CONSEIL DES INDUSTRIES DE CONFIANCE ET DE SÉCURITÉ (CICS)
M. Hervé Guillou, président
M. Jean-Pierre Quémard, vice-président security and technology communication intelligence and security (Airbus Defence and Space)
M. Gérard Moisselin, ancien préfet
26 février 2014
M. Hervé Guillou . -Le Conseil des industries de confiance et de sécurité (CICS) a vocation à s'occuper d'un ensemble de questions de sécurité considérées comme critiques ou souveraines. Il intervient sur le périmètre suivant : sécurité des frontières terrestres, maritimes et aériennes, sécurité des citoyens, sécurité des infrastructures, sécurité des transports au sens de flux, et non pas des aéronefs ou des automobiles mais des flux de transports de personnes et de biens et, enfin, la cybersécurité dans ses trois dimensions : sa couche physique , c'est-à-dire les télécoms, les tuyaux, les ordinateurs, sa couche virtuelle, logiciels, protocoles, serveurs, etc., et, dans sa couche informationnelle , informations, propriété de l'information, traitement de l'information.
Ce syndicat, cette filière ont été créés parce que le sujet de la sécurité en France est plutôt bien engagé en termes industriels puisqu'il a bénéficié d'une histoire dynamique dans le domaine de la défense. La France a une industrie de défense historiquement puissante, très forte technologiquement. Cette industrie de défense, depuis le début des années 2000, a pu et a su transformer une bonne partie de ces technologies en technologies utilisables dans le secteur de la sécurité. Depuis 2003, des positions sur le marché mondial ont été prises dans le domaine de la sécurité (frontières, sécurité maritime, communications sécurisées...). Thales , sur la lancée, a aussi pris des positions très fortes dans le domaine de la vidéosurveillance ; le Morpho , filiale du groupe Safran a pris des positions, par exemple, dans le domaine de la morphotechnologie, de la gestion d'identité. Et puis, de l'autre côté, du côté civil de la force, nous avons une industrie dynamique avec des sociétés comme Gemalto , Alcatel , des PME très nombreuses qui ont aussi contribué à ce domaine de la sécurité.
Finalement, les forces technologiques sont dispersées dans la chaîne de valeurs et dans un marché pas très bien organisé. Dans une foire sur la sécurité, vous trouvez de tout, depuis les T-shirts en carbone, les systèmes de surveillance des frontières, l'aéronautique, l'électronique, les logiciels, les services. On a alors pensé qu'il était indispensable de se regrouper pour passer à l'étape suivante afin de poursuivre le développement dont nous avons besoin, sans avoir un moteur de fusée du côté du ministère de la défense aussi fort qu'il était avant. C'est une industrie extrêmement intéressante pour la France actuellement car elle représente environ 9 milliards d'euros de chiffre d'affaires , 50 000 emplois de haute technologie peu délocalisables, 70 % d'export, 10 % de croissance par an .
Du côté de la puissance publique, il y a le même phénomène de dispersion que dans l'industrie, c'est pourquoi le Premier ministre a décidé de lancer la filière sécurité , en octobre 2013, pour rassembler également la puissance publique autour des sujets transverses de la sécurité que sont l'expression des besoins, la mobilisation des ressources financières autour de la recherche et du développement, des questions de souveraineté, la question de la normalisation, la position vis-à-vis de Bruxelles, etc. Il n'y a pas d'administration de la sécurité ; dans les pays européens, le sujet de la sécurité est très dispersé entre les divers départements ministériels, il n'y a pas de ministres de la sécurité. Aux États-Unis d'Amérique, le département sécurité ( Department of Homeland Security ) couvre tout sauf la cybersécurité qui est liée à la défense dans la fameuse NSA . Tous les pouvoirs régaliens sont concentrés au même endroit ce qui inclut la recherche et le développement.
Les Anglais ont lancé une initiative un peu similaire quoique moins complexe, en 2005, avec l'ancienne responsable du MI5 . C'est elle qui a lancé l'initiative nommée National Resilience qui était une vision assez large de la résilience physique et économique. En France, on a lancé, en 2014, la filière de sécurité avec un certain nombre de grands sujets : analyse capacitaire des besoins à long terme, questions de politiques industrielles, technologies critiques, recherche et développement, recherche et technologie et puis quelques sujets transverses comme les questions de la souveraineté, les questions européennes, l'export... Nous sommes très satisfaits de cette initiative qu'il faut concrétiser car le cyber est un des axes les plus actuels de cette filière sécurité.
Le sujet de la cybersécurité est bien plus qu'une mode, bien plus qu'une question de renseignements, de libertés publiques, c'est aussi un véritable sujet de souveraineté, un sujet de politique économique, de risque, et un sujet de résilience et de sécurité pour les pays. La cybercriminalité s'exprime sous toutes ses formes.
Par analogie, quand on a ouvert au XVI e siècle un milieu d'échanges qui s'appelait la mer, comme un moyen de communication, s'est développé exactement ce qu'il se passe aujourd'hui dans la cybercriminalité. Dans un milieu ouvert, sans véritables règles, se développent des pirates, des corsaires et des marins militaires. Dans le cyberespace, nouveau lieu d'échange d'informations, se développe de la criminalité pure et simple, il existe des pirates, des corsaires qui sont les agences parapubliques plus ou moins officielles qui, elles aussi, gèrent par procuration la bataille économique. Les militaires sont les organismes de défense et d'attaque de ce cyberespace.
Il se passe des choses extrêmement importantes en ce moment, en raison du déséquilibre entre les défenseurs et les attaquants dans le cyberespace, qu'il ne faut pas limiter aux télécoms - le cyberespace étant l'ensemble constitué par la couche physique, la couche virtuelle et la couche informationnelle. Même les switches dans les télécoms, tout cela est en train de devenir virtuel. La couche, que l'on croit physique, des télécommunications est en train de devenir aussi une couche virtuelle. Dans ces trois couches, le déséquilibre entre les défenseurs et les attaquants n'a jamais été aussi grand, peut-être, depuis l'apparition des sous-marins nucléaires.
Les attaquants n'ont pas de contraintes économiques parce que ça ne coûte presque rien de se livrer à une attaque, cela coûte beaucoup moins cher que de s'acheter une frégate, que d'envoyer des commandos entraînés. Il n'y a donc pratiquement pas de limites économiques. Les attaquants ont une liberté, une ubiquité quasi totale. Ils ont une impunité quasi totale. Sauf sur quelques sujets, comme la pédophilie, personne ne sait quelles sont les lois à appliquer étant donné l'absence de frontières en ce domaine.
Le problème est que, dans le cyberespace, le juge ne sait pas lui-même déterminer sa compétence. Prenez l'exemple de Sony qui s'est fait voler 150 millions de cartes bleues. Le pirate est passé par six pays différents et quatre serveurs qui ne sont pas dans le pays de la société attaquée. Il est très difficile d'attribuer une attaque à quelqu'un de précis et, ensuite, il est difficile de savoir le type de droit à y appliquer et de connaître la juridiction compétente.
À l'inverse, certains défenseurs, y compris nous-mêmes en tant que citoyens, placent de plus en plus de richesses sur ce média, notamment les transactions bancaires, des informations personnelles, commerciales. Aujourd'hui, dans l'économie globale, une société qui se veut globale place tout sur Internet.
Dans le monde bancaire, il existe une tradition de sécurité à partir des cartes à puce qui ont fait des progrès considérables ; le coeur de tout cela repose sur une identité fiable ; tout dépend de cela.
Les défenseurs placent de plus en plus de richesses sur Internet : le bureau d'études, le système d'information, la supply chain pour parler avec ses fournisseurs. Surtout, le nombre de points d'entrée dans le système est de plus en plus important. Il y avait 500 millions d'adresses IP en 2003 et il y en a maintenant 12 milliards, bientôt 13 milliards et, probablement, 80 milliards d'adresses IP en 2020. Il s'agit-là de la deuxième révolution numérique.
Deux questions critiques se posent : le déséquilibre entre les attaquants et les attaqués et donc une attractivité économique au crime devenue supérieure au trafic de drogue et, deuxièmement, une explosion complètement irréversible qui est la connexion de trois mondes jusqu'ici technologiquement disjoints. Ce sont le monde de l'informatique générale, avec Microsoft, Atos, IBM , Capgemini ; le monde de l'informatique dite industrielle, avec Siemens , Schneider , les automates dans les usines, la robotique, les outils de bureau d'études, et le monde de l'informatique dite embarquée avec Dassault électronique , Thales, qui est l'informatique dans les véhicules et les objets. C'est aussi le cas des iPods , iPhones, etc .
Ces trois mondes sont de plus en plus connectés. Par exemple, vous voulez surveiller une raffinerie, vous pouvez le faire par le logiciel de gestion partout dans les usines. Le monde de l'informatique industrielle et le monde de l'informatique générale sont de plus en plus connectés. Quant à l'informatique industrielle et l'informatique embarquée, un exemple l'illustre : un Airbus a déjà sept points d'entrée : un lien lors des incidents logistiques, un lien avec l'usine ou avec Air France , un autre avec les passagers, un avec la police, etc. L'année prochaine votre voiture, votre réfrigérateur auront leurs entrées ; cela est irréversible. Donc, le nombre d'entrées dans le système va se multiplier probablement par dix en moins de dix ans . Sans affoler les foules, c'est tout de même un sujet de préoccupation.
Internet a représenté des progrès fantastiques de productivité et de croissance mais cela apporte aussi des vulnérabilités. C'est aussi une chance pour l'industrie de développer de nouveaux produits. C'est un monde qui est assez fragmenté entre des grands groupes très spécialisés et une myriade de PME fragiles et subcritiques qui n'ont pratiquement pas accès à l'export. C'est un domaine où on a beaucoup d'atouts mais aussi beaucoup de choses à faire.
M. Jean-Pierre Quémard . - Il serait ainsi nécessaire de demander que tous les opérateurs d'importance vitale aient un niveau de sécurité minimal ; de développer, pour les besoins français, une structuration de la demande et de l'offre . Il y a énormément de PME qui développent toutes la même chose plutôt que des produits complémentaires ; s'adressant à un tout petit marché, elles ont énormément de mal à se structurer pour aller à l'export, ce dont les Allemands et les Anglais sont capables. La PME ne peut aller à l'export pour trois raisons : la réglementation export est très compliquée ; la PME n'a pas connaissance des appels d'offres ; elle n'est pas capable de travailler sur les aspects de normalisation car l'interopérabilité doit permettre de se connecter sur l'étranger et permettre surtout de déposer des brevets, d'avoir un avantage concurrentiel en développant certaines fonctions.
La gouvernance de la normalisation en France est catastrophique. Tout simplement parce que la normalisation est le pré carré de l'AFNOR ; on ne peut passer que par l'AFNOR. Tous les grands pays font comme cela sauf que, en France, on paie trois fois pour accéder aux normes . La première fois pour avoir le droit de participer au groupe AFNOR, la deuxième, pour envoyer travailler des experts et, encore une fois, pour acheter la norme que vous avez produite car vous ne pouvez l'utiliser sans l'acheter. Cela est aberrant. Au Japon, cela n'est pas du tout comme ça car non seulement les entreprises ne payent pas mais elles sont payées pour participer au processus de normalisation.
Dernier point, il faut structurer et renforcer l'offre nationale de cybersécurité en aidant les entreprises à travailler ensemble pour éviter une concurrence excessive.
M. Hervé Guillou . - Les PME françaises ne sont pas suffisamment solides pour servir les grands opérateurs comme EDF , Peugeot , Michelin ou Total .
Du côté de l'émergence du marché, il faut promouvoir par la voie législative les outils permettant aux infrastructures publiques ou privées de se protéger . Il est utile de se protéger par la voie de la normalisation technique, des certifications de produits mais aussi à travers la gouvernance de l'entreprise. Aux États-Unis, on oblige les sociétés cotées à effectuer une déclaration annuelle de risque.
Quant au volet des assurances , il n'y a pas aujourd'hui d'offre d'assurance en cybersécurité.
Tout ce qui contribuera à dynamiser la demande et à créer un écosystème favorisant l'investissement dans le domaine de la protection sera utile.
Du côté de l'offre, il y a deux volets, extrêmement techniques, où l' on a besoin de solutions indépendantes des Américains . Aujourd'hui, 100 % de l'offre émane des Américains . Des entreprises valant plusieurs dizaines de milliards sont déjà dans ce secteur. L'État américain finance 80 000 emplois dans l'industrie.
M. Jean-Pierre Quémard . - Nous poussons à la création d'un label France pour les produits évalués et qualifiés en France. Si on déclare que les opérateurs d'importance vitale ne peuvent utiliser que des produits labellisés en France, cela va changer les choses.
M. Hervé Guillou . - Il y a trois sujets critiques qui sont les SCADA , qui sont des outils de protection des produits industriels, la gestion du temps réel avec les Security Operations Centers (SOC) , et puis tous les sujets liés à l'identité. On a raté le sujet relatif à la carte d'identité ; cela est très grave. S'il n'y a pas d'identité souveraine, ce n'est pas la peine. Plusieurs initiatives ont été lancées en ce sens.
