Les entreprises et l’évolution du secret de la défense nationale

Visant à protéger les informations et supports dont la divulgation et auxquels l’accès est de nature à nuire à la défense et à la sécurité nationale, le secret de la défense nationale participe de la sauvegarde des intérêts fondamentaux de la Nation¹.

Par Jean-Michel Back

La protection du secret est une fonction qui doit être remplie avec le plus grand professionnalisme, en raison des enjeux vitaux qui sont impliqués et du sacrifice en matière de circulation de l’information, comme de transparence de la vie publique, que consent la Nation à son égard. Les conditions techniques de son accomplissement seront modifiées à l’été 2021, avec l’entrée en vigueur du dispositif de classification à deux niveaux (secret et très secret) et de la nouvelle instruction générale interministérielle 1300 sur la protection du secret de la défense nationale (IGI 1300). Loin d’être une révolution, cette réforme est une opportunité à saisir pour les entreprises.

La protection du secret de la défense nationale aujourd’hui

La divulgation d’une information ou d’un support classifié (ISC) à des personnes ou à des organisations non qualifiées peut avoir des conséquences particulièrement graves dans les domaines militaires ou diplomatiques mais aussi scientifiques ou industriels. Les exemples qui pourraient illustrer des actions d’espionnage sont rarement médiatisés, mais des ouvrages comme « France-Chine, les liaisons dangereuses » d’Antoine Izambard, permettent de lever un coin du voile.

Des mesures sont donc prises pour protéger les informations contre les services de renseignement étrangers et contre les personnes ou les organisations terroristes, criminelles, ou simplement subversives qui chercheraient à déstabiliser l’Etat ou la société. Ces mesures, conçues et mises en œuvre grâce au secrétariat à la défense et à la sécurité nationale (SGDSN) visent dans le même temps, à protéger les ISC contre les divulgations non intentionnelles, causées par exemple par la négligence des détenteurs.

Dans un Etat de droit et pour une société moderne et connectée comme les nôtres, ces mesures revêtent un caractère exceptionnel tant elles entravent la diffusion de l’information, en en refusant le libre accès aux chercheurs dans les archives, à la représentation nationale, et jusqu’aux juges ! Les documents classifiés ne sont en effet accessibles qu’aux personnes habilitées au bon niveau et justifiant spécifiquement du besoin d’en connaitre. Toute compromission, c’est-à-dire tout écart à ce principe d’accès très sélectif, est sanctionné par l’article 413-10 du code pénal et est considéré comme un crime en tant de guerre : celui de trahison.

La réforme du secret de juillet 2021

Depuis la fin de l’année 2015, le SGDSN a entamé la modernisation des mesures de protection des ISC, regroupées dans l’instruction générale interministérielle 1300 sur la protection du secret de la défense nationale (IGI 1300).

La disposition la plus médiatique de cette réforme, actée par la modification des articles R 2311-2 et R 2311-3 du code de la Défense² entrant en vigueur au 1^er juillet 2021, a consisté à recentrer le dispositif de protection des ISC sur deux niveaux (secret et très secret) au lieu des trois actuellement en vigueur (confidentiel défense, secret défense et très secret défense).

L’objectif poursuivi par ce futur dispositif est double : rendre plus rigoureuse la gestion des ISC et faciliter les échanges avec nos principaux partenaires étrangers. La plus grande rigueur sera « mécaniquement » acquise en évitant le recours au plus bas niveau de classification : l’utilisation débridée du confidentiel défense a eu comme effet au cours des années de faire proliférer les ISC, rendant leur traçabilité plus difficile à maîtriser. De plus, l’alignement de nos standards de classification et de protection nationaux sur les standards internationaux facilitera les coopérations tout en garantissant le respect de mesures de sécurité suffisantes de part et d’autre.

Enfin, appuyé par l’agence nationale de sécurité des systèmes d’information (ANSSI) le SGDSN a fixé comme but supplémentaire pour le futur texte de l’IGI 1300, qu’il prenne mieux en compte la dématérialisation croissante des informations. Si la version en vigueur décrit en détail la protection des ISC sur support papier tout au long de leur cycle de vie, des lacunes existent dès que l’information classifiée est dématérialisée. Pourtant aujourd’hui plus qu’hier, un document papier est réfléchi et rédigé depuis un clavier…

Les enjeux de la réforme pour le monde de l’entreprise

Certes, l’application de la nouvelle réglementation à compter du 1^er juillet 2021 générera des contraintes pour le monde de l’entreprise, car elle nécessitera de s’adapter à de nouvelles normes parfois plus contraignantes et d’en finir avec certaines habitudes, le tout sous la menace persistante de sanctions pénales. Elle obligera les directeurs de la sureté ou leurs officiers de sécurité (OS) à former les détenteurs de leurs organismes comme de ceux de leur sous-contractants à cette nouvelle IGI 1300 et à l’utilisation des nouveaux niveaux secret et très secret. Enfin, elle nécessitera très probablement des responsables sécurité des systèmes d’information (RSSI) une mise à niveau de sécurité des SI classifiés.

Pourtant, quelle que soit sa taille, l’entreprise a davantage à gagner de cette réforme qu’à perdre. Les dispositions réglementaires à venir donneront un cadre permettant de diffuser des informations classifiées à des organismes de confiance en dehors d’un contrat de sous-traitance. Ceci peut permettre à ceux qui en justifient le besoin de disposer, par exemple, d’analyses des menaces actualisées. De surcroit, comme indiqué précédemment, la réforme clarifie les règles applicables dans le cadre des contrats internationaux et les rend plus lisibles, ce qui facilite la candidature aux marchés à l’export, y compris pour des TPE.

La mise en œuvre des futures dispositions, et tout particulièrement de celles relatives aux systèmes d’information classifiés, va permettre aux entreprises d’améliorer encore leur protection et leur résilience face aux menaces cyber de plus en plus nombreuses. Elles pourront compter sur l’appui renouvelé des services de l’Etat, chargés de leur contrôle mais aussi d’une fonction de conseil en la matière.

Mais surtout, cette augmentation générale du niveau de protection des ISC conduit par capillarité à une meilleure prise en compte de la sureté des informations dans leur globalité. La réforme fournit ainsi aux entreprises soumises à l’IGI 1300 un avantage concurrentiel : le gage d’une prise en compte sérieuse des données, reconnu à l’international.

La réforme de la protection du secret à l’été 2021 modifiera indubitablement les pratiques dans l’entreprise, qui devra s’y adapter. Le passage d’un régime d’IGI 1300 à l’autre sera d’autant plus fluide qu’il aura été anticipé et que les collaborateurs de l’entreprise gérant et manipulant des informations ou supports classifiés auront été formés. La période de « transition » entre les deux systèmes, d’ici au 1er juillet 2021, est absolument à mettre à profit pour accomplir ces actions préparatoires et ainsi faire de cette réforme une opportunité de développement commercial, tant en France qu’à l’étranger !

L’auteur

Saint-Cyrien, breveté de l’Ecole de Guerre, Jean-Michel Back a été responsable de la conception de la politique de protection du ministère des Armées et, en tant que fonctionnaire de sécurité et de défense (FSD) l’un des contributeurs de la rédaction de la nouvelle réglementation sur la protection du secret de la défense nationale. Il est  consultant senior au sein du cabinet de conseil et de formation Cluster Défense Sécurité.

La compromission du secret de la défense nationale

Une information ou un support classifié est compromis lorsqu’une personne non habilitée ou n’ayant pas le besoin d’en connaître est susceptible d’en avoir pris connaissance.

Outre des sanctions pénales (jusqu’à 7 ans d’emprisonnement et 100 000 euros d’amende) l’auteur d’une compromission délibérée ou non, encourt l’abrogation de sa décision d’habilitation et des sanctions disciplinaires. Les personnes morales sont pénalement responsables des faits de compromission qui leur sont imputables et encourent, outre une peine d’amende, l’interdiction d’exercer dans le domaine d’activité dans lequel l’infraction a été commise.

Le groupe « protection de l’information sensible et protection du Secret » sur LinkedIn

Ce groupe est destiné à tous ceux (directeurs sûreté/sécurité, OCS et OS, OSSI, RSSI notamment) qui, au sein du monde de l’entreprise, s’intéressent à la protection des informations sensibles (au sens « mention de protection ») et à la protection du secret de la défense nationale (IGI 1300). Il ne traite que d’informations non protégées (https://www.linkedin.com/groups/8865834/)

1^Conseil constitutionnel, décision n° 2011-192 QPC du 10 novembre 2011.

2^Décret 2019-1271 du 2 décembre 2019