Aborder les enjeux de la confiance numérique revêt une importance de premier ordre à l’heure où l’on assiste à des mutations technologiques bouleversantes, représentant autant d’opportunités que de menaces. En effet, « telle la métamorphose de la chenille en papillon, le monde de la cyber est en pleine mutation et se répand dans toutes les activités de nos sociétés » note le Général et fondateur du Forum international de la Cybersécurité (FIC) Marc Watin-Augouard. Un an après l’appel de Paris lancé par le Président français Emmanuel Macron, les défis à relever pour les acteurs privés et publics dans l’établissement d’un lien de confiance avec les usagers du numérique restent toujours aussi cruciaux.
Par Hugo Champion
Entre défiance et crise de confiance
La crise de confiance et l’emergence de la défiance de la part des usagers peut s’expliquer par la médiatisation des incidents (85% des usagers estiment que les entreprises du numérique sont dépassées). Philippe Trouchaud, associé Cybersécurité illustre cette crise avec l’exemple du « compteur Linky qui fait écho dans la population, ayant considéré dans un premier temps cet appareil comme très positif, et qui le perçoit désormais comme un outil néfaste aux libertés et à la sécurité de ses usagers ». L’arrivée imminente de nouvelles technologies dans la vie quotidienne de leurs utilisateurs (voitures connectées, 5G, l’IA etc.) apportera son lot d’interrogations vis-à-vis de la confiance attribuée à ces technologies par les individus.
Le saut technologique que représente la 5G est source d’opportunités dans de nombreux domaines d’activité (l’automobile, les transports, l’énergie, l’e-santé, les smart cities, etc.) mais contribue également à élargir le champ d’exposition des cyberattaques. Comme l’explique le rapport d’information de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) sur la 5G, publié en décembre 2018, le déploiement du réseau devrait « permettre des communications massives, quasiment en temps réel, grâce à l’optimisation des bandes de fréquence par des modulations numériques plus complexes et un meilleur pointage des faisceaux ».
« La cybersécurité devient alors un pilier essentiel de cette confiance numérique quand on sait qu’il en revient à s’abandonner à la bienveillance de l’autre. Maîtriser nos innovations et l’emploi de nos solutions technologiques est alors vital. » souligne Jean Larroumets, PDG fondateur d’EGERIE. L’analyse de risques et l’identité numérique sont ainsi deux des outils au service de cette confiance numérique tout comme « la maîtrise des données et la protection de celles-ci » ajoute Luc Manigot, directeur des opérations de Sinequa.
Pour pallier cette crise de confiance, une intensification de la coopération entre les Etats, notamment européens, est nécessaire. Le député Eric Botherel, au travers de son action politique et de son tout dernier rapport d’information présenté à la commisison des Affaires Européennes le 14 novembre dernier sur l’avenir de la cybersécurité européenne, défend l’idée « que le continent européen doit se vivre comme un continuum ».
Des atouts français et européens à défendre
« L’idée de la création d’un Ministère du numérique a sa place dans le débat autour des appareils institutionnels dont la France pourrait se doter » souligne Coralie Héritier, Directrice Générale d’Atos – Idnomic. En effet,la France doit intensifier sa prise en compte des enjeux numériques à venir, à travers l’institutionnalisation du domaine. Elles ont avec l’Union européenne, tout intérêt à établir une vision stratégique concernant la sécurisation du cyberespace, pour se défendre face aux géants du numérique, notamment étatsuniens, et autres acteurs agressifs engagés dans cette guerre économique. « Il est essentiel d’intensifier notre influence à Bruxelles, pour imposer nos standards et ne pas se soustraire à la domination américaine » ajoute Coralie Héritier. Alors que Philippe Trouchaud souligne la dynamique positive engagée par la France, avec notamment la nomination de Thierry Breton à la Commission Européenne, il appelle, tout comme Coralie Héritier à « une volonté politique forte afin d’avoir, enfin, les moyens de relever les défis qui nous font face. »
La France et l’Europe s’organisent donc à travers plusieurs outils. Les 9 principes défendus par les Etats soutenant l’Appel de Paris en novembre 2018 témoignent du constat des enjeux de l’élargissement du cyberespace et des mutations numériques. Néanmoins, les Etats-Unis ainsi que la Russie, deux Etats possédant une puissance numérique de premier plan, n’ont pas soutenu l’Appel. Ainsi, la nécessité pour les Etats européens de construire une cyberdéfense commune dans un cadre éthique partagé est capital. L’ancien président de la commission européenne Jean-Claude Juncker a rappelé dans un discours prononcé à Bruxelles en septembre 2017 que « les 4 000 attaques par rançongiciel et les 80 % d’entreprises européennes qui ont connu au moins un incident lié à la cybersécurité en 2016 sont autant de constats qui amènent les acteurs européens à penser la coopération européenne en matière de cyberdéfense ».
Les menaces posées par la cybercriminalité ne sont pas des problématiques nouvelles au sein de l’Europe. Effectivement, dès 2001, la Convention de Budapest avait été rédigée par le Conseil de l’Europe. Le RGPD est également venu apporter un cadre éthique de transparence à l’Europe tout comme d’autres règlementations qui contribuent à cette confiance numérique essentielle. Attention toutefois « à trouver le juste équilbre. Il faut des règlementations bien entendu, mais pas trop » souligne Philippe Trouchaud.
« L’évolution de la coopération va dans le bon sens » ajoute Éric Bothorel, notamment avec le renforcement de l’ENISA qui représente le réel point de relai et de coordination en Europe, et distribuera par ailleurs un guide des bonnes pratiques prochainement. « C’est dans ce sens que la directive SRI et l’Acte de cybersécurité ont été adoptés par les Etats européens, participant à l’établissement de la confiance numérique » poursuit le député.
La certification, qui « consiste à s’assurer de la conformité d’un produit (en référence à certaines attentes de sécurité) et à tester la vulnérabilité de ce produit aux menaces contre la sécurité », fait également partie des atouts nationaux et européens, explique le député Eric Bothorel. Sur le mode de l’Agence nationale de sécurité des systèmes d’information (ANSSI) qui délivre des certifications qui « permettent d’assurer la robustesse d’un produit réalisée par un évaluateur tiers, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques », l’ENISA aura pour mission de coordonner les certifications à l’échelle européenne. L’agence n’aura cependant pas vocation à s’immiscer dans les affaires régaliennes en matière de cyberdéfense, mais aura comme mission principale d’accompagner l’harmonisation des pratiques au service d’un marché unique du numérique et également de promouvoir un modèle de référence au niveau mondial.
Ethique et collectif : la responsabilité du monde privé
« Les entreprises ont aujourd’hui la responsabilité de développer la confiance afin d’accroître la sécurité des processus, des produits ou des services numériques. Les menaces évoluent à grande vitesse, et les entreprises doivent redoubler d’efforts afin d’avoir une longueur d’avance face aux cybercriminels. C’est grâce à la collaboration entre les acteurs privés et publics, que nous augmenterons le niveau de confiance et lutterons efficacement face aux nouvelles menaces » explique Philippe Trouchaud, associé Cybersécurité chez PwC et d’ajouter « n’oublions pas non plus que nous sommes dans une guerre économique. Pour ne pas la subir, nos entreprises ont besoin de commandes ! Dans le cas contraire, les GAFAM seront demain les champions mondiaux de la cybersécurité et nos PME de grande qualité auront tout simplement disparu ! » L’urgence est donc à la structuration « et au renforcement d’une filière d’excellence cybersécurité en France » ajoute Coralie Héritier.
De nombreux acteurs du privé se concertent et échangent sur les dispositions à prendre pour accompagner l’édification d’un modèle français de l’éthique dans la gestion des Data. « C’est ce à quoi s’applique le cluster Data Intelligence, créé dès fin 2016 sous le pilotage du GICAT, réunissant 24 acteurs industriels français innovants. » souligne Luc Manigot. L’entreprise a donc un rôle clé à jouer en choisissant ses projets et ses clients. Porter et assumer la valeur d’éthique doit être le leitmotiv des entreprises de cybersécurité aujourd’hui. « Être une entreprise éthique, n’est pas uniquement de la philosophie. C’est une exigence de premier plan qui oblige à choisir en conscience ses sujets, ses innovations, ses investissements, ses combats… C’est aussi être capable de choisir ses clients et les Etats avec lesquels nous souhaitons travailler », assureAlain Vernadat, Directeur général du groupe Deveryware.
Souvent délaissé, l’aspect humain doit être revalorisé
Reste enfin l’un des plus grands enjeux et défis qui nous attend : celui de la formation et des compétences. Formation initiale dès le plus jeune âge, formation continue, reconversion et passerelle vers le numérique et la cybersécurité, diversité et féminisation, éducation au sens critique et aux outils du numérique avec leurs forces et leurs dangers sont autant de pistes à explorer pour prendre en main notre destin numérique. « L’humain est au cœur de nos priorités. Il est temps de lui fournir un réseau informatique de confiance, produisant des données protégées au sein une économie numérique ambitieuse s’appuyant sur nos pépites numériques. » souligne le Général Watin-augouard et d’ajouter « « Science sans conscience n’est que ruine de l’âme » écrivait Rabelais dans Pantagruel. Cette invitation à conjuguer les sciences « dures » et les sciences humaines est plus que jamais d’actualité. La cybersécurité a besoin de juristes, de sociologues, de philosophes, d’historiens, etc. pour garantir une sécurité de tous au service de la liberté de chacun. Il est temps de replacer l’humain au cœur du discours et de l’action. A nous Européens, d’avoir un vrai projet politique qui ait pour objectif d’assurer une « liberté sécurisée », garante des valeurs partagées par les 27 Etats membres. » et de conclure « Nous avons perdu la bataille du hardware, du software et des plateformes. Nous pouvons gagner celle de l’humain. La cybersecurité sera au service de la liberté ! »