Matinée

• 8h30 : Accueil café et ouverture officielle par Laura Chaubard (DG de l’X) et Patrick Olivier (Directeur de Télécom Paris).
• 9h30 : Conférence institutionnelle – Stratégie nationale d’accélération cybersécurité par Benjamin Morin (SGPI).
• 10h00 : Conférence académique – Crypto Wars: Past, Present and Future par Bart Preneel (KU Leuven).
• 10h45 : Pause-café et session posters.
• 11h15 – 12h15 : Table ronde IA & Cybersécurité avec des experts de la CNIL, de l’ANSSI, de Thales, de l’X et de Télécom Paris/SudParis.
• 12h15 – 13h45 : Déjeuner et session posters.

Après-midi

• 14h00 : Conférence institutionnelle – Renforcer la compétitivité européenne et la souveraineté numérique par Benoît Chatelain (Sopra Steria).
• 14h30 : Conférence académique – CasinoLimit: An Offensive Dataset Labeled with MITRE ATT&CK Techniques par Valérie Viet Triem Tong (CentraleSupélec).
• 15h15 : Pause-café et session posters.
• 15h45 – 17h05 : Présentations de chercheurs d’IP Paris :
  • Fully homomorphic encryption : challenges and possibilities (Anamaria Costache, École polytechnique)
  • Sécuriser l’exécution dynamique de code dans un système embarqué (Pascal Cotret, ENSTA)
  • Chasing One-day Vulnerabilities Across Open Source Forks (Stefano Zacchiroli, Télécom Paris)
  • Information theory & cryptographic implementations (Olivier Rioul, Télécom Paris)
  • State Machine Issues in Network Stacks (IP Paris).

Clôture

• 17h15 : Intervention du général de corps d’armée Hervé de Courrèges, directeur de l’IHEDN et de l’Enseignement militaire supérieur.

L’ampleur et la complexité des cybermenaces ont fortement évolué avec le développement des technologies, des usages numériques et des réglementations. Les cyberattaques, désormais plus sophistiquées et ciblées, exploitent de nouvelles vulnérabilités "zero-day" et tirent parti de l’imprévisibilité du facteur humain, souvent perçu comme la première faille de sécurité.

Les audits et contrôles, qui étaient auparavant des photographies figées dans le temps, ne suffisent plus face à la rapidité de l’évolution des menaces.

La sécurité doit aujourd’hui être pensée de manière dynamique, avec une analyse continue des menaces et une vigilance proactive.

Le profil d’un ingénieur en cybersécurité moderne se distingue par une combinaison d’expertise technique et de compétences analytiques approfondies. En premier lieu, il doit maîtriser les technologies complexes de sécurité et de cryptographie ainsi que les infrastructures de réseaux et systèmes d’information. Cette base technique lui permet non seulement de repérer et de résoudre les failles de sécurité dans des environnements numériques complexes, mais également d’anticiper les risques technologiques émergents. Il s'agit d'un expert capable de naviguer dans des environnements techniques changeants, adaptant constamment ses pratiques aux nouvelles menaces et aux innovations.
 
Au-delà de l’aspect technique, l’ingénieur en cybersécurité doit également comprendre les dynamiques géopolitiques et les motivations stratégiques des cybermenaces internationales. Son rôle dépasse celui de simple analyste de sécurité : il doit savoir interpréter les intentions des acteurs étatiques et criminels dans le cyberespace, des motivations géopolitiques aux impacts sur les chaînes logistiques mondiales. Cette capacité d’analyse s’accompagne d’une réflexion stratégique qui prend en compte l’environnement international, ainsi que les implications juridiques et réglementaires propres au domaine de la cybersécurité, comme les directives de l’ANSSI en France ou le RGPD en Europe.
 
