la sécurité économique des pôles de compétitivité

Rapport dclassifi le 5 avril 2012 la demande de lmetteur Jean-Michel Jarry, Coordinateur ministriel lintelligence conomique, par intrim

Lobjet du prsent rapport - conformment la lettre de mission du ministre en charge de lindustrie, de lnergie et de lconomie numrique, Eric Besson, au Coordonnateur ministriel lintelligence conomique des ministres conomique et financier - est de procder un tat des lieux des dispositifs de scurit conomique des ples de comptitivit, notamment en matire de scurit des plateformes dchanges dinformations, et de proposer les mesures prendre dans la perspective de la nouvelle vague dinvestissements davenir de lEtat1.

RsumLa scurit conomique des ples est envisage en considrant leur dynamique spcifique qui est celle dun cosystme compos dagents htrognes qui ne partagent pas, de premier abord, de finalit ni dintrt commun. Lappropriation des enjeux de scurit conomique dpend de la dynamique interne des acteurs et de leur capacit faire merger des enjeux stratgiques communs et des rgles de fonctionnement. Ouvert par nature, un ple ne peut tre physiquement scuris et la scurit optimale rside dans la rapidit du processus dinnovation qui permettra une innovation de parvenir maturit sur un march. La scurit conomique est donc lie pour une large partie la rduction des changes administratifs qui font peser une charge sur les porteurs de projet, ralentissent le processus dinnovation et multiplient les sources de fuite. Une dmarche de scurit conomique est donc une dmarche darchitecture des processus organisationnels du ple, au-del de la scurisation des plateformes dchanges dinformations. En cela, elle constitue un lment cl de la comptitivit des ples. Le rapport : - Analyse la question de la scurit conomique des ples de comptitivit comme un problme darchitecture des relations et des changes entre les acteurs sur quatre primtres : le ple et sa plateforme dchange numrique dinformations, le ple et les porteurs de projets dans leurs relations avec les financeurs, les relations avec les acteurs administratifs et les fournisseurs. Les principales sources dinscurit proviennent de la circulation de documents papiers qui devront disparatre terme, grce la conception dune architecture approprie dchanges dinformations pour linstruction des projets et la collaboration entre partenaires des projets. - Dresse ltat des lieux des pratiques actuelles de scurit conomique partir dune enqute ralise par les CRIE (Chargs de mission rgionaux lintelligence conomique) sur le territoire national. - Etablit des propositions dactions au service de deux objectifs : renforcer lappropriation ncessaire de la protection de linnovation et tablir un cadre institutionnel structurant et fdrateur qui sinscrit dans une dmarche de simplification administrative et de scurit des investissements de lEtat.

1

Ce rapport, initialement prsent en diffusion restreinte spcial France , a t remis au ministre complt par une annexe classifie Confidentiel Dfense . Dclassifi la demande de lmetteur le 5 avril 2012.page 3/50Version 2.1

Rapport au ministre en charge de lindustrie et de lconomie numrique

Rapport au ministre en charge de lindustrie et de lconomie numrique page 5/50Version 2.1


La scurit conomique des ples de comptitivit

Liste des personnes rencontres : 52 dirigeants de ples ont t interrogs, partir dun questionnaire, par les Chargs de mission rgionaux lintelligence conomique (CRIE) Des entretiens dapprofondissements ont t mens en direct par le responsable du rapport : M. Franois CUNY, adjoint au Dlgu gnral, Ple System@tic M. Nicolas DAUBRESSE, Responsable des ples de comptitivit, DATAR M. Sylvain DORSCHNER, Dlgu gnral, Ple System@tic, Club des ples mondiaux M. Jean-Yves LONGERE, directeur du ple PEGASE M. Guilhem MONTI, Charg de mission R&D, ple PEGASE M. Erwan SALMON, Conseiller au Dveloppement conomique, lenseignement suprieur, la Recherche et aux TIC, Association des Rgions de France M. Ludovic VALADIER, Responsable du dpartement partenariats et comptitivit, Agence nationale pour la recherche M. Ludovic WEBER, Directeur de cabinet du Directeur gnral de la comptitivit, de lindustrie et des services Membres du groupe de travail : M. Philippe AZIMONT, DCRI M. Dominique CHARNASSE, SCIE M. Jean-Claude CARLU, OSEO M. Dominique CHANDESRIS, ANSSI Mme Stphanie DUPONT, DCRI Mme Aurlie FAITOT, DGCIS M. Jean-Michel JARRY, SCIE M. Fabrice LEROY, DGCIS M. Manuel MARCIAUX, SCIE Mme Laetitia MONTANIER, OSEO M. Jean-Michel YOLIN, CGIET Rdacteur : M. Claude ROCHET, SCIE





TABLE DES MATIERES

Objet et mthodologie du rapport......................................................................... 11 Synthse des propositions........................................................................................ 15 Partie I A) B) A) B) C) D) La problmatique de la scurit conomique des ples................. 17 Comment rendre les rgles applicables ?................................................ 18 Comment rendre les rgles de scurit compatibles avec linnovation ?. 19 Ltat des lieux......................................................................................... 24 Lanalyse des risques .............................................................................. 24 Les politiques de scurit ........................................................................ 25 Les architectures organisationnelles et techniques ................................. 26

Partie II - Les traits saillants se dgageant des rponses au questionnaire ... 24

Partie III - Les recommandations.......................................................................... 29 Objectif I : Renforcer lappropriation des enjeux de scurit conomique ........... 30 A) B) C) Les actions pdagogiques ....................................................................... 30 Des actions normatives de la part de lEtat:............................................. 33 Faire de la scurit conomique un objet de recherche action................ 35 Objectif II : Crer un cadre structurant et fdrateur ........................................... 33

D) Le point mutualis unique de dpt des projets financer : une action de rforme et de simplification administrative ............................................................... 38 ANNEXES 43 Annexe I : La scurit du processus dinnovation ............................................... 43 Annexe II : La dynamique des ples comme cosystme institutionnel .............. 45 Annexe III : Les ples : Des rgles de gouvernance principalement endognes 47 Annexe IV : Comment passer des comportements non-coopratifs des comportements coopratifs ?................................................................................... 49



Objet et mthodologie du rapportCe rapport intervient la suite de la volont des pouvoirs publics, depuis plusieurs annes, dassurer la scurit conomique des ples de comptitivit. Des initiatives avaient dj t prises par le Ministre de lintrieur, au travers de lINHESJ, dabord sur 5 ples en 2006 puis sur une slection de 10 ples de la diffusion dun rfrentiel scurit conomique , formalis en un guide de scurit conomique en 2007. Si le paysage est aujourdhui stabilis avec 71 ples de comptitivit dont 8 nouveaux, les risques ont volu avec lusage des TIC qui acclre la diffusion et loccurrence des risques en matire de scurit conomique. Ces enjeux de scurit sont donc stratgiques au moment o le gouvernement sapprte engager une nouvelle vague dinvestissements davenir dans les ples. Les rsultats de lenqute mene par le SCIE montrent labsence, ce jour, dune politique nationale structure, cohrente et denvergure de scurit des ples. La question a t aborde avec la collaboration de lANSSI pour ce qui est de la scurit des systmes dinformation et des plateformes dchanges dinformations et uniquement du point de vue des techniques de protection des systmes dinformation. Or, la scurit conomique ne se rsume pas la scurit des plateformes dchanges dinformations dun point de vue technique, mme si cellesci sont appeles structurer larchitecture de la circulation de linformation au sein du ple et entre les ples et ses partenaires. Lide que la scurit conomique se rduise la scurit des plateformes est dangereuse deux gards : dune part, elle induit le principe quil puisse exister une scurit absolue dans les changes lectroniques, dautre part, beaucoup dchanges, et donc de risques de fuite dinformations, se font hors des mdias lectroniques : la circulation de papiers reste parmi les fuites principales. En effet, lexprience montre que les principales fuites ne sont pas dues aux intrusions dans les systmes informatiques mais des comportements humains conversations dans les lieux publics, perte de documents et de supports numriques - ou encore des architectures organisationnelles faisant circuler de linformation sensible l o elle ne devrait pas. La notion dinformation sensible doit par ailleurs tre dfinie, car elle ne se rduit pas aux seules informations scientifiques et industrielles : des informations administratives, apparemment sans valeur, peuvent donner des indications prcises sur les stratgies de recherche en cours ou venir. Ainsi, lAgence Nationale pour la Recherche (ANR) considre-t-elle que le recueil de projets classs comme non confidentiel a une valeur suprieure la somme de ces projets par la configuration de la stratgie de recherche qu'il peut rvler. Le point de vue adopt par le groupe de travail runi par le SCIE2 concerne la scurit conomique dans son ensemble, intgrant les processus

2

Comprenant le Conseil gnral de l'industrie, de l'nergie et des technologies (CGIET), la Direction gnrale de la comptitivit, de lindustrie et des services (DGCIS), OSEO, la Direction centrale duRapport au ministre en charge de lindustrie et de lconomie numrique page 11/50Version 2.1


organisationnels et humains et leurs supports technologiques, soit, en dautres termes, la protection du ple comme cosystme dinnovation jusqu ce que linnovation soit parvenue une maturit suffisante. Prcisons demble que la notion de protection de linnovation na de sens que pour la protection de linnovation naissante : la meilleure protection est dans la rapidit du processus dinnovation (Annexe 1) qui permet la connaissance de se transformer en produit sur le march. Les interactions non-pertinentes lies la charge administrative qui pse sur les ples sont une source de ralentissement de ce processus et de dissipation de linformation. Scurit conomique et comptitivit des ples sont donc intimement lies. Nous avons donc cherch tablir une cartographie des acteurs, de leurs interactions et du contenu de leurs changes, en les rpartissant sur quatre primtres (Figure 1): Le primtre central est celui de linteraction entre les membres du ple. Quand ces changes se font sur une plateforme numrique, le gestionnaire gnralement ladministrateur de la plateforme - attribue des droits en tant que membre et en tant que participant un projet. Cest au sein de ce primtre que sont labelliss les projets et que se droulent les interactions collaboratives la source de linnovation. Un second primtre concerne les partenaires R&D du ple qui ont connatre des informations caractre scientifique et industriel : savoir, les centres de recherche et les financeurs qui doivent valider les projets labelliss par les ples quant leur recevabilit scientifique et industrielle. Il sagit des laboratoires de la recherche universitaire, des experts ad hoc, des organismes de recherche, de lAgence Nationale de la Recherche (ANR) et dOSEO. Un troisime primtre intgre les partenaires administratifs, ceux de lEtat (DGCIS et DATAR essentiellement) et ceux des collectivits territoriales (Conseils rgionaux, et un moindre degr Conseils gnraux et grandes villes). Ces acteurs financent les projets sur la base de leur stratgie de dveloppement. Ils ne devraient avoir connatre que des informations administratives une fois valide la pertinence des projets financs par les acteurs du second primtre. Un quatrime primtre est celui des fournisseurs, lorsque les plateformes et les serveurs sont externaliss. Ces fournisseurs doivent dune part garantir une sret de fonctionnement et surtout assurer la scurit de linformation. Cela concerne autant les machines utilises que la structure du capital de ces socits qui doivent prsenter toutes les garanties les prservant de tomber entre des mains non-dsirables.

-

-

-

Des visites exploratoires de ples ont montr que, dans certains cas, il existait une rflexion sur cette architecture, gnralement quand le ple se dote dune plateforme dchanges dinformations, ce qui implique denclencher une rflexion sur les droits

renseignement intrieur (DCRI) et lAgence nationale pour la scurit des systmes dinformation (ANSSI) et la Dlgation interministrielle lintelligence conomique (DIIE).Rapport au ministre en charge de lindustrie et de lconomie numrique page 12/50Version 2.1


attribuer chaque acteur, la confidentialit de linformation et la sret des technologies utilises. Mais dans nombre de cas, force est de constater que cette rflexion est embryonnaire, partielle, voire inexistante. Des dossiers scientifiques et industriels circulent sur support-papier dans les assembles dlibratives de Conseils rgionaux au seul motif que qui paye a le droit de tout voir . Un cas a t rapport par la gouvernance dun ple, dune collectivit territoriale qui a demand faire rexpertiser des projets par un cabinet priv affid, sans aucune qualification scientifique. Dans ce cas prcis, la demande a t bloque par la direction du ple. Dans les contacts avec les ples trangers, sur les salons, de nombreuses informations sont diffuses sans rflexion pralable sur la scurit. L encore, une rflexion sur larchitecture des changes est ncessaire : outre la scurit physique des informations transportes sur les supports numriques, il y a lieu de dfinir une stratgie quant ce que lon doit montrer pour attirer des partenaires sans toutefois transfrer linformation sensible.Notre approche: Architecture de lcosystme dun pleConseils rgionaux

Systme des changes administratifsServicesEntreprises Entreprises Entreprises

Conseils gnraux

Systme des changes R&D

Villes

?Sorties dossiers papier

Plate-forme dchanges ferme: Web 2.0

Entreprises Entreprises

Labos

BDDFOURNISSEURS SI

Labos Labos

4Ob

a on sz ur ate rv se

ux

1

ANRRecherche universitaire

ANSSI

CM DIRRECTE

2DGCIS Inter ministrialit DATAR Experts

OSEO

CCI

3UBI FR Scurit des ples de comptitivit

Agences de dveloppement

3

21/06/2011

Figure 1: Architectures des acteurs et des primtres d'un ple

Au-del des risques de fuite dinformations, cette absence de politique est prjudiciable par les ractions de fermeture quelle provoque, notamment dans les contacts avec des pays trangers connus pour leur apptit dinformation technologique. Tout contact est alors refus. Cela est prjudiciable sur deux plans : cela donne lillusion dune protection en labsence de politique relle de scurit de linformation - et cela naide pas comprendre la stratgie dintelligence conomique des concurrents. partir de ce cadre danalyse, un questionnaire a t conu par le SCIE et les Chargs de Mission Rgionaux lIntelligence Economique (CRIE) ont t mandats pour raliser des entretiens en face face avec les gouvernances des ples, sous procdure confidentiel dfense , en lien avec les correspondants rgionaux de laRapport au ministre en charge de lindustrie et de lconomie numrique page 13/50Version 2.1


Direction centrale du renseignement intrieur (DCRI) et ses services dconcentrs (DRRI et DZRI).

Ce rapport prsente un tat des lieux des pratiques de scurit conomique au sein des ples de comptitivit: il formule, ce stade, des recommandations qui sont classes par ordre de facilit de mise en uvre et de cot, au regard des deux objectifs susmentionns. Les recommandations valides seront mises en uvre dans une seconde phase, en concertation avec les acteurs concerns. Il comprend trois parties : 1) la prsentation de la problmatique de la scurit conomique des ples au regard de la dynamique spcifique de gouvernance des ples de comptitivit et de linnovation ; 2) La prsentation du questionnaire et lanalyse de ses rsultats ; 3) Les recommandations pour la mise en uvre dune politique de scurit conomique.



Synthse des propositionsLes propositions sont regroupes autour de deux objectifs : renforcer lappropriation des enjeux de scurit conomique et crer un cadre institutionnel structurant et fdrateur pour la mise en uvre dune politique de scurit conomique.

Objectif I : Renforcer lappropriation des enjeux de scurit conomiqueA) Les actions pdagogiques Proposition 1 : Concevoir une formation destine aux gouvernances des ples mise en uvre par des organismes spcialiss et dvelopper des modules dautoformation en ligne (e-learning). Proposition 2 : Concevoir lattention des acteurs territoriaux les actions de formation ncessaires et identifier les vecteurs de diffusion les plus appropris. Proposition 3 : Concevoir un module de formation la scurit des architectures organisationnelles et numriques et dfinir un modle conomique de diffusion compatible avec les ressources des ples.

Objectif II : Crer un cadre structurant et fdrateurB) Des actions normatives : lintgration des normes de scurit dans les contrats financs par lEtat Proposition 4 : Dfinir un rfrentiel pour lobtention dun certificat de scurit conomique, rfrenc dans les contrats de travail. Proposition 5 : Gnraliser le principe de laccord de consortium incluant une politique de publication tous les partenariats public-priv (PPP) entrepris dans un ple. Proposition 6 : Rechercher avec lAERES3 un accord pour aligner le dpt de brevets sur les publications scientifiques dans lvaluation des chercheurs. Proposition 7: Dvelopper, avec des partenaires privs participants aux projets, une norme de scurit adapte aux ples, destine tre intgre dans les contrats de performance, finance sur appel projets.

3

Agence dvaluation de la Recherche et de lEnseignement Suprieur.page 15/50Version 2.1



C) Faire de la scurit conomique un objet de recherche-action Proposition 8 : Demander en concertation avec lANR, la cration dun atelier de rflexion prospectif (ARP) pour crer un modle de maturit de la scurit conomique des architectures des ples. Proposition 9 : Concevoir un progiciel scuris des changes au sein dun ple par appel projet sur financement de lEtat. Proposition 10 : Dans le cadre dune dmarche dassurance qualit, rduire et scuriser la diffusion du papier, avec comme objectif terme le passage au zro papier. Cet objectif sera inscrit dans les engagements dassurance qualit scurit des contrats de performances.

D) Actions de rforme et de simplification administrative : le dpt unique des projets labelliser Proposition 11 : A terme, mutualiser, avec lensemble des partenaires, un point unique de dpt des projets financer.



Partie I - La problmatique de la scurit conomique des plesParler de scurit conomique des ples est un oxymore puisquun ple doit tre la fois le plus ouvert possible pour favoriser linteraction dacteurs htrognes, mais aussi suffisamment ferm pour que linnovation ainsi produite soit matrise par le ple. Ce problme de type quadrature du cercle ne peut donc tre rsolu que de manire adaptative et par itrations exprimentales en raisonnant sur les architectures des ples, cest--dire en cartographiant leurs processus organisationnels de faon mettre en vidence: les acteurs, leurs rles, la nature et le mode de leurs changes ; les infrastructures numriques utilises pour la communication et le travail collaboratif.

Ces architectures reposent sur des parties prenantes (acteurs publics, organismes financiers, centres de recherche, entrepreneurs) qui dfinissent les principes de gouvernance des ples (les rgles), et des architectures organisationnelles qui refltent la manire dont interagissent les oprateurs au sein du ple (les oprations). Ces architectures organisationnelles sont en volution constante au fil des interactions entre acteurs qui mnent des exprimentations, dveloppent des apprentissages, ralisent des dcouvertes et des innovations (volution endogne) et des interactions de ces acteurs avec leur environnement lgal, technologique, politiques dentreprises, etc. (volution exogne). Elles sont galement multiples et peuvent tre toutefois classes en modles-types dinnovation. On peut avoir des innovations de type poids lourd avec un acteur central une grande firme en loccurrence qui dfinira un projet avec un directeur coordonnant les efforts dinnovation dans les divers sous-ensembles du projet. Les modules sont dvelopps de manire coordonne par le centre avec une forte coordination informationnelle (annexe IV). A loppos, on peut avoir une innovation totalement dcentralise de type Silicon Valley o chaque entreprise dveloppe son innovation concurremment et indpendamment des autres, le financeur (le capital-risqueur) validant larchitecture globale de linnovation par assemblage des meilleurs modules. Dans ce type de fonctionnement, il nexiste pas de structure centrale. Cest un dveloppement de type Lego o chaque entrepreneur dveloppe son module sans coordination ex-ante avec les autres, linnovation se faisant par agencement des blocs de Lego. De la sorte, linnovation dans chaque module (ou bloc de Lego) nest pas contrainte. Les cots de transaction sont plus levs puisque ce systme requiert une trs forte coordination ex-post et une innovation concurrente entre les concepteurs de bloc,



mais cest une innovation plus apte capter toutes les potentialits de la technologie (Annexe II)4. De plus, comme il est impossible de connatre a priori le modle institutionnel idal supposer quil existe on ne peut lapprocher que par exprimentations, essais et erreurs. Le propre de la dynamique dun ple est de pouvoir faire merger des rgles de manire endogne partir des interactions des acteurs. Mais pour que ces interactions se produisent, il faut des rgles exognes dfinies par les institutions publiques. Toute politique de scurit, en ce quelle consiste en ldiction de rgles formelles et informelles, doit bien sr tre compatible avec ces diffrentes architectures et il nest pas possible de retenir un standard taille unique. Dfinir une politique de scurit suppose de rpondre deux questions : Comment dfinir des rgles de scurit conomique applicables, compte tenu de la spcificit de la nature dun ple de comptitivit ? La dynamique de linnovation est-elle compatible avec ldiction de rgles de scurit ?

A) Comment rendre les rgles applicables ?Les normes de scurit concernant les changes au travers des systmes dinformation sont connues mais en volution constante. Les recommandations formules dans le rapport du dput Pierre Lasbordes5 (2005) restent valables. Celles formules lissue de la mission de la DCSSI (aujourdhui ANSSI) en 2009 sont techniquement pertinentes mais ncessitent un travail sur les processus organisationnels pour tre compatibles avec un cadre de travail propice linnovation. Il reste comprendre pourquoi ces pratiques ne sont pas appliques par les acteurs et comment faire pour quelles le soient. Dfinir des normes applicables (ou excutoires)6 permettant dassurer la scurit conomique dun ple suppose de comprendre comment les principes de gouvernance les rgles du jeu du ple peuvent tre appropries et perues comme lgitimes par des acteurs qui ont par ailleurs des principes de gouvernance propres lentit (entreprise, centre de recherche, collectivit publique) dont ils relvent. Ces principes de gouvernance peuvent tre pour partie, mais pour partie seulement, influencs par lEtat grce aux engagements contractuels quil peut imposer au travers de son action de financeur. Pour partie, car lEtat, mme sil est un financeur majoritaire face aux collectivits territoriales et aux organismes de recherche, est4

Il ny a pas de corrlation entre la taille dun ple et sa capacit dinnovation. Un ple de type Silicon Valley sera plus appropri des innovations de rupture et un ple poids lourd des innovations incrmentales. Mais en tout tat de cause cest la cohrence interne de lcosystme que constitue un ple qui fait sa performance. Il faut donc viter dinfrer quun ple mondial serait plus innovant par nature.5

La scurit des systmes dinformation : un enjeu majeur pour la France , Pierre Lasbordes dput.

6

Des normes sont dites excutoires quand elles sont immdiatement appropries par les acteurs, car considres comme lgitimes et bnfiques.Rapport au ministre en charge de lindustrie et de lconomie numrique page 18/50Version 2.1


tributaire de lappropriation de ces rgles par les acteurs du ple pour quelles soient excutoires. La dynamique institutionnelle dun ple repose sur des micro-comportements qui dterminent et sont eux-mmes dtermins par des jeux dacteurs : les rgles de scurit ne peuvent donc se dcrter. Dans une organisation, les membres partagent un projet commun port par un dirigeant exerant un leadership. Dans un ple, un tel leadership est dlicat construire car il est compos de multiples acteurs, et ce dautant plus que ces acteurs continuent avoir une double appartenance leur organisation dorigine et au ple. Il sagit donc pour la gouvernance des ples, dont le rle est essentiel, de faire merger une vision commune, un bien commun qui sera la base des rgles partages par les membres du ple. La recherche rcente utilise la thorie des jeux pour comprendre comment peuvent sarticuler les rgles dfinies de manire exogne par les institutions politiques (gnralement formelles) et les rgles endognes dfinies par les jeux dacteurs (gnralement informelles). Nous dcrivons ces phnomnes en annexe IV. Il en ressort que le plan daction propos devra donc avoir pour but de trouver les leviers permettant denclencher ce cycle vertueux pour faire merger des rgles et des comportements coopratifs intgrant les impratifs de scurit conomique.

B) Comment rendre les rgles de scurit compatibles avec linnovation ?Une politique de scurit, pour tre perue comme lgitime et ncessaire par les acteurs et dun cot proportionn au risque peru, doit prendre en compte les lments suivants : 1) Dans le cas dune plateforme numrique dchanges dinformations, la seule scurit absolue possible implique quelle soit totalement ferme et nentretienne pas dchanges avec lextrieur, ce qui est incompatible avec linnovation et contraire la mission du ple de comptitivit. Ces plateformes sont utilises pour mettre en ligne des dossiers des porteurs de projet proposs la labellisation par le ple, pour les soumettre lexpertise et permettre aux participants une mme thmatique de recherche de collaborer (Figure 2). Ces changes se font, sur les plateformes les plus volues, en web 2.0, ce qui vite dutiliser le courrier lectronique qui nest pas une forme scurise de communication, sauf utilisation de techniques et de procdures contraignantes que les utilisateurs ont vite fait de dlaisser. Mais la plupart des plateformes ne comportent pas de fonctionnalits web 2.0, coteuses dvelopper. Dans plusieurs cas rencontrs les rgles de scurit taient telles quelles imposaient des cots dusage dissuasifs : lourdeur des procdures, lenteur des rseaux, interfaces non-ergonomiques Sy ajoutent ceux des investissements et du fonctionnement. Les membres dun ple ont par ailleurs leur propre budget informatique et rechignent repayer pour le budget S.I du ple, mme lorsque la mutualisation des plateformes permet de rduire considrablement les cots.Rapport au ministre en charge de lindustrie et de lconomie numrique page 19/50Version 2.1


La scurit de ces plateformes est celle de lInternet en gnral : on peut dfinir des protocoles de scurisation sans avoir jamais la certitude quils ne seront pas casss. En ltat actuel de la technologie, le cot de la dfense est de loin suprieur celui de lattaque, qui est drisoire.

Lexemple du ple System@tic Dans le cas du ple Systematic, 200 000 euros ont t investis en dveloppement (100 K) et mise en uvre (100 K) de la plateforme Open-Wide7 partir dun cahier des charges commun six ples. La solution a t dveloppe sous logiciel libre, ce choix a t fait car les mises jour, les patchs de scurit notamment, sont plus frquentes, le code est transparent et on est indpendant de la politique dun diteur. Les machines et le serveur ont galement t mutualiss, accueillant six instances distinctes de lapplication pour les six ples. Mutualisation ne veut donc pas dire homognisation mais rflexion commune sur des lments communs darchitecture. Toutefois le budget nest pas suffisant pour pousser bout la logique de mutualisation qui exigerait une plateforme en web 2.0 de manire supprimer lusage du courriel, et terme en web 3.0 afin de mettre de lintelligence dans linformation par lusage de moteurs de recherche smantiques et contextuels, qui permettrait en outre la plateforme de sadapter au contexte dusage de chaque entit. Le budget estim pour passer en web 2.0 est de 300 000 euros en dveloppement et 6 mois/hommes en dveloppement interne. Lobstacle nest pas quconomique : pour les membres, lextranet que constitue la plateforme a une valeur dusage qui dpend de lintrt quils portent leur participation au ple, limpact est donc fortement li lintgration de la plateforme avec le systme dinformation du ple et aux fonctionnalits permettant les simplifications administratives de participation au ple. Certains ples veulent se retirer de la plateforme Open-Wide dont le cot dentretien demand chaque participant nest que de 8000 euros par an. Un autre obstacle la mutualisation est le cot pour assurer la compatibilit avec les systmes scuriss des grands groupes. Nous sommes ici dans une dynamique de conception dune architecture commune : il faut investir en conceptualisation en amont (en argent mais surtout en rflexion partage) pour diminuer les cots en aval. Toute intervention correctrice dune faille de scurit en aval entrane des cots pour ce qui ne restera quune rustine sur une fuite qui en rvlera bientt une autre. La conception dune architecture modulaire permettrait une volution dynamique du systme dinformation en fonction des vulnrabilits et des menaces ainsi que des opportunits dinnovation. Ce travail de conception darchitecture est un processus dapprentissage partag qui permet la production de rgles endognes, donc excutoires.

7

Open-Wide a t cre en 2001 avec le soutien de deux grands groupes industriels franais pour constituer un observatoire technologique permettant dexploiter les solutions du logiciel libre. Par sa forte culture dintgrateur, Open-Wide est un des meilleurs architectes et intgrateurs de composants Open Source en France. La socit a t retenue par six ples franciliens Astech, Cap-Digital, Finance-Innovation, System@tic et Ville et mobilits durables pour mettre en place une plateforme commune aux ples prsentant les mmes fonctionnalits mais constitue despaces privatifs pour chacunRapport au ministre en charge de lindustrie et de lconomie numrique page 20/50Version 2.1


Il est donc utile que lEtat donne limpulsion initiale ces dmarches darchitecture, ce qui pourrait tre le rle de la nouvelle Direction Interministrielle des Systmes dInformation de lEtat (DISIC)8 en lien avec le CIGREF9 qui reprsente les grandes entreprises publiques et prives et dont les ministres conomique et financier sont membres. 2) Un travail sur les architectures organisationnelles peut permettre de rduire les transactions non dsirables et constitue un moyen non coteux et trs efficace damliorer la scurit. Si les changes du primtre 1 (les membres du ple) sont tributaires des jeux dacteurs anims par la gouvernance des ples, ceux des primtres 2 et 3 (lexpertise et les partenaires R&D) peuvent tre dessins plus aisment de manire exogne en simplifiant les rles.

Admin

Excutif

A A Experts

A A

A A

A A A A

A A

OSEO

ANR

Figure 2: Au sein d'un ple un administrateur donne des droits chaque membre en fonction de sa thmatique. Les experts du primtre II peuvent accder tous les projets.

La Figure 2 montre les relations entre lexpertise (primtre 2) et les membres du ple, dans le cas du ple System@tic. Les membres sont groups par thmatiques de recherche et de projet et ne peuvent se voir quau sein dune mme thmatique. Par contre les experts du primtre 2 peuvent voir tous les projets. On a vu plus haut le problme pos par la multiplicit de ces expertises qui gnrent des transactions redondantes entre experts ad-hoc, Rgions, OSEO et ANR. Dans le cas de System@tic, une procdure de labellisation en mode web 2.0 tent dtre mise en place mais ne fonctionne pas, car trop lente et peu fonctionnelle du fait des

La DISIC a pour mission de centraliser les prrogatives quant linteroprabilit des systmes et des changes dinformations, aux normes de scurit et daccessibilit. Une formation-action larchitecture des systmes dinformation a t mise en place Bercy en 2009 par une convention de recherche partage entre les Ministres conomique et financier et la Chaire Thals dingnierie des systmes de lEcole Polytechnique. Elle devrait tre transfre la nouvelle Direction interministrielle des systmes dinformation de lEtat.9

8

Le Club informatique des grandes entreprises franaises regroupe les grandes entreprises publiques et prives, reprsentes par leur directeur des systmes dinformation. Les ministres conomiques et financier, le ministre de lintrieur et le ministre de la dfense en sont membres.Rapport au ministre en charge de lindustrie et de lconomie numrique page 21/50Version 2.1


protocoles de scurit inadquats. Le systme ne permet pas, en outre, dinscrire dans les projets des partenaires non encore membres. La consquence est que les utilisateurs basculent en mode GED (Gestion Electronique de Documents) et vont changer les documents par courriels : cest dailleurs par ce mode que sont transmis les avis de labellisation. Toute dficience dans la fonctionnalit de ces dispositifs a donc pour effet de ramener les acteurs vers des pratiques non scurises, tels que courriels ou changes papiers. Rappelons en outre que, mme sil y a change scuris, les membres ont la possibilit de tlcharger leurs documents, de les diffuser par courriel ordinaire ou papier, pratiques sur lesquelles la gouvernance du ple na aucune visibilit. Rduire les cots de transaction de ce processus passe par la rduction du nombre dintervenants dans le processus de labellisation. Lidentification des participants par leur n SIRET permettrait de grer les dossiers sur une plateforme. Il ne sagit pas de crer un guichet unique, mais, grce un rfrentiel didentification standardise pour chaque entreprise et porteur de projet, denvisager un point unique de dpt. Il faut enfin dfinir les informations ncessaires aux partenaires administratifs du primtre 3, primtre poreux nobissant aucune politique de scurit o lon voit des dossiers papiers contenant les informations scientifiques et industrielles circuler de manire alatoire. En toute logique, on doit rechercher un consensus sur la lgitimit de lexpertise labellisant les projets, afin de dissuader les partenaires administratifs de solliciter un nouvel examen de ces dossiers, pour se limiter finalement leur domaine dvaluation : la politique de dveloppement des territoires. Sous lapparence dun problme technique, cest une question sensible qui est pose. * A ce stade nous avons dfini le champ de contraintes de la conception dune politique de scurit conomique des ples de comptitivit : Elle doit prendre en compte la spcificit de la nature dun ple : pour tre innovant il doit intgrer des acteurs htrognes avec des cultures et des modles organisationnels diffrents qui, a priori, ne prdisposent pas une confiance rciproque. La politique de scurit est traiter comme une dynamique institutionnelle qui fait apparatre un projet commun, un bien commun porteur de valeurs et de rgles. Une politique uniquement contraignante de la part de lEtat est inoprante, mais il appartient celuici de dfinir un environnement institutionnel apte enclencher une dynamique vertueuse et apprenante, qui permette lappropriation des enjeux de scurit conomique et lclosion des rgles et pratiques pertinentes. Les technologies de linformation, en ce quelles permettent aux ples de se comporter comme une entreprise numrique capable de multiplier les



interactions entre les acteurs lintrieur et lextrieur du ple, accroissent le potentiel dinnovation mais aussi le risque datteinte au patrimoine technologique et scientifique des ples. Ladoption de rgles de scurit des systmes dinformation reste sujette lmergence dune identit institutionnelle du ple et les questions poses par la conception dune architecture du systme dinformation sont des questions darchitecture organisationnelle. Ces questions darchitecture organisationnelle peuvent tre lobjet dune action volontariste de lEtat visant clarifier lenvironnement institutionnel (les rgles qui conditionnent les interactions des acteurs) des ples, simplifier les procdures, aligner les processus des financeurs et des partenaires R&D pour allger les cots de transaction pesant sur les membres et rduire les vulnrabilits.

La partie II dresse ltat des lieux des pratiques sur les trois primtres des ples et la partie III propose des pistes daction.



Partie II - Les traits saillants se dgageant des rponses au questionnaireLes questionnaires retourns et renseigns par les CRIE concernent 52 ples de comptitivit, soit 73% des ples. Cet chantillon, qui peut tre considr comme reprsentatif, permet de tirer les enseignements suivants.

A) Ltat des lieuxUne majorit de ples de comptitivit dclare disposer dune plateforme scurise dchange dinformations. Si cela peut paratre satisfaisant, cela doit tre relativis car il sagit dun constat issu de dclarations des ples eux-mmes recouvrant une ralit trs disparate. Pour certains, il ne sagit que de projets, plus ou moins en cours de ralisation. Les principaux facteurs freinant la mise en place dune politique de scurit conomique dans les ples de comptitivit sont les suivants: Le cot associ la mise en uvre dune politique de scurit conomique ; Le manque de comptences humaines, notamment dans les ples disposant dune gouvernance de taille rduite ; La priorit accorde dautres missions (monter des projets, rechercher des partenaires, des sources de financement).

De faon plus marginale, le manque de sensibilisation et de temps sont parfois mentionns comme facteurs freinant la mise en place dune politique de scurit de linformation dans les ples. La scurit conomique nest donc pas vcue comme tant au cur de la performance de lcosystme ple, mais comme une contrainte qui vient se surajouter aux missions essentielles.

B) Lanalyse des risquesUne majorit des ples a bnfici dun audit de scurit conomique par les services de lEtat (Ministre de lIntrieur), ralis gnralement dans les annes 2006 2008, mais ces audits ne font pas lobjet dun suivi permettant dvaluer lvolution de la vulnrabilit du ple. La majorit des ples identifie les risques potentiels lis aux systmes dinformation et aux systmes organisationnels et humains. Cette identification est toutefois imparfaite, quil sagisse des risques lis aux systmes dinformation (intrusions organises, courriels non chiffrs ) ou des risques lis aux systmes organisationnels et humains (scurisation des locaux, mise en place de broyeurs, prudence des conversations dans les lieux publics.). La majorit des ples dclare quil ny a pas eu dincidents ( fuites ), tout en prcisant quils nont pas les moyens de les dtecter. LANR atteste de lexistence de fuites externalits positives lors de linstruction des dossiers, lui permettant de complter un dossier mal renseign lorigine par le porteur de projet : il y a donc,Rapport au ministre en charge de lindustrie et de lconomie numrique page 24/50Version 2.1


en tout tat de cause, une dissmination non-intentionnelle de linformation que lon ne sait pas, en ltat actuel, valuer. Quelques ples indiquent des incidents lors des relations quils entretiennent avec les financeurs. Dautres mentionnent quelques difficults en ce qui concerne les ordinateurs ou les tlphones portables. Une grande partie des ples indique que des actions de scurisation sont en cours, lesquels portent sur plusieurs aspects : chiffrement des courriels, achat de broyeurs, actions de sensibilisation, mises en place dalarmes / camras dans les locaux, destruction des disques durs Ltat des lieux des dispositifs de scurit des ples de comptitivit fait apparatre des situations trs contrastes. Le degr de scurisation tient la fois au secteur dactivit spcialis du ple (les ples travaillant sur les TIC tant logiquement plus sensibles que les autres) et galement la taille de celui-ci, surtout lorsque les effectifs sont limits : Pas de responsable de la scurit des systmes dinformation (SSI) ; Moyens financiers insuffisants ; Dficience que lon pourrait qualifier de culturelle quant lenjeu constitu par la scurisation des systmes dinformations qui doit constituer un lment endogne au processus de diffusion de linnovation ; Cration rcente du ple qui na pas eu le temps de mettre au point un tel dispositif.

C) Les politiques de scuritLa plupart des ples de comptitivit dclarent avoir mis en place une politique de scurit conomique, c'est--dire des procdures formalises et acceptes, mme si le rfrentiel PSSI10 de lANSSI est utilis de faon partielle. Mais pour de nombreux ples, le constat est que la scurit conomique nest pas une vritable priorit des gouvernances, place, comme elle devrait ltre, au cur de leur stratgie. Cette absence de culture en matire de scurit conomique peut mme paratre tonnante lorsque certains des adhrents des ples sont des socits reconnues pour leur politique de scurit. Mais cette matrise de la scurit par ces membres ne bnficie pas aux ples, car ils craignent que louverture de leur S.I sur le ple ne mette en cause sa scurit. Cependant des chartes de bonnes pratiques, des chartes informatiques et des accords de confidentialit existent. A leur dcharge, les gouvernances sont des structures de taille modeste dont lnergie premire est consacre la recherche de partenaires et de financements des projets innovants de leurs adhrents. Ces structures nont pas, ce jour, les10

Guide pour llaboration dune politique de scurit de systme dinformation PSSI, mars 2004, ANSSI (ex. DCSSI) http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-d-information.htmlRapport au ministre en charge de lindustrie et de lconomie numrique page 25/50Version 2.1


moyens adquats pour la conduite dune vritable politique de scurit. De plus, ces gouvernances nont pas de comptences spcifiques pour faire appliquer des mesures de scurit ds lors quil nest pas prvu, en amont, dengagements particuliers dans les diffrents critres pour devenir membre du ple. En outre, labsence dune politique de scurit dans leur organisation dorigine rend difficile dimposer des mesures aux adhrents. La norme ISO 2700011 est souvent connue, mais les ples de taille modeste mettent en avant sa complexit et son inadaptation aux entits concernes pour ne pas lutiliser. Quant aux outils danalyse de la sensibilit conomique des informations, un certain nombre de ples reconnaissent ne pas les utiliser systmatiquement. Une sensibilisation la scurit conomique a t entreprise dans la quasi-totalit des ples, notamment dans le cadre des objectifs du SCIE, grce lintervention de la DRRI, et de la gendarmerie.

D) Les architectures organisationnelles et techniquesLa plupart des ples dclarent procder une dmarche darchitecture -urbanisation de leur S.I . Cependant, mme si une dmarche est en cours, voire oprationnelle, le concept nest toutefois pas totalement compris. Concernant la description des plateformes (primtre 1), lorsquelles existent, les acteurs concerns sont le plus souvent la structure de gouvernance, voire les adhrents du ple. Quant aux outils de communication utiliss et au degr de scurisation, les configurations sont trs variables. Le niveau de maturit de ces architectures est donc trs htrogne, et il nexiste, ce jour, aucune mthode globale ni aucun organisme pour lvaluer12. Les processus dchanges entre cette plateforme et les acteurs participants aux projets R&D (primtre 2) ne sont pas toujours identifis et cartographis. Lorsque cest le cas, tous les acteurs R&D ne participent pas cette dmarche, les configurations tant trs variables selon les ples. Les changes de donnes identifies comme sensibles sont gnralement scuriss notamment via laccs extranet scuris dOSEO - mais cette catgorisation reste intuitive et ne prend pas en compte le fait que la somme des donnes considres comme non-sensibles peut produire une information sensible sur une stratgie de recherche et dinnovation.

11 12

Voir page 34

Pour la partie technologique du systme dinformation, il existe les outils dvelopps par lANSSI. Mais nous devons considrer le systme dinformation dans sa globalit : les processus organisationnels et les fonctions gres par les technologies numriques.Rapport au ministre en charge de lindustrie et de lconomie numrique page 26/50Version 2.1


Les processus dchanges entre cette plateforme et les acteurs administratifs (primtre 3) nont, galement, pas toujours t identifis et cartographis; lensemble des acteurs administratifs nont pas particip cette dmarche. Sauf exception, la distinction entre les donnes sensibles du primtre 2 et celles, administratives, du primtre 3, est effective. Mais, plus encore que dans le primtre 2, il y a dficience des inventaires de donnes administrative considrer comme sensibles dans de nombreux ples. Dans une minorit de ples, les dossiers papiers finalit administrative transmis aux administrations contiennent toujours des donnes sensibles, constituant des risques rels de fuite, surtout lorsquune politique de confidentialit systmatique (identification nominative et destruction immdiate aprs usage) ny est pas attache. Les fonctionnaires, et surtout les lus des collectivits partenaires, sont encore trop peu sensibiliss au problme de la scurit conomique. Limpression gnrale qui se dgage de lensemble des questionnaires est que de nombreuses initiatives ont dj t prises par les ples allant dans le bon sens, mais sur une base empirique qui ne peut tre considre comme constitutive de la comptitivit des ples. On constate ainsi labsence dune proccupation de scurit que lon pourrait considrer comme ancillaire concernant la gestion des imprimantes et des photocopieuses. La scurit se fait au cas par cas, sans doctrine de rfrence et de manire alatoire. Ainsi, de trs nombreuses gouvernances de ples reconnaissent quun accompagnement de lEtat, tant en matire financire que dans le domaine de lexpertise et sur le plan normatif, serait de nature permettre dinitier une mise en place dune politique de scurit conomique. Les propositions avances dans la partie III sont labores partir de ces constats, et de lanalyse des enjeux de scurit conomiques des ples exposs en partie I.



Partie III - Les recommandationsLes actions que nous prconisons sont classes autour des deux objectifs - renforcer lappropriation des enjeux de scurit conomique et crer un cadre structurant et fdrateur - par ordre croisant A B C D allant de la facilit et rapidit de mise en uvre au plus difficile et plus coteux, qui se positionnent sur deux axes (Figure 3) : De lintervention directe de lEtat, soit pour investir dans la conception doutils communs, soit pour crer des normes contraignantes ou un cadre institutionnel favorable au dveloppement des cosystmes scuriss dinnovation. Ces actions reprsentent un cot financier, un effort institutionnel, qui sont exognes. Il sagit dinvestissements ou de contraintes directes sur les acteurs des ples qui ne sont pas appels se reproduire de faon permanente, et nont de sens que sils ont un effet de levier sur lvolution endogne des ples. Les actions effet de levier institutionnel sont par contre permanentes, moins coteuses, moins contraignantes puisque destines tre appropries de manire endogne par les ples. La charge sur les acteurs des ples, qui peut tre forte sil sagit dune contrainte impose par lEtat ou faible sil sagit de la consquence de la clarification de lenvironnement institutionnel. La charge est galement forte du fait des rgles qui vont merger de la pratique des ples et de leur appropriation des problmatiques de scurit conomique. Mais plus ces rgles sont dorigine endogne plus elles sont auto-excutoires car produites par lapprentissage et la recherche des ples eux-mmes.

Lobjectif est de combiner les actions qui prsentent la contrainte exogne minimale mais ncessaire sur les acteurs avec des leviers qui favorisent la production endogne de rgles et de pratiques de scurit conomique.Forte

Certificat de scurit conomiqueCharge sur les acteurs

Normes de scurit dans les contrats Politique de publication des chercheurs

B

Architecture de rfrence, progicielisation et zro papier C Appropriation des enjeux de scurit conomique, actions pdagogiques et formations

Point unique de labellisation

DFaibleIntervention directe

A

Levier institutionnel

Effort de laction publique

Figure 3: Quatre types d'action pour combiner leviers exognes et endognes de dveloppement de la scurit conomique



Objectif I : Renforcer lappropriation des enjeux de scurit conomiqueA) Les actions pdagogiquesCes actions ont pour but de favoriser lappropriation des enjeux de scurit conomique et de former lensemble des acteurs des trois primtres des ples.

a) Appropriation des enjeux de scurit conomiqueLes rsultats de lenqute font apparatre, dans de nombreux cas, une perception incomplte des enjeux de scurit conomique par les acteurs des trois primtres.

Une distinction doit tre faite entre les gouvernances des ples du primtre 1, et les acteurs administratifs du primtre 3.

a.1) Par les gouvernances des plesNonobstant les actions entreprises par les DRRI et les DZRI (audits de scurit notamment) auprs des gouvernances des ples, lappropriation des enjeux de scurit reste tout le moins trs htrogne et sans que les implications pratiques pour la mise en uvre de politiques de scurit oprationnelles en soient tires. Les actions entreprises par la DATAR sous la rubrique animation qui financent la gouvernance des ples disposent dun ligne pour les actions spcifiques qui peuvent financer de telles actions. A noter que le site http://competitivit.gouv.fr intgre un extranet et un module de e-learning et la DATAR peut dvelopper, cot marginal, des modules de formation la scurit conomique.

Proposition 1 : Concevoir une formation destine aux gouvernances des ples mise en uvre par des organismes spcialiss et dvelopper des modules dauto-formation en ligne (e-learning)

a.2) Par les lus et acteurs territoriauxElus, animateurs territoriaux et services dconcentrs de lEtat sont demandeurs de dossiers administratifs pouvant contenir des informations sensibles et ce gnralement, sous forme papier qui est la source de fuite la plus certaine et la moins traable.Des actions de formation permettant lappropriation des problmatiques de scurit conomique sont donc entreprendre.

Elles nont pas entrer dans la technique mais faire apparatre les enjeux de scurit comme bien commun de lensemble des acteurs et dvelopper des comportements appropris une politique de scurit : connaissance des enjeux stratgiques, connaissance des risques et attitudes adopter.

Rapport au ministre en charge de lindustrie et de lconomie numriquepage 30/50Version 2.1


Ces formations, tout en pouvant tre ralises par tout organisme et socit de conseil comptent, pourront tre notamment dispenses par les universits, du fait de leur ancrage territorial en rgion et, dans de nombreux cas, de leur participation aux ples, en partenariat avec le CNFPT pour les lus et les territoriaux, en sappuyant sur lexpertise technique des DZRI et DRRI, ainsi que de lINHESJ qui a une expertise sur le sujet et organise des formation dconcentres. Il est beaucoup plus efficace pour lEtat et les ministres concerns de faire faire par un oprateur proche du terrain que de faire en direct compte tenu des ractions de dfiance envers lEtat centralisateur que cela peut susciter. Cest en outre une bonne occasion dimpliquer les universits dans la politique publique dintelligence conomique.Proposition 2 : Concevoir lattention des acteurs territoriaux les actions de formation ncessaires et identifier les vecteurs de diffusion les plus appropris.

b) Formation la scurit des architecturesLarchitecture de lcosystme quest un ple de comptitivit doit tre rsiliente, soit tre capable de se reconfigurer lorsquelle est expose de nouveaux risques et vulnrabilits. Les interventions curatives sur les problmes de scurit ne font que mettre une rustine sur une fuite sans modifier larchitecture. Une architecture rsiliente rsulte dun travail de conception en amont pour identifier les enjeux stratgiques et les risques auxquels est confront le ple, les fonctions raliser par les processus organisationnels et les applications informatiques qui vont les supporter (Figure 4). Le travail darchitecte repose sur un corpus de connaissances et de comptences qui peut faire lobjet dune formation permettant la ralisation dune dmarche darchitecture in situ, approprie au contexte spcifique de chaque ple. Le programme de recherche partag entrepris avec la Chaire Thals dingnierie des systmes par les ministres conomique et financier et actuellement dvelopp lIGPDE, peut tre adapt la formation darchitectes pour les ples. Si le corpus dune telle formation existe, il doit toutefois tre adapt la problmatique de scurit et reprsente un cot non ngligeable contrairement aux deux autres actions de formation ci-dessus qui devrait soit tre pris en charge par les financements publics, soit portes par une grande entreprise membre, quand il y en a une.

Proposition 3 : Concevoir un module de formation la scurit des architectures organisationnelles et numriques et dfinir un modle conomique de diffusion compatible avec les ressources des ples.



Quels objectifs dune politique de scurit?

Mission & objectifs de la politique de scurit

Niveau oprationnel

Quel sont les (sous)-processus mettre en uvre?

Traduction en processus Traduction en processus

Niveau fonctionnel

Traduction en fonctions humaines et informatiques Traduction en fonctions humaines et informatiques

Quels sont les lments constitutifs dune politique de scurit des SI?Hommes Outils logiciels & rseaux

Niveau organicotechnique

Acteurs et outils usuels du processus darchitecture dentrepriseFigure 4: Structure d'une dmarche d'architecture, liant finalits stratgiques, processus organisationnels, comportements humains et outils logiciels, telle que dveloppe dans les ministres conomique et financier.



Objectif II : Crer un cadre structurant et fdrateurB) Des actions normatives de la part de lEtat:a) Certificat de scurit conomiqueCertains ples ont inclus dans les contrats de travail de leurs salaris des clauses de confidentialit et de scurit de linformation.Ces clauses peuvent tre standardises en faisant rfrence un certificat de scurit conomique que devraient obtenir les salaris des ples, les personnels mis disposition, les experts, les personnels des services dconcentrs et des collectivits territoriales, ainsi que les partenaires des projets, sur le mode du certificat informatique et Internet (C2I) institu dans le but de dvelopper, de renforcer et de valider la matrise des technologies de linformation et de la communication par les tudiants, les tablissements denseignement suprieur, ainsi que pour les professeurs. Ce certificat comporte un rfrentiel gnral et transversal et des spcifiques par mtiers et responsabilits.

L encore, pour les mmes raisons, ces formations gagneront tre ralises lchelon rgional sur le principe du faire-faire voqu plus haut13.

Proposition 4 : Dfinir un rfrentiel pour lobtention dun certificat de scurit conomique, rfrenc dans les contrats de travail.

b) Politique de publication des chercheursLes chercheurs qui travaillent sur les applications industrielles de leurs projets de recherche sont soumis pour le droulement de leur carrire une obligation de publication dans les revues scientifiques comit de lecture. Or, ce jour, il nest pas fait de diffrence entre linformation scientifique et les informations caractre industriel qui obissent deux logiques antagonistes : linformation scientifique est faite pour tre diffuse au sein des communauts scientifiques. Linnovation ne provient pas en effet de la seule connaissance des perces scientifiques mais de la capacit dabsorption de cette connaissance par les acteurs industriels. Par contre linformation industrielle contient des innovations non encore matures qui peuvent tre facilement captures par des comptiteurs. De plus, les comits de lecture des revues scientifiques sont internationaux et, sur les sujets sensibles, un lecteur pourra prempter le contenu dune publication pour sen attribuer la primeur ou plus trivialement agir en bon

13

Une dmarche similaire avait t entreprise en son temps par le Haut responsable lintelligence conomique pour dfinir un rfrentiel denseignement de lI.E dans lenseignement suprieur.page 33/50Version 2.1



veilleur et capter une information industrielle pour, dans certains, cas tenter de dposer un brevet. Or, la recherche est un capteur dintelligence conomique permettant daccder linformation industrielle qui est nglig en France mais pas chez nos comptiteurs : cest ainsi quun grand constructeur automobile tranger est rentr sur le march franais. Ds lors quil y a partenariat public priv (PPP), recherche et industrie sont fortement imbriques. Ces PPP ncessitent des accords de consortium qui doivent dfinir la proprit intellectuelle et les droits de diffusion. LANR sest dote dune mthode sophistique pour apprcier la pertinence de ces accords de consortium, dont ladoption conditionne lattribution de la deuxime phase de laide (12 mois aprs le dbut du projet et le premier financement). Cet accord de consortium dfinit les rgles de publications des informations industrielles. Le dpt dun brevet, quand il y en a, vaut autorisation de publier. Aujourdhui seuls les projets financs par lANR sont soumis de telles rgles, dont il importe de gnraliser lapplication.

Proposition 5 : Gnraliser le principe de laccord de consortium incluant une politique de publication tous les PPP entrepris dans un ple.

En outre, bien que les mentalits voluent, le dpt dun brevet directement par le chercheur ou par le consortium auquel il participe nest pas aussi bien considr que la publication scientifique dans lvaluation du chercheur. Une telle pratique, outre lincitation publier prcocement des informations sensibles, dtourne le chercheur du dpt de brevet qui est un des vecteurs mais pas le seul de transition du laboratoire vers le march.Proposition 6 : Rechercher avec lAERES14 un accord pour aligner le dpt de brevets sur les publications scientifiques dans lvaluation des chercheurs.

c) Intgrer des normes de scurit dans les contrats financs par lEtatLEtat assure le financement des gouvernances des ples hauteur de 50/50 au pire des cas et 2/3 pour les projets, il dispose travers du FUI15 et des contrats de performance dun levier dintervention en liant les financements de lEtat ladoption de normes de scurit. Certains ples et certains projets tant ports par deux rgions limitrophes, il est important que cette clause soit introduite dans tous les contrats de performance, nouveaux et anciens lors de leur renouvellement. En prambule, il importe de rappeler, au regard de la dfinition que nous avons donne de la scurit conomique, que celle-ci est un lment de la comptitivit et de la dynamique de linnovation.14 15

Agence dvaluation de la Recherche et de lEnseignement Suprieur.

Le fonds unique interministriel (FUI), accorde des aides financires aux meilleurs projets de R&d et de plateformes d'innovation, lors d'appels projets



La norme la plus complte est la norme ISO 27000 de scurit des systmes dinformation, notamment la norme 27005 qui traite de la gestion des risques. Son intrt est dabord dtre une norme ISO qui est accorde aprs valuation et suppose une actualisation en continu. Lautre intrt est que la norme ISO 27000 intgre les deux dimensions de la scurit : les architectures organisationnelles et les systmes technologiques. Son implantation est toutefois coteuse et ncessite des comptences qui la rservent plutt aux grandes entreprises. Lorsquun ple est de type poids lourd avec une ou des grandes entreprises leaders (Eurocopter en PACA, Arospatiale en Midi-Pyrnes), ladoption de la norme peut se faire par alignement sur le modle dominant. Il peut toutefois y avoir des rsistances de la part des grandes entreprises ouvrir leur systme de scurit. Lenqute montre en effet que la prsence, au sein dun ple, de grandes entreprises connues pour leur politique de scurit ne place pas pour autant celle-ci au cur de la stratgie du ple. Le rle de la gouvernance des ples est alors essentiel pour grer le processus de convergence et dalignement. Le problme est plus dlicat dans un ple constitu dETI et de PME. A tout le moins peut-on exiger que soit mise en place une politique de scurit des systmes dinformation (PSSI) telle que dfinie en 2004 par la DCSSI (devenue ANSSI) qui nest pas aussi exhaustive que la norme ISO 27000 mais implique galement une analyse de la stratgie et des processus de lorganisation et surtout prvoit une actualisation rgulire. En tout tat de cause, lvaluation de la fin de la phase II (2008-2012) pralable la phase III de labellisation et de financements des ples, gagnera renforcer la part des critres intelligence et scurit conomique pour dterminer lligibilit aux financements de la phase III, dont les investissements davenir .

Proposition 7 : Dvelopper, avec des partenaires privs participant aux projets, une norme de scurit adapte aux ples, destine tre intgre dans les contrats de performance, finance sur appel projets.

C) Faire de la scurit conomique un objet de recherche actionLa conception darchitectures techno-organisationnelles scurises est en soi un domaine de recherche stratgique pour lintelligence conomique et une priorit pour lEtat. Il est donc possible de lier les recherches effectues par les ples traitant des technologies de linformation (comme le ple solutions communicantes scurises en PACA ou le ple System@tic en Ile-de-France) et le dveloppement de solutions oprationnelles :

a) Une architecture de rfrence pour les changes lectroniques au sein des ples et avec leurs partenairesSi chaque ple doit dvelopper une architecture adquate ses objectifs et approprie son contexte, cette dmarche darchitecture rencontre des problmes communs qui peuvent faire lobjet dun rfrentiel.Rapport au ministre en charge de lindustrie et de lconomie numriquepage 35/50Version 2.1


Un rfrentiel a pour but didentifier des lments communs dans la conception dune architecture, partags par les utilisateurs et les fournisseurs. Il en rsulte une plus grande rapidit des dveloppements grce lutilisation de standards. Cela a galement un impact sur les cots puisque fournisseurs et clients, partageant les mmes rfrentiels, une ngociation globale au niveau de lensemble des ples est rendue possible. Un tel rfrentiel existe dj en accs libre, le rfrentiel TOGAF dvelopp par lOpen Group.

Figure 5: Le principe des modles de maturit: le niveau 1 identifie des pratiques de base, le niveau 2 est capable de les standardiser et de les reproduire, le niveau 3 de dfinir des processus sur tagre, le niveau 4 de matriser lensemble du systme. Le niveau 5 est celui de lamlioration continue des mthodes de management de la qualit totale.

Dans cette perspective, il peut tre dvelopp un modle de maturit de la scurit des architectures sur le principe du Capability Maturity Model (CMM) de lUniversit Carnegie-Mellon. Aujourdhui couramment utilis dans lindustrie du logiciel, il peut tre adapt tous les domaines reposant sur la conception darchitectures complexes. Le modle comprend cinq niveaux de maturit qui dcrivent dans quelle mesure un processus est explicitement dfini, gr, mesur, contrl et efficace (Figure 5).

Proposition 8 : Demander en concertation avec lANR, la cration dun atelier de rflexion prospectif (ARP) pour crer un modle de maturit des architectures techno-organisationnelles des ples.

A terme, les financements de lEtat pourront tre lis la progression des ples sur lchelle de maturit16. Ce rfrentiel sera galement utilis pour grer les rapports

16

Cette progression requiert un travail continu, de lordre de deux ans minimum pour atteindre le niveau III dans le cas du CMM.page 36/50Version 2.1



entre les partenaires aux projets afin dvaluer les risques encourus au regard des bnfices attendus.

b) La progicielisation dune plateformeCertains ples ont dj entrepris de dvelopper des plateformes communes, parmi les projets les plus avancs signalons la plateforme Open-Wide du ple System@tic en Ile-de-France et la plateforme OREE en Rhne-Alpes. De la mme faon quil existe des rfrentiels darchitecture commune, on peut modliser les transactions types entre acteurs dun ple (primtre 1) et entre ces acteurs et les primtres 2 et 3. Cette option a t teste par System@tic : le passage une plateforme en web 2.0 (donc supprimant lusage des courriels) couterait environ 600 000 euros en dveloppement et en mois/homme. Ce cot ne peut tre support par un seul ple en raison de la nature marginale, voque plus haut, des budgets informatiques pour les membres du ple. La conception dun progiciel de gestion scurise des changes au sein dun ple et entre ses partenaires est en soi un projet de recherche-action qui peut mobiliser plusieurs ples impliqus dans les technologies de linformation, avec une matrise douvrage constitue de reprsentants des partenaires de trois primtres pour dfinir les types dchanges et de transactions. L encore, puisquil sagit du domaine de certains ples travaillant sur les technologies de linformation, le financement sous forme de recherche-action peut tre envisag.

Proposition 9 : Concevoir un progiciel scuris des changes au sein dun ple par appel projet sur financement de lEtat.

c) Passer au zro papier dans le cadre dune dmarche dassurance qualitCette plateforme devra en outre permettre de travailler entirement en ligne, sans avoir ni besoin ni la possibilit dimprimer des documents. Le ple SCS procde dj ainsi, tous les documents tlchargs depuis son site se dgradant limpression. Les changes se droulent en ligne ou en prsentation vido sans remise dcrits. Ce mode de travail existe dj et fait lobjet dvaluations qui en assure la scurit (Figure 6). La prolifration de documents papiers constitue une source de dissmination de linformation sous plusieurs formes : sous forme papier, des dossiers tant facilement accessibles dans des bureaux non-scuriss sans aucune traabilit. Faire les poubelles reste la source de collecte dinformation la plus classique et la moins coteuse. Lutilisation excessive de limpression papier est gnralement lie linconscience de ce risque de fuite, et associe par ailleurs une nondestruction des documents par des broyeurs.



Sous forme numrique avec les imprimantes laser et les photocopieurs modernes qui stockent les impressions sur un disque dur qui peut faire lobjet dun remplacement discret par un service de maintenance.

Figure 6: Le bureau virtuel du Premier ministre estonien. Les dossiers sont prpars et disposs en ligne pour chaque ministre qui en assure la prsentation. En cas de besoin, le ministre peut interagir avec ses services. LEstonie a bti son modle de croissance sur les technologies de linformation.

Le passage au zro papier requiert un travail de fond de description des processus et de standardisation des donnes qui sinscrit comme un rsultat logique du travail sur les architectures et lintroduction de progiciels.A court terme, toute distribution de dossier papier doit tre nominative, ces dossiers doivent tre ramasss lissue de chaque runion et immdiatement dtruits par broyeur.

Proposition 10 : Dans le cadre dune dmarche dassurance qualit, rduire et scuriser la diffusion du papier, avec comme objectif terme le passage au zro papier. Cet objectif sera inscrit dans les engagements dassurancequalit-scurit des contrats de performances.

D) Le point mutualis unique de dpt des projets financer : une action de rforme et de simplification administrativeCette catgorie daction vise crer un environnement institutionnel favorable linnovation par une lintroduction dune innovation radicale, impulse par lEtat, dans les processus de financement des ples. Il sagit de concevoir un point mutualis unique de dpt des projets des ples, intgrant sur sa plateforme web 2.0 les processus dinstruction de tous lesRapport au ministre en charge de lindustrie et de lconomie numriquepage 38/50Version 2.1


intervenants et les donnes des projets. Il ne sagira pas dun guichet unique, chaque financeur (Rgion, collectivit territoriale, ANR, communaut urbaine, ville, OSEO, services dconcentrs) tant autonome. Il doit tre capable daccueillir tout financeur (agences gouvernementales, capitaux-risqueurs, business angels ), lune des faiblesses du dispositif franais de ples de comptitivit tant sa faible varit dintervenants financiers.Cest le porteur de projet qui dfinit les droits daccs du financeur aux lments de son dossier, en fonction des critres dligibilit des projets. Lavantage dun tel point unique de dpt est multiple :

Le porteur de projet na quun seul dpt faire, ce qui allge considrablement ses cots dadministration qui reprsentent aujourdhui un handicap, et garantit une parfaite traabilit des transactions, puisque tout se droule sous forme lectronique en mode web 2.0 ;Un seul outil scuriser, ce qui limite le nombre de transactions et donc de fuites ;

Une rduction des dlais de validation et du processus dinnovation, qui, nous lavons vu, est la plus sre des garantie de scurit conomique. Cest une innovation organisationnelle, puisque les financeurs devront harmoniser leurs procdures et dfinir un identifiant commun par porteur de projet et par projet, et ajuster le droulement chronologique de leurs procdures dinstruction et dappel projets; Cest galement une innovation technologique lie la conception de loutil lui-mme, qui peut faire lobjet dun appel projet de recherche-action, pour la conception dune plateforme de travail ouverte aux diffrents partenaires de validation des projets, fonctionnant en web 2.0 et zro papier. Le cahier des charges de loprateur de ce point de dpt est dfinir : il reposera sur des critres de fiabilit technique mais aussi - et peut-tre surtout de neutralit lgard des institutions de financement.

Cette dmarche est innovante sur deux plans :

La russite dun tel projet requiert une matrise douvrage stratgique dun niveau politique pertinent afin dassurer la coordination de ces acteurs. Il sagit dun projet ambitieux qui peut constituer le point focal de lensemble des propositions prcdentes, qui pourront en constituer les jalons.Proposition 11 : A terme, mutualiser, avec lensemble des partenaires, un projet de point unique de dpt des projets financer.



11 propositions constitutives dun cosystme scurisA0 1. C onc evoir une for ma tion de stine a ux gouve rnance s des ple s mise e n uvr e pa r des or ganisme s spc ia lis s et dve lopper des module s e-lea rning 0 2. C onc evoir la ttention des ac teurs te rritoriaux les ac tions de forma tion n ce ssa ir es e t identifie r le s ve cte ur s de diffusion le s plus a ppr opris .03. Co ncevoi r un m od ul e d e form ati on l a scuri t de s archi tectures orga nis ati on nel les et num ri qu es et dfi ni r u n m odl e cono m iq ue de di ffu sio n co m pati bl e avec les resso urces des p les.

04 . D finir un r fr entiel pour lobte ntion dun ce rtifica t de s curit conom ique, r fr enc da ns le s contrats de tr ava il. 05 . Gnr aliser le principe de la cc or d de consortium inc lua nt une politique de publica tion tous les PPP entr epris dans un ple . 06 . R eche rcher ave c lA ERES un a ccor d pour a ligner le dpt de brev ets s ur le s public ations sc ie ntifiques dans l va lua tion des c he rc he ur s.

B

0 7. D veloppe r, a ve c de s pa rte na ir es privs par tic ipa nt aux pr oje ts, une norm e de s curit a dapte aux ple s, destine tr e intgr e dans le s contra ts de pe rform ance , fina nc e sur appel pr oje ts.

11.Mutualiser, avec lensemb le des part enaires, un projet de poi nt unique de dp t des projets financer.

C08. De ma nder e n c once rta tion ave c lAN R, la cr a tion dun a telie r de r flexion prospec tif (AR P) pour cr er un modle de matur it de la sc urit de s arc hite cture s de s ples . 10 . Da ns le c adre dune dm ar che da ss ur ance qua lit, r duire et s curise r la diffus ion du papier , ave c com me obje ctif ter me le pass age au zr o pa pie r. C et obje ctif se ra ins crit dans le s engageme nts das sura nc equa lit -s curit des c ontr ats de per for ma nc es .

09. C onc ev oir un pr ogiciel sc uris des c ha nges au se in dun ple pa r a ppe l proje t s ur fina nc em ent de lEtat.05/12/2011

8S curi t des p le s d e comp titivi t





ANNEXESAnnexe I : La scurit du processus dinnovationLa meilleure scurit est la rapidit du processus dinnovation qui permet une fluidit du processus de passage du laboratoire au march et la recherche du verrouillage systmique (effet de lock-in) qui sobtient par la complmentarit des innovations qui forment un produit-systme innovant qui va imposer un design dominant et crer un effet de rendement croissant dadoption17. La Figure 7 reprsente lcart entre les thories dominantes et les derniers apports de la recherche en innovation. On notera la faible importance des brevets et limportance du levier financier qui va permettre de saturer une niche.Les dcisions des acheteurs sont rationnelles et indpendantes Linnovation est stratgique et dirige de lintrieur. La rente de linnovation sapproprie grce lintelligence, la proprit intellectuelle et les brevets La mritocratie: les meilleurs produits gagnent Limitation et les effets de rseaux sont plus importants que la dcision rationnelle. Innover implique une approche ouverte lcosystme, linnovation indpendante et les complments. La rente de linnovation sapproprie grce aux muscles financiers, position de march, la vitesse daction et la covolution Lhyperslection et les effets de rseau dans la demande

Figure 7: La contradiction entre les thories dominantes ( gauche) et la ralit du processus d'innovation ( droite). Source: Prof. Roger Miller, Ecole Polytechnique de Montral

La dynamique dun ple repose sur le caractre cosytmique de linnovation qui met en relation des acteurs htrognes (chercheurs, entrepreneurs, financeurs, autorits publiques). Pour quun cosystme soit stable et innovant il faut quil rponde la loi de Ashby18 (la loi de varit requise) : avoir une grande quantit dinteractions internes qui lui permette dintgrer les innovations, les opportunits daffaires et de grer les turbulences de son environnement. En tant qucosystme le ple doit donc tre ouvert sur lextrieur pour capter les innovations et opportunits exognes tout en gnrant les interactions endognes pertinentes pour faire merger linnovation.

Il y a rendement croissant dadoption quand un produit nest pas choisi parce quil est le meilleur, mais parce quil simpose comme le meilleur choix parce quune masse critique de consommateurs le choisit. Plus une technologie est adopte plus elle accrot son rendement (conomie dchelle, complmentarit des technologies, effet de rseaux, apprentissage par lusage). Ce concept a t dvelopp par Brian Arthur dans les annes 1980. Loi de Ross Ashby : Pour quun systme puisse faire face la complexit de son environnement il faut que son organisation interne soit au moins aussi complexe que le systme environnant. Linnovation dans un ple sera donc fonction de son architecture organisationnelle interne qui permettra de traiter les opportunits et turbulences de lenvironnement dinnovation du domaine.Rapport au ministre en charge de lindustrie et de lconomie numriquepage 43/50Version 2.1

17

18


La scurit rsulte donc de la rapidit et de la pertinence de ces interactions : des interactions non-pertinentes (p. ex. par surcharge bureaucratique ou mfiance entre les partenaires) seront source de bruit, dentropie et de perte dinformation, et des interactions insuffisantes ralentiront le processus dinnovation.

Une grande attention doit donc tre porte la comprhension de ces interactions et la conception de leur architecture entre les acteurs dun ple. Ltat de la recherche sur les architectures organisationnelles et des systmes dinformation tablit quil est possible de dfinir des rfrentiels types de ces changes un niveau suffisamment macro-conomique pour quils puissent tre adapts la diversit des architectures de chaque ple. En effet, tous les ples ont des transactions : entre les membres du ple, quil sagisse des activits de R&D ou des relations avec les gouvernances pour la labellisation des projets ; entre les partenaires des projets qui peuvent tre membres (ou pas) du ple ; entre les membres du ple et les entreprises ; entre les gouvernances et les acteurs de financement des projets qui ont connatre du contenu industriel et scientifique des projets ; entre les ples et les acteurs administratifs. Le reprage des problmatiques standards et la modlisation des processus de rfrence permettent dviter aux ples de nombreuses redondances improductives et de focaliser leur nergie sur le design dune architecture spcifique chaque contexte.



Annexe II : La dynamique des ples comme cosystme institutionnelLes ples sont des cosystmes qui produisent leurs institutions (les rgles de fonctionnement partages) de manire endogne par les interactions entre les membres, ces interactions tant elle-mme fonction du cadre institutionnel exogne (Annexe III) Ces types darchitecture font lobjet dune littrature scientifique de qualit et ancienne, qui sest considrablement dveloppe durant la dernire dcennie19. Les modles canoniques sont ceux de la Route 128 et de la Silicon Valley (Tableau 1). Plusieurs modles coexistent entre ces deux extrmes en fonction des caractristiques du march (prsence dune grande firme oligopolistique), des cultures nationales (les rseaux sociaux denses du modle japonais donnent une dynamique diffrente des modles individualistes anglo-saxons) et de lenchssement dans le capital social dun territoire. La diversit du capital social selon les terroirs franais contribue une floraison de dynamiques institutionnelles. Ces architectures se sont diversifies avec lapparition des TIC qui a permis lmergence de modles plus ouverts permettant lintgration dun plus grand nombre dacteurs et la combinaison de modles dcentraliss et centraliss20. Si les TIC permettent une plus grande fluidit organisationnelle, elles sont aussi source de vulnrabilit par les fuites dinformation, soit de manire passive, soit de manire agressive. Dans tous les cas, quels que soient les modes dinnovation, ils requirent des systmes dinformation pour coordonner le travail des acteurs. Dans le mode dinnovation centralis de type poids lourd le systme dinformation sera organise par modularit descendante, en fonction du design cible de linnovation. Dans le mode dinnovation Silicon Valley, chaque module a sa propre activit de traitement de linformation et lassemblage de larchitecture va se faire par modularit ascendante. La standardisation doit alors porter sur les interfaces pour permettre linteroprabilit du systme densemble.Lvolution des ples ne tend pas vers une rduction de cette diversit institutionnelle. Si la mondialisation et linternationalisation des firmes a t invoque lappui dune rduction de la diversit institutionnelle la domination de grandes firmes imposant un modle standardis au-del des frontires nationales il nen est rien dans les faits. Mme lorsque certains marchs sont domins par des entreprises homognes et mondialises, Aoki21 observe que lvolution des architectures locales reste sujette des dpendances de sentier locales et des

19

Les recherches sur la dynamique des ples sont la rencontre de deux domaines : la dynamique de linnovation et de la technologie (Brian Arthur, Keith Pavitt, Roger Miller, James Utterback) et lconomie institutionnelle (Masahiko Aoki et Avner Greif). Nous nous rfrons ici ltude la plus exhaustive qui est celle de M. Aoki publie en 2001 au MIT Toward a Comparative Institutional Analysis , traduit en franais en 2006 Fondements dune analyse institutionnelle compare Albin Michel. On en trouve une description dtaille dans le chapitre XV de Aoki. Op. cit. 487page 45/50Version 2.1

20 21



interactions spcifiques au contexte. Lapparition de standards mondiaux est loin de crer des structures et des institutions monotones et uniformes. On voit au contraire crotre, paralllement ces standards mondiaux, une diversit nationale rgionale et locale. Loin dtre un inconvnient, cest une garantie pour que le systme dinnovation quest le ple puisse absorber les crises, les chocs, les ruptures technologiques exognes et recomposer son architecture en fonction de ses contraintes spcifiques.Tableau 1 : Comparaison entre les modles centraliss et dcentraliss de ples. Source: Prof Roger Miller, Ecole Polytechnique de Montral?

Silicon ValleyTechnologie dominante : semi-conducteurs Systme industriel flexible et dcentralis Apprentissage intensif dans le rseau Rseaux sociaux formels et informels denses, encourageant exprimentation et entrepreneuriat Pratiques de collaboration et dintense comptition

Route 128Technologie dominante : Mini-ordinateurs Grappe axe sur prsence de grandes firmes Firmes forte R&D linterne Rseaux sociaux formels, conservateurs, poids important symboles corporatifs Comptition, valeurs individualistes traditionnelles

Frontires poreuses firmes, institutions, universits Rles institutionnels bien dfinis Relations : institutions et firmes rgion Relations : gouvernements, contrats et support financier Culture conservatrice, influence secteur financier

Culture encourageant prises de risques et acceptation de lchec Associations daffaires et voisinage jouent rle central dans la complmentarit Management orient vers le travail en quipe et la participation

Organisations autosuffisantes trs haute intgration verticale Management bas sur la hirarchie (2 sicles de tradition industrielle)



Annexe III : Les ples : principalement endognes

Des

rgles

de

gouvernance

Les ples de comptitivit, sous lappellation gnrique de cluster , sont depuis une dizaine dannes un objet de recherche en conomie institutionnelle. La dfinition officielle de la politique franaise est la suivante : la combinaison sur un espace gographique donn, dentreprises, de centres de formation et dunits de recherche publiques ou prives, engages dans une dmarche partenariale destines dgager des synergies autour de projets communs en direction dun ou de marchs donns . Cette mise en rseau est suppose produire de linnovation. Cette dmarche ne tient pas suffisamment compte du fait que linnovation est un processus stochastique et non dterministe : on peut tenter de crer les conditions pour que les synergies pertinentes se produisent, mais cette pertinence apparatra toujours ex-post. On ne peut jamais prdire ex-ante que la mise en synergie de tels et tels acteurs produira de linnovation. La consquence quant la gouvernance des ples, est quil nest pas possible, audel de principes gnriques, de dfinir des rgles garantissant un succs.La dynamique institutionnelle des ples est essentiellement mergente et ne peut tre dicte par en haut. Cest une dynamique systmique qui dpend :

-

Des conditions initiales de mise en place du ple : lhistoire compte ; Des relations de pouvoir et de leadership entre les acteurs et de leur capacit entrer dans des jeux coopratifs : la culture compte ; Du contexte local, notamment du capital social port par lespace gographique considr, qui dfinit la capacit dfinir des normes collectives et partager un but commun : le territoire compte ; Des dveloppements technologiques et de leurs ventuelles synergies, quelles soient latentes ou identifies ; Et dune manire gnrale de la squence de ces vnements qui va dterminer la dpendance de sentier , ou succession de causalits cumulatives (enchanements causes effets) dfinissant un phnomne de trajectoire.

-

Autrement dit, chaque ple exprimente une dynamique propre son histoire et son contexte socital, sociologique, technologique, politico-institutionnel. Il est possible de dire pourquoi un ple a russi, il nest pas possible de prdire quun ple va connatre le succs. Lvaluation ralise en 2008, aprs trois ans de fonctionnement des premiers ples, a montr que le dveloppement des cooprations entre acteurs aussi diffrents par leur culture et leurs p