La sécurité de l'information face au mille-feuille administratif: le cas des pôles de compétitivité - Site de Claude Rochet

Compteur

  • 84304Lectures totales:
  • 40759Visiteurs Total:
  • 256Visiteurs par jour:
  • 0Visiteur en ligne :

Droits de reproduction

Les publications de ce site sont placées sous licence Creative Common. Ils peuvent être repris à condition de citer leur auteur [Claude Rochet], leur source [Site personnel de Claude Rochet], url de la page correspondante, de ne pas modifier le contenu, de ne pas en tirer commerce.

Un endroit de rêve pour vos vacances

Un endroit de rêve pour vos vacances

Gestion des organisations

La sécurité de l’information face au mille-feuille administratif: le cas des pôles de compétitivité

Partager:
Share

 Mille-feuilles administratif et sécurité de l’information

Résumé : La puissance publique – Etat et collectivités – est-elle à même de gérer la complexité des politiques qu’elle met en place ? Nous étudions ici le cas de  la politique des pôles de compétitivité: la mise en réseau d’acteurs hétérogènes au sein des pôles chargés de produire de la connaissance scientifique et de la transformer en stratégies industrielles est en décalage complet avec les structures administratives qui se retrouvent face à un problème qu’elles ne savent pas gérer : la sécurité de l’information.

A paraître juin 2014 dans Profession cadre du secteur public « Les réseaux dans les politiques publiques »

stuj_arr

Cet article repose sur l’enquête réalisée en 2011 par le Service de Coordination à l’intelligence économique des ministères économique et financier à la demande du ministre de l’économie numérique, qui abouti au rapport « La sécurité économique des pôles de compétitivité, élément clé de la performance de l’innovation »

Ce rapport a fait apparaître plusieurs idées fausses qui dominent l’action publique et a tracé des pistes d’action, malheureusement non suivies à ce jour

Première idée fausse : la sécurité de l’information se réduirait à la sécurité des plateformes informatique: l’expérience montre que les principales fuites sont dues à des comportements humains – conversations dans les lieux publics, perte de documents et de supports numériques – ou encore à des architectures organisationnelles faisant circuler de l’information sensible là où elle ne devrait pas et notamment la prolifération de documents papier.

Deuxième idée fausse : La notion « d’information sensible » ne se réduit pas aux seules informations scientifiques et industrielles : des informations administratives, apparemment sans valeur, peuvent donner des indications précises sur les stratégies de recherche en cours ou à venir. Ainsi, l’Agence Nationale pour la Recherche (ANR) considère-t-elle que le recueil de projets classés comme « non confidentiel » a une valeur supérieure à la somme de ces projets par la configuration de la stratégie de recherche qu’il peut révéler.

Le point de vue adopté ici aborde la sécurité dans son ensemble, intégrant les processus organisationnels et humains et leurs supports technologiques, soit, en d’autres termes, le pôle comme écosystème d’innovation. Cette sécurité est corrélée avec la qualité du processus d’innovation: la meilleure protection est dans la rapidité de ce  processus qui permet à la connaissance de se transformer en produit sur le marché. Aussi, les interactions non-pertinentes liées à la charge administrative qui pèse sur les pôles sont une source de ralentissement de ce processus et de dissipation de l’information. Nous avons donc cherché à établir une cartographie des acteurs, de leurs interactions et du contenu de leurs échanges, en les répartissant sur quatre périmètres (Figure 1):

–       Le périmètre central est celui de l’interaction entre les membres du pôle. Quand ces échanges se font sur une plateforme numérique, c’est au sein de ce périmètre que se déroulent les interactions collaboratives à la source de l’innovation.

–       Un second périmètre concerne les partenaires R&D qui ont à connaître des informations à caractère scientifique et industriel : les centres de recherche et les financeurs qui doivent valider les projets labellisés par les pôles quant à leur recevabilité scientifique et industrielle.

–       Un troisième périmètre intègre les partenaires administratifs, de l’Etat et des collectivités territoriales. Ces acteurs financent les projets sur la base de leur stratégie de développement. Ils ne devraient avoir à connaître que des informations administratives, une fois validée la pertinence des projets par les acteurs du second périmètre.

–       Un quatrième périmètre est celui des fournisseurs, lorsque les plateformes et les serveurs sont externalisés. Ces fournisseurs doivent d’une part garantir une sûreté de fonctionnement et surtout assurer la sécurité de l’information. Cela concerne autant les machines utilisées que la structure du capital de ces sociétés qui doivent présenter toutes les garanties les préservant de tomber entre des mains non-désirables.

Les visites des pôles ont montré que, dans certains cas, il existait une réflexion sur cette architecture, généralement quand le pôle se dote d’une plateforme d’échanges d’informations. Mais dans nombre de cas, cette réflexion est embryonnaire, partielle, voire inexistante. Des dossiers scientifiques et industriels circulent sur support-papier dans les assemblées délibératives de Conseils régionaux au seul motif que « qui paye a le droit de tout voir ».

 FluxInfosPoles1

Figure 1: Architectures des acteurs et des périmètres d’un pôle

La problématique de la sécurité économique des   pôles

Parler de sécurité de l’information des pôles est un oxymore puisqu’un pôle doit être à la fois le plus ouvert possible pour favoriser l’interaction d’acteurs hétérogènes, mais aussi suffisamment fermé pour que l’innovation produite soit maîtrisée. Cette quadrature du cercle ne peut être résolue que de manière adaptative et par itérations expérimentales en raisonnant sur les architectures des pôles, c’est-à-dire en cartographiant leurs processus organisationnels de façon à mettre en évidence:

  • les acteurs, leurs rôles, la nature et le mode de leurs échanges ;
  • les infrastructures numériques utilisées pour la communication et le travail collaboratif.

Ces architectures sont en évolution constante au fil des interactions entre acteurs qui mènent des expérimentations, développent des apprentissages, réalisent des découvertes et des innovations (évolution endogène) et des interactions de ces acteurs avec leur environnement légal, technologique, politiques d’entreprises, etc. (évolution exogène).

On peut avoir des innovations de type « poids lourd » avec un acteur central – une grande firme en l’occurrence – qui définira un projet avec un directeur coordonnant les efforts d’innovation dans les divers sous-ensembles du projet. A l’opposé, on peut avoir une innovation totalement décentralisée de type Silicon Valley où chaque entreprise développe son innovation concurremment et indépendamment des autres, le financeur (le capital-risqueur) validant l’architecture globale de l’innovation par assemblage des meilleurs modules. C’est un développement de type « Lego » où chaque entrepreneur développe son module sans coordination ex-ante avec les autres, l’innovation se faisant par agencement des blocs de Lego. De plus, comme il est impossible de connaître a priori le modèle institutionnel idéal – à supposer qu’il existe – on ne peut l’approcher que par expérimentations, essais et erreurs. Le propre de la dynamique d’un pôle est de pouvoir faire émerger des règles de manière endogène à partir des interactions des acteurs. Mais pour que ces interactions se produisent, il faut des règles exogènes définies par les institutions publiques.

Toute politique de sécurité, en ce qu’elle consiste en l’édiction de règles formelles et informelles, doit bien sûr être compatible avec ces différentes architectures et il n’est pas possible de retenir un standard à taille unique.

Définir une politique de sécurité suppose de répondre à deux questions :

–       Comment définir des règles de sécurité économique applicables, compte tenu de la spécificité de la nature d’un pôle de compétitivité ?

–       La dynamique de l’innovation est-elle compatible avec l’édiction de règles de sécurité ?

A)  Comment rendre les règles applicables ?

Les normes de sécurité sont connues mais en évolution constante. Par leur rigidité, elles sont difficilement compatibles avec un cadre de travail propice à l’innovation.

Définir des normes applicables (ou exécutoires)[1] suppose de comprendre comment les principes de gouvernance – les règles du jeu – du pôle peuvent être appropriées et perçues comme légitimes par des acteurs qui ont par ailleurs des principes de gouvernance propres à l’entité (entreprise, centre de recherche, collectivité publique…) dont ils relèvent.

La dynamique institutionnelle d’un pôle repose sur des micro-comportements qui déterminent et sont eux-mêmes déterminés par des jeux d’acteurs : les règles de sécurité ne peuvent donc se décréter.

Dans une organisation, les membres partagent un projet commun porté par un dirigeant exerçant un leadership. Dans un pôle, un tel leadership est délicat à construire car il est composé de multiples acteurs, et ce d’autant plus que ces acteurs continuent à avoir une double appartenance à leur organisation d’origine et au pôle. Il s’agit donc pour la gouvernance des pôles, dont le rôle est essentiel, de faire émerger une vision commune, un bien commun qui sera la base des règles partagées par les membres du pôle.

