Pour Geoffroy Roux de Bézieux, « la France et les pays anglo-saxons sont plutôt à un bon niveau de sécurisation, mais ce n'est pas le cas partout en Europe ». (Corentin Fohlen/Divergence)

Entretien

L'ancien président du Medef, Geoffroy Roux de Bézieux, vient de remettre au président de la République un rapport sur « la sécurité économique des entreprises ». « Il faut bien plus sensibiliser les entreprises aux menaces » dans le cadre des nouvelles rivalités internationales, estime le dirigeant, qui avance des pistes pour y faire face.

Les Echos - 27 septembre - Par Renaud Honoré, Anne Drif

Ingérences étrangères, guerre en Ukraine, en Israël, tensions avec la Chine… C'est le retour du tragique dans les relations internationales, bien loin de la « Fin de l'histoire » entrevue il y a trente ans. Quelles nouvelles menaces cela fait-il peser sur les entreprises ?

Le rapport que je viens de remettre au président de la République m'a permis de dresser un tableau clair de ces nouvelles menaces. Celles-ci sont devenues protéiformes dans le contexte des rivalités internationales actuelles : il y avait les affaires d'espionnage traditionnelles par moyens humains, mais il faut désormais rajouter les attaques sur les données, celles sur la détention du capital, l'instrumentalisation du droit (lawfare),les menaces réputationnelles ou encore la fragilité des chaînes de valeurs.

Comme me l'expliquait un dirigeant du CAC 40 que j'ai auditionné, « la géopolitique a fait son retour en force dans les conseils d'administration ». A la fois sur la stratégie de développement international - sur quelles zones, sur quels pays met-on l'accent ? - mais aussi sur le sujet de la sécurité économique au sens très large. Nous connaissons une situation hybride : nous vivons dans une économie de marché, avec un Etat de droit et des règles de concurrence, mais un certain nombre de pays et d'entreprises ne jouent pas le jeu avec les mêmes règles.

Pourquoi Emmanuel Macron vous a-t-il confié ce rapport ?

Ce rapport découle du basculement du monde que nous avons déjà évoqué. Le président de la République a donné une impulsion forte sur cette question de la sécurité économique en 2017. Auparavant, elle existait mais ne faisait pas partie des priorités. Il fallait faire un état des lieux des progrès réalisés, mais surtout comprendre comment les entreprises jugeaient cette architecture. Interroger les entreprises en matière de sécurité économique, cela n'avait pas été fait depuis 1994. D'une certaine manière, j'ai fait une étude de « satisfaction clients ».

Les entreprises françaises sont-elles en retard dans leur prise en compte de ces nouvelles menaces ?

J'ai interrogé des entreprises de toutes tailles, des grandes, l'essentiel du CAC40, mais aussi des ETI et des entreprises de la tech. Elles ont toutes progressé, mais deux choses m'ont frappé. D'abord l'hétérogénéité du niveau de prise de conscience et de protection. Certains secteurs - ceux en prise avec les domaines régaliens notamment - sont plus en avance. Mais surtout je constate que cette hétérogénéité tient beaucoup à la sensibilité personnelle du dirigeant. Comme les menaces montent - les alertes de sécurité auprès des services de l'Etat ont triplé entre 2020 et 2023 - il est important de sensibiliser plus encore les entreprises.

Parmi la centaine d'auditions menées, quelles entreprises vous ont semblé les plus vulnérables à la menace ?

Si l'on met de côté la personnalité du dirigeant, plus le domaine est régalien, plus les entreprises sont grandes et à fort contenu technologique, mieux elles sont protégées. Les entreprises de deeptech - quantique, biotechs, drones etc. - sont assez sensibilisées au regard de leur taille. Mais il y a parfois des points de faiblesse assez surprenants, comme l'utilisation d'outils de communication non sécurisés dans les conseils d'administration, ou bien l'utilisation de boucles WhatsApp pour les membres du Comex. Et ce, y compris dans le CAC 40.

Les prestataires de services au sens très large peuvent aussi être une source de vulnérabilité, en particulier en matière de stockage des données. Les courtiers en assurance, les experts-comptables ont une vision très en profondeur des entreprises. Certaines entreprises demandent à leurs conseils des lettres de confirmation sur la destruction des données une fois utilisées, mais toutes ne le font pas.

