Alain Juillet (Club des directeurs de sécurité des entreprises) : « Nous parvenons à créer une co-construction de la sécurité à

[À l'occasion de l'ouverture des journées de l'Amrae, le magazine Décideurs s'est penché sur l'univers des risques en entreprise. Rencontre avec les principaux experts du secteur].

Décideurs. Quel est le périmètre d’action du Club des directeurs de sécurité des entreprises (CDSE) que vous présidez ?

Alain Juillet. Le CDSE travaille sur l’ensemble des domaines concernant la sûreté des entreprises. Longtemps réduite au personnel et aux sites physiques, la notion de sûreté des sociétés dépasse désormais ce cadre pour englober à la fois l’entreprise et son environnement. Cette définition permet notamment de souligner l’importance du cyberespace et des actifs immatériels comme la réputation. Au sein de ce club, l’ouverture et la polyvalence sont les maîtres mots. Nous représentons historiquement presque toutes les grandes entreprises françaises. Depuis quelque temps, les sociétés internationales présentes dans l’Hexagone et les groupes de taille moyenne actifs dans des secteurs d’importance vitale commencent à nous rejoindre.

Quelles sont les principales réalisations du Club des directeurs de sécurité des entreprises (CDSE) ?

À travers une douzaine de commissions permanentes, nos membres bénéficient d’un lieu d’échanges privilégié. Il y a toujours une personne d’expérience qui a connu le problème rencontré par un autre et qui peut l’aider pour le résoudre. Le volume d’informations et d’expériences partagé est sans commune mesure pour ce métier. Cela assoit notre légitimité et explique pourquoi les ministères régaliens travaillent régulièrement avec nous. En tant que plus grand club de France consacré à ces questions, le CDSE est un interlocuteur crédible de l’autorité publique comme des entreprises. Nous parvenons à créer ainsi une co-construction de la sécurité à l’échelle nationale. Enfin, les groupes parlementaires peuvent s’adosser à nous en vue de l’élaboration de lois liées aux problématiques que nous traitons au quotidien. 

Le risk manager du futur devrait être inclus dans la direction de la sécurité.

Deux postes coexistent aujourd’hui dans les entreprises : le directeur de la sûreté et le risk  manager. Vont-ils fusionner dans un avenir proche ?

À mon sens, l’un fait partie de l’autre. Le risk management concerne en premier lieu les problématiques d’assurance. Ce concept est originaire des États-Unis où les entreprises ont pris conscience qu’elles pouvaient réduire leurs importantes dépenses en assurance tout en limitant la survenue de risques majeurs. Aujourd’hui, de nombreux domaines échappent aux couvertures proposées par les assureurs. Les différences entre l’offre et la demande de cyberprotection sont criantes à ce titre. Cela étant dit, la sûreté requiert une vision dépassant la simple optimisation du coût des assurances. Le risk manager du futur devrait être inclus dans la direction de la sécurité. En cas de crise, les dirigeants ont besoin d’un conseiller spécialisé pour les aider à gérer ce type de situation exceptionnelle. Le top management peut vite se perdre sans l’appui d’experts de risques majeurs. L’importance de ce poste est bien plus considérable qu’on ne le pense aujourd’hui.

Les directeurs généraux des entreprises françaises sont-ils suffisamment attentifs et sensibles aux risques criminels qui menacent leur entreprise ?

Encore aujourd’hui, je suis très frappé par le manque de prise de conscience des patrons français. Les études des directeurs de la sûreté seront décisives pour la survie des entreprises tricolores dans les années à venir. Toutefois, personne ne semble s’en rendre compte. Si les grands dirigeants s’obstinent à prendre à la légère ces problématiques, ils iront droit dans le mur. J’ajouterai qu’en suivant des conseils de piètre qualité, ils seront les témoins impuissants de dysfonctionnements majeurs au sein de leur société. Rattraper le retard accumulé risque de coûter très cher aux entreprises, que ce soit pour les menaces cyber ou les autres. Il est vital que les stratèges français et européens s’approprient ces questions rapidement. La mentalité « Bisounours » et la naïveté confondante de notre société doivent faire place à une analyse réaliste des risques qui nous entourent.

