Protéger les entreprises des cyberattaques s'apprend, comme à l'école de guerre économique

CYBERSÉCURITÉ – La création de l’école de guerre économique (EGE), en 1997, en a étonné plus d’un. Même chez les spécialistes, on s’interroge alors sur la pertinence du nom de cet établissement enseignant l’intelligence économique, « l’IE ». En est-on là? Engagés dans une bataille d’influence, avec ses armes, ses victimes?

« Aujourd’hui ce nom ne fait plus sourire », coupe court le directeur de l’école, Christian Harbulot. Et pour cause: l’établissement du très chic 7e arrondissement de Paris fête cette année son 20e anniversaire, signe que son intérêt s’est installé dans la durée. Mais l’actualité est encore son meilleur avocat.

8 avril 2015: TV5 Monde cesse brutalement de diffuser et des messages en soutien au groupe jihadiste État islamique sont diffusés sur les réseaux sociaux de la chaîne. 12 mai 2017: le logiciel malveillant Wannacry infecte les systèmes informatiques d’entreprises d’une centaine de pays, dont Renault en France. 27 juin: un virus identique, NotPetya, s’attaque à 2000 ordinateurs à travers l’Europe et la Russie. Auchan, la SNCF ou Saint-Gobain sont touchés en France.

« Les entreprises s’étaient habituées à vivre dans un monde fini, guidé par le marché mondial, où le monde occidental avait réussi à imposer ses règles », analyse auprès du HuffPost Christian Harbulot, avec le regard et la voix apaisés de celui à qui l’histoire économique a donné raison. « Mais le monde actuel évolue rapidement, il est multipolaire, complexe, dangereux, avec des règles qui commencent à être créées hors du monde fini tel qu’on le connaissait », décrit-il. Autrement dit, l’entreprise n’a plus de frontières, les économies de marché sont plurielles et la menace est partout.

« Un vrai problème de fond »

Si certains l’ont compris trop tard, l’école de guerre économique, elle, entend prévenir plutôt que guérir. Chaque année, plus d’une soixantaine d’élèves (450 en comptant les cursus en alternance) usent ainsi les bancs de l’EGE pour se former aux techniques de veille stratégique, de protection des données sensibles et d’influence.

À la fin de leur année (de type M2), ces élèves sortis d’école de commerce, de Sciences Po ou de droit, travaillent dans des cabinets de conseil en stratégie, des grands groupes, voire des cabinets ministériels. Loin de l’image d’espions 2.0 qu’évoque le nom de leur école, leur but sera de protéger les données, défendre les intérêts économiques et surveiller -légalement- la concurrence d’une entreprise ou d’un gouvernement.

Au fil des années, l’école a dû s’adapter à la nouvelle réalité des entreprises: la cybercriminalité, du faux mail visant à recueillir des données personnelles (phishing) à la cyberattaque généralisée, en passant par les logiciels malveillants (malwares). L’EGE accueille ainsi cette année un nouveau cursus, entièrement consacré à la cybersécurité.

Pour Charles Pahlawan, directeur adjoint de l’école et lui-même ancien de l’école, il s’agissait de « répondre à un vrai problème de fond » et former de véritables spécialistes en la matière. « La cybersécurité est aujourd’hui un sujet trop important pour rester dans les mains du responsable des systèmes informatiques d’une entreprise », explique-t-il depuis une petite salle de classe nichée en contrebas de la cour de l’école.

Difficile de ne pas voir derrière le projet de l’école une démarche patriotique -les drapeaux français et européen dans la salle de classe sont là pour le rappeler. Les récentes affaires de piratage ont fait tomber les vieilles alliances entre pays et des révélations comme celles d’Edward Snowden ont mis au jour des vulnérabilités ignorées entre pays amis. Même les grands groupes du CAC40, pouvant avoir des services de renseignement économique puissants, « ont fait l’impasse sur la géopolitique », regrette Christian Harbulot.

Les entreprises réagissent trop tard

Si quelques cursus d’intelligence économique ont été ouverts dans certaines écoles de commerce ou en université, la France reste à la traîne en la matière. « Certaines entreprises paralysées par une attaque cyber ne s’étaient jamais vraiment posé la question de leur fiabilité informatique, explique Christian Harbulot. Elles avaient géré l’informatique uniquement comme un gap technologique, comme le passage de la machine à écrire à l’ordinateur. »

« Alors que l’État devrait donner l’impulsion, il semble se désintéresser du sujet », confirme au MondeAlice Guilhon, directrice de l’école de commerce Skema. Et si certains grands groupes ont fait la démarche de se former aux nouvelles techniques de cyberdéfense, d’autres entreprises, notamment celles de taille moins importante, sont en retard. Pour des questions de coûts (la protection a un prix) autant que de savoir-faire. « On avance à reculons: j’attends le moment où au sein d’un comité exécutif du CAC 40, quelqu’un dira: « ‘la cyber est un enjeu stratégique' », se désole le directeur de l’EGE.

Cette année, 72 élèves âgés de 25 ans en moyenne (leur CV pourrait laisser croire qu’ils en ont dix de plus) suivront les 800 heures de cours de l’EGE au prix de 9000 euros. Beaucoup ne savent pas encore vers quels postes ils se dirigeront à la sortie de l’école, mais tous s’accordent à dire que la cybersécurité doit s’imposer dans les entreprises. « C’est un sujet dans l’air du temps, estime Nicolas, 26 ans, qui y a fait sa rentrée fin septembre. On ne peut pas s’en passer. »

À voir également sur Le HuffPost: