Allez au contenu, Allez à la navigation

Sécurité numérique et risques: enjeux et chances pour les entreprises

2 février 2015 : Sécurité numérique et risques: enjeux et chances pour les entreprises ( rapport de l'opecst )

Rapport n° 271 (2014-2015) de M. Bruno SIDO, sénateur et Mme Anne-Yvonne LE DAIN, député, fait au nom de l'Office parlementaire d'évaluation des choix scientifiques et technologiques, déposé le 2 février 2015

Disponible au format PDF (2,5 Moctets)


N° 2541

 

N° 271

ASSEMBLÉE NATIONALE

 

SÉNAT

CONSTITUTION DU 4 OCTOBRE 1958

QUATORZIÈME LÉGISLATURE

 

SESSION ORDINAIRE 2014 - 2015

Enregistré à la présidence de l'Assemblée nationale

 

Enregistré à la présidence du Sénat

le 2 février 2015

 

le 2 février 2015

RAPPORT

au nom de

L'OFFICE PARLEMENTAIRE D'ÉVALUATION

DES CHOIX SCIENTIFIQUES ET TECHNOLOGIQUES

sur

SÉCURITÉ NUMÉRIQUE ET RISQUES :

ENJEUX ET CHANCES POUR LES ENTREPRISES

PAR

Mme Anne-Yvonne LE DAIN, députée, et M. Bruno SIDO, sénateur

Tome II : Auditions

Déposé sur le Bureau de l'Assemblée nationale

par M. Jean-Yves LE DÉAUT,

Président de l'Office

 

Déposé sur le Bureau du Sénat

par M. Bruno SIDO,

Premier vice-président de l'Office

Remerciements

Les rapporteurs remercient vivement la centaine de personnes entendues au cours de leur étude :

Les personnes entendues lors de la préparation de l'étude de faisabilité - dont les auditions ne sont pas retranscrites dans le présent tome -, à savoir successivement :

- Mme Chi Onwurah, membre de la Chambre des communes, porte-parole du parti travailliste pour le commerce, l'innovation et la formation, en charge de la cybersécurité au sein du Cabinet fantôme ;

- M. Philippe Mirabaud, lieutenant-colonel, chargé de mission cybersécurité et numérique au cabinet du directeur général de la Gendarmerie nationale ;

- M. Marc Mossé, directeur des affaires publiques et juridiques, Microsoft France ;

- M. Stanislas Bosch-Chomont, responsable des affaires publiques, Microsoft France ;

- M. Bernard Ourghanlian, directeur technique et sécurité, Microsoft France, administrateur au Syntec-numérique ;

- M. Luc-François Salvador, président directeur général de Sogeti ;

- M. Jean-Marie Simon, directeur général d'Atos France, premier vice-président du Syntec-numérique ;

- M. Florent Skrabacz, responsable des activités sécurité Steria, Syntec-numérique ;

- M. Gérard Berry, membre de l'Académie des sciences, membre de l'Académie des technologies, professeur au Collège de France ;

- Mme Pascale Briand, directrice générale de l'Agence nationale de la recherche (ANR) ;

- M. Jean-Yves Berthou, docteur en informatique, responsable du département services et technologies de l'information et de la communication à l'Agence nationale de la recherche (ANR) ;

- M. Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ;

- M. Bruno Ménard, vice-président du Club informatique des grandes entreprises françaises (CIGREF), qui a autorisé l'Office à faire figurer en annexe du présent rapport le jeu sérieux sur la sécurité numérique destiné aux entreprises.

les personnes dont l'audition figure dans le présent tome ;

les personnes qui ont accueilli les rapporteurs lors de leurs entretiens :

ü à la Commission européenne, à Bruxelles :

- Mme Isabelle Pérignon, conseillère au cabinet de Mme Vera Jourova, commissaire européenne à la justice, aux consommateurs et à l'égalité des genres ;

- M. Damien Levie, chef d'unité « États-Unis, Canada » à la direction générale du commerce de la Commission européenne (DG TRADE), adjoint au négociateur en chef sur le traité de libre-échange UE/EU ;

- M. Marco Dueerkop, chef d'unité à la direction B (Services et investissement, propriété intellectuelle et marchés publics) de cette direction générale ;

- M. Pascal Rogard, conseiller « télécommunications, société de l'information » à la représentation permanente de la France auprès de l'Union européenne ;

- M. Jakub Boratynski, chef d'unité « Confiance et Sécurité » à la direction générale « Réseaux de communication, contenu et technologies » (DG CNECT) de la Commission européenne

ü à Bruz au centre de la Direction générale de l'armement (DGA-Maîtrise de l'information), à Nancy au Laboratoire de haute sécurité (LORIA), à Élancourt, chez Thales, pour visiter son Centre opérationnel de cybersécurité, à Montigny-le-Bretonneux chez Bertin Technologies.

Les rapporteurs expriment aussi leurs remerciements aux membres du conseil scientifique de l'OPECST qui ont bien voulu les conseiller, en particulier :

- M. Michel Cosnard, président de l'Institut national de recherche en informatique et en automatique (INRIA) ;

- M. Daniel Kofman, professeur à Telecom ParisTech, directeur du LINCS, qui a animé l'audition ouverte à la presse sur « L'éducation au numérique » du 16 avril 2014 ;

- M. Gérard Roucairol, président de l'Académie des technologies, membre du conseil scientifique de l'OPECST, qui a été entendu et a participé à l'audition ouverte à la presse sur « L'éducation au numérique » du 16 avril 2014 ;

et à :

- M. Pierre Lasbordes, ancien député, ancien membre de l'OPECST, pour son animation de l'audition publique ouverte à la presse sur la « Sécurité des réseaux numériques : cadre juridique, risques, aspects sociétaux » du 19 juin 2014.

Les rapporteurs tiennent à remercier particulièrement les représentants de la Direction de la protection et de la sécurité de la Défense (DPSD), ainsi que les responsables de la société Intrinsec qui ont organisé pour les membres de l'Office des séances de démonstration de prises de contrôle, rapides et indétectables, d'appareils numériques à distance.

Les rapporteurs adressent également leurs remerciements aux personnes qui les ont conseillés dans le choix d'un expert en sécurité informatique issu de l'INSA.

NB : Les soulignements et les caractères en gras sont le fait du secrétariat de l'Office ; les premiers marquent le début d'un développement relatif à un thème particulier tandis que les seconds mettent en valeur un propos particulièrement remarqué.

Les comptes rendus des interventions ont été validés par leurs auteurs.

COMMISSION DES AFFAIRES ÉTRANGÈRES, DE LA DÉFENSE ET DES FORCES ARMÉEES DU SÉNAT

M. Jean-Marie Bockel, sénateur, Rapport d'information n° 681 (2011-2012), fait au nom de la commission des affaires étrangères, de la défense et des forces armées du Sénat,
« La cyberdéfense : un enjeu mondial, une priorité nationale »

5 février 2014

Sans être un spécialiste du numérique, j'ai découvert le sujet au fur et à mesure des auditions menées pour l'élaboration du rapport sur la cybersécurité, notamment celles avec l'ANSSI, l'état-major, etc., et ai effectué un travail de néophyte destiné à nourrir le Livre blanc sur la défense qui était en cours de rédaction pour aboutir aux conclusions de ce rapport.

Ce rapport n'a pas porté seulement sur la dimension militaire mais sur des aspects divers qui relèvent de la souveraineté de l'État.

Les enjeux de cyberdéfense, de souveraineté nationale et le monde de l'entreprise sont arrivés à un tel degré d'espionnage, de cyberespionnage, et de cybermenaces potentielles en termes de saturation, de délits, de casse informatique, que la sécurité économique est devenue un sujet politique et un enjeu national. À partir du moment où le phénomène de cyberespionnage prend une telle ampleur, il devient un problème d'abord pour les entreprises concernées qui se font siphonner leur savoir, leur connaissance mais cela devient aussi un problème pour des filières économiques tout entières et pour le pays lui-même.

D'emblée, j'ai voulu inclure la dimension économique dans le rapport sur la cyberdéfense, sous deux angles : tout d'abord, la limitation des effets du cyberespionnage en termes de perte de richesse ; ensuite, l'élaboration de propositions sur le monde économique lorsqu'il est opérateur d'importance vitale. La notion d'opérateur d'importance vitale est limitée à quelques dizaines d'entreprises, mais demain, avec tous les réseaux d'entreprises existant autour de chaque opérateur d'importance vitale, ce chiffre sera largement dépassé. En effet, ce sont des mesures particulières qu'il convient de prendre qui vont au-delà de l'espionnage qui peuvent aussi concerner le service public comme le secteur privé, l'un comme l'autre pouvant être paralysé par des cyberattaques.

Ce n'est pas forcément une attaque étatique qu'il faut craindre, mais plutôt celles de criminels voire, dans certains cas, de concurrents potentiels ou encore dans le cadre de conflits non explicites ou larvés. Par exemple, des puissances comme la Chine, qui pratique systématiquement l'espionnage industriel, pourraient, face à telle ou telle politique européenne occidentale se sentir agressées dans leurs intérêts et pourraient, en réponse, sans aller jusqu'au conflit, s'attaquer à un pan de souveraineté d'un pays, y compris à son économie ou à ses entreprises.

Dans le rapport sur la cybersécurité, sont cités les exemples de l'Iran et de l'Arabie Saoudite. L'attaque par le virus Stuxnext contre les centrifugeuses du complexe militaro-industriel iranien a cassé la constitution d'une force nucléaire ; de même, Saudi Aramco a eu 30 000 ordinateurs détruits.

L'enjeu stratégique et militaire s'entremêle avec l'enjeu économique, en l'occurrence l'exploitation du pétrole. Il peut y avoir de l'espionnage tout comme une situation conflictuelle. Mais même en l'absence de guerre, une série de risques intermédiaires existe qui peut, à travers l'économie au sens large, perturber gravement la souveraineté d'un pays. Par rapport à cette réalité, il doit exister une gradation dans la réponse.

Première réponse possible : ce qui est vrai pour le citoyen de base, à travers la perte de ses coordonnées bancaires ou autre, vaut pour l'entreprise, y compris pour la PME ; il faut désormais connaître ce que le directeur général de l'ANSSI appelle l'hygiène de base numérique. Ce que tout un chacun peut apprendre (codes, processus de sécurité en fonction de l'enjeu de sécurité...). En suivant ces règles, les entreprises peuvent éviter 90 % des risques. À l'inverse, aujourd'hui, comme cette démarche n'est pas suivie, tout peut arriver.

Deuxième réponse possible : l'obligation de déclaration de tout incident.

Dans le monde actuel, être attaqué est perçu comme un aveu de faiblesse ; surtout quand on travaille pour la défense et qu'on ne souhaite pas perdre de marchés. Dans l'exemple des attaques analysées dans le rapport sur la cyberdéfense, comme celle contre Areva ou contre le ministère de l'économie et des finances, il n'y a pas eu de casse ni d'atteinte à la sécurité nucléaire. Cependant, toute société complètement informatisée offre de nombreuses prises à la pénétration informatique, ce qui rend ses entreprises vulnérables. Même si Areva, comme toute grande entreprise internationale, n'a pas de systèmes ouverts, elle aurait cependant été espionnée de manière massive et systématique, ce qui l'a rendue vulnérable et beaucoup d'informations, de savoirs, de systèmes lui ont été subtilisés. Les conséquences exactes de l'attaque subie par Areva demeurent inconnues.

Quand la victime d'une attaque informatique la déclare à l'ANSSI, celle-ci s'adresse à son tour à des entreprises de type Thales ou autres pour venir au secours de l'entité attaquée. En effet, malgré leur poids et leur intelligence, les grandes entreprises ne sont pas forcément capables de faire face à une attaque.

En cette matière, les États-Unis d'Amérique possèdent quelques années d'avance sur la France en raison de l'existence de dispositifs publics à la disposition des autorités politiques, militaires ou économiques.

Quant aux Allemands, ils ont mis en place des dispositifs assez pointus incluant une capacité liée à des moyens publics.

Le Livre blanc sur la défense et la sécurité civile porte également sur des sujets civils ; à cet égard, ce que fait la DGA, à Bruz, en matière de recherche et de développement est à la pointe de la technologie.

Des ingénieurs spécialisés de l'ANSSI sont également à la disposition du monde économique, des militaires, auprès de l'État-major.

Dans les trois années à venir, le suivi des engagements pris dans le Livre blanc et la loi de programmation militaire permettront probablement à la France d'atteindre le même niveau que les Britanniques ou les Allemands. Sur certains points, les Français sont même déjà meilleurs qu'eux, notamment pour aider les entreprises.

L'obligation de déclaration constitue une bonne manière de parvenir à changer les mentalités. Comme tout le monde est attaqué tout le temps, et prioritairement ceux qui ont de la valeur, donc être attaqué prouve sa valeur et dire que l'on a été attaqué témoigne de la confiance en sa force même s'il ne s'agit pas de le clamer sur la place publique.

Enfin, il est nécessaire de mettre en place un dispositif de résilience, c'est-à-dire d'une capacité à répondre à une attaque de façon plus appropriée. Néanmoins, une protection absolue ne peut exister.

Le scandale Snowden a montré l'énormité des moyens américains, ce qui n'empêche pas la France de pouvoir protéger son économie au moins aussi bien que les États-Unis d'Amérique. Il ne s'agit que de quelques centaines de millions d'euros à y consacrer, pas de milliards. Cet effort mérite d'être accompli.

Demain, il faudra construire l'Europe de la cybersécurité. Ce qui sera complexe car tout dispositif de protection dépend de la solidité de son maillon faible ; il en va de même pour les dispositifs de cyberdéfense de l'OTAN. En matière de cybersécurité, on aime fonctionner en bilatéral parce qu'on sait avec qui on échange, ce qu'on échange et à quel prix.

La norme et la politique industrielle viendront de l'Union européenne.

L'Estonie est passée du jour au lendemain de la paperasserie à la dématérialisation ; les Néerlandais se réveillent, les Suisses commencent à réfléchir. Beaucoup de pays ne sont pas au niveau. Au Sénat, un projet de résolution européenne a été élaboré sur cette question.

Enfin, troisième point, au niveau mondial d'énormes efforts sont nécessaires pour l'établissement de règles dans le domaine économique, ce qu'illustre bien l'affaire Snowden. S'il y a une règle du jeu, à travers, par exemple, une convention onusienne, cela peut intéresser même les Chinois. Ceux qui ne respecteront pas cette norme seront connus de tous. Ainsi, seul un intérêt supérieur pourrait conduire certains à transgresser la règle.

Au niveau européen, il est nécessaire de travailler ensemble à un certain nombre de normes et également de développer une dimension industrielle.

La cybersécurité recèle un potentiel de développement économique considérable, que ce soit au niveau des équipements, des systèmes, etc., avec Bull qui exporte des systèmes complets de sécurité, Thales, Cassidian, Sogeti, ou Alcatel et tout un réseau de PME en France et dans l'ensemble de l'Union européenne. Ce potentiel est à développer en souveraineté nationale ou au niveau mondial.

Le Gouvernement vient de mettre en place trente-quatre filières industrielles et une des mesures envisagées a pour référent M. Patrick Pailloux, directeur général de l'ANSSI, et porte sur le développement des industries de la cybersécurité - ce qui était une des propositions de mon rapport.

Les industriels se sont regroupés autour de M. Hervé Guillou, président du Conseil des industries de confiance et de sécurité (CICS), pour créer un groupe de pression afin de suivre ce plan. Un groupe informel de parlementaires s'est d'ailleurs également constitué, auquel j'appartiens, pour voir comment accompagner les industriels dans leur démarche porteuse de force en matière de sécurité et également riche d'autres potentiels.

Derrière cela se dessinent aussi les emplois de demain. Pendant deux ans, cela va être la guerre pour débaucher les meilleurs spécialistes de la sécurité informatique. Des départements dans les écoles d'ingénieurs, les universités, pourront se tourner vers ces formations indispensables.

Parmi ces spécialistes, il existe des hackers patriotes à la française qui sont passés par certains moules notamment en matière de comportement mais ce type de profil reste marginal.

La loi de programmation militaire précise que les opérateurs d'importance vitale, au nombre de 200-250, des administrations, des entreprises, seront tenus de déclarer leurs incidents ; de même, des investigations pourront être menées au niveau de l'ANSSI.

Les conséquences les plus graves des attaques contre les opérateurs d'importance vitale résultent de l'espionnage. Lorsque le ministère de l'économie des finances a été attaqué à la veille d'un sommet entre chefs d'État, il avait été jugé que cela n'était pas un sujet marginal même si aucun chiffrage n'avait pu être donné en termes d'impact.

Les Chinois ont des bataillons entiers de hackers qui sont des militaires. Quand on voit comment les Chinois avancent à pas de géant dans le domaine aéronautique ou spatial, cela permet de déduire qu'ils ont forcément pris des éléments ailleurs.

J'ai relevé, lors d'un dialogue avec notamment la société Huawei, que les routeurs au coeur des réseaux par lequel passent toutes les communications sont des chevaux de Troie idéaux. Jusqu'à présent l'ANSSI n'a pas référencé les routeurs de coeur de réseau de la société Huawei.

La prudence s'impose donc à tous les niveaux, notamment à ceux des équipements sensibles. En matière de cryptologie, la France est à la pointe.

CONSEIL DE L'EUROPE

Mme Sophie Kwasny, chef de l'unité de protection des données personnelles

5 février 2014

Plusieurs travaux du Conseil de l'Europe sont pertinents en matière de numérique même s'il ne s'agit pas véritablement de risque numérique mais du cadre législatif relatif aux droits de l'homme qui permet d'incriminer des atteintes touchant au numérique.

Il s'agit davantage de cerner le cadre juridique qui permet de protéger les personnes, d'abord grâce à la protection des données personnelles à travers des actions du Conseil de l'Europe concernant le monde entier : la Convention sur la cybercriminalité et la Convention sur la protection des données, qui a déjà trente-trois ans. Les rédacteurs de ce texte avaient bien saisi la vocation universelle de la matière et permis à des États d'adhérer à cette convention qui est, à l'heure actuelle, ratifiée par quarante-six États dont quarante-cinq sont des États européens étant précisé que, pour le Conseil de l'Europe, l'Europe s'étend jusqu'à la Russie, à la Turquie ou, selon la formule, « de l'Atlantique à l'Oural », le quarante-sixième État signataire étant l'Uruguay. Parmi les quarante-sept États membres du Conseil de l'Europe, seules la Turquie et Saint-Marin ne l'ont pas ratifiée.

Depuis l'affaire Snowden, au-delà des aspects économiques à ne pas négliger, se pose un grave problème de surveillance de masse. Plusieurs États, dont des États européens, ont appelé, dans le cadre des Nations unies, à l'élaboration d'un traité international protégeant le droit au respect de la vie privée. En plus du droit à la liberté d'expression, du droit à la liberté de réunion, d'association, du droit à la vie privée, le droit à la protection des données est un pilier des démocraties.

Face à cet appel aux Nations unies pour légiférer, le Conseil de l'Europe estime avec pragmatisme que, en termes de délais, il serait plus rapide de ratifier la Convention sur la protection des données, unique outil existant ouvert à la signature de tous les États du monde. La France, qui est partie à la convention, ne devrait pas manquer de se faire l'écho des bénéfices de cette convention.

Les Nations unies, pour l'instant, se bornent à considérer le respect de la vie privée alors que la convention accorde un droit à la protection des données comme étant un droit permettant l'exercice de plusieurs droits de l'homme et libertés fondamentales : du respect de la vie privée, certes, mais également de la liberté d'expression et de la liberté d'association. Traditionnellement, protection des données et libertés d'expression et d'association sont perçues comme étant en contradiction ; il y a toujours un équilibre à trouver, ce qui n'est pas facile. Avec les questions de surveillance de masse, on voit plusieurs acteurs américains, notamment M. Edward Snowden, exprimer une attente plus forte à l'égard du droit à la liberté d'expression également. Il s'agit donc de protéger les données personnelles, la vie privée et d'autres droits fondamentaux.

Depuis le traité de Lisbonne, l'Union européenne a compétence exclusive en matière de protection des données mais tout ce qui était anciennement du troisième pilier, à savoir la police et la coopération judiciaire, est du domaine de la compétence partagée.

La protection des données dans la convention du Conseil de l'Europe est une matière qui s'applique de manière complétement horizontale incluant le commerce, le marché intérieur et la police exercée par les autorités publiques.

Il y a trente-trois ans, la convention était le premier instrument juridique au niveau européen. En 1995, l'Union européenne a adopté une directive qui est toujours en vigueur. En janvier 2012, la Commission européenne a élaboré une proposition de règlement et une autre de directive. Alors que le règlement concerne, de matière générale, les données et le secteur privé, le projet de directive traite de la police et de la coopération judiciaire.

Les vingt-huit États de l'Union européenne sont parties à la convention et veillent à ce que la convention n'entre pas en contradiction avec ce qui se construit à Bruxelles.

La convention comprend une vingtaine d'articles, les articles principaux traitant de la protection des données stricto sensu étant les articles 5 à 12. Ce texte général se concilie très bien avec ce que fait l'Union européenne en la matière d'autant qu'elle se sert de cette convention comme d'un instrument à l'égard des États tiers. Au niveau des vingt-huit États signataires, l'Union européenne est allée beaucoup plus loin que la convention qui a pour ambition d'uniformiser à un certain niveau et permettait à terme aux États tiers de légiférer sur la base des droits de l'homme.

Le règlement européen en préparation s'appliquera directement aux États. Le Parlement européen doit adopter son rapport sur ce projet de règlement à l'occasion de la session plénière de mars 2014, juste avant les élections européennes.

Pour l'instant, cela bloque au niveau du Conseil de l'Union européenne car les États de l'Union ont déjà adopté le principe d'un report, ce qui pose un problème de calendrier puisque la nouvelle législation ne pourra être en place avant la fin de l'année 2014.

Quand le règlement sera adopté, son application directe en droit national interviendra au bout de deux ans. Le cadre de l'Union est très fort pour ses États membres et leur permet aussi de peser fortement dans le cadre du dialogue transatlantique. Pour l'Union européenne, la convention constitue vraiment un outil pour négocier avec les États tiers.

Dans cette convention, un article sur la sécurité des données impose des obligations et il faudrait en tirer parti pour mettre en place des notifications des violations de sécurité des données personnelles.

Le projet de règlement prévoit des sanctions très lourdes en termes financiers, ce qui n'est pas le cas dans la convention. L'objectif de la convention est d'y faire adhérer le plus grand nombre possible d'États, à charge pour ceux-ci d'adopter des législations nationales conformes.

Avec l'adoption de ces nouveaux textes, la loi de 1978 sera remplacée par le règlement européen qui nécessitera des lois d'application.

La France suit l'élaboration de ces textes de très près. La CNIL agit au sein du groupe de l'article 29 qui réunit tous les équivalents de la CNIL dans les vingt-huit États européens. Même si ce groupe n'a pas de pouvoir décisionnel, il suit de très près cette négociation.

La CNIL s'efforce de faire en sorte que le justiciable puisse s'adresser à l'autorité de contrôle de son pays ; des négociations sont en cours sur ce point.

C'est la commissaire européenne, Mme Neelie Kroes, néerlandaise, qui est en charge de tous les volets Internet et Mme Viviane Reding, luxembourgeoise, est la commissaire justice.

Lorsque le Parlement aura adopté son rapport et que le Conseil de l'Union, c'est-à-dire les gouvernements des États membres, aura adopté sa proposition, le trilogue entre la Commission européenne, le Parlement et le Conseil pourra commencer.

Le règlement, qui émane de la commissaire Viviane Reding, a été adopté par la commission dans son ensemble. Il est maintenant débattu par les gouvernements ; pour le moment, en mars 2014, la négociation est en cours au Parlement.

En janvier 2012, la Commission européenne a mis sur la table cette proposition et, depuis, le Parlement européen et le Conseil travaillent sur ce projet. Le Conseil souhaite maintenant que le délai soit reporté.

Déjà, la France va beaucoup plus loin que la Convention car elle met en oeuvre, au niveau national, des mesures plus protectrices que celles prévues par la convention. D'ailleurs, les vingt-huit États européens vont aujourd'hui beaucoup plus loin dans leur droit national dont la convention constitue la base, une sorte de socle minimal, même si ce n'est pas le langage utilisé en matière de droits de l'homme.

Aujourd'hui, les données ne sont plus franco-françaises ni situées exclusivement en France mais en Afrique ou ailleurs. Concrètement parlant, à partir du moment où quelque chose circule sur Internet, c'est très difficile de le localiser comme cela se constate avec le nuage numérique.

Les États-Unis d'Amérique n'ont pas l'intention d'adhérer à la convention et ils ne le pourraient d'ailleurs pas car, dans le système américain, il existe des distinctions très nettes entre secteur privé et secteur public. Dans le secteur privé ; certains secteurs comme celui de la santé sont très protégés alors que, pour Facebook, Google, le même type de réglementation n'existe pas. Après, c'est le quatrième amendement de la Constitution qui s'applique en matière de surveillance policière. Les États-Unis n'ont pas de loi générale sur ce thème même si le président Obama a présenté une proposition de Bill of rights sur ce thème ; pour l'heure, le Congrès ne l'a pas suivi. Pour le moment, quelles que soient les pressions, les États-Unis ne s'orientent pas vers ce genre de protectionnisme.

Les États-Unis ont protégé la santé, la finance, le crédit, par exemple. Certains États américains sont allés plus loin que d'autres dans la réglementation, les disparités existent donc à un niveau géographique.

Les contre-pouvoirs technologiques sont toujours plus forts que les textes juridiques. Tout est proportionnel à la cible, au danger ou autre. Il est important de sensibiliser chacun à la nécessité de se doter d'outils adaptés réduisant les vulnérabilités actuelles. Mais les sociétés qui sont des sociétés cibles, qui dépensent des millions pour la sécurité informatique, ne sont pas à l'abri d'attaques. Il y a une surenchère à la fois du côté des cybercriminels et de la sécurité à leur opposer.

Il y a aujourd'hui des logiciels qui permettent l'anonymisation sur Internet.

Un outil, qui s'appelle Tor, a permis de protéger des dissidents et des cyberdissidents dans des pays moins démocratiques que les nôtres. Le régime pouvait savoir que M. Untel s'était connecté à Tor, mais, ensuite, il ne pouvait tracer les connexions opérées.

Le Conseil de l'Europe est aussi assez actif en matière de gouvernance de l'Internet. Cela inclut les aspects politiques et également l'infrastructure, notamment la gestion par l'ICANN. C'est toujours à partir de la vision des droits de l'homme, de la démocratie que le Conseil de l'Europe prône un Internet ouvert et le principe de l'absence de préjudice (« do no harm ». Il faut que les États s'abstiennent d'actions de nature à créer un préjudice à la structure et au réseau Internet.

Actuellement, l'ICANN est la manifestation d'une hégémonie américaine dans la gestion du réseau. Toutefois, M. Fadi Chehade qui vient d'être nommé à la tête de l'ICANN souhaiterait changer cela ; des bureaux de l'ICANN s'ouvrent un peu partout dans le monde et une réflexion sur l'avenir de l'Internet est en cours.

L'ICANN sait qu'il y aura de plus en plus de demandes de révision du système si elle n'évolue pas d'elle-même.

Le Conseil de l'Europe tient à ce que l'Internet ouvert continue de bénéficier de façon égale à tout le monde, comme actuellement, conformément au principe de sa construction. Le Conseil est engagé dans les travaux de réflexion sur l'ICANN qui serait, une fois restructurée adéquatement, tout à fait à même de continuer à garantir cette neutralité.

En juin 2013, une déclaration du Comité des ministres du Conseil de l'Europe a souhaité que soient mis en place des contrôles à l'exportation des technologies de surveillance.

Le système d'attribution des noms de domaine fonctionne mais pose certains problèmes en matière de liberté d'expression. Le postulat de base est que l'ICANN fonctionne et que son système est suffisamment ouvert.

Le 10 mars 2014, à Paris, se tiendra le premier Forum français sur la gouvernance de l'Internet auquel participera le Conseil de l'Europe, notamment afin de contribuer à ces réflexions importantes et faire la promotion de nos savoirs en la matière.

M. ÉRIC SADIN, ÉCRIVAIN ET PHILOSOPHE, AUTEUR DE « L'HUMANITÉ AUGMENTÉE : L'ADMINISTRATION NUMÉRIQUE DU MONDE »

5 février 2014

Au cours de l'évolution du numérique, il s'est passé quelque chose de l'ordre de l'empirique : des modèles se sont constitués sans qu'il y ait une conscience collective ou individuelle de l'évolution en cours. Vers la fin des années 1990, le modèle de la gratuité généralisée sur Internet s'est accompagné de la connaissance continue des navigations et des internautes eux-mêmes.

Google a mis au point des algorithmes sophistiqués pour opérer des recherches par rapport aux infrastructures numériques, aux services offerts, aux usagers. Le modèle s'est constitué au fur et à mesure en fonction de la connaissance continue, évolutive, des comportements de navigation des internautes, de la connaissance des personnes elles-mêmes. En retour, il s'est passé la plus grande exploitation commerciale possible, ciblée, et qui a autorisé la revente des données collectées à des entreprises intéressées par ces informations.

En outre, la sophistication algorithmique, ainsi que l'arrivée des smartphones en 2007, ont amplifié ce mouvement de production continue et amplifiée de données qui a induit, grâce au stockage, la possibilité de connaître les comportements au moyen notamment d'un certain nombre de lacunes dans les clauses de consentement.

Le second point, c'est qu'il est apparu une collusion entre le commercial et les instances étatiques. Le commercial a induit des usages d'ordre sécuritaire. Ce qui s'est passé avec la NSA a des effets collatéraux sur tous les utilisateurs. Facebook a communiqué sur mandat quantité d'informations car il y avait des portes dérobées, des back doors, dans sa structure.

Il faut remarquer que plus s'établissent des rapports tactiles, familiers, charnels avec des objets numériques, plus s'affirme une dimension non perceptible puisque les objets numériques recèlent des méthodes d'analyse, de traitement qui, sans être cachées, sont invisibles.

Si la numérisation massive semble irréversible, il est probable et souhaitable qu'il y ait un avant et un après l'affaire Snowden car un mouvement de conscience semble s'opérer alors qu'une certaine ignorance entourait auparavant ces questions.

Ce mouvement technologique, extrêmement important, finit par infléchir le comportement des citoyens et des sociétés sans qu'il y ait eu acceptation par la délibération démocratique de certaines dimensions.

Jamais il n'y a eu de mouvement technologique aussi massif pouvant à ce point effriter, voire remettre en question, des acquis historiques, particulièrement la vie privée.

Ce n'est pas le cas de toutes les avancées technologiques : par exemple, l'aviation n'a pas remis en cause d'acquis démocratiques.

Actuellement débute l'ère des capteurs, des puces électroniques. De plus en plus, des capteurs placés sur le corps rapporteront des témoignages, actifs ou passifs, des comportements de chacun. Les capteurs situés dans l'environnement des individus vont témoigner en continu. Il y aura de plus en plus une quantification des personnes (niveau de vie, pouvoir d'achat, compétence professionnelle, accointances entre les individus, connaissance permanente de l'étudiant en ligne, etc.), ce qui va encore intensifier la connaissance continue des comportements.

Entendu par le comité éthique, économique et social européen à Bruxelles, qui informe la commission et le Parlement, j'ai été considéré quasiment comme un révolutionnaire alors que je soulignais simplement des évidences face au laisser-faire généralisé qui gagne la planète entière face au numérique et souhaitais simplement que soit imposé à tous les groupes de l'Internet de proposer des clauses de consentements explicites, de permettre à chacun de supprimer les données le concernant à n'importe quel moment, de favoriser un droit à l'oubli.

Des lois en la matière seraient souhaitables pour encourager la conscience de l'utilisateur du numérique ; les grands groupes devraient rendre possible la visibilité des choix opérés sur Internet ; des chartes globales ou au cas par cas devraient expliciter, selon des modalités extrêmement compréhensibles, ce que tel ou tel choix technique suppose. À l'inverse, aujourd'hui, comme celles de Facebook, les clauses des contrats sont illisibles. D'où l'acceptation générale des règles imposées.

Aujourd'hui, le cadre général indispensable à l'échelle européenne n'existe pas alors que l'Union européenne devrait pouvoir donner un cadre aux nouvelles technologies car, comme l'économie numérique est au coeur de la croissance américaine, aucun changement ne viendra des Américains. Des exigences éthiques doivent être imaginées pour que l'Union européenne puisse peser.

Des processus techniques extrêmement simples pourraient être mis en oeuvre pour permettre l'application des lois dans l'Union européenne.

Face à tous ces mouvements rapides, le législateur est-il suffisamment au fait des évolutions technologiques du numérique ?

Dans cette société de transparence où tout le monde sait tout sur tout et sur chacun, l'instauration de l'acceptation explicite sur Internet de ce qu'implique son utilisation est très importante. Une charte de l'utilisation du numérique est indispensable.

COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS (CNIL)

M. Gwendal Le Grand, directeur des technologies et de l'innovation

12 février 2014

Depuis une dizaine d'années, le centre de gravité des intérêts de la CNIL s'est complètement déplacé et prend de plus en plus en compte la dimension économique des données à caractère personnel et les modifications profondes induites par l'informatisation de la société dans son ensemble. Ce que l'on voit aussi, à une échelle macroscopique, c'est le passage d'une informatique de gestion des systèmes à une informatique de la donnée. Aujourd'hui, la valeur est dans la donnée ; des géants de l'Internet traitent de la donnée. Beaucoup d'entreprises gèrent de la donnée, de l'information et vont en tirer de la valeur.

La quantité de données produite par l'humanité, depuis son origine jusqu'en 2003, c'est à peu près cinq téraoctets de données, soit cinq mille milliards d'octets et, en 2010, il suffisait de deux jours pour produire l'équivalent de cette information.

Cette tendance n'est pas près de s'arrêter ; aujourd'hui, on parle d'informatique, de numérique ambiant, d'Internet des objets ; des études de Bi Intelligence ou de l'IDATE prédisent que, en 2018, il devrait y avoir dix-huit milliards voire quatre-vingts milliards d'objets connectés, ces objets échangeant des données, produisant des données qui ensuite sont traitées par les systèmes.

La CNIL s'est adaptée à cette mutation profonde de la société et elle essaie d'anticiper au mieux les risques dans cet environnement. C'est d'autant plus important que les entreprises qui traitent les données à caractère personnel, traitent de manière indifférenciée les données industrielles, les données de leurs clients, des données de prospects, des données de salariés qui sont bien souvent des données à caractère personnel.

Les problématiques de sécurité des systèmes d'information, de protection des données industrielles des entreprises recoupent donc très largement les problématiques de protection des données à caractère personnel pour lesquelles la CNIL est compétente.

Trois points vont préciser l'action de la CNIL dans cet environnement : d'abord, les aspects stratégiques pour les entreprises et l'ensemble des acteurs liés à la donnée. Quelle est la valeur de la donnée ? Quels sont les problèmes créés d'un point de vue informatique et libertés par les traitements de donnés utilisés aujourd'hui ?

Deuxièmement, la sécurité des systèmes d'information : dans la loi informatique et libertés, l'article 34 indique que, lorsqu'on traite des données de caractère personnel, on est tenu de garantir leur sécurité. Pour cela, la CNIL a produit un certain nombre d'outils pour aider les entreprises à sécuriser leur système de données.

Troisième aspect : comme la sécurité repose beaucoup sur l'humain, un accompagnement des entreprises a été mis en place. Plus largement, vis-à-vis du grand public, des actions sont menées autour de l'éducation numérique.

Sur le premier point, quant à l'aspect stratégique pour les entreprises et pour l'ensemble des acteurs du traitement de données à caractère personnel, les données personnelles sont devenues indispensables à l'économie moderne. On parle de pétrole du numérique, de puissance du futur... On invente de nouveaux termes pour qualifier les données à caractère personnel et montrer qu'elles ont de la valeur et qu'elles alimentent tous les services de la société de l'information.

L'action menée récemment par la CNIL vis-à-vis de Google, en partenariat avec ses homologues au niveau européen, a conduit à conclure que la politique de confidentialité de Google n'était pas conforme aux règles européennes ; l'information donnée aux personnes lors de l'utilisation de ces services était insuffisante, les utilisateurs ne disposant pas d'un contrôle suffisant sur les combinaisons des données ; enfin, Google ne précisait pas la durée de conservation, comme demandé dans la loi informatique et libertés.

C'est la raison pour laquelle, au début de l'année 2014, la formation restreinte de la CNIL a prononcé une sanction financière contre Google qui a interjeté appel de cette sanction. Non pas pour son côté financier mais pour l'obligation de publier cette sanction sur le site de Google : www.google.fr. Un référé suspension contre cette obligation a été rejeté par le Conseil d'État la semaine dernière et, cette semaine, samedi et dimanche derniers, sur le moteur de recherche, un avis indiquait que Google avait été condamné à publier le fait qu'il avait été sanctionné pendant quarante-huit heures.

Ce cas montre bien que, pour un grand nombre de sociétés, les plates-formes sont en compétition pour collecter un maximum de données personnelles et aussi pour capter les clients dans leur écosystème. Aujourd'hui, si vous achetez un smartphone, quel que soit son système d'exploitation, une des premières choses qui va vous être demandée sera de créer un compte qui incitera à pousser l'ensemble de vos données dans les services du cloud computing. Évidemment, il y a des fonctionnalités qui sont offertes pour passer d'un terminal un autre ou pour sauvegarder vos données, mais vous devenez souvent, aussi, captif de l'écosystème de cette société-là. Par ailleurs, de plus en plus de données sont traitées en raison de la multiplication des capteurs et de plus en plus d'informations sont envoyées à cette société.

En parallèle, émerge un second marché de la donnée, celui de l'open data. En libérant les données de leur collecteur initial, on crée les conditions d'une nouvelle utilisation via de nouveaux services innovants. Dans l'open data, dans bien des cas, ce seront des données statistiques et non des données à caractère personnel.

Enfin, on voit l'explosion des objets connectés. La CNIL mène actuellement une étude sur la quantification de soi grâce à tous les objets utilisés dans la sphère « santé bien-être » : balances connectées, tensiomètres connectés, etc., pour comprendre à quels acteurs ces données peuvent être transmises. Tout cet écosystème a beaucoup de valeur.

Des études ont été publiées, dont une étude du Boston Consulting Group, qui évalue à 315 milliards de dollars, en 2012, la valeur économique de ces données qui, en 2020, devrait être de mille milliards de dollars, ce qui est une valeur considérable et un potentiel très important en matière d'innovation.

Les données qui circulent concernent aussi bien les entreprises ou leurs salariés que les personnes privées ; elles vont toutes circuler sur les mêmes canaux d'information. Évidemment, cela crée des risques puisqu'il est possible, dans certains cas, de capter ces données, de les analyser.

Ces risques ont été pris en compte depuis plusieurs années par la CNIL. En 2012, la CNIL a publié une recommandation à destination des entreprises qui envisagent de recourir au cloud computing pour leur expliquer la démarche à suivre. Dans les recommandations de la CNIL, le risque d'accès d'autorités étrangères aux services d'informatique en nuage avait bien été identifié. Autre exemple, il y a quelques années, la CNIL a été très active sur les affaires PNR et Swift. Quand le président de la CNIL de l'époque, M. Alex Türk, avait été auditionné par l'Office, il en avait beaucoup parlé et ce sont des sujets sur lesquels la CNIL a été très présente pour obtenir le maximum de garanties en faveur de la protection des données à caractère personnel.

Quant à l'accès par les autorités étrangères dans le cadre de l'affaire Prism, c'est un sujet que la CNIL avait beaucoup anticipé. Dès mars 2013, un cycle d'auditions, avec des conclusions en septembre 2013, avait été organisé, donc avant l'affaire Prism.

Cette affaire a montré qu'il y avait une possibilité d'accès à tout type de données. En effet, le Patriot Act concerne toute sorte de données. Les « any tangible things », selon les termes de la loi, peuvent être n'importe quel objet, des livres, des enregistrements, du papier, des documents, aussi bien des données personnelles que confidentielles, que des données liées à des activités commerciales. Il y a derrière cela des enjeux en termes de protection des données et d'intelligence économique assez importants. De plus, les champs d'application du Patriot Act et de la loi Foreign Intelligence Surveillance Act (FISA) sont extrêmement larges puisque la compétence territoriale s'étend à toutes les personnes morales et physiques américaines mais également aux sociétés étrangères dès lors qu'elles ont un bureau, une boîte de dépôt ou une activité en rapport avec le territoire américain. Rien ne garantit qu'une société européenne installée aux États-Unis d'Amérique en soit exclue.

Les sociétés destinataires d'une demande des autorités américaines se fondant sur la législation FISA sont soumises à une obligation de discrétion très stricte qui leur interdit de communiquer sur ce sujet. Il est très difficile d'avoir de l'information sur l'étendue des accès qui sont réalisés.

Au-delà de ces questions, les sites des grandes sociétés de l'Internet publient des rapports de transparence, transparency reports, qui montrent comment ces sociétés répondent aux demandes des différentes autorités dont le nombre ne cesse de s'accroître.

La différence entre le taux de satisfaction des demandes émanant des États-Unis par rapport au taux de satisfaction des demandes provenant d'autorités européennes comme la France est significative. Pour les autorités américaines, cela approche 100 % de réponses, de 90 % à 100 %, mais cela n'est plus que de 50 % pour les autorités françaises.

L'affaire Prism est une opportunité aussi bien du point de vue de la protection des données à caractère personnel que pour les entreprises françaises du secteur de la sécurité et du cloud computing, par exemple. Une étude de l'Information Technology and Innovation Foundation (ITIF) a montré que l'affaire Prism pourrait coûter plus de 30 milliards de dollars aux entreprises américaines dans les trois années qui viennent du fait d'une crise de confiance entraînant une perte de parts de marché pour ces sociétés de cloud computing.

Une autre étude du Cloud Security Alliance de 2013, indiquait que 10 % des sociétés interrogées déclaraient avoir annulé des projets de cloud computing après l'affaire Prism. Cela traduit une crise de confiance face à certains acteurs américains de ce secteur. Vu avec un regard européen, cela peut constituer des opportunités pour les entreprises françaises qui offrent des services numériques dans les nuages plus transparents, conformes à la législation communautaire relative à la protection des données personnelles. Un certain nombre d'acteurs, comme OVH ou Cloudwatt, faisaient déjà de la localisation des serveurs sur le territoire français un argument commercial sur le plan des données personnelles comme pour certains aspects de la sécurité des systèmes d'information.

La CNIL a toujours été très attentive aux questions de sécurité des systèmes d'information car c'est une mission qui lui est conférée par la loi informatique et libertés. L'article 34 de cette loi dispose que les entreprises, en tant que responsables de traitement des données, doivent garantir la sécurité des données qu'elles traitent ; c'est le manquement à cette obligation qui est le plus fréquemment retenu par la CNIL avec 18 % du total des manquements retenus en 2012.

L'obligation de sécurité, l'incitation à la mise en place de bonnes pratiques de sécurité n'est pas uniquement du domaine de compétence de la CNIL puisque l'ANSSI a été très active dans ce domaine-là et que l'Office est très attentif aux travaux de l'ANSSI, qui partage avec la CNIL des préoccupations communes dans le domaine de la sécurité.

Les règles d'hygiène numérique de l'ANSSI sont partagées par la CNIL qui a développé ses propres outils en matière de sécurité informatique. En 2010, la CNIL a publié un guide à destination des PME qui donne des conseils basiques dans le domaine de la sécurité, indique des précautions minimales. En 2012, la CNIL a publié un guide avancé de gestion des risques s'appuyant sur la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), qui est une méthode de l'ANSSI reconnue en matière de sécurité que la CNIL a adaptée à la protection des données à caractère personnel.

Les actions de la CNIL et de l'ANSSI sont complémentaires. En général, en matière de sécurité des systèmes d'information, on s'intéresse aux risques pour l'entreprise, alors qu'en matière de protection des données, on s'intéresse aux risques pour les personnes. Les mesures techniques à mettre en place dans chacun de ces cas sont souvent similaires. Par exemple, le chiffrement des données garantit la confidentialité des échanges, ce qui protégera la personne mais aussi l'entreprise.

La CNIL a réalisé un guide de gestion des risques en deux parties traitant des données des entreprises et des données à caractère personnel et proposant un catalogue de mesures à mettre en place. Un responsable de sécurité aujourd'hui va savoir appliquer les deux méthodes de protection tout à fait correctement. Dans les algorithmes de chiffrement, il y a des renvois au référentiel général de sécurité (RGS) publié par l'ANSSI pour qu'il y ait une cohérence entre les instruments recommandés.

À propos des relations entre la CNIL et l'ANSSI, il existe des situations de travail en commun et d'autres où la CNIL a sollicité les conseils de l'ANSSI et inversement. Celle-ci a audité les systèmes de la Fédération nationale de la mutualité française et d'AXA pour la qualité de l'anonymisation des feuilles de soins électroniques. La CNIL a participé à des formations dispensées à l'ANSSI. La CNIL effectue des sensibilisations et des formations dans le cadre de la loi informatique et libertés et il y a des personnels actifs à la CNIL qui sont des anciens employés de l'ANSSI. Il existe des comités de pilotage, par exemple sur l'identifiant national de santé, où les deux instances sont représentées. Il y a quelques années, le Livre blanc, intitulé « Le guide pratique du chef d'entreprise face au risque numérique », a été élaboré en commun avec la participation de la CNIL et de l'ANSSI. La CNIL participe à la commission de normalisation de la sécurité des systèmes d'information à l'AFNOR. Enfin, l'ANSSI a mis en place récemment un groupe de travail sur la qualification de sécurité des systèmes de cloud computing et la CNIL y participe.

Au-delà de l'obligation de sécurité de l'article 34, une nouvelle obligation figure dans la loi depuis 2011, avec la transposition du paquet télécoms, à savoir la notification des failles de sécurité qui s'applique aux opérateurs qui doivent, quand ils subissent une violation de données à caractère personnel, la notifier à l'autorité compétente, à savoir la CNIL. Quand la violation est suffisamment sensible et susceptible de porter atteinte aux données de la vie privée des personnes concernées, il faut également informer ces personnes.

La transposition dans la loi informatique et libertés du règlement européen n° 611/2013, adopté le 24 juin 2013 et entré en application le 25 août, précise les modalités décrites dans la directive et demande notamment que les délais de notifications aux autorités d'une faille de sécurité soient de vingt-quatre heures et de soixante-douze heures pour compléter cette notification, le contenu de la notification est détaillé dans le règlement.

Le 3 février 2014, une réunion de l'ensemble des opérateurs a eu lieu à la CNIL pour leur rappeler l'ensemble de leurs obligations ; les délais de notification des failles n'étaient, pour ainsi dire, jamais respectés. Un communiqué de presse sur le site de la CNIL rappelle les obligations des opérateurs. La CNIL a d'ailleurs mis en place une procédure sur son site pour que les opérateurs puissent notifier électroniquement les violations à la CNIL et pour leur permettre d'évaluer le niveau de gravité de la violation qu'ils subissent.

Le troisième point, c'est le volet accompagnement et éducation au numérique, en plus du volet technique. La sécurité c'est aussi une affaire liée aux pratiques des personnes. La CNIL conduit des actions d'accompagnement des entreprises et d'autres à destination du grand public.

Pour les entreprises, la CNIL se réorganise actuellement pour répondre au mieux aux besoins de ses clients, de ses usagers, des entreprises en contact direct avec la CNIL, pour mettre en place une vision centrée sur la personne afin de mieux appréhender les besoins en matière de sécurité.

Par exemple, les recommandations sur le cloud computing ont été précédées d'une consultation de l'ensemble des acteurs ; l'avis des entreprises offrant des services de stockage en nuage et celui des PME souhaitant les utiliser ont été recueillis ; un jeu de recommandations a été produit incluant des clauses contractuelles qui peuvent être reprises dans les contrats à venir.

Faut-il rappeler que le cloud computing peut se définir comme l'informatique en nuage où la ressource informatique est externalisée auprès d'un prestataire qui s'en charge et fournit des ressources de calcul ou d'infrastructures loin des locaux de l'entreprise. L'avantage réside dans la flexibilité offerte par le service ainsi que dans le fait que la prestation informatique puisse généralement être payée à la demande, au service.

Le problème dans les services de cloud computing est qu'il y a souvent peu de garanties sur la localisation des données. Il s'agit-là d'une préoccupation majeure des entreprises, surtout depuis l'affaire Prism. Certains acteurs comme OVH ou Cloudwatt, acteurs français, essaient de mettre en avant un certain nombre de garanties dont la localisation des données.

Les conseils de la CNIL aux entreprises consistent à leur donner des clés pour leur permettre de mieux choisir une offre de nuage numérique, intégrer la protection des données à caractère personnel et éviter la fragilisation du patrimoine informationnel des entreprises.

La CNIL explique que ce nuage numérique peut être utilisé pour certaines données mais pas pour toutes. Il faut bien cerner les exigences techniques et juridiques pour choisir une offre car la plupart des offres d'informatique en nuage sont des offres de contrat d'adhésion qu'il sera impossible de négocier, notamment pour les PME. À l'inverse, les services pour les grosses entreprises pourront être négociés ligne par ligne mais seront plus chers.

L'hébergement des applications « métier » de votre messagerie peut être géré dans l'entreprise ou par un prestataire informatique.

Le stockeur de données assure des systèmes de sauvegarde et stocke sur plusieurs sites, ce qui garantira une sauvegarde sur ces autres sites.

Il existe différents types d'informatique en nuage : le SaaS (Software as a Service), pour le logiciel, le PaaS (Platform as a Service), pour la plate-forme de développement, ou l'IaaS (Infrastructure as a Service), pour l'infrastructure.

Autre exemple d'accompagnement des entreprises par la CNIL, il s'agit des pactes de conformité. Des instruments sont mis à la disposition des entreprises d'un secteur particulier pour leur permettre de se mettre en conformité avec la loi informatique et libertés. La protection de la vie privée est alors intégrée dès la conception des produits.

Dans ce cadre, la CNIL a développé un partenariat avec la Fédération des industries électriques, électroniques et de communication (FIEEC) - mille milliards d'euros de chiffre d'affaires cumulé - qui a beaucoup travaillé sur la problématique des compteurs intelligents, les objets connectés et les services situés en aval du compteur. Un groupe de travail CNIL-FIEEC a été mis en place pour intégrer dans les nouveaux services innovants la problématique informatique et libertés. La CNIL permet un saut de confiance pour les industriels et les usagers. Les produits qui respectent les exigences de la loi informatique et libertés jouissent d'une meilleure image auprès de leurs acquéreurs potentiels.

C'est la même démarche qui a conduit la CNIL à participer au Comité de la filière industrielle de sécurité, le CoFIS.

Par rapport à l'éducation du grand public au numérique, la CNIL a pris l'initiative de constituer un collectif pour l'information numérique du grand public, candidat à la grande cause nationale 2004, rassemblant une cinquantaine d'organisations qui considèrent unanimement qu'il y a urgence à diffuser la culture du numérique, à former les différents publics, à tous les âges de la vie, pour permettre à chaque individu d'être un acteur du numérique informé et responsable et d'exercer de manière effective ses droits et devoirs dans ce domaine.

Si cette offre d'éducation numérique était retenue comme une grande cause nationale, cela permettrait d'avoir un accès privilégié aux médias afin de toucher un très large public.

Cette modalité d'action a été choisie pour changer d'échelle dans les actions pédagogiques à mener. Ces nouvelles actions permettront de donner une réelle visibilité nationale à un sujet absolument crucial qui est en train de transformer la société de manière très profonde.

À propos de la confiance à accorder aux services de cloud computing, le stockage peut être distribué dans des infrastructures du réseau informatique avec une partie des informations vous concernant se trouvant sur un serveur ou un autre en fonction des ressources louées par le fournisseur de services de nuage. Les données peuvent migrer d'un serveur à un autre au cours de la journée ; cela est techniquement possible et dépend de la disponibilité des réseaux et de la manière dont ils sont organisés. C'est totalement invisible pour l'utilisateur.

Vous consommez un service et ne savez pas où sont stockées vos données.

Les services sont offerts à une multitude de sociétés et l'allocation de ressources est dynamique. Par exemple, pour prendre une image dans le monde électrique, une centrale nucléaire va produire beaucoup d'électricité à un moment et il y aura des pics de production et de consommation et, dans le réseau, ce sera la même chose. De même pour le stockage en nuage, davantage de ressources seront consommées selon les heures. Beaucoup de sociétés offrent des services au niveau mondial et les ressources seront allouées de manière dynamique en fonction des besoins.

Il existe différents types de services de cloud computing. De grosses sociétés d'Internet répartissent leurs services partout sur la planète et pourront allouer des ressources à d'autres sociétés qui offrent des services d'hébergement en fonction de leurs propres besoins. À l'inverse, d'autres sociétés offrent des services qui sont sur un ou deux centres de données et il sera possible de savoir où sont les données.

Ensuite, il y aura différents services de stockage en nuage : des nuages publics et des nuages privés. Sur le service de nuage public, les données seront stockées sur une machine offrant également des services pour d'autres sociétés. Cela peut induire des problèmes de porosité des données. Cela est arrivé. Dans les systèmes de nuages privés, l'étanchéité des données pourra être garantie par rapport à celles d'autres sociétés hébergées dans le même centre de données. Il existe encore des services hybrides de cloud privé dans lesquelles il est possible d'obtenir davantage de ressources à un moment donné pour faire face à un débordement en ayant alors recours à un service de nuage public.

D'un point de vue conceptuel, des fournisseurs de prestations informatiques offrent leurs services à beaucoup de sociétés : hébergement, service de calcul, plates-formes de développement, service de messagerie, services de veille, etc. Tout cela permet d'éviter de gérer tous les outils bureautiques dans l'entreprise avec leurs mises à jour. Cela simplifie une partie du travail d'administration.

Mais, en même temps, il y a une certaine perte de maîtrise des données. Une seule question à se poser : la sécurité est-elle toujours garantie ? Puis-je récupérer mes données ? Et, dans la mesure où toutes les données ont été confiées, le client devient-il captif du service ou a-t-il la liberté de pouvoir obtenir le même service chez un concurrent ?

Cette dimension de la portabilité des données est absolument cruciale pour l'innovation et elle est très importante du point de vue de l'informatique et des libertés. Cette portabilité des données, bien connue dans le monde de la téléphonie mobile avec la portabilité du numéro, permet de garder la maîtrise et de choisir le fournisseur qui correspond à vos besoins.

Quelle assurance de sécurité a-t-on lorsqu'on utilise les services de l'informatique en nuages ? Quand on confie ses données à quelqu'un d'autre, on perd une partie de la maîtrise de ses données.

Dans les conseils de la CNIL liés au passage au stockage en nuage, une démarche est décrite à destination des entreprises souhaitant utiliser de tels services. Il leur est indiqué les étapes qu'elles doivent suivre si elles souhaitent passer au stockage en nuage en toute sécurité. Elles doivent d'abord commencer par recenser leurs données en distinguant celles qui sont très critiques pour continuer à les gérer en interne plutôt que de les externaliser. Ensuite, une analyse des risques est effectuée pour comprendre l'attente en matière de sécurité juridique et technique du stockage en nuage.

Par exemple, l'hébergement des données de santé doit respecter un cahier des charges extrêmement précis. Cela est absolument nécessaire. Après avoir identifié les besoins, l'analyse des offres présentes sur le marché doit être accomplie pour voir si elles correspondent au degré d'exigence attendue.

Il est également important de pouvoir auditer la solution de stockage en nuage offerte. Est-ce que la société, elle-même auditée, laisse accéder aux rapports d'audit la concernant ?

En termes de missions, la CNIL et l'ANSSI sont complémentaires mais leurs domaines de compétence sont un peu différents. La loi informatique et libertés oblige à mettre en place des mesures de sécurité pour garantir la protection des données personnelles. C'est la raison pour laquelle la CNIL a publié des guides de sécurité dont les conseils rejoignent pour beaucoup les conseils dispensés par l'ANSSI. Dans le guide listant les mesures de sécurité à mettre en place pour la gestion des risques, il est fait référence à des documents publiés par l'ANSSI. Les règles d'hygiène de sécurité publiées par l'ANSSI sont totalement partagées par la CNIL.

Il faut toujours distinguer les publics auxquels on s'adresse et être plus ou moins prescriptifs selon les cas.

À travers des groupes de travail, des actions lancées par les uns ou par les autres, il y a nombre d'actions communes à la CNIL et à l'ANSSI.

Il n'y a pas de redondance dans les activités mais des regards complémentaires et différents. La CNIL s'intéresse davantage à la sécurité des traitements des données et à la protection des personnes alors que l'ANSSI va s'intéresser davantage à la sécurité des entreprises. Certaines recommandations des deux organes peuvent être communes et sont toujours en cohérence.

Le champ de compétence de la CNIL est beaucoup plus large que celui de l'ANSSI puisque les libertés individuelles englobent la sécurité des systèmes d'information.

Aujourd'hui, le traitement des données personnelles est informatisé et doit être traité de manière cohérente dans le domaine technique.

Parmi les actions techniques menées par la CNIL au cours de ces dernières années, certaines ne recoupent pas du tout des sujets de compétence de l'ANSSI. La CNIL a, par exemple, travaillé sur la publicité comportementale.

L'ANSSI a constitué un groupe de travail auquel la CNIL participe sur les offres de sécurité du stockage des données en nuages. Le rôle de chacun est différent à cet égard.

La CNIL s'est aussi exprimée sur les moteurs de recherche, sur les réseaux sociaux, sur la manière de se protéger en tant que personne ou en tant qu'entreprise traitant des dossiers incluant des données personnelles.

Les prismes selon lesquels seront abordées ces questions sont totalement différents et, encore une fois, complémentaires.

Par rapport aux préoccupations de surveillance des salariés par leur employeur, la CNIL a publié, il y a quelques années déjà, un guide à destination des employeurs permettant de juger diverses situations au sein de l'entreprise. Toutefois, la surveillance doit toujours respecter les droits des personnes concernées. Un audit sur ce sujet a été publié.

Actuellement, il existe une sorte de paradoxe : les personnes ont beaucoup d'attentes en matière de protection des libertés, de contrôle de la diffusion de leurs données (droit à l'oubli, au déréférencement...) et, en même temps, elles utilisent les nouveaux instruments numériques et publient beaucoup d'informations personnelles sur les réseaux sociaux notamment. Cela n'est pas sans évoquer une certaine forme de schizophrénie.

La CNIL agit vis-à-vis de chacun des acteurs. Il est impossible d'aller à l'encontre du développement technologique et de la manière dont la société évolue face à ce type de nouveaux instruments. La CNIL s'adresse aux sociétés de réseaux sociaux pour qu'elles respectent au mieux la législation relative à l'informatique et aux libertés. Il est important qu'elles proposent une ergonomie des sites suffisamment bonne pour que des processus simples permettent l'effacement des données et les paramétrages des partages de données.

La CNIL conduit aussi une action de sensibilisation des personnes. Des vidéos, dont une à destination des adolescents, figurent sur le site de la CNIL pour les mettre en situation et les aider à utiliser les instruments numériques de manière responsable.

Depuis la loi informatique et libertés de 1978, il y a eu la directive n° 95/46/CE d'harmonisation minimale du 24 octobre 1995 fixant des obligations ; elle définit tous les principes de protection des données, transposés en droit français en 2004 ; cette directive a instauré le G29, le groupe rassemblant les CNIL européennes.

D'autres modifications de la loi sont intervenues, notamment en 2011, pour les notifications de violations de données à caractère personnel lors de la transposition par ordonnance du paquet télécoms. De 2004 à 2011, il y a eu également des modifications pour permettre à la CNIL d'accorder des labellisations.

Depuis le début de l'année 2012, une discussion est en cours sur l'évolution du cadre juridique européen. Le 24 janvier 2012, la commission européenne a présenté un projet de règlement européen sur la protection des données à caractère personnel ; ce projet vise à remplacer la directive de 1995.

Il y a eu une grosse activité des groupes de pressions, notamment des Américains, pour peser sur ce règlement : le Parlement européen a reçu quatre mille amendements. Une centaine d'amendements de compromis ont été préparés et un vote au Parlement devrait intervenir avant la fin de la législature. Les discussions sont toujours en cours au Conseil.

À propos de l'attribution des noms de domaine et notamment des noms associés aux titulaires de domaines qui ont été récemment modifiés, la CNIL avec le G29 sur la durée de conservation des noms associés aux titulaires de domaines ne respecte pas le droit européen. À ce sujet, le groupe du G29 a demandé à l'ICANN de créer des exceptions pour que les conservations des informations concernant les titulaires de domaines respectent le droit européen.

La CNIL travaille beaucoup avec ses homologues européens notamment au sein du G29 qui se réunit très régulièrement, aussi bien au niveau des commissaires qu'au niveau technique. Il existe aussi le réseau de la Conférence internationale des commissaires. Le G29 est également présent dans des organismes internationaux comme, par exemple le groupe à l'ISO qui édicte toutes les normes en matière de sécurité de protection de la vie privée.

Je suis officier de liaison pour le groupe de l'article 29 pour les normes ISO développées en matière de protection des données.

Au niveau français, nous travaillons également avec l'ensemble des acteurs quand la CNIL élabore des recommandations, par exemple sur l'informatique en nuage, sur la biométrie, sur la publicité ciblée sur Internet, avant l'adoption d'une recommandation.

On travaille également avec les organismes de recherche à travers des conventions de partenariat. Par exemple, une convention de partenariat avec l'INRIA porte sur l'écosystème des smartphones avec l'application Mobilitics. Ce logiciel donné à des volontaires de la CNIL permettait de voir les données personnelles qui étaient ouvertes aux accès à partir de ce téléphone afin de comprendre qui collecte quelles données et dans quelle proportion.

Ce test est extrêmement intéressant car il permet de se rendre compte de l'étendue de la collecte : environ la moitié des applications accédait à la géolocalisation et ensuite il y avait 76 localisations par jour effectuées en moyenne. Des partenaires extérieurs à la CNIL se sont associés à cette opération.

Cela est important de s'appuyer sur les compétences existant en France comme à l'étranger pour comprendre les difficultés rencontrées relatives aux personnes que l'on cherche à protéger. De plus, comme pour les géants de l'Internet, les questions qui se posent sont les mêmes dans le monde entier, il faut travailler de concert avec nos homologues européens.

Des recommandations pratiques sont à mettre en place pour la sécurisation des données. Ce qu'il faut voir, c'est l'utilité pour les entreprises, comme pour les personnes, du travail effectué par la CNIL qui aide les entreprises à prendre en compte, très en amont, les préoccupations informatique et libertés pour que, lorsque leurs produits arrivent sur le marché, ils soient respectueux de la loi. Cela leur permet de valoriser cette sécurité aux yeux de leurs clients.

La CNIL a cette image de gendarme de la protection des données mais son rôle de conseil auprès des entreprises s'est beaucoup développé. De plus en plus d'entreprises viennent voir la CNIL au moment du développement de leurs projets et demandent une assistance pour être certaines de respecter la loi.

En général, les entreprises sont satisfaites de leur contact avec la CNIL car, arrivées avec des problèmes, elles repartent avec des solutions.

Souvent des traitements parfaitement légitimes doivent être mis en place mais encore faut-il les effectuer dans le respect de la loi. Dans beaucoup d'exemples, même par rapport à des géants de l'Internet, des modifications substantielles sont obtenues par la CNIL afin que les garanties soient assorties aux systèmes mis en place. Cela bénéficie tant aux utilisateurs français qu'aux utilisateurs européens voire mondiaux.

Les agents de la CNIL sont tous très investis dans leurs missions et enthousiastes car l'utilité du travail quotidien est évidente. En partant de la carte bancaire et en passant par le passe Navigo ou le téléphone, la CNIL travaille sur tous ces objets du quotidien et obtient des avancées en matière de protection des données liée à leurs usages.

Les cartes bancaires actuelles incluent une puce avec contact mais également une puce sans contact. L'été dernier, il y avait à peu près quinze millions de cartes sans contact en circulation. Par exemple, sur cette carte-ci figure un petit logo avec des vaguelettes signifiant qu'une puce sans contact est intégrée à la carte. Cela permet d'effectuer des paiements sans glisser sa carte dans le terminal de paiement. Cela a commencé par les paiements de petits montants pour fluidifier ceux-ci.

Quand ces cartes sont apparues, il était possible avec un téléphone de lire directement le contenu de la puce incluant le nom du porteur de la carte, le numéro de la carte, la date d'expiration et l'historique des transactions.

La CNIL, l'Observatoire sur la sécurité des cartes de paiement et la Banque de France ont demandé à l'ensemble des acteurs de la carte bancaire de changer ce système et des garanties ont été obtenues. En conséquence, le nom du porteur et l'historique des transactions n'apparaissent plus dans ces puces. La sécurité de ce moyen de paiement peut être encore améliorée. Voilà un exemple de mesure concrète.

Autre exemple : le passe Navigo est également doté d'une puce contact et d'une puce sans contact à propos de laquelle la CNIL a recommandé que seules figurent dans le passe les trois dernières données de validation.

Si on met des cartes bancaires dans un lecteur - paiement jusqu'à sept euros auprès de la RATP - et avec l'aide d'un logiciel gratuit sur Internet, on peut lire le contenu de la puce contact sans aucune authentification, mais vous ne verrez que les trois dernières données de validation mentionnant également la station de métro empruntée ainsi que l'heure de passage. La limitation aux trois dernières données est importante pour garantir la liberté d'aller et venir.

Pour certaines formules de passe Navigo le nom, le prénom et la photo se trouvent dans la base commerciale du système de transport de la région parisienne. Il existe un autre type de passe qui s'appelle Navigo « découverte » qui est un passe déclaratif, dans le sens où même si le nom du porteur y figure, les informations nominatives ne se trouveront pas dans la base de données du transporteur. Quand ce passe Navigo a été lancé, la CNIL a constaté que la RATP ne le mettait pas du tout en avant dans ses offres et que, en conséquence, très peu de gens utilisaient le passe Navigo « découverte ».

Il a fallu une recommandation de la CNIL, ainsi que d'autres actions, pour inciter la RATP et les transporteurs de la région parisienne à mettre en avant le passe « découverte » et ce qu'il pouvait apporter. Par conséquent, il y a eu de la publicité effectuée et davantage de personnes aujourd'hui utilisent ce type de passe.

Il y a cependant certains avantages à disposer d'un passe nominatif, par exemple, en cas de perte du passe nominatif, il est possible d'en créer un nouveau incluant l'abonnement déjà acquitté. La CNIL souhaitait que la personne puisse choisir en toute connaissance de cause et ne soit pas forcée à utiliser un système qui induit une plus grande traçabilité.

Le passe « découverte » s'est beaucoup développé. Maintenant, les commerciaux en stations connaissent tous l'existence du passe Navigo « découverte ».

Pour être efficace et démultiplier l'action de la CNIL, il existe notamment le réseau des correspondants informatique et libertés, ce qui permet de diffuser la culture informatique et libertés, par exemple dans les entreprises.

La CNIL dispense également des formations aux correspondants informatique et libertés et conduit beaucoup d'actions vis-à-vis du grand public, ce qui encourage les entreprises à prendre ces aspects en compte, notamment dans leurs offres de services, ce qui différenciera leurs offres de celles de concurrents.

NOV'IT

M. Jérôme Notin, président

19 février 2014

Aujourd'hui, en France, les entreprises, les administrations et les particuliers font de plus en plus confiance à des logiciels antivirus étrangers. Nous faisons donc confiance à des logiciels propriétaires et fermés qui sont installés sur les postes de travail et les serveurs et qui ont accès à toutes les données tout en échangeant de manière chiffrée avec l'étranger. Cela, philosophiquement, pose un problème.

Lors de l'élaboration du Livre blanc sur la défense, on parlait beaucoup des problèmes éventuellement causés par les Chinois qui souvent font des choses peu louables. Il s'agit là d'intelligence économique et non de lutte contre le terrorisme Le ministère de la défense et l'ANSSI ont conscience de ce problème depuis longtemps. Les recherches sur la cryptologie permettraient de trouver des solutions sur certains points.

En parallèle, les Américains enregistrent absolument tout et, même s'ils sont incapables de tout déchiffrer aujourd'hui, ils estiment qu'ils pourront y parvenir dans quelques années. Le vrai chiffrement étatique demeure cependant très difficile à déchiffrer. Le type de chiffrement est d'ailleurs effectué en fonction des différents niveaux de classification de l'information.

Il y existe un gros problème de souveraineté, de confiance dans les outils, antivirus ou autres. Par définition, toute l'information conservée sur des machines est concernée, où que ce soit.

Cela fait plus de dix ans que je travaille dans le domaine de la sécurité, avec des recherches et des réflexions sur les innovations. Et il n'y a eu aucune évolution que ce soit sur les matériels ou logiciels, toujours russes ou américains, ou en tout cas pas de vraies solutions opérationnelles pour les entreprises, les administrations et les particuliers.

Un exemple de la domination étrangère et de la perte de souveraineté est donné par les outils de gestion des événements des systèmes d'information. Ce sont de véritables pieuvres qui se mettent au-dessus des antivirus, des routeurs, des pare-feu, des serveurs, de tout ce qui est informatique. Ces outils ont normalement une intelligence leur permettant de corréler des éléments. Ce qui permet, par exemple, de repérer une attaque depuis la Chine, ou, un dimanche, de constater qu'une machine de votre réseau se connecte à d'autres machines et envoie beaucoup d'informations.

Thales propose cela mais avec un outil américain Arcsight financé par le fonds In-Q-Tel, lui-même financé par la CIA.

Heureusement, l'État conduit des réflexions sur ce type d'outils et travaille sur un appel à projet qui a pour objectif principal de disposer de sondes souveraines. Des technologies maîtrisées, ni américaines ou chinoises, seront employées pour développer nos propres outils de surveillance réseau. Ce que l'État a imaginé, en tant qu'outil de supervision de sécurité globale du système, ce sera le but ultime car il sera capable de voir ce que les autres outils ne voient pas.

Un antivirus est là pour protéger mais il ne peut être infaillible. En revanche, ce système global sera au-dessus de toutes les strates d'information.

Le contrat moral que DAVFI (Démonstrateurs d'antivirus français et internationaux) avec l'État est de pouvoir fournir un outil qui va bien plus loin que ce que font aujourd'hui les antivirus. Nous sommes très bien partis pour y parvenir ; les résultats sont très encourageants. La première partie des modules, actuellement testée, permet déjà de faire beaucoup plus que ce que permettaient les antivirus actuels, en particulier sur les capacités de détection de codes inconnus, qui est le vrai défi technique et le vrai besoin opérationnel.

Dans le contexte actuel des communications, n'importe qui peut devenir une cible potentielle et faire l'objet de tentatives de déstabilisation de la part de puissances étrangères. Aujourd'hui, si on ne réussit pas à pénétrer mon téléphone, on aura quand même des informations sur moi par des éléments détournés comme la géolocalisation. Par recoupement, on aura un profilage.

La NSA croise les communications. Dans le monde du renseignement, plus on a de l'information, plus c'est intéressant même pour les services français. Le renseignement informatique au sens très large aide les services dans leur mission, dans la lutte contre le terrorisme ou dans l'intelligence économique.

Un exemple bien connu, en matière de vente d'avions, dans la concurrence entre Airbus et Boeing. Quand M. Édouard Balladur était Premier ministre, il a pris l'avion pour l'Arabie Saoudite et il n'y avait que deux personnes connaissant le prix qui allait être proposé pour cette vente qui allait être signée. Le Premier ministre a passé une communication téléphonique depuis l'avion avec une des deux personnes en charge de la négociation mentionnant ce prix et, à l'atterrissage, il été constaté qu'une offre financière juste un peu meilleure venait d'être effectuée par Boeing.

À l'époque les communications chiffrées n'existaient pas ou étaient très peu efficaces. Et la NSA avait déjà mis en place Echelon. Maintenant elles existent mais ce n'est pas forcément pour autant que les hommes politiques les utilisent. Teorem existe : ce téléphone sécurisé permet de chiffrer les données, de chiffrer la voix, de tout chiffrer. Mais il reste dans la boîte à gant des voitures des autorités.

L'exploitation du renseignement consiste à chercher une aiguille dans une botte de foin, mais plus on a de moyens plus cela est facile.

Pour revenir à DAVFI, il comprend aujourd'hui cinq entités et, dans le consortium, il y a une vingtaine de personnes. Fin octobre 2014, on arrête le financement dans le cadre du Programme d'investissements d'avenir (PIA) et nous allons initier la commercialisation, tout en continuant la recherche et développement.

Ma formation est commerciale et M. Éric Filiol est docteur en informatique. Des doctorants travaillent au sein du laboratoire. Ce sont des permanents qui se concentrent sur le développement informatique, la sécurité, la cryptologie et la virologie opérationnelles, dans un laboratoire qui comprend en outre une bonne douzaine de semi-étudiants ; il y a également des ingénieurs.

M. Éric Filliol travaille depuis très longtemps dans ce domaine-là, notamment au ministère de la défense. Il casse les antivirus et organise un concours sur ce thème nommé Iawacs (International Alternative Workshop on Aggressive Computing and Security). Les antivirus sont testés avec des codes malveillants.

Dans DAVFI, le laboratoire travaille également beaucoup sur la protection même et aussi sur les tests d'antivirus pour qu'ils soient résistants aux attaques.

Aujourd'hui, les acheteurs publics ont la tâche difficile lorsqu'il s'agit de choisir des antivirus notamment lorsque le critère du prix prend le pas sur d'autres considérations. L'intérêt est de mettre au point des produits qui détectent toutes les variantes d'un virus et pas seulement le virus stricto sensu.

De nouveau, à propos de la souveraineté numérique, Mme Angela Merkel a très mal pris les écoutes opérées en Allemagne par les Américains. En France, l'État prend de plus en plus conscience de la nécessité d'une protection en matière numérique. C'est le rôle du politique de travailler à l'Europe de la défense en y incluant le numérique.

L'informatique est connue pour bénéficier de découvertes parfois effectuées par des individus solitaires. Apple et Google en ont fait la démonstration.

Des entreprises sensibles injectent dans leurs systèmes des mises à jour de logiciels sans connaître ce qu'il y a dedans. Or, le vrai virus est furtif et des portes dérobées sont mises en place avec le but qu'elles ne soient pas découvertes.

Énormément de données ont été exfiltrées quotidiennement de chez Areva qui ne s'en est aperçu qu'au bout de plus de deux années, probablement grâce à la mise en place d'un système de supervision. Nortel, société canadienne, s'est fait piller pendant des années et a disparu à cause de cela.

Les rôles de la CNIL et de l'ANSSI sont complémentaires. La CNIL a un rôle fondamental à jouer par rapport aux libertés individuelles. Ainsi, l'ANSSI essaie de mettre en place des procédures conformes à l'esprit de la CNIL. Il faut respecter toute leurs préconisations mêmes si cela n'interdit pas d'aller plus loin. La CNIL est très au fait des problématiques du monde de l'entreprise.

La fonction géolocalisation est très utilisée par Google ; elle est juste déclarative mais, sur une application, si vous répondez que vous refusez la géolocalisation, l'application peut ne pas fonctionner. Certaines applications sont considérées comme saines et utiles ; en revanche, il est possible d'envoyer une fausse localisation, par exemple l'adresse de la NSA ou d'autres : c'est ce que nous avons fait dans notre solution de mobilité sécurisée Uhuru Mobile.

La quantité d'informations recueillies par les services alliés n'a plus rien à voir avec celles recueillies il y a encore dix ans ; cela permet des recoupements sur plusieurs années.

Dans beaucoup d'applications fournies par Google figure la géolocalisation. En général, les gens ne sont pas choqués par cela.

Notre rôle est un rôle de protection, par exemple grâce aux antivirus sur le poste de travail. Pour la partie téléphonie, une véritable protection des données peut être obtenue grâce au chiffrement des données, de la voix, des SMS.

Les ministères de l'intérieur et la défense imposent des normes et des outils au sein de leurs services. On a relevé énormément le niveau de sécurité en France. Il y a quelques domaines d'excellence dont la cryptologie au ministère de la défense.

Les Américains imposent de fait les standards et les normes et, assez rapidement, dans deux ou trois ans, ils seront capables de casser les codes et déchiffreront les informations stockées par eux.

La NSA a volontairement réduit le système de chiffrement de la société privée RSA.

Le nuage informatique, qui existe depuis une dizaine d'années, devrait permettre globalement de faire baisser la consommation d'énergie puisque la puissance de calcul est déportée dans les centres de données.

À propos de variantes de l'obsolescence programmée, il est totalement anormal, par exemple, qu'Apple ne permette pas de changer la batterie sur un téléphone.

Chaque fois que Microsoft sort une nouvelle version, cela crée un besoin absurde, très dommageable puisque cela contraint à utiliser de nouvelles applications. GNU/Linux aurait pu être une solution.

La Gendarmerie nationale a l'intelligence, très particulière au sein du système français, de vouloir comprendre et maîtriser l'informatique et les nouvelles technologies en général. Elle a donc adopté le logiciel libre.

Le monde industriel est toujours en retard pour la sécurité des produits informatiques par rapport aux usages. Quand les iPhones sont arrivés, ces téléphones personnels ont été utilisés au lieu de ceux de l'entreprise qui étaient d'ancienne génération. Les entreprises n'avaient à l'époque pas les moyens de sécuriser le système et ces nouveaux usages. Sur le téléphone, la récupération de toutes les informations peut causer de vraies difficultés aux entreprises en cas de perte ou de vol. Il y a des solutions mais il faut offrir des téléphones aux collaborateurs pour être dans un monde maîtrisé. Cela peut permettre d'accéder aux applications personnelles mais les gens n'ont pas conscience des problématiques de sécurité au sens très large.

La sécurité, ça coûte cher, c'est pénible, ce sont des contraintes. Mais quand vous êtes Areva ou Nortel cela coûte encore plus cher de ne pas avoir de sécurité. Au sens très large, la sécurité informatique peut être comparée à la sécurité incendie où, financièrement, certains hésitaient à franchir le pas. C'est pourquoi on a prévu des contrôles obligatoires en matière d'incendie pour sortir du « Tant qu'il n'y a pas de pépin, tout va bien ». Pour le numérique, les pompiers seraient l'ANSSI et les extincteurs seraient les antivirus ou les pieuvres (SIEM) déjà évoquées précédemment.

Dans le cadre européen, la défense du patrimoine européen risque vite d'être taxée de protectionnisme. Surtout, le principe de libre concurrence risque de faire accuser de favoritisme les sociétés européennes. On sait toutefois très bien que les États-Unis d'Amérique ou la Chine sont parmi les pays les plus protectionnistes.

Un État européen est en avance en matière de cyberdéfense : l'Estonie. Déjà en avance en matière de numérique, elle l'est encore plus après avoir été attaquée massivement en 2008. Beaucoup de délégations françaises, dont l'ANSSI, sont allées en Estonie. Le centre de Tallinn est très connu. Les Anglais sont également en avance dans ce domaine par rapport à la France.

Les noms de domaine ne sont pas le plus gros problème. Il existe des protocoles libres et des associations qui pourraient être utilisés mais constitueraient potentiellement une déclaration de guerre. Aujourd'hui, Internet ne peut plus être contrôlé par un État mais doit l'être par une organisation internationale pour ce qui relève des noms de domaines.

En revanche, il est parfois dangereux de se voir imposer des normes pour l'Internet ou des « standards » comme l'Unified Extensible Firmware Interface (UEFI). Tous les États participent à la définition des normes dans des réunions internationales où 80 % des présents sont des Américains. Ils y défendent en premier lieu leur intérêt économique qui va parfois à l'opposé de celui des États tiers ou des utilisateurs du réseau.

Le monde du logiciel libre a de très fortes inquiétudes parce que, potentiellement, avec le système qui va être mis en place par l'UEFI, il ne sera très difficile voire impossible d'intervenir sur un ordinateur pour changer le système d'exploitation.

Il existe des moteurs de recherche DuckDuckGo ou Qwant, très performants, qui n'enregistrent rien de vos requêtes. Qwant est d'ailleurs français.

Un standard est quelque chose que tout le monde utilise ; une norme fixe des règles d'utilisation.

On ne peut pas s'inspirer de solutions adoptées dans autres États car elles sont souvent obsolètes ou faites pour leur propre intérêt. Évidemment, les sociétés doivent gagner de l'argent mais il faut avoir des systèmes de protection globaux et jouer un rôle face aux citoyens.

Il existe un logiciel libre à adapter sur des systèmes mobiles, conçu à partir d'une base Linux permettant d'améliorer la protection assurée par les antivirus qui ne peuvent pas protéger totalement les entreprises. Plusieurs couches de protection sont nécessaires : la première, la deuxième, la troisième, etc., et, au-dessus, un outil de supervision. Même avec le meilleur des antivirus, le système d'information n'est pas totalement protégé.

Dans le domaine de l'informatique industrielle, une prise de conscience est nécessaire au niveau des systèmes, SCADA, informatiques industriels. Il s'agit de logiciels particuliers, des systèmes de contrôle maintenant interconnectés et parfois directement reliés à Internet. Il s'agit de systèmes fermés pour lesquels on n'a pas toujours pris en compte le concept de sécurité, la mutualisation des réseaux induisant ainsi une certaine fragilité. C'est ainsi que, aux États-Unis d'Amérique, un jeune de seize ans a réussi à couper le système de climatisation d'un hôpital puis a essayé de rançonner cet hôpital. Il est anormal que l'interruption de la climatisation d'un hôpital soit possible depuis Internet.

Pour des raisons de coût, les mêmes protocoles et infrastructures sont utilisés mais c'est au détriment de la sécurité.

À Paris, il existe le système des valves électriques qui va alimenter en eau la ville de Paris, le système des pompiers, celui du service des espaces verts, etc. ; cinquante réseaux municipaux ont été identifiés et de nouveaux usages vont encore apparaître. Le génie civil coûte très cher. Le système nucléaire possède son propre réseau mais l'armée, pour l'usage courant, utilise les réseaux publics. D'où la nécessité du recours à la cryptographie, ce qu'elle fait très bien.

Il faut espérer que les compteurs électriques intelligents soient sécurisés mais, aujourd'hui, ce n'est pas le cas. À travers eux, il est possible de savoir quand les personnes sont là, à quelle heure elles arrivent, quand elles allument la lumière, le four, etc. Les Allemands auraient même été capables, à partir des fréquences, de déterminer la chaîne de télévision regardée. Toutes ces données ne sont pas ou mal sécurisées et passent par les fils électriques.

C'est un faux progrès. On va donner ces informations à des entreprises privées qui vont les revendre à d'autres entreprises privées. La technologie permettra de savoir exactement ce que vous consommez, de connaître vos habitudes. Il s'agit là de la protection des citoyens et de la vie privée.

De même, dès que vous jouez sur un téléphone, vous êtes localisés. Il y a eu un scandale récemment avec le jeu Angry Birds, qui permettait à la NSA de vous localiser si vous aviez installé ce jeu.

CONSEIL DES INDUSTRIES DE CONFIANCE ET DE SÉCURITÉ (CICS)

M. Hervé Guillou, président

M. Jean-Pierre Quémard, vice-président security and technology communication intelligence and security (Airbus Defence and Space)

M. Gérard Moisselin, ancien préfet

26 février 2014

M. Hervé Guillou. -Le Conseil des industries de confiance et de sécurité (CICS) a vocation à s'occuper d'un ensemble de questions de sécurité considérées comme critiques ou souveraines. Il intervient sur le périmètre suivant : sécurité des frontières terrestres, maritimes et aériennes, sécurité des citoyens, sécurité des infrastructures, sécurité des transports au sens de flux, et non pas des aéronefs ou des automobiles mais des flux de transports de personnes et de biens et, enfin, la cybersécurité dans ses trois dimensions : sa couche physique, c'est-à-dire les télécoms, les tuyaux, les ordinateurs, sa couche virtuelle, logiciels, protocoles, serveurs, etc., et, dans sa couche informationnelle, informations, propriété de l'information, traitement de l'information.

Ce syndicat, cette filière ont été créés parce que le sujet de la sécurité en France est plutôt bien engagé en termes industriels puisqu'il a bénéficié d'une histoire dynamique dans le domaine de la défense. La France a une industrie de défense historiquement puissante, très forte technologiquement. Cette industrie de défense, depuis le début des années 2000, a pu et a su transformer une bonne partie de ces technologies en technologies utilisables dans le secteur de la sécurité. Depuis 2003, des positions sur le marché mondial ont été prises dans le domaine de la sécurité (frontières, sécurité maritime, communications sécurisées...). Thales, sur la lancée, a aussi pris des positions très fortes dans le domaine de la vidéosurveillance ; le Morpho, filiale du groupe Safran a pris des positions, par exemple, dans le domaine de la morphotechnologie, de la gestion d'identité. Et puis, de l'autre côté, du côté civil de la force, nous avons une industrie dynamique avec des sociétés comme Gemalto, Alcatel, des PME très nombreuses qui ont aussi contribué à ce domaine de la sécurité.

Finalement, les forces technologiques sont dispersées dans la chaîne de valeurs et dans un marché pas très bien organisé. Dans une foire sur la sécurité, vous trouvez de tout, depuis les T-shirts en carbone, les systèmes de surveillance des frontières, l'aéronautique, l'électronique, les logiciels, les services. On a alors pensé qu'il était indispensable de se regrouper pour passer à l'étape suivante afin de poursuivre le développement dont nous avons besoin, sans avoir un moteur de fusée du côté du ministère de la défense aussi fort qu'il était avant. C'est une industrie extrêmement intéressante pour la France actuellement car elle représente environ 9 milliards d'euros de chiffre d'affaires, 50 000 emplois de haute technologie peu délocalisables, 70 % d'export, 10 % de croissance par an.

Du côté de la puissance publique, il y a le même phénomène de dispersion que dans l'industrie, c'est pourquoi le Premier ministre a décidé de lancer la filière sécurité, en octobre 2013, pour rassembler également la puissance publique autour des sujets transverses de la sécurité que sont l'expression des besoins, la mobilisation des ressources financières autour de la recherche et du développement, des questions de souveraineté, la question de la normalisation, la position vis-à-vis de Bruxelles, etc. Il n'y a pas d'administration de la sécurité ; dans les pays européens, le sujet de la sécurité est très dispersé entre les divers départements ministériels, il n'y a pas de ministres de la sécurité. Aux États-Unis d'Amérique, le département sécurité (Department of Homeland Security) couvre tout sauf la cybersécurité qui est liée à la défense dans la fameuse NSA. Tous les pouvoirs régaliens sont concentrés au même endroit ce qui inclut la recherche et le développement.

Les Anglais ont lancé une initiative un peu similaire quoique moins complexe, en 2005, avec l'ancienne responsable du MI5. C'est elle qui a lancé l'initiative nommée National Resilience qui était une vision assez large de la résilience physique et économique. En France, on a lancé, en 2014, la filière de sécurité avec un certain nombre de grands sujets : analyse capacitaire des besoins à long terme, questions de politiques industrielles, technologies critiques, recherche et développement, recherche et technologie et puis quelques sujets transverses comme les questions de la souveraineté, les questions européennes, l'export... Nous sommes très satisfaits de cette initiative qu'il faut concrétiser car le cyber est un des axes les plus actuels de cette filière sécurité.

Le sujet de la cybersécurité est bien plus qu'une mode, bien plus qu'une question de renseignements, de libertés publiques, c'est aussi un véritable sujet de souveraineté, un sujet de politique économique, de risque, et un sujet de résilience et de sécurité pour les pays. La cybercriminalité s'exprime sous toutes ses formes.