Ce sont aujourd’hui des mafias organisées qui tirent les fils dees attaques informatiques.

Comment favoriser l’émergence d’une telle analyse, notamment pour le cyberespace ?

Pour y arriver, nous devons faire face à deux défis principaux. D’abord, la sensibilisation est essentielle. On peut lire beaucoup de choses mais en réalité le sujet n’est pas toujours bien traité et la diffusion des messages clés reste limitée aux internautes curieux. La population cherche elle-même des informations vis-à-vis des problèmes de cybersécurité, mais il faut aller plus loin et mettre à disposition du plus grand nombre les éléments capitaux. Ensuite, la formation est aussi décisive. Dès l’école et jusqu’au supérieur, il faut expliquer aux gens ce qu’il se passe et les accompagner vers une utilisation raisonnée des services gratuits du Net. En France, l’exigence de sécurité collective fait admettre en contrepartie la réduction des libertés individuelles. Chaque personne doit pouvoir savoir comment sont utilisées ses données et si cela lui semble supportable ou non en fonction des avantages reçus en échange. Le risque d’accepter aveuglément toutes les conditions générales d’utilisation, comme nous le faisons tous aujourd’hui, c’est de subir des pertes de liberté au profit des Gafa [Ndlr : Google, Apple, Facebook, Amazon].

Au cœur de l’actualité, le risque cyber reste difficile à analyser. Avec la digitalisation de l’économie,  quels types de dégâts les fraudeurs pourront-ils provoquer dans les scénarios les plus pessimistes ?

Les risques cyber ont déjà pris une place importante dans la stratégie des acteurs américains. L’offre de produits d’assurance est bien plus développée dans le monde anglo-saxon et reflète cette sensibilité supérieure. Il faut avoir à l’esprit que les fraudeurs ne sont plus des individus isolés et motivés par le goût du défi technique comme cela a pu être le cas par le passé. Ce sont aujourd’hui des mafias organisées qui tirent les fils de ces attaques informatiques. À leurs yeux, c’est un moyen d’action moins cher et plus efficace pour dérober des actifs à forte valeur. Dans le pire des cas, les entreprises peuvent faire faillite. De plus en plus de PME, piégées par des fraudes au président, sont contraintes de mettre la clé sous la porte. Depuis 2010, 480 millions d’euros ont été détournés par des fraudes de ce type en France… D’autre part, les attaques contre les systèmes Scada (Supervisory Control And Data Acquisition) permettent de contrôler à distance des installations techniques. Des opérations d’escroquerie, de chantage voire de destruction peuvent donc viser des lignes de production dans les usines. Avec ce type d’attaques, des criminels de l’autre bout du monde sont à même de représenter une menace sérieuse. Les systèmes de défense et les lois, conçus pour des crimes commis sur le territoire national, ne sont plus adaptés.

Certaines mesures très simples permettent ainsi d’éviter le pire pour les petites entreprises.

Dans ce contexte, les PME et ETI sont exposées aux mêmes risques que les grandes sociétés. Avec leurs ressources limitées, ont-elles les moyens de se protéger efficacement contre les attaques qui les visent ?

A priori, une petite entreprise ne subira pas un niveau d’attaque comparable à celui des grandes car elle intéresse moins de monde. Pour récupérer des plans ou des données à forts enjeux, des malfrats peuvent organiser avec beaucoup de minutie et de préparation des vols d’ordinateurs. Une telle opération requiert d’importants moyens et se justifie difficilement pour une petite entreprise. Pour une PME, où trois personnes connaissent les secrets de la société, l’agresseur va adapter l’utilisation de ses ressources. Certaines mesures très simples permettent ainsi d’éviter le pire pour les petites entreprises. Je pense par exemple au stockage des données de R&D dans un ordinateur qui n’est pas connecté à Internet pour supprimer tout risque d’intrusion non désiré.

Propos recueillis par @Thomas Bastin.