ENTRETIEN AVEC OLIVIER BUQUEN, DÉLÉGUÉ INTERMINISTÉRIEL À

L’IE & PHILIPPE CROUZET, PRÉSIDENT DU DIRECTOIRE DE VALLOUREC

Entretien réalisé par Olivier Hassid, Mathieu Pellerin

Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises

Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
Club des Directeurs de Sécurité des Entreprises | « Sécurité et stratégie »

2012/1 8 | pages 31 à 40
ISSN 2101-4736
Article disponible en ligne à l'adresse :
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-securite-et-strategie-2012-1-page-31.htm
--------------------------------------------------------------------------------------------------------------------

Distribution électronique Cairn.info pour Club des Directeurs de Sécurité des Entreprises.
© Club des Directeurs de Sécurité des Entreprises. Tous droits réservés pour tous pays.

La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.

Powered by TCPDF (www.tcpdf.org)

 Dossier
Entretien avec Olivier Buquen,
Délégué Interministériel à l’IE
& Philippe Crouzet,
Président du directoire de Vallourec
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises

Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
réalisé par Olivier Hassid & Mathieu Pellerin

La question des attaques visant le patrimoine informationnel des entreprises est fréquemment
posée, mais les solutions adoptées par les entreprises touchées sont plus rarement évoquées.
Pour en savoir davantage à ce sujet, Sécurité & Stratégie s’est donc tournée vers deux acteurs
concernés au premier chef par les problématiques d’intelligence économique : Olivier Buquen,
Délégué Interministériel à l’Intelligence Economique (D2IE), et Philippe Crouzet, Président du
directoire de l’entreprise Vallourec. Comment les entreprises se défendent-elles contre les
assaillants ? Le concept de Légitime Défense Economique est-il opérant pour les acteurs
économiques ? Comment l’Etat apporte-t-il son concours aux entreprises vulnérables ?

© Photos Frédéric Buxin

Olivier Buquen Philippe Crouzet

Olivier Hassid : La Légitime Défense Economique
suppose une réponse proportionnelle à une attaque
commise par un assaillant. Comment décelez-vous les
attaques et parvenez-vous à identifier leurs auteurs ?
Philippe Crouzet : Les attaques que nous iden-
tifions sont informatiques. Il s’agit principalement
de tentatives de pénétration et d’accès à des don-
nées techniques, mais aussi parfois commer-
ciales. L’intensité de ces attaques est croissante.

31 S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2
 L’identification des attaques se fait à travers la
surveillance des systèmes d’information, par le
biais de dispositifs de détection des intrusions.
Je n’ai pas en tête de cas d’intrusion physique
significative, car nous avons peu de produits
susceptibles d’être volés, nos produits sont parti-
culièrement lourds. En revanche, nos technolo-
gies, nos savoir-faire, nos plans sont visés par des
tentatives de vol. Il y a tout de même eu un cas où
nous avons intercepté des gens qui ont tenté de
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
réaliser des clichés de nos installations.
Mathieu Pellerin : Quelle place tient l’intelligence
économique au sein de l’organigramme de Vallourec et
des passerelles existent-elles avec la DSI (Direction des
Systèmes d’Information) pour anticiper et traiter les cas
d’intrusion ?
P.C. : Nous avons trois intervenants en la matière:
l’intelligence économique, au sens premier du
terme, pas nécessairement liée à des attaques ou
à des agressions. Elle sert la réflexion stratégique
sur nos marchés, nos concurrents, leur évolution
et cette mission relève du directoire. Par ailleurs,
il y a un directeur des risques qui rapporte à un
membre du directoire, et qui rassemble et coor-
donne les plans d’action en matière de sécurité
économique. C’est cette personne-là qui est en
charge de détecter les tentatives d’intrusion et de
prendre les mesures appropriées. Enfin, il y a la
DSI dont l’une des fonctions est la sécurité des
informations et des systèmes et qui rapporte
également au directeur financier.
MP : Dès qu’une intrusion est détectée dans l’entreprise,
quels sont les premiers réflexes à adopter et vers quels
services l’entreprise doit-elle se tourner ?
Olivier Buquen : La première recommandation
est de prévenir les différents services de l’État
selon le type d’attaque. Globalement, il s’agit de
1
Direction Centrale du Renseignement Intérieur.
2
Direction de la Protection et de la Sécurité de la Défense.
3
Agence Nationale de la Sécurité des Systèmes d'Information.
S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2
la DCRI1 ou de la DPSD2 quand on est dans le
secteur de la défense. Quand il s’agit de cas de cy-
berattaques comme le signalait Philippe Crouzet,
il convient de se tourner vers l’ANSSI3. Les ser-
vices de l’État offrent la compétence et la capacité
d’investigation immédiate policière et judiciaire
dans un cadre légal efficace. Il y a aussi des
actions plus techniques à mener en matière de
systèmes d’information : ce sont davantage les
DSI qui savent comment procéder en la matière,
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
par exemple couper certains canaux de commu-
nication.
P.C. : Pour rebondir sur les propos d’Olivier
Buquen, à partir du moment où, comme l’a fait
Vallourec, on choisit le cadre de la légalité, nous
ne disposons pas d’énormément d’armes de
défense, en dehors de porter plainte, ce qui peut
être une bonne solution ou pas. Nous n’avons pas
d’autre moyen d’intervention que de prévenir les
services de l’État qui ont un arsenal d’outils que
nous n’avons pas. Et c’est d’ailleurs bien normal,
étant donné que nous ne sommes pas un secteur
aussi stratégique que peut l’être la Défense par
exemple. Nous sommes certes un équipementier
du nucléaire, mais ceci ne nous confère pas
d’armes particulières…
O.H. : En tant qu’entreprise internationalisée, les
attaques que vous subissez sont souvent mondiales.
Quand une attaque vient de Houston ou de Pékin, l’État
peut plus difficilement vous venir en aide. Dans ce
contexte, diligentez-vous des enquêtes ?
P.C. : Nous n’avons de toute manière jamais dé-
tecté d’attaque qui n’émane pas de concurrents
établis à l’étranger, mais encore une fois nous
n’avons pas beaucoup d’armes en dehors de
couper ou de bloquer le canal d’intrusion. J’ai le
sentiment que l’information relative à ce type
d’attaques et ce que nous pouvons détecter de leur
32
 Dossier
origine est important pour l’État. Elle lui permet
d’établir des croisements avec d’autres phéno-
mènes simultanés et souvent convergents dans
des industries similaires ou provenant du même
pays d’origine.
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
O.B. : L’information est effectivement importante
non seulement pour alimenter notre base de don-
nées qui recense depuis six ans les actions me-
nées sur le territoire, mais également en retour
d’expérience pour faire de la prévention. Même si
les actions peuvent être menées par des ressor-
tissants ou des concurrents dans des pays étran-
gers, ça ne veut pas dire que l’État n’a aucun
moyen d’action. Nous avons tout d’abord des ser-
vices qui, sur le plan juridique, bénéficient de sys-
tèmes d’entraides judiciaires internationales, de
commissions rogatoires internationales qui nous
permettent d'obtenir rapidement des informa-
tions émanant de pays étrangers. Deuxièmement,
il y a l’action politique et diplomatique entre États
qui peut être une solution dans un certain nom-
bre d’agressions.
33 S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2
P.C. : Nous avons parlé de faits caractérisés
d’agression, mais il y a d’autres moyens pour les
États étrangers d’obtenir des informations sensi-
bles ou secrètes. À l’occasion de projets d’inves-
tissement chez eux, on voit que certains pays,
dont la Chine, en profitent pour demander un cer-
tain nombre d’informations, pas toujours utiles au
traitement du dossier. Cela fait partie de procé-
dures auxquelles nous sommes obligés de nous
soumettre, mais sur lesquelles l’État français peut
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
influer dans le cadre de négociations commer-
ciales internationales, pour inciter à une ouver-
ture plus large de certains secteurs d’activité et
donc contourner ce genre de préalables que les
États peuvent fixer. Quand vous trouvez l’un de
vos concurrents dans le comité d’experts tech-
nique chargé d’évaluer votre dossier, cela fait par-
tie de procédés contre lesquels on se donne
davantage d’armes en agissant collectivement en
coordination avec l’État. Ici, il ne s’agit donc pas
d’attaques, mais de démarches tout à fait offi-
cielles et réglementées qui nous mettent en posi-
tion défavorable.
M.P. : Il réside une grande confusion autour du concept
de Légitime Défense Economique (LDE). Si l’on en croit
MM Stalla-Bourdillon et Nunes, la LDE autorise,
lorsque les circonstances l’exigent, le recours à des
mesures d’exception extrêmes. Partagez-vous cette
définition du concept ?
O.B. : Je pense tout d’abord qu’il est logique de
s’interroger sur des sujets de légitime défense
dans le monde économique, avec une concur-
rence toujours plus intense et donc des attaques
de plus en plus fréquentes. En réalité, on ne s’in-
terroge pas sur la défense, mais sur la riposte et
sur la nature de la riposte. Et là, je ne suis pas sûr
que l’application du concept de LDE soit opérante
pour les entreprises, et je dirais même qu’il peut
être dangereux dans certains cas.
Il n’est pas toujours opérant car, pour un certain
nombre d’attaques, on ne connait pas les auteurs.
C’est généralement le cas des cyberattaques dont
 les origines rebondissent dans des dizaines de
pays différents, mais c’est également vrai dans le
cas d’atteintes à la réputation. Lorsqu’une rumeur
nait sur le web, c’est bien souvent très compliqué
de réussir à retracer d’où elle vient. Dans le cas
des intrusions physiques dans les locaux, il est
également parfois difficile d’identifier les auteurs.
Et même lorsque vous avez une idée de l’identité
de l’auteur, les exigences juridiques de la légitime
défense la rendent difficile à mettre en œuvre.
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
subit peuvent engendrer de lourds dommages
économiques, il n’y a tout de même pas mort
d’hommes. Le dommage économique se traite par
des réactions, des rétorsions, des mesures de
protection à travers un certain nombre de
programmes nous permettant de les anticiper, et
par les retours d’expérience : une intrusion
détectée permet de mieux nous protéger contre
les suivantes. Mais la légitime défense doit
s’arrêter là pour une société comme Vallourec.

Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
Vous êtes attaqué par une société appartenant à
un groupe, sur qui allez-vous riposter : sur la fi-
liale, sur sa maison-mère, sur ses actionnaires ?
Tout cela est très théorique. Je pense également
que ça peut être dangereux. Prenons le cas d’une
atteinte à la réputation ou d’un buzz sur votre
nom. À partir du moment où l’auteur est identifié,
riposter en répondant à la rumeur par une contre
rumeur peut amplifier le préjudice qui vous est
causé. Les spécialistes du sujet diront que la né-
gociation est souvent bien plus pertinente que le
buzz ou l’attaque judiciaire. Et puis en tout état de
cause, aller sur des voies illégales me parait ex-
trêmement dangereux et inacceptable du point de
vue de l’État. Cela pose d’innombrables questions :
où va-t-on s’arrêter ? Quel cadre va être défini ?
Qui fera quoi ? L’entreprise va prendre plus de
risques que le préjudice qu’elle aura subi au départ.

P.C. : Je suis tout à fait d’accord avec ce que vient

de dire Olivier Buquen. L’idée de LDE n’est pas
opérante même si intellectuellement, elle a un
côté séduisant. Pour une entreprise, c’est de toute
façon impossible dans la pratique d’opérer en de-
hors de la loi. Où est-ce que l’on met les limites ?
Quelle confiance accorder à l’expertise des colla-
borateurs en charge de ces missions illégales ?
C’est une problématique similaire à celle de la
corruption où l’on ne peut pas avoir de tolérance,
c’est blanc ou noir. Il y a des cadres à respecter
que la totalité des membres et des entreprises doit
respecter.
En outre, la légitime défense résulte d’une attaque
corporelle, physique, et si les attaques que l’on
O.B. : Il y a aussi tout un travail de prévention qui
fait partie de notre mission. La prévention est
très importante, elle permet d’éviter 80 % des
attaques.
P.C. : Ce travail de prévention commence d’ail-
leurs par la simple prise conscience que nous
avons des informations critiques. La première de
nos démarches consiste à sensibiliser les chefs de
site au fait qu’ils traitent des informations très
confidentielles ou dont la divulgation pourrait
causer des dommages importants à l’entreprise
en termes commerciaux ou technologiques. De
nombreuses PME en sont également à ce stade.

S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2 34
 Dossier
Avoir conscience de la valeur de ce que l’on a
entre les mains n’est ni évident ni naturel. Les
responsables de sites industriels, formés à être
ouverts et transparents envers leurs clients, su-
bissent un choc lorsqu’on leur apprend que des
individus qu’ils ont rencontrés lors d’une visite
d’un site n’étaient pas là pour faire des affaires au
sens où on le pensait… C’est une démarche aux
antipodes de celle qu’on leur demande d’avoir lors
de leur prise de fonction. Je dois dire que c’est une
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
facette de la sûreté sur laquelle nous ne sommes
pas encore parfaits en dépit des efforts consentis.
Nous organisons des séminaires de formation à
la sûreté avec l’aide de prestataires privés spécia-
lisés, et destinés à l’ensemble des collaborateurs
du groupe. Nous formons également bon nombre
de services à la gestion et à la communication de
crise.
M.P. : Dans cette démarche préventive, une fois que l’en-
treprise a eu des remontées d’informations ou de signaux
faibles indiquant l’imminence d’une attaque, de quels ou-
tils légaux et soutiens institutionnels dispose-t-elle pour
s’en protéger ?
P.C. : Pour le coup, l’arsenal juridique c’est le droit
de propriété. Il faut simplement être conscient
que nous ne sommes pas tenus de donner et d’ou-
vrir notre patrimoine. Et cela passe par des inter-
dictions d’accès, des filtrages, des contrôles
d’identité, des procédures basiques à l’époque as-
sociées au vandalisme ou au terrorisme à travers
le plan Vigipirate, mais pas autant à l’intelligence
économique.
M.P. : À travers ma question, je faisais référence au
récent cas d’une entreprise énergétique qui aurait eu
recours à des moyens illégaux pour identifier la vraie
nature d’une menace qu’elle avait cru voir poindre.
O.B. : Je crois que sur ce point, d’une part, les
moyens de veille et de collecte d’informations ou-
vertes sont plus élevés que ce que l’on croit. On
trouve énormément de choses pour peu que l’on
35 S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2
utilise les bons moyens et il y a des personnes
dont c’est précisément le métier de faire de la
veille active et d’aller chercher dans le web abyssal
des informations extrêmement utiles. D’autre
part, quand une suspicion survient, là encore il
convient de se tourner vers les services de l’État,
qui eux peuvent compléter cette collecte d’infor-
mations ouvertes par des investigations poussées.
Mais aller dans une voie illégale risque de très
mal se terminer.
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
P.C. : Si vous me permettez une remarque un tout
petit peu cynique, songeons déjà à ce que l’on peut
faire avant d’envisager autre chose... Pour Vallou-
rec comme pour de nombreuses autres entre-
prises, on part d’un niveau de conscience des
risques assez peu élevé. Donc, pensons à la
palette des solutions légales avant de se tourner
vers ces moyens illégaux. D’ailleurs, la D2IE a
développé de manière très utile un réseau par
lequel les directeurs des risques s’échangent des
benchmarks, les meilleures pratiques… Nous
n’allons pas réinventer la roue : nous partageons
les solutions, les manuels avec des entreprises
qui ne sont pas nos concurrents. À nous ensuite
de nous assurer que tout est bien mis en œuvre
et de procéder à des audits pour ce faire. Il y a déjà
là des garanties d’une bonne protection.
M.P. : Que vous inspire l’arrêt du tribunal de
Clermont-Ferrand le 26 septembre dernier qui a
condamné un salarié pour vol d’informations et abus de
confiance à 3 mois de prison avec sursis et 3000 E
d’amende ? Considérez-vous cette sanction insuffisante
pour s’avérer dissuasive ?
O.B. : Tout dépend de ce que vous appelez
« insuffisante ». Si vous estimez qu’il y a insuffi-
sance parce que l’incrimination en question fut
compliquée à caractériser pour l’événement, la ré-
ponse c’est la législation que nous avons élaborée
pour renforcer la protection du secret des affaires.
Si, par contre, l’insuffisance induit que la peine est
trop faible, c’est là un tout autre problème. Globa-
 lement, dans le droit pénal français, une condam-
nation est en soi une sanction, au-delà de sa
dureté ou de son ampleur. Ensuite, le droit pénal
français est très lié à l’acte commis et à la
personne qui l’a commis. On ne punira pas de la
même manière un primodélinquant qu'un multi-
récidiviste. Enfin, et ce fut excellemment dit par
Maître Warusfel lors du colloque du CDSE le 1er
décembre, il n’y a pas que l’arme pénale pour
dissuader et sanctionner quelqu’un. Une peine
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
civile peut être extrêmement pénalisante pour ce
genre de cas où les sanctions financières peuvent
être très élevées.
Quand on parle d’insuffisance du droit pénal
français au regard de la montée en puissance des
attaques, c’est l’une des raisons nous ayant incité
à mener notre travail conduisant à l’élaboration
d’une loi sur la protection du secret des affaires,
laquelle a deux volets : l’élaboration d’un « confi-
dentiel entreprise », pour permettre aux entre-
prises d’identifier leurs informations-clés, de les
estampiller « confidentiel entreprise » pour les
protéger de manière pertinente (documents
papiers dans les coffres, clés cryptées, liste de
destinataires des personnes pouvant y avoir
accès). C’est un dispositif facultatif proposé aux
entreprises qui ressentent le besoin de mieux
protéger leurs informations essentielles. Il peut
s’agir d’un fichier de clients pour une PME, d’un
gros projet d’acquisition pour une multinationale
comme Vallourec. Le deuxième volet est la
nouvelle incrimination pénale d’atteinte au secret
d’affaire qui, de l’avis des entreprises, des policiers
et des magistrats, sera une incrimination plus
facile à mettre en œuvre, qui touchera autant les
auteurs des méfaits que les bénéficiaires. Cette
législation est donc un outil juridique avec une
partie préventive et une partie répressive.
P.C. : Ce qui me parait central c’est cette idée de
nous donner les moyens d’avoir un référentiel.
Nous avons énormément de référentiels qualité,
4
Décret n°2005-1739 du 30 décembre 2005 réglementant les relations financières avec l'étranger et portant application de l'article L. 151-3 du code monétaire et financier.
S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2
mais pas en matière de sûreté. Du coup, il faut
reconnaître que nous en sommes parfois réduits
à bricoler quelque peu.
O.B. : Ce qui est intéressant, c’est de compléter
cette loi par un certain nombre d’outils sur les-
quels nous travaillons actuellement. Parmi ceux-
là, l’autoévaluation du degré d’exposition et du
degré de protection d'une entreprise face aux
attaques, qui permettra au directeur des risques
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
ou à ses collaborateurs, avec une checklist élabo-
rée, de mesurer son exposition aux attaques, donc
sa vulnérabilité, et les moyens de protection pour
chaque type de risques : sur le capital, les sys-
tèmes d’information, la réputation ou autre… C’est
un outil qui est en train d’être développé infor-
matiquement et qui sera prêt dans quelques mois.
Nous allons également compléter cet outil avec
un autre dispositif, d’ailleurs suggéré dans
l’excellent Livre Blanc du CDSE4 : travailler avec
l’AFNOR sur une notion, non pas de certification
car ce serait trop lourd, mais de notation ou de
process en matière de sécurité économique,
justement pour proposer un cadre objectif aux
entreprises. Je prends souvent l’exemple de ce
que j’ai vécu en tant qu'industriel pour améliorer
la sécurité au travail, avec des formations, des
procédures, des piqures de rappel, etc. Il s’agit de
déployer un cadre similaire pour la sûreté, même
s’il sera sans doute moins lourd que pour la sécu-
rité au travail.
P.C. : La difficulté c’est bien le déploiement dans
l’entreprise, puisque la plupart des entreprises
d’une certaine taille ont déjà un comité des
risques et une direction des risques : mais c’est
encore assez top down. Pour certains risques, no-
tamment d’accident graves, ou environnemen-
taux, cela redescend assez bien parce qu’il y a des
référentiels, des procédures, des pratiques et des
audits. Mais il est vrai qu’en matière de sécurité
économique, qui est une des problématiques
36
 Dossier
évoquées lors des comités des risques, je ne sens
la même redescente.
O.H. : On dit souvent que la diffusion de la culture sûreté
est extrêmement dépendante de son PDG et de sa capa-
cité à prendre le dossier en main. Quelle est votre impli-
cation personnelle en la matière ?
P.C. : Il y a ma participation à certaines initiatives
en France et mon engagement au sein du comité
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
des risques. Il est difficile d’aller aussi loin qu’en
matière de sécurité, ne serait-ce que parce que la
sécurité est vécue par chaque collaborateur de
l’entreprise, conscient de pouvoir être lui-même
victime d’un accident du travail. Un levier majeur
de sensibilisation est l’exemplarité. On com-
mence toutes nos réunions de reporting par un
point sécurité, y compris au niveau du conseil de
surveillance. On ne pourrait pas le faire sur les
sujets de sûreté car les explications à donner sur
pourquoi on fait cela et quels sont les individus
concernés sont bien plus compliquées. Donc nous
avons fait le choix de confier cela au directeur
d’usine avec une régularité vérifiée par notre di-
recteur des risques. Le directeur d’usine a une
responsabilité propre, en premier lieu juridique
puisqu’il a le droit de fermer l’usine ou d’interdire
l’accès, de prendre un certain nombre de mesures
que n’ont pas le chef d’atelier ou le responsable
de ligne. Il faut qu’il soit conscient, informé, sen-
sibilisé et qu’on le mette en garde mais ça ne peut
être aussi intense qu’en matière de sécurité au
travail.
M.P. : Bénéficiez-vous du soutien en matière de forma-
tion de la part de certains services, la DCRI notamment ?
P.C. : Je crois que l’on commence, notamment en
