Faire correspondre l’offre technologique aux besoins sociétaux : voici l’objectif des études menées par le consortium Picasso*, mis en place à l’initiative de la Commission européenne. « La collaboration entre l’Union européenne et les États-Unis est un levier essentiel pour identifier les impacts sociaux-économiques et techniques » de la digitalisation de nos sociétés souligne Marteen Botterman, président du consortium.
La Commission européenne, dans le cadre du programme Horizon 2020, multiplie les initiatives pour la réalisation du Marché unique numérique. En rassemblant l’ensemble des parties prenantes de part et d’autre de l’Atlantique, le pari de la DG Connect est donc de donner une place à l’innovation européenne sur des marchés en pleine croissance, foyers de nombreux emplois, mais trustés par les entreprises américaines.
En 2016, Yahoo a subit une attaque massive et, plus récemment, Wannacry a parfaitement illustré les menaces qui pèsent aujourd’hui. « Les challenges sont globaux », rappelle Marteen Botterman, et les attaques sont en augmentation massive : déni de service, malware, ransomware, phishing… Les hackers multiplient les canaux d’attaques. La sécurisation sur l’ensemble de la chaine de valeur, et par tous les acteurs (entreprises, gouvernements et utilisateurs), devient indispensable.
Une exposition aux menaces en augmentation exponentielle
Pour le Dr. David Farber, professeur à l’École de science informatique de l’Université de Carnegie Mellon (Pennsylvanie), la situation actuelle n’est que la conséquence de l’augmentation de la place prise par le numérique dans la société. Ce spectre élargi du numérique a contribué à la création de nouveaux espaces d’attaques. L’interdépendance des systèmes et leur complexité, les services intégrés et l’explosion des objets connectés, dont les systèmes d’exploitation sont parfois obsolètes depuis 20 ans, augmentent de manière exponentielle les vulnérabilités et, mécaniquement, les opportunités d’attaques de plus en plus réussies.
Une série d’expérimentations a été menée pour élaborer des scénarios de vulnérabilités dans l’environnement numérique américain. Apple et Windows ont été exposés à des attaques et les résultats montrent, chez des majors du numérique, de trop nombreuses failles de sécurité qui ne peuvent pas être couvertes. Toutefois, « il existe une série de vulnérabilités que nous ne pouvons pas évaluer » lorsque le système d’exploitation est trop sophistiqué. Néanmoins, les solutions techniques s’améliorent. D’après le Dr. David Farber, l’incertitude sur le financement de ces nouvelles mesures de protection très onéreuses, et certainement trop couteuses, est l’un des obstacles à la sécurité des systèmes physiques. Les recherches internationales sont en cours pour évaluer les capacités technologiques et financières afin de renouveler le parc d’ordinateurs, première vulnérabilité des systèmes.
« La cybersécurité ne peut être sous-estimée par les décideurs publics »
Voici un constat partagé par le Dr. Jonathan Cave, de l’Université de Warwick (Royaume-Uni). La nature des systèmes physiques présente, certes, des vulnérabilités, mais la question du financement de leurs sécurisations, et plus largement la politique de cybersécurité, ne peut s’affranchir d’une volonté forte des décideurs publics. « Les régulateurs portent une responsabilité car ils ont une difficulté de compréhension, et laissent ainsi de coté l’anticipation et le contrôle ». Aucune définition du périmètre n’est commune, une confusion entre identification et authentification existe, il n’y a pas d’accord sur une identité numérique universelle… Les lacunes sont nombreuses. Au-delà du jargon du geek, qui dépasse les compétences des responsables publics, ce sont bien les réglementations multiples qui créent une confusion favorable aux attaques. Cette nouvelle faille s’ajoute aux intérêts divergents des États, à leur stratégie internationale, aux conflits de juridiction et à leur sécurité intérieure. Une approche internationale des définitions devient ainsi, dans ce contexte, une nécessité urgente pour déployer une politique globale de sécurisation en réponse à des attaques, elles aussi, globales. Le non-alignement des législations européennes et américaines participe, voire facilite, la cybercriminalité.
La sécurité doit être déployée au niveau de l’équipement
La vulnérabilité des systèmes physiques et les distorsions des législations commandent une réponse concertée entre l’Union européenne et les Etats-Unis. Cette coopération renforcée doit avoir pour objectif la sécurité et la protection des citoyens, et de leurs données, mais aussi des entreprises, comme le rappelle le Dr. David Farber. « Le danger est énorme » et aucun des États ne pourra y faire face par des actions isolées. Pour Yaning Zou, coordinatrice du groupe d’experts 5G de Picasso, l’arrivée de la 5G va bouleverser la sécurité digitale de notre société connectée. La récupération des données, et leur utilisation, sera facilitée à l’horizon 2020 grâce à l’intégration du développement de ce nouveau réseau et l’explosion des objets connectés. « De nouveaux crimes vont émerger dans les prochaines années », et, à ce stade de la recherche, nous ne les connaissons pas encore. Par conséquent, c’est bien au niveau des objets que les mesures devront être déployées si l’on souhaite apporter une capacité de sécurisation satisfaisante. Il faudra alors définir, d’après les travaux dirigés par Yaning Zou, le niveau de sécurité acceptable entre le producteur de l’objet, le fournisseur du réseau et l’éditeur du logiciel d’exploitation. La multiplicité des usages, donc plusieurs logiciels pouvant être réunis sur le même équipement, et des secteurs économiques plaident pour une sécurité du matériel.
Coopération Union européenne – Etats-Unis : la clef du succès de la cybersécurité ?
La segmentation de la sécurité semble d’une sophistication telle qu’elle sera difficilement déployable sans isoler chaque réseau pour chaque secteur économique. Cela renverse le paradigme aujourd’hui utilisé. L’approche ne peut désormais plus être transversale mais verticale. Cette approche up-to-down suppose une innovation technologique, mais également politique. Les Gouvernements ne peuvent pas, seuls, assurer la sécurité des réseaux. Ils doivent être innovants dans leur politique de sécurité intérieure, et sur la manière de l’appréhender. Pour Yaning Zou, la 5G implique un risque de cyberattaque plus important que de bénéfice au quotidien : « Si l’on souhaite un succès du réseau 5G, la collaboration EU/USA est essentielle pour innover et trouver des solutions adaptées aux menaces. »
La donnée, le nouvel or noir
Sans surprise, la donnée est au cœur de l’enjeu cyber. L’exploitation du Big data en Smart data questionne le citoyen, et le transforme parfois en produit. Pour le Dr. Nikos Sarris, président du groupe d’experts Big Data, « si la donnée est l’élément principal d’un système ou d’une application, sa sécurité conditionne l’intégrité de l’ensemble des données de ce système ». La question de la confiance dans la donnée, de son intégrité et de sa fiabilité, devient alors la question de sa sécurité. Les corruptions de données doivent être prévenues, en interne, par la protection contre les accès non autorisés pour permettre, en externe, leur utilisation « sincère ». Cette question se pose tant en Europe qu’aux Etats-Unis et, sur ce sujet encore, « la coopération n’est pas une option mais une obligation. »
En effet, quels types de données sont produits aux Etats-Unis et comment seront-ils utilisés dans l’Union européenne, et inversement ? L’industrie du Big data fait face à cet enjeu majeur de confiance dans la donnée, qui ne peut exister qu’avec un contrôle et une sécurité uniformes. Or, aujourd’hui, les priorités américaines ne sont pas ajustées à celles de l’Union européenne.
La coopération entre l’Union Européenne et les Etats-Unis présentée par les acteurs du Consortium comme une nécessité absolue qui dépasse les intérêts intérieurs, se heurte à de nombreux obstacles. L’ampleur du développement des réseaux et des objets connectés crée une nouvelle forme de menaces dont « la réponse ne peut émerger que de la définition d’une politique publique internationale du digital. L’Union européenne et les Etats-Unis sont condamnés à cette collaboration car l’industrie tout entière est menacée par l’absence de confiance, et donc de sécurité. » Une affirmation qui mérite d’être débattue par l’ensemble des acteurs clés des différents pays concernés ; et qui devrait, sans nul doute, déchaîner les passions…
*Le consortium Picasso a pour objectif de coordonner et d’identifier les champs de coopération entre l’Union européenne et les USA sur le Big data, la 5G, l’IoT, la recherche et l’innovation et les systèmes cyber physiques. Financé principalement par la Commission européenne sur la période Janvier 2016 – Juin 2019, il est constitué de quatre groupes d’experts et doté d’un budget de plus d’un million d’euros (1,160,031 €).