Vous êtes ici

La protection de l’information ou la métamorphose du secret : la fin de la forteresse…

Frédéric BUREAU & Eric DELBECQUE

Le secret n’est plus légitime. Dans une époque où règne le devoir de transparence, où chacun doit s’avouer, c’est-à-dire formuler la vérité de lui-même, il devient malaisé de revendiquer le droit au secret. Car ce dernier semble pointer vers la corruption, la malhonnêteté, le désir de tromper pour défendre des intérêts indignes.

De surcroît, il s’avère pour le moins ardu de garder confidentielles des informations lorsque des vecteurs multiples peuvent en assurer la circulation en quelques secondes aux quatre coins de la planète. A l’heure du nomadisme, qu’est-ce qui peut encore demeurer la chose privée de quelques-uns ? Citons quelques occasions possibles (il y en aurait tellement d’autres à répertorier) de fuites d’information, c’est-à-dire de mort du secret :

  • Bavardages à l’infini des voyageurs d’affaires, en particulier dans les hôtels internationaux
  • Foires et expositions
  • Technologies de l’information et de la communication
  • Indiscrétions multiples dans un monde où plus rien ne semble digne d’être gardé pour soi (cf. les réseaux sociaux)
  • Médiatisation (société de l’information où tout doit être porté à la connaissance du public)
  • Licenciements et départs qui délient les langues ou nourrissent les rancunes
  • Stagiaires peu soucieux de confidentialité
  • espionnage industriel
  • opérations de « recrutement hostile ».

Enfin, l’économie de la connaissance dans laquelle s’inscrit le capitalisme financier et la société de consommation qui lui est liée, repose sur la dynamique de l’« innovation destructrice », comme l’écrit Luc Ferry (qui revisita récemment dans un livre éponyme les théories de Schumpeter sur la destruction créatrice). Cette innovation permanente exige le partage de l’information et s’oppose frontalement à l’ancien monde du secret. Ce dernier est-il cependant toujours nécessaire ?

Dans certaines limites oui. L’efficacité des services de renseignement suppose par exemple le secret sur les opérations en cours ; la compétitivité des entreprises aussi : l’exploitation d’un avantage concurrentiel se fonde sur la préservation de secrets d’affaires. Le cas suivant illustre à merveille les risques contemporains. Le 16 janvier 2008, on lisait en effet dans Le Figaro les lignes suivantes : « C’est une sombre affaire d’espionnage qui a pris fin hier, à Clermont-Ferrand, avec la mise en examen et le placement sous contrôle judiciaire d’un ancien cadre de Michelin, soupçonné d’avoir livré des secrets de fabrication de la manufacture de pneumatiques au japonais Bridgestone. Cet ingénieur, âgé de 32 ans, a été mis en examen pour livraison à une entreprise étrangère de renseignements dont l’exploitation et la divulgation sont de nature à porter atteinte aux intérêts fondamentaux de la nation. Un crime passible de quinze ans de réclusion. Il a également été mis en examen pour abus de confiance et violation des secrets de fabrication. Son contrôle judiciaire est assorti d’une interdiction de sortie du territoire français. Cet ex-salarié, qui travaillait chez Michelin depuis cinq ans, est soupçonné d’avoir envoyé le 3 juillet dernier un courriel à Bridgestone, premier fabricant japonais de pneus, proposant de lui vendre des données confidentielles de son ancienne entreprise contre 100 000 livres sterling (150 000 euros environ). L’homme avait démissionné en mars 2007 de la branche poids lourd de la manufacture, dont le siège social et le centre de recherches se trouvent à Clermont-Ferrand. Il était alors parti vivre à Londres d’où il a envoyé le mail à Bridgestone. Mal lui en a pris. Le fabricant japonais a immédiatement alerté Michelin qui a tendu un piège à son ancien salarié en communiquant avec lui par Internet, se faisant passer pour Bridgestone. L’ingénieur a été interpellé le 9 janvier dans l’Eure par les policiers de la brigade centrale pour la répression des contrefaçons. Michelin, de son côté, a porté plainte. » (Le Figaro, « L’ingénieur de Michelin tentait de vendre des secrets », 16/01/08).  

