"Les entreprises doivent définir leur périmètre informatique stratégique"

La protection des données est l’une des questions majeures de la cybersécurité. Pourquoi les entreprises françaises ne sont-elles pas plus sensibles à ce sujet ?

La plupart des dirigeants d’entreprises ont une culture insuffisante en matière de protection des données sensibles. D’ailleurs, de nombreuses entreprises sont difficilement capables de déterminer ce qui est sensible et ce qui ne l’est pas. D’où la nécessité pour elles de définir un « périmètre informationnel stratégique » afin de disposer d’une vision claire. Cela démontre un manque de maturité collectif alors que ces données sont une dimension essentielle de notre compétitivité, donc de la protection de l’emploi. L’absence de transversalité et le manque de coordination entre les diverses composantes (production, marketing, stratégie, finances) au sein d’une entreprise freinent considérablement la prise en compte de ce phénomène. Un autre volet de la question réside dans la trop grande perméabilité informationnelle à l’heure des réseaux sociaux. Difficile de maîtriser la circulation de l’information alors qu’elle est, d’une manière générale, de plus en plus décentralisée.

Quelles sont les principales menaces ?

Il y a un risque de prédation évident, y compris au niveau comportemental. Protéger ses données, ce n’est pas seulement protéger ses ordinateurs ou son système d’information, c’est aussi définir une réelle politique de prévention associée à une véritable stratégie informationnelle au sein de l’entreprise. Il y a aussi un réel problème socio-culturel dans un contexte où on répète à l’envie que « plus on partage l’information, plus on s’enrichit ». C’est une véritable question.

Ce n’est pas le cas ?

Est-ce que Coca-Cola diffuse la recette de son soda sur Internet ou sur les réseaux sociaux ?
Est-ce que les GAFA (Google, Amazon, Facebook, Apple) partagent toutes leurs données avec leurs concurrents ? Poser la question, c’est aussi montrer les limites d’une idéologie centrée autour du partage de l’information alors que les entreprises ont de plus en plus
besoin de se protéger dans un environnement où les tentatives d’intrusion se multiplient. La confidentialité des données demeure une question à facettes multiples. Transparence et secret cohabitent de manière complexe.

Que faudrait-il faire afin de mieux protéger les données des entreprises françaises et européennes ?

Ce qui serait d’abord souhaitable, ce serait de s’affranchir de la toute-puissance de la réglementation américaine. Comment a-t- on pu laisser le « Safe Harbor » se mettre en place en toute impunité ? C’est assez inquiétant. De la même manière, nous n’avons aucune prise sur PRISM, le programme américain de surveillance électronique de la NSA, dans un contexte où trop de dispositifs américains sont basés sur l’extraterritorialité avec une pression judiciaire extrêmement forte comme ce fut le cas autour d’Alstom ou de BNP Paribas.

L’Amérique, c’est le grand méchant loup ?

On ne peut plus continuer à subir les actions de l’administration américaine vis-à- vis des entreprises françaises ou européennes avec une absence totale de réciprocité. Ce qui vaut pour les Etats-Unis concerne également la Chine dans une moindre mesure. C’est une forme de combat idéologique qui doit être relayé par une véritable action publique, assortie de conditions strictes avec des dispositifs contraignants à l’échelle internationale. La souveraineté numérique est, de ce point de vue, un concept tout à fait pertinent et légitime.

C’est d’abord un combat politique que nous devons mener.