Dans ce nouveau contexte géopolitique, comment caractériser une entreprise « française » ? Les actionnaires sont de plus en plus étrangers…

C'est une question compliquée. Mais clairement, on assiste à une sorte du retour des nationalités au sein des entreprises. Un dirigeant du CAC 40 m'a parlé de « l'illusion multinationale ». On peut être présent dans le monde entier, faire 5 % de son chiffre d'affaires en France, et pourtant être une entreprise française. Cette nationalité relève d'un faisceau d'indices - lieu de siège, du centre de R&D, nationalité des dirigeants etc. - mais souvent c'est la nationalité que perçoivent les étrangers qui prime.

La Commission européenne a dévoilé en juin 2023 des propositions pour structurer une approche commune. La solution peut-elle venir du niveau européen ?

Le réveil de l'Europe sur ce sujet est tardif et lent, même s'il est réel. L'Europe a été confronté à de nombreuses alertes d'ingérence - y compris dans les institutions communautaires comme le Parlement européen - et semble enfin prendre la mesure du problème. Le fait que la supervision ultime de la sécurité économique soit sous l'égide de Stéphane Séjourné dans la nouvelle Commission européenne est peut-être bon signe. Le sentiment général, c'est qu'au sein des pays démocratiques, la France et les pays anglo-saxons sont plutôt à un bon niveau de sécurisation, mais ce n'est pas le cas partout en Europe.

Promouvoir les enjeux de sécurité économique au niveau européen n'est-ce pas irréaliste au vu des différences d'approche ?

Protéger à l'échelle européenne les données , les personnes, les sites de manière professionnelle au même niveau qu'on le fait en France avec la DGSI [Direction générale de la sécurité intérieure, NDLR] me paraît le minimum requis. Il s'agit de partager les meilleures pratiques qui ne sont pas celles de tous les pays. Prenons les agences européennes : les entreprises françaises sont amenées à transmettre de plus en plus de données auprès des autorités réglementaires - sur des secrets de fabrications ou des données financières - sans être assurées du contrôle d'accès à ces données.

Mais déléguer des pouvoirs à Bruxelles n'est-ce pas justement risqué ? Les divergences sont fortes d'un Etat européen à l'autre sur l'appréciation de la menace potentielle d'un investisseur étranger.

Bien sûr, il reste une part très importante de souveraineté nationale. L'attitude vis-à-vis des investissements extra-européens, par exemple chinois ou américains, peut varier très fortement d'un pays à l'autre. Mais il y a quelques principes, quelques partages d'expérience, quelques menaces qui pourraient être croisés. En matière d'antiterrorisme, nous partageons déjà énormément d'informations entre services de renseignements . Des progrès peuvent être faits pour la sécurité économique.

Si nous sommes victimes de concurrence déloyale sur le marché automobile par exemple, il faut être capable d'imposer des mesures tarifaires.

D'où viennent les principales menaces : de la Chine, de nos voisins européens, des Etats-Unis ? Avez-vous une typologie des Etats les plus « prédateurs » du point de vue économique ?

Les démocraties occidentales ont un comportement plus vertueux et utilisent des armes plutôt de type « lawfare » (utilisation du droit) et de contrôle du capital. Mais il est évident que le durcissement des relations internationales joue dans les relations avec tous les pays. Ne soyons pas naïfs. Comme le disait le général de Gaulle, « les pays n'ont pas d'amis, ils n'ont que des intérêts ».

Cela veut dire que nous devons être moins naïfs aussi vis-à-vis des Américains depuis les affaires BNP Paribas ou Alstom ?

Nous avons fait des avancées. Si l'on regarde le contrôle des investissements étrangers par exemple, je pense que nous sommes sortis de la naïveté. Encore une fois, ma recommandation est la « symétrie ». Il n'y a aucune raison de se priver d'outils conformes à l'Etat de droit qu'utilisent d'autres pays. Je peux citer le « proxy board » utilisé par les Etats-Unis, qui est un conseil d'administration composé uniquement des nationaux et permet le suivi des engagements des investisseurs étrangers.

N'y a-t-il pas une contradiction fondamentale à vouloir tout à la fois une politique de réindustrialisation et protéger nos intérêts économiques face à la Chine dont nous sommes dépendants pour notre réindustrialisation liée à la transition climatique ?

