MEDEF
M. Pierre Louette, président du comité « Transformation du numérique »
Mme Anne-Florence Fagès, directrice de mission « Économie numérique » à la direction de la recherche et de l'innovation
27 mars 2014
M. Pierre Louette . - Dans le cadre de vos travaux, v ous avez déjà entendu la personne qui est la plus compétente dans ce champ, à savoir M. Jean-Luc Moliner, directeur de la sécurité chez Orange , domaine qui m'est rattaché au sein du groupe, et qui est très directement concerné par les très nombreux dangers de l'interconnexion.
Pour préparer la présente audition, nous avons choisi de nous inscrire dans le cadre de réponses au questionnaire que vous nous avez déjà adressé auquel nous ajouterons trois ou quatre messages que nous souhaitons partager avec vous.
Le MEDEF s'inscrit dans la protection des entreprises et entend donner une impulsion à travers une sensibilisation y compris auprès des 93 % des entreprises en France comptant moins de dix salariés ; c'est aussi auprès d'elles qu'il faut agir car elles sont tout aussi exposées que les très grandes entreprises puisqu'elles sont aussi des fournisseurs et des sous-traitants de très grandes entreprises, des inventeurs de projets et de brevets.
Le comité de transformation numérique du MEDEF que j'anime émet des avis, donne une vision objective et nationale pour produire des éléments d'information nationaux et également va dans les territoires pour en faire remonter les préoccupations partagées. La sécurité concerne tout le monde et la sensibilisation est un sujet auquel le MEDEF s'attache.
Aujourd'hui, pour les entreprises, le principal risque lié au numérique consiste à ne pas y basculer.
Il peut être souligné que 80 % des entreprises françaises déclarées en faillite en 2013 n'étaient pas présentes sur Internet. Elles n'avaient pas développé une présence forte de vente ou une action sur Internet.
Mme Anne-Florence Fagès . - Il semble donc qu'on ne puisse pas développer une économie sans intégrer Internet.
M. Pierre Louette . - Cet enjeu de la transformation numérique concerne en particulier le secteur du voyage mais d'autres secteurs entiers seront affectés en totalité, comme le BTP, avec l'analyse par des spécialistes de la donnée des composants et des matériaux, des lieux d'implantation des bâtiments ; comme les télécommunications, ils vont croiser des données. Ceux qui ne sont pas dans ces transformations risquent de passer à côté d'un facteur de survie et de croissance. Il est donc essentiel que les entreprises s'intègrent au fonctionnement de la nouvelle économie en faisant de l'Internet un levier de développement tout en sécurisant leur intégration dans le numérique. La démarche d'entrer dans le numérique est autant vertueuse que risquée si elle ne s'accompagne pas d'un renforcement de la sécurité.
C'est pour cela que nous nous intéressons beaucoup à la cybersécurité, à l'incitation massive à numériser. Il s'agit d'une « chance dangereuse », porteuse d'autonomie comme de danger, qui provient de l'exposition à de nouveaux risques contre lesquels les entreprises ne sont pas forcément préparées .
Dans le cadre des opérations de sensibilisation affichées par le MEDEF, il est expliqué que le numérique est un facteur de compétitivité et de réduction de coûts pour l'entreprise .
Deuxième réflexion : la cybersécurité constitue un véritable défi pour le MEDEF alors que confiance et sécurité sont indissociables du numérique. On aborde par là le thème de la confiance.
Récemment, un responsable du FBI américain déclarait qu' il n'y a que deux catégories d'entreprises face à la sécurité informatique : les entreprises qui ont été attaquées et celles qui le seront ; le premier groupe étant le plus nombreux . Orange subit plusieurs attaques par jour à un point ou un autre de ses réseaux très déployés et diversifiés ; tous les jours ces attaques sont tentées et, de temps en temps, certaines aboutissent.
Le côté spectaculaire de certaines des attaques menées risque d'éroder la confiance et de susciter une réticence à livrer ses données qui risque de diminuer la croissance liée au numérique. Les espoirs de croissance du numérique, de création d'entreprises et de croissance en général ne peuvent se concrétiser que si la sécurité et la confiance sont préservées.
Les entreprises visées par les cyberattaques sont souvent des PME qui ont peut-être omis de mettre en oeuvre tout ce qu'il convenait pour assurer leur propre sécurité. Plus de 70 % des entreprises victimes d'attaques en France comptent moins de cinq cents salariés. Or, comme elles font partie de l'écosystème des grandes entreprises, ce nombre d'attaques ne cesse d'augmenter. Il peut s'agir d'attaques malignes pour chercher de l'information mais, également, d'attaques simplement destructrices, de blocages, avec le phénomène des dénis de services.
Les jeunes générations, très consommatrices d' Apple et de Mac à domicile, à travers des jeux ou de la création graphique, ont tendance à vouloir apporter leur ordinateur personnel sur le lieu de travail , ce que les entreprises favorisent plutôt mais cela est, en réalité, très compliqué. D'abord favorable à cette pratique, Orange est en train de lever sur le pied sur ce point car cela est trop compliqué à gérer au quotidien puisque les personnes viennent avec leurs virus.
L'introduction de virus dans le système d'information de l'entreprise entraîne une perte de capacité et doit être évitée à tout prix.
Mme Anne-Florence Fagès . -Les entreprises déploient un arsenal de moyens de sécurisation et hésitent à demander à leurs personnels de contrôler et de sécuriser les matériels qu'ils apportent de chez eux. Finalement, ce n'est pas une très bonne idée d'autoriser l'apport d'outils personnels sur le lieu de travail, sans déployer parallèlement les garde-fous et protections nécessaires.
M. Pierre Louette . - On a eu d'abord le sentiment qu'il était bien de leur permettre aux chercheurs, et il y en a beaucoup chez Orange , près de six mille au sens large, d'apporter leurs outils personnels mais il a été constaté que c'était cette partie du réseau qui était la plus perméable car offrant un maximum de points d'échanges avec l'extérieur. On a effectué des tests d'intrusion qui ont montré une réelle porosité même si le dernier test a été plus rassurant que les précédents.
Il a aussi été observé que l'on faisait toujours attendre les visiteurs dans des lieux où se trouvent des prises de courant par lesquelles il peut être possible d'accéder au réseau.
Le MEDEF, estimant qu'il faut partager plus, a installé, au sein du comité de transformation numérique, un groupe de travail « confiance et sécurité » mis en oeuvre avec la Fédération des entreprises de vente à distance (FEVAD) car elles sont au premier rang de celles qui doivent s'interroger sur la pérennité de leur propre activité si la confiance numérique venait à disparaître. Mais la problématique est partagée par toutes les fédérations du secteur numérique. D'où, pour la formation au numérique, la création d'un autre groupe de travail avec le Syntec-numérique incluant une formation à la sécurité, ce qui ne s'improvise pas.
La troisième réflexion à partager avec vous, c'est que le contexte réglementaire du numériqu e doit nécessairement s'adapter pour prendre en compte les évolutions technologiques et les failles constatées.
Quant au contenu du projet de loi sur la liberté numérique annoncé par la ministre chargée du numérique, Mme Fleur Pellerin, qui devrait permettre d'adapter la législation nationale à l'évolution internationale des données tout en préservant les libertés fondamentales, il est encore inconnu.
Ce projet devra en tout cas veiller à la protection de la sécurité face à la préservation des libertés fondamentales . Si le projet de loi s'appelle liberté numérique, il doit traiter de ces questions-là. Le MEDEF sera forcément associé à cette construction tout à fait importante . Il serait temps de prévoir des dispositifs d'information des entreprises sur la sécurité. Il est important que les entreprises montrent qu'elles respectent certains modes de prophylaxie informatique.
Une des conditions de la liberté fondamentale de l'usage du numérique est sa sécurité. Il ne sert à rien d'afficher un objectif protecteur si des silos de données sont pillés. Il faut déjà sélectionner ce que l'on veut soumettre à une bonne protection .