termes de formation sur les sites que l’on considère
comme les plus sensibles, particulièrement nos
sites fournisseurs de l’industrie nucléaire. Il y a là
des choses qui se mettent effectivement en place.
5
Institut National des Hautes Etudes de la Sécurité et de la Justice .
37 S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2
O.B. : Pour compléter ce que font les services de
l’État, qui ne peuvent être partout à tout moment,
nous avons développé avec l’INHESJ5 un pro-
gramme de formation de conférenciers en sécu-
rité économique. Ainsi, des collaborateurs de
Vallourec, par exemple, pourront suivre ce pro-
gramme, afin d’aller eux-mêmes dispenser des
formations en sécurité économique dans les sites
de l'entreprise, avec des exemples, avec du
concret. Je me projette dans quelques années,
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
mais ce qu’a décrit Philippe Crouzet concernant
la sécurité du travail, qui descend jusqu’à l’opé-
rateur de production, j’ai l'espoir de pouvoir le
constater un jour en matière de sûreté. Je pense
que ce sera possible lorsque nous arriverons à dé-
montrer, exemples à l’appui parce qu’il faut être
concret, que protéger son entreprise, c’est avant
tout protéger son emploi. Quand on observe des
entreprises qui sont attaquées de manière très
forte, les dommages peuvent entraîner le licen-
ciement de collaborateurs. Mais cela prend du
temps. Il y a vingt ou trente ans, les aspects de sé-
curité au travail n’étaient pas traités comme ils le
sont aujourd’hui. On essaie de mettre en place des
moyens pour que cela se diffuse.
M.P. : En matière de lutte contre les fuites d’informa-
tion, au-delà de la sensibilisation et de la formation, n’y
a-t-il pas des efforts à consentir en amont, en identifiant
des variables comportementales lors du recrutement ?
P.C. : J’espère qu’on le fait. C’est toujours le cas des
services généraux, car nous avons une rotation
importante des prestataires. C’est exactement
comme en matière de sécurité au travail : nous
sommes responsables dans l’hypothèse où un ac-
cident concernerait un sous-traitant sur un de
nos sites et que nous n’aurions pas vérifié ni son
état au moment où il prend son poste, ni sa
connaissance des règles de sécurité sur le site. En
matière de sûreté on doit évoluer en ce sens. C’est
notamment fait pour les hommes et femmes de
 ménage. Il y a peut-être une sensibilité accrue
pour les prestataires parce que nous avons beau-
coup d’histoires de corbeille de papiers etc… Pour
la R&D, c’est fait depuis longtemps avec beaucoup
de rigueur, ne serait-ce que pour les stagiaires.
M.P. : M. Buquen, vous avez publiquement regretté que
Renault ait tardivement averti les autorités de l’État du
cas d’espionnage présumé dont l’entreprise pensait être
victime. S’agit-il d’un manque de régulation du monde
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
de la sûreté ou d’un manque de vigilance de la direction
générale ?
O.B. : C’est difficile de répondre. Votre Président,
Alain Juillet, qui a présidé une mission sur Re-
nault, a sans doute davantage d’éléments que moi.
En tant qu’ancien chef d’entreprise, je dirais qu’il
y a eu un défaut de contrôle de la part de la direc-
tion générale, au sens contrôle des risques et
contrôle des procédures du service de sûreté de
Renault. Je pense que c’est un problème de ma-
nagement et d’organisation. C’est une tendance
générale que l’on peut également retrouver dans
une banque pour la supervision de la direction
des crédits.
M.P. : Vous expliquiez lors du dernier colloque annuel
du CDSE que pour la première fois en 2011, les labora-
toires ont été davantage ciblés que les centres de produc-
tion. Pouvez-vous nous en dire davantage ?
6
?.
S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2
O.B. : C’est un classement un peu particulier,
parce que l’on isole, à côté des secteurs écono-
miques classiques (métallurgie, nucléaire, auto-
mobile, etc.), les laboratoires de recherche publics.
En effet, en 2011, pour la première fois, c’est cette
strate-là, qui, en valeur absolue, a subi davantage
d’attaques que les autres secteurs économiques.
Notre analyse est que les agresseurs vont de plus
en plus en amont, pour capter l’innovation où elle
se trouve, et où la protection pourrait être encore
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
améliorée. L’un des axes que j’ai suivis depuis ma
nomination à la D2IE, est de travailler beaucoup
plus sur la recherche, publique ou non. Nous al-
lons accentuer nos efforts sur deux volets : com-
ment mieux protéger la recherche et comment la
valoriser auprès des entreprises afin de créer un
flux d’innovation publique en direction des
entreprises.
M.P. : Le décret de 2005 sur le contrôle des investisse-
ments étrangers en France6 mérite-t-il d’être révisé,
notamment pour élargir la palette des onze secteurs
concernés ?
O.B. : Nous sommes dans un cadre juridique très
contraint, qui est celui des traités européens.
Depuis le traité de Rome en 1957, le principe est
