Recourir à des prestataires pour mettre en œuvre son dispositif anticorruption : quels dangers ?

Quels sont les dangers liés au recours des prestataires établis hors UE ? Comment préserver le capital immatériel de son entreprise tout en étant « Sapin II compliant » ? Des questions qui ont été posées au panel invité à l’occasion du Colloque organisé par l’AFA, le 1^er juin dernier, à l’Ecole Militaire.

« 3 000 signalements, plus de 1 000 incidents cyber réels… Et nous avons accompagné une vingtaine d’opérations de cyberdéfense en 2021 », alerte Yves Verhoeven, sous-directeur stratégie à l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Pour lui, le risque cyber fait partie des premiers risques auxquels l’entreprise doit prêter attention lorsqu’elle recourt à des prestataires externes lorsqu’elle met en œuvre son dispositif de lutte anticorruption. « Pour l’appréhender, cela nécessite un travail technique mais aussi une analyse du risque ».

Et concrètement, comment procéder ? D’abord, savoir « à quel risque cyber on est confronté. Regarder le circuit de la donnée de manière à identifier l’ensemble des parties prenantes ». Clients, fournisseurs… Selon Yves Verhoeven, « il est fondamental d’avoir une idée de ce qui se passe chez les autres ». A chaque fois qu’elle fait circuler de la donnée, l’entreprise doit se poser la question suivante : « quel est le risque auquel je m’expose en mettant mes données chez ce tiers ? ».

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Autre problématique qui s’ajoute au risque cyber : « la cybersécurité légale ». « Aujourd’hui, la Chine ou les USA prennent des lois pour s’assurer un accès quasi permanent, bien souvent illimité, aux données hébergées par les cloud », prévient l’expert.
Comment s’en prémunir ? Yves Verhoeven cite le modèle du Département américain de la Défense qui a mis en place un système de certification qui s’impose à toute la supply chain. Le dispositif prévoit en outre, des audits réalisés par des entités américaines. « Un schéma extrêmement pertinent », qu’il espèrerait voir mettre en place en France.

« Le recours a à des tiers permet de mutualiser la responsabilité de l’action qu’on va mener », admet Corinne Lagache, présidente de la société Corinne Lagache Compliance et senior counsel chez Labrador Ethics & Compliance. Pour autant, les informations qui vont être communiquées doivent être protégées. « Ne pas trop en donner, mais en donner suffisamment », nuance-t-elle. Le plus grand danger est selon elle, de mettre les données entre les mains « des prestataires non français ».

« Les entreprises françaises ont fait d’énormes progrès depuis la loi Sapin II, estime Emmanuel Pitron, senior vice-president de l’ADIT. « Certaines en ont même tiré des conséquences radicales. Elles ne veulent plus être dans une opportunité de marché ». Elles préfèrent déployer leur activité « dans 50 pays au lieu de 100 » pour préserver leur conformité.

Ces risques invitent les entreprises à « se poser des questions : sur le choix des infrastructures numériques, notamment ». « La question des partenariats, le choix des dépendances… Ces sujets doivent poser des questions d’intelligence économique en permanence », poursuit-il.

La réforme de la loi de blocage, opérée récemment, a-t-elle permis de répondre davantage aux menaces ? Pour Corinne Lagache, le SISSE comme guichet unique est une très bonne chose pour les entreprises. « Aujourd’hui, une entreprise qui travaille à l’international sera moins naïve lorsqu’elle confiera des données à un tiers. Elle vérifiera au minimum sa conformité ».

« Dans notre plateforme d’alertes, on recense 500 signalements par an et un gros tiers concerne des risques, voire des faits établis de captations d’informations stratégiques », explique Mathieu Kahn, sous-directeur, responsable du pôle des opérations et adjoint au chef du SISSE. « L’Etat est attaché à accompagner les entreprises », rassure-t-il. Avant de rappeler la dernière publication du guide destiné aux professionnels afin de les aider à gérer leur patrimoine informationnel.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Consommer français ou européen, protège-t-il tout autant ? Selon Yves Verhoeven, « le recours à des prestataires nationaux agissant dans un cadre national est préférable ». Pour autant « la dimension européenne est extrêmement importante ». Mais en pratique, l’offre est-elle disponible en France ?

« Sur l’hébergement de données, les prestataires d’audit… Aujourd’hui, il en existe et le nombre est croissant », analyse-t-il. En revanche, les entreprises sont souvent confrontées à un manque « de transparence ou de visibilité ».

« Aujourd’hui, il est difficile de savoir si le prestataire peut être considéré comme un prestataire français ou européen. On y travaille notamment via la certification et la qualification ». Il existe par exemple des schémas de certification au niveau national qui permettent d’identifier un certain nombre de prestataires reconnus pour « leurs compétences techniques, le niveau de cybersécurité qu’ils peuvent offrir mais aussi leur propre niveau de cybersécurité ».

« On a besoin de solutions alternatives », reconnaît Emmanuel Pitron. « On a la capacité et on a la solution en fonction du sujet et des enjeux stratégiques qui se posent. Il faut développer une offre de compliance française et européenne ».

« On est tous conscients de la dépendance de nos entreprises vis-à-vis des solutions américaines », regrette Mathieu Kahn, la solution devra passer par l’Union européenne. « L’Europe est notre horizon de souveraineté. Ce qu’on a fait avec le RGPD et les personnes physiques, on doit pouvoir le faire avec les entreprises ».

Un rêve que s’autorise désormais Yves Verhoeven avec les évolutions au niveau européen dans le domaine du numérique. « La révision de la directive NIS pour la cybersécurité, qui est pratiquement adoptée ; l’émergence d’une souveraineté numérique de fait avec la 5G, la tool box... Quitte à faire preuve d’angélisme, on peut se réjouir de ce qui se passe », conclut-il sur un ton optimiste.