Restaurant Au pied de Cochon

6 rue Coquillière,

75001 Paris

France

En quoi la cybersécurité est-elle un enjeu de protection des entreprises, des pouvoirs publics et des citoyens ?

Le terme « cyber », du grec kubernao, signifiant « piloter », apparaît en 1948, lorsque le scientifique Norbet WIENER développe la cybernétique, c’est-à-dire une science qui s’intéresse à la maîtrise des machines. En étudiant comment un système peut poursuivre et atteindre un objectif, malgré les perturbations imprévisibles de son environnement, la cybernétique a introduit une idée de régulation, puisque la machine (ordinateur) va adapter son comportement immédiat en fonction de l’analyse directe de son environnement.

Peu à peu, le concept de « cyberespace » émerge pour désigner l’ensemble des ordinateurs connectés dans le monde. Or, dans le cyberespace, il y a une complexification des sources et des données. Il est ainsi difficile d’identifier les causes et les effets d’une action, tout autant que de savoir qui gouverne cet espace et qui est gouverné.

La cybersécurité serait alors la capacité à protéger les données personnelles qui transitent dans le cyberespace, et qui peuvent tout autant relever d’activités « cyber » que d’activités du monde réel physique. En effet, le cyberespace induit une porosité des sphères civiles et professionnelles. Face aux risques présents pour tout utilisateur, il est essentiel de développer un environnement « cyber » sûr.

L’éducation et l’information du grand public, puis la protection des entreprises et des services publics sont alors des enjeux primordiaux de la cybersécurité. Entre 2016 et 2017, on a compté près de 45% de cyberattaques en plus. Si les entreprises prennent de plus en plus conscience des risques liés au monde « cyber », il est nécessaire de développer la protection de leur écosystème, dans lequel d’autres acteurs interagissent : des citoyens et des acteurs publics. L’enjeu est alors de sensibiliser les salariés, et d’établir des chartes de « bonnes pratiques » dans toutes les structures concernées.

Cette préoccupation de plus en plus forte s’inscrit notamment à l’échelle internationale. L’Union Internationale des télécommunications (UIT) a développé un Indice de cybersécurité dans le monde et profils de cyber bien-être (CGI), reposant sur l’évaluation dans cinq domaines d’activités : cadre juridique, mesures techniques, structures organisationnelles, renforcement des capacités, coopération internationale. L’UIT cherche ainsi à encourager les dispositifs de sensibilisation à la cybersécurité, et à promouvoir le rôle important que les gouvernements ont à jouer dans l’intégration de ces mécanismes à la numérisation de la société. En effet, préserver l’intégrité du cyberespace implique de développer la cybersécurité !

À l’échelle européenne, en juillet 2016, une directive européenne avait déjà règlementé la sécurité des réseaux et des systèmes d’informations, obligeant la mise en place de mesures de sécurité informatique pour les « opérateurs de services essentiels », entités « fournissant des services essentiels au fonctionnement de la société ou de l’économie ». À partir du 25 mai 2018, une nouvelle règlementation, le Règlement Général sur la Protection des Données Personnelles (RGPD), va s’imposer auprès des entreprises de l’UE. Cet outil juridique vise la collection et le traitement des données personnelles, et propose des mesures pour éviter les failles de sécurité tout en protégeant les données des utilisateurs. Il prend aussi en compte la notion de « transparence de la prise des données », impliquant une minimisation de la collecte, les données relevées devant être strictement nécessaires à l’usage qui en est fait. Le RGPD repose sur les principes de consentement de l’utilisateur à communiquer des données personnelles, le droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données et le droit d’être informé en cas de piratage des données. L’application du RGPD est très large, et confirme le caractère inclusif du cyberespace, puisque toute entité manipulant des données personnelles concernant des européens devra se conformer au RGPD, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

En France, pour le Secrétaire d’Etat au Numérique, Mounir MAHJOUBI, « Une cybersécurité efficace est la condition de la transformation numérique de la société française en cours ».  Elle doit reposer sur la confiance, relevant de la sécurisation de l’environnement, et le respect des libertés individuelles, garanties par des moyens techniques et législatifs.

Ainsi, la cybersécurité doit se concevoir dans une stratégie globale et inclusive, portée par différentes institutions. Si le secteur militaire a un rôle central dans la définition des stratégies de cybersécurité, son action doit cependant se faire avec l’ensemble des autres secteurs de la vie sociale et politique. Par exemple, l’évolution du contexte règlementaire et législatif illustre la prise en compte du fait que tous les acteurs peuvent être victimes de « cyberattaques » : il faut donc savoir ce qu’il se passe sur les réseaux. Or, les opérateurs sont les mieux placés pour obtenir, puis fournir ces informations. L’obligation les pousse aujourd’hui à coopérer, en réalisant des scans de leurs réseaux afin d’en signaler toutes anomalies. C’est pourquoi, la Loi de programmation 2019-2025 va « autoriser les opérateurs de communication électroniques à mettre en œuvre des systèmes de détection de leurs réseaux afin de détecter les attaques informatiques », pour permettre à l’Agence nationale de la sécurité des systèmes d’information (ANSSI)  « lorsqu’elle a connaissance d’une menace grave et imminente sur les systèmes d’autorité publique ou d’un opérateur d’importance vitale (OIV), de mettre en place un dispositif de détection local et temporaire », le tout sous le contrôle de l’ Autorité de Régulation des Communications Electroniques et des Postes (ARCEP).

De même, la Commission Nationale de l’Informatique et des Libertés (CNIL) dispose d’une fonction de certification des objets connectés (labellisation des objets qui répondent aux exigences de sécurité des données). Une branche du débat français sur la cybersécurité s’intéresse aussi à la transparence des algorithmes utilisés par les administrations.

Par ailleurs, le 5 janvier dernier, le gouvernement a lancé un programme interministériel d’identité numérique, qui doit permettre à tout un chacun, à la rentrée 2019, d’accéder à un maximum de services en ligne grâce à une seule et même clé. Jacqueline GOURAULT, Ministre auprès du Ministre de l’Intérieur, déclarait : « Aujourd’hui, la capacité d’attester son identité sur Internet est un droit fondamental. […] C’est la condition d’entrée sur les réseaux sociaux, d’accès aux transactions commerciales, et pour répondre à des obligations comme les impôts ». L’objectif est alors de garantir la fiabilité de l’identification, tout en préservant au mieux la confidentialité et la vie privée des utilisateurs. Cela suppose aussi une formation durable des citoyens à l’administration numérique. Et puisque l’on s’intéresse à de nombreuses données de la vie privée, la sécurité attendue nécessite de contrer, sinon limiter, les usurpations d’identité, les vols de mots de passe ou les usages non autorisés de données. Le développement d’une politique nationale et concrète de cybersécurité prendrait alors tout son sens.

Dans sa volonté d’accompagner la transformation numérique des écosystèmes locaux, Huawei a fait de la cybersécurité l’une de ses priorités de développement sur le marché français. D’une part, puisque Huawei est présent chez tous les opérateurs télécom français : le groupe a mis en place un système d’équipe en interne, à temps plein, chez les opérateurs, pour répondre efficacement à leurs exigences. De plus, chaque nouvelle embauche, peu importe le poste, nécessite de passer un examen de cybersécurité, qui sera ensuite repassé chaque année.

D’autre part, Huawei contribue à faire de la France un acteur majeur dans la recherche sur la cybersécurité en développant des accords avec des entreprises françaises ;

Chronocam, société spécialisée dans la vision par ordinateur, et développant des technologies similaires à FaceID ;

Secure-IC, une start-up rennaise, en charge de l’amélioration de la sécurité des puces informatiques des équipements Huawei, autant à travers le chiffrement des bus de communication que contre les attaques sur les composants des téléphones ;

Siradel, société de logiciels géospatial 3D, dans l’objectif de mettre en œuvre des projets de dessin de carte 3D.

Un exemple concret de réalisation physique de la cybersécurité par le groupe Huawei s’est également mis en place, à Valenciennes, avec la signature d’une convention dans le cadre du renouvellement du parc de vidéoprotection de la municipalité. L’offre « Safe-City » de Huawei permet de développer un centre de supervision, à travers des caméras de nouvelle génération, contribuant à plus d’efficacité dans l’analyse, la prévention et la prise de décision des équipes de Police Municipale et Nationale. Ce dispositif pourrait être, par la suite, utilisé dans d’autres villes, comme Amiens.

Huawei a aussi implanté sur le territoire un dispositif de recherches dynamique, le French Research Center – FRC, qui se compose du :

Laboratoire de Mathématiques et d’Algorithmes, inauguré par l’ancien Ministre de la Recherche Thierry MANDON, et le Député Cédric VILLANI, qui a conclu de nombreux accords-cadres avec des grandes écoles d’ingénieurs françaises ;

Centre d’Esthétisme et de Design de Paris, inauguré en mars 2015, se concentre sur le Design des futurs produtis Huawei et les Nouvelles connectivités (Objects connectés, Bâtiments Intelligents, « Wearables ») ;

Centre de chipset, basé à Nice-Sophia-Antipolis ;

Centre de recherche sur les Standards Télécom et projets Device.

Huawei conduit également des partenariats (à hauteur de 18 millions d’euros) avec les grandes écoles françaises, comme dans le cadre du programme Talents Numériques, afin d’accroître l’employabilité des participants et de leur ouvrir de nouveaux débouchés, notamment avec des cursus en Chine et au siège social de Huawei.

Quelles mesures concrètes mettre en place pour diffuser les bonnes pratiques de cybersécurité ? Comment les opérateurs et constructeurs de téléphonie mobile peuvent-ils contribuer à la prévention des cyberattaques ? Quelles politiques internes les entreprises et les administrations publiques doivent-elle développer pour sécuriser leurs données ? Quelle cybersécurité pour les données personnelles du citoyen ?

Hôtes

Invités