[COMPTE-RENDU MILIPOL 1] Un an après l’Appel de Paris

L’équipe de Veille Stratégique de digital.security a assisté à l’édition 2019 du Salon Milipol dédié à la sûreté, la sécurité intérieure des Etats et à la cybersécurité. C’est à l’occasion d’un discours inaugural mené par Éric Bothorel, député des Côtes d’Armor et également membre de la commission des affaires économiques et des affaires européennes (entres autres), et d’une table ronde que plusieurs experts en cybersécurité se sont réunis dans le but d’établir un tour d’horizon, 1 an après « l’appel de Paris » lancé par Emmanuel Macron à l’UNESCO le 12 novembre 2018. La séance avait pour objectif principal de se pencher sur une problématique majeure à laquelle l’industrie fait aujourd’hui face : les utilisateurs n’ont plus confiance dans le numérique, à la suite de scandales impliquant cyberattaques ou fuite de données. C’est donc dans le but de restaurer cette confiance que les intervenants ont réfléchi à la fois aux causalités mais aussi aux solutions envisageables.

KEYNOTE : L’avenir de la cybersécurité en Europe

Éric Bothorel a tout d’abord rappelé l’évolution de la nature des menaces à l’encontre de la sécurité des états, en évoquant notamment l’émergence de celles dites « hybrides », liées aux nouvelles technologies et au développement de l’Internet des Objets. Afin de faire face à ces menaces, de nombreux pays ont investi dans la création d’agences nationales de cybersécurité, telle que l’ANSSI en France ou la BSI en Allemagne. Ces entités ont pour point de référence l’ENISA européenne, qui se charge de centraliser le travail de chacune d’entre elles afin de sensibiliser les états aux menaces et vulnérabilités détectées, indiquer les bonnes pratiques à suivre et établir un cadre législatif. Il est donc nécessaire d’assurer la sécurité de ce continuum de communications pour favoriser l’élaboration d’une stratégie cyber-résiliente fonctionnelle. Pour ce faire, le député encourage les investissements dans les infrastructures cyber type CSIRT et le partage d’informations, dont on a pu avoir un aperçu à l’occasion d’un consortium destiné à booster la collaboration entre les divers acteurs impliqués en juillet 2019. Enfin, Bothorel a fait référence à la cybersécurité « positive » évoquée par Guillaume Poupard, directeur de l’ANSSI, qui passe notamment par l’implémentation de nouvelles certifications, crédibles à l’échelle internationale. À l’exemple du RGPD, les états-membres se doivent de s’harmoniser dans le but de créer une législation « exportable », qui renforce leur capacité diplomatique dans le monde numérique. Selon le député, le cyber serait en effet un véritable atout pour le développement économique de la France, qui nécessite ce faisant la création d’un secrétariat d’état dédié.

TABLE RONDE : Aux portes de 2020 : stratégie et vision pour un numérique de confiance

Selon Philippe Trouchaud, associé cyber sécurité chez PwC, ce déficit de confiance émane du fait que malgré leurs aspects innovants, ces technologies sont peu éprouvées avant d’être commercialisées ; résultat, des milliards d’euros de failles sécuritaires sont vendues aux entreprises, que 85% des internautes jugent « dépassées » par le risque cyber. Les polémiques autour du compteur Linky, auréolé à sa sortie il y cinq ans puis aujourd’hui accusé d’espionner les foyers, sont révélatrices du fossé qui se creuse entre utilisateurs et fabricants. Même bataille pour Google, qui n’arrive plus à faire circuler ses voitures autonomes, ou pour le RGPD qui peine à rassurer les européens. Philippe Trouchaud a jugé nécessaire de faire intervenir des acteurs responsables de bout en bout de la chaîne de production afin de restaurer la confiance des usagers.

Coralie Héritier, directrice générale d’IDnomic, compagnie récemment rachetée par Atos, a insisté à ce titre sur nos capacités à prendre les devants en matière de législation : de nombreuses directives telles que le Cyber Act ou le NIS ont déjà été mises en place, et ouvrent la voie pour concurrencer le Cloud Act des Américains par exemple. Cependant, l’ENISA ne possède pas pour l’instant les capacités nécessaires à la bonne coordination de ces mesures à l’échelle européenne et est de plus influencée par la présence de lobbyistes œuvrant en faveur des normes américaines à Bruxelles ; il s’agit alors d’encourager la coopération entre les agences afin de réaffirmer la souveraineté des états-membres. Selon Philippe Trouchaud, la collaboration reste pourtant un challenge, qui reste à tort du domaine de l’état : il déplore en effet le fait qu’en France, l’écosystème profite peu aux entrepreneurs, ce qui entraîne le pays sous le joug des GAFAs, leurs normes et régulations. À Jean Larroumets, PDG et fondateur d’Égérie, de souligner ce point en rappelant la nécessité de maîtriser les solutions numériques, en ne se soumettant pas aux GAFAMs. Il propose de ce fait d’adopter une approche « hybride », misant sur la communauté de bug bounties et white hats, autrement dit de hackers « bienveillants », présents en France pour éprouver les systèmes mis au point.

Pour Coralie Heritier, la solution serait de s’inspirer par exemple du modèle singapourien, qui fait du numérique un facteur d’inclusion sociale basé sur 4 piliers destinés à créer un réseau de confiance : infrastructure (communications), équipement (ordinateurs, appareils), e-payment (essentiels à l’économie numérique), et identité numérique, afin d’éviter l’usurpation et la fraude. Le but est de créer un réseau de confiance en donnant aux objets connectés une identité et des moyens d’authentification renforcés. L’Union Européenne tente donc de s’approprier cette démarche en proposant la carte d’identité électronique d’ici 2021, vue comme un pivot vers le numérique. La création d’un ministère dédié à la question du numérique et résolument orienté vers le cyber représente également un pas nécessaire à l’implémentation d’une vision technologique cohérente et efficiente. Pour Alain Vernadat, directeur général au sein du groupe Deveryware, cela passe aussi par la sensibilisation à tous les niveaux : restaurer la confiance dans le numérique n’est pas seulement du ressort des industriels ou des états, mais également de celui des individus. Il souligne l’importance de préparer les seniors et les plus jeunes, premières victimes de la cyber criminalité, au siècle numérique en prévoyant une éducation à la hauteur des challenges.

Ce dernier point a par ailleurs été repris par Philippe Trouchaud, qui rappelle le fait que le secteur cyber peine à attirer de nouveaux talents ; le marché subit en effet une pénurie de professionnels du domaine, avec 2 à 3 millions de postes à pourvoir. Les statistiques montrent que seulement « 40% des informaticiens se sentent réellement à l’aise avec ces questions », ce qui révèle un réel besoin de remise à niveau des compétences afin de ne pas continuer à « creuser le déficit numérique ». L’associé appelle également à « féminiser » le secteur jusqu’ici majoritairement masculin, ce dont témoignent les écoles d’ingénieurs peuplées de seulement 8 à 10% de femmes. À Coralie Héritier et Jean Larroumets de rappeler que les profils recherchés dans l’industrie cyber ne sont pas nécessairement techniques, puisqu’il s’agit également de sécurité physique (domotique, voitures électriques etc) qu’il s’agit d’inculquer à tous les corps de métiers. La table ronde en conclut que la confiance se développe par la conscience (des enjeux), et que si « la menace passe partout, la sécurité passe par tous ».