L’intérêt industriel et commercial nous conduit lui aussi à aménager notre exigence de secret. Les relations entre l’industrie de l’armement européenne et celle des Etats-Unis le démontrent à l’envie. L’opposition des modèles ou la divergence des intentions stratégiques et des visions géopolitiques ne doit pas occulter les intérêts que les deux parties auraient à collaborer. Un déficit d’interopérabilité de leurs forces respectives dans une situation d’intervention commune serait dommageable pour les deux acteurs. De plus, il est difficile de nier les besoins de financement des entreprises européennes du secteur de la défense. La sous-capitalisation qui les affecte le plus souvent explique les boulevards qui se dessinent pour les investisseurs étrangers. Il est malgré tout plus souhaitable, si l’on n’est pas capable de faire autrement, d’accepter le soutien d’investisseurs non domestiques, plutôt que d’opérer des licenciements drastiques ou, pire, mettre fin à une activité. Ce besoin d’aide n’est pas assez comblé par les acteurs financiers continentaux, en particulier en France. La frilosité des banques à s’engager dans le secteur de la défense, qu’elles méconnaissent, ne concoure pas à l’optimisation de nos ressources. Un dosage entre la protection des entreprises européennes et  leurs besoins économiques n’est malheureusement pas optionnel. En découlent quelques conséquences en matière de protection du patrimoine stratégique et de notre capacité au secret puisque nous n’avons pas tous les moyens d’une réelle autonomie financière. Le casse-tête s’affirme pour le moins complexe si l’on veut concilier un ensemble d’exigences contradictoires : le développement et un minimum d’indépendance stratégique.

Ce qu’il faut donc faire évoluer pour concilier besoin de confidentialité et société de la transparence, de l’innovation et de la vitesse, c’est notre conception du secret lui-même et l’usage que nous en faisons.

Pour résumer, le secret n’a plus vocation à durer, sa préservation temporaire repose notamment sur la réduction du champ du secret, son instrumentalisation par le temps, et la segmentation des données. Le syndrome de la forteresse a vécu…

 
 
Le XXIe siècle, celui de la circulation accélérée de l'information, individus, soumettront les organisations, entreprises comme Etats, aux exigences du monde interconnecté et ouvert, global et transparent. Cette globalisation des échanges les place dans un rapport de rivalités et d’attraits mutuels portant sur l’information publique ou privée, transmise par l'humain ou par Internet. De ce fait, l’interconnexion des données soulève le problème de leur protection, mais impose-t-elle aux acteurs de sanctuariser certaines d'entre elles vis-à-vis du regard extérieur ? On le soulignait plus haut : la confidentialité demeure régulièrement un facteur critique de succès.

Deux solutions sont possibles. Jouer la carte de l'ouverture à outrance, c'est donner libre cours à la convoitise et être menacé de pillage. Dans ce cas, victimes de préjudices, les acteurs se condamnent à disparaître par dilution à court ou moyen terme.

A l'inverse, si, dans un réflexe défensif, ils se replient sur eux-mêmes, la dynamique d'échanges et de régénérescence se grippe. Chacun pense s'installer dans un espace de confort, mais cette sensation cache en fait une illusion. Petit à petit, les acteurs s'isolent jusqu'à se mouvoir dans des sociétés fermées, aux comportements stéréotypés et stériles, pour finalement mourir par atrophie.

Pour éviter cette fin programmée par excès d'ouverture ou de fermeture, leur avenir repose sur un principe : perfectionner et dynamiser la méthode de protection de l'information. Deux approches sont envisageables.                                              

D'une part, une approche temporelle : il s'agit pour chacun d'entre eux de conserver un temps d'avance sur les "pilleurs" et d'accepter le vol de données. Cette approche impose cependant de vérifier la réelle obsolescence des données subtilisées. Par ailleurs, il faut en permanence disposer des moyens de maintenir une longueur d'avance sur les adversaires. Ce qui est coûteux et risqué. Cette perspective impose également une sensibilisation massive des collaborateurs de l’organisation aux rôles et fonctions de l’information, ainsi qu’aux différentes menaces qui pèsent sur elle.

D'autre part, une approche spatiale : elle consiste à distinguer la sphère privée de la sphère publique. Par prudence ou méconnaissance des besoins de l'adversaire, les individus, les organisations, les entreprises ou les Etats ont tendance à tout placer sous le sceau du secret.

Or, cette démarche renvoie au réflexe défensif que l'on vient d'aborder. Il faut donc faire appel à une autre technique, plus hybride, laquelle consiste à accepter de s'exposer au regard d'autrui jusqu'à une certaine limite. Cette technique globale s'appuie sur trois dimensions interdépendantes.

D'abord, hiérarchiser le secret. Ce qui est du ressort du confidentiel doit faire l'objet d'une évaluation rigoureuse. Il faut délimiter les contours du secret individuel, de famille, industriel ou de défense, puis évaluer le risque d'une éventuelle compromission aujourd'hui et demain. Mais comme la notion de préjudice est par nature aléatoire, il faut intégrer le fait que ce qui peut sembler anodin aujourd'hui peut se retourner demain contre l'émetteur. Cette réflexion sur son cœur stratégique, qui peut seule déterminer un périmètre solide du secret, est rarement mené par les personnes physiques et morales.

Ensuite, rendre impossible l'agrégation de ces éléments confidentiels. Imaginons qu'Internet ait déjà existé en mai 1944. Parmi les occurrences figurant sur des supports de tous types (presse, radio, documents, etc.), les vocables anodins "6", "juin", "débarquement" et "Normandie" ne deviennent sensibles qu'une fois assemblés. Seul un groupe d'acteurs sélectionnés doit savoir les agréger. Comment empêcher l'assemblage de ces éléments par autrui ? C’est la bonne question à laquelle il faut savoir apporter des réponses astucieuses et sans cesse renouvelées.

Il est possible de stocker chaque mot sur des supports différents : le "6" se trouve dans un contenu spécifique sur la Toile. "Normandie" est noyé dans un article de presse. "Juin" est un message oral. Enfin, "débarquement" est consigné dans un document classifié. En dehors du journal, les autres supports doivent être cryptés et leur accès limité. Seul le document peut jouir d'une protection physique (coffre). Nos quatre éléments ne pouvant être agrégés, le groupe restreint d'acteurs évolue en toute sécurité.

Enfin, déterminer la durée de validité d'une information confidentielle, car sa valeur est périssable. Autrement dit, le 7 juin 1944, l'information portant sur le "débarquement du 6 juin en Normandie" a perdu sa valeur stratégique et a changé de nature.

C’est à cette perspective à paramètres multiples qu’il faut recourir de manière croissante. Car le secret est d’autant plus mal gardé que les conditions même de notre développement requièrent des partenaires multiples, aux cultures très différentes. Les pôles de compétitivité en sont le parfait symbole. Ceux-ci peuvent se définir plus précisément comme « une combinaison, sur un espace géographique donné, d’entreprises, de centres de formation et d’unités de recherche publiques ou privées engagés dans une synergie autour de projets communs au caractère innovant. Ce partenariat s’organise autour d’un marché et d’un domaine technologique et scientifique qui lui est attaché, et doit rechercher une masse critique pour atteindre une compétitivité et une visibilité internationale »[1]. Ce concept suscita à l’origine de nombreuses candidatures. Sur 105 pôles qui s’étaient portés candidats à l’origine de l’aventure, 67 avaient été retenus. Six correspondaient à des projets mondiaux tels que MédiTech Santé en Ile-de-France et Lyonbiopôle en Rhône-Alpes, et neuf à des projets à vocation mondiale tels que Images et réseaux en Bretagne et Mer, Sécurité & Sûreté en Provence Alpes Côte d’Azur. Les 52 autres recouvraient davantage une vocation nationale ou régionale tel que Véhicule du futur en Alsace, Franche Comté.

Le ministère de l’Intérieur et de l’aménagement du territoire lança ensuite un programme d’expérimentation au sein de plusieurs pôles en matière de sécurité économique. En effet lors des premiers mois de la mise en place opérationnelle des pôles de compétitivité sont apparues des menaces planant sur les savoir-faire présents dans les territoires (concurrents aux méthodes indélicates, contrefacteurs…). Cette expérimentation avait pour objectif d’établir des protocoles de gestion de l’information, afin d’encourager le développement d’un climat de confiance entre les divers partenaires, notamment vis à vis de PME/PMI qui pourraient se montrer réticentes à partager leurs savoir-faire et leurs technologies. Ces pôles pilotes (situés en Limousin, Midi-Pyrénées, PACA, Rhône-Alpes, Pays de la Loire et Bretagne) regroupaient des entreprises particulièrement soumises à la prédation, nécessitant dès lors une protection accrue de leurs savoir-faire et de leurs technologies critiques. Deux enseignement peuvent en être tirés : l’innovation réclame le secret ; protéger en se bunkérisant ne peut plus avoir aucun sens économique, cela tuerait la prospérité elle-même. D’où l’urgence de cette réflexion sophistiquée sur le secret.

Au-delà de la protection des intérêts nationaux, économiques et personnels, l'objet de cette méthode est de procurer à la société dans sa totalité les moyens de défense de ses valeurs intrinsèques.

Si l'individu continue à soumettre sur les réseaux sociaux (Facebook, Twitter, etc.) ses données personnelles au vu et su de tout le monde, il prend le risque de perdre son libre arbitre, donc sa liberté.

Si l'entreprise ne s'arme pas efficacement contre le pillage de ses actifs, elle amorce son processus de disparition. Si l'organisation laisse ouverte la porte de sa réflexion stratégique, elle dévoile son plan d'action en prenant le risque d'être manipulée.

Enfin, si l'Etat met en danger ses pouvoirs régaliens, il perd à terme son double monopole fiscal et policier. L'érosion de ces ensembles par glissements successifs de la disparition du secret amplifie la criminalité sous toutes ses formes. A cela s'ajoute l'intégration de volumes exponentiels de données sur la Toile, qui préfigure la disparition du lien social direct.

Ainsi, la fin du secret annoncerait-elle le début de la fin du patrimoine humain.

 

Frédéric BUREAU est Directeur de la sûreté d'AIRBUS DEFENSE & SPACE France - Expert en protection des entreprises & intelligence économique

Eric DELBECQUE est Président d'honneur de l'ACSE

 

[1] Définition donnée par la Datar - rebaptisée Délégation interministérielle à l’aménagement et à la compétitivité du territoire (DIACT) – aux potentiels candidats à la labellisation « pôle de compétitivité ».

Catégorie: