INTRODUCTION - L'ACTUALITÉ DE LA SÉCURITÉ DU NUMÉRIQUE
Au début des investigations de vos rapporteurs, le thème de la sécurité numérique n'occupait pas autant qu'actuellement le devant de l'actualité.
Puis il y eut l'affaire Snowden et ses rebondissements en cascade, mais pas seulement. Et, tout récemment, à la suite des attentats perpétrés à Paris, les attaques contre des sites Internet à très grande visibilité se sont multipliées et l'opinion publique a pris conscience de l'émergence d'un nouveau type de guerre dont l'arsenal comprend les atteintes à la sécurité numérique.
Avant cela, depuis quelques mois, les incidents révélant des failles de la sécurité numérique, de plus en plus spectaculaires, se sont multipliés : vols de fichiers de données personnelles et de numéros de cartes de crédit chez de grands distributeurs ( Target aux États-Unis d'Amérique, etc.), chez de grands opérateurs ( Orange , etc.) au point que la Commission nationale de l'informatique et des libertés (CNIL) a affirmé qu'il ne s'agissait pas de fatalité mais bien d'incidents mettant en cause la responsabilité de celui qui détient des données personnelles.
Mais, au-delà de ce qui peut être imputé à des attaques, il est apparu que de grands opérateurs coopéraient avec des États pour livrer des données personnelles et, plus grave encore, se livreraient au commerce des données personnelles soit à la suite d'une information très lacunaire des droits de leurs clients, soit à leur insu .
Ces incidents à répétition, ces stratégies délibérées commencent à émouvoir l'individu, le citoyen qui comprend, peu à peu, qu'il n'est pas l'usager bienheureux de techniques perfectionnées tendant à faire de lui un homme augmenté mais plutôt la cible, le produit des pourvoyeurs de ces techniques qui l'entourent d'objets dits intelligents au moment même où il est pris pour un sot.
La confiance dans les acteurs du numérique et dans la sécurité numérique s'érode .
Mais ces doutes n'auraient-ils pas des effets positifs dans la mesure où la nécessité n'est perceptible que dans la crise ?
Il serait permis de le penser au vu de l'indifférence de la population, des entreprises et des gouvernements à la sécurité numérique avant que les révélations de M. Edward Snowden, à l'occasion de l'affaire Prism ne viennent réveiller - partiellement - ces différents acteurs.
Désormais, il est possible d'évoquer certaines failles majeures de la sécurité numérique, certaines attaques, sans être suspecté d'imagination débridée ou de perfectionnisme technique entravant l'efficacité, ce qui permet au discours des personnes entendues par vos rapporteurs d'être écouté avec davantage d'attention. Cela devrait faciliter l'imposition de nouvelles exigences de sécurité aux personnels des entreprises et un meilleur respect des consignes des services de sécurité édictées par les spécialistes placés auprès des responsables politiques ou économiques de haut niveau.
Pourtant, jusqu'alors, l'accent était plutôt mis sur la séduction au service des extensions des usages du numérique au travers d'un mécanisme toujours identique : possibilités d'augmenter ses capacités, de soigner des maladies incurables, etc.
Selon M. Fabrice Vézin, consultant e-santé et ancien responsable de la stratégie Internet de la filiale française de Glaxo Smith Kline (GSK), citant le cabinet d'études américains Gartner , « l'utilisation d'objets connectés dédiés à la santé pourrait nous faire gagner six mois d'espérance de vie dans les prochaines années ». Dans cet entretien, il reconnaît que l'automédication se développe mais refuse d'y voir les conséquences du développement de la numérisation de la santé.
De même, Google entreprend maintenant un tour de France des petites et moyennes entreprises françaises, dont seuls 42 % ont un site web actif, en arguant d'un rapport McKinsey de 2011 qui montrait que les entreprises les plus actives en ligne pouvaient croître et exporter « jusqu'à deux fois plus » que la moyenne.
Sans connaissances spécifiques avérées sur les nanobiotechnologies, Google X entend désormais se lancer dans un projet de recherche sur les nanoparticules pour diagnostiquer des maladies comme le cancer.
Au passage, Google X ne manquera probablement pas de collecter un maximum de données personnelles sur l'état de santé des utilisateurs potentiels de son diagnostic médical. Et cette découverte-là est certaine, proche et monétisable.
En effet, parfois, des visées autres transparaissent : « Ce que veut Google avec la génération des voitures autonomes, c'est capter le temps que les automobilistes passent dans leur voiture » (M. Thierry Vadieu, directeur de programme des services de mobilité chez Renault ). Et capter les données personnelles qui vont avec ?
Mais cela n'est encore rien comparé aux objectifs de l'un des patrons de la recherche de Google , M. Anet Singhal, qui anticipe « l'essor du savoir à la demande, l'information parvenant aux gens avant même qu'ils ne la recherchent ». Pour lui, le moteur de recherche du futur sera « le parfait assistant personnel qui vous fera bénéficier de tous les savoirs techniques , améliorant votre processus de pensée ».
Pour les réticents, il ajoute : « Nous devons apprendre aux gens à nager avec le courant de la technologie et non à lutter contre ». D'autant que « Internet a rendu les gens plus productifs ».
Quand ce n'est pas l'amélioration de la santé ou des capacités humaines, ce sont les économies résultant de la réduction des consommations d'eau, d'électricité, de gaz, de carburant qui sont mises en avant. Ou encore la réduction des gaspillages et des déchets.
L'économie pourrait également profiter du développement de villes connectées supposées offrir un nouveau marché de 1 500 milliards de dollars en 2020 et de 3 300 milliards en 2025 (étude du cabinet Fost & Sullivan ).
D'autres fois, la révolution numérique se pare des couleurs de la révolution industrielle et sociétale.
M. François Bourdoncle, copilote du plan « big data » lancé par le Gouvernement en 2013, recommande aux entreprises en tête de leurs marchés respectifs « d'être capable de se vampiriser soi-même plutôt que de se faire vampiriser par d'autres ». Steve Jobs, fondateur d' Apple , l'avait d'ailleurs parfaitement compris, et théorisait même cette autocannibalisation.
Faute d'y procéder, il pourrait advenir ce qui se dessine dans les transports urbains où le mouvement d'ouverture des données publiques ( open data avec Etalab ) a conduit Google à s'intéresser à ce secteur et signer des accords de partenariat avec des municipalités.
Dès lors, les services futurs répondront-ils réellement à l'intérêt des usagers séduits par les métamorphoses du numérique ou plutôt aux logiques commerciales ?
Et Google , ou autre, deviendra-t-il pour le transport ce que l'incontournable Booking est devenu pour l'hôtellerie, se glissant entre l'usager et les transporteurs au détriment de la relation client du professionnel du secteur et aux frais de ce dernier ?
Encore au-delà de ces nouvelles possibilités, l'espoir est mis dans l'intelligence dont seraient animés de nouveaux objets citoyens .
Au moment où le citoyen, devenu consommateur, se transforme lui-même en produit, comment refuserait-il de se revaloriser en utilisant des objets intelligents dans des logements intelligents au sein de villes intelligentes ?
Ne prévoit-on pas près de cinq cents objets connectés et communiquant entre eux dans un logement intelligent en 2022 (étude du cabinet Gartner ) pour un coût d'environ un dollar par objet ?
Pour ceux que cela inquiéterait, Mme Sophie Breton, présidente d' Ignes (groupement des industries du génie numérique énergétique et sécuritaire), directrice générale de Hager France se veut rassurante : « il faut mettre le consommateur au coeur de la démarche et lui permettre d'être acteur au sein de son logement ... l'assister au sein de son habitation pour y vivre plus longtemps ».
Peu étonnant, dans ces conditions, qu'il faille rassurer le consommateur peu enclin à utiliser le paiement mobile - moins de 5 % des paiements dans le monde et 22 % des Français seulement estiment que leur argent est en sécurité lors de paiements utilisant la technologie du sans contact. Ce qui a conduit certains banquiers à proposer : 1° des données bancaires cryptées stockées au sein d'une puce sécurisée qui se trouve dans les Iphone 6 et 6 Plus , 2° la validation de chaque transaction par un code de sécurité unique, 3° la vérification de l'identité de l'auteur de la transaction au moyen du capteur biométrique Touch ID . D'où la naissance de nouveaux marchés.
De son côté, Keypasco , société suédoise, utilise deux sources d' authentification pour sécuriser un paiement : 1° l'empreinte numérique des équipements du porteur de la carte (la combinaison unique de leurs composants) et 2° la localisation géographique du porteur. À cela s'ajoute une analyse de risque à travers l'identification des transactions inhabituelles : en cas d'achat effectué loin de la localisation de l'intéressé ou grâce à un ordinateur inhabituel, 3° un SMS est adressé au porteur pour recueillir son accord avant paiement.
L'économie du numérique attend beaucoup de telles innovations porteuses de marchés prometteurs : sécurité et économie peuvent converger .
C'est dans ce contexte ambivalent de méfiance accrue et d'espoirs renouvelés face au numérique, que depuis l'année 2013, la préoccupation autour du numérique s'est traduite dans nombre de rapports, notamment parlementaires, abordant cette question sous divers angles.
Parmi ces rapports, on relève, à l'Assemblée nationale :
- « La stratégie numérique de l'Union européenne » par Mme Axelle Lemaire et M. Hervé Gaymard (2013) .