La recherche récente utilise la théorie des jeux pour comprendre comment peuvent s’articuler les règles définies de manière exogène par les institutions politiques (généralement formelles) et les règles endogènes définies par les jeux d’acteurs (généralement informelles).

Il en ressort que toute stratégie devra avoir pour but de trouver les leviers permettant d’enclencher ce cycle vertueux pour faire émerger des règles et des comportements coopératifs intégrant les impératifs de sécurité économique.

B)  Comment rendre les règles de sécurité compatibles avec l’innovation ?

Une politique de sécurité, pour être perçue comme légitime et nécessaire, et d’un coût proportionné au risque perçu, doit prendre en compte les éléments suivants :

1) les plateformes numériques d’échanges d’informations : Ces plateformes sont utilisées pour mettre en ligne des dossiers des porteurs de projet proposés à la labellisation par le pôle, pour les soumettre à l’expertise et permettre aux participants à une même thématique de recherche de collaborer. La plupart des plateformes ne comportent pas de fonctionnalités web 2.0, ce qui implique le recours à la messagerie. La sécurité de ces plateformes est celle de l’Internet en général : on peut définir des protocoles de sécurisation sans avoir jamais la certitude qu’ils ne seront pas cassés. En l’état actuel de la technologie, le coût de la défense est de loin supérieur à celui de l’attaque, qui est dérisoire

Dans plusieurs cas rencontrés les règles de sécurité étaient telles qu’elles imposaient des coûts d’usage dissuasifs : lourdeur des procédures, lenteur des réseaux, interfaces non-ergonomiques… S’y ajoutent ceux des investissements et du fonctionnement. Les membres d’un pôle ont leur propre budget informatique et rechignent à repayer pour le budget S.I du pôle, même lorsque la mutualisation des plateformes permet de réduire considérablement les coûts.

2) Un travail sur les architectures organisationnelles peut permettre de réduire les transactions non désirables et constitue un moyen non coûteux et très efficace d’améliorer la sécurité.

Les recommandations

Il est envisagé de regrouper ces démarches au sein d’un « label de sécurité économique » dont les composantes sont les suivantes :

  1. 1.    La création d’un certificat de sécurité économique

Il pourra prendre deux formes : l’une se fondant sur les bonnes pratiques (a), l’autre se fondant sur un dispositif formalisé, celui des zones à régime restrictif (ZRR) (b).

Le dispositif (a) s’adressera à des individus, quelle que soit leur fonction dans la vie du pôle : personnel des pôles, partenaires administratifs – de l’Etat et des collectivités territoriales -, partenaires de recherche, partenaires industriels, soit tous ceux qui entrent en transaction avec le pôle. La zone de chalandise totale pour les 71 pôles est évaluée à 80 000 personnes.

Le principe de ce certificat est que la sécurité repose sur des comportements individuels et que les sources de déperdition de l’information sont souvent le résultat de comportements imprudents. Le certificat serait donc en quelque sorte un « code la route » pour voyager dans l’univers des pôles.

Le principe de propagation de ce certificat par « voie virale » a été retenu, à l’image des normes qualité de type ISO ou CMMI : dès lors qu’un pôle décide de faire passer ce certificat à ses acteurs, tout autre acteur doit en être titulaire pour interagir avec le pôle. Le grand avantage de ce principe est qu’il émane des pôles eux-mêmes et qu’il évite de recourir à un système normatif formel qui s’imposerait tant à l’Etat qu’aux collectivités territoriales et aux financeurs, système normatif que l’Etat n’est pas, en l’état actuel, capable de définir et de maintenir.

Ce certificat pourra en outre se matérialiser par d’une carte d’identification numérique sur laquelle pourront être installées diverses couches de services, depuis la simple reconnaissance du titulaire et de la validation de ses connaissances, jusqu’à l’accès à des systèmes numériques d’échange sécurisé. L’avantage de cette approche est qu’elle peut devenir en elle-même un projet industriel innovant éligible aux investissements d’avenir.

Le dispositif (b), les ZRR, concerne les structures et non les individus. Il ne peut concerner que les pôles dont l’organisation est suffisamment mature pour être capable d’identifier les zones et les informations à protéger. En pratique, il s’agira des pôles filières comme Aerospace valley et Pégase. Ce dispositif est en cours de déploiement depuis 2013.

  1. 2.    Les clauses de confidentialité des consortiums

Il n’est pas possible d’identifier des « clauses types » de confidentialité dans les contrats de consortium. Celles-ci varient en fonction des types de projets et au sein de la même entreprise. Il a donc été décidé de réaliser plutôt un inventaire des « points de vigilance » à considérer dans la rédaction des contrats de consortium. De plus, il est important qu’un processus de sécurisation de l’information intervienne bien avant la conclusion de l’accord de consortium, mis en place généralement au moins un an après le début d’un projet. La pratique des clauses de non divulgation du contenu des réunions, dès les premiers contacts, devra être encouragée.

  1. 3.    La sécurité des plateformes numériques d’échanges de données : le cas du FUI

Cette partie du dispositif ne concerne que la sécurité des échanges par voie numérique et que les projets financés par le FUI[2], étant entendu qu’une part importante des déperditions d’information est liée aux échanges papiers et aux imprudences comportementales.

Le flux d’informations numérisées comporte trois phases :

 FluxInfosPoles

  • La phase 1 est celle du montage du dossier par le pôle. Elle implique les partenaires du projet (laboratoires, entreprises, collectivités…) qui utilisent leur propre système d’information ainsi que la plateforme du pôle, quand elle existe. La présence d’une firme disposant d’un système d’échange sécurisé peut amener les partenaires à l’utiliser. Généralement, les échanges se font à ce stade par Internet, avec des niveaux de sécurité allant d’aucun, à l’utilisation de VPN, de dispositifs de chiffrement.
  • La phase 2 est celle de l’instruction du dossier par OSEO, une fois le dossier labellisé par le pôle. Cette plateforme est sécurisée. Mais cette sécurité reste toutefois relative dès lors que cette plateforme échange avec des processus non-sécurisés.
  • La phase 3 est celle de la gestion du projet par le consortium, qui peut se faire sur la plateforme du pôle si elle existe ou sur tout autre dispositif ad hoc. La sécurité sera fonction des spécifications techniques de la plateforme, qui peuvent être mentionnées dans l’accord de consortium. L’ANSSI a défini des normes et des outils d’échange et de chiffrement qu’elle agrée dans l’esprit du référentiel général de sécurité (RGS). Mais le RGS ne s’applique qu’aux organismes publics et non aux entreprises privées. Lorsque celles-ci disposent déjà d’outils d’échanges sécurisés, il est fort probable qu’ils en imposeront l’usage sans qu’il soit possible de garantir que ces outils seront compatibles avec les normes de l’ANSSI.

Il faut souligner qu’il n’est pas à ce jour possible de définir une architecture unique de plateforme qui conviendrait à tous les projets. Par exemple, les projets “open source” fonctionnant en « innovation ouverte » requièrent des architectures collaboratives ouvertes qui sont profondément différentes des architectures appropriées aux projets industriels des pôles filières comme Aerospace Valley ou Pégase.

Si l’Etat peut imposer des normes dans les contrats, il ne peut juridiquement imposer une solution aux dépens d’une autre, puisque des solutions ad-hoc existent au sein des pôles, ni aux dépens de solutions qui peuvent être offertes par l’industrie, sans mise en concurrence.

La préconisation du groupe de travail est d’introduire dans les projets FUI une clause d’identification des flux d’informations sensibles à partir d’une liste de question types. De même, les partenaires d’un consortium devront s’engager à utiliser des outils sécurisés, tant que faire se pourra dans l’esprit du RGS. Il est toutefois important de préciser que l’Etat ne dispose ni des compétences ni des moyens pour auditer l’effectivité de cette clause qui gardera un caractère pédagogique.

Enfin, le groupe de travail souhaite que le principe de l’éligibilité des dépenses d’équipements sécurisés soit intégré dans les appels à projets, avec un taux de financement par l’Etat significatif, en pourcentage ou forfaitaire. Cela accroit le coût des projets mais avec l’avantage de considérer la sécurité et l’architecture des écosystèmes d’innovation non comme une contrainte administrative mais comme un levier de performance et un actif stratégique.

C’est donc le développement de nouvelles compétences en animation de réseaux et architecture de systèmes complexes au sein de l’Etat qui est posé : à ce jour nous sommes loin du compte !


[1] Des normes sont dites exécutoires quand elles sont immédiatement appropriées par les acteurs, car considérées comme légitimes et bénéfiques.

[2] Fonds unique interministériel qui regroupe les financements des projets des pôles.

Partager:
Share

Comments are closed.