Cette démarche doit s'insérer dans un développement global partagé par d'autres nations dans lequel la France ne doit pas prévoir seule des dispositifs trop protecteurs si, au même moment subsistent, dans le cadre européen, des dispositifs permettant aux entreprises étrangères, notamment nord-américaines, d'échapper aux réglementations nationales . J'évoquerai en particulier, le Safe Harbor , dispositif américain qui permet aux Américains d'éviter d'être soumis aux lois nationales ou européennes en invoquant cette réglementation.
J'ai eu l'occasion d'accompagner le président du MEDEF, M. Pierre Gattaz, à Las Vegas, pour une conférence lors de laquelle des entrepreneurs privés américains tenaient un discours de domination technologique mondiale . La question pour eux étant d'imposer la supériorité technologique nord-américaine au monde. C'est une machine puissante qui est à l'oeuvre.
Actuellement, la France est victime d'une fragmentation de l'Europe alors qu'elle doit affronter le marché unique nord-américain . Cela a des conséquences immédiates en matière de propagation des produits car, quand bien même, dès 1997, France Telecom aurait réussi à développer un moteur de recherche aussi efficace que celui de Google , ce moteur n'aurait pu être déployé que dans un marché français d'environ cinquante-cinq millions d'habitants et non de quatre cents millions. Cela est toujours le cas aujourd'hui car nous nous trouvons face à vingt-huit ARCEP (Autorités de régulation des communications électroniques et des postes), vingt-huit autorités de la concurrence, de la consommation car il n'existe pas un marché unique des télécommunications . L'avantage d'Internet, c'est de ne rencontrer aucune barrière dans sa propagation. En fait, sur la ligne de départ, chacun a potentiellement une vocation à devenir mondial mais ceux qui émergent sont assez rapidement rachetés par Google , Facebook, etc. En effet, les opérateurs français ne peuvent se déployer aussi rapidement que les opérateurs américains.
De plus, depuis assez longtemps, les États-Unis d'Amérique ont abandonné la notion de service universel. Certains États, comme la Californie, ont eu la 4G bien avant les Français mais ont encore du mal à faire fonctionner une téléphonie de base. Une forte concentration s'opère sur le marché hyper utile, à savoir celui des grandes villes, tandis que des zones rurales sont un peu à l'abandon avec une distribution d'électricité qui ne fonctionne pas très bien. En France, nous avons une vision universelle de l'accès généralisé. Les Anglais et les Danois partagent cette vision. Mais la fragmentation nous coûte très cher car elle rend impossible d'avoir un service se répandant très vite.
Le second aspect est l'état de la concurrence . Aux États-Unis, les télécommunications sont parvenues à un certain degré de reconcentration, de concurrence 3.0 - le 1.0 étant le monopole du temps de Bell et le 2.0 l'époque de la forte fragmentation. Même s'il reste aujourd'hui de multiples petits opérateurs de téléphonie fixe, dont on ne parle jamais, avec peu de clients. Les autorités de la concurrence sont débordées. De plus, il ne reste plus d'opérateur de téléphonie fixe mobile même s'il y a quatre grands opérateurs aux États-Unis du fait de la reconcentration. En Europe il y a encore cent vingt opérateurs de télécommunications. La Croatie qui vient d'entrer dans l'Union Européenne a elle-même trois ou quatre opérateurs téléphoniques.
La commission européenne vient d'autoriser le passage de quatre opérateurs à trois en Autriche, mais en accompagnant cela de la nécessité de créer seize MVNO ( Mobile Virtual Network Operator ), ce qui ne se produira jamais car le marché est dévasté et les prix extrêmement bas. En France, la politique de la concurrence n'est pas propice à l'émergence de grands acteurs.
Par ailleurs, l'accès au crédit est très facile aux États-Unis même pour ceux qui ont déjà créé une première entreprise qui a échoué.
En conclusion, il est à observer que tous les moteurs de recherche étaient, en 1997-1998, sur la même ligne de départ mais que, comme le moteur de recherche est auto-améliorant, plus il se propage vite, plus il est consulté et plus il s'améliore, et ainsi de suite, et donc sa domination s'accroît. Actuellement, en France, 93 % du marché sont détenus par Google . Donc le système devient lui-même producteur de nouveaux monopoles . Même si nous sommes les tenants de la concurrence la plus forte, ce système de monopole se développe sous nos yeux.