Enfin, un ingénieur en cybersécurité efficace doit posséder des qualités humaines et relationnelles essentielles, car il interagit avec divers acteurs de l’entreprise, de la direction générale aux utilisateurs finaux. En plus de sensibiliser aux bonnes pratiques de sécurité, il sait travailler en équipe et communiquer avec des profils variés, traduisant les exigences techniques en termes accessibles. Cette capacité d’interaction est cruciale pour intégrer la sécurité dans la culture organisationnelle et assurer une défense collective face aux cybermenaces, une responsabilité qui lui confère un rôle de guide et de formateur.
 
Des ingénieures au féminin
 
La féminisation des métiers de la cybersécurité progresse lentement mais sûrement, portée par des initiatives qui valorisent la place des femmes dans ce domaine stratégique. En France, le Cercle des Femmes de la CyberSécurité (CEFCYS) joue un rôle important en donnant de la visibilité aux parcours féminins et en cassant les stéréotypes associés aux métiers techniques. Grâce à des événements, des réseaux de mentorat et des actions de sensibilisation, le CEFCYS encourage de plus en plus de jeunes femmes à envisager une carrière en cybersécurité. Cette dynamique contribue à transformer l’image de ces métiers techniques, enrichie la diversité des discours, des sensibilités et des approches.

 

L’audit de sécurité nécessitent une approche globale, qui va bien au-delà de la simple détection des vulnérabilités techniques. Les cyberattaquants ciblent souvent les sous-traitants, considérés comme des maillons plus faibles car ils n'ont pas toujours les moyens suffisants ou la vision bout-en-bout, pour introduire des failles dans les systèmes principaux. En réponse, la cyberdéfense française renforce la collaboration avec les entreprises pour prévenir ces risques tout au long de la chaîne logistiques.

Pour garantir une analyse impartiale des risques, les entreprises doivent séparer les fonctions de gestion des risques et des systèmes d'information. Le recours à des auditeurs externes est souvent recommandé, surtout dans les petites structures, où les ressources internes sont limitées. Cette indépendance est essentielle pour établir un diagnostic fiable des vulnérabilités et proposer des stratégies de défense adaptées.

L’ingénieur en cybersécurité, véritable stratège, est un pilier de la sécurité des organisations dans le monde numérique actuel. En intégrant des compétences multidisciplinaires, il assure une défense proactive et contribue à la résilience des entreprises. Les menaces évoluant en permanence, il est crucial pour les ingénieurs en cybersécurité de s'adapter rapidement et de travailler en étroite collaboration avec tous les acteurs de la sécurité informatique. Pour aller plus loin dans la compréhension des enjeux de cybersécurité, des ressources telles que l’Agence Nationale de la Sécurité des Systèmes d'Information (l'ANSSI) offrent des perspectives essentielles sur les meilleures pratiques en matière de sécurité informatique.
 
À l’horizon 2030, les métiers de la cybersécurité en France devraient donc être marqués par une demande accrue de spécialistes et une diversification des compétences. Ils devront aussi faire face à des cybermenaces de plus en plus complexes, le secteur de la cybersécurité devrait non seulement se renforcer en effectifs, mais aussi développer des spécialisations pointues, notamment en intelligence artificielle appliquée à la sécurité, en cyberdéfense offensive et en protection des infrastructures critiques. En raison de l’importance stratégique des infrastructures sensibles (énergie, transport, santé), des experts en cybersécurité industrielle seront particulièrement recherchés pour anticiper et contrer des menaces sophistiquées qui évoluent rapidement.
 
Enfin, la coopération public-privé sera primordiale pour répondre efficacement aux cyberattaques. Les entreprises, les collectivités et les organismes publics, notamment l’ANSSI, renforceront leurs partenariats pour partager les informations en temps réel et pour développer une infrastructure de cyberdéfense nationale solide. De plus, des normes de cybersécurité seront imposées dans les entreprises à travers les cyberassurances.

DT : Le mois d’octobre, dédié depuis plusieurs années à la cybersécurité, a été particulièrement intense pour moi, bien que mes activités soient restées « discrètes ». En effet, en transition professionnelle vers le secteur privé depuis mon départ du ministère des Armées le 1er septembre, je n’ai, logiquement, pas eu l’occasion d’intervenir publiquement en tant que directeur des systèmes d’information ou de la cybersécurité comme je le faisais auparavant lors de tables rondes. Toutefois, j’ai pu participer à plusieurs événements consacrés à la cyber et à un projet de podcast qui sera diffusé très prochainement afin de partager mon expérience.
J’ai consacré une partie de mon temps à renforcer mon réseau dans le secteur de la cybersécurité. Ces rencontres régulières avec des acteurs clés du domaine me permettent de me tenir informée des dernières avancées et de « rester dans le coup ».
 
Ce mois de transition a également été l’occasion de poser les nouvelles bases de mon activité professionnelle dans le domaine du conseil en cybersécurité mais aussi de la formation et du partage d’expérience..

DT : Lorsqu’on aborde la question du profil type de l’ingénieur aujourd’hui, notamment dans un domaine aussi complexe que la cybersécurité, il est clair pour moi que la vision « traditionnelle » de l’ingénieur – focalisé presque exclusivement sur la technologie – est désormais insuffisante. Le monde évolue vers des défis qui exigent une vision bien plus large et intégrée, et cela se reflète dans les compétences que doivent acquérir les ingénieurs « modernes ».
 

• Il doit pouvoir articuler des compétences technologiques avec des connaissances géopolitiques, juridiques, normatives et humaines. En effet, la technologie est un pilier essentiel, mais elle ne suffit plus pour appréhender pleinement les enjeux actuels.
• Un ingénieur doit aujourd’hui comprendre les rapports de force mondiaux et les motivations des acteurs qui se disputent le cyberespace. La cybersécurité, par exemple, se joue souvent dans un contexte international où la compréhension des stratégies des États et des grandes entreprises est cruciale.
• Dans un espace où les frontières sont parfois floues, la connaissance des réglementations et du droit appliqué au cyberespace est essentielle. Un ingénieur moderne doit comprendre ce cadre pour garantir la conformité de ses actions et la sécurité des systèmes.
• L’ingénieur doit être conscient de l’impact de ses actions sur les autres, organisations ou individus. Dans un domaine où les risques pour la vie privée et la sécurité personnelle sont élevés, cette dimension humaine est indispensable pour anticiper et gérer les conséquences des usages numériques.
• La cybersécurité, comme beaucoup d’autres domaines techniques, repose sur une collaboration étroite entre experts de différentes spécialités. La capacité de travailler en équipe et de transmettre des informations complexes de manière claire et concise est devenue un atout majeur.

 

DT : Oui, les audits et les contrôles jouent un rôle central en cybersécurité. Ils sont des outils indispensables pour établir un état des lieux de la sécurité d'un système d'information, identifier les vulnérabilités, vérifier la conformité aux normes, sensibiliser les équipes aux enjeux et, enfin, mettre en place un plan d’action adapté. Cependant, je constate aussi que ces audits et contrôles, bien qu’essentiels, ont des limites qu’il est crucial de prendre en compte pour éviter une fausse impression de sécurité.
 
D’une part, les audits ne peuvent pas couvrir de façon exhaustive tous les risques. Les réglementations et les normes évoluent constamment, tout comme les technologies et les usages, et la vitesse de ces changements rend difficile la prévision de toutes les menaces potentielles. Par exemple, les attaquants exploitent des vulnérabilités dites "zero-day" – c’est-à-dire des failles non encore connues ou publiées au moment de l’audit – échappant ainsi à toute prévision.
 
Ensuite, le facteur humain est difficilement quantifiable, même si abordé dans périmètre des audits . Or, l’erreur humaine représente l’un des risques majeurs en matière de cybersécurité. Aucun audit ne peut garantir qu’un employé ne cliquera pas sur un lien malveillant ou ne commettra pas une erreur conduisant à une fuite d’information. Il est donc essentiel de compléter l’audit par des actions de sensibilisation régulières et adaptées aux comportements à risque.
 
De plus, les audits et contrôles offrent une image figée dans le temps . La cybersécurité doit évoluer au rythme des nouvelles menaces ; ainsi, un audit réalisé à un moment donné peut vite devenir obsolète. Afin de maintenir un niveau de sécurité élevé, il est recommandé d'effectuer ces évaluations de manière fréquente. Cela permet de s’assurer que les mesures de sécurité restent efficaces face aux évolutions rapides du paysage des cyber-menaces.
 
Enfin, l’objectivité des audits peut parfois poser problème s’ils sont exclusivement réalisés en interne et par des équipes rattachées à la direction des systèmes d’informations. Il faut éviter d’être trop « juge et partie ». Faire appel à des auditeurs externes est souvent une solution judicieuse pour garantir une évaluation impartiale du niveau de la sécurité.
 
Les audits et contrôles apportent beaucoup d’éléments mais ils ne répondent pas à tout et ne garantissent pas qu’une attaque ne pourra pas être réalisée avec succès. Ils ne sont qu’une partie d'une stratégie globale de gestion des risques, laquelle inclut aussi :
 

• Une veille technologique et une analyse continue des menaces, pour anticiper de nouvelles formes d’attaque.
• Des actions de sensibilisation régulières à l'intention des collaborateurs, afin qu’ils adoptent les bonnes pratiques de sécurité.
• Des tests d’intrusion réalisés par des équipes internes ou externes, voire sous la forme de « bug bounty ».
• La mise en place de dispositifs de sécurité dynamiques , tels que la surveillance des flux réseau, la détection d'intrusions et des procédures de réponse aux incidents.
• Le développement d'une culture de la sécurité au sein de l’entreprise, pour que chaque employé comprenne l’importance de la cybersécurité dans ses activités quotidiennes.

DT : La vision élargie des ingénieurs en cybersécurité se traduit concrètement dans la réalisation des audits et des contrôles de sécurité par une approche plus globale et plus contextuelle (quels sont les « événements redoutés » par les métiers). Cela Permet de rédiger des rapports plus complets et plus pertinents, les rapports de sécurité ne doivent pas se limiter aujourd’hui à une liste de vulnérabilités techniques, il faut intégrer aussi celles liées à l’humain, aux organisations et aux processus. Ils doivent prendre en compte les facteurs géopolitiques, juridiques et humains. Les recommandations formulées doivent être adaptées au contexte de l'entreprise et à ses objectifs stratégiques.

DT : C’est un sujet complexe qui concerne avant tout le secteur privé, et non l’Armée car l’État ne s’assure pas. Mais cela peut être inspirant dans la dynamique positive que cela induit.
 

• Audits préalables : Les assureurs, avant de proposer une couverture contre les cyber-risques, réalisent des audits pour évaluer le niveau de protection des systèmes d'information de l'entreprise. Cela permet de déterminer le niveau de risque et d'adapter les primes d'assurance en conséquence.
• Évolution des pratiques : Au début, certains assureurs ont accepté de couvrir les cyber-risques sans avoir une vision claire de l'impact potentiel et des coûts associés. Face à l'augmentation des cyberattaques et des demandes d'indemnisation, ils ont dû revoir leurs pratiques et mettre en place des audits plus rigoureux.
• Dilemme de l'assurance et du paiement des rançons : La question du paiement des rançons est un dilemme important pour les entreprises victimes de cyberattaques. Payer la rançon peut sembler être la solution la plus rapide pour récupérer ses données et préserver sa réputation, mais cela alimente le business des cybercriminels et encourage de nouvelles attaques. C’est donc à proscrire. Les assureurs ont un rôle pédagogique à jouer dans ce débat en incitant les entreprises à mettre en place des mesures de prévention et en les accompagnant dans la gestion des crises.

 
La question de l'objectivité des audits et de la nécessité d'une évaluation indépendante pour garantir la fiabilité des résultats est essentielle. C’est pourquoi il est essentiel de séparer la fonction DSI (Direction des Systèmes d'Information) de la fonction de gestion des risques et de la cybersécurité, afin d'éviter les conflits d'intérêts. Quand cela n’est pas possible, par exemple du fait de la taille réduite de l’organisme et du manque de spécialistes numérique / cyber, alors il faut mettre en place des processus sécurisant l’impartialité de l’auditeur et l’évaluation de ses performance, par exemple directement par le directeur général et non uniquement par le directeur des SI.

DT : Le mois d’octobre, dédié depuis plusieurs années à la cybersécurité, a été particulièrement intense pour moi, bien que mes activités soient restées « discrètes ». En effet, en transition professionnelle vers le secteur privé depuis mon départ du ministère des Armées le 1er septembre, je n’ai, logiquement, pas eu l’occasion d’intervenir publiquement en tant que directeur des systèmes d’information ou de la cybersécurité comme je le faisais auparavant lors de tables rondes. Toutefois, j’ai pu participer à plusieurs événements consacrés à la cyber et à un projet de podcast qui sera diffusé très prochainement afin de partager mon expérience.
J’ai consacré une partie de mon temps à renforcer mon réseau dans le secteur de la cybersécurité. Ces rencontres régulières avec des acteurs clés du domaine me permettent de me tenir informée des dernières avancées et de « rester dans le coup ».
 
Ce mois de transition a également été l’occasion de poser les nouvelles bases de mon activité professionnelle dans le domaine du conseil en cybersécurité mais aussi de la formation et du partage d’expérience..

DT : Lorsqu’on aborde la question du profil type de l’ingénieur aujourd’hui, notamment dans un domaine aussi complexe que la cybersécurité, il est clair pour moi que la vision « traditionnelle » de l’ingénieur – focalisé presque exclusivement sur la technologie – est désormais insuffisante. Le monde évolue vers des défis qui exigent une vision bien plus large et intégrée, et cela se reflète dans les compétences que doivent acquérir les ingénieurs « modernes ».
 

• Il doit pouvoir articuler des compétences technologiques avec des connaissances géopolitiques, juridiques, normatives et humaines. En effet, la technologie est un pilier essentiel, mais elle ne suffit plus pour appréhender pleinement les enjeux actuels.
• Un ingénieur doit aujourd’hui comprendre les rapports de force mondiaux et les motivations des acteurs qui se disputent le cyberespace. La cybersécurité, par exemple, se joue souvent dans un contexte international où la compréhension des stratégies des États et des grandes entreprises est cruciale.
• Dans un espace où les frontières sont parfois floues, la connaissance des réglementations et du droit appliqué au cyberespace est essentielle. Un ingénieur moderne doit comprendre ce cadre pour garantir la conformité de ses actions et la sécurité des systèmes.
• L’ingénieur doit être conscient de l’impact de ses actions sur les autres, organisations ou individus. Dans un domaine où les risques pour la vie privée et la sécurité personnelle sont élevés, cette dimension humaine est indispensable pour anticiper et gérer les conséquences des usages numériques.
• La cybersécurité, comme beaucoup d’autres domaines techniques, repose sur une collaboration étroite entre experts de différentes spécialités. La capacité de travailler en équipe et de transmettre des informations complexes de manière claire et concise est devenue un atout majeur.

 

DT : Oui, les audits et les contrôles jouent un rôle central en cybersécurité. Ils sont des outils indispensables pour établir un état des lieux de la sécurité d'un système d'information, identifier les vulnérabilités, vérifier la conformité aux normes, sensibiliser les équipes aux enjeux et, enfin, mettre en place un plan d’action adapté. Cependant, je constate aussi que ces audits et contrôles, bien qu’essentiels, ont des limites qu’il est crucial de prendre en compte pour éviter une fausse impression de sécurité.
 
D’une part, les audits ne peuvent pas couvrir de façon exhaustive tous les risques. Les réglementations et les normes évoluent constamment, tout comme les technologies et les usages, et la vitesse de ces changements rend difficile la prévision de toutes les menaces potentielles. Par exemple, les attaquants exploitent des vulnérabilités dites "zero-day" – c’est-à-dire des failles non encore connues ou publiées au moment de l’audit – échappant ainsi à toute prévision.
 
Ensuite, le facteur humain est difficilement quantifiable, même si abordé dans périmètre des audits . Or, l’erreur humaine représente l’un des risques majeurs en matière de cybersécurité. Aucun audit ne peut garantir qu’un employé ne cliquera pas sur un lien malveillant ou ne commettra pas une erreur conduisant à une fuite d’information. Il est donc essentiel de compléter l’audit par des actions de sensibilisation régulières et adaptées aux comportements à risque.
 
De plus, les audits et contrôles offrent une image figée dans le temps . La cybersécurité doit évoluer au rythme des nouvelles menaces ; ainsi, un audit réalisé à un moment donné peut vite devenir obsolète. Afin de maintenir un niveau de sécurité élevé, il est recommandé d'effectuer ces évaluations de manière fréquente. Cela permet de s’assurer que les mesures de sécurité restent efficaces face aux évolutions rapides du paysage des cyber-menaces.
 
Enfin, l’objectivité des audits peut parfois poser problème s’ils sont exclusivement réalisés en interne et par des équipes rattachées à la direction des systèmes d’informations. Il faut éviter d’être trop « juge et partie ». Faire appel à des auditeurs externes est souvent une solution judicieuse pour garantir une évaluation impartiale du niveau de la sécurité.
 
Les audits et contrôles apportent beaucoup d’éléments mais ils ne répondent pas à tout et ne garantissent pas qu’une attaque ne pourra pas être réalisée avec succès. Ils ne sont qu’une partie d'une stratégie globale de gestion des risques, laquelle inclut aussi :
 

• Une veille technologique et une analyse continue des menaces, pour anticiper de nouvelles formes d’attaque.
• Des actions de sensibilisation régulières à l'intention des collaborateurs, afin qu’ils adoptent les bonnes pratiques de sécurité.
• Des tests d’intrusion réalisés par des équipes internes ou externes, voire sous la forme de « bug bounty ».
• La mise en place de dispositifs de sécurité dynamiques , tels que la surveillance des flux réseau, la détection d'intrusions et des procédures de réponse aux incidents.
• Le développement d'une culture de la sécurité au sein de l’entreprise, pour que chaque employé comprenne l’importance de la cybersécurité dans ses activités quotidiennes.

DT : La vision élargie des ingénieurs en cybersécurité se traduit concrètement dans la réalisation des audits et des contrôles de sécurité par une approche plus globale et plus contextuelle (quels sont les « événements redoutés » par les métiers). Cela Permet de rédiger des rapports plus complets et plus pertinents, les rapports de sécurité ne doivent pas se limiter aujourd’hui à une liste de vulnérabilités techniques, il faut intégrer aussi celles liées à l’humain, aux organisations et aux processus. Ils doivent prendre en compte les facteurs géopolitiques, juridiques et humains. Les recommandations formulées doivent être adaptées au contexte de l'entreprise et à ses objectifs stratégiques.

DT : C’est un sujet complexe qui concerne avant tout le secteur privé, et non l’Armée car l’État ne s’assure pas. Mais cela peut être inspirant dans la dynamique positive que cela induit.
 

• Audits préalables : Les assureurs, avant de proposer une couverture contre les cyber-risques, réalisent des audits pour évaluer le niveau de protection des systèmes d'information de l'entreprise. Cela permet de déterminer le niveau de risque et d'adapter les primes d'assurance en conséquence.
• Évolution des pratiques : Au début, certains assureurs ont accepté de couvrir les cyber-risques sans avoir une vision claire de l'impact potentiel et des coûts associés. Face à l'augmentation des cyberattaques et des demandes d'indemnisation, ils ont dû revoir leurs pratiques et mettre en place des audits plus rigoureux.
• Dilemme de l'assurance et du paiement des rançons : La question du paiement des rançons est un dilemme important pour les entreprises victimes de cyberattaques. Payer la rançon peut sembler être la solution la plus rapide pour récupérer ses données et préserver sa réputation, mais cela alimente le business des cybercriminels et encourage de nouvelles attaques. C’est donc à proscrire. Les assureurs ont un rôle pédagogique à jouer dans ce débat en incitant les entreprises à mettre en place des mesures de prévention et en les accompagnant dans la gestion des crises.

 
La question de l'objectivité des audits et de la nécessité d'une évaluation indépendante pour garantir la fiabilité des résultats est essentielle. C’est pourquoi il est essentiel de séparer la fonction DSI (Direction des Systèmes d'Information) de la fonction de gestion des risques et de la cybersécurité, afin d'éviter les conflits d'intérêts. Quand cela n’est pas possible, par exemple du fait de la taille réduite de l’organisme et du manque de spécialistes numérique / cyber, alors il faut mettre en place des processus sécurisant l’impartialité de l’auditeur et l’évaluation de ses performance, par exemple directement par le directeur général et non uniquement par le directeur des SI.

Par Olivier de MAISON ROUGE
Avocat associé (Lex Squared) – Docteur en droit
Enseignant à l’Ecole de guerre économique (EGE)
Dernier ouvrage publié « Gagner la guerre économique », VA Editions (mars 2022)
Voir la biographie détaillée en fin d'article.
 

Les acteurs du droit ont pour mission de réduire l’incertitude dans un monde devenu plus incertain, notamment dans son environnement juridique.
 
A la lueur des nouvelles menaces économiques pesant sur les entreprises et les organisations, il est nécessaire de former des juristes aguerris aux rapports de force asymétriques dans le champ économique. L’intelligence économique est un levier qui s’inscrit précisément dans cette finalité face aux risques émergents.
 
Les dernières évolutions normatives et réglementaires intègrent précisément des approches par la gestion des crises et des risques qu’il appartient aux juristes d’anticiper pour faire bénéficier les dirigeants opérationnels de ces savoir-faires et d’un avis déterminant. La gouvernance et la conformité sont des ressorts juridiques au bénéfice des entreprises qu’il est nécessaire de maîtriser avec acuité.
 
Ce faisant, le droit se propose de mobiliser au profit de l’entreprise une réflexion juridique adéquate pour se protéger utilement contre les atteintes et les actes de malveillance et plus généralement pour maîtriser les risques juridiques contemporains liés aux marchés et à son environnement commercial et industriel.
 
L’objectif recherché étant de sécuriser et de faire valoir les droits incorporels et immatériels dont l’entreprise peut se prévaloir ; l’intelligence juridique aborde donc de manière transversale tous les aspects liés à la structure même de l’organisation de l’entreprise et de ses activités.
 
De nature pragmatique, la notion recourt à « une démarche organisée, au service du management stratégique de l’entreprise, visant à améliorer sa compétitivité par la collecte, le traitement d’informations et la diffusion de connaissances utiles à la maîtrise de son environnement. »[[1]]

Le droit de l'intelligence économique est un domaine du droit qui vise à protéger les intérêts économiques et industriels de l'Etat et des entreprises.

Il comprend notamment des règles relatives à la propriété intellectuelle, à la concurrence déloyale, au secret des affaires et à la protection des informations sensibles. Les articles pertinents incluent l'article R.631-28 du Code de la sécurité intérieure et l'article L.151-1 du Code de commerce.
 
Cependant, il n'existe pas de loi spécifique à l'intelligence économique en France, mais plutôt une combinaison de lois et de réglementations qui visent à protéger les intérêts économiques et industriels de l'Etat et des entreprises.
 
L'intelligence juridique peut ainsi être définie comme la capacité à comprendre, analyser et appliquer les règles et lois dans des situations complexes et/ou conflictuelles, tant de manière défensive qu’offensive. Cela implique une connaissance approfondie des textes juridiques, ainsi que la capacité à les interpréter et à les appliquer de manière pertinente, selon un angle stratégique.
 
