> L’instabilité de certaines zones empêche-t-elle les entreprises d’opérer ?
« Non », répond l’ambassadeur de France en Irak, Boris Boillon, pour qui la France reste « une marque de qualité en Irak ». Evoquant les récents marchés obtenus par Alstom et Saint-Gobain, il rappelle que l’Irak est une terre d’opportunités pour de nombreuses entreprises françaises en dépit des conditions sécuritaires fragiles. En la présence de Jean-Pierre Vuillerme, directeur du Centre français des affaires (CFA) en Irak, l’ambassadeur a invité les entreprises à s’appuyer sur l’ambassade, qui bénéficie du soutien des forces de sécurité irakiennes, de l’appui des autorités locales, et de la logistique sécurisée offerte par le CFA, situé en face de l’Ambassade.
Selon Jérôme Ferrier, directeur de la sécurité générale de Total, « la rentabilité du business est à la hauteur des risques que l’entreprise encourt ». Par conséquent, précise-t-il, « toute décision [quant aux moyens et au coût de la protection] doit partir de l’évaluation des risques », laquelle doit être la plus précise possible grâce aux analyses de la cellule de veille interne, combinées aux expertises externes (consultants, services de la République, informateurs locaux). « On peut toujours aller plus loin dans le domaine de la protection, mais aller trop loin peut empêcher de travailler, ce qui revient à pénaliser le business », met en garde le directeur.
> Ce délicat équilibre entre besoin d’opérer et besoin de se protéger ouvre-t-il la voix à l’externalisation de la sécurité aux fameuses sociétés militaires privées (SMP) ?
« Débat qui peut vite déraper », confie en coulisse un participant. Jérôme Ferrier rappelle que Total « ne peut pas faire autrement » dans certaines zones, à l’instar de l’Irak. Toutefois, l’entreprise privilégie le recours (parfois sans qu’elle ait le choix) aux forces armées du pays d’implantation et aux services de renseignements locaux, mais « par le biais d’accords permettant à Total de poser des conditions relatives au respect des droits humains par les forces armées ». « Le recours à des personnels contractants permet de contrôler leur suivi de ces conditions. » « Cette solution nous permet de ne pas faire appel aux SMP. » Jean-Louis Bruguière, ancien juge antiterroriste, et Christian Lechervy, directeur adjoint de la direction Prospective au ministère des Affaires étrangères y sont résolument opposés. Ce que les entreprises gagneraient en sécurité, elles le perdraient en image, résume en substance Christian Lechervy, pour qui ces SMP sont difficilement contrôlables. Il y a un « risque légal », ajoute Jean-Louis Bruguière, que les entreprises comme les Etats s’exposent à d’éventuelles poursuites judiciaires en cas d’exactions commises par les SMP, jusqu’à la Cour pénale internationale en cas d’évolution de sa jurisprudence.
> Les dangers de l’externalisation
Si la sécurité peut être externalisée, l’externalisation s’avère porteuse d’insécurité dans d’autres domaines, notamment l’informatique. Appliquée aux données numériques, à travers le cloud computing (déportation d’applications et de données d’un particulier ou d’une entreprise vers des serveurs à distance), cette externalisation se révèle économiquement avantageuse, mais suscite des inquiétudes du point de vue de la sécurité. Selon Patrick Pailloux, directeur de l’ANSSI, le cloud computing est « l’extrême de l’externalisation » et n’est pas recommandé en raison de certaines failles comme la mutualisation de serveurs avec d’autres moins sécurisés, l’indisponibilité des prestataires en cas de crise, l’absence d’archivage des données, ou la sous-traitance cachée à des prestataires inconnus. En dépit de ces limites, Vivek Badrinath, directeur exécutif d’Orange Business Services, défend l’idée d’une croissance naturelle de l’externalisation à mesure qu’augmente la demande de mobilité des particuliers comme des entreprises (notamment via les smartphones). Reste qu’il est nécessaire de prendre un maximum de précaution d’usage avant d’utiliser cette technologie.
La virtualisation est aussi source de dilution de la sécurité pour l’entreprise. « Comment faire face à la cybercriminalité ?» questionne Jean-Claude Marin, procureur de Paris.
Attrayante par « son rapport bénéfices vs risques très avantageux », cette menace est encore insuffisamment prise en compte par le législateur : « Il n’existe pas de définition légale de la cybercriminalité. » « Le parquet de Paris est le seul à disposer de moyens pour s’opposer aux pirates informatiques. » Parmi ceux-là, le procureur évoque les perquisitions informatiques, le décryptage, le rallongement de la durée de conservation des données personnelles, l’infiltration numérique ou certaines innovations introduites prochainement par la Loppsi 2 : captation des données à distance, pénalisation du vol d’identité numérique, régime plus sévère en matière de contrefaçon par l’introduction de la « circonstance aggravante ».
Commentez