEF. Face à la multiplication des risques et menaces de sécurité économique, nous vous proposons, dans le cadre de ce nouveau podcast, d'échanger avec des acteurs publics et privés sur l'actualité des risques. L'objectif à chaque épisode est d'être au plus près du terrain et de faire un zoom très concret sur certains risques et sur les solutions à la disposition des entreprises pour préserver leur compétitivité et leur capacité à conquérir de nouveaux marchés. Pour ce premier épisode, j'ai le plaisir de recevoir Alix Madé. Bonjour Alix.
Speaker #1
Bonjour Stéphanie, bonjour à tous.
Speaker #0
Merci de vous prêter à l'exercice d'un premier épisode de podcast et ce en direct de Lyon. Vous êtes déléguée régionale à l'information stratégique et à la sécurité économique en Auvergne-Rhône-Alpes et parce que l'on adore les acronymes dans notre pays, vous êtes aussi ce qu'on appelle une DIST. Donc en quelques mots d'introduction, pourriez-vous nous expliquer tout d'abord la nature de votre mission au service des entreprises d'Auvergne-Rhône-Alpes et également celle de vos collègues dans les autres régions de France ?
Speaker #1
Je suis ravie de présenter mon métier, qui est un métier à la fois discret, je dirais, mais passionné. Les 10 sont mes représentants du service de l'information stratégique et de la sécurité économique, le CIC, comme acronyme, qui est rattaché à la Direction générale des entreprises. Je suis basée en région Auvergne-Rhône-Alpes, à Lyon, et dans chaque région, il y a au moins un 10. Concrètement, on est chargé de la mise en œuvre de la politique de sécurité économique au niveau territorial. sous l'autorité fonctionnelle du préfet de région. Comme on est positionné en région au sein des traites, ça nous permet de tirer profit des interactions avec nos collègues qui s'occupent de développement économique, puisque les deux stratégies sont liées à la croissance des entreprises. À ce titre, on assure des missions de veille stratégique, c'est la plus grosse mission, c'est-à-dire des remontées d'informations de terrain sur les menaces et les vulnérabilités des entreprises les plus stratégiques. Ça peut être aussi pour les laboratoires, les laboratoires de grande école d'ingénieurs. par exemple quand ils sont stratégiques. Et puis on a une grosse mission de détection d'entités stratégiques pour essayer de connaître les champions de demain, les start-up qui sont un petit peu sensibles, qui deviendront peut-être des licornes. Donc pour ce faire on a des relations étroites avec les services spécialisés en région, c'est-à-dire les services d'enseignement, qui nous donnent des informations sur les entreprises qui deviennent les plus sensibles sur des technologies un peu importantes pour l'industrie française. Une deuxième mission La deuxième question, c'est le suivi des investissements étrangers en France. C'est un dispositif qui est géré par la direction du Trésor et nous on donne notre avis sur cette question de souveraineté industrielle, à la fois pour détecter les investissements des étrangers en amont et puis en aval pour essayer de contrôler quand il y a eu une lettre d'engagement suite à un investissement étranger. Et notre dernière mission c'est vraiment de mettre en place ce qu'on appelle l'intelligence économique territoriale, c'est-à-dire de participer et d'animer la gouvernance de l'intelligence économique au niveau territorial. Toujours sous l'égide du préfet de région, c'est-à-dire des relations avec les services de l'État, avec les organismes consulaires, avec le conseil régional, des choses comme ça.
Speaker #0
Si l'actualité se fait l'écho de l'accroissement des ingérences étrangères à l'encontre de notre tissu économique, il reste quand même très difficile pour de très nombreuses entreprises, et particulièrement les PME, de discerner concrètement ce qu'est un risque de sécurité économique, et pourquoi elles sont et devraient se sentir davantage concernées dans une entreprise, quand vous la rencontrez pour la première fois. Quels sont les types de risques que vous mettez particulièrement en avant ? Ceux qui sont peut-être les plus sous-estimés par les PME. Est-ce que vous avez des cas qui sont particulièrement parlants pour sensibiliser vos interlocuteurs ?
Speaker #1
Oui, effectivement, quand on est face à une PME, son objectif premier, c'est vraiment la croissance. Et il est important de se rappeler deux choses. La sécurité économique, c'est vraiment là pour essayer de préserver les avancées technologiques de l'industrie française. Donc la création de richesses, les emplois de demain. Et puis la deuxième chose, c'est que dans le contexte actuel, on est obligé de sortir d'une certaine naïveté et on doit renforcer notre vigilance. Les menaces, on est vraiment à une augmentation très nette. On était autour de 470 en 2021, on est autour de 1 000 actuellement. Donc ce qu'on appelle une menace, c'est une puissance économique étrangère qui essaie de voler des informations à des entreprises françaises. soit de faire carrément de la prédation économique. Les sources principales de ces alertes, ça demeure deux grandes puissances économiques connues, une qui est très à l'ouest et l'autre qui est très à l'est. On ne peut pas les citer comme ça. Mais je peux quand même vous dire que 50% des menaces sont de nature capitalistique. Donc ça, c'est vraiment de la prédation économique au niveau international. Et l'espionnage économique est de plus en plus agressif. On a par exemple 40% des alertes qui sont des captations d'informations sensibles ou du savoir-faire. et on a aussi une grosse augmentation des risques cyber. Les formes d'ingérence sont extrêmement variées, on a de la prédation qui est légale parfois, avec des activités beaucoup plus souterraines, et puis les cibles ça va du grand groupe à la petite start-up, avec parfois les unités de recherche, et les incubateurs sont très visés. On a dans la région beaucoup d'attaques réputationnelles, alors ça c'est beaucoup grâce aux réseaux sociaux, les réseaux sociaux sont instrumentalisés pour essayer de nuire à la réputation d'entreprise. C'est par exemple l'exemple des punaises de lits, vous savez qu'il y avait fait un bruit pas permis il y a quelques mois, c'était vraiment un exemple de déstabilisation très réussi. Les auteurs de ces menaces sont aussi mouvants, parce que parfois c'est un proxy, c'est-à-dire un acteur qui est lié à un gouvernement étranger, ça peut être un concurrent français, et puis bien sûr ça peut être des escrocs qui sont motivés par l'argent. Juste pour vous donner un petit exemple, on a eu récemment une entreprise de textile, à qui une entreprise chinoise avait proposé un partenariat économique. pour faire du business prétendument et qui en fait a donné lieu à un vol, un transfert de technologie très subtil, fait petit à petit sur le process de tissage et tout ça. Donc concrètement, quand on est face à une entreprise à un niveau plus micro, on essaye de comprendre un peu le fonctionnement de l'entreprise pour aider son dirigeant à faire une cartographie des risques. C'est dur parfois pour le dirigeant de formaliser un risque, mais c'est important de voir la notion de sensibilité de son entreprise. Si une donnée par exemple est détruite ou si elle est volée par un escroc, quel sera le degré de gravité pour l'entreprise ? Est-ce que le préjudice sera réel ? Et quelle est la probabilité qu'un tel risque arrive ? Par exemple, j'étais récemment dans une entreprise qui œuvre dans le recyclage de plastique, qui avait été très bien vue dans la presse, bien vue par les élus locaux. Et au début de notre entretien, le dirigeant me dit que son premier risque, il pense que c'est l'échec de la techno. Il a peur que sa techno ne fonctionne pas dans des conditions moins contraintes. Et puis on discute assez sereinement, on fait visiter l'entreprise, le labo, et à la fin, en fait, il me dit avec un sourire, je crois que mon plus gros risque, ce n'est pas ça, c'est plutôt le green bashing. Ce serait qu'un influenceur lui dise que c'est un technologie pas du tout écolo, ou qu'elle n'est pas efficace. Donc c'est important de connaître ces risques. Et sur les rumeurs, parce qu'on a beaucoup d'entreprises dans la biotech, dans la région lyonnaise, et on sait que si une société productrice de vaccins est accusée d'effets secondaires nocifs, par exemple, que ce soit à tort ou à raison, ce n'est pas le problème, ce serait très dur pour elles de rebondir là-dessus. Il est beaucoup plus long et difficile de réparer une image de marque que de la détruire. Donc les entreprises n'ont parfois pas de services qui sont faits pour veiller à la irréputation. Elles ont vraiment une marge de manœuvre là-dessus. Sur le côté international, un point quand même aussi, parce qu'on a beaucoup d'entreprises très exportatrices en France, elles le savent. Il est nécessaire de vraiment bien connaître la culture du pays où on veut tenter de s'implanter. Il est important de suivre les yeux et les coutumes avant de prendre tout contact. J'ai eu récemment le retour assez triste d'un industriel de la région qui était allé faire du business à Téhéran. Et finalement, il a fini 24 heures au commissariat local, ce qui n'était pas du tout confortable, simplement parce qu'il avait passé la nuit avec la guide touristique et cette guide était mariée. Et en Iran, l'adultère est un grave délit. Donc, à cause de ces 24 heures, non seulement il a raté son rendez-vous avec les grands industriels iraniens, il a perdu le marché. Et en fait, il pense que cette manœuvre de séduction a été orchestrée sur mon parent de séduction. On ne le saura jamais.
Speaker #0
C'est intéressant comme liste de sécurité économique, on n'y pense pas.
Speaker #1
C'est vrai.
Speaker #0
Donc, à part la cartographie des risques que vous évoquiez, quel est le premier réflexe que vous donnez à une entreprise, celui que vous suggérez d'adopter pour se sensibiliser efficacement à ces risques ? Et comprendre surtout à quel niveau l'entreprise est concernée et voir les solutions dont elle peut bénéficier.
Speaker #1
Pour qu'elle puisse évaluer ses risques, il faut qu'elle fasse de la veille et il faut qu'elle cherche l'information, à la fois sur son environnement, sur ses concurrents, sur les évolutions réglementaires. On voit qu'une arrivée de NIS2, par exemple, sur la cybersécurité, va les faire monter en puissance sur pas mal de choses. Le CSRD aussi, sur les questions de transition écologique. Tout ça, c'est des choses qui sont importantes à connaître. Parce que maintenant, on est vraiment dans un contexte de guerre économique, on n'a pas peur du monde. Et dans ce contexte, c'est clair que la data est le nouvel or noir. Une des choses à protéger, c'est vraiment les données stratégiques. Donc c'est important d'identifier la donnée qui est la plus sensible, et puis de hiérarchiser. On peut faire parfois ce qu'on appelle un tableau de criticité des informations, pour voir celle qui engendrerait le plus gros préjudice si on la perdait.
Speaker #0
Est-ce qu'il y a un outil qui rassemble toutes ces... C'est une espèce de checklist en tout cas de toutes les informations qu'il faut vérifier, pour qu'elles soient protégées au sein de l'entreprise.
Speaker #1
Absolument, on a un très bon diagnostic qu'on a remis au goût du jour en 2024 qui s'appelle le DiagSeco. En fait, c'est un autodiagnostic, c'est-à-dire que l'industriel peut le faire seul. C'est vraiment pour que l'entreprise puisse voir où elle en est en matière de sécurité économique. C'est pour l'aider à peaufiner sa résilience, à préparer une attaque qui arrivera peut-être, probablement même souvent. pour qu'elle puisse se jauger, évaluer son degré de maturité en sécurité économique. Concrètement, c'est un logiciel gratuit sur notre site entreprise.gouv.fr et il évalue les vulnérabilités d'une entreprise ainsi que son niveau de sécurité par des questions. C'est par exemple les capitaux, les financements de l'entreprise, la propriété industrielle, la perte ou la captation d'informations stratégiques, les procédures de conformité. Il y a neuf rubriques comme ça. Quoi qu'on ait fait ce diagnostic, ça permet d'avoir un rapport qui est personnalisé, qui est vraiment unique et surtout qui est anonyme. Je voudrais vraiment préciser un détail essentiel, c'est que ce rapport et les données qu'il va contenir, puisque le dirigeant va mettre beaucoup de données pour avoir son diag séco, ce rapport ne sera pas conservé par l'État. Donc il n'y a aucun risque de fuite de données, c'est totalement anonyme, on ne garde aucune donnée sur ce qu'a dit le chef d'entreprise.
Speaker #0
Et est-ce que c'est forcément le chef d'entreprise qui doit compléter ? finalement, le questionnaire. Est-ce que ça prend beaucoup de temps aussi ? Est-ce qu'il faut avoir vraiment des connaissances très précises sur tous les pans d'organisation de l'entreprise qui sont traités par les neuf axes ?
Speaker #1
Forcément, non. Parfois, le DSI aussi, parfois, peut le faire. Un directeur de l'innovation, par exemple, est parfois très intéressé par ce genre de questions. Ça dépend un peu de chaque entreprise, selon, justement, peut-être l'importance qu'il donne à cette question de sécurité économique. Parfois, on a le directeur de la sécurité qui s'en occupe et qui fait partie du COMEX. Ce n'est pas dans toutes les boîtes, donc c'est très variable. Souvent, ça prend environ une heure, une heure et demie, si on veut le faire vraiment très complètement. Mais on a vraiment un diagnostic assez complet de vulnérabilité. Et puis, on a, ce qui est très précieux, une synthèse des points faibles et des fragilités de l'organisation de l'entreprise. Donc après, à partir de cette synthèse, on donne des recommandations et des conseils qui sont sous forme de fiches pratiques. Donc ces fiches pratiques permettent à l'entreprise de faire une sorte d'adoption de bonnes pratiques et de remédiation pour qu'elle puisse prendre des mesures pour monter en sécurité économique. Par exemple, souvent on conseille après le diagnostic d'essayer de mieux gérer les accès réseau. Si un stagiaire, par exemple, finit son stage un jeudi soir, il faut vraiment quitter le réseau le jeudi soir et pas le vendredi. Il y a des choses comme ça.
Speaker #0
Et c'est un questionnaire qu'on peut... Commencez à compléter, arrêter, reprendre un peu plus tard si on n'a pas toutes les réponses. Vous mentionnez que vous ne gardiez pas les résultats, mais toutefois, est-ce que l'entreprise peut l'enregistrer pour être sûre de ne pas avoir perdu les réponses aux premières questions ? Comment concrètement ça se matérialise ?
Speaker #1
Oui, tout à fait. Oui, elle peut l'enregistrer. Elle peut même, si elle veut, le faire avec nous. Nous, les 10, on va en entreprise, souvent à la demande de l'entreprise ou à notre demande, Merci à vous. un sujet d'actualité particulier. Et du coup, parfois, on peut aider l'entrepreneur à faire ça, ou à le commencer, ou à peaufiner certaines questions. Donc, c'est un outil qui se veut assez libre et qui se veut vraiment à la disposition des entreprises.
Speaker #0
J'imagine aussi que c'est un outil que vous pouvez utiliser à différents moments de la vie de la boîte. Vous avez beaucoup d'entreprises qui, finalement, se font approprier l'outil après l'avoir testé une première fois et les réutilisent quelques mois après.
Speaker #1
Oui, absolument. J'ai eu récemment une startup dans les biotech qui a fait une grosse levée de fonds. Du coup, j'en avais parlé avant, il m'a dit qu'il n'avait pas eu le temps de le faire complètement. Et du coup, il voulait y retourner après. Et grâce à ce diag-seco, en fait, on a aussi appris à se connaître et à échanger des informations qui peuvent être utiles, ce qui est dans un secteur ultra concurrentiel. Donc c'est toujours très utile de savoir que c'est une aide, mais qu'il y a aussi le contact avec tout le CIC, si besoin. Notamment qu'une entreprise part à l'étranger, on peut l'accompagner un peu pour la préparation de son voyage. Ça peut être important, notamment avec les CCEF ou avec la CCI. On peut faire des mises en relation ou du conseil direct. Il y a eu par exemple récemment une entreprise qui avait une délégation étrangère d'Asie. qui voulait venir et l'entreprise voulait travailler sur son circuit de notoriété pour que la délégation étrangère n'aille pas dans le laboratoire le plus sensible. Donc du coup, je suis allée sur place pour voir comment on pouvait faire un circuit assez subtil pour ne pas montrer qu'on ne montrait pas le labo sensible.
Speaker #0
Dernière question plus personnelle avant de clore cet échange et de laisser nos auditeurs se précipiter pour faire leur autodiagnostic vers DxEco. Je dirais que la sécurité économique commence par se l'appliquer à soi-même. Et donc, Alix, c'est quoi votre réflexe personnel de sécurité économique ?
Speaker #1
Oui, excellente question parce qu'il y en a beaucoup de réflexes personnels. Je dirais que le premier, c'est d'écouter, de regarder, prendre du recul. En fait, en un mot, c'est vraiment de veiller. Ma philosophie, c'est surtout de ne pas trop en dire. J'écoute beaucoup, mais je ne parle pas beaucoup. Et surtout, j'essaie de garder la pleine conscience de ce que je dévoile. J'ai deux téléphones, bien sûr, et mes applications personnelles ne sont pas sur le portable professionnel. Mais par contre, mon écoute reste quasiment la même, que je sois au bureau ou dans des sorties privées. Mon métier est beaucoup basé sur du renseignement humain. Et je reste persuadée que l'information est un trésor. Ça devient peut-être même une arme. Donc, je l'utilise avec parcimonie.
Speaker #0
En tout cas, les informations que vous nous avez données aujourd'hui sont un trésor. donc je vous remercie d'avoir pris le temps en tout cas de... Partagez votre expérience et tous ces conseils et anecdotes, parce que c'est important de pouvoir se projeter dans des cas très pratiques. Donc c'est tout pour aujourd'hui. A très bientôt pour un nouvel épisode de Périmètre de sécurité. Et en attendant, n'oubliez pas d'avoir le réflexe sécurité économique.
Speaker #1
Merci à vous.
Speaker #0
C'était Périmètre de sécurité, votre podcast médias sur la sécurité et la souveraineté économique. N'hésitez pas à vous abonner et à partager le podcast pour accélérer la diffusion d'une culture de la sécurité économique. Merci de nous avoir écoutés. A bientôt.

Description

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue dans Périmètre de sécurité, votre podcast MEDEF sur la sécurité et la souveraineté économique. A chaque épisode, nous donnons la parole à des acteurs publics et économiques pour décrypter l'actualité des risques, des enjeux de souveraineté, partager des bonnes pratiques et des bons réflexes. Bienvenue dans Périmètre de sécurité, je suis Stéphanie Tison, en charge des sujets de souveraineté et de sécurité économique au MEDEF. Face à la multiplication des risques et menaces de sécurité économique, nous vous proposons, dans le cadre de ce nouveau podcast, d'échanger avec des acteurs publics et privés sur l'actualité des risques. L'objectif à chaque épisode est d'être au plus près du terrain et de faire un zoom très concret sur certains risques et sur les solutions à la disposition des entreprises pour préserver leur compétitivité et leur capacité à conquérir de nouveaux marchés. Pour ce premier épisode, j'ai le plaisir de recevoir Alix Madé. Bonjour Alix.
Speaker #1
Bonjour Stéphanie, bonjour à tous.
Speaker #0
Merci de vous prêter à l'exercice d'un premier épisode de podcast et ce en direct de Lyon. Vous êtes déléguée régionale à l'information stratégique et à la sécurité économique en Auvergne-Rhône-Alpes et parce que l'on adore les acronymes dans notre pays, vous êtes aussi ce qu'on appelle une DIST. Donc en quelques mots d'introduction, pourriez-vous nous expliquer tout d'abord la nature de votre mission au service des entreprises d'Auvergne-Rhône-Alpes et également celle de vos collègues dans les autres régions de France ?
Speaker #1
Je suis ravie de présenter mon métier, qui est un métier à la fois discret, je dirais, mais passionné. Les 10 sont mes représentants du service de l'information stratégique et de la sécurité économique, le CIC, comme acronyme, qui est rattaché à la Direction générale des entreprises. Je suis basée en région Auvergne-Rhône-Alpes, à Lyon, et dans chaque région, il y a au moins un 10. Concrètement, on est chargé de la mise en œuvre de la politique de sécurité économique au niveau territorial. sous l'autorité fonctionnelle du préfet de région. Comme on est positionné en région au sein des traites, ça nous permet de tirer profit des interactions avec nos collègues qui s'occupent de développement économique, puisque les deux stratégies sont liées à la croissance des entreprises. À ce titre, on assure des missions de veille stratégique, c'est la plus grosse mission, c'est-à-dire des remontées d'informations de terrain sur les menaces et les vulnérabilités des entreprises les plus stratégiques. Ça peut être aussi pour les laboratoires, les laboratoires de grande école d'ingénieurs. par exemple quand ils sont stratégiques. Et puis on a une grosse mission de détection d'entités stratégiques pour essayer de connaître les champions de demain, les start-up qui sont un petit peu sensibles, qui deviendront peut-être des licornes. Donc pour ce faire on a des relations étroites avec les services spécialisés en région, c'est-à-dire les services d'enseignement, qui nous donnent des informations sur les entreprises qui deviennent les plus sensibles sur des technologies un peu importantes pour l'industrie française. Une deuxième mission La deuxième question, c'est le suivi des investissements étrangers en France. C'est un dispositif qui est géré par la direction du Trésor et nous on donne notre avis sur cette question de souveraineté industrielle, à la fois pour détecter les investissements des étrangers en amont et puis en aval pour essayer de contrôler quand il y a eu une lettre d'engagement suite à un investissement étranger. Et notre dernière mission c'est vraiment de mettre en place ce qu'on appelle l'intelligence économique territoriale, c'est-à-dire de participer et d'animer la gouvernance de l'intelligence économique au niveau territorial. Toujours sous l'égide du préfet de région, c'est-à-dire des relations avec les services de l'État, avec les organismes consulaires, avec le conseil régional, des choses comme ça.
Speaker #0
Si l'actualité se fait l'écho de l'accroissement des ingérences étrangères à l'encontre de notre tissu économique, il reste quand même très difficile pour de très nombreuses entreprises, et particulièrement les PME, de discerner concrètement ce qu'est un risque de sécurité économique, et pourquoi elles sont et devraient se sentir davantage concernées dans une entreprise, quand vous la rencontrez pour la première fois. Quels sont les types de risques que vous mettez particulièrement en avant ? Ceux qui sont peut-être les plus sous-estimés par les PME. Est-ce que vous avez des cas qui sont particulièrement parlants pour sensibiliser vos interlocuteurs ?
Speaker #1
Oui, effectivement, quand on est face à une PME, son objectif premier, c'est vraiment la croissance. Et il est important de se rappeler deux choses. La sécurité économique, c'est vraiment là pour essayer de préserver les avancées technologiques de l'industrie française. Donc la création de richesses, les emplois de demain. Et puis la deuxième chose, c'est que dans le contexte actuel, on est obligé de sortir d'une certaine naïveté et on doit renforcer notre vigilance. Les menaces, on est vraiment à une augmentation très nette. On était autour de 470 en 2021, on est autour de 1 000 actuellement. Donc ce qu'on appelle une menace, c'est une puissance économique étrangère qui essaie de voler des informations à des entreprises françaises. soit de faire carrément de la prédation économique. Les sources principales de ces alertes, ça demeure deux grandes puissances économiques connues, une qui est très à l'ouest et l'autre qui est très à l'est. On ne peut pas les citer comme ça. Mais je peux quand même vous dire que 50% des menaces sont de nature capitalistique. Donc ça, c'est vraiment de la prédation économique au niveau international. Et l'espionnage économique est de plus en plus agressif. On a par exemple 40% des alertes qui sont des captations d'informations sensibles ou du savoir-faire. et on a aussi une grosse augmentation des risques cyber. Les formes d'ingérence sont extrêmement variées, on a de la prédation qui est légale parfois, avec des activités beaucoup plus souterraines, et puis les cibles ça va du grand groupe à la petite start-up, avec parfois les unités de recherche, et les incubateurs sont très visés. On a dans la région beaucoup d'attaques réputationnelles, alors ça c'est beaucoup grâce aux réseaux sociaux, les réseaux sociaux sont instrumentalisés pour essayer de nuire à la réputation d'entreprise. C'est par exemple l'exemple des punaises de lits, vous savez qu'il y avait fait un bruit pas permis il y a quelques mois, c'était vraiment un exemple de déstabilisation très réussi. Les auteurs de ces menaces sont aussi mouvants, parce que parfois c'est un proxy, c'est-à-dire un acteur qui est lié à un gouvernement étranger, ça peut être un concurrent français, et puis bien sûr ça peut être des escrocs qui sont motivés par l'argent. Juste pour vous donner un petit exemple, on a eu récemment une entreprise de textile, à qui une entreprise chinoise avait proposé un partenariat économique. pour faire du business prétendument et qui en fait a donné lieu à un vol, un transfert de technologie très subtil, fait petit à petit sur le process de tissage et tout ça. Donc concrètement, quand on est face à une entreprise à un niveau plus micro, on essaye de comprendre un peu le fonctionnement de l'entreprise pour aider son dirigeant à faire une cartographie des risques. C'est dur parfois pour le dirigeant de formaliser un risque, mais c'est important de voir la notion de sensibilité de son entreprise. Si une donnée par exemple est détruite ou si elle est volée par un escroc, quel sera le degré de gravité pour l'entreprise ? Est-ce que le préjudice sera réel ? Et quelle est la probabilité qu'un tel risque arrive ? Par exemple, j'étais récemment dans une entreprise qui œuvre dans le recyclage de plastique, qui avait été très bien vue dans la presse, bien vue par les élus locaux. Et au début de notre entretien, le dirigeant me dit que son premier risque, il pense que c'est l'échec de la techno. Il a peur que sa techno ne fonctionne pas dans des conditions moins contraintes. Et puis on discute assez sereinement, on fait visiter l'entreprise, le labo, et à la fin, en fait, il me dit avec un sourire, je crois que mon plus gros risque, ce n'est pas ça, c'est plutôt le green bashing. Ce serait qu'un influenceur lui dise que c'est un technologie pas du tout écolo, ou qu'elle n'est pas efficace. Donc c'est important de connaître ces risques. Et sur les rumeurs, parce qu'on a beaucoup d'entreprises dans la biotech, dans la région lyonnaise, et on sait que si une société productrice de vaccins est accusée d'effets secondaires nocifs, par exemple, que ce soit à tort ou à raison, ce n'est pas le problème, ce serait très dur pour elles de rebondir là-dessus. Il est beaucoup plus long et difficile de réparer une image de marque que de la détruire. Donc les entreprises n'ont parfois pas de services qui sont faits pour veiller à la irréputation. Elles ont vraiment une marge de manœuvre là-dessus. Sur le côté international, un point quand même aussi, parce qu'on a beaucoup d'entreprises très exportatrices en France, elles le savent. Il est nécessaire de vraiment bien connaître la culture du pays où on veut tenter de s'implanter. Il est important de suivre les yeux et les coutumes avant de prendre tout contact. J'ai eu récemment le retour assez triste d'un industriel de la région qui était allé faire du business à Téhéran. Et finalement, il a fini 24 heures au commissariat local, ce qui n'était pas du tout confortable, simplement parce qu'il avait passé la nuit avec la guide touristique et cette guide était mariée. Et en Iran, l'adultère est un grave délit. Donc, à cause de ces 24 heures, non seulement il a raté son rendez-vous avec les grands industriels iraniens, il a perdu le marché. Et en fait, il pense que cette manœuvre de séduction a été orchestrée sur mon parent de séduction. On ne le saura jamais.