la libre circulation des capitaux à l’intérieur de
l’UE ou depuis l’extérieur. Ce qui était tout à fait
logique en 1957 pour attirer les investisseurs, et
38
 Dossier
qui reste aujourd’hui une nécessité de dévelop-
pement pour notre pays et les autres pays de l’UE.
Cependant nous sommes moins bienveillants
quand ce sont des investissements de nature
agressive. Mais le cadre des traités raisonne uni-
quement par exception. Le principe, c’est la libre
circulation, et les exceptions qui permettent de
contrôler les investissements sont limitativement
précisées et très liées aux questions de sécurité
nationale. C'est d'ailleurs la grosse différence avec
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
les États-Unis qui n’ont pas ce type de contrainte
légale. Ils ne sont pas sur une liste définie de
secteurs, mais ils défendent une vision plus
subjective de l'intérêt ou de la sécurité nationale.
Cela étant, le système est là aujourd’hui et on
s’efforce de l’appliquer au mieux. On agit égale-
ment en matière de prévention des investisse-
ments agressifs, grâce au fonds souverain
français, le FSI, qui est un moyen de veiller sur le
capital des entreprises.
M.P. : De ce point de vue, qu’est-ce que le FSI a apporté
à une entreprise comme Vallourec ?
P.C. : Je crois que la présence du FSI au capital de
Vallourec c’est avant tout un signal. Le Président
de la République a employé ce terme. C’est un si-
gnal que c’est une entreprise importante à divers
titres, à la fois dans son patrimoine industriel,
technologique et dans sa participation à quelques
secteurs sensibles. C’est moins la dimension de
la présence du FSI dans notre capital, qu’un signal
émis.
M.P. : Un signal émis à l’endroit de pays étrangers plus
particulièrement ?
P.C. : Je pense que dans l’esprit c’est cela. Cela ne
signifie pas qu’aucune alliance ne sera jamais
possible, mais que ça ne peut se faire que dans le
respect d’un certain nombre de règles, avec un
équilibre, voire une réciprocité. Ce sont des règles
de convenance commerciale qui ne visent pas de
pays particulièrement désignés par ces dé-
39 S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2
marches-là. Par ailleurs, le FSI est rentré au ca-
pital de CGG Veritas et de Technip. Il y a donc éga-
lement une notion sectorielle relative à tout ce qui
touche à l’univers du pétrole et de la recherche
pétrolière dans lequel la France a des compé-
tences particulières et qui fait l’objet d’une atten-
tion particulière de l’État. Je crois que le message
a été reçu par tout le monde et n’a choqué per-
sonne puisque c’est un domaine dans lequel
beaucoup d’États ont des positions souveraines.
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
M.P. : Les entreprises peuvent être réticentes à révéler
les cas d’espionnage ou de fuite d’informations. Ne fau-
drait-il pas imaginer un guichet unique confidentiel où
les entreprises pourraient partager leurs expériences
pour renforcer mutuellement leur sécurité ?
O.B. : C’est parfois vrai en effet. Ce que l’on essaie
de faire comprendre justement, et cela fait partie
de notre travail, c’est que les entreprises peuvent
s’adresser aux services de l’État dans un cadre ul-
traconfidentiel, et même accepter le lancement
d’investigations et de procédures judiciaires dans
un cadre tout aussi confidentiel. Cela fait aussi
partie de ce que promeuvent la D2IE, la DCRI, la
gendarmerie. On entend beaucoup de choses, on
vient nous dire beaucoup de choses et l'on essaie
de partager nos connaissances dans le strict res-
pect de la confidentialité.
P.C. : Oui, ce n’est jamais très agréable d’aller dire
que nous n’avons pas été bons parce que nous
avons subi une attaque, mais franchement, dans les
quelques cas que j’ai connus, les secrets sont bien
gardés. Nous n’avons pas l’impression de prendre
des risques lorsque l’on se tourne vers l’État.
O.B. : Nous allons d'ailleurs anonymiser des cas
d’attaques pour ensuite les utiliser à des fins de
pédagogie, afin de "décomplexer" les entreprises
qui ont ce genre de réticences à partager leurs ex-
périences.
P.C. : Là aussi, le parallèle avec la sécurité au
 travail est assez clair. Il y a vingt ou trente ans,
quand nous avions un accident de travail, on le
cachait. Maintenant, au contraire, on publie nos
résultats et on les montre à nos actionnaires. Plus
on est transparent, plus on montre les marges de
progression à accomplir.
O.H. : Vis-à-vis de vos salariés, seriez-vous prêt à
communiquer des données, sans préciser le site ou les
individus impliqués ?
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
tiennent les antennes de gendarmerie sont en
grande partie destinées aux PME. Nous avons
ainsi touché 70 000 personnes en 2010 à travers
les formations dispensées par les services de
l’État. Je ne connais pas la proportion mais ce sont
plutôt majoritairement des PME. En Lorraine, une
enquête de la Chambre de commerce régionale a
montré que 75 % des entreprises de Lorraine,
grandes et petites, avaient entrepris une dé-
marche d’identification de leurs informations

P.C. : C’est même plus précis que cela. Lorsque
l’on fait l’objet d’une attaque, le directeur de site
réunit un certain nombre de collaborateurs et re-
late ce qui est arrivé et pourquoi. Les directeurs
des autres sites sont avertis de la survenue d’une
attaque afin de se montrer vigilants à leur tour.
C’est comme en matière de sécurité. Il faut que
l’on partage les expériences, que les directeurs de
site soient tous au courant. Cela fait partie de la
transmission des meilleures pratiques. En ma-
tière de sécurité, nous sommes immédiatement
avertis du moindre accident de travail sur l’intra-
net. En matière de sûreté, le reporting est davan-
tage réalisé dans le cadre de réunions parce qu’il
s’agit surtout de décrire ce qui s’est produit de
manière formelle. C’est un prérequis pour ensuite
progresser.
Document téléchargé depuis www.cairn.info - - - 160.179.141.204 - 10/06/2020 18:58 - © Club des Directeurs de Sécurité des Entreprises
sensibles et que 57 % d’entre elles avaient même
déployé des mesures de protection. Certes, on
n'est pas encore à 100 %, mais on progresse. Là
encore dans notre projet de formation de confé-
renciers, il y a certes des salariés de grands
groupes, mais il y aura aussi des personnes qui
travaillent dans les Chambres de commerce, dans
les fédérations professionnelles, dans les clubs
d’entreprises et qui elles, iront former leurs PME
adhérentes à la sécurité économique. n
Entretien réalisé par Olivier Hassid & Mathieu Pellerin

M.P. : Qu’en est-il des PME ? Ont-elles les mêmes portes

d’entrée que les grandes entreprises pour accéder aux
services de l’État ? Par ailleurs, parmi les formations que
l’État dispense, quelle est la part réservée aux PME, qui
sont tout de même le cœur de l’innovation dans le pays ?

O.B. : J’ai à cœur, en tant qu’ancien élu local et

ancien chef d’entreprise, d’aller sur le terrain.
J’en suis à ma seizième région française visitée.
J’ai pu constater que les services de l’État en
région sont à la disposition des entreprises et
particulièrement des PME. Les directions écono-
miques régionales réalisent un travail d’appui
étatique important. Et les conférences que

S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 8 / J A N V I E R 2 0 1 2 40