La sécurité économique des pôles de compétitivité

Rapport déclassifié le 5 avril 2012 à la demande de l’émetteur

Jean-Michel Jarry,

Coordinateur ministériel à l’intelligence économique, par intérim

Rapport au ministre en charge de l’industrie et de l’économie numérique

page 3/50

Version 2.1

L’objet du présent rapport - conformément à la lettre de mission du ministre en charge de l’industrie, de l’énergie et de l’économie numérique, Eric Besson, au Coordonnateur ministériel à l’intelligence économique des ministères économique et financier - est de procéder à un état des lieux des dispositifs de sécurité économique des pôles de compétitivité, notamment en matière de sécurité des plateformes d’échanges d’informations, et de proposer les mesures à prendre dans la perspective de la nouvelle vague d’investissements d’avenir de l’Etat1.

Résumé

La sécurité économique des pôles est envisagée en considérant leur dynamique spécifique qui est celle d’un écosystème composé d’agents hétérogènes qui ne partagent pas, de premier abord, de finalité ni d’intérêt commun. L’appropriation des enjeux de sécurité économique dépend de la dynamique interne des acteurs et de leur capacité à faire émerger des enjeux stratégiques communs et des règles de fonctionnement.

Ouvert par nature, un pôle ne peut être physiquement sécurisé et la sécurité optimale réside dans la rapidité du processus d’innovation qui permettra à une innovation de parvenir à maturité sur un marché. La sécurité économique est donc liée pour une large partie à la réduction des échanges administratifs qui font peser une charge sur les porteurs de projet, ralentissent le processus d’innovation et multiplient les sources de fuite.

Une démarche de sécurité économique est donc une démarche d’architecture des processus organisationnel s du pôle, au-delà de la sécurisation des plateformes d’échanges d’informations. En cela, elle constitue un élément clé de la compétitivité des pôles.

Le rapport :

- Analyse la question de la sécurité économique des pôles de compétitivité comme un problème d’architecture des relations et des échanges entre les acteurs sur quatre périmètres : le pôle et sa plateforme d’échange numérique d’informations, le pôle et les porteurs de projets dans leurs relations avec les financeurs, les relations avec les acteurs administratifs et les fournisseurs. Les principales sources d’insécurité proviennent de la circulation de documents papiers qui devront disparaître à terme, grâce à la conception d’une architecture appropriée d’échanges d’informations pour l’instruction des projets et la collaboration entre partenaires des projets.

- Dresse l’état des lieux des pratiques actuelles de sécurité économique à partir d’une enquête réalisée par les CRIE (Chargés de mission régionaux à l’intelligence économique) sur le territoire national.

- Etablit des propositions d’actions au service de deux objectifs : renforcer l’appropriation nécessaire de la protection de l’innovation et établir un cadre institutionnel structurant et fédérateur qui s’inscrit dans une démarche de simplification administrative et de sécurité des investissements de l’Etat.

1 Ce rapport, initialement présenté en « diffusion restreinte spécial France », a été remis au ministre complété par une annexe classifiée « Confidentiel Défense ». Déclassifié à la demande de l’émetteur le 5 avril 2012.


page 5/50

Version 2.1


page 6/50

Version 2.1

La sécurité économique des pôles de compétitivité


page 7/50

Version 2.1

Liste des personnes rencontrées :

52 dirigeants de pôles ont été interrogés, à partir d’un questionnaire, par les Chargés de mission régionaux à l’intelligence économique (CRIE)

Des entretiens d’approfondissements ont été menés e n direct par le responsable du rapport :

M. François CUNY, adjoint au Délégué général, Pôle System@tic

M. Nicolas DAUBRESSE, Responsable des pôles de compétitivité, DATAR

M. Sylvain DORSCHNER, Délégué général, Pôle System@tic, Club des pôles mondiaux

M. Jean-Yves LONGERE, directeur du pôle PEGASE

M. Guilhem MONTI, Chargé de mission R&D, pôle PEGASE

M. Erwan SALMON, Conseiller au Développement économique, à l’enseignement supérieur, à la Recherche et aux TIC, Association des Régions de France

M. Ludovic VALADIER, Responsable du département partenariats et compétitivité, Agence nationale pour la recherche

M. Ludovic WEBER, Directeur de cabinet du Directeur général de la compétitivité, de l’industrie et des services

Membres du groupe de travail :

M. Philippe AZIMONT, DCRI

M. Dominique CHARNASSE, SCIE

M. Jean-Claude CARLU, OSEO

M. Dominique CHANDESRIS, ANSSI

Mme Stéphanie DUPONT, DCRI

Mme Aurélie FAITOT, DGCIS

M. Jean-Michel JARRY, SCIE

M. Fabrice LEROY, DGCIS

M. Manuel MARCIAUX, SCIE

Mme Laetitia MONTANIER, OSEO

M. Jean-Michel YOLIN, CGIET

Rédacteur :

M. Claude ROCHET, SCIE



page 8/50

Version 2.1



page 9/50

Version 2.1

TABLE DES MATIERES

Objet et méthodologie du rapport ................... ...................................................... 11

Synthèse des propositions........................................................................................ 15

Partie I - La problématique de la sécurité économique des pô les................. 17

A) Comment rendre les règles applicables ?................................................ 18

B) Comment rendre les règles de sécurité compatibles avec l’innovation ?. 19

Partie II - Les traits saillants se dégageant des réponses au q uestionnaire ... 24

A) L’état des lieux......................................................................................... 24

B) L’analyse des risques .............................................................................. 24

C) Les politiques de sécurité ........................................................................ 25

D) Les architectures organisationnelles et techniques ................................. 26

Partie III - Les recommandations................................ .......................................... 29

Objectif I : Renforcer l’appropriation des enjeux de sécurité économique ........... 30

A) Les actions pédagogiques ....................................................................... 30

Objectif II : Créer un cadre structurant et fédérateur ........................................... 33

B) Des actions normatives de la part de l’Etat:............................................. 33

C) Faire de la sécurité économique un objet de recherche action................ 35

D) Le point mutualisé unique de dépôt des projets à financer : une action de réforme et de simplification administrative ............................................................... 38

ANNEXES 43

Annexe I : La sécurité du processus d’innovation ............................................... 43

Annexe II : La dynamique des pôles comme écosystème institutionnel .............. 45

Annexe III : Les pôles : Des règles de gouvernance principalement endogènes 47

Annexe IV : Comment passer des comportements non-coopératifs à des comportements coopératifs ?................................................................................... 49



page 11/50

Version 2.1

Objet et méthodologie du rapport

Ce rapport intervient à la suite de la volonté des pouvoirs publics, depuis plusieurs années, d’assurer la sécurité économique des pôles de compétitivité.

Des initiatives avaient déjà été prises par le Ministère de l’intérieur, au travers de l’INHESJ, d’abord sur 5 pôles en 2006 puis sur une sélection de 10 pôles de la diffusion d’un référentiel « sécurité économique », formalisé en un guide de sécurité économique en 2007.

Si le paysage est aujourd’hui stabilisé avec 71 pôles de compétitivité dont 8 nouveaux, les risques ont évolué avec l’usage des TIC qui accélère la diffusion et l’occurrence des risques en matière de sécurité économique. Ces enjeux de sécurité sont donc stratégiques au moment où le gouvernement s’apprête à engager une nouvelle vague d’investissements d’avenir dans les pôles.

Les résultats de l’enquête menée par le SCIE montre nt l’absence, à ce jour, d’une politique nationale structurée, cohérente et d’envergure de sécurité des pôles. La question a été abordée avec la collaboration de l’ANSSI pour ce qui est de la sécurité des systèmes d’information et des plateformes d’échanges d’informations et uniquement du point de vue des techniques de protection des systèmes d’information. Or, la sécurité économique ne se résume pas à la sécurité des plateformes d’échanges d’informations d’un point de vue technique, même si celles-ci sont appelées à structurer l’architecture de la circulation de l’information au sein du pôle et entre les pôles et ses partenaires.

L’idée que la sécurité économique se réduise à la s écurité des plateformes est dangereuse à deux égards : d’une part, elle induit le principe qu’il puisse exister une sécurité absolue dans les échanges électroniques, d’autre part, beaucoup d’échanges, et donc de risques de fuite d’informations, se font hors des médias électroniques : la circulation de papiers reste parmi les fuites principales.

En effet, l’expérience montre que les principales fuites ne sont pas dues aux intrusions dans les systèmes informatiques mais à des comportements humains – conversations dans les lieux publics, perte de documents et de supports numériques - ou encore à des architectures organisationnelles faisant circuler de l’information sensible là où elle ne devrait pas.

La notion « d’information sensible » doit par ailleurs être définie, car elle ne se réduit pas aux seules informations scientifiques et industrielles : des informations administratives, apparemment sans valeur, peuvent donner des indications précises sur les stratégies de recherche en cours ou à venir. Ainsi, l’Agence Nationale pour la Recherche (ANR) considère-t-elle que le recueil de projets classés comme « non confidentiel » a une valeur supérieure à la somme de ces projets par la configuration de la stratégie de recherche qu'il peut révéler.

Le point de vue adopté par le groupe de travail réuni par le SCIE2 concerne la sécurité économique dans son ensemble, intégrant les processus

2 Comprenant le Conseil général de l'industrie, de l'énergie et des technologies (CGIET), la Direction générale de la compétitivité, de l’industrie et des services (DGCIS), OSEO, la Direction centrale du



page 12/50

Version 2.1

organisationnels et humains et leurs supports technologiques, soit, en d’autres termes, la protection du pôle comme écosystème d’innovation jusqu’à ce que l’innovation soit parvenue à une maturité suffisant e.

Précisons d’emblée que la notion de « protection de l’innovation » n’a de sens que pour la protection de l’innovation naissante : la meilleure protection est dans la rapidité du processus d’innovation (Annexe 1) qui permet à la connaissance de se transformer en produit sur le marché.

Les interactions non-pertinentes liées à la charge administrative qui pèse sur les pôles sont une source de ralentissement de ce processus et de dissipation de l’information. Sécurité économique et compétitivité des pôles sont donc intimement liées .

Nous avons donc cherché à établir une cartographie des acteurs , de leurs interactions et du contenu de leurs échanges , en les répartissant sur quatre périmètres (Figure 1):

- Le périmètre central est celui de l’interaction entre les membres du pôle . Quand ces échanges se font sur une plateforme numérique, le gestionnaire – généralement l’administrateur de la plateforme - attribue des droits en tant que membre et en tant que participant à un projet. C’est au sein de ce périmètre que sont labellisés les projets et que se déroulent les interactions collaboratives à la source de l’innovation.

- Un second périmètre concerne les partenaires R&D du pôle qui ont à connaître des informations à caractère scientifique et industriel : à savoir, les centres de recherche et les financeurs qui doivent valider les projets labellisés par les pôles quant à leur recevabilité scientifique et industrielle. Il s’agit des laboratoires de la recherche universitaire, des experts ad hoc, des organismes de recherche, de l’Agence Nationale de la Recherche (ANR) et d’OSEO.

- Un troisième périmètre intègre les partenaires administratifs , ceux de l’Etat (DGCIS et DATAR essentiellement) et ceux des collectivités territoriales (Conseils régionaux, et à un moindre degré Conseils généraux et grandes villes). Ces acteurs financent les projets sur la base de leur stratégie de développement. Ils ne devraient avoir à connaître que des informations administratives une fois validée la pertinence des projets financés par les acteurs du second périmètre.

- Un quatrième périmètre est celui des fournisseurs, lorsque les plateformes et les serveurs sont externalisés. Ces fournisseurs doivent d’une part garantir une sûreté de fonctionnement et surtout assurer la sécurité de l’information. Cela concerne autant les machines utilisées que la structure du capital de ces sociétés qui doivent présenter toutes les garanties les préservant de tomber entre des mains non-désirables.

Des visites exploratoires de pôles ont montré que, dans certains cas, il existait une réflexion sur cette architecture, généralement quand le pôle se dote d’une plateforme d’échanges d’informations, ce qui implique d’enclencher une réflexion sur les droits à

renseignement intérieur (DCRI) et l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) et la Délégation interministérielle à l’intelligence économique (DIIE).



page 13/50

Version 2.1

attribuer à chaque acteur, la confidentialité de l’information et la sûreté des technologies utilisées.

Mais dans nombre de cas, force est de constater que cette réflexion est embryonnaire, partielle, voire inexistante . Des dossiers scientifiques et industriels circulent sur support-papier dans les assemblées délibératives de Conseils régionaux au seul motif que « qui paye a le droit de tout voir ». Un cas a été rapporté par la gouvernance d’un pôle, d’une collectivité territoriale qui a demandé à faire « réexpertiser » des projets par un cabinet privé affidé, sans aucune qualification scientifique. Dans ce cas précis, la demande a été bloquée par la direction du pôle.

Dans les contacts avec les pôles étrangers, sur les salons, de nombreuses informations sont diffusées sans réflexion préalable sur la sécurité. Là encore, une réflexion sur l’architecture des échanges est nécessaire : outre la sécurité physique des informations transportées sur les supports numériques, il y a lieu de définir une stratégie quant à ce que l’on doit montrer pour attirer des partenaires sans toutefois transférer l’information sensible.

21/06/2011 Sécurité des pôles de compétitivité

3

Notre approche:Architecture de l’écosystème d’un pôle

Plate-forme d’échanges fermée: Web 2.0

Système des échanges R&D

Système des échanges administratifs

Entreprises

Entreprises

Entreprises

Entreprises

Entreprises

Labos

Labos

Labos

BDD

OSEO

CM DIRRECTE

DGCIS

ANSSI

Observa

teurs

zonaux

UBI FR

FOURNISSEURS SI

ANR

CCIAgences de

développement

Sorties dossiers papier

Conseils régionaux Conseils

généraux

Villes

1

2

3

4Recherche

universitaire

Services

?

Inter ministérialité

Experts

DATAR

Figure 1: Architectures des acteurs et des périmètres d'un pôle

Au-delà des risques de fuite d’informations, cette absence de politique est préjudiciable par les réactions de fermeture qu’elle provoque, notamment dans les contacts avec des pays étrangers connus pour leur appétit d’information technologique. Tout contact est alors refusé. Cela est préjudiciable sur deux plans : cela donne l’illusion d’une protection – en l’absence de politique réelle de sécurité de l’information - et cela n’aide pas à comprendre la stratégie d’intelligence économique des concurrents.

À partir de ce cadre d’analyse, un questionnaire a été conçu par le SCIE et les Chargés de Mission Régionaux à l’Intelligence Economique (CRIE) ont été mandatés pour réaliser des entretiens en face à face avec les gouvernances des pôles, sous procédure « confidentiel défense », en lien avec les correspondants régionaux de la



page 14/50

Version 2.1

Direction centrale du renseignement intérieur (DCRI) et ses services déconcentrés (DRRI et DZRI).

Ce rapport présente un état des lieux des pratiques de sécurité économique au sein des pôles de compétitivité: il formule, à ce stade, des recommandations qui sont classées par ordre de facilité de mise en œuvr e et de coût , au regard des deux objectifs susmentionnés.

Les recommandations validées seront mises en œuvre dans une seconde phase , en concertation avec les acteurs concernés.

Il comprend trois parties :

1) la présentation de la problématique de la sécurité économique des pôles au regard de la dynamique spécifique de gouvernance des pôles de compétitivité et de l’innovation ;

2) La présentation du questionnaire et l’analyse de ses résultats ;

3) Les recommandations pour la mise en œuvre d’une politique de sécurité économique.



page 15/50

Version 2.1

Synthèse des propositions

Les propositions sont regroupées autour de deux objectifs : renforcer l’appropriation des enjeux de sécurité économique et créer un cadre institutionnel structurant et fédérateur pour la mise en œuvre d’une politique de sécurité économique.

Objectif I : Renforcer l’appropriation des enjeux de sécurité économique

A) Les actions pédagogiques

Proposition 1 : Concevoir une formation destinée aux gouvernances des pôles mise en œuvre par des organismes spécialisés et développer des modules d’auto-formation en ligne («e-learning»).

Proposition 2 : Concevoir à l’attention des acteurs territoriaux les actions de formation nécessaires et identifier les vecteurs de diffusion les plus appropriés.

Proposition 3 : Concevoir un module de formation à la sécurité des architectures organisationnelles et numériques et définir un modèle économique de diffusion compatible avec les ressources des pôles.

Objectif II : Créer un cadre structurant et fédérat eur

B) Des actions normatives : l’intégration des normes d e sécurité dans les contrats financés par l’Etat

Proposition 4 : Définir un référentiel pour l’obtention d’un certificat de sécurité économique, référencé dans les contrats de travail.

Proposition 5 : Généraliser le principe de l’accord de consortium incluant une politique de publication à tous les partenariats public-privé (PPP) entrepris dans un pôle.

Proposition 6 : Rechercher avec l’AERES3 un accord pour aligner le dépôt de brevets sur les publications scientifiques dans l’évaluation des chercheurs.

Proposition 7: Développer, avec des partenaires privés participants aux projets, une norme de sécurité adaptée aux pôles, destinée à être intégrée dans les contrats de performance, financée sur appel à projets.

3 Agence d’évaluation de la Recherche et de l’Enseignement Supérieur.



page 16/50

Version 2.1

C) Faire de la sécurité économique un objet de recherc he-action

Proposition 8 : Demander en concertation avec l’ANR, la création d’un atelier de réflexion prospectif (ARP) pour créer un modèle de maturité de la sécurité économique des architectures des pôles.

Proposition 9 : Concevoir un progiciel sécurisé des échanges au sein d’un pôle par appel à projet sur financement de l’Etat.

Proposition 10 : Dans le cadre d’une démarche d’assurance qualité, réduire et sécuriser la diffusion du papier, avec comme objectif à terme le passage au zéro papier. Cet objectif sera inscrit dans les engagements d’assurance qualité – sécurité des contrats de performances.

D) Actions de réforme et de simplification administrat ive : le dépôt unique des projets à labelliser

Proposition 11 : A terme, mutualiser, avec l’ensemble des partenaires, un point unique de dépôt des projets à financer.



page 17/50

Version 2.1

Partie I - La problématique de la sécurité économiq ue des pôles

Parler de sécurité économique des pôles est un oxymore puisqu’un pôle doit être à la fois le plus ouvert possible pour favoriser l’interaction d’acteurs hétérogènes, mais aussi suffisamment fermé pour que l’innovation ainsi produite soit maîtrisée par le pôle.

Ce problème de type « quadrature du cercle » ne peut donc être résolu que de manière adaptative et par itérations expérimentales en raisonnant sur les architectures des pôles, c’est-à-dire en cartographiant leurs processus organisationnels de façon à mettre en évidence:

• les acteurs , leurs rôles, la nature et le mode de leurs échanges ;

• les infrastructures numériques utilisées pour la communication et le travail collaboratif.

Ces architectures reposent sur des parties prenantes (acteurs publics, organismes financiers, centres de recherche, entrepreneurs) qui définissent les principes de gouvernance des pôles (les règles), et des architectures organisationnelles qui reflètent la manière dont interagissent les opérateurs au sein du pôle (les opérations).

Ces architectures organisationnelles sont en évolution constante au fil des interactions entre acteurs qui mènent des expérimentations, développent des apprentissages, réalisent des découvertes et des innovations (évolution endogène) et des interactions de ces acteurs avec leur environnement légal, technologique, politiques d’entreprises, etc. (évolution exogène).

Elles sont également multiples et peuvent être toutefois classées en modèles-types d’innovation .

On peut avoir des innovations de type « poids lourd » avec un acteur central – une grande firme en l’occurrence – qui définira un projet avec un directeur coordonnant les efforts d’innovation dans les divers sous-ensembles du projet. Les modules sont développés de manière coordonnée par le centre avec une forte coordination informationnelle (annexe IV ).

A l’opposé, on peut avoir une innovation totalement décentralisée de type Silicon Valley où chaque entreprise développe son innovation concurremment et indépendamment des autres, le financeur (le capital-risqueur) validant l’architecture globale de l’innovation par assemblage des meilleurs modules. Dans ce type de fonctionnement, il n’existe pas de structure centrale. C’est un développement de type « Lego » où chaque entrepreneur développe son module sans coordination ex-ante avec les autres, l’innovation se faisant par agencement des blocs de Lego. De la sorte, l’innovation dans chaque module (ou bloc de Lego) n’est pas contrainte. Les coûts de transaction sont plus élevés puisque ce système requiert une très forte coordination ex-post et une innovation concurrente entre les concepteurs de bloc,



page 18/50

Version 2.1

mais c’est une innovation plus apte à capter toutes les potentialités de la technologie (Annexe II) 4.

De plus, comme il est impossible de connaître a priori le modèle institutionnel idéal – à supposer qu’il existe – on ne peut l’approcher que par expérimentations, essais et erreurs. Le propre de la dynamique d’un pôle est de pouvoir faire émerger des règles de manière endogène à partir des interactions des acteurs. Mais pour que ces interactions se produisent, il faut des règles exogènes définies par les institutions publiques.

Toute politique de sécurité, en ce qu’elle consiste en l’édiction de règles formelles et informelles, doit bien sûr être compatible avec ces différentes architectures et il n’est pas possible de retenir un standard à taille unique .

Définir une politique de sécurité suppose de répondre à deux questions :

- Comment définir des règles de sécurité économique applicables, compte tenu de la spécificité de la nature d’un pôle de compétitivité ?

- La dynamique de l’innovation est-elle compatible avec l’édiction de règles de sécurité ?

A) Comment rendre les règles applicables ? Les normes de sécurité concernant les échanges au travers des systèmes d’information sont connues mais en évolution constante. Les recommandations formulées dans le rapport du député Pierre Lasbordes5 (2005) restent valables. Celles formulées à l’issue de la mission de la DCSSI (aujourd’hui ANSSI) en 2009 sont techniquement pertinentes mais nécessitent un travail sur les processus organisationnels pour être compatibles avec un cadre de travail propice à l’innovation. Il reste à comprendre pourquoi ces pratiques ne sont pas appliquées par les acteurs et comment faire pour qu’elles le soient.

Définir des normes applicables (ou exécutoires) 6 permettant d’assurer la sécurité économique d’un pôle suppose de comprendre comment les principes de gouvernance – les règles du jeu – du pôle peuvent être appropriées et perçues comme légitimes par des acteurs qui ont par ailleurs des principes de gouvernance propres à l’entité (entreprise, centre de recherche, collectivité publique…) dont ils relèvent.

Ces principes de gouvernance peuvent être pour partie, mais pour partie seulement, influencés par l’Etat grâce aux engagements contractuels qu’il peut imposer au travers de son action de financeur. Pour partie, car l’Etat, même s’il est un financeur majoritaire face aux collectivités territoriales et aux organismes de recherche, est

4 Il n’y a pas de corrélation entre la taille d’un pôle et sa capacité d’innovation. Un pôle de type « Silicon Valley » sera plus approprié à des innovations de rupture et un pôle « poids lourd » à des innovations incrémentales. Mais en tout état de cause c’est la cohérence interne de l’écosystème que constitue un pôle qui fait sa performance. Il faut donc éviter d’inférer qu’un « pôle mondial » serait plus innovant par nature. 5 « La sécurité des systèmes d’information : un enjeu majeur pour la France », Pierre Lasbordes député. 6 Des normes sont dites exécutoires quand elles sont immédiatement appropriées par les acteurs, car considérées comme légitimes et bénéfiques.



page 19/50

Version 2.1

tributaire de l’appropriation de ces règles par les acteurs du pôle pour qu’elles soient exécutoires.

La dynamique institutionnelle d’un pôle repose sur des micro-comportements qui déterminent et sont eux-mêmes déterminés par des jeux d’acteurs : les règles de sécurité ne peuvent donc se décréter .

Dans une organisation, les membres partagent un projet commun porté par un dirigeant exerçant un leadership. Dans un pôle, un tel leadership est délicat à construire car il est composé de multiples acteurs, et ce d’autant plus que ces acteurs continuent à avoir une double appartenance à leur organisation d’origine et au pôle. Il s’agit donc pour la gouvernance des pôles, dont le rôle est essentiel, de faire émerger une vision commune, un bien commun qui sera la base des règles partagées par les membres du pôle.

La recherche récente utilise la théorie des jeux pour comprendre comment peuvent s’articuler les règles définies de manière exogène par les institutions politiques (généralement formelles) et les règles endogènes définies par les jeux d’acteurs (généralement informelles).

Nous décrivons ces phénomènes en annexe IV . Il en ressort que le plan d’action proposé devra donc avoir pour but de trouver les leviers permettant d’enclencher ce cycle vertueux pour faire émerger des règles et des comportements coopératifs intégrant les impératifs de sécurité économique.

B) Comment rendre les règles de sécurité compatibles a vec l’innovation ?

Une politique de sécurité, pour être perçue comme légitime et nécessaire par les acteurs et d’un coût proportionné au risque perçu, doit prendre en compte les éléments suivants :

1) Dans le cas d’une plateforme numérique d’échange s d’informations, la seule sécurité absolue possible implique qu’elle soit totalement fermée et n’entretienne pas d’échanges avec l’extérieur, ce qui est incompatible avec l’innovation et contraire à la mission du pôle de compétitivité.

Ces plateformes sont utilisées pour mettre en ligne des dossiers des porteurs de projet proposés à la labellisation par le pôle, pour les soumettre à l’expertise et permettre aux participants à une même thématique de recherche de collaborer (Figure 2).

Ces échanges se font, sur les plateformes les plus évoluées, en web 2.0, ce qui évite d’utiliser le courrier électronique qui n’est pas une forme sécurisée de communication, sauf utilisation de techniques et de procédures contraignantes que les utilisateurs ont vite fait de délaisser. Mais la plupart des plateformes ne comportent pas de fonctionnalités web 2.0, coûteuses à développer.

Dans plusieurs cas rencontrés les règles de sécurité étaient telles qu’elles imposaient des coûts d’usage dissuasifs : lourdeur des procédures, lenteur des réseaux, interfaces non-ergonomiques… S’y ajoutent ceux des investissements et du fonctionnement. Les membres d’un pôle ont par ailleurs leur propre budget informatique et rechignent à repayer pour le budget S.I du pôle, même lorsque la mutualisation des plateformes permet de réduire considérablement les coûts.



page 20/50

Version 2.1

La sécurité de ces plateformes est celle de l’Internet en général : on peut définir des protocoles de sécurisation sans avoir jamais la certitude qu’ils ne seront pas cassés. En l’état actuel de la technologie, le coût de la défense est de loin supérieur à celui de l’attaque, qui est dérisoire.

L’exemple du pôle System@tic

Dans le cas du pôle Systematic, 200 000 euros ont été investis en développement (100 K€) et mise en œuvre (100 K€) de la plateforme Open-Wide7 à partir d’un cahier des charges commun à six pôles. La solution a été développée sous logiciel libre, ce choix a été fait car les mises à jour, les patchs de sécurité notamment, sont plus fréquentes, le code est transparent et on est indépendant de la politique d’un éditeur. Les machines et le serveur ont également été mutualisés, accueillant six instances distinctes de l’application pour les six pôles. Mutualisation ne veut donc pas dire homogénéisation mais réflexion commune sur des éléments communs d’architecture. Toutefois le budget n’est pas suffisant pour pousser à bout la logique de mutualisation qui exigerait une plateforme en web 2.0 de manière à supprimer l’usage du courriel, et à terme en web 3.0 afin de mettre de l’intelligence dans l’information par l’usage de moteurs de recherche sémantiques et contextuels, qui permettrait en outre à la plateforme de s’adapter au contexte d’usage de chaque entité. Le budget estimé pour passer en web 2.0 est de 300 000 euros en développement et 6 mois/hommes en développement interne. L’obstacle n’est pas qu’économique : pour les membres, l’extranet que constitue la plateforme a une valeur d’usage qui dépend de l’intérêt qu’ils portent à leur participation au pôle, l’impact est donc fortement lié à l’ intégration de la plateforme avec le système d’ information du pôle et aux fonctionnalités permettant les simplifications administratives de participation au pôle. Certains pôles veulent se retirer de la plateforme Open-Wide dont le coût d’entretien demandé à chaque participant n’est que de 8000 euros par an. Un autre obstacle à la mutualisation est le coût pour assurer la compatibilité avec les systèmes sécurisés des grands groupes.

Nous sommes ici dans une dynamique de conception d’une architecture commune : il faut investir en conceptualisation en amont (en argent mais surtout en réflexion partagée) pour diminuer les coûts en aval. Toute intervention correctrice d’une faille de sécurité en aval entraîne des coûts pour ce qui ne restera qu’une rustine sur une fuite qui en révélera bientôt une autre. La conception d’une architecture modulaire permettrait une évolution dynamique du système d’information en fonction des vulnérabilités et des menaces ainsi que des opportunités d’innovation. Ce travail de conception d’architecture est un processus d’apprentissage partagé qui permet la production de règles endogènes, donc exécutoires.

7 Open-Wide a été crée en 2001 avec le soutien de deux grands groupes industriels français pour constituer un observatoire technologique permettant d’exploiter les solutions du logiciel libre. Par sa forte culture d’intégrateur, Open-Wide est un des meilleurs architectes et intégrateurs de composants Open Source en France. La société a été retenue par six pôles franciliens Astech, Cap-Digital, Finance-Innovation, System@tic et Ville et mobilités durables pour mettre en place une plateforme commune aux pôles présentant les mêmes fonctionnalités mais constituée d’espaces privatifs pour chacun



page 21/50

Version 2.1

Il est donc utile que l’Etat donne l’impulsion initiale à ces démarches d’architecture, ce qui pourrait être le rôle de la nouvelle Direction Interministérielle des Systèmes d’Information de l’Etat (DISIC)8 en lien avec le CIGREF9 qui représente les grandes entreprises publiques et privées et dont les ministères économique et financier sont membres.

2) Un travail sur les architectures organisationnelles peut permettre de réduire les transactions non désirables et constitue un moyen non coûteux et très efficace d’améliorer la sécurité.

Si les échanges du périmètre 1 (les membres du pôle) sont tributaires des jeux d’acteurs animés par la gouvernance des pôles, ceux des périmètres 2 et 3 (l’expertise et les partenaires R&D) peuvent être dessinés plus aisément de manière exogène en simplifiant les rôles.

Admin

Exˇcutif

AA

AA

AA

AA

AA

AA

Experts

OSEOANR

Figure 2: Au sein d'un pôle un administrateur donne des droits à chaque membre en fonction de sa thématique. Les experts du périmètre II peuvent accéder à tous les projets.

La Figure 2 montre les relations entre l’expertise (périmètre 2) et les membres du pôle, dans le cas du pôle System@tic. Les membres sont groupés par thématiques de recherche et de projet et ne peuvent se voir qu’au sein d’une même thématique. Par contre les experts du périmètre 2 peuvent voir tous les projets.

On a vu plus haut le problème posé par la multiplicité de ces expertises qui génèrent des transactions redondantes entre experts ad-hoc, Régions, OSEO et ANR. Dans le cas de System@tic, une procédure de labellisation en mode web 2.0 tenté d’être mise en place mais ne fonctionne pas, car trop lente et peu fonctionnelle du fait des

8 La DISIC a pour mission de centraliser les prérogatives quant à l’interopérabilité des systèmes et des échanges d’informations, aux normes de sécurité et d’accessibilité. Une formation-action à l’architecture des systèmes d’information a été mise en place à Bercy en 2009 par une convention de recherche partagée entre les Ministères économique et financier et la Chaire Thalès d’ingénierie des systèmes de l’Ecole Polytechnique. Elle devrait être transférée à la nouvelle Direction interministérielle des systèmes d’information de l’Etat. 9 Le Club informatique des grandes entreprises françaises regroupe les grandes entreprises publiques et privées, représentées par leur directeur des systèmes d’information. Les ministères économiques et financier, le ministère de l’intérieur et le ministère de la défense en sont membres.



page 22/50

Version 2.1

protocoles de sécurité inadéquats. Le système ne permet pas, en outre, d’inscrire dans les projets des partenaires non encore membres. La conséquence est que les utilisateurs basculent en mode GED (Gestion Electronique de Documents) et vont échanger les documents par courriels : c’est d’ailleurs par ce mode que sont transmis les avis de labellisation.

Toute déficience dans la fonctionnalité de ces dispositifs a donc pour effet de ramener les acteurs vers des pratiques non sécurisées, tels que courriels ou échanges papiers. Rappelons en outre que, même s’il y a échange sécurisé, les membres ont la possibilité de télécharger leurs documents, de les diffuser par courriel ordinaire ou papier, pratiques sur lesquelles la gouvernance du pôle n’a aucune visibilité.

Réduire les coûts de transaction de ce processus passe par la réduction du nombre d’intervenants dans le processus de labellis ation . L’identification des participants par leur n° SIRET permettrait de gérer les dossiers sur une plateforme. Il ne s’agit pas de créer un guichet unique, mais, grâce à un référentiel d’identification standardisée pour chaque entreprise et porteur de projet, d’envisager un point unique de dépôt .

Il faut enfin définir les informations nécessaires aux partenaires administratifs du périmètre 3 , périmètre poreux n’obéissant à aucune politique de sécurité où l’on voit des dossiers papiers contenant les informations scientifiques et industrielles circuler de manière aléatoire. En toute logique, on doit rechercher un consensus sur la légitimité de l’expertise labellisant les projets, afin de dissuader les partenaires administratifs de solliciter un nouvel examen de ces dossiers, pour se limiter finalement à leur domaine d’évaluation : la politique de développement des territoires.

Sous l’apparence d’un problème technique, c’est une question sensible qui est posée .

*

A ce stade nous avons défini le champ de contraintes de la conception d’une politique de sécurité économique des pôles de compétitivité :

• Elle doit prendre en compte la spécificité de la nature d’un pôle : pour être innovant il doit intégrer des acteurs hétérogènes avec des cultures et des modèles organisationnels différents qui, a priori, ne prédisposent pas à une confiance réciproque. La politique de sécurité est à traiter comme une dynamique institutionnelle qui fait apparaître un projet commun, un bien commun porteur de valeurs et de règles. Une politique uniquement contraignante de la part de l’Etat est inopérante , mais il appartient à celui-ci de définir un environnement institutionnel apte à enclencher une dynamique vertueuse et apprenante, qui permette l’appropriation des enjeux de sécurité économique et l’éclosion des règles et pratiques pertinentes.

• Les technologies de l’information , en ce qu’elles permettent aux pôles de se comporter comme une entreprise numérique capable de multiplier les



page 23/50

Version 2.1

interactions entre les acteurs à l’intérieur et à l’extérieur du pôle, accroissent le potentiel d’innovation mais aussi le risque d’at teinte au patrimoine technologique et scientifique des pôles . L’adoption de règles de sécurité des systèmes d’information reste sujette à l’émergence d’une identité institutionnelle du pôle et les questions posées par la conception d’une architecture du système d’information sont des questions d’architecture organisationnelle.

• Ces questions d’architecture organisationnelle peuvent être l’objet d’une action volontariste de l’Etat visant à clarifier l’environnement institutionnel (les règles qui conditionnent les interactions des acteurs) des pôles, simplifier les procédures, aligner les processus des financeurs et des partenaires R&D pour alléger les coûts de transaction pesant sur les membres et réduire les vulnérabilités.

La partie II dresse l’état des lieux des pratiques sur les trois périmètres des pôles et la partie III propose des pistes d’action.



page 24/50

Version 2.1

Partie II - Les traits saillants se dégageant des réponses au questionnaire

Les questionnaires retournés et renseignés par les CRIE concernent 52 pôles de compétitivité, soit 73% des pôles. Cet échantillon, qui peut être considéré comme représentatif, permet de tirer les enseignements suivants.

A) L’état des lieux Une majorité de pôles de compétitivité déclare disposer d’une plateforme sécurisée d’échange d’informations. Si cela peut paraître satisfaisant, cela doit être relativisé car il s’agit d’un constat issu de déclarations des pôles eux-mêmes recouvrant une réalité très disparate. Pour certains, il ne s’agit que de projets, plus ou moins en cours de réalisation.

Les principaux facteurs freinant la mise en place d’une politique de sécurité économique dans les pôles de compétitivité sont les suivants:

• Le coût associé à la mise en œuvre d’une politique de sécurité économique ;

• Le manque de compétences humaines, notamment dans les pôles disposant d’une gouvernance de taille réduite ;

• La priorité accordée à d’autres missions (monter des projets, rechercher des partenaires, des sources de financement).

De façon plus marginale, le manque de sensibilisation et de temps sont parfois mentionnés comme facteurs freinant la mise en place d’une politique de sécurité de l’information dans les pôles.

La sécurité économique n’est donc pas vécue comme é tant au cœur de la performance de l’écosystème pôle, mais comme une contrainte qui vient se surajouter aux missions essentielles.

B) L’analyse des risques Une majorité des pôles a bénéficié d’un audit de sécurité économique par les services de l’Etat (Ministère de l’Intérieur), réalisé généralement dans les années 2006 à 2008, mais ces audits ne font pas l’objet d’un suivi permettant d’évaluer l’évolution de la vulnérabilité du pôle.

La majorité des pôles identifie les risques potentiels liés aux systèmes d’information et aux systèmes organisationnels et humains. Cette identification est toutefois imparfaite , qu’il s’agisse des risques liés aux systèmes d’information (intrusions organisées, courriels non chiffrés …) ou des risques liés aux systèmes organisationnels et humains (sécurisation des locaux, mise en place de broyeurs, prudence des conversations dans les lieux publics….).

La majorité des pôles déclare qu’il n’y a pas eu d’incidents (« fuites »), tout en précisant qu’ils n’ont pas les moyens de les détecter. L’ANR atteste de l’existence de fuites « à externalités positives » lors de l’instruction des dossiers, lui permettant de compléter un dossier mal renseigné à l’origine par le porteur de projet : il y a donc,



page 25/50

Version 2.1

en tout état de cause, une dissémination non-intent ionnelle de l’information que l’on ne sait pas, en l’état actuel, évaluer.

Quelques pôles indiquent des incidents lors des relations qu’ils entretiennent avec les financeurs. D’autres mentionnent quelques difficultés en ce qui concerne les ordinateurs ou les téléphones portables.

Une grande partie des pôles indique que des actions de sécurisation sont en cours, lesquels portent sur plusieurs aspects : chiffrement des courriels, achat de broyeurs, actions de sensibilisation, mises en place d’alarmes / caméras dans les locaux, destruction des disques durs…

L’état des lieux des dispositifs de sécurité des pô les de compétitivité fait apparaître des situations très contrastées . Le degré de sécurisation tient à la fois au secteur d’activité spécialisé du pôle (les pôles travaillant sur les TIC étant logiquement plus sensibles que les autres) et également à la taille de celui-ci, surtout lorsque les effectifs sont limités :

• Pas de responsable de la sécurité des systèmes d’information (SSI) ;

• Moyens financiers insuffisants ;

• Déficience que l’on pourrait qualifier de « culturelle » quant à l’enjeu constitué par la sécurisation des systèmes d’informations qui doit constituer un élément endogène au processus de diffusion de l’innovation ;

• Création récente du pôle qui n’a pas eu le temps de mettre au point un tel dispositif.

C) Les politiques de sécurité La plupart des pôles de compétitivité déclarent avoir mis en place une politique de sécurité économique, c'est-à-dire des procédures formalisées et acceptées, même si le référentiel PSSI10 de l’ANSSI est utilisé de façon partielle.

Mais pour de nombreux pôles, le constat est que la sécurité économique n’est pas une véritable priorité des gouvernances, placée, co mme elle devrait l’être, au cœur de leur stratégie .

Cette absence de culture en matière de sécurité économique peut même paraître étonnante lorsque certains des adhérents des pôles sont des sociétés reconnues pour leur politique de sécurité. Mais cette maîtrise de la sécurité par ces membres ne bénéficie pas aux pôles, car ils craignent que l’ouverture de leur S.I sur le pôle ne mette en cause sa sécurité.

Cependant des chartes de bonnes pratiques, des chartes informatiques et des accords de confidentialité existent.

A leur décharge, les gouvernances sont des structures de taille modeste dont l’énergie première est consacrée à la recherche de partenaires et de financements des projets innovants de leurs adhérents. Ces structures n’ont pas, à ce jour, les

10 Guide pour l’élaboration d’une politique de sécurité de système d’information – PSSI, mars 2004, ANSSI (ex. DCSSI) http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/pssi-guide-d-elaboration-de-politiques-de-securite-des-systemes-d-information.html



page 26/50

Version 2.1

moyens adéquats pour la conduite d’une véritable politique de sécurité. De plus, ces gouvernances n’ont pas de compétences spécifiques pour faire appliquer des mesures de sécurité dès lors qu’il n’est pas prévu, en amont, d’engagements particuliers dans les différents critères pour devenir membre du pôle. En outre, l’absence d’une politique de sécurité dans leur organisation d’origine rend difficile d’imposer des mesures aux adhérents.

La norme ISO 27000 11 est souvent connue, mais les pôles de taille modeste mettent en avant sa complexité et son inadaptation aux entités concernées pour ne pas l’utiliser.

Quant aux outils d’analyse de la sensibilité économique des informations, un certain nombre de pôles reconnaissent ne pas les utiliser systématiquement.

Une sensibilisation à la sécurité économique a été entreprise dans la quasi-totalité des pôles, notamment dans le cadre des objectifs du SCIE, grâce à l’intervention de la DRRI, et de la gendarmerie.

D) Les architectures organisationnelles et techniques La plupart des pôles déclarent procéder à une démarche d’architecture -urbanisation de leur S.I . Cependant, même si une démarche est en cours, voire opérationnelle, le concept n’est toutefois pas totalement compris.

Concernant la description des plateformes (périmètre 1 ), lorsqu’elles existent, les acteurs concernés sont le plus souvent la structure de gouvernance, voire les adhérents du pôle.

Quant aux outils de communication utilisés et au degré de sécurisation, les configurations sont très variables.

Le niveau de maturité de ces architectures est donc très hétérogène , et il n’existe, à ce jour, aucune méthode globale ni aucun organisme pour l’évaluer12.

Les processus d’échanges entre cette plateforme et les acteurs participants aux projets R&D (périmètre 2 ) ne sont pas toujours identifiés et cartographiés . Lorsque c’est le cas, tous les acteurs R&D ne participent pas à cette démarche, les configurations étant très variables selon les pôles.

Les échanges de données identifiées comme sensibles sont généralement sécurisés notamment via l’accès extranet sécurisé d’OSEO - mais cette catégorisation reste intuitive et ne prend pas en compte le fait que la somme des données considérées comme non-sensibles peut produire une information sensible sur une stratégie de recherche et d’innovation.

11 Voir page 34 12 Pour la partie technologique du système d’information, il existe les outils développés par l’ANSSI. Mais nous devons considérer le système d’information dans sa globalité : les processus organisationnels et les fonctions gérées par les technologies numériques.



page 27/50

Version 2.1

Les processus d’échanges entre cette plateforme et les acteurs administratifs (périmètre 3 ) n’ont, également, pas toujours été identifiés et cartographiés; l’ensemble des acteurs administratifs n’ont pas participé à cette démarche.

Sauf exception, la distinction entre les données sensibles du périmètre 2 et celles, administratives, du périmètre 3, est effective. Mais, plus encore que dans le périmètre 2, il y a déficience des inventaires de données administrative à considérer comme sensibles dans de nombreux pôles.

Dans une minorité de pôles, les dossiers papiers à finalité administrative transmis aux administrations contiennent toujours des données sensibles, constituant des risques réels de fuite, surtout lorsqu’une politique de confidentialité systématique (identification nominative et destruction immédiate après usage) n’y est pas attachée.

Les fonctionnaires, et surtout les élus des collect ivités partenaires, sont encore trop peu sensibilisés au problème de la sécu rité économique.

L’impression générale qui se dégage de l’ensemble des questionnaires est que de nombreuses initiatives ont déjà été prises par les pôles allant dans le bon sens, mais sur une base empirique qui ne peut être considérée comme constitutive de la compétitivité des pôles.

On constate ainsi l’absence d’une préoccupation de sécurité que l’on pourrait considérer comme ancillaire concernant la gestion des imprimantes et des photocopieuses. La sécurité se fait au cas par cas, sans doctrine d e référence et de manière aléatoire .

Ainsi, de très nombreuses gouvernances de pôles reconnaissent qu’un accompagnement de l’Etat, tant en matière financière que dans le domaine de l’expertise et sur le plan normatif, serait de nature à permettre d’initier une mise en place d’une politique de sécurité économique.

Les propositions avancées dans la partie III sont élaborées à partir de ces constats, et de l’analyse des enjeux de sécurité économiques des pôles exposés en partie I.



page 29/50

Version 2.1

Partie III - Les recommandations

Les actions que nous préconisons sont classées autour des deux objectifs - renforcer l’appropriation des enjeux de sécurité économique et créer un cadre structurant et fédérateur - par ordre croisant A B C D allant de la facilité et rapidité de mise en œuvre au plus difficile et plus coûteux, qui se positionnent sur deux axes (Figure 3) :

• De l’intervention directe de l’Etat , soit pour investir dans la conception d’outils communs, soit pour créer des normes contraignantes ou un cadre institutionnel favorable au développement des écosystèmes sécurisés d’innovation. Ces actions représentent un coût financier, un effort institutionnel, qui sont exogènes. Il s’agit d’investissements ou de contraintes directes sur les acteurs des pôles qui ne sont pas appelés à se reproduire de façon permanente, et n’ont de sens que s’ils ont un effet de levier sur l’évolution endogène des pôles.

Les actions à effet de levier institutionnel sont par contre permanentes, moins coûteuses, moins contraignantes puisque destinées à être appropriées de manière endogène par les pôles.

• La charge sur les acteurs des pôles , qui peut être forte s’il s’agit d’une contrainte imposée par l’Etat ou faible s’il s’agit de la conséquence de la clarification de l’environnement institutionnel. La charge est également forte du fait des règles qui vont émerger de la pratique des pôles et de leur appropriation des problématiques de sécurité économique. Mais plus ces règles sont d’origine endogène plus elles sont auto-exécutoires car produites par l’apprentissage et la recherche des pôles eux-mêmes.

L’objectif est de combiner les actions qui présentent la contrainte exogène minimale mais nécessaire sur les acteurs avec des leviers qui favorisent la production endogène de règles et de pratiques de sécurité économique.

Charge sur les acteurs

Faible

Forte

Intervention directe Levier institutionnel

Point unique de labellisation

Certificat de sécuritééconomique

Normes de sécuritédans les contrats

Politique de publication des chercheurs

Architecture de référence, « progicielisation »et zéro papier

Appropriation des enjeux de sécuritééconomique, actions pédagogiques et formations

Effort de l’action publique

A

B C

D

Figure 3: Quatre types d'action pour combiner leviers exogènes et endogènes de développement de la sécurité économique



page 30/50

Version 2.1

Objectif I : Renforcer l’appropriation des enjeux d e sécurité économique

A) Les actions pédagogiques Ces actions ont pour but de favoriser l’appropriation des enjeux de sécurité économique et de former l’ensemble des acteurs des trois périmètres des pôles.

a) Appropriation des enjeux de sécurité économique

Les résultats de l’enquête font apparaître, dans de nombreux cas, une perception incomplète des enjeux de sécurité économ ique par les acteurs des trois périmètres.

Une distinction doit être faite entre les gouvernances des pôles du périmètre 1, et les acteurs administratifs du périmètre 3.

a.1) Par les gouvernances des pôles

Nonobstant les actions entreprises par les DRRI et les DZRI (audits de sécurité notamment) auprès des gouvernances des pôles, l’appropriation des enjeux de sécurité reste à tout le moins très hétérogène et sans que les implications pratiques pour la mise en œuvre de politiques de sécurité opérationnelles en soient tirées.

Les actions entreprises par la DATAR sous la rubrique « animation » qui financent la gouvernance des pôles disposent d’un ligne pour les actions spécifiques qui peuvent financer de telles actions. A noter que le site http://competitivité.gouv.fr intègre un extranet et un module de « e-learning » et la DATAR peut développer, à coût marginal, des modules de formation à la sécurité économique.

Proposition 1 : Concevoir une formation destinée aux gouvernances d es pôles mise en œuvre par des organismes spécialisés et dév elopper des modules d’auto-formation en ligne («e-learning»)

a.2) Par les élus et acteurs territoriaux

Elus, animateurs territoriaux et services déconcentrés de l’Etat sont demandeurs de dossiers administratifs pouvant contenir des informations sensibles et ce généralement, sous forme papier qui est la source de fuite la plus certaine et la moins traçable.

Des actions de formation permettant l’appropriation des problématiques de sécurité économique sont donc à entreprendre.

Elles n’ont pas à entrer dans la technique mais à faire apparaître les enjeux de sécurité comme bien commun de l’ensemble des acteurs et à développer des comportements appropriés à une politique de sécurité : connaissance des enjeux stratégiques, connaissance des risques et attitudes à adopter.



page 31/50

Version 2.1

Ces formations, tout en pouvant être réalisées par tout organisme et société de conseil compétent, pourront être notamment dispensées par les universités, du fait de leur ancrage territorial en région et, dans de nombreux cas, de leur participation aux pôles, en partenariat avec le CNFPT pour les élus et les territoriaux, en s’appuyant sur l’expertise technique des DZRI et DRRI, ainsi que de l’INHESJ qui a une expertise sur le sujet et organise des formation déconcentrées.

Il est beaucoup plus efficace pour l’Etat et les ministères concernés de faire faire par un opérateur proche du terrain que de faire en direct compte tenu des réactions de défiance envers l’Etat centralisateur que cela peut susciter. C’est en outre une bonne occasion d’impliquer les universités dans la politique publique d’intelligence économique.

Proposition 2 : Concevoir à l’attention des acteurs territoriaux le s actions de formation nécessaires et identifier les vecteurs de diffusion les plus appropriés.

b) Formation à la sécurité des architectures

L’architecture de l’écosystème qu’est un pôle de compétitivité doit être résiliente , soit être capable de se reconfigurer lorsqu’elle est exposée à de nouveaux risques et vulnérabilités. Les interventions curatives sur les problèmes de sécurité ne font que « mettre une rustine sur une fuite » sans modifier l’architecture.

Une architecture résiliente résulte d’un travail de conception en amont pour identifier les enjeux stratégiques et les risques auxquels est confronté le pôle, les fonctions à réaliser par les processus organisationnels et les applications informatiques qui vont les supporter (Figure 4).

Le travail d’architecte repose sur un corpus de connaissances et de compétences qui peut faire l’objet d’une formation permettant la réalisation d’une démarche d’architecture in situ, appropriée au contexte spécifique de chaque pôle. Le programme de recherche partagé entrepris avec la Chaire Thalès d’ingénierie des systèmes par les ministères économique et financier et actuellement développé à l’IGPDE, peut être adapté à la formation d’architectes pour les pôles.

Si le corpus d’une telle formation existe, il doit toutefois être adapté à la problématique de sécurité et représente un coût non négligeable – contrairement aux deux autres actions de formation ci-dessus – qui devrait soit être pris en charge par les financements publics, soit portées par une grande entreprise membre, quand il y en a une.

Proposition 3 : Concevoir un module de formation à la sécurité des architectures organisationnelles et numériques et d éfinir un modèle économique de diffusion compatible avec les ressour ces des pôles.



page 32/50

Version 2.1

Mission & objectifs de la politique de

sécurité

Quels objectifs d’une politique de sécurité?

Quel sont les (sous)-processus à mettre en œuvre?

Quels sont les éléments constitutifs

d’une politique de sécurité des SI?

Niveau fonctionnel

Niveau organico-technique

Niveau opérationnel

Hommes « Outils » logiciels & réseaux

Traduction en processus

Traduction en fonctions humaines et informatiques

Acteurs et outils usuels du processus d’architecture d’entreprise

Traduction en processus

Traduction en fonctions humaines et informatiques

Figure 4: Structure d'une démarche d'architecture, liant finalités stratégiques, processus organisationnels, comportements humains et outils logiciels, telle que développée dans les ministères

économique et financier.



page 33/50

Version 2.1

Objectif II : Créer un cadre structurant et fédérat eur

B) Des actions normatives de la part de l’Etat:

a) Certificat de sécurité économique

Certains pôles ont inclus dans les contrats de travail de leurs salariés des clauses de confidentialité et de sécurité de l’information.

Ces clauses peuvent être standardisées en faisant r éférence à un « certificat de sécurité économique » que devraient obtenir les salariés des pôles, les personnels mis à disposition, les experts, les personnels des services déconcentrés et des collectivités territoriales, ainsi que les partenaires des projets, sur le mode du « certificat informatique et Internet» (C2I) institué dans le but de développer, de renforcer et de valider la maîtrise des technologies de l’information et de la communication par les étudiants, les établissements d’enseignement supérieur, ainsi que pour les professeurs. Ce certificat comporte un référentiel général et transversal et des spécifiques par métiers et responsabilités.

Là encore, pour les mêmes raisons, ces formations gagneront à être réalisées à l’échelon régional sur le principe du faire-faire évoqué plus haut13.

Proposition 4 : Définir un référentiel pour l’obtention d’un certif icat de sécurité économique, référencé dans les contrats de travail.

b) Politique de publication des chercheurs

Les chercheurs qui travaillent sur les applications industrielles de leurs projets de recherche sont soumis pour le déroulement de leur carrière à une obligation de publication dans les revues scientifiques à comité de lecture.

Or, à ce jour, il n’est pas fait de différence entre l’information scientifique et les informations à caractère industriel qui obéissent à deux logiques antagonistes :

• l’information scientifique est faite pour être diffusée au sein des communautés scientifiques. L’innovation ne provient pas en effet de la seule connaissance des percées scientifiques mais de la « capacité d’absorption » de cette connaissance par les acteurs industriels. Par contre l’information industrielle contient des innovations non encore matures qui peuvent être facilement capturées par des compétiteurs.

• De plus, les comités de lecture des revues scientifiques sont internationaux et, sur les sujets sensibles, un lecteur pourra préempter le contenu d’une publication pour s’en attribuer la primeur ou plus trivialement agir en bon

13 Une démarche similaire avait été entreprise en son temps par le Haut responsable à l’intelligence économique pour définir un référentiel d’enseignement de l’I.E dans l’enseignement supérieur.



page 34/50

Version 2.1

veilleur et capter une information industrielle pour, dans certains, cas tenter de déposer un brevet.

Or, la recherche est un capteur d’intelligence économique permettant d’accéder à l’information industrielle qui est négligé en France mais pas chez nos compétiteurs : c’est ainsi qu’un grand constructeur automobile étranger est rentré sur le marché français. Dès lors qu’il y a partenariat public privé (PPP), recherche et industrie sont fortement imbriquées. Ces PPP nécessitent des accords de consortium qui doivent définir la propriété intellectuelle et les droits de diffusion. L’ANR s’est dotée d’une méthode sophistiquée pour apprécier la pertinence de ces accords de consortium, dont l’adoption conditionne l’attribution de la deu xième phase de l’aide (12 mois après le début du projet et le premier financement). Cet accord de consortium définit les règles de publications des informations industrielles. Le dépôt d’un brevet, quand il y en a, vaut autorisation de publier. Aujourd’hui seuls les projets financés par l’ANR sont soumis à de telles règles, dont il importe de généraliser l’application.

Proposition 5 : Généraliser le principe de l’accord de consortium i ncluant une politique de publication à tous les PPP entrepris d ans un pôle.

En outre, bien que les mentalités évoluent, le dépôt d’un brevet – directement par le chercheur ou par le consortium auquel il participe – n’est pas aussi bien considéré que la publication scientifique dans l’évaluation d u chercheur . Une telle pratique, outre l’incitation à publier précocement des informations sensibles, détourne le chercheur du dépôt de brevet qui est un des vecteurs – mais pas le seul – de transition du laboratoire vers le marché.

Proposition 6 : Rechercher avec l’AERES 14 un accord pour aligner le dépôt de brevets sur les publications scientifiques dans l’é valuation des chercheurs.

c) Intégrer des normes de sécurité dans les contrat s financés par l’Etat

L’Etat assure le financement des gouvernances des pôles à hauteur de 50/50 au pire des cas et à 2/3 pour les projets, il dispose à travers du FUI15 et des contrats de performance d’un levier d’intervention en liant les financements de l’Etat à l’adoption de normes de sécurité .

Certains pôles et certains projets étant portés par deux régions limitrophes, il est important que cette clause soit introduite dans tous les contrats de performance, nouveaux et anciens lors de leur renouvellement.

En préambule, il importe de rappeler, au regard de la définition que nous avons donnée de la sécurité économique, que celle-ci est un élément de la compétitivité et de la dynamique de l’innovation.

14 Agence d’évaluation de la Recherche et de l’Enseignement Supérieur. 15 Le fonds unique interministériel (FUI), accorde des aides financières aux meilleurs projets de R&d et de plateformes d'innovation, lors d'appels à projets



page 35/50

Version 2.1

La norme la plus complète est la norme ISO 27000 de sécurité des systèmes d’information, notamment la norme 27005 qui traite de la gestion des risques. Son intérêt est d’abord d’être une norme ISO qui est accordée après évaluation et suppose une actualisation en continu. L’autre intérêt est que la norme ISO 27000 intègre les deux dimensions de la sécurité : les architectures organisationnelles et les systèmes technologiques.

Son implantation est toutefois coûteuse et nécessite des compétences qui la réservent plutôt aux grandes entreprises. Lorsqu’un pôle est de type « poids lourd » avec une ou des grandes entreprises leaders (Eurocopter en PACA, Aérospatiale en Midi-Pyrénées), l’adoption de la norme peut se faire par alignement sur le modèle dominant. Il peut toutefois y avoir des résistances de la part des grandes entreprises à ouvrir leur système de sécurité. L’enquête montre en effet que la présence, au sein d’un pôle, de grandes entreprises connues pour leur politique de sécurité ne place pas pour autant celle-ci au cœur de la stratégie du pôle.

Le rôle de la gouvernance des pôles est alors essentiel pour gérer le processus de convergence et d’alignement.

Le problème est plus délicat dans un pôle constitué d’ETI et de PME. A tout le moins peut-on exiger que soit mise en place une politique de sécurité des systèmes d’information (PSSI) telle que définie en 2004 par la DCSSI (devenue ANSSI) qui n’est pas aussi exhaustive que la norme ISO 27000 mais implique également une analyse de la stratégie et des processus de l’organisation et surtout prévoit une actualisation régulière.

En tout état de cause, l’évaluation de la fin de la phase II (2008-2012) préalable à la phase III de labellisation et de financements des pôles, gagnera à renforcer la part des critères « intelligence et sécurité économ ique » pour déterminer l’éligibilité aux financements de la phase III, dont les « investissements d’avenir ».

Proposition 7 : Développer, avec des partenaires privés participant aux projets, une norme de sécurité adaptée aux pôles, d estinée à être intégrée dans les contrats de performance, financée sur appe l à projets.

C) Faire de la sécurité économique un objet de recherc he action La conception d’architectures techno-organisationnelles sécurisées est en soi un domaine de recherche stratégique pour l’intelligence économique et une priorité pour l’Etat. Il est donc possible de lier les recherches effectuées par les pôles traitant des technologies de l’information (comme le pôle « solutions communicantes sécurisées » en PACA ou le pôle System@tic en Ile-de-France) et le développement de solutions opérationnelles :

a) Une architecture de référence pour les échanges électroniques au sein des pôles et avec leurs parte naires

Si chaque pôle doit développer une architecture adéquate à ses objectifs et appropriée à son contexte, cette démarche d’architecture rencontre des problèmes communs qui peuvent faire l’objet d’un référentiel.



page 36/50

Version 2.1

Un référentiel a pour but d’identifier des éléments communs dans la conception d’une architecture, partagés par les utilisateurs et les fournisseurs. Il en résulte une plus grande rapidité des développements grâce à l’utilisation de standards. Cela a également un impact sur les coûts puisque fournisseurs et clients, partageant les mêmes référentiels, une négociation globale au niveau de l’ensemble des pôles est rendue possible. Un tel référentiel existe déjà en accès libre, le référentiel TOGAF développé par l’Open Group.

Figure 5: Le principe des modèles de maturité: le niveau 1 identifie des pratiques de base, le niveau 2 est capable de les standardiser et de les reproduire, le niveau 3 de définir des processus sur étagère, le niveau 4 de maîtriser l’ensemble du système. Le niveau 5 est celui de l’amélioration continue des méthodes de management de la qualité totale.

Dans cette perspective, il peut être développé un modèle de maturité de la sécurité des architectures sur le principe du « Capability Maturity Model » (CMM) de l’Université Carnegie-Mellon. Aujourd’hui couramment utilisé dans l’industrie du logiciel, il peut être adapté à tous les domaines reposant sur la conception d’architectures complexes. Le modèle comprend cinq niveaux de maturité qui décrivent dans quelle mesure un processus est explicitement défini, géré, mesuré, contrôlé et efficace (Figure 5).

Proposition 8 : Demander en concertation avec l’ANR, la création d’ un atelier de réflexion prospectif (ARP) pour créer un modèle de maturité des architectures techno-organisationnelles des pôles.

A terme, les financements de l’Etat pourront être liés à la progression des pôles sur l’échelle de maturité16. Ce référentiel sera également utilisé pour gérer les rapports

16 Cette progression requiert un travail continu, de l’ordre de deux ans minimum pour atteindre le niveau III dans le cas du CMM.



page 37/50

Version 2.1

entre les partenaires aux projets afin d’évaluer les risques encourus au regard des bénéfices attendus.

b) La « progicielisation » d’une plateforme

Certains pôles ont déjà entrepris de développer des plateformes communes, parmi les projets les plus avancés signalons la plateforme Open-Wide du pôle System@tic en Ile-de-France et la plateforme OREE en Rhône-Alpes. De la même façon qu’il existe des référentiels d’architecture commune, on peut modéliser les transactions types entre acteurs d’un pôle (périmètre 1) et entre ces acteurs et les périmètres 2 et 3. Cette option a été testée par System@tic : le passage à une plateforme en web 2.0 (donc supprimant l’usage des courriels) couterait environ 600 000 euros en développement et en mois/homme. Ce coût ne peut être supporté par un seul pôle en raison de la nature marginale, évoquée plus haut, des budgets informatiques pour les membres du pôle.

La conception d’un progiciel de gestion sécurisée des échanges au sein d’un pôle et entre ses partenaires est en soi un projet de recherche-action qui peut mobiliser plusieurs pôles impliqués dans les technologies de l’information, avec une maîtrise d’ouvrage constituée de représentants des partenaires de trois périmètres pour définir les types d’échanges et de transactions.

Là encore, puisqu’il s’agit du domaine de certains pôles travaillant sur les technologies de l’information, le financement sous forme de recherche-action peut être envisagé.

Proposition 9 : Concevoir un progiciel sécurisé des échanges au sei n d’un pôle par appel à projet sur financement de l’Etat.

c) Passer au « zéro papier » dans le cadre d’une dé marche d’assurance qualité

Cette plateforme devra en outre permettre de travailler entièrement en ligne, sans avoir ni besoin ni la possibilité d’imprimer des document s.

Le pôle SCS procède déjà ainsi, tous les documents téléchargés depuis son site se dégradant à l’impression. Les échanges se déroulent en ligne ou en présentation vidéo sans remise d’écrits. Ce mode de travail existe déjà et fait l’objet d’évaluations qui en assure la sécurité (Figure 6).

La prolifération de documents papiers constitue une source de dissémination de l’information sous plusieurs formes :

• sous forme papier , des dossiers étant facilement accessibles dans des bureaux non-sécurisés sans aucune traçabilité. Faire les poubelles reste la source de collecte d’information la plus classique et la moins coûteuse . L’utilisation excessive de l’impression papier est généralement liée à l’inconscience de ce risque de fuite, et associée par ailleurs à une non-destruction des documents par des broyeurs.



page 38/50

Version 2.1

• Sous forme numérique avec les imprimantes laser et les photocopieurs modernes qui stockent les impressions sur un disque dur qui peut faire l’objet d’un remplacement discret par un service de maintenance.

Figure 6: Le bureau virtuel du Premier ministre estonien. Les dossiers sont préparés et disposés en ligne pour chaque ministre qui en assure la présentation. En cas de besoin, le ministre peut interagir avec ses services. L’Estonie a bâti son modèle de croissance sur les technologies de l’information.

Le passage au zéro papier requiert un travail de fond de description des processus et de standardisation des données qui s’inscrit comme un résultat logique du travail sur les architectures et l’introduction de progiciels.

A court terme , toute distribution de dossier papier doit être nominative, ces dossiers doivent être ramassés à l’issue de chaque réunion et immédiatement détruits par broyeur.

Proposition 10 : Dans le cadre d’une démarche d’assurance qualité, r éduire et sécuriser la diffusion du papier, avec comme obj ectif à terme le passage au zéro papier. Cet objectif sera inscrit dans les eng agements d’assurance-qualité-sécurité des contrats de performances.

D) Le point mutualisé unique de dépôt des projets à fi nancer : une action de réforme et de simplification administ rative

Cette catégorie d’action vise à créer un environnement institutionnel favorable à l’innovation par une l’introduction d’une innovation radicale , impulsée par l’Etat, dans les processus de financement des pôles.

Il s’agit de concevoir un point mutualisé unique de dépôt des projets des pôles, intégrant sur sa plateforme web 2.0 les processus d’instruction de tous les



page 39/50

Version 2.1

intervenants et les données des projets. Il ne s’agira pas d’un guichet unique , chaque financeur (Région, collectivité territoriale, ANR, communauté urbaine, ville, OSEO, services déconcentrés…) étant autonome. Il doit être capable d’accueillir tout financeur (agences gouvernementales, capitaux-risqueurs, « business angels »…), l’une des faiblesses du dispositif français de pôles de compétitivité étant sa faible variété d’intervenants financiers.

C’est le porteur de projet qui définit les droits d ’accès du financeur aux éléments de son dossier, en fonction des critères d’éligibilité des projets.

L’avantage d’un tel point unique de dépôt est multiple :

• Le porteur de projet n’a qu’un seul dépôt à faire , ce qui allège considérablement ses coûts d’administration qui représentent aujourd’hui un handicap, et garantit une parfaite traçabilité des transactions, puisque tout se déroule sous forme électronique en mode web 2.0 ;

• Un seul outil à sécuriser , ce qui limite le nombre de transactions et donc de fuites ;

• Une réduction des délais de validation et du processus d’innovation, qui, nous l’avons vu, est la plus sûre des garantie de sécurité économique.

Cette démarche est innovante sur deux plans :

• C’est une innovation organisationnelle , puisque les financeurs devront harmoniser leurs procédures et définir un identifiant commun par porteur de projet et par projet, et ajuster le déroulement chronologique de leurs procédures d’instruction et d’appel à projets;

• C’est également une innovation technologique liée à la conception de l’outil lui-même, qui peut faire l’objet d’un appel à projet de recherche-action, pour la conception d’une plateforme de travail ouverte aux différents partenaires de validation des projets, fonctionnant en web 2.0 et zéro papier. Le cahier des charges de l’opérateur de ce point de dépôt est à définir : il reposera sur des critères de fiabilité technique mais aussi - et peut-être surtout – de neutralité à l’égard des institutions de financement.

La réussite d’un tel projet requiert une maîtrise d’ouvrage stratégique d’un niveau politique pertinent afin d’assurer la coordination de ces acteurs. Il s’agit d’un projet ambitieux qui peut constituer le point focal de l’ensemble des propositions précédentes, qui pourront en constituer les jalons.

Proposition 11 : A terme, mutualiser, avec l’ensemble des partenair es, un projet de point unique de dépôt des projets à finan cer.



page 41/50

Version 2.1

05/12/2011 S écuri té des pôles de compétitivi té

8

11 propositions constitutives d’un écosystème sécur isé

10. Dans le cadre d’une démarche d’assurance qua lité, réduire et sécuriser la diffus ion du papier , avec comme objectif à terme le passage au zéro papier. Cet objectif sera inscrit dans les engagements d’assurance-qualité-sécurité des contrats de per formances.

11.Mutualiser, avec l’ensemble des partenaires, un projet de poi nt unique de dépôt des projets à financer.

09. Concevoir un progiciel sécurisé des échanges au se in d’un pôle par appe l à projet sur financement de l’Etat.

08. Demander en concertation avec l’ANR, la création d’un a telier de réflexion prospectif (ARP) pour créer un modèle de matur ité de la sécurité des architectures des pôles .

07. Développer, avec des partenaires privés par tic ipant aux projets, une norme de sécuritéadaptée aux pôles, destinée à ê tre intégrée dans les contra ts de performance, financée sur appel àprojets.

C

06. Rechercher avec l’AERESun accord pour a ligner le dépôt de brevets sur les publications sc ientifiques dans l’évaluation des chercheurs.

05 . Généraliser le principe de l’accord de consortium incluant une politique de publica tion à tous les PPP entrepris dans un pôle .

04. Définir un référentiel pour l’obtention d’un certificat de sécurité économique, référencé dans les contrats de trava il.

03. Co ncevoi r un mod ule d e formation à la sécuri té de s archi tectures orga nis ation nel les et numériqu es et défini r u n modèle écono miq ue de di ffu sio n co mpatible avec les resso urces des pô les.

B

02. Concevoir à l’a ttention des acteurs territoriaux les actions de formation nécessa ires e t identifie r les vecteurs de diffusion les plus appropriés.

01. Concevoir une formation destinée aux gouvernances des pôles mise en œuvre par des organismes spécia lisés et développer des modules « e-learning »

A



page 42/50

Version 2.1



page 43/50

Version 2.1

ANNEXES

Annexe I : La sécurité du processus d’innovation La meilleure sécurité est la rapidité du processus d’innovation qui permet une fluidité du processus de passage du laboratoire au marché et la recherche du verrouillage systémique (effet de lock-in) qui s’obtient par la complémentarité des innovations qui forment un « produit-système » innovant qui va imposer un design dominant et créer un effet de rendement croissant d’adoption17.

La Figure 7 représente l’écart entre les théories dominantes et les derniers apports de la recherche en innovation. On notera la faible importance des brevets et l’importance du levier financier qui va permettre de saturer une niche.

L’imitation et les effets de r éseaux sont plus importants que la d écision rationnelle.

Les décisions des acheteurs sont rationnelles et indépendantes

L’hypers élection et les effets de réseau dans la demande

La méritocratie: les meilleurs produits gagnent

La rente de l ’innovation s ’approprie grâce aux muscles financiers, position de march é, la vitesse d ’action et la co-évolution

La rente de l ’innovation s’approprie grâce àl’intelligence, la propri étéintellectuelle et les brevets

Innover implique une approche ouverte à l’écosyst ème, l ’innovation indépendante et les compl éments.

L’innovation est strat égique et dirig ée de l ’intérieur.

Figure 7: La contradiction entre les théories dominantes (à gauche) et la réalité du processus d'innovation (à droite). Source: Prof. Roger Miller, Ecole Polytechnique de Montréal

La dynamique d’un pôle repose sur le caractère écosytémique de l’innovation qui met en relation des acteurs hétérogènes (chercheurs, entrepreneurs, financeurs, autorités publiques).

Pour qu’un écosystème soit stable et innovant il faut qu’il réponde à la loi de Ashby18 (la loi de variété requise) : avoir une grande quantité d’interactions internes qui lui permette d’intégrer les innovations, les opportunités d’affaires et de gérer les turbulences de son environnement.

En tant qu’écosystème le pôle doit donc être ouvert sur l’extérieur pour capter les innovations et opportunités exogènes tout en générant les interactions endogènes pertinentes pour faire émerger l’innovation.

17 Il y a rendement croissant d’adoption quand un produit n’est pas choisi parce qu’il est le meilleur, mais parce qu’il s’impose comme le meilleur choix parce qu’une masse critique de consommateurs le choisit. Plus une technologie est adoptée plus elle accroît son rendement (économie d’échelle, complémentarité des technologies, effet de réseaux, apprentissage par l’usage). Ce concept a été développé par Brian Arthur dans les années 1980. 18 Loi de Ross Ashby : Pour qu’un système puisse faire face à la complexité de son environnement il faut que son organisation interne soit au moins aussi complexe que le système environnant. L’innovation dans un pôle sera donc fonction de son architecture organisationnelle interne qui permettra de traiter les opportunités et turbulences de l’environnement d’innovation du domaine.



page 44/50

Version 2.1

La sécurité résulte donc de la rapidité et de la pe rtinence de ces interactions : des interactions non-pertinentes (p. ex. par surcharge bureaucratique ou méfiance entre les partenaires) seront source de bruit, d’entropie et de perte d’information, et des interactions insuffisantes ralentiront le processus d’innovation.

Une grande attention doit donc être portée à la compréhension de ces interactions et à la conception de leur architecture entre les acteurs d’un pôle.

L’état de la recherche sur les architectures organisationnelles et des systèmes d’information établit qu’il est possible de définir des référentiels types de ces échanges à un niveau suffisamment macro-économique pour qu’ils puissent être adaptés à la diversité des architectures de chaque pôle. En effet, tous les pôles ont des transactions :

� entre les membres du pôle, qu’il s’agisse des activités de R&D ou des relations avec les gouvernances pour la labellisation des projets ;

� entre les partenaires des projets qui peuvent être membres (ou pas) du pôle ;

� entre les membres du pôle et les entreprises ;

� entre les gouvernances et les acteurs de financement des projets qui ont à connaître du contenu industriel et scientifique des projets ;

� entre les pôles et les acteurs administratifs.

Le repérage des problématiques standards et la modélisation des processus de référence permettent d’éviter aux pôles de nombreuses redondances improductives et de focaliser leur énergie sur le design d’une architecture spécifique à chaque contexte.



page 45/50

Version 2.1

Annexe II : La dynamique des pôles comme écosystème institutionnel

Les pôles sont des écosystèmes qui produisent leurs institutions (les règles de fonctionnement partagées) de manière endogène par les interactions entre les membres, ces interactions étant elle-même fonction du cadre institutionnel exogène (Annexe III )

Ces types d’architecture font l’objet d’une littérature scientifique de qualité et ancienne, qui s’est considérablement développée durant la dernière décennie19. Les modèles canoniques sont ceux de la Route 128 et de la Silicon Valley (Tableau 1). Plusieurs modèles coexistent entre ces deux extrêmes en fonction des caractéristiques du marché (présence d’une grande firme oligopolistique), des cultures nationales (les réseaux sociaux denses du modèle japonais donnent une dynamique différente des modèles individualistes anglo-saxons) et de l’enchâssement dans le capital social d’un territoire. La diversité du capital social selon les terroirs français contribue à une floraison de dynamiques institutionnelles.

Ces architectures se sont diversifiées avec l’apparition des TIC qui a permis l’émergence de modèles plus ouverts permettant l’intégration d’un plus grand nombre d’acteurs et la combinaison de modèles décentralisés et centralisés20. Si les TIC permettent une plus grande fluidité organisationnelle, elles sont aussi source de vulnérabilité par les fuites d’information, soit de manière passive, soit de manière agressive.

Dans tous les cas, quels que soient les modes d’innovation, ils requièrent des systèmes d’information pour coordonner le travail des acteurs. Dans le mode d’innovation centralisé de type « poids lourd » le système d’information sera organisée par modularité descendante, en fonction du design cible de l’innovation. Dans le mode d’innovation Silicon Valley, chaque module a sa propre activité de traitement de l’information et l’assemblage de l’architecture va se faire par modularité ascendante. La standardisation doit alors porter sur les interfaces pour permettre l’interopérabilité du système d’ensemble.

L’évolution des pôles ne tend pas vers une réductio n de cette diversité institutionnelle . Si la mondialisation et l’internationalisation des firmes a été invoquée à l’appui d’une réduction de la diversité institutionnelle – la domination de grandes firmes imposant un modèle standardisé au-delà des frontières nationales – il n’en est rien dans les faits. Même lorsque certains marchés sont dominés par des entreprises homogènes et mondialisées, Aoki21 observe que l’évolution des architectures locales reste sujette à des dépendances de sentier locales et à des

19 Les recherches sur la dynamique des pôles sont à la rencontre de deux domaines : la dynamique de l’innovation et de la technologie (Brian Arthur, Keith Pavitt, Roger Miller, James Utterback…) et l’économie institutionnelle (Masahiko Aoki et Avner Greif). Nous nous référons ici à l’étude la plus exhaustive qui est celle de M. Aoki publiée en 2001 au MIT « Toward a Comparative Institutional Analysis », traduit en français en 2006 « Fondements d’une analyse institutionnelle comparée » Albin Michel. 20 On en trouve une description détaillée dans le chapitre XV de Aoki. 21 Op. cit. 487



page 46/50

Version 2.1

interactions spécifiques au contexte. L’apparition de standards mondiaux est loin de créer des structures et des institutions monotones et uniformes.

On voit au contraire croître, parallèlement à ces standards mondiaux, une diversité nationale régionale et locale . Loin d’être un inconvénient, c’est une garantie pour que le système d’innovation qu’est le pôle puisse absorber les crises, les chocs, les ruptures technologiques exogènes et recomposer son architecture en fonction de ses contraintes spécifiques. Tableau 1 : Comparaison entre les modèles centralisés et décentralisés de pôles. Source: Prof Roger Miller, Ecole Polytechnique de Montréal?

Silicon Valley Route 128

Technologie dominante : semi-conducteurs Technologie dominante : Mini-ordinateurs

Système industriel flexible et décentralisé Grappe axée sur présence de grandes firmes

Apprentissage intensif dans le réseau Firmes à forte R&D à l’interne

Réseaux sociaux formels et informels denses, encourageant expérimentation et entrepreneuriat

Réseaux sociaux formels, conservateurs, poids important symboles corporatifs

Pratiques de collaboration et d’intense compétition Compétition, valeurs individualistes traditionnelles

Frontières poreuses firmes, institutions, universités Rôles institutionnels bien définis

Relations : institutions et firmes région Relations : gouvernements, contrats et support financier

Culture encourageant prises de risques et acceptation de l’échec

Culture conservatrice, influence secteur financier

Associations d’affaires et voisinage jouent rôle central dans la complémentarité

Organisations autosuffisantes à très haute intégration verticale

Management orienté vers le travail en équipe et la participation

Management basé sur la hiérarchie (2 siècles de tradition industrielle)



page 47/50

Version 2.1

Annexe III : Les pôles : Des règles de gouvernance principalement endogènes

Les pôles de compétitivité, sous l’appellation générique de « cluster », sont depuis une dizaine d’années un objet de recherche en économie institutionnelle. La définition officielle de la politique française est la suivante :

« la combinaison sur un espace géographique donné, d’entreprises, de centres de formation et d’unités de recherche publiques ou privées, engagées dans une démarche partenariale destinées à dégager des synergies autour de projets communs en direction d’un ou de marchés donnés ».

Cette mise en réseau est supposée produire de l’innovation. Cette démarche ne tient pas suffisamment compte du fait que l’innovation est un processus stochastique et non déterministe : on peut tenter de créer les conditions pour que les synergies pertinentes se produisent, mais cette pertinence apparaîtra toujours ex-post. On ne peut jamais prédire ex-ante que la mise en synergie de tels et tels acteurs produira de l’innovation.

La conséquence quant à la gouvernance des pôles, est qu’il n’est pas possible, au-delà de principes génériques, de définir des règles garantissant un succès.

La dynamique institutionnelle des pôles est essenti ellement émergente et ne peut être édictée par en haut. C’est une dynamique systémique qui dépend :

- Des conditions initiales de mise en place du pôle : l’histoire compte ;

- Des relations de pouvoir et de leadership entre les acteurs et de leur capacité à entrer dans des jeux coopératifs : la culture compte ;

- Du contexte local, notamment du capital social porté par l’espace géographique considéré, qui définit la capacité à définir des normes collectives et à partager un but commun : le territoire compte ;

- Des développements technologiques et de leurs éventuelles synergies, qu’elles soient latentes ou identifiées ;

- Et d’une manière générale de la séquence de ces événements qui va déterminer la « dépendance de sentier », ou succession de causalités cumulatives (enchaînements causes – effets) définissant un phénomène de trajectoire.

Autrement dit, chaque pôle expérimente une dynamique propre à son histoire et à son contexte sociétal, sociologique, technologique, politico-institutionnel. Il est possible de dire pourquoi un pôle a réussi, il n’est pas possible de prédire qu’un pôle va connaître le succès. L’évaluation réalisée en 2008, après trois ans de fonctionnement des premiers pôles, a montré que le développement des coopérations entre acteurs aussi différents par leur culture et leurs pratiques organisationnelle que l’industrie et la recherche, ne se décrète pas22.

22 Boston Consulting Group et BM International « Evaluation des pôles de compétitivité, synthèse du rapport d’évaluation », 2008



page 48/50

Version 2.1

La littérature scientifique remet aujourd’hui en cause les dogmes dominants de l’économie néoclassique selon lesquels la technologie serait un bien public pouvant circuler librement. Au contraire, la maîtrise de la technologie dépend de « capabilités sociales » comme l’a identifié l’économiste Abramovitz23. Ces capabilités24 sont très dépendantes des phénomènes de trajectoires et des interactions entre les divers réseaux au sein d’un territoire et plus encore au sein d’un pôle : réseaux scientifiques, d’enseignement, de télécommunication, de circulation et du cadre institutionnel et réglementaire.

En pratique, il est très difficile de définir une « capabilité sociale » et encore plus de la mesurer. On utilise des proxys comme le niveau général d’instruction et la densité en entrepreneurs et centres de recherche. Mais dans une dynamique systémique qui est celle d’un pôle, la valeur de l’ensemble est supérieure à la somme de ses éléments : si les acteurs n’interagissent pas de manière constructive, il n’émergera aucune compétence collective. La capabilité essentielle est donc celle qui va permettre ces interactions positives.

Elles déterminent la capacité à saisir les opportun ités technologiques : un pôle peut réunir tous les ingrédients du succès, mais si les bonnes interactions entre ces ingrédients ne se produisent pas, aucune dynamique de développement ne s’enclenchera. Pour Abramovitz, la capabilité essentielle est la capacité à remettre en cause les intérêts établis qui s’opposent à l’innovation et donc de faire évoluer l’environnement institutionnel.

Le conflit de compétences élevé par certains présidents de conseils généraux (par exemple en Aquitaine) face à l’Etat constitue un obstacle manifeste à la définition de règles communes pour la gouvernance des pôles. En région PACA, le Conseil régional a établi son propre dispositif de financement – les PRIDES – qui impose une nouvelle instruction du dossier selon un processus qui n’observe aucune des règles de base de confidentialité et impose aux entreprises une charge bureaucratique inutile.

23 « Catching Up, Forging Ahead, and Falling Behind » Moses Abramovitz Journal of Economic History, Volume 46 ,Issue 2, The Tasks of Economic History (Jun.,1986),385-406. 24 La « capabilité » s’applique à des systèmes et à des processus et identifie une aptitude à l’exécution d’un ensemble de tâches et à l’évolution du système, et la « capacité » s’applique aux individus pour évaluer s’ils sont réellement en capacité de faire au regard des libertés et des compétences dont ils disposent.



page 49/50

Version 2.1

Annexe IV : Comment passer des comportements non-coopératifs à des comportements coopératifs ?

Le recours à la théorie des jeux par les chercheurs en économie institutionnelle pour comprendre la dynamique des pôles permet de saisir comment se combinent les institutions émergentes issues des jeux endogènes des acteurs et les institutions exogènes définies par un acteur extérieur en l’occurrence l’Etat.

Spontanément, les relations entre acteurs d’un jeu dont la règle n’est pas évidente sont régies par le dilemme du prisonnier : en l’absence de lisibilité de la stratégie de l’autre joueur, chaque joueur a un gain plus certain à jouer « non coopératif » que s’il prend le risque de supposer que l’autre joueur soit coopératif.

Un acteur ne peut pas toujours reconnaître par lui-même ce qui est socialement bénéfique ni être motivé pour poursuivre un tel but s’il n’est pas motivé par des institutions qui définissent des règles du jeu.

De plus, l’adhésion à un pôle peut n’avoir qu’une finalité purement utilitariste et opportuniste : accéder à des subventions, des facilités immobilières et des opportunités technologiques. Il y a alors un effet « cavalier seul » ou chaque acteur cherche à tirer partie d’un autre en en donnant le moins possible.

Pour sortir du dilemme du prisonnier, il faut que les acteurs partagent un modèle cognitif comportant des éléments partagés de rationalité qui permettent des comportements coopératifs. Il y a comportement coopératif quand les interactions entre les acteurs se font sur le principe d’un équilibre de Nash-Cournot, soit un équilibre ou aucun acteur n’a intérêt à dévier des normes collectivement reconnues .

Quatre points importants en résultent:

• La constitution d’un équilibre de Nash-Cournot repose sur des micro-fondations comportementales qui sont très difficiles à piloter ;

• Il y a plusieurs types d’équilibre possible qui ne sont pas des équilibres optimaux ;

• L’évolution des comportements peut être déclenchée par une évolution des règles exogènes – donc une action des institutions impulsée par l’Etat – mais qui ne sera exécutoire que si elle est cohérente av ec les institutions informelles observées par les acteurs ;

• En jouant avec ces règles et par un processus d’apprentissage , les acteurs vont faire émerger des nouvelles règles : d’exécutoires ces institutions deviennent auto-renforçantes.



page 50/50

Version 2.1

La sécurité économique des pôles de compétitivité

Documents

Transcript of La sécurité économique des pôles de compétitivité