GOUVERNANCE
La sécurité du « patrimoine informationnel » des entreprises
Le sujet avait été appréhendé depuis bien longtemps dans les pays de culture anglo-saxonne. Le British Standard Institue y avait travaillé autour des normes BS 7799 1 et surtout 2. Le système de management proposait de fonder une réflexion sur l’appréciation des risques, et ce faisant de partir des risques métiers des entreprises plus que des risques techniques. La sécurité technique et opérationnelle n’était pas effacée pour autant, loin de là.
De leur côté, les autorités françaises travaillaient sur les concepts de sécurité informatique et de sécurité de l’information. En développant la méthode EBIOS, le SGDN-DCSSI mettait en évidence les notions de biens essentiels (les informations et les fonctions au sein de l’entreprise) et de biens supports (l’informatique, les locaux, le personnel).
La notion de « patrimoine informationnel » a fini par aboutir en parallèle dans les cultures anglo-saxonne et française. L’ISO s’appropriait début 2000 les travaux du BSI avec l’ISO 17799, puis, en 2005 publiait le début de la famille de normes ISO 27000. En juin 2008, la norme ISO 27005 était publiée pour proposer une démarche de sécurité de l’information, en prenant les principes de l’ISO 13335, mais aussi fortement de la méthode française EBIOS. La notion de « patrimoine informationnel » des entreprises avait bel et bien pris corps pour les spécialistes de la sécurité.
> L’affaire Renault
Pour autant, le droit pénal français ignore encore quasiment cette notion et ne réprime que fort peu les atteintes au patrimoine informationnel des entreprises et ses violations. Faisant suite au dossier que nous avons publié en septembre dernier sur les solutions DLP, nous proposons dans ce dossier une analyse du cadre juridique et des nouvelles menaces auxquelles sont désormais confrontés les entreprises... et aussi les citoyens.
L’affaire éclate publiquement le 3 janvier dernier avec la mise à pied de trois cadres de Renault. Les affaires d’espionnage industriel ou de vol d’informations ne sont pas nouvelles. On se souvient de la stagiaire chinoise, Li Li, chez Valeo dans les années 2005 à 2007. L’affaire s’était soldée par un grief d’abus de confiance (article 314-1 du code pénal). Li Li avait toujours nié en bloc et prétendait ne rien comprendre à l’accusation dont elle faisait l’objet. On se souvient également du cas de Florian Bourges, dans l’affaire Clearstream, pour lequel une condamnation a été prononcée sur le fondement de ce même article et la notion « d’acquisition indue d’information ». Le débat au tribunal avait alors porté sur le fait de savoir si le vol d’information « immatérielle » était recevable et le Tribunal de Paris avait fini par considérer que oui.
Plus récemment, « l’affaire Michelin » (lire encadré pages suivantes) a posé à nouveau la même question et mis en évidence la notion d’abus de confiance et a également fini par conclure que le vol d’un élément immatériel était recevable par le Tribunal de Clermont Ferrand.
La suite de l’affaire Renault a tout d’abord fait sensation, puis a laissé nombre d’observateurs très perplexes. La Chine a été citée comme bénéficiaire potentiel de « l’affaire d’espionnage ». Les autorités chinoises ont alors aussitôt démenti et se sont insurgées contre cette accusation... Rien de surprenant dans ce genre d’affaire.
Le modèle économique du système d’exploitation des batteries des moteurs électriques des voitures a été présenté comme étant le centre du dossier, sans que des secrets techniques industriels n’aient été divulgués. La presse a relayé de multiples déclarations. Le patron de Renault, Carlos Ghosn, a affirmé avoir des preuves, sérieuses, et s’est mis directement en avant dans cette affaire sans envoyer en première ligne, comme il le pouvait, un simple directeur de la communication. De nombreux professionnels en ont alors déduit que ces preuves devaient exister : on ne saurait imaginer qu’un patron tel que Carlos Ghosn prenne le risque de telles affirmations sans disposer d’éléments réels ! Les preuves n’ont cependant pas été rendues publiques. Le peuvent-elles ? Leur publication occasionnerait-elle plus de tort à l’entreprise que leur secret ? Ainsi, le ministre de l’Industrie, Eric Besson, lui-même a pris position sur le sujet. Certains responsables politiques ont reproché à Renault de n’avoir impliqué les autorités de police et de renseignement qu’après le 3 janvier : DCRI, DGSE. La société Géos a reconnu que l’un de ses salariés avait pris part à l’enquête préliminaire de Renault, à titre personnel, et sans l’assentiment de l’entreprise, et qu’il lui avait été demandé de présenter sa démission. Etc, etc...
> D’une affaire d’espionnage à une escroquerie sur la sécurité ?
