DIRECTION GÉNÉRALE DE LA COMPÉTITIVITÉ, DE L'INDUSTRIE ET DES SERVICES (DGCIS)
Mme Cécile Dubarry, chef du service des technologies de l'information et de la communication à la Direction générale de la compétitivité, de l'industrie et des services (DGCIS)
26 mars 2014
Le ministère doit contribuer à développer significativement les usages numériques sans négliger pour autant le volet sécurité. Toutes les politiques publiques mises en oeuvre par le ministère et plus largement par le Gouvernement en matière de soutien aux entreprises peuvent bénéficier à l'industrie de cybersécurité ; c'est notamment le cas des appels à projets de R&D des investissements d'avenir .
Ainsi, il a été décidé, en liaison avec le Commissariat général à l'investissement (CGI), l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et l'ensemble des administrations concernées, de consacrer périodiquement des appels à projet à la thématique de la sécurité . Par ailleurs, le choix a été fait de cibler les appels à projets sur des thématiques identifiées comme prioritaires. Ainsi l'appel à projets « sécurité numérique » des investissements d'avenir, clos en novembre 2013, portait sur des thématiques très précises (outils de détection d'intrusion, outils de sécurisation des smartphones) .
Au-delà des solutions développées pour la protection des informations classifiées de défense, extrêmement robustes mais avec un degré d'ergonomie souvent éloigné de celui des solutions grands publics, il est nécessaire, en lien avec l'ANSSI, de promouvoir la réalisation de solutions de sécurité à destination du grand public ou des entreprises adaptées aux enjeux tout en correspondant ergonomiquement aux attentes des utilisateurs.
Le ministère est également amené à travailler sur certains textes législatifs ou réglementaires ayant un impact en matière de sécurité (dans le cadre de la transposition du paquet télécoms, par exemple) que ce soit en tant que chef de file ou en coopération avec d'autres ministères.
À la suite de la transposition du paquet télécom, l'État disposait de la possibilité d'imposer aux opérateurs télécoms le respect de règles de sécurité. Les dispositions adoptées dans le cadre de l'article 22 de la loi de programmation militaire ont étendu les prérogatives de l'État en matière de capacité à imposer des règles de sécurité, en matière de déclaration d'incident ou de contrôle à tous les opérateurs d'importance vitale , bien au-delà du secteur des télécommunications.
Afin de faciliter la concertation entre les industriels et les grands donneurs d'ordre de la filière sécurité, le Premier ministre a installé, en octobre 2013, le comité de filière sécurité dont le secrétariat est assuré conjointement par la DGCIS et le secrétariat général de la défense et de la sécurité nationale (SGDSN).
Les besoins des grands donneurs d'ordre (sécurité aéroportuaire ou maritime par exemple) ne sont pas toujours très bien connus. De même, ces grands donneurs d'ordre ne connaissent pas forcément les solutions techniques à leur disposition. Il existe donc un réel besoin d'échanges auquel le SGDSN et le ministère répondent en copilotant un certain nombre d'initiatives dans ce domaine.
En matière de sécurité, l'ANSSI est un partenaire incontournable. C'est ainsi que le directeur général de l'ANSSI s'est vu confier la mise en place d'un plan en vue de favoriser le développement des solutions de cybersécurité en France ( plan cybersécurité de la Nouvelle France industrielle ) et de consolider les acteurs - souvent plutôt performants mais de taille trop réduite pour aller à l'international.
Par ailleurs, une sensibilisation générale des entreprises au numérique est mise en place en s'appuyant sur les réseaux locaux ; le programme « transition numérique » permet à près d'un millier de conseillers sur le terrain de relayer les messages localement pour proposer sur le terrain des solutions clés en mains incluant des formations .
De tels programmes sont rendus possibles par la présence sur le terrain de conseillers déjà au contact des entreprises et prêts à se battre pour le développement numérique des entreprises, à qui il est nécessaire de donner les moyens d'accomplissement d'une telle mission.
Une mission qui permettra d'identifier les secteurs où le numérique peut apporter le plus dans les années à venir a également été lancée par la ministre en charge du numérique car, dans certains secteurs, l'apport (ou l'impact) du numérique est souvent mésestimé ou analysé trop tardivement.
À titre d'exemple, le site d 'Expedia a été utilisé par le groupe Accor , dans un premier temps pour vendre ses surcapacités hôtelières ; maintenant, 30 % de son chiffre d'affaires est réalisé via Expedia . Les évolutions du monde du tourisme, notamment par le numérique, viennent perturber les acteurs en place qui, pour certains, prennent conscience de ces évolutions un peu tardivement. Ce que l'on veut faire pour ceux qui n'ont pas encore été touchés de plein fouet par le numérique, c'est de créer une dynamique de réflexion et de prise de conscience pour qu'ils subissent un peu moins ces mutations dont l'ampleur est très variable selon les secteurs.
La pratique actuelle est de plus en plus que les consommateurs entrent dans les magasins, par exemple chez Darty , pour regarder voire tester les produits et, ensuite, les achètent sur Internet.
Dans la future loi sur le numérique, qui devrait venir devant le Parlement à l'automne 2014, au plus tôt , il pourrait y avoir un volet sur la cybercriminalité ou encore la protection des données personnelles .
Le ministre a demandé à l'ANSSI d' élaborer des normes de sécurité pour les systèmes de comptage intelligents, sujet dont personne ne s'était saisi jusqu'alors. Aujourd'hui, on s'aperçoit que les objets connectés peuvent être des portes d'entrée pour les attaquants informatiques lorsqu'ils ne sont pas forcément sécurisés et, lorsqu'ils sont sécurisés, ils ne sont pas forcément reconfigurables. Il est important que des failles de sécurité ne puissent pas permettre la prise de contrôle de tels objets par des individus malveillants.
Une action associative, nommée Signal Spam , a été mise en place afin de permettre à chaque citoyen d'alerter la CNIL ou l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) de la réception de spams .
Derrière l'expression de souveraineté numérique , se cache notamment la préoccupation de la protection des données personnelles. Le Safe Harbor nord-américain permet aux Américains d'avoir accès à des données européennes à condition que certains engagements soient pris. Un point de préoccupation est que c'est le département du commerce américain, qui contrôle le respect de ces engagements alors qu'il est lui-même intéressé au développement de ses entreprises nationales.
Dans de telles conditions, le Safe Harbor risque de ne pas constituer une protection suffisante pour les Européens. L'intégrité et la confidentialité des données ne sont pas garanties. Certains acteurs américains ont fait le choix de stocker toutes les données provenant d'Europe ou hors d'Europe mais ce choix ne permet pas de garantir la protection des données.
L'acceptation de l'application en France du Safe Harbor risque par ailleurs de ne pas assurer une protection suffisante des citoyens et de donner un avantage compétitif aux Nord-Américains qui stockeront les données sur le territoire américain .
En mars 2014, ce débat est venu devant le Parlement européen où il a été reconnu qu'il fallait encadrer l'ensemble de ces transferts de données. Mais les Américains se retranchent, en quelque sorte, sur leurs bases arrière en considérant que les normes européennes ne leur sont pas opposables.
Dans le cadre de l'informatique en nuage , les petites et moyennes entreprises ne sont pas forcément bien armées pour apprécier si les offres de stockage correspondent à leurs besoins et si la sécurité numérique de leurs données est correctement assurée (notamment pour ce qui concerne les aspects liés à l'interopérabilité et la réversibilité). Un travail est engagé avec l'ANSSI pour labelliser les offres offrant un niveau de sécurité adéquat .
Les échanges avec la CNIL sont limités mais la DGE porte une grande attention à son action.
Au sein de l'Union européenne , le débat se focalise sur la neutralité des opérateurs de télécommunications mais il convient aussi de s'intéresser de près aux questions liées à la loyauté des plates-formes et des moteurs de recherche .
Récemment l' ICANN a décidé d'ouvrir le marché des noms de domaines dits « génériques » - generic Top-Level Domains ( gTLD ), contre l'avis d'un certain nombre d'États. Aujourd'hui, elle lance des appels d'offres relatifs aux noms de domaines qui vont être soumis au droit américain , ce qui est une fragilité pour les entreprises françaises ou européennes. Au niveau technique, l' ICANN dispose d'un contrôle très important sur les noms de domaine, lui donnant la capacité de perturber très significativement voire complètement le fonctionnement de l'Internet, du jour au lendemain.
Avec l'ouverture du marché des noms de domaines génériques, les entreprises françaises seront obligées de déposer beaucoup de noms de domaines pour protéger leurs marques. Cette ouverture peut dans certains cas contribuer à fragiliser les appellations contrôlées comme dans le cas d'attribution du « .vin » ou du « .wine ».
Certes, au niveau de l' ICANN , il existe un Govermental Advisory Committee ( GAC ) mais ses préconisations ne sont que peu entendues par l' ICANN . Le gouvernement américain a cependant indiqué qu'il allait renoncer à un contrôle sur l' ICANN .
Au-delà des entreprises, le ministère considère comme essentiel de sensibiliser les individus , même si les recommandations en matière de sécurité ne sont pas nécessairement les mêmes. Il s'agit de diffuser les bonnes pratiques, une sorte « d'hygiène numérique » .