L' »Affaire Areva »: nouvelle bataille économique ou échec du contrôle de l’Etat?

On apprend par un article de Capital, « Affaire Areva: la monstrueuse amende qui menace la France« , que « la justice a discrètement prévenu début juillet les autorités françaises qu’elle pourrait lancer un procès pour corruption contre l’ex-fleuron tricolore de l’atome. »

Je vois d’ici les titres du genre « Nouvel épisode de la Guerre Économique des États-Unis contre la France » où l’on sous entendrait que les Américains sont prêts à tout pour racheter nos fleurons technologiques. Imaginez, après les turbines d’Alstom les réacteurs d’Areva!

Sauf que l’on se retrouve avec exactement le même schéma que pour Alstom: pour obtenir un contrat, une entreprise française a corrompu des décideurs politiques … Ah mais c’est illégal alors? Oui! Et cette fois les faits n’ont pas eu lieu en Indonésie mais aux États-Unis!

On aura beau dire que les États-Unis font pareil, les faits sont condamnables à deux titres: les faits en eux mêmes (sur-payer un achat d’entreprise/marchandise pour dégager une marge reversée à un décideur) et l’absence de contrôle des agissements du dirigeant impliqué.

Et cette fois on parle d’Areva, entreprise à 83% publique au moment des faits, dirigée par Mme Lauvergeon, déjà/depuis impliquée dans d’autres affaires financières en lien avec son époux (Après Uramin, nouveaux soupçons sur Olivier Fric).

Areva aurait racheté en 2010 une startup américaine, Ausra, spécialisée dans l’énergie solaire avec parmi ses actionnaires Al Gore l’ancien vice-président de Bill Clinton Al Gore. Ce rachat aurait été motivé par un projet de retraitement des déchets financé par l’État Fédéral (administration Obama).

Bien entendu, il faudra attendre la confirmation d’une condamnation après une éventuelle enquête pour pouvoir affirmer que les faits présentés par l’article de Capital, s’appuyant sur le travail d’un enquêteur privé (pour qui travaille-t-il?), sont bien de la corruption.

Mais si le faits étaient avérés, cela voudrait dire que les différents organes de contrôles de l’État ont laissé agir Mme Lauvergeon, ont laissé une entreprise publique corrompre une administration fédérale. C’est un échec légal, moral et stratégique.

Il est évident que les Etats-Unis utilisent leurs lois, qu’ils ont parfaitement le droit de voter et d’appliquer en tant qu’état souverain, à des fins économiques et stratégiques. Le vrai problème étant que ni la France ni l’Europe n’utilisent les mêmes moyens.

L’Europe qui n’est pas sortie de l’accord nucléaire avec l’Iran n’a presque aucun moyen de continuer de commercer avec avec l’Iran sans encourir pour ses entreprises ou ses états membres des sanctions qui pour être unilatérales n’en sont pas moins légales.

La loi, dite Sapin II, n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique n’est entrée en vigueur qu’en 2017. Mais le délai de prescriptions des faits de corruption ne court qu’à partir de la découverte de ceux-ci.

Même en tenant compte de cela, la corruption d’agents publics étrangers était bien illégale en 2010. Les agissements d’au moins 1 personne, la PDG en l’occurrence, pourraient avoir des effets économiques et financiers considérables sur le secteur nucléaire français.

Le schéma est le même dans les cas Areva, Alstom et Airbus: le dirigeant ultime est personnellement impliqué mais peut dans certains cas échapper à toute sanction, soit parce qu’il passe un accord avec la justice américaine soit parce la justice française ne semble pas empressée de le poursuivre!

Dans les déclarations publiques à ce sujet, on accuse toujours les États-Unis de duplicité et d’appliquer leurs lois de façon extraterritoriale: pratiquement pour trouver une banque qui n’est pas exposée au dollar ou une entreprise international absente du marché américain c’est compliqué.

Au delà de la question du droit se pose la question du renseignement en la matière: s’il est de notoriété publique que la Chine, la Russie, le Brésil, etc. ou même des états européens sont corrompus et corrupteurs, on peut douter que les administrations spécialisées n’aient pas des preuves à leur encontre et celle de leurs sociétés.

Pourquoi ne pas les poursuivre dans ce cas? Parce que, comme pour les États-Unis, on passe de la dimension strictement légale à la dimension géopolitique et diplomatique. La loi Sapin II prévoit la possibilité de contrôler des sociétés étrangères en France. Quand l’Agence Française Anticorruption le fera?

Quels qu’en soient les objectifs, corrompre est illégal, même pour contrer « un concurrent qui fait pareil ». Cela fait prendre un risque pour la réputation et la survie des entreprises et donc de leurs employés, mais aussi aux investisseurs qui doivent prendre leurs responsabilités.

Ceci dit, plutôt que toujours faire porter le chapeau aux entreprises, il faudrait rappeler que ce sont le plus souvent les politiques et les fonctionnaires d’un pays qui sollicitent une entreprise pour l' »aider » à remporter un contrat.

Donc aux états de prendre leurs responsabilités, à commencer en Europe, pour éviter ce fléau à grande échelle qui a en plus des répercussions sociales des liens directs avec la criminalité organisée et le financement du terrorisme.

En attendant ne tentons pas de camoufler nos propres fautes, répétées et connues, en accusant les autres de défendre leurs intérêts et d’appliquer leurs lois.

 

Is the Mafia Taking Over Cyber Crime? Not Really

Is the Mafia Taking Over Cyber Crime? Not Really
From Black Hat 2018: Unlike the popular narrative that the Mafia is not only getting involved in cyber crime, but taking a leading role in the enterprise, the truth is a lot more complicated

The nexus of conflict and illicit drug trafficking – Syria and the wider region

The nexus of conflict and illicit drug trafficking – Syria and the wider region http://ow.ly/nBTq30bnTxl

Faut-il plus de cybersécurité, de cyberdéfense ou de cyber-renseignement ?


Image 20170306 20767 chdzgs
Exercice de cyber-défense à l’académie militaire de West Point en avril 2016.
Army Cyber/Flickr

Pierre Memheld, Université de Strasbourg

Aujourd’hui nous subissons, que ce soit dans le domaine économique/privé ou politique/public une quantité telle d’attaques qu’il est difficile de faire autrement que réagir. Les enjeux financiers ou électoraux, quand il ne s’agit pas des opérations extérieures, font que les autorités mobilisent des moyens de plus en plus importants, même s’il est parfois difficile d’attribuer la cyberattaque à telle ou telle partie. The Conversation

S’agit-il seulement de réagir, de se prémunir ou d’anticiper les attaques dans le domaine cyber, dans une dimension parfois perçue comme virtuelle, mais dont l’impact est concret dans les domaines économiques, militaires et diplomatiques ?

Les données personnelles, comme les codes d’accès bancaires, sont volées et revendues. Les données essentielles des entreprises, ou des hôpitaux, sont prises en otage puis libérées contre rançons payées en bitcoins. Les campagnes électorales sont influencées par la révélation d’informations compromettantes, sur un plan personnel ou financier.

La diffusion sans limite des localisations et matériels d’unités militaires en opération est facilitée par l’omniprésence et l’hyperréactivité des réseaux sociaux. Tout se passe, semble-t-il dans la dimension cyber, sans que les modes d’action soient réellement nouveaux, puisque les attaques de réseaux ou la désinformation sont des moyens anciens.

S’agit-il d’attaques hautement techniques ou de simples négligences humaines ? Selon les exemples cités : les emails des adhérents/soutiens d’un candidat français sont directement accessibles car le site Internet de sa campagne est mal sécurisé ; l’utilisation trop fréquente des mêmes mots de passe basés sur nos vies personnelles est une faille ; les méthodes de « social engineering » qui permettent d’initier un virement au profit du hacker sont méconnues ; la publication non sécurisée de données personnelles sur Facebook représente un risque de vol d’identité ou de « social engineering » ; un encore la cadeau/achat de clés USB piégées pour avoir accès à des réseaux sécurisés.

De la sécurité à l’action dans le domaine cyber

Face à ses menaces, l’État renforce ses moyens d’action, avec la création d’un Commandement de cyberdéfense par exemple pour les armées, mais aussi une action au niveau individuel avec la création d’un dispositif national d’assistance aux victimes créé par l’ANSSI (ACYMA).

Entre ces deux extrêmes, l’ANSSI, et les ministères concernés, accompagnent les Opérateurs d’intérêt vital (OIV), devant renforcer la sécurité de leurs systèmes d’informations, ou publient des guides d’hygiène information ou de bonnes pratiques dans les différents usages informatiques.

La tâche est sans fin puisque tous les aspects et secteurs utilisant le numérique sont concernés : des viticulteurs, des menuisiers ou des imprimeurs sont attaqués et perdent leurs données, la conséquence pouvant être la fermeture définitive de ces PMEs et donc la disparition d’emplois. L’Internet des objets démultiplie les brèches ouvertes aux hackers : caméras de surveillance, réfrigérateurs connectés ou robots (industriels, médicaux ou agricoles) et même jouets. Si les grandes entreprises, OIV ou non, ont les moyens de sécuriser leurs réseaux, elles sont tout autant ciblées et victimes.

D’après les chiffres d’une étude menée par l’Usine nouvelle et Orange Business Service en 2016, 56 % des entreprises industrielles interrogées reconnaissent avoir été victimes de cyberattaques, un chiffre en hausse de 5 % par rapport à 2015. Et ce malgré les mesures prises ou les sensibilisations effectuées en interne ou par les services habilités, dont par exemple la Gendarmerie Nationale. Une autre étude pointe les disparités de perception des responsabilités et de l’impact de la cybersécurité entre les responsables IT et les dirigeants d’entreprises, le management de la sécurité.

Quelle est la nature des menaces cyber ?

Comme le montre cette dernière étude, les entreprises considèrent que les menaces ont les origines suivantes : une erreur ou une imprudence humaine ; un employé corrompu ou démotivé ; un individu ou un groupe isolé, extérieurs à l’entreprise ; des concurrents ; des organisations criminelles ; des organisations idéologiques (Anonymous) ; des organisations étatiques. Que l’origine des menaces, ou des failles, soient internes ou externes, il s’agit avant tout d’une question de coordination de la sécurité au niveau de l’ensemble de l’entreprise, pas seulement du service IT.

Il ne s’agit plus simplement que les employés ou les cadres soient sensibilisés mais bien formés aux problématiques techniques (en fonction de leurs implications), aux menaces récurrentes ou émergentes (nécessité d’un plan de veille spécifique) et à la coordination interne : que les « approches » directes des personnes (par e-mail ou par téléphone) soient signalées ; que les bonnes pratiques soient appliquées à tout niveau ; que les personnels soient responsabilisés au vu des enjeux économiques et sociaux. Seule la formation, continue ou initiale, peut couvrir ces besoins.

Séminaire cyberconflictualite et forces armées à Saint-Cyr.
defense.gouv.fr

Or en France, même sur les profils de spécialistes la demande (emplois) est supérieure à l’offre (diplômés). Sciences Po Paris ou le Lycée Militaire de Saint-Cyr ont récemment annoncé la création de cursus dédiés à la sécurité et au cyber. Mais les écoles de commerce ou d’ingénieurs n’ont pas généralisé l’enseignement des principes de sécurité, sans même parler de cybersécurité, y compris dans les cursus où l’informatique (réseaux ou logiciels) est abordée. Comment donc former les futurs personnels, mais aussi et surtout les personnels en activités ?

Faut-il développer le renseignement d’origine cyber ?

La liste de l’origine des menaces est révélatrice : des individus, des concurrents, des groupes et des organisations. Il serait utile d’approfondir l’étude de l’emploi par les organisations criminelles de hackers réputés indépendants par nature. Celles-ci ont des modes de fonctionnement équivalent à ceux des entreprises, mais avec des modes d’action illégaux : objectifs de parts de marché, offres de service différenciées, diversification ou spécialisation des activités (production, transport, revente) mais aussi externalisation à des prestataires de services.

Le « marché » du rançonnage est en pleine croissance car il implique peu de risques physiques directs, contrairement à la production/distribution de drogues, des moyens limités (hackers et ordinateurs), des revenus moins élevés que d’autres activités mais un marché mondial. Tout comme pour le « cyber-djihadisme », l’analyse des modes de communications et d’actions des organisations criminelles améliorerait notre capacité de réaction voire d’anticipation. Il ne s’agit pas de se murer derrière des firewalls et des procédures mais de se renseigner sur un adversaire, la cyber intelligence.

Les entreprises mettent elles en place des solutions anti cyberattaques ?
Sekurigi

L’adversaire peut être économique (concurrents ou criminels), militaire (états ou mouvements terroristes) et politique (états ou concurrents). Pour en revenir aux failles humaines, le fait que des emails de responsables soient facilement accessibles, car non protégés, ou que nous ne soyons pas capables de répondre à de la propagande sur Internet, est une faute grave que ces adversaires ont tout loisir d’exploiter. Nous sommes responsables collectivement de ces manquements car les méthodes existent au niveau de la sécurité, de la formation ou de la vérification de l’information.

Il est possible de vérifier qui est l’émetteur d’un e-mail avant de cliquer sur un lien d’hameçonnage ou de renforcer nos mots de passe. Il est possible de cloisonner les droits d’administration et d’utilisation d’un réseau information, ou de le rendre inaccessible aux anciens employés. Il est possible, pour les services habilités mais aussi des hackers « noirs », d’avoir accès aux messageries sécurisées.

La diversité des menaces, des acteurs, donc des interactions peut être vue comme une série de cyber-conflictualités plutôt qu’une cyber-guerre, même si le concept est parlant.

Pierre Memheld, Responsable du Master Intelligence Economique et Gestion du Développement International, Université de Strasbourg

La version originale de cet article a été publiée sur The Conversation.

Identifying Bribery Risk in Emerging Markets ‹ Corporate Compliance Insights

Companies are increasingly turning to emerging markets for new growth opportunities as developed markets become saturated. When we hear the term emerging markets, we typically think of the BRIC countries – Brazil, Russia, India and China – but other countries, such as South Korea, Mexico, Indonesia, Turkey, Saudi Arabia and Iran may also qualify. The economies in these countries are growing, but are not yet as large, liquid or accessible as those in more mature markets.

Source : Identifying Bribery Risk in Emerging Markets ‹ Corporate Compliance Insights

SME / SMI : mitigate the legal risk internationally

SME and SMI can be exposed to various criminal risks in their international operations: funds’ extorsion, corruption’s request, money laundering, hostile takeover.

The often overlooked link between drug profits and terror

The often overlooked link between drug profits and terror
The use of illegal drugs in funding terrorism needs greater consideration, writes Robert Rotberg.

%d blogueurs aiment cette page :