Au Sénat :
- « La cyberdéfense : un enjeu mondial, une priorité nationale » rapport d'information de la commission des affaires étrangères, de la défense et des forces armées du Sénat, par M. Jean-Marie Bockel (2012) ;
- « Le numérique, le renseignement et la vie privée : de nouveaux défis pour le droit » par M. Jean-Pierre Sueur (2014);
- « La protection des données personnelles dans l'open data : une exigence et une opportunité » par M. Gaëtan Gorce et M. François Pillet (2014) ;
- « L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique industrielle européenne » par Mme Catherine Morin-Desailly (2014).
Et, au Conseil d'État :
- « Le numérique et les droits fondamentaux » (2014).
Aucun de ces rapports n'avait comme objectif unique la sécurité numérique alors que les questions qu'ils abordaient étaient, bien évidemment, sous-tendues par l'existence voire l'exigence de ladite sécurité.
Cependant certains de ces rapports reposent sur des raisonnements dans l'air du temps mais faisant trop peu de cas des exigences de la sécurité numérique.
C'est ainsi que, dans le rapport sénatorial sur l' open data , il est dit que, nonobstant les incertitudes liées à cette ouverture et les dangers que celle-ci ferait courir aux individus, il était nécessaire « d'y aller » puisque cela s'inscrit dans un élan général :
« Ces failles ne remettent pas en cause la pertinence de l'ouverture des données publiques, mais la façon dont elle est conduite. Loin de trouver là des raisons de freiner un mouvement dont l'utilité sociale est acquise, la mission d'information y a vu plutôt l'opportunité de donner un nouvel élan à l'ouverture et au partage des données publiques, en définissant une doctrine et une méthode qui garantissent la meilleure protection des données personnelles possible. Car, une fois cette protection assurée, aucun obstacle au déploiement de l' open data n'est plus légitime . ».
De même, dans le rapport sur « Agir pour une France numérique : De l'audace, encore de l'audace, toujours de l'audace... » des députées Corinne Erhel et Laure de la Raudière, le modèle américain est pris comme référence et le seul avenir possible serait l'imitation en tout point de ce précédent - pourtant inimitable par bien des aspects - dans l'espoir d'un miracle économique réalisé automatiquement par l'imitation de la Silicon Valley, soulignant que :
« l'avenir est exaltant si l'on accepte aujourd'hui de pleinement basculer dans l'âge du numérique » ;
« Il faut prendre conscience que l'économie numérique se nourrit des failles qui existent dans nos systèmes, notre économie et nos politiques publiques : le numérique s'engouffre là où le XXI e siècle n'a pour l'instant pas su apporter de réponse pertinente ».
Toutefois, ce rapport reconnaît que : « La cybersécurité est un enjeu essentiel et il faut traiter le plus en amont possible les risques de vulnérabilité des réseaux et des entreprises critiques et stratégiques ». Mais le rapport ne développe pas ce thème.
Malheureusement, aucune des personnes entendues par vos rapporteurs n'a semblé croire que le pas en avant au bord du gouffre de l' open data ou des big data ne serait de nature à permettre de marcher dans le vide. Pas davantage, la possibilité d'imiter les États-Unis d'Amérique n'a été indiquée comme l'unique piste à suivre.
Bien au contraire, les spécificités françaises et européennes ont toujours été soulignées et les suggestions de recommandations impliquant à la fois des efforts dans les comportements, des innovations, de la clairvoyance et beaucoup d'investissement n'ont jamais été présentés comme des voies aisées à suivre.
Le rôle de l'OPECST est précisément de souligner, dans tous leurs aspects, les problématiques scientifiques et technologiques sous-tendant les choix à effectuer pour que, dans la durée, soit menée une analyse exigeante permettant de sensibiliser, d'éduquer, de concevoir une sécurité numérique fondée sur une défense dans la profondeur , à peine esquissée aujourd'hui.
C'est donc une construction réfléchie plus qu'un acte de foi que vos rapporteurs proposent à l'OPECST à travers leurs propositions de recommandations tendant à n'utiliser qu'à coup sûr l'outil numérique puisque l'outil numérique ne saurait être sûr à tout coup.
Après avoir évoqué, dans un premier temps, le contexte international, les règles européennes et nationales régissant l'Internet, une plongée dans le numérique au service de l'entreprise sera effectuée pour montrer comment le numérique structure et fragilise ces acteurs économiques, a fortiori lorsque des attaques exploitent les failles existantes.
Mais ces failles ne pourraient-elles, aussi, constituer des opportunités de construire des systèmes d'information plus solides, avec des acteurs de confiance, sans remettre en cause les droits fondamentaux ni compromettre les bases d'un développement durable ?