Par analogie, quand on a ouvert au XVIe siècle un milieu d'échanges qui s'appelait la mer, comme un moyen de communication, s'est développé exactement ce qu'il se passe aujourd'hui dans la cybercriminalité. Dans un milieu ouvert, sans véritables règles, se développent des pirates, des corsaires et des marins militaires. Dans le cyberespace, nouveau lieu d'échange d'informations, se développe de la criminalité pure et simple, il existe des pirates, des corsaires qui sont les agences parapubliques plus ou moins officielles qui, elles aussi, gèrent par procuration la bataille économique. Les militaires sont les organismes de défense et d'attaque de ce cyberespace.

Il se passe des choses extrêmement importantes en ce moment, en raison du déséquilibre entre les défenseurs et les attaquants dans le cyberespace, qu'il ne faut pas limiter aux télécoms - le cyberespace étant l'ensemble constitué par la couche physique, la couche virtuelle et la couche informationnelle. Même les switches dans les télécoms, tout cela est en train de devenir virtuel. La couche, que l'on croit physique, des télécommunications est en train de devenir aussi une couche virtuelle. Dans ces trois couches, le déséquilibre entre les défenseurs et les attaquants n'a jamais été aussi grand, peut-être, depuis l'apparition des sous-marins nucléaires.

Les attaquants n'ont pas de contraintes économiques parce que ça ne coûte presque rien de se livrer à une attaque, cela coûte beaucoup moins cher que de s'acheter une frégate, que d'envoyer des commandos entraînés. Il n'y a donc pratiquement pas de limites économiques. Les attaquants ont une liberté, une ubiquité quasi totale. Ils ont une impunité quasi totale. Sauf sur quelques sujets, comme la pédophilie, personne ne sait quelles sont les lois à appliquer étant donné l'absence de frontières en ce domaine.

Le problème est que, dans le cyberespace, le juge ne sait pas lui-même déterminer sa compétence. Prenez l'exemple de Sony qui s'est fait voler 150 millions de cartes bleues. Le pirate est passé par six pays différents et quatre serveurs qui ne sont pas dans le pays de la société attaquée. Il est très difficile d'attribuer une attaque à quelqu'un de précis et, ensuite, il est difficile de savoir le type de droit à y appliquer et de connaître la juridiction compétente.

À l'inverse, certains défenseurs, y compris nous-mêmes en tant que citoyens, placent de plus en plus de richesses sur ce média, notamment les transactions bancaires, des informations personnelles, commerciales. Aujourd'hui, dans l'économie globale, une société qui se veut globale place tout sur Internet.

Dans le monde bancaire, il existe une tradition de sécurité à partir des cartes à puce qui ont fait des progrès considérables ; le coeur de tout cela repose sur une identité fiable ; tout dépend de cela.

Les défenseurs placent de plus en plus de richesses sur Internet : le bureau d'études, le système d'information, la supply chain pour parler avec ses fournisseurs. Surtout, le nombre de points d'entrée dans le système est de plus en plus important. Il y avait 500 millions d'adresses IP en 2003 et il y en a maintenant 12 milliards, bientôt 13 milliards et, probablement, 80 milliards d'adresses IP en 2020. Il s'agit-là de la deuxième révolution numérique.

Deux questions critiques se posent : le déséquilibre entre les attaquants et les attaqués et donc une attractivité économique au crime devenue supérieure au trafic de drogue et, deuxièmement, une explosion complètement irréversible qui est la connexion de trois mondes jusqu'ici technologiquement disjoints. Ce sont le monde de l'informatique générale, avec Microsoft, Atos, IBM, Capgemini ; le monde de l'informatique dite industrielle, avec Siemens, Schneider, les automates dans les usines, la robotique, les outils de bureau d'études, et le monde de l'informatique dite embarquée avec Dassault électronique, Thales, qui est l'informatique dans les véhicules et les objets. C'est aussi le cas des iPods, iPhones, etc.

Ces trois mondes sont de plus en plus connectés. Par exemple, vous voulez surveiller une raffinerie, vous pouvez le faire par le logiciel de gestion partout dans les usines. Le monde de l'informatique industrielle et le monde de l'informatique générale sont de plus en plus connectés. Quant à l'informatique industrielle et l'informatique embarquée, un exemple l'illustre : un Airbus a déjà sept points d'entrée : un lien lors des incidents logistiques, un lien avec l'usine ou avec Air France, un autre avec les passagers, un avec la police, etc. L'année prochaine votre voiture, votre réfrigérateur auront leurs entrées ; cela est irréversible. Donc, le nombre d'entrées dans le système va se multiplier probablement par dix en moins de dix ans. Sans affoler les foules, c'est tout de même un sujet de préoccupation.

Internet a représenté des progrès fantastiques de productivité et de croissance mais cela apporte aussi des vulnérabilités. C'est aussi une chance pour l'industrie de développer de nouveaux produits. C'est un monde qui est assez fragmenté entre des grands groupes très spécialisés et une myriade de PME fragiles et subcritiques qui n'ont pratiquement pas accès à l'export. C'est un domaine où on a beaucoup d'atouts mais aussi beaucoup de choses à faire.

M. Jean-Pierre Quémard. - Il serait ainsi nécessaire de demander que tous les opérateurs d'importance vitale aient un niveau de sécurité minimal ; de développer, pour les besoins français, une structuration de la demande et de l'offre. Il y a énormément de PME qui développent toutes la même chose plutôt que des produits complémentaires ; s'adressant à un tout petit marché, elles ont énormément de mal à se structurer pour aller à l'export, ce dont les Allemands et les Anglais sont capables. La PME ne peut aller à l'export pour trois raisons : la réglementation export est très compliquée ; la PME n'a pas connaissance des appels d'offres ; elle n'est pas capable de travailler sur les aspects de normalisation car l'interopérabilité doit permettre de se connecter sur l'étranger et permettre surtout de déposer des brevets, d'avoir un avantage concurrentiel en développant certaines fonctions.

La gouvernance de la normalisation en France est catastrophique. Tout simplement parce que la normalisation est le pré carré de l'AFNOR ; on ne peut passer que par l'AFNOR. Tous les grands pays font comme cela sauf que, en France, on paie trois fois pour accéder aux normes. La première fois pour avoir le droit de participer au groupe AFNOR, la deuxième, pour envoyer travailler des experts et, encore une fois, pour acheter la norme que vous avez produite car vous ne pouvez l'utiliser sans l'acheter. Cela est aberrant. Au Japon, cela n'est pas du tout comme ça car non seulement les entreprises ne payent pas mais elles sont payées pour participer au processus de normalisation.

Dernier point, il faut structurer et renforcer l'offre nationale de cybersécurité en aidant les entreprises à travailler ensemble pour éviter une concurrence excessive.

M. Hervé Guillou. - Les PME françaises ne sont pas suffisamment solides pour servir les grands opérateurs comme EDF, Peugeot, Michelin ou Total.

Du côté de l'émergence du marché, il faut promouvoir par la voie législative les outils permettant aux infrastructures publiques ou privées de se protéger. Il est utile de se protéger par la voie de la normalisation technique, des certifications de produits mais aussi à travers la gouvernance de l'entreprise. Aux États-Unis, on oblige les sociétés cotées à effectuer une déclaration annuelle de risque.

Quant au volet des assurances, il n'y a pas aujourd'hui d'offre d'assurance en cybersécurité.

Tout ce qui contribuera à dynamiser la demande et à créer un écosystème favorisant l'investissement dans le domaine de la protection sera utile.

Du côté de l'offre, il y a deux volets, extrêmement techniques, où l'on a besoin de solutions indépendantes des Américains. Aujourd'hui, 100 % de l'offre émane des Américains. Des entreprises valant plusieurs dizaines de milliards sont déjà dans ce secteur. L'État américain finance 80 000 emplois dans l'industrie.

M. Jean-Pierre Quémard. - Nous poussons à la création d'un label France pour les produits évalués et qualifiés en France. Si on déclare que les opérateurs d'importance vitale ne peuvent utiliser que des produits labellisés en France, cela va changer les choses.

M. Hervé Guillou. - Il y a trois sujets critiques qui sont les SCADA, qui sont des outils de protection des produits industriels, la gestion du temps réel avec les Security Operations Centers (SOC), et puis tous les sujets liés à l'identité. On a raté le sujet relatif à la carte d'identité ; cela est très grave. S'il n'y a pas d'identité souveraine, ce n'est pas la peine. Plusieurs initiatives ont été lancées en ce sens.

M. Jean-Pierre Quémard. - La technique existe mais il faut mettre en place une politique nationale d'identité numérique. S'il y a un passeport numérique en France, ce n'est pas grâce à la France, c'est grâce à l'Organisation de l'aviation civile internationale (OACI).

Il faut un outil de démonstration d'identité suffisamment fiable. Avec cette carte d'identité, à un moment donné pour avoir accès à un lieu, il suffit juste de prouver que vous habitez cette ville.

M. Hervé Guillou. - Il faut que ce soit suffisamment répandu et économiquement viable et que cette identité soit extensible aux objets. Avec le nuage, la dématérialisation du support va imposer un lien direct avec les données et le propriétaire.

Lors du vote de la loi sur la programmation militaire, en novembre 2013, plusieurs députés et sénateurs nous ont alertés. Les industriels ont fait une campagne mensongère pour pouvoir utiliser vos données de localisation dans leurs outils marketing et cela dans le seul souci de leurs intérêts commerciaux. Il y a là des enjeux économiques colossaux.

Le Parlement peut jouer un rôle très important dans l'éducation et la formation pour former des gens compétents. Ce constat est partagé par toute l'industrie.

Il ne s'agit pas seulement de former des docteurs de l'université mais aussi des techniciens dans des écoles de formation technique comme Compiègne, Grenoble ou Troyes. On développe aussi un nouveau master en cybersécurité ; il y a aussi le niveau du doctorat.

Il existe un besoin colossal de formation des décideurs publics et privés. L'équivalent anglais de l'ANSSI fait payer, un par un, tous les comités exécutifs et toutes les directions générales. Cela est fondamental. Il y a un problème générationnel. Le PDG moyen, le directeur moyen, repassera le problème à son directeur informatique qui, en général, n'y connaît rien.

Les dirigeants et les leaders d'opinion, publics ou privés, savent que, derrière, c'est la question de l'hygiène informatique. La cybersécurité est une question d'hygiène. Il s'agit d'éducation du grand public. Tout comme on se lave les mains quand on la grippe, il faut un minimum d'hygiène informatique.

M. Jean-Pierre Quémard. - Il y a là, derrière, une question de données massives (big data). Souvent la corrélation entre une multitude d'informations va permettre de dresser un profil. Effectivement, le fait que vous achetez quelque chose, à un certain droit, que vous avez telles habitudes, ce n'est pas important individuellement. Mais l'ensemble de toutes ces choses-là commence à devenir significatif. Ce n'est pas un problème de nuages, c'est un problème de données massives.

M. Jean-Pierre Quémard. - Tout cela va très vite. Il faut anticiper, accompagner et mettre en place des dispositifs adaptés. Il faut que la personne qui développe un outil, un logiciel ait en tête les règles qui permettent d'apporter des garanties.

M. Hervé Guillou. - Il est encore temps d'agir. Le plus urgent c'est que le législateur crée un environnement légal pour que la France soit un pays où l'on puisse faire des affaires de manière sûre car cela aura la double vertu de ne pas pénaliser nos entreprises et notre économie et d'attirer les investisseurs. Si l'environnement français sécurisait les entrepreneurs étrangers, ces derniers souhaiteraient venir en France.

Par exemple, il faudrait obliger les entreprises cotées à déclarer leurs risques divers, contraindre les organismes d'importance vitale à utiliser des solutions labellisées en France pour se protéger ; par exemple, dans le domaine législatif, obliger les agences à discuter d'une couverture cyber qui ne soit pas limitée au remplacement des postes informatiques. Aujourd'hui, le risque cyber a bien plus d'impact que bien des risques figurant dans les rapports annuels.

190 milliards d'euros de pertes sont dus au risque lié à la cybersécurité dont une part importante du fait de la fraude à l'identité. Le marché mondial de la cybersécurité, c'est 50 milliards d'euros dont la moitié aux États-Unis d'Amérique. La France, l'Allemagne et la Grande-Bretagne représentent 12 milliards d'euros.

Les Indiens n'ont pas de compétence dans ce domaine. Les Russes sont compétents en cryptographie mais ne sont pas une référence en matière de cybersécurité. Ils possèdent certaines entreprises de bon niveau, des agences publiques extrêmement bonnes mais ont peu d'envergure et ne sont pas très bien organisés.

M. Jean-Pierre Quémard. - En conclusion, il y a urgence à agir dans le domaine de la cybersécurité. 2014 et 2015, constituent le bon moment pour cela.

CLUB DE LA SÉCURITÉ DE L'INFORMATION FRANÇAIS (CLUSIF)

M. Lazaro Pejsachowicz, président du Club de la sécurité de l'information français (CLUSIF)

26 février 2014

Je reviens du Forum international sur la cybercriminalité où j'ai dû introduire huit mots nouveaux dans le glossaire de la cybersécurité. Si je vous parle de cela tout de suite, c'est qu'il existe une espèce de guerre des mots et, derrière cette guerre des mots, se cache une guerre commerciale. Malheureusement, la sécurité se construit dans ce contexte, ce qui complique la comparaison et la compréhension des entreprises, etc. Il faut déjà faire du marketing des mots car il faudrait que les gens comprennent ce qu'ils achètent, ce n'est pas facile.

En particulier, le mot à la mode « cyber » est utilisé à toutes les sauces. « cyber » veut dire « électronique » et aussi « extérieur » mais certains utilisent ce mot pour parler de leur contrôle de base interne.

CLUSIF n'est pas une organisation de responsables de sécurité interne des entreprises mais un rassemblement de professionnels de la sécurité qui ambitionnent de mettre en place des solutions de sécurité dans les entreprises et aussi des professionnels de sécurité qui fabriquent des produits, qui les vendent, qui les installent, etc. Tous les types de professionnels de la sécurité sont donc membres du CLUSIF et s'accordent sur le fait que leur mission est que l'entreprise puisse se protéger de la meilleure façon.

Une des raisons pour lesquelles les entreprises ont du mal à se protéger de la meilleure façon, c'est la compréhension des problématiques qui est en partie liée à la compréhension des termes. On parle de cyberespace, de numérique, d'information, etc. Le CLUSIF ne nie pas le phénomène cyber ni la multiplication des moyens par lesquels l'informatique s'exprime. Tout au contraire, on essaie de les appréhender tous mais le coeur de notre préoccupation c'est que les entreprises puissent protéger leurs informations. Le problème de la protection de l'information a été vu trop souvent comme la nécessité de posséder les outils et les prestataires nécessaires pour cette protection. Il faut bien que les entreprises vivent... Mais ça ne se réduit pas à cela. Nous considérons que les entreprises doivent avoir elles-mêmes les moyens de comprendre comment se protéger.

De ce point de vue, pour nous, l'arrivée de M. Patrick Pailloux à l'ANSSI est tout à fait positive. Dans le dernier rapport de l'ANSSI, il est écrit : « Arrêtez d'acheter n'importe quoi ! Maîtrisez ce que vous avez déjà acheté ! ».

On peut se demander si les préoccupations de l'ANSSI sont tout à fait opérationnelles mais c'est l'objectif qui est important. L'entreprise doit pouvoir maîtriser son information. C'est ce que vise le CLUSIF.

Deux études importantes du CLUSIF sortent chaque année : le panorama de la cybercriminalité qui analyse les attaques intervenues au cours de l'année, étudie leurs conséquences du point de vue de la protection des entreprises et donne des perspectives aux entreprises à partir d'exemples d'attaques qui peuvent se généraliser. La deuxième étude porte sur la menace informatique et la sécurité. Cette étude consomme près du quart de notre budget ; il s'agit d'une enquête auprès des entreprises, des internautes pour recenser les risques qu'ils ont rencontrés, les incidents, les sinistres en résultant, les mesures mises en place et les pratiques nouvelles à adopter en réaction aux attaques.

Pour le CLUSIF, encore une fois, l'objectif constant est que l'entreprise comprenne elle-même. Certes, des prestataires de services dotés de personnels spécialisés contribuent beaucoup à ce que l'entreprise comprenne mais cela n'est pas suffisant car il faut que l'entreprise possède elle-même de vrais experts, des budgets de formation et de veille importants. Lorsqu'il s'agit de protéger l'information, toutes les entreprises n'ont pas les mêmes besoins, les mêmes risques et ne vont pas subir les mêmes attaques ni les mêmes incidents. Il faut donc cerner les besoins de chaque entreprise à partir d'une analyse interne et pas simplement externe, en recourant à des experts généralistes formés à détecter les risques des entreprises.

Si je suis si sensible à l'emploi du mot « cyber », c'est simplement parce qu'il est utilisé pour laisser croire qu'il est possible de sortir le risque de l'entreprise, de manière à pouvoir dire ensuite que tout le monde doit faire face au même risque, le cyberrisque, alors que cela est inexact.

Certes, il faut analyser les tendances actuelles, les attaques externes, la criminalité qui s'organise de façon désorganisée. Depuis trois ans, dans les panoramas de la cybercriminalité dressés par le CLUSIF, il a été montré comment s'organisait cette criminalité. C'est quelque chose de très particulier. Nous-mêmes, pendant longtemps, avons parlé des grands criminels, or, aujourd'hui, on n'a pas besoin d'être grand criminel pour nuire sur Internet. Il s'agit plutôt de coopératives de délinquants pour chercher un nom de domaine par-ci, un mot de passe par-là, etc., c'est quasiment comme des services. Ce schéma a été mis en évidence à travers des exemples d'attaques. En réalité, il n'y a pas un grand talent derrière la délinquance informatique qui est à la portée de n'importe qui.

À propos du recours aux nuages, quand je vais sur Google, je ne vais pas dans un nuage mais bien sur Google. Le rôle de l'État est de dire que, si vous choisissez d'aller dans un nuage, c'est votre responsabilité. Quand je stocke des données chez quelqu'un, cette personne doit être responsable de leur sécurité qu'il s'agisse ou non d'un nuage. Le rôle essentiel de l'État c'est d'indiquer là où on peut stocker et là où on ne peut pas.

En général, personne ne comprend quand on évoque des zones de non droit, or c'est un problème majeur. Pour les Américains ces zones n'existent pas. Si on peut faire confiance, sur certains points, à son fournisseur, il faut garder en tête ce qui est vital pour l'entreprise et, comme c'était déjà le cas à l'époque de l'hébergement, il est vital pour l'entreprise de garder la maîtrise de ses informations. Si l'entreprise pense que la sécurité de sa messagerie, son espace collaboratif, n'a pas d'importance pour elle et que l'économie réalisée vaut la peine, le CLUSIF n'intervient pas sur ces appréciations mais s'interroge simplement sur la réalité de l'économie réellement réalisée. La même opinion avait été émise sur les hébergeurs et, par la suite, les entreprises ont été conduites à tout rapatrier constatant d'ailleurs qu'elles ne maîtrisaient plus rien alors que le CLUSIF avait alerté sur le caractère risqué de cet hébergement.

Il faut d'abord que l'entreprise s'interroge sur ce qui est important pour elle, sur ce qui est vital pour continuer à le maîtriser. Une entreprise ne déléguera pas sa politique produit mais ne se rendra pas forcément compte que ses informations ont une importance analogue. L'objectif du CLUSIF c'est que les entreprises comprennent cela par elles-mêmes et conduisent elles-mêmes leurs expertises. À noter qu'il y a des entreprises où les responsables de sécurité ne sont consultés qu'après la mise des informations de l'entreprise à l'extérieur, sur Google ou autre, ce qui revient à donner le bâton pour se faire battre. En résumé et de manière générale, on peut externaliser ce qui n'est pas stratégique pour l'entreprise.

En général, le CLUSIF ne parle pas des attaques sans parler des risques.

Lorsqu'une entreprise affirme subir dix mille attaques par jour, en réalité, il ne s'agit pas de véritables attaques mais de ce qui a été arrêté par le pare-feu. Le besoin de vendre des outils de sécurité peut conduire à l'emploi d'un tel langage inapproprié. Il ne faut prendre en considération que ce qu'une personne normale appellerait intrusion. Sinon, tout devient grave et alors il est impossible de repérer le risque réel.

Il est réjouissant de voir que la CNIL a pris comme un coup de jeunesse en parlant maintenant de risque au lieu de parler de mesures dans l'absolu. La question est de savoir déterminer quand la faille de sécurité est grave et de connaître les solutions à y apporter à ce moment-là. Toute protection est faillible.

C'est pourquoi le CLUSIF émet très peu de recommandations de protection mais conduit plutôt des études de risque en montrant la manière de l'approcher.

La France a mis en oeuvre des mesures de sécurité bien avant les autres pays. Quand le CLUSIF a été fondé, il n'y avait d'organisation de sécurité nulle part. Mais, à chaque fois, la France a été rattrapée. En créant la CNIL, la France était également en avance.

Mais il existe tellement de groupes de pressions en action en Europe, qu'il est difficile pour des centres de réflexion dotés de peu de moyens d'imposer des idées raisonnables ; la lutte est inégale. Cependant, demeurent la République et la confiance en l'efficacité de l'État.

La neutralité de l'État devrait être assurée par l'ANSSI, ce qui n'est que partiellement le cas actuellement car l'ANSSI est obligée de se concentrer sur les opérateurs d'importance vitale (OIV). Or toute limitation dans le spectre de l'effort ou également la concentration de très grandes sociétés de services apporte peu à la sécurité. En revanche, il existe un vivier de petites entreprises de sécurité qui sont une richesse française.

Par ailleurs, le CLUSIF produit des analyses sur les menaces informatiques et la cybercriminalité, bien d'autres font de même sans pour autant pouvoir satisfaire les besoins des entreprises d'avoir des vrais chiffres permettant une meilleure appréciation du risque. Seul un Observatoire mis en place par l'État pourrait être un endroit neural où les entreprises déclareraient leurs sinistres numériques sans crainte. Il serait souhaitable de pousser l'ANSSI à s'intéresser à la protection des entreprises au-delà des OIV à propos desquels il faut d'ailleurs souligner certaines limites puisque Bouygues est OIV alors que la Caisse nationale d'assurance vieillesse (CNAV) ne l'est pas... Quand je travaillais pour France Telecom, j'ai reçu une formation de la DST qui montrait des scenarii dans lesquels la CNAV n'arrivait pas à payer les retraites, ce qui pourrait faire vaciller la République bien plus que Bouygues.

Certains parlent de l'effet papillon en sécurité et le secteur de la sécurité vit de la croyance en cet effet. À propos des SCADA, émerge toute la problématique de la sécurité de l'informatique industrielle ; or ce point central a été négligé.

Par exemple, dans le milieu médical, les appareils de radiologie sont aujourd'hui des ordinateurs et donc à protéger des virus. Les SCADA constituent un problème essentiel d'aujourd'hui. L'ANSSI a créé un groupe de travail sur ce thème qui a obtenu des résultats excellents ; ce document est surtout destiné aux gros opérateurs d'importance vitale. De son côté, le CLUSIF a créé un groupe de travail sur les SCADA qui visait toutes les autres entreprises. Il faudrait trouver un schéma permettant que l'effet papillon puisse être attaqué.

Face à la cybersécurité, toutes les entreprises et tous les pays sont dans la même situation. On peut citer certaines entreprises qui font des efforts, notamment beaucoup en France et probablement davantage en France qu'à l'étranger. C'est la culture de l'intelligence. On peut citer aussi des entreprises américaines et il existe aussi, en Europe, des organismes analogues au CLUSIF.

Avant de légiférer ou de prendre des décrets, il faut considérer la problématique en cause, comme l'a fait le rapport Lasbordes, prendre conscience des enjeux et élaborer un schéma avec le concours des acteurs pour faire pénétrer et évoluer la sécurité partout.

Beaucoup de grandes entreprises ne sont pas sensibilisées à la sécurité.

Je ne suis pas du tout favorable aux guides de bonnes pratiques. L'expertise doit être menée au sein de l'entreprise.

Beaucoup de personnes croient que la cybersécurité est un échec mais des Anglais sont intervenus récemment dans un colloque pour préciser que lorsqu'on ne fait que de la conformité, on ne fait pas de sécurité. Beaucoup de guides de bonnes pratiques ont été lancés mais ils sont conçus pour qu'on achète beaucoup de matériel et n'assurent pas la sécurité car ils ne prennent pas en compte les risques particuliers et donc ne préconisent pas vraiment des bonnes pratiques à mettre en oeuvre et encore moins de l'expertise. Or la difficulté est de produire de l'expertise pour l'ensemble des entreprises françaises. Comment produire, avec l'ANSSI, des réflexions ?

La production d'une méthode d'analyse des risques par la CNIL, ça c'est révolutionnaire parce que cela permet de mettre en oeuvre une analyse en rapport avec l'intelligence de l'entreprise concernée. Il faut être concret.

Le Congrès nord-américain a voté une loi interdisant à un dirigeant de société de dire qu'il ne savait pas. Une disposition analogue figurait déjà dans une loi de finances française. Il ne suffit pas d'acheter un matériel pour mettre en oeuvre une mesure de bonne pratique, pour être en sécurité et pour pouvoir dire, quand un sinistre survient : « On ne savait pas ».

L'objectif est de transformer les intelligences individuelles en intelligence collective.

À ce jour, personne ne s'est amusé à attaquer le système d'information du CLUSIF ; malheureusement, on ne peut pas nous désorganiser de la sorte car notre système n'est pas encore très élaboré. Personne n'accède aux outils de travail collaboratif du CLUSIF. Encore une fois, la criticité de chaque attaque est propre à chaque entreprise.

À noter qu'un système rustique n'est pas mauvais. Il ne faut surtout pas démonter un système rustique au nom de l'obsession des gains.

Dans le même sens, peut être cité le cas d'un hôpital dont le système d'information est tombé en panne et qui ne pouvait plus accéder à la liste permettant de signaler qu'un appareil perfectionné ne fonctionnait pas et exigeait une réparation car cette liste elle-même se trouvait sur le système informatique en panne.

CLOUDWATT

M. Cédric Prévost, directeur de la sécurité et de la qualité des programmes

26 février 2014

Cloudwatt est un des deux clouds créés dans le cadre des investissements d'avenir, avec trois actionnaires principaux, Orange, Thales et la Caisse des dépôts, qui a pour mission de développer une infrastructure informatique en nuage pour fournir des offres de stockage et de capacité de traitement d'un certain nombre d'applications de manière fluide et performante.

En qualité de directeur de la sécurité de Cloudwatt, je suis certain que mettre des données dans le nuage informatique (le cloud) augmente le niveau de sécurité.

Il y a eu énormément d'évolutions dans l'informatique et les télécommunications, ces quinze dernières années, et le nuage représente, d'une certaine manière, l'aboutissement de ces différentes évolutions technologiques.

Aujourd'hui, maîtriser un système d'information à l'intérieur d'une entreprise devient très complexe et nécessite des compétences extrêmement variées parce que les utilisateurs veulent accéder, à n'importe quel moment, à l'ensemble de leurs applications, à partir de leur smartphone, en nomadisme, quand ils sont à l'étranger, en conférence, etc.

Le modèle du système d'information de l'entreprise, qui auparavant était tourné vers lui-même et maîtrisé par des responsables de l'informatique présents dans l'entreprise depuis plusieurs années, a complètement éclaté. Désormais les données de l'entreprise sont tournées vers l'extérieur. Les utilisateurs vont sur Internet, sur leur compte Facebook tout en travaillant sur leur logiciel de comptabilité et en échangeant des courriels avec leurs collègues d'un côté et leurs amis de l'autre.

Est alors apparu un mélange complet entre la sphère professionnelle et la sphère privée dans une vision complètement tournée vers le monde extérieur.

Les compétences nécessaires pour sécuriser correctement ce type d'infrastructures ne sont plus à la portée de la majorité des entreprises. Les TPE et les PME, voire certaines grandes entreprises, ne peuvent disposer d'un service informatique qui a toutes ces compétences.

Un opérateur de nuage dispose d'équipes d'exploitation disponibles sept jours sur sept et vingt-quatre heures sur vingt-quatre ainsi que d'équipes spécialistes de sécurité en charge de la construction du système informatique de l'infrastructure du nuage et dans la supervision au quotidien de son bon fonctionnement.

Globalement, pour la grande majorité des infrastructures, Cloudwatt a correctement réalisé, bien pensé des solutions modernes qui respectent les bonnes pratiques de l'hygiène informatique et de la sécurité offrant ainsi une bien meilleure sécurisation que l'informatique classique d'une entreprise.

En 2013, des spécialistes de la sécurité ont publié des statistiques sur les attaques principales sur les systèmes d'information. 98 % des attaques réussies et rendues publiques ont utilisé des vulnérabilités dont les correctifs étaient connus et exploitables depuis au moins trois ou six mois en moyenne. Mais il n'y avait pas eu de mises à jour effectuées à temps.

Tout simplement, les équipes internes n'avaient pas réussi à tenir le rythme des mises à jour de sécurité des systèmes d'information alors que les failles en étaient connues.

Dans un espace homogène, par exemple en France, cela a du sens de localiser les données. Cela a probablement moins de sens dans des espaces aux réglementations rigides non homogènes. Cela permet de garantir que les règles juridiques qui s'appliquent aux données restent homogènes et que, s'il y avait un problème avec les fournisseurs, le client saurait avec quelles armes il devrait se battre et vers qui se tourner.

À titre d'exemple, dans l'Union européenne, les notions de propriété des données, de responsabilité, diffèrent d'un État à l'autre. Mais quand on met ses données chez un opérateur de nuage français, allemand, italien ou espagnol, l'utilisateur est responsable des traitements réalisés sur ses données tandis que, auprès d'un opérateur américain, en vertu de la législation américaine, l'Américain devient propriétaire des données donc, indirectement, il y a transfert de responsabilité.

Cloudwatt travaille énormément avec l'ANSSI et la CNIL. En effet, l'ANSSI est un acteur majeur en matière d'expertise. De plus, avant de rejoindre Cloudwatt, j'ai passé dix ans au ministère de la défense puis ai occupé les fonctions de DSI à la Présidence de la République, donc j'ai eu l'occasion de côtoyer énormément l'ANSSI. J'ai vu un certain nombre d'attaques et ai pris l'habitude de m'appuyer sur l'ANSSI et son expertise pour m'aider à contrer ces attaques.

Maintenant, je profite des possibilités de travailler avec l'ANSSI pour évaluer les infrastructures mises en place par Cloudwatt et tenter d'obtenir ses qualifications sur des points permettant d'offrir des garanties de sécurité plus importantes. On est en train de voir comment mettre en place une certification, un label car il y a beaucoup d'offres de nuage à qualifier pour obtenir un nuage sécurisé. L'ANSSI réunit des groupes de travail sur ce thème. La finalisation de ces travaux devrait avoir lieu dans quelques jours.

Cloudwatt s'est fortement investi autour de l'ANSSI pour éditer des règles permettant de guider les clients dans les offres de nuages qui sont nombreuses. D'ailleurs, tout le monde se dit fournisseur de nuage même si ce n'est pas vraiment le cas. Il y a un véritable besoin à édicter un certain nombre de règles pour qualifier la qualité, en termes de sécurité au-delà de la confidentialité, il s'agit aussi de la disponibilité et de l'intégrité des données.

Cloudwatt suit beaucoup les travaux de la CNIL avec laquelle il entretient des relations directes sur les données personnelles mais il a aujourd'hui relativement peu d'échanges portant sur les données.

Enfin, le cadre réglementaire résulte tant de la loi relative à l'informatique, aux fichiers et aux libertés que du règlement européen qui est en train d'être revu et à propos duquel on ne sait pas trop quand et comment il va aboutir.

La différence entre hébergement et offre de stockage dans le nuage réside dans les services qui sont fournis. Chez Cloudwatt, les services sont facturés à l'usage ; le stockage des données ou l'utilisation des applications ne sont pas facturés au client s'il n'en fait pas usage puisqu'il n'y a pas eu utilisation du stockage ou de la puissance de calcul. À l'inverse, chez un hébergeur, que vous utilisiez ou non le serveur, vous payez. C'est un peu la différence entre un péage d'autoroute qui ne coûte que lorsqu'on circule alors que l'assurance de l'automobile doit être payée qu'on utilise ou non la voiture. Évidemment, globalement, si tous les clients venaient chez Cloudwatt et n'utilisaient rien, il y aurait un problème.

De plus, si vous réservez la puissance de cinq serveurs chez un hébergeur et que vous ayez besoin de cinq de plus, il ne peut pas toujours vous donner satisfaction alors que, chez Cloudwatt, même si vous en voulez cinquante de plus, potentiellement, vous pourriez les avoir.

C'est plutôt la manière dont on gère le nuage qui fait la différence avec l'hébergement. Quand vous êtes hébergeur, vous allez réserver des serveurs pour un client et, à partir de là, le client accèdera à ces serveurs. L'opérateur de nuage considère que tous les serveurs sont pareils et, à l'instant où vous voulez une machine pour exécuter quelque chose, vous prenez cette machine et on vous l'attribue ; cela est fait de manière complètement dynamique par une sorte de chef d'orchestre qui s'assure que, lorsque le client demande quelque chose, cela fonctionne. Tout cela est parfaitement cloisonné. On s'assure que telle machine récupérée par un client n'interfère pas avec une autre.

Pour le stockage, c'est exactement la même chose. Le client, à tout instant, peut arrêter d'accéder à ses données mais peut néanmoins continuer à être intéressé par les services, par exemple pour faire de l'archivage. Il n'y a que lui qui puisse accéder à ses données, même s'il ne le fait pas. En fait, les données restent découpées en petits morceaux.

En revanche, si jamais le client a besoin de stockage, à partir du moment où il clôt son compte sans emporter ses données, il peut les récupérer à tout moment. Il dispose même généralement d'environ un mois pour cela après la clôture officielle de son compte. En effet, il arrive que le client ne fasse pas attention, c'est pourquoi Cloudwatt ne ferme pas immédiatement l'accès après la clôture du compte.

En fait, les données sont automatiquement dupliquées pour en conserver l'intégrité et en améliorer les performances. Quand on supprime des données, on supprime toutes les duplications ; aujourd'hui, chaque donnée est copiée trois fois.

Quand on utilise un serveur web, ce sont plusieurs serveurs qui sont mobilisés car la requête est redirigée vers un autre serveur et donc, dans ces cas-là, le client va demander que les machines qui remplissent le même rôle ne soient pas physiquement les mêmes afin assurer la continuité du service.

Le centre de stockage des données, le data center, de Cloudwatt, est situé en Normandie ; d'autres embryons de centres de stockage sont en Île-de-France. Avoir un seul data center n'offre pas assez de garanties pour le client.

Les machines et les racks sont fabriqués par Cloudwatt même si Orange est actionnaire.

Cloudwatt a un capital de 225 millions d'euros, dont 100 millions d'euros ont été apportés par Orange, 50 millions d'euros par Thales, et 75 millions d'euros dans le cadre des investissements d'avenir portés par la Caisse des dépôts.

Créé le 6 septembre 2012, Cloudwatt réalise près d'un million d'euros de chiffre d'affaires et plusieurs centaines de millions d'euros sont espérés en 2017 mais ce sera vraisemblablement légèrement inférieur.

En 2013, le marché mondial du nuage numérique ou Cloud est estimé à 130 milliards de dollars. En Europe, on est très loin d'avoir atteint les 40 milliards d'euros et même les 20 milliards d'euros. Le marché européen décolle avec six ou sept ans de retard.

Dans les entreprises, les personnes ne sont pas assez, voire pas du tout, formées à la sécurité informatique. À titre personnel, j'estime que, au sujet du numérique, la majorité des gens est extrêmement naïve, soit elle sous-estime en fait très largement les véritables menaces soit elle n'a en tête que les entreprises stratégiques, comme celles du secteur nucléaire, mais la situation ne se présente plus du tout de cette façon.

En réalité, depuis cinq à six ans, les menaces constatées proviennent de hackers qui tentent de casser les systèmes pour le plaisir. Par ailleurs, n'importe quelle société possédant des informations, des brevets un petit peu sensibles, peut devenir la cible potentielle de ses concurrents. Elle peut même être la cible d'États, ce qui a été parfaitement illustré par l'affaire Snowden. Plus personne ne peut nier aujourd'hui que, en ce domaine, le gouvernement nord-américain s'est donné pour mission d'aider ses propres entreprises. La France doit faire exactement la même chose.

Il ne faut pas imaginer que la menace ne pèse que sur les grands groupes ou les grands groupes de défense ; toutes les entreprises sont des cibles de choix. Mais leurs personnels ne sont pas sensibilisés à l'hygiène informatique. C'est ainsi que, généralement, ils travaillent dans les trains, les avions, devant la machine à café de la pépinière d'entreprises où nombre de personnes ne se connaissent pas ; les conversations professionnelles se poursuivent dans ces lieux alors que 95 % des gens autour d'un groupe qui parle de son travail sont des inconnus.

Aujourd'hui, le réseau Wi-Fi est fiable et ce n'est pas l'aspect le plus inquiétant. À ma connaissance, les techniques de sécurisation du Wi-Fi ont un niveau de sécurisation similaire à celui des réseaux mobiles et, en fait, la sécurisation des échanges dépend du niveau de sécurisation du serveur. Si votre messagerie d'entreprise n'est pas chiffrée, alors il ne faut pas se connecter ni sur le Wi-Fi d'hôtel ni sur votre Wi-Fi à la maison et pas plus sur le Wi-Fi de l'entreprise s'il est en clair.

À l'inverse, si vous disposez d'un canal de chiffrement, ce qui est aujourd'hui quasiment la règle, vous pouvez vous connecter sur le Wi-Fi car la sécurité est portée par votre application.

Cloudwatt aborde la sécurisation de bout en bout, que les échanges passent par des Wi-Fi d'aéroports, personnels, ou d'entreprises.

Il y a des récurrences de changement des clés de chiffrement en suivant notamment les recommandations de l'ANSSI, très scrupuleusement. Très régulièrement, environ tous les deux ans, ses exigences montent de niveau en fonction de la menace technologique ou des vulnérabilités qui ont été découvertes. Il existe des règles claires.

Déjà, si les quarante règles de base de l'informatique étaient suivies, on économiserait 95 % des attaques informatiques constatées aujourd'hui.

Une éducation totale reste à faire pour inculquer une certaine vigilance. Mieux vaut rater une information pour privilégier la sécurité que de cliquer pour ouvrir un document dont on n'est pas sûr. D'autant que les attaques aujourd'hui sont beaucoup plus sophistiquées. Avant, les attaques étaient purement des attaques techniques, des virus, etc. ; aujourd'hui, les seules attaques qui fonctionnent, sont des attaques très sophistiquées qui exploitent des vulnérabilités techniques et ont recours à de l'ingénierie sociale, à des sites web corrompus, etc.

À ce jour, Cloudwatt n'a pas été victime d'attaques massives mais, quotidiennement, des attaques ont lieu du fait de personnes qui essaient de casser des mots de passe ce qui se détecte relativement facilement. Cloudwatt n'a pas subi non plus d'attaques en déni de service. En revanche, il se prépare à en subir parce qu'on est convaincu que cela ne peut manquer d'arriver même si on n'en connaît pas le moment.

Les attaques en déni de service généralement ne volent pas de données mais cassent le service en empêchant les clients d'y accéder. Ce sont des attaques en aveuglement. Beaucoup de dispositifs de surveillance comportementale ont été mis en place. La sécurité dans le nuage, c'est une sécurité dynamique.

Avant, on construisait des sortes de châteaux forts pour protéger l'informatique alors que, aujourd'hui, on en est plutôt à répartir partout au sein de l'architecture des modèles de chien de garde qui tournent de manière aléatoire au cas où quelqu'un serait parvenu à rentrer et, donc, on a comme des chiens partout et on est à l'écoute de n'importe quel aboiement qui permet d'aller vérifier s'il se passe quelque chose.

Chez Cloudwatt, nous sommes une centaine ; 70 % des personnes ont des profils techniques comme celui d'ingénieur système et les 25 % autres - pourcentage en train de décroître - constituent la couche administrative, l'encadrement.

Entre les sociétés analogues et Cloudwatt, la concurrence est très frontale. Il existe trois acteurs américains principaux dont Amazon qui est le leader du marché et dont le chiffre d'affaires est supérieur à celui des quinze concurrents qui le suivent dans le classement. Amazon a démarré il y a sept ans et c'est lui qui a créé le marché du nuage. Il a trois ans d'avance sur tous les autres. Personne ne pensait que ça allait marcher.

Lorsqu'Amazon s'est lancé, il a été obligé de surdimensionner ses effectifs, de les multiplier par dix pour absorber les pics de vente de Noël. Puis l'idée a germé d'utiliser les 90 % de cette capacité qui étaient inutilisés en la mettant à la disposition d'entreprises. Ses concurrents principaux sont les trois grosses sociétés américaines mais il y a aussi des concurrents sur le marché français, comme Numergy, le second nuage souverain, OVH et un peu Orange. On constate que, actuellement, la concurrence se fait entre les acteurs européens et les acteurs américains qui ont une stratégie très claire consistant à étouffer le marché en baissant les prix pour éviter l'émergence de concurrents européens.

Le sujet des noms de domaine a été porté par le ministre de l'industrie, notamment lors du dernier forum tenu à Séoul. Au niveau de Cloudwatt, le fait que l'ICANN soit une société de droit américain n'est pas de nature à nous traumatiser pour plusieurs raisons. D'abord parce que les Américains changent pas mal de discours depuis deux ans ; ils sont plus attentifs à ce que disent les autres acteurs. Les États-Unis d'Amérique commencent à entendre l'inquiétude d'être mis sous contrôle et donc ils ont vu la nécessité d'ouvrir des discussions.

Il y a trois jours, le président de l'ICANN était en France et a exposé sa vision pour sortir du droit américain et s'implanter à Genève au lieu de New York. Les noms de domaine aujourd'hui, sont une denrée essentielle au fonctionnement du web.

L'ICANN fixe les règles selon lesquelles les noms de domaine sont attribués. Si les Américains se mettaient à déraper en ce domaine, il y aurait très rapidement un contre-feu alternatif car il y a tellement de monde, tellement de services sur Internet, que personne ne peut plus se permettre de bloquer le système.

Les actionnaires de Cloudwatt ont choisi de partir d'une feuille blanche, de construire totalement leur architecture et leurs offres sur des bases modernes, à partir des meilleures pratiques de sécurité prônées par Cloud Security Alliance, qui est une association internationale, par l'ENISA, l'ANSSI, la CNIL, le CLUSIF, etc.

L'autre choix n'a pas été celui d'une certaine souveraineté franco-française car la souveraineté vue par les Allemands n'est pas la souveraineté française. Cloudwatt a plutôt souhaité donner à ses clients la maîtrise de ce qui se passe sur leurs données et le traitement de celles-ci. On garantit l'interopérabilité du système, la réversibilité n'importe quand, sans aucune autorisation. Dès que le client s'arrête d'utiliser le service, il ne doit plus rien. Troisièmement, on garantit aussi la localisation en France et donc la garantie de la soumission à la législation française et européenne. L'autre aspect de la souveraineté, c'est que l'on fabrique nous-mêmes. L'ensemble de l'architecture est construite par Cloudwatt avec des technologies « open source ». Personne ne peut nous imposer de changer tel ou tel élément, de relever des tarifs quelconques. Chacun doit maîtriser 100 % de la destinée de son système. C'est aussi cela la souveraineté.

Il n'y a pas de compagnie d'assurance qui assure le nuage. Nous avons fait en sorte que l'architecture devra empêcher que tout le système tombe en panne d'un coup. Notamment grâce à la « triplication » des données dans des endroits différents. Même si un avion s'écrasait sur un centre de données, cela ne suffirait pas à mettre à bas l'organisation du système.

À noter que nos actionnaires sont aussi nos clients.

La Poste propose aussi ce type de services mais elle peut utiliser ceux de Cloudwatt, si elle le souhaite.

Il y a aussi le label de la CNIL sur le coffre-fort électronique. Cette initiative est très intéressante car elle permet de fournir à nos clients des éléments de qualification par des tiers externes qui sont des tiers de confiance. L'ANSSI est pour nous le garant objectif pour confirmer à nos clients qu'on ne fait pas n'importe quoi. La CNIL est également un garant. Entrer dans le cadre de ce type de label, de certification, par des acteurs reconnus, est essentiel pour Cloudwatt d'autant que cela crée un vrai référencement, une vraie distinction d'avec les opérateurs américains qui ne pourront jamais garantir la même chose. En effet, leurs centres de données sont localisés aux États-Unis où toutes les exigences ne sont pas respectées.

Ainsi, il est possible de mettre en avant les offres européennes. La localisation en Europe ne pourra peut-être pas être imposée par la loi.

Mais les clients ont confiance en un certain nombre d'acteurs. La CNIL en est un et la mise en place d'un label CNIL ainsi que la sensibilisation des clients et l'évangélisation autour d'un certain nombre de points de vigilance sont absolument fondamentales. Cela permet d'éliminer un certain nombre d'offres qui ne répondent pas à ces critères. Ces labels peuvent être mis en avant par la puissance publique même s'ils ne peuvent être exigés car ce ne serait pas conforme au code des marchés publics.

CONSEIL NATIONAL DU NUMÉRIQUE (CNNUM)

M. Serge Abiteboul, membre du Conseil

M. Jean-Baptiste Soufron, secrétaire général

27 février 2014

M. Serge Abiteboul. - Je suis membre du Conseil national du numérique et directeur de recherche à l'INRIA et à l'École normale supérieure de Cachan (laboratoire LSV). Je suis un chercheur en informatique.

M. Serge Abiteboul. - La question de la sécurité a émergé une première fois à propos de la neutralité des réseaux qui a été le thème du premier avis du Conseil national du numérique, ensuite, lorsque le conseil a traité des plates-formes puis à l'occasion des questions d'éducation et, enfin, dans le rapport sur l'inclusion.

La sécurité numérique est également apparue dans les questions d'économie du numérique, à savoir dans les rapports de force entre les entreprises françaises et étrangères, également dans les questions d'éducation générale des gens au numérique et à propos du besoin de construire un rapport quotidien au numérique qui soit plus informé et mieux structuré.

Le Conseil national du numérique va maintenant s'intéresser davantage à la sécurité dans la mesure où il devait être saisi dans le cadre d'une concertation sur le futur projet de loi numérique pour recueillir l'avis de la société civile avant le dépôt du projet de loi. Le Conseil va monter en puissance sur ce thème.

À propos de la souveraineté numérique, sujet à la fois complexe et délicat, quasiment toutes les grandes plates-formes qui gèrent les données se situent à l'étranger, en particulier aux États-Unis d'Amérique. La question de la souveraineté nationale est donc posée à travers des aspects de renseignement et d'intelligence au sens large, au niveau économique également car beaucoup de valeur ajoutée passe maintenant par ces plates-formes puisque les clients des grandes entreprises transitent par elles ; les grandes entreprises européennes perdent le contact direct avec leurs clients et donc des parts de marché. Ce n'est pas une surprise si des pays comme la Chine ont décidé de développer leurs propres plates-formes.

M. Jean-Baptiste Soufron. - Le Conseil n'a pas encore rendu son rapport sur les plates-formes ; il travaille dessus depuis six mois et, déjà, il commence à apparaître que la situation européenne est pathologique ou, au moins, anormale.

Si l'on prend l'exemple de la Chine, on objectera que la Chine n'est pas une démocratie. Mais avec l'exemple du Japon, de la Corée du Sud ou de la Russie, et d'encore beaucoup de pays étrangers, il apparaît qu'ils ont su maintenir les entreprises et des moyens d'actions locaux qui permettent de conserver la majorité du marché local. Au Japon Google possède une part de marché d'environ 20 % à 30 %, de même en Corée du Sud ; c'est encore plus faible en Russie. Pour la vente en ligne et la fonction de service, c'est la même chose au Japon. En France, la part de marché de Google en activité de recherches est de 90 %.

En France, il y a des secteurs où les spécificités françaises demeurent en matière de services mais la situation est tout de même différente de celle du reste du monde. D'ailleurs, c'est d'Europe que les sociétés étrangères tirent la majorité de leurs revenus. Les grandes sociétés de services sur l'Internet sont nord-américaines mais ont des activités européennes et réalisent l'essentiel de leurs bénéfices dans l'Union européenne. Quand vous êtes une entreprise étrangère et que vous arrivez en Europe, vous développez naturellement vos bases d'ancrage dans plusieurs pays au lieu de partir d'un pays européen puis de vous implanter progressivement dans vingt-huit autres.

Autre exemple, celui de la barrière linguistique. Il est plus compliqué pour les entreprises de se développer dans les pays qui possèdent un système linguistique totalement différent. Au Brésil, ce n'est pas le cas mais il est à noter que cette complexité n'est que de démarrage et ne saurait justifier l'inaction.

Si l'on regarde la façon dont fonctionnent les services ou les sites web coréens, ils sont totalement différents des sites européens ou américains dans leur design, leur forme, leur structuration, leur compréhension du client, leur logique. Ce qui signifie que les Coréens ont su créer une valeur ajoutée locale, peut-être sous la pression de leurs consommateurs locaux alors que l'Europe n'a pas su faire de même.

M. Serge Abiteboul. - Tout le numérique s'est développé extrêmement rapidement et manque d'indicateurs pour analyser les situations.

M. Jean-Baptiste Soufron. - Le projet de loi sur le numérique est prévu pour le second semestre de cette année avec une concertation allant du mois de mars au mois de juillet 2014.

Le Conseil du numérique s'interroge sur les obligations en matière de notifications à l'Union européenne et aux autres pays européens quant aux aspects qui devraient être traités au niveau européen ou international. De toute manière, le Conseil a indiqué que la concertation devrait comprendre un volet international, un volet européen et un volet national.

M. Serge Abiteboul. - La question de la confiance à accorder au stockage de données dans les nuages numériques conduit à des réponses très nuancées. En effet, il y a plusieurs façons de placer ses données dans des nuages numériques, c'est-à-dire sur un serveur, éventuellement près de chez soi mais, ce qui est important, c'est qu'il soit accessible de partout sur Internet. Dès ce moment-là, il y a des risques d'accès de personnes non désirées.

Dans le cas d'une petite entreprise plaçant ses données dans un nuage, le contrat conclu avec l'hébergeur mentionne que personne d'autre qu'elle-même n'a le droit de voir les données confiées. Si cela advenait, l'entreprise pourrait poursuivre l'hébergeur en justice.

À l'autre bout du spectre, vous choisissez de mettre vos données chez Facebook ou Google mail et vous ne payez rien mais il faut être conscient que, si le service est gratuit, cela signifie que le profit est ailleurs. En réalité, c'est en monétisant les informations placées dans le nuage que des profits sont dégagés. Le prix à payer par l'utilisateur du nuage est la perte du contrôle sur ses données et le fait de les laisser à disposition. Certes, chacun est supposé propriétaire de ses données sur Facebook mais autorise l'utilisation de ses données par Facebook notamment pour des analyses de son profil. De plus, ces données sont tout de même utilisées pour effectuer des analyses de données, de résultats, de tendances.

Il faut toujours se demander : qui paie pour le stockage ? Qui paie pour les applications ? Peut-on contrôler la confidentialité de données dans le nuage ?

C'est un problème de sécurisation des communications et des données. Des techniques de type cryptographique peuvent protéger raisonnablement. Mais, pour limiter le coût, on choisit des niveaux de cryptographie relativement bas qui sont probablement cassables par des techniques assez simples. Selon les niveaux de cryptographies, le prix de la protection sera plus ou moins élevé.

Le plus souvent, les faiblesses du système ne sont pas dans la cryptographie, car des cryptages très sophistiqués existent, mais dans les protocoles autour de celle-ci. Par exemple, comment peut-on accéder à vos données partout dans le monde ? Comme l'application doit récupérer une clé, tout un paquet de messages passent à cette occasion et cela risque d'être récupéré. C'est là où va se situer la faiblesse.

M. Jean-Baptiste Soufron. - Ce qu'il faut bien voir, c'est la différence entre le payant et le gratuit. D'un côté, le modèle gratuit repose sur des systèmes multifaces où les données sont peu sécurisées et, de l'autre, avec le modèle payant, le prestataire engage sa responsabilité.

C'est une piste que le Conseil du numérique a vu se dessiner à travers ses études sur la neutralité des plates-formes ou des réseaux. En fait, un effet de seuil va jouer pour l'entreprise qui propose ses services. En effet, à partir d'un certain seuil, la plate-forme n'est plus seulement votre prestataire de services mais devient une infrastructure indispensable. À ce stade, une inversion totale se produit affectant la façon dont vos données vont être protégées ou utilisées et cela vous échappe de plus en plus.

M. Serge Abiteboul. - Pour revenir à la souveraineté, il faut aussi souligner que, à partir du moment où vous mettez vos données sur une plate-forme nord-américaine, vous êtes soumis à la loi américaine. Vos données peuvent alors être regardées sans qu'il y ait aucun contrôle des juges. On peut estimer que le gouvernement américain ne va pas regarder ce que font les entreprises françaises mais, depuis le Patriot Act, et tout ce qui a constitué l'affaire Prism, cela est possible.

M. Jean-Baptiste Soufron. - Tout le monde est d'accord pour que le Patriot Act protège du terrorisme mais la question sur laquelle il faut s'arrêter c'est de se demander si ces regards autorisés sont organisés par un juge pour lutter contre le terrorisme ou bien si cela est possible à un fonctionnaire aux visées inconnues.

Il faut distinguer trois choses. D'abord la situation actuelle de mise en place des écoutes aux États-Unis parce que les données y sont présentes et où personne ne se pose la question de la légalité des écoutes faites. Si l'on regarde dans le détail, les pistes légales sont limitées.

Deuxièmement, le rapport demandé par le président Obama à un groupe d'experts a été décrié par la presse française mais, en réalité, ce rapport est assez remarquable. Parmi ses auteurs, figure notamment un grand constitutionnaliste américain. Le rapport propose une régulation des écoutes au niveau international et territorial. Ces pistes vont dans la bonne direction car elles sont à la fois favorables au monde des affaires, aux citoyens et elles permettent à l'administration de fonctionner. Ce rapport est très intéressant, très lourd. De plus, le président Obama semble avoir repris ce rapport à son compte même si, à l'heure actuelle, les personnes qui ont analysé ce rapport sont déçues de l'usage qui en a été fait. Mais le dialogue est en cours et la prise de conscience s'accélère.

L'avis du Conseil national du numérique sur la loi de programmation militaire a recommandé des concertations plus larges au niveau de la société civile puisqu'à la fois l'industrie, la recherche et la démocratie étaient concernées.

Deuxièmement, les règles internationales sur ce sujet sont relativement faibles, peu claires et, sans même aller jusqu'aux règles qui régissent l'espionnage entre États, les règles relatives au droit applicable et au tribunal compétent en cas de litige relatif à la vie privée ne sont pas d'une grande clarté. Ces sujets n'ont pas été vraiment abordés au niveau international sauf la question de la gouvernance internationale, par exemple celle des noms de domaine.

Le Conseil national du numérique a appelé à la mise en place d'un traité international.

M. Serge Abiteboul. - À titre privé, j'estime que la loi de programmation militaire est pour le moins ambiguë et dangereuse pour les libertés.

Ce qui peut être inquiétant, c'est que, sans passer par un juge, il soit possible de commander à des fournisseurs de services Internet de se livrer à des écoutes - ce qui est prévu par la loi de programmation militaire.

Il faut se méfier des réponses simplistes. Il ne faut pas qu'un texte de loi puisse être compris de plusieurs manières.

M. Jean-Baptiste Soufron. - Le Conseil national du numérique invite toujours l'ANSSI et la CNIL à venir participer à ses travaux mais, pour l'instant, le Conseil n'a pas vraiment travaillé sur la sécurité numérique.

La CNIL travaille plutôt dans un esprit européen de protection des données qui a des avantages par rapport ce qui se pratique dans les pays anglo-saxons. En revanche, il semblerait que la CNIL n'ait pas du tout réfléchi à la neutralité des réseaux ou des plates-formes.

M. Serge Abiteboul. - Sur l'open data, le Conseil ne s'est pas exprimé mais a été auditionné par le sénateur Gaëtan Gorce, il y a quelques semaines, et, du point de vue du Conseil, il n'y a pas d'opposition entre protection de la vie privée et protection de l'information publique, au contraire.

Depuis longtemps, la CNIL est très axée sur la problématique des libertés fondamentales et il serait souhaitable que soient développées quelque part des expertises sur le modèle économique des données, que ce soit à la CNIL ou ailleurs.

Nous connaissons bien la CNIL mais nous avons une mauvaise connaissance des modèles alternatifs qui existent ailleurs, par exemple en Californie, en Allemagne - où les valeurs sur la protection des données sont très similaires à celles de la France mais où le système d'organisation est très différent. En effet, chaque länder dispose d'une sorte de CNIL locale.

À noter que cela fait un moment qu'il est question de renforcer le dispositif de la CNIL, aussi bien en termes de moyens que de champ de compétence.

M. Jean-Baptiste Soufron. - L'open data peut se réaliser en conservant les données privées. La protection des données ne saurait être une excuse pour ne pas publier des données publiques. Ayant été auditionnés, il y a peu de temps, par le Sénat, nous avions émis des propositions quant aux données qui ne doivent pas être diffusées et, plutôt que de faire de la CADA une structure qui répond au citoyen, il faudrait voir pourquoi l'administration refuse de communiquer ses données et, alors, la CADA pourrait être saisie. Dans ce sens, cela changerait complètement la perception et le rôle de de la CADA qui est aujourd'hui une sorte de filtre entre les citoyens et l'administration.

Mais cette proposition mériterait d'être travaillée car il n'y a pas encore assez de propositions à mettre en balance les unes par rapport aux autres pour prendre une décision.

M. Serge Abiteboul. - Il serait intéressant que le Conseil national puisse travailler sur l'open data et les données personnelles.

Quoique pressé par des saisines, le Conseil national du numérique n'a pas été saisi sur ces sujets-là. Cependant, depuis l'origine, le Conseil est doté d'un pouvoir d'autosaisine qu'il n'a pas encore beaucoup utilisé, notamment pas sur les données personnelles.

Le Conseil a travaillé sur la neutralité des réseaux, la fiscalité de l'Internet, la concurrence et la neutralité des plates-formes, la loi de programmation militaire (autosaisine), le projet de loi égalité femmes-hommes, la proposition de loi de lutte contre le proxénétisme, le rapport inclusion, le rapport éducation, la santé.

M. Jean-Baptiste Soufron. - Le Conseil national est composé de trente membres bénévoles (un tiers de chercheurs, un tiers de représentants de la société civile, un tiers de représentants d'entreprises). Il s'appuie sur une micro administration de quatre personnes au secrétariat général et quelques stagiaires ; le Conseil n'a pas encore fêté sa première année d'existence.

Le Conseil réagit beaucoup à l'actualité. D'ailleurs, le Conseil avait réclamé une grande loi sur le numérique parce que, jusqu'alors, ce sujet était abordé de manière extrêmement éparse. Finalement cette grande loi arrive et, dans cette mesure, cela peut-il encore se justifier de s'autosaisir sur le sujet essentiel des données personnelles ?

Au-delà de l'axe des données personnelles, l'axe des données économiques n'a pas encore été vraiment abordé. Des expérimentations ont lieu, en France et dans le monde, mais il n'y a pas encore suffisamment de recul pour pouvoir traiter ce thème.

Quant à l'axe relatif aux données personnelles et à la protection de la vie privée, il a fallu plusieurs années pour que le public s'y intéresse. Cela a commencé par un scandale à Bercy, en 1974, avec le projet Safari relatif à la prévention anti-fraude quand quatre fonctionnaires du ministère des finances ont écrit un article dans Le Monde, sous pseudonyme, pour dénoncer ce mécanisme de croisement de données en l'absence de toute règle.

À l'époque, il est à souligner que la réponse française à ce scandale n'a pas été de lancer un mandat d'arrêt international contre ces quatre lanceurs d'alerte, à l'inverse de ce qui est advenu pour Snowden. La réaction a consisté à lancer une mission d'enquête parlementaire suivie d'un projet de loi qui a entraîné la création de la CNIL et le vote de la loi de 1978 imposant l'autorisation préalable, l'accès aux données, la rectification de données, la suppression de données, etc.

Ces logiques sont devenues automatiques dans l'esprit des citoyens et des dirigeants mais quarante ans plus tard.

Aujourd'hui, quand une entreprise utilise des données commerciales, numériques, ce ne sont pas forcément des données personnelles mais des profils types. À partir de là, on connaît les goûts des personnes qui permettent de leur adresser des publicités en rapport avec ceux-ci mais sans que l'identification ait eu lieu.

En parallèle, les entreprises et les citoyens qui travaillent sur ces sujets ont commencé à élaborer des modes de régulation et de responsabilisation assez surprenants. Par exemple, quand les publicités s'affichent sur Internet, souvent un tout petit bouton situé en haut à gauche permet d'ouvrir un lien qui explique pourquoi cette publicité vous a été adressée. Un avis sur la publicité et son utilité est alors demandé... ce qui est encore une façon d'obtenir une information supplémentaire.

Si vous auditionnez M. Daniel Kaplan, membre du Conseil national du numérique, il vous expliquera la façon dont on met en place des mécanismes de gestion fine de données pour le citoyen appelé à préciser le type de données qu'il accepte de partager.

M. Serge Abiteboul. - De manière générale, les gens ne sont pas informés de la protection des données et de ce qu'ils devraient ou pourraient faire.

Quant aux moyens d'y remédier, c'est particulièrement critique dans les petites entreprises, les PME. Les grands groupes, eux, peuvent se payer une entreprise spécialisée qui peut les sécuriser très bien mais pour un coût important alors qu'une PME ne peut se payer un spécialiste de la sécurité. D'une certaine façon, une PME constitue une cible facile pour des cyberattaques. Quand une cyberattaque se produit, la PME ne sait pas forcément comment réagir ; cela peut donc être difficile et traumatisant pour elle.

De plus, comme la PME ne sait pas à qui s'adresser, l'État pourrait l'aider. Car c'est difficile de trouver un expert en sécurité qui vienne juste analyser le problème, voir ce qui s'est passé. La plupart du temps, les personnes ne sont pas du tout capables de comprendre ce qui est advenu. Il est probable qu'elles ne disposaient pas de la protection souhaitée et n'ont pas compris vraiment ce qui s'est passé pendant l'attaque. Les PME n'ont pas encore ce genre de culture alors que les grandes entreprises savent mieux se protéger.

M. Jean-Baptiste Soufron. - Quant au cadre juridique international, il faut évoquer le Traité transatlantique de libre-échange. Ce traité comprend une partie numérique qui est aujourd'hui complètement sous-estimée par ceux qui négocient ce traité. Plus on creuse, plus on se rend compte que ce point est essentiel dans ce texte qui contient de nombreux nouveaux concepts qui sont poussés dans la négociation et, parmi ceux-ci, il en est qui visent à anéantir la possibilité pour les Européens de réguler les données.

Le principe phare pour les Américains c'est le free flow information, le libre échange des données entre pays. À leurs yeux, tout ce qui le ralentit ou l'empêche doit être écarté. Devraient donc être écartées beaucoup de lois nationales et les clauses de compétence car seul le contrat qui vous lie à l'entreprise détermine l'autorité arbitrale ou le tribunal compétent dans le pays de l'entreprise.

De même, en matière de marchés, si un État, des entreprises françaises ou européennes choisissent un prestataire pour localiser et stocker leurs informations, un tel marché pourrait être contesté au titre du traité.

Pour la politique de données des entreprises, le problème réside en partie dans un manque de préconisations. Un des risques numériques, très sous-estimé aujourd'hui, est la négociation sans précaution du traité de libre-échange transatlantique, même si ce n'est probablement pas le risque principal pour les entreprises.

Peut-on abandonner toute souveraineté ? Dans la négociation sur la partie numérique du traité, il existe une différence d'énergie entre les États-Unis et l'Europe. Il serait sans doute nécessaire d'intégrer ce point dans les travaux de l'Office, d'autant que les négociations vont durer quelques années.

C'est un des paradoxes du règlement sur les données au niveau européen car, dans le cadre de la négociation du programme transatlantique de libre-échange, c'est peut-être plus intéressant de les conduire en s'appuyant sur ce règlement que de se présenter sans.

M. Serge Abiteboul. - Je suis déjà venu au Sénat pour une autre réunion sur les risques du numérique. L'Office considère-t-il aussi les opportunités offertes par le numérique ?

Il faut se demander ce que pourrait être une loi protégeant mieux les entreprises et aussi aborder la question par une approche des opportunités. Que faut-il faire pour aider les entreprises, pour les aider à développer de nouveaux modèles d'affaires ?

On travaille beaucoup sur les systèmes d'information personnels. Plutôt que de céder vos informations à de grandes entreprises qui sont plutôt américaines et perdre un peu le contrôle de vos données, ne serait-il pas possible d'avoir un modèle dans lequel il soit possible de contrôler son information chez un prestataire européen qui va protéger vos données, s'occuper des relations que vous avez avec toutes les personnes qui vous vendent des choses ? Cette approche ne serait plus seulement défensive mais bien plutôt constructive.

M. Jean-Baptiste Soufron. - Deux entreprises françaises, Lima et Cosy Cloud, se sont montées pour proposer des solutions dans le nuage numérique. Lima commercialise un boîtier à placer au dos de votre Freebox et incluant un disque dur ; avec ce dispositif, vous avez votre petit nuage de stockages de données personnelles. Quant à Cosy Cloud, ce site permet d'accéder à des services documentaires et de les stocker directement chez vous. Cela change complètement le rapport à la propriété des données pour l'entreprise, au contrôle des données etc. C'est peut-être aussi là que se situent les opportunités de marché.

Ces entreprises font partie de la filière sécurité fait partie des trente-quatre plans du ministère du redressement productif.

Il faut accepter de se protéger mais ne pas rester bloqué sur cette protection.

FÉDÉRATION FRANÇAISE DES TÉLÉCOMS (FFT)

M. Yves Le Mouël, directeur général de la Fédération française des télécoms

M. Jean-Luc Moliner, président de la commission sécurité de la Fédération française des télécoms

M. Pierre-Yves Lavallade, directeur général adjoint, Fédération française des télécoms

27 février 2014

M. Yves Le Mouël. - Le Premier ministre a présenté tout récemment une série de mesures lors de sa visite à l'ANSSI. Un engagement a été donné et reçu par les opérateurs notamment d'avoir des offres de messageries nationales qui soient sécurisées, chiffrées, avec des messages électroniques transitant ou étant stockés sur des serveurs situés sur le territoire national. Les opérateurs se sont attelés à cette problématique et tout cela nous paraît aller dans le bon sens.

On a vu aussi qu'il y avait une avancée importante entre l'Allemagne et la France sur ces sujets-là et nous sommes en relation avec nos collègues allemands, nous regardons comment cela se déroule dans leur propre pays. Tout cela est positif car la sécurité n'a pas de frontières. Il faut se serrer les coudes si l'on veut essayer de faire barrage à ces attaques potentielles.

Nous sommes en relation assez régulières avec la CNIL sur différents éléments qui concernent non seulement les aspects sécurité mais, globalement, la relation que le citoyen peut avoir avec la numérisation de la société et on participe aux travaux de la CNIL sur ces différents aspects.

À l'heure actuelle, ce qui est important dans les projets de législation, c'est l'approche de la législation sur les données personnelles qui vise à harmoniser les modalités de traitement de ces données dans l'Union européenne et encadrer le transfert de ces données en direction des États tiers. Là encore, on a des problématiques de concurrence avec les entreprises extra-européennes, ce qui constitue pour nous un combat quotidien. De même, des aspects de fiscalité et de sécurité, des réglementations sont également à l'ordre du jour vis-à-vis de ces acteurs mondiaux ; notamment la problématique du statut du Safe Harbor qui est en jeu dans ce cadre-là, vis-à-vis de tous les utilisateurs de nos réseaux, de tous ceux qui mettent sur ces réseaux leurs données personnelles.

L'autre projet important à nos yeux est le projet de loi numérique qui permettra d'adapter la législation nationale sur le numérique à la révolution data, à la globalisation des échanges de données, avec un équilibre à conserver quant aux libertés fondamentales de nos concitoyens. Jusqu'où doit-on aller ? Jusqu'où peut-on aller ? Il ne faut pas qu'il y ait de rejets dans ce domaine-là. Il y a des éléments extrêmement sensibles sur ces sujets ; des organisations, des associations sont très vigilantes sur ces points ou sur ce qui peut apparaître comme un problème posé par telle ou telle orientation législative ou réglementaire.

On a aussi en ligne de mire l'évolution de toute la numérisation de notre société à travers le développement et le déploiement des objets connectés. Au salon de Barcelone, GSMA, il a été relevé que le marché des objets connectés se chiffre en dizaines de milliards. Il va falloir les gérer car ces objets seront en relation et donneront des informations sur la localisation et, éventuellement, sur un certain nombre de données qu'ils seront capables de capter sur les personnes ou sur les situations auxquelles sont confrontées ces personnes ou les objets qui les représentent. On est dans cette problématique face à quelque chose qu'il faut essayer d'anticiper et de gérer au plan national et également sur un plan beaucoup plus large. Pour nous, la façon de gérer passe par différentes définitions de protocoles qui sont importants ensuite à mettre en oeuvre et à gérer d'où une responsabilisation grandissante des opérateurs.

La question centrale reste la mise en place du cadre européen unifié favorable à la sécurisation des données des citoyens européens avec cette problématique de la question de l'asymétrie réglementaire entre les entreprises nationales et les entreprises extra-européennes, mondiales, qui ont souvent une vision assez différente de la nôtre sur ces différents chapitres.

En résumé, trois priorités apparaissent pour l'entreprise : les problématiques de simplification. On sait que c'est au coeur des préoccupations actuelles des pouvoirs publics et il est clair que plus on rentre dans le souhait de vouloir réglementer et organiser, etc., plus on risque, au contraire, la complexification dans la mise en oeuvre de différentes orientations. On est toujours soucieux de préserver cet équilibre entre l'objectif que l'on à atteindre, que l'on partage, qui est celui de la sécurité et de la sécurisation des installations, des transmissions etc., et le souci de simplification avec lequel on est déjà dans une problématique extrêmement lourde de gestion de différentes activités.

Le deuxième point, évoqué précédemment, est l'équité de traitement entre les acteurs nationaux et les acteurs mondiaux. Très souvent, ce que l'on perçoit c'est que, lorsque l'on veut gérer un problème, même si cela part de bons sentiments, on met en place une réglementation ou une législation qui s'adapte parfaitement aux acteurs nationaux, voire européens, qui sont soumis à cette réglementation tandis que les acteurs non européens ne tombent pas, du fait de leur statut, sous le coup de cette législation. En conséquence, on charge de boulets supplémentaires les acteurs nationaux alors que ceux qui seraient visés, notamment par ces tentatives de législation, échappent à ces règles-là parce qu'ils n'ont pas les mêmes statuts, parce qu'ils n'ont pas les mêmes contraintes que les acteurs nationaux. Cela constitue un vrai souci aujourd'hui qui dépasse la France, qui est européen.

Autre souci que l'on a aussi, c'est cet équilibre entre les préoccupations du consommateur, du citoyen et les préoccupations de l'entreprise. Il faut que l'on arrive à trouver un équilibre de façon à ce que les citoyens ne soient pas pris dans cette loi du contrôle permanent qu'ils peuvent rejeter et qui les rendrait prisonniers de leur propre identité sur le numérique. En même temps, les entreprises doivent être aussi dans une situation qui ne soit pas pleine de contraintes excessives pour elles.

Quant aux autres aspects concernant vraiment les entreprises, la Fédération est un peu plus mal à l'aise pour y répondre mais c'est peut-être Orange qui pourra en parler.

Ce que l'on sait sur les entreprises et l'information du personnel au sein de ces entreprises, c'est que, aujourd'hui, très précisément, chaque opérateur délivre des consignes extrêmement strictes pour chacun de ses collaborateurs sur les règles à respecter en matière de sécurité des données de l'entreprise et il y a deux positions par rapport à l'usage d'Internet. Tout ce qui se passe sur l'Intranet de l'entreprise est très protégé mais les collaborateurs, de plus en plus, y ont accès pas seulement depuis l'entreprise mais aussi quand ils sont à l'extérieur. Il y a des consignes très strictes qui sont mises en oeuvre pour cet accès sécurisé via des Virtual Private Network (VPN) ou autres. Tout cela fait partie de la politique de l'entreprise.

Il y a aussi un autre aspect des choses qui est l'intrusion de l'Internet au sein de l'entreprise. Il est difficile de priver certains collaborateurs de l'accès à Internet. Il faut donc aussi sécuriser cet accès Internet pour éviter d'ouvrir une faille de sécurité dans ce dispositif.

M. Jean-Luc Moliner, président de la commission sécurité de la Fédération française des télécoms. - Pour certaines entreprises de télécoms considérées comme des entreprises d'importance vitale, c'est le cas d'Orange, il y a des contraintes nouvelles qui apparaissent. Toute la population dite des administrateurs dispose de postes de travail qui ne sont reliés ni à la messagerie ni à Internet. Cela signifie qu'il leur faut un ordinateur portable spécifique pour intervenir sur un système à distance. S'agissant de la messagerie, ce que reconnaît aujourd'hui la législation, c'est que l'on peut utiliser son adresse personnelle au sein de l'entreprise pour envoyer un courriel personnel. Le courriel est considéré comme personnel dès lors que figure un intitulé dans l'objet précisant qu'il s'agit d'un message personnel. Des procédures existent pour permettre d'avoir des espaces dans lesquels ce qui est identifié comme étant personnel est interdit d'accès à l'entreprise.

Des procédures internes permettent de le garantir. Chacun a un dossier qui s'appelle « personnel » dans le disque dur et ce dossier est considéré comme étant inviolable par l'entreprise ; tout le reste concerne des données de l'entreprise. Il faut bien gérer cette problématique parce que, même si les gens travaillent, ils sont bien obligés de s'occuper pendant quelques minutes de leurs problèmes personnels, notamment en adressant des courriels. Tous nos employés aujourd'hui ont accès à l'Internet et, s'ils utilisent leur messagerie personnelle à des fins personnelles, cela relève de leur propre responsabilité. Il s'agit d'une question d'éducation des employés et l'entreprise doit s'efforcer qu'ils fassent bien la distinction entre l'information qui relève de l'entreprise et ce qui relève de leurs affaires propres et privées.

Parmi les cas d'attaque relevés aujourd'hui figurent des cas de phishing. Par exemple, lorsque les gens mettent leur CV en ligne sur un réseau social, la plupart des attaques procèdent de la manière suivante : l'attaquant passe par le biais de quelqu'un de l'entreprise qui est également inscrit dans ce réseau et accède à d'autres noms de l'entreprise car les gens sont souvent référencés avec la mention de leur adresse électronique professionnelle. Ils sont alors attaqués par l'intermédiaire de leur messagerie professionnelle par un courriel piégé qui a pour but de prendre le contrôle de leur ordinateur.

Le fait de s'exposer, si les gens ne sont pas très prudents sur le type de courriel qu'ils reçoivent, c'est quelque chose qui se produit tous les jours. Des centaines de courriels de ce type-là arrivent dans les entreprises ; c'est la vie de tous les jours dans les entreprises à l'exception d'une minorité d'entre elles, extrêmement sensibles, travaillant dans le nucléaire ou la défense, qui n'ont pas accès à Internet.

Dans les entreprises du monde des télécoms, il est assez difficile d'envisager de laisser les téléphones portables à l'extérieur des salles de réunion. Au contraire, dans des entreprises très sensibles, des mesures très strictes existent, notamment quand il s'agit de projets dits « confidentiels défense ». Des zones réservées au traitement de ces projets-là bénéficient de la précaution consistant à laisser son téléphone portable à l'entrée et aucune connexion Internet n'est possible à l'intérieur de ces espaces. Il s'agit de mesures complémentaires qui ne sont pas représentatives de la vie quotidienne de tous les employés.

Aujourd'hui, la sécurité est aussi une question d'éducation des employés qui devrait commencer par des règles d'hygiène informatique apprises à l'école. Lorsqu'on arrive sur le marché du travail, ce serait souhaitable d'avoir déjà des réflexes bien formatés, un peu comme en matière de sécurité routière. Dans ce domaine, des efforts ont été faits de la part des constructeurs automobiles pour renforcer la sécurité, active et passive, des véhicules, d'autres efforts sur les routes et les autoroutes pour éviter de construire des virages en épingle à cheveux après des kilomètres de lignes droites et, ensuite, il y a eu une éducation forte des conducteurs et, enfin, il y a eu la sanction. Le parallèle avec la circulation routière est assez riche. Internet a vingt-cinq ans au maximum alors que la circulation routière a presque un siècle. Évidemment, Internet et le numérique ne font pas de morts mais il y a beaucoup de brigands sur les autoroutes de l'information, peut-être même est-ce l'endroit du monde où il s'en trouve le plus. En outre, il n'y a pas beaucoup de police qui circule sur les autoroutes de l'information et l'utilisateur est assez peu informé - il est même à classer dans la catégorie des grands naïfs, pour ne pas dire plus.

On est aujourd'hui dans un monde où l'éducation des consommateurs passe aussi par des normes de sécurité comme le font l'ANSSI et l'Union européenne sur ce sujet en essayant d'améliorer un peu la qualité des normes. Avec la difficulté que, dans l'industrie automobile, les normes ont été mondiales (crash tests acceptés au niveau mondial) alors que dans l'industrie de l'informatique, ce n'est pas du tout le cas aujourd'hui. Il y a une volonté européenne très forte de protection du consommateur, du citoyen, etc., qui n'est pas partagée par toute la planète aujourd'hui. Il n'y a donc pas d'aide à attendre d'un mouvement d'ampleur mondiale.

Aux États-Unis d'Amérique, la conception de la protection des citoyens est assez différente de la conception européenne car beaucoup de choses y sont permises qui ne sont pas autorisées en France.

À noter que ces mêmes actions sont autorisées au Royaume-Uni. Toute l'industrie du logiciel est aujourd'hui d'origine nord-américaine et peu de produits sont d'origine européenne ; à part les SAP qui sont d'origine allemande. D'ailleurs, même si des matériels sont conçus en Europe ou aux États-Unis d'Amérique, ils sont tous fabriqués en Chine.

La maîtrise du numérique dépend de l'endroit où la valeur ajoutée est créée. Ainsi, quand on paie 50 € pour un téléphone, à part la TVA qui est française, le reste est étranger.

Or, on ne peut pas savoir ce qu'il y a derrière les composants à partir du moment où on ne les fabrique pas. Les entreprises doivent rechercher un équilibre permanent entre le risque et les opportunités. C'est pour cela qu'il est assez difficile de légiférer en ce domaine car le contexte évolue à une rapidité stupéfiante et les entreprises doivent procéder à des évaluations de risque. C'est le métier des patrons de la sécurité dans les entreprises de limiter le risque pris. Si l'on part du principe que le téléphone n'est pas très sûr, à ce moment-là on va utiliser d'autres moyens : téléphone fixe, téléphone chiffré, etc. En permanence, il faut rechercher comment l'entreprise peut limiter les risques comme cela est fait pour le risque financier, les risques commerciaux et, maintenant, les risques informatiques à limiter au maximum. On ne sait pas les éliminer complètement car il y aura toujours une part de risque. Dans les bilans des sociétés, il y a souvent des provisions pour risques qui sont, en fait, l'ensemble des risques que l'on n'a pas su éliminer et donc à classer parmi ceux contre lesquels on se protège de manière financière.

En matière de sécurité, il vaut mieux être curieux de nature sous peine de tomber dans la catégorie des naïfs.

Quand on regarde où sont situés les centres de production d'ingénierie du numérique, quand on fait un achat, il ne reste que la TVA pour l'État et la marge du revendeur local. C'est là une retombée de la mondialisation de l'économie.

Tous les opérateurs télécoms achètent beaucoup des technologies peu maîtrisées par les Européens aujourd'hui. Le GSM a été inventé par les Européens, normalisé au niveau mondial par les Européens puis, pour des raisons historiques et économiques, les centres de production et de recherche se sont déplacés dans d'autres endroits du monde.

La maîtrise de l'économie numérique s'apprécie en voyant comment nos industriels sont capables de fournir des solutions aux entreprises de télécommunications, aux entreprises de services, etc. Encore une fois, parler de maîtrise c'est quand même très difficile quand vous ne concevez ni ne construisez tous les équipements que vous utilisez. Nous sommes plutôt dans une gestion du risque et dans le fait qu'on essaie de diminuer au maximum les risques pour nos clients et pour nous-mêmes.

Orange possède ses propres infrastructures en France qui sont maîtrisées par des Français et sont situées en Normandie, le plus gros centre récemment créé étant à Val-de-Reuil. Mais ce n'est pas Orange qui a conçu les ordinateurs qui sont à l'intérieur du système, ce sont IBM et HP, mais tout ce qui se trouve à l'intérieur du centre est maîtrisé par Orange.

Yves Le Mouël. - Il y a une ambition nationale et européenne. Maintenant, il est difficile d'agir seul dans son coin, c'est pourquoi la coopération franco-allemande correspond au désir d'avoir une industrie. Au-delà de la mise en oeuvre d'un centre de données, il y a les composantes de ce centre, sous tous ses aspects, à prendre en compte avec les composants physiques et le logiciel.

M. Jean-Luc Moliner. - Nous nous sommes tournés plutôt vers des solutions open source plutôt que d'utiliser des logiciels venant des États-Unis d'Amérique.

Yves Le Mouël. - À la fin de l'année dernière, nous avons réalisé une étude montrant un certain nombre de choses et, parmi ses recommandations, figure la nécessité d'un véritable building numérique au niveau européen. L'un de ses piliers serait la confiance numérique et, dans le cadre de cette confiance numérique, trois types de propositions seraient possibles : l'une qui serait de réaliser un projet d'identité numérique fondée sur la carte SIM avec une impulsion forte des États et de l'Europe. Face à cela, des acteurs comme Google ou Apple ont une vision sans carte SIM de toute cette problématique.

La deuxième proposition, c'est de mettre en place et promouvoir un label européen de stockage de données.

La troisième proposition est celle de la certification des logiciels et des équipements critiques diffusés en Europe. Il faut que cette sécurité existe plus profondément dans les outils qu'on utilise.

M. Jean-Luc Moliner. - Aujourd'hui, on sait réaliser des logiciels très sûrs, par exemple dans l'aéronautique. Cela a un coût. À l'inverse, le marché grand public est plutôt tiré vers le bas, vers ceux qui proposent les prix les moins élevés.

Le coût de l'expertise d'un matériel est également très élevé. En tant qu'opérateur effectuant ce genre d'évaluation, il faut préciser que cela est extrêmement coûteux en raison du temps que cela demande. Parfois, cela coûte moins cher de fabriquer soi-même plutôt que d'expertiser la sécurité car si l'on veut vraiment aller au fond des choses, cette expertise dure des mois et il faut mettre une dizaine de personnes sur le sujet. Les évaluations, les tests que nous faisons ne sont pas exhaustifs. Nous faisons le maximum de ce que l'on peut faire dans des délais et à des coûts raisonnables.

Il y a aussi l'agence européenne, l'ENISA, qui est l'ANSSI au niveau européen, mais elle ne fait pas ce type d'évaluation ; elle émet uniquement des propositions. Son rôle est utile mais elle n'est pas financée pour faire des évaluations.

À propos des centres de stockage de données, leur visite n'est pas passionnante - il s'agit de rangées d'ordinateurs et il y fait froid - même si cela est assez impressionnant.

Une des grosses questions posées par ces centres de stockage est leur refroidissement. Nous avons choisi une stratégie de free cooling de rafraîchissement de l'air tout simplement par de l'air qui, en Normandie, a une température la plus stable possible. L'air chaud évacué part dans l'atmosphère. Cela a un coût. Le plus impressionnant à voir, ce sont les installations techniques autour des centres.

Yves Le Mouël. - Quant aux noms de domaine, aujourd'hui, c'est l'ICANN qui gère à la fois les noms de domaine et les adresses des utilisateurs. Le président de l'ICANN était à Paris récemment et sa vision peut faire plaisir car une évolution est en cours. Ce président, issu de plusieurs cultures, possède une vision très internationale qui semble aller dans le bon sens pour une internationalisation de la gouvernance de l'ICANN permettant à toutes les parties prenantes de s'exprimer, pour couper le lien avec le gouvernement nord-américain même s'il ne l'exerce pas, paraît-il. Il serait en tout cas intéressant de le couper formellement tout en n'introduisant pas la possibilité que d'autres grandes puissances puissent elles-mêmes exercer une mainmise sur l'Internet.

Il serait également catastrophique de sectionner l'Internet en un Internet chinois, un Internet occidental, etc. Il faut préserver l'universalité de l'Internet tout en préservant une gouvernance qui assure la participation de tous. Cet objectif semble en bonne voie de réalisation. Le président de l'ICANN compte organiser cette association, actuelle structure de droit californien, pour en faire une fondation ayant son siège à Genève qui représenterait par conséquent plus facilement cette vision multinationale, internationale, de la gestion de la gouvernance de l'Internet.

L'ICANN gère la couche basse de l'Internet avec les noms de domaine et les adresses et tout le monde a une autre problématique qui s'ajoute à celle-là qui est la problématique globale de la sécurité et des usages qui sont faits de l'Internet. La vision que, aujourd'hui, essaie de populariser l'ICANN, c'est d'aller vers une gouvernance mondiale de l'Internet qui ne soit pas l'ONU, qui ne soit pas non plus sous l'emprise des seuls États mais regroupe l'ensemble des parties prenantes bien représentées pour gérer les noms de domaine et avoir une forme de gestion sur les couches plus hautes de l'Internet.

La croisade que mène le président de l'ICANN, à condition qu'elle se concrétise, va dans le sens d'un meilleur équilibre entre toutes les parties prenantes D'où son voyage en Europe pour rencontrer le maximum d'interlocuteurs, pour drainer dans cette gouvernance des entreprises européennes et françaises en particulier. Il est venu nous voir pour que les entreprises françaises participent davantage afin qu'il n'y ait plus seulement, autour de la table, des ingénieurs américains.

Une des raisons pour lesquelles les Anglo-Saxons ont la mainmise sur cette organisation, c'est que les Européens se sont présentés en ordre dispersé ou étaient absents.

PRÉSIDENCE DE LA RÉPUBLIQUE

M. Thiébaut Meyer, responsable de la sécurité des systèmes d'information

27 février 2014

La prise de conscience des risques de l'insécurité informatique s'est accrue depuis les incidents à l'Élysée et l'affaire Snowden.

Face aux attaques, il convient d'abord d'analyser la menace, en établissant contre qui était dirigée l'attaque, d'analyser les risques puis d'envisager des mesures appropriées.

L'adversaire peut-être un État disposant de moyens et de temps et désirant infliger des dégâts bien supérieurs à ceux de la défiguration d'un site web.

Lorsque l'attaque vise des opérateurs d'importance vitale (OIV), les attaquants se feront les plus discrets possible pour parvenir à résider un maximum de temps dans les sites attaqués. La discrétion est une question de moyens et il sera donc particulièrement important de repérer de simples traces d'un attaquant même si, de manière générale, la sécurité n'est jamais absolue.

Une fois la présence d'un attaquant détectée, il reste à déterminer son identité et cela est d'autant plus compliqué que l'attaque est souvent menée à partir de multiples postes informatiques situés dans divers pays du monde. Même si tout laisse des traces dans les réseaux, la multiplicité des rebonds complique la recherche de l'identité de l'attaquant.

En ce domaine, la coopération internationale n'est pas toujours évidente car elle requiert du temps alors que les traces d'attaques informatiques sont parfois très volatiles.

Tous les pays pratiquent de la même manière ; les Chinois comme les Américains dont l'ampleur de la surveillance systématique, notamment des courriels privés, n'avait pas été perçue jusqu'à récemment.

En France, un premier pas a été accompli avec la récente loi de programmation militaire qui va inciter les opérateurs d'importance vitale à effectuer un certain travail de cartographie, de recensement pour savoir où sont les données sensibles, qui y a accès, comment se protéger, comment faire remonter les incidents.

Derrière cela, il y a d'importants enjeux de sécurité nationale à défendre, des enjeux économiques également, par exemple dans l'aéronautique, le ferroviaire, le nucléaire, etc.

Plusieurs points sont importants : d'abord sensibiliser les personnes pour qu'elles aient conscience de l'importance du patrimoine des entreprises, de la présence de données sensibles dans leurs actifs et de la nécessité de les protéger. La direction centrale du renseignement intérieur (DCRI) effectue un travail de sensibilisation de tout ce qui est relatif aux ressources, au patrimoine scientifique.

Il faut également mettre en place des contre-mesures de protection, c'est-à-dire des mesures de sécurité. Il peut s'agir de filtrages de flux, de détections d'intrusions mais également d'un travail du côté des systèmes d'information pour maîtriser ces systèmes et leur sécurité.

Des questions doivent être posées : quels sont les flux de données importantes ? Qui a accès aux données ? Comment sont gérés l'arrivée et le départ des collaborateurs ? Comment la sous-traitance est-elle gérée ? Comment les venues de stagiaires, de coopérants étrangers sont-t-elles encadrées ? Bien voir comment circulent les données dans l'entreprise, qui a accès à ces données et comment les protéger.

Il y a un autre niveau de questions à poser, en termes de strates : sur quels supports se trouvent les données ? Où sont les serveurs ? Quels sont les logiciels installés dessus ? Sont-ils qualifiés ? A-t-on confiance dans les matériels, dans les logiciels, dans les équipements en général destinés à assurer la sécurité ? La maîtrise du système d'information est primordiale.

Des recommandations portées par l'ANSSI à propos des mesures de sécurité, notamment le guide intitulé « Les quarante règles d'hygiène », indiquent la base à respecter pour un système d'information protégé des attaques les plus courantes et comment réagir. Ce niveau est parfaitement atteignable.

Il y a également une politique de sécurité des systèmes d'information de l'État qui, actuellement, est en phase de finalisation - elle doit être à la signature du Premier ministre - qui reprend également les grands principes de sécurité à décliner ensuite selon les différents ministères et entités concernés.

À propos des mesures à mettre en place pour la sécurité de l'information, il faut rappeler que celles-ci ont des coûts en achat de matériels spécifiques, achat d'équipements, de licences et, également, des coûts en ressources car il faut mettre en oeuvre ces systèmes. Les projets informatiques doivent être dotés de budgets conséquents.

Il y a également des problèmes de délais surtout quand on a pensé un peu tard à la sécurité. D'ailleurs, les projets ont tendance à s'étaler dans le temps. Et, quand les projets sont livrés, ces mesures deviennent des contraintes pour les utilisateurs.

La politique de sécurité des systèmes d'information de l'État (PSSIE) impose l'utilisation des moyens d'authentification forte (dont la carte à puce) dans le cas de données sensibles, ce qui est plus sûr qu'un simple mot de passe. Il faut ensuite gérer tous les cas usuels et quotidiens de perte de la carte, ne pas l'oublier, penser à la récupérer, etc. Cette vraie contrainte doit être intégrée avec son coût initial et ses contraintes quotidiennes d'absence, de perte et de procédures à mettre en oeuvre, notamment pour retrouver sa carte d'accès lorsqu'elle a été perdue.

De même, les mesures de sécurité informatique vont contraindre les utilisateurs à une certaine ergonomie et alourdir les projets.

Ensuite, on peut définir les risques, les objectifs de sécurité et penser aux mesures associées très en amont dans les projets pour faciliter la mise en place du processus de sécurisation mais il est impossible de faire une sécurité transparente qui ne coûterait rien et ne serait pas perçue par l'utilisateur.

Un arbitrage est donc à rendre au niveau des autorités entre le niveau de sécurité souhaité et les ressources à y allouer qu'il s'agisse de personnels ou de budgets compte tenu du niveau de service à rendre aux utilisateurs.

À la Présidence de la République, l'organigramme est à peu près le même que dans les ministères, à savoir que la sécurité du système d'information est rattachée à l'organe qui s'occupe de sécurité au sens large. À la présidence, c'est le commandement militaire qui intègre la sécurité des systèmes d'information dans tous ses aspects : sécurité des personnels, sécurité physique des locaux, etc., c'est une des composantes de la sécurité. C'est un découpage que l'on voit ailleurs dans les ministères avec le haut fonctionnaire de défense et de sécurité (HFDS), le haut fonctionnaire de défense adjoint, auxquels est rattaché un fonctionnaire de la sécurité des systèmes d'information.

Il est vrai que, au quotidien, je travaille avec les équipes informatiques. Le problème est que la sécurité physique et la sécurité de l'information sont très imbriquées : par exemple, lorsqu'un ordinateur commande une climatisation ou un générateur électrique qui commande lui-même une ouverture de porte ou autre chose.

Pour que le fonctionnaire en charge de la sécurité de l'information puisse être efficace, cela dépend moins de sa position dans l'organigramme que du service qu'il rend à l'autorité ou à l'institution ; pour sa part, la Direction des systèmes d'information (DSI) rend un service quotidien à travers des services de messagerie, de gestion documentaire ou d'application métier quel qu'il soit. Il est vrai que le responsable de la sécurité des systèmes d'information est un petit peu l'empêcheur de tourner en rond qui vient régulièrement aiguillonner la DSI sur les aspects de sécurité. Les objectifs poursuivis par chacun sont parfois un peu antagonistes car la DSI travaille à budget constant avec des ressources contraintes pour rendre un service, parfois d'importance vitale, et, d'un autre côté, il y a le service en charge de la sécurité qui veut que le service soit rendu en respectant certaines règles.

De toute façon, un dialogue est nécessaire entre les deux pour que cela se passe bien. Plus qu'un rapport hiérarchique, même si les directeurs des systèmes d'informations sont à des postes élevés dans les organigrammes, c'est plutôt par rapport aux autorités et aux services rendus que les situations s'apprécient. Il y a une autorité qui attend un service de la direction informatique qui, elle-même, est contrainte par une gestion budgétaire de ses ressources et qui, parfois, a tendance à mettre de côté les aspects de sécurité pour justement arriver à atteindre l'objectif qu'elle s'est fixé.

Il est important de sensibiliser les autorités, de leur expliquer les menaces sans les exagérer mais sans, non plus, les édulcorer. Ensuite, le choix leur revient mais il faut qu'elles soient capables de l'effectuer en connaissance de cause.

Pour cela, il y a une démarche d'homologation qui est en train de se mettre en place - qui existe déjà dans certains ministères mais qui va être mise en oeuvre à la présidence - qui est une formalisation, pour toutes les étapes d'un projet, de la sécurité des systèmes d'information. En amont, on va faire une analyse des risques qui pèsent sur un projet. Le but étant d'aboutir, à la fin de l'étude, lorsqu'on a mis en place des mesures pour contrer ces risques, à identifier les risques résiduels puisqu'il y en aura toujours. Ce peut être le comportement d'un utilisateur ; ce peut être des risques qu'on n'a pas su couvrir, que la technologie ne permet pas de couvrir, à cause de problèmes budgétaires ou autres. Mais qu'au moins l'autorité qui va mettre le réseau ou l'application en service soit consciente des risques qui existent encore.

Les pare-feu restent une brique essentielle de la sécurité : tous les flux sont interrompus sauf ceux qui sont spécifiquement autorisés. Dans les réseaux, il y a plusieurs flux d'informations qui circulent. Même si ce n'est pas l'alpha et l'oméga de toute la sécurité.

Aujourd'hui, ce n'est pas cette brique-là qui pose le plus de problème car c'est une technologie bien maîtrisée et, de plus, il existe en France des produits de confiance qualifiés par l'ANSSI et fabriqués par des acteurs français. Cette technologie a vocation à perdurer.

Ce qui a évolué ces derniers temps, c'est la vision de la sécurité ; elle n'est plus périmétrique avec un intérieur et un extérieur de l'entité à protéger. À la frontière, il y avait des pare-feu qui bloquaient les flux passants. On a évolué par rapport à ce schéma, notamment avec tous les besoins de mobilité. Aujourd'hui, on a du mal à faire comprendre à une autorité qu'une fois sortie de l'institution, elle n'a plus d'accès à l'Intranet, à sa messagerie ou à ses fichiers. Or, les gens bougent et, même depuis chez eux, ils veulent encore avoir accès à leur messagerie professionnelle. C'est pour cela que, aujourd'hui, c'est plus diffus en termes de périmètre.

Les données de l'entreprise ne vont plus être physiquement uniquement sur les terminaux situés dans ses locaux mais seront diffusés sur des terminaux dont il faudra avoir la maîtrise et qui seront disséminés partout.

On ne peut pas interdire toute communication avec des services de courriel, Google, Yahoo ou autres, mais il est possible d'interdire la redirection systématique des courriels. Toutefois, si un salarié s'écrit un courriel à lui-même dans sa messagerie, une fois par jour, il n'y a pas moyen de l'en empêcher. En revanche, il faut le sensibiliser aux risques qu'il fait courir à l'institution. Cette sensibilisation commence à se mettre en place.

Si l'on revient à l'affaire Snowden, on a vu l'ampleur de l'agressivité des services étrangers, ce qui a donné matière à sensibiliser les gens aux différentes menaces. Il y a quelques semaines, j'ai effectué une présentation à tous les conseillers de la Présidence de la République. Je me suis contenté de leur montrer ce qu'on trouve partout sur Internet. Par exemple, on y trouve les stations d'écoute de la NSA où l'on voit Paris en première place. Ici, ce sont des photos de l'ambassade américaine en Allemagne : on voit une superstructure sur le bâtiment et, à l'intérieur de cette superstructure, il y a ce type d'équipements qui sont des antennes captant les réseaux hertziens et qui vont récupérer les communications à partir d'un traitement de signal.

L'affaire Snowden a aidé à une prise de conscience notamment par les autorités politiques. Maintenant, c'est dans la presse, dans Le Monde, Spiegel, le New York Times, ce qui rend le discours beaucoup plus facile ; on n'est plus entre personnes autorisées pour parler de réception hertzienne ou d'autres questions techniques. On peut avoir un débat avec les autorités politiques qui ne sont ni techniciennes ni d'anciens ingénieurs des télécoms.

On n'arrivera pas à avoir sur les produits de sécurité une ergonomie équivalente à celle des produits grands publics. Le téléphone Teorem de la société Thales peut être utilisé pour des conversations jusqu'au niveau « secret défense ». Il existe aussi une version pour la mobilité, offrant un chiffrement sûr par rapport à l'extérieur comme à l'intérieur, allant jusqu'au niveau « confidentiel défense ».

Il est parfois difficile de convaincre l'interlocuteur que le produit est suffisamment bien fait pour qu'il n'y ait aucune interception des conversations.

En revanche, ce téléphone ressemble aux téléphones portables de la fin des années 1990 ; il n'est pas tactile ; ce n'est pas ce qu'on a l'habitude d'avoir entre les mains depuis sept ou huit ans.

Ces téléphones sont fabriqués en petites séries qui coûtent cher. Il existe aussi des solutions qui permettent d'équiper des smartphones à un niveau de diffusion restreinte qui offrent un canal sécurisé entre ces téléphones et le réseau de l'administration.

Les téléphones actuels sont de petits ordinateurs moins sécurisés que ceux qu'on a l'habitude d'avoir à la maison ou au bureau. Moins sécurisés parce que les éditeurs veulent être les premiers sur le marché ils sont conçus d'abord pour leur ergonomie. Ils ne sont donc pas ou peu sécurisés. On trouve sur Internet, pour quelques centaines d'euros, des logiciels qui permettent d'installer sur les ordinateurs des dispositifs permettant d'avoir des copies de vos messages, d'activer des micros à distance, de géolocaliser les déplacements d'une personne. Ces téléphones sont devenus des sources d'information extraordinaires. En plus, l'utilisateur en prend soin, le garde toujours avec lui et pense à le recharger. Lorsque l'on voulait espionner dans les années 1970, il fallait penser à alimenter le micro, changer la pile, la récupérer, maintenant, la victime s'occupe de tout.

Peu à peu les gens en prennent conscience. Depuis le mois de novembre 2013, à l'entrée des conseils des ministres britanniques, les ministres déposent leurs smartphones.

Dans certaines administrations, c'est ce que l'on demande. Par exemple, au SGDSN, vous déposez votre téléphone à l'entrée dans un petit coffre. Les gens prennent peu à peu conscience de cette nécessité.

La difficulté qui demeure dans les entreprises, dans les administrations, c'est que les utilisateurs aiment bien avoir leur téléphone personnel sur lequel ils aimeraient bien récupérer les données de l'entreprise ou leurs fichiers personnels, ce qui pose de vrais problèmes en matière de sécurité car on n'est pas capable d'assurer la sécurité d'un téléphone qu'on ne maîtrise pas totalement. À l'inverse, si on maîtrise le téléphone, on ne va pas pouvoir laisser l'utilisateur installer ce qu'il veut dessus et l'utiliser comme un équipement personnel.

Il est important d'arriver à bien sensibiliser les autorités et les collaborateurs pour distinguer le monde personnel du monde professionnel. Mais c'est une utopie de croire que les collaborateurs pourraient installer les données de l'entreprise sur leurs téléphones personnels et qu'elles y seraient en sécurité.

Thales a un produit, Teopad, qui permet d'isoler certaines applications de l'entreprise, néanmoins vous resterez toujours sur un socle grand public avec des couches sous-jacentes de votre téléphone dans lesquelles vous ne pourrez pas avoir confiance. Mélanger sur le même objet deux degrés de confidentialité, cela paraît compliqué.

Il y a une quinzaine de jours, une diplomate américaine en Ukraine a parlé avec l'ambassadeur américain à Kiev, en termes peu diplomatiques, de l'Union européenne. La conversation a eu lieu sur un téléphone tout-venant et s'est retrouvée sur Internet. Aujourd'hui, on n'a pas de certitude mais on a de fortes suspicions sur les services russes qui ont écouté la conversation et se sont empressés de la mettre à disposition de tout le monde.

Cela illustre le fait que l'autorité doit être sensibilisée à la sécurité informatique et en accepter les contraintes.

À cet égard, il existe une différence culturelle entre la France et les États-Unis d'Amérique où les services de sécurité peuvent imposer au président nouvellement élu de renoncer à l'utilisation de son téléphone personnel.

Maintenant, le téléphone Teorem est largement déployé dans les administrations centrales, dans les cabinets, dans les administrations territoriales, dans les rectorats et dans toutes les préfectures.

TOTAL

M. Patrick Hereng, directeur des systèmes d'information
et télécommunications

6 mars 2014

Pour s'inscrire dans un système de protection contre les risques numériques, Total a commencé à dresser une cartographie des risques des systèmes d'information qui sera mise à jour régulièrement pour formaliser lesdits risques. Total considère qu'il existe vingt-neuf risques rattachés à neuf enjeux métiers.

En 2013, un comparatif sécurité a été réalisé avec d'autres entreprises pétrolières - BP, Chevron, Repsol, Statoil, Total, Petrobras, ENI, Aramco, Shell. Total se situe à peu près dans la moyenne de ce groupe et il a été décidé de lancer un plan d'évolution de la sécurisation du système d'information qui a été validé mi-2013. Il représente environ soixante-dix projets à réaliser sur trois ans, avec une relance éventuelle de cette action dans trois ans pour l'ensemble du groupe. Ce plan est évalué à 80 millions d'euros.

Ce plan de sécurité repose sur quatre piliers. Le premier est la sécurisation du système d'information de gestion en passant par les infrastructures des services partagés, essentiellement les télécommunications pour les mille sites de Total dans le monde reliés à des entités du groupe. Ce plan de sécurisation des infrastructures et des services partagés est en cours, il nécessite un certain nombre de projets et va prendre trois ans.

Le second pilier est la sécurité de l'information industrielle, aujourd'hui en chantier car un certain nombre d'actions sont encore à mener. Les systèmes de commande, appelés SCADA dans la terminologie des informaticiens, sont de plus en plus, à la base, construits avec des composants informatiques traditionnels. Ainsi, Transmission Control Internet Protocol (TCP/IP) des logiciels de Microsoft ou de Linux sont utilisés dans les SCADA. Ces systèmes sont donc de plus en plus vulnérables. La sécurisation des systèmes d'information industrielle a donc été décidée sur tous les sites de Total, que ce soient les plates-formes, les raffineries, les dépôts, pour compléter efficacement le dispositif actuel.

La sécurité des applications constitue le troisième pilier. Le système d'information de métier bénéficie de la mise en place de dispositifs de gestion d'identité, d'habilitations adaptées aux applications.

Le dernier pilier est la sensibilisation des utilisateurs pour changer leurs comportements.

Ces dispositifs dépendent de l'efficacité de la gouvernance des systèmes d'information, en particulier de la gestion de crise et de la réactivité en cas d'incidents de cybersécurité. La pratique d'exercices réguliers permet de pallier les failles. La gouvernance des systèmes d'information évolue en fonction de ce plan de sécurité des systèmes d'information. Les risques sont continuellement contrôlés et mesurés, ce qui aboutit à l'établissement d'une réelle cartographie.

Les trois priorités des systèmes d'information du groupe sont la sécurité, l'évolution de l'entreprise numérique et l'optimisation des coûts des systèmes d'information. Relever les barrières de protection pour résister aux futures attaques devient une nécessité.

Total est particulièrement sensibilisé aux risques de cybersécurité depuis la fusion en 2000 entre Total, Elf et Petrofina. Cette problématique n'est pas nouvelle mais elle a pris de l'ampleur suite à l'attaque subie par Saudi Aramco en 2012. Cette attaque ciblée, par un virus créé à dessein, indétectable par les antivirus, a entraîné la destruction de 30 000 postes de travail. Sur les disques durs attaqués ne demeurait que l'image du drapeau américain. L'origine et l'identité des attaquants restent indéterminées à ce jour. Ils avaient pour objectif de bloquer la production de Saudi Aramco qui représente 12 % de la production mondiale.

Il a fallu un certain temps à cette société pour se remettre d'aplomb en dépit d'une réaction rapide et du fait qu'il existe chez elle une coupure complète entre le système d'information de gestion et le système de production : aucun flux ne part du système d'information de gestion vers le système industriel, les flux ne progressent qu'en sens inverse. Mais il a bien failli y avoir des conséquences. En trois semaines environ, le disque dur de 30 000 postes a été remplacé pour relancer les systèmes.

Cet incident a marqué Total et, de manière générale, toute la profession pétrolière. De user friendly, ils sont brutalement devenus security first. Il existe donc désormais des contraintes pour les utilisateurs. Total échange avec d'autres sociétés sur les aspects de sécurité. En effet, pour bien résister, il est nécessaire de s'appuyer sur un réseau qui transmet l'information, notamment celle sur l'occurrence d'incidents.

La souveraineté en matière de données numériques se joue des frontières mais elle a du sens par rapport aux fournisseurs de services et d'équipements, en particulier par rapport aux menaces de type étatique. Il est important que la France dispose d'une filière de bon niveau pour fournir à la fois des services dans les nuages qui soient des services qualifiés, « vendus sur étagère », accessibles via Internet, à des prix compétitifs. Pour les autres fournisseurs dans le nuage numérique, ou cloud, on ne sait où sont stockées les données de tels services. Ce peut être en Europe, aux États-Unis d'Amérique ou ailleurs...

Dans le nuage, il y a plusieurs types de services : infrastructures à la demande (IaaS), logiciels à la demande (SaaS), ou plates-formes à la demande (PaaS). Ces services peuvent se situer dans des nuages publics ou dans une infrastructure spécifique construite par un opérateur, c'est-à-dire un nuage privé.

Total considère que les données à stocker dans le nuage public ne peuvent être que des données peu confidentielles, sauf, si dans le cadre du plan sécurité, des données ont bénéficié de moyens de chiffrement complémentaires leur permettant d'y être stockées. Aujourd'hui, le recours aux nuages publics est modéré et est assortie d'un dispositif particulier en matière de sécurité. En effet, Total a établi un régime de classification des données en quatre catégories : jusqu'au niveau 2, il est possible d'utiliser le nuage mais, au-delà de 2, pour des raisons de sécurité, il est interdit de recourir au nuage.

Quand on utilise le nuage, une analyse spécifique de risque associé est effectuée en fonction de la classification des données et des types d'applications souhaitées. Aujourd'hui, le SaaS (Software as a Service), configuration dans laquelle le logiciel est installé dans le nuage est le service le plus utilisé par Total qui a les moyens de se construire lui-même les infrastructures et les plates-formes. C'est l'applicatif qui pousse à aller dans le nuage ; certaines applications ne se trouvent que dans le nuage public et nulle part ailleurs. Si vous ne voulez pas l'utiliser, vous ne pourrez profiter de l'application.

Sous la pression des entreprises, certains éditeurs peuvent mettre des applications à disposition dans un nuage privé mais l'industrie informatique, au vu du poids des investissements effectués, incite à l'utilisation d'un nuage où elles mettent des applications, que ce soit dans le nuage public ou dans le nuage privé. Total est aujourd'hui réservé face aux nuages et considère surtout le degré de confidentialité des données. Encore une fois, pour éviter les risques, il faut utiliser des moyens de chiffrement.

En raison du peu de confiance accordée au stockage de données dans les nuages, à part pour un certain nombre d'applications dans le SaaS dont la sécurité n'est pas à craindre, Total possède ses propres centres de stockage de données (data centers). Ces centres sont, en fait, loués mais sont considérés comme appartenant à Total.

Total est en phase avec les préconisations de l'ANSSI et de la CNIL, surtout avec les règles d'hygiène informatique prises en compte dans le référentiel de sécurité de Total qui porte sur l'ensemble du périmètre du groupe. Les règles de ce référentiel doivent être respectées et donnent lieu à des audits réguliers des règles informatiques préconisées par l'action mise en oeuvre. Il faut mieux gérer les droits d'accès, les droits d'administration, les mots de passe pour être capable de les changer rapidement, pour éviter que les pirates trouvent facilement ce type d'informations.

Pour les choix de matériel et de fournisseurs, Total s'appuie sur les référencements de l'ANSSI lorsqu'ils existent. L'interaction avec l'ANSSI est fréquente. Total est pleinement en phase aussi avec les préconisations sur la sécurisation des systèmes industriels. En général, les gens sont peu sensibilisés à la problématique de sécurité et croient qu'il n'y a pas de problème alors que, en commençant à travailler avec les spécialistes de la sécurité, ils prennent conscience de l'existence et de l'acuité de ces problèmes.

En ce qui concerne la CNIL, la directive européenne de 1995 a repris la loi française informatique et libertés ; les déclarations exigibles sont effectuées pour encadrer les échanges de données personnelles. Suite aux recommandations de la CNIL, des Binding Corporate Rules (BCR), règles qui définissent la politique de Total en matière de sécurité, ont été établies et viennent d'être validées par les régulateurs européens. La protection des données personnelles est appliquée à l'ensemble du système de gestion.

Ce que dit la CNIL est repris dans quasiment tous les pays du monde même si la réglementation des États n'est pas forcément homogène. La protection de données personnelles est une préoccupation importante à avoir car, lorsqu'il y a un problème de sécurité, c'est l'image de marque de l'entreprise qui peut être atteinte. Cela n'est bon ni pour l'entreprise ni pour ses clients. Aujourd'hui, les préoccupations émises par la CNIL sont de bon sens.

Le référentiel de sécurité s'applique également aux filiales et aux sous-traitants auxquels un plan d'assurance sécurité est imposé. Les activités de Total en tant qu'opérateur d'importance vitale ne représentent qu'une petite partie (raffineries, quelques dépôts, les pipes lines, etc.) de ses activités mais le plan global de sécurité est appliqué à l'ensemble des activités.

Jusqu'à présent, Total n'a pas subi d'attaque massive mais est régulièrement attaqué par des virus ou des chevaux de Troie. C'est pourquoi, il était important de lancer très vite le centre opérationnel de sécurité, dispositif permettant d'avoir une analyse précise de ce qui se passe dans le réseau. Ce dispositif est en partie sous-traité à Thales. Tout ce qui laisse une trace sur le réseau peut être retrouvé car stocké et donc ensuite analysé. C'est ainsi qu'une attaque par des chevaux de Troie sur l'activité « gaz » de Total a été détectée ; ils n'avaient pas encore été activés mais quelques postes avaient déjà été affectés. Ils ont été nettoyés avant d'avoir servi à envoyer de l'information. Des attaques en déni de service ont touché certains sites Internet de Total qui ont été bloqués pendant quelques heures mais il n'y a pas eu d'attaque massive pour l'instant. Plutôt que de savoir si elle aura lieu, il s'agit plutôt de se demander quand elle surviendra. C'est la raison pour laquelle Total veille quotidiennement à ses barrières de sécurité.

La protection des données en qualité d'opérateur d'importance vitale suppose d'imposer aux sous-traitants d'élaborer un plan de sécurité, contrôlé régulièrement, reprenant les règles et les préconisations décidées.

Les utilisateurs doivent être informés et également sensibilisés. Par comparaison, il ne suffit pas d'apprendre que la cigarette est mauvaise pour la santé pour que les comportements changent de ce seul fait. Les actions de sensibilisation vont être intensifiées notamment face au phishing - campagne par courriel permettant d'activer des malwares. Il est possible de sensibiliser en faisant du faux phishing, c'est-à-dire en s'envoyant des courriels pour voir qui va répondre et, ensuite, préciser aux personnes qui ont répondu qu'il ne faut pas répondre à ce genre de message. Ces attaques sont souvent bien conçues. Ainsi, Saudi Aramco a commencé à être attaqué, à se faire pirater du fait d'un phishing qui renvoyait à un site Internet auquel les employés communiquaient leur mot de passe croyant s'adresser aux informaticiens internes. Il y a toujours des personnes qui réagissent car ces attaques sont mieux en mieux réalisées.

Par ailleurs, dans les avions, dans les trains, empruntés par beaucoup de personnels de Total, il leur est conseillé d'utiliser un écran qui limite le champ visuel et de faire attention à ne pas être lu par le voisin. De plus, beaucoup d'informations confidentielles peuvent être volées en cas de perte ou de vol d'un PC. Il faut aussi sensibiliser à cela. Aujourd'hui, par exemple, il est facile d'utiliser Dropbox, c'est pratique mais ce n'est pas du tout sûr ; il faut expliquer le risque qu'il y a à utiliser ce genre de solution. Total construit actuellement une solution équivalente mais sécurisée. Un dispositif de sécurisation peut être efficace mais des comportements inconséquents sont susceptibles de ruiner ce dispositif.

La séparation entre la vie privée et la vie d'entreprise est de plus en plus floue du fait d'outils qui permettent d'accéder aux divers systèmes quel que soit le lieu ou le moment. Ainsi, l'accès aux données de l'entreprise peut s'effectuer au moyen d'un téléphone privé mais cette utilisation est déconseillée en raison des risques de sécurité associés. Il est très difficile de contrôler ce qu'il y a sur le téléphone de la personne. De fait, Total donne des téléphones professionnels que les employés peuvent utiliser accessoirement à des fins personnelles : ce qui permet d'appliquer la politique de sécurité de l'entreprise. La politique sur le problème des dispositifs à domicile (home devices) est également appliquée pour les prestataires. Il est parfois demandé aux prestataires de venir avec leur PC et un accès virtuel leur est accordé. Leur accès aux données se trouve, de fait, limité.

Dans la politique de Total, sur les postes de travail, tout chargement de logiciel non professionnel est interdit. Les droits d'administration sont réservés. Le changement de logiciel spécifique doit être autorisé.

Total a des échanges réguliers avec d'autres entreprises françaises (Michelin, Areva, Safran, Société Générale, etc.) à travers diverses structures (le CLUSIF, le CIGREF, etc.) et beaucoup d'échanges aussi avec quelques autres entreprises du secteur pétrolier pour être en phase avec le marché.

Les antivirus sont nécessaires mais absolument pas suffisants. Des mesures complémentaires doivent être prises face aux menaces actuelles, d'où la nécessité de mettre en place un centre de sécurité opérationnel d'autant que les antivirus ne sont pas tous capables d'arrêter tous les virus qui existent. Même si certains virus sont connus, ils mutent. Il n'est pas aisé de les identifier.

Les fournisseurs d'antivirus ne connaissent pas forcément l'ensemble des virus. Et il faut donc favoriser une sorte de biodiversité d'antivirus pour ne pas utiliser une seule solution antivirus pour traiter un problème.

Aux États-Unis d'Amérique, la législation oblige les éditeurs à déclarer les failles de leurs produits dont profitent souvent les pirates. Si, par exemple, Microsoft déclare une faille, elle risque alors d'être exploitée par des pirates car, entre le moment où la faille est déclarée et l'élaboration d'une solution de parade, une attaque peut être menée. L'antivirus ne peut être actif que lorsque le virus est connu mais si le pirate crée un virus pour profiter d'une faille, il y a un moment où ce virus a une capacité de nuisance.

S'il y a des failles dans des logiciels applicatifs comme Internet Explorer, il faut mettre à jour les logiciels pour pouvoir résister aux attaques. En effet, les antivirus ne dispensent pas d'apporter des correctifs au logiciel. Le temps de déploiement des solutions sur l'ensemble du périmètre doit être réduit. Sur ses sites, dans cent trente pays, le programme utilisé par Total prend encore trop de temps. Il faudrait cependant pouvoir procéder à une modification en moins de vingt-quatre heures, comme le fait maintenant Saudi Aramco.

Le système de supervision de sécurité est fondamental. Les sondes sont essentielles pour permettre d'apprécier en temps réel ce qui se passe sur le réseau. En plus des antivirus, il est nécessaire d'utiliser des pare-feu qui permettent de bloquer un certain nombre d'attaques ou d'accès. Il est à noter que les pare-feu de nouvelles générations peuvent filtrer les couches applicatives et pas uniquement les couches de base.

Il y a régulièrement des attaques sous forme de chevaux de Troie.

Les effectifs pour parer aux attaques sont organisés en deux niveaux. D'une part, une filière de responsables des systèmes d'information déployée au niveau groupe, au niveau branche, au niveau local qui a pour mission d'appliquer le référentiel de sécurité. Cela représente 250 personnes au niveau du groupe. Par ailleurs, une filière opérationnelle, rattachée aux équipes de production informatique, met en oeuvre et exploite les outils de sécurité. Elle est alors intégrée dans les opérations et il est donc difficile de dénombrer exactement les personnes qui travaillent spécifiquement à la sécurité.

En cas de crise, des cellules de crise sont activées au sein du groupe et, en cas d'événement de grande ampleur, une équipe d'intervention rapide est réservée, en permanence, chez Thales. Dans la gestion des crises informatiques, la réactivité est un élément extrêmement important de la solution. Ainsi, Saudi Aramco aurait pu bloquer l'attaque si elle avait coupé Internet plus vite ; cela s'est joué à cinq heures près. En effet, il faut réagir en quelques heures face à une attaque pour limiter les impacts.

Les personnes en charge du référentiel ont pour mission de traiter la problématique de sécurité qui suppose d'abord d'être organisé face à la crise en mettant en place un dispositif de crise informatique et de vérifier son efficacité à l'aide d'exercices réguliers.

Les solutions de sécurisation s'intègrent dans le cadre juridique européen ou international mais dans certains pays, comme la Russie, le Pakistan ou la Chine, et pour certains équipements, des autorisations d'exportation sont nécessaires. Certains matériels ne peuvent être implantés dans certains pays, du fait de l'opposition des Américains.

Si la réglementation sur les données personnelles existe, les dispositions d'application de la loi de programmation militaire sont attendues pour mettre en conformité le plan actuel, fondé sur de la prospective, avec les dispositions applicables.

Le fait que les noms de domaines soient attribués par une association américaine ne pose pas de problème particulier à Total. Les domaines intéressants ont été réservés : le Total.com, le .total.

Pour améliorer la sécurité des entreprises face au numérique, à l'image de Total, il convient de dresser une cartographie des risques, de mettre en place les outils de protection (le centre opérationnel de sécurité, les équipements de protection, etc.), de protéger les installations industrielles, de renforcer la sécurité des applications, de sensibiliser les utilisateurs, de se préparer en termes de gestion de crise et de posséder une cartographie des risques actifs, régulièrement réévaluée, qui permette de gérer les risques.

Il faut également développer des possibilités d'utiliser le nuage de manière sécurisée - pour la mobilité en particulier - afin de pouvoir rester compétitif. Il n'est pas possible de renoncer totalement à utiliser le nuage. Un dispositif est en cours de conception dénommé cloud broker (fournisseur de nuage) qui va permettre de faire de l'authentification, de crypter les données. Le niveau de sécurité sera alors plus important.

Le nombre d'objets connectés augmente sans cesse et il en est prévu 50 milliards en 2020. Aujourd'hui, chez Total, il y a des dispositifs de surveillance installés dans des turbines sur les plates-formes pétrolières ; ces capteurs mesurent en continu de nombreux paramètres - la température, la vitesse de rotation - et ces informations sont analysées à partir de technologies de big data pour déterminer des débuts de pannes ; cela évite d'être victime d'une rupture de turbines obligeant à arrêter la production d'une plate-forme.

GENDARMERIE NATIONALE - DIVISION DE LUTTE CONTRE LA CYBERCRIMINALITÉ - SERVICE TECHNIQUE DE RECHERCHES JUDICIAIRES ET DE DOCUMENTATION

Colonel Éric Freyssinet, coordinateur du plateau d'investigation Cybercriminalité & Analyses Numériques (PI CyAN) - Pôle judiciaire de la gendarmerie nationale

6 mars 2014

Je travaille depuis une quinzaine d'années dans le domaine de la sécurité numérique, à savoir en début de carrière sur le traitement de la preuve numérique et ensuite à la Direction générale de la Gendarmerie nationale sur les projets de la lutte contre la cybercriminalité. Depuis trois ans, je suis à la tête de la division de la sécurité numérique contre la cybercriminalité, qui fait partie du service de technique de recherches judiciaires et de documentation - service qui assure le traitement de l'information judiciaire et fait partie du pôle judiciaire de la Gendarmerie nationale. En 2005, une division de lutte contre la cybercriminalité a été créée ; elle résulte de l'évolution de la cellule de veille sur Internet créée en 1998.

L'activité de cette division comprend des missions de police judiciaire au plan national, avec deux axes d'action. Le premier est la veille à vocation judiciaire, de façon proactive, sur Internet afin de détecter les infractions. Contrairement aux collègues de terrain, la division choisit les infractions sur lesquelles elle travaille, qui comprennent des enjeux techniques et juridiques. Détecter des infractions sur Internet, cela suppose de collecter des informations, de développer de nouvelles méthodes d'investigation. C'est un métier qui évolue en fonction du type d'infractions. Quelques plaintes sont également reçues notamment des entreprises du commerce électronique ou de services en lien avec le ministère de la défense, victimes d'attaques contre leur site web par exemple. La Gendarmerie nationale est toujours ancrée au sein du ministère de la défense pour certaines de ses missions. C'est le service de police qui est le plus proche de la défense et qui essaie de répondre aux attentes de celle-ci.

Le second axe est tourné vers le terrain. Il suit l'activité des enquêteurs spécialisés de la gendarmerie. Au sein de la division de lutte contre la cybercriminalité, il y a un guichet unique téléphonie et Internet pour faciliter les relations entre les enquêteurs et les opérateurs quand il apparaît des difficultés en matière de réponses aux réquisitions ; par exemple, pour obtenir des informations dans le cadre d'une garde à vue.

Une autre équipe, composée de vingt-huit personnes, est chargée de développer de nouvelles applications, de nouveaux services pour aider les enquêteurs spécialisés, leur rendre plus accessible l'information dont dispose la Gendarmerie nationale

Le laboratoire de preuves numérique (département informatique et électronique de l'Institut de recherches criminelles de la Gendarmerie nationale), avec lequel travaille la division en étroite coopération, et situé également à Rosny-sous-Bois, comprend une vingtaine d'experts, ingénieurs et techniciens en charge de la preuve numérique au niveau central.

Le service technique de recherches judiciaires et de documentation a un rôle de coordination, d'apport de nouveaux outils aux enquêteurs, de réponse aux besoins de certaines victimes de nouvelles attaques, infractions, escroqueries, etc.

En matière de souveraineté numérique, la gendarmerie conseille aux entreprises de commencer par maîtriser leur patrimoine informationnel. C'est-à-dire sérier les différents types d'informations, distinguer les données sensibles et importantes pour l'entreprise, comme les résultats des recherches et développements, les objectifs et tout ce qui peut être essentiel et confidentiel. C'est à partir de là que les contraintes de stockage et de sécurité sont définies. Il ne faut d'ailleurs pas tout stocker au même endroit mais maîtriser les données en fonction des risques par rapport à des critères économiques ou autres. Des choix de stockage s'imposent.

Quant à l'informatique dans des nuages, cela dépasse la problématique du stockage mais inclut la mise à disposition de services, comme de capacités de calcul informatique distribuées, à des coûts accessibles et disponibles en quelques minutes. Ces capacités de calcul ou de stockage plus importantes sont utiles aux entreprises ou à l'État lorsqu'ils souhaitent externaliser certaines fonctions. Par exemple, en cas de perquisition par un enquêteur sur le terrain, les copies d'un téléphone mobile ou celle d'un disque dur pourraient être mises à disposition à Rosny-sous-Bois, à Nanterre ou Écully, sans qu'il y ait transfert physique du téléphone ou du disque dur. Le support pourrait être copié et adressé à des experts à distance avec un double bénéficie : efficacité et économie.

Le stockage dans les nuages est souple. Pour l'administration, cette capacité devrait être gérée par un nombre raisonnable de personnes. Une structure commune pourrait être envisagée avec différents secteurs de sécurité ; elle mettrait à disposition des capacités excédant celles possibles de mettre en oeuvre isolément ou de manière plus sûre. C'est la même démarche pour l'entreprise ou pour le particulier. La possibilité d'avoir recours à un serveur d'information a toujours existé mais la disponibilité et la souplesse sont fournies aujourd'hui par les nuages.

La confiance accordée au stockage de ces données dépend d'abord de la confiance accordée à l'entreprise qui gère le nuage et des dispositions prises par elle pour le sécuriser. De plus, il est possible d'ajouter du chiffrement sur un stockage dans un espace partagé. Il y a quelques années, une entreprise spécialisée dans l'archivage de documents sécurisés, située vers Lausanne, a été victime d'un incendie et l'ensemble des données stockées a été détruit. Cela pourrait arriver aussi à des serveurs informatiques confiés à une société n'ayant pas prévu de multiplier la localisation des données et de baliser la sécurité sous tous ses aspects. Sans aller jusqu'à évoquer la notion de souveraineté, il y a beaucoup d'enjeux techniques auxquels il faut penser.

À propos de l'articulation des missions entre l'Agence nationale de la sécurité des systèmes d'information (ANSSI), agence de l'État, et la Commission nationale de l'informatique et des libertés (CNIL), autorité administrative indépendante, il est à noter que l'ANSSI a évolué récemment à partir de la Direction de la sécurité des systèmes d'information (DSSI) et n'est donc pas partie de rien en 2009 même s'il y a eu depuis une montée en puissance. Quant à la CNIL, elle ne cesse d'évoluer depuis 1978.

La CNIL protège l'usager, le citoyen, tandis que l'ANSSI protège les opérateurs d'importance vitale et les administrations. Ces deux types d'acteurs se complètent.

La question de leur coordination se pose cependant, par exemple, pour la notification des incidents techniques. Quel est le bon acteur pour traiter un type d'incidents comme celui survenu à Orange ? Les opérateurs d'importance vitale traitent des données concernant le citoyen et relèvent de l'ANSSI mais les 800 000 identifiants concernés par l'incident survenu à l'opérateur Orange sont de la responsabilité de la CNIL. Fallait-il communiquer rapidement sur cet incident ? Quand il y a des compétences concurrentes, la coordination et le dialogue sont indispensables. C'est le cas entre l'ANSSI et la CNIL qui ont des actions complémentaires. Toutefois, chronologiquement, ce n'est pas évident à réaliser car la CNIL doit être prévenue très rapidement. La sécurisation des données est dans son champ de compétences.

Une enquête judiciaire est en cours sur l'incident qui a concerné Orange. Même si les conséquences n'ont pas été importantes, cela a posé un problème de confiance au consommateur, à l'usager. Le fait de devoir communiquer autour de ces incidents est positif. Orange s'interroge sur la manière de communiquer avec ses usagers et, pour l'avenir, Orange est sous le regard de tout le monde. Les mesures correctives mises en place sont donc scrutées avec intérêt. Le secret sur les incidents ne permet pas de progresser.

À propos de l'anticipation des évolutions techniques par la CNIL, il est à noter que, depuis 2003, a été mise en place une association dénommée Signal Spam qui traite des signalements émanant d'internautes à propos de courriers électroniques non sollicités. Cette association travaille en partenariat avec les acteurs du courrier électronique, les opérateurs, l'administration et la CNIL. Grâce aux informations collectées auprès des victimes, la CNIL est à même de connaître les types de messages non sollicités et les mauvaises utilisations faites des listes d'adresses électroniques. Signal Spam transmet tous les mois un relevé de ces incidents à la CNIL. Dans ce cadre, un dialogue avec les professionnels du courrier électronique est instauré permettant à la CNIL d'avoir un regard extérieur, de participer aux débats et d'apporter son analyse.

Cet espace de dialogue neutre, externe, permanent, a permis à la CNIL d'émettre un avis sur la façon de traiter les jeux concours. En fait, ces jeux servant surtout à obtenir les coordonnées de personnes, la CNIL a rappelé les règles qu'elle préconisait dans ce domaine. Ces règles ont été établies en dialoguant avec les acteurs et en observant les pratiques. Signal Spam permet ce dialogue à partir d'informations concrètes ; c'est le type même de travaux qu'il est important de développer avec la CNIL. La CNIL s'est plutôt bien adaptée aux évolutions technologiques. Comme la gendarmerie, elle compte maintenant des agents qui conduisent des investigations numériques dans les réseaux des entreprises ou des administrations.

À noter que des parlementaires sont commissaires au sein de la CNIL. Celle-ci ne va pas émettre des recommandations sur les bonnes pratiques à conseiller aux entreprises sans les avoir écoutées d'abord. Il en va de même pour la gendarmerie qui d'abord est attentive aux contraintes s'imposant aux divers acteurs avant de leur adresser des recommandations ou des directives. Au niveau européen, le groupe de l'article 29 est beaucoup moins à l'écoute des difficultés des opérateurs quant à la conservation des données par exemple. Il n'y a aucune écoute des services de police et de la justice au niveau européen alors que c'est tout le contraire au niveau français.

En matière de données à caractère personnel au sens de la loi informatique et libertés, c'est le responsable du traitement qui est tenu de garantir la sécurité de son système d'information et cette responsabilité s'étend à ses sous-traitants. Il s'agit là d'une garantie légale.

Récemment, l'article 22 de la loi de programmation militaire (LPM) a introduit des dispositions semblables s'imposant aux opérateurs d'importance vitale pour la sécurité de leurs données et leurs infrastructures.

Dans le cadre de ces nouvelles dispositions, les opérateurs d'importance vitale sont impatients de voir avec l'ANSSI les mesures qui vont leur être imposées pour sécuriser leurs systèmes d'information. Légalement, ces dispositions existent, techniquement, elles vont être d'autant mieux mises en oeuvre qu'une prise de conscience par les responsables des entreprises interviendra ; de même dans l'administration. Toutefois, des investissements sont requis par ces objectifs en dépit des difficultés économiques actuelles. De plus, des produits de confiance existent-ils déjà pour atteindre ces objectifs ?

S'il n'y a pas trop d'inquiétudes à avoir pour les opérateurs d'importance vitale, il est à craindre que les entreprises ou les collectivités locales, qui représentent environ 99 % des acteurs, soit ne feront rien soit achèteront des produits outre-Atlantique pour sécuriser leurs systèmes, ce qui n'est pas forcément le moyen de remplacer le recrutement d'un bon spécialiste.

La sensibilisation des responsables à ces problématiques est également une question essentielle. Au vu d'exemples concrets ou d'études menées auprès de responsables, notamment d'hôpitaux et plus généralement d'entreprises, il apparaît que cette sensibilisation est encore insuffisante.

Par exemple, l'analyse du Club de la Sécurité de l'Information Français, le CLUSIF, à propos d'un sondage auprès de responsables, révèle que ces derniers n'ont pas toujours conscience qu'investir dans la sécurité des systèmes d'information est fondamental. À titre d'exemple, les collectivités locales (départements, communes, etc.) n'ont pas forcément mis en place tous les outils qui permettraient de réagir à un incident. Lorsqu'un site web est attaqué, elles ne connaissent pas toujours immédiatement le nom de son développeur, ni les clés d'accès ni les mots de passe ni la manière d'obtenir les journaux. Or, il y a souvent des incidents de ce type.

Quant à l'usage indifférencié des outils informatiques professionnels ou privés, il importe d'abord d'être conscient du caractère sensible de l'information et de l'existence de telles technologies. Les employés viennent au travail avec des téléphones mobiles ou des clés USB personnels.

Quand un courriel professionnel doit être adressé à quelqu'un à l'autre bout du monde, la réflexion doit porter sur la méthode à utiliser pour son envoi. Même si les moyens classiques ne doivent pas forcément être écartés, il faut sensibiliser les informateurs manipulant des informations très sensibles. Mieux faut téléphoner qu'adresser un courriel. Cela laissera moins de traces et cela sera plus facile à contrôler. Mieux vaut sensibiliser les utilisateurs que d'avoir peur des technologies elles-mêmes.

Le dispositif de formation à la sécurité numérique de la Gendarmerie nationale évolue en permanence. Il y a 260 enquêteurs en technologie numérique qui suivent une formation donnant lieu à la délivrance d'une licence professionnelle délivrée par l'Université de technologie de Troyes. Une vingtaine d'enquêteurs ont ainsi été formés dans le cadre de la promotion 2013. Depuis 2005, en complément, plus de 1 000 correspondants locaux en technologie numérique (C-NTECH), basés dans les communautés de brigade, ont été formés à ce jour. Ils jouent un rôle de relais auprès des victimes et prennent les plaintes pour les infractions numériques (escroqueries, carte bancaire, etc.) et doivent savoir mener des enquêtes simples. Actuellement, une formation en ligne pour les premiers intervenants a été développée dans le cadre d'un projet européen, en partenariat avec la police nationale française. Elle permet à tous les enquêteurs d'avoir accès à une formation de base sur ces questions-là.

En ce qui concerne la cybercriminalité et plus spécifiquement dans le cadre du traitement de données à caractère personnel au quotidien, des formations régulières sont dispensées aux gendarmes sur l'importance du contrôle d'accès aux bases d'informations judiciaires.

Quant aux solutions mises en oeuvre dans d'autres États en matière de sécurité numérique, plutôt que de s'en inspirer, la Gendarmerie nationale constate que la France est plutôt bien positionnée voire souvent en avance comme pour la loi de 1978 ou d'autres législations. Que ce soit sous l'angle juridique ou technique, il ne semble pas qu'elle ait des leçons à prendre ailleurs. En revanche, il y a à apprendre d'un événement. Il vaut mieux être informé de la solution apportée par un État à un incident qui peut se propager à d'autres. Il faut donc être très ouvert aux échanges.

La protection assurée par les antivirus. Il faut d'abord que les antivirus détectent un certain nombre d'incidents sur l'ordinateur mais ils ne sont pas capables de détecter les activités frauduleuses dans les réseaux eux-mêmes. C'est important d'avoir une capacité de détection dans les réseaux. C'est ce que l'ANSSI a mis en place, avec succès, à l'aide de sondes dans les administrations. Les entreprises développent également des systèmes de ce type. L'antivirus n'est qu'une brique d'information dans l'ensemble très vaste que constitue le réseau. Trop souvent, aujourd'hui, des incidents sont issus de l'antivirus et non des activités suspectes sur les réseaux. Des progrès sont à réaliser. Une fois qu'un virus est installé dans le réseau, il peut contourner les antivirus. Donc, la solution n'est pas systématiquement dans l'installation d'un antivirus. La formation des utilisateurs aux incidents dus aux antivirus doit permettre une réaction adaptée aux problèmes techniques.

Nombre d'incidents quotidiens surviennent mais ce ne sont pas forcément des attaques. Des attaques très sérieuses, de grande ampleur, il y en a toutes les semaines, pas forcément toujours sur la même cible. Elles peuvent être assez graves. En ce moment, des attaques en déni de service surviennent pour rendre inaccessibles les systèmes d'information. De nouvelles techniques ont été développées récemment en utilisant des rebonds sur des serveurs de noms de domaine. Il en a été détecté de très efficaces et qui ne ciblaient pas forcément toujours la même victime. Il est donc important d'échanger des informations sur tous ces incidents. Aujourd'hui, il y a beaucoup trop de secret autour des incidents périodiques et, souvent, celui qui va vivre ces incidents ignorera si un acteur analogue a subi les mêmes, alors que, par exemple, de plus en plus, dans le domaine de la banque, une grande banque recherchera si une autre banque a subi le même type d'incident. Cela se fait beaucoup moins dans d'autres secteurs. Les directeurs informatiques des régions, des départements, des grandes administrations gagneraient à communiquer plus souvent sur ce retour d'expérience.

Quant au cadre juridique européen et international, la gendarmerie est attentive à l'évolution de la directive sur la protection des données à caractère personnel. Cela a été malheureusement repoussé. La France est très dépendante de ce qui se passe dans d'autres pays car les données des Français sont souvent stockées à l'étranger, même si c'est en Europe.

Sur le plan de l'enquête judiciaire, pour réagir à des incidents, la gendarmerie est vraiment en difficulté car il n'existe pas d'outils internationaux importants de coopération efficaces. La situation n'a pas évolué depuis la Convention du Conseil de l'Europe sur la cybercriminalité de 2001. Il n'y a pas d'outils permettant de faire progresser la coopération avec les Russes, les Chinois, les Indiens ou d'autres, ce qui peut faire naître certaines inquiétudes. Il faudrait faire évoluer le droit sur cette coopération.

À propos des noms de domaine attribués par l'association de droits privés américaine ICANN, cette question comporte plusieurs aspects. En France, pour le « .fr » et les noms de domaine similaires, c'est la loi française qui s'applique. Même si ce système est américain, il autorise les particularités nationales.

Dans le « .fr », il y a des noms de domaine enregistrés aux Bahamas mais au profit de résidents chinois qui vendent des contrefaçons. Cela pose un problème car, normalement, les noms de domaine en « .fr » doivent être réservés à des résidents européens.

Déjà, s'il y avait davantage de contrôles ou de moyens en France pour contrôler l'office chargé de gérer ces noms de domaine, une meilleure sécurité serait possible. D'autant que lorsqu'une éventuelle victime voit un nom de domaine en « .fr », elle a confiance. Il convient donc d'être plus attentif. À l'international, cela est encore plus complexe.

Au-delà de l'attribution de noms de domaine par une association étrangère, il conviendrait d'instaurer un dialogue entre un grand nombre d'acteurs aux intérêts économiques divergents ou aux intérêts collectifs divers. Les dialogues avec les professionnels sont également utiles.

L'exemple de partenariat public-privé Signal Spam a déjà été évoqué. Il existe également un Centre expert contre la cybercriminalité français (CECyF) qui a été lancé le 21 janvier 2014, à Lille au Forum international sur la cybersécurité (FIC). Ce centre est une association de la loi 1901 qui rassemble les acteurs de l'État, des établissements d'enseignement et de recherche et des entreprises privées. Son but est de développer de façon partenariale des projets en matière de formation, de recherche et de développement et de prévention. Cela doit permettre d'avancer car l'ensemble des acteurs concernés est mobilisé pour des actions communes, par exemple la réaction à avoir lors d'un incident informatique, d'une attaque.

Les techniques utilisées dans les entreprises ou les organisations victimes et les personnes qui les conseillent sont les mêmes que celles utilisées par les enquêteurs en réponse à un incident : la criminalistique en anglais. Il faut pouvoir se former collectivement à ces outils, développer des outils communs. Or, aujourd'hui, il n'y a aucun outil commercial français reconnu dans ce domaine. On trouve des outils américains, israéliens, suédois. Pour l'analyse de disques durs, de téléphones mobiles, il n'y a aucun grand acteur français, seulement des toutes petites entreprises qui développent des outils et qu'il convient de soutenir.

Enfin, demeure l'importante question de savoir, à propos des collectivités locales, des petites et moyennes entreprises et des particuliers, vers qui ils doivent se tourner en cas d'incident. Aujourd'hui, rien n'est défini. Ils se tournent donc vers des amis, vers un service après-vente des matériels mais ils ne trouvent pas forcément de réponses quant à la sécurité.

Il serait souhaitable de développer des acteurs de proximité, des réparateurs en réponse à des incidents de sécurité ; ces personnes devant être capables de remettre en état un ordinateur, vérifier les virus qui l'ont affecté, comprendre ce qu'il s'est passé, expliquer à la victime ce qu'elle n'a pas bien fait. Or, aujourd'hui, ce genre de personne se forme sur le tas ou même n'existe pas. Ce type de service ou de formation n'existe pas.

De plus, l'information sur ces incidents ne remonte pas. L'ordinateur est remis en fonction mais la perte de données importantes ou confidentielles peut être à déplorer. Il faut donc développer des formations pour remédier à cela et créer cette chaîne incluant des réparateurs.

La France possède des capacités de formation (école d'ingénieurs, etc.) mais les petites entreprises du domaine de la sécurité numérique n'ont pas été bien soutenues et sont peu visibles, s'en plaignent et se font racheter par des géants étrangers. De plus, toute la chaîne sur le terrain jusqu'aux victimes peut créer des activités économiques et c'est là un rôle nécessaire. Peut-être demain, le vote se fera-t-il sur Internet ce qui suppose que les ordinateurs des particuliers soient sûrs ?

La gendarmerie a développé un petit triptyque pour les petites entreprises car 70 % des petites entreprises sont en zone gendarmerie. Sous la forme d'un fascicule sur la cybermenace, ce triptyque est destiné à aider ce type d'entreprises qui utilisent toutes Internet sans pour autant avoir un informaticien à leur disposition. Il existe un « Mois de la sécurité » au niveau européen, en octobre chaque année, mais rien ne se passe en France. Il faudrait davantage de dynamisme. Dans le cas du centre expert CECyF, un maximum d'initiatives locales et nationales seront lancées pour pouvoir faire se rencontrer et dialoguer les personnes qui travaillent dans ce domaine.

DIRECTION GÉNÉRALE DE L'ARMEMENT

M. Éric Bruni, chef du service de la sécurité de défense
et des systèmes d'information

6 mars 2014

La Direction générale de l'armement assure la protection du secret de la Défense nationale conformément à l'Instruction interministérielle 1300 même si, à l'intérieur des systèmes, il y a des systèmes à protéger selon les préconisations de la CNIL.

Devant la nécessité de protéger les acteurs du secteur de l'armement face au risque numérique, la DGA, qui a la tutelle de l'industrie de l'armement, surveille, informe et forme l'ensemble des industriels travaillant pour l'armement en collaboration avec d'autres entités du ministère de la défense.

Cela concerne la majeure partie des industriels habilitée à traiter du secret de la défense nationale comme certains autres aux activités non classifiées. Se développe aussi, depuis quelques années, la protection du potentiel scientifique et technique de la Nation qui a été élargi à l'ensemble des laboratoires de recherche des universités ou autres, ou des écoles militaires de la défense. S'ajoute à cela le corpus réglementaire lié aux activités d'importance vitale qui résulte des directives nationales de sécurité (DNS).

Un volet très important est la déclinaison des réglementations en interne et chez les industriels avec des éléments décrivant les modalités de mises en oeuvre pour cette protection. Un autre volet majeur est l'habilitation des entités travaillant pour la DGA comprenant un aspect relatif aux contrôles des infrastructures et en particulier les infrastructures informatiques.

Une autre action importante de la DGA porte sur le développement de technologies et, parmi les différents domaines d'interventions techniques, figure la cybersécurité pour laquelle sont développés des moyens de chiffrement en étroite collaboration avec l'ANSSI qui est un des acteurs majeurs du domaine.

En parallèle, un suivi régulier des industriels et des entités internes au ministère de la défense est mis en place au moyen d'inspections régulières réalisées par la DPSD et grâce à des audits de la DGA commandés par exemple auprès de l'ANSSI, pour regarder en détails les réseaux utilisés par les industriels.

L'activité de sensibilisation et de formation est aussi très essentielle car il s'agit d'insuffler une culture de protection, certes plus présente au sein du ministère de la défense que dans d'autres activités de l'État pour combattre des comportements laxistes dans l'utilisation des moyens informatiques. Des séances régulières de sensibilisation permettent de faire prendre conscience du risque.

De plus, quelqu'un qui trouve une clé USB est très tenté de la connecter à son ordinateur pour voir ce qu'il y a dedans, ne serait-ce que pour le restituer à son propriétaire. D'autres peuvent être tentés de recharger leur téléphone portable ou leur smartphone sur leur poste de travail or, le téléphone portable étant un modem qui permet de dialoguer sur Internet, il constitue une voie d'accès pour un virus. Seuls les vieux téléphones ne craignent pas grand-chose.

Le centre de cyberdéfense de la DGA fait très régulièrement la démonstration de ce genre de prise de contrôle à distance d'un smartphone. C'est pour cela que, à la DGA, il est interdit, dès lors que sont évoquées des informations confidentielles, d'apporter des portables ; les téléphones sont laissés à l'extérieur de la salle.

Tous les industriels de l'armement sont concernés à des niveaux différents ; un certain nombre est érigé en opérateurs d'importance vitale, à savoir les plus gros et ceux qui interviennent sur des domaines très particuliers. Il n'y a que quelques opérateurs d'importance vitale mais un bon millier d'entreprises qui traitent du secret de la défense nationale et d'autres acteurs qui sont regardés de moins près puisque l'information qu'ils détiennent est moins critique.

En matière de souveraineté numérique, il y a encore une trentaine d'années, la défense poussait le monde civil en matière de nouvelles technologies. Aujourd'hui, on ne sait plus développer une chaîne totalement souveraine pour fabriquer des ordinateurs ou des réseaux. Quelques équipements sont développés spécialement pour la défense nationale, en particulier le chiffrement, totalement maîtrisé en national, presque étatique et sur lequel on fait reposer les principales architectures.

Les autres équipements sont issus du commerce et l'ANSSI et la DGA peuvent évaluer le risque pris en recourant à ces moyens. Les affaires de « portes de derrière » ou back doors présentes dans les logiciels de certains équipements inquiètent et font réfléchir. La presse a évoqué l'hypothèse que, dans des produits Microsoft, se trouvaient des moyens d'entrer pour la NSA malgré les protections apportées à ces produits. Il existe forcément des relations privilégiées entre un fabricant national, fournisseur de moyens réseaux par exemple et l'État où il se situe.

Si la souveraineté numérique est limitée, le cryptage est un domaine bénéficiant de beaucoup d'effort en France. Il est fondé sur des algorithmes mathématiques réputés sûrs, le temps pour les casser se compte en dizaine d'années, ce qui peut être encore insuffisant quand les informations à protéger doivent l'être sur des durées encore supérieures. Il en va différemment dans un sommet de chefs d'État ou même dans la transmission d'un ordre tactique sur un terrain d'opération.

En ce qui concerne le stockage de données dans des nuages numériques (cloud) les seuls éléments externalisés dans le nuage grand public sont des sites de communication institutionnelle dont les informations sont totalement publiques. En revanche, l'information du ministère de la défense, même non classifiée, n'est pas stockée à l'extérieur mais dans l'équivalent un nuage interne.

L'État réfléchit à un certain nombre d'actions pour développer des nuages maîtrisés avec des fournisseurs français. Pour la protection de l'information, il faut mettre en place une infrastructure qui la permette.

La confiance à accorder au stockage dans le nuage public est très limitée pour différentes raisons. Déjà, certaines réglementations étrangères sur la protection des données sont différentes de la législation française et la confidentialité n'est pas assurée. Quant à l'intégrité des données, comment savoir si l'information récupérée n'a pas été perturbée, volontairement ou non ? En termes de disponibilité, de gros doutes sont possibles. Quelques événements de fermeture temporaire de services ont existé chez Google ou chez d'autres. Ces aspects font naître le plus d'inquiétude notamment en cas de conflit.

La protection de l'information, la SSI, s'appuie sur ces trois critères de confidentialité, d'intégrité et de disponibilité. C'est au vu des exigences dans ces trois domaines qu'une stratégie est choisie. En effet, dans certains cas, il ne sert à rien d'avoir des informations très bien protégées si on ne peut y accéder.

La stratégie actuelle de la DGA, et plus globalement du ministère de la défense, est de développer en interne des capacités de stockage délocalisées avec des fermes de serveurs et des baies de stockage au sein du ministère de la défense que chacun peut exploiter pour ses travaux.

Outre le stockage des données, il existe le recours à des fonctions informatiques très évoluées, très intégrées, comme les fameux progiciels de gestion ERP tels que SAP ou autres qui peuvent intégrer, au sein d'une importante base de données, toutes les informations financières ou techniques d'une société alors qu'elles impliquent des exigences de protection variables. Par exemple, si la facturation peut parfois être orientée vers l'extérieur, d'autres activités doivent davantage être sécurisées. Tout cela, dans le seul et même système unifié fourni par un prestataire extérieur, peut conduire à se poser des questions en matière de protection de certaines informations. Quelqu'un qui pénétrerait ce système aurait accès à toute l'information. Certes, ces progiciels mettent en place des chiffrements, toutefois la confiance en ces moyens ne peut être que variable.

L'externalisation et le nuage ne peuvent donc être envisagés qu'avec beaucoup de précautions pour les informations du ministère comme pour celle des industriels mêmes s'ils ont tendance à externaliser davantage.

S'agissant de l'articulation entre les approches prônées par l'ANSSI et la CNIL en matière de moyens de protection, la CNIL propose le même genre de démarche et de solutions que ce qui est développé et évalué avec l'ANSSI qui est le principal interlocuteur de la DGA.

Les moyens de l'ANSSI sont en croissance permanente et forte pour répondre à l'enjeu national. Du côté du ministère de la défense, les effectifs sont aussi en forte croissance dans les domaines technologiques et dans le domaine surveillance.

Une entité du ministère de la défense assure la surveillance et l'intervention sur les réseaux en cas de problème détecté, comme la simple introduction d'une clé USB sur un système qui a été mis sur Internet et qui peut ramener un virus à des cas plus complexes.

La DGA se fonde sur les analyses effectuées par l'ANSSI, sachant que ces analyses sont menées conjointement avec le ministère de la défense dans beaucoup de domaines, notamment pour les nouveaux types de risques qui apparaissent et les nouvelles solutions que l'on peut choisir.

La protection des données des opérateurs d'importance vitale passe d'abord par leur responsabilisation. Le code pénal les rend responsables de la protection de leur information. Il a aussi imposé des précautions et des recommandations.

Ces opérateurs sont régulièrement audités. Au nombre d'une trentaine, ils risquent par leur défaillance de mettre en danger le fonctionnement de l'État. L'effondrement de grands groupes mettrait en danger le fonctionnement de l'État. De même, à l'inverse, des industriels de l'armement qui fournissent de petits sous-ensembles ont un impact bien moindre. Mais l'analyse doit être menée entité par entité, système par système, pour déterminer les points de rupture qui doivent être protégés. La démarche est constante, très souvent menée en coopération avec l'opérateur, dans certains cas avec des moyens de rétorsion de la part de l'État. En cas de nécessité, des remises à niveau des réseaux industriels ou du réseau interne sont opérées. Tout cela repose sur une approche dans la profondeur car il ne s'agit pas d'ériger une barrière à la périphérie du système.

Aujourd'hui, tout le monde est parfaitement au courant des risques numériques. Mais les personnes ont un ressenti différent devant leur ordinateur ou leur téléphone familiers, alors qu'il convient de se poser la question de la sécurité à chaque utilisation. Pour beaucoup de personnes, recharger son téléphone portable ne semble pas constituer un risque alors que cela peut être risqué. Le niveau d'information des acteurs et des industriels en général, de l'individu en particulier est très variable. Certains n'ont aucune connaissance informatique, il est alors très difficile de les sensibiliser. Le guide d'hygiène informatique, édité par l'ANSSI, définit des grandes lignes assez simples pour se protéger.

Quant à l'usage indifférencié des outils privés et des outils professionnels, au ministère de la défense et dans beaucoup d'entreprises, le fait d'apporter ses équipements personnels pour travailler est interdit, de même que tout transfert d'information.

Lorsque l'information circule par Internet, si elle est sensible, elle est chiffrée par des moyens agréés par l'ANSSI et, en l'occurrence, des moyens de chiffrement développés au sein de la DGA.

À la DGA, la nécessaire séparation entre le privé et le professionnel est rappelée très régulièrement.

À l'inverse, il est accepté une certaine utilisation personnelle des moyens professionnels comme le fait de recevoir des courriels privés sur le poste de travail, dans une certaine mesure et avec des restrictions. Il est possible d'aller effectuer des recherches sur Internet mais cela est encadré notamment par un engagement de reconnaissance de responsabilité signé par chaque agent précisant les droits et les limites de celui-ci. Aujourd'hui, interdire totalement ces pratiques ne fonctionnerait que pour quelques personnes peu connectées mais pour les jeunes ce serait illusoire sous peine d'avoir des difficultés à recruter.

À la DGA, la formation numérique constitue une priorité et commence par l'information avec la délimitation du droit de faire ou non. Des séances de sensibilisation régulières sont menées ; chacun en bénéficie tous les trois ans au minimum et, en cas d'erreur commise, de manière plus fréquente afin de lui rappeler les règles de comportement à suivre pour éviter de se voir supprimer son habilitation en raison quelques erreurs et afin de ne pas compromettre son parcours professionnel ultérieur.

Il existe une formation à l'utilisation des outils que l'on déploie, une formation aux techniques de protection de sécurisation ; il s'agit d'un vrai métier correspondant à une formation en commun avec l'ANSSI. Enfin, il y a la sensibilisation et l'information générale de tous les agents de la DGA.

Il peut arriver à la DGA de s'inspirer de solutions de protection promues dans d'autres États, de même que l'ANSSI discute avec ses homologues, ce qui permet d'ailleurs d'être informé d'attaques d'abord détectées par un pays étranger. Cela permet de gagner du temps. Le niveau de coopération technique et opérationnelle est fort mais on n'aura recours à un technicien opérationnel de communication de l'OTAN que pour des communications avec cette organisation.

Le fameux téléphone Teorem chiffré est utilisé au sein de l'administration. Auparavant, il fallait éteindre le téléphone et enlever la batterie. Mais éteindre le téléphone ne sert pas à grand-chose et on ne peut plus enlever la batterie, c'est pour cela qu'il vaut mieux déposer tous les moyens de transmission à l'accueil.

Il existe aujourd'hui des smartphones adaptés pour répondre aux besoins notamment pour y intégrer des moyens de chiffrement. Naturellement, la sécurité n'est assurée que si le téléphone sécurisé ne communique qu'avec un autre téléphone de même type. Mais tout dépend du niveau de protection souhaité. En effet, s'il ne s'agit que d'une information sensible, économique, et non pas de défense, il existe des téléphones du commerce qui possèdent des niveaux de protection raisonnables. Cela permet de se protéger d'un tiers mais non de celui qui a vendu l'équipement.

Le téléphone Teorem ou le réseau Rimbaud sont certes un peu contraignants mais sont utilisés en cas de réel besoin et cela fonctionne plutôt bien, le code étant relativement simple et la communication établie en une minute, ce qui n'est pas excessif pour un professionnel pour pouvoir parler librement ; ce qui est un bénéfice important, surtout s'il s'agit de parler par exemple aux ambassades. Toute autre solution est bien plus contraignante, comme la valise diplomatique, etc.

Il n'est jamais question de sécurisation totale car ce serait faux et dangereux de laisser croire que l'environnement est parfaitement sécurisé d'autant qu'il faut entretenir un certain sentiment d'insécurité, de la vigilance en permanence. De plus, mieux que de se cantonner aux antivirus, il faut procéder à une approche en profondeur avec des barrières à l'entrée des réseaux, des murs (firewall) qui filtrent certaines informations avec des antivirus et des moyens de supervision pour constater si quelque chose d'anormal se produit, comme lorsqu'un ordinateur consulte trop souvent un autre ordinateur ou un serveur ; il est alors possible de savoir ce qui se passe. Des outils de chiffrage, des protections, des filtres sont mis en place à différents endroits au vu des besoins pour améliorer le niveau de sécurité jusqu'à un seuil acceptable.

Il est évidemment très difficile de se protéger contre des virus inconnus dont la première apparition est, par définition, inattendue. La comparaison avec le virus, terme de médecine, est illustrative.

Tout le monde est attaqué. Les industriels sont souvent attaqués, davantage pour des raisons économiques que pour des raisons de défense. Le ministère de la défense est attaqué très régulièrement mais possède des moyens de sécurisation adaptés. Il n'y a pas eu de grosses attaques subtilisant de l'information mais plutôt des attaques d'effacements, de perturbations d'un site web pour changer les pages d'accueil. Récemment, des messages djihadistes sont parvenus à être affichés sur le site du ministère de la défense, des virus génériques ont pu être décelés mais il ne s'agit pas d'attaques ciblées. Il y a une équipe permanente de l'État-major des armées qui intervient en cas de problème pour protéger les réseaux du ministère de la défense . Ces moyens sont consommateurs de ressources financières et humaines car il faut parfois réarchitecturer toute l'informatique avec des équipes assez conséquentes chez les industriels et au sein de la DGA.

Le principal axe de coopération rassemble la DGA, la DPSD, l'état-major des armées, l'ANSSI, la plupart des industriels pour rehausser le niveau avec les ressources disponibles.

Le cadre d'intervention de la DGA découle du code pénal qui traite de la protection du potentiel scientifique et technique, de la protection du secret de la Défense nationale, d'un certain nombre d'instructions interministérielles édités par le SGDSN.

Le cadre juridique européen est davantage lié aux aspects relevant de la CNIL. Quant au volet sécurité et défense, il est autonome.

Le fait que les noms de domaine soient attribués par une association américaine de droit privé n'entraîne pas de contraintes ayant des conséquences sur la sécurité informatique. Ce qui est ennuyeux, c'est lorsque les sites sont hébergés chez les industriels, notamment américains

Les recommandations en vue d'améliorer la sécurité numérique se fondent sur des études de la DGA pour améliorer des moyens, des équipements mais, en général, les recommandations découlent davantage de l'expérience dont l'échange de celle-ci entre les divers acteurs.

Il serait souhaitable que les décideurs en matière de sécurité informatique ne soient pas au cinquième niveau hiérarchique mais disposent d'un accès assez direct au patron. La sécurité informatique est très souvent vue comme un coût financier ou une perturbation de l'activité de l'entreprise le temps de reconfigurer les réseaux. Il est important que le responsable informatique ait accès au dirigeant de l'entreprise.

Il existe aussi un volet sensibilisation-formation tout à fait essentiel pour qu'une action de sécurisation soit efficace. La connaissance de ce que l'on veut protéger est importante, il faut donc identifier l'information à protéger. Cela nécessite de connaître ses systèmes, ce qui est ambitieux dans un ministère comptant 330 000 postes de travail et donc un nombre très important de systèmes, de sous-systèmes, de systèmes isolés ; il est nécessaire de les connaître pour bien les protéger. L'approche doit être globale et en profondeur. Une protection d'une partie du système ne peut suffire si le reste ne l'est pas au même niveau. Quant au niveau des ressources nécessaires, il peut sembler problématique.

DIRECTION DE LA PROTECTION ET DE LA SÉCURITÉ DE LA DÉFENSE (DPSD)

M. Philippe Le Bouil, lieutenant-colonel, chef de bureau

6 mars 2014

La DPSD est le service de renseignement du ministère de la défense qui lui permet d'affirmer son rôle d'autorité d'habilitation des personnels et de protection des biens, des personnels et des installations de la défense au sens large ; de même en ce qui concerne la détention d'information, pour l'industrie de défense et les industriels ayant des contrats avec le ministère de la défense.

Avant 1981, c'était la sécurité militaire qui s'occupait principalement du risque d'espionnage au sein des forces armées ; elle était le contre-espionnage des forces armées. Il y a donc eu transformation en service de protection des personnels contre les tentatives d'ingérence des services de renseignements étrangers, du crime organisé, du terrorisme international dans la sphère concernant le ministère de la défense et les industries de défense. Pour le reste des organismes ou personnels (enseignement supérieur et recherche, sécurité intérieure, agriculture, santé, etc.), cela relève de la Direction centrale du renseignement intérieur (DCRI).

La DPSD compte 1 100 personnes et a en charge la protection des installations et du personnel de la DGA, de l'État-major, des forces françaises, également à l'extérieur du territoire avec la protection des risques en particulier en Corse ou dans les DOM-TOM, incluant l'intérêt particulier d'autodétermination dans le Pacifique, cette mission incluant l'appréciation du niveau de risque auquel sont exposés les industriels et le personnel du ministère.

Le général Bosser, qui est à la tête de la DPSD, a été auditionné récemment par la commission des affaires étrangères, de la défense et des forces armées du Sénat.

La DPSD conduit trois types d'action ; d'abord des prestations adaptées (contrôles, inspections), ensuite du conseil et, enfin, de la sensibilisation.

La DPSD procède à des contrôles, des inspections au profit du cabinet du ministre de la défense notamment sur l'industrie ; la mission de conseil et de sensibilisation est de plus en plus prenante et appréciée des partenaires industriels avec la création de plates-formes de démonstration et de réalisation d'attaques informatiques, notamment à partir du smartphone pour faire prendre conscience à des comités exécutifs, des comités directeurs, des chefs de projet, de la réalité du risque numérique. Dans ce champ d'action, la DPSD intervient dans un domaine différent de celui du contrôle régalien traditionnel de la protection du secret qui ne comprend pas ce volet risque numérique qui touche l'ensemble des citoyens.

L'organisation de la DPSD a été modifiée en fonction de l'évolution du risque numérique avec la création d'un poste d'officier supérieur de contre ingérence-cyberdéfense pour mener des actions dans le domaine du numérique cyberdéfense ou cybersécurité. Un officier de liaison de la DPSD existe aussi au sein de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), comme pour la DCRI et la DGSE depuis 2012.

Face à l'émergence et au toilettage de nouveaux textes réglementaires en vigueur, tout le volet cybersécurité a entraîné la signature de protocoles entre des acteurs du domaine, l'officier général en change de la cyberdéfense au sein de l'État-major des armées, l'amiral Coustillière, et notamment l'ANSSI.

Le rôle des différents acteurs en cas d'intervention, notamment dans l'industrie découle du code de la défense qui décrit bien l'action des armées, avec le rôle particulier de la DPSD dont découle le pouvoir de contrôler au sein des industries de défense en fonction d'exigences contractuelles.

Il existe aussi une action d'information particulière systématique des hautes autorités dans le cas d'attaques informatiques. Le vecteur du réseau interministériel sécurisé, Isis, est utilisé pour compléter l'information par des notes de renseignements classifiées « défense », adressées à la fois au SGDSN et à l'ANSSI, et nécessite que l'autorité de contre-ingérence au sein de la DPSD, à savoir l'officier général Noguier, correspondant pour la sécurité, soit informé de tous les incidents de sécurité. La direction générale pour l'armement est toujours en copie comme l'officier général cyberdéfense.

L'action de la DPSD a évolué pour prendre en compte le risque numérique.

La notion de souveraineté numérique a un sens, un peu comme la souveraineté énergétique, même si toute la chaîne n'est pas maîtrisée ; des plates-formes matérielles de stockage n'étant pas, par exemple, forcément maîtrisées de manière souveraine.

Les révélations récentes de M. Edward Snowden sur le plan d'opération d'ensemble de la NSA pour récupérer et exploiter les données des citoyens et des étrangers non américains sur tout le globe confirme la pertinence de cette notion de souveraineté numérique. Il y a eu aussi des révélations concernant le piégeage des infrastructures de télécoms, notamment par les Chinois. Il s'agit là aussi d'un signal fort. L'ANSSI aide le ministère de la défense à promouvoir la notion de souveraineté nationale en matière numérique.

La définition de l'informatique dans les nuages par la DPSD rejoint la définition classique : plus qu'une révolution technologique et économique, c'est une révolution entre les individus et l'outil numérique, et entre les individus eux-mêmes, qui vise à s'affranchir du matériel et à se consacrer à la satisfaction de besoins qui évoluent constamment.

Cette offre d'informatique dans les nuages reflète la volonté de ne plus posséder de parcs informatiques permettant de domestiquer les besoins y compris lorsqu'ils sont évolutifs, avec de petites pointes d'activité en cours de journée, dans une semaine ou dans une année. Par exemple, les plates-formes de vente sur Internet, quand il y a des pics de charge d'activité, ont un besoin de nomadisme qui émerge et qui pousse certains opérateurs du numérique à offrir des services dématérialisés. Le besoin est satisfait au détriment de certaines exigences de sécurité.

C'est un peu comme l'évolution des modes de transports au cours du siècle dernier : il fallait posséder un vélo pour aller au bureau, une voiture pour aller chercher ses courses, une autre de grand tourisme, un avion ou un bateau à titre privé pour partir en vacances. Aujourd'hui, il existe des services payants où le droit d'usage est vendu (Vélib', Autolib', transports en commun, etc.). On n'est plus obligé de posséder de véhicules pour pouvoir satisfaire un besoin physique. Il en est de même de l'informatique dans les nuages.

Quant à la confiance, la différence est en termes de risque car l'informatique conserve les données qu'elle va transporter mais on ne sait pas où est situé le matériel ni qui va traiter, stocker ou diffuser des données. La notion de confidentialité est perdue.

Or, en matière de sécurité informatique, on parle de trois familles de besoins de sécurité : la disponibilité, la sécurité et la confidentialité. L'informatique dans les nuages permet de satisfaire la disponibilité, l'intégrité, dans une grande mesure pour certains services grands publics, mais la confidentialité est totalement exclue.

L'informatique dans les nuages repose sur une architecture mondialisée. En ce sens, l'initiative de nuage souverain français, Cloudwatt, par exemple, a été prise par des industriels français sur le territoire national. Il s'agit-là d'une bonne initiative de nature à garantir la confidentialité. Cela semble répondre aux besoins mais cette firme est également confrontée à la logique économique qui pousse les gens à aller dans l'informatique dans les nuages. Les budgets traditionnellement consacrés à la satisfaction du besoin de parc informatique du citoyen sont grevés d'autant.

Pour des raisons de besoins de nomadisme ou d'accès aux messageries, chacun est tributaire de l'opérateur auquel il confie ses données. Le nuage souverain devrait répondre à cette attente. En principe, les consortiums d'opérateurs ont pris en compte cet objectif de souveraineté. Bull, Dassault Systèmes, Orange Business Services, Thales ont compris qu'il y avait un besoin de redondance nationale.

Il y a actuellement une inflation des données. Les organisations, les administrations et les industriels eux-mêmes ont tendance à tout conserver, à numériser de plus en plus, à archiver. De plus, il existe une tendance naturelle à conserver et à augmenter la taille des pièces jointes. Le moindre document est chargé d'images d'animation qui pèsent lourd ; en outre, par défaut, par facilité, il est transmis à une quinzaine de destinataires.

Les opérateurs sont là pour organiser la redondance en cas de défaut d'un data center, l'existence de capacités de calcul à fournir à un moment donné, par exemple des besoins très forts au moment de la paye, vers le 20 ou 25 du mois. Après, il y a une baisse de charge ; les data centers répondent à ce besoin notamment avec des études de prospective montrant l'inflation du nombre de données mais ils consomment beaucoup d'énergie. À noter qu'il existe des plans pour construire de tels centres en Scandinavie pour résoudre à la fois le problème de leur refroidissement et celui du chauffage des habitations.

C'est un des enjeux de Google et d'Amazon de rendre leur facture énergétique la moins polluante possible. Cependant, la consommation d'énergie et la pollution de ces data centers sera un des problèmes majeurs des prochaines années.

À noter des différences d'appréciations : l'opérateur qui va vendre un service disponible va dire qu'il est sécurisé tandis que le service de renseignements, lui, se focalisera sur la perte de traçabilité du stockage des données, ce qui aiguise l'appétit de certains.

L'ANSSI et la CNIL ont des périmètres très différents. La CNIL protège l'individu tandis que l'ANSSI protège les organisations, les opérateurs d'importance vitale et les administrations. Il manque aujourd'hui la protection des données stratégiques.

La protection de données à caractère personnel est indispensable. Il s'agit de protéger les libertés individuelles, ce qui conduit la CNIL à diminuer la durée de détention des données à caractère personnel. Mais, également, il existe une volonté de protéger les données plus longtemps pour conduire des investigations quand des attaques numériques seront découvertes ultérieurement. La CNIL souhaite une durée de protection de trente jours à six mois maximum tandis que l'ANSSI et la DPSD préféreraient une quinzaine d'années.

En effet, en ce qui concerne les attaques sous forme de vol de données, il faut savoir qu'un vol de données nécessite, en moyenne, trois cents jours pour être découvert, soit de quelques jours à plusieurs années, selon les cas. Une durée de conservation trop brève affaiblirait la confiance dans le réseau informatique et rendrait très difficile la quantification des pertes. Si l'on suivait les préconisations de la CNIL à la lettre, il ne resterait donc que trente jours ou quelques semaines pour mener des investigations. Il y a là, encore une fois, une différence de point de vue entre la CNIL et l'ANSSI car la CNIL et l'ANSSI n'ont pas du tout les mêmes centres d'intérêts ou de périmètres.

Aux yeux de la DPSD, les moyens de ces deux acteurs sont insuffisants notamment en matière de capacité de contrôle. C'est ainsi qu'un ancien agent de la DPSD, actuellement à la CNIL, mène un très intéressant travail de veille sur la dérive des nouveaux usages et des nouvelles technologies. Comme les moteurs de recherche et les plates-formes stockent un certain nombre de données à caractère personnel, l'adéquation est recherchée entre la demande et l'offre pour éviter l'intrusion dans la sphère privée.

Les guides publiés par l'ANSSI sont destinés à acculturer les industriels à la sécurité numérique. La DPSD a besoin de la production de la CNIL. Des initiatives prises en ce sens sont toujours relayées par la DPSD.

Les guides de l'ANSSI participent à la bonne évolution de la sécurité des industriels. Par rapport à la CNIL, l'ANSSI a l'avantage de se concentrer sur le curatif, notamment face à des attaques ciblées de grande ampleur. Cela doit être relayé. Mais pour en profiter, cela suppose d'avoir du personnel formé.

Pour la protection des opérateurs d'importance vitale, il existe les directives nationales de sécurités (DNS) qui sont fondamentales car, dans le paysage de l'industrie de défense, elles opèrent des distinctions par secteur d'activité. Ceux du secteur défense respectaient déjà des exigences de sécurité mais les textes anciens minimisaient le risque économique et l'importance de la sécurité des systèmes d'information.

La DPSD participe avec l'ANSSI et ses partenaires sectoriels à un travail de refonte des directives nationales pour y intégrer des paragraphes, des chapitres plus contraignants, plus adaptés en matière de menaces numériques. Par exemple, le risque de sabotage, d'attentat terroriste est très bien pris en compte par ces directives nationales ; l'opérateur traite ce risque en ayant une protection physique adaptée de son site industriel mais, pour la sécurité numérique, il apparaît parfois un flou qui peut donner lieu à des dérives de l'informatique en nuages, d'infogérance ou de sous-traitance non maîtrisées.

Ces directives avancent secteur par secteur ; c'est un travail d'autant plus délicat qu'existe la volonté de soumettre l'évolution des textes à un groupe représentatif d'opérateurs d'importance vitale pour qu'ils critiquent le texte, cela prend donc du temps. Le but serait d'aboutir à un texte qui permette vraiment de traiter le risque et non un texte régalien supplémentaire qui serait inapplicable.

Cela rejoint l'évolution de la loi de programmation militaire. Cette bonne initiative a, du point de vue de l'industriel, un impact en termes de coût, de budget qui ne doit pas paupériser l'industrie de défense. Ces exigences supplémentaires passent par le cloisonnement maîtrisé des réseaux informatiques internes qui participent à cette production industrielle dont l'absence grèverait la souveraineté nationale. Il faut des cloisonnements plus forts, des capacités informatiques strictes et de détection d'incident soit en interne soit à l'extérieur.

Par exemple, un petit opérateur d'importance vitale, comme Lacroix tous Artifices, qui produit des détonateurs qui sont vitaux pour les forces françaises, n'a pas du tout les moyens d'avoir une protection informatique tandis que Dassault, Thales, DCNS, groupes de portée mondiale possèdent des ressources d'expertise en interne dans le domaine numérique et informatique. La directive nationale de sécurité s'appliquant quelle que soit la taille de l'entité, il convient d'introduire des nuances dans son texte.

L'opérateur d'importance vitale s'appuie sur l'écosystème industriel et la sous-traitance, sur ses partenaires industriels. Les exigences résultant de la directive nationale de sécurité devraient se propager à tout le secteur mais il est très difficile de tracer la frontière entre l'importance vitale et la production de sous-ensembles à double usage ou qui n'ont pas le caractère de Défense nationale très affirmé. Selon le retour d'expérience, l'exigence réglementaire commune en matière de sécurité, contrôlable par la DPSD, peut se traduire chez l'opérateur, vis-à-vis du sous-traitant, par une exigence contractuelle. Le contrôle permettra de voir si l'opérateur exerce le contrôle idoine. À ce titre, les normes internationales de type ISO sont d'un grand secours. De plus en plus, des grands intégrateurs industriels exigent de leurs sous-traitants le respect des normes ISO 27 000 ou ISO 31 000, ce qui couvre le risque numérique et la gestion du risque. De bout en bout de la chaîne de production industrielle, il est possible de mesurer le respect des exigences de sécurité.

Les notions actuelles d'entreprise étendue, d'entreprise numérique, de mélange entre le professionnel et l'individuel, ne favorisent pas du tout le respect de la sécurité.

La sanctuarisation des sites industriels des chaînes de production, comme celles de l'industrie lourde du XIXe et du XXe siècle, n'est plus possible. Il s'agit maintenant de sous-traitance et de la valeur d'un patrimoine informationnel complètement dématérialisé et donc difficile à protéger. Cette protection éveille un écho favorable chez les opérateurs d'importance vitale qui ont bien compris que c'était de leur patrimoine et de leur survie qu'il s'agissait dans le contexte espionnage économique ; les attaques conduisant au pillage des ressources de la recherche et du développement.

Les divers acteurs ne sont pas toujours à même de se protéger du risque numérique, tout dépend de leur taille. Certains sont encore en train de découvrir qu'il existe des risques liés à la numérisation. Dans le même temps, ils sont contraints de se doter d'outils structurants (progiciels de gestion, outils numériques, etc.), de prendre le virage du numérique.

L'usage indifférencié d'outils informatiques mélangeant données de la vie privée et données professionnelles fait courir des risques spécifiques. C'est la rançon du succès de ces outils numériques qui facilitent le travail mais, si l'on veut qu'ils soient adoptés par tous les acteurs, il faut que chacun y trouve un intérêt et puisse s'en servir quotidiennement. Cela rejoint la protection de la vie privée et les problématiques couvertes par la CNIL. Les initiatives de la CNIL participent aussi à la diffusion de comportements maîtrisés, à titre personnel ou professionnel. L'évolution des usages, avec les paiements sans contact ou les données à caractère personnel de santé sur l'ordinateur personnel ou professionnel, vont faire converger les besoins de sécurisation.

Les sensibilisations effectuées par la DPSD au moyen des plates-formes de sensibilisation trouvent un écho dès que chacun comprend que cela atteint aussi sa vie privée.

La DPSD accorde une priorité à la formation au numérique mais il est difficile avec 1 100 personnes de prendre ce virage rapidement. Des formations d'adaptation interne sont dispensées mais pâtissent de la pénurie de ressources humaines dans les directions centrales parisiennes, victimes du succès de la cybersécurité, ou à l'État-major des armées. Il n'y a pas assez de jeunes, ou même d'anciens, formés et motivés. La sécurité informatique, c'est une tournure d'esprit ; il existe pour le développement de celle-ci un bon vivier en France. La particularité des services de renseignements est d'avoir un personnel donné par les armées, notamment des militaires. Les besoins des services de la DPSD ne sont pas toujours honorés ou encore les personnels formés sont parfois récupérés par les armées. Ce droit de tirage sur les armées est intéressant mais, dans le contexte actuel, chacun souhaite conserver ses experts.

Quant à s'inspirer de l'amélioration des techniques de sécurisation des données mises en oeuvre dans d'autres États, la DPSD ne se sent pas obligée d'adopter les solutions déjà adoptées ailleurs. Elle donne la priorité au respect de l'arsenal réglementaire déjà existant. Des ressources nationales de qualité existent pour la cryptographie sans besoin de s'inspirer d'exemples étrangers.

La question de la confiance dans les outils numériques rejoint la problématique de la souveraineté. Aujourd'hui, les fabricants de matériel informatique, vendent de plus en plus des ensembles ou des sous-ensembles, des serveurs d'ordinateurs qui ne sont pas nationaux. Il y a un risque dans ces matériels. Il faut accepter ce risque et le traiter.

Les grands acteurs du développement logiciel, des systèmes d'exploitation sur lesquels repose toute la confiance dans les outils numériques, que ce soit Apple, Android ou Microsoft, sont américains et ne sont pas de confiance. Il y a donc un risque.

Les solutions de sécurisation reposent sur les capacités d'investigation des paquets Internet, sur des ressources en national mais il existe les mêmes difficultés que pour les autres acteurs à faire adopter ces outils qui portent atteinte aux libertés individuelles.

Comme les antivirus ne couvrent pas tous les risques du numérique, la protection assurée par les antivirus doit être complétée par l'importante défense en profondeur. Il s'agit de l'empilement de briques de sécurité qui permet d'accorder un certain niveau de sécurité aux outils et aux usages que l'on en fait. L'outil informatique comprend des mises à jour de sécurité des briques matérielles et logicielles car les composants ne sont pas développés de façon suffisamment sécurisée et comportent des failles de sécurité. Tout un écosystème vit de la détection, de la production et de la vente de ces failles de sécurité.

Le développement de certains comportements à risque peut affaiblir le meilleur outil informatique et le meilleur antivirus. Par exemple, lors de la navigation sur des sites non sécurisés ou comportant des pages ou des liens piégés, le comportement est essentiel.

Or il manque aujourd'hui un volet que veulent couvrir les directives nationales de sécurité : c'est la préparation à la gestion des crises, la détection, la mise en oeuvre de procédures de secours, de continuité d'activité. Aujourd'hui, ce risque est très peu pris en compte et pas de manière mûre.

Les opérateurs du secteur bancaire ou de l'assurance disposent déjà d'un arsenal normatif qui permet de contraindre les opérateurs à la prise en compte de cette problématique de la continuité de l'activité en cas de la crise majeure, voire la production de comptes rendus d'exercices de gestion des crises et de secours.

Dans la défense, si le contrat ne spécifie pas des exigences fortes, en cas de crise ou de guerre, l'industriel n'est pas tenu d'avoir un outil résiliant, redondant, du moment qu'il respecte le rythme de livraison industrielle forcément ralenti par le contexte économique.

La prise en compte de briques de sécurité doit être complétée par un volet opérationnel et un comportement ; tout cela suppose un accompagnement. Il faut passer d'une culture du coffre-fort numérique et de la confiance dans l'outil à une culture de la gestion du risque. On ne peut plus faire confiance à l'outil numérique. L'apprentissage du numérique par les jeunes passe par cette affirmation nouvelle qu'il ne faut pas faire confiance à l'outil alors que, pour l'automobile et les transactions bancaires, une confiance aveugle est faite aux dispositifs de sécurité.

À propos des attaques subies par les divers acteurs du secteur de la défense, un certain nombre d'entre elles a été publié. Le secteur de la défense, l'aéronautique, le spatial, le nucléaire l'informatique et les télécommunications sont des secteurs de convoitise pour les industries étrangères, d'où beaucoup de tentatives d'intrusions informatiques contre ces secteurs.

Les effectifs et les moyens pour y parer, ce sont d'abord ceux mis par les industriels à partir de leur perception des risques encourus pour leur coeur de métier. Comme l'a déjà fait l'armement terrestre, l'informatique est souvent complètement externalisée par les entreprises ainsi que la supervision de sécurité. Un dialogue avec ces opérateurs est entamé pour qu'ils sachent conserver une visibilité de ce qui se passe en termes d'événements de sécurité, de signaux faibles, qui leur permettraient de déclencher les investigations en faisant du préventif et du curatif.

Pour faire face aux attaques informatiques menées à des fins d'espionnage, la DPSD a mis en place un personnel au plus près des régions, un maillage territorial. L'ensemble des 1 100 personnes ne se situe pas à Malakoff ; les autres sont présentes dans le maillage territorial ; il y a des experts zonaux au plus près du terrain pour sensibiliser les personnels à des réalités qu'ils ne mesurent pas forcément. Un renforcement des effectifs des personnels au plus proche des régions, des industriels, est souhaitable pour prodiguer des conseils de manière décentralisée. D'autres personnels procèdent à des contrôles.

Un effort en vue du renforcement des effectifs est en cours à partir de transferts des postes et des efforts du général Bosser pour stabiliser les effectifs de la DPSD tout en renforçant le volet d'expertise notamment dans le domaine numérique. Seulement une trentaine d'experts, sur les 1 100 personnes en direction centrale ou en région, se consacrent au traitement des incidents informatiques et ont participé, en lien avec l'ANSSI, à certaines interventions liées à la défense. La DPSD est capable d'accompagner et de faciliter le travail de l'ANSSI en caractérisant un peu le paysage industriel dans lequel leurs inspecteurs évoluent.

Les solutions de sécurisation face aux risques du numérique sont celles prônées par l'ANSSI dont les bonnes pratiques sont en accord avec le cadre juridique européen.

Davantage de réserves peuvent être exprimées sur le cadre juridique international devant l'espionnage numérique industriel. Cela se heurte à la juridiction de certains pays, notamment à l'occasion de la rétention des outils informatiques aux frontières. La DPSD participe à l'évaluation de ce risque car les ingénieurs français, quand ils vont répondre à des appels d'offres à l'étranger, avec leurs ordinateurs remplis de données stratégiques sous le bras, voient parfois leurs appareils retenus à la frontière des États-Unis d'Amérique, d'Israël, de certains pays du Golfe ou de la Chine, très friands de rétention numérique aux dépens des ingénieurs français. Des parades réglementaires et légales, comme le chiffrement de disques, doivent être trouvées pour conserver la maîtrise des données tant que les contrats en négociation ne sont pas signés.

À souligner aussi les risques liés aux audits intrusifs en raison du respect de certaines réglementations comme celles de l'aéronautique américaine (réglementation ITAR, International Traffic in Arms Regulations). Une réponse juridique adaptée est à trouver face à des acteurs qui se présentent avec un arsenal de règlements à respecter qui leur donne le droit de se faire présenter un certain nombre de résultats d'investigations numériques. Cela suppose aussi un important changement de culture. Il n'existe pas aujourd'hui de réponse stricte et adaptée à un audit légitime de Microsoft ou de SAP pour vérifier l'absence de licence pirate. Mais, pour permettre que ce genre d'audit se réalise dans le respect de toutes les lois, il faut l'accompagner.

La gestion des noms de domaine par l'ICANN, structure américaine, pose un problème puisque cette société, de droit américain, donne des facilités d'accès aux sites web via les moteurs de recherche.

Mais ce n'est qu'une brique dans la sécurité d'Internet. Cela fait partie de la neutralité de l'Internet car le moteur de recherche a autant d'importance que le nom de domaine. Si Google accorde des préférences à certains domaines, c'est aussi important que l'attribution de certains noms de domaine. Il suffirait d'avoir une sorte de moteur Google souverain français pour pallier les risques et les vulnérabilités de l'attribution des noms de domaine par une société américaine. Au total, le fait que les noms de domaines, les moteurs de recherche et les géants de l'Internet soient concentrés dans des sociétés de droit américain et situés dans la même zone géographique fait courir un certain nombre de risques et pose un problème d'accès à l'information. Cela peut se traiter par des outils alternatifs.

Pour améliorer la sécurité des acteurs de la défense face au risque numérique, la DPSD recommande surtout la lecture d'études publiques qui modifient la perception des risques : les rapports des éditeurs de sécurité, par exemple, le rapport Mandiant qui cible une unité de l'armée populaire de libération chinoise comme ayant mené des attaques ciblées contre des sites industriels, des administrations européennes, mondiales depuis quelques années ou encore des rapports de cabinets de sécurité, comme le cabinet américain Kaspersky. Un certain nombre d'études publiques pousse à augmenter la vigilance face au risque numérique.

La loi de programmation militaire et la révision des DNS sont des leviers d'action, au moins pour une vingtaine d'opérateurs d'importance vitale du secteur de la défense parmi les 2 000 sociétés appartenant à l'écosystème de l'industrie de défense française. Les DNS et la LPM permettront, à terme, de traduire les exigences de sécurité qui devraient bénéficier à l'ensemble de la sécurité de défense.

Les initiatives de nuages souverains, l'émergence d'une offre de prestataires de services de sécurité français de type Cassidian, Thales, détectant et supervisant pour ceux dont ce n'est pas le métier, constitueront autant de sociétés à conseiller aux industriels à travers un appel à la concurrence. Aujourd'hui, ce secteur souffre du nombre restreint d'acteurs et de prestataires de services de confiance nationaux.

CLUB DES DIRECTEURS DE SÉCURITÉ DES ENTREPRISES (CDSE)

M. Alain Juillet, président

19 mars 2014

Tout d'abord trois constats peuvent être faits. En premier lieu, en France, les entreprises ont d'abord souhaité protéger leur capital physique et leur capital matériel mais, avec le rapport Jouyet-Levy est arrivé le concept de capital immatériel. On s'est rendu compte qu'il fallait protéger ce type de capital car c'est là que se trouvent les parties les plus intéressantes de l'entreprise et celles sur lesquelles pèsent le plus de risques : les brevets, les savoir-faire, la recherche, les formules. Aujourd'hui, tout le monde est conscient que la défense du capital immatériel devient un problème majeur. D'autant plus que, avec l'évolution du numérique, il est de plus en plus facile de pénétrer les entreprises.

Sur ce point, je fais mienne la phrase de M. Patrick Pailloux, ancien directeur général de l'ANSSI, disant : « quand je vois un responsable de la sécurité informatique d'une entreprise, un DSI, m'affirmer qu'il n'y a pas eu d'intrusion chez lui, je me dis que c'est soit un menteur soit un incompétent ». Tout le monde se fait attaquer et tout le monde sait qu'une partie des attaques réussit. C'est le premier constat.

Le deuxième constat, c'est la prise de conscience qu'il faut impérativement protéger ce capital immatériel mais que, les intrusions réussies étant en croissance rapide, la protection technique n'est plus la solution suffisante. On débouche alors sur la pratique du secret des affaires sur lequel des travaux sont actuellement en cours. Il ne faut pas le confondre avec la conception militaire du secret qui amène à mettre des tampons allant de la diffusion restreinte au secret défense pour empêcher l'accès et sécuriser l'information. Dans l'entreprise, il serait trop onéreux de tout défendre, ce qui amène à faire des choix en définissant ce qui est vital pour la survie et l'avenir. Il faut identifier ce que l'on doit réellement protéger par tous les moyens utilisables. En se livrant à cet excellent exercice, on s'aperçoit que, la partie du patrimoine immatériel à sécuriser totalement est relativement restreinte.

Troisième constat : lorsque l'on veut protéger le coeur de l'entreprise, la justice française est très laxiste, non pas du fait d'un relâchement, mais parce que la loi n'a pas prévu la situation du numérique. Les lois, très bien faites pour d'autres domaines, sont mal adaptées au domaine du numérique.

Par exemple, lors d'une attaque numérique, le hacker professionnel pilote son action de n'importe quel pays du monde, sauf s'il s'agit d'un petit hacker. Il prend le contrôle d'ordinateurs relais qui vont lui servir pour en asservir d'autres qui, eux-mêmes, seront le support pour récupérer des informations chez vous. Quand vous voudrez vous défendre en justice, on vous objectera que les ordinateurs utilisés étaient situés dans des pays étrangers, soumis à une législation différente de la nôtre et que l'on n'est pas sûr de l'origine réelle de l'action. L'internationalisation des pratiques pose un vrai problème.

À l'étranger, les États-Unis d'Amérique sont d'autant plus rigoureux et efficaces qu'ils disposent du droit de suite ; ils considèrent leurs lois comme supranationales.

Dans ce cadre, si un soupçon d'illégalité vient à peser sur une entreprise française, en vertu de la loi Discovery, qui s'applique en France, le juge américain pourra demander qu'on lui communique toutes les pièces du dossier sans qu'il y ait une instruction ouverte dans notre pays. Certes, il est possible de refuser car, heureusement, il existe une loi en Europe et en France interdisant de transférer des secrets d'une entreprise. Mais les Américains précisent alors à l'entreprise visée qu'elle aura des problèmes d'entrée aux États-Unis et qu'elle risque de ne plus jamais pouvoir y conclure d'affaires. Devant cette éventualité, les entreprises françaises communiquent les dossiers...

Il existe donc un déséquilibre dans le combat entre nations puisque, d'un côté, il y a ceux qui peuvent aller partout chercher de l'information et exercer des pressions et, de l'autre, nous qui ne pouvons pas.

Les Chinois ont des lois extrêmement contraignantes chez eux et surveillent tout. Les États-Unis d'Amérique font de même tout en prétendant le contraire. Il ne faut pas oublier les Russes qui ne sont pas mauvais du tout, même s'ils n'ont pas la capacité de développer des technologies aussi pointues que les Américains ou les Chinois.

Il existe un autre grand problème face auquel on est complètement démuni : l'identité numérique. Dans une entreprise comme dans une administration, il y a de l'information qui circule partout vers l'extérieur avec Internet, ou à l'intérieur avec l'Intranet entre les salariés, les cadres, etc. Lors de ces multiples échanges avec l'administration, des collègues, des concurrents, ou des clients, le problème majeur réside dans l'identification de la personne avec qui on échange. Même si celle-ci est soumise à une authentification par son adresse IP, cela ne permet pas de savoir qui est véritablement en face.

Un premier exemple de cela a été fourni, il y a deux ans, par ce qu'on a appelé les attaques à la nigériane qui ont touché une bonne partie des entreprises du CAC 40. Le vendredi soir, le directeur financier d'une de ces sociétés recevait un courriel interne de son président, reconnaissable aux formules utilisées habituellement par lui, pour ordonner impérativement le virement immédiat de quelques millions d'euros à tel compte dans tel endroit, et précisant que cette opération entrait dans le cadre d'une négociation en cours cette fin de semaine d'où la nécessité d'envoyer un acompte pour conclure, à payer dès réception du courriel. Étant tenu par le secret, je ne vous dirai pas le nom et le nombre des entreprises françaises tombées dans ce piège : ce n'étaient pas les plus petites.

Comme des messages de son chef parvenaient tous les jours au directeur financier, il se contentait de joindre l'assistante du président qui lui confirmait que le président était absent puisqu'il était en train de conduire une négociation. Ce qui validait le contexte du courriel. L'argent était alors viré sur un compte qui, dans la seconde, était vidé par le récepteur. Quand, le lundi matin, le directeur financier informait son président qu'il avait versé la somme demandée selon ses instructions, celui-ci s'étranglait, voulait connaître les détails de l'histoire et déclenchait l'alerte mais trop tardivement pour bloquer le processus.

La police ne pouvait que constater l'escroquerie faite à l'entreprise le vendredi ou le samedi. La DGSI et l'ANSSI n'avaient plus qu'à lancer une enquête administrative et technique. Alors que la seule réaction valable aurait dû être d'alerter Tracfin qui est la seule entité capable de remonter très rapidement un circuit financier en France et à l'étranger. Ce service a les moyens de repérer le trajet suivi par le virement et de le bloquer en cours de route puisqu'il s'agissait d'une opération de vol et de blanchiment. Mais Tracfin ne peut agir en l'absence de décision de justice.

Il faut savoir que la préparation de telles attaques par des organisations criminelles peut prendre des mois compte tenu de l'importance de l'enjeu, d'autant qu'elles doivent présenter toutes les apparences de la réalité.

Dans ce même registre, j'ai été le témoin direct d'un appel téléphonique dans le bureau d'un président d'un groupe français : il s'agissait de l'appel du directeur de cabinet d'un président africain qui lui rappelait les circonstances de leur dernière rencontre et l'informait de la création d'une fondation en France pour laquelle il souhaitait obtenir de la société une participation de 200 000 €. Le président a argumenté quelques minutes puis a fini par accepter en prenant bonne note de la banque, située en France, à laquelle cet argent devait parvenir avant la visite prochaine du président africain. Comme le président de la société se déclarait sûr d'avoir réellement parlé au directeur de cabinet, qui avait laissé un numéro de téléphone, je lui ai conseillé de rappeler ce numéro en Afrique où le directeur de cabinet lui a confirmé que c'était bien lui qui venait d'appeler. J'ai alors cherché les numéros de téléphone officiels de la présidence de la République de ce pays africain et constaté que le numéro donné n'existait pas.

Donc le système actuel n'est pas en mesure de lutter efficacement contre la fraude numérique alors qu'avec Internet de telles attaques se multiplient. Le problème majeur est celui de l'authentification de l'interlocuteur. Cela concerne aussi l'administration. Par exemple, quand le fisc notifie un redressement à un particulier, il y a des personnes qui vont vérifier s'il s'agit réellement du fisc mais d'autres non. L'origine de la messagerie électronique semble faire foi.

Le problème de l'authentification de celui qui vous parle, qui vous appelle ou de celui à qui vous voulez parler ou avec lequel vous souhaitez échanger, est un problème majeur. Aujourd'hui, face à cela, nous sommes totalement sous-équipés. Pourtant, il y a de petites sociétés, françaises ou étrangères, qui ont mis au point des systèmes d'authentification performants. Au niveau national, il va falloir rechercher un système qui donne satisfaction à tout le monde et le mettre en place en l'imposant progressivement en commençant par l'administration.

Pour les déclarations fiscales aujourd'hui, les formalités débutent par un certificat d'identification, suivi de l'entrée de plusieurs codes. Les services des impôts sont bien les seuls à prendre de telles précautions. Cela étant, si les services des impôts se font prendre, ils ne le diront jamais.

Dans les entreprises, il faut déjà mettre en place un système d'authentification interne pour vérifier si ce sont bien les employés, les clients et les sous-traitants de l'entreprise avec lesquels on entre en contact.

Les grandes entreprises sont également au coeur du problème avec des sous-traitants qui gravitent autour d'elles. Leurs systèmes de sécurité sont connectés avec celui de l'entreprise principale avec laquelle ils ont des échanges permanents, donc des interconnexions. Si ces sous-traitants n'ont pas mis en place des systèmes de sécurité sérieux, ils vont constituer des lieux de passage pour les hackers cherchant à entrer dans le système principal. Ce problème existe aussi pour toutes les petites PME et PMI qui travaillent dans l'orbite des grandes entreprises.

Le troisième volet concerne l'organisation. Le numérique bouleverse complètement le mode de gouvernance des entreprises. Il existe des outils professionnels utilisés hors du bureau pour travailler en se connectant à l'ordinateur central. Dans la pratique, rien ne dit qu'à travers ces outils, c'est réellement votre collaborateur qui est en ligne et échange avec votre serveur.

Enfin, les dirigeants découvrent que le système pyramidal traditionnel en place dans les entreprises des pays européens va être remplacé par un système en râteau. Auparavant, un individu ne pouvait pas gérer efficacement plus de cinq à sept personnes simultanément et en direct. L'apport du numérique change la donne en permettant d'encadrer directement beaucoup plus de personnes mais avec pour conséquence l'obligation de déléguer plus et de devoir prendre des décisions plus rapidement.

Avec le numérique, celui qui détient des quantités d'informations prétraitées ou traitées par des logiciels spécialisés peut élargir considérablement le nombre de gens qu'il traite en même temps. D'où l'idée de supprimer les échelons hiérarchiques pour travailler en réseau ou en râteau. Cela constitue un changement fondamental dans la gouvernance et l'organisation des structures que les écoles de commerce vont devoir enseigner à leurs étudiants. En haut, nous aurons des généralistes capables d'opérer la synthèse et, en dessous, des experts très pointus mais qui n'auront pas la connaissance de l'ensemble du système.

Dans cet environnement-là, il est vital que le numérique soit sécurisé. Dans un système en râteau dans lequel une vingtaine de personnes, ou de fonctions, sont gérées simultanément, la moindre défaillance bloque l'ensemble de la structure.

Dans le système hiérarchique, il y avait des filtres. Les arbitrages étaient rendus par les échelons supérieurs. À l'inverse, dans le système en râteau, l'information arrive de partout. Il sera demandé aux dirigeants une capacité de synthèse très large et également d'évaluation pour prendre des décisions en fonction des parts de risque acceptables. Il y a toujours une partie subjective dans le risque sur laquelle l'expert, qui travaille sur la partie objective, ne pourra pas prendre de décision. C'est pourquoi cette tâche incombera aux dirigeants. En conséquence, il est particulièrement important de recevoir une information non polluée et sûre.

Le besoin d'État se fait sentir pour que l'entreprise ait une politique globale. Alors que les Américains et les Chinois mènent une politique globale dans le numérique, nous prenons du retard. Même si un accord avec la ministre, en charge du numérique, Mme Fleur Pellerin, est intervenu récemment, dans notre pays, rien n'est fait pour développer une politique du numérique, à moyen et long terme. Un exemple : en 2002, la Commission européenne s'est réunie à Lisbonne. Ils savaient que les États-Unis d'Amérique investissaient 3 % du budget fédéral depuis 1985 et avaient lu les déclarations de 1996 du président du National Intelligence Economic Council, qui affirmait que pendant les quinze premières années du XXIe siècle, la compétition mondiale serait gagnée par les meilleurs sur le plan du développement du numérique. Les chefs d'État européens ont donc décidé que 2 % du budget général seraient consacrés aux technologies de l'information.

Cette attitude vertueuse n'a pas vraiment été suivie d'effet puisque, loin des chiffres annoncés, la dépense européenne n'a jamais dépassé 0,7 %.

Depuis 2002, il s'est donc créé un écart important entre ceux qui ont agi et ceux qui n'ont rien fait. Certains ont surinvesti tandis que d'autres sous-investissaient.

La France pourra-t-elle rattraper l'important retard accumulé ? Même si la France est bonne, voire très bonne dans le domaine du numérique, tout dépend du suivi d'une politique cohérente. Compte tenu des moyens à mettre en oeuvre, on peut se demander s'il ne serait pas possible de travailler sur ces questions avec l'Allemagne.

Le dernier point que je souhaiterais évoquer c'est qu'aujourd'hui, les outils numériques que nous utilisons sont des outils nord-américains à 99,9 %. Dans le futur, tout indique que les Chinois, notamment avec Huawei, vont également produire de tels outils. Cela contrebalancera-t-il les Américains ? Dans un cas comme dans l'autre, ce qui se vend est « plombé », par les uns ou les autres. Il a été révélé que Google, Yahoo, Facebook, faisaient des copies de tout à la demande des services américains mais il n'y a pas que cela. La quasi-totalité des logiciels sont construits avec une porte d'entrée dérobée pour le fabricant ou l'administration de son pays.

Dans le futur, avec l'arrivée de l'Internet 3.0, tous les objets seront équipés de puces qui permettront de les repérer grâce à des signaux émis en permanence ou activés dans certaines conditions. On le voit avec les avions et le matériel militaire mais c'est valable pour toutes les activités et produits. Déjà chez les grands fournisseurs d'automobiles, les modèles haut de gamme envoient en continu à peu près cinquante données vers le fabricant, allant de l'usure des freins à des valeurs de motorisation.

Le GPS est entré dans notre vie grâce à ses possibilités de géolocalisation. Si le fabricant, comme cela s'est fait sur zone pendant la première guerre d'Irak, fait passer la précision de 10 m à 100 m, il se créera, dans Paris, le plus gros embouteillage jamais vu. Heureusement, la concurrence entre les trois systèmes existants - l'américain, le chinois et le russe - réduit ce risque mais ne l'élimine pas.

Les objets connectés causeront des problèmes énormes car les quantités d'informations fournies par eux seront stockées et utilisées. Par qui et pour quoi faire ?

Actuellement, les quatre acteurs majeurs sont les États, les entreprises, les particuliers et les entreprises criminelles - même si on n'en parle jamais. Chaque catégorie défend ses propres intérêts et s'adapte à l'évolution. Aujourd'hui, il faut être stupide pour attaquer un distributeur de monnaie, braquer une banque et courir le risque d'une quinzaine d'années de prison, alors que voler un ordinateur dans un laboratoire de recherche ou une société puis vendre des informations au concurrent permet de toucher beaucoup d'argent et, en cas de sanction, de ne risquer que quelques jours de prison avec sursis.

Les organisations criminelles ont compris le parti qu'elles pouvaient tirer de cette situation. La drogue leur rapporte beaucoup d'argent acquis à haut risque mais, avec le numérique et la vente de médicaments trafiqués sur Internet, le risque est nul. Il y a une sorte d'omerta sur ces affaires-là qui constituent pourtant la réalité de tous les jours.

Actuellement, pour se protéger efficacement, la meilleure solution est le cryptage. C'est d'autant plus intéressant que la France possède de très bonnes compétences dans ce domaine grâce à notre école de mathématiques. Nous sommes parmi les meilleurs au monde à en juger par la collection de médailles Fields obtenue par notre pays alors qu'il s'agit de la plus haute distinction mondiale dans cette spécialité. Nous devrions en faire une priorité nationale car, au lieu de s'éparpiller, la France doit choisir des domaines dans lesquels elle est vraiment bonne pour y devenir encore meilleure.

On peut rajouter au cryptage le segment des tunnels numériques, ces liaisons informatiques entre deux destinataires impossibles à intercepter car transitant dans une sorte de tunnel numérique inviolable. Là aussi, nous sommes en pointe et avons donc la capacité de nous défendre face aux interceptions américaines, chinoises ou autres.

OPEN-ROOT

M. Louis Pouzin, président

19 mars 2014

La question de l'identité numérique est un vrai sujet. Actuellement, se déroule à Genève un jeu de dupes entre l'ICANN et ses interlocuteurs pour fixer de nouvelles règles d'attribution des noms de domaines.

Il est à noter que les numéros de l'Internet sont considérés comme peu pratiques car un même numéro d'ordinateur peut être utilisé pour des milliers de services. L'usager ne connaît pas ce numéro.

Ce système a été inventé dans les années 1980 et mis en service en 1983. C'est à partir de la création des noms de domaine que le web est devenu populaire.

Au départ, des numéros flanqués de l'extension Top Level Domain (TLD), ou domaine de premier niveau, ont été attribués, les pays étant identifiés selon la structure « .fr » ; les autres noms sont attribués à des sociétés ou à des classes de service. La société qui gère le TLD tient un registre.

Les utilisateurs ne se servent que des deux premiers niveaux tandis que les autres niveaux sont gérés par des registreurs, comme VeriSign, sorte de grossiste, qui attribue les « .net » et les « .org ». Il s'agit-là de marchés captifs, d'exclusivités.

Puis les Américains ont pensé à faire de l'argent avec l'ICANN, les noms de domaine étant inscrits dans un registre et l'ICANN fixant les tarifs.

Pour utiliser les noms de domaine, un serveur de noms est interrogé qui renvoie à un numéro et ce service est mis en place gracieusement par Google qui récupère des infos en rendant ledit service.

L'ICANN ne paie pas d'impôts et se trouve en situation de conflit d'intérêts car elle se trouve aux deux bouts du processus : le monopole de l'ICANN s'exerce sur les registres à l'occasion de la délivrance d'un nom unique au sein d'un régime clientéliste d'où elle tire un revenu.

À noter que l'Union européenne est de connivence avec les Américains dans cette organisation, VeriSign ayant obtenu un contrat d'exclusivité pour gérer des noms de domaine de l'Union européenne.

Maintenant, l'ICANN propose de gérer l'Internet des objets.

Les codes qui leur seront attribués - il s'agit là de codes autres que les codes-barres mêmes si les codes-barres en font partie - sont discutés pendant des années. Le code attribué comprend environ quatre-vingt-dix caractères incluant notamment le prix, les conditions de vente etc.).

D'abord proposés gratuitement, les codes deviendront payants et le piège se refermera.

Gencod, devenu GS1 et situé à Issy-les-Moulineaux, emploie environ cinquante personnes ; c'est une fédération indépendante de tout État. Aucune exclusivité ne lui est attribuée mais elle exerce une dominance.

Les Américains et les Japonais obligeront les Européens à se soumettre à ce système.

En réalité, c'est l'ISO qui devrait héberger la normalisation mais c'est GS1 qui le fait.

Dans ce domaine, il est important d'éviter les monopoles, surtout américains.

L'essentiel est de changer de système, sauf que, aujourd'hui, il y a à peu près 130 millions de codes de deuxième niveau qui sont gérés par les Américains ; tous les codes génériques sont gérés par des Américains ou des filiales ; les codes pays, c'est à peu près autant, c'est-à-dire qu'il y a au total 300 millions de codes légaux ; alors que seulement un quart de l'humanité est connecté. Dans cinq ou six ans, il n'y aura pas 130 millions de codes mais peut-être trois milliards et ils ne seront pas nécessairement en ASCII, ils seront dans une sorte de langue arabe, indienne, etc. Cela signifie que le système actuel est complètement inapproprié à cette croissance.

Déjà, à l'heure actuelle, le simple fait d'utiliser des accents, du cyrillique, de l'arabe, se fait au prix d'acrobaties techniques. Tous les noms qui ne sont pas en caractères latins, sans accents, sont traduits par une succession de caractères et ne veulent plus rien dire du tout. En plus, cela crée un nombre considérable de confusions possibles notamment avec le cyrillique. Le cyrillique a beaucoup de caractères qui n'ont pas le même code. On peut faire croire aux gens qu'ils sont connectés à une certaine société qui existe à Paris alors qu'ils le sont en réalité à une autre en cyrillique. Il existe trente-six moyens de créer la confusion dans l'esprit du lecteur car le système fondé sur le codage pourrait l'être aussi sur l'oeil, sur ce que voient les gens.

Le poison, le cancer du système, c'est le monopole parce que cela permet d'imposer des contraintes qui sont inutiles et coûteuses. Le fait que l'ICANN ne permet pas d'avoir des homonymes n'est pas du tout adapté aux besoins des utilisateurs.

Aucune flexibilité régionale ou de type de métiers n'existe. Ils enregistrent des noms qui sont protégés légalement. Cela ne veut pas dire qu'il n'y a pas des pirates qui s'en servent mais ça laisse la possibilité à des utilisateurs, à la société dont on a volé le nom, d'attaquer en justice le voleur. C'est assez fallacieux parce que si un Chinois vous copie, l'ICANN ne fera strictement rien pour régler la question. Il n'y a aucune protection juridique sérieuse dans le cadre de l'ICANN.

La World Intellectual Property Organization (WIPO), en français l'Office international de la propriété intellectuelle, offre une protection avec une gamme de prix qui dépend du métier. Par exemple Montblanc ce peut être les stylos, des accessoires de bureau, des yaourts, ça peut vouloir dire plein de choses.

Il y a une quarantaine de classes de produits. Il peut y avoir aussi des homonymes à protéger selon la classe de produits à laquelle ils appartiennent.

Deuxième type de souplesse, un nom peut être réservé à une partie du monde. Il peut ne pas être utilisable dans certains pays mais seulement dans d'autres. Il y a donc des zones géographiques protégées. On peut avoir le même nom pour le même produit dans différents pays. Je ne sais pas si, par exemple, Avis est protégé ; je sais que, au Brésil, il y a un Avis qui n'est pas du tout celui qu'on connaît en France. Je ne sais même pas s'il est protégé. Le WIPO a une capacité beaucoup plus fine pour satisfaire les clients, plus adaptée aux besoins car il permet à la fois de protéger des similitudes et des variétés par zone géographique.

La protection par le WIPO peut coûter éventuellement quelques centaines d'euros par an, bien moins que dans le système de l'ICANN pour la protection du PLD (Penthouse-Level Domains). Par exemple, pour avoir leur nom, Sony, L'Oréal, Toshiba, Canon, etc., ont dû commencer par payer 175 000 $ mais seulement pour obtenir les cinq cents pages qui constituent la demande. Il faut pour cela disposer d'une armée d'avocats et de juristes qui vont alors défendre le dossier. Entre le moment du dépôt et le moment où c'est finalement accepté, après des discussions avec les avocats, cela peut coûter environ 300 000 $ en plus. Sans compter 50 000 $ par an ensuite.

La plupart du temps, les directions des entreprises ne s'occupent pas de cela ; c'est géré par des gens qui sont plutôt du niveau de la communication alors qu'il s'agit d'informatique. Quand c'est Rolex ou L'Oréal, c'est différent. La plupart du temps, personne ne s'en occupe vraiment. Cela passe plutôt par les webmestres dont la culture est peut-être bonne sur le plan technique mais qui ne les conduit pas à prendre des risques dans la société. Ils n'ont donc pas le niveau nécessaire pour prendre une décision de ce type.

Il s'est passé cinq années avant que les noms de domaine soient vendus de manière cohérente par l'ICANN alors qu'ils pensaient le faire dès l'année 2008. Ils ne connaissaient pas le métier des noms de domaine dans lequel ils débarquaient. Comment gérer la marque dans leur système technique ? Ils pensaient que c'était simple. En réalité, ils sont attaqués par plein de sociétés. Ils ont même commis l'erreur de mettre sur le marché des noms dont ils avaient déjà eu la gestion autrefois, ce qui leur a valu d'être attaqués par beaucoup de sociétés.

Éventuellement, ils peuvent arriver à convaincre. Aujourd'hui, la plupart des gens ne comprennent pas à quoi servent les noms de domaine ; ils ne comprennent pas pourquoi les noms de domaine sont précédés de trois w - ce qui ne sert d'ailleurs à rien. Ces w sont juste un symbole qui montre que l'on est sur le Net alors qu'on peut très bien y être sans cela. Cela ne sert à rien techniquement. Quant à http, c'est pareil, c'est juste un protocole. Le nom de domaine, c'est ce qui suit.

La plupart des gens n'ont jamais essayé de comprendre pourquoi il y a plusieurs noms qui se suivent, pourquoi il y a des points, etc.

L'annuaire mondial, c'est l'ICANN.

En téléphonie, les numéros que vous utilisez ne sont pas des numéros physiques de téléphonie, ce sont des noms tout simplement. Le numéro sert simplement à aller voir, dans la base de données de l'annuaire de la société de téléphonie dont vous êtes l'abonné, qui vous êtes. C'est tout à fait l'équivalent des noms sauf qu'il s'agit là de numéros. Il y a au moins 1 500 sociétés agréées qui ont chacune leur annuaire ; il n'y a aucune centralisation. En définitive, ce sont les premiers chiffres du numéro virtuel qui servent à trouver l'opérateur.

Open-root dispose d'un réseau de vingt-cinq serveurs dont un en Allemagne qui gère les noms avec un administrateur allemand. Vous y trouvez des noms et des adresses avec le numéro IP. L'obtention d'un nom de domaine par une société non profit en structure d'association peut lui coûter 200 € ; il n'y a pas besoin de gérer les arriérés de paiement, l'association paie une fois pour toutes. Pour une société commerciale, le prix est de 20 000 € et non pas 50 000 € par an.

L'ICANN fait semblant de ne pas savoir qu'Open-root existe. On est attaqué tous les jours par des virus ciblés de type Denial of Service Attacks (DoS ou DDoS) dont le principe est d'envoyer, sur les serveurs de noms d'une société à qui l'on veut du mal, des billets de messages à la seconde de manière à ce que le processeur de la machine n'arrive pas à traiter tout et s'effondre. On est attaqué tous les jours par des choses comme cela, ce qui signifie que l'on est ciblé. Depuis quinze jours, on a découvert que les messages ne provenaient pas directement mais passaient par des zombies, c'est-à-dire des ordinateurs infectés. Ce genre d'attaque est difficile à contrer, surtout si l'on n'a pas une très bonne connaissance du fonctionnement du système. Depuis quinze jours, on sait que les attaques venaient de la NSA et du Government Communications Headquarters (GCHQ). Comme ces attaques ont été contrées par notre administrateur, c'est maintenant Google qui attaque. Habituellement, les attaques sont menées par des sociétés russes ou sud-américaines pilotées par des Américains ; c'est d'ailleurs une erreur de se livrer à une attaque directe ; peut-être avaient-ils peur de sous-traiter à des gangsters comme cela se fait aussi ?

Ils craignent que se répande l'idée qu'on n'a pas besoin d'eux et que, à côté de l'ICANN, on peut très bien faire la même chose. Il y a une quarantaine de petites sociétés indépendantes qui gèrent des abonnés. C'est probablement une erreur de la NSA d'avoir procédé de la sorte, aidée ou non par Google. Tous les systèmes de réseaux aux États-Unis d'Amérique dépendent de la NSA. Le système actuel est concentrationnaire pour ne pas dire totalitaire.

Quel que soit le protocole, ils peuvent toujours l'implémenter. Ce ne peut être une manière de se défendre. Il faut commencer par ce que l'on sait faire, ce qui peut l'être sans leur accord.

Il faut commencer par mettre du chiffrement.

Aujourd'hui, tout ce qui passe par messagerie est en clair. Si vous voulez monter une opération commerciale ou politique, vendre des avions, par exemple, à des pays du tiers monde, ils connaîtront votre proposition avant même que vous ne l'ayez remise ; ce qui se passe ainsi dans le commerce, se passe également dans la diplomatie. Dans un système fermé, on peut concevoir de la sécurité avec du chiffrement mais non dans un système ouvert.

Nous avons ce qu'il faut pour le faire mais jusqu'à présent la manière de s'en servir n'était pas pratique. Aujourd'hui, ce qu'il faudrait, au lieu du bouton « Send », c'est un bouton « Send normal » et un autre « Send chiffré ».

Il existe des normes de chiffrement. Actuellement, dans les techniques de chiffrement, il y a deux clés, celle secrète, de l'expéditeur et celle publique, du récepteur - et inversement au retour. Personne ne peut décoder le message autrement qu'en ayant votre clé publique destinée précisément à diffuser l'information mais en sachant qu'elle provient de vous. De la même manière, quand ils vous répondent, ils vont vous envoyer un message sur votre clé publique à partir de leur clé secrète, si vous le décodez, cela veut dire que cela vient bien de chez eux.

Il existe des tiers de confiance sur le marché qui vont pouvoir dire exactement à qui appartient cette clé. Pour vous envoyer un message, je vais créer une clé secrète et vais vous envoyer ma clé publique.

Il y a une bonne dizaine d'années, un Américain avait inventé un système appelé Pretty Good Privacy (PGP) qui est relativement facile d'usage. Certaines personnes s'en servent, c'est encore un peu confidentiel car il faut l'installer dans sa machine. Ce système peut fonctionner sous deux conditions : premièrement, il faut un système qui soit très simple pour les usagers, ce qui reste à inventer et, deuxièmement, il faut éduquer les usagers. Cela pourrait devenir obligatoire ; pour les administrations ou pour les sociétés qui travaillent pour l'État, pour des sociétés qui ont des contraintes de sécurité commerciale. Il faut à un moment qu'il y ait un entraînement et que cela passe dans les moeurs.

On ne peut rien faire sans être sous surveillance. Vous ne pouvez pas avoir de relations avec d'autres personnes sans que la NSA soit au courant. Il faut donc mettre en place des systèmes indépendants. Mais, pour l'instant, les gens ne comprennent rien aux noms de domaine, ne savent pas à quoi servent les points ; il n'y a que les professionnels qui savent exactement de quoi il retourne.

Pour que ce soit acceptable, il faut qu'il y ait des sociétés du type d'Open-root qui se créent dans tous les pays. Ce n'est pas très difficile à faire. Le plus difficile est de faire en sorte que cela fonctionne tous les jours, d'où une maintenance importante de jour comme de nuit. Aujourd'hui, vendre des noms de domaine très cher, c'est de l'arnaque.

Ce qui coûte, c'est de faire fonctionner le système or, précisément, ils ne le paient pas parce que cela est assuré ; par des volontaires.

Les identités ne sont pas forcément des noms de domaine mais cela obéit aux mêmes processus de structuration. Quand c'est personnel, évidemment, cela est plus sensible et c'est plus contrariant si on vous le vole plutôt que si on vous vole un nom de produit.

CONFÉRENCE DES DIRECTEURS DES ÉCOLES FRANÇAISES D'INGÉNIEURS (CDEFI)

M. Christian Lerminiaux, président

M. Jean-Marie Chesneaux, vice-président

M. Reza El Galai, ingénieur projet cybersécurité

19 mars 2014

M. Reza El Galai. - La conférence des directeurs des écoles françaises d'ingénieurs ne fédère que les écoles.

Les écoles françaises d'ingénieurs délivrent deux types de diplômes qui vont former à la sécurité informatique des entreprises : il s'agit de masters et de mastères spécialisés (MS) suivis après un master et qui ne sont pas agréés par l'État puisqu'ils sont accrédités par la conférence des grandes écoles ; il s'agit donc d'une sixième année.

Les thématiques enseignées sont la sécurité des contenus, des réseaux, des télécoms, des systèmes.

La plupart des masters traitent des réseaux, des télécoms et des systèmes. Il existe aussi des masters de gestion des risques, des masters propres à la sécurité, des masters d'audit qui permettent de trouver des failles de sécurité ; certains masters naissent dans des matières assez novatrices comme l'informatique légale, par exemple, les enquêtes numériques. Dans le sud, à Grenoble et à Nice, il y a beaucoup de formations en cryptologie.

En revanche, au niveau ingénieur, il y a très peu d'écoles qui forment en cybersécurité. Il faut vraiment arriver au niveau de mastères spécialisés pour être sensibilisé à la problématique de la cybersécurité La carte des formations en sécurité informatique, dressée par l'ANSSI, montre la répartition géographique de la formation en cybersécurité.

M. Christian Lerminiaux. - Aujourd'hui, il n'existe pas de formation d'ingénieur en cybersécurité. Les masters ou mastères spécialisés sont des diplômes de niche. L'ingénieur doit avoir un regard plus large. Il faudrait que tous les ingénieurs aient un minimum de compétences en sécurité informatique quelle que soit leur formation de base. Cela reste à développer.

M. Jean-Marie Chesneaux. - Deux types de formation coexistent : une formation spécialisée en sécurité et une formation de masse plus généraliste. Il faut non seulement sensibiliser au risque numérique mais aussi donner une compétence en sécurité en vue d'un comportement responsable, ce qui reste souhaitable pour tous les ingénieurs pour le plus grand bien des entreprises. En réalité, ce sont souvent les erreurs commises dans les entreprises qui permettent aux attaquants de rentrer.

Tous les aspects sécurité informatique et risque devraient être enseignés aux ingénieurs. Se développe, d'ailleurs, le certificat appelé C2i2mi (Métiers de l'ingénieur), qui est le niveau supérieur du C2i, et que chaque ingénieur devrait avoir. Ça ne ferait pas de chaque ingénieur un expert de la sécurité mais ça formerait des gens responsables face au risque numérique.

Dans un cas, il s'agit d'un enseignement qui forme un petit nombre d'experts extrêmement compétents ; dans l'autre cas, il s'agit d'un enseignement de masse pour sensibiliser à la prévention. Tout ingénieur, qu'il soit chimiste ou autre, devrait avoir une attitude responsable face à la sécurité informatique.

M. Christian Lerminiaux. - Ce qu'il faut voir, c'est ce qu'il y a derrière le diplôme aujourd'hui, à une époque qui forme des cadres. Un quart des diplômés de niveau bac+5 sont des ingénieurs, soit une proportion passée de 15 % à 25 % en dix ans ; le nombre d'ingénieurs formés est passé de 18 000 à 34 000 par an ; le diplôme d'ingénieur est donc prépondérant à ce niveau.

Derrière la formation d'ingénieur, se trouve un processus de référentiel des compétences en constante évolution. Tous les deux ans, ce référentiel de compétences est revu en fonction des besoins des entreprises ; c'est un processus clé.

L'obtention du C2i2mi au niveau du master sera nécessaire pour tous les ingénieurs de niveau bac+5.

M. Reza El Galai. - Le 20 février 2014, le Premier ministre a encouragé l'ANSSI à s'intéresser aux formations à la cybersécurité. L'association des écoles et des universités est indispensable pour promouvoir ces nouvelles formations.

Dans l'immédiat, les bonnes pratiques recommandées par l'ANSSI et la CNIL sur leurs sites permettent d'asseoir la sensibilisation sur les recommandations de guides.

Compte tenu de la rapidité de l'évolution des technologies, l'anticipation des évolutions techniques du numérique ne pourra se faire que par une veille technologique de qualité, éventuellement mutualisée à travers un observatoire des nouvelles technologies.

Par exemple, les objets connectés sont aujourd'hui utilisés comme des gadgets sans que l'on pense à leur aspect sécurité. Or, un hacker a montré qu'il pouvait s'en prendre à un pacemaker en lui infligeant une décharge électrique de 800 volts. La technologie va très vite mais on n'analyse pas les conséquences de cela sur la cybersécurité.

Un observatoire, français ou européen, permettrait de creuser ces questions.

M. Christian Lerminiaux. - L'usage des objets connectés doit être systématiquement associé aux aspects de sécurité. Il serait souhaitable de mettre en place des normes de sécurité que tout objet connecté devrait respecter.

M. Jean-Marie Chesneaux. - Aujourd'hui, la veille numérique est particulièrement importante car c'est l'usage qui est mis en avant pour que tout le monde ait accès à tout, partout. Certes, il ne faut pas bloquer, au nom de la sécurité, le développement de l'usage mais si, du fait d'une sécurité insuffisante, quelqu'un prend la main sur le système, il peut tout contrôler.

Par exemple, dans le cas d'un hôpital, si le fait d'entrer dans son système informatique avec des visées malveillantes permet de tout y faire, le décalage entre les outils existants et la sécurité qui les accompagne inquiète.

Même les cartes bleues professionnelles ne sont pas convenablement protégées. À l'heure actuelle, les banques préfèrent payer pour les erreurs constatées plutôt que de voir leurs clients renoncer à utiliser leurs cartes.

M. Reza El Galai. - La Commission européenne a souhaité financer le développement dans chaque pays d'un centre de formation à la lutte contre la cybersécurité. Depuis janvier 2014, un tel centre de formation existe maintenant en France, le CECyF regroupant notamment la Gendarmerie nationale, Thales, Orange, Microsoft, l'Université de Montpellier 1...

Le siège de cette association se trouve au Centre de recherche de l'École d'officiers de la Gendarmerie nationale (CREOGN) qui est dirigée par le général d'armée Marc Watin-Augouard mais il n'y a pas encore de bâtiments proprement affectés au CECyF.

Dans le cadre du projet 2Centre, les besoins en formation liés aux nouveaux métiers de la sécurité ont été recensés comme, par exemple, celui de disposer de personnes qui vont intervenir sur les incidents, d'analystes également en charge de la veille, de testeurs d'intrusion - pour trouver les failles avant les attaquants - et, également, d'ingénieurs en charge de la réponse aux incidents, pour les CERT - comme il y en a dans les grandes entreprises, comme, par exemple, les banques (la Société Générale, la Banque de France, ou autres).

L'ANSSI envisage de recruter environ deux cents spécialistes de la sécurité tandis que les effectifs du Centre d'analyse de lutte informatique défensive (CALID) de la DGA, devraient passer de quarante à quatre-vingts personnes très prochainement.

En effet, pourquoi attendre d'être attaqué ? Le centre de la DGA sert justement à repérer les failles avant d'être attaqué et à riposter.

Ces métiers concernent les milieux gouvernementaux, les opérateurs d'importance vitale (OIV) et les entreprises en général, qui en ont également grand besoin, même si l'ampleur des recrutements nécessaires est difficile à quantifier.

M. Jean-Marie Chesneaux. - La France a été un des derniers pays au monde à avoir introduit l'informatique dans l'enseignement secondaire alors qu'il faudrait que, du collège à la terminale, une formation en informatique puisse être dispensée.

J'ai fait partie, l'an dernier, de la commission qui réformait le contenu des programmes des classes préparatoires dans lesquels l'informatique ne figurait pas. Si vous aviez un vrai corps d'enseignants en informatique, la prise de conscience de l'importance de la sécurité informatique par l'ensemble de la population en serait améliorée.

La durée consacrée à d'autres matières par les programmes actuels devrait être réduite en conséquence.

Longtemps, l'informatique a été considérée comme une discipline applicative des mathématiques.

M. Christian Lerminiaux. - Le problème de l'INRIA, c'est que l'informatique n'est toujours pas rentrée dans les classes préparatoires.

M. Jean-Marie Chesneaux. - Le corps enseignant n'est pas suffisamment informé des possibilités et des risques du numérique.

Dans les établissements d'enseignement supérieur, le mélange entre l'usage privé et l'usage professionnel du numérique est une source de faiblesse du système.

Il y a quelques endroits où des laboratoires sont extrêmement protégés parce que c'est leur métier. En revanche, des laboratoires extrêmement sensibles ne sont pas assez protégés.

Nous reprenons à notre compte le rapport de l'Académie des sciences qui prône un continuum de l'enseignement du numérique. Il faut un vrai corps d'enseignants en informatique.

La réforme des classes préparatoires n'a débouché que sur deux heures d'informatique par semaine à compter de septembre 2013... Il faudrait également favoriser un enseignement en informatique de masse en classe de terminale. Avec des enseignements où l'on forme des formateurs.

M. Reza El Galai. - De leur côté, depuis 2011, les gendarmes, « enquêteurs en technologie numérique » ont un bon niveau de formation informatique et se voient délivrer une licence professionnelle.

Avec Europol, c'est-à-dire l'ensemble des polices européennes, il y a eu beaucoup de réunions, de rencontres sur le terrain où ont été évoqués les problèmes de sécurité informatique et de formation. Chaque année, la Commission européenne met en place trois cours qui vont être dispensés à l'ensemble des forces de l'ordre européennes, sur des thématiques liées à la cybercriminalité (groupe de travail ECTEG, European Cybercrime Training and Education Group).

M. Jean-Marie Chesneaux. - À noter aussi le retard face aux Américains : jusqu'au début des années 1980, l'informatique était quasiment absente des Écoles normales supérieures. En France, la formation est beaucoup plus conceptuelle que celle dont bénéficient les Américains.

M. Reza El Galai. - Beaucoup d'aspects légaux sont également à prendre en compte : par exemple, aux États-Unis d'Amérique, un hacker peut être embauché pour s'occuper de sécurité informatique après avoir déjoué une sécurité de son nouvel employeur.

M. Jean-Marie Chesneaux. - Dans les écoles d'ingénieurs et dans certains départements d'université, les gens ont réussi à bien se protéger avec des architectures efficaces et des passerelles sécurisées - sous scanner en permanence - qui empêchent l'attaquant de mener une attaque en profondeur.

Cela nécessite que les personnels prennent en compte le fait que, comme l'informatique est organisée en réseau et que tout circule dans l'enseignement supérieur, de vraies mises à jour des systèmes de sécurité sont indispensables.

Pour les établissements d'enseignement, le besoin de sécurité numéro un provient de leur site web car, pour y accéder, il suffit de rentrer le nom de l'URL puis un code.

Le summum de la protection, c'est tout simplement de ne pas être connecté à l'extérieur. C'est la solution que le CEA-Direction des applications militaires (DAM) adopte pour ses salles les plus stratégiques.

M. Christian Lerminiaux. - C'est la même chose pour une entreprise. Il faut que tous les organes clés de l'entreprise soient totalement séparés du site web avec seulement une passerelle entre les deux.

M. Jean-Marie Chesneaux. - Certes, une cage de Faraday peut protéger de l'espionnage électronique car on arrive à lire à vingt mètres un écran grâce à des ondes électromagnétiques. Mais, si vous êtes connectés, la cage de Faraday peut être pénétrée.

Il faut tout de même se rappeler qu'on a réduit d'un facteur mille les capacités d'intrusion.

M. Reza El Galai. - La première précaution à prendre consiste à installer des pare-feu : si possible plusieurs et de marques différentes.

ASIP SANTÉ

M. Michel Gagneux, président de l'Agence des systèmes d'information partagés de santé (ASIP Santé)

M. Jean-François Parguet, directeur du pôle technique et sécurité (ASIP Santé)

26 mars 2014

M. Michel Gagneux. - L'Agence des systèmes d'information partagés de santé (ASIP Santé) est une jeune agence créée en 2009 par le Gouvernement sur ma proposition. Elle a pour mission de créer les conditions de développement futur des systèmes d'information de santé sécurisés pour permettre le partage des données de santé qui sont personnelles et particulièrement sensibles.

L'ASIP Santé doit créer les conditions applicables par tous les acteurs de santé, hôpitaux, professionnels de santé, de nature à garantir le respect de la confidentialité des données individuelles de santé.

Selon l'orientation stratégique du ministère de la santé, l'agence est le prescripteur de tous les référentiels qui doivent être respectés par les opérateurs et les acteurs en matière d'interopérabilité et de sécurité des systèmes d'information de santé, de façon à ce que les données soient partagées, échangées et stockées dans des conditions de sécurité optimale.

La seconde mission de l'ASIP Santé consiste à promouvoir des services comme le dossier médical personnel (DMP) ou une messagerie sécurisée de santé (MSS) pour lesquels l'agence est responsable du traitement des données aux termes de la loi relative à l'informatique, aux fichiers et aux libertés.

L'agence propose des dispositifs de gestion de la sécurité interne pour l'ensemble de ses infrastructures, services et produits et vérifie l'impact de tout correctif sur l'ensemble des services.

La vocation première de l'ASIP Santé est de créer un espace de confiance qui soit respecté par tous.

Depuis quatre ans, l'agence est l'un des principaux acteurs de la définition d'une politique générale de sécurité des systèmes d'information de santé qui est appliquée par les éditeurs et industriels, les établissements de santé et les médecins.

Plutôt que de s'attacher au respect de la notion de souveraineté numérique alors qu'il n'y a pas de frontière dans le numérique, l'ASIP Santé concentre ses efforts sur les règles et les procédures à imposer en matière de sécurité.

La procédure d'agrément des hébergeurs de données de santé, définie par le décret de 2006, a mis du temps à se mettre en place. C'est en 2009 que l'ASIP Santé a relancé l'application de ce décret, resté lettre morte, qui permet aux industriels de se mettre aux normes et se conformer à une doctrine.

Il existe un comité d'agrément des hébergeurs de données de santé qui étudie tous les dossiers de candidats à l'hébergement de données de santé. Ainsi, les dossiers sont soumis à une double instruction celle de la CNIL et celle du comité d'agrément de l'ASIP Santé.

Une soixantaine d'agréments ont été délivrés depuis le lancement de cette procédure et il y a eu plus de 40 % de refus d'agrément en 2013.

Cette procédure garantit que tout hébergeur de données de santé en France respecte les règles conformes à la fois à la directive européenne et aux prescriptions de la CNIL.

Les données personnelles peuvent être hébergées à l'étranger uniquement si elles restent sur le territoire de l'Union européenne dans des conditions conformes à une directive européenne transcrite dans le droit français en 2006, modifiant la loi de 1978 relative à l'informatique, aux fichiers et aux libertés.

En outre, la Commission européenne a donné son accord pour que les données personnelles puissent être hébergées dans certains pays, comme le Canada, qui offrent des garanties équivalentes à celles décrites dans sa directive (réglementation « Safe Harbor »). Certains autres pays ont passé un accord avec la Commission européenne, comme ce fut le cas en 2001 pour les États-Unis d'Amérique.

Un hébergement des données de santé en dehors des frontières de l'Union européenne, notamment par de grands industriels, est possible s'ils respectent des cahiers des charges contractuels ainsi que des règles internes qui garantissent les bonnes pratiques et l'application des procédures de sécurité prescrites par la commission européenne et la CNIL.

Le stockage des données dans les nuages se fonde sur des technologies de virtualisation qui reposent à la fois sur des infrastructures, sur des plates-formes et sur des applications. Il existe une grande diversité de technologies de virtualisation.

Le stockage dans un nuage peut permettre d'apporter une sécurité à des données atomisées qui nécessitent peu de sécurité et qui ont besoin d'être mutualisées. Mais plus les données ont besoin de sécurité, ce qui est le cas des données de santé, plus le stockage dans un nuage constitue une limite au maintien de l'optimisation des normes de sécurité.

C'est la raison pour laquelle, l'ASIP Santé n'a pas recours aux nuages pour le stockage des données. Seules certaines infrastructures techniques sont dans un nuage localisé en France.

Les données personnelles du DMP sont stockées, en France, chez deux hébergeurs sur deux sites distincts ; à Lille et à Marseille pour le dossier médical personnel (DMP) et à Paris et au Mans pour la messagerie sécurisée de santé.

M. Jean-François Parguet. - Seules les données de certaines des infrastructures techniques de l'ASIP Santé sont stockées dans un nuage en France. Il s'agit des données du site institutionnel qui présente l'ASIP Santé, des sites de formation ou encore des sites de données techniques partagées avec les industriels et les différents opérateurs de santé. Cela permet de diminuer les coûts et d'obtenir une grande disponibilité des informations de ces sites.

De même, mettre à disposition des 120 000 médecins libéraux un logiciel de gestion stocké dans un nuage peut permettre d'accroître la sécurité dans la mesure où ce logiciel est géré par des spécialistes et mis à jour régulièrement. En sens inverse, le nuage peut amoindrir la sécurité d'un dispositif totalement maîtrisé.

M. Michel Gagneux. - Pour l'identification des patients, l'échange et le partage de données de santé les concernant, la CNIL a recommandé l'utilisation d'un identifiant national de santé spécifique (INS) à la place du numéro d'identification de sécurité sociale (NIR). Cela présentait l'inconvénient majeur d'interdire en pratique à tout le secteur de la recherche d'avoir accès aux banques de données constituées par le secteur de la production de soins qui utilise le NIR. Il aurait fallu construire une passerelle entre l'univers de l'INS, avec le DMP et la messagerie sécurisée de santé, et l'univers des données de l'assurance maladie gouverné par le NIR.

Après de nombreuses années de discussion avec l'ASIP Santé, une délibération de la CNIL vient de modifier sa doctrine et d'accepter de lever l'obligation d'avoir un INS spécifique pour l'échange et le partage des données de santé.

M. Jean-François Parguet. - Les technologies des années 1980 ne permettaient pas de croiser des données alors qu'aujourd'hui, il n'y a plus besoin d'index pour croiser les bases de données. Selon les préconisations du rapport de M. Pierre Truche de 1997, il aurait fallu un identifiant pour chacune des différentes sphères : justice, intérieur, finances, santé, médico-social et médico-administratif. À l'heure actuelle, l'identifiant n'est plus un gage de sécurité.

M. Michel Gagneux. - Aujourd'hui, l'enjeu est non plus dans l'identifiant mais dans le contrôle de l'accès au système.

Chaque accès aux données d'un patient donne lieu à une traçabilité impétrable. Le patient lui-même peut contrôler tous les accès à son dossier intégralement retracés. De plus, un patient peut demander que tel professionnel de santé ou telle catégorie de professionnels de santé n'aient pas accès à ses données.

Tout médecin qui utilise le système du DMP ou la messagerie sécurisée de santé doit respecter les règles de l'espace de confiance et utiliser une carte à puce qui permet une authentification forte de son accès autorisé par le patient.

Les exigences de sécurité seront beaucoup plus fortes avec le système numérique qu'avec les pratiques actuelles où un dossier médical peut traîner sur un chariot, etc. On saura immédiatement le nom de l'infirmière qui a administré un traitement, sa qualification à dispenser ce traitement. La rigueur dans la préservation de la confidentialité des données sera bien supérieure à celle observée dans l'utilisation des dossiers « papier », des photocopies, etc.

Le DMP est dans une première phase de déploiement ; le dossier du patient électronique, dans les établissements de santé, se développe petit à petit. Un vaste programme d'hôpital numérique a été promu par le Gouvernement depuis trois ans et s'étend peu à peu.

Ce sont des processus très complexes qui supposent une réorganisation des soins. Il s'agit, à l'échelle nationale, d'un projet à l'horizon d'une génération.

Le DMP peut être à la fois utilisé par des professionnels de santé et le patient. Il n'a pas vocation à recevoir toutes les données de santé d'un patient mais uniquement les données pertinentes à partager dans un moment donné ou pour une prise en charge ultérieure. Il ne se substitue pas au dossier professionnel de santé constitué par le professionnel. 

Le DMP est prêt à être déployé ; des tests ont été faits depuis 2011. C'est un produit qui fonctionne techniquement, qui est ergonomique, fiable et qui peut, s'il est bien utilisé, faire gagner du temps.

D'une manière générale, l'agence est l'opérateur chargé par le ministère de la santé d'établir les textes qui régissent la sécurité des informations de santé. Elle travaille de façon permanente avec l'ensemble des autorités compétentes en matière de sécurité des systèmes d'information et de protection des données.

Le dispositif du DMP, qui respecte les préconisations de l'ANSSI, peut être homologué au titre du référentiel général de sécurité (RGS).

L'ANSSI et la CNIL sont associées étroitement aux travaux portant sur la mise en place de la politique générale de sécurité des systèmes d'information de santé ; l'ASIP Santé a créé l'identifiant national de santé en étroite collaboration avec le laboratoire de cryptologie appliquée de l'ANSSI.

La CNIL intervient pour délivrer un avis dans le cadre de la procédure d'agrément des hébergeurs de données de santé.

Si le site Internet de l'ASIP santé est susceptible de subir des attaques générales tous les jours, sans pour autant avoir jamais été pénétré depuis 2011 ; le système de gestion du DMP n'a pas été attaqué, de manière ciblée, et des données de santé n'ont jamais été volées.

L'hébergement sécurisé des données de santé est confié à des sociétés privées françaises choisies selon une procédure d'appel d'offres mais assorti de procédures d'agrément particulièrement rigoureuses et coûteuses pour les entreprises. Cela permet d'avoir un marché de professionnels spécialisés dans l'hébergement de données de santé favorables aux normes de haut niveau garantissant le respect des bonnes pratiques de sécurité et de la réglementation.

Les Anglais ont créé un dossier informatisé du patient relatif à la production de soins qui peut être partagé mais auquel le patient n'a pas accès. Ils n'ont pas mis en place de dossier de coordination de soins partagé qui serait l'équivalent du DMP.

Leur projet est d'ailleurs ralenti parce que, contrairement au choix français, ils n'ont pas mis au point de normes d'interopérabilité qui permettent aux systèmes d'échanger des informations quelles que soient leurs différences d'environnement. Le Royaume-Uni a confié la gestion des données de santé à des industriels différents, en découpant son territoire en plusieurs zones, rendant ainsi impossible le traitement et l'échange des données d'un dossier par un système autre que celui qui l'a conçu.

Le DMP a connu une première phase, de 2004 à 2007, lors de laquelle les politiques ont fixé des objectifs économiques, de généralisation et de quantité irréalisables, selon l'avis de tous les experts. Après un audit interministériel, auquel j'ai participé, aux conclusions assez sévères sur le projet initialement prévu, Mme Roseline Bachelot, ministre de la santé de l'époque, m'a demandé de formuler des propositions qui permettraient de relancer ce projet en définissant des conditions stratégiques à réunir pour sa réussite.

C'est en application des conclusions de ce rapport, qu'a été créée l'ASIP Santé afin de garantir l'interopérabilité et la sécurité dans les échanges et le partage des données de santé.

Un nouveau DMP a été mis en place sous forme expérimentale au début de l'année 2010 et son déploiement aurait pu commencer dès la fin de l'année 2011.

En raison du changement de gouvernement intervenu en 2012, la phase de développement a connu quelques retards mais ce déploiement est maintenant inscrit dans la stratégie générale de santé et devrait être lancé à grande échelle.

Cela montre qu'il s'avère particulièrement difficile en France de concevoir des projets stratégiques complexes et de les inscrire dans le long terme d'autant plus lorsque l'on touche à de nombreux secteurs, l'organisation du poste de travail du professionnel de santé, la façon dont il va travailler avec l'hôpital, la façon dont le patient et le professionnel de santé vont communiquer, la façon dont l'assurance maladie et les services de l'État vont échanger des données. Dans ce domaine, les défis relèvent moins de la technologie que de la conduite du changement et de la réforme. De plus, la dualité de gouvernance, mal pilotée, entre l'assurance maladie et l'État rend la mise en place du projet du DMP plus difficile.

Sur ce sujet, tous les pays ont été confrontés, en fonction de leurs traits culturels, à de très grandes difficultés. Ce fut le cas pour le Royaume-Uni et le Canada.

Les pays scandinaves ont connu plus de succès en raison de leurs systèmes très intégrés et de petite taille ainsi que de leurs contraintes de climat, de géographie, qui les poussent à passer par la virtualisation.

La France est en panne d'une gouvernance, d'une définition de stratégie en matière de santé numérique et de pilotage de cette stratégie. La diversité des acteurs, leur propension à l'autonomie, la faiblesse du ministère de la santé, qui a perdu beaucoup d'expertise, en créant toutes ces agences sanitaires, posent un problème de gouvernance important.

Le DMP permettrait aux professionnels de santé de travailler de manière coopérative autour d'un même patient et de limiter le nombre d'examens redondants. Sans cet outil, la coordination des soins est difficile.

Aux États-Unis d'Amérique, les sociétés d'assurances ou les cliniques constituent des dossiers pour optimiser leur prise en charge en imposant leur système à leurs assurés.

En France, les professionnels de santé, tout comme les patients, restent très peu conscients de la nécessité de protéger les données de santé, très sensibles, intimes. De bonnes pratiques sont à promouvoir.

En 2008, le système de santé était atomisé, cloisonné, peu sécurisé et peu communiquant.

La communication constituera l'un des grands enjeux du déploiement du DMP. À noter que, dans une même journée, des patients qui pourraient se montrer frileux à l'idée de voir des médecins échanger leurs données de santé, n'hésitent pas à dévoiler, sur Facebook, des éléments de leur vie privée bien plus intimes. Ils pourraient aussi être victimes de nouveaux projets comme celui de Google Health ou de Microsoft - Health Vault - qui avaient essayé de mettre en place des dossiers médicaux mondiaux et virtuels sans se soucier de sécurité ni de confidentialité. Ces opérateurs ont d'ailleurs renoncé à leur projet pour des raisons de modèle économique mais pas pour des raisons de sécurité.

Lorsque les systèmes de santé informatisés seront mis en place, ils seront beaucoup plus protecteurs des libertés individuelles que l'absence de système actuel.

M. Jean-François Parguet. - Le DMP offre une traçabilité exhaustive des consultations dans la durée. C'est ce qui permet d'arbitrer le compromis entre la confidentialité et la perte de chances. Car si l'on prévoit de la sécurité a priori, on peut priver le professionnel d'informations et, par conséquent, aboutir à ce que l'on appelle une perte de chances pour le patient.

La traçabilité offre une base simple à cet arbitrage et permettrait de pénaliser les usages fautifs si la pénalisation existait.

M. Michel Gagneux. - L'objectif de l'ASIP Santé a répondu à une nécessité de service public en mettant en place, avec le DMP et avec la messagerie sécurisée de santé, dont le développement va commencer cette année, des outils sécurisés à grande échelle au profit des professionnels de santé comme des patients. Néanmoins, il s'avère impossible d'aller plus loin dans la façon de sécuriser l'espace de santé en raison du nombre important de professionnels de santé et de la disparité de leurs équipements informatiques.

La clé du système mis en place pour le DMP et la messagerie sécurisée de santé réside dans l'obligation pour les professionnels de santé et les patients d'entrer dans l'espace de confiance, régi par des normes d'opérabilité, de sécurité et de cryptologie, pour pouvoir échanger des données de santé en toute sécurité quelle que soit la fragilité de l'environnement numérique des utilisateurs.

En revanche, on ne pourra jamais rien contre l'utilisation par un personnel de santé d'un matériel étranger, aux mises à jour de sécurité non effectuées, par exemple.

M. Jean-François Parguet. - La protection par l'antivirus reste illusoire. La guerre de la protection du poste de travail du professionnel de santé est perdue d'avance. La sécurité doit être concentrée sur le système central.

Il existe 953 000 cartes de professionnel de santé (CPS) qui produisent le milliard de feuilles de soin par an qui servent pour le tiers payant.

L'ASIP Santé distribue un logiciel d'accès à la carte (« Middleware ») que le professionnel de santé peut installer dans son système. Ce logiciel supporte des versions obsolètes de systèmes d'exploitation, comme Windows XP, car il est impossible d'imposer aux professionnels le changement du parc de matériel informatique des médecins libéraux.

M. Michel Gagneux. - En matière d'améliorations des conditions de sécurité, nous nous trouvons toujours sur une ligne de crête, une tension entre facilité d'usage et garantie de la sécurité.

À titre d'exemple, la messagerie sécurisée de santé destinée aux personnels de santé doit être compatible avec une certaine mobilité et il faut définir jusqu'à quel point on peut alléger les normes de sécurité, par exemple, pour allonger le temps d'ouverture des sessions.

Jusqu'à présent, l'ASIP Santé a maintenu des principes de respect des normes de sécurité assez rigides. Mais, pour que le système ne soit pas dissuasif à l'usage, il va falloir étudier les modalités d'un assouplissement, notamment pour la saisie du mot passe, qui ne dégrade par la sécurité.

Il paraît difficile d'imposer à un infirmier en tournée la saisie trop fréquente d'un mot passe de huit caractères, composé de lettres, de numéros, de signes de ponctuation, etc. Il sera tenté d'utiliser une messagerie disponible sur Internet comme Gmail, Orange, etc.

C'est l'usage, dans les années à venir, qui déterminera le bon compromis à trouver.

En accompagnant les usages et en menant une politique de pédagogie, de sensibilisation et de communication permanente, durable et récurrente, en direction des professionnels, des patients et de tous les utilisateurs, il sera possible de construire, petit à petit, une culture de bon usage de l'échange et du partage de la donnée de santé par le numérique avec une bonne sécurité de base.

DIRECTION GÉNÉRALE DE LA COMPÉTITIVITÉ, DE L'INDUSTRIE ET DES SERVICES (DGCIS)

Mme Cécile Dubarry, chef du service des technologies de l'information et de la communication à la Direction générale de la compétitivité, de l'industrie et des services (DGCIS)

26 mars 2014

Le ministère doit contribuer à développer significativement les usages numériques sans négliger pour autant le volet sécurité. Toutes les politiques publiques mises en oeuvre par le ministère et plus largement par le Gouvernement en matière de soutien aux entreprises peuvent bénéficier à l'industrie de cybersécurité ; c'est notamment le cas des appels à projets de R&D des investissements d'avenir.

Ainsi, il a été décidé, en liaison avec le Commissariat général à l'investissement (CGI), l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et l'ensemble des administrations concernées, de consacrer périodiquement des appels à projet à la thématique de la sécurité. Par ailleurs, le choix a été fait de cibler les appels à projets sur des thématiques identifiées comme prioritaires. Ainsi l'appel à projets « sécurité numérique » des investissements d'avenir, clos en novembre 2013, portait sur des thématiques très précises (outils de détection d'intrusion, outils de sécurisation des smartphones).

Au-delà des solutions développées pour la protection des informations classifiées de défense, extrêmement robustes mais avec un degré d'ergonomie souvent éloigné de celui des solutions grands publics, il est nécessaire, en lien avec l'ANSSI, de promouvoir la réalisation de solutions de sécurité à destination du grand public ou des entreprises adaptées aux enjeux tout en correspondant ergonomiquement aux attentes des utilisateurs.

Le ministère est également amené à travailler sur certains textes législatifs ou réglementaires ayant un impact en matière de sécurité (dans le cadre de la transposition du paquet télécoms, par exemple) que ce soit en tant que chef de file ou en coopération avec d'autres ministères.

À la suite de la transposition du paquet télécom, l'État disposait de la possibilité d'imposer aux opérateurs télécoms le respect de règles de sécurité. Les dispositions adoptées dans le cadre de l'article 22 de la loi de programmation militaire ont étendu les prérogatives de l'État en matière de capacité à imposer des règles de sécurité, en matière de déclaration d'incident ou de contrôle à tous les opérateurs d'importance vitale, bien au-delà du secteur des télécommunications.

Afin de faciliter la concertation entre les industriels et les grands donneurs d'ordre de la filière sécurité, le Premier ministre a installé, en octobre 2013, le comité de filière sécurité dont le secrétariat est assuré conjointement par la DGCIS et le secrétariat général de la défense et de la sécurité nationale (SGDSN).

Les besoins des grands donneurs d'ordre (sécurité aéroportuaire ou maritime par exemple) ne sont pas toujours très bien connus. De même, ces grands donneurs d'ordre ne connaissent pas forcément les solutions techniques à leur disposition. Il existe donc un réel besoin d'échanges auquel le SGDSN et le ministère répondent en copilotant un certain nombre d'initiatives dans ce domaine.

En matière de sécurité, l'ANSSI est un partenaire incontournable. C'est ainsi que le directeur général de l'ANSSI s'est vu confier la mise en place d'un plan en vue de favoriser le développement des solutions de cybersécurité en France (plan cybersécurité de la Nouvelle France industrielle) et de consolider les acteurs - souvent plutôt performants mais de taille trop réduite pour aller à l'international.

Par ailleurs, une sensibilisation générale des entreprises au numérique est mise en place en s'appuyant sur les réseaux locaux ; le programme « transition numérique » permet à près d'un millier de conseillers sur le terrain de relayer les messages localement pour proposer sur le terrain des solutions clés en mains incluant des formations.

De tels programmes sont rendus possibles par la présence sur le terrain de conseillers déjà au contact des entreprises et prêts à se battre pour le développement numérique des entreprises, à qui il est nécessaire de donner les moyens d'accomplissement d'une telle mission.

Une mission qui permettra d'identifier les secteurs où le numérique peut apporter le plus dans les années à venir a également été lancée par la ministre en charge du numérique car, dans certains secteurs, l'apport (ou l'impact) du numérique est souvent mésestimé ou analysé trop tardivement.

À titre d'exemple, le site d'Expedia a été utilisé par le groupe Accor, dans un premier temps pour vendre ses surcapacités hôtelières ; maintenant, 30 % de son chiffre d'affaires est réalisé via Expedia. Les évolutions du monde du tourisme, notamment par le numérique, viennent perturber les acteurs en place qui, pour certains, prennent conscience de ces évolutions un peu tardivement. Ce que l'on veut faire pour ceux qui n'ont pas encore été touchés de plein fouet par le numérique, c'est de créer une dynamique de réflexion et de prise de conscience pour qu'ils subissent un peu moins ces mutations dont l'ampleur est très variable selon les secteurs.

La pratique actuelle est de plus en plus que les consommateurs entrent dans les magasins, par exemple chez Darty, pour regarder voire tester les produits et, ensuite, les achètent sur Internet.

Dans la future loi sur le numérique, qui devrait venir devant le Parlement à l'automne 2014, au plus tôt, il pourrait y avoir un volet sur la cybercriminalité ou encore la protection des données personnelles.

Le ministre a demandé à l'ANSSI d'élaborer des normes de sécurité pour les systèmes de comptage intelligents, sujet dont personne ne s'était saisi jusqu'alors. Aujourd'hui, on s'aperçoit que les objets connectés peuvent être des portes d'entrée pour les attaquants informatiques lorsqu'ils ne sont pas forcément sécurisés et, lorsqu'ils sont sécurisés, ils ne sont pas forcément reconfigurables. Il est important que des failles de sécurité ne puissent pas permettre la prise de contrôle de tels objets par des individus malveillants.

Une action associative, nommée Signal Spam, a été mise en place afin de permettre à chaque citoyen d'alerter la CNIL ou l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) de la réception de spams.

Derrière l'expression de souveraineté numérique, se cache notamment la préoccupation de la protection des données personnelles. Le Safe Harbor nord-américain permet aux Américains d'avoir accès à des données européennes à condition que certains engagements soient pris. Un point de préoccupation est que c'est le département du commerce américain, qui contrôle le respect de ces engagements alors qu'il est lui-même intéressé au développement de ses entreprises nationales.

Dans de telles conditions, le Safe Harbor risque de ne pas constituer une protection suffisante pour les Européens. L'intégrité et la confidentialité des données ne sont pas garanties. Certains acteurs américains ont fait le choix de stocker toutes les données provenant d'Europe ou hors d'Europe mais ce choix ne permet pas de garantir la protection des données.

L'acceptation de l'application en France du Safe Harbor risque par ailleurs de ne pas assurer une protection suffisante des citoyens et de donner un avantage compétitif aux Nord-Américains qui stockeront les données sur le territoire américain.

En mars 2014, ce débat est venu devant le Parlement européen où il a été reconnu qu'il fallait encadrer l'ensemble de ces transferts de données. Mais les Américains se retranchent, en quelque sorte, sur leurs bases arrière en considérant que les normes européennes ne leur sont pas opposables.

Dans le cadre de l'informatique en nuage, les petites et moyennes entreprises ne sont pas forcément bien armées pour apprécier si les offres de stockage correspondent à leurs besoins et si la sécurité numérique de leurs données est correctement assurée (notamment pour ce qui concerne les aspects liés à l'interopérabilité et la réversibilité). Un travail est engagé avec l'ANSSI pour labelliser les offres offrant un niveau de sécurité adéquat.

Les échanges avec la CNIL sont limités mais la DGE porte une grande attention à son action.

Au sein de l'Union européenne, le débat se focalise sur la neutralité des opérateurs de télécommunications mais il convient aussi de s'intéresser de près aux questions liées à la loyauté des plates-formes et des moteurs de recherche.

Récemment l'ICANN a décidé d'ouvrir le marché des noms de domaines dits « génériques » - generic Top-Level Domains (gTLD), contre l'avis d'un certain nombre d'États. Aujourd'hui, elle lance des appels d'offres relatifs aux noms de domaines qui vont être soumis au droit américain, ce qui est une fragilité pour les entreprises françaises ou européennes. Au niveau technique, l'ICANN dispose d'un contrôle très important sur les noms de domaine, lui donnant la capacité de perturber très significativement voire complètement le fonctionnement de l'Internet, du jour au lendemain.

Avec l'ouverture du marché des noms de domaines génériques, les entreprises françaises seront obligées de déposer beaucoup de noms de domaines pour protéger leurs marques. Cette ouverture peut dans certains cas contribuer à fragiliser les appellations contrôlées comme dans le cas d'attribution du « .vin » ou du « .wine ».

Certes, au niveau de l'ICANN, il existe un Govermental Advisory Committee (GAC) mais ses préconisations ne sont que peu entendues par l'ICANN. Le gouvernement américain a cependant indiqué qu'il allait renoncer à un contrôle sur l'ICANN.

Au-delà des entreprises, le ministère considère comme essentiel de sensibiliser les individus, même si les recommandations en matière de sécurité ne sont pas nécessairement les mêmes. Il s'agit de diffuser les bonnes pratiques, une sorte « d'hygiène numérique ».

MEDEF

M. Pierre Louette, président du comité « Transformation du numérique »

Mme Anne-Florence Fagès, directrice de mission « Économie numérique » à la direction de la recherche et de l'innovation

27 mars 2014

M. Pierre Louette. - Dans le cadre de vos travaux, vous avez déjà entendu la personne qui est la plus compétente dans ce champ, à savoir M. Jean-Luc Moliner, directeur de la sécurité chez Orange, domaine qui m'est rattaché au sein du groupe, et qui est très directement concerné par les très nombreux dangers de l'interconnexion.

Pour préparer la présente audition, nous avons choisi de nous inscrire dans le cadre de réponses au questionnaire que vous nous avez déjà adressé auquel nous ajouterons trois ou quatre messages que nous souhaitons partager avec vous.

Le MEDEF s'inscrit dans la protection des entreprises et entend donner une impulsion à travers une sensibilisation y compris auprès des 93 % des entreprises en France comptant moins de dix salariés ; c'est aussi auprès d'elles qu'il faut agir car elles sont tout aussi exposées que les très grandes entreprises puisqu'elles sont aussi des fournisseurs et des sous-traitants de très grandes entreprises, des inventeurs de projets et de brevets.

Le comité de transformation numérique du MEDEF que j'anime émet des avis, donne une vision objective et nationale pour produire des éléments d'information nationaux et également va dans les territoires pour en faire remonter les préoccupations partagées. La sécurité concerne tout le monde et la sensibilisation est un sujet auquel le MEDEF s'attache.

Aujourd'hui, pour les entreprises, le principal risque lié au numérique consiste à ne pas y basculer.

Il peut être souligné que 80 % des entreprises françaises déclarées en faillite en 2013 n'étaient pas présentes sur Internet. Elles n'avaient pas développé une présence forte de vente ou une action sur Internet.

Mme Anne-Florence Fagès. - Il semble donc qu'on ne puisse pas développer une économie sans intégrer Internet.

M. Pierre Louette. - Cet enjeu de la transformation numérique concerne en particulier le secteur du voyage mais d'autres secteurs entiers seront affectés en totalité, comme le BTP, avec l'analyse par des spécialistes de la donnée des composants et des matériaux, des lieux d'implantation des bâtiments ; comme les télécommunications, ils vont croiser des données. Ceux qui ne sont pas dans ces transformations risquent de passer à côté d'un facteur de survie et de croissance. Il est donc essentiel que les entreprises s'intègrent au fonctionnement de la nouvelle économie en faisant de l'Internet un levier de développement tout en sécurisant leur intégration dans le numérique. La démarche d'entrer dans le numérique est autant vertueuse que risquée si elle ne s'accompagne pas d'un renforcement de la sécurité.

C'est pour cela que nous nous intéressons beaucoup à la cybersécurité, à l'incitation massive à numériser. Il s'agit d'une « chance dangereuse », porteuse d'autonomie comme de danger, qui provient de l'exposition à de nouveaux risques contre lesquels les entreprises ne sont pas forcément préparées.

Dans le cadre des opérations de sensibilisation affichées par le MEDEF, il est expliqué que le numérique est un facteur de compétitivité et de réduction de coûts pour l'entreprise.

Deuxième réflexion : la cybersécurité constitue un véritable défi pour le MEDEF alors que confiance et sécurité sont indissociables du numérique. On aborde par là le thème de la confiance.

Récemment, un responsable du FBI américain déclarait qu'il n'y a que deux catégories d'entreprises face à la sécurité informatique : les entreprises qui ont été attaquées et celles qui le seront ; le premier groupe étant le plus nombreux. Orange subit plusieurs attaques par jour à un point ou un autre de ses réseaux très déployés et diversifiés ; tous les jours ces attaques sont tentées et, de temps en temps, certaines aboutissent.

Le côté spectaculaire de certaines des attaques menées risque d'éroder la confiance et de susciter une réticence à livrer ses données qui risque de diminuer la croissance liée au numérique. Les espoirs de croissance du numérique, de création d'entreprises et de croissance en général ne peuvent se concrétiser que si la sécurité et la confiance sont préservées.

Les entreprises visées par les cyberattaques sont souvent des PME qui ont peut-être omis de mettre en oeuvre tout ce qu'il convenait pour assurer leur propre sécurité. Plus de 70 % des entreprises victimes d'attaques en France comptent moins de cinq cents salariés. Or, comme elles font partie de l'écosystème des grandes entreprises, ce nombre d'attaques ne cesse d'augmenter. Il peut s'agir d'attaques malignes pour chercher de l'information mais, également, d'attaques simplement destructrices, de blocages, avec le phénomène des dénis de services.

Les jeunes générations, très consommatrices d'Apple et de Mac à domicile, à travers des jeux ou de la création graphique, ont tendance à vouloir apporter leur ordinateur personnel sur le lieu de travail, ce que les entreprises favorisent plutôt mais cela est, en réalité, très compliqué. D'abord favorable à cette pratique, Orange est en train de lever sur le pied sur ce point car cela est trop compliqué à gérer au quotidien puisque les personnes viennent avec leurs virus.

L'introduction de virus dans le système d'information de l'entreprise entraîne une perte de capacité et doit être évitée à tout prix.

Mme Anne-Florence Fagès. -Les entreprises déploient un arsenal de moyens de sécurisation et hésitent à demander à leurs personnels de contrôler et de sécuriser les matériels qu'ils apportent de chez eux. Finalement, ce n'est pas une très bonne idée d'autoriser l'apport d'outils personnels sur le lieu de travail, sans déployer parallèlement les garde-fous et protections nécessaires.

M. Pierre Louette. - On a eu d'abord le sentiment qu'il était bien de leur permettre aux chercheurs, et il y en a beaucoup chez Orange, près de six mille au sens large, d'apporter leurs outils personnels mais il a été constaté que c'était cette partie du réseau qui était la plus perméable car offrant un maximum de points d'échanges avec l'extérieur. On a effectué des tests d'intrusion qui ont montré une réelle porosité même si le dernier test a été plus rassurant que les précédents.

Il a aussi été observé que l'on faisait toujours attendre les visiteurs dans des lieux où se trouvent des prises de courant par lesquelles il peut être possible d'accéder au réseau.

Le MEDEF, estimant qu'il faut partager plus, a installé, au sein du comité de transformation numérique, un groupe de travail « confiance et sécurité » mis en oeuvre avec la Fédération des entreprises de vente à distance (FEVAD) car elles sont au premier rang de celles qui doivent s'interroger sur la pérennité de leur propre activité si la confiance numérique venait à disparaître. Mais la problématique est partagée par toutes les fédérations du secteur numérique. D'où, pour la formation au numérique, la création d'un autre groupe de travail avec le Syntec-numérique incluant une formation à la sécurité, ce qui ne s'improvise pas.

La troisième réflexion à partager avec vous, c'est que le contexte réglementaire du numérique doit nécessairement s'adapter pour prendre en compte les évolutions technologiques et les failles constatées.

Quant au contenu du projet de loi sur la liberté numérique annoncé par la ministre chargée du numérique, Mme Fleur Pellerin, qui devrait permettre d'adapter la législation nationale à l'évolution internationale des données tout en préservant les libertés fondamentales, il est encore inconnu.

Ce projet devra en tout cas veiller à la protection de la sécurité face à la préservation des libertés fondamentales. Si le projet de loi s'appelle liberté numérique, il doit traiter de ces questions-là. Le MEDEF sera forcément associé à cette construction tout à fait importante. Il serait temps de prévoir des dispositifs d'information des entreprises sur la sécurité. Il est important que les entreprises montrent qu'elles respectent certains modes de prophylaxie informatique.

Une des conditions de la liberté fondamentale de l'usage du numérique est sa sécurité. Il ne sert à rien d'afficher un objectif protecteur si des silos de données sont pillés. Il faut déjà sélectionner ce que l'on veut soumettre à une bonne protection.

Cette démarche doit s'insérer dans un développement global partagé par d'autres nations dans lequel la France ne doit pas prévoir seule des dispositifs trop protecteurs si, au même moment subsistent, dans le cadre européen, des dispositifs permettant aux entreprises étrangères, notamment nord-américaines, d'échapper aux réglementations nationales. J'évoquerai en particulier, le Safe Harbor, dispositif américain qui permet aux Américains d'éviter d'être soumis aux lois nationales ou européennes en invoquant cette réglementation.

J'ai eu l'occasion d'accompagner le président du MEDEF, M. Pierre Gattaz, à Las Vegas, pour une conférence lors de laquelle des entrepreneurs privés américains tenaient un discours de domination technologique mondiale. La question pour eux étant d'imposer la supériorité technologique nord-américaine au monde. C'est une machine puissante qui est à l'oeuvre.

Actuellement, la France est victime d'une fragmentation de l'Europe alors qu'elle doit affronter le marché unique nord-américain. Cela a des conséquences immédiates en matière de propagation des produits car, quand bien même, dès 1997, France Telecom aurait réussi à développer un moteur de recherche aussi efficace que celui de Google, ce moteur n'aurait pu être déployé que dans un marché français d'environ cinquante-cinq millions d'habitants et non de quatre cents millions. Cela est toujours le cas aujourd'hui car nous nous trouvons face à vingt-huit ARCEP (Autorités de régulation des communications électroniques et des postes), vingt-huit autorités de la concurrence, de la consommation car il n'existe pas un marché unique des télécommunications. L'avantage d'Internet, c'est de ne rencontrer aucune barrière dans sa propagation. En fait, sur la ligne de départ, chacun a potentiellement une vocation à devenir mondial mais ceux qui émergent sont assez rapidement rachetés par Google, Facebook, etc. En effet, les opérateurs français ne peuvent se déployer aussi rapidement que les opérateurs américains.

De plus, depuis assez longtemps, les États-Unis d'Amérique ont abandonné la notion de service universel. Certains États, comme la Californie, ont eu la 4G bien avant les Français mais ont encore du mal à faire fonctionner une téléphonie de base. Une forte concentration s'opère sur le marché hyper utile, à savoir celui des grandes villes, tandis que des zones rurales sont un peu à l'abandon avec une distribution d'électricité qui ne fonctionne pas très bien. En France, nous avons une vision universelle de l'accès généralisé. Les Anglais et les Danois partagent cette vision. Mais la fragmentation nous coûte très cher car elle rend impossible d'avoir un service se répandant très vite.

Le second aspect est l'état de la concurrence. Aux États-Unis, les télécommunications sont parvenues à un certain degré de reconcentration, de concurrence 3.0 - le 1.0 étant le monopole du temps de Bell et le 2.0 l'époque de la forte fragmentation. Même s'il reste aujourd'hui de multiples petits opérateurs de téléphonie fixe, dont on ne parle jamais, avec peu de clients. Les autorités de la concurrence sont débordées. De plus, il ne reste plus d'opérateur de téléphonie fixe mobile même s'il y a quatre grands opérateurs aux États-Unis du fait de la reconcentration. En Europe il y a encore cent vingt opérateurs de télécommunications. La Croatie qui vient d'entrer dans l'Union Européenne a elle-même trois ou quatre opérateurs téléphoniques.

La commission européenne vient d'autoriser le passage de quatre opérateurs à trois en Autriche, mais en accompagnant cela de la nécessité de créer seize MVNO (Mobile Virtual Network Operator), ce qui ne se produira jamais car le marché est dévasté et les prix extrêmement bas. En France, la politique de la concurrence n'est pas propice à l'émergence de grands acteurs.

Par ailleurs, l'accès au crédit est très facile aux États-Unis même pour ceux qui ont déjà créé une première entreprise qui a échoué.

En conclusion, il est à observer que tous les moteurs de recherche étaient, en 1997-1998, sur la même ligne de départ mais que, comme le moteur de recherche est auto-améliorant, plus il se propage vite, plus il est consulté et plus il s'améliore, et ainsi de suite, et donc sa domination s'accroît. Actuellement, en France, 93 % du marché sont détenus par Google. Donc le système devient lui-même producteur de nouveaux monopoles. Même si nous sommes les tenants de la concurrence la plus forte, ce système de monopole se développe sous nos yeux.

Google est numéro un dans les moteurs de recherche avec des parts de marché monstrueuses. Après, il y a Yahoo et Bing puis plus grand monde. C'est comme cela dans chaque catégorie où il existe toujours un grand groupe dominant tout le monde et, en fait il s'agit de systèmes quasi monopolistiques face au système européen où l'on a produit autant de concurrence que possible. Il est probable que l'on a été trop loin dans la concurrence. La baisse des prix est devenue l'ennemi du développement de l'entreprise et de la croissance.

Pour revenir aux sujets de sécurité et de risques, il est important qu'existe un sentiment de sécurité numérique même s'il n'est pas partagé par tous. Par exemple, aux États-Unis, le noyau des personnes inquiètes demeure aux alentours de 3 %, soit au même niveau que dans les années 1970, à l'époque de M. Ralph Nader. Pour ne pas casser la confiance, il faut développer la sécurité. Elle doit être renforcée aussi bien pour les entreprises que pour les individus.

Orange essaie de proposer des solutions de protection mais cela est modeste. En effet, dans le groupe Orange, dégageant trente-neuf milliards d'euros de chiffre d'affaires, la vente de données représente moins de dix millions d'euros. Si l'on devait quantifier la valeur que l'on tire de l'installation de sondes dans les réseaux, ce qui permet de mettre en place les capacités de transmission là où c'est nécessaire, l'on constaterait que ces sommes sont importantes mais à usage interne.

Orange estime qu'il est nécessaire que l'acceptation des personnes soit recueillie pour que leurs données puissent être vendues mais peu nombreux sont ceux qui l'acceptent volontiers. Pour Orange, il n'est pas question de forcer les gens à voir leurs données vendues.

Pourtant, nombre de données personnelles sont disponibles en ce qui concerne le téléphone : qui téléphone à qui et de quel endroit. Cela pourrait servir la géolocalisation et le géomarketing de nombre d'entreprises.

Orange commercialise un peu les données agrégées, donc anonymisées, mais en aucun cas les données personnelles. Mais Orange se voulant un opérateur de confiance, il ne procède pas à la commercialisation des données personnelles de ses clients.

En matière de l'utilisation de données personnelles, la CNIL joue un rôle très important et les opérateurs se soumettent d'eux-mêmes à un certain nombre de restrictions car ils craignent davantage un scandale lié à l'utilisation non autorisée de données plutôt qu'ils n'espèrent profiter de l'exploitation d'un marché au demeurant pas très important.

Par ailleurs, il est très important que lors de l'examen des futurs projets de loi relatifs au numérique, à l'inverse de ce qui s'est passé pour la loi de programmation militaire, ne soit pas alimenté le débat opposant le numérique aux libertés individuelles qui risque de ruiner la confiance dans le numérique. Au lieu de cela, le législateur pourrait montrer que, comme le monde actuel produit forcément un grand nombre de données, il est possible de les gérer de manière encadrée permettant à la fois la vigilance et la sécurité. À partir de l'exploitation de données agrégées, de meilleurs services peuvent être assurés. Il serait souhaitable de donner à la CNIL des moyens de sanctions renforcés car le niveau actuel des sanctions n'est plus adapté au monde actuel.

Mme Anne-Florence Fagès. - Les données sont considérées comme le pétrole des années à venir et sont déjà une source de croissance et de création d'emplois. Les entreprises doivent pouvoir sécuriser au maximum les données sans bloquer l'innovation. Il faut à la fois libérer la créativité et l'innovation dans l'entreprise et protéger l'individu.

M. Pierre Louette. - Le MEDEF participe à beaucoup de réunions nationales et européennes ou à des séances de travail avec l'ANSSI dans le cadre de l'écosystème de la sécurité. Il en ressort notamment qu'il souhaitable que toutes les entreprises soient obligées de notifier les incidents de sécurité dont elles ont été victimes. Il reste à faciliter cela à l'aide de formulaires électroniques, par exemple, à adapter selon que l'on subit plusieurs attaques par jour ou bien une seule dans l'année. À chaque fois, les pirates apprennent de leurs attaques tout comme les défenseurs apprennent des attaques des pirates. Ainsi, le système est auto-améliorant, à l'instar du moteur de recherche de Google. Cela doit être accessible aussi bien aux petites entreprises qu'aux grandes.

Mme Anne-Florence Fagès. - Les petites entreprises ont quelquefois tendance à baisser la garde, ne serait-ce qu'en ne procédant pas régulièrement aux mises à jour de leur système d'information.

M. Pierre Louette. - Les niveaux de protection sont extrêmement hétérogènes en fonction des clients. Un client a même exigé que ses serveurs soient entourés de grillages au sein des centres de données car il souhaitait une protection physique séparant ses serveurs de ceux d'autres clients, ce qui est un peu étrange car les données circulent entre serveurs et, de plus, elles peuvent même circuler d'une unité à l'autre. Toujours est-il que cette exigence a été acceptée car provenant d'un grand client.

D'autres clients risquent, au contraire, d'accepter des offres de stockage numérique où leurs données seront stockées parmi d'autres sans qu'ils se rendent compte exactement du niveau de protection dont elles bénéficient.

Mme Anne-Florence Fagès. - Les entreprises ont un arbitrage à opérer entre le niveau de protection qui pourra leur être garanti dans leurs usages numériques et le coût financier de cette opération. Une des questions qui est posée au MEDEF est de savoir où le stockage de données sera implanté.

M. Pierre Louette. - Dans l'affaire de la NSA, il est impressionnant de constater que la captation massive de données est effectuée sans que l'on sache très bien ce qu'il sera possible de faire d'autant de données. À noter que, dans une phase ultérieure de leurs activités, les analystes de la NSA créent souvent des entreprises spécialisées dans l'analyse des données massives dans la Silicon Valley. À partir de ce qui se passe dans le domaine militaire, se prépare l'industrie de demain. Si ce cercle est vertueux pour les Nord-Américains, il ne l'est pas pour les autres. Il s'agit vraiment là d'un système militaro-industriel. La France est cependant loin d'être à la traîne dans ce domaine.

Mme Anne-Florence Fagès. - La France possède une très bonne école de statistiques comme de mathématiques mais il reste à stimuler les créations d'entreprises.

M. Pierre Louette. - En Allemagne, sous l'impulsion de Mme Angela Merkel, meurtrie de ses découvertes relatives à l'action de la NSA, un effort national de cryptage a été relancé.

L'inclusion dans la loi de certaines obligations en matière de cryptage concernant un certain type d'échanges pourrait être une voie à suivre, y compris par l'administration, de même que tout ce qui favoriserait la diffusion de telles mesures. Une initiative franco-allemande dans ce domaine serait très constructive d'autant qu'il n'existe encore aucun moteur de coopération franco-allemand dans le domaine du numérique. Cette coopération pourrait donc commencer par le domaine des cryptages plutôt que de voir de nouvelles industries allemandes prospérer seules dans ce secteur.

Par ailleurs, il serait intéressant de mettre en place, dès la classe de sixième, une initiation au codage.

Le MEDEF a énormément changé et ce monde d'entrepreneurs s'interroge sur la manière de se protéger en matière numérique. Un grand opérateur de télécoms français a mis en place un tableau de bord, qui devrait être bientôt opérationnel, permettant à chacun de suivre les données qu'il a laissées dans l'entreprise et, également, un système qui permettra d'éviter de noter les mots de passe en recevant un code par téléphone pour accéder à tel ou tel serveur à partir d'une carte SIM. Tout cela est mis en place pour faciliter l'accès aux sites, même protégés, sans que cette facilité s'étende aux attaquants.

Enfin, il serait intéressant, lors de la vente d'un téléphone, de mettre à disposition du client un petit guide permettant d'indiquer la manière dont il convient de protéger ses données.

DÉLÉGATION INTERMINISTÉRIELLE À L'INTELLIGENCE ÉCONOMIQUE

Mme Claude Revel,
déléguée interministérielle à l'intelligence économique

27 mars 2014

La délégation interministérielle à l'intelligence économique est placée auprès du Premier ministre depuis le décret du 22 août 2013. Précédemment, elle était rattachée au ministre chargé de l'économie et des finances et, encore auparavant, au Secrétariat général de la défense nationale (SGDN).

Le premier haut responsable, nommé en 2004, a été M. Alain Juillet remplacé, en 2009, par M. Olivier Buquen et j'ai été nommée le 29 mai 2013 au moment où délégation a été rattachée au Premier ministre.

De cette évolution découlent quelques conséquences. En ce qui concerne les missions de la délégation, elles sont définies autour de quatre piliers.

Le premier pilier, c'est la veille, l'anticipation et l'alerte des pouvoirs publics et du Gouvernement sur tous les sujets qui ont des enjeux économiques, scientifiques, techniques, industriels, etc. Ce premier pilier consistant à avoir de l'information sur son environnement est essentiel et les autres en découlent.

Le deuxième pilier, c'est la sécurité économique qui consiste en l'immatériel, c'est l'intelligence économique. C'est la préservation, la protection des savoir-faire, des recherches, de l'état de la recherche, des données, du capital, de la réputation, toutes ces choses immatérielles qui ont une valeur très grande pour les entreprises.

Le troisième pilier, c'est l'influence, c'est-à-dire d'abord être capable de saisir les opportunités pour influer sur son environnement, tout ça étant lié à l'anticipation, notamment le fait de savoir si telle ou telle nouvelle technologie va émerger ou si une autre va disparaître et quels sont les investisseurs concernés. On essaie d'organiser les événements pour qu'ils se passent comme on le souhaite au lieu d'attendre la crise ou que les autres choisissent pour vous.

Le second aspect de l'influence, c'est l'influence sur les normes et sur les règles internationales. C'est probablement une des raisons de ma nomination car j'ai remis, en janvier 2013, un rapport à la ministre, Mme Nicole Bricq, intitulé : « Développer une influence normative internationale stratégique pour la France ». En effet, il y a un grand nombre de terrains sur lesquels on pourrait être bien davantage présent dans les organismes internationaux et les organismes normatifs en particulier.

Le quatrième pilier, c'est le pilier pédagogique, à savoir la sensibilisation à travers la formation initiale, la formation supérieure et la formation continue car la plupart des risques sont d'origine humaine. La sensibilisation, entendue dans un sens de protection mais aussi dans un sens proactif, est essentielle.

L'intelligence économique repose donc sur trois fondements : savoir, se prémunir et influer sur son environnement.

Pour en terminer avec la présentation générale de la délégation interministérielle à l'intelligence économique, celle-ci dispose désormais de moyens un peu accrus avec la possibilité de mobiliser des correspondants dans les ministères, dans les services déconcentrés de l'État en France et à l'étranger.

Il est même recommandé, dans le décret constitutif, de procéder à des échanges de vues avec le secteur privé, avec les entreprises ; cela est extrêmement important. Il faut échanger avec les entreprises, les organisations non gouvernementales, etc., tout ce qui n'est pas public.

Le décret précise également que la délégation doit participer à la politique de rayonnement international de la France ; elle est d'ailleurs associée à toutes les décisions concernant les investissements étrangers en France.

Voilà pour les textes. Mais il n'est pas facile d'agir alors que, en réalité, les pouvoirs de la délégation sont limités compte tenu des luttes de territoires diverses et variées de l'administration.

La délégation travaille déjà sur un certain nombre de sujets qui ont plus ou moins trait à la sécurité numérique mais la manière d'affronter les nouveaux risques numériques n'a pas encore été abordée de manière globale.

Quand on parle du numérique, cela peut se décliner de plusieurs manières, mais, ce qu'il faut arriver à faire, c'est penser et maîtriser les technologies à l'avance.

Tous les jours, de nouveaux défis doivent être affrontés compte tenu des innovations des concurrents. Ce qui se fait à l'international est particulièrement important à connaître.

Maîtriser les technologies et les penser dans notre intérêt peut être illustré par l'exemple de ce qui s'est passé aux États-Unis d'Amérique dans les années 1975-1980 à propos des autoroutes de l'information, les High Ways. À cette époque, un certain Al Gore disait partout que les autoroutes de l'information étaient intéressantes et, par la suite, Internet a découlé de cette volonté de penser les autoroutes de l'information des années 2000.

À partir de la constatation que des technologies émergentes allaient dominer le monde, il y a eu la volonté de les maîtriser. Il ne faut pas être en retard. Les Américains sont actuellement à la tête de la gouvernance d'Internet, de grands empires industriels se sont créés car tout cela a été pensé et voulu.

L'information est devenue une matière première à partir de laquelle on peut réaliser ce que l'on veut. Comme toute matière première, elle peut être protégée, vendue, raffinée etc. De plus, les acteurs économiques qui utilisent cette matière première le font de manière totalement dérégulée. Ce qui n'est pas le cas de toutes les matières premières.

La délégation n'a pas un mandat sur la protection du numérique. Mais, comme ce sujet est essentiel, elle en traite notamment à travers la norme, la règle. Car si les défis du numérique sont technologiques, ils sont aussi humains et juridiques.

Il est possible de diminuer les risques à l'aide de règles juridiques.

La délégation à l'intelligence économique a quelques mandats spécifiques concernant le numérique. C'est ainsi que la réunion interministérielle du 12 février 2014, présidée par le directeur de cabinet du Premier ministre, a porté sur la cybersécurité. Dans ce cadre-là, nous avons été chargés d'améliorer la formation des PME à la cybersécurité en établissant un référentiel avec les chambres de commerce et d'industrie et en essayant de le diffuser via les chambres de commerce, les préfets et les autorités locales. Il y a eu toute une distribution de tâches effectuée entre les diverses administrations dont les premiers résultats devraient être perçus à la fin de l'année 2014.

J'ai été nommée membre de droit du Comité de la filière industrielle de sécurité (CoFIS), créé le 23 octobre 2013 ; l'idée étant de renforcer les industries françaises de la sécurité à travers une filière, comme cela existe pour d'autres industries. Au sein de ce comité siègent à la fois des acteurs publics et privés. La délégation à l'intelligence économique a pris en charge un sous-groupe sur l'intelligence normative. En effet, les normes sont extrêmement importantes car elles peuvent ouvrir ou fermer un marché. Il faut donc arriver à fabriquer la norme avant les autres. Or, les normes techniques sont obligatoires pour l'interopérabilité des produits qui se vendent dans le monde entier.

Les normes ne se font plus sous l'égide des pouvoirs publics nationaux ou internationaux mais elles proviennent des industriels, ce sont des normes de fait.

Actuellement, à Paris, se tient une réunion collaborative pour déterminer des normes sur les bandes dessinées, les mangas, les magazines publiés sous forme numérique pour les rendre adaptables aux appareils mobiles. De nouvelles normes sont toujours nécessaires pour améliorer ces produits. Toutes les nationalités sont autour de la table et ce sont les industriels qui, entre eux, élaborent ces nouvelles normes.

Comme les normes numériques sont quelquefois liées à la sécurité, il pourrait être imaginé que ce soient les États qui les élaborent. Même au sein de l'ISO, la représentation des professionnels se fait par États et ces professionnels rendent compte aux États. Les pouvoirs publics sont tout de même derrière même s'ils ne sont pas présents.

À l'inverse, pour les normes de fait, il n'y a plus aucun aspect national. En général, le président de ce type de réunion est nord-américain même quand les négociations se passent en France. L'Américain commence par souligner que les règles de propriété intellectuelle n'ont pas leur place dans ce type d'enceinte où le secret des affaires n'est pas invocable. L'élaboration de la norme, la mise au point de nouvelles manières de faire très techniques devront être ouvertes et, ensuite, chacun pourra faire ce qu'il voudra ; la question demeurant de savoir comment gagner sa vie à partir d'un tel modèle.

Toutes les personnes présentes sont des producteurs qui ont pour ambition de vendre des produits élaborés selon ces nouvelles normes. Le principe est de se dire que les meilleurs au monde ayant élaboré les normes, les autres producteurs suivront.

La structure qui recevait ces jours-ci s'appelait l'ADPF et il est envisagé qu'elle s'unisse un jour avec W3C qui est l'organisme privé américain de référence en matière de normes numériques, quelque chose d'analogue à l'ISO.

Pour prendre un exemple, la norme de fait GSM a été fabriquée à Sophia-Antipolis, sans passer par l'ISO, à l'initiative de M. Didier Lombard qui a réuni des chercheurs, l'État étant présent ; des Allemands, des Hollandais, participaient, en plus des Français, à cette élaboration. Cette norme s'est imposée dans le monde et a donné naissance aux empires français qui existent aujourd'hui.

Au sein du CoFIS, si l'on pouvait arriver à fabriquer la norme ce serait formidable, à condition que les industriels et l'État s'y intéressent dans la durée.

Thales s'intéresse beaucoup aux normes de gouvernance, financières et comptables et, aussi, aux normes de responsabilité sociétale des entreprises (RSE), aux normes anticorruption ou aux normes anticoncurrentielles.

Le 19 décembre 2013, un Conseil européen de la défense s'est tenu pour réfléchir à des normes pour de nouveaux produits de défense à présenter avant la fin de l'année 2014.

Pour des sujets stratégiques, il est important de se réunir pour arrêter une position commune.

Quant à l'aspect juridique, la protection du secret des affaires, dont une partie est liée à l'accès numérique, une proposition de loi a été présentée, il y a deux ans, puis adoptée par l'Assemblée mais non par le Sénat. Elle a été reprise en tant que projet par mon prédécesseur en 2011 et doit être encore améliorée.

Un projet sur ce point, excédant d'ailleurs le champ du numérique, a été remis au cabinet du Premier ministre à la fin du mois de septembre 2013.

Pour garder le secret des affaires, il faut disposer de machines non reliées au Net, à aucun réseau, de cages de Faraday ou d'un brouillage sonore ambiant.

À propos du projet de règlement européen sur la protection des données, mené par la commissaire Mme Viviane Reding, actuellement en cours de négociation, il est freiné par tous les groupes de pression ultralibéraux (Google et autres) qui voient d'un très mauvais oeil une régulation de l'utilisation des données.

Ce projet est soutenu par le Parlement européen qui, le 12 mars 2014, a émis un vote sur la protection des données qui obligerait les entreprises, lorsqu'elles travaillent sur le territoire européen, à respecter le droit à l'effacement, le droit à l'oubli et l'obligation d'informer les personnes lorsque leurs données sont utilisées à des fins commerciales.

Au-delà des données personnelles, qui sont importantes, il faut aussi prendre en compte les données économiques.

À noter qu'une bonne partie de ce qui a scandalisé à travers l'affaire Snowden est légale aux États-Unis d'Amérique - Patriot Act ou autres qui, pour des raisons de sécurité, permettent de passer outre la protection des données.

Sous l'empire de la directive de 1995, on ne peut fournir toutes les données, c'est pourquoi, l'Union européenne a négocié avec les États-Unis le Safe Harbor à travers lequel il est convenu de traiter les données comme l'exige la directive de 1995... sauf si la sécurité est en jeu. Il y a environ 4 000 organismes américains avec lesquels ce type de convention a été signé.

Le règlement Reding, en cours d'élaboration, a pour ambition de moderniser la directive de 1995. Il est à espérer que les conventions mentionnées ci-dessus ne pourront prospérer sous l'emprise du nouveau règlement européen.

Il serait souhaitable que les Français soient capables de mettre sur pied une force d'influence pour travailler au coeur de l'élaboration de ce nouveau règlement européen. La capacité d'influence au sein de l'Union européenne reste à mettre au point notamment en plaçant des personnes aux bons endroits.

Sur des sujets stratégiques de ce type, il faut que la position stratégique française soit élaborée et diffusée dans tous les cercles d'influence possibles.

Il faut commencer par rencontrer la personne en charge de l'écriture du texte européen pour expliquer la position française.

De plus, comme pour la protection des données, quand tout le monde est quasiment d'accord, il faut mettre au point une méthode pour éviter que chacun travaille dans son coin.

Un autre lieu juridique où ces aspects vont être traités sera la négociation sur le Traité de partenariat transatlantique avec les États-Unis d'Amérique (TTIP), l'accord de libre-échange entre les États-Unis et l'Union européenne.

Les Américains veulent un accord normatif dans tous les domaines dont les marchés publics et la propriété intellectuelle qui concerne directement les affaires de numérique et la protection des données. Cela est extrêmement important.

Mme Nicole Bricq a réuni à plusieurs reprises un comité d'anticipation sur cet accord et, dans ce cadre-là, il y a environ deux mois, le négociateur en chef européen a été reçu ; c'est un français, M. Jean-Luc Demarty mais il n'est pas très profrançais.

Il lui a été demandé si le statut des données faisait partie de cet accord et il a d'abord semblé répondre par la négative mais, en réalité, il parlait de l'exception culturelle. Il a affirmé ensuite que les informations liées aux produits numériques entraient naturellement dans le cadre de l'accord puisque les produits numériques y entrent en fonction du statut qui leur a été donné au niveau européen.

Dans ce contexte, il serait souhaitable d'attendre que le règlement européen soit adopté avant que l'accord de libre-échange ne puisse être négocié car il ne faut pas commencer à négocier avant d'avoir une base européenne qui ne saurait être la directive de 1995 - dépassée. C'est pour éviter cela que l'élaboration du règlement européen est freinée par tous les groupes de pression pour éviter qu'il puisse servir de protection européenne dans le cadre de la négociation de l'accord transatlantique de libre-échange.

Cette position, est également celle de Mme Viviane Reding.

Il faut donc éviter que les données entrent dans la négociation du traité tant qu'un socle réglementaire européen n'existe pas. Seuls les Allemands sont sur la même ligne que la France - sans doute stimulés par l'écoute du téléphone portable de la chancelière qui a indigné les Allemands.

La souveraineté numérique n'a plus de sens au niveau français mais a un sens au niveau européen où les Français doivent être davantage proactifs. Elle peut également avoir un sens à travers la présence française dans les cercles normatifs internationaux.

Le nuage numérique consiste à stocker des données dans des serveurs externalisés. Il y a eu, le 29 mars 2013, une réunion interministérielle sur l'informatique en nuage et sur les stratégies françaises et européennes demandant aux ministères de se concerter sur le projet de règlement européen, sur la proposition de directive destinée à assurer un niveau élevé de sécurité des réseaux et de l'information dans l'Union européenne et, également, sur le projet d'accord de libre-échange entre l'Union européenne et les États-Unis d'Amérique.

Le côté national peut être réaffirmé à travers la confiance à accorder au numérique à travers la constitution de nuages numériques français car, étant français, ils ont leur siège en France et sont soumis aux lois françaises. Or, la France à un niveau très élevé de protection des données.

Il faut distinguer la loi du lieu où se trouve le serveur de celle du lieu du siège social du propriétaire de ce serveur. OVH, qui constitue une très belle réussite, est situé en France. Lorsque l'on a des hébergeurs français, l'État devrait inciter les grands groupes à les utiliser. À cet égard, le Conseil national du numérique a élaboré une note précisant que l'existence d'instruments nationaux n'est pas hors de portée puisque les Japonais ont réalisé un nuage japonais et un Facebook japonais qui sont préférés par les consommateurs à Facebook et aux nuages américains.

Pour Google notamment, la principale source de revenus est constituée par les consommateurs européens. C'est pour cela qu'il s'oppose absolument au fait que nous ayons des règlements en Europe.

Les Chinois ont leur propre équivalent pour Google.

Il faut une volonté nationale de promouvoir les outils français : des hébergeurs français, des nuages numériques français, dans un cadre français, avec des réseaux français. Une sensibilisation est essentielle pour cela. Cela peut partir des grands groupes dans lesquels il y a des représentants de l'État.

Sinon, il est impossible d'avoir quelque confiance que ce soit dans le nuage numérique, y compris dans les nuages français et d'autant moins lorsqu'ils sont gouvernés par des lois non françaises.

Les experts américains ou anglais, les cabinets de conseil ne peuvent être totalement crus car leurs lois permettent aux gouvernements de requérir quand ils veulent des données détenues. Il en va de même en Chine.

Les ingénieurs français, excellents techniquement, doivent être sensibilisés à ces questions de protection française.

Le secrétariat général de la défense et de la sécurité nationale SGDSN a mis en place des zones à régime restrictif (ZRR) de protection concernant certains laboratoires de recherche dans le cadre de la protection du patrimoine scientifique et technique et a demandé qu'il y ait beaucoup plus de laboratoires sous zone ZRR. Les chercheurs sont vent debout contre cette initiative. En réalité, il faudrait que les chercheurs eux-mêmes sachent déterminer ce qu'est une information stratégique.

Il ne faudrait pas que les chercheurs donnent toutes leurs informations sur le réseau : les noms des personnes avec lesquelles ils travaillent, les informations relatives au dernier état de leurs recherches, etc.

Pour les laboratoires dans lesquels la France est très en avance, il faut vraiment prendre en compte ce qu'est l'information stratégique. Il ne faut pas signer des accords de propriété intellectuelle à l'étranger avant d'avoir consulté le service juridique de leur employeur pour vérifier l'accord avant de le signer.

Il n'est pas nécessaire de livrer toutes ses informations pour remporter un appel d'offres.

Pour l'instant, la délégation à l'intelligence économique est un peu entravée dans son action par le manque de moyens. Elle ne dispose que de quatre collaborateurs sur un site, d'autres sur un deuxième et encore deux personnes sur un troisième site. Les systèmes informatiques de ces trois endroits sont incompatibles.

Pour l'instant il n'y a aucune coopération avec la CNIL. Il serait souhaitable de développer une stratégie en commun pour dominer et maîtriser le risque numérique.

En revanche, il y a travail en commun avec l'ANSSI notamment sur les questions internationales, normatives et européennes, sur la pédagogie en matière de cybersécurité. Des fiches de sécurité économique, qui seront présentées prochainement, ont été élaborées en commun avec l'ANSSI. Quelques-unes de ces fiches, très simples, portent sur le numérique et donnent des conseils pratiques.

Safran, Thales, toutes les grandes entreprises sont sensibles à la protection des données ; le GIFAS les rassemble tous sur la même ligne. Mais certains sont concurrents entre eux ce qui complique la coopération.

Les PME ne sont pas assez informées des risques du numérique. Il serait souhaitable aussi de dispenser une formation en intelligence économique auprès des PME.

De même, des sensibilisations à l'intelligence économique ont été débutées dans l'enseignement supérieur en septembre 2011 à destination d'une trentaine d'établissements pilotes où quarante heures d'intelligence économique doivent être enseignées, tous cursus confondus. Soit, seize heures d'intelligence économique au niveau M1 et vingt-quatre heures au niveau M2.

Le test s'achèvera en juin 2014 et donnera lieu à une évaluation.

J'ai moi-même été professeur dans un enseignement pilote où j'ai eu l'occasion d'enseigner cela.

L'ennui, c'est que des personnes s'autoproclament formateurs en intelligence économique allant jusqu'à expliquer comment provoquer une dépression nerveuse chez un chef d'entreprise en s'attaquant au capital de sa société.

Mais, au-delà de la technique, de l'outil, il s'agit d'abord de pratiques humaines.

Les investissements prioritaires dans le domaine de la sécurité numérique pourraient constituer la promotion de sites français, de nuages français et de produits de sécurité français et travailler sur le droit européen lié à ces sujets.

Il faudrait simplifier la vie des petites entreprises françaises du secteur du numérique car beaucoup de celles-ci sont confrontées à des problèmes sans nom de formalités excessives... Il faudrait veiller à ce que des simplifications aient réellement lieu.

Il faut appliquer la directive européenne, mais sans faire de zèle - comme le font les Anglais et les Allemands -, ne pas publier des données excessives, protéger les entreprises. Par exemple, en matière de publication des comptes, il est possible de les déposer auprès de l'autorité de tutelle des comptes de toutes les entreprises mais rien n'oblige à les publier. En termes de concurrence, il n'est pas bon de livrer ses données aux concurrents et, en plus, c'est compliqué.

Par ailleurs, il faudrait tenter d'éviter ce qui est appelé « la vallée de la mort », c'est-à-dire que les petites entreprises innovantes soient aidées également deux ou trois années après leur création. Par exemple, pour favoriser l'investissement en capital à ce moment-là.

Il advient que l'on trouve davantage d'investisseurs chinois, coréens, russes, américains en France que d'investisseurs français pour prendre ce type de risque.

La délégation à l'intelligence économique n'a jamais subi d'attaque informatique.

Au niveau des ministères, on pourrait imaginer une politique de sécurité informatique forte comprenant une formation des ministres, des parlementaires et des principaux responsables aux exigences de la sécurité numérique.

Les encourager, par exemple, à ne plus employer gmail.com car c'est Google. À noter qu'un logiciel peut permettre d'accéder à sa fiche Google résultant de votre boîte de messagerie gmail.com qui indique tous les sites sur lesquels vous êtes allés, les thèmes de votre recherche et, en plus, tous vos déplacements en France comme à l'étranger.

L'ICANN est américaine mais son conseil d'administration est extrêmement large. Il serait souhaitable qu'elle compte des membres français influents au sein du conseil de cette association.

ÉCOLE SUPÉRIEURE D'INFORMATIQUE ÉLECTRONIQUE AUTOMATIQUE (ESIEA) OUEST

M. Éric Filiol, directeur du laboratoire de cryptologie et de virologie opérationnelles

2 avril 2014

Les récentes révélations de la presse sur l'affaire Snowden n'ont pas fini de nous réserver quelques surprises même si les spécialistes n'ont pas été vraiment étonnés.

Les premiers programmes d'espionnage US - dont Prism n'est qu'une suite - ont été mis en place par les Américains dès la fin des années 1940. La technologie des communications et de l'information s'était déjà révélée comme étant vraiment du domaine militaire et nécessitant un contrôle ; dès cette époque, le général De Gaulle avait décidé que ça devait être une affaire strictement nationale, en particulier tout ce qui touchait au chiffrement des communications souveraines (étatiques). Le problème, c'est que, année après année, la technologie évoluant, elle a envahi nos vies et conduit à une perte quasi totale de souveraineté par des situations de quasi-monopole des États-Unis d'Amérique.

Certes, l'exception culturelle est importante d'autant que, dans la tentative d'assimilation de tous les pays par un seul, la culture est un enjeu important. Elle fait partie du plan consistant à faire adhérer à des normes et à une culture dominante. Le but ultime est le contrôle des populations assimilées via la divulgation permanente de la vie de tous. Face à cela, la France devrait, comme le font les États-Unis d'Amérique, mais en violation des accords internationaux en matière de commerce, considérer que les questions de sécurité doivent être sorties des accords internationaux et imposer que, dans un certain nombre de domaines, les produits soient purement français ou a minima européens (et relevant du droit européen et non plus anglo-saxon).

Un exemple, emblématique, a été cité par M. Jean-Marie Bockel, à savoir les routeurs qui sont des équipements en réseaux que l'on trouve partout, ce sont des gares de triage de l'information. Ils constituent un matériel critique mais facile à produire car ils ne requièrent pas, à l'inverse des processeurs, d'industrie lourde. Pendant longtemps, il y a eu une fourniture française en matière de routeurs grâce à Alcatel ; de ce fait, on était à peu près sûr de savoir ce qui se trouvait, ou non, dans les routeurs. Dans le contexte du commerce international sous domination nord-américaine, on a envie de savoir par qui on est espionné en ayant déjà admis que le seul choix qui nous reste est celui de choisir qui nous espionnera.

Le sénateur Bockel avait, à juste titre, alerté l'opinion sur les routeurs chinois mais les routeurs américains sont tout aussi dangereux. Pour les infrastructures critiques, il faut revenir à une certaine souveraineté, sinon française, du moins européenne, qui serait de nature à créer des marchés.

L'esprit français, assez particulier, l'un des plus innovants de la planète, en ce qu'il est un mélange de Descartes et de l'esprit gaulois, fait que les Français sont capables de produire des choses étonnantes. Technologiquement et par voie de conséquence, économiquement et psychologiquement, la France a vocation à figurer parmi les nations qui comptent mais cela ne sera pas possible si l'on utilise des outils fournis par l'adversaire dont les Chinois. Comment peut-on construire une cyberdéfense rationnelle et indépendante en faisant le choix du tout Microsoft pour nos armées ? La France mériterait mieux que de se borner à choisir par qui elle peut être dominée.

L'évolution technologique a également comme conséquence que, à l'heure actuelle, la désinformation devient de plus en plus compliquée car les organismes de renseignement de pays comme les États-Unis d'Amérique, la Russie, la Chine, leur permettent de dominer beaucoup de choses, notamment dans le domaine mathématique ou informatique, ce qui facilite le repérage d'informations discordantes et rend difficile voire impossible la désinformation.

Autrefois, une image satellite permettait de distinguer un char. Maintenant, avec Google earth et une vision inclinée, des détails bien plus précis sont identifiables et on se demande comment cela peut être autorisé par un État comme la France. Quand la Google car passe dans les rues pour effectuer des relevés, si quelqu'un a sa porte ouverte, c'est comme si on entrait chez lui ; il s'agit là d'un viol des vies privées. Désormais, pour monter un cambriolage, il suffit de rapprocher l'information de Facebook de celle du plan de masse reproduit par Google. En informatisant les informations, on amplifie les possibilités de croisement et de renseignement.

Après les attentats du 11 septembre 2001, il a été établi que les États-Unis avaient eu en leur possession toutes les informations mais n'avaient pas été en mesure de les traiter. Par la suite, d'énormes progrès ont été faits avec la capacité de traiter très rapidement un très grand nombre de données (data mining appliqué au domaine du big data). En effet, il existe de nombreux modèles mathématiques qui permettent de se retrouver, dans des données massives, des informations sensibles voire très sensibles (extraction de connaissances) et cela va bien au-delà des techniques proposées par les nuages numériques dont on parle beaucoup.

Finalement, le traitement de données massives peut permettre d'exploiter utilement même une information d'apparence anodine en jugeant de son niveau de confidentialité. Cela va devenir de plus en plus difficile de qualifier le niveau de criticité d'une information.

Si l'on prend le cas du réseau ferroviaire, il suffit de quatre ou cinq personnes pour bloquer pendant quarante-huit ou soixante-douze heures l'ensemble du réseau à condition d'intervenir au bon moment et au bon endroit grâce à l'exploitation de l'information ouverte, qui peut devenir une information opérationnelle pour quelqu'un de malfaisant.

Cependant, même si la cybersécurité a son importance, le danger n'est pas où l'on pourrait croire. Ce n'est pas une attaque informatique qui, à elle seule, va bloquer un pays car les systèmes sont suffisamment variés et bien gérés. Les syndromes de type Tarnac, « hacktivismes » extrêmes sont plus inquiétants. En effet, à partir d'une bonne information, beaucoup de dégâts peuvent être causés par un petit groupe de personnes qui disposent de moyens conventionnels. Par exemple, les infrastructures critiques nord-américaines pourraient être bloquées durablement. En fait, si après une panne d'électricité de quelques minutes, beaucoup de choses se remettent en place, il n'en va pas de même après plusieurs heures d'interruption. C'est ainsi qu'une attaque, dans le sud-ouest de la France, a pu provoquer une panne d'électricité chez les abonnés à partir de seulement quatre armoires électriques qui avaient sauté. Cela a montré qu'il est possible de bloquer relativement durablement Internet, le téléphone, etc.

Ces attaques vont devenir de plus en plus faciles à mettre en oeuvre. La capacité de traitement des informations, notamment par des particuliers, existe désormais et requiert peu de moyens. Elle permet, en quelques jours, d'identifier les points critiques pour des attaques à partir de données uniquement ouvertes. Les informations qui concernent les infrastructures, les personnes, sont soit directement ouvertes soit semi-ouvertes.

Les États-Unis d'Amérique ont avoué avoir exagéré la menace terroriste pour finalement mettre en place une cybersurveillance du monde entier. Quatre-vingts chefs d'État seraient surveillés en permanence. Le côté systématisé et permanent étonne autant que le fait que seuls deux responsables politiques ont réagi ; il s'agit de deux femmes, la présidente du Brésil et la chancelière allemande.

En France, je ne suis pas persuadé que la population et les décideurs aient été indignés outre mesure par l'affaire Snowden. Pourtant, j'avais d'abord été surpris quand l'ancien patron de l'ANSSI avait déclaré que, chez nous, l'affaire Snowden ne changerait probablement rien.

À noter que les Américains eux-mêmes sont également obligés d'acheter des matériels chinois. Dans tous les domaines, la réalité technologique du numérique implique également les Chinois et les Indiens - même si, au départ, le terme Internet, français, a été inventé par le CERN.

Il faut bien distinguer le peuple américain du gouvernement américain qui a une certaine vision hégémonique. C'est pourquoi il est choquant de ne pas réagir quand il pille systématiquement nos entreprises pour maintenir une suprématie qui n'est pas aussi légitime qu'il le croit.

Face aux Américains qui violent constamment les accords de l'organisation mondiale du commerce, la France devrait affirmer qu'elle ne veut pas sous-traiter sa sécurité.

Récemment, Mme Angela Merkel a proposé que soit utilisé un réseau Internet européen, proposition refusée par le chef de l'État français. Le problème est que la France et l'Allemagne ont accepté d'agir pendant de nombreuses années comme sous-traitants de programmes d'espionnage américain, comme le programme Lustre ; l'affaire Orange a montré que cette société coopérait, notamment sur l'affaire des câbles sous-marins, avec le gouvernement américain. Le Service fédéral de renseignement allemand (BND) n'est pas tout à fait clair non plus.

En outre, il faut voir au-delà des faits bruts. Jusqu'en 1995, deux sociétés suisses avaient la quasi-suprématie sur le marché des machines à chiffrer pour usage gouvernemental. En réalité, dès la fin des années 1950, les Américains avaient infiltré une de ces sociétés suisses et fait en sorte que toutes les machines vendues par cette société à des postes diplomatiques, par exemple, soient accessibles aux Américains comme des livres ouverts. En 1995, un commercial de premier rang de cette société a été retenu en Iran car il y avait eu des fuites dans la presse qui prouvaient que les occidentaux décryptaient les messages iraniens. Toutes les machines vendues à l'export étaient trafiquées. Néanmoins, si le travail avait été organisé aux États-Unis, les gouvernements allemand, avec Siemens, suédois avec Ericsson et Transvertex, et hongrois étaient impliqués. Cela montrait que les Européens n'étaient pas forcément opposés à ce genre de pratique.

Les prochaines révélations de Snowden vont être passionnantes mais il n'est pas certain qu'elles ne ciblent pas la France. Et il faut s'attendre prochainement à l'apparition d'autres Snowden.

Actuellement, les Russes sont très méfiants vis-à-vis de la technologie occidentale et envisagent de mettre en place une normalisation autonome permettant la protection de toute la société russe.

Dans ce contexte, il semble impossible de rester sans réagir, notamment au moyen du chiffrement pour lequel la France est bien armée notamment du fait de son école de mathématiques. Mais l'esprit des chercheurs a malheureusement été pollué par la règle « publier ou périr ». Ceux qui font le choix d'aller travailler à la direction générale de l'armement à Bruz produisent de brillants algorithmes mais, de plus en plus, malheureusement, depuis que la France a réintégré le commandement militaire de l'OTAN, on devra utiliser des algorithmes américains. Les pays, notamment pour leurs armées, ont basculé massivement sur Windows et dépendent d'un contrat avec Cisco.

Un produit militaire va peut-être devenir un produit standard de chiffrement pour l'Europe : c'est le logiciel de chiffrement Acid mis au point par des mathématiciens français de la DGA. Mais, dans l'utilisation européenne de ce chiffrement par blocs, on sera obligé d'intégrer le standard AES fourni gratuitement par les États-Unis d'Amérique, ce qui constitue un diktat de fait. Actuellement, nous sommes victimes des normes américaines ou chinoises (comme le classement de Shanghai).

Comme l'a mentionné le sénateur Jean-Marie Bockel, il existe une frange importante de jeunes hackers qui constituent des ressources de premier ordre. Ils sont loin d'être des autistes et il serait intéressant de les écouter. La France possède l'avantage majeur d'avoir de nombreux jeunes brillants dans le domaine du numérique même s'ils ne sont pas les plus diplômés. Malheureusement, Google et d'autres sociétés étrangères sont actuellement en train de piller ce vivier de jeunes. Un sursaut national s'impose pour tirer parti de ces savoir-faire et de ces bonnes volontés. À l'étranger, les États-Unis d'Amérique ou Singapour les accueillent à bras ouverts.

Avant, le chiffrement supposait d'intercepter la transmission. L'arrivée de l'informatique a révolutionné cela. Snowden a révélé que c'étaient moins les algorithmes qui protégeaient, comme des sortes de portes blindées de systèmes informatiques, que la solidité des murs autour des portes, trop souvent aujourd'hui les équivalents de murs en carton. Dès lors, plutôt que de s'attaquer à la porte blindée, il est plus facile de découper le mur à l'aide d'un cutter. La plupart du temps, les normes américaines permettent d'extraire ce qui est sur l'ordinateur au moyen, par exemple, d'une porte cachée (backdoor) située sur le disque dur ou dans le système d'exploitation (firmware). Il faut donc avoir une vision globale de la sécurité incluant les portes et les murs.

Or, comme nous n'avons ni la maîtrise de l'informatique ni la maîtrise des systèmes d'exploitation fournis par l'adversaire, quand Microsoft fournit un antivirus, il peut faire ce qu'il veut, quand il le veut, sur nos systèmes.

Les processeurs contiennent des portes dérobées. Il faut savoir que leurs codes peuvent être changés à la volée, c'est ce que l'on appelle le microcode. La procédure même de sa mise à jour est opaque et non documentée. Pour l'essentiel, les processeurs sont de marque Intel. Les seuls processeurs, pas très puissants encore, mais sur lesquels on peut intervenir sont des processeurs ARM fondés sur des architectures RISC (Reduced Instruction Set Computer, microprocesseur à jeu d'instructions réduit) et développés par la société ARM Ltd.

À noter que le cryptage est une condition nécessaire mais non suffisante. Quand les ordinateurs sont commandés à des entreprises américaines, Snowden a révélé qu'ils pouvaient être piégés par la NSA (programme la section TAO - Tailored Access Operations - de la NSA).

La réglementation interministérielle (IGI 900) dit bien que, si l'on veut faire un système de sécurité rationnel, c'est un triptyque qui doit comprendre le chiffrement (la porte blindée), la sécurité informatique - la solidité du mur, la lutte contre les signaux parasites compromettants - c'est-à-dire que, si vous travaillez sur un ordinateur et que vous ne chiffrez pas vos informations, le matériel va rayonner et, en captant ce signal, on va pouvoir le traiter mathématiquement, à 150 m en propagation par air et jusqu'à 500 m par conduction. Si l'on travaille sur un ordinateur, on peut capter ses ondes grâce à un canal électrique ou à une conduite de chauffage ou de téléphone ; à ce moment-là des personnes peuvent récupérer l'information, par exemple, dans la chaufferie.

Les techniques sécurisées sont utilisées par les grands corps de l'État, qui savent que la cryptographie seule ne suffit pas, et comprennent la sécurité informatique au centre et autour incluant la gestion des personnels et des matériels. Le problème, c'est que tout est occulté sauf la partie cryptographie sur laquelle on se focalise. C'est très simple de mettre un virus dans un ordinateur ou de l'avoir fabriqué en y mettant des fonctions non renseignées ou non documentées dans le système d'exploitation ; au moment où vous saisissez la clé, on pourra la récupérer.

Le cryptage quantique pour l'instant se limite à la transmission sécurisée de clés aussi longue que le message et pas vraiment au chiffrement. On combine un masque de bruit à des données en clair à travers une transmission de données par flot. L'inviolabilité peut être garantie grâce à ce système, comme le protocole Brassard-Bennett. Le chiffrement quantique n'est pas encore tout à fait au point. Mais on peut garantir qu'il n'y a pas eu d'écoute. C'est ce que font les banques suisses qui ont beaucoup investi : elles ont été capables de faire des transmissions à faible débit jusqu'à environ 60 km.

Un problème d'implémentation se pose pour la transmission quantique. Or, des chercheurs norvégiens ont montré que, en éblouissant des photons, on pouvait faire des choix en termes d'attaque. Cela est un gain théorique important et très coûteux mais les débits ne sont pas encore au rendez-vous. Cette technologie est donc prometteuse mais entourée de beaucoup d'incertitudes.

Se pose la question de savoir si ce champ de recherche n'a pas été suggéré et favorisé par les Américains pour inciter les autres à engager des dépenses extraordinaires au détriment d'autres domaines de recherche prometteurs comme la cryptographie, sont à favoriser. La France a tous les mathématiciens pour le faire tout en accroissant l'incertitude chez l'adversaire. Il faut faire en sorte que les interceptions coûtent beaucoup plus cher aux États-Unis que la valeur du renseignement retiré. Le quantique serait le meilleur moyen d'épuiser les fonds en matière de recherche et d'empêcher d'aller explorer des champs finalement pas si prometteurs que cela.

Il faut acquérir à nouveau une indépendance conceptuelle en termes de mathématiques et ne plus dépendre de standards étrangers (comme l'AES). C'est le choix fait par les Russes avec l'algorithme GOST. Une vision plus large que celle de l'outil s'impose.

Il faudrait se trouver à nouveau dans la situation où sont actuellement les Américains, c'est-à-dire être à même d'imposer des normes - cela était la vision du Général de Gaulle. En effet, à travers ces normes, vous standardisez la pensée en obligeant à choisir un système dont on ne peut être sûr. Pour beaucoup de standards, l'absence de preuves d'insécurité est devenue une preuve de sécurité en soi, ce qui est particulièrement gênant.

De plus, si quelqu'un arrive à décrypter les algorithmes, opérationnellement un algorithme ou un standard de chiffrement, il n'ira pas publier sa découverte. Ce que savent faire les gens n'est pas forcément révélé dans ce domaine. Dans le domaine informatique, l'absence de preuve doit être prise avec beaucoup de précautions. L'école française de mathématiques devrait se demander s'il ne faut pas emprunter d'autres pistes en matière de recherche mais, au niveau international, il faut publier selon les thèmes qui ne sont jamais choisis par les Français. Je l'ai vécu en tant que chercheur : dans certains comités de programmes, dans certains domaines très sensibles, comme les fonctions booléennes ou la combinatoire des systèmes de chiffrement, on ne veut pas qu'il y ait des publications et tout le monde est amené à conduire des recherches selon l'orthodoxie américaine. À cet égard, un papier très intéressant a été publié par une Autrichienne, dans le domaine des mathématiques, modélisant les boites de substitution du Data Encryption Standard (DES), algorithme de chiffrement symétrique ou par blocs, mais on n'a plus jamais entendu parler d'elle. Or, un tel article était de nature à susciter beaucoup d'interrogations et de recherches. Les thèses différentes ou en rupture d'orthodoxie scientifique n'ont pas droit de cité.

Les Américains maîtrisent les revues internationales, les organismes d'indexation de celles-ci, d'évaluation ou de notation. C'est un jeu pervers qui concerne le contrôle des esprits. Un jeune chercheur doit publier pour exister, aller dans le sens de l'orthodoxie ; cela entraîne, peu à peu, le formatage des esprits ainsi qu'une orientation de la recherche.

À ce jour, pour un chercheur, accepter de mener des travaux de thèse classifiés (impliquant de ne pas publier) est un risque pour une future carrière universitaire.

L'industrie comprend un peu cette problématique, en particulier via le dispositif des thèses CIFRE (Conventions industrielles de formation par la recherche). À l'époque, j'avais proposé de mettre en place un vrai mécanisme de reconnaissance des études classifiées évaluées in fine par des ingénieurs de l'armement, en précisant que tel sujet était classifié mais que l'ANSSI pourrait néanmoins attester de la qualité du travail qui pourrait alors être reconnu comme valant telle publication de bon niveau ou dépôt de brevet ; ce certificat permettrait de dire qu'il s'agit d'un travail académique, scientifique de tout premier plan et donc de valoriser un dossier académique. À l'heure actuelle, ce mécanisme manque alors qu'il pourrait inciter les jeunes à choisir des sujets beaucoup plus intéressants tout en renonçant à publier.

Aux États-Unis d'Amérique, la politique de recrutement est complètement différente. La NSA fait passer une thèse en interne, ce qui est très pragmatique. Dans une conférence de hacking, les personnes appartenant à la NSA n'ont pas peur de porter un badge, de même que celles du NCIS, du FBI car l'esprit patriotique a une signification aux États-Unis. De la même manière, les personnes passées par la NSA ne craindront pas de le faire apparaître dans leur curriculum vitae.

En 2003, j'étais militaire et m'occupais de conférences consacrées à la sécurité, dont une sur les techniques de désassemblage, c'est-à-dire sur la manière de pénétrer les secrets d'un système informatique ou de programmes et j'avais repéré un jeune tout à fait brillant mais ne possédant « qu'un BTS ». Il était donc souhaitable que ce jeune demeure sous la tutelle de l'État, y fasse carrière, mais le niveau de salaire ridicule proposé - sur la base de son diplôme officiel et non de son potentiel - fait qu'il a été engagé par une société américaine et que, maintenant, il est dans une société russe. S'il avait été possible de lui procurer un salaire décent, il serait resté au sein de l'administration française. Des jeunes brillants comme lui existent en grand nombre dans notre pays.

Autre exemple, j'avais trois jeunes étudiants dans mon laboratoire qui ont mené, sous ma direction, une recherche dans un domaine de sécurité très pointu. Ce travail a rendu un grand service au Secrétariat général du Gouvernement (SGG) à propos de choix technologiques importants. Il était donc normal de récompenser ces étudiants par un moyen quelconque, comme une décoration. On pourrait imaginer une décoration spécifique pour cette catégorie de chercheurs ou, à tout le moins, de leur adresser des lettres de félicitations adaptées auxquelles ils seraient très sensibles. Tous les jeunes ne recherchent pas forcément la richesse mais une reconnaissance juste et méritée. Il faut restaurer le goût et la fierté de servir l'État chez les jeunes et ce, sans distinction de critères.

COMPTE RENDU DE L'AUDITION PUBLIQUE DU 16 AVRIL 2014 : ÉDUCATION AU NUMÉRIQUE

SOMMAIRE

INTRODUCTION

M. Bruno Sido, sénateur, président de l'OPECST

Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'OPECST

Tables rondes animées par M. Daniel Kofman, professeur à Telecom ParisTech, directeur du LINCS, membre du Conseil scientifique de l'OPECST

Première table ronde : L'éducation au numérique en milieu scolaire

Mme Catherine Becchetti-Bizot, inspecteur général de l'éducation nationale, directrice du projet stratégie numérique, Ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche

M. Pierre Léna, professeur émérite, membre de l'Académie des sciences, président et cofondateur de la Fondation de coopération scientifique pour l'éducation à la science « La main à la pâte »

Mme Sophie Pène, professeur en sciences de l'information et de la communication, Université Paris Descartes, membre du Conseil national du numérique

M. Pierre Ricono, chef du département Campus technologique, direction des éditions et du transmédia, Universcience

DÉBAT

 

Deuxième table ronde : L'éducation au numérique et à sa sécurité dans l'enseignement supérieur et dans la vie professionnelle

M. Jean-Marie Chesneaux, vice-président de la Conférence des directeurs des écoles françaises d'ingénieurs (CDEFI) et directeur de Polytech'Paris-UPMC

M. Gilles Dowek, directeur de recherche à l'Institut national de recherche en informatique et en automatique (INRIA)

M. Philippe Marquet, vice-président de la Société informatique de France (SIF)

M. François Germinet, président de l'Université de Cergy-Pontoise, président du comité numérique à la Conférence des présidents d'université (CPU)

DÉBAT

Troisième table ronde : Regards croisés sur d'autres approches du numérique

M. Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI)

M. Éric Delbecque, chef du département de sécurité économique, Institut national des hautes études de la sécurité et de la justice (INHESJ)

M. Gilles Dowek, responsable du secrétariat du groupe de travail sur le rapport de l'Académie des sciences « L'enseignement de l'informatique en France - Il est urgent de ne plus attendre »

DÉBAT

Introduction

M. Bruno Sido, sénateur, président de l'OPECST. - Avant de débuter cette audition, je voudrais plus particulièrement saluer toutes les personnalités qui ont accepté de participer à cette audition publique ainsi que les journalistes présents.

Dans le cadre d'une étude de faisabilité sur le risque numérique, permettez-moi de vous accueillir au Palais de Luxembourg, salle Médicis, pour un échange de vues en forme de table ronde. Mme Anne-Yvonne Le Dain, députée et vice-présidente de l'Office, est corapporteur de cette étude, ce dont je me félicite.

Ayant déjà réalisé à ce jour près d'une quarantaine d'auditions, il nous est apparu que la question de l'éducation au numérique était au coeur du risque numérique et de la sécurité des réseaux. C'est pourquoi nous avons sollicité chacun d'entre vous afin d'avoir un échange approfondi sur ce que pourrait être l'éducation au numérique, depuis la maternelle jusqu'à la maison de retraite. Le numérique a envahi nos vies à une vitesse sans cesse accélérée et il serait difficile, voire impossible, de nous en passer si jamais nous en avions le désir. Cependant, souvent, notre apprentissage des outils numériques s'est effectué « sur le tas » - si vous me passez l'expression - alors que, compte tenu de la technicité des nouveaux outils à notre disposition, il serait préférable d'en apprivoiser les possibilités à partir de l'acquisition d'une vraie culture numérique, complétée par l'apprentissage des outils numériques à maintenir au service de l'homme.

Mais je vais me garder d'anticiper davantage sur le contenu de nos débats.

Les échanges de cette matinée se dérouleront en trois parties, entrecoupées de trois débats. Pour les animer, j'ai fait appel à un membre du Conseil scientifique de l'Office, M. Daniel Kofman, qui est d'abord un spécialiste du numérique. En effet, parmi ses nombreux titres et qualités, il est professeur à Telecom ParisTech, directeur du LINCS, centre de recherche regroupant des universitaires et des industriels sur les technologies de l'information et de la communication. Il a mené des travaux de recherche dans le domaine des réseaux et des services numériques du futur, publié des ouvrages et de nombreux articles scientifiques. Enfin, il a cofondé deux sociétés dans le domaine des technologies, des télécommunications et de l'information. Je le remercie d'avoir accepté ce rôle difficile.

Sans plus attendre, je passe la parole à Mme Anne-Yvonne Le Dain, corapporteur de notre étude sur le risque numérique, qui souhaite également vous adresser quelques mots de bienvenue.

Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'OPECST. - Mesdames et Messieurs, merci de votre présence et de nous donner de votre temps, richesse essentielle pour chacun d'entre nous. Cette table ronde sur l'éducation numérique part du principe que le monde s'accélère. Aujourd'hui, le temps devient une constante instantanée. Nous ne supportons plus rien qui ne soit fait à la seconde, depuis que les smartphones nous mettent en connexion avec le monde entier. Les enfants possèdent des smartphones, ils communiquent de manière extrêmement rapide, ont inventé leur propre langage, une sorte d'alphabet phonétique très vivant, et sans interférences avec le monde des adultes, qui représente davantage celui de l'action que de la raison. Le temps de l'adulte est à la fois très rapide et très lent, à l'image de ce monde qui change.

Le numérique a bouleversé le monde, ce qu'ont pressenti les Américains depuis une vingtaine d'années alors que les débats actuels, au niveau européen, sont lents et difficiles. Une décision vient toutefois d'être prise dans ce contexte concernant la protection des données personnelles, mais cela représente le fruit d'une maturation de deux années. Deux commissaires européens sont impliqués et l'affaire Snowden a, tout à coup, accéléré le dispositif, occasionnant une inquiétude brutale quant à la protection des données personnelles. En effet, il est apparu que nous avons tous, collectivement et médiatiquement, réalisé que nos données étaient collectées, séquencées, découpées, exploitées et redistribuées dans des canaux filaires et virtuels. Ce monde de données fabrique une nouvelle économie, qui constitue en elle-même un risque.

Bien évidemment, nous sentons que le monde entier a changé et que la question de l'éducation numérique est fondamentale. Il faut s'en saisir immédiatement, d'autant que les enfants ont des appareils numériques dès la poussette grâce à Fisher Price : je le dis sous forme de boutade, mais c'est un fait.

La question qui se pose au législateur est d'interdire ou de permettre. Par ailleurs, le numérique, souvent vécu comme un risque, peut également constituer une opportunité.

Que devons-nous, que pouvons-nous faire dans un monde qui change et au premier chef par rapport à nos enfants qui utilisent le numérique intuitivement et sans connaissance ni mesure ? Dans ce monde, en matière d'éducation au numérique, la responsabilité du législateur est d'autoriser dans certains cas, d'interdire dans d'autres. En cas d'autorisation, il est nécessaire de déterminer comment instrumenter, à partir de quel âge, dans quels moments et pour quel usage.

Tables rondes animées par M. Daniel Kofman,
professeur à Telecom ParisTech, directeur du LINCS, membre du conseil scientifique de l'OPECST

Première table ronde :

L'éducation au numérique en milieu scolaire

M. Daniel Kofman. - Monsieur le président, madame la vice-présidente, mesdames et messieurs, bonjour.

Il fut un temps où l'écriture était une technologie innovante. Aujourd'hui, elle est immergée dans nos vies et nous savons à quel point elle a révolutionné notre civilisation.

De même, le numérique est immergé dans la vie des citoyens et des entreprises. Il s'agit d'une technologie souvent imperceptible, mais qui, d'ores et déjà, a induit des bouleversements, tandis que d'autres sont à venir.

On parle de quatrième révolution industrielle, alors que des évolutions profondes sont en marche.

Le numérique apporte de nouveaux concepts, mais également de nouvelles formes de pensée. De même que l'écriture a changé le mode de raisonnement, le numérique induit de nouvelles formes de création. La France et l'Europe doivent conserver un rôle de premier plan en la matière et je suis convaincu de la nécessité d'un besoin de formation accru : formation aux usages, aux risques, et surtout formation des acteurs qui créeront le monde de demain grâce à ces nouvelles technologies.

La première table ronde sur l'éducation numérique en milieu scolaire nous permettra d'aller bien au-delà de la notion de programmation, terme extrêmement réducteur en ce qui concerne l'éducation au numérique.

M. Bruno Sido. - La première table ronde réunira Mme Catherine Becchetti-Bizot, inspectrice générale de l'éducation nationale, directrice du projet stratégie numérique au ministère de l'enseignement supérieur et de la recherche ; M. Pierre Léna, professeur émérite, membre de l'Académie des sciences, président et cofondateur de la Fondation de coopération scientifique pour l'éducation à la science « La main à la pâte » ; Mme Sophie Pène, professeur en sciences de l'information et de la communication à l'Université Paris Descartes, membre du Conseil national du numérique ; M. Pierre Ricono, chef du département Campus technologique, direction des éditions et du transmédia d'Universcience.

Mme Catherine Becchetti-Bizot, inspecteur général de l'éducation nationale, directrice du projet stratégie numérique, ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche. - Je vous remercie, monsieur le sénateur et madame la députée, de m'avoir invitée à participer à cette table ronde, qui se situe au coeur de mes préoccupations. J'ai bien compris que vous souhaitiez avoir mon point de vue sur la nécessité d'introduire à l'école ce que vous dénommez la « culture du numérique » et non, je le note, « l'éducation au numérique », ou « l'enseignement du numérique ». Il s'agit d'un choix tout à fait intéressant, sur lequel je reviendrai au cours de ma présentation.

Cette nécessité de former de jeunes utilisateurs responsables et conscients dans l'usage des réseaux connectés, sera exposée au travers de mon point de vue - avec toutes les réserves que cela suppose - et non celui, officiel, du ministère de l'éducation nationale. Je le précise, même si bien sûr, dans mes fonctions actuelles, la question des réseaux et de la protection des données est centrale et si je suis amenée à contribuer à la réflexion générale et à la mise en place de stratégies dans le cadre de la loi de refondation de l'école de juillet 2013.

Cette loi de 2013 met en avant les responsabilités de l'école face au développement rapide des usages du numérique en classe et fait obligation de repenser en conséquence les programmes d'enseignement, les méthodes pédagogiques, les modalités d'apprentissage des élèves, les modes d'évaluation et la formation des enseignants qui en découle. Il s'agit d'une mission très importante de refonte et de redéfinition confiée au Conseil supérieur des programmes (CSP), dont il ne m'appartient pas de dire ce qui émergera des travaux, auxquels participent des parlementaires. Ce conseil doit travailler en toute indépendance, tout en s'appuyant sur des consultations et des expertises.

Toutefois, il est important de souligner que le ministre a clairement mandaté, dans sa lettre de mission, M. Alain Boissinot, président du Conseil supérieur des programmes, pour intégrer les transformations nécessaires induites par l'introduction des outils numériques à l'école, réfléchir aux nouvelles compétences et connaissances à faire acquérir aux élèves pour qu'ils ne soient pas de simples consommateurs, mais, d'une part, des personnes conscientes des contraintes éthiques, juridiques et sociales dans lesquelles s'inscrit l'utilisation du numérique et d'Internet, et, d'autre part, des individus autonomes dans l'utilisation de ces outils, c'est-à-dire maîtres des nouveaux langages, producteurs eux-mêmes et créateurs et designers de leur savoir.

Dans ce nouveau contexte, le CSP transmettra des propositions de programmes. Je souhaite toutefois rappeler que, d'ores et déjà, le ministère de l'éducation nationale a beaucoup avancé, ces derniers temps, dans la prise en compte du numérique comme objet d'enseignement et pas simplement comme un outil au service de pédagogies plus traditionnelles et sans doute moins adaptées aux attentes et à l'environnement culturel des jeunes d'aujourd'hui, tels que vous les avez décrits.

M. Vincent Peillon a fait inscrire, dans la loi du 8 juillet 2013 de refondation de l'école, la création d'un service public du numérique éducatif, de même que l'obligation d'une éducation aux médias et à l'information (article 4) au niveau du collège, éducation qui vise à préparer les élèves à vivre et à travailler en citoyens responsables dans la société de l'information et de la communication. Cette inscription dans la loi constituait une première, symboliquement très forte. L'éducation aux médias et à l'information comporte des éléments de compréhension, à la fois techniques, économiques et sociologiques des médias numériques, et aussi l'approche des processus qui sous-tendent tous ces objets et Internet.

Au ministère, de plus en plus d'acteurs et d'experts s'accordent pour promouvoir une approche pluridisciplinaire de l'éducation au numérique. Ils convergent de même sur la recherche de modalités d'enseignement fondées sur la pédagogie de projet, sur des démarches créatives et collaboratives mettant en activité les élèves avec ces outils.

Pour ma part, mon point de vue est avant tout celui d'une inspectrice générale de lettres, qui s'est toujours intéressée au décryptage des textes, à l'analyse rhétorique, c'est-à-dire à la recherche des intentions et stratégies et de l'écriture masquée qui se cachent sous les formes visibles de textualité. Je me suis également beaucoup intéressée à la relation entre technologie et écriture, c'est-à-dire à la manière dont tout nouveau support technique écrit, depuis la tablette d'argile jusqu'à la tablette tactile, en passant par le rouleau, le codex, le livre imprimé, l'écran d'ordinateur, conditionne nos manières d'écrire, de penser, de comprendre le monde et de vivre en société. C'est pourquoi j'apprécie particulièrement que vous ayez posé la question en termes de culture du numérique et non simplement en termes d'éducation à l'information ou d'enseignement du numérique. En effet, je pense que ce serait mal poser le problème que de le réduire ainsi, et ce changement de terminologie était important.

L'informatique était, à l'origine, une branche des mathématiques qui s'est ensuite autonomisée, constituée en sciences, pour devenir une industrie et qui aujourd'hui, beaucoup plus qu'une technologie, est devenue l'écosystème culturel dans lequel nous vivons. Cette culture impacte très largement tous les secteurs de notre vie quotidienne, notre rapport au savoir, nos relations sociales, nos modes d'échanges et de travail, nos organisations et notre système de représentation.

Par conséquent, la substitution du terme « numérique » au terme « informatique » reflète bien le passage d'une technologie à une culture. C'est ce qui s'est passé au moment de l'invention de l'imprimerie.

Aujourd'hui, le numérique constitue « la nouvelle forme industrielle de l'écriture », ainsi que l'exprime M. Bernard Stiegler et il est nécessaire de l'introduire à l'école parmi les apprentissages fondamentaux. Il s'agit d'une compétence transversale et du socle commun de compétences et de connaissances. Je sais que M. Alain Boissinot partage cette vision, qui doit traverser toutes les disciplines et relever de la responsabilité de l'ensemble des enseignants, pas simplement les spécialistes. Les enseignants devront être formés dans la conception et la mise en oeuvre de cette responsabilité nouvelle, chacun dans sa discipline, pour introduire cette compréhension du média numérique et de ses usages, dans ses dimensions diverses : sociales, économiques, éthiques, juridiques, et bien sûr techniques... Cette conscience devrait s'accompagner, à mon sens, d'une connaissance des langages permettant d'utiliser les nouveaux instruments de notre culture.

Comme vous le constatez, je prends le parti d'une approche globale et intégrée de la culture numérique, qui me semble bien correspondre aux objectifs de l'école publique et républicaine et qui n'est pas contradictoire avec le fait d'approfondir par ailleurs, dans certaines filières et à certains moments de la scolarité, l'enseignement de l'informatique. C'est d'ailleurs déjà le cas dans l'enseignement général au lycée, puisque nous avons créé, depuis deux ans en Terminale S, un enseignement Informatique et sciences du numérique (ISN). Cet enseignement propose aux élèves, entre autres, une introduction à la science informatique, information numérique, algorithmes, langage et architecture. Il doit être étendu aux autres séries générales (littéraire et économique et sociale), avec les adaptations nécessaires au public des élèves, et les professeurs sont formés dans ce sens.

En deuxième lieu, le brevet informatique et Internet (B2i) est en cours de rénovation, tout d'abord au lycée, puisque ce B2i intègre désormais la culture numérique. Par exemple, le domaine I (« travailler dans un environnement numérique évolutif ») est résolument tourné vers la maîtrise des pratiques informatiques, avec les notions de paramétrage. Il permet par exemple d'identifier « les enjeux associés aux modes de codage et de programmation (diversité de programmations, open-source, etc.) ». En ce qui concerne le B2i Écoles et Collèges, il doit être rénové à son tour pour aller dans le sens du développement de la créativité numérique des élèves. De même, on peut supposer que le Conseil supérieur des programmes fera évoluer l'enseignement de la technologie dans le sens d'une intégration des évolutions de l'informatique et des besoins de la société.

Au-delà de ces enseignements spécifiques, l'ambition de l'école est bien d'assurer son rôle de formation générale de l'être humain et du citoyen, et, en particulier, le développement de son esprit critique. La réponse de l'école au risque d'un usage dévoyé du numérique est une réponse résolument éducative, et non uniquement sécuritaire, pour répondre à votre question en introduction, madame la députée. Une telle réponse passe sans doute par l'acquisition de connaissances et de compétences nouvelles, nécessaires à l'indépendance et l'autonomie des usagers.

Le tout va dans le sens d'un rapprochement des disciplines entre elles et vers plus de transversalité dans l'approche pédagogique, plutôt que dans la création d'une nouvelle discipline scolaire. Je rappelle, en effet, que les enfants ont vingt-quatre heures de cours par semaine et il me semble que la création d'une discipline supplémentaire alourdirait l'enseignement.

L'acquisition d'une culture du numérique à l'école ne se fera pas sans une transformation profonde de l'organisation des temps et des espaces scolaires ainsi que des modalités d'enseignement. Elle ne pourra pas non plus intervenir sans l'engagement des élèves dans des projets interdisciplinaires et leur participation à la construction de leur propre savoir. C'est ainsi que j'envisage l'évolution des programmes de l'école. Cette acquisition d'une culture numérique ne pourra pas non plus être envisagée sans un déplacement du rôle du professeur qui doit apprendre aux élèves à structurer le flux d'informations qui circulent et leur faire prendre conscience que la connaissance n'est pas une marchandise ordinaire, vouée à la logique industrielle et commerciale, comme le dit M. Bernard Stiegler. La connaissance doit se construire et se structurer dans une appropriation et un usage bien compris des supports de transmission et de production du savoir.

En conclusion, je retiendrai concrètement trois axes pour l'acquisition de la culture numérique et la protection des élèves de toutes les manipulations :

- apprendre à gérer, traiter, organiser et évaluer les informations qui arrivent en flux permanent ;

- apprendre à produire eux-mêmes de l'information et à la diffuser, en respectant un certain nombre de règles : il s'agit de créer, échanger, participer, designer, collaborer à la construction des savoirs en utilisant les outils technologiques et en gérant leurs profils et données personnelles ;

- comprendre les médias numériques dans leur fonctionnement global pour acquérir la distance critique suffisante : comprendre l'économie des médias, leur organisation, leur architecture, leur stratégie, de même que les processus par lesquels se structurent l'information, les langages et les codes qui sous-tendent, les algorithmes qui la traitent. Il s'agit finalement d'apprendre aux élèves à manipuler eux-mêmes ces langages pour en faire les instruments de leur expression et de leur pensée.

Je me situe finalement dans une approche humaniste et non seulement techniciste des médias numériques. Elle me semble possible et plus ambitieuse qu'une simple éducation à l'informatique. Elle nécessite que nous envisagions au premier chef la formation de l'individu, que nous repensions la pédagogie dans le sens du développement de l'enfant et du citoyen.

M. Pierre Léna, professeur émérite, membre de l'Académie des sciences, président et cofondateur de la Fondation de coopération scientifique pour l'éducation à la science « La main à la pâte ». - Monsieur le président, madame la vice-présidente, merci infiniment de m'avoir invité ce matin. Je ne suis pas un spécialiste de l'éducation numérique, mais vous m'avez sollicité au titre de l'action conduite par l'Académie des sciences depuis près de vingt ans, « La main à la pâte », qui nous a amenés à rencontrer un certain nombre de problèmes similaires à ceux connus aujourd'hui par l'enseignement du numérique : sans doute peut-on en extrapoler quelques résultats. Vous avez intitulé votre table ronde « Le risque numérique ». Il existe effectivement plusieurs catégoriques de risques :

- le risque encouru par les enfants et les adolescents devant les réseaux et les écrans : je ne l'évoquerai pas, puisque l'Académie des sciences a formulé un avis assez considérable il y a un an, « L'enfant et les écrans », qui a d'ailleurs connu un écho retentissant dans le public et la presse et qui montre à quel point, dans notre pays, les parents, les éducateurs sociaux, les médecins, les psychologues, sont sensibles à cet aspect du risque ;

- le risque que notre école manque la révolution de l'histoire, que représente le numérique, avec toutes les conséquences que cela implique pour l'avenir professionnel des jeunes et la culture ;

- le risque pour l'économie du pays.

Pendant les dix-huit années passées, « La main à la pâte », en lien très étroit avec les ministères mais en se situant à l'extérieur du système éducatif, a entendu transformer l'enseignement des sciences expérimentales au collège et au primaire pour tous les élèves, avec l'objectif de citoyenneté. La pédagogie a été progressive et active dès l'école primaire, avec la nécessité d'accompagner les professeurs, d'autant que beaucoup d'entre eux, à l'école primaire, n'avaient des sciences qu'une vision limitée. Au collège, le cloisonnement disciplinaire déjà souligné par l'Office dans son récent rapport sur la culture scientifique n'était pas non plus idéal. L'objectif de mutualiser et de partager les succès a été suivi par toutes sortes de méthodes. Le parti a également été pris de ne pas se limiter au niveau national et de profiter des liens très étroits des académies des sciences entre elles, pour travailler au plan européen et même international.

Il a été caractéristique d'amener des professeurs à envisager autrement les sciences de la nature et de l'observation. Finalement, le problème est assez semblable pour le numérique car il est nécessaire de convaincre les professeurs, dont les parcours professionnels sont très différents, de regarder autrement ce monde qui surgit.

J'articulerai ma réflexion autour de cinq points : la science informatique ; les technologies de l'information (TIs) ; les champs de créativité pour les élèves ; les manuels numériques et le développement professionnel des enseignants.

À propos de la science informatique, le rapport de l'Académie des sciences sur « Faut-il enseigner l'informatique » et dont M. Gilles Dowek a été la cheville ouvrière avec d'autres, est le produit d'un très important travail de l'Académie, dont M. Gilles Dowek vous reparlera tout à l'heure.

Au fond, le rapport est construit sur les quatre idées centrales qui structurent cette science informatique aujourd'hui : algorithmes, machines, langage et information. Chacune de ces composantes existe depuis des centaines d'années voire davantage, mais c'est leur convergence autour de technologies, langages et algorithmies nouvelles, qui fait la puissance de la science informatique aujourd'hui.

Il est possible - et il s'agit de la thèse du rapport que je reprends ici, tout en fait en consonance avec les propos de Mme Becchetti-Bizot - de commencer une entrée dans cette science dès l'école primaire. On y retrouve un certain nombre de compétences et de culture : créer un matériel, modéliser, entrer dans le langage formel, traiter des données, abstraire, rechercher des invariants dans un problème, interagir avec un objet matériel et finalement conduire un projet.

En ce qui concerne les technologies de l'information (TIs), je serai très bref sur cet aspect, sur lequel le ministère de l'éducation nationale a accompli une action importante depuis dix ans, notamment avec le brevet informatique. Ce n'est pas à mes yeux l'aspect le plus important car les jeunes sont en général beaucoup plus rapides et efficaces que nous sur l'utilisation basique de l'outil. De plus, en se limitant à l'utilisation, il est, en outre, certain que nous amputons le contenu même de ce que doit être l'éducation au numérique.

Pour revenir au point précédent, je rapporterai une question sur laquelle nous avons été consultés par le Conseil supérieur des programmes et M. Alain Boissinot : faut-il mettre cet enseignement de la culture numérique dans le socle commun de compétences et de culture. Si oui - ce que nous pensons indispensable - qui peut l'enseigner ? Est-il nécessaire de former des professeurs spécialisés pour une nouvelle discipline informatique, ou bien existe-t-il une alternative ?

Cette dernière reviendrait à considérer que tous les professeurs, quelle que soit leur discipline, deviennent soudain qualifiés sur l'impact de la culture numérique dans la conception même, intellectuelle et abstraite, de leur discipline. Cela peut s'appliquer au français, avec l'utilisateur du correcteur d'orthographe, ou à l'histoire et l'utilisation des bases de données, ou encore la géographie et l'utilisation des systèmes cartographiques de Google, ou même la physique, avec la simulation numérique, etc.

Les débats à l'Académie des sciences ont été nombreux et les arguments ont été présentés en faveur de l'un ou l'autre de ces aspects. Personnellement, je pencherais pour la solution de faire percoler l'enseignement du numérique et de l'informatique dans l'ensemble des disciplines, mais son corollaire particulièrement aigu est celui de la formation continue des professeurs. En effet, il ne faut pas sous-estimer le coût que représente une telle formation à grande échelle. Aussi est-il sans doute raisonnable d'inclure l'informatique dans le socle commun, comme un objectif contraignant à terme, mais que des étapes soient prévues, à la condition qu'un très important programme de formation continue des professeurs soit lancé. La formation doit être continue car il me paraîtrait déraisonnable de ne former que les jeunes professeurs issus de l'école, en laissant les 800 000 professeurs en fonction hors du champ de la transformation de leur pédagogie.

Au sujet du point essentiel de la créativité des élèves et de la transformation de leur mode d'accès au savoir, il est à noter que l'enseignement des langues est bouleversé par la traduction automatique de grande qualité qui émerge depuis quelques années et qui rendra bientôt dérisoire l'exercice de la version ou du thème. Cette nouvelle articulation des outils et des savoirs est une opportunité formidable de créativité, qui ne saurait toutefois se développer sans être guidée par le professeur.

Quant aux manuels numériques, les éditeurs sont les premiers intéressés, étant précisé qu'il existe plusieurs sortes de manuels. Pour moi, un manuel vertueux est celui qui guide l'élève, ou le professeur, de manière précise, dans le cheminement sur Internet. Nous savons tous que pour préparer un sujet, nous pouvons aller puiser dans l'immense réservoir que représente Internet, mais que la manière de le faire et la sélection que nous en retenons, sont en fait extrêmement complexes. En réalité, pour nous guider dans cette complexité, nous avons besoin de tous nos savoirs antérieurs. Le manuel numérique doit aider l'élève comme le professeur dans cette exploration, par une construction en couches, et je crois que nous n'avons aujourd'hui que très peu d'exemples de bons manuels.

Enfin, la question du développement professionnel des enseignants est située au coeur du sujet et « La main à la pâte » a mesuré la complexité d'accompagner ce développement. Dans la plate-forme Magistère du ministère de l'éducation nationale, nous mettons en place un premier Massive Open Online Course (MOOC), « Vivre la science en classe », qui sera destiné à des milliers d'enseignants de l'école primaire et relatif à l'enseignement scientifique. Ce MOOC sera disponible dans les neuf Maisons pour la Science au service des professeurs, que j'ai déjà eu l'occasion de présenter à votre Office il y a quelques mois et qui constituent le lieu où faire entrer le maximum de professeurs. Après huit ans d'existence à la fin de l'année 2008, ces Maisons auront touché plus de 60 000 enseignants et nous avons bien l'intention de faire entrer l'informatique dans l'offre.

Ce dernier point est absolument central et constitue probablement le seul moyen d'accompagner à des coûts raisonnables le corps professoral des collèges qui est très diffus sur le territoire alors que celui des lycées est relativement concentré dans les villes moyennes et les grandes villes. De ce fait, un grand nombre de ces professeurs de collèges sont très isolés, même s'ils sont bien suivis par leurs inspecteurs pédagogiques régionaux. Pour autant, les contenus demandent sans doute d'autres modalités d'accompagnement, pour lesquelles le monde du numérique offre une chance exceptionnelle.

Mme Sophie Pène, professeur en sciences de l'information et de la communication, Université Paris Descartes, membre du Conseil national du numérique. - J'évoquerai en premier lieu les risques les plus couramment décrits pour les enfants : le risque d'être exposé à des images dégradantes, de manipulation psychique, de spoliation d'identité, les risques concernant les données personnelles ainsi que ceux d'escroquerie qui s'ensuivent, le risque d'addiction... En réalité, les risques concernant les plus petits (de six à douze ans), au moment où ils grandissent combinent l'insécurité informatique, les mauvaises rencontres et les fragilités psychiques. Le pari, qu'il est possible de faire, est que personne ne peut prémunir les enfants contre ces risques, sinon eux-mêmes. L'une des premières raisons à l'éducation à la littératie numérique, combinant une littératie informationnelle et une littératie technique, est effectivement d'atteindre l'objectif placé dans le socle : la responsabilité face aux objets informatiques. Cette éducation, non pas défensive, mais visant à faire en sorte que les enfants comprennent que sous le texte, est le code, semble une nécessité.

Néanmoins, je me situerai dans une perspective quelque peu emphatique, pour dire qu'il est malgré tout difficile de prétendre préparer les enfants à leur environnement de travail, puisque celui-ci nous est encore inconnu à l'horizon de dix ans. Nous ne savons donc pas à quoi nous les préparons, mais nous savons qu'il faudra une imagination hors du commun aux générations à venir pour dépasser les risques qu'ils vont affronter : risques énergétiques, économiques, écologiques, démographiques, alimentaires... Il s'agit alors de se demander comment une culture digitale, informationnelle et informatique précoce, rendra ces enfants aptes à affronter ces difficultés.

De plus, la puissante économie de services que nous avons bâtie après notre société industrielle, va elle-même subir des chocs très rapides et violents, avec la montée en puissance de l'intelligence artificielle et de la robotique. Nous savons que de nombreux emplois, aujourd'hui présentés comme désirables à nos enfants, vont disparaître. Parmi ceux-ci, les métiers d'intermédiaires sont concernés et on parle non seulement du commerce mais également des avocats, ou des professeurs. Nous savons en tous cas que ces métiers vont se reconfigurer très profondément et qu'il en restera ce que nous pourrons collectivement définir comme leur part créative irréductible. Par exemple, en médecine, si les médecins n'analysent pas ce qui est précieux dans leur rapport singulier au malade, leur métier disparaîtra au service d'une mise en concurrence avec des bases Internet. Il en sera de même pour les professeurs.

Tel est donc le contexte futur, tracé à traits grossiers, mais faisant entrevoir que peut-être seulement 30 % des enfants d'aujourd'hui auront des emplois proches des représentations actuelles du travail. Il leur faudra donc beaucoup de créativité pour vivre dans une économie très différente, où la part du non-marchand sera importante, avec un entreprenariat social hors des circuits directs de la monnaie. La création de la valeur en dehors de circuits monétaires constituera un enjeu pour eux.

Je me centrerai à présent sur la manifestation qui a eu lieu, il y a une quinzaine de jours, réunissant le CNAM, l'INRIA et Cap Digital, dénommée « Décoder le code », et qui a réuni un impressionnant écosystème associatif, avec une participation importante de professeurs.

Ce tissu associatif est aux portes de l'école et prend en charge des enfants à partir de cinq ou six ans en développant une culture de la programmation. Il leur explique qu'il s'agit de machines et qu'ils doivent apprendre à les faire agir. Le code est découvert et traité comme un objet de lecture. Il s'agit également de comprendre et connaître les limites de la pensée algorithmique et de prouver que l'informatique sert à fabriquer ensemble, que le droit à l'erreur existe, que plus on fait d'erreurs et plus on apprend. Ce faisant, on entre dans une culture de la coopération, de la formation de pair à pair, de la contribution et de la transformation constante des objets, mais également de l'interrogation critique et du respect des matériaux. Le tout est fondé sur des techniques très simples, qui permettent de fabriquer en un après-midi des objets connectés dans une ambiance de jeu, où les parents sont présents et apprennent avec les enfants.

Ces pratiques sont issues des cultures de hackers informatiques et artistes. Les enfants se forment à une informatique « frugale » qui les rend heureux et leur ouvre les portes d'un monde de « bâtisseurs de possibles ».

Pour être plus précise, j'effectuerai la synthèse du point de vue d'une vingtaine d'intervenants. Cette formation précoce agit sur les modes d'attention, sur la capacité d'autonomie et pourrait donc compenser certaines difficultés rencontrées par l'école, liées à une certaine démotivation. De six à huit ans, les instructeurs stimulent en priorité la logique et cherchent la manifestation immédiate d'une efficience logique sur des objets visibles. Sont ainsi construites des expériences de référence et une base conceptuelle.

De huit à dix ans, les enfants travaillent très volontiers sur des projets répétitifs, mais il convient de leur donner des schémas simples car ils ne travaillent pas chez eux.

De onze à quatorze ans, l'engagement est très passionné et peut continuer à la maison sans instructions. Toutefois, la puissance de la vie sociale et des amitiés nécessite de trouver des projets qui combinent les deux.

À partir de la classe de troisième, les enfants sont tout à fait capables de construire des systèmes intelligents et complexes, par exemple en domotique.

Le bilan des valeurs attachées à cet enseignement précoce aboutit à divers constats d'apprentissages chez les enfants : le sens de ce que sont les langages ; la beauté des matériaux et des machines ; le plaisir de faire et de créer ensemble ; l'attraction que représente le fait d'obtenir le résultat d'un travail collectif, qui peut se reconfigurer et s'améliorer sans cesse ; la pédagogie de projet et, enfin, l'immersion des enfants dans des stratégies cognitives de leur époque.

Pour notre culture, on peut dire que les valeurs de créativité, de solidarité et de réflexivité, trouvent là un terreau favorable qui sera ensuite repris par l'école. De même, les ingénieurs et chercheurs qui étaient présents, ont affirmé que cette formation précoce des enfants, donnerait des ingénieurs très différents, c'est-à-dire sensibilisés au code mais également aux arts et à l'humanisme. Dans un monde où la robotique et l'intelligence artificielle prennent une place de plus en plus importante, il est bien évident qu'il s'agit d'un très considérable enjeu sur la façon dont les dispositifs seront conçus, utilisés. En d'autres termes, la part politique d'analyse, dépendra beaucoup des profils et des sensibilités des ingénieurs qui seront formés demain, dont les chercheurs eux-mêmes disent qu'ils sont aujourd'hui trop « monoculture ».

En tout état de cause, l'alliance vertueuse entre les associatifs et les professeurs se créé encore aux portes de l'école et nous en connaissons la raison.

Je terminerai en disant que M. Bastien Guerry a réalisé une carte de France collaborative de toutes les personnes engagées dans ces actions et qui se proposent comme des ressources. Cette informatique transformera non seulement les métiers mais aussi les disciplines et les façons de travailler de la recherche, et nous voyons dès lors l'importance de commencer très tôt.

M. Pierre Ricono, chef du département Campus technologique, à la direction des éditions et du transmédia, au sein d'Universcience. - Bonjour à toutes et à tous. Je représente Universcience, entité née de la fusion du Palais de la Découverte et de la Cité des Sciences. C'est Mme Claudie Haigneré, sa présidente qui avait été invitée à évoquer aujourd'hui le sujet de l'éducation au numérique en dehors de l'école, dans les musées. Aujourd'hui, le numérique dans un musée, est omniprésent et se développe le plus à travers les jeux vidéo et la fabrication numérique. Les imprimantes 3D permettent de concevoir et de fabriquer directement un objet, de sorte que nous nous trouvons face à une nouvelle révolution liée au numérique à travers la relocalisation de la production.

En tant qu'institution muséale qui contribue à la diffusion de la culture sciences et techniques, j'évoquerai l'évolution de l'espace multimédia de la Cité des sciences, consacré depuis 2001 aux apprentissages du numérique. Les cinq mille espaces publics numériques ouverts, entre 2000 et 2010, en France avaient justement pour vocation de combler les divers « fossés numériques ». La Délégation aux usages d'Internet (DUI) coordonnait les actions de plusieurs labels (Cyberbase, ECM, EPN, Netpublic...). Avec l'aide de la Caisse des dépôts et des consignations, nous avons ouvert une Cyberbase au sein de la Cité et contribué à former plus de mille animateurs multimédia. Ces derniers ne sont pas des formateurs ni des enseignants, mais des passeurs destinés à faciliter les apprentissages de base et les nouveaux outils tels que l'ordinateur et maintenant ceux liés à la fabrication numérique.

En 2005, grâce à des financements européens, nous avons transformé l'espace public numérique, labellisé Cyberbase tout en continuant de combler les fossés numériques, dans la mesure où certaines personnes effectuaient encore cinquante ou soixante kilomètres pour venir chez nous apprendre ce qu'est un ordinateur ainsi que les logiciels de base. Notre vocation consiste également de ne pas mettre l'accent sur un logiciel particulier, mais de populariser à la fois l'informatique propriétaire et l'informatique libre.

Depuis 2005, la Cyberbase est devenue un carrefour numérique, c'est- à-dire un lieu dans lequel les artistes et les créateurs ont la possibilité d'exposer leurs oeuvres. De même, nous sommes passés d'activités permettant la réduction des fossés numériques, à celles favorisant la création de sites web, de blogs ainsi que d'un certain nombre de projets collaboratifs et participatifs.

Depuis 2013, avec l'irruption de la fabrication numérique, principalement grâce au MIT qui a réfléchi au concept de Fab Lab, nous mettons à disposition de nos visiteurs des machines telles qu'imprimantes 3D, découpeuses lasers, qui leurs permettent désormais de répondre à leurs besoins quotidiens de réparation ou de prototypage d'objet. Par exemple, si la poignée de mon réfrigérateur est défectueuse, plutôt que de racheter un autre appareil complet, je dessine moi-même la poignée exactement adaptée et je la fabrique grâce à l'imprimante 3D dans un Fab Lab.

En matière de jeux vidéo, nous avons organisé l'an dernier la première convention MineCraft - sorte de jeu de Lego - dans laquelle les joueurs peuvent participer, seuls ou en réseau à la création d'une ville à partir de rien. La démarche est itérative et intéressante. De plus en plus, il est constaté que ces outils entraînent un copartage, qui va dans les deux sens. Les jeunes utilisateurs ont des habiletés que les plus anciens n'ont pas, ce qui créé de la cogénération de contenu à partir de besoins propres, et les rôles se mélangent finalement davantage.

Trois expériences conduites cette année illustrent ces nouvelles tendances :

le projet One Laptop Per Child : des ordinateurs très bon marché sont démontés pour que les utilisateurs en comprennent les principaux constituants. Le but est de former des utilisateurs responsables et parties prenantes dans les choix de nos sociétés. Les personnes de cette association en partenariat avec nous montrent comment, avec des ordinateurs très basiques et une informatique libre, se créent de nouvelles formes d'échanges entre enfants et parents.

Beta testeurs de jeux vidéo à seize ans : il s'agit, pour les enfants, de donner leur avis à toutes les étapes du process de création d'un jeu vidéo, dès la phase de conception. Des doctorants du CNAM travaillent actuellement à un nouveau type de jeu vidéo, et, pour notre part, nous impliquons nos visiteurs comme Beta testeurs et ceux-ci sont réinvités un mois plus tard pour voir si leur avis a été pris en compte. Cette démarche d'innovation, ouverte et remontante constitue une occasion d'aider la recherche et de rendre les futurs acteurs davantage contributeurs et de prendre en compte leurs propositions et leur actions.

Loungeshare : des matériaux recyclés sont mis à disposition d'adolescents et de jeunes adultes, réunis pendant quarante-huit heures par équipes de trois avec la présence d'un designer, pour réaliser du « sur cyclage », c'est-à-dire un objet-mobilier ayant des qualités et un contenu beaucoup plus riche que le matériau de départ. Il s'agit par conséquent de nouvelles formes de pratiques, dénommées des hackathons, c'est-à-dire des marathons se déroulant tout au long d'une fin de semaine dans le but de bricoler, détourner des usages et fabriquer ensemble un objet.

Dans le même esprit, a été organisé, la semaine dernière, le Space apps Challenge, à l'origine créé par la NASA. Cette manifestation consiste à réunir des jeunes pour développer un objet, une application, un service, etc., qui sera primé par la NASA, en raison de son apport estimé à la conquête spatiale. Ces jeunes sont donc mis en position d'être chercheurs et contributeurs. Une vingtaine de propositions ont été réalisées et le premier prix a été attribué à une serre flexible pour la planète Mars.

Pour conclure, il convient de souligner que l'importance de l'éducation numérique dépasse le strict cadre de la technique, pour intégrer les nouvelles formes d'apprentissage, de contributions participatives issues de l'univers des jeux vidéo et des pratiques d'intelligence collective qui les entourent. Ceux-ci servent en effet réellement de moteurs dans les acquisitions de base, dans toutes les disciplines.

Éduquer, c'est quitter la position frontale de l'enseignant comme source unique de savoir ou de savoir-faire, avec l'idée de cogénération de contenus, tout en laissant sous-jacente la notion d'erreur constructive. Il est souhaitable que, à l'avenir, chaque visiteur d'une institution muséale puisse un jour apporter sa touche personnelle et laisser une trace de son passage lors de sa venue.

M. Daniel Kofman. - Pour ouvrir le débat, j'ai retenu quatre points.

En premier lieu, le monde numérique requiert une approche holistique, dans une logique pluridisciplinaire recouvrant les sciences, les technologies, mais également les aspects juridiques, sociétaux, éthiques et économiques. Il faut comprendre le fonctionnement des acteurs, pour mieux envisager les risques. Dans ce contexte, la première question est de savoir s'il existe en France un risque d'illettrisme numérique. Quelles sont les urgences, au regard de l'ensemble de ce qui a été exposé ? Nous avons également évoqué l'éducation, versus l'approche sécuritaire, et je suis personnellement tout à fait favorable à la première optique.

En deuxième lieu, j'ai retenu le point lié à la connaissance et au développement de l'esprit critique. Trop d'informations risque d'amoindrir la connaissance et d'affaiblir la capacité créative, et le risque est bien réel, d'une part, pour parvenir à distinguer la qualité et, d'autre part, à repérer les mécanismes qui permettent de transformer cette information en connaissance. Parfois, cette transformation s'effectue de manière informatisée - on parle alors d'algorithmes et de big data - mais nous en ignorons les objectifs réels.

Le troisième point tient aux méthodes. Il est nécessaire d'adopter des méthodes intégrées et nouvelles, en mode projet, telles que les Fab Labs ou les Living Labs, c'est-à-dire des lieux où les usagers partagent avec les créateurs des nouvelles technologies et conçoivent ensemble des usages futurs.

Se pose donc la question des programmes, ce qui requiert une conception transversale pour acquérir une vision d'ensemble.

Le dernier point à retenir est celui de la formation continue des enseignants et des mesures à prendre en la matière pour disposer des forces vives nécessaires.

Je pose donc à nouveau ma première question : existe-t-il un risque réel d'illettrisme numérique en France ? Dans l'affirmative, quelles seraient les actions à mettre en place ?

M. Gérard Roucairol, président de l'Académie des technologies. - Je n'interviendrai pas exactement en réponse à la question qui vient d'être posée, mais souhaite revenir sur quelques aspects des interventions.

Tout d'abord, j'ai été surpris par les propos de Mme Catherine Becchetti-Bizot qui a qualifié l'informatique de branche des mathématiques, ce qui est historiquement faux.

De plus, vous avez affirmé que, depuis que l'informatique était passée d'une technologie à une culture, il était utile de l'enseigner. Par conséquent, il semblerait plus judicieux de démissionner de mon siège de président de l'Académie des technologies, pour me faire embaucher à l'Académie des arts et lettres. Je suis désolé de vous le dire directement, madame, mais en votre qualité d'inspecteur général de l'éducation nationale vous pourriez être responsable de la perte actuelle de milliers d'emplois : ce n'est en effet pas la culture qui crée l'emploi, même si elle est indispensable, mais la technologie. Je le dis fortement, en tant que représentant du secteur industriel, absent de vos débats. 

En troisième lieu, je souhaite insister sur le caractère très exagéré des effets de peur. Les peurs du XVIIIe siècle n'étaient pas très éloignées de celles qui sont décrites actuellement et il convient, au contraire, d'éduquer pour apprendre à les maîtriser. En tant qu'industriel et universitaire, j'ai accompli quarante années de carrière dans le numérique, ce qui me donne quelque légitimité pour m'exprimer. Historiquement, le numérique est l'alliance entre l'informatique et les télécoms. Finalement, il est important de définir les finalités de ces technologies et de les envisager de façon à élaborer un enseignement qui apportera du sens, de la maîtrise et de la compétence professionnelle ultérieure.

Dans une première phase de ces techniques, le travail humain a été automatisé, ce qui a changé la nature de ce travail. Nous savons, depuis l'invention du métier à tisser, que les révolutions industrielles tuent d'abord l'emploi, avant d'en recréer des années plus tard, et que, globalement, sur une centaine d'années, des emplois sont créés.

Le rôle essentiel du numérique actuellement est un rôle d'intégration des systèmes, surtout compte tenu du vieillissement de la population. Ce point est fondamental et conditionne toute l'évolution de la société future. La question est d'ailleurs similaire en matière de transports et d'énergie.

Par ailleurs, si certains ont évoqué les matières à enseigner, il semble que la notion de modélisation de l'environnement par les données numériques était absente des présentations alors qu'elle est fondamentale. La modélisation est également celle du système et il est très important d'introduire cette notion. De même, la culture du hardware est tout à fait essentielle et les acquis antérieurs vont donc s'avérer obsolètes dans les années à venir. Par conséquent, la culture à acquérir est celle de l'innovation, en ne figeant pas l'enseignement mais en donnant les capacités aux formateurs et aux élèves de comprendre les évolutions. Il est donc nécessaire d'élaborer des manuels adéquats, car, dans dix ans, l'informatique sera totalement différente de celle qui existe actuellement car la loi de Moore ne se vérifiera plus et les modèles de calcul seront totalement autres.

M. Daniel Kofman. - Nous sommes dans une table ronde sur l'enseignement en milieu scolaire, et non pas en milieu industriel, bien que je partage totalement certains de vos propos. Nous y reviendrons certainement.

Mme Catherine Becchetti-Bizot. - En réalité, je partage beaucoup de choses qui viennent d'être dites, mais suis quelque peu surprise par l'agressivité avec laquelle vous les avez exposées, d'autant que je ne les pense pas contradictoires avec mes propos. À l'école, il y a des réalités. On peut être expert d'une science, ce qui n'est pas mon cas en matière informatique, sans pour autant être spécialiste de l'éducation ou des besoins du système. Je n'ai pas la prétention de dire comment enseigner en informatique mais je pense être relativement bien placée pour savoir où en sont les apprentissages fondamentaux, ainsi que l'urgence en matière d'acquisition de connaissances. Il faut compter sur deux choses : la capacité du système scolaire à avoir une vision globale et la liberté pédagogique des enseignants. Ceux-ci peuvent développer des méthodes et des pratiques, en continuité avec le périscolaire. Il n'y a aucune opposition entre l'école-sanctuaire et l'extérieur. Les pédagogies peuvent par conséquent parfaitement être actives et prolongées sous forme d'ateliers et d'expériences. Dans le numérique, je suis particulièrement intéressée par la possibilité de création et d'inventivité. L'informatique c'est une science, le numérique c'est une culture au-delà de l'enseignement d'une science, c'est-à-dire une façon de travailler et de produire du savoir, une évolution dans les habitudes, etc.

Mme Anne-Yvonne Le Dain. - J'ai été surprise de la tonalité générale de la conversation, qui a produit des propos théoriques, et des propos universalistes. Or, la vraie question est de savoir que faire du présent. L'éducation nationale fonctionne souvent par expérimentations qui n'aboutissent pas car le système ne les prend pas en charge. Mon souci est de déterminer que faire devant l'élève. « La main à la pâte » est restée très périphérique, mais ne s'est pas généralisée, ce qui est regrettable. Cette idée que l'appareil éducatif a du mal à s'approprier les dispositifs et les généraliser, est préoccupante.

En réalité, il semble que le réel problème soit une logique de classes, consistant à passer d'abord par le baccalauréat général pour faire évoluer les enseignements. Dans le Languedoc-Roussillon, nous distribuons des ordinateurs à toutes les classes de seconde, pour un coût de quinze millions d'euros par an. Il s'avère que les plus grands succès sont rencontrés avec les enseignants de lycées techniques professionnels, en particulier dans les zones difficiles. Ceux-ci ont en effet parfaitement intégré les approches pédagogiques nouvelles, ainsi que l'intérêt qu'elles représentent. La pression provient plutôt des parties les plus aisées de la population, qui affirment posséder déjà un ordinateur à la maison mais ne s'en servent pas comme outil pédagogique.

De ce fait, d'où provient le problème ? Émane-t-il de l'institution, qui suppose qu'il convient d'abord de passer par les classes les plus aisées pour que les enseignements fonctionnent ? L'évolution ne se fera pas uniquement sur la base du volontariat de ceux qui sont chargés d'appliquer ces réformes. Pour moi, c'est un réel souci car il existe encore des professeurs qui considèrent qu'il ne sert à rien d'acheter des ordinateurs aux enfants, parce qu'ils en ont déjà chez eux.

Mme Catherine Becchetti-Bizot. - Vous avez entièrement raison et nous avons conscience de ces difficultés. Le fait d'inscrire dans la loi ces dispositifs en fait une obligation. La culture évolue lentement et il ne suffit pas de décréter pour légitimer. En tout état de cause, un grand nombre d'enseignements s'effectuent avec l'informatique et le numérique, même en lettres. L'approche de l'erreur et de la dédramatisation est également importante. Toutes ces choses existent déjà, mais ne peuvent réussir en peu de temps.

M. Gilles Dowek. - Je souhaite rebondir sur un propos de M. Gérard Roucairol, que je partage tout à fait, concernant l'opposition relativement récente entre la culture et la technologie, valorisant les aspects culturels et dévalorisant les aspects techniques. Vous avez employé, tout à l'heure, le mot « technicisme » et l'ajout du suffixe « isme » est en soi péjoratif. Cette opposition se comprend assez facilement puisque la culture est la maîtrise de la langue et que la technologie est la maîtrise des machines. Je répète que cette distinction est récente puisque, en latin, le mot ars désigne aussi bien les beaux-arts que les arts et métiers. C'est seulement à partir du XIXe siècle que les deux ont été séparés, en considérant que les beaux-arts étaient réservés aux bons élèves et que les arts et métiers étaient l'apanage des mauvais.

Comme l'a rappelé M. Pierre Léna, la naissance de l'informatique procède de la rencontre de la notion de machine et de celle de langage. Auparavant, les machines à vapeur pouvaient fonctionner sans maîtriser un langage, tandis que les langues étaient pratiquées sans utiliser les machines. Soudainement, les machines et les langages se sont rejoints, pour donner naissance à l'informatique. Le point d'entrée dans la pensée spécifique informatique est précisément d'abandonner cette opposition entre culture et machine, puisqu'il s'agit justement du même objet. Par parenthèse, à cet égard, la lecture de Michel Serres serait sans doute plus utile que celle de Bernard Stiegler. En définitive, si l'on continue à penser le monde dans lequel on vit en opposant culture et technique, on risque purement et simplement de reproduire le paradigme de l'ancien monde.

Mme Catherine Becchetti-Bizot. - Non seulement je ne dévalorise pas la technologie, mais je rappelle depuis des années la nécessité du contraire. Le mot « techniciste » n'a rien à voir avec la technologie, mais évoque une entrée par l'outil. En tant qu'humaniste, je rappelle toujours qu'une technologie crée une culture. Je me suis sans doute mal exprimée, mais il s'agit d'un vrai sujet.

M. Gilles Dowek. - Une technologie ne crée pas une culture, mais une technologie est une culture.

M. Daniel Kofman. - Ce débat est certes très important, mais il risque de retarder le déroulement de nos tables rondes. J'ai posé tout à l'heure la question du plan d'action car il existe certaines urgences et il n'y a pas été répondu. J'espère que nous aurons le temps lors de la prochaine table ronde.

M. Pierre Léna. - Vous avez évoqué « La main à la pâte », menée pendant dix-huit ans, et qui était pourtant dans la loi et dans les programmes. Or, en dix-huit ans, nous n'avons pu sensibiliser qu'un tiers des élèves. Il est donc assez scandaleux que deux tiers des élèves sortant du primaire n'aient pratiquement jamais rencontré la science. Cependant, enseigner la science est relativement facile par rapport à l'informatique et nous avons, en outre, une longue tradition de grands noms et d'expériences.

Le problème concernant l'informatique est entièrement nouveau, et, à supposer qu'il soit tranché dans le sens de l'interdisciplinarité sans créer de corps spécialisé de professeurs, quelle est l'ampleur de l'action à mener pour obtenir une transformation globale du système par la formation continue ?

M. Pierre Ricono et Mme Sophie Pène ont évoqué la richesse créative des associations et des projets de toutes sortes, mais qui ne sont aucunement à l'échelle du problème posé, qui vise à transformer 320 000 enseignants de primaire et de 300 000 enseignants de collèges et de lycées en enseignants interdisciplinaires, alors que parallèlement nous connaissons les réticences des professeurs sur ce point. J'adresse donc ma question à la fois à Mme Catherine Becchetti-Bizot et à la représentation nationale.

Avez-vous réfléchi à cette question en termes de coût et de volumes ? À l'INRIA, nous n'aurons pas de mal à trouver les experts qui construiront les processus de formation continue ainsi que les outils, mais le coût sera important.

Deuxième table ronde :
L'éducation au numérique et à sa sécurité dans l'enseignement supérieur et dans la vie professionnelle

M. Jean-Marie Chesneaux, vice-président de la Conférence des directeurs des écoles françaises d'ingénieurs (CDEFI) et directeur de Polytech'Paris - UPMC. - Je me recentrerai sur les problèmes du risque lié au numérique, qui se situe à trois niveaux :

risque pour chaque citoyen : il convient de sensibiliser les enfants dès l'école primaire aux ravages potentiels des réseaux sociaux, en l'introduisant même éventuellement dans le B2i ;

risque pour la France du fait de piratages dans les entreprises et du comportement des cadres : les écoles d'ingénieurs sont concernées et il est important que tous les étudiants ingénieurs soient formés au risque numérique, dans tous les grades master en sciences et technologies. Cela est d'ailleurs possible grâce au Certificat informatique et Internet, niveau 2, des métiers de l'ingénieur (C2i2mi) qui prévoit une rubrique entièrement consacrée à la maîtrise de l'informatique et des systèmes d'information. Ce certificat n'est aujourd'hui pas obligatoire, mais si cette compétence était diffusée chez tous les grades Master en sciences et technologies, la lutte contre le piratage industriel serait sans doute plus efficace.

- le troisième niveau de risque incite à former des experts en sécurité informatique, ce qui relève de l'État.

M. Gilles Dowek, Directeur de recherche à l'INRIA. - C'est la deuxième fois que vous m'invitez pour évoquer les risques informatiques. Cette question est évidemment importante, mais je propose que vous m'invitiez prochainement pour parler également des joies que procure l'informatique et de ses apports dans notre vie quotidienne ainsi que dans notre pensée intellectuelle.

La sécurité informatique constitue un exemple intéressant car elle suppose d'acquérir un grand nombre de connaissances fondamentales en informatique. Par exemple, il faut absolument comprendre la notion de flux d'information et maîtriser les outils logiques de modélisation. De même, une bonne connaissance de l'architecture des machines est nécessaire pour comprendre les attaques potentielles, ainsi que la notion de réseaux, leur structuration et celle de complexité algorithmique.

Dès lors, on s'aperçoit que la protection des systèmes d'information et des infrastructures françaises contre les attaques malveillantes nécessite une connaissance approfondie des sciences fondamentales de l'informatique par les cadres de l'industrie, or on peut s'interroger pour savoir lesquels d'entre eux seraient effectivement préparés.

L'analyse des masters en informatique à l'université permet de constater que les étudiants ont reçu une préparation efficace dès le niveau licence. En revanche, plus inquiétant est le cas des écoles d'ingénieurs généralistes, qui n'ont aucune connaissance de base telles que décrites, et sont totalement imperméables aux questions de sécurité car ils ne comprennent ni l'architecture ni les outils de modélisation. L'illustration du retard pris se traduit par le fait que l'informatique n'est enseignée en classe préparatoire scientifique que depuis deux ans seulement, à raison de deux heures par semaine, mais sans avoir les professeurs nécessaires. C'est pourquoi il a été décidé de former des professeurs de mathématiques de classes prépa, mais cette formation ne se déroule que sur trois jours.

Dans beaucoup d'écoles d'ingénieurs classiques, l'enseignement de l'informatique s'effectue en quarante heures. Il ne s'agit donc pas d'illettrisme mais d'analphabétisme. Il existe cependant un certain nombre de raisons d'espérer car des réponses parallèles ont souvent été données au cours des siècles aux déficiences de notre système d'enseignement supérieur et secondaire. Aujourd'hui, le même processus est en oeuvre en parallèle des écoles ingénieurs, au travers de réponses non institutionnelles.

Le deuxième espoir réside dans l'immigration, par exemple en allant chercher en Finlande, au Royaume-Uni, en Bavière, ou en Corée du Sud, des ingénieurs pour les faire travailler en France et les former puisque les élèves de ces pays apprennent l'informatique dès leur plus jeune âge. Ainsi, à l'INRIA, le nombre de doctorants non français a dépassé le nombre de doctorants français. Nous savons donc donner, par l'immigration, une réponse aux défaillances de notre système éducatif.

En second lieu, la question de la formation tout au long de la vie professionnelle, tant en informatique qu'en sécurité informatique, se pose également. Il ne serait donc pas inutile que tous les ingénieurs suivent une vraie formation en la matière tant qu'ils sont en activité. Nous devrions tenter un nouveau changement de paradigme, qui est le passage du « cinq + deux » au « quatre + un + deux ».

Le « cinq + deux » a consisté, après que les ouvriers eurent travaillé durant les sept jours de la semaine au XIXe siècle, à réduire la semaine à cinq jours de travail et deux jours de repos. Une formation professionnelle de qualité tout au long de la vie demanderait de consacrer un jour de la semaine à la formation, pour quatre jours de travail. À plus court terme, nous devrions commencer à penser une véritable respiration du temps, par exemple à raison d'une demi-journée tous les quinze jours, pour se former de manière régulière.

Cette évolution suppose une réorganisation des entreprises et également des universités. L'enseignement en ligne (MOOC) propose déjà une possibilité de se former de manière régulière à son propre rythme. Cependant, les MOOCs prévus en formation initiale sont très différents de ceux prévus tout au long de la vie, ces derniers ne supposant pas de présentiel pour se former. De plus, les études empiriques sur l'enseignement en ligne montrent que ce sont les étudiants les plus autonomes dans leur formation initiale, qui sont les plus à même de bénéficier de l'enseignement en ligne. La concentration nécessaire à l'apprentissage doit donc être acquise dans la formation initiale, que rien ne remplace en informatique.

En définitive, l'informatique et la culture numérique doivent s'apprendre depuis la première classe de maternelle, en adaptant la pédagogie aux enfants. Ce sont, en effet les, enseignements précoces qui déterminent l'avenir.

M. Philippe Marquet, vice-président de la Société informatique de France (SIF). - Monsieur le président, madame la vice-présidente, mesdames et messieurs, je traiterai de l'enseignement supérieur en informatique et en sécurité. Aujourd'hui, les filières informatiques de l'enseignement supérieur fonctionnent parfaitement. De nombreux étudiants suivent la formation comportant un aspect fondamental, technologique et évolution des technologies, qui offre de nombreux débouchés dans l'industrie informatique. Il existe donc une formation généraliste en informatique dans l'enseignement supérieur, à l'université ou dans les grandes écoles d'ingénieurs.

En matière de sécurité et de réseaux, certaines spécialités proposées en dernière année de master existent, au côté de certaines licences professionnelles.

En fait, il existe aujourd'hui un petit nombre de personnes formées à l'informatique et seulement quelques spécialistes formés à la sécurité car cette compétence suppose des connaissances poussées en informatique. En réalité, la grande majorité du public des universités n'est formée ni à l'informatique ni à la sécurité informatique.

Dans l'attente de changements majeurs, il serait d'ores et déjà possible d'ajouter des modules sur la sécurité, à l'intention des informaticiens. De même, il serait envisageable de mettre en oeuvre une sensibilisation à la sécurité pour tous, en insistant sur les usages. Par exemple, le fait de s'assurer de la présence d'un « cadenas vert » sur l'URL de la page avant de transmettre une information confidentielle, suppose malgré tout de comprendre au minimum le fonctionnement d'une page sécurisée.

La situation actuelle est telle que les étudiants sont analphabètes en informatique à l'entrée à l'université. Si l'on effectue le parallèle avec la science et la biologie, chacun au collège a reçu une formation en biologie et, en termes de fonctionnement de l'appareil digestif, a bénéficié des campagnes de prévention sur l'obésité, de sorte que les élèves s'approprient les recommandations de sécurité alimentaire tenant au fait de manger moins, mieux, de pratiquer une activité physique, etc. Il en est de même pour l'éducation à la pollution et la compréhension de l'effet des particules fines sur l'appareil respiratoire. La culture générale dans ces domaines permet finalement de ne pas envisager les recommandations comme des messages obscurs, mais, au contraire, de se les approprier car elles sont comprises.

En matière informatique, si l'apprentissage précoce était décidé comme pour les autres disciplines, les informaticiens pourraient réellement être formés à la sécurité. Ils bénéficieraient ainsi de la connaissance des aspects théoriques mais également d'une compréhension fine des réseaux et des systèmes, d'une maîtrise technique, et utiliseraient finalement ces compétences dans leur vie professionnelle au quotidien.

De même, dans l'enseignement supérieur, en fonction des débouchés et de la discipline, il est envisageable d'instaurer une formation à la sécurité informatique à partir de chacun des enseignements disciplinaires de base. Par exemple, pour les métiers du droit et de la justice, il serait utile de prévoir des formations sur la sécurité numérique et les nouveaux usages. Les étudiants en philosophie pourraient être formés aux aspects sécuritaires liés à l'éthique numérique. Les étudiants en médecine, en commerce, en aéronautique, pourraient également recevoir un enseignement spécifique à leur discipline et orienté vers la sécurité informatique.

L'enseignement supérieur est également le lieu où sont formés les professeurs et les enseignants, ce qui implique deux conséquences. En premier lieu, l'aspect pédagogique suppose d'acquérir une culture générale numérique et informatique, pour que les enseignants deviennent des acteurs en la matière.

En second lieu, les futurs enseignants seront les premiers transmetteurs de la culture numérique et devront, à ce titre, en avoir compris les sous-jacents, tout en ayant acquis du recul sur les recommandations de sécurité transmises à leurs élèves.

Enfin, en matière de formation professionnelle, chaque profession devra être formée aux enjeux numériques et de sécurité spécialement liés à son environnement. Par exemple, un gendarme pourra désormais avoir à traiter des situations liées aux bit coins, supposant des notions de cryptographie. Après-demain, les technologies seront, de la même manière, basées sur des fondamentaux de l'informatique.

Pour chacun des citoyens, le bon sens allié à une connaissance de base de l'informatique, pourrait éviter d'être la cible de tromperies. Pour tous, des campagnes de prévention grand public, à partir d'une nouvelle culture numérique et de nouveaux usages, devraient donc être mises en oeuvre et leur appropriation serait facilitée si les connaissances de base étaient acquises.

En conclusion, une réelle éducation à la sécurité numérique, demain, passe par une éducation au numérique et à l'informatique dans le secondaire aujourd'hui.

M. François Germinet, président de l'Université de Cergy-Pontoise, président du comité numérique à la Conférence des présidents d'université (CPU). - Mesdames et Messieurs, en ma qualité de président de l'Université de Cergy-Pontoise et également de président du comité numérique de la Conférence des présidents d'université, j'articulerai mon intervention autour de quatre points.

Tout d'abord, la citoyenneté numérique. Il s'agit, pour l'université, d'accueillir des étudiants qui auront été sensibilisés à la citoyenneté numérique au collège et au lycée, qui constituent des lieux d'acquisition des connaissances de base. J'ai, à cet égard, les mêmes préoccupations que celles déjà exprimées par mes collègues. L'émergence du numérique à travers les ordinateurs, les smartphones et les réseaux sociaux, constitue un pan entier de notre vie quotidienne ainsi que de celles des élèves, et on peut raisonnablement se demander s'il est judicieux de les laisser dans l'ignorance du monde numérique sur lequel s'appuie le quotidien.

Sur l'identité numérique et la citoyenneté numérique, les prises de conscience semblent plus rapides car les jeunes sont confrontés aux traces qu'ils laissent sur Internet et les réseaux sociaux. Il existe, en effet, une conscience que l'identité numérique se construit et il convient d'y sensibiliser la population dès le plus jeune âge.

L'université peut accompagner ce mouvement, d'autant qu'elle accueille certains étudiants sortant d'un cadre scolaire assez rigide pour commencer à s'ouvrir au monde et à évoluer. L'université et les établissements d'enseignement supérieur ont la responsabilité d'accompagner cet éveil à la citoyenneté, en particulier la citoyenneté numérique. Les étudiants commencent à construire leur future identité professionnelle dès l'université. Dès lors, ils doivent être conscients qu'ils auront leurs premiers contacts sérieux avec l'entreprise, stages et apprentissage, dès l'université.

Les certifications de niveau 1 et 2 font également partie des dispositifs offerts aux étudiants pour obtenir des compétences en termes de numérique.

Deuxième point, la formation. Le phénomène des MOOCs n'est pas encore totalement maîtrisé, même s'il existe une intuition sur l'importance qu'ils revêtent. Pour autant, il n'est aujourd'hui pas possible d'imaginer la place qu'ils prendront dans quelques années dans la stratégie de formation des établissements. Le phénomène ne saurait toutefois être passé sous silence, c'est pourquoi les universités et le ministère travaillent au projet France Université Numérique pour porter la question des MOOCs sur le devant de la scène.

Il convient toutefois de ne pas attendre des MOOCs une révolution de l'enseignement, en escomptant qu'ils forment entièrement les ingénieurs et les cadres de demain, ou encore qu'ils éduquent une population entière dans certains pays ne disposant pas de ressources enseignantes suffisantes. En effet, les MOOCs ne sont aujourd'hui pas qualifiants, même s'ils ont vocation à devenir certifiants. Cependant, avant de mettre en place des cours suivis par des centaines de milliers d'étudiants et formant des opérationnels à un métier précis, un long délai sera encore nécessaire.

En revanche, certaines formations alternatives s'inspirent des MOOCs et de leur modèle de pédagogie inversée et de production collective de travaux, mais s'effectueront à des échelles plus faibles - une vingtaine ou trentaine d'étudiants -, avec un encadrement plus serré. On parle ainsi de Small Private Online Courses, ou cours en ligne, dans lesquels figurent, d'une part, des principes massifs et ouverts à tous, et, d'autre part, des cours en ligne avec un tutorat plus serré, dans lesquels l'accent sera mis sur le caractère professionnel.

Dans les écoles et les universités, l'enseignement à distance est déjà présent, mais reste encore du présentiel enrichi. Dans certains cas, des Small Private Online Course (SPOCs) existent en matière de formation initiale et de formation continue et ont tendance à se développer. Il semble que, dans les années à venir, avec le développement des MOOCs, nous serons les témoins et les acteurs d'une hybridation de nos formations, avec la coexistence de cours traditionnels dans les salles de classe, sur un modèle descendant et d'unités de cours autonomes traitées à distance. Le tout laisse présager un certain degré de mutualisation des ressources pédagogiques entre établissements et la plus-value de l'enseignant consistera, non à répéter ce que les étudiants peuvent trouver sur le MOOC ou Wikipédia, mais à posséder la capacité pédagogique d'accompagner le cheminement intellectuel de l'étudiant vers les bons modes de pensée. Un tournant dans le métier des enseignants laisse présager qu'ils délaisseront l'aspect détenteur de savoir, vers l'accompagnement des apprentissages.

Le tout fait partie de la stratégie des établissements et il y aura là un contrat à passer entre les établissements et l'État.

Troisième point, les besoins des entreprises. Il est à noter que l'accompagnement de la formation professionnelle s'effectue de plus en plus en collaboration entre les branches professionnelles, qui font part de leurs besoins, et l'université.

Enfin, pour l'image des universités et le positionnement international, les MOOCs peuvent constituer un moyen de se positionner dans la compétition internationale en matière d'enseignement. À cet égard, les pratiques de certaines universités américaines consistent à utiliser les MOOCs comme un moyen de repérer, sur l'ensemble de la planète, les meilleurs étudiants, en faisant le constat très froid que ceux d'Harvard et du MIT ne sont finalement pas les meilleurs. Dès lors, les MOOCs deviennent un moyen de repérage des étudiants, qui se voient ensuite offrir des bourses pour venir étudier dans ces universités.

M. Daniel Kofman. - L'un des moyens d'apprentissage est la formation par l'exemple. Je souhaiterais donc avoir votre opinion sur l'idée suivante : il nous manque des acteurs de confiance, nécessaires d'un point de vue technique pour structurer l'architecture numérique, mais également pour donner l'exemple d'utilisation du numérique.

Le deuxième point sur lequel j'aimerais revenir a été évoqué par M. Gérard Roucairol et pose l'informatique comme un élément intégrateur, par exemple en matière de santé, pour mettre en place les applications transversales de demain. Néanmoins, pour y parvenir, il est nécessaire que les divers acteurs (médecins, acteurs de la sécurité, des transports...) travaillent ensemble : comment pourrait-on s'organiser pour réussir cette intégration au niveau de l'enseignement supérieur ?

M. Jean-Marie Chesneaux. - Cette intégration existe déjà. Dans le domaine de la santé, un grand nombre de formations traitent du numérique appliqué à la santé. En revanche, il n'est pas certain que ces formations soient suffisantes. En tout état de cause, il existe une réelle conscience que les emplois de demain se situeront dans le numérique.

Je souhaite également revenir sur un aspect non évoqué. IBM a fêté les quarante ans du Main Frame, efficace en matière de sécurité alors que le cloud est une passoire. Or, il ne faut jamais oublier que les hardwares et les technologies sont également importants en matière de sécurité.

M. François Germinet. - Au sujet des acteurs de confiance, et en particulier dans le nuage numérique, un appel d'offres au niveau du Commissariat général à l'investissement (CGI) a fait émerger deux acteurs. Se pose donc à l'État la question de construire des centres de données totalement publics et maîtrisés, destinés à garantir la sécurité de la donnée publique. Sans doute conviendra-t-il de construire des centres de données par régions, en maillant le territoire national car la construction de salles de serveurs dans tous les établissements est très coûteuse et pose des problèmes de main-d'oeuvre qualifiée et de sécurisation des données.

M. Daniel Kofman. - La notion de nuage numérique personnel pourrait apporter quelques solutions.

M. Philippe Marquet. - Il est nécessaire que chacun comprenne ce que sont le code, le serveur, les réseaux, pour comprendre les enjeux. En effet, l'utilisateur doit bien connaître la destination des données qu'il introduit dans un logiciel, savoir si elles vont rester en France et s'interroger sur le droit applicable.

M. Daniel Kofman. - Ce sujet est revenu plusieurs fois : pour développer la culture de sécurité numérique, il faut en comprendre les mécanismes et commencer l'éducation dès le plus jeune âge. Lorsqu'on regarde l'international, les pays les plus avancés ont développé des synergies fortes entre l'enseignement primaire, secondaire et supérieur.

M. Pierre Léna. - Si on observe aujourd'hui la totale inconscience avec laquelle chacun d'entre nous pose des données confidentielles sur des réseaux dont nous ne savons rien, dont l'exploitation est faite aux États-Unis d'Amérique et probablement en Chine demain, peut-on penser que cette éducation de base suffira à compenser les risques de cette dissémination de données, alors que par ailleurs elle nous est éminemment profitable ?

M. Daniel Kofman. - Depuis deux jours, nous savons que Google lit nos messageries électroniques.

M. Philippe Marquet. - Aujourd'hui, chacun voit les caractères très séduisants du service, mais ne voit pas que ses données ont une valeur, qu'elles sont transportées hors de France et sont exploitées.

M. Jean-Marie Chesneaux. - Le parallèle qui a été effectué avec la prévention contre l'obésité est très pertinent. Si des actions de prévention et d'éducation au numérique étaient menées dès l'école primaire, de même qu'au collège, âges auxquels les enfants sont particulièrement réceptifs, les succès seraient certains. En revanche, au lycée, le sujet est plus délicat. J'ai en effet fait partie de la commission qui a réussi à intégrer, de haute lutte, deux heures de l'enseignement de l'informatique en classe préparatoire, et je me demande si cela ne serait pas aussi difficile au lycée.

M. Gilles Dowek. - Les informations traitées par Twitter ou Facebook sont peu de choses, comparées à celles dont connaissent aujourd'hui les MOOCs. En effet, les MOOCs observent des étudiants et recueillent quantité de données les concernant : leurs modes d'organisation pour travailler, leur sérieux, leur créativité, leur confiance en eux, leur rapidité, etc. La façon de répondre aux questionnaires à choix multiples (QCM), ou le délai pris pour rendre un devoir, sont également très évocateurs de la personnalité de l'étudiant et de son futur mode de travail dans l'entreprise. Or toutes ces informations, dans le business model initial du MOOC, sont vendues aux chasseurs de tête et sont, en réalité, beaucoup plus importantes pour trouver un emploi que les photos publiées sur Facebook.

Aujourd'hui, certaines personnes s'inscrivent sur les MOOCs sous leur vrai nom et donnent une quantité d'informations sans avoir conscience de leur utilisation potentielle. Lorsque l'INRIA travaillait avec le ministère de l'éducation nationale sur la mise en place de MOOCs, le postulat de départ a été de poser que les données appartiendraient aux étudiants, seraient non monnayables et se situeraient sur un nuage numérique en France afin de répartir l'information et d'éviter certaines failles de sécurité.

Cependant, il est vrai que le comportement peut être changé par l'éducation. Pour autant, il ne redeviendra pas celui du monde d'avant. Par exemple, la notion d'intimité au XIXe siècle est totalement différente de celle du XXe siècle et il en sera de même de la notion de vie privée.

Mme Sophie Pène. - Aujourd'hui, nous disposons de peu d'alternatives. Les outils donnés par les directions des systèmes d'information (DSI) aux universitaires ne sont pas de qualité car ils ne correspondent pas aux fonctionnalités d'usage et constituent, au mieux, des distributeurs de polycopiés numériques. Il existe donc sans doute un problème de politique industrielle française, qui devra absolument effectuer un sursaut pour remédier aux faibles plages de marchés numériques offertes aux enseignants. En effet, le système est totalement centralisé et le prescripteur n'est aujourd'hui pas le payeur, l'argent se trouvant chez les collectivités locales. En outre, il existe un blocage complet pour acquérir une réelle culture de l'édition numérique.

M. Daniel Kofman. - Je me souviens d'une réunion organisée l'an dernier par l'OPECST, au cours de laquelle un participant avait développé l'idée que le service totalement gratuit n'existait pas : lorsque le service est offert, c'est l'utilisateur qui est le produit. Se pose ainsi la question de la valeur des données personnelles et, au-delà, de l'ensemble des créations personnelles.

Mme Sophie Pène. - Je pense que la valeur n'est plus dans le document mais dans le service. Le fait que la ressource soit gratuite n'est pas nécessairement gênant.

M. Daniel Kofman. - La création peut être matérielle ou immatérielle et l'éducation devra également transmettre cette notion de valeur des créations personnelles. Une fois que les citoyens auront été éduqués, il sera nécessaire de les aider à gérer leurs propriétés et il conviendra, pour ce faire, de structurer davantage toutes les plates-formes disponibles.

Troisième table ronde :
Regards croisés sur d'autres approches du numérique

M. Guillaume Poupard, directeur général, Agence nationale de la sécurité des systèmes d'information (ANSSI). - Je me concentrerai uniquement sur le domaine de la sécurité car je n'ai aucune prétention en termes de pédagogie et d'enseignement. La sécurité concerne la protection des citoyens et de leurs données mais également celle de notre patrimoine économique, scientifique et technique et donc celle de nos emplois. En effet, aujourd'hui, on observe au quotidien que la perte de savoir-faire et de connaissances au sein de nos entreprises est très inquiétante et est directement liée à une déficience de sécurité numérique.

La compétitivité des entreprises est donc en jeu, de même que le potentiel de défense de la Nation, les attaques informatiques les plus graves touchant les opérateurs d'importance vitale que sont les transports, l'énergie, les communications, etc. Si l'on imagine les conséquences des catastrophes en cascade que représente la faille numérique, il devient même difficile de prévoir comment la contenir. C'est pourquoi dans un grand nombre de domaines, il est vital de prendre en compte le risque numérique.

Une fois ce discours anxiogène tenu, il convient toutefois de se souvenir à quel point le numérique constitue également une opportunité pour garder notre compétitivité et notre avance dans l'univers très mondialisé. Très clairement, la France a un rôle majeur à jouer et les partenaires étrangers viennent nous chercher car nous présentons une alternative crédible en matière de produits et de services. Le tout suppose la formation de personnes capables de tenir ces postes.

La formation à la sécurité est donc indispensable. Les attaques qui réussissent passent souvent par des maillons humains, des comportements inadaptés et par des entorses à « l'hygiène informatique ». La prise en compte du facteur humain dans la conception et l'exploitation des systèmes d'information est donc absolument essentielle, tout comme est évidente la nécessité de mettre en place des systèmes adaptés tant aux besoins métiers qu'à leur exposition aux risques.

Concernant l'enseignement de la sécurité informatique, il existe des notions simples mais souvent inconnues et des concepts très complexes. Par exemple, peu de personnes comprennent ce qu'est un certificat numérique et la vulgarisation de la notion suppose à la fois un travail de technicien et de pédagogue.

Un autre exemple de la difficulté d'enseigner la sécurité informatique est celui de la faille de Heartbleed. Le sujet intéresse manifestement, a figuré plusieurs fois à la une du Monde.fr et peut s'expliquer assez simplement à une personne qui dispose de notions d'informatique. La faille de Heartbleed permet à ceux qui l'exploitent de récupérer illégitimement des données sur un serveur qui permet l'accès à des mots de passe et des modes de connexions sensibles.

En conclusion, l'enseignement de la sécurité est essentiel et doit être dispensé par des professionnels à différents niveaux. Aujourd'hui, les spécialistes ne sont pas assez nombreux. Au moment où l'activité humaine est numérisée et alors qu'il existe quarante-sept masters en sécurité. Les formations ne s'adressent toutefois pas toujours aux bonnes personnes et certaines d'entre elles sont majoritairement suivies par des élèves étrangers.

En outre, l'intégration de modules de sensibilisation aux enjeux liés à la cybersécurité dans les formations supérieures constitue une priorité absolue. Le travail déjà entrepris devra être poursuivi et constitue une priorité nationale, ainsi qu'il l'a été rappelé dans le Livre Blanc de la Défense et de la sécurité nationale.

Les principes d'hygiène informatique devraient également être enseignés très tôt, dès le secondaire.

Le dernier point concerne la formation continue à la sécurité informatique. Un grand nombre de spécialistes dans le domaine des télécoms pourraient en effet évoluer vers des problématiques de sécurité informatique et bénéficier de formations professionnelles en ce sens.

M. Éric Delbecque, chef du département de sécurité économique, Institut national des hautes études de la sécurité et de la justice (INHESJ). - Je serai sans doute l'un des moins spécialisés sur le thème dans cette assemblée. Pour vous expliquer rapidement le domaine d'intervention de notre organisme, qui dépend du Premier ministre, je m'occupe au sein de l'INHESJ de la thématique de la cybersécurité. Nous avons, à ma connaissance, la seule formation en la matière délivrée par un organisme d'État, en partenariat assez fort avec l'ANSSI et avec le CIGREF représentant le monde des entreprises. Nous formons avant tout des acteurs du secteur privé et des hauts fonctionnaires. En outre, du stade expérimental, la formation est passée à un stade plus professionnel.

Globalement, le risque numérique nous concerne pour trois types de raisons.

La première n'est pas essentielle mais mobilise souvent les médias et met en rapport le risque numérique avec la lutte contre le terrorisme, à travers des dispositifs de surveillance généralisée. Très concrètement, cette question est traitée par des hommes et des logiques de terrain et non par du « fétichisme technologique ». En d'autres termes, même si l'outil technologique est évidemment très important dans la lutte anti-terroriste, il n'est pas le déterminant du problème et n'en constitue qu'un moyen.

Les deux autres problématiques paraissant davantage au coeur du débat, concernent la protection de la vie privée et l'évolution de l'intimité et également le potentiel de nos entreprises ; je ne reviendrai pas sur la menace effectivement déterminante pour les entreprises qui subissent la fuite d'informations.

Néanmoins, le risque numérique n'implique pas uniquement les dysfonctionnements mais également les phénomènes de guerres d'information et d'atteinte à l'image. Nous savons aujourd'hui que le meilleur moyen de déstabiliser une entreprise est d'attaquer son dirigeant et de casser son image. De ce fait, le risque technologique implique donc également une question de contenu. Certains responsables dans le public et le privé sont malheureusement assez néophytes sur le sujet.

La question sur l'évolution de l'intimité met également en valeur le fait indiscutable, notamment pour les plus jeunes, que le débat sur l'intimité vient aussi d'un défaut d'anticipation et de projection : en effet, il existe un problème de rapport au temps, les plus jeunes ne se rendant pas compte des conséquences de la mise en ligne d'une information. De plus, la capacité de scénarisation est tout à fait considérable pour le débat sur l'intimité. Il s'agit donc d'un motif d'éducation philosophique, historique et sociologique, sur les catégories de la pensée. Ne devrait-on pas apprendre aux plus jeunes à faire de la prospective à usage individuel et à s'interroger réellement sur ce qu'il adviendra des données mises en ligne ? La contribution à la « société de surveillance » est également le fait de l'individu lui-même. Pour notre part, nous essayons de porter l'attention sur le moyen, dans le comportement, les projections et les connaissances du monde, de minimiser le risque technologique en dehors de la problématique technologique. En réalité, le risque technologique réside avant tout dans les usages, ce qui explique le titre de notre formation à la « sécurité des usages numériques ».

En matière de secret des affaires, les entreprises ne sont pas toujours conscientes de l'existence d'un coeur stratégique à protéger et certaines grandes entreprises sont bien en peine de savoir ce qui mérite une protection accrue. Certaines d'entre elles effectuent des études sur la « perméabilité organisationnelle » et se rendent compte avec effroi, à cette occasion, de toutes les informations qui circulent sur leur compte en dehors d'elles. Les informations sont ainsi perméables car les grandes entreprises et les administrations fonctionnent en silo, chaque direction ignorant ce que fait l'autre, de sorte que toute personne qui prend le temps de collationner les informations peut faire des découvertes incroyables. Cette question n'est donc pas maîtrisée par les entreprises et intervient avant même la sécurité en tant que telle. Elle est avant tout liée aux pratiques humaines. C'est pourquoi nos formations prennent avant tout en compte les questions juridiques, historiques, géopolitiques, pour acquérir une capacité à lire les stratégies avant même de prendre des mesures très opérationnelles en matière de sécurité informatique. Les unes ne sont évidemment pas exclusives des autres mais il ne faut pas confondre les deux aspects. Hormis quelques philosophes et sociologues, nous n'avons pas tiré le dixième des conclusions qui s'imposent sur le monde numérique en tant que révolution anthropologique. À titre personnel, je pense qu'il s'agit de la plus grande révolution dans notre conception du temps depuis l'invention de l'imprimerie, y compris dans l'acquisition culturelle.

Aujourd'hui, nous pensons, d'une part, que la mémoire n'a plus d'utilité puisque les données sont stockées et croyons, d'autre part, que la multiplication des données va nous servir de réflexion. Or si aucun travail humain d'interprétation de la connaissance n'est réalisé, celle-ci est quasiment inutile. L'éducation numérique consiste, en premier lieu, à faire réfléchir tous les publics sur l'ensemble des conséquences humaines de la révolution numérique. Il est impossible d'être opérationnel immédiatement et d'attendre des « boîtes à outils » sans avoir préalablement réfléchi au contenu.

M. Gilles Dowek, responsable du secrétariat du groupe de travail sur le rapport de l'Académie des sciences « L'enseignement de l'informatique en France - Il est urgent de ne plus attendre ». - Vous m'avez demandé, dans cette intervention, de vous parler du rapport rédigé par l'Académie des Sciences. L'Académie a une réflexion assez ancienne sur la nécessité et l'importance d'enseigner l'informatique à tous les niveaux. Depuis 2006 et l'organisation d'un premier colloque sur le sujet par M. Maurice Nivat, la réflexion est continue sur la question.

Le comité de réflexion sur l'enseignement des sciences, présidé à l'époque par M. Pierre Léna, avait demandé aux informaticiens d'écrire un rapport sur l'importance de l'enseignement de l'informatique et d'inclure une esquisse de curriculum de l'enseignement de l'informatique, de la maternelle jusqu'au doctorat.

Les trois informaticiens qui se sont saisis du sujet étaient MM. Maurice Nivat, Gérard Berry et Serge Abiteboul, entourés d'une équipe d'une dizaine de personnes, dont je faisais partie, pour rédiger le rapport d'une manière collective. Le texte est donc signé collectivement et je suis, pour ma part, coauteur de son brouillon.

Les motivations pour enseigner l'informatique sont de trois ordres :

En premier lieu, la question est économique pour préparer les jeunes à leur métier de demain, ce qui constitue l'une des deux grandes missions de l'École avec la préparation des jeunes à leur rôle de citoyen. Pour ma part, j'appartiens à la petite minorité qui estime que l'école est également destinée à préparer la jeunesse à la citoyenneté, alors que la plupart des enseignants conçoivent soit l'unique rôle économique, soit l'unique rôle citoyen. Heureusement, notre groupe de réflexion était équilibré sur le sujet et le rapport commence par l'aspect économique.

En effet, il faut préciser que 30 % de la recherche et du développement dans le monde s'effectue dans le domaine de l'informatique au sens large, alors que, en France, ce taux n'est encore que de 17 % à 18 %. L'idée de former les informaticiens est certes importante mais il est encore plus essentiel de considérer que tous les métiers supposent des connaissances en informatique.

Par exemple, le métier d'archéologue a été transformé deux fois par l'informatique, la première fois en stockant leurs informations dans l'ordinateur au lieu du cahier et la seconde en utilisant des algorithmes pour assembler, par exemple, des fragments de poterie. Notamment, un travail inédit a été réalisé sur la Gueniza d'Alexandrie, sorte de lieu de stockage dans lequel pendant deux mille ans les gens ont stocké des documents en quatre ou cinq langues. Il était donc nécessaire de reconstituer ces documents, ce qui a pu être partiellement réalisé grâce à un algorithme. La manière aujourd'hui de concevoir le métier et le rôle de l'archéologue a ainsi été radicalement révolutionnée par l'informatique.

Dans le même ordre d'idée, les ouvriers tourneurs ou les comptables ont vu leur métier transformé, de même que le métier d'enseignant ou de chauffeur de taxi.

L'aspect concernant le citoyen n'est sans doute pas suffisamment traité car il implique des problèmes à forte composante technique. Par exemple, la loi Hadopi aurait été moins ridicule si la compréhension des questions techniques sous-jacentes avait été meilleure de la part de ses auteurs. La loi Hadopi s'est en effet concentrée sur l'échange de fichiers par peer to peer, alors même que cette technique était en train de disparaître.

Par ailleurs, les questions de neutralité du Net sont aussi importantes que celles relatives à la guerre et à la justice et les citoyens doivent absolument les maîtriser lorsqu'ils élisent leurs représentants, pour connaître la position de chaque homme politique sur le sujet.

Il est même possible d'aller plus loin, ainsi que je l'ai fait lors d'une présentation à l'Union des démocrates et indépendants (UDI), au cours de laquelle j'ai mis en avant l'idée que les institutions étaient des algorithmes de compression. Cette présentation des institutions a intéressé l'assistance car elle était inédite.

En tout état de cause, la pensée informatique est spécifique et peut être ainsi résumée : à la question « comment parvenir à ce résultat ? », la réponse est « par la création d'un algorithme ». Les algorithmes permettent de répondre à un grand nombre de questions mais ils ne résument pas à eux seuls la pensée informatique. Celle-ci implique également la notion de langage, indispensable pour comprendre le monde actuel. De la même manière, la notion de flux d'informations et de localisation géographique dans l'espace est fondamentale. À ce propos, je suis en désaccord avec l'idée que l'informatique sera fondamentalement différente dans cinquante ans : certes, les outils auront évolué, mais les notions fondamentales de l'informatique et la pensée algorithmique resteront. Nous apprenons donc aux enfants des notions qui leur seront encore utiles dans des dizaines d'années.

La seconde partie du rapport est l'esquisse d'un curriculum. Il n'était pas question de tomber dans le piège d'une trop grande précision mais, au contraire, d'esquisser à gros traits les contenus des programmes. À titre d'exemple, le programme de français, de la maternelle au lycée, est évoqué. Les professeurs de français enseignent la lecture et l'orthographe en primaire, la littérature au lycée, tandis que le collège reçoit un mixte des deux. Nous souhaitions donc parvenir à ce même type de description très macro, en comptant sur le fait que les personnes ayant une meilleure connaissance du terrain seraient susceptibles d'affiner.

En décrivant cette esquisse grossière, est apparue l'idée centrale et organisatrice d'un programme informatique à la maternelle et au lycée et constituée par la programmation. Certains étudiants n'ont jamais appris à programmer et on leur fournit un algorithme à observer. D'autres possèdent des notions et développeront eux-mêmes un algorithme. En effet, il s'avère que l'approche est toute autre avec un outil que l'élève a lui-même construit. Il passe ainsi d'une situation de spectateur du Net, à une démarche d'acteur.

Le curriculum propose donc que cet enseignement soit celui du collège. Il s'appuie en premier lieu sur un document néo-zélandais proposant l'informatique débranchée (unplugged), c'est-à-dire sans utiliser d'ordinateur. Pour autant, il a été choisi de ne pas retenir exclusivement cette approche « technophobe » et fausse - car l'informatique suppose à l'évidence l'utilisation d'un ordinateur - et nous avons recensé des activités possibles avec un ordinateur. Par exemple, le simple fait d'envoyer un courrier électronique et de se demander comment il parvient à destination, ouvre un vaste champ de questions, qui conduisent à s'interroger sur la manière dont les ordinateurs sont reliés entre eux en réseau d'un continent à l'autre, la manière dont les informations sont acheminées sur ces réseaux, etc.

Au collège, devrait être enseigné l'apprentissage de la programmation et, au lycée, il est possible de commencer à s'interroger sur la façon d'utiliser le langage de programmation, à étudier les algorithmes fondamentaux. La représentation d'objets, la modélisation, la connexion d'ordinateurs en réseaux, font également partie du cursus. Le tout est aujourd'hui étudié en licence en France alors qu'un grand nombre d'autres pays l'inscrivent au programme des lycées.

Je terminerai en évoquant les blocages. Les professeurs, y compris ceux des disciplines scientifiques, comprennent qu'il est désormais impossible d'enseigner les sciences comme par le passé. Les choses évoluent et il s'agit de l'intérêt de toutes les sciences. Les parents sont également favorables - ainsi qu'il ressort d'un texte publié par la PEEP - de même que les lycéens. Un sondage sur la perception du numérique par nos concitoyens montre que 60 % des parents sont favorables à l'apprentissage précoce de l'informatique.

Les blocages résident donc uniquement dans l'institution. Toutefois, l'enseignement suppose la présence de professeurs, y compris dans les MOOCs. En outre, il existe une fausse croyance que l'informatique peut s'enseigner sans professeurs. L'informatique est un domaine scientifique qui a connu un très grand succès et qui a impacté tous les métiers. Or, comme l'informatique est partout, elle n'est nulle part et il existe ce sentiment qu'il n'est pas besoin de professeur d'informatique. D'autres disciplines, telles que le français ou les mathématiques, se retrouvent également partout et pourtant les enseignements nécessitent des professeurs spécifiques.

Bien entendu, un travail interdisciplinaire est indispensable mais le véritable enseignement de l'informatique ne pourra pas se développer de la maternelle au doctorat, sans la présence de professeurs d'informatique.

M. Daniel Kofman. - Grâce à l'informatique, nous construisons des systèmes de plus en plus complexes et des services flexibles, mais qui impliquent des trous de sécurité nécessitant des technologies évoluées pour tenter de les colmater. Nous avons ensuite évoqué la stratégie et les usages et il existe effectivement un besoin d'éducation en la matière.

Il est vrai que l'informatique pénètre aujourd'hui tous les métiers mais qu'il existe, en parallèle, une certaine normalisation des métiers non techniques.

M. Jean-Marie Chesneaux. - L'un des problèmes liés à la sécurité concerne l'usage alors que le risque d'attaque d'une entreprise réside dans le matériel et sa protection. Si l'on examine la naissance de l'informatique à l'université, on constate que les blocages ont toujours été liés au manque de professeurs. Mais il est dangereux de s'arrêter là et il convient de trouver des solutions transitoires. Pour l'ISN (Informatique et sciences du numérique), les professeurs ne font pas de blocage et acceptent la formation continue à une matière qu'ils connaissent un peu déjà. À cet égard, les établissements du supérieur ont formé des formateurs qui ont eux-mêmes formés d'autres professeurs de lycées et de classes préparatoires. Il ne s'agit pas non plus d'enseigner l'informatique neuf heures par semaine mais il doit être possible de mettre en place un système simple, en primaire, au collège et au lycée.

M. Éric Delbecque. - Un point qui pourrait paraître anecdotique, mais qui ne l'est en réalité pas, tient à la nécessité d'apprendre à des cadres d'entreprises qu'on n'arrive pas dans n'importe quel pays avec son ordinateur rempli de données et laissé sans surveillance. De même, les informations confidentielles ne doivent pas être transmises par SMS. Il s'agit donc d'une question d'usage dans les entreprises et plus l'échelon est haut, plus il se pense immunisé de tout risque en la matière. Du point de vue du citoyen ou dans l'entreprise, le problème est de penser au premier chef au sort réservé à l'information.

M. Gilles Dowek. - Lorsqu'on débute une nouveauté, il est indispensable d'utiliser les moyens disponibles. Or l'esprit pionnier fonctionne au début mais s'essouffle traditionnellement dans la durée. Le second paradoxe tient aux difficultés de recruter des professeurs de sciences : de ce fait, pourquoi ne pas aller chercher les professeurs d'informatique dans les masters en informatique, au lieu de les recruter pour les universités de sciences, où les étudiants sont déjà rares ?

M. Jean-Marie Chesneaux. - En effet, nous ne sommes pas obligés de recruter des candidats au CAPES de mathématiques pour enseigner l'informatique alors même qu'un grand nombre d'étudiants en informatique sont tout à fait attirés par l'enseignement.

Mme Sophie Pène. - L'enseignement de l'informatique est considéré aujourd'hui comme impossible par crainte qu'il n'enlève quelque chose à d'autres. Chez M. Vincent Peillon, la stratégie pour l'école primaire procédait de la volonté d'ouvrir du temps à des intervenants qui n'étaient pas des professeurs. Il est donc nécessaire de passer par cette ouverture.

M. Daniel Kofman. - Le retard sera très significatif si nous n'en passons pas par là.

M. Pierre Léna. - Ce débat se situe au coeur du sujet. Le propre de l'institution « école » est le temps et l'implantation d'une réforme est d'une lenteur considérable. L'avantage de l'ISN est d'avoir commencé petit puis d'avoir rencontré des limites au bout de quelques années. Face à ce constat, les solutions consisteraient à confiner toute innovation hors du temps scolaire, se résignant ainsi à l'idée de la rigidité des programmes. Devant une commission parlementaire, j'ai eu l'occasion de contester vigoureusement cette conception de l'enseignement des sciences, uniquement confiées à des animateurs socioculturels.

La seconde possibilité serait d'abandonner la politique du « tout ou rien », en établissant un plan de transformation progressive sur la durée. Il est clair que sur le sujet qui nous occupe, il faut former l'ensemble des professeurs dans toutes les disciplines tout en recrutant des professeurs spécialisés qui irrigueront progressivement l'ensemble des établissements. Il serait en effet illusoire de penser que dès demain, nous aurions un corps de professeurs d'informatique pour irriguer les 7 000 collèges.

M. Bruno Sido. - Je vous remercie vivement pour l'ensemble de ce que vous nous avez apporté et laisse à ma collègue, Mme Anne-Yvonne Le Dain, le soin de conclure.

Mme Anne-Yvonne Le Dain. - Je dois avouer que je suis impressionnée par l'ampleur du sujet, qui fait apparaître des divergences peu importantes entre vous, d'importantes convergences et quelques éléments de réponses.

Notre rapport porte sur le risque numérique mais le risque que vous énoncez va bien au-delà puisqu'il évoque une société qui s'arrête et n'est plus productrice. J'étais déjà quelque peu inquiète, je le suis encore davantage.

Je vous remercie de tous les éclairages apportés.

MME MYRIAM QUÉMÉNER, MAGISTRAT, SPÉCIALISTE DES PROBLÈMES DE LA CYBERSÉCURITÉ

11 juin 2014

Tous les jours, nous recevons des rapports émanant, entre autres, d'éditeurs de logiciel, qui nous donnent une idée de l'ampleur du préjudice dans le domaine de la sécurité numérique. D'ailleurs, les compagnies d'assurance ont développé des départements de façon à assurer le risque numérique, comme l'ont fait les Anglo-saxons.

Il n'existe pas, en France, de vue d'ensemble au niveau des chiffres. C'est l'une des préconisations du rapport du groupe interministériel présidé par M. Marc Robert, procureur général. Selon l'Institut national des hautes études de la sécurité et de la justice (INHESJ) et l'Observatoire national de la délinquance et des réponses pénales, 180 000 entreprises auraient été victimes d'actions de phishing, de vol en ligne, de vol d'informations, d'altération de leur site, ou d'infection de leurs machines.

Deux tendances apparaissent, la fraude externe mais aussi la fraude interne avec des contentieux qui se développent. Des salariés par vengeance, par exemple, ou dans le cadre d'une procédure de licenciement, dérobent des éléments à une entreprise. La problématique droit du travail et nouvelles technologies s'est assez intensifiée ces derniers temps.

Le fléau identifié au niveau des entreprises c'est la contrefaçon en ligne qui s'est fortement développée avec Internet. 40 % de l'activité du Service national de douane judiciaire (SNDJ) sont constitués d'affaires de contrefaçons en ligne.

En réaction, les entreprises, face parfois à un manque de moyens étatiques, ont créé leur propre service de veille avec souvent d'anciens commissaires divisionnaires ou d'anciens gendarmes.

Assez peu de condamnations par la Justice interviennent. Les affaires comme, par exemple, les escroqueries en bande organisée, ne sont souvent pas repérées en tant qu'actes de cybercriminalité alors qu'il peut y avoir des personnes qui créent leur réseau de « mules » - d'intermédiaires -, par exemple des particuliers, qui acceptent de voir transiter sur leur compte bancaire des sommes de provenance frauduleuse, du blanchiment, moyennant un pourcentage qu'elles vont recevoir ou non.

Nous avons eu le cas d'un réseau créé en Roumanie et en Chine, ce qui illustre la problématique internationale de la cybercriminalité.

La majorité des escroqueries sont des abus de confiance ou des fraudes aux cartes bancaires. On compte également beaucoup d'atteintes aux personnes comme l'usurpation d'identité en ligne, la création de faux profils. C'était le cas d'un webmestre qui, par vengeance, pour déstabiliser une entreprise, avait créé le profil d'un salarié qui n'existait pas ; il a été condamné pour usurpation d'identité en ligne.

Comme exemple de déstabilisation du site d'une entreprise, on peut citer le cas d'un grand laboratoire pharmaceutique, en l'occurrence Sanofi, dont l'une des filiales située en Algérie, a été inondée de courriels menaçants, faisant l'apologie du terrorisme, de sorte qu'une cellule de crise a dû être créée. L'auteur de cette attaque, qui ne s'est pas présenté à l'audience, a été condamné à un an d'emprisonnement.

Au niveau de la cyberdéfense, de la cybersécurité, qui sont des enjeux de sécurité nationale, il existe avec l'ANSSI un dispositif tout à fait structuré, étoffé.

Concernant les opérateurs d'importance vitale (OIV), nous avons parfois des rapports de l'ANSSI et ensuite c'est la Direction générale de la sécurité intérieure (DGSI) qui est saisie. Le dispositif est renforcé, c'est parfait et lisible.

En revanche, comme le Livre blanc sur la défense et la sécurité nationale l'indique, la cybercriminalité n'est pas intégrée dans la sécurité nationale mais il y a une porosité entre les trois niveaux suivants : cyberdéfense, cybersécurité et cybercriminalité qui est la criminalité transposée à l'ère numérique.

De plus en plus, il existe des affaires d'extorsion. Au départ, il s'agit d'une rencontre virtuelle par le truchement d'un site et ensuite un guet-apens est tendu. Cela permet des rencontres qui n'auraient jamais eu lieu.

Le dispositif autour de la cybercriminalité doit être amélioré. On parle parfois d'une certaine nébuleuse. Au niveau des services, il y a la police et la gendarmerie, ainsi que l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC).

L'Office central pour la répression de la grande délinquance financière (OCRGDF) a sorti des affaires d'escroquerie aux faux ordres de virement. Certaines entreprises, comme le Géant vert, ont osé en parler. Une sensibilisation commence à avoir lieu. C'est pourquoi, par exemple, Infogreffe est très vigilant sur la communication de renseignements, de noms, d'adresses électroniques de dirigeants.

Les délinquants vont demander, de préférence le vendredi soir, des ordres de virement.

La Délégation interministérielle à l'intelligence économique vient de mettre sur son site une alerte à destination plutôt des PME pour les sensibiliser à ces nouveaux modes opératoires.

Beaucoup d'initiatives sont prises mais pas nécessairement de façon coordonnée.

Certains magistrats ne connaissent pas l'activité de la Délégation interministérielle à l'intelligence économique.

Il est nécessaire de coordonner l'ensemble des actions de lutte contre la cybercriminalité.

Au niveau des services d'enquête, d'importants efforts sont consentis avec des formations spécialisées notamment des cellules dites NT (nouvelles technologies) dans la gendarmerie et avec des investigateurs en cybercriminalité (ICC) dans la police nationale. Pour les magistrats, il n'y a pas de spécialisation pour l'instant.

Aucune définition de la cybercriminalité ne figure dans le code pénal. Il faudrait qu'il y ait des orientations de politique pénale et que la notion de cybercriminalité soit définie ; en France, nous en avons une conception assez large. Cela comprend les infractions strictement informatiques, qui ont pour cibles les systèmes d'information, les systèmes de traitement informatisé des données, ainsi que les infractions classiques comme les fraudes, les escroqueries, qui vont être facilitées, démultipliées, par le recours à Internet. La Commission européenne parle d'infractions de contenu comme la pédophilie sur Internet, le racisme, mais cela concerne moins le domaine de l'entreprise.

La cybercriminalité n'est mentionnée que dans le code de procédure pénale dans la liste des trente-deux infractions qui peuvent se dispenser de la double incrimination en matière de mandat d'arrêt européen. Le manque de définition officielle contribue à une réticence sur ce sujet.

On dispose d'un arsenal juridique extrêmement complet avec la loi de 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, qui percevait les ordinateurs comme pouvant porter atteinte aux libertés individuelles. Mais il y a énormément d'infractions qui sont sous-utilisées comme la collecte illégale de données ; cette infraction peut intéresser les entreprises car le vol de données peut être réprimé. La doctrine est contre le fait de retenir le vol d'éléments immatériels mais, par le biais de la collecte illégale de données, on pourra apporter une réponse juridique. C'est comme le détournement de finalité. Par exemple, pour réserver une chambre d'hôtel, vous avez, communiqué vos données bancaires alors qu'on ne sait pas ce qu'en font certains hôteliers.

Tout comme la loi de 1978, la loi Godfrain de 1988, relative à la fraude informatique, est sous-utilisée ; elle ne donne lieu qu'à une centaine de condamnations par an, ce qui est assez faible.

Le dispositif législatif s'est complété au fil du temps notamment en matière de droit matériel avec l'usurpation d'identité en ligne par exemple mais surtout en matière de droit processuel, c'est-à-dire le droit de la procédure pénale, après les attentats du 11 septembre 2001 et les lois de sécurité intérieure. Au minimum une loi par an sur la cybercriminalité est adoptée depuis.

L'infiltration, c'est-à-dire entrer en contact avec une personne soupçonnée de commettre des infractions, est maintenant possible en matière de contrefaçons. La captation de données à distance n'est pas encore opérationnelle même si la loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2) commence à dater. Cela pose des problèmes techniques de mise en oeuvre : il ne faut pas confondre le logiciel espion des délinquants avec celui des officiers de police judiciaire. Les moyens d'investigation existent. Il est possible aussi de faire des copies. L'interception de communications est transposable au réseau Internet.

On ne fait pas suffisamment l'état des lieux des dispositions qui existent. Par exemple, la géolocalisation, la possibilité de surveiller quelqu'un en temps réel, est soumise au régime de l'interception téléphonique. Les arrêts de la Cour de cassation du 22 octobre 2013, ont conduit à l'adoption d'une nouvelle loi, le 28 mars 2014. Or, la surveillance était prévue par la loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité et a été étendue par la loi du 6 décembre 2013 relative à la lutte contre la fraude fiscale et la grande délinquance économique et financière. Mais le problème reste que personne n'a dit que la géolocalisation est une forme de surveillance. La doctrine l'avait dit, en prenant l'exemple de la surveillance numérique. Le traité de procédure pénale Desportes-Lazerges avait d'ailleurs indiqué que la géolocalisation pouvait correspondre à de la surveillance.

La surveillance est limitée à la surveillance physique. Or, les flux financiers, les flux illicites, étant de plus en plus dématérialisés, la surveillance présente un intérêt moindre cependant il devient intéressant d'intercepter des flux illégaux.

Il existe toujours un décalage entre le droit et la réalité.

La France a tenu compte de la réglementation internationale en effectuant la transposition de la plupart de ses textes. La convention de Budapest du Conseil de l'Europe sur la cybercriminalité, même si certains la trouvent dépassée, demeure un outil qui fixe les bases d'une réglementation internationale pénale intéressante.

La notification des failles a été mise en place. Elle est effectuée auprès de la CNIL pour les données personnelles et auprès de l'ANSSI quand cela touche à la sécurité des systèmes d'information, notamment celle des OIV.

Le milieu bancaire est très inquiet car il est déjà soumis à une surveillance étroite selon un dispositif extrêmement contraignant, par l'Autorité des marchés financiers (AMF), l'Autorité de contrôle prudentiel et de résolution (ACPR), etc. Il ne sait plus trop où il en est.

Certains cadres ignorent encore la notion d'opérateur d'importance vitale (OIV) ; cela est encore apparu récemment, lors d'une intervention chez Total. Une formation continue associant l'ensemble des acteurs de l'entreprise est donc absolument nécessaire. Les différents départements d'une entreprise doivent se parler. C'est l'intérêt de la création du poste du directeur de la sécurité. La nécessité de décloisonner les services ressort des réflexions que je mène avec le Club des directeurs de sécurité des entreprises.

Il faut mieux faire connaître l'action judiciaire auprès des entreprises. Surmontant leurs réticences premières, de grandes entreprises s'engagent maintenant à porter plainte. Pour cela, il faut mettre en place des stratégies, prendre contact avec des services spécialisés, des offices de préférence ou l'ANSSI, qui peut prendre le relais, par l'intermédiaire de son chargé de mission, pour s'engager dans une démarche de dépôt de plainte qu'il faut dédramatiser. Cela nécessite des contacts directs avec le procureur de la République ou un magistrat référent.

J'ai piloté un groupe de travail dans le cadre d'un conseil régional de politique pénale Paris-Versailles, pendant un an et demi. Nous avions mis en place, malheureusement de façon empirique, un magistrat cyberréférent au sein des parquets des principaux tribunaux de la région parisienne.

Ce qui constitue une source d'insécurité pour les entreprises c'est le problème du vol de données, d'éléments immatériels. Il y a eu quelques décisions, notamment à Clermont-Ferrand, mentionnant le vol d'éléments immatériels. Un projet de directive européenne prévoit la répression de la violation du secret des affaires - ce projet de texte émanant de la Délégation interministérielle à l'intelligence économique.

Il faudrait prévoir des infractions assez simples susceptibles d'être comprises par tous et sur lesquelles les magistrats se spécialiseraient.

Depuis trente ans, l'institution judiciaire connaît une évolution avec des spécialisations, des compétences nationales sur des sujets pointus comme le terrorisme, les crimes contre l'humanité, la santé publique, etc.

En 2004, il y a eu la création des juridictions interrégionales spécialisées (JIRS) mais elles sont tellement spécialisées en tout qu'elles traitent assez peu d'affaires en lien avec la cybercriminalité. Plus de 50 % des affaires traitées par les JIRS concernent des gros trafics de stupéfiants. Au sein des JIRS, il faudrait spécialiser des magistrats en criminalité informatique.

M. Jean-Marie Bockel avait préconisé dans son rapport, pour les attaques visant les OIV et pour des affaires complexes d'envergure qui nécessiteraient des investigations mettant en cause plusieurs pays, la création d'une juridiction spécialisée à Paris. Le procureur de Paris, M. François Molins, a écrit une note en ce sens prônant la création d'un pôle numérique en reprenant plusieurs éléments d'un ouvrage que j'ai écrit avec M. Yves Charpenel.

En revanche, les JIRS auraient vocation à traiter les petites affaires d'attaques d'entreprises en province. Il y aura peut-être des calages à opérer sur la compétence territoriale, par exemple, à Nanterre où il y a une concentration d'entreprises avec La Défense. L'OCLCTIC a un contact « TIC » au parquet de Nanterre qui est son interlocuteur privilégié. La compétence territoriale est l'une des problématiques car on a vu des procédures relatives à des escroqueries qui ont tourné dans différents parquets qui se demandaient s'ils étaient vraiment compétents. Il faut mettre un terme à ces situations qui s'apparentent à une forme de déni de justice. Le parquet de Nanterre, qui dispose d'une plate-forme de signalement, appelée « PHAROS », gérée par l'OCLCTIC, pourrait avoir vocation à traiter les procédures au même titre que Paris.

Au niveau de l'administration centrale, tous les pays européens se sont dotés de services spécialisés en matière de lutte contre la cybercriminalité numérique sauf la France. La Chancellerie a vocation à appréhender de façon officielle ce sujet en créant, par exemple, un pôle numérique rattaché soit au Secrétariat général, qui est complétement transversal, soit à la Direction des affaires criminelles et des grâces.

Pour l'instant, les magistrats qui traitent ces affaires soit ont une appétence particulière pour le sujet soit sont à la Cour de cassation. D'ailleurs, celle-ci a lancé, en 2013, tout une série de conférences consacrées au numérique, intitulée « Le numérique dans tous ses états » avec des experts, des universitaires. J'ai moi-même participé à une séance sur la preuve numérique car l'un des sujets majeurs c'est l'harmonisation des modes de preuve, au moins au niveau européen. En effet, beaucoup d'avocats qui, eux, se spécialisent, font des requêtes en nullité dans ce domaine de la preuve, fondées sur la relativité, la fragilité de la preuve numérique.

À titre d'exemple, lors d'une affaire, des avocats ont invoqué la nullité des moyens d'investigation en disant qu'il s'agissait de géolocalisation et que la loi de mars 2014 n'avait pas été appliquée. Or, il s'agissait de bornage c'est-à-dire d'interception a posteriori. Ce qui montre que les magistrats doivent avoir une idée des modes opératoires.

Il y a des affaires de fraudes à la téléphonie qui causent des préjudices très importants aux entreprises avec les numéros surtaxés. Des escrocs montent ainsi des entreprises. Il n'est pas inutile de faire de la pédagogie. Les escrocs sont défendus par des cabinets d'avocats spécialisés en la matière.

La criminalité financière et la cybercriminalité peuvent se recouper mais il y a des modes opératoires et des spécificités qui nécessitent une formation obligatoire alors qu'elle n'est encore que facultative ; elle est également ouverte aux officiers de police judiciaire. Cette formation devrait être imposée aux magistrats dès la formation initiale. Il faudrait au moins que les magistrats sachent où chercher. La Chancellerie a un rôle d'expertise et de conseil aux juridictions à jouer sur ce sujet-là. On peut envisager un forum, des formations à distance (e-learning). Cette formation devrait être pluridisciplinaire, dispensée par des experts, des avocats, des officiers de police judiciaire, qui montreraient des cas pratiques et qui dédiaboliseraient ce domaine encore ésotérique pour de non-spécialistes.

Au niveau international, on voit apparaître des opérations qui concernent l'entreprise alors qu'avant il s'agissait surtout d'opérations internationales de lutte contre la pédophilie sur Internet qui suscitent un consensus. Maintenant, il existe des affaires de contrefaçons de médicaments, les opérations PANGEA.

Récemment, la chambre criminelle a validé une procédure initialement américaine, visant à repérer des délinquants qui allaient sur des forums donnant des renseignements pour s'y livrer à de la cybercriminalité, du carding, du skimming, tout ce qui constitue une escroquerie aux cartes bancaires. La chambre criminelle a pris position et validé cette procédure en disant que l'on avait affaire à une provocation à la preuve et non pas une provocation à l'infraction qui aurait été invalidée, elle, par la chambre criminelle.

Il convient de mener une veille juridique assez importante. La Chancellerie aurait dû faire connaître et commenter cette décision de la chambre criminelle qui date d'environ trois semaines.

Pour la géolocalisation, dès 2011, le milieu universitaire avait alerté sur le fait qu'elle avait été validée en Allemagne parce qu'il existait un texte général qui prévoyait sa réglementation. En raison de l'absence de veille en France, le problème de la géolocalisation a abouti à une loi adoptée dans la précipitation.

En matière d'arsenal pénal, on dispose de tout ce qu'il faut.

Mais, contrairement aux contentieux sur les violences conjugales, les stupéfiants, la politique d'immigration, la cybercriminalité, elle, ne dispose pas de politique pénale d'ensemble. Il n'existe que des circulaires, des commentaires, etc. Il incombe au ministère de la justice de mettre en place cette politique pénale et de donner des conseils de stratégie procédurale à adopter notamment lorsqu'il s'agit d'infractions commises au préjudice des entreprises.

Des projets sont en cours au niveau du ministère de l'intérieur pour obtenir des éléments chiffrés plus précis. Pour l'instant, cela dépend d'éditeurs de logiciels qui publient certes des rapports extrêmement intéressants mais il est un peu gênant de dépendre du secteur privé pour la justice.

La coopération du secteur public et du secteur privé est prometteuse dans ce domaine mais la justice est parfois un petit peu trop prudente dans cette démarche nouvelle. L'État se voit obligé de travailler avec le secteur privé en raison des dispositifs comme la plate-forme d'interception qui sera mise en place au niveau national - il y a des accords avec Thales. Une collaboration, avec des prestataires techniques, etc., doit être menée dans le respect du rôle de chacun.

La Chancellerie devra mettre l'accent sur ce type de travaux. Le Conseil de l'Europe organise des ateliers, mène des conférences d'experts sur la cybercriminalité.

Il faudrait réfléchir à créer de nouveaux outils procéduraux plus rapides au niveau européen. Les commissions rogatoires internationales en matière de cybercriminalité sont très longues à obtenir, très lentes, avec en plus le problème de la traduction. Et pendant ce temps-là, il y a un risque dépérissement des preuves.

Il existe beaucoup de textes pour lesquels il faudrait procéder à une mise à plat avec l'aide de la commission de codification de la Chancellerie. Certains articles devraient être simplifiés, y compris ceux de la loi Godfrain même si elle reste une base très intéressante. Les systèmes ont traversé les années.

La Chancellerie a un rôle d'expertise et de conseil aux juridictions. Il faudrait expliquer ce qu'est un système de traitement automatisé des données, par exemple. Au sujet du système de vidéoprotection, les entreprises ne savent même pas qu'il existe des textes et ne connaissent pas, en l'occurrence, la loi Godfrain.

Les magistrats sont très demandeurs de conseils, de formations. Tout le monde est un peu noyé dans la masse, dans les efforts pour gérer la crise. De nouvelles problématiques apparaissent comme la monnaie virtuelle. Il va falloir réglementer sur ce sujet pour encadrer ce dispositif. Il ne s'agit pas véritablement de monnaies, il s'agit plutôt de moyens de transaction.

C'est un droit en devenir et nous sommes en formation continue.

COMPTE RENDU DE L'AUDITION PUBLIQUE DU 19 JUIN 2014 : SÉCURITÉ DES RÉSEAUX NUMÉRIQUES

SOMMAIRE

INTRODUCTION

Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'OPECST

M. Bruno Sido, sénateur, président de l'OPECST

Sécurité des réseaux numériques :

cadre juridique, risques, aspects sociétaux

Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL)

M. Gilles Babinet, responsable des enjeux de l'économie numérique pour la France (French Digital Champion), Commission européenne

QUESTIONS AUX INTERVENANTS

M. Pascal Chauve, conseiller du secrétaire général de la défense et de la sécurité nationale (SGDSN)

Mme Mireille Delmas-Marty, membre de l'Institut de France (Académie des Sciences morales et politiques), professeur honoraire au Collège de France (Études juridiques comparatives et internationalisation du droit)

M. Jean-Dominique Nollet, lieutenant-colonel de la Gendarmerie nationale, chef d'unité de laboratoire de recherche, Centre européen de lutte contre la cybercriminalité (EC3) à Europol

M. Charles Huot, président d'Aproged, président du comité éditorial du portail Alliance Big Data

Me Christiane Féral-Schuhl, avocat spécialisé en droit de l'informatique et des technologies, ancien bâtonnier du Barreau de Paris

DÉBAT

Sécurité des réseaux numériques :
cadre juridique, risques, aspects sociétaux (suite)

Table ronde animée par M. Pierre Lasbordes, ancien député, ancien membre de l'OPECST

 

M. Bernard Stiegler, philosophe, directeur de l'Institut de recherche et d'innovation du Centre Georges Pompidou (IRI), membre du Conseil national du numérique

M. Maxime Chipoy, responsable des études, UFC-Que-Choisir

M. Jean-Pierre Quémard, président de la commission de normalisation SSI et chef de délégation française à l'ISO/IEC JTC1/SC27

M. Philippe Wolf, ingénieur général de l'armement, auteur de nombreux articles et ouvrages sur le numérique

Me Éric Caprioli, docteur en droit, avocat à la Cour d'appel de Paris, vice-président du Club des experts de la sécurité de l'information et du numérique (CESIN)

Me Pierre Desmarais, avocat à la Cour d'appel de Paris, correspondant informatique et libertés, spécialisé dans les questions de sécurité numérique

Mme Valérie Maldonado, chef de service, Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC)

M. Benoît Virole, docteur en psychopathologie, docteur en sciences du langage, membre de l'Observatoire des mondes numériques en sciences humaines (OMNSH)

DÉBAT

 

CONCLUSIONS

Mme Anne-Yvonne Le Dain, députée, vice-présidente

M. Bruno Sido, sénateur, président

LES ASPECTS NORMATIFS DU RISQUE NUMÉRIQUE
(SÉCURITÉ DES RÉSEAUX NUMÉRIQUES)

Introduction

Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'OPECST. - L'Office parlementaire d'évaluation des choix scientifiques et technologiques a été créé en 1983. C'est le seul organe qui soit commun au Sénat et à l'Assemblée nationale. Composé de dix-huit députés et de dix-huit sénateurs, il élabore des rapports sur des thèmes scientifiques et technologiques particulièrement complexes afin de les vulgariser, pour que tous les parlementaires puissent, en peu de temps, être à même de réagir lorsque des projets de loi sont présentés dans ces domaines. C'est en tout cas son acception initiale.

Depuis, la question scientifique et technologique est entrée dans les inquiétudes du monde moderne et beaucoup de commissions, au Sénat ou à l'Assemblée nationale, se saisissent de sujets qui ont une connotation ou une force scientifique.

Ce n'est pas toujours simple. C'est aussi la raison pour laquelle l'Office parlementaire considère qu'il est de son devoir d'être sur tous les champs et de sortir très largement du domaine dans lequel il semblait peut-être s'être spécialisé, à savoir le nucléaire. En trente ans, l'Office a abordé beaucoup de domaines.

Dès l'an dernier, l'Office a organisé une journée sur le risque numérique que nous approfondissons actuellement par un travail de fond conduit par deux parlementaires, le sénateur Bruno Sido et moi-même, sur les grandes questions autour du numérique, entre risques et opportunités, entre France et Europe, entre Europe et monde. C'est une question importante.

C'est à la suite d'une saisine de la commission des affaires économiques du Sénat que l'Office conduit cette étude autour du risque encouru par les entreprises qui utiliseraient sans trop de précaution les moyens numériques actuels. La commission pense en particulier au stockage des données dans les nuages (cloud computing), mais aussi aux composants présents dans les coeurs de réseaux.

Pour traiter de ces thèmes extrêmement techniques, les rapporteurs ont choisi de prendre comme exemples les entreprises du secteur des télécommunications et celles du secteur de l'énergie, ces deux secteurs étant considérés comme d'importance vitale.

On sent bien également que ces secteurs touchent à de grandes entreprises et à des ETI, mais aussi à des innovations importantes qui peuvent être portées par de très petites entreprises et des entreprises débutantes. Nous sommes en plein dans le champ de la nouvelle économie du XXIe siècle.

En général, chacune des études de l'OPECST donne lieu à une centaine d'auditions. Dans ce cadre, M. Bruno Sido, en tant que président de l'OPECST, et moi-même, en tant que vice-présidente, avons été désignés. Actuellement, nous avons procédé à plus d'une soixantaine d'auditions incluant des visites sur le terrain. Parmi celles-ci, deux journées d'audition publique ouverte à la presse ont été organisées, l'une portant sur l'éducation au numérique et celle d'aujourd'hui qui porte sur le cadre juridique de cette technique, à laquelle vous avez bien voulu participer. Je vous en remercie.

Une troisième journée d'auditions donnera lieu à un dialogue, d'une part, avec les opérateurs d'importance vitale, et, d'autre part, avec les sociétés de sécurité numérique, ce dont je les remercie vivement.

La présente audition est enregistrée en vidéo et figurera, dès les jours prochains, sur les sites de l'Assemblée nationale et du Sénat. Elle fera également l'objet d'un compte rendu qui sera annexé au rapport final.

Comme il a été indiqué à chacun d'entre vous, les interventions d'horizons fort divers seront toutes axées sur la sécurité des réseaux numériques en ce qu'elle concerne les entreprises mais ce sera, à chaque fois, selon les angles d'attaque qui vous sont propres et qui vous caractérisent, selon vous-même, selon l'organisme auquel vous appartenez ou encore en fonction de vos thèmes de recherche privilégiés, selon votre choix et donc votre liberté.

Quant à moi, compte tenu de la grande qualité des intervenants rassemblés aujourd'hui et de l'actualité brûlante de nos débats et de ce sujet qui est très présent dans l'espace public national et européen, j'ai insisté auprès de Mme Axelle Lemaire, secrétaire d'État chargée du numérique, auprès du ministre de l'économie, du redressement productif et du numérique, M. Arnaud Montebourg, pour qu'elle vienne parmi nous à l'occasion de cette journée. Mme Axelle Lemaire nous rejoindra vers 16 heures.

Je vais donner la parole à Mme Isabelle Falque-Pierrotin. Les missions dévolues à la CNIL, qui fut, dès 1978, l'une des premières institutions, non seulement française, européenne, mais mondiale, à travailler sur ces questions-là, ont considérablement évolué. Il s'agit maintenant de les concilier avec celles dont l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est en charge.

Sécurité des réseaux numériques : cadre juridique, risques, aspects sociétaux

Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL). - À la CNIL, nous avons dressé un constat. Cet univers numérique pose des questions de sécurité extrêmement complexes et un peu nouvelles.

Premièrement, nous sommes face à un écosystème qui fait intervenir de multiples acteurs, avec des relations qui ne sont pas toujours précises entre les prestataires, les acteurs principaux et toute une série d'acteurs qui interviennent derrière. Il y a une forme de dilution des responsabilités.

Deuxièmement, dans cet univers où les technologies se renouvellent en permanence, les questions de sécurité sont sans cesse renouvelées. Le nuage numérique ou cloud, les données massives ou big data, les objets connectés ou le Bring Your Own Device (BYOD) posent, chacun, une question de sécurité et une manière d'assurer la sécurité qui sont nouvelles.

Troisièmement, cette culture de l'Internet place l'individu au centre. C'est à la fois formidable de par les pouvoirs d'actions que cela lui donne, mais en même temps, cela conduit certains d'entre eux à adopter une pratique de contournement. On l'a vu dans des législations qui ne recevaient pas l'approbation de la masse des individus, je pense au téléchargement de musique. Cela peut aussi conduire beaucoup d'individus à se mettre eux-mêmes dans une situation de péril par rapport à leur propre sécurité. Notamment au sein des réseaux sociaux, les individus divulguent beaucoup de données personnelles. Évidemment, cela pose de nouvelles questions de sécurité.

À ces comportements s'ajoute une dimension supplémentaire : l'attractivité des données personnelles. Les données qui sont au coeur de l'économie numérique sont un gisement extrêmement séduisant et attractif pour les entreprises mais aussi pour les gouvernements dans le cadre de la lutte contre le terrorisme ou dans celui de l'espionnage. Cette convoitise vis-à-vis des données renouvelle également les questions de sécurité.

Ces quatre facteurs nous conduisent à rechercher une nouvelle manière de traiter les problèmes de sécurité dans cet univers numérique. Première question : sommes-nous armés pour les traiter ? Je crois que la réponse est oui, à une condition : que nous ayons une réponse qui corresponde à la culture de l'univers auquel nous faisons face. Concrètement, nous devons apporter une réponse de « sécurité en réseau ». En effet, aucun acteur n'a l'ensemble des clés pour piloter à lui seul la sécurité de cet univers. En revanche, si l'on s'adresse à l'ensemble des acteurs concernés, et que chacun d'entre eux a une action, une responsabilité particulière en termes de sécurité, alors nous pouvons collectivement garder cet univers sous contrôle, en tout cas au niveau de la sécurité de celui-ci.

Qu'est-ce que signifie avoir une « sécurité en réseau » ? Le premier axe, ce sont les entreprises. Vous l'avez dit, madame Le Dain, c'est le coeur de votre préoccupation d'aujourd'hui. L'objectif est de responsabiliser ces acteurs professionnels et ces entreprises, afin qu'ils intègrent dans leur propre fonctionnement cet objectif de garantie de la sécurité des réseaux, et pour nous, à la CNIL, de la sécurité des données personnelles.

Ces acteurs professionnels, nous les connaissons : à travers l'article 34 de notre loi informatique et libertés qui responsabilise en termes de sécurité les responsables de traitement. Ce sont à la fois les opérateurs de réseau et ceux qui offrent des services. Tous ces acteurs professionnels ont la responsabilité des données personnelles qui transitent chez eux ou qu'ils utilisent. Ils doivent en assurer l'intégrité et veiller à ce que l'accès par des tiers auxdites données soit strictement encadré. Dans cet « accès par les tiers », on voit arriver ceux qui convoitent les données à des fins commerciales ou de renseignement.

Cet article 34 est la pierre angulaire de l'enjeu de sécurité au regard de la loi informatique et libertés. Nous l'appliquons de façon uniforme en général mais avec des régimes particuliers liés à certaines catégories de données.

Par exemple, les données de santé font l'objet dans notre législation d'une protection plus forte en termes de sécurité et il existe, notamment, un régime juridique des hébergeurs des données de santé qui doivent être agréés.

On distingue aussi des catégories particulières d'acteurs. Les opérateurs de communications électroniques sont ainsi tenus, depuis 2011, de notifier les failles de sécurité (article 34 bis de la loi). Cela signifie que celles-ci doivent être signalées dans un délai court à la CNIL, quel que soit le niveau de la faille. Et s'ils ne le font pas, ils encourent des sanctions pénales. Par ailleurs, ces opérateurs ont l'obligation d'informer les personnes de l'existence de cette faille, sauf si celle-ci n'a porté atteinte à aucune donnée personnelle ou qu'ont été prises des mesures pour qu'il n'y ait pas de violation de données personnelles dans le cas où la faille interviendrait. Par exemple, si les données ont été cryptées, il n'y aura pas d'obligation de notification aux personnes même si un tiers y a accès. Les opérateurs ont donc une obligation renforcée en termes de sécurité des données personnelles, par rapport à la responsabilité générale de l'article 34.

Enfin, certaines technologies ou usages font l'objet d'un encadrement spécifique de la CNIL par des recommandations, par exemple, sur le vote électronique ou la carte bancaire sans contact.

Tout cet arsenal est-il efficace ? À ce stade, dans la politique de contrôle que nous menons, et qui ne porte pas spécifiquement sur cette question de la sécurité, je dirais que nous constatons, dans la plupart des cas, des manquements en termes de sécurité des traitements. Même si certains de ces manquements peuvent être aisément corrigés ou révèlent surtout un manque de culture « privacy », plutôt qu'une volonté de contourner la loi, ce constat est loin d'être positif.

D'autre part, concernant les failles de sécurité, les opérateurs de réseau ont eu beaucoup de réticences à appliquer cette législation, à tel point que nous avons dû les réunir au début de l'année pour leur adresser le message ferme que cette législation s'appliquait, qu'on la leur expliquait, mais que cela faisait désormais partie de leurs obligations.

J'aurais donc tendance à penser que la prise en compte de ces questions de sécurité est progressive mais lente, même si les outils de conformité existent. Je n'ai pas mentionné les outils pédagogiques que nous développons par ailleurs. Nous travaillons ici en étroite collaboration avec l'ANSSI.

De plus, nous rencontrons des difficultés dans la mobilisation de ces outils. Les sanctions que nous pouvons prononcer, notamment les sanctions pécuniaires, obéissent à une procédure contradictoire assez sophistiquée. Pour qu'il y ait sanction pécuniaire, il faut une mise en demeure préalable. Or, dans le cas des failles de sécurité, lorsque nous sommes saisis, la faille est en général déjà fermée. Donc la mise en demeure ne sert pas à grand-chose.

Au cours de l'année 2013, selon la société Symantec, les failles de sécurité ont augmenté de 62 %, dont plus de dix failles majeures, c'est-à-dire concernant plus de 10 millions de personnes. Face à des situations de ce type, dans la plupart des cas, nous ne pouvons au maximum que prononcer un avertissement public. Ce n'est pas satisfaisant.

Comment, dès lors, améliorer le dispositif ? D'abord, nous avons fait des propositions qui ont été prises en compte dans la loi du 17 mars 2014 sur la consommation (loi n° 2014-344 du 17 mars 2014, article 105 modifiant l'article 44 de la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés). Nous avons demandé la possibilité d'opérer des contrôles en ligne. Dans le cadre des failles de sécurité, ces contrôles à distance sont extrêmement efficaces.

Ensuite, nous avons fait une proposition à la ministre, Mme Axelle Lemaire, pour que nous puissions prendre des sanctions sans mise en demeure préalable dans certains cas très particuliers d'urgence ou de gravité extrême. Notamment lorsqu'on se trouve en présence d'une faille majeure qui doit être très rapidement traitée, nous pourrons ainsi avoir la possibilité d'aller au-delà d'un seul avertissement.

Le règlement européen est un autre élément qui va changer la donne sur la question de la responsabilisation des opérateurs économiques. Il va donner à la sécurité une dimension nouvelle pour deux raisons. Premièrement, les sous-traitants vont se voir attribuer des responsabilités spécifiques au regard de la loi informatique et libertés, au même titre que les responsables de traitement, ce qui n'est pas le cas aujourd'hui. Les sous-traitants sont actuellement soumis à une obligation de sécurité, mais nous ne pouvons prononcer de sanctions que par rapport aux responsables de traitement.

La deuxième avancée du règlement européen est la mise en place de l'accountability, c'est-à-dire la responsabilisation des entreprises par rapport aux données personnelles, à travers un certain nombre d'instruments internes aux entreprises par lesquels elles doivent démontrer qu'elles appliquent effectivement les principes de la loi informatique et libertés. Par exemple, le Privacy Impact Assessment (PIA), outil d'analyse d'impact, va les conduire à mener une analyse de risque sur les traitements importants qu'elles mettent en oeuvre. Ces PIAs peuvent renforcer la responsabilisation des acteurs professionnels.

En conclusion, concernant les acteurs professionnels, je crois que nous disposons des outils et nous les complétons à la marge mais que la prise de conscience ne se fait pas aussi vite qu'on pourrait le souhaiter.

La deuxième cible, ce sont les individus. J'ai compris en vous écoutant, madame Le Dain, qu'ils n'étaient pas au centre des préoccupations de votre étude. Mais, en réalité, l'individu est un personnage central dans la sécurité. On sait bien qu'une partie des failles de sécurité vient des individus eux-mêmes, notamment au sein de l'entreprise. Il est donc absolument essentiel de faire passer des messages auprès d'eux. À cet égard, je vois deux leviers.

Le premier levier consiste à développer une culture de la sécurité auprès des individus, montrant l'interdépendance nouvelle entre les uns et les autres à travers cette interconnexion généralisée, et les réflexes nouveaux qu'il faut avoir. C'est l'une des briques très importantes au sein du programme général d'éducation au numérique que nous promouvons avec d'autres. La CNIL a en effet pris l'initiative de construire un collectif visant à faire reconnaître l'éducation au numérique comme une grande cause nationale en 2014. Il faut faire passer un message général auprès des individus en leur disant qu'ils sont, désormais, acteurs de la sécurité et qu'ils doivent en être conscients.

Le deuxième levier, probablement plus positif, est de dire à l'individu que, par rapport à ces atteintes à la sécurité, notamment relatives à ses données, il peut, lui-même, améliorer la maîtrise de ses données personnelles et donc celle de sa sécurité, en mobilisant les droits qui sont les siens, au regard de la loi informatique et libertés ou du futur projet de règlement européen.

Par exemple, le droit à l'oubli qui va être consacré par le projet de règlement européen. Il s'agit de la capacité qu'a l'individu de maîtriser le devenir de sa donnée et c'est aussi un moyen d'assurer la sécurité de ses données par rapport à d'éventuelles captations par des tiers.

Le droit à l'oubli vient d'être renforcé par un arrêt de la Cour de justice de l'Union européenne qui a affirmé un droit complémentaire qui est le droit au déréférencement, c'est-à-dire la possibilité pour chaque individu, non seulement d'aller voir le site auprès duquel l'information a été initialement publiée, mais de s'adresser aux moteurs de recherche pour demander le déréférencement de sa donnée dans certaines conditions. C'est la première fois que ce droit est affirmé. C'est un élément de sécurisation, par l'individu lui-même, de ses données.

Un autre exemple est le droit à la portabilité des données. Ce droit n'existe pas actuellement en droit français, mais il existera en application du projet de règlement européen. Ce droit à la portabilité offre aux individus la possibilité d'aller voir la plate-forme, le vendeur auprès duquel il a déposé toute une série de données personnelles, pour récupérer celles-ci et les porter ailleurs. Là aussi, c'est un moyen pour l'individu de maîtriser ses données et d'en assurer lui-même la sécurité.

Concernant la responsabilisation des individus, toutes les nouvelles initiatives qui se développent aujourd'hui vont permettre à l'individu de récupérer ses données pour les valoriser d'une autre façon et pour profiter d'un certain nombre de nouveaux services. Je pense, par exemple, au projet MesInfos (fing.org). Tous ces services nouveaux visent à placer l'individu dans la chaîne de sécurité, en lui faisant passer le message suivant : vous êtes les acteurs de votre propre sécurité.

La troisième dimension est collective. Les enjeux de sécurité sont systémiques. Bien que la CNIL soit moins directement concernée par cet aspect, l'affaire Prism a révélé que nous sommes face à une infrastructure générale d'information qui conduit à automatiser la surveillance, de manière systématique et indifférenciée, de tous les citoyens européens à travers l'usage quotidien qu'ils font des plates-formes. Pour des raisons de lutte contre le terrorisme, nous dit-on. Ce dispositif de surveillance révèle la complexité des partenariats entre les acteurs publics et privés, mais, au fur et à mesure que s'égrènent les révélations de M. Snowden, nous apprenons que la question ne concerne pas que l'Europe et les États-Unis d'Amérique, mais aussi ce qui se passe chez chacun.

Par rapport à ces révélations, la CNIL pose deux questions : comment assurons-nous la maîtrise de notre gisement informationnel, c'est-à-dire les données de nos concitoyens européens, par rapport à des tiers étrangers ? Comment assurons-nous, sur ce gisement de données informationnelles, la protection des libertés de nos concitoyens français ou européens, y compris vis-à-vis des services de renseignement du pays de chacun ?

En tant qu'autorité en charge de la protection des données personnelles, la CNIL s'est intéressée à ces deux objectifs. Des réponses commencent à se mettre en place. Elles sont complexes et pas encore conclusives.

Lors d'une audition qui s'est tenue quelque temps après l'affaire Prism, nous avions proposé au Parlement européen une première réponse, qui a été reprise par les parlementaires. C'est l'introduction, dans le projet de règlement, de l'article 43a, qui dit la chose suivante : dès qu'une autorité administrative étrangère veut avoir accès à des données concernant des citoyens européens, elle doit, d'une manière ou d'une autre, avoir l'accord d'une autorité nationale européenne. Un tel accord reste à définir, mais c'est un verrou car on ne peut plus, dès lors, aspirer, sans rendre des comptes, le gisement de données de citoyens européens pour des raisons de renseignement, de lutte contre la corruption, de contrôle des données passagers, etc. On ne le sait pas, mais, en réalité, beaucoup de finalités ont déjà conduit à des demandes d'accès de ce type. Or, cela ne peut être fait sans qu'il y ait une négociation et un cadre qui soient élaborés entre l'autorité étrangère qui demande l'accès et les autorités nationales européennes concernées. Ce débat est assez technique, mais essentiel car il peut permettre de « glisser un pied dans la porte » si je puis dire.

Faut-il aller au-delà et imaginer une loi de blocage au niveau européen ? Il faut y réfléchir. On sent bien qu'on ne peut pas continuer à laisser se mettre en place une surveillance généralisée, systématique et automatisée, d'autant qu'un deuxième élément est intervenu. L'arrêt de la Cour de justice de l'Union européenne du 8 avril 2014 a invalidé la directive data retention relative à la conservation des données de connexion au regard de la charte des droits fondamentaux - articles 7 et 8. En résumé, les juges disent qu'il existe une forme de disproportion dans le dispositif qui a été adopté. Le rapport d'analyse et d'évaluation qui a été rédigé par la Commission quelques mois avant, avait également conclu que ce dispositif n'était pas optimum.

On voit bien que, vis-à-vis de tiers extérieurs à l'Union, il faut apporter des réponses et affirmer la souveraineté numérique de l'Europe. Mais, d'une façon générale, des accès aussi massifs, indifférenciés et automatisés, concernant des citoyens européens, y compris par leurs propres autorités de renseignement, ne sont pas acceptables.

Cela a conduit la CNIL à faire une proposition aux autorités nationales françaises. Aujourd'hui, les fichiers de renseignement ne font l'objet d'aucun contrôle externe de qui que ce soit. Cela n'est pas sain, compte tenu de l'ampleur de la surveillance qu'a révélée l'affaire Prism. Désormais, il est nécessaire d'apporter des garanties aux citoyens sur l'existence d'un cadre, proportionné, de ladite surveillance. Nous avons proposé aux pouvoirs publics que la CNIL puisse être chargée du contrôle des fichiers de souveraineté dans certaines conditions, notamment dans des conditions d'habilitation « secret défense », avec un collège spécifique qui existe déjà à la CNIL à travers le droit d'accès indirect. Ces fichiers de souveraineté sont totalement dérogatoires au regard de notre loi par rapport aux autres fichiers de police. Nous demandons que ce collège spécialisé de la CNIL puisse contrôler non pas l'activité des services de renseignement, mais le fait que ces fichiers fonctionnent dans le respect du droit des personnes.

Je terminerai par une dernière proposition pour améliorer cette « sécurité en réseau ». La CNIL travaille avec d'autres autorités publiques : l'ANSSI, l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), Signal Spam et toute une série d'autorités avec lesquelles nous avons signé des conventions sur ces questions de sécurité pour travailler ensemble. Il me semble que nous gagnerions collectivement beaucoup si, sur cette question de la sécurité, nous allions peut-être plus loin à travers un groupe de contact, en tout cas des échanges continus entre les acteurs publics concernés, sur ces questions qui sont d'intérêt commun.

M. Bruno Sido, président de l'OPECST. - Merci madame la présidente pour l'éclairage nouveau que vous avez su donner à votre présentation. Je suppose qu'elle va donner lieu à des questions après l'intervention de M. Gilles Babinet.

Mme Le Dain et moi-même nous sommes rendus à Bruxelles la semaine dernière pour une journée d'entretien avec des responsables de la sécurité numérique. Il nous est apparu que l'imbrication des normes juridiques et techniques internationales, européennes et nationales, avait atteint un certain degré de complexité - c'est un euphémisme -, peut-être au détriment de leur efficacité.

Pour autant, des solutions ne sont pas davantage à attendre d'un surcroît de normes que d'une simplification de celles-ci. Elles viendront plutôt d'une réflexion d'ampleur sur tous les changements de mentalité et de comportements que suppose le recours généralisé à l'usage des outils du numérique sur des réseaux dont les failles techniques viennent souvent aggraver les failles humaines.

M. Gilles Babinet, responsable des enjeux de l'économie numérique pour la France (French Digital Champion), Commission européenne. - Ce débat d'aujourd'hui est essentiel. Je vais vous faire des commentaires directement liés aux enjeux de sécurité, en particulier sur ce qui se fait au niveau européen, puis je ferai des commentaires plus généraux sur les sujets de la donnée.

En matière de sécurité, plusieurs initiatives existent ou ont existé au niveau européen. Ces éléments de normalisation peuvent être le fait directement de l'Europe, ou le fait d'agences de normalisation qui n'y sont pas directement rattachées, mais dont l'impact sur la façon de structurer les réseaux est très conséquent. Je pense à l'European Telecommunications Standards Institute (ETSI) par exemple. Ils peuvent aussi être le fait de la correspondance entre des organismes techniques liés à la création de formats de sécurité sur Internet en particulier. Ces travaux sont principalement techniques, ils n'ont pas de nature à proprement parler juridique (recherche d'algorithme, de modèles d'échanges les plus performants entre les systèmes au sens large).

D'une façon générale, l'Europe se réveille un peu en retard en matière de sécurité. Les grandes sociétés de conseil font assez régulièrement des comparaisons en matière de processus de sécurité dans les entreprises, je pense à l'étude de Capgemini, par exemple, il y a deux ans. Elles montrent clairement que les sociétés américaines accordent plus d'attention à la sécurité que les sociétés européennes. Et au sein de l'Europe, il y a de grandes différences entre les pays.

Malheureusement, la France n'a pas investi beaucoup, même s'il y a un rattrapage dans ce domaine. J'en tiens pour preuve un exercice que j'ai lancé avec le journal Les Échos il y a deux mois, qui consiste à mesurer l'agilité numérique des entreprises du CAC 40. Le sondage comporte une centaine de questions et à ce jour, j'ai pris connaissance de vingt-six formulaires. Sans révéler de noms, je peux vous dire que la prise de conscience est extrêmement récente et qu'elle se traduit par un accroissement important des budgets consacrés à la sécurité. Approximativement, pour les entreprises dont nous avons dépouillé les résultats, la croissance des budgets en matière de sécurité entre 2012 et 2013 est de l'ordre de 40 %. Le budget moyen se situe aux alentours de 70 millions d'euros. Ce sont des montants importants qui sont affectés à la fois aux processus technologiques et aux formations des cadres dirigeants, des cadres intermédiaires et des équipes en général.

Deux affaires publiques, que l'on peut évoquer, ont réveillé les consciences puisque, semble-t-il, il y a eu des fuites importantes au sein d'Airbus et d'Areva, alors qu'une attention forte était donnée à la sécurité. En tout cas, dans l'une de ces deux entreprises, ce n'est pas en soi les processus techniques qui ont failli, mais une formation insuffisante des équipes qui n'étaient pas éveillées au risque de faille dans la sécurité.

À l'échelle européenne, je peux également vous dire qu'il y a la volonté d'une sorte de souveraineté de la sécurité européenne. Mme Neelie Kroes s'est exprimée à cet égard, elle y est sensible et pense qu'il faut absolument une coordination européenne à cet égard. Au-delà, il existe des financements européens qui sont affectés à une trentaine de projets, dont quelques-uns ont une taille significative.

Je pense en particulier au financement des réseaux quantiques. Ceux-ci ont une caractéristique : sur la partie transport, ils sont impossibles à espionner, c'est-à-dire que l'on ne peut pas extraire de la donnée sans que ce soit visible dans le réseau. Les travaux qui sont menés à cet égard sont assez prometteurs. Cela ne résout pas tout, parce qu'il peut y avoir des failles humaines ou des failles de traitement. Je ne parle pas d'ordinateur quantique, mais juste de transmission de données. Mme Neelie Kroes s'est encore récemment exprimée sur ce sujet. C'est intéressant de voir que l'Europe peut être chef de file dans ce domaine, c'est ce qui semble être le cas aujourd'hui.

Je ne suis pas un spécialiste de Prism. Je lis la même chose que vous dans la presse et je me garderai bien de faire des commentaires de comptoir. En revanche, sur l'accord commercial transatlantique TAFTA (Trans-Atlantic Free Trade Agreement), je peux vous dire objectivement qu'il a été très mal vécu au sein de la Commission européenne, laquelle l'a perçu comme une trahison. D'ailleurs, cela a ralenti les discussions. Et sans connaître aucunement ce qui se dit en matière de traité transatlantique pour les données, puisque par définition ces négociations sont secrètes, je crois savoir que cela a permis aux Européens d'être beaucoup plus attentifs à cette notion et donc assez exigeants.

Je voudrais aussi vous dire que depuis l'affaire Prism, des initiatives sont prises par différents pays. En particulier, l'initiative allemande me semble assez intéressante à certains égards. Elle comporte plusieurs aspects.

Il y a d'abord cette idée selon laquelle il faut que les données soient localisées dans des pays européens. Je trouve cette initiative infondée. Cela n'a pas de sens au plan technique. Ce qui est important, c'est la sécurité que l'on assure à ces données et la façon dont on les traite. La localisation technique des données n'a aucun sens. Je peux vous dire que, dans bien des cas, les administrateurs des nuages numériques (clouds) ont eux-mêmes du mal à savoir où se trouvent les données. Pour des raisons techniques de sécurité des données, mais aussi pour des besoins de performance, ces données sont répliquées. Dans certaines grandes entreprises, les expériences ont montré que les mêmes données sont localisées dans plus de trente endroits à la fois. De fait, imposer une localisation géographique, cela créerait, d'une part, des contraintes supplémentaires dans la gestion de ces données, et, d'autre part, cela limiterait la performance des réseaux et donc des acteurs propriétaires de ces données.

Le nuage numérique européen est une initiative très populaire dont on entend beaucoup parler. Je regrette que l'argent investi par la France dans cette idée de « nuage souverain » n'ait pas été investi en sécurité des données. Cela m'aurait semblé beaucoup plus pertinent. Je me suis déjà exprimé à ce titre, j'en profite pour le redire.

Les Allemands ont également pris l'initiative d'émettre leurs normes de sécurité. Ils ont recommandé que ce soit une norme nationale largement répandue. J'ai émis exactement la même idée auprès du ministère du redressement productif. J'aurais beaucoup apprécié que ce soit une norme européenne, mais il est possible de créer, ou en tout cas d'utiliser les normes existantes « adaptées », pour faire en sorte que ce soient des normes européennes ou nationales et qu'elles soient très sûres.

On sait, par exemple, qu'il y a des failles très importantes dans le SSL, une norme massivement utilisée et que l'on continue malgré tout à utiliser. Comme c'est une norme vieillissante, il a tendance à disparaître, mais c'est une norme percée qui continue à être utilisée.

Voilà les commentaires que je voulais vous faire sur ce qui se passe en Europe. D'une façon plus générale, et comme vient de le dire Mme Falque-Pierrotin, tout cela repose très largement sur le droit, un droit qui soit le plus constant possible et dont l'assiette géographique soit la plus large possible.

Il faut garder à l'esprit deux modèles anthropologiques qui s'affrontent. Le modèle anglo-saxon, une culture de la common law facilite à mon sens très largement l'expérimentation. Il considère que l'innovation est une notion intrinsèquement prioritaire, il faut d'abord expérimenter et on verra après. Bien que j'aie de très nombreuses critiques à son égard, c'est le modèle qui prédomine dans les GAFA (Google, Amazon, Facebook, Apple). Le modèle tente un tas de choses et il essaie de préserver une contrepartie implicite, c'est-à-dire qu'on vous rend un service de la plus grande valeur, souvent gratuitement, et en contrepartie, vous acceptez les conditions. On considère que votre droit, c'est de ne plus les accepter. Évidemment, on peut juger cela assez inégal. Il n'empêche qu'aujourd'hui des milliards de gens acceptent ce contrat implicite sous cette forme.

Cela doit nous faire réfléchir. Sans vouloir défendre nécessairement ce modèle anglo-saxon, je pense que le modèle qui consiste à avoir une régulation ex ante, a priori, est problématique dans certains cas, dans la mesure où certaines sociétés vont chercher à s'en affranchir. J'ai été surpris, dans le cadre des auditions que j'ai menées sur le CAC 40, qu'un certain nombre de sociétés m'avouent avoir décidé d'héberger leurs données en dehors de l'Europe, voire de les faire héberger avec une sorte d'isolation juridique, pour s'affranchir des contraintes de régulation européenne. C'est quand même lié aussi à des enjeux de sécurité et cela nous pousse à y réfléchir.

Au-delà, j'observe que tous ces principes de régulation sont jugés éminemment complexes et ils sont confiés à des autorités administratives. Il y a une difficulté à avoir un débat citoyen de bonne qualité sur ce sujet. Lorsque vous êtes dans des zones extrêmement exploratoires et innovantes, le risque est d'avoir une régulation mal calée, qui finalement impacte la capacité d'innovation ou même d'inclusion sociale des nations.

Je pense en particulier au système de santé. Les systèmes de santé numériques recèlent des opportunités extraordinaires. Je ne cesse de le dire à une époque où les finances publiques sont en grand péril. On devrait accélérer notre mutation vers ce système de santé. Mais nous sommes tous conscients qu'il comporte également des risques très importants pour les citoyens. Pour caricaturer, une société d'assurance qui découvrirait dans un traitement de données que quelqu'un va avoir un cancer n'a aucun intérêt objectif à l'assurer. Cela est bien compris par tous. Pour autant, les croisements de données ont des capacités prédictives, des capacités d'augmentation de la qualité de prescription, de diagnostic, qui sont absolument incroyables. J'écris actuellement un livre sur ce sujet. Je pense qu'une des raisons qui ont ralenti notre capacité à faire émerger une médecine digitale du XXIe siècle, c'est un a priori qui consiste à croire que l'on ne peut rien faire sans que la régulation soit parfaitement calée.

Le risque, qui est à mon sens aujourd'hui avéré, c'est finalement que les gens en viennent à confier leurs données à Apple par exemple, lequel vient de faire une annonce en ce sens. La qualité et la capacité de traitement de ces sociétés vont devenir tellement importantes à court terme, en quelques années, qu'il est probable que toute cette partie de traitement et de diagnostic soit progressivement extraite du système de santé publique pour être confiée à des acteurs privés. Ceux-ci vont récupérer des quantités de données incroyables qui seront affranchies dans une certaine mesure du droit européen parce que ce sera une exigence citoyenne. Les citoyens vont vouloir utiliser ces services. Il y a là quelque chose qui devrait nous pousser à réfléchir en matière de sécurité. Toutes ces données qui partent à l'extérieur des institutions et des entreprises européennes, c'est finalement une perte de souveraineté.

Je finirai par un mot sur le droit à l'oubli, qui a été abordé. Selon l'arrêté de la Cour de justice de l'Union européenne, ce droit donne la possibilité de modifier les données vous concernant. Là aussi, j'ai beaucoup d'inquiétudes. J'ai rencontré une association d'archivistes qui m'a dit que, dans une certaine mesure, c'est une possibilité de réécriture de l'histoire. Évidemment, je me place avant tout du côté des citoyens et des individus, mais je pense que, dans bien des cas, des gens qui ont été justement critiqués pourraient demander la modification des données qui les regardent.

De mon point de vue, cela reflète malgré tout un manque d'agilité numérique des institutions en général qui ont du mal à comprendre les enjeux. Finalement, il me semble que l'ensemble de la régulation et l'harmonisation de la régulation ne doivent pas passer nécessairement par des analyses techniques, mais plus par des analyses éthiques et d'usages en général. Cela est également vrai dans le domaine de la sécurité, où ce n'est pas la technologie qui résout les problèmes, mais davantage la formation des gens.

Pour conclure, je dirais qu'il faut accélérer la prise de conscience à l'égard de l'ensemble de cette formidable révolution digitale. C'est le point principal de mon intervention. C'est la seule façon pour accroître la sécurité et finalement, pour arriver à l'émergence d'une Europe numérique et l'inclusion citoyenne dans cette nouvelle ère.

Questions aux intervenants

M. Bruno Sido. - Je vous remercie pour les éclaircissements européens que vous nous avez apportés et l'annonce de nouvelles perspectives qui, je l'espère, apporteront des solutions pragmatiques dans les meilleurs délais.

Parallèlement, la question de la place du numérique dans les négociations du nouveau traité de partenariat transatlantique se pose, ainsi que celle du rythme de négociation de ce traité par rapport à l'élaboration du règlement européen annoncé.

Nous allons maintenant entamer un bref débat à partir des questions que les autres intervenants de la matinée voudront bien adresser à Mme Isabelle Falque-Pierrotin et à M. Gilles Babinet.

Mme Anne-Yvonne Le Dain. - Je serai un peu plus incisive. Je souhaiterais demander à Mme Falque-Pierrotin comment elle réagit aux propos de M. Gilles Babinet.

Mme Isabelle Falque-Pierrotin. - Je partage ce qui a été dit sur l'insuffisante prise en compte de ces questions de sécurité globalement par la sphère économique française. Cette prise en compte est très récente et insuffisante jusqu'à maintenant.

Sur la localisation des serveurs, je crois effectivement que, sur un plan technique, cela n'a pas grand sens. C'est d'ailleurs un élément qui est dans l'arrêt de la Cour de justice de Luxembourg sur les données puisque la Cour dit que les données des opérateurs de communications devraient être hébergées en Europe. Pour ma part, je crois que, sur le plan de la protection des données personnelles, imposer l'obligation de localiser les serveurs en Europe n'apporte pas de protection. En réalité, la question est de savoir qui opère lesdits serveurs. Dès lors que c'est par une société qui est en fait soumise au droit américain, directement par une société américaine ou une filiale, que le serveur soit basé en Europe, à Paris ou aux États-Unis, les données sont accessibles par la NSA ou par une autorité publique américaine. Donc la localisation n'apporte rien, si ce n'est, par rapport au régulateur que nous sommes, qu'elle permet des contrôles sur place qui sinon n'existent pas. Symboliquement et peut-être aussi opérationnellement, on peut se rendre sur place pour voir les logs et les fichiers. Mais je ne suis pas sûre que, sur le plan de la protection de notre gisement informationnel par rapport à des accès qui seraient demandés, au titre de lois étrangères, par des autorités ou des acteurs étrangers, ce soit en imposant la localisation en Europe que l'on va changer quoi que ce soit.

Peut-être que pour certaines données, on peut avoir un service à valeur ajoutée dans lequel on garantit que la donnée reste totalement sur le territoire national, je pense à la donnée de santé. Mais, sur le fait d'en faire une obligation générale, je partage la position de M. Gilles Babinet. Cela ne me paraît pas décisif.

Sur les autres propos, je n'ai pas de commentaires. Sur l'opposition entre les deux systèmes, dire qu'une régulation mal calée empêche l'innovation, c'est vrai, c'est un propos de bon sens. Mais il est vrai aussi que l'autorégulation débridée conduit à une impasse. Aux États-Unis d'Amérique, montent de plus en plus, de la part de la société civile, des demandes au titre de la protection des données auprès de la Federal Trade Commission (FTC) et d'autres autorités publiques américaines. On ne peut pas utiliser de façon aussi excessive que le droit américain, à certains égards, le permet aujourd'hui, les données des citoyens américains. Chacun des deux systèmes a ses limites. En Europe, nous sommes marqués par une tradition de régulation. C'est notre force, mais aussi notre faiblesse, si elle est mal mise en oeuvre. La question est donc de savoir comment moderniser cette approche de la régulation pour qu'elle soit raisonnable et non pas handicapante par rapport à l'innovation.

En même temps, cette approche nous donne un avantage compétitif par rapport aux acteurs étrangers, qui est considérable. On va le ressentir de plus en plus au fur et à mesure que se mettra en place la maturité des citoyens et des consommateurs européens. Les études récentes montrent que ce qui s'est passé avec Prism a cristallisé un certain nombre d'interrogations que se posent les consommateurs et les citoyens. Il y a des stratégies de contournement, de dissimulation de leur identité, qui commencent à se mettre en place. Toutes les études sur le sujet le montrent. Les consommateurs et les citoyens ont des attentes sur les garanties qu'on peut leur apporter en termes de protection des données personnelles. Donc, profitons de notre tradition de régulation, faisons-en une arme de conquête par rapport aux acteurs étrangers, consolidons la démarche européenne, puisque c'est au niveau européen, à l'occasion du projet de règlement, que l'on doit le faire et alors on pourra se battre d'une façon équilibrée avec ces GAFA et tous les autres acteurs du numérique.

Nous devons cesser de nous fragiliser nous-mêmes. Et nous moderniser, nous hybrider avec les solutions des autres, d'une façon réaliste, et si on peut emprunter aux autres, notamment à travers l'accountability, cette approche beaucoup plus pragmatique, je crois que c'est très positif pour la régulation européenne. Mais, de grâce, arrêtons de considérer que nous sommes les mauvais élèves de la classe ! Ce n'est pas vrai. Simplement nous nous battons avec nos armes à nous.

Mme Anne-Yvonne Le Dain. - Monsieur Babinet, une réponse ?

M. Gilles Babinet. - Nous avons chacun nos points de vue et avons l'occasion d'en débattre. Nous ne sommes pas d'accord sur tout, mais ce qui compte, c'est que nous en débattions. Je n'ai pas grand-chose à ajouter.

Mme Mireille Delmas-Marty, membre de l'Institut de France (Académie des Sciences morales et politiques), professeur honoraire au Collège de France (Études juridiques comparatives et internationalisation du droit). - Je voudrais rebondir sur les propos de Mme Falque-Pierrotin à propos de l'articulation entre l'autorégulation et la régulation. Vous avez parlé d'hybridation. En fait, on a besoin des deux. On peut l'exprimer aussi en termes de soft law et hard law. On a besoin d'un droit souple et d'un droit dur. Mais concrètement, comment bâtir cette articulation ? Comme répartir dans les contentieux ce qui relève de l'autorégulation et de la régulation ? Si je suis tout à fait d'accord avec l'objectif, je ne vois pas comment concrètement le rationaliser un petit peu.

Vous avez donné un exemple qui m'a frappé au sujet de la communication des données. Vous avez dit qu'un accord a été négocié entre les autorités nationales de régulation, mais on aurait besoin d'une loi de blocage. Autrement dit, on est dans la soft law, on aurait besoin de hard law. Mais y a-t-il des critères sous-jacents qui commandent la répartition entre les deux processus ?

Mme Isabelle Falque-Pierrotin. - Je peux vous donner l'exemple de la Fédération des industries électriques, électroniques et de communication. La FIEEC a souhaité développer tout une série d'innovations autour du compteur intelligent, le nouveau compteur gris dans les maisons qui va enregistrer de façon beaucoup plus fine les données de consommation électrique, ce qui apporte toute une série de services. Les gestionnaires de réseaux électriques vont pouvoir optimiser la charge du réseau, les services pour le consommateur seront optimisés et vont permettre de diminuer la facture, et peut-être d'autres types de services seront-ils élaborés.

Les industriels nous ont sollicités pour développer ce compteur, mais en même temps, ils avaient un peu peur que cette innovation soit mal ressentie par nos concitoyens qui y verraient plutôt l'installation d'une sorte de « mouchard » chez eux, capable de dire que la consommation a augmenté, qu'ils sont trois et non plus deux, ou, c'est curieux qu'ils prennent des bains à deux heures du matin, d'ailleurs ils se promènent beaucoup à l'intérieur de leur maison...

Dans le big data médical, les capteurs font partie des éléments qui pourraient permettre de déceler les troubles de l'Alzheimer. On sent bien que ces objets ne sont pas totalement neutres. Et donc, les industriels ont souhaité bâtir avec la CNIL des scénarios d'innovation, intégrant, dans la mesure du possible, les questions informatique et libertés qu'on aurait à se poser. Ils viennent d'être rendus publics. Pendant neuf mois, nous avons élaboré avec eux des scénarios d'innovation qui correspondent à leurs besoins, en intégrant le plus en amont possible la préoccupation informatique et libertés.

Typiquement, c'est une forme d'hybridation. Des principes généraux se traduisent ensuite concrètement par une sorte de code de conduite que souhaite adopter une profession, de façon extrêmement fine et plus appliquée, afin de décliner les dix principes dans des usages professionnels. De plus en plus, nous essayons de développer cette approche avec les acteurs professionnels. Avec cette sorte d'ombrelle qui a été négociée avec eux, nous pouvons entrer dans la finesse de leurs préoccupations de métiers à partir de nos principes. C'est une forme d'autorégulation encadrée sous l'oeil du régulateur.

Nous avons également une réflexion sur une autre approche qui consiste à faire appel à des tiers certificateurs sur un certain nombre de points. Elle est expérimentée sur des flux internationaux de données. Le régulateur fixe des principes, des référentiels, et ce sont des acteurs externes privés qui gèrent l'opérationnel relatif à ces référentiels.

Il y a donc différentes manières de combiner l'action d'un régulateur, et en même temps, de laisser aux acteurs privés la possibilité de pouvoir développer des offres en parallèle.

M. Gilles Babinet. - Je veux bien répondre car je crois que cela cristallise notre principal point de désaccord. Sur cette affaire de compteurs, les sociétés qui vous ont consultés sont probablement ERDF ou ces grandes entreprises. Mais une jeune entreprise ne ferait jamais cela, et même, elle ne peut pas, sur un préalable d'enjeux juridiques, se lancer dans un projet d'innovation. Pour être dans ce milieu depuis longtemps, consubstantiellement, un entrepreneur lançant une nouvelle entreprise essaie des choses. Vous prenez des risques sans savoir très bien sur quoi vous allez tomber. Avec la donnée et les données massives ou big data en particulier, vous ne savez qu'assez rarement ce que vous allez trouver. Vous lancez des processus de traitement de données et vous pouvez trouver que des gens sont atteints de la maladie d'Alzheimer, par exemple. Dans le domaine, c'est tout à fait étonnant.

Un autre exemple m'a été donné par des chercheurs de Bellevue Hospital. À partir d'un traitement des flux des réseaux sociaux, assez curieusement, ils parviennent à détecter les pathologies, juste en lisant des informations non médicales. Ils pensaient qu'il était possible, sans l'avoir démontré, de voir dans les réseaux sociaux si l'on a les lobes attachés ou pas. 20 % des gens ont des lobes attachés. C'est un marqueur épigénétique fort qui est lié à des éléments de renforcement ou de faiblesse par rapport à certaines maladies. Il est donc probable que, très facilement, à travers les réseaux sociaux, on soit capable d'identifier des résistances, ou au contraire des faiblesses particulières. Vous ne les détectez pas a priori. Vous devez lancer des expérimentations de tous types pour pouvoir soudainement vous rendre compte que cela fonctionne ou pas.

Cela m'importe beaucoup. Je crois que l'Europe est en train de prendre du retard. On entre dans une nouvelle ère avec des paradigmes qui sont assez différents. Je constate que chaque révolution industrielle a amené son droit. La première a amené le code civil, la seconde le droit du travail, et celle-là amènera un droit de la donnée. Je ne suis pas contre la régulation. Au contraire, je pense qu'on va avoir énormément de régulation à cet égard et qu'on va vers une période de surrégulation. Mais, dans la mesure où l'on n'a pas cette agilité numérique pour comprendre ce paradigme, en particulier au sein de l'ensemble des organes qui participent à la régulation de la vie de la cité, je pense que c'est assez risqué.

Encore un exemple. Aux États-Unis, les fermiers commencent à confier leurs données à des sociétés tierces qui leur disent où arroser, où mettre des engrais, etc. Monsanto a d'ailleurs racheté une société de traitement de big data dans le domaine agricole. Les fermiers américains se sont rendu compte qu'ils allaient devenir des sous-traitants de l'industrie de la donnée, notamment de Monsanto qui allait expurger de la valeur. Comme les associations de fermiers américains ont la chance d'être fédérées, elles se sont réunies et ont édicté un code de bonnes conduites qu'elles ont opposé à l'ensemble des sociétés en leur disant : soit vous respectez ce code, soit on demandera à nos membres de ne plus donner leurs données. Et cela a fonctionné. Le code est en discussion en permanence. Les acteurs du traitement des données consultent ces associations et il y a débat.

Je ne dis pas, qu'à terme, il ne faudra pas une régulation en la matière. Je dis simplement qu'il faut absolument faire en sorte que l'Europe ne rate pas une marche qui restera dans l'histoire. C'est mon inquiétude et c'est la raison de ma venue ici ce matin. Ce préalable d'innovation doit être, à mon avis, important.

Je vais vous donner un autre exemple qui n'est pas couvert par la régulation sur les enjeux des machine learning, des techniques qui trouvent des réponses à partir de signaux extrêmement variés sans avoir besoin d'identifier les gens. J'ai vu des expérimentations absolument incroyables de machine learning. Par exemple, je peux détecter qu'à tous les barbus qui ont une voiture rouge, sans connaître leur nom, je vais pouvoir montrer des publicités de rasoir quand ils vont passer dans la rue. C'est très efficace, je l'ai vu, et dans ce domaine, la régulation est complètement perdue.

Même si ce n'est pas dans la culture du droit continental, je pense que le débat citoyen est un préalable indispensable à l'émergence de cette nouvelle forme de droit. Sinon, on court le risque de laisser l'Europe durablement derrière.

Mme Anne-Yvonne Le Dain. - Voilà une discussion qui est ferme, très claire et éclairante pour nous, parlementaires et législateurs. Maintenant, la question est de savoir comment on sort de cette situation, ce qu'on fait, ce qu'on construit, ce qu'on décide, dans quels délais et avec quelles motivations. Tout cela est sur la table. L'une et l'autre. Vous l'avez remarquablement bien exposé. En ce qui me concerne, j'ai appris des choses et découvert un mode de pensée que je ne soupçonnais pas.

Mme Isabelle Falque-Pierrotin. - Puisqu'il s'agit du débat citoyen, nous sommes bien tous d'accord sur le fait qu'il faut passer à l'échelle supérieure pour que collectivement, au plan national ou européen, on entre dans ce nouvel univers. Je partage entièrement cet objectif.

Je voudrais juste pointer ce qui a été dit sur l'expérimentation. L'expérimentation peut-elle tout justifier ? C'est un sujet très intéressant de débat collectif. Nous parlons de données. Effectivement, recenser tous les hommes barbus vêtus d'un pantalon rouge qui se présentent à tel endroit... on ne voit pas. Mais si c'est ce principe d'expérimentation qui justifie tout, je m'inquiète. Et ce n'est pas un propos conservateur. L'histoire a montré que l'expérimentation pouvait conduire à des choses épouvantables. L'expérimentation ne peut pas s'affranchir de tout. Sur un plan humaniste, ce n'est pas acceptable. Ce n'est pas parce qu'il n'est question que de données qu'on peut le faire. Un débat citoyen sur l'ensemble de ces questions me semble nécessaire, en particulier sur cette question de l'expérimentation, parce qu'elle cristallise beaucoup des tabous que l'on veut mettre ou ne pas mettre dans cet univers numérique.

Mme Anne-Yvonne Le Dain. - Je vous remercie tous les deux de votre venue. Je crois que nous serons appelés à nous revoir.

M. Bruno Sido. - M. Pascal Chauve, je crois savoir que la récente loi de programmation militaire et ses décrets d'application sont au coeur de vos préoccupations actuelles. Pouvez-vous dire où vous en êtes à ce sujet ? Plus largement, pouvez-vous nous apporter quelques précisions sur le degré de protection que l'on peut attendre de nouvelles dispositions législatives ou réglementaires face aux failles des réseaux numériques ?

M. Pascal Chauve, conseiller du Secrétaire général de la défense et de la sécurité nationale (SGDSN). - Je vais vous parler de hard law. La loi de programmation militaire a été promulguée le 18 décembre 2013. Elle fixe un cadre légal totalement novateur pour la protection des infrastructures critiques nationales contre les cyberattaques. Ce dispositif que je vais vous présenter est au coeur de nos préoccupations quotidiennes au SGDSN, où nous sommes chargés d'en élaborer les décrets d'application et toutes les mesures qui en découlent. Je vais nous éloigner de la problématique de l'espionnage des données des personnes pour parler d'un enjeu assez nouveau, celui des attaques informatiques, non pas pour espionner et capter des données, mais pour perturber les systèmes, voire les détruire.

Les mesures qui ont été prises dans la loi de programmation militaire portent sur les infrastructures critiques. En France, on parle d'opérateurs d'importance vitale (OIV). Ce champ n'est pas nouveau, il a fait l'objet d'une définition dans le code de la Défense. Il concerne tout ce qui est absolument indispensable à la vie de la nation et dont le dysfonctionnement pourrait porter des atteintes graves au fonctionnement de l'État, de ses institutions, de l'économie et à la vie des populations.

Les domaines couverts, qui vous intéressent en particulier, sont ceux de l'énergie et des télécommunications. Mais les transports, l'alimentation sont également autant de secteurs qui sont placés sous la tutelle de ministres coordonnateurs de secteurs d'activité d'importance vitale.

Le texte voté en décembre 2013 est extrêmement consensuel. Son succès est dû à la clairvoyance des parlementaires, mais aussi au talent de pédagogie des auteurs du projet. C'est également le succès d'une idée qui apparaît aujourd'hui comme une sorte d'évidence. Premièrement, les cyberattaques sont un phénomène dont l'ampleur ne cesse de croître. Elles visent nos concitoyens, nos entreprises, mais aussi l'État et toutes les fonctions essentielles au fonctionnement de la nation. Deuxièmement, face à cette menace, l'État doit affirmer son rôle d'autorité de cybersécurité et de cyberdéfense pour continuer à protéger ce qui est essentiel au pays et la loi doit lui en donner les moyens. La chose ne va pas se faire spontanément. Je pense résolument que sur ces questions d'infrastructures critiques, nous ne sommes pas du tout dans le registre de la soft law, du droit souple.

L'idée avait germé dès les discussions sur le Livre blanc sur la défense et la sécurité nationale. À l'été 2013, il a dressé un constat tout à fait préoccupant de l'évolution de la cybermenace depuis sa précédente édition de 2008. Nous étions tous familiers du cyberespionnage. Nous avons constaté que, depuis 2008, le cyberespionnage s'est généralisé - voir les révélations de Snowden. Aujourd'hui, on a affaire à un pillage systématique des informations sensibles de nos industriels, de leurs offres commerciales, de leurs secrets de fabrication. Mais, plus inquiétant, on a assisté, depuis 2008, à l'émergence du cybersabotage dont on a déjà quelques illustrations concrètes comme celle de la fameuse attaque informatique de 2009 sur les centrifugeuses d'uranium iraniennes de Natanz. Des automates industriels, de marque Siemens, ont vu leur fonctionnement perturbé par l'introduction de petits délais aléatoires qui ont conduit à des destructions ainsi qu'à un retard d'un certain temps dans la progression du programme nucléaire iranien. Il y a eu également les attaques destructrices contre la compagnie pétrolière saoudienne Aramco et la compagnie gazière qatarie RasGas.

Aujourd'hui, nos craintes, fondées sur des arguments techniques, portent sur les systèmes de supervision et de management des installations critiques. Par exemple, la régulation des coeurs de centrales nucléaires, la régulation des barrages, le contrôle du trafic aérien, du trafic ferroviaire, des feux tricolores... pourquoi pas ? Le cybersabotage, c'est-à-dire la prise de contrôle par des saboteurs, voire des terroristes, d'une infrastructure critique, ne relève pas uniquement de l'imagination d'un scénariste de film à succès américain ou d'un fameux jeu vidéo qui vient de sortir, dont le héros peut éteindre les quartiers d'une ville en passant son pouce sur son smartphone. C'est une menace bien réelle contre laquelle il convient de se protéger, qui peut conduire à des catastrophes écologiques et à des pertes de vies humaines.

On a commencé à faire de la soft law. Au sein du SGDSN, nous avons l'ANSSI qui a déjà publié sur son site des recommandations sur la sécurité de ce qu'on appelle les Supervisory Control and Data Acquisition (SCADA). Ils désignent les systèmes de contrôle industriel, c'est-à-dire ces appareils informatiques qui régulent des processus industriels dont les dysfonctionnements ont des conséquences physiques directes.

Ces recommandations relèvent du bon sens et de ce que le directeur général de l'ANSSI appelle de « l'hygiène informatique », comme de procéder à des authentifications fortes et à des mises à jour, ou superviser la sécurité même de ces dispositifs de contrôle industriel. La mesure essentielle préconisée dans les guides de l'ANSSI est de déconnecter ces systèmes industriels de l'Internet, afin de réduire le plus possible la surface d'attaque qui permet à un attaquant distant de prendre le contrôle de ces dispositifs. À elle seule, cette règle, si elle est effectivement appliquée dans les systèmes modernes et dans les systèmes futurs, s'avérera contraignante, voire très contraignante, tout simplement parce qu'elle va empêcher la télémaintenance et exiger la présence d'un administrateur sur place, depuis sa console, pour vérifier que les systèmes continuent de fonctionner correctement.

C'est une mesure d'autant plus nécessaire que les systèmes sont de plus en plus complexes et qu'ils comportent de plus en plus de failles. Par exemple, les systèmes d'exploitation utilisés dans ces systèmes de contrôle industriel ainsi que les protocoles qui sont mis en oeuvre sont très largement répandus dans l'Internet, voire dans la bureautique. Toutes les failles de sécurité que nous connaissons avec nos ordinateurs, nous pouvons également les rencontrer dans ces systèmes de contrôle industriel.

C'est sur la base de ces recommandations que vont s'ériger désormais par la loi des règles obligatoires qui vont s'appliquer aux opérateurs d'importance vitale. La loi précise que l'État peut fixer des règles et qu'il devra en contrôler l'application. De leur côté, les opérateurs d'importance vitale seront tenus de cartographier leurs systèmes. Vous pouvez mettre au défit un grand industriel de vous montrer à quoi ressemblent ses systèmes d'information, notamment ses systèmes d'information industriels. En général, les industriels ne savent même pas comment est configuré leur système, où sont les interconnexions, les passerelles vers Internet. Le flou est assez abyssal. C'est également le cas des administrations. L'obligation de cartographier est donc absolument importante.

Une fois dressée cette cartographie et identifiés des sous-systèmes qui sont qualifiés de particulièrement critiques au sein de ces opérateurs d'importance vitale, la loi précise qu'il faut mettre en place des sondes de détection d'attaque sur ces systèmes et les faire opérer par des prestataires qualifiés.

Une autre obligation est celle de l'information sans délai des autorités nationales en cas d'attaque. Les opérateurs sont désormais tenus d'alerter l'ANSSI en cas d'attaque informatique sur leurs systèmes critiques. L'ANSSI aura donc un rôle centralisateur de toutes ces alertes qui lui permettra d'avoir une vue d'ensemble et peut-être de prévoir les prochaines.

Enfin, en cas de crise majeure, la loi habilite désormais le Premier ministre à prendre des mesures d'exception.

Les décrets d'application sont en cours de finalisation. Nous ne faisons pas ce travail dans notre tour d'ivoire administrative, éloignés des contraintes de terrain. Nous travaillons en coordination avec les ministères de tutelle, mais aussi avec les opérateurs concernés. Nous n'avons pas du tout laissé la place à l'improvisation sur ces sujets-là. Tout ce travail est issu d'un travail préalable qui avait été conduit dans un cadre de soft law, de recommandations qui avaient été adressées aux différents secteurs.

Je précise également que les règles de sécurité qui seront édictées et donc rendues obligatoires, puis contrôlées par des prestataires de contrôle qualifiés par l'État, seront déclinées secteur par secteur. On ne va pas in abstracto imposer à tout le monde des règles qui seraient inappropriées ou inapplicables.

Je souhaite mettre l'accent sur l'importance de ces prestataires de contrôle qualifiés qui vont naître dans cet écosystème de la sécurité des systèmes d'importance vitale. L'État va donner un label à des prestataires de confiance chargés de détecter les vulnérabilités, les manquements des opérateurs critiques au coeur de leurs systèmes. Ils seront en relation avec l'État. Il y aura des prestataires de détection qualifiés par l'État, qui seront en contact avec l'ANSSI pour échanger sur les nouvelles menaces, les nouvelles signatures techniques de comportement d'attaquant. Ce sont ces critères techniques que l'on peut introduire dans les sondes automatiques pour détecter que quelque chose d'anormal est en train de se passer et que nous sommes a priori victimes d'une attaque. Ces signatures sont désormais le bien le plus cher des agences de sécurité. Elles se substituent un peu à ce que, dans la cybersécurité de grand-papa, on appelait les clés cryptographiques. Le nerf de la guerre, ce sont maintenant les signatures d'attaque informatique, dont l'ANSSI entretient un vivier et qui seront partagées avec des prestataires de détection qualifiés.

Avec ce dispositif, la France est pionnière en Europe. Nos partenaires, notamment allemands, sont en train d'élaborer un cadre similaire. Nous sommes en discussion avec eux. Le projet de directive européenne concernant la Sécurité des réseaux et de l'information (SRI) est en cours de négociation. Dans son chapitre 4, il comporte des dispositions qui ont été inspirées par la France : l'édiction de règles de sécurité, la notification obligatoire des incidents à une autorité nationale compétente disposant d'un pouvoir de contrôle et un régime de qualification de prestataires.

La France soutient depuis le départ ce projet de texte européen. S'il est adopté, il ne devrait pas nécessiter de transposition en France puisque nous avons déjà les mesures dans notre arsenal législatif.

Dans la discussion européenne, ce nouvel arsenal a soulevé quelques réticences de certains États membres, ceux qui par exemple ne disposent pas d'une autorité nationale compétente en matière de cyberdéfense, contrairement à la France. Pour nous, il est très important d'avoir des interlocuteurs qui s'érigent en autorité nationale de cyberdéfense comme l'est l'ANSSI en France.

D'autres États membres défendent un modèle plus libéral, où il n'y aurait pas de règles qui s'imposent, mais davantage de bonnes pratiques partagées dans les milieux professionnels au sein d'un partenariat public-privé qui instaurerait des règles par la discussion avec les opérateurs concernés. Je pense que ce n'est pas incompatible. C'est ce que nous sommes en train de faire pour les mesures d'application de la loi de programmation militaire.

J'espère vous avoir convaincu de la nécessité et de la pertinence de ce cadre légal. J'espère surtout que, depuis le vote de cette loi il y a six mois, nous tous, industriels, fournisseurs de sécurité, administrations, parlementaires, continuons à croire en ces dispositions qui visent à défendre les systèmes les plus critiques pour le fonctionnement de l'État, l'économie, la société et pour la vie même des populations.

M. Bruno Sido. - Vous conviendrez avec moi que les précisions apportées par M. Pascal Chauve sont de nature à éclairer notre réflexion. Elles peuvent également faire naître de nouvelles interrogations dans l'esprit des rapporteurs qui ne manqueront pas de lui adresser quelques questions et recevront avec plaisir tout document et également toute nouvelle sur l'avancement des rédactions en cours.

Nous tenons à remercier particulièrement Mme Mireille Delmas-Marty qui a accepté de nous apporter un éclairage juridique sur l'élaboration des normes aux niveaux national et international, ce qui peut nous conduire à réfléchir sur l'imbrication du public et du privé, particulièrement complexe dans le domaine de l'Internet, en nous demandant, par exemple, si le concept de souveraineté n'est pas profondément remis en cause par l'évolution du numérique, au point de pouvoir parler de révolution numérique, non plus seulement technique, mais quasiment institutionnelle.

Mme Mireille Delmas-Marty, membre de l'Institut de France (Académie des Sciences morales et politiques), professeur honoraire au Collège de France (Études juridiques comparatives et internationalisation du droit). - Je ne suis pas spécialiste de la question des réseaux numériques. Je vais donc présenter des observations assez générales sur les métamorphoses du cadre juridique dans le prolongement de cette question des réseaux numériques et de leur sécurité.

D'abord, je voudrais réagir à ce que nous venons d'entendre. Les exemples donnés me frappent parce qu'ils montrent l'impossibilité, ou l'extrême difficulté, à distinguer la sécurité intérieure de la sécurité extérieure. Peut-être y a-t-il là un effet 11 septembre 2001, non pas qu'on y ait vu naître la formule de la guerre contre le terrorisme, mais parce qu'on a vu alors se transformer cette formule qui était une sorte de métaphore - on évoquait souvent aussi « la guerre contre le crime » - en un concept nouveau : la guerre au sens plein du terme. En droit international, on sait qu'après les attentats du 11 septembre, le Conseil de sécurité a considéré qu'il y avait eu une agression justifiant, au nom d'une légitime défense préventive, l'attaque de l'Irak. Et le droit américain a explicitement reconnu l'état de guerre car la Constitution américaine ne prévoit pas l'état d'exception, seulement un état de guerre avec transfert de pouvoir au chef d'État. D'où le fameux Patriot Act de 2001, toujours en vigueur. Ce transfert de pouvoir va très loin, puisqu'il permet au chef de l'État de condamner à mort sans procès les suspects de terrorisme. C'est la pratique des assassinats ciblés, en riposte aux soupçons de terrorisme. À terme, on peut donc s'interroger sur la disparition progressive de la distinction entre guerre et paix, ennemis et criminels, armée et police.

Dans un tel contexte, la question des réseaux numériques est centrale du point de vue juridique. Les réseaux numériques sont en effet au coeur de mutations, de véritables métamorphoses, de l'ordre juridique, tant leur fonctionnement perturbe les différentes composantes de cet ordre que sont les normes, les formes et les dogmes.

Avec les réseaux numériques, on observe de façon extrêmement visible la privatisation des normes qui est liée à la diversification des acteurs, au risque de réduire peut-être l'effectivité, de diluer les responsabilités.

On observe aussi une sorte d'assouplissement des formes. C'est tout le débat que nous avons eu sur la soft law et la hard law, sur l'autorégulation et la régulation proprement dite. Or cet assouplissement des formes entraîne du même coup, un affaiblissement de la prévisibilité et un risque pour la sécurité juridique, c'est-à-dire un risque pour l'état de droit. La forme, longtemps considérée comme la soeur jumelle de la liberté, étant supposée garantir la sécurité juridique.

Enfin, l'ébranlement des dogmes affaiblit la légitimité du cadre juridique lui-même. En Occident, nous avons construit nos systèmes de droit sur le dogme de la souveraineté de l'État. C'est ce qui fonde et ce qui stabilise nos systèmes de droit. Nous avons un modèle souverainiste à l'esprit. Or les réseaux numériques remettent assez directement en cause ce dogme de la souveraineté de l'État. Même si les États résistent, les réseaux numériques annoncent une métamorphose.

Vers quel modèle allons-nous ? Un modèle universaliste, qui reposerait sur un nouveau dogme, le dogme de la communauté mondiale ? On en est loin, semble-t-il. Un modèle ultralibéral, qui reposerait sur le dogme du marché autorégulé ? C'est un peu le prolongement du débat que nous avons eu. Un modèle hybride aurait ma préférence.

Quelques mots sur chacune de ces trois métamorphoses.

1. D'abord la privatisation des normes. Avec les réseaux numériques, l'émission de la norme n'est plus le monopole de l'État-nation, mais elle ne relève pas pour autant d'un État-monde. Au stade actuel, un État-monde n'est sans doute pas souhaitable parce qu'il risque de devenir un État totalitaire. Il n'est pas non plus faisable, fort heureusement, parce qu'il y aurait des obstacles politiques. Même si les experts en nouvelles technologies et les opérateurs privés semblent mener le jeu, les États, surtout les superpuissances, s'en accommodent très bien, précisément parce que la privatisation empêche l'émergence d'un État-monde.

Certes, le constat ne se limite pas aux réseaux numériques. Il vaut plus largement à travers tous les phénomènes liés à la mondialisation du droit. Mais les réseaux ont un effet révélateur parce qu'ils mettent au grand jour un phénomène plus général de diversification des acteurs. On l'a vu pendant la première partie de cette séance. Nous avons parlé d'acteurs étatiques, qui sont encore une fois très présents à travers leurs législateurs, leurs autorités administratives indépendantes comme la CNIL et leurs juges. À l'heure actuelle, il y a une montée en puissance du juge, qui applique non seulement le droit national, mais aussi le droit international. Le juge français est aussi un juge européen. Il a vocation à être juge mondial à l'occasion. Donc les États restent des acteurs essentiels, mais ils ne sont plus les seuls.

À leurs côtés, les organisations interétatiques, voire supraétatiques, se situent à des niveaux différents. À un niveau régional, on a beaucoup parlé d'Europe à travers le projet de règlement de l'Union européenne. À propos de l'Europe, on aurait pu aussi évoquer l'impact de la Convention européenne de sauvegarde des droits de l'homme. C'est le pôle Droits de l'homme de la construction juridique européenne. Mais potentiellement, ces organisations interétatiques se situent aussi à un niveau mondial, par extension du phénomène d'internationalisation des normes.

Cela dit, le plus frappant, ce n'est pas l'internationalisation seule mais l'internationalisation accompagnant, suivant ou complétant la privatisation des normes car elle renvoie aux acteurs privés. Les acteurs privés ne sont pas une catégorie très homogène. En réalité, on y trouve les opérateurs économiques, dont on a déjà beaucoup parlé. Ils montent en puissance et pas seulement à travers les réseaux numériques. Par exemple, dans le droit des investissements, ils peuvent mettre en cause un État au moyen de la procédure d'arbitrage du CIRDI (Centre international de règlement des différends relatifs aux investissements). De ce point de vue, le droit des investissements est un domaine comparable au droit du numérique.

Mais avec les réseaux numériques, ce qui est important, c'est que petit à petit, il semble que les grands acteurs économiques aient centralisé l'architecture de l'Internet, alors même que, au départ, le système était très décentralisé.

Quant aux acteurs scientifiques, aux experts dont nous avons peu parlé, ils sont pourtant très présents, à la fois aux plans national et international. Je pense au rôle des chercheurs en informatique. Il n'y a pas très longtemps, nous avons eu une rencontre entre l'Académie des sciences et l'Académie des sciences morales et politiques. Avec mon collègue du Collège de France, Gérard Berry, nous avons discuté du droit à l'oubli. Selon lui, nous n'avons pas les moyens techniques d'assurer de façon parfaitement efficace ce droit à l'oubli. On a besoin, qu'on le veuille ou non, de cette interface entre les acteurs politiques, juridiques, économiques et scientifiques. Or elle pose toute une série de problèmes liés aux conditions de l'expertise scientifique, aux risques de conflit d'intérêts, un vaste domaine.

Enfin, les acteurs non étatiques sont aussi les citoyens. Ils commencent à s'organiser en agissant de façon concertée. Leur action peut aller à la fois dans le sens d'une recherche de plus de liberté et d'une participation à plus de contraintes, à plus de contrôles. Dans les années 2000, un collègue américain posait la question : « perfect control or perfect freedom ? » allons-nous vers un contrôle parfait ou une liberté totale ?

Les acteurs civiques sont le reflet de ce que le Conseil constitutionnel avait très bien dit, en 2009, à propos de la loi Hadopi : l'exercice de la libre communication et de la liberté d'expression implique la liberté d'accéder à Internet. Même si le Conseil constitutionnel ne va pas jusqu'à affirmer que l'accès à Internet serait un droit fondamental, il n'est pas loin de le dire. Cela étant, les acteurs civiques, et cela a été rappelé par la présidente de la CNIL, participent aussi à la surveillance. Donc ils revendiquent leur liberté et, en même temps, ils participent à la surveillance : de façon passive quand ils profitent des services de l'Internet, mais aussi en acceptant d'entrer dans ce jeu de façon active lorsqu'ils participent à la surveillance, par des dénonciations par exemple.

C'est le premier point qu'il me paraissait important de souligner à travers la privatisation des normes. Mais la multiplication des acteurs que je viens de commenter brièvement n'entraîne pas seulement cette privatisation des normes, elle entraîne aussi la complexité des jeux entre la soft law et la hard law.

2. On observe par là même un second processus, d'assouplissement des formes. Assouplissement, parce que le recours à la soft law accompagne généralement la privatisation et parfois l'internationalisation. Je traduirais soft law par droit souple. Derrière la soft law, nous avons à la fois un droit flou, ou imprécis, fait de principes généraux qui ne sont pas définis de façon rigoureuse et un droit mou, facultatif, non obligatoire (le droit des recommandations), enfin le droit doux, qui n'est pas sanctionné. Le flou, le mou et le doux peuvent aller de pair ou séparément.

L'un des enjeux de notre discussion est d'articuler la soft law et la hard law, de les faire cohabiter, fonctionner de façon non pas opposée mais complémentaire. Il peut en effet être utile de dissocier le droit flou, c'est-à-dire des principes généraux ou des principes directeurs, suffisamment précis pour indiquer une orientation mais suffisamment vagues pour permettre ensuite des applications concrètes par des régulations différentes les unes des autres. Un droit qui n'uniformise pas, mais qui permet de pluraliser la régulation, me paraît une perspective très intéressante. Elle irait dans le sens d'une corégulation qui ne soit pas l'uniformité de la loi, au sens traditionnel du terme.

Il est utile aussi, et on l'a déjà dit, de faire appel au droit mou, non obligatoire, comme manière d'amorcer un processus de régulation. Il est plus facile de commencer par des recommandations que directement par un texte de loi. Le droit mou est peut-être un moyen d'éviter que le cadre juridique soit en retard par rapport aux innovations technologiques. La loi est plus rigide. Pour mieux adapter le cadre juridique à cette extraordinaire accélération des vitesses de transformation technologique, on a besoin d'agir très vite et de façon souple, d'où l'utilité de passer dans un premier temps par le droit mou, qui fera ensuite l'objet d'un durcissement progressif. C'est un peu ce qui se dessinait dans la présentation de la présidente de la CNIL à propos de l'accord entre les autorités nationales de protection des données, qui appellerait peut-être par la suite une loi de blocage.

Cet assouplissement est utile, mais il pose, en termes d'éthique, le problème de la légitimité du cadre juridique. Cette légitimité est d'autant plus difficile à trouver que l'on observe l'ébranlement des dogmes. La métamorphose des normes par leur internationalisation, par leur privatisation et l'assouplissement des formes, produisent un ébranlement qui annonce peut-être un changement de modèle.

3. L'ébranlement des dogmes. Nous vivons encore sous le dogme du souverainisme. C'est un État souverain qui assure la régulation et la réglementation, sur son territoire. Ce dogme est très important puisqu'il permet de stabiliser la norme juridique et de ne pas la réduire à l'état de pur instrument au service de la force, au service du marché.

Or, s'agissant des réseaux numériques et de leur sécurité, le territoire n'a guère de sens. Il y a une sorte de neutralisation des frontières par la circulation de flux immatériels d'informations ou de capitaux. Au mieux, on pourrait parler de transterritorialité. Nous sommes donc obligés de renoncer, au moins en partie, au modèle souverainiste, non pas pour des raisons idéologiques, mais en raison de la déterritorialisation des pratiques.

Quel autre modèle invoquer ? Un modèle universaliste nous conduirait à un nouveau dogme, nouveau car il suppose une communauté mondiale et qu'elle soit suffisamment organisée pour émettre des normes dans un cadre juridique clair et cohérent et pour assurer une régulation qui serait non pas étatique, mais supraétatique. Apparemment, une telle voie peut sembler séduisante. On y retrouve l'idée de la démocratie par Internet. Internet au service de la liberté d'expression et favorisant l'éclosion de mouvements comme celui dit des Printemps arabes. En même temps, ce modèle universaliste ne me paraît pas réalisable en raison de la résistance quasi certaine des États, à commencer par les grandes puissances. Et je ne pense pas qu'il soit souhaitable parce qu'il risque de cacher le rôle hégémonique exercé par une superpuissance.

Que penser du modèle ultralibéral ou libéraliste de type transétatique ? Ce serait l'autorégulation revendiquée au nom d'un autre dogme, celui du marché autorégulé. Le risque de ce modèle, c'est qu'il reflète, lui aussi, la tendance hégémonique d'une régulation imposée par des acteurs tout puissants. Le risque, c'est que le modèle libéral pur, ultralibéral, conduise au totalitarisme du marché. On le voit déjà avec la commercialisation du corps humain par Internet : vente d'organes, recrutement de mères porteuses et bien d'autres pratiques. On a l'impression que dans cette perspective, les normes se resserrent dans un maillage de plus en plus dense et qui annoncerait l'avènement d'une société de contrôle ou de surveillance. Je rappelle que cet avènement avait été prophétisé dans des termes prémonitoires par Tocqueville quand il s'était posé la question de savoir à quoi ressemblerait le despotisme en démocratie. Il écrivait : « Ce serait un despotisme plus étendu et plus doux qui dégraderait les hommes sans les tourmenter et qui couvrirait la société d'un réseau de petites règles compliquées, minutieuses, uniformes, mais dont on aurait un peu perdu le sens, la signification. Il tendrait à retenir les humains dans l'enfance et à réduire chaque nation à n'être plus qu'un troupeau d'animaux timides et industrieux dont le Gouvernement est le berger. » Ce tableau n'est pas très loin de celui que l'on peut observer, avec cette nuance qu'au lieu de troupeau d'animaux timides, il faudrait plutôt parler d'une tendance à la robotisation de l'être humain. En tout cas, le modèle ultralibéral n'est pas une réponse satisfaisante.

Alors vers quoi allons-nous ? Je propose d'imaginer un nouveau modèle plus complexe, qu'on pourrait appeler modèle pluraliste, dans la mesure où il n'échappera aux risques de totalitarisme ou de fondamentalisme juridique que s'il tient compte de la diversité des cultures et s'il réussit à anticiper sur les innovations technologiques. Il faut donc un modèle pluraliste et évolutif, ce qui pose très directement la question des valeurs de référence. Quelles sont les valeurs sur lesquelles on pourrait bâtir ce modèle à la fois commun et pluraliste, stable et évolutif ?

Nous disposons déjà des éléments : dans le droit international des droits de l'homme, avec le droit à la dignité de la personne humaine ; dans la justice pénale internationale avec le crime contre l'humanité, une sorte de noyau dur que Boutros Boutros-Ghali (à l'époque Secrétaire général de l'organisation des Nations unies) avait appelé, lors de la conférence de Vienne en 1993 « l'irréductible humain ». Évidemment, il faudrait donner un contenu plus précis.

Si l'on veut aller vers des valeurs communes en matière de réseaux numériques, les droits de l'homme et les crimes internationaux ne suffiront pas. Il faudrait ajouter la notion de « bien public mondial ». Cette notion, qui vient de l'économie, désigne des biens non exclusifs - on ne peut se les approprier, ils peuvent être utilisés par tous - et non rivaux, en ce sens que l'usage par quiconque ne compromet pas l'utilisation par autrui. Chacun en a sa part et tous l'ont en entier. On pourrait dire cela à propos des réseaux numériques. Les qualifier de biens publics mondiaux serait une manière de favoriser une convergence autour de valeurs qui deviendraient universelles.

En conclusion, pour assurer la sécurité dans les réseaux numériques sans aboutir à une insécurité au niveau juridique, il faut d'abord tout un arsenal juridique et technique hautement complexe. C'est ce qui sera présenté pour l'essentiel dans cette journée. J'ai voulu simplement rappeler qu'il faudra aussi une boussole pour orienter les choix éthiques et instaurer ainsi une confiance dans les réseaux autour de valeurs universalisables, aptes à devenir progressivement universelles.

M. Bruno Sido. - Merci, madame le professeur, c'est avec un vif intérêt que nous avons écouté la communication d'un membre de l'Institut sur le sujet qui nous occupe depuis plusieurs mois, ma collègue députée et moi-même. Permettez-moi à cette occasion de recommander la lecture de votre contribution à l'ouvrage collectif « Science et Société : les normes en question » (Actes Sud/IHEST, 2014), intitulée : « Normes, formes et dogmes : regards d'une juriste ».

Permettez-moi de saluer la venue de Jean-Yves Le Déaut, député, premier vice-président de l'OPECST, qui mène par ailleurs un rapport sur un sujet d'actualité lié à la loi sur la transition énergétique.

La parole est à M. Jean-Dominique Nollet, qui nous vient des Pays-Bas, puisqu'il travaille à Europol. Nous attendons de lui un éclairage technique. À partir de son expérience technique et internationale, pourra-t-il tracer quelques pistes de solutions pour améliorer l'avenir qui attend les entreprises, quelle que soit leur taille, et pour nous aider à mieux cerner le risque numérique résultant directement des vulnérabilités qu'il a eu l'occasion de mieux cerner dans son activité quotidienne ?

M. Jean-Dominique Nollet, lieutenant-colonel de la Gendarmerie nationale, chef d'unité de laboratoire de recherche, Centre européen de lutte contre la cybercriminalité (EC3) à Europol. - Merci de nous donner l'occasion de tenter de vous éclairer dans ce cadre difficile de la cybersécurité. J'articulerai mon propos en deux points : une présentation de ce qu'est vraiment la cybercriminalité pour nous et, ensuite, la déclinaison des risques potentiels dans les pratiques actuelles dans le domaine de cybercriminalité appliquée aux entreprises.

Le Centre européen de lutte contre la cybercriminalité a été créé il y a un an et demi à la suite d'une communication de la Commission européenne et il se focalise sur les groupes criminels. Dans notre vision des choses, il y a des domaines. On a entendu parler de la cyberdéfense et de la défense contre le cyberespionnage. Pour notre part, nous travaillons à lutter contre la cybercriminalité.

Je regrette que, depuis ce matin, on ait assez peu parlé des acteurs. On a l'impression qu'on attrape un virus informatique parce qu'on se promène dans la rue. L'analogie est bonne, mais n'oublions pas que derrière des claviers d'ordinateur, ce sont des gens qui créent des virus, des malwares, ou qui ouvrent des portes qui sont restées ouvertes. Il ne faudrait pas déshumaniser le côté de l'attaquant malicieux. Derrière ce qui se passe, il y a de vrais gens, de vraies personnes. Il ne faut pas oublier que nous, en tant qu'organisme européen de police, souhaitons remettre ces personnes à la justice afin qu'elles soient arrêtées et que les biens qu'elles peuvent générer, souvent énormes, puissent leur être confisqués.

Le gros problème en matière de cybercriminalité, c'est l'absence de lien entre le lieu de l'infraction et son auteur. En effet, le principe d'échange de Locard ne s'applique pas à la cybercriminalité. C'est un gros changement pour les forces de l'ordre en général. L'attaquant n'est pas forcément en Europe, il a peut-être rebondi sur un site au Venezuela ou au Vietnam. Ou ce peut être une attaque entre deux personnes situées dans la même rue. La perte de ce lien géographique appelle nécessairement une coopération entre les polices internationales.

Depuis un an et demi, l'approche des policiers internationaux a considérablement changé. Ils viennent frapper à notre porte avec des dossiers complets pour collaborer avec nous. Jusqu'alors, ce n'était pas une pratique courante en matière de contre-terrorisme et de lutte contre le crime organisé. Nous sommes très satisfaits de voir le FBI et d'autres grands organes venir nous proposer des dossiers et essayer d'organiser les ripostes, principalement contre les botnets, des réseaux assez puissants qui demandent un gros travail.

Les priorités émises par les ministres de l'intérieur européens nous permettent de nous focaliser sur la cyberattaque pure : botnet, malware, des attaquants assez classiques du cyber, mais très avancés.

Ensuite, il y a l'abus de l'enfance en ligne. Il n'a pas été évoqué et je le regrette. C'est quand même un drame ! Je sais que la protection des infrastructures critiques est très importante. Mais n'oublions pas ce que certains appellent la « pédopornographie en ligne », un terme qui me paraît inapproprié. Des enfants se font violer pour que des gens puissent aller regarder devant des ordinateurs ces viols d'enfants ! En matière d'éthique mondiale, ce volet nous semble prioritaire.

Un troisième axe concerne la fraude aux moyens de paiement, qui est en augmentation. Il y a eu un mouvement depuis les groupes qui opéraient des fraudes classiques de manipulation d'automates ou de terminaux de paiement ou skimming. En termes de technologie, c'est la copie d'une bande magnétique des années 1960, ce qui n'est pas très compliqué. On a encore ce problème-là aujourd'hui. Mais toutes ces problématiques se déplacent dans le Card-Not-Present, c'est-à-dire le vol de numéros de cartes bleues destiné à faire des achats en ligne. Tout cela est très structuré par des groupes criminels très puissants. Un numéro de carte bleue sur Internet ne vous coûtera qu'entre vingt-cinq et trente centimes d'euros !

Sur Internet, les réseaux de « Cybercrime as a Service », pour faire l'analogie avec l'informatique en nuage ou cloud computing, vous fournissent des services vingt-quatre heures sur vingt-quatre, en cinq langues. Vous pouvez les appeler à trois heures du matin pour demander une attaque sur la société concurrente de votre choix. Vous pouvez les rappeler aussi, etc. C'est une vraie industrie qui fonctionne. On est très surpris de constater la réactivité de leur service après-vente. Techniquement, leurs services sont très bons.

Certains sites proposent une attaque dite DDoS (Denial of Service Attack), c'est-à-dire une attaque par déni de service, somme toute classique, à dix euros les dix minutes ! Vous n'avez rien à connaître. Il suffit de payer pour simplement attaquer votre voisin. J'ai connu des sociétés qui se sont retrouvées en grande difficulté et qui même ont dû fermer, à la suite d'une attaque de leur concurrent au moment de Noël. La cybercriminalité est une réalité.

Mon laboratoire travaille sur un quatrième axe : les sciences légales avancées. Internet oblige les forces de l'ordre de tous les pays à se bouger en matière technologique et à suivre l'avancée technologique des malfaisants, afin d'essayer de comprendre dans un premier temps ce qui se passe, pour ensuite neutraliser, quand c'est possible, ou essayer a posteriori de trouver dans les logs. Mais je doute que s'il y a espionnage, on va trouver grand-chose dans les logs. Les gens doivent comprendre que la preuve informatique va évoluer. Il y a dix ans, on savait qui avait effacé son fichier. Dans quelques années, avec l'évolution de différentes technologies, sa nature va évoluer. Elle sera peut-être plus fluide parce que les attaquants s'adaptent relativement bien.

À ce titre, les lois en France sont relativement bien faites. En tant que porte-parole européen, il me paraît important que les enquêtes sous couverture, telles qu'elles sont définies actuellement, et la possibilité pour les enquêteurs d'aller anonymement en ligne, doivent être étendues en France.

Une autre chose me paraît capitale, c'est d'étendre la captation des données à distance. Si l'on considère que l'écoute téléphonique doit être maintenue, c'est-à-dire la possibilité de procéder à des écoutes dans le cadre de commissions rogatoires, avec un encadrement juridique qui est relativement sain dans notre pays, il faut pouvoir avoir les moyens techniques d'avancer vers une captation à distance des données.

Pour moi, l'Internet, ce sont ces deux points et une ligne au milieu. Cette ligne va être de plus en plus cryptée et les points de départ vont être de plus en plus durcis par les criminels. C'est déjà le cas. Si vous n'êtes pas sur l'un de ces deux points, vous ne savez pas ce qui se passe. Donc il va falloir rentrer dans les machines qui sont d'un côté ou de l'autre. Là-dessus, la loi française pourrait favorablement évoluer.

Avant de parler des entreprises, je vais parler de la sensibilisation. C'est un thème à la mode. Il y a deux ans et demi, nous nous sommes livrés à un exercice très analytique et très classique dans le monde du renseignement et de la police : élaborer un scénario sur la sécurité informatique en 2020.

Nous avons réuni nos experts, des pirates informatiques, des experts du monde de l'industrie, de la vente et de la sécurité informatique, pour essayer, avec une méthodologie du scénario, de voir quelles seraient les options en 2020. Je vous invite à lire notre beau rapport de trente pages. Mais évidemment, les gens ne lisent pas ce genre de rapport, en anglais en plus. Et la société Trend Micro, qui était avec nous, l'a repris pour en faire un film avec des acteurs. Je vous invite à le voir sur YouTube ( http://2020.trendmicro.com). Il permet de prendre conscience de ce que M. Gilles Babinet vient de décrire. Notre monde va évoluer.

Pour l'instant, les publicités arrivent sur le smartphone, mais dans quelques années, elles arriveront dans vos lunettes Google Glass. On a toujours tendance à se dire qu'on va essayer de réglementer un peu tout ça et que, lorsque la technologie sera mûre, on y réfléchira. Je pense que c'est une erreur de raisonnement. Il faut réfléchir dès maintenant aux conséquences de ces évolutions sur la société. Certes, ce scénario est fait par des policiers, des gens qui ne sont pas toujours optimistes sur la moralité. Mais cela nous paraît assez intéressant.

En ce qui concerne la sécurité des entreprises, c'est une grosse difficulté. Pour l'instant, si l'on considère les entreprises dans leur globalité, hors opérateurs d'importance vitale et high tech, il n'y a pas grand monde qui y comprend quelque chose. C'est difficile de suivre, parfois très difficile, et l'on ne sent pas la volonté des gens d'y parvenir.

Je trouve surprenant qu'après un épisode aussi important que les révélations de M. Edward Snowden, les entreprises qui ont des choses à cacher, comme la R&D en biologie, n'ont pas pris en compte cette menace et se protègent. Il n'y aura pas de scandale plus fort de ce niveau-là. Malgré cet événement, des acteurs qui évoluent dans des secteurs avancés et qui peuvent se sentir vulnérables, ce qui n'est pas le cas de toutes les sociétés, n'ont pas pris en compte cette dimension-là. Il ne faut pas non plus hurler au loup, mais on pense qu'il faut que les choses avancent.

Dans les entreprises, on assiste aussi à une moralisation de la sécurité informatique. C'est un problème. Je ne suis pas contre la morale, mais croire qu'il n'y a pas de risque parce qu'on ne va surfer que sur des sites reconnus ou parce que le directeur des ressources humaines a demandé de bloquer Facebook, c'est faux. Il n'existe pas de proportionnalité de risque entre les comportements des salariés sur leur ordinateur et le risque qu'ils courent.

Pour moi, le point clé de la sécurité dans les entreprises françaises réside dans la sensibilisation des décideurs. Le problème se situe au niveau des décideurs. Les responsables de la sécurité des systèmes d'information (RSSI) savent ce qu'il faudrait faire et ils l'ont décrit, en s'aidant des guides de l'ANSSI ou de références internationales. Mais la perception et l'analyse du risque dans les entreprises doivent être faites au niveau de la direction et la prise de conscience par la direction n'est pas forcément proportionnée. C'est une grosse difficulté. Je rencontre des RSSI qui me disent qu'ils ont tout écrit. « Si ça pète, j'aurai fait ce qu'il fallait ! » La seule issue ne peut venir que d'une prise de conscience dans ce domaine-là.

