Articles 2005

Publié dans Articles 2005

  • La Finance éthique
    Olivier PASTRÉ
    Préface au livre de Michel ROUX
    Editions Banque
  • L’avenir des relations euro-méditerranéennes : les défis d’une association renforcée
    Olivier PASTRÉ
    Contribution au Colloque « Les Nouvelles Frontières de l’Union Européenne »
    Marrakech, 16 Mars 2005

2005 - Le Patrie… autisme économique

Publié dans Articles 2005


Le Patrie… autisme économique

 

Olivier Pastré

Professeur à l’Université

de Paris VIII

 

 

La France se couvre, une fois de plus, de ridicule. Cet été, tous les politiques s’étaient « levés pour Danone », érigeant le « roi du yaourt » au même rang que les entreprises travaillant pour la Défense Nationale. Avec Hewlett Packard, le Président de la République a a offert à Manuel Baroso, le très libéral patron de la Commission, le plaisir de nous rappeler, avec un brin de condescendance mais une très grande justesse, que celle-ci ne peut rien faire pour empêcher une entreprise européenne de licencier. Preuve s’il en était besoin de la baisse du crédit politique de la France à Bruxelles.

 

Nous avions eu « la préférence européenne » lors du discours de politique générale du Premier Ministre. Nous avons maintenant le « patriotisme économique » déclaré par le Premier Ministre « plus moderne que l’idée pasteurisée du chef d’entreprise international ». On croit rêver… L’économie s’accommode mal de la poésie. Commençons donc par savoir de quoi on parle. Il existe trois formes de « patriotisme économique » possibles. Le social : c’est le cas Hewlett Packard mais c’est aussi la préférence nationale en matière d’emploi public (7 millions d’emplois en France sont ainsi sanctuarisés). L’industriel : c’est le cas Danone (ou, avant lui, Aventis) mais c’est aussi le cas de la directive anti-OPA, libéralisée quand la Gauche était au pouvoir et que la Droite s’efforce, aujourd’hui, de durcir. On croit, à nouveau, rêver… Enfin, le technologique : c’est le contrôle exercé sur la vente d’entreprises opérant dans huit secteurs jugés stratégiques, comme la défense ou les biotechnologies (et même, on ne voit pas très bien pourquoi, les… casinos)

 

Le « patriotisme économique » mal géré se révèle, au mieux, inefficace, ridicule et contre-productif. Inefficace car, Baroso vient de nous le rappeler, l’Europe ne peut plus rien contre les investissements étrangers. Ridicule ensuite parce que, au moment où l’on recherche à promouvoir l’« attractivité » de la France, les vertus du double langage paraissent bien difficiles à défendre. Ridicule alors même que la multinationalisation est encensée, dès lors que Pernod-Ricard achète Allied Domecq, que Suez prend le contrôle du belge Electrabel ou qu’Euronext part à la conquête de la Bourse de Londres ou de Francfort. Et ridicule si l’on se rappelle que, lorsque Renault a acheté Nissan, il a procédé à 21 000 licenciements. Contre-productif enfin, car, depuis Colbert, la France a payé fort cher, en mesures de rétorsion, son protectionnisme tatillon.

 

Ne soyons pas candide pour autant. Tous les pays riches sont aujourd’hui protectionnistes. Les États-Unis en premier, avec leurs quotas sidérurgiques et textiles aussi bien qu’avec leurs subventions agricoles et aéronautiques. De même l’Allemagne, avec sa loi qui protège Volkswagen et l’Italie, avec son Gouverneur de la Banque d’Italie, Antonio Fazio, qui a, au prix de son poste, défendu l’« italianité » de « ses » banques.

 

La solution dans ce domaine ne doit en aucun cas être cherchée dans les effets de manche. Mais, au contraire, de manière feutrée et sur le terrain. En matière sociale, en redéfinissant les mesures d’accompagnement social des délocalisations. En matière économique, en renforçant (au lieu de la vassaliser à la DATAR) la Mission Interministérielle sur les Mutations Économique et en encourageant les Français à investir en actions. Sur le plan technologique enfin, en « boostant » véritablement les dépenses de Recherche et Développement.

 

En matière de patriotisme économique, comptons moins sur les effets d’annonce que sur les annonces suivies d’effets. Et espérons, s’il faut à tout prix céder au lyrisme pour être entendu par le Premier Ministre, au moment même où l’on réfléchit à une nouvelle Marseillaise, qu’enfin un « sang, non pas impur mais productif, abreuve nos sillons »…

 

 

 


Haut de page

.

2005 - L’Europe bancaire : défis et interrogations

Publié dans Articles 2005



L’Europe bancaire : défis et interrogations


Olivier Pastré

Professeur à l’Université

de Paris VIII

      Depuis quelques mois, certains frémissements se font, sentir sur la scène bancaire européenne. On sent bien que le système bancaire anglais « tourne en rond », trop riche  pour ne rien faire et trop concentré déjà pour s’intégrer davantage au niveau national. De même voit-on bien que, malgré les tentatives désespérées du pouvoir politique régional hostile à toute réforme, l’Allemagne, avec 2300 banques, ne pourra pas continuer à vivre avec un système bancaire aussi éclaté et, pour partie de ce fait, aussi peu rentable. Même l’Italie secouée (plus que ne le disent certains) par le scandale Parmalat se remet depuis peu  à se poser des questions sur son système bancaire (comme celles touchant au statut des fondations) qu’elle évitait d’aborder frontalement jusqu’alors.

 

        Ne pas construire l’Europe bancaire revient  à livrer celle-ci  aux appétits d’autres puissances bancaires ayant les moyens de leurs ambitions. Rappelons ici que quatre des cinq plus grandes banques européennes ont aujourd’hui une capitalisation boursière qui n’excède pas trois ans de résultats de Citigroup… Or, aucune zone géographique ne peut se développer durablement et harmonieusement sans opérateurs bancaires locaux de premier plan. Ce qui est vrai partout et en tous temps prend une signification particulière en Europe continentale aujourd’hui, région du Monde où, malgré un mouvement de désintermédiation en œuvre depuis le début des années 80 (mouvement qui est d’ailleurs d’ampleur inégale selon les pays et dans lequel les banques sont très actives), le financement de l’économie reste majoritairement assuré par les banques. Dans ce contexte, ne pas disposer de véritables banques européennes mettrait, à terme, en péril le financement même de l’économie des 25 pays membres.

 

       

ILes causes de l’immobilisme passé

 

      Si l’on prend un peu de recul, on peut tirer cinq enseignements de l’analyse des opérations de croissance externe ayant affecté, au cours des cinq dernières années, les différents systèmes bancaires européens :

 

            1) Les restructurations bancaires ont, à ce jour, été principalement d’ordre défensif. Face aux opportunités mais aussi aux menaces que présentait le double mouvement de dérégulation/mondialisation, les banques européennes ont fait le choix de la consolidation sur leur marché national. L’écrasante majorité des opérations de M & A (plus des 4/5èmes  selon nos estimations) s’est ainsi faites à l’intérieur des frontières nationales.

 

         2) Cette consolidation sur le marché national peut être considérée comme largement entamée voir aboutie dans tous les pays européens,  à l’exception de l’Allemagne et, à un moindre degré, de l’Italie. Pour la plupart des pays européens, désormais situés dans la zone de risque anticoncurrentiel, l’avenir bancaire passe donc par l’internationalisation. Quant à l’Allemagne et à l’Italie, à la fois cibles pour des banques étrangères et terrains de consolidation nationale imparfaite, elles se désignent d’elles-mêmes comme champ privilégié des restructurations à venir.

 

         3) La stratégie d’internationalisation des banques européennes s’est, premier paradoxe, davantage orientée vers d’autres zones que celle de l’Union. Au-delà des opérations d’ "outsourcing " (qui contribuent, qu’on le veuille ou non, à déplacer le centre de gravité de l’industrie  bancaire mondiale), cette internationalisation s’est opérée soit en direction du premier marché bancaire mondial, i.e. les Etats-Unis, soit en direction de zones émergentes historiquement liées à certains pays européens (comme l’Amérique latine pour les banques espagnoles) ou jugées à fort potentiel (Asie du sud-est et, à un moindre degré, Europe de l’Est). De ce fait, il n’existe à ce jour aucune banque européenne qui puisse être considérée comme véritablement… européenne. Plus grave encore, à l’exception d’HSBC, il n’existe, en Europe, aucune banque qui, par son poids financier et boursier autant que par ses ambitions, fasse figure de « major » à l’échelle régionale. Le seul prétendant au début des années 90, à savoir la Deutsche Bank, semble à ce jour pénalisée, tant par ses difficultés internes que par l’insuffisante modernisation du système bancaire allemand et n’a été relayée par aucun autre « prétendant à la couronne », les banques mutualistes ayant fait preuve, dans ce domaine, d’une timidité toute particulière.

 

         4) La seule banque véritablement européenne est, paradoxalement, … américaine. Il s’agit de la Citigroup qui, d’une part, a une véritable « global strategy » et, d’autre part, s’appuie sur la diversité des métiers qu’elle exerce pour effectuer des « incursions  » dans de nombreux pays européens. Sans pour autant verser dans l’ « anti-américanisme primaire », force est de constater que la série de recompositions qui vient de s’opérer aux Etats Unis (autour de J.P. Morgan et de Bank of America et de Wachovia) de même que la stratégie « proactive » de General Electric Credit en Europe incitent à s’interroger sur la capacité de résistance des systèmes bancaires européens à une éventuelle offensive américaine dans ce secteur.

 

         5) Au-delà des différences culturelles nationales, les autorités européennes sont en large partie responsables de cette absence d’Europe bancaire. Le retard pris en matière d’harmonisation bancaire et financière aussi bien que l’absence d’instance européenne de régulation des systèmes bancaires (aussi bien que des marchés financiers) laissent les banques européennes face à un entrelac réglementaire qui freinerait toute ardeur européaniste. Pour faire simple, une banque qui souhaiterait être présente dans l’ensemble des pays européens serait, si elle n’utilise pas le « passeport européen », soumise à ce jour à une soixantaine de législations différentes… Cela est particulièrement vrai en matière de banque de détail, secteur dans lequel la dimension réglementaire pèse d’un poids plus lourd que dans tout autre métier bancaire.

 

 

 

IILes voies des recompositions à venir

 

         Pour résumer les tendances passées, on pourrait ainsi s’en tenir au diagnostic suivant : à l’exception des pays scandinaves, une consolidation bancaire presque exclusivement nationale et de timides incursions dans certains métiers et dans certains pays. Si l’on se tourne maintenant vers l’avenir, une vision globale nécessite que soient conjugués certaines interrogations et quelques certitudes.

 

 

         1) Au rang des interrogations, il ne semble exister aucun modèle archétypique de la banque du XXIème siècle. Si l’on reprend les catégories qui ont été ou qui sont à la mode, nous n’avons rencontré, en Europe ni pure « banque universelle », ni « banque éclatée », ni véritable « banque globale ». De même, les modèles de la « bancindustrie », de la « bancassurance » et de l’ « e-bank » ne semblent pas, à ce jour, avoir véritablement fait leurs preuves. Il reste donc à définir avec plus de précisions les limites des stratégies bancaires actuelles de même que les voies et les moyens de nouvelles avancées dans la construction de l’Europe bancaire.

 

         2) Deuxième série d’interrogations : celle des formes juridiques de la croissance bancaire. Les partenariats des années 90 semblent avoir fait long feu, à l’image des tentatives infructueuses de la BNP et de Dresdner Bank. La voie du M&A, au tournant des années 2000, ne semble pas, à ce jour, beaucoup plus convaincante. Quelle sera alors la « voie royale » (si « voie royale » il y a) de la construction bancaire européenne ? La réponse à cette question ne peut pas être « monocolore ». La question n’en mérite pas moins d’être posée. Et, dans ce domaine, l’importance du mutualisme en Europe (continentale au moins) interdit de ranger les partenariats (selon des formes à inventer peut-être) au rang des accessoires inutiles.   

 

         3) Troisième et dernière série d’interrogation : à quoi doit servir le maintien du contrôle capitalistique, par l’Europe, de son secteur bancaire ? Ceci n’a de sens que si ceci permet de mieux financer l’économie européenne. Mieux financer, cela veut dire financer à moindre coût pour les clients et pour un nombre de clients bancarisés en croissance régulière, sans que des mécanismes d’exclusion (que l’on sent poindre à ce jour) se mettent en œuvre, pour des motifs réglementaires ou autres.

 

Si l’on en vient maintenant aux certitudes, celles ci sont au nombre de quatre :        

          1) Au-delà des stratégies individuelles, qui désignent une dizaine de prédateurs potentiels et à peu près autant de cibles, les pays dont les industries bancaires semblent les mieux à même de tirer profit de l’intégration bancaire européenne sont, dans deux genres très différents, la France et le Royaume-Uni et les pays les plus sujets à incursions étrangères sont l’Allemagne et l’Italie. D’où le protectionnisme (déguisé au moins) de ces deux derniers pays.

Toutefois, compte tenu du contexte macroéconomique, à court terme, les principales opérations devraient principalement  concerner soit des banques de taille moyenne ou petites (en Allemagne notamment) soit des opérations ciblées sur un métier particulier (en matière de gestion d’actifs notamment).

 

          2)  Une incertitude majeure tient au devenir du secteur mutualiste. Contrairement à ce que certains prédisaient, le mutualisme bancaire n’est pas en repli en Europe, bien au contraire. Les banques mutualistes peuvent ainsi à la fois figurer parmi les prédateurs potentiels (via, pour certaines, leurs « véhicules cotés ») et parmi les cibles (en Italie notamment). Leur avenir dépend donc d’elles-mêmes et de la claire identification (qui n’est pas réalisée à ce jour) de ce qu’est véritablement le mutualisme. 

 

          3) Il est clair que, dans deux registres différents et néanmoins inter reliés, les dossiers IAS et Bâle II auront des implications majeures sur le devenir des restructurations bancaires européennes. Tant par la solidification ou, au contraire, la fragilisation des socles bancaires nationaux construits au cours des années 80 et 90 que par l’impact que ces nouvelles « règles du jeu » bancaires (dont il est urgent de mesurer pleinement la portée spécifique et quasi-vitale pour les banques européennes) auront sur les stratégies individuelles. Dans ces deux négociations, la sonnette d’alarme se devait d’être tirée. Tout laisse, en effet, à penser que les mécanismes en œuvre dans le cadre de l’IAS et du Comité de Bâle ne tiennent pas suffisamment compte des spécificités bancaires européennes. Pour ne prendre que le cas de l’IAS, certaines normes en cours d’adoption (IAS 32 et IAS 39, le lecteur l’aura deviné…) sont clairement inadaptées à des pays qui restent des pays d’intermédiation bancaire et à des banques qui ont, dans le passé, privilégié les crédits à taux fixe. Tout, par ailleurs, laisse  à penser que tout n’est pas à ce jour figé et qu’il reste encore des marges de manœuvre (que serait l’IAS sans l’Europe ?) qu’il faut à tout prix exploiter dans les mois qui viennent.

 

          4)  Une « accélération de l’histoire » doit être opérée en matière de réglementation bancaire européenne. Cela concerne, en premier lieu, le processus d’harmonisation et en particulier le processus Lamfalussy qui doit être accéléré de manière significative, via notamment la mise en place d’un calendrier plus contraignant. Mais cela concerne aussi les réglementations nationales dont le caractère protectionniste doit être assoupli. Ce n’est pas en défendant leurs spécificités réglementaires, hors du temps pour certaines d’entre elles, que les systèmes bancaires allemands et italiens renforceront leur compétitivité. Il n’est pas question d’envisager ici qu’un souffle libéral trop puissant balaye irrémédiablement des structures bancaires qui ont rendu (et rendent encore) des services éminents (notamment en matière de financement des PME). Il s’agit simplement d’accélérer le pas des réformes. Car le temps presse…


Haut de page

.

2005 - L’insécurité informatique

Publié dans Articles 2005



L’insécurité informatique : un risque financier majeur


Patrice Guichard

Directeur Général, Safe Protect


Olivier Pastré

Professeur à l’Université

de Paris VIII




« Hackers », « crackers », « phreakers », « spammers », « coders », etc…: sous ces  noms, majoritairement anglais et apparemment inoffensifs (et dont la liste s’allonge chaque année), se cache une réalité de plus en plus inquiétante : la criminalité informatique, ou « cybercriminalité », qui se développe de plus en plus rapidement, sans pour cela être mieux comprise (Section 1), avec des conséquences économiques et organisationnelles dans des domaines de plus en plus variés (Section 2), ce qui oblige  tous les acteurs concernés par ce phénomène majeur à des questionnements de plus en plus complexes (Section 3).

 

I. Un phénomène majeur mais méconnu.

Quelles que soient les statistiques utilisées, et malgré une présomption très forte de sous-estimation (sur laquelle nous reviendrons), les chiffres de la cybercriminalité explosent véritablement. Pour ne prendre que deux exemples, Symantec, leader mondial du secteur, a recensé dans le monde 1276 nouvelles failles de sécurité au premier semestre 2004, soit environ 48 nouvelles failles de sécurité par semaine, et plus de 4096 nouveaux virus affectant les plateformes Windows, nombre qui a été multiplié par 4,5 par rapport au premier semestre 2003, tandis que le CERT (Computer Emergency Response Team), organisme  incontournable en matière de sécurité sur Internet, qui comptabilisait 2340 incidents en 1994, en dénombre 137 529 pour la seule année 2003 avec une progression de +67% par rapport à 2002.

 

Autre «  explosion » , et c’est rassurant, celle de l’industrie de la sécurité informatique. Une industrie qui croît chaque année, depuis dix ans, avec un taux de croissance à deux chiffres. Avec des perspectives ne laissant prévoir aucun ralentissement à court ou moyen terme. Pour ne prendre que l’Europe, la croissance estimée du marché de la sécurité informatique est ainsi attendue à +26% par an pour les cinq prochaines années et devrait atteindre 3,13 milliards de dollars en 2007 (source Frost & Sullivan). Datamonitor pour sa part, estime le marché mondial de la sécurité des systèmes d’informations à 21,2 milliards de dollars en 2005.

 

Ces perspectives s’expliquent aisément. D’abord, parce que la criminalité progresse et nécessite donc des « gardes » plus relevées : une récente étude du Gartner Group in dique que, d’ici 2005, 70% des PME gérant leur propre système de sécurité raccordé à Internet feront l’objet d’une attaque réussie et (ce qui est plus inquiétant) que plus de 60% d’entre elles ne réaliseront pas qu’elles ont été victimes d’une ou plusieurs attaques. Ensuite parce que les acteurs concernés  déjà sensibilisées prennent, chaque année, mieux conscience des risques que présente cette forme de délits : pour les entreprises françaises ayant déjà investi dans ce domaine, les anticipations d’augmentation des dépenses sur les deux années à venir sont ainsi de 30% pour les PME et de 59% pour les grandes entreprises. Enfin, parce que la sécurité informatique gagne chaque année de nouveaux terrains. Les PME (en particulier dans l’industrie) et les collectivités territoriales emboîtent progressivement le pas aux grandes entreprises (qui représentent encore plus de 50% du marché, en particulier dans les services) et aux administrations centrales.

 

Sur le diagnostic il n’y a donc pas « photo ». En apparence au moins, car ce qui frappe le plus lorsque l’on creuse le sujet, c’est la complexité et, plus grave, la méconnaissance générale du phénomène. Cette méconnaissance tient à trois principaux facteurs :

 

A.  L’hétérogénéité du phénomène.

Le terme générique de « hackers », souvent mal employé par les médias, recouvre des réalités très diverses. En termes de menaces, cela passe de l’espionnage d’un concurrent (menace de niveau 2 sur une échelle de 5, selon une récente enquête de Ernst et Young de 2003), au vol de brevet (2,3) , à l’attaque d’un « hacker » amateur (3,7), à l’espionnage par des prestataires (2.9), au blocage d’un système par des requêtes (3,3), plus communément appelé « déni de service » (DOS) et, pour finir, par les virus et les vers (3,6), eux-mêmes, par nature, éminemment diversifiés. A un niveau plus général, on peut regrouper les multiples manifestations de la cybercriminalité selon la récente typologie de l’OCDE qui distingue trois grandes familles de délits :

 

-         L’entrée, l’altération, l’effacement ou la suppression de données et de programmes dans l’intention de commettre un transfert illégal de fonds, de commettre un faux ou d’entraver le fonctionnement du système informatique et / ou de télécommunication

 

-         La violation du droit exclusif du détenteur du programme informatique protégé dans l’intention de l’exploiter commercialement et de le mettre sur le marché

 

-         L’accès dans un système informatique ou de télécoms ou l’interception d’un tel système fait sciemment et sans l’autorisation du responsable

 

Cette typologie, généralement reconnue aujourd’hui, a le mérite de mettre un peu d’ordre. Il n’est pas sûr toutefois : premièrement, qu’elle soit très opérationnelle et, surtout, qu’elle soit pérenne, compte tenu d’une caractéristique consubstantielle de la cybercriminalité, qui est l’évolutivité.

 

B.  Le caractère évolutif des technologies.

Dernière tendance pour l’année 2004, le « phishing », concaténation du « Ph » du jargon des « hackers » (contraction de « phone ») et de « fishing » qui veut dire « pêcher », est une escroquerie par Internet qui consiste à lancer un filet – le plus souvent via l’envoi massif d’email maquillés et la mise en place de faux sites web (principalement bancaires) – pour aller à la pêche aux données personnelles et financières  (accès aux comptes bancaires, aux numéros de carte de crédit, etc…).

Ce phénomène, qui n’existait qu’à l’état embryonnaire il y a quelques mois, a fait à ce jour plus de 17 millions de victimes aux Etats-Unis et inquiète désormais tous les industriels de la sécurité. Mais le « phishing » n’est rien à côté des dangers véhiculés par la convergence observée des différentes techniques de piratage : SPAM + Phishing + Vers Informatiques + Chevaux de Troie, qui est de nature à démultiplier les  risques.

 

D’autre part, les innovations technologiques permanentes, pourtant destinées à améliorer le confort des utilisateurs, rendent la tâche de sécurisation de plus en plus difficile et sont elles mêmes des facteurs d’accroissements des risques. Ainsi les réseaux WiFi, qui utilisent les technologies sans fil sont de véritables « passe muraille » et permettent, certes, à l’entreprise de s’affranchir de, câbles, mais donnent également la possibilité aux cybercriminels de s’affranchir des sécurités physiques (portes, murs, système d’alarme) pour s’introduire insidieusement  sur les ordinateurs et, qui plus est, même si celles-ci ne sont pas reliées à Internet. Rien que sur Paris, une récente étude de l’association Paris Sans-fil a démontré que plus de 40% des réseaux Wifi de la capitale ne disposant d’aucune mesure préventive de sécurisation étaient perméables à des intrusions externes. Le Web  a ainsi considérablement élargi l’espace de la cybercriminalité.

 

Le plus inquiétant ces dernières années est la modification du profil des « hackers ». Au départ, on avait principalement affaire à des individus isolés à la recherche de reconnaissance et/ou en guerre idéologique contre « Big Brother ». Aujourd’hui, on doit faire face à des réseaux criminels de mieux en mieux organisés, directement ou indirectement liés à des ramifications mafieuses, pour qui l’Internet est une sorte d’Eldorado du non-droit. La sophistication s’est donc accrue, mais surtout l’ampleur des risques financiers a littéralement « explosée ». En 2004, l’exploit technologique s’est effacé devant l’appât du gain devenu la raison principale d’attaques organisées et ciblées. S’ajoute à cela un autre phénomène : les piratages sont de plus en plus générés à l’intérieur même des entreprises et des organismes et donc de plus en plus difficiles à détecter et à combattre. Aujourd’hui, plus de la moitié des attaques sont ainsi des attaques « internes ». 

 

Face à cette menace, l’industrie de la sécurité informatique a, certes, réagi et la palette des protections s’est considérablement enrichie. Par ailleurs la réactivité des industriels de la sécurité informatique s’est sensiblement accrue. On estime ainsi qu’en matière « d’antivirus », le délai de réaction des leaders du marché est passé, ces deux dernières années, de quelques jours à quelques heures.

 

Il n’empêche : les risques informatiques sont donc bien réels, de plus en plus importants mais très largement sous-estimés pour une troisième raison, spécifique à ce nouveau type de risque : le silence des victimes.

 

C.  L’« omerta » statistique.

On ne lutte efficacement que si l’on connaît son « ennemi ». Or il est peu de risques qui sont, à ce jour, plus mal maîtrisé que le risque informatique. Et ce pour trois raisons au moins :

-         D’abord parce que ce risque est mal détecté par les victimes elles-mêmes : en France, le nombre d’entreprises qui ne peuvent évaluer les pertes liées à une malveillance interne ou un virus est de l’ordre de 50%, et seules 3% d’entre elles déclarent avoir détecté par elles-mêmes qu’elles avaient fait objet d’une intrusion.

-         Ensuite parce que les victimes, pour des raisons de confidentialité et d’image, ne font que très rarement état des attaques dont elles ont été les victimes.

-         Enfin parce que, si la perception du risque informatique progresse, le « passage à l’acte » pour la mise en place d’un système de sécurité est tributaire des fortes contraintes budgétaires actuelles des entreprises et de l’appréciation flou du risque informatique. Retour à « la poule et l’œuf »…

 

 

II. Des conséquences protéiformes et de multiples interrogations

Le pessimisme n’a pas sa place ici et le scénario catastrophe du « Big Bang » informatique avancé par certain spécialistes est bien peu vraisemblable. A toute mutation technologique correspondent des risques nouveaux qu’il est possible de limiter dès lors que l’on en prend la mesure et les conséquences de la montée de la cybercriminalité doivent, pour cela, être mesurées avec précision et rigueur.

Les premières conséquences se déchiffrent au niveau microéconomique par une perte d’efficacité et de compétitivité liée aux surcoûts sécuritaires qu’engendrent ces nouvelles menaces ; mais aussi et surtout par les effets indirects des attaques informatiques sur l’organisation même des entreprises. Cela commence à se vérifier dans des secteurs fortement automatisés, comme la banque où l’intensification de l’interconnexion entre les réseaux informatiques augmente considérablement les risques.  De manière plus indirecte, la cybercriminalité pose en termes nouveaux, au travers de vols ou de détournements de fichiers, le problème de la concurrence. Certains métiers, dont l’activité repose sur la gestion de fichiers ou de brevets, sont, dans ce domaine, particulièrement menacés.

 

Au niveau mésoéconomique, certains secteurs sont plus directement concernés que d’autres. C’est notamment le cas de la banque et de l’assurance, où, non seulement l’organisation interne, mais aussi la relation client est directement impactée. Avec, en prime, dans certains cas, une incidence instantanée sur la matière première même de l’entreprise, à savoir l’argent (pour le seul cas du « phishing », 2 millions de victimes aux Etats-Unis en 2003, et un préjudice global de 1.2 milliards de dollars – Etude du cabinet Gartner, juin 2004.)

 

Dans le secteur de l’assurance se greffe une autre  interrogation sur l’assurabilité même de la cyberdélinquance. Jusqu’où peut-on assurer ? Quelles doivent être les clauses suspensives du contrat ? Quel « pricing » mettre en place ? A bien y réfléchir, le métier de l’assurance n’est peut-être pas le plus menacé mais sûrement le plus globalement impacté dans toutes ses dimensions. Nul doute qu’une réflexion approfondie commune à ce secteur et à l’industrie de la sécurité informatique doit être conduite, pour mieux cerner selon quels critères la frontière du risque informatique est susceptible d’évoluer à l’avenir.

 

D’une manière plus générale, on peut considérer que la vulnérabilité d’un secteur en matière de cybercriminalité dépendra de quatre critères principaux :

-         son intensité informationnelle

-         son degré d’informatisation,

-         son intensité capitalistique

-         son intégration organisationnelle.

 

Ces critères sont classés par ordre d’importance décroissante et sont, pour certains d’entre eux, fortement corrélés. A ce stade, la seule chose que l’on puisse dire est que  le secteur du BTP est à peu près le seul à être organiquement à l’abri de ce nouveau type de risque…

 

Pour conclure (de manière très provisoire), constatons que les conséquences de la cybercriminalité ne se font pas encore sentir au plan macroéconomique. De même que la tendance à la sous-évaluation des risques informatiques n’a plus sa place aujourd’hui, de même les projections apocalyptiques de certains consultants paraissent totalement déplacées. Néanmoins, compte tenu de la croissance exponentielle du phénomène,  on ne peut, dès à présent,  faire l’économie d’une réflexion sur le caractère systémique que pourrait, à l’avenir , revêtir le risque informatique.

 

Si l’on en vient maintenant au cadre réglementaire, le lecteur ne sera pas étonné d’apprendre que le débat sur ce sujet est significativement plus intense aux Etats-Unis qu’en Europe. Depuis le Computer Fraud and Abuse Act de 1984, de nombreuses lois nouvelles intègrent ainsi un volet sur la sécurité informatique. C’est le cas notamment de la loi Sarbanes-Oxley sur la sécurité financière post-Enron (obligation d’information sur les procédures de contrôle interne) ou de la loi Gramm-Leach-Bliley sur la protection des données financières. De même ont été votées de nombreuses lois s’appliquant à certaines formes spécifiques de cybercriminalité, comme l’Antiphishing Act de Juin 2004 (cinq ans de prison pour l’envoi d’email non sollicités).

 

En Europe en général et en France en particulier (loi Godfrain de 1988 sur la fraude informatique), le législateur est plus mesuré et moins « innovant ». S’oppose ici une vision juridique considérant la cybercriminalité comme un ensemble d’infractions classiques (tels que l’escroquerie, l’usurpation de l’identité, la collecte illicite de données personnelles ou la contrefaçon des droits d’auteur) commises à l’aide de dispositifs nouveaux, à une autre vision, qui prévaut aujourd’hui aux Etats-Unis, où la cybercriminalité est considérée comme une forme totalement nouvelle de criminalité nécessitant un dispositif législatif spécifique.

 

Sans trancher sur ce débat, que l’évolution même de la technologie va nourrir et faire évoluer (plutôt, semble t’il, dans la direction choisie par les Etats-Unis), mentionnons deux autres aspects, et non des moindres, du problème réglementaire. Le premier concerne l’application de telles lois. La sophistication même des techniques employées rend l’analyse du délit et du préjudice toujours plus délicate. Mais s’ajoute à cela un problème de variabilité de plus en plus inextricable, les « hackers » menant de plus en plus leurs « attaques » de l’étranger et, généralement, de lieux de « non-droit » (avec une préférence marquée semble-t-il  pour des plateformes pétrolières réaménagées et immergées dans les eaux territoriales de paradis fiscaux ou des républiques de l’ex-Union Soviétique). Deuxième problème, celui de l’interférence des dispositifs de garantie de la sécurité informatique avec la défense des libertés individuelles. Car pour mieux protéger, il faut rentrer au cœur du système et cela pose de nouveaux problèmes, auxquels la CNIL (Commission Informatique et Libertés) en France devra, à  l’avenir, résoudre.

 

III. Que faire ?

Il n’est pas possible de conclure de manière définitive sur un sujet intrinsèquement aussi mouvant. Nous espérons avoir convaincu le lecteur de la pertinence de nos interrogations et de la nécessité de sortir d’une attitude qui se résume aujourd’hui, dans bien des circonstances, à : « Circulez ! Il n’y a rien à voir ! ». Seule certitude dans ce domaine : ce sujet concerne tout le monde : les entreprises et les professions aussi bien que les Pouvoirs Publics. S’il fallait dresser une liste de priorités à ce stade, cela commencerait tout simplement par une meilleure mesure de l’ampleur du phénomène. Clairement, l’opacité dans ce domaine nous paraît une parade dérisoire et presque… « criminelle ».

Par ailleurs, un important effort de recherche doit être accompli, au plan national et européen, pour rester dans la « course » à la sécurité informatique et, là, les Pouvoirs Publics doivent prendre conscience du rôle stratégique de cette industrie nouvelle, dominée à ce jour par les Etats-Unis et Israël

Enfin une réflexion sur le cadre législatif doit être menée  (y compris dans le cadre des réglementations en cours d’adoption, comme par exemple Bâle II dans le secteur bancaire), et là, le secteur privé, principale victime et meilleur connaisseur des réalités de terrain, doit participer activement aux débats. Car s’il est bien un domaine où la frontière entre le public et le privé n’a pas de sens, c’est bien celui-là…

 


Haut de page

.

Dernières mises à jour

12/11/2017
ACTU | RDV | OP à la conférence AEF (13/11/2017)

Lire la suite...