Espionnage, cyberattaques, campagnes d'influence... Un rapport parlementaire appelle à passer à l'offensive pour protéger les entreprises stratégiques de défense

Le niveau de menaces n'a jamais été aussi élevé pour les entreprises de défense françaises : entre 500 et 550 atteintes par an, plus de 750 alertes de sécurité économiques en 2024, soit deux fois plus qu'en 2020, des cyberattaques de plus en plus sophistiquées… Le constat est alarmant. "La France fait face à une intensification sans précédent de la guerre économique", alerte le député Christophe Plassard, auteur d'un rapport d'information présenté à la mi-juillet à la Commission des finances de l'Assemblée nationale.

"La guerre économique n'est pas un concept abstrait, c'est une guerre du réel", poursuit le député, qui appelle à "la fin de la naïveté", pour défendre la base industrielle et technologique de défense (BITD) et les intérêts stratégiques de la France.

Des menaces "protéiformes"

Les menaces qui pèsent sur les entreprises de défense françaises sont "protéiformes". Selon le rapport d'information, un tiers des "actions hostiles" ont trait à de l'espionnage, des recrutements ciblés, des indiscrétions internes. Les atteintes physiques (intrusion, sabotage), ont "quasiment doublé", en un an, indique Christophe Plassard. Quant aux cyberattaques, elles "explosent" et affichent une hausse de plus de 15% en un an, soit plus de 4.000 incidents de sécurité répertoriés par l'Agence nationale de la sécurité des systèmes d'information (Anssi) en 2024.

Parmi les autres types de menaces, le rapport répertorie également les attaques capitalistiques : des entreprises fragiles financièrement qui peuvent faire l'objet d'une prise de contrôle hostile ou bénéficier d'investissements étrangers susceptibles d'aller à l'encontre des intérêts nationaux. Quant aux campagnes d'influence – attaques réputationnelles ou appels au boycott – elles sont souvent menées à distance et visent principalement à détruire la réputation de l'entreprise ou à bloquer des contrats export. Le rapport précise qu'environ un tiers des attaques concernent les secteurs de l'aéronautique et du spatial.

Il rappelle par ailleurs qu'une partie de la vulnérabilité des entreprises de la BITD est liée à la dépendance à des matériaux et composants spécifiques et que l'Europe dépend "à plus de 90%" de sources externes d'approvisionnements pour certaines matières première critiques telles que le titane, les terres rares, le cobalt ou encore le nickel, mais aussi de pièces types composants électroniques, qui sont essentiels pour la production d'équipements militaires.

"Toute rupture d’approvisionnement, même temporaire, peut conduire à un arrêt de production et entraîner des difficultés en cascade", prévient le député dans son rapport.

Le cas du "lawfare" américain

Le rapport pointe également le danger du "lawfare" américain, l'usage stratégique du droit, un concept qualifié de "véritable arme pour favoriser les entreprises américaines au détriment de leurs concurrents". La règlementation "Itar", le Patriot Act et le Cloud Act sont trois exemples emblématiques de la puissance américaine pour désavantager la concurrence en matière industrielle. La règle "Itar", pour International Traffic in Arms Regulation, s'applique à tout matériel de guerre intégrant un composant américain, soumis à des restrictions d'exportation ou réexportation, sauf autorisation expresse.

Le Patriot Act (adopté en 2001) et le Cloud Act (2018) renforcent les moyens américains d'accès à des données potentiellement sensibles, en permettant au FBI d'exiger la transmission de données même à des entreprises localisées hors des États-Unis. C'est un des risques qui est pointé lors de la mise en œuvre de services tels que Microsoft au sein d'entreprises de défense ou même du ministère des Armées. Récemment, c'est la migration vers Microsoft de l'École Polytechnique qui a fait polémique, La Lettre évoquant les dangers liés aux lois extraterritoriales américaines pour la protection des données sensibles.

Selon le rapport, qui cite une audition de représentants de Microsoft par le Sénat, "bien qu’un tel cas ne se fût encore jamais présenté, la possibilité que l’entreprise soit juridiquement tenue de communiquer aux autorités américaines des données confidentielles de leurs clients ne pouvait être exclue".

Des ennemis économiques… parfois alliés stratégiques

Si la Chine ou la Russie sont les premiers noms de pays qui viennent à l'esprit lorsqu'on évoque des adversaires économiques, le danger peut également venir de pays "amis". Ainsi, les États-Unis, un pays allié de la France sur le plan stratégique et militaire, est dans le même temps un sérieux concurrent sur le plan économique.

C'est d'ailleurs en ce sens que le rapport met l'accent sur le "lawfare" américain, destiné à protéger les intérêts stratégiques des entreprises nationales.

"Il ne s’agit pas de condamner ces pratiques, mais d’appeler à la fin de la naïveté pour défendre, nous aussi, nos intérêts", déclare le député.

Les PME sont les plus vulnérables

"La force d'une chaîne dépend de son maillon le plus faible", énonce le rapport d'information, précisant que "[les] points faibles sont [les] PME".

Ce sont en effet les PME, ETI et autres start-up qui concentrent plus de 80% des atteintes répertoriées. Et en particulier, les entreprises considérées comme "critiques", c'est-à-dire celles sans lesquelles la production de systèmes d'armes ne peut être assurée. Au total, la Direction des entreprises de défense de la Direction générale de l'armement (DGA) chiffre à environ 1.000 le nombre de sociétés "pour lesquelles une défaillance aurait un impact majeur sur les programmes d'armement".

"Ce sont des sociétés dont on sait que si elles venaient à faire défaut, il nous faudrait plusieurs années pour reconstituer une chaîne", explique la DGA à BFM Business.

Il peut s'agir d'une entreprise produisant un circuit électronique imprimé absolument clé, une ETI dont l'activité défense n'est pas la principale source de chiffre d'affaires et qui fait face à des difficultés financières, d'une société fabricant des pièces mécaniques particulières… La DGA cite notamment à BFM Business l'exemple d'une entreprise duale – dont l'identité n'est pas dévoilée – qui affiche un chiffre d'affaires de moins de 5% pour la défense, mais qui construit une pièce très spécifique, sans laquelle le système d'armes ne peut pas être produit.

Pour protéger ces entreprises, la DGA a mis en place un système d'accompagnement spécifique pour minimiser les risques d'atteintes, qu'elles soient physiques ou numériques.

Des chantiers prioritaires

Les conclusions émises par Christophe Plassard sont claires : "plutôt que de céder à la naïveté ou de sombrer dans la frilosité, il faut assumer une posture offensive, pragmatique et ouverte à l’innovation et à la coopération européenne".

Il conseille dans son rapport la mise en œuvre de "manœuvres plus offensives" : "On ne peut pas se contenter de subir en permanence, il faut ans certains cas être proactifs".

Parmi les 16 recommandations émises, le député préconise entre autres l'augmentation des moyens humains et budgétaires des principaux services chargés de la protection des entités stratégiques, la mise en place d'une règle "Itar" à l'échelle européenne ou encore le renforcement de la protection des organismes de recherche. Lors de la présentation du rapport, Christophe Plassard concluait son propos en évoquant "un appel à la mobilisation collective, lucide et déterminée".