La maîtrise des risques et l’i t lli é il’intelligence économique
au CEA
Frédéric MARIOTTEFrédéric MARIOTTEDirecteur Adjoint
Direction Centrale de la SécuritéPôle Maitrise des Risques
Coordinateur de l’Intelligence Economique au CEA
Paris, GFII - Journée "IE et Recherche", 5 mars 2015
Domaines d’intervention du CEA
Énergies bas-carbone
Énergies bas-carbone
Technologies pour l’Information et
Technologies pour l’Information et
Recherchefondamentale(sciences du
Recherchefondamentale(sciences du
l Information etTechnologies pour la Santé
l Information etTechnologies pour la Santé
(sc e ces duvivant et de la
matière)
(sc e ces duvivant et de la
matière)Conception et exploitation
des TGIR
Conception et exploitation
des TGIR
Défense etDéfense et
des TGIR des TGIR
2
Défense et Sécurité Globale
Défense et Sécurité Globale
Implantation territoriale dans 9 régions
10 Centres de recherche
4 Plateformes régionales de transfert techno.(CEA T h)
Sciences de la matière, technologies logicielles, calcul intensif, biomédicalSaclay
Fontenay-aux-RosesMetz
(CEA-Tech)
Ile-de-France
Micro-NanotechnologiesNanobiotechnologies
Valduc
Bruyères-le-Châtel
y
Le RipaultNantesg
Nouvelles technologies de l’énergieRhône-Alpes
Grenoble
MatériauxCentre, Bourgogne
Nucléaire :Bordeaux
Cesta
Marcoule
Gramat
C d h
Nucléaire : Cycle du combustible et gestion des déchetsVallée du RhôneN lé i
ToulouseCadarache
Lasers et plasmasAquitaine
Nucléaire : Fusion, fissionBioénergies, solaireProvence-Alpes-Côte-d’Azur
33
Evaluation de la vulnérabilité DétoniqueMidi-Pyrénées
Maîtriser les risques dans un environnement en évolution
RisqueToute situation, tout évènement qui, s’il se produit, peut avoir des conséquences dommageables pour :a o des co séque ces do ageab es pou
• la sécurité et la santé des personnes ;• l’environnement ;
notre activité notre patrimoine ;• notre activité, notre patrimoine ;
• notre image.
Evolution importante de la perception et de l’acceptabilité du risque dans la société
Globalisation des échanges Opportunités / Risques
55
g pp q
Ouverture Protection
Maîtrise des risques au CEA
Maîtriser les risques : Identifier et analyser. Evaluer et hiérarchiser. Prévenir et réduire les conséquences potentielles. Cartographie des risques du CEA
Risques identifiés sur la base d’une « cartographie des processus » établie en liaison avec les pôles opérationnels et fonctionnels.
Garantie apportée sur taux de couverture. Niveau de risque = Asset Vulnérabilité Menace.
Asset : objectifs du CEA à préserver (COP 2015 - 2018) 37 risques identifiées (5 niveaux). Pour chaque risque : les conséquences, les causes et les parades.
Gérer la crise éventuelle.Gérer la crise éventuelle.
Pôle Maîtrise des Risques :Un rôle de cohérence d’interlocuteur des
66
Un rôle de cohérence, d interlocuteur des autorités de contrôle, de soutien aux unités
opérationnelles, de vigie et de contrôle.
Cartographie macroscopique des processus
‐ StratégieAdaptation des
Évaluationet contrôle
‐ Relations extérieures et partenariats
Gestion de crise
Processus de management
Exigencesdes clients
Satisfactiond li t
‐ Relations intern.