Google est numéro un dans les moteurs de recherche avec des parts de marché monstrueuses. Après, il y a Yahoo et Bing puis plus grand monde. C'est comme cela dans chaque catégorie où il existe toujours un grand groupe dominant tout le monde et, en fait il s'agit de systèmes quasi monopolistiques face au système européen où l'on a produit autant de concurrence que possible . Il est probable que l'on a été trop loin dans la concurrence. La baisse des prix est devenue l'ennemi du développement de l'entreprise et de la croissance.
Pour revenir aux sujets de sécurité et de risques, il est important qu'existe un sentiment de sécurité numérique même s'il n'est pas partagé par tous . Par exemple, aux États-Unis, le noyau des personnes inquiètes demeure aux alentours de 3 %, soit au même niveau que dans les années 1970, à l'époque de M. Ralph Nader. Pour ne pas casser la confiance, il faut développer la sécurité. Elle doit être renforcée aussi bien pour les entreprises que pour les individus.
Orange essaie de proposer des solutions de protection mais cela est modeste. En effet, dans le groupe Orange , dégageant trente-neuf milliards d'euros de chiffre d'affaires, la vente de données représente moins de dix millions d'euros. Si l'on devait quantifier la valeur que l'on tire de l'installation de sondes dans les réseaux, ce qui permet de mettre en place les capacités de transmission là où c'est nécessaire, l'on constaterait que ces sommes sont importantes mais à usage interne.
Orange estime qu'il est nécessaire que l'acceptation des personnes soit recueillie pour que leurs données puissent être vendues mais peu nombreux sont ceux qui l'acceptent volontiers. Pour Orange, il n'est pas question de forcer les gens à voir leurs données vendues.
Pourtant, nombre de données personnelles sont disponibles en ce qui concerne le téléphone : qui téléphone à qui et de quel endroit. Cela pourrait servir la géolocalisation et le géomarketing de nombre d'entreprises.
Orange commercialise un peu les données agrégées, donc anonymisées, mais en aucun cas les données personnelles. Mais Orange se voulant un opérateur de confiance, il ne procède pas à la commercialisation des données personnelles de ses clients.
En matière de l'utilisation de données personnelles, la CNIL joue un rôle très important et les opérateurs se soumettent d'eux-mêmes à un certain nombre de restrictions car ils craignent davantage un scandale lié à l'utilisation non autorisée de données plutôt qu'ils n'espèrent profiter de l'exploitation d'un marché au demeurant pas très important.
Par ailleurs, il est très important que lors de l'examen des futurs projets de loi relatifs au numérique, à l'inverse de ce qui s'est passé pour la loi de programmation militaire, ne soit pas alimenté le débat opposant le numérique aux libertés individuelles qui risque de ruiner la confiance dans le numérique. Au lieu de cela, le législateur pourrait montrer que, comme le monde actuel produit forcément un grand nombre de données, il est possible de les gérer de manière encadrée permettant à la fois la vigilance et la sécurité. À partir de l'exploitation de données agrégées, de meilleurs services peuvent être assurés. Il serait souhaitable de donner à la CNIL des moyens de sanctions renforcés car le niveau actuel des sanctions n'est plus adapté au monde actuel.
Mme Anne-Florence Fagès . - Les données sont considérées comme le pétrole des années à venir et sont déjà une source de croissance et de création d'emplois. Les entreprises doivent pouvoir sécuriser au maximum les données sans bloquer l'innovation. Il faut à la fois libérer la créativité et l'innovation dans l'entreprise et protéger l'individu.