L’attitude des trois cadres soupçonnés a été de même impressionnante. Alors que la défense ordinaire de « vulgaires mafieux » consiste, en général, à nier en avançant moult alibis pour se disculper, ceux-ci ont adopté une posture toute autre : ne pas comprendre le chef d’accusation et organiser une communication remarquable sur ce sujet jusqu’à porter plainte pour diffamation à leur endroit contre le constructeur automobile. Des visages d’innocents contre une possible machination diabolique invraisemblable ? La conclusion n’est pas pour autant immédiate... On apprend, par voie de média, que certains comptes à l’étranger des prétendus coupables n’existeraient pas. Tout d’abord aucune confirmation de la Police, ni de la Justice, ni de l’entreprise. Suspens...
Des scénarios machiavéliques sont bien entendu toujours possibles. Renault a tout misé sur une stratégie industrielle sur la voiture électrique de demain : le tout-électrique en devenant opérateur du système de batteries électriques. Le client achète la voiture, mais Renault reste propriétaire de la batterie et en devient exploitant à travers son réseau de garages et partenaires. D’autres constructeurs ont développé une stratégie plus équilibrée, ou mieux répartie, en misant sur le moteur thermique économe, sur le moteur hybride et sur le tout-électrique à la fois. L’avenir leur dira laquelle, ou lesquelles, de ces technologies l’emportera...
Renault semble, pour sa part, avoir bâti sa stratégie comme celle « d’un joueur de casino faisant tapis sur une combinaison gagnante ». L’affaire d’espionnage serait-elle bienvenue pour excuser ultérieurement un échec stratégique monumental ? En accusant trois « innocents » ? Et malgré des suspicions de comptes bancaires, si ceux-ci existent bien, généreusement approvisionnés à l’étranger ? Il est bien sûr impossible de le dire. Les effets médiatiques, comme les effets de manche dans les tribunaux, ne font, ni le droit, ni la justice...
Début mars, la DCRI et la justice travaillent... Le Canard Enchaîné a continué durant tout le mois de février de publier des éléments troublants remettant en cause la véracité des accusations de l’entreprise. Le 4 mars, Le Figaro publie en Une de son quotidien une interview exclusive de Patrick Pélata, n°2 de Renault intitulée « Espionnage : Les doutes de la direction de Renault ». Réalisée par trois journalistes, l’interview ressemble à une « opération de rétro-pédalage ». Le quotidien précise « qu’une source interne confie au Figaro que l’un des membres du service de sécurité Dominique Gevrey, ancien fonctionnaire de la DPSD, refuse obstinément de collaborer avec la justice pour fournir des informations. En particulier l’identité de l’enquêteur externe qui a récupéré l’ensemble des informations qui ont abouti à l’identification de comptes bancaires en Suisse et au Liechtenstein. (...) L’employé mutique était le seul contact avec l’informateur externe (...) qui a alimenté toute l’enquête privée. » Et Patrick Pélata confie dans l’interview que son groupe n’exclut pas d’avoir été victime d’une manipulation.
Le 11 mars, Dominique Gevrey est interpellé à Roissy alors qu’il s’apprêtait à s’envoler vers la Guinée bien que Renault lui ait refusé les congés qu’il sollicitait. Après une garde à vue, il est mis en examen pour « escroquerie en bande organisée » et placé en détention provisoire. Le 14 mars, Jean-Claude Marin, procureur de Paris, déclare que les comptes à l’étranger des trois salariés n’existent pas et que les retours officiels de la Suisse et du Liechtenstein sont formels. Le procureur précise que D. Gevrey a affirmé « qu’il fera des révélations au cours de l’instruction sur l’identité de sa source et des comptes bancaires », et ajoute que « jusqu’à présent les révélations de l’individu se sont révélées être fausses ou inexactes ». Jean-Claude Marin ajoute encore que l’homme « se cantonne dans la posture d’un homme habitué au secret ». Renault devait payer des sommes très importantes pour les informations de D. Gevrey.
Un conseil d’administration extraordinaire est organisé ce même jour chez Renault et Carlos Ghosn présente le soir même ses excuses aux trois cadres qui, déclare-t-il, ont été licenciés injustement.
Renault se consacre désormais à la reconstruction de son image et cherche à « tourner la page »... mais finalement reste aussi vague sur la réalité de l’affaire d’espionnage industriel que sur la culpabilité du responsable de la sécurité.
L’affaire devra être analysée avec soin et en prenant tout le recul nécessaire. La question de la collecte de la preuve comme l’étude de ses processus de validation, restent essentielles, et le moins que l’on puisse dire est que Renault semble avoir été particulièrement faible sur ce point. La protection du patrimoine informationnel des entreprises aura démontré son immaturité. Le travail reste à faire...