Speaker #0
C'est intéressant comme liste de sécurité économique, on n'y pense pas.
Speaker #1
C'est vrai.
Speaker #0
Donc, à part la cartographie des risques que vous évoquiez, quel est le premier réflexe que vous donnez à une entreprise, celui que vous suggérez d'adopter pour se sensibiliser efficacement à ces risques ? Et comprendre surtout à quel niveau l'entreprise est concernée et voir les solutions dont elle peut bénéficier.
Speaker #1
Pour qu'elle puisse évaluer ses risques, il faut qu'elle fasse de la veille et il faut qu'elle cherche l'information, à la fois sur son environnement, sur ses concurrents, sur les évolutions réglementaires. On voit qu'une arrivée de NIS2, par exemple, sur la cybersécurité, va les faire monter en puissance sur pas mal de choses. Le CSRD aussi, sur les questions de transition écologique. Tout ça, c'est des choses qui sont importantes à connaître. Parce que maintenant, on est vraiment dans un contexte de guerre économique, on n'a pas peur du monde. Et dans ce contexte, c'est clair que la data est le nouvel or noir. Une des choses à protéger, c'est vraiment les données stratégiques. Donc c'est important d'identifier la donnée qui est la plus sensible, et puis de hiérarchiser. On peut faire parfois ce qu'on appelle un tableau de criticité des informations, pour voir celle qui engendrerait le plus gros préjudice si on la perdait.
Speaker #0
Est-ce qu'il y a un outil qui rassemble toutes ces... C'est une espèce de checklist en tout cas de toutes les informations qu'il faut vérifier, pour qu'elles soient protégées au sein de l'entreprise.
Speaker #1
Absolument, on a un très bon diagnostic qu'on a remis au goût du jour en 2024 qui s'appelle le DiagSeco. En fait, c'est un autodiagnostic, c'est-à-dire que l'industriel peut le faire seul. C'est vraiment pour que l'entreprise puisse voir où elle en est en matière de sécurité économique. C'est pour l'aider à peaufiner sa résilience, à préparer une attaque qui arrivera peut-être, probablement même souvent. pour qu'elle puisse se jauger, évaluer son degré de maturité en sécurité économique. Concrètement, c'est un logiciel gratuit sur notre site entreprise.gouv.fr et il évalue les vulnérabilités d'une entreprise ainsi que son niveau de sécurité par des questions. C'est par exemple les capitaux, les financements de l'entreprise, la propriété industrielle, la perte ou la captation d'informations stratégiques, les procédures de conformité. Il y a neuf rubriques comme ça. Quoi qu'on ait fait ce diagnostic, ça permet d'avoir un rapport qui est personnalisé, qui est vraiment unique et surtout qui est anonyme. Je voudrais vraiment préciser un détail essentiel, c'est que ce rapport et les données qu'il va contenir, puisque le dirigeant va mettre beaucoup de données pour avoir son diag séco, ce rapport ne sera pas conservé par l'État. Donc il n'y a aucun risque de fuite de données, c'est totalement anonyme, on ne garde aucune donnée sur ce qu'a dit le chef d'entreprise.
Speaker #0
Et est-ce que c'est forcément le chef d'entreprise qui doit compléter ? finalement, le questionnaire. Est-ce que ça prend beaucoup de temps aussi ? Est-ce qu'il faut avoir vraiment des connaissances très précises sur tous les pans d'organisation de l'entreprise qui sont traités par les neuf axes ?
Speaker #1
Forcément, non. Parfois, le DSI aussi, parfois, peut le faire. Un directeur de l'innovation, par exemple, est parfois très intéressé par ce genre de questions. Ça dépend un peu de chaque entreprise, selon, justement, peut-être l'importance qu'il donne à cette question de sécurité économique. Parfois, on a le directeur de la sécurité qui s'en occupe et qui fait partie du COMEX. Ce n'est pas dans toutes les boîtes, donc c'est très variable. Souvent, ça prend environ une heure, une heure et demie, si on veut le faire vraiment très complètement. Mais on a vraiment un diagnostic assez complet de vulnérabilité. Et puis, on a, ce qui est très précieux, une synthèse des points faibles et des fragilités de l'organisation de l'entreprise. Donc après, à partir de cette synthèse, on donne des recommandations et des conseils qui sont sous forme de fiches pratiques. Donc ces fiches pratiques permettent à l'entreprise de faire une sorte d'adoption de bonnes pratiques et de remédiation pour qu'elle puisse prendre des mesures pour monter en sécurité économique. Par exemple, souvent on conseille après le diagnostic d'essayer de mieux gérer les accès réseau. Si un stagiaire, par exemple, finit son stage un jeudi soir, il faut vraiment quitter le réseau le jeudi soir et pas le vendredi. Il y a des choses comme ça.
Speaker #0
Et c'est un questionnaire qu'on peut... Commencez à compléter, arrêter, reprendre un peu plus tard si on n'a pas toutes les réponses. Vous mentionnez que vous ne gardiez pas les résultats, mais toutefois, est-ce que l'entreprise peut l'enregistrer pour être sûre de ne pas avoir perdu les réponses aux premières questions ? Comment concrètement ça se matérialise ?
Speaker #1
Oui, tout à fait. Oui, elle peut l'enregistrer. Elle peut même, si elle veut, le faire avec nous. Nous, les 10, on va en entreprise, souvent à la demande de l'entreprise ou à notre demande, Merci à vous. un sujet d'actualité particulier. Et du coup, parfois, on peut aider l'entrepreneur à faire ça, ou à le commencer, ou à peaufiner certaines questions. Donc, c'est un outil qui se veut assez libre et qui se veut vraiment à la disposition des entreprises.
Speaker #0
J'imagine aussi que c'est un outil que vous pouvez utiliser à différents moments de la vie de la boîte. Vous avez beaucoup d'entreprises qui, finalement, se font approprier l'outil après l'avoir testé une première fois et les réutilisent quelques mois après.
Speaker #1
Oui, absolument. J'ai eu récemment une startup dans les biotech qui a fait une grosse levée de fonds. Du coup, j'en avais parlé avant, il m'a dit qu'il n'avait pas eu le temps de le faire complètement. Et du coup, il voulait y retourner après. Et grâce à ce diag-seco, en fait, on a aussi appris à se connaître et à échanger des informations qui peuvent être utiles, ce qui est dans un secteur ultra concurrentiel. Donc c'est toujours très utile de savoir que c'est une aide, mais qu'il y a aussi le contact avec tout le CIC, si besoin. Notamment qu'une entreprise part à l'étranger, on peut l'accompagner un peu pour la préparation de son voyage. Ça peut être important, notamment avec les CCEF ou avec la CCI. On peut faire des mises en relation ou du conseil direct. Il y a eu par exemple récemment une entreprise qui avait une délégation étrangère d'Asie. qui voulait venir et l'entreprise voulait travailler sur son circuit de notoriété pour que la délégation étrangère n'aille pas dans le laboratoire le plus sensible. Donc du coup, je suis allée sur place pour voir comment on pouvait faire un circuit assez subtil pour ne pas montrer qu'on ne montrait pas le labo sensible.
Speaker #0
Dernière question plus personnelle avant de clore cet échange et de laisser nos auditeurs se précipiter pour faire leur autodiagnostic vers DxEco. Je dirais que la sécurité économique commence par se l'appliquer à soi-même. Et donc, Alix, c'est quoi votre réflexe personnel de sécurité économique ?
Speaker #1
Oui, excellente question parce qu'il y en a beaucoup de réflexes personnels. Je dirais que le premier, c'est d'écouter, de regarder, prendre du recul. En fait, en un mot, c'est vraiment de veiller. Ma philosophie, c'est surtout de ne pas trop en dire. J'écoute beaucoup, mais je ne parle pas beaucoup. Et surtout, j'essaie de garder la pleine conscience de ce que je dévoile. J'ai deux téléphones, bien sûr, et mes applications personnelles ne sont pas sur le portable professionnel. Mais par contre, mon écoute reste quasiment la même, que je sois au bureau ou dans des sorties privées. Mon métier est beaucoup basé sur du renseignement humain. Et je reste persuadée que l'information est un trésor. Ça devient peut-être même une arme. Donc, je l'utilise avec parcimonie.
Speaker #0
En tout cas, les informations que vous nous avez données aujourd'hui sont un trésor. donc je vous remercie d'avoir pris le temps en tout cas de... Partagez votre expérience et tous ces conseils et anecdotes, parce que c'est important de pouvoir se projeter dans des cas très pratiques. Donc c'est tout pour aujourd'hui. A très bientôt pour un nouvel épisode de Périmètre de sécurité. Et en attendant, n'oubliez pas d'avoir le réflexe sécurité économique.
Speaker #1
Merci à vous.
Speaker #0
C'était Périmètre de sécurité, votre podcast médias sur la sécurité et la souveraineté économique. N'hésitez pas à vous abonner et à partager le podcast pour accélérer la diffusion d'une culture de la sécurité économique. Merci de nous avoir écoutés. A bientôt.

Embed