‐ Adaptation des moyens aux objectifs
Communication
et contrôle interne
et partenariats‐ Relations avec tutelles
des clientset desparties
intéressées
des clientset desparties
intéressées
Processus de réalisation liés aux missions du CEA
• Recherche, développement et innovationC i dé l l i i• Etat
• Tutelles• Autorités de sûreté
et de sécurité• Partenaires scientifiques et
• Etat• Tutelles
• Autorités de sûreté et de sécurité• Partenaires i tifi t
• Conception, développement et exploitationde grands outils de recherche scientifique et technologique
• Production ‐ Fabrication Assainissement Démantèlementscientifiques et
industriels• Clients industriels
• Personnel• Public
• Environnement
scientifiques et industriels
• Clients industriels• Personnel
• Public • Environnement
• Assainissement – Démantèlement
Processus support
urces
aine
s
port
que et
atique
ction
sites
ations
moine
tion
cière
ats /
tes
uctio
novation
llatio
n
tatio
n llatio
n
tien
ique
on
des
ntieux
rité
san
té
onnt
7
Ressou
huma
Supp
Techniq
inform
a
Protec
des s
install
patri m
‐Ges
finan
c‐A
cha
vent
Constru
et ré
nod’insta
Exploit
d’instal
‐Sou
jurid
i‐G
estio
conten
Sécu
Sûreté,
Envir o
Gestion administrative Gestion technique Soutien sécurité
Risque = Asset Vulnérabilité Menace
AssetAsset
MVulnérabilité( quand parades ) (~ cause du
i )
Menace
8
( q p )risque)
( quand parades )
Quelques risques liés à l’IE
Sécurité économiqueRSP3 Atteinte aux informations sensibles et protégées
RST2 Perte ou indisponibilité du système d’informationp y
RST4 Attaque des systèmes de contrôle des process
RSP1 Acte de malveillance sur installation sensible
Veille, influence, formation/sensibilisationRMP2 Perte de partenariat stratégique
RMS2 Perte de crédibilité liée à une stratégie inadaptéeg
RMS3 Changement des conditions externes (niveaux national / international)
RMP1 Perte d’image et de confiance
10
RMCo2 Inadaptation à l’évolution des moyens/vecteurs de communication
Pourquoi faire de l’IE au CEA ?
Les meilleurs suscitent la convoitise… 699 étrangers en contrat de
formation (stage post doc
754 dépôt de brevets en 2013 169 start-up technologiques
52 780 visiteurs au total*
formation (stage, post-doc, thésard, formation par
alternance) 835 CDD en 2014
(54 nationalités différentes)
15 505 missions* à l’étranger en 2014 …Un atout (mal exploité ?)
mais aussi une vulnérabilité
p g qcrées depuis 1972
27 pôles de compétitivité, dont 18 où le CEA est
administrateur(54 nationalités différentes) 27 Equipex , 33 Labex, 3 Idex
11
Le penseur et le tricheur, R. Doisneau
* centres civils CEA
Différents volets de l’IE au CEA
Veille stratégique• Bibliographique (publications, sources
ouvertes, …)
SensibilisationCollective / Individuelle
E i t DGSI
ProtectionDispositions règlementaires• Protection du Potentiel ST de la nation (PPSTn) , )
• Juridique: veille réglementaire, plaintes• Sur concurrents, partenaires,
fournisseurs stratégiques, …• Eudes économiques sur sociétés :
menaces/opportunités évolutions
• En interne CEA
• DGSI• …
( )• Protection des informations classifiées et
sensibles (IGI 1300)• Protection des SAIV (IGI 6600) • Protection des SI sensibles (II 901)• Politique de sécurité des SI de l’Etat (PM 2014)
Coordination IE
sif
sif O
fO
f
menaces/opportunités, évolutions, …• Sur d’éventuelles atteintes à l’image
Acquisition d’informationsSources internes :
• Politique de sécurité des SI de l Etat (PM 2014)• Protection du secret des affaires (confidentiel
industrie - en cours)• Procédures des investissements étrangers en
France liés à certains secteurs d’activité (Code d M hé Fi i )
Déf
ens
Déf
ens ffensifffensif
IESources internes :• Retour d’expériences• CR d’étonnement/d’opportunité suite à
missions• Conseillers nucléaires
des Marchés Financiers)• Confidentialité sur les secrets de fabrication
(Code travail) • Pas de communication à l’étranger en cas de
contentieux (Loi de 1968 et Code Pénal) DD ffSources externes : services état., indust.
« Influence »• Partenariats industriels et académiques
( )
Sécurité économique
Dynamique, Concurrentiel
Dispositions organisationnelles au CEA• Déclinaison de la réglementation• Règlement intérieur sur chaque centre CEA• Charte CEA réseaux sociaux
• Pôles de compétitivité (CEA 27/≈60)• Expertise pertinente et écoutée
(SGDSN, ministères, collectivités locales, contribution à réglementation…)
• Participation aux organisations
Politique de propriété industrielle
Protection :S
Valorisation
• Règle de protection des informations sensibles non classifiées
• Catalogue des activités sensibles• Clause confidentialité dans les contrats de travail• Accompagnement stagiaires
1212
1210 MARS 2015
Participation aux organisations internationales
• Participation aux groupes de normalisation « recherche »
• Communication (dont celle de crise)
• Secret• Brevet• Publication• Cahiers de
labo
Accompagnement stagiaires Livrets collaborateurs/référents
• Fournisseurs sensibles :- 15 secteurs stratégiques (HRIE, D2IE)- Partenaires stratégiques CEA
Missions du coordinateur IE au CEA
Elaborer la stratégie globale en matière d’intelligence économique du CEA f é à l li i bli d’i lli é iCEA, conformément à la politique publique d’intelligence économique, et coordonner la mise en œuvre de cette politique au CEA.
Identifier les compétences internes déployées au CEA et animer un Identifier les compétences internes déployées au CEA et animer un réseau de correspondants dans les directions opérationnelles et fonctionnelles.
Diffuser en interne CEA des informations pertinentes, les bonnes pratiques et les outils de diagnostic.
Procéder à une analyse d’opportunité sur l’harmonisation des pratiques.
Développer un volet pédagogique : sensibilisation de tous les acteurs du CEA et formation systématique des managersCEA, et formation systématique des managers.
Assurer la représentation du CEA auprès des autorités ministérielles et interministérielles du domaine (D2IE).
1313
interministérielles du domaine (D2IE).
Quelques recommandations pour le CEA
Poursuivre la protection des actifs (immatériels notamment):1
Poursuivre la protection des actifs (immatériels notamment): Identification des activités sensibles (catalogue).
Gestion de la confidentialité (hors classifié) : niveaux de protection, règles diffusion et de conservation des informations sensibleset de conservation des informations sensibles.
Sensibilisation et formation de tous les acteurs, du chercheur au manageur.
Améliorer la connaissance de son environnement : Coordination de la veille, du traitement et de la diffusion de l’information pertinente.
2
, p Anticipation des menaces et des opportunités.
CR d’étonnement et d’opportunité suite à une mission.
Identifier et connaître les réseaux d’expertise IE de confiance3
1414Vers une IE adaptée à nos besoins
Conclusions
Un contexte réglementaire : Lettre du PM sur l’action de l’Etat en matière d’IE 15 nov 2011 Lettre du PM sur l action de l Etat en matière d IE - 15 nov. 2011. Guide de l’IE pour la recherche - Juin 2012. PPSTN, Protection des SI sensibles, …PPSTN, Protection des SI sensibles, …
Une décision de l’Administrateur Général du CEA suite à un audit interne Création d’un Coordinateur à l’Intelligence Economique pour valoriser g q p
et contribuer à améliorer les actions IE déjà existantes au CEA.
Des actions très variées au CEA qui concourent déjà à l’IE : protection et maîtrise de l’information, sensibilisations, veille, publications, valorisation, engagement dans des structures et des projets internationaux, communication, normalisation, ….
Une cartographie des risques du CEA qui apporte des éléments concrets (conséquences, causes et parades) à la gestion des risques liés à l’IE.
1515
L’adhésion de tous au CEA pour une réussite de cette démarche.
Merci de votre attention
Frédéric MariotteDi ti t l d l é ité
Commissariat à l’énergie atomique et aux énergies alternativesC t d F t R | 92265 F t R C d
| PAGE 16
Direction centrale de la sécuritéDirecteur Adjoint
Centre de Fontenay-aux-Roses | 92265 Fontenay-aux-Roses CedexT. +33 (0)1 46 54 72 77| F. +33 (0)1 46 54 83 43
Etablissement public à caractère industriel et commercial | RCS Paris B 775 685 019
CEA