Mega-failles informatiques chez les géants du web : est-il temps que l'Etat fasse de la cyber-sécurité une mission régalienne essentielle ?<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Style de vie
Pour ce qui est des Etats, le simple fait de confier ses données personnelles à des entreprises américaines fait qu’elles sont pour ainsi dire de facto dans les mains de la NSA et de ses alliés.
Pour ce qui est des Etats, le simple fait de confier ses données personnelles à des entreprises américaines fait qu’elles sont pour ainsi dire de facto dans les mains de la NSA et de ses alliés.
©Pixabay

Cyber-sécurité

Alors que selon la direction de Yahoo!, certains de ses employés étaient au courant dès 2014 de l'énorme faille de sécurité de l'entreprise américaine révélée ces derniers mois, le rôle et les possibilités d'actions de l'Etat dans la protection des données des utilisateurs restent encore largement à définir aujourd'hui.

Fabrice Epelboin

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio »
Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : Ces dernières semaines, le monde prenait conscience d'une gigantesque faille de sécurité au sein de l'entreprise Yahoo!, concernant les données de près de 500 millions d'utilisateurs. Or, il semblerait que certains employés (au moins) de Yahoo! étaient au courant de cette brèche dès 2014. Pour ce qui est du cas français, et notamment des entreprises qui fournissent des services aux Français (Facebook, Google, etc.), quel état des lieux peut-on faire de leur sécurité ? Sommes-nous vraiment protégés ?

Fabrice Epelboin : Pour ce qui est de la sécurité des données personnelles des français, qui pour la plupart les confient à des entreprises américaines comme les GAFA, il faut distinguer deux types de menaces : les Etats, et les cybercriminels.

>>>> À lire aussi : Le site de rencontres AdultFriendFinder visé par un piratage massif, plus de 412 millions d'utilisateurs exposés

Pour ce qui est des Etats, le simple fait de confier ses données personnelles à des entreprises américaines fait qu’elles sont pour ainsi dire de facto dans les mains de la NSA et de ses alliés. D’autres Etats peuvent pirater une entreprise américaine pour accéder aux données des Français, et plus vraisemblement de leurs ressortissants ou de personnes ciblées précisément, les “usual suspects” dans ce genre de cas sont la Chine, l’Iran et la Russie, car la plupart des autres Etats, comme la France - capables de telles attaques informatiques - sont dans une alliance plus ou moins étroite avec les Etats Unis, qui leur permettrait d’accéder à ces données en le demandant gentiment.

Pour ce qui est des cybercriminels, c’est aussi un risque, mais même les cybermafias les plus aguerries n’ont pas la capacité des Etats précités, et la sécurité de la plupart des “grands” de la Silicon Valley est tout de même de haut niveau. Peu de chance qu’une cybermafia dérobe les données des utilisateurs de Google.

La sécurité informatique ne s’arrête bien sûr pas là, car en dehors de ce que font Yahoo ou Google pour vous sécuriser, il y a tout un tas d’éléments à prendre en compte et de réflexes à acquérir afin d’adopter une démarche sécure sur internet, tout comme c’est le cas avant de pouvoir conduire une voiