FIC: transformation numérique, l’utilisateur peut-il encore avoir confiance?
janvier 2016 par Emmanuelle Lamandé
Le Forum International de la Cybersécurité a mis à l’honneur, pour sa 8ème édition, la sécurité des données et le respect de la vie privée… un thème en adéquation avec l’adoption récente du règlement européen relatif à la protection des données à caractère personnel. L’industrie de la donnée est aujourd’hui en pleine révolution. Au nom du commerce, des usages et de la surveillance de l’Etat, les nouvelles technologies, telles que les objets connectés ou le Big Data, exploitent autant que possible cette masse d’informations, offrant de nouvelles opportunités de vie et de développement économique, mais aussi de nombreux risques… et ce à quel prix pour les citoyens ? Mais les utilisateurs ont-ils vraiment conscience des risques ? La crise de confiance est-elle déjà palpable ?
La révolution du numérique s’accompagne de l’explosion du nombre de données, souligne le Général Denis Favier, Directeur général de la Gendarmerie nationale. Elle offre de nouvelles opportunités aux individus, aux entreprises, aux Etats, mais aussi aux enquêteurs. L’innovation et les nouvelles technologies sont sources, en effet, de bénéfices directs pour la Gendarmerie, et sa façon d’opérer. A titre d’exemple, le programme NEOGEND vise à doter chaque gendarme d’une tablette lui permettant un accès virtuel à son « bureau » en situation de mobilité. Le Big Data est également à l’étude afin de déterminer les usages qui pourraient aider la Gendarmerie à renforcer le niveau de sécurité et de cybersécurité. Toutefois, l’exploitation possible de cette masse de données, qu’il s’agisse des forces de l’ordre ou de tout autre acteur, doit se faire dans le respect de la protection des individus et de leur vie privée.
Tous les acteurs sont aujourd’hui concernés par la cybersécurité, constate Xavier Bertrand, Président de la Région Nord Pas de Calais – Picardie. Elle est l’affaire de tous, et s’avère à la fois source potentielle de risques pour les individus comme les entreprises, mais aussi d’opportunités, de création de valeur et d’emplois. Chaque entreprise doit, selon lui, à l’heure actuelle, créer un espace de confiance, car celle-ci est une institution invisible qui régit le développement économique. Il est, de plus, nécessaire de redonner aux individus leur moi numérique.
Chacun doit avoir le contrôle de ses données
La cybersécurité peut effectivement être vue sous l’angle des menaces, mais aussi des opportunités, souligne Stéphane Richard, PDG d’Orange. Une chose est sûre aujourd’hui, il est nécessaire de se former contre ce nouveau type d’agression, car l’attaque arrivera de toute manière un jour ou l’autre. La cybersécurité doit, de ce fait, être intégrée le plus en amont possible des processus, et faire l’objet d’une stratégie de pilotage au sein de l’entreprise. Un certain nombre de bonnes pratiques doivent également être mises en place : le management doit, par exemple, identifier ce qui est fondamental pour l’entreprise et son développement. Il s’agit donc de définir ce qu’il est essentiel de protéger. La cybersécurité est avant tout une démarche managériale. Chaque dirigeant doit mettre sa « ceinture de sécurité » numérique pour conduire son entreprise. Cette sécurité doit trouver sa place dans le processus de création de valeur. L’objectif est d’en faire une opportunité de développement. De plus, la sécurité ne doit pas se concevoir en opposition avec les pratiques des utilisateurs ; il faut garder le caractère simple et intuitif des services. Il est, en outre, essentiel de donner le contrôle de l’utilisation des données à leurs propriétaires, tout en aidant les utilisateurs à mieux les protéger.
Va-t-on vers une crise de confiance ?
A l’ère du numérique, la confiance des utilisateurs est, en effet, mise à rude épreuve. Vol ou marchandisation des données, notamment personnelles, systèmes de surveillance massive : les informations nous concernant sont collectées, interceptées, exploitées, vendues… à toutes les sauces ! Il est essentiel de remettre l’humain au cœur du processus afin d’éviter une crise de confiance, qui est peut-être d’ailleurs déjà là…
Pour Jean-Yves Latournerie, Préfet chargé de la lutte contre les cybermenaces, nous ne nous dirigeons pas encore vers une crise de confiance, mais plutôt vers une prise de conscience des dangers potentiels. Celle-ci doit se transcrire de manière positive dans la lutte contre les cybermenaces, qui concernent aujourd’hui tout un chacun. C’est pourquoi la sensibilisation et l’éducation des individus, quels qu’ils soient, et dès leur plus jeune âge, sont primordiales.
« Nous vivons aujourd’hui », selon François Lavaste, Président CyberSecurity – Airbus Defence and Space, « une crise cyber, mais sans doute pas une crise de confiance ». Celle-ci demeure un aspect clé de la sécurité, c’est donc un facteur essentiel à prendre en compte. Il existe deux choix aujourd’hui : prévenir ou guérir. La première option est bien évidemment à privilégier, c’est pourquoi la formation et le développement d’une culture de la sécurité sont indispensables. D’autant que les attaquants vont souvent utiliser l’individu et la faiblesse humaine pour commettre leurs méfaits. Il faut donc en tenir compte dans le processus de sécurisation.
La prise de conscience passera peut-être par une crise de confiance…
Selon Guillaume Poupard, Directeur Général de l’ANSSI, la prise de conscience passera peut-être aussi par une crise de confiance. La sécurité commence également par son propre comportement et le respect que l’on a de ses propres données.
La sensibilisation doit effectivement commencer dès le plus jeune âge. Il faut, en outre, faire comprendre aux utilisateurs que certaines contraintes sont nécessaires. Il en va de même pour les entreprises. La réglementation permet d’aller plus vite, comme avec la LPM par exemple. En étant plus proactif, on arrive à gagner du temps et à convaincre des gens qui ne l’étaient pas encore. « Nous avons, en outre, besoin de continuer à développer des liens avec les différents acteurs et partenaires. L’ANSSI a récemment annoncé dans cette optique la création de référents territoriaux.
Effectivement, du côté réglementaire, tous les États sont, selon le Préfet Jean-Yves Latournerie, en devoir d’apporter des outils législatifs répondant à cette criminalité numérique. Les libertés individuelles doivent être prises en compte, mais pas au détriment de la sécurité contre des menaces très prégnantes. Toutefois, « pour pouvoir se développer, l’industrie de la cybersécurité en Europe a aujourd’ui besoin d’une règlementation et de règles de jeu stables et claires », estime François Lavaste.
« La crise de confiance est bel et bien là, et elle est profonde ! »
Pour Jérémie Zimmermann, Cofondateur de la Quadrature du Net, au contraire, la crise de confiance est bel et bien là, et elle est profonde. Avec le genre de démarches, telles qu’Infinite Monkeys, qui tend à espionner toutes les communications sur le Web, le programme Bullrun de la NSA (backdoors dans tous les matériels et les logiciels), les dernières législations adoptées visant à renforcer encore davantage cette surveillance…, quelle confiance peut-il encore y avoir dans un tel système ? De plus, aujourd’hui, on se connecte via des « boîtes noires » dont on ne connaît même pas les composants. La confiance passe, selon lui, par la connaissance et la maîtrise de la machine. Aucun débat public n’a eu lieu avant de voter programme Bullrun aux USA, et la plupart des dernières législations en France ont été votées dans l’urgence, sans véritable débat non plus, déplore-t-il.
La question, à ses yeux, est de savoir comment on peut bâtir un réseau de confiance sur des bases matérielles et logicielles qui reposent sur du « sable » ? Et surtout comment empêcher cette surveillance de masse qui est, selon lui, antinomique de notre démocratie ?
« Nous évoluons actuellement dans un modèle d’insécurité, basée sur l’ignorance, alors qu’un autre modèle est possible : celui du logiciel libre, avec une information et des connaissances partagées. Il faut que l’argent public soit investi et injecté dans le développement de logiciels de confiance, reposant sur du logiciel libre qui soit à la portée et accessible au citoyen », explique-t-il.
Penser une défense en réfléchissant à l’attaque
La confiance vient effectivement de la connaissance, estime Nicolas Arpagian, Directeur de la stratégie chez Orange. Dorénavant, ce sont les consommateurs qui demandent des comptes auprès des entreprises, et c’est la base de la confiance. Dès lors, il faut que ces dernières soient en mesure de leur expliquer ce qu’elles font de leurs données, mais aussi le niveau de sécurité et confiance associé. L’entreprise doit, en effet, mettre en œuvre les outils, les moyens et les mesures de sécurité nécessaires. De plus, elle se doit de protéger les actifs que l’utilisateur lui a confiés.
Comprendre le comportement de l’utilisateur et son parcours permet également de mieux appréhender le cheminement que va utiliser le pirate. Il est, en effet, nécessaire de penser une défense en réfléchissant à l’attaque, et en se mettant dans la peau de l’attaquant. Cet axe reste donc à développer.
En outre, on observe actuellement, selon lui, un décalage entre l’outil utilisé par les utilisateurs au quotidien et la problématique de protection des données. Il est donc important d’avoir un débat public.
Il n’existe pas non plus de culture numérique aujourd’hui dans les cursus en France. Pourtant, il est important que l’individu ne soit pas un objet de technologie, mais bien un sujet de technologie. L’utilisateur doit avoir un rôle à jouer et être partie prenante de cette transition numérique.
Enfin, » nous devons faire comprendre aux gens de ce qu’ils ont à perdre avec cette insécurité numérique. Mais l’aspect réglementaire et punitif ne suffit pas (exemple : fumer tue). Il faut que l’utilisateur ait conscience des risques qu’il encoure s’il effectue telle ou telle action… Avoir cette culture et cette exigence de sécurité pour ses propres données est une priorité », conclut-il.