Pour le décideur, la grosse difficulté réside dans la disproportion entre l'investissement qui doit être fait dans la sécurité informatique et le risque qui va être couvert ou pas. Cela bénéficie à certaines entreprises du marché de la sécurité informatique qui vous vendent des grosses boîtes magiques à deux millions d'euros censées vous protéger de tout ! Ces boîtes-là n'existent pas. Et cela oblige les gens à se poser des questions pour lesquelles ils ne sont pas formés.

La sécurité informatique est une histoire de code. Qu'est-ce que le code ? Vous écrivez un rapport parlementaire et puis quelqu'un va le réécrire autrement, pour lui faire dire autre chose, en modifiant deux ou trois mots. La sécurité informatique, c'est la même chose : une histoire sans fin. Du code sécurisé à 100 %, ce n'est pas possible. On pourra augmenter la sécurisation, ce qui n'est pas très difficile en ce moment, mais ce code informatique est un texte écrit par un humain, et un autre humain, avec ou sans intention malicieuse, va chercher à le détourner. Cet aspect de l'adaptation permanente doit être pris en considération. Untel vous vantera la cryptographie comme la solution ultime, un autre le niveau des pare-feu ou firewall, etc. Il faut toujours s'adapter. C'est le cadre juridique ou le cadre conceptuel de la sécurité informatique, qui doit être posé.

Je me sers souvent des analogies avec des portes à propos de la sécurité informatique. Le PDG va très bien comprendre que la porte blindée à l'entrée sera plus sécurisée que la porte vitrée. Mais, pour faire venir des clients, une porte blindée, ce n'est pas accueillant. En matière informatique, cette perception et la compréhension du décideur ne vont pas être facilitées. Toutes les sociétés qui font de l'audit de sécurité, ou pentesting, proposent de l'ingénierie sociale. Les entreprises n'en veulent pas. C'est un souci. Et pour ces sociétés d'audit, il s'agit aussi de garder leurs clients. Si elles ne détectent pas grand-chose, c'est mieux pour elles. Plus l'audit est avancé, plus on a de chance de trouver quelque chose. Si la sécurité informatique ne se fonde pas sur la vue que peut avoir un attaquant d'une société, elle n'est pas réelle. Certains commandent des audits de sécurité depuis l'intérieur du réseau. L'intérêt peut être technique, mais en aucun cas cela n'aura de l'efficacité en matière de réseau.

En conclusion, je dirais que nous rencontrons deux difficultés dans la lutte contre la cybercriminalité au profit des entreprises. D'un côté, les pirates opèrent selon une technique de guérilla, à la façon de guérilleros, et de l'autre, on essaie souvent d'y répondre avec des chars. C'est ainsi que, quels que soient le hardware et les logiciels que l'on met en oeuvre, si le programmeur de logiciel a oublié de changer le mot de passe par défaut - l'erreur est humaine -, les pirates entreront. Si l'entreprise ne comprend pas que le code malicieux est apparu parce qu'on a cliqué sur un lien malveillant non protégé ou inconnu, ou si la mise à jour d'Acrobat reader n'a pas été faite, elle sera piratée.

M. Bruno Sido. - L'une des questions qui me vient le plus à l'esprit est celle de la nouvelle place des États face au développement, souvent inattendu, du numérique. Pourront-ils aller jusqu'à prévoir l'imprévisible alors qu'il se présente de plus en plus de manière soudaine à un rythme défiant celui des institutions ? Nous en reparlons à l'occasion du débat tout à l'heure.

Nous allons maintenant aborder la question des données massives ou big data avec M. Charles Huot qui préside le comité éditorial du portail Alliance big data. Il va nous exposer en quelques mots pourquoi la création de ce portail est nécessaire, avant de nous faire part de ses analyses et réflexions sur le thème de la présente journée d'audition.

M. Charles Huot, président d'Aproged, président du comité éditorial du portail Alliance big data. - L'objectif de la création de cette Alliance est un peu le même que celui de ma participation ce matin à votre audition. Big data est un terme porteur de beaucoup de fantasmes et comme pour tous les termes qui se développent rapidement ou buzzword, on pense que ce mot est amené à disparaître. En réalité, il va perdurer parce qu'il correspond à une réalité nouvelle, une vraie révolution.

L'objectif de cette Alliance vise à expliquer, à raconter ce qu'est le big data à travers toute une série d'exemples. M. Gilles Babinet en a donné quelques-uns. Et peut-être que l'explication de ces exemples va apporter des réponses aux orientations juridiques que nous devons donner au traitement de ces données.

L'Alliance big data est partie du constat suivant : ce terme étant issu de l'informatique, très rapidement les sociétés informatiques s'en sont emparées, notamment les grandes entreprises américaines, les Google, Facebook et autres, qui ont développé les technologies sous-jacentes au big data pour des raisons internes à leurs entreprises, liées à la nécessité technique d'utiliser de nouveaux systèmes d'exploitation de l'information, de façon à prendre à compte les volumes de données très importants qu'elles devaient gérer chaque jour, les millions de clients, les très gros volumes de données issus des recherches et des indexations de l'Internet.

Finalement, l'idée de cette Alliance est venue le jour où l'on s'est dit que le besoin de technologies pour traiter de gros volumes de données, ce n'était pas vraiment nouveau. C'est lié à l'histoire de l'informatique. Cela remonte au temps où l'on voulait modéliser un profilage d'un véhicule dans des systèmes de soufflerie numérique. En quoi le big data n'est-il pas seulement un élément technologique ? La donnée ou data, dans l'écosystème national et international, c'est un terme qui s'associe à d'autres termes, comme l'open data par exemple, qui est le fait pour les États d'ouvrir leurs espaces de données aux citoyens et aux entreprises.

Petit à petit, un consensus s'est fait entre des acteurs qui avaient des intérêts différents, des métiers différents, et qui se sont regroupés dans ce mouvement qui porte aujourd'hui le nom d'Alliance big data. Les associations membres sont partagées en trois grands silos : le silo lié aux données, au milieu le silo lié aux technologies, c'est le cas notamment des grands pôles de compétitivité, et, enfin, le silo lié aux usages. Quand on prend le big data sous l'angle technologique, on oublie souvent de se demander à quoi il sert.

Le big data va perdurer parce qu'il touche tout le monde. La question, ce n'est pas la technologie pour la technologie, les données pour les données, mais les usages à lui donner. Le big data est bien ce lien entre ces trois grands pôles, où chacun va apporter sa brique. S'agissant des données, on va s'intéresser à leur nature, à leur qualité et à leur protection, c'est-à-dire à tout l'environnement qui a déjà été décrit ce matin autour de la sécurisation des données, de la propriété des données et du rôle de la CNIL.

Ce qu'on réalise peut-être mal, c'est l'incroyable capacité des outils techniques à exploiter les données. Il y a toute une série de questions qu'on se pose aujourd'hui. On a parlé des données de santé. Je ne sais pas si on mesure bien la possibilité aujourd'hui, avec des données ouvertes, disponibles sur Internet, d'améliorer la santé publique, sans pour autant ouvrir des données de l'État sur notre consommation de médicaments ou les feuilles de remboursement maladie. Il faut bien comprendre que si l'on bloque un certain nombre d'accès à des données, pour des raisons de protection de la vie privée et autres, ces aspects-là seront détournés, parce qu'on travaillera sur d'autres gisements de données publiques qui nous permettront in fine d'arriver aux mêmes résultats. C'est donc une question de temps. C'est un phénomène incroyable d'interconnexion de données. Le moindre appel téléphonique donne lieu à des centaines d'enregistrements et de captations de données qui vont des plus classiques - comme la géolocalisation ou le contenu de la conversation - aux plus pointues - les routeurs - les éléments techniques et tous les réseaux par lesquels sont passées les conversations.

De quelle technologie, de quelles données parle-t-on ? Pour visualiser la notion de données, on peut imaginer une base de données de clients qui comporte le nom, le prénom, l'adresse et tout un tas d'informations sur les produits qu'il a achetés. Aujourd'hui, avec le temps et le développement des technologies, on est capable de stocker dans cette même base de données des données dites non structurées. Autant on peut concevoir qu'un ordinateur soit capable d'analyser intelligemment des chiffres, autant c'est moins évident de comprendre qu'aujourd'hui les ordinateurs et les technologies peuvent analyser de manière semi-automatique, voire automatique, des textes. Cette compréhension de texte passe par le web sémantique, des outils de traitement automatique du langage, mais également des outils de traitement automatique des images et du son. Les technologies de reconnaissance faciale, capables de reconnaître un individu par rapport à une photo, vont être mises en exploitation par Facebook pour indexer les photos de vacances tout simplement. Par exemple : « J'aimerais avoir toutes les photos de mon fils à bicyclette. »

Tout cela a dépassé le stade de l'expérimentation. Ces systèmes sont disponibles aujourd'hui pour les entreprises et les laboratoires de recherche, en Europe et en France. Nos grands instituts de recherche les développent. Les applications sont à l'oeuvre sur des ensembles de données. Dans le monde scientifique, on voit apparaître des alliances sur les données de la recherche. Research Data Alliance, un grand consortium paneuropéen, vise à regarder les exploitations envisageables des données scientifiques. D'un côté, on dispose de toutes les données expérimentales, avec des volumes informatiques colossaux, alors que précédemment, on avait un article de cinq pages qui décrivait l'objet de la recherche. La réécriture ou la reconstitution de l'expérience en partant de ces données versus ce qu'on faisait à l'époque, en partant directement de la lecture de l'article, pose question.

Ces big data se mettent en oeuvre dans tous les secteurs des services et de l'industrie. On a parlé du compteur électrique intelligent qui permet aussi de savoir quelle chaîne de télévision est regardée, qui prend sa douche, etc. Si l'on combine toutes ces données à d'autres données, sur le transport en Île-de-France et toutes les données publiques produites par les collectivités, par exemple, on comprend bien qu'on peut en tirer un grand usage pour la collectivité et de grandes économies. On a rappelé ce qui est envisageable pour les données de santé qui peuvent également servir au bon usage de l'argent public et c'est tout le débat qui nous touche profondément sur l'ouverture des données de l'État. La nomination récente de M. Henri Verdier, chief data officer, responsable des données de l'État, vient contribuer au débat sur le big data.

Et là on va rebondir sur toutes les questions d'actualité depuis que cette fameuse actrice américaine s'est fait opérer suite à l'analyse de son génome. Ce sujet touche aussi le monde des assurances. Doit-on rembourser les frais de maladie de quelqu'un dont on sait qu'il va tomber malade ? Dans l'assurance automobile, on peut assurer au kilomètre en plaçant un capteur dans le véhicule. Ce capteur peut également capter d'autres informations permettant de connaître le comportement de conduite. Si je suis un bon usager et que je respecte le code de la route, je vais souhaiter pouvoir en bénéficier auprès de mon assureur.

Les exemples se multiplient à l'infini. Toutes les grandes entreprises françaises, aidées par le réseau des pôles de compétitivité et tous les réseaux liés à l'innovation en France, créent aujourd'hui au sein de leurs organisations des laboratoires de recherche dédiés au big data. Ils créent également des collaborations avec des chaires parmi les plus grandes universités françaises, sur les thématiques de la banque, de l'assurance, de l'automobile, de la santé, etc.

Les technologies sont prêtes. On attaque le sujet. Ces technologies commencent à travailler sur des ensembles de données, avec toujours cette idée presque absurde qu'on ne sait pas en premier lieu ce qu'on va pouvoir faire de toutes ces données. Que peut-on faire d'un million d'informations concentrées sur un individu ou sur une région ? L'Alliance big data nous pousse à être pragmatiques. Travaillons au cas par cas et réfléchissons à cette notion d'écosystème. Le véhicule n'est plus l'apanage du constructeur automobile. Il appartient désormais à tout un écosystème de capteurs, d'assurance, de déplacements dans la ville...

Il existe d'autres thématiques. Vous avez cité en introduction le nuage numérique ou cloud, les objets intelligents, les villes connectées. Le citoyen qui se déplace dans la ville est à la fois élément déclencheur de toute une série de capteurs, soit mobiles soit fixes, et en parallèle, il est porteur et émetteur de toute une série d'informations non structurées issues des réseaux sociaux.

Mme Anne-Yvonne Le Dain. - Merci pour ce tour d'horizon très complet, qui est, comme la vie elle-même, à la fois vivifiant et inquiétant. C'est le propre de l'humanité, quasiment depuis Adam et Ève, qui ont inventé le mal, comme chacun sait. Le mal va devenir le paradis. Et là, comment arrive-t-on à construire, dans un système qui s'est fait tout seul ? L'Internet n'a pas vraiment été inventé, il est apparu d'un seul coup. Quand on a décidé de faire les chemins de fer, quelqu'un a inventé un moteur à vapeur, il a décidé de le mettre sur une caisse en fer et il l'a fait avancer en mettant des rails dessous. L'Internet n'a pas été décidé. Les possibilités de l'Internet se sont déployées à grande vitesse et personne n'a véritablement su comment et combien.

Tout à l'heure, Mme Mireille Delmas-Marty a cité expressément l'ancienne prix Nobel d'économie, Mme Elinor Ostrom, qui a inventé le concept de « bien public mondial ». C'est apparu sur la place publique comme une sorte de révélation simple. Maintenant il appartient à tous les êtres humains vivants, scientifiques, intellectuels, industriels, associations, politiques, de construire progressivement cet espace juridique qui fera que notre avenir, espérons-le, soit meilleur et un peu moins angoissant.

Maître Christiane Féral-Schuhl, ancienne bâtonnière du Barreau de Paris, nous vous remercions d'avoir accepté de venir nous faire part de votre analyse. En tant qu'avocate spécialisée en droit de l'informatique et des technologies, vous allez faire état, de manière très synthétique, des problématiques qui résultent des sept zones de risques que vous avez identifiées, ainsi que des parades que l'on peut imaginer pour limiter tout cela. Sachant que tout est à faire et à construire, mais que tout est, en partie, déjà pensé.

Je n'oublie pas ce qu'ont dit MM. Jean-Dominique Nollet et Pascal Chauve qui nous rappellent au fait que le droit construit et détermine ce qui va être la vie des individus dans leurs forces et leurs faiblesses. Ce ne sont pas que des théories intellectuelles qui régulent des sociétés. Ce système est extrêmement concret et important.

Me Christiane Féral-Schuhl, avocat spécialisé en droit de l'informatique et des technologies, ancien bâtonnier du Barreau de Paris. - Je vais peut-être réagir à ces propos. Vous disiez que l'Internet est apparu d'un seul coup. C'était au début des années 1990. En vingt ans, les technologies nous ont obligés à repenser tous les fondamentaux de la société. Les institutions ont été bouleversées. Tous les modèles ont été confrontés à l'Internet, et, bien sûr, le cadre juridique aussi. Mais, ce que j'ai pu constater à travers les années, c'est qu'à chaque fois que se pose un problème technologique et que l'on regarde les textes existants, les principes fondateurs de notre droit apportent des réponses satisfaisantes.

On a évoqué uniquement la loi informatique et libertés. Elle pose des règles fondatrices et c'est sous forme d'avis et de recommandations que la CNIL s'est exprimée, apportant des précisions aux différents cas auxquels nous avons été confrontés. Et l'on trouve dans notre droit ces principes fondateurs sans avoir besoin de la prolifération des textes que l'on a pu voir ces dernières années.

À propos du thème particulier de la sécurité, j'ai constaté que le citoyen a toujours une attitude schizophrène. Nous avons toujours cette recherche de la sécurité, de l'État sécuritaire, et puis, en face, cette volonté de liberté qui est revendiquée sur Internet. C'est, par exemple, tout le débat qu'a suscité le passe Navigo de la RATP. À sa sortie, ce passe permettait de tracer par la collecte des données le chemin parcouru dans le métro. Un tollé s'est élevé, fondé sur le principe de la liberté d'aller et de venir, liberté constitutionnelle. Dans le même temps, très spontanément le voyageur va se tourner vers la RATP pour s'indigner de son incapacité, avec tous les outils dont elle dispose, à suivre la trace des agresseurs de voyageurs.

On retrouve cette même logique avec la vidéosurveillance pudiquement appelée « vidéoprotection ». Chacun refuse qu'on surveille ses allées et venues dans son immeuble, en revanche, dès qu'il y a un cambriolage, il s'interroge sur l'utilité de tous ces systèmes.

Un dernier exemple avec les contrôles aéroportuaires. On vit comme un déshabillage numérique ces contrôles, et, dans le même temps, on ne comprendrait pas que le transporteur ne remplisse pas son obligation de sécurité renforcée.

Cette problématique est déclinable à l'infini. Suivant le moment, on va changer de positionnement et faire bouger le curseur, tantôt en voulant être protégé, tantôt en voulant revendiquer cette zone de liberté. Face au thème de la liberté d'expression, du droit à l'information, du droit de savoir selon certains, on va tout de suite voir la limite posée par la protection de la vie privée, la revendication de l'intimité de la vie privée.

Cela m'amène à dire qu'il faut peut-être définir ce qu'est la vie privée, comment elle s'appréhende aujourd'hui. Dans le modèle économique actuel qui consiste à livrer ses données personnelles, à alimenter le système de l'Internet, la conscience de l'internaute, ou en tout cas son attention, doit être attirée sur deux règles fondamentales de l'Internet : la mémoire d'éléphant - « je donne de l'information et elle ne disparaît jamais » - et le préjudice sur Internet qui peut être à l'échelle planétaire.

Vous m'avez demandé d'aborder plus particulièrement la problématique sous l'angle de l'entreprise. L'entreprise est partie prenante de cet univers, elle fait partie de la société numérique. Il y a cette conscience aussi à l'intérieur de l'entreprise. Le chef d'entreprise est responsable de son bateau. Dans le même temps, le numérique fait que tout s'instaure par la voie des dialogues, des échanges et des enrichissements. Beaucoup de choses ont changé dans le modèle de l'entreprise.

Une première réaction consiste à protéger le bateau en faisant attention aux voies d'eau. La première zone de risque consiste donc à identifier ce qui peut provoquer ces voies d'eau.

Et, déjà, il apparaît une première difficulté qui vient du défaut de gestion des contrôles d'accès. Les entreprises font de plus en plus appel à des prestataires ou à du personnel intérimaire et le problème des badges d'accès n'est pas réglé. Pour les grands projets informatiques, des armées de prestataires entrent dans l'entreprise, et, lorsque le projet est terminé, on ne va pas nécessairement changer les codes à la sortie. Sur quelque chose d'aussi basique que les badges, on constate des défaillances.

Par ailleurs, aujourd'hui il est facile de prendre la maîtrise d'un ordinateur à distance. Cela suppose que des codes soient communiqués.

D'autre part, certaines grandes entreprises ou administrations livrent à travers leurs appels d'offres l'intégralité de leur système d'information. C'est pourquoi la politique informatique d'une entreprise est absolument déterminante pour éviter de livrer clé en main des informations stratégiques sans traiter le volet confidentialité. En effet, la clause de confidentialité ne va apparaître qu'au moment où le contrat va être signé avec le prestataire. Avant cela, une mine d'informations stratégiques relatives aux modalités d'accès et aux systèmes de traitement est ainsi livrée en pâture à des tiers.

Ensuite, il y a tout ce qui est lié à la surveillance électronique. Par exemple, les mises à jour de pare-feu ne sont pas faites systématiquement. Or de nouveaux virus apparaissent au quotidien et nécessitent donc une mise à jour périodique. La responsabilité de l'entreprise se joue déjà à ce simple niveau. Certes, les atteintes en provenance de l'extérieur sont réelles, mais, souvent, elles sont dues à des négligences de ce type.

Les atteintes peuvent aussi venir de l'intérieur. 85 % des risques qui se concrétisent dans l'entreprise viennent du personnel, par malveillance ou par négligence. La sécurité passe par des mesures basiques, via des audits, des tests d'intrusion. L'essentiel des risques se situe déjà à ce niveau-là.

La deuxième zone de risque est liée au risque de discontinuité du service. L'entreprise fonctionne dans un dialogue permanent avec l'extérieur. Au niveau du système d'information et du traitement d'information, il existe une vulnérabilité très forte de l'entreprise qui ne traite pas suffisamment la réversibilité ou la transférabilité d'un système. Par exemple, si l'application de gestion des commandes s'arrête, quels sont les scénarios qui doivent être mis en place pour assurer la continuité de l'entreprise ? Cette chaîne de fabrication passe par des mesures de protection informatiques et technologiques : plan de contournement d'activité, plan de reprise d'activité, de façon à s'assurer de la continuité des logiciels et garantir la continuité de service. J'invite les entreprises à identifier toutes leurs applications sensibles afin de gérer l'incident, le risque de discontinuité de service.

La troisième zone de risque est liée à la perte des archives. Le chef d'entreprise est responsable de la conservation de la mémoire de l'entreprise. L'administration a cette même obligation. Aujourd'hui on ne raisonne plus qu'en termes d'archives numériques. La politique d'archivage doit favoriser une approche hiérarchisée des archives. La CNIL propose trois niveaux de hiérarchie : les archives courantes, les archives intermédiaires et les archives définitives.

Pourquoi la CNIL ? Le volet des données personnelles est incontournable dans les archives et la durée de conservation doit être définie. Cette distinction que propose la CNIL est tout à fait pertinente. Les données concernant un client pendant l'exécution du contrat iront aux archives courantes. Les données servant un intérêt en cas de contentieux comportent un délai de prescription légale et iront aux archives intermédiaires. Enfin, les données qui présentent un intérêt scientifique, historique, doivent être conservées dans le temps et elles iront aux archives définitives pour que la mémoire de l'entreprise puisse être restituée dans un ou deux siècles.

Cela pose la question de la lisibilité des données dans le temps par les appareils de lecture. Les supports d'il y a dix ans sont déjà obsolètes aujourd'hui. Une politique d'archivage inclut à la fois la conservation et la mise à jour des archives afin de garantir la lisibilité, l'accessibilité, l'authenticité des informations. L'intégrité des informations, la pérennité des solutions techniques d'archivages sont importantes. Elles supposent un travail d'indentification des données sensibles. Nous sommes là au coeur de la problématique de la sécurité.

La quatrième zone de risque est liée à l'atteinte à la vie privée. Ces risques existent au sein de l'entreprise, notamment via la messagerie. Comment s'articulent les sphères privée et professionnelle au moment où elles ne recouvrent plus les mêmes unités de temps et de lieu de travail ? J'ai tendance à dire que le code du travail est dépassé sur ce point. Pour toute une catégorie de salariés, les trente-cinq heures n'ont plus beaucoup de sens, quand on sait que leur temps de travail se prolonge chez eux et que, sur leur lieu de travail, des démarches personnelles sont faites. Tout cela pose le problème de l'atteinte à la vie privée par les réseaux sur le lieu de travail.

Peut-on interdire l'usage de l'Internet dans l'entreprise ? Non, mais en même temps, le chef d'entreprise est responsable de tout ce qui est transféré par le réseau, notamment des téléchargements effectués par ses salariés dans son entreprise par la voie des accès Internet, de la même manière qu'il serait responsable d'un réseau de trafic de drogue ou de prostitution qui se mettrait en place dans son entreprise.

Des dispositifs de contrôle doivent donc être prévus. Le chef d'entreprise en a le droit, à condition de respecter deux règles : la règle de la transparence et la règle de la proportionnalité. Dès lors il faut se demander comment donner une place à la sphère privée de l'employé, comment gérer intelligemment toutes ces relations et ces modifications qui se mettent en place au sein de l'entreprise.

La cinquième zone de risque est liée à l'atteinte à la liberté d'expression, une liberté fondamentale que beaucoup revendiquent. Mais, au sein de l'entreprise, beaucoup de choses changent. Quid de la liberté syndicale ? Va-t-on pouvoir utiliser la messagerie ? Peut-on utiliser le site de l'entreprise ? Que peut-on divulguer quand on sait que les syndicats peuvent avoir accès à des informations couvertes par le secret ? La diffusion de certaines informations pose des problèmes de risque. Si la liberté d'opinion est garantie, notamment aux fonctionnaires, des règles sont à rappeler : le secret professionnel, la discrétion professionnelle, le devoir de réserve, pas d'utilisation à des fins politiques, pas d'information à des fins syndicales... Tout cela fait partie des zones de prise de conscience par les entreprises.

La sixième zone de risque est liée au non-respect de la loi informatique et libertés. Je ne vais pas revenir sur les éléments apportés par Mme Falque-Pierrotin, sinon pour rappeler que les entreprises sont amenées à contribuer à la sécurité, notamment par l'obligation de conservation des données de connexion pendant une année. Dans certaines entreprises qui ouvrent des possibilités d'accès en Wi-Fi pour leurs clients par exemple, ou pour les visiteurs, des garanties sont à prendre en matière de sécurité. Cela s'inscrit dans le plan de lutte contre la cybercriminalité qui a été évoquée.

La mise en place des accès biométriques est de plus en plus généralisée dans les entreprises. Elle soulève cette recherche d'un juste équilibre entre la vie privée et le besoin de sécurité au sein de l'entreprise.

La septième zone de risque est liée au non-respect du code de la propriété intellectuelle. Parmi les problèmes les plus courants, figure l'utilisation de logiciels sans licence et la conformité des sites web, de l'Intranet et des bases de données.

D'une part, je voudrais insister encore une fois sur le problème du téléchargement au sein de l'entreprise et de la responsabilité particulière du chef d'entreprise, lorsqu'une infraction a été commise et alors qu'il est responsable du réseau.

D'autre part, j'attire l'attention sur l'utilisation de l'open data et des biens communs. Il faut être conscient que cela peut fragiliser l'entreprise. Dans une démarche visant à favoriser l'open data et le logiciel libre, il faut connaître les contraintes du dispositif. Le concept même du logiciel libre est l'inversion du raisonnement du droit d'auteur. Le droit d'auteur dit : « Je ne veux pas qu'on puisse s'approprier le logiciel dont je suis l'auteur. » En contrepartie, tous ceux qui l'utilisent partagent les évolutions et l'enrichissement. Et certaines entreprises peuvent être obligées de communiquer et de partager des informations qui viennent sur ce terrain-là mettre en difficulté leur politique de sécurité.

Pour finir, je vais vous faire part d'une préoccupation. Aujourd'hui la sécurité est omniprésente et, à chaque fois que la liberté avance, les libertés fondamentales peuvent reculer. La question est de trouver le juste équilibre. Je suis frappée de voir que notre système judiciaire et juridique de manière générale, a mis en place un certain nombre de protections, notamment les prescriptions. Je vais prendre l'exemple des prescriptions de la presse, où les diffamations et injures sont limitées à trois mois. Pour moi, elles n'ont pas de sens sur Internet parce que le préjudice perdure. Les entreprises peuvent en être victimes. Aujourd'hui, la guerre économique se fait aussi sur le terrain de la diffamation pour les entreprises et pour les chefs d'entreprise. En règle générale, cette durée de prescription est toujours limitée à trois mois. Et, même si elle a été prolongée à une durée de trois ans pour certains délits aggravés, dans certains cas comme la pédopornographie, la prescription est limitée à trois mois en règle générale. Cette durée me paraît aberrante par rapport à la réalité de ce que l'on constate sur Internet.

À l'inverse, il y a une possibilité d'effacement des peines, pour un chef d'entreprise par exemple, et les casiers judiciaires ne sont pas partagés à l'échelle de l'Internet. Nous avons une faculté d'effacement dans la vie de tous les jours, ce qui n'est pas le cas de l'Internet. En tant qu'avocate, je vois des drames, des chefs d'entreprise dans l'incapacité de se reconstruire et de reconstruire leur entreprise à cause de diffamations, d'injures, voire de situations où ils ont été largement médiatisés suite à des gardes à vue ou à des actions qui ont pu être engagées. Parfois elles ont conduit à des relaxes, parfois à des peines, mais en tout cas elles perdurent sur Internet. De ce point de vue, la décision qui a été rendue par la Cour de justice de l'Union européenne est extrêmement intéressante. Pour la première fois, on est dans un droit de déréférencement à travers la possibilité de déréférencer certains liens sur certains contenus.

C'est différent du droit à l'oubli qui est la faculté de pouvoir effacer complètement une information, ne plus la faire exister sur Internet. C'est, par exemple, le souhait d'un jeune qui s'est ridiculisé dans une vidéo en fêtant l'obtention de son baccalauréat et qui en est pénalisé dans sa vie professionnelle ou sentimentale pendant des années. On peut imaginer quand même ne pas être lié ad vitam aeternam à certains comportements qu'on a pu avoir à un moment donné. Donc oui au droit à l'oubli dans ce cas-là. En revanche, les opposants au droit à l'oubli disent une chose très importante : est-ce que chacun va pouvoir réécrire son histoire telle qu'il a envie de l'écrire ? C'est le problème de la mémoire. Aujourd'hui, l'archivage va s'écrire à travers le numérique. La sécurisation de l'histoire, le devoir de mémoire, va s'écrire et se décliner partout. Il faut donc faire attention à cette faculté.

La Cour de justice de l'Union européenne ouvre une porte. Peut-être faut-il en profiter. C'est extrêmement intéressant. L'information ne disparaît pas d'Internet, mais c'est le référencement qui disparaît. Il faudrait arriver à faire respecter sur Internet la présomption d'innocence, le respect du contradictoire et le respect des prescriptions qui sont des protections et qui sont inscrits dans ces principes fondateurs que j'évoquais au début.

Mme Anne-Yvonne Le Dain. - Nous vous remercions de ces ouvertures et en même temps du rappel de ces inquiétudes constantes. Le droit construit la vie, vous en avez fait une démonstration magistrale.

Avant d'ouvrir le débat général, je voudrais passer la parole à notre collègue député, Jean-Yves Le Déaut, premier vice-président de l'OPECST. Pourriez-vous regrouper vos interrogations en une seule ?

Jean-Yves Le Déaut, député, premier vice-président de l'OPECST. - Les débats de ce matin sont passionnants. Nous avons déjà suivi cette question avec le sénateur Bruno Sido et cela a donné lieu à une audition publique de l'OPECST en 2013 sur « Le risque numérique : en prendre conscience pour mieux le maîtriser ». Nous y avions examiné les risques pour la défense et pour la société civile. D'autre part, je suis rapporteur général de l'Assemblée parlementaire du Conseil de l'Europe pour la science et la technologie, et, à ce titre, on vient de travailler sur ces sujets au Conseil de l'Europe.

En vingt ans, tout a bougé. Non seulement le citoyen a compris l'intérêt d'utiliser l'Internet et ses applications, mais, en même temps, il souhaite une protection, une sécurité et il ne comprend pas les ressorts techniques de ce qu'il utilise. L'élu encore moins. L'élu est déboussolé devant ces avancées scientifiques et techniques. Le rôle de l'OPECST, c'est finalement de rendre compréhensible les questionnements pour que l'élu puisse décider. C'est de vous donner la parole et c'est ce que nous faisons aujourd'hui.

Vous avez très largement indiqué les dévoiements du système. Ils ne sont pas de même nature selon qu'on exploite des données disponibles, gigantesques, qu'on est capable d'aller puiser par des outils informatiques puissants. Cela donne des renseignements, y compris commerciaux.

Les données frauduleuses ne sont pas de même nature. Et là, ce que demandent globalement le Conseil de l'Europe, l'Union européenne et la communauté internationale, c'est une sorte de régulation. D'abord en affirmant, comme l'ont dit les Nations unies, lors de l'assemblée générale du 18 décembre 2013, le droit à la vie privée à l'ère du numérique ; ensuite, en travaillant de plus en plus sur la gouvernance de l'Internet, car il faut progresser sur cette question - une réunion à Istanbul aura lieu sur ce thème du 2 au 4 septembre 2014 ; et, enfin, en complétant un certain nombre de textes internationaux qui existent déjà, et c'est le rôle du Conseil de l'Europe.

Dans ses recommandations, le Conseil de l'Europe propose des avancées pour améliorer le cadre juridique au niveau international, aussi bien sur l'entraide judiciaire en matière de cybercriminalité que sur la protection des personnes.

Le Conseil de l'Europe a recommandé de veiller à la protection de la vie privée et la sécurité de l'utilisateur. Celui-ci doit être protégé en ligne, notamment face à l'interception, la surveillance, le profilage et l'archivage des données. Il faut que cela soit clair et que le consommateur le sache.

Parmi toutes ces recommandations, je voudrais attirer l'attention sur le fournisseur de services en ligne, commercial ou institutionnel. Il faut qu'il soit identifiable et transparent et qu'il affiche clairement sa politique, et ce n'est pas le cas aujourd'hui. Nous ne savons pas d'où viennent ces services. C'est comme si on achetait des produits sans savoir qui nous les vend. Ce fournisseur de services collecte énormément de données qui lui sont fournies par l'utilisateur et qu'il peut utiliser sans que, de manière transparente, l'utilisateur en soit averti. Sur ce point, nous devons progresser.

Deuxièmement, je souhaiterais vous interroger sur l'obligation de mettre en place pour ces questions un médiateur du citoyen. Celui-ci pourrait être désigné par chaque fournisseur, être facilement joignable et avoir obligation de répondre. Certains fournisseurs en ont un.

Troisièmement, je souhaiterais qu'un travail soit accompli sur le recours à l'identification réelle en ligne, que ce soit par des outils d'authentification, et certains existent déjà - la signature électronique par exemple, mais on pourrait en développer d'autres, notamment le recours à des tiers de confiance, ce qui n'a pas toujours été fait.

Quatrièmement, le droit à l'oubli me paraît important. Même si parfois, de manière schizophrénique, ce sont les utilisateurs eux-mêmes qui ont émis ces données, la possibilité de retirer des données, des contenus et des informations doit exister. Et ce, malgré le point que vous avez indiqué, Maître Christiane Féral-Schuhl, à savoir que tout fait partie de la mémoire. Je ne suis pas sûr que lorsqu'on a multiplié par mille les données en ligne sur un seul individu, il y ait un intérêt historique à toutes les conserver. L'individu doit pouvoir demander à un fournisseur de retirer les données le concernant.

Cinquièmement, les fournisseurs doivent s'interdire de fournir les identifiants des utilisateurs, les « user ID », sauf avec leur autorisation.

Sixièmement, les cookies existent, on le sait, et certains servent tout simplement à mesurer un certain nombre de besoins de l'utilisateur de l'ordinateur. Les cookies devraient à mon sens avoir une durée de vie limitée, sauf si les utilisateurs les acceptent. C'est possible techniquement. Rien que cette limitation de la durée de vie des cookies ferait changer les choses.

Tant que nous aurons des réglementations nationales sur des sujets qui ont des conséquences internationales, nous n'y arriverons pas. Quel est le système juridique qui va s'imposer ? Celui du pays de l'utilisateur ? Celui du consommateur final ? Celui du constructeur ? Pour le consommateur, le droit applicable serait le plus favorable entre celui du pays d'origine et celui du pays de service.

Il faudrait également travailler sur la gouvernance mondiale de l'Internet. Sans vouloir une révolution, on peut espérer avoir une charte de l'Internet signée par tous les pays, traitant notamment de l'attribution des noms de domaine et d'un certain nombre de sujets. Ces idées ont peu évolué depuis Tunis, je crois, il y a une dizaine d'années, et, comme on l'a vu lors de la dernière réunion à Montevideo.

Voilà quelques points, monsieur le président, que je souhaitais livrer à votre réflexion. Je suis très heureux que nos deux rapporteurs aient choisi ce sujet d'investigation. Actuellement, l'Office traite aussi d'un autre sujet relatif au numérique sur les données médicales, « Le numérique au service de la santé », dont les rapporteurs sont M. Gérard Bapt, député, et Mme Catherine Procaccia, sénateur.

Débat

M. Bruno Sido. - Nous allons profiter des minutes qui nous restent pour échanger.

Me Christiane Féral-Schuhl. - Merci pour votre intervention. Il me semble qu'aujourd'hui on n'a pas besoin de légiférer. Deux points me paraissent les plus critiques. Premièrement la sensibilisation à l'information avec obligation pour les fournisseurs de bien renseigner le consommateur. Informer l'internaute, que lorsqu'il choisit la page privée de Facebook, cela ne veut pas dire que cette page est confidentielle. Tout un travail de sensibilisation est à faire pour que les consommateurs arrêtent de fournir tous azimuts des données personnelles.

Le deuxième élément à consolider aux plans national, européen et international, est lié aux chargés d'enquête, de façon à appréhender les auteurs d'infraction. Depuis la loi Godfrain, l'arsenal est extrêmement riche, en tout cas, je n'ai jamais eu de difficultés à l'appliquer. En dehors du domaine pénal, on a tout ce qu'il faut en termes de textes, et même parfois trop, puisque nous avons des hésitations. En matière pénale, je sais, comme vous, qu'il faut un texte pour que l'infraction puisse exister. On y arrive à 95 %. Le délit d'usurpation numérique a été rajouté. Je me permets d'insister là-dessus. Les cadres juridiques se juxtaposent et je crains que cela finisse par susciter une difficulté. L'ensemble des juristes vous diront qu'il y a une prolifération de textes qui s'emboîtent, compte tenu du travail européen qui se fait.

Je voudrais également faire une observation sur la charte Internet dont vous avez souligné l'intérêt. Aujourd'hui, les acteurs sont transversaux, en particulier les moteurs de recherche, qui forment un État quasiment à eux seuls. En ce qui concerne les données personnelles, nous sommes arrivés à faire adhérer les entreprises américaines au Safe Harbor. L'idée que les grands acteurs soient tenus d'adhérer à ce que vous appelez la charte informatique est absolument à encourager et à imposer.

Enfin, je suis frappée par les ravages provoqués par les propos anonymes, cette possibilité sur Internet d'avoir des pseudonymes. La liberté d'expression, qui est une liberté fondamentale, ne prévoit nulle part qu'elle s'applique à des personnes anonymes. Rien n'empêcherait, dans l'élaboration d'une charte constitutionnelle numérique, si on devait aller dans cette direction, de rappeler l'obligation d'identification. Aujourd'hui, lorsqu'un journaliste utilise un pseudonyme, on peut le retrouver grâce au rédacteur en chef et à la responsabilité en cascade qui s'applique en matière de propriété littéraire et artistique. Mais, avec le pseudonyme, on se heurte à l'obstacle de l'anonymat. Ce problème doit être surmonté, ce qui règlerait déjà une partie non négligeable des problèmes, puisqu'un certain nombre de personnes aiment bien s'exprimer avec violence sur Internet, en général sous couvert d'anonymat.

Mme Mireille Delmas-Marty. - Je vais continuer la discussion sur la gouvernance mondiale d'Internet. Si je comprends bien, une charte signée par tous les pays du monde est un objectif lointain. Pourquoi est-elle bloquée ? Si l'on n'y arrive pas tout de suite, peut-on considérer que les organisations régionales comme celles que nous avons en Europe puissent fonctionner comme un laboratoire d'expérimentation ?

Cela m'amène à une autre question concernant le représentant d'Europol, M. Jean-Dominique Nollet. Pensez-vous que le parquet européen, prévu par le traité de Lisbonne, pourrait jouer un rôle dans le domaine de la cybercriminalité ? Même si ce n'est pas évident sur le plan du montage juridique, serait-ce souhaitable ?

M. Jean-Dominique Nollet. - Ce parquet européen est une entreprise qui se bâtit doucement, avec un intérêt qui est clair. En matière de cybercriminalité, nous n'en voyons pas le manque. Dans mon travail de tous les jours, quand on monte des opérations pour démonter des réseaux de robots informatiques ou botnets, on a tous les outils juridiques pour travailler.

Là où l'on a des besoins, c'est pour travailler plus vite et plus en profondeur. Pourquoi plus vite ? Parce que pendant que nous démontons les infrastructures des groupes criminels, ces groupes nous attaquent. Dans le monde physique, on arrête physiquement les gens et ils « gigotent » plus ou moins. Sur Internet, ils se livrent à des attaques par déni de service (DDoS). C'est très dynamique, très rapide, et donc il faudrait pouvoir adapter notre structure de démantèlement à cette vitesse.

M. Bruno Sido. - Mais disposez-vous de tous les outils juridiques quand vos attaquants sont en Chine, en Russie ou ailleurs ?

M. Jean-Dominique Nollet. - Ce n'est pas un problème juridique. Nous devons avoir les moyens pour mener notre opération à bien. Démanteler les centres de contrôle et de serveurs ou désinfecter les machines.

Je vais rebondir sur votre question. La vision que nous avons autour de cette table est très centrée sur la France et un peu sur l'Europe. Vous pourrez faire une charte, mais techniquement l'anonymat est possible sur Internet, en vous connectant au logiciel Tor par exemple. Entre 800 000 et un million de personnes utilisent Tor. Ces utilisateurs sont parfois bienveillants, ce sont des journalistes par exemple, parce qu'ils souhaitent entrer en contact avec des personnes qui sont en souffrance dans leur pays ou parce qu'ils sont exposés et que, si un État saisit leurs serveurs de messagerie, l'anonymat de leurs sources disparaît.

Donc l'anonymat est techniquement possible sur Internet. Même si vous faites signer une charte par les opérateurs Internet, cela ne changera absolument rien. Et je renverse la question : n'est-il pas fondé, pour les forces de l'ordre de l'Union européenne, d'essayer de lever cet anonymat de façon proportionnée, quand l'infraction le justifie ?

Mme Anne-Yvonne Le Dain. - La question de l'anonymat est fondamentale. Cette question n'est pas si simple parce qu'on touche à des questions assez délicates. Si l'on pense à une loi, encore faut-il qu'elle soit votée par une majorité. De plus, une loi est nationale. Mais c'est une question, effectivement. Une charte me semble une étape pertinente, qui aura le mérite d'être partagée par plusieurs pays européens et au-delà. C'est quelque chose qu'on est obligé de construire. Maintenant, j'entends votre urgence.

M. Jean-Dominique Nollet. - Je me suis mal exprimé. Je ne dis pas qu'il ne faut pas de loi en la matière. Je dis juste que la loi peut être contournée par la technologie en quinze secondes.

Mme Anne-Yvonne Le Dain. - Que faire alors ?

M. Jean-Dominique Nollet. - Sur l'anonymat, ma proposition est de dire la chose suivante. Je me promène dans la rue en tant que citoyen. Si un policier me contrôle, je vais lever mon anonymat puisqu'il existe un cadre juridique pour ce contrôle. Essayons aussi de maintenir sur la planète la capacité pour les forces de l'ordre de lever l'anonymat pour des gens qui portent une cagoule sur Internet.

M. Bruno Sido. - Disposez-vous actuellement de tous les outils juridiques nécessaires ?

M. Jean-Dominique Nollet. - Actuellement, il faut des outils avancés pour pouvoir lever cet anonymat. C'est ce que j'évoquais dans mon introduction à propos de la captation de données à distance.

Me Christiane Féral-Schuhl. - Cela m'évoque le problème des cybercafés. À un moment donné, on a dit que c'est de là que venaient la plupart des contenus illicites. J'ai constaté que certains cafés affichent au moment de la connexion une page du cybercafé qui dit : « Pour nous conformer à la loi, nous vous demandons votre identité ». Vous donnez votre nom et un certain nombre d'informations. Cela signifie que nous ne pouvons créer une identité virtuelle, le café se réservant même parfois le droit de demander la pièce d'identité à son client. Je ne dis pas que c'est la solution mais c'est le signe d'une prise de conscience.

À noter, à propos de liberté, que lorsque je m'installe dans un cybercafé, j'utilise la connexion Wi-Fi du café ; quand je suis chez moi, j'utilise ma connexion. C'est le responsable de ma connexion qui doit rendre compte à la justice de ce qui se passe. Il peut donc y avoir une justification dans le fait que, oui, je vous autorise à vous connecter, mais ce qui va circuler par ce réseau est de ma responsabilité de cybercafé, donc je vous demande des informations.

Mme Anne-Yvonne Le Dain. - Cela renvoie à la question de l'anonymat. Dans le droit français, on n'a pas le droit de se promener dans la rue avec le visage couvert.

M. Bruno Sido. - Pas en tchador par exemple.

Mme Anne-Yvonne Le Dain. - C'est une particularité du droit français, mais c'est dans notre loi. Et donc la question est d'une nature extrêmement délicate et complexe. Le sénateur Bruno Sido et moi-même ne partageons pas forcément la même analyse.

Dans un monde où l'individu devient le noeud de tout et peut se connecter à tout, dans des communautés variées, improbables, introuvables, pertinentes, éventuellement profitables, je crois qu'on est véritablement dans une nouvelle dimension économique. Le XXIe siècle, c'est l'ère du numérique, de l'Internet, d'une liberté individuelle qu'il faut corréler avec les libertés sociales, avec la sécurité individuelle et sociale.

Seconde table ronde

M. Pierre Lasbordes, ancien député, ancien membre de l'OPECST. - Cette table ronde est très riche, puisqu'elle invite des philosophes, des représentants des consommateurs, des techniciens, des avocats, une responsable d'un office étatique de la police et un psychopathologue.

À 16 heures, nous aurons la chance d'écouter Mme Axelle Lemaire, secrétaire d'État chargée du numérique, puis les débats reprendront.

Je vais tout de suite donner la parole à M. Bernard Stiegler qui va nous donner sa vision d'un thème ayant déjà fait l'objet d'un rapport de l'OPECST, dont j'ai été membre pendant dix ans : la sécurité des réseaux numériques.

M. Bernard Stiegler, philosophe, directeur de l'Institut de recherche et d'innovation du Centre Georges Pompidou (IRI), membre du Conseil national du numérique. - Je vais commencer par un mot axiomatique qui va être à la base de tous mes propos. Je soutiens, avec la communauté des philosophes du XXIe siècle, une thèse qui est à l'origine de la philosophie, une thèse de Socrate selon laquelle toute technique est ce que les Grecs appellent un pharmakon. Comme le disait Claude François, un marteau sert à construire sa maison, mais aussi à assassiner son voisin. Toute technique a cette double dimension, plus ou moins visiblement, et plus ou moins sensiblement. Par exemple, une technique comme le biface a mis près d'un million d'années à se constituer, en passant du chopper (il y a 2,8 millions d'années) au biface (il y a deux millions d'années). Le temps d'appropriation de cette technique a été relativement long.

Le numérique commence avec le web qui est apparu le 30 avril 1993. En l'espace de vingt-et-un ans, il a bouleversé absolument tout : la fiscalité, le commerce, l'enseignement, les pratiques scientifiques, la vie politique. Cette sorte d'éclair foudroyant pose un problème d'une difficulté colossale à savoir la capacité de la société à transformer la toxicité potentielle du pharmakon Internet en un système thérapeutique, curatif. En vingt-et-un ans, une communauté de sept milliards d'individus doit arriver à reconstruire des modèles, là où, autrefois, encore pratiquement jusqu'à la révolution industrielle, vers 1780, on avait encore deux ou trois siècles pour s'approprier une mutation technologique. Au début de l'humanité, c'était incomparablement plus long.

Nous avons donc affaire à un problème de pharmacologie, au sens large de Socrate, absolument exceptionnel. D'une manière ou d'une autre, l'OPECST est toujours confronté à ces problématiques. C'est pourquoi il faut faire des choix technologiques. Une enceinte politique doit arbitrer de tels choix qui ne sauraient être laissés au seul marché car ce dernier a la faiblesse de ne représenter que des intérêts particuliers. Je sais bien que certaines théories du marché posent que la sommation de ces intérêts particuliers produit un intérêt général, mais c'est un autre sujet dans lequel je ne vais pas m'engager.

En tant que membre du Conseil national du numérique (CNNum), je signale la récente parution du rapport sur la neutralité des plates-formes, publié par le CNNum et pour lequel M. Francis Jutand, son principal rédacteur, a accompli un travail exceptionnel d'analyse sur les dangers portés par les logiques de plates-formes qui sont actuellement mises en oeuvre.

Alors qu'est-ce qu'une plate-forme ? Le web en est une d'une certaine manière. Mais à cette plate-forme sont venues s'ajouter des plates-formes de type Apple ou Facebook, lesquelles distordent les logiques initiales de la plate-forme qu'était le web.

Vous aurez noté aussi que le patron de Springer a adressé une lettre ouverte à M. Éric Schmidt, en avril 2014, intitulée : « Nous avons peur de Google. » C'est une première dans l'histoire du capitalisme industriel qu'un PDG d'une entreprise d'une telle ampleur déclare qu'il a peur de quelque chose. Normalement, un PDG n'a peur de rien. Cette rhétorique indique qu'un malaise s'est installé autour du numérique et qu'il faut absolument l'analyser en détail.

Ce malaise s'est installé depuis environ un an, depuis l'affaire Snowden en particulier et même avant, puisque, il y a trois ans, l'Institut de la culture des réseaux à Amsterdam, que dirige M. Geert Lovink, un activiste très pronumérique, a changé de ton et a engendré ce que j'ai appelé dans une conférence « le blues du Net ». Le doute s'est installé dans la communauté des activistes qui sont des militants du numérique.

Ce malaise profond, on le retrouve aussi dans le rapport sur la fiscalité de l'économie numérique, remis par Pierre Collin et Nicolas Colin, un problème qui avait déjà été souligné par M. Philippe Marini, sénateur. La fiscalité à l'époque de l'économie des données est littéralement en voie de désintégration avec les plates-formes que j'ai évoquées et toutes sortes de modèles qui sont liés au numérique.

Ce blues du Net se produit maintenant dans le champ scientifique, par exemple autour des données massives ou big data. M. Chris Anderson, qui fut un prescripteur en tant que rédacteur en chef de Wired, la revue de référence de la Silicon Valley, a publié, en juin 2008, un article intitulé : « The end of theory : data deluge makes the scientific method obsolete ». Dans cet article, il prenait Google comme un exemple caractéristique. Premièrement, Google, en faisant évoluer la pratique des langues à travers son moteur de recherche, les AdWords, l'autocomplétion, la traduction automatisée et bien d'autres services, a totalement transformé le rapport au langage et l'évolution des langues. Or, constatait Chris Anderson, il n'y a pas de linguiste chez Google, si ce n'est pour traiter des problèmes d'interface. Ce qui a permis tout cela, ce n'est pas la linguistique, ce sont les mathématiques appliquées mettant en oeuvre des chaînes de Markov à l'échelle de ce qu'il appelle le « déluge de données » (data deluge), c'est-à-dire ce qu'on appelle aujourd'hui le big data.

M. Chris Anderson ajoute que l'OMS n'a pas su anticiper l'évolution de l'épidémie de grippe, mais que Google l'a fait très bien, sans médecin. Donc on n'a plus besoin de ces savoirs théoriques, avec des modèles, des hypothèses, des causalités. On n'a plus besoin que de corrélations. C'est M. Viktor Mayer-Schönberger, de l'Institut Internet de l'université d'Oxford, qui le dit. M. Chris Anderson ne le dit pas, mais il décrit déjà cela.

Quatre mois plus tard, M. Alan Greenspan, président de la Réserve fédérale américaine, est auditionné devant le Congrès à la suite de la crise des subprimes. Ses explications consistent à dire que le trading automatique, la délégation aux automates - ce qui a fait dire aux prix Nobel d'économie, qu'il n'y avait plus besoin de modèles théoriques, d'hypothèses -, et que tout cela, par la sommation automatisée, ne pouvait que marcher très bien, alors que cela ne marche pas du tout ! Et il a refusé que lui soit reproché d'avoir mis en oeuvre cela parce que toute la théorie économique avait en fait renoncé à la théorie économique en disant qu'il fallait remplacer la prise de décision des humains par des systèmes automatisés. Cette audition du 23 octobre 2008 est en ligne sur YouTube.

Le numérique est un pharmakon d'un genre spécial qui engendre toutes sortes de risques : des risques civiques, par exemple avec la perte de contrôle des données personnelles, des risques politiques, des risques économiques - fiscalité ou plates-formes telles que Francis Jutand a montré qu'aux États-Unis d'Amérique elles permettaient aujourd'hui d'imposer des modèles hégémoniques et des distorsions de concurrence absolument drastiques -, des risques culturels, des risques diplomatiques aussi.

Le web et plus généralement l'Internet et le numérique, n'est pas l'informatique, qui est la science des ordinateurs. Le numérique est la science de ce que Mme Clarisse Herrenschmidt appelle « l'écriture réticulaire », c'est-à-dire que tout le monde est relié à travers des réseaux et produit des traces.

Depuis deux ans et demi, l'université de Stanford fait la promotion des MOOCs, une vitrine un peu tapageuse qui cache beaucoup d'autres choses que l'on regroupe sous le terme de smart power. Mme Clinton porte un grand discours sur le smart power qui viendrait remplacer le soft power. Le soft power est venu de l'usine à rêves Hollywood qui permettait aux États-Unis d'envoyer plutôt Mickey que les GIs. Comme le disent certains spécialistes de l'histoire américaine, Mickey rapporte de l'argent et de l'estime, les GIs coûtent de l'argent et produisent des ennemis. Il vaut mieux avoir un soft power, s'appuyant sur toute une technologie et des industries culturelles et qui va être à la base du modèle économique puisque ce sera aussi à l'origine de l'american way of life, c'est-à-dire le consumérisme capitaliste américain.

Aujourd'hui, nous allons vers le smart power, c'est-à-dire la prise de contrôle de la constitution des concepts, de la formation des élites, de tout ce qui consiste d'une façon générale à exploiter les possibilités des technologies dites intelligentes reposant sur l'automatisation, le calcul, les corrélations, etc.

Dans ce contexte géopolitique tout à fait fascinant, je pense que l'Europe est extrêmement mal partie. C'est le risque principal dont je veux vous parler. Cela peut sembler incroyable, puisqu'elle avait un avantage à la fin des années 1980. La télématique, qui est à l'origine du concept du web, a été conçue en France grâce à deux hauts fonctionnaires, respectivement inspecteur des finances et directeur de l'ENA, M. Simon Nora et M. Alain Minc. À la demande du Président de la République française, ils ont prescrit la nécessité de développer des réseaux télématiques.

Pour rappel, c'est dans le cadre de l'informatisation de la société, qui est à l'origine de la CNIL, qu'a été recommandée à la Direction générale des télécommunications (DGT) la mise en oeuvre d'une politique nationale française de télématique. Celle-ci a donné le Minitel qui n'était qu'une première phase. Le web est une deuxième phase, française et européenne, qui a été développé à Genève, au CERN. Ce développement a duré quatre ans, de 1989 à 1993, date à laquelle les responsables du CERN, dont M. Tim Berners-Lee, directeur du World Wide web Consortium (W3C), ont décidé de le verser dans le domaine public. Ils estimaient que parce qu'ils étaient des fonctionnaires payés par l'Union européenne, il n'y avait aucune raison qu'ils s'approprient ces résultats. Il se trouve que c'est M. Al Gore qui a récupéré ce travail pour en faire le coeur d'une stratégie de développement et de rebond des États-Unis, qui, faut-il le rappeler à cette époque, ne se portaient pas très bien.

J'insiste sur ce point pour affirmer que l'Europe peut parfaitement rebondir aujourd'hui. L'Europe a développé énormément de concepts qui sont aujourd'hui mis en oeuvre stratégiquement par le Gouvernement fédéral américain. L'Europe doit repenser le web et l'élaborer de fond en comble. Elle en a absolument les moyens.

Que s'est-il passé entre 1993 et aujourd'hui ? En 1993, M. Tim Berners-Lee, M. Robert Cailliau et quelques autres ont constitué cette plate-forme qui s'appelle le web, basée sur html, les URL et un certain nombre d'autres technologies, dans une optique tout à fait précise : développer une plate-forme d'échanges entre scientifiques, ou porteurs d'hypothèses de savoir, afin que ces hypothèses soient livrées à la controverse publique. Ce public, ce sont d'abord les physiciens, les informaticiens, les mathématiciens, etc., mais le but était que tout cela puisse s'ouvrir au débat public sous toutes ses formes, politique, économique et autres. C'est de cette manière que le web s'est développé initialement.

Mais l'Amérique du Nord a très vite tiré parti de ce développement, dans une logique contributive qui était d'ailleurs celle du web. Les Américains sont entrés massivement auprès du consortium W3C pour prescrire les évolutions du web. Comme vous le savez, le W3C est une instance de recommandation où l'on n'impose rien, mais où l'on recommande très fortement. La recommandation a un tel effet d'autoréalisation et de performativité que tout le monde est obligé de s'y soumettre, non pas par la force de la loi, mais par la force du fait technologique.

En conséquence, le web a évolué depuis vingt-et-un ans dans une direction complètement différente de celle qui était initialement prévue. Le web est devenu essentiellement une machine à prendre tout le marché publicitaire qui était dans les médias de masse, pour le transférer vers les plates-formes et au passage, défiscaliser les actions, créer de nouveaux modes intégrés de logistique, de production, etc. Aujourd'hui, Amazon s'apprête à prendre les marchés de Promodès. Je n'ai jamais trouvé personne pour me contredire sur ce point. Amazon vous livre déjà des livres et des balances électroniques à la fois. Si la question est à poser en ces termes-là, en toute logique, on peut s'attendre à ce qu'Amazon vous livre bientôt de la lessive et des petits pois.

Si vraiment on en est là, alors une question majeure se pose. Le Gouvernement français a récemment prévu d'investir treize milliards d'euros dans les infrastructures à très haut débit en France. C'est une très bonne chose, si et seulement si l'on crée les conditions pour que ces réseaux à très haut débit servent plutôt à des activités européennes. Ces réseaux à très haut débit ne doivent pas devenir les ambassadeurs d'Amazon, de Google, de Facebook, pour détruire la fiscalité nationale et l'activité privée européenne. C'est pourtant ce qui est en train de se préparer en ce moment.

Dès lors, je pense qu'il faut poser les problèmes avec une certaine radicalité. On considère que c'est la population française qui contribue le plus sur les réseaux. Que signifie contribuer et qu'est-ce qu'un réseau numérique aujourd'hui ? Un réseau numérique ne vit que de la contribution des utilisateurs. Ce qui veut dire que ce ne sont pas des consommateurs. Le consommateur ne contribue pas, il consomme. Le modèle d'un réseau numérique n'est absolument pas consumériste. C'est un modèle contributif. L'association Ars industrialis, que je préside, plaide depuis neuf ans pour la mise en oeuvre d'une politique et d'une économie contributives fondées sur le numérique, qui rompt avec les modèles classiques du consumérisme issus du XXe siècle.

Il est fondamental que l'Europe reconstitue une stratégie numérique, la France en particulier, à mon avis avec l'Allemagne. Un groupe parlementaire s'est constitué en France, et, côté allemand, Mme Merkel a encouragé un groupe parlementaire l'an dernier au Bundestag, qui a remis ses conclusions tout récemment à Berlin. Cette stratégie numérique doit avoir une ampleur mondiale et reposer sur la formation d'un troisième web.

Le web des années 1990 conçu par Tim Berners-Lee reposait sur les liens hypertextes et les URL. Ce web a été remplacé à la fin des années 1990 par les technologies collaboratives qui reposent sur les métadonnées, etc., et qui évoluent en ce moment même vers le web sémantique. Aujourd'hui il faut constituer un nouveau web, que j'appelle le « web herméneutique » et qui repose sur la possibilité pour les individus de reconstituer des controverses et de refaire du web un outil d'intelligence collective et pas simplement un outil de captation du marché publicitaire par les plates-formes américaines. L'Europe en a les moyens. Cela suppose de repenser les industries éditoriales européennes et aussi l'enseignement supérieur, qu'il faut absolument mobiliser pour cela.

Je vous recommande la lecture d'un article de M. Hubert Guillaud, publié il y a deux jours dans Internet Actu. Il reprend des idées que j'ai présentées au Centre Pompidou en décembre 2013 lors des Entretiens du nouveau monde industriel, dont les travaux portaient sur l'automatisation (« Le nouvel âge de l'automatisation, algorithmes, données, individuations »). Le numérique est une technologie qui permet d'articuler très étroitement et fonctionnellement toutes sortes d'automatismes. C'est l'hypothèse de M. Michel Volle en France, ou de M. Marc Giget (CNAM).

Il y a un mois, M. Bill Gates a annoncé que la technologie algorithmique allait détruire l'emploi dans les vingt ans qui viennent. D'innombrables rapports sortent en ce moment, surtout aux États-Unis, qui montrent que le modèle fondé sur l'emploi est terminé. Ce modèle est basé sur la redistribution de la plus-value via le salaire et donc la constitution d'un pouvoir d'achat permettant au système de fonctionner sur les bases de ce que Roosevelt avait mis au point en 1933, vingt-cinq ans après les débuts d'Henry Ford, en institutionnalisant le modèle keynesien. Ces travaux montrent que le modèle fordo-keynesien est terminé. L'automatisation sonne la fin de l'époque de l'emploi.

Dans un tel contexte, on doit prendre en compte tous les facteurs que je viens d'évoquer, et bien d'autres, notamment la nécessité de constituer une citoyenneté numérique. Lors de mon intervention au Conseil d'État sur l'impact du numérique sur le droit, j'ai soutenu que le droit devait être repensé au niveau constitutionnel dans le contexte du numérique. C'est une nouvelle Constitution qu'il faut mettre en place, de A à Z, de l'ampleur de ce que les révolutionnaires ont posé en 1789. Dans le contexte de Condorcet, c'était la République des Lettres créée par l'imprimerie. Aujourd'hui, c'est la publication numérique automatisée à l'échelle planétaire qui pose un problème de Constitution.

D'ailleurs, M. Tim Berners-Lee encourage actuellement l'écriture d'une constitution du web à l'échelle internationale. Je pense qu'il faut poser ces problèmes-là dans toutes leurs dimensions et les articuler dans un point de vue synthétique et non pas d'une façon sectorisée. Par exemple, pour développer une alternative au web tel qu'il est passé sous le contrôle californien, il faut mobiliser toutes les disciplines, en faisant travailler ensemble l'INRIA, le CNRS, les grandes universités, et pas seulement en France mais aussi en Allemagne avec le Fraunhofer, l'Université de Berlin, etc.

Questions à M. Bernard Stiegler

Mme Anne-Yvonne Le Dain. - Êtes-vous dans l'inquiétude, dans l'urgence, dans le désir, dans l'angoisse ou dans la nécessité ?

M. Bernard Stiegler. - Rien de tout cela. Je suis dans la pensée. Selon Hegel, l'inquiétude, c'est ce qui fait penser. Pour certains, je suis un indécrottable optimiste, un technophile qui ne raisonne qu'en étant persuadé de trouver une solution à tout. Pour d'autres, je suis un Cassandre qui annonce la fin des haricots. Je ne suis ni optimiste ni pessimiste. Le pessimisme est une façon d'empêcher de penser puisque tout est fait d'avance et il n'y a plus rien à faire. L'optimisme, c'est l'inverse, il n'y a rien à faire parce que tout s'arrangera. Je récuse ces attitudes-là. La responsabilité consiste à refuser l'une ou l'autre de ces positions. Par contre, il faut être lucide.

Quant à l'affaire Snowden, il faut souligner que tous ceux qui ont un petit peu réfléchi au numérique avaient connaissance de ces problèmes. Ils ne le disaient pas pour ne pas créer de panique. Mais, à un moment donné, il faut poser les problèmes. La toxicité du numérique est extrêmement grande et très protéiforme. Le potentiel de réponse à cette toxicité par le numérique est encore plus grande, selon moi. Je pense qu'il y a beaucoup de choses à faire et qu'elles sont possibles, mais cela suppose de penser, c'est-à-dire d'élaborer des points de vue vérifiés, à partir de données, etc.

Vous m'avez parlé d'urgence. Il ne faut pas penser pour les six mois qui viennent. C'est très important. En 1989, j'ai été chargé par l'Université de technologie de Compiègne et ensuite par le Premier ministre, Alain Juppé, quand j'étais directeur de l'Institut national de l'audiovisuel (INA), d'observer la stratégie industrielle américaine dans le champ de l'audiovisuel et de l'informatique. Dès les années 1980, les États-Unis avaient une stratégie d'engagement dans le numérique, à travers la loi de Moore, à travers Intel pour être précis, pour conquérir tout le marché des produits bruns.

Pourquoi ? En 1979, les États-Unis avaient perdu le marché de l'électronique grand public puisque JVC avait sorti le premier magnétoscope. Ils avaient également perdu le contrôle du marché automobile puisque Toyota était en train de supplanter General Motors. Bref, c'était le début de la désindustrialisation des États-Unis. Détroit commençait à s'écrouler. L'Amérique du Nord a construit une alternative industrielle avec l'armée, les grandes universités, les grands industriels, la société civile et les administrations fédérales, en l'occurrence avec la Commission fédérale des communications (FCC).

Lorsque j'ai organisé, en 1989, à la Cité des sciences et de l'industrie un séminaire sur le D2 Mac Paquets, la TVHD, etc., tout le monde était là, sauf les Américains. M. Lionel Levasseur, économiste, qui travaille toujours à France Télécom, m'a expliqué que les États-Unis avaient fait un autre choix, celui du multimédia, c'est-à-dire que c'est par les microprocesseurs qu'ils allaient prendre le contrôle de la télévision.

En 1997, j'étais directeur général de l'INA, j'ai reçu M. Craig Mundie, vice-président de Microsoft. Il arrivait juste après une décision de la FCC, le 3 avril 1997, déclarant que, en 2006, il n'y aurait plus aucune fréquence analogique, en invitant les 3 500 stations de radio et de télévision américaines à passer au tout numérique dès 2003.

Vous comprenez comment marchent les États-Unis. On dit qu'ils ne fonctionnent que sur le marché à très court terme. C'est absolument faux. Ils ont un pilotage stratégique qui est fait par l'armée américaine. J'ai moi-même fait des travaux de développement de réseaux sociaux alternatifs dans mon institut à l'Institut de recherche et d'innovation (IRI) et j'ai eu la tristesse d'être financé par l'US Navy et non pas par les Français ou les Européens. L'US Navy s'est d'ailleurs déplacée exprès de Californie pour venir voir les résultats de ces travaux.

Il y a une intelligence techno-scientifique dans la puissance publique américaine, qui ne travaille pas pour elle-même, mais bien pour le marché américain, sachant très bien que le marché n'aura jamais intérêt à développer une technologie de rupture. Il faut l'obliger à la développer. Donc il faut reconstruire une politique européenne à long terme.

M. Parfait Nangmo, ingénieur en sécurité informatique, représentant d'Altran technologies. - J'ai apprécié l'intervention très riche de M. Bernard Stiegler. Vous avez dit que le web a été créé comme une plate-forme d'échanges et par la suite, il s'est dénaturé et a été monopolisé par des géants comme Google. Comme solution, vous proposez la création d'un troisième web comme une plate-forme d'échanges collective. Ne va-t-on pas retomber dans le même engrenage que pour le premier web ? En d'autres termes, quelles sont les pratiques actuelles qui vous font penser que le troisième web pourrait avoir le succès qui a été pensé au départ ?

M. Bernard Stiegler. - Merci pour cette très bonne question. C'est la question qui se pose après mon intervention. Je crois que l'Europe est très menacée en ce moment par la stratégie du smart power. D'abord parce que ses universités risquent d'être extrêmement pénalisées par cette démarche ainsi que ses grands éditeurs, Springer par exemple, comme le dit son CEO, ou Gallimard en France, qui est ni plus ni moins que l'image de la France partout dans le monde, parce qu'il incarne une histoire (Voltaire...) et les scientifiques français (Évariste Galois, Pasteur...). Si la France est aujourd'hui encore extrêmement respectée dans le monde et l'Europe plus généralement, comme étant les pays des grands penseurs, des grands artistes, des grands scientifiques, etc., c'est parce que la France et l'Europe ont des industries éditoriales. Si vous perdez les industries éditoriales, tout cela va disparaître en très peu de temps. Je vous recommande un excellent article sur le rôle de la bibliométrie américaine et la manière dont l'Amérique du Nord a pris le contrôle de l'évaluation scientifique à travers les technologies de bibliométrie (revue Réseaux, printemps 2013). Google est un produit direct de cela.

Il faut que l'Europe reconstitue un schéma de priorités européennes et de solvabilisation d'une technologie de rupture. Pour illustrer mon propos, je vais vous dire un mot sur Jules Ferry. C'est un homme qui se réfère à Condorcet, pensant que l'Occident a une mission planétaire à travers une politique coloniale. C'est aussi quelqu'un qui récupère un État qui s'est développé à partir de 1830 avec Louis Hachette. Très connu comme le fondateur des éditions Hachette, Louis Hachette au départ voulait être professeur et il a fait l'École normale. Au moment de la Restauration, il a été remercié et s'est retrouvé au chômage. Un ami lui a prêté de l'argent pour qu'il achète une librairie. À cette époque, une librairie, c'est aussi une maison d'édition. Louis Hachette devient donc éditeur, et comme, par ailleurs, il a été formé, c'est un professeur, il se met à publier des manuels scolaires. Un ami à lui, qui s'est retrouvé ministre de l'éducation nationale, lui ouvre des marchés. Et cela a été le début, non pas de l'éducation nationale à la façon de Jules Ferry, mais d'une instruction portée par la puissance publique, bien qu'elle n'ait pas encore été obligatoire. En 1880, quand Jules Ferry arrive, il y a eu l'apparition de Hachette, le premier à fabriquer des manuels scolaires et l'arrivée de la presse à journaux, qui permettait au Petit Journal par exemple de tirer à un million d'exemplaires en 1870. Cela a permis que les manuels scolaires de Hachette descendent à un sou, permettant à une petite commune de trois cents habitants de les acheter pour la bibliothèque et donc de créer une école communale. Le génie incroyable de Jules Ferry, en 1880, c'est d'avoir consacré un budget absolument colossal à l'éducation de tout le monde. C'était inimaginable à cette époque-là. Oui pour mettre 20 % du budget national dans l'armée, mais dans l'instruction des paysans, non ! Et d'abord, on disait que les paysans ne pouvaient pas être formés... Jules Ferry l'a fait parce qu'une technologie a permis de le faire : c'était la technologie de production des manuels scolaires.

Aujourd'hui, nous devons réinventer un système de publication numérique qui permette de créer un nouveau système académique. Cette publication académique doit être produite selon des formes contributives. Au CNNum, j'ai proposé au Gouvernement que l'État français investisse treize milliards d'euros sur vingt ans dans une infrastructure, à une condition : financer tous les ans cinq cents thèses sur le numérique pour penser la mutation numérique de manière transdisciplinaire, avec des technologies de contribution et d'éditorialisation d'un nouveau genre.

J'ai proposé à France Télévisions, membre de l'IRI, qui a accepté de s'associer à cette démarche. Nous réfléchissons actuellement à la manière dont France Télévisions pourrait devenir éditeur de savoir dans une démarche de recherche contributive.

Le numérique évoluant extrêmement vite, vous devez mettre en oeuvre des méthodes de transfert vers la société, des travaux de recherche qui accélèrent la transmission de l'intelligence collective et qui collent à la réalité numérique. En effet, quand les travaux de thèse sont finis, ils sont magnifiques, mais ils parlent de choses qui ont disparu. Le numérique offre des technologies de transfert de concept, et, en plus, il permet d'y associer les populations. Wikipédia en est un exemple. Le numérique a développé des espaces communautaires de production de savoir, qui parfois sont de très bonne qualité et produits par des gens qui ne sont pas issus du monde académique. Il y a aussi des choses de très mauvaise qualité. Mais la démarche contributive engendrée par le numérique est extrêmement intéressante.

L'Europe doit donc développer une stratégie contributive en mobilisant toutes ces intelligences. Tant qu'à payer des thésards, payons-les à faire quelque chose de vraiment intéressant pour que nous inventions ce nouveau web. À partir du moment où nous aurons fait cela, nous allons solvabiliser le système parce que nous aurons créé une industrie éditoriale d'un nouveau genre qui va elle-même être au service d'une production d'intelligence collective à l'échelle européenne.

Depuis vingt-cinq ans, on nous dit que nous entrons dans la société de la connaissance. C'est vrai, mais de son côté, quelqu'un comme M. Alan Greenspan estime que nous sommes entrés dans la société de la bêtise. Il faut que nous allions vers la connaissance mais nous n'y sommes pas encore. Et je crois qu'on peut le faire avec une vraie stratégie industrielle de recherche et d'enseignement supérieur, en mobilisant les ressources spécifiques du numérique dans ce sens et dans le sens de nos intérêts et non pas ceux de la Californie ou d'Amazon en Virginie.

M. Pierre Lasbordes. - Je vais donner la parole à un représentant des consommateurs qui est apparemment sensible à tout ce qui tourne autour de la fraude au niveau des cartes de paiement. Dans mon rapport au Premier ministre, en 2006, j'avais constaté que, aux États-Unis, les entreprises n'étaient pas gênées pour dire qu'elles avaient été piratées, y compris les banques. En France, ce n'est pas imaginable pour l'instant. Il est vrai que si une banque déclare à ses clients qu'elle a fait l'objet de dix attaques de phishing par jour, peut-être risque-t-elle de perdre des clients. Comment voyez-vous votre rôle au niveau de l'association UFC-Que Choisir pour sensibiliser les consommateurs à ces problèmes qui sont de plus en plus nombreux ?

M. Maxime Chipoy, responsable des études, UFC-Que Choisir. - Je vous remercie pour cette introduction qui fait référence à l'un des coeurs de sujets sur lesquels je travaille. Je supervise toutes les études économiques effectuée par l'UFC-Que Choisir et je m'attache en particulier à toutes les problématiques financières (banque, finances, assurance), dont la fraude à la carte bancaire et aux autres moyens de paiement qui constitue vraiment une importante problématique.

Aujourd'hui, je peux vous dire que le risque sur la sécurité du numérique est avéré pour les consommateurs et même supporté. Pour ne parler que de la fraude à la carte bancaire, les montants fraudés sont de l'ordre de 450 millions d'euros par an, dont 60 % ont été fraudés par la voie numérique. Ce sont principalement des données de cartes bancaires volées sur Internet lors d'un achat effectué par un consommateur, qui sont ensuite réutilisées par des fraudeurs pour effectuer d'autres paiements. Les taux sont en forte croissance depuis 2007, avec la croissance des achats sur Internet, mais la part des montants fraudés sur les montants facturés a progressé beaucoup plus vite que la montée en charge du commerce électronique.

Il y a deux problématiques principales. La première est géographique. Au fur et à mesure des années et parfois de manière assez douloureuse, les commerçants français ont peu à peu amélioré leur site Internet pour qu'on ne puisse pas capturer de données bancaires. Mais, auparavant en Europe et aujourd'hui à l'international, tous les pays n'atteignent pas le même niveau de sécurité. On aura beau élaborer des réglementations contraignantes au niveau français, pousser les acteurs à sécuriser leur site Internet et pousser les consommateurs à adopter de bonnes pratiques, si, à l'échelle européenne voire internationale, on n'a pas le même degré de sécurité, il est fort à parier que les fraudeurs vont agir sur le maillon de la chaîne qui est le plus faible. Ce maillon peut être géographique ou technologique ou tout simplement un type de moyen de paiement.

En France, et même en Europe, on commence à faire des efforts sur la carte bancaire. On sait que les Européens commencent peu à peu à convaincre les Américains de l'utilité de la mise en place d'une carte à puce pour leurs paiements et de l'utilité d'une meilleure sécurisation des sites Internet américains pour éviter que les fraudeurs qui ont récupéré des numéros de cartes bancaires françaises les réutilisent aux États-Unis.

Je voulais dépasser le cadre de la carte bancaire car nous avons une nouvelle préoccupation à l'UFC-Que Choisir. La carte bancaire commençant à être sécurisée, les fraudeurs se reportent sur les moyens de paiement les plus faibles et malheureusement aujourd'hui, nous avons de grosses craintes sur les virements et les prélèvements. En effet, le règlement européen SEPA (Espace unique de paiement en euros) prévoit, dans un but louable d'harmonisation du marché européen, de créer des processus uniques pour les prélèvements et les virements. Son entrée en application prévue en janvier 2014 a été reportée à août 2014 parce que la plupart des établissements français et des professionnels n'étaient pas prêts. En janvier 2014, seuls 40 % des commerçants étaient prêts. Jusqu'à présent, les prélèvements français fonctionnaient selon un modèle franco-français. Demain, les prélèvements seront communs à l'Espace économique européen (EEE), la Suisse et Monaco.

Cela va provoquer un problème. Précédemment, quand les consommateurs français mettaient en place un prélèvement, ils devaient donner leur mandat de prélèvement, d'une part au commerçant pour qu'il puisse retirer de l'argent sur leur compte et, d'autre part, à la banque pour qu'elle puisse vérifier que le professionnel qui effectue une opération fût bien reconnu par le consommateur. Aujourd'hui, le nouveau mandat de prélèvement européen ne prévoit plus qu'un seul mandat. Ce mandat est donné au professionnel et c'est le professionnel qui va fournir le mandat auprès du banquier pour retirer de l'argent sur le compte du consommateur. Cela pose un gros problème. Désormais, la banque est totalement aveugle. Elle ignore si, oui ou non, le consommateur a accepté le prélèvement.

Alors que le prélèvement SEPA vient à peine d'être mis en oeuvre, nous avons déjà des cas de fraude. Le fraudeur a réussi à capturer les données d'identité du consommateur (nom, prénom, adresse, etc.) et ses coordonnées bancaires, ce qui n'est pas vraiment difficile en France, où on les donne très souvent. Par exemple, des fraudeurs s'abonnent à Orange et font payer la facture par un prélèvement automatique sur le compte d'autrui. Si le consommateur n'est pas extrêmement vigilant, vous pouvez être sûr que, dans les années à venir, vous aurez des prélèvements SEPA de un ou deux euros montés par des fraudeurs sur des centaines de milliers de comptes.

Nous souhaitons dénoncer une seconde chose au sujet du SEPA. Le législateur européen, sachant que ce système de mandat unique est bien moins sécurisé que le système de double mandat que l'on avait en France, a prévu des mécanismes de sécurité. Théoriquement, le consommateur a le droit de mettre en place auprès de sa banque ce qu'à l'UFC-Que Choisir nous avons appelé des « listes noires » ou des « listes blanches ». Concrètement, vous demandez à votre banquier de refuser tout prélèvement qui viendrait d'un autre organisme qu'Orange, GDF ou EDF, par exemple. C'est la liste blanche. Seuls sont autorisés les paiements des prestataires identifiés. Dans l'autre cas, la liste noire vise à interdire les prélèvements à un ou plusieurs prestataires.

Ces outils très utiles sont censés sécuriser le prélèvement européen et éviter les fraudes. Or notre enquête, menée en janvier 2014, a montré que sur les cent trente banques que nous avons étudiées, une seule banque communique avec ses clients sur la possibilité de mettre en place des listes noires ou des listes blanches pour éviter les prélèvements non acceptés. Ce manque d'information du client nous paraît assez irresponsable, d'autant plus que le règlement européen oblige les banques à communiquer sur la mise en place de ces listes noires et blanches.

Voilà pour le cadre, un peu apocalyptique, du sujet numérique sur l'aspect bancaire à l'UFC-Que Choisir.

Je vais revenir sur des sujets plus larges. En ce qui concerne la sécurité des serveurs contenant des données personnelles, nous sommes en faveur de la mise en place d'une normalisation la plus large possible, au moins au niveau européen, voire au niveau mondial. Cela suppose la mise en place d'une autorité mondiale ayant éventuellement des pouvoirs de sanction, ce qui ne va pas sans poser de gros problèmes vis-à-vis des prérogatives de chaque État. Malgré tout, cela nous paraît indispensable dans un monde globalisé. Si l'on en reste au niveau franco-français, et on le voit déjà avec les moyens de paiement, une normalisation ne servira à rien. Il est très facile, dès aujourd'hui, de voler des données de cartes bancaires pour s'en servir en Chine ou ailleurs. Les autorités de police sont totalement impuissants, ou en tout cas, ils peuvent agir mais cela prend des années et donc ne sert pas concrètement au consommateur à limiter le coût de la fraude. Il faudrait une normalisation mondiale avec des pouvoirs de sanction au même niveau. C'est au politique de prendre le relais.

Que faire en cas d'attaque informatique sur les serveurs ? À l'UFC-Que Choisir, nous estimons qu'il y a beaucoup plus d'attaques informatiques réussies que ce que l'on veut bien nous dire. Théoriquement, les professionnels ont une obligation de moyens quant à la déclaration aux consommateurs lorsqu'ils ont été dérobés et ils ont une obligation de résultats quand il s'agit de données personnelles sensibles. À l'UFC-Que Choisir, nous pensons que la plupart des professionnels en France font passer leurs intérêts propres avant tout et le risque d'atteinte à leur image lié à la fraude avant de penser à l'intérêt de leurs clients.

C'est pourquoi nous plaidons fortement pour la mise en place d'une obligation de déclaration au client dès lors qu'une attaque informatique réussie a eu lieu. Peu importe le nombre de comptes qui ont été dérobés. Cette règle d'or doit être applicable à l'ensemble des professionnels agissant dans le secteur numérique.

Nous considérons qu'il est meilleur pour l'image d'une entreprise qu'elle dise honnêtement à ses clients qu'elle a été victime d'une attaque informatique. Les progrès de la fraude étant ce qu'ils sont et les progrès de la sécurité informatique ne pouvant que suivre, hélas, les progrès de la fraude, on sait très bien que le risque zéro n'existe pas et qu'il y aura toujours des attaques informatiques. Dès lors, il n'y a pas d'acteurs meilleurs que d'autres à partir du moment où ils ont respecté une normalisation de base. Il faut que les consommateurs soient avertis de l'attaque du compte de leur prestataire pour qu'ils puissent prendre les précautions qui s'imposent. Si l'un de mes prestataires possède mes numéros de carte bancaire et qu'il s'est fait attaquer, je préférerais largement faire opposition à ma carte bancaire et en commander une nouvelle plutôt que de découvrir trois semaines plus tard que j'ai été fraudé de deux cents euros.

Cependant, il faut reconnaître que la loi issue des directives européennes est très protectrice en matière de fraudes à la carte bancaire. Théoriquement, pour tout ce qui concerne le numérique, le consommateur est entièrement couvert. Et même s'il peut y avoir des problèmes au cas par cas puisque des banques peuvent rechigner à rembourser le préjudice subi, et cela peut prendre certains délais, aujourd'hui les consommateurs sont bien couverts par la loi à titre individuel. Mais cela a un coût. Plus il y aura de fraude, plus cette fraude sera répercutée sur les tarifs bancaires, et donc, in fine, sera assumée par l'ensemble des consommateurs.

C'est pourquoi nous sommes en faveur d'une politique de prévention très large. Il faut une normalisation, une sécurité maximale, et cette normalisation doit être mise à jour de manière régulière. Il faut également qu'un système d'alerte permette au consommateur de prendre des précautions minimales, comme de surveiller son compte en banque ou faire opposition à ses moyens de paiement si une attaque informatique a été détectée.

Pour terminer sur la question des données personnelles au sens large, nous déplorons la tendance des consommateurs à donner leurs données personnelles à n'importe qui, notamment parce qu'une bonne partie de l'économie de l'Internet est fondée sur le principe de la gratuité du service contre la fourniture de données personnelles. Hélas, les consommateurs ne savent pas encore que la gratuité n'existe pas et que les données personnelles qu'ils fournissent à leurs prestataires sont forcément réutilisées et revendues quelque part. Toutefois, on note une prise de conscience de la part des consommateurs. On l'a vu avec l'affaire Instagram qui a révélé que les photos des consommateurs devenaient plus ou moins la propriété d'Instagram et qu'elles pouvaient être réutilisées.

Néanmoins, il faut aussi les aider à gérer leurs données personnelles. À l'UFC-Que Choisir, nous plaidons très fortement pour la mise en place de dashboard par l'ensemble des acteurs du monde numérique. Dans cet espace personnel, le consommateur peut savoir quelles données le professionnel possède sur lui mais également à qui le professionnel a revendu ses données personnelles. Ce dashboard irait dans le sens d'une plus grande clarté. À partir du moment où le consommateur reçoit ces informations, il peut commencer à faire des demandes d'effacement, des demandes auprès de la CNIL, etc.

Je vais terminer sur la problématique du droit à l'oubli. À l'UFC-Que Choisir, nous considérons que le droit à l'oubli est une chimère totale. Vous aurez beau demander à un professionnel de retirer des photos ou des renseignements qui vous concernent, même s'il le fait, rien n'indique qu'un tiers n'aura pas déjà récupéré les données personnelles et qu'il sera en capacité de les réutiliser. Ce droit à l'oubli est donc très provisoire.

Concernant le droit au déréférencement, on l'a vu récemment avec l'affaire Google, la problématique est double. Premièrement, Google peut encore s'arroger le titre du juge puisqu'il est en droit d'estimer de la légitimité de la demande effectuée par le consommateur. Il est très gênant qu'une personnalité privée, de sensibilité anglo-saxonne, soit en capacité de juger de la pertinence et de la légitimité de la demande des consommateurs. Au-delà de cet aspect, le fait de déréférencer sur Google France ne va pas automatiquement déréférencer sur Google monde. Enfin, si vous êtes déréférencé sur Google, rien n'indique que vos données ne soient pas retrouvables sur Bing ou sur d'autres moteurs de recherche. En conséquence, nous pensons que le droit au déréférencement est une bonne chose, mais il ne peut être que partiel et ne doit pas se substituer au droit à l'effacement des données personnelles.

M. Pierre Lasbordes. - Nous comptons sur vous pour être l'aiguillon qui sensibilisera les gens à être prudents. Personne ne peut dire qu'il n'a pas été l'objet d'une fraude.

M. Maxime Chipoy. - On constate que le montant moyen des fraudes diminue tandis que le nombre de personnes touchées s'accroît. Les consommateurs se rendent compte des fraudes d'un montant élevé puisque cela touche directement l'équilibre de leur budget chaque mois. À l'avenir, il est à craindre que les fraudeurs fassent des dizaines ou des centaines de milliers de prélèvements d'un euro qui passeront inaperçus pendant des années.

Mme Anne-Yvonne Le Dain. - Ce matin, Me Christiane Féral-Schuhl a considéré que le droit à l'oubli pourrait être une manière de réécrire sa biographie et que, au contraire, le droit au déréférencement permettrait de continuer à construire du droit et une histoire sur laquelle pourrait se construire le droit futur, y compris de tiers. Votre position est assez différente.

M. Maxime Chipoy. - Nous considérons que le droit à l'oubli n'a pas vraiment d'application puisque vous ne savez pas qui a utilisé vos données personnelles, qui les a vues, qui les a capturées.

Mme Anne-Yvonne Le Dain. - Vous souhaitez qu'on puisse faire appel au droit à l'oubli, c'est-à-dire disparaître de la Toile mais pas au détriment du droit au déréférencement. Me Christiane Féral-Schuhl a souligné que le droit à l'oubli, c'est-à-dire le fait de supprimer sa trace sur Internet, permettrait de contribuer à la réécriture de son propre historique, ce qui pourrait mettre en danger, moral ou juridique, des tiers. Vos deux points de vue sont-ils si différents ?

M. Maxime Chipoy. - Je vais être plus clair. Nous ne sommes pas contre le droit à l'oubli en tant que tel. Mais nous considérons qu'il ne faut pas que la création d'un droit à l'oubli serve de prétexte pour oublier les autres droits qui seront sans doute plus effectifs. Effectivement, nous pensons au droit au déréférencement, même s'il trouve très largement ses limites, mais également au droit à l'effacement qui nous semble beaucoup plus important. Mais pour qu'il y ait droit à l'effacement, il faut aussi une prise de conscience et la mise à disposition des consommateurs d'outils adaptés pour qu'ils sachent avant tout quelles sont les données possédées par