L’évolution de Sanofi face à l’espionnage industriel

Depuis de longues années, Sanofi est victime d’espionnage économique en raison de ses avantages concurrentiels et de la place stratégique qu’elle occupe dans l’écosystème français. Dès 2004[2], la police judiciaire enquêtait sur des actions témoignant de cet espionnage. Des vols d’ordinateurs et de documents confidentiels commis par des cambrioleurs « professionnels » ont ainsi été signalés. À l’époque, l’entreprise s’engageait sur le lancement du Rimonabant, qui constituait pour elle un enjeu industriel, stratégique et financier majeur[3]. Le Rimonabant était un médicament anorexigène contre l’obésité. Il s’agissait donc d’un produit phare pour Sanofi. Sa commercialisation allait procurer des profits conséquents et renforcer son positionnement économique. La position de la société et son rôle dans le système économique français était depuis longtemps la cible de convoitises.

Un groupe industriel sensibilisé par les affrontements économiques

Sanofi avait déjà été sensibilisée aux pratiques de la guerre économique lors du lancement de son OPA sur Aventis. Un avocat d’affaires affirmant représenter un cadre anonyme d’Aventis était prêt à trahir son camp et à fournir à Sanofi des informations stratégiques. L’ancien directeur général de Sanofi avait décliné la proposition puis identifié le cadre concerné après la fusion[4]. Il demeurait donc essentiel d’apprendre en continu de ces règles tacites afin de pouvoir réagir au mieux et faire évoluer les dispositions initiales de sécurité de l’information.

Sanofi, renforcé par cette expérience, a su intelligemment mettre en place les mesures de sécurité et sûreté adéquates pour renforcer son contrôle face à ces pratiques d’espionnage. En 2016, l’entreprise a même dû se justifier concernant la surveillance de ses salariés. La mise en place d’un système de surveillance avait alors été présentée comme un moyen de support pour les salariés plutôt qu’un moyen de contrôle de leurs activités[5]. La conduite du changement mis en place afin de favoriser un meilleur suivi et une plus grande réactivité face à cette guerre informationnelle s’est accompagnée d’oppositions. Le renforcement technologique des contrôles au sein de l’entreprise avait alors été considéré comme une intrusion par les employés.

Cette nécessité de réforme était une conséquence prévisible induite par les opérations d’espionnage chinois réalisées sur l’industrie française. La découverte en 2014 d’un centre d’espionnage chinois des communications européennes en banlieue de Paris renforçait les tensions entre les deux nations[6]. La dissuasion et la prévention étaient alors présentées à l’époque comme les méthodes les plus privilégiées pour résister face à cette ingérence étrangère. Cette guerre de l’information réalisée dans le but d’infiltrer l’entreprise afin de lui porter préjudice se faisait avec la participation de cyber-espions. La collaboration autour d’une politique d’intelligence économique sollicitant plusieurs acteurs s’était donc révélée indispensable pour accompagner ce changement. La lutte contre les attaques réalisées sur le patrimoine informationnel des entreprises demeure une des priorités de l’ANSSI.

Des attaques cyber mais aussi d'origine humaine

Ces espions ne prenaient pas exclusivement la forme de hackers anonymes. Sanofi a identifié une chimiste chinoise qui aurait espionné l’entreprise entre octobre 2008 et juin 2011[7]. L’espionnage peut aussi être légitimé comme dans le cas de la législation anticorruption américaine. Cela incombe aux entreprises faisant l’objet de poursuites judiciaires aux Etats-Unis de communiquer certaines informations qui pouvant s’avérer tenir du secret professionnel. La procédure d’investigation est alors prise en charge par la présence d’un « monitor » au sein de l’entreprise pendant quelques années. Ces individus peuvent ainsi être considérés comme des « espions légaux ». Les autorités américaines avaient engagé des actions judiciaires contre Sanofi[8]. Sanofi avait alors accepté de payer plusieurs millions de dollars pour régler le litige[9]. On comprend donc que l’accessibilité aux connaissances de l’entreprise par des intérêts étrangers prendra de nombreuses formes aussi bien internes qu’externes. Il demeure donc essentiel d’adopter une politique générale concernant les données des entreprises critiques.

La nécessité de protéger les recherches et données hautement confidentielles contre ces pratiques devient progressivement indispensable. Le renforcement de cette sécurité et de la protection des données a été incité par la mise en place du RGPD. Ce règlement a été saisi comme la possibilité de mettre en place une cartographie du système d’information de l’entreprise afin de pouvoir identifier les possibles intrusions, les défaillances, etc.[10]

La prise en compte de l'usage de l'intelligence économique

Une bonne compréhension de l’intelligence économique et de sa correcte mise en application dans l’entreprise a permis de contre-attaquer efficacement face à ces menaces. M. Éric Delbecque, expert en sécurité intérieure, saluait les efforts réalisés à l’époque par l’ancien directeur de Sanofi dans ses applications et la mise en place d’une meilleure politique de sûreté pour l’entreprise[11]. En 2013, cette politique de sûreté était exposée avec comme mission principale la lutte efficace contre ces menaces de guerre informationnelle. Ont été présentés comme les axes centraux de cette direction sûreté la protection des personnes, du patrimoine matériel et immatériel, la sécurité de la chaîne logistique d’approvisionnement et de distribution de médicaments et enfin la lutte contre la contrefaçon de médicaments. Ainsi la direction sûreté doit détecter ces tentatives de vol d’informations et mettre en place des process et des stratégies sûreté pour anticiper ces attaques[12]. Il demeurait essentiel de communiquer sur le renforcement de cette sécurité en faisant comprendre aux employés la menace d’espionnage industriel et les techniques utilisées par les espions pour exploiter les failles systémiques[13].

Malgré le renforcement des contrôles et procédures, on observe que des multinationales occidentales peuvent toujours être accusées par la Chine de pratiques ou comportements anticoncurrentiels. Sanofi, qui est dans la course au vaccin contre le COVID-19, peut redouter les opérations de déstabilisation menées sous la forme d’une guerre informationnelle contre l’entreprise. La nécessité d’un plan de continuité et reprise d’activité efficace s’est avéré indispensable pour la gestion de la crise par l’entreprise. En 2011, le rapport de responsabilité sociale de Sanofi indiquait la réalisation des audits nécessaires pour l’application de ces systèmes de reprise[14]. En 2019, le document d’enregistrement universel communiqué par Sanofi exposait publiquement la probabilité de cette situation de crise et ses éventuels impacts concernant l’espionnage industriel[15].

Les entreprises, comme Sanofi, qui ont participé à la stabilité systémique en situation de crise, sont particulièrement ciblées par les pratiques de la guerre informationnelle. L’évolution dans le temps de Sanofi face à ce type de menace lui a permis de se préparer efficacement à la crise actuelle. L’importance de la guerre informationnelle et ses répercussions ne sont pas à négliger et il demeure essentiel pour les entreprises critiques pour notre pays de s’en prémunir en sensibilisant leur personnel afin de prévenir et dissuader les futures attaques.

 

Groupe santé RSIC 2

 

 

Notes

[1] Le Figaro avec Reuters, « Coronavirus: Sanofi prévoit des essais à grande échelle pour son vaccin potentiel », 06/05/20 

[2] Eric Pelletier, « Des espions chez Sanofi ? », 11/07/05

[3] Idem

[4] Jacques Follorou, « Les espions d’entreprises », 18/12/06 

[5] Armelle Bohineust, « Sanofi se défend de surveiller ses salariés », 20/04/16

[6]  Hervé Gattegno, « Comment la Chine vole nos secrets », 04/12/14 

[7] Ekonomico, « Une espionne chinoise chez Sanofi-Aventis », 21/02/12

[8] Jacques Monin, « LE BOOM DE L’ESPIONNAGE ÉCONOMIQUE » 

[9] Nate Raymond, « Sanofi accepte de payer 11,85 millions de dollars pour régler un litige aux USA », 28/02/20 

[10] Marie-Céline Georg and Françoise Parisot, « La traduction dans l’industrie pharmaceutique : l’exemple de Sanofi », 2017

[11] Fabrice PELOSI, « IERSE : « L’intelligence économique n’est pas encore entrée dans les moeurs des entreprises françaises » », 09/01/09 

[12] Théodore SOUDAT, « Interview de M. Dominique WOLOCH, directeur Sûreté de Sanofi », 11/06/18 

[13] CDSE, « Entretien avec Edmond D’ARVIEU, Chief Security Officer SANOFI », 06/11/13 ;

[14] Sanofi, « RESPONSABILITÉ SOCIALE DE L’ENTREPRISE REPORTING 2011 », 2011

[15] Sanofi, « Document d’Enregistrement Universel 2019 », 2019