M. Jean-Pierre Quémard . - La technique existe mais il faut mettre en place une politique nationale d'identité numérique . S'il y a un passeport numérique en France, ce n'est pas grâce à la France, c'est grâce à l'Organisation de l'aviation civile internationale (OACI).
Il faut un outil de démonstration d'identité suffisamment fiable. Avec cette carte d'identité, à un moment donné pour avoir accès à un lieu, il suffit juste de prouver que vous habitez cette ville.
M. Hervé Guillou . - Il faut que ce soit suffisamment répandu et économiquement viable et que cette identité soit extensible aux objets. Avec le nuage, la dématérialisation du support va imposer un lien direct avec les données et le propriétaire.
Lors du vote de la loi sur la programmation militaire, en novembre 2013, plusieurs députés et sénateurs nous ont alertés. Les industriels ont fait une campagne mensongère pour pouvoir utiliser vos données de localisation dans leurs outils marketing et cela dans le seul souci de leurs intérêts commerciaux. Il y a là des enjeux économiques colossaux.
Le Parlement peut jouer un rôle très important dans l'éducation et la formation pour former des gens compétents. Ce constat est partagé par toute l'industrie.
Il ne s'agit pas seulement de former des docteurs de l'université mais aussi des techniciens dans des écoles de formation technique comme Compiègne, Grenoble ou Troyes. On développe aussi un nouveau master en cybersécurité ; il y a aussi le niveau du doctorat.
Il existe un besoin colossal de formation des décideurs publics et privés. L'équivalent anglais de l'ANSSI fait payer, un par un, tous les comités exécutifs et toutes les directions générales. Cela est fondamental. Il y a un problème générationnel. Le PDG moyen, le directeur moyen, repassera le problème à son directeur informatique qui, en général, n'y connaît rien.
Les dirigeants et les leaders d'opinion, publics ou privés, savent que, derrière, c'est la question de l'hygiène informatique. La cybersécurité est une question d'hygiène. Il s'agit d'éducation du grand public. Tout comme on se lave les mains quand on la grippe, il faut un minimum d'hygiène informatique.
M. Jean-Pierre Quémard . - Il y a là, derrière, une question de données massives ( big data ). Souvent la corrélation entre une multitude d'informations va permettre de dresser un profil. Effectivement, le fait que vous achetez quelque chose, à un certain droit, que vous avez telles habitudes, ce n'est pas important individuellement. Mais l'ensemble de toutes ces choses-là commence à devenir significatif. Ce n'est pas un problème de nuages, c'est un problème de données massives.
M. Jean-Pierre Quémard . - Tout cela va très vite. Il faut anticiper, accompagner et mettre en place des dispositifs adaptés. Il faut que la personne qui développe un outil, un logiciel ait en tête les règles qui permettent d'apporter des garanties.
M. Hervé Guillou . - Il est encore temps d'agir. Le plus urgent c'est que le législateur crée un environnement légal pour que la France soit un pays où l'on puisse faire des affaires de manière sûre car cela aura la double vertu de ne pas pénaliser nos entreprises et notre économie et d'attirer les investisseurs. Si l'environnement français sécurisait les entrepreneurs étrangers, ces derniers souhaiteraient venir en France.
Par exemple, il faudrait obliger les entreprises cotées à déclarer leurs risques divers, contraindre les organismes d'importance vitale à utiliser des solutions labellisées en France pour se protéger ; par exemple, dans le domaine législatif, obliger les agences à discuter d'une couverture cyber qui ne soit pas limitée au remplacement des postes informatiques . Aujourd'hui, le risque cyber a bien plus d'impact que bien des risques figurant dans les rapports annuels.
190 milliards d'euros de pertes sont dus au risque lié à la cybersécurité dont une part importante du fait de la fraude à l'identité. Le marché mondial de la cybersécurité, c'est 50 milliards d'euros dont la moitié aux États-Unis d'Amérique. La France, l'Allemagne et la Grande-Bretagne représentent 12 milliards d'euros.
Les Indiens n'ont pas de compétence dans ce domaine. Les Russes sont compétents en cryptographie mais ne sont pas une référence en matière de cybersécurité. Ils possèdent certaines entreprises de bon niveau, des agences publiques extrêmement bonnes mais ont peu d'envergure et ne sont pas très bien organisés.
M. Jean-Pierre Quémard . - En conclusion , il y a urgence à agir dans le domaine de la cybersécurité. 2014 et 2015, constituent le bon moment pour cela.