M. Pierre Louette . - Le MEDEF participe à beaucoup de réunions nationales et européennes ou à des séances de travail avec l'ANSSI dans le cadre de l'écosystème de la sécurité. Il en ressort notamment qu'il souhaitable que toutes les entreprises soient obligées de notifier les incidents de sécurité dont elles ont été victimes . Il reste à faciliter cela à l'aide de formulaires électroniques, par exemple, à adapter selon que l'on subit plusieurs attaques par jour ou bien une seule dans l'année. À chaque fois, les pirates apprennent de leurs attaques tout comme les défenseurs apprennent des attaques des pirates. Ainsi, le système est auto-améliorant , à l'instar du moteur de recherche de Google . Cela doit être accessible aussi bien aux petites entreprises qu'aux grandes.
Mme Anne-Florence Fagès . - Les petites entreprises ont quelquefois tendance à baisser la garde, ne serait-ce qu'en ne procédant pas régulièrement aux mises à jour de leur système d'information.
M. Pierre Louette . - Les niveaux de protection sont extrêmement hétérogènes en fonction des clients. Un client a même exigé que ses serveurs soient entourés de grillages au sein des centres de données car il souhaitait une protection physique séparant ses serveurs de ceux d'autres clients, ce qui est un peu étrange car les données circulent entre serveurs et, de plus, elles peuvent même circuler d'une unité à l'autre. Toujours est-il que cette exigence a été acceptée car provenant d'un grand client.
D'autres clients risquent, au contraire, d'accepter des offres de stockage numérique où leurs données seront stockées parmi d'autres sans qu'ils se rendent compte exactement du niveau de protection dont elles bénéficient.
Mme Anne-Florence Fagès . - Les entreprises ont un arbitrage à opérer entre le niveau de protection qui pourra leur être garanti dans leurs usages numériques et le coût financier de cette opération. Une des questions qui est posée au MEDEF est de savoir où le stockage de données sera implanté.
M. Pierre Louette . - Dans l'affaire de la NSA , il est impressionnant de constater que la captation massive de données est effectuée sans que l'on sache très bien ce qu'il sera possible de faire d'autant de données. À noter que, dans une phase ultérieure de leurs activités, les analystes de la NSA créent souvent des entreprises spécialisées dans l'analyse des données massives dans la Silicon Valley. À partir de ce qui se passe dans le domaine militaire, se prépare l'industrie de demain. Si ce cercle est vertueux pour les Nord-Américains, il ne l'est pas pour les autres. Il s'agit vraiment là d'un système militaro-industriel. La France est cependant loin d'être à la traîne dans ce domaine.
Mme Anne-Florence Fagès . - La France possède une très bonne école de statistiques comme de mathématiques mais il reste à stimuler les créations d'entreprises.
M. Pierre Louette . - En Allemagne , sous l'impulsion de Mme Angela Merkel, meurtrie de ses découvertes relatives à l'action de la NSA , un effort national de cryptage a été relancé.
L' inclusion dans la loi de certaines obligations en matière de cryptage concernant un certain type d'échanges pourrait être une voie à suivre, y compris par l'administration, de même que tout ce qui favoriserait la diffusion de telles mesures. Une initiative franco-allemande dans ce domaine serait très constructive d'autant qu' il n'existe encore aucun moteur de coopération franco-allemand dans le domaine du numérique . Cette coopération pourrait donc commencer par le domaine des cryptages plutôt que de voir de nouvelles industries allemandes prospérer seules dans ce secteur.
Par ailleurs, il serait intéressant de mettre en place, dès la classe de sixième, une initiation au codage .
Le MEDEF a énormément changé et ce monde d'entrepreneurs s'interroge sur la manière de se protéger en matière numérique. Un grand opérateur de télécoms français a mis en place un tableau de bord, qui devrait être bientôt opérationnel, permettant à chacun de suivre les données qu'il a laissées dans l'entreprise et, également, un système qui permettra d'éviter de noter les mots de passe en recevant un code par téléphone pour accéder à tel ou tel serveur à partir d'une carte SIM . Tout cela est mis en place pour faciliter l'accès aux sites, même protégés, sans que cette facilité s'étende aux attaquants.
Enfin, il serait intéressant, lors de la vente d'un téléphone , de mettre à disposition du client un petit guide permettant d'indiquer la manière dont il convient de protéger ses données .