Les professionnels de l'intelligence juridique doivent également être capables de rechercher des informations juridiques stratégiques, de les trier et de les analyser pour résoudre des problèmes juridiques contemporains. En somme, l'intelligence juridique est un ensemble de compétences clés pour tout professionnel travaillant directement ou indirectement dans le domaine du droit et de la justice.
 
Elle permet au juriste d’être un acteur stratégique d’aide à la décision.
 
De la même manière que l’Ecole libre des sciences politiques (devenue « Sciences Po ») a été fondée au sortir de la guerre de 1870 pour permettre aux élites de relever la France et de procéder à un réarmement culturel collectif, l’Ecole de guerre économique (EGE), s’efforce d’éveiller et de préparer les esprits aux luttes industrielles et commerciales contemporaines.

Afin de répondre aux défis du lawfare, l’EGE propose donc un MBA Management Stratégique & Intelligence Juridique qui s’adresse aux juristes qui veulent élargir leur champ de connaissances et acquérir un angle de vue à 360° sur les rapports de conflictualités économiques.
 

Olivier de MAISON ROUGE – Lex-Squared

Avocat (domaines de compétences : numérique, protection des données, secret des affaires, intelligence stratégique et sécurité économique, droit des affaires, protection du patrimoine informationnel).
Membre associé www.lex-squared.com
Docteur en droit. Diplômé de Sciences politiques. Auteur, enseignant.
Professeur associé à l’Ecole de Guerre Economique (EGE), directeur de programme du MBA Management stratégique et intelligence juridique, intervenant régulier à l’IHEDN et à l’Ecole Nationale de la Magistrature (ENM) où il est directeur de formation sur l’intelligence juridique et la protection du secret des affaires.
Membre du comité d’éthique du syndicat français de l’intelligence économique (SYNFIE). Coprésident de la commission Renseignement et sécurité économique de l’ACE (Avocats conseils de l’entreprise) et rédacteur en chef de la revue du syndicat.
Ancien rapporteur du Groupe de travail (Ministère de l’Economie et des Finances / SISSE) sur la transposition de la directive n°2016/943 du 8 juin 2016 sur le secret des affaires.
 
Ayant été amené au cours de sa carrière à défendre des entreprises confrontées aux tentatives d’espionnage économique et ingérences économiques (notamment pillage technologique), il a développé une véritable doctrine en matière de contre-mesures juridiques et de protection du patrimoine informationnel. Il est ainsi un des spécialistes de la sécurité des actifs incorporels et de leur valorisation.
Il contribue ainsi à l’élaboration de références et standards en matière de sécurité économique et de souveraineté en matière d’informations sensibles.
 

- Gagner la guerre économique. Plaidoyer pour une souveraineté économique et une indépendance stratégique, VA Editions, 2022
- Survivre à la guerre économique. Manuel de résilience, VA Editions, 2020
- Penser la guerre économique. Bréviaire stratégique. VA Editions, 2018
- Cyberisques. La gestion juridique des risques numériques, LexisNexis, 2018
- Le droit du renseignement - renseignement d’Etat, renseignement économique, LexisNexis, coll. Actualité, 2016
- Le Droit de l’intelligence économique. Patrimoine informationnel et secrets d’affaires, Lamy, coll. Axe Droit, 2012.

 

Géopolitique du numérique & Cyberisques

Géopolitique et cyberisques

Géopolitique du numérique & Cyberisques | lemondeinformatique

Olivier de Maison Rouge, Avocat, expert en intelligence stratégique, Professeur à l’EGE et à l’IHEDN, revient sur le contexte géopolitique et les cyberisques qui poussent les entreprises à revoir leurs stratégies numériques en général et stratégie Cloud en particulier.

https://themas.lemondeinformatique.fr/geopolitique-du-numerique-cyberisques/