Il existe une phrase que toutes les directions générales et toutes les directions de la communication de France devraient avoir affichée au mur, et que presque aucune n’a lue. Elle figure dans le rapport n° 739 de la commission d’enquête du Sénat sur les influences étrangères malveillantes, déposé le 23 juillet 2024, en tête d’une section que la couverture médiatique du rapport a laissée dans l’ombre : « Les opérations d’influence étrangères : un « angle mort » de la politique de sécurité économique. » Les guillemets sont ceux du Sénat. Le rapport a été abondamment commenté sous l’angle politique, les partis, les élus, les cultes, l’université. Sa conséquence économique, elle, n’a jamais été dépliée : si l’influence étrangère est l’angle mort de la sécurité économique, alors les entreprises françaises ne sont couvertes par personne sur le front informationnel. Deux ans ont passé, rien n’a comblé l’angle, et une campagne présidentielle s’ouvre, qui va porter l’espace informationnel français à sa température maximale. Il est temps de lire ce rapport comme personne ne l’a lu : du point de vue d’un dirigeant d’entreprise.
Ce que le Sénat a écrit, exactement
Rappelons d’abord ce qu’est ce document. La commission d’enquête, présidée par Dominique de Legge avec Rachid Temal pour rapporteur, a produit l’un des états des lieux les plus complets jamais dressés en France sur les influences étrangères malveillantes, avec 47 recommandations et une doctrine en trois piliers restée célèbre dans le petit monde de la sécurité nationale : sortir de la naïveté, sortir de la passivité, sortir de l’empirisme. Le rapport chiffre l’asymétrie en citant des ordres de grandeur vertigineux, 1,1 milliard d’euros investis par la Russie dans la propagande, 2 millions d’agents dédiés en Chine à la surveillance des réseaux, et pose un principe que nous faisons nôtre depuis longtemps : la lutte contre les influences malveillantes est « l’affaire de tous », et la culture du secret qui entoure le sujet protège davantage les attaquants qu’elle ne sert les défenseurs.
Puis vient la section économique, et son diagnostic en deux temps. Premier temps : le Service de l’information stratégique et de la sécurité économiques, le Sisse, « bras armé du Gouvernement » en la matière, monte en puissance sur sa mission de veille et d’alerte, mais souffre, écrit le Sénat, d’« un maillage territorial encore insuffisant ». Second temps, le constat qui donne son titre à cette analyse : les opérations d’influence étrangères constituent un « angle mort » de la politique de sécurité économique. Autrement dit, la politique qui protège les entreprises françaises contre les prédations étrangères, rachats hostiles, captation de technologies, pillage scientifique, ne couvre pas les attaques qui passent par les récits : campagnes de dénigrement, manipulation de l’information, déstabilisation réputationnelle. Ce n’est pas un lanceur d’alerte qui le dit, ni un cabinet qui prêche pour sa paroisse. C’est la chambre haute du Parlement, dans un document public que chacun peut télécharger.
Le détail que personne n’a relevé : le système repose sur votre réflexe
Le compte rendu des auditions de la commission contient un passage plus éclairant encore que le rapport lui-même, et il est passé totalement inaperçu. Auditionné le 8 avril 2024, le chef du Sisse a décrit son dispositif avec une transparence remarquable. La protection s’organise autour de trois listes : une liste d’entreprises stratégiques, qui va bien au-delà du CAC 40 et du SBF 120, une liste de technologies critiques, et une liste de laboratoires de recherche sensibles. Trois listes, trois patrimoines : le capital, la technologie, la science. Le patrimoine narratif, la réputation, l’image, le récit qui fait la valeur d’une marque et la confiance de ses clients, n’en fait pas partie. Ce n’est pas un reproche : ce n’est simplement pas le mandat historique de la sécurité économique, et c’est précisément ce que le Sénat désigne comme l’angle mort.
Mais le passage décisif est ailleurs. Le chef du service explique lui-même que le Sisse ne dispose d’aucune information « captive » : les entreprises n’ont aucune obligation, administrativement parlant, de venir voir le Sisse en cas de menace, contrairement aux mécanismes déclaratifs dont bénéficient d’autres services. Et il ajoute cette idée qui devrait faire réfléchir chaque comité exécutif : si les entreprises ont le réflexe de venir voir le service, cela élargit considérablement la surface des informations dont il dispose. Lisez bien ce que cela signifie : le dispositif national de sécurité économique dépend, pour voir la menace, du réflexe volontaire de ceux qu’il protège. La détection est déclarative, la couverture informationnelle n’existe pas, et le maillage territorial est jugé insuffisant par le Sénat lui-même. Le syllogisme se referme tout seul : sur le front des récits, l’entreprise française est son propre service de sécurité, qu’elle le sache ou non.
Le croisement qui achève la démonstration
Ce constat institutionnel ne flotte pas dans le vide : il croise deux séries de faits que nous documentons depuis des mois, et le croisement fait la démonstration complète. Première série : la menace vise bien l’économie. Comme nous l’analysions dans notre décryptage du positionnement de Viginum, le service de vigilance contre les ingérences numériques a lui-même élargi son discours au monde économique : le risque informationnel frappe l’activité, les carnets de commandes, la valeur, pas seulement le débat public. Seconde série : la vulnérabilité des organisations est mesurée. Notre analyse du baromètre Allianz Trade publié mi-juin documentait la banalisation de la fraude au dirigeant et de l’usurpation, c’est-à-dire la version la plus crapuleuse de l’attaque narrative, celle qui exploite la voix, le visage et l’autorité de vos propres dirigeants. Posez les trois faits côte à côte : la menace est avérée et vise l’économie, les organisations y sont massivement vulnérables, et l’État écrit lui-même que sa politique de sécurité économique ne couvre pas ce front. Il n’y a qu’une conclusion possible, et c’est la thèse de cet article : la sécurité narrative est, par défaut, une responsabilité privée. Non parce que l’État s’en désintéresse, le rapport prouve le contraire, mais parce que le comblement d’un angle mort institutionnel prend des années, et que les dix-huit mois qui viennent ne les attendront pas.
Car il y a le calendrier. Une campagne présidentielle est le moment où l’espace informationnel d’un pays atteint sa température maximale : volumes, émotions, ingérences documentées lors des scrutins précédents, et désormais outillage génératif à coût nul. Dans cet espace surchauffé, les entreprises ne sont pas spectatrices : elles deviennent des décors de récits qui les dépassent, délocalisations, souveraineté, salaires, écologie, des otages de controverses qu’elles n’ont pas choisies, ou des dommages collatéraux d’opérations qui visent autre chose qu’elles. Celles qui découvriront ce terrain au moment où il s’embrase le découvriront dans les pires conditions.
Vue des territoires : là où l’angle mort est le plus large
Le constat sénatorial du « maillage territorial encore insuffisant » mérite d’être lu depuis les régions, car c’est là qu’il se traduit concrètement. La sécurité économique de terrain s’appuie sur des relais régionaux réels mais peu nombreux au regard du tissu à couvrir : des dizaines de milliers d’ETI et de PME stratégiques par leur savoir-faire, leur position dans les chaînes de valeur ou leur implantation. Prenez un département comme la Manche, que nous connaissons bien : une densité exceptionnelle de sites énergétiques et industriels d’envergure nationale, un tissu d’entreprises exportatrices et de sous-traitants critiques, et, comme partout, des directions qui n’ont jamais eu l’occasion de croiser un référent de sécurité économique. Ce n’est le procès de personne : c’est l’arithmétique d’un maillage que le Sénat lui-même juge insuffisant. La conséquence pratique est la même qu’au niveau national, mais amplifiée : en région, la première ligne de la sécurité narrative, c’est l’entreprise elle-même, son dirigeant, et la qualité de sa préparation.
Ce que vous devez faire, et dans quel ordre
Action 1 : auditez votre exposition informationnelle comme vous auditez vos risques cyber
Commencez par la cartographie que presque aucune ETI n’a faite : sur quels sujets votre entreprise peut-elle devenir un décor, un otage ou une cible, souveraineté, emploi, environnement, clients sensibles, dépendances étrangères ? Que disent de vous les espaces que vous ne surveillez pas, forums, réseaux, moteurs génératifs ? Qui, dans l’organisation, verrait venir un signal faible, et en combien de temps ? Cet audit d’exposition est l’équivalent narratif du test d’intrusion : il coûte peu, il révèle beaucoup, et il transforme une menace diffuse en liste de chantiers.
Action 2 : intégrez le risque narratif à votre dispositif de gestion des risques, avec un responsable et une procédure
Le risque informationnel doit entrer dans votre cartographie des risques au même rang que le cyber et la fraude, avec un propriétaire désigné, un circuit de décision court et une procédure des premières 72 heures pré-écrite : qui qualifie, qui décide, qui parle, sur quels canaux, avec quels éléments de langage préparés. C’est la fenêtre que nous documentons depuis nos premiers cas d’école : une attaque narrative se gagne ou se perd dans ses trois premiers jours, et aucune organisation n’improvise bien en 72 heures. Ajoutez-y le réflexe que le chef du Sisse appelle de ses voeux : signaler. Aux référents de la sécurité économique, à Viginum lorsque l’ingérence numérique est en cause, aux plateformes. L’entreprise qui signale ne s’expose pas : elle élargit la surface de détection collective, et elle documente sa propre diligence.
Action 3 : construisez le capital d’entité qui rend l’attaque coûteuse
La meilleure défense narrative n’est pas réactive, elle est patrimoniale. Une entreprise dont l’identité est solidement établie, des faits publiés, datés, sourcés, une parole de dirigeant incarnée et régulière, une présence de référence dans les moteurs et les réponses d’IA, offre très peu de prise à la déformation : chaque récit hostile s’y heurte à un corpus vérifiable qui préexiste. C’est ce que nous appelons le capital d’entité, et c’est l’actif que toute notre doctrine construit. À l’inverse, l’entreprise discrète, celle qui ne dit rien d’elle-même, croit se protéger et fait l’exact contraire : elle laisse un vide, et dans une crise informationnelle, le vide est toujours rempli par quelqu’un d’autre.
ELMARQ accompagne les directions générales et les directions de la communication sur l’audit d’exposition informationnelle, la préparation aux 72 heures et la construction du capital d’entité, en stratégie et en exécution. Trente minutes de diagnostic suffisent à établir si votre organisation verrait venir une attaque narrative, et ce qui lui manque pour y répondre.
Le Sénat a appelé la nation à sortir de la naïveté, de la passivité et de l’empirisme. Ces trois injonctions ont été écrites pour les pouvoirs publics ; il est temps que les entreprises se les appliquent. Sortir de la naïveté, c’est admettre que le front informationnel existe et que personne ne vous y couvre : c’est écrit noir sur blanc dans un rapport public. Sortir de la passivité, c’est auditer, désigner, préparer, avant que le calendrier électoral ne décide à votre place. Sortir de l’empirisme, c’est cesser de traiter chaque crise comme une surprise et bâtir la doctrine, les procédures et le capital qui font les organisations résilientes. L’angle mort a été nommé par l’État lui-même il y a deux ans. Ce qui s’y trouve, désormais, relève de la responsabilité de chacun. Autant s’y installer en premier, et en position de force.


