Dérèglement climatique, piratages informatiques massifs, tempêtes solaires, résistance aux antibiotiques : les 4 chevaliers de l'apocalypse qui nous menacent sans que nous nous y préparions

Chaque page de cet article correspond à l'une des menaces :

Page 1 : le dérèglement climatique, par Isabelle Thomas
Page 2 : les piratages informatiques massifs, par Franck DeCloquement
Page 3 : les tempêtes solaires, par Olivier Sanguy
Page 4 : la résistance aux antibiotiques, par Stéphane Gayet

Ouragans, inondations, tremblements de terre… l’urgence de s’y adapter

Natahlie Francès et Isabelle Thomas : Les dégâts provoqués par les récentes catastrophes naturelles nous amènent à nous interroger sur la préparation des gouvernements à des problèmes d'amplitude majeure assez prévisibles dans le contexte du changement climatique. Étant concentrés dans des territoires urbanisés, souvent en zone côtière, nous devons repenser la ville en termes de durabilité et de résilience. Des derniers évènements, qu’il s’agisse des ouragans dévastateurs à Houston, dans les Caraïbes, mousson catastrophique en Asie, inondations au Niger et au Yémen,découlent des questions cruciales. Comment avons-nous aggravé notre vulnérabilité? Comment améliorer les réponses en termes de gestion de l’urgence, de rétablissement, d'adaptation? Comment élaborer des protocoles d’action qui intègrent l’incertitude? Comment créer des équipes qui intègrent les différents acteurs locaux impliqués, chercheurs, citoyens ? Le risque se compose de deux éléments: l’aléa et la vulnérabilité. La science du climat est très claire sur l’intensification des événements et leur plus grande irrégularité. Nous pouvons agir de deux manières. D’une part construire des villes qui permettent la réduction des émissions de gaz à effet de serre et donc limitent l’aggravation des dérèglements climatiques. D’autre part, se préparer et s’adapter. Or, cette adaptation dépend de leaderships politiques clairs et d’une conscientisation transparente de la société civile. Le livre, «La ville résiliente: comment la construire ? » explique très bien ces enjeux et donne des pistes de solutions adaptatives. La capacité de nos systèmes politiques à faire face à l’ampleur des crises et des enjeux associés doit s’améliorer par l'anticipation et la préparation. De nombreux exemples de bonnes pratiques existent à travers le monde. Il convient de sortir du déni et de poser des gestes responsables. Les gouvernements n’ont plus le choix que de se préparer et d’entrer dans le paradigme de l’adaptation résiliente. Cela dit, ces actions doivent porter sur des échelles territoriales complémentaires et intégrer non seulement le court mais aussi le long terme. 

La mémoire du risque est essentielle pour pouvoir se préparer aux prochains évènements. Pourtant, à la lumière des derniers événements, force est de constater que les risques ne sont pas assez pris en compte dans les façons de vivre, de se développer, d'aménager les territoires, et de s’adapter. Ainsi, malgré la récurrence des ouragans dans le golfe du Mexique, plusieurs villes et îles ne sont pas assez préparées comme nous l’avons vu à Houston avec l’ouragan Harvey. Souvent, aucun plan d’évacuation d’urgence n’est prévu. Les infrastructures principales ne sont pas protégées ni doublées en cas de panne. Des maisons de retraite, hôpitaux, stations d’eau potable, casernes de pompiers ou centres de secours, mais aussi entreprises polluantes, sont localisés en zone inondable, complexifiant l’aide d’urgence. Les zones touchées manquent alors d’eau et de courant électrique, de communication, comme c’est la cas actuellement dans les îles les plus touchées des caraïbes comme St. Martin. 

L’objectif est alors d’élaborer de sérieux retours d’expériences, et d’améliorer la capacité tant des leaders politiques et des citoyens à faire face. Le droit à un environnement sain et une collectivité sûre est une réalité. «Nous devons inventer des espaces urbains capables de maîtriser leur empreinte écologique, efficients mais aussi résilients, habitables et équitables» . Nous devons prévenir le risque en ayant une connaissance des vulnérabilités de nos villes. Quelles infrastructures en énergie, eau, peuvent être touchées? Où sont localisées les personnes vulnérables, les services de secours ? Quels sont les accès en cas d’inondation? Nous devons nous préparer avec un plan de gestion de crise, en sensibilisant en amont la population aux premières nécessités, à évacuer. Enfin, les villes doivent apprendre à vivre avec les éléments. L’habitat peut être adapté, en les surélevant pour les inondations par exemple. Revégétaliser la ville peut favoriser l’absorption des eaux de pluies contrairement à nos espaces urbains bétonnés. Chacun peut effectuer des modifications à l’échelle de son logement ou quartier, à condition d’avoir conscience de la nécessité et d’avoir les moyens de le faire. 

Le Réseau des 100 Villes résilientes de la Fondation Rockefeller offre de bons exemples de prévention et de préparation aux aléas à travers le monde. À la Nouvelle-Orléans aux États-Unis, à Semarang en Indonésie, à Toyama au Japon, et dans d’autres villes leaders de la résilience, des programmes d’éducation, de sensibilisation, des systèmes d’alerte anticipée, d’évacuation assistée, de végétalisation des quartiers, sont mis en place, leur permettent de vivre avec le risque, de l’anticiper. De même, au Canada, le gouvernement du Québec tient les 6 et 7 octobre 2017 à Montréal,un Forum intitulé « Planifions l’avenir autrement », afin d’alimenter la réflexion dans un contexte d’adaptation aux changements climatiques. Avec 1 million de personnes affectées par l’ouragan Irma, prendre exemple sur ces villes et s’adapter sur le long terme est une nécessité pour vivre en harmonie sur notre territoire, mais aussi éviter une crise de réfugiés climatiques dès à présent et dans le futur.

Les cyberattaques montrent, toujours et encore, la vulnérabilité incessante des architectures réseaux. Comment en finir ?

Franck DeCloquement : Un monde hyper connecté est de facto un univers très fragile. Même si ce constat est devenu au demeurant un parfait poncif au fil des ans, celui-ci n’a pourtant pas encore véritablement imprégné nos usages collectifs. Plus nous sommes connectés au demeurant, et plus nous devenons corrélativement vulnérables. Individuellement et collectivement, cela s’entend. Nous sommes entrés de plain-pied dans une nouvelle ère, dans un nouvel écosystème de vie aux effets potentiellement délétères et dévastateurs. Chacun le comprendre aisément d’instinct. Pourtant, tous ne saisissent pas l’ampleur des menaces globales qui frappent à nos portes, et les dégâts corrélatifs en matière de confiance que cela induit auprès des populations. À commencer par les consommateurs en nombre pourtant toujours croissants sur réseaux sociaux, et des services commerciaux en ligne. Ce constat alarmiste est pourtant simple à appréhender, mais nos pratiques intimes démontrent a contrario que nous ne sommes pas encore préparés à faire face à nos « cybers-fragilités ». Une expression inspirée et popularisée par les auteurs Blaise MAO et Thomas SAINTOURENS, à travers leur livre aux accents forts éclairants. Outre nos boîtes mails, nos comptes Facebook ou toutes autres applications informatiques mises en branle à travers nos Smartphone High-tech, un prédateur forcément malveillant disposera toujours de ressources numériques ingénieuses quasi infinies, comme moyen de pénétration criminelle via la détection dévoyée d’une multitude de portes arrière dérobées. Et ceci, afin d’accéder à nos données privées pour en user à sa guise...  Les « IoT » - pour « objets connectés » - au nombre desquels on compte nos télévisions et nos compteurs électriques EDF, les « baby-phones » de nos enfants, ou encore les poupées devenues « intelligente » (grandes pourvoyeuses de données familiales sensibles), ouvrent d’insondables failles dans nos intimités. Et demain, sans aucun doute aussi, dans nos « villes intelligentes », nos domiciles domotiques régentés par une pléthore d’interfaces et de  programmes d’asservissement, jusque dans nos voitures rendues parfaitement « autonomes » sur les routes, par le truchement de la magie technologique. Nos bracelets-tests de santé, nos réveille-matin et nos réfrigérateurs prédictifs n’y couperont pas eux aussi et seront à coup sûr autant « d’objets pièges », et sources d’innombrables tracas d’ores et déjà prévisibles. 

Comme l’indique souvent malicieusement notre ami François-Bernard Huyghe : « tout système connecté est faillible. Et s’il existe une faille, il y aura toujours un petit malin pour la trouver ». Or, avec un marché estimé à plus de 50 milliards d’objets connectés d’ici 2020, nos fragilités numériques n’en seront que plus grandes et plus vertigineuses encore… Mais en parallèle des menaces qui pèsent sur les individus, les spécialistes considèrent également que d’innombrables affaires cybers mettent en lumière un problème d’envergure majeure : l’extrême difficulté de tracer l’assaillant et de sécuriser toute à la fois ; et drastiquement ; les arcanes réseaux. L’affaire du site de rencontres extraconjugales Ashley Madison, et celui du site Adult Friend Finder l’email-gate d’Hillary Clinton, le piratage en règle des films de Sony Pictures et de Disney, l’attaque informatique sur TV5 Monde et sur le géant américain Yahoo, la propagation à l’échelle mondiale des derniers malwares en date Wannacry, NotPetya, alias « Petrwrap », témoignent d’une situation qui confine très schématiquement pour beaucoup, à l’incurie dans la sécurité des infrastructures et des différentes couches logicielles enchâssées du cyberspace. À  qui la faute s’interroge certains ? Ou se nichent les responsabilités ? Car cela signifie aussi que l’on met sur le marché des objets qui présentent des failles de sécurité majeures, faute de mots de passe suffisamment solides ou l’usage de données chiffrées, des logiciels à la programmation bâclée, sur des supports réseaux pouvant être également facilement compromis… Cette situation comparable à une forme de « Far West » pourra-t-elle durer éternellement ?

Avec la dernière cyber attaque d’ampleur en date contre la société de crédit Equifax, en passe de toucher 143 millions de clients américains, un cap supplémentaire a encore été franchi dans le niveau des menaces insidieuses qui pèsent lourdement sur nos vies numériques.

Au-delà des infrastructures réseaux et des systèmes d’exploitation informatiques, les dernières vagues de cyberattaques d’envergure mondiale et à l’intensité souvent inégalées, posent immédiatement à nos consciences modernes la question de la fiabilité de l’internet et des infrastructures numériques, qui couvrent depuis deux décennies l’ensemble de nos activités humaines. Bien que certaines assurances proposent des contrats spécifiques pour remédier à l’occurrence de ces catastrophes, ceux-ci s’avèrent très largement sous dimensionnés pour couvrir le risque réel. Dernier exemple en date - et nouvelle onde de choc - avec la très récente affaire Equifax, cette très grosse société américaine de crédit, spécialisée dans l'analyse et la protection des données personnelles. Celle-ci a en effet annoncé jeudi dernier avoir subi une très sévère attaque informatique ayant ciblée sa base de données clients. Ce nouveau vol de données d'une ampleur là aussi vertigineuse pourrait concerner à cette heure, plus de 143 millions de citoyens américains. Autrement dit, plus de la moitié de la population des Etats-unis s’il était nécessaire de le rappeler... Les criminels ont exploité pour ce faire, une faille informatique du site internet américain afin d'accéder à certaines données.  Equifax avait toutefois détecté le problème le 29 juillet dernier, et déclare aujourd’hui avoir promptement réagi depuis le constat des faits. Le tout, en diligentant une enquête poussée auprès d'une société de sécurité informatique spécialisée, et ceci, afin d'évaluer les dommages subis par cette attaque. Mais on sait d'ores et déjà que les pirates ont obtenu des noms, des numéros de sécurité sociale, des dates de naissance, des adresses personnelles, et même des numéros de permis de conduire. Autant d'informations particulièrement sensibles quand elles sont collectées toutes en même temps par des pirates particulièrement déterminés à commettre de futurs délits... Cet accaparement de données pouvant évidemment servir à déployer des campagnes d’usurpations d’identités massives. D'autres pays seraient également impactés ; mais dans des proportions moindres ; à l’image du Canada et l'Angleterre.

Que faire, face à l’ampleur et à la répétition ininterrompue de ces attaques ?

Pour les spécialistes, nous sommes passés d’une ère où l’on essayait de ne pas se faire attaquer, à une ère où ces attaques se sont totalement banalisées. Où chacun « vit avec » ce risque constant de piratage vissé sur la tête, telle une épée d’Damoclès. D’aucuns cherchent la réponse la plus adaptée en cas d’attaque. Les mondes numériques sont difficiles à contrôler, et beaucoup estiment qu’il faut aussi acter cet état de fait. Au-delà de la responsabilité collectives des industriels et des concepteurs de programmes, quelles seraient alors les réponses les mieux adaptées pour les générations connectées ? Cette situation est le résultat d’un manque de culture technologique. Un certain « confort numérique » relatif  hérité des années 2000 aurait laissé la place à un écosystème cyber aisément piratable, qui a depuis imperceptiblement changé la donne… Et cela devrait continuer à changer selon toutes vraisemblances. Pour les quadras, il serait déjà trop tard. Mais qu’en est-il justement des nouvelles générations, dites aussi  « digital natives », nées avec un écran tactile ou un clavier alphanumérique vissé dans les mains ? Tout ceci risque aussi rapidement de les dépasser comme le montrent les dernières enquêtes tests en date sur le sujet. Car beaucoup n’ont étonnamment aucune conscience des dangers que recèlent nos écosystèmes digitaux modernes. Nombreux sont ceux qui ont oublié qu’internet repose essentiellement sur des infrastructures physiques en « dur », à qui ils confient par ailleurs d’innombrables datas à caractère personnel et sensible… Idem pour le partage en ligne sur les réseaux sociaux d’images ou de propos à caractère potentiellement compromettants, ou répréhensibles. Le tout, en un « clic » !

In fine, comment réagir ? Face à cette véritable déferlante de fléaux numériques non stop, les responsabilités semblent bien entendues diffuses : pirates et entreprises conceptrices de logiciels sont inextricablement liés dans cette affaire. C'est en définitive, une course permanente à l’armement au niveau des entreprises et des firmes. Alors, comment envisager globalement une lutte efficace contre la cybercriminalité ? Est-on définitivement contraint à la penser comme une hygiène de sécurité individuelle à adopter, plutôt que comme un pare-feu global à déployer ? Certains préfèrent choisir d’opportuns boucs émissaires, et considèrent que le problème réside dans le fait que ce sont les systèmes d'exploitation eux-mêmes visés par les attaques qui permettent – in fine – l’infection par des logiciels informatiques malveillants. Considérant que dans le cas des grands systèmes informatiques mis en œuvre dans un cadre industriel et sécuritaire strict – où il existe un véritable contrôle qualité des processus – il ne peut y avoir d’infestations aussi dévastatrices. Les différentes vagues auxquelles nous avons eu affaire dernièrement existent surtout sur Windows, non seulement à cause des vulnérabilités auxquelles cet OS prête le flanc, mais aussi parce que des « backdoor  » ont été possiblement ajoutées dans les lignes de programme dans le but de permettre aux constructeurs ou aux agences nationales de sécurité américaines d'explorer discrètement les données contenues dans les disques durs des utilisateurs, lorsque ceux-ci se connectent sur les réseaux.

Plus encore que l'entente probable entre les agences américaines de sécurité et les grands fleurons informatiques nationaux (Microsoft, Apple, etc…), c'est l’extrême naïveté des utilisateurs que beaucoup de spécialistes pointent du doigt. Confier ses photos de famille à des fournisseurs de services de stockage de données, passe encore. Mais baser là-dessus la sécurité d’hôpitaux, d'installations militaires sensibles ou d’opérateurs économiques stratégiques...  Là, l'incompétence des décideurs devient criminelle. Une collaboration durable doit s’instaurer entre les instances régulatrices, comme cela s’est déjà déroulé lors de l’attaque causée par le virus Wannacry. Dans les faits, il faut savoir qu’il est désormais très difficile – voire impossible selon de nombreux experts – d’empêcher une forme de « démocratisation » de ces attaques malveillantes. Elles vont bien entendues se reproduire.  Dès lors, le besoin de mettre en place de nouvelles solutions de sécurité dédiées est impérieux, puisque aucun répit n’est possible en l’état. Les vecteurs d’infections sont innombrables, sans parler des vulnérabilités humaines souvent à l’origine de nombreuses formes d’attaques virales. Au-delà des mises à jour efficientes de Windows et des correctifs que Microsoft produit très régulièrement pour inciter ses utilisateurs à adopter les dernières versions de ses logiciels, les « best practices » de bon sens pour se protéger efficacement restent toujours les mêmes, pour tout à chacun : il est nécessaire de disposer des équipes compétentes dédiées à la détection, à l’investigation et à la re-médiation des incidents, de disposer d’une bonne hygiène du SI et des budgets suffisants pour ne pas se laisser piéger. De procéder impérativement à un système de sauvegarde « hors ligne » des données personnelles, de former les personnels au contact, les managers et les dirigeants de l’entreprise à la sécurité informatique et aux risques cybercriminels induits. Mais aussi de prendre systématiquement le temps de vérifier les pièces jointes avant de les ouvrir, au risque d’activer une application cyber malveillante, dans la foulée de leur activation. Il est également nécessaire de renforcer la sécurité au niveau des droits d’accès aux ressources réseaux, de mettre en place des solutions de sécurité efficaces, corrélativement à un budget prévisionnel bien construit servi par des équipes de spécialistes en nombre suffisant.

Les tempêtes solaires

Dans le cas où une éruption majeure venait à toucher la Terre, rien ne laisse penser que nos réseaux technologiques et électriques puissent le supporter. En quoi cette vulnérabilité pourrait-elle représenter une menace très forte sur l'économie? En quoi cette vulnérabilité n'est pas suffisamment prise en compte par les gouvernements? Pourquoi, lorsque le risque est trop important, nous ne faisons rien pour nous préparer?

Olivier Sanguy : Sur le plan économique, les études des assureurs dont j’ai déjà parlé envisagent des milliers de milliards de dollars de dommages. Il y a le coût de la reconstruction du réseau électrique, des infrastructures satellitaires et des équipements électroniques. Mais à cela s’ajoute une baisse notable de l’activité économique. Dans les pays industrialisés, un consommateur qui n’a pas d’électricité sur une longue période sera en mode de survie et il ne consommera donc plus ce qui fait tourner une grande partie de la machine économique : plus d’achat par Internet, pas de loisirs car il aura autre chose à penser, sans oublier ceux qui perdront leur emploi si leur usine ferme ses portes. Pourquoi ne faisons-nous rien ? Tout d’abord, il y a le problème de la prévention. Par essence, une bonne prévention peut apparaître comme une dépense inutile puisqu’elle va permettre d’éviter la catastrophe. En revanche, quand on dépense pour redresser une situation dramatique, on voit beaucoup plus l’utilité des budgets ! C’est un réel problème de société, surtout dans une époque où semble s’imposer la logique de rentabilité à court terme. Maintenant, on ne fait pas non plus rien. Ce qu’on appelle la «météo spatiale» est un domaine de la science en plein essor. En étudiant notre étoile, notamment grâce à des satellites spécifiques, on surveille son activité et on met en place un réel système d’alerte. On a aujourd’hui la capacité de voir venir une tempête solaire susceptible de causer des dégâts importants. Du coup, des mesures concrètes visant à amoindrir les conséquences pourront être mises en action. Mais attention, on ne disposera que de 1 à 5 journées pour se préparer ! Ce qui suppose qu'un plan d’action soit déjà en place. Sous la présidence de Barack Obama, la Maison-Blanche avait lancé une initiative pour coordonner l’action de plusieurs agences fédérales en vue de mettre sur pied une sorte de plan OSEC à l’américaine pour faire face à un événement solaire potentiellement néfaste. Il est clair qu’il faut continuer dans ce sens. Il faut être conscient qu’on ne peut pas empêcher une éruption solaire potentiellement catastrophique pour nous de se produire, mais on peut en revanche prendre des mesures qui en amoindriront notablement les effets à court et long terme. Tout est question de volonté politique et d’y consacrer les budgets nécessaires.

Face à l’obsolescence annoncée des antibiotiques, pourquoi cette absence de réaction des laboratoires pharmaceutiques voire du gouvernement ?

Stéphane Gayet : En réponse au problème grave et d’ampleur mondiale, constitué par la progression effrénée de la résistance des bactéries aux antibiotiques depuis une vingtaine d’années, l’Organisation mondiale de la santé (OMS) a émis nombre de recommandations. Parmi celles-ci, figure celle de stimuler la recherche en direction de la mise au point de nouvelles molécules antibiotiques. Mais quels peuvent être les effets d’une telle recommandation ? De son côté, le ministère chargé de la santé français a émis lui aussi beaucoup de recommandations en matière d’antibiotiques. On ne manquedécidément pas de recommandations dans ce domaine. Mais quelles actions ont été entreprises ?

Le plan français 2011-2016

Le plan national français d’alerte sur les antibiotiques 2011-2016 a trois axes stratégiques. Les axes I et II font à eux deux plus de 55 pages et portent sur le bon usage des antibiotiques. Ce n’est que dans l’axe III de ce plan qu’il est question de recherche (8 pages sur 84) : « Favoriser le développement de nouveaux principes actifs, ou mieux, de nouvelles classes d’antibiotiques efficaces sur les espèces bactériennes aujourd’hui résistantes, notamment par l’organisation d’une meilleure articulation avec l’industrie pharmaceutique et les autorités européennes. » C’est ainsi qu’est exprimé l’objectif opérationnel de l’action n°20 de ce plan, action ainsi intitulée« Encourager la recherche appliquée ».Cette action n° 20 est développée sur deux pages d’un rapport de 84 pages : c’est la seule partie du plan qui traite de la recherche appliquée, celle qui va dans le sens de la mise au point de nouveaux antibiotiques.

Pourquoi une telle inertie à la recherche de nouveaux antibiotiques ?

Depuis plusieurs années, l’industrie pharmaceutique investit très peu dans la recherche en faveur de nouveaux antibiotiques. Cette inertie a plusieurs causes.

Il faut bien plus de dix ans pour développer une nouvelle molécule et le coût en est exorbitant. Le marché d’un nouvel antibiotique est de plus en plus restreint, car, pour le protéger des résistances bactériennes acquises, son autorisation de mise sur le marché (AMM) limite étroitement ses indications officielles (situations cliniques dans lesquelles les médecins peuvent le prescrire). Il faut en effet garder à l’esprit que c’est l’usage et surtout le mésusage d’un antibiotique qui fait émerger la résistance des bactéries à son pouvoir antimicrobien. C’est la raison pour laquelle la durée de vie d’un antibiotique est nettement plus faible que celle d’un médicament en cardiologie, rhumatologie ou encore cancérologie.

L’obsolescence d’un antibiotique commence pratiquement dès que sa molécule est identifiée comme prometteuse au sein d’un laboratoire de recherche appliquée. C’est à ce moment-là que l’équipe de recherche dépose le brevet qui protège ladite molécule pendant 20 ans. Mais, comptetenu du temps nécessaire à mettre ensuite ce médicament au point et à le commercialiser, la durée de sa protection contre la concurrence des génériques ne dure en pratique que 8 à 10 ans après l’AMM. Pour compenser ce temps perdu, un certificat complémentaire de protection peut être délivré pour une durée de cinq ans. En somme, la commercialisation d’un médicament original (« princeps ») est garantie 10 à 15 ans après sa mise sur le marché. Mais il faut également savoir que le contenu du dossier d’AMM tombe dans le domaine public huit ans après l’obtention d’AMM, ce qui permet aux laboratoires de génériques de préparer leur copie en anticipation.

Il résulte de toutes ces circonstances un rétrécissement de l’éventail antibiotique disponible. Le nombre de substances disponibles a même tendance à diminuer, du fait de l’arrêt de la commercialisation de plusieurs antibiotiques.

Alors que faire en pratique ?

Le professeur Jean-Paul Stahl, infectiologue au CHU de Grenoble, considère qu’il faut augmenter les prix des nouveaux antibiotiques. La France est un pays où les médicaments ont un prix de vente bas, en comparaison de bien des pays à niveau de vie équivalent. Ce prix bas de commercialisation est le résultat d’âpres négociations entre les autorités de santé et l’industrie pharmaceutique. Le prix d’un nouvel antibiotique est souvent décidé en prenant pour référence celui d’antibiotiques de la même catégorie, mais anciennement commercialisés ; ce qui n’est pas pertinent. Les prix bas des nouveaux antibiotiques ne sont plus compatibles avec un financement opérationnel de la recherche appliquée en faveur de nouvelles molécules et surtout de nouvelles familles de molécules antibiotiques. Si l’on ne change rien, l’impasse thérapeutique des cas d’infections sévères à bactéries multirésistantes est pour demain.