Le rapport ne propose évidemment pas de limiter les investissements étrangers. Il en faut, mais avec parfois des précautions. Le rôle de l'Etat est de trouver le bon équilibre entre « Choose France » et « Protect France ». Les entreprises elles-mêmes sont confrontées au même dilemme, trouver l'équilibre entre se développer à l'étranger mais être sûres qu'elles n'ouvrent pas des vulnérabilités très fortes.

Aux Etats-Unis, ces enjeux de protection semblent aller de concert avec une forme de protectionnisme. Promouvoir la sécurité économique n'est-ce pas là aussi un faux-nez ?

Nous n'avons pas les moyens de faire du protectionnisme ! Nous n'avons pas 350 millions de consommateurs comme aux Etats-Unis. Que ce soit au niveau français ou européen, l'enjeu c'est d'entrer dans une logique de symétrie. Nous ne voulons pas faire aux autres ce qu'ils ne nous font pas, mais si nous sommes victimes de concurrence déloyale sur le marché automobile par exemple, il faut être capable d'imposer des mesures tarifaires. L'Europe doit être capable de mettre en place des mesures que d'autres nous imposent.

La thématique de la sécurité économique doit être équilibrée entre l'attractivité et la protection, elle doit faire l'objet d'un consensus national.

Vous observez un recours croissant aux agences d'intelligence économique, mais vous préconisez de les « labelliser ». Parce qu'il y a de mauvais élèves et qu'ils présentent un risque de sécurité ?

Faire émerger cette industrie face à des prestataires essentiellement anglo-saxons, c'était une préconisation du rapport Martre il y a trente ans. Aujourd'hui l'objectif est atteint. L'enjeu maintenant est de professionnaliser et de labelliser, et de faire en sorte que ces prestataires puissent travailler de manière collaborative avec l'Etat. Mais l'enjeu est surtout de permettre des allers-retours entre ces structures privées et les services de l'Etat afin de mieux servir les entreprises françaises. Il faut un continuum d'action plus fort, y compris en matière de promotion économique.

Quel est l'avis des entreprises sur leur collaboration avec la puissance publique ?

Elle est en progrès. Mais au sein de l'Etat, au fil des ans, Il y a eu beaucoup d'allers-retours sur les enjeux de sécurité économique entre Matignon-Bercy. Depuis 2016, le Sisse ( Service de l'information stratégique et de la sécurité économiques ) est hébergé à Bercy et le rapport recommande de ne pas toucher à cette architecture. Au contraire, il faut davantage le mettre en avant. Je m'appuierai sur le Sisse pour monter en puissance en matière de sensibilisation.

Après Martre, Carayon, Lemoyne-Lienemann… ne craignez-vous pas d'être à l'origine du énième rapport en matière de sécurité économique ?

Il y a deux différences fondamentales : le rapport a été fait avec les entreprises et il a été commandé par le chef de l'Etat qui est soucieux que les recommandations soient suivies d'effets. L'objectif est qu'un dialogue formel et informel s'établisse entre les services de l'Etat et les entreprises. Cela passe par le renforcement du Sisse, par les recommandations de bonnes pratiques auprès des entreprises notamment auprès de l'Afep [Association française des entreprises privées, NDLR].

Le but, ce n'est pas de dire « vous n'avez pas le droit d'utiliser tel outil dans votre entreprise », mais d'aider les entreprises à acquérir des réflexes primordiaux, notamment celui de classifier les données selon leur degré de sensibilité , et de protéger différemment celles qui sont vitales. La quarantaine de recommandations que nous formulons sont avant tout opérationnelles, voire pratico-pratiques. Enfin le président de la République a souhaité un bilan d'étape tous les ans en Conseil de défense économique.

Espérez-vous que cette question de sécurité économique soit une priorité du nouveau gouvernement ?

C'est l'objectif. Je me mets à disposition du Premier ministre et du nouveau ministre de l'Economie pour les sensibiliser sur les conclusions de cette centaine d'auditions. Cette thématique de la sécurité économique, qui doit être équilibrée entre l'attractivité et la protection, doit faire l'objet d'un consensus national. Elle n'est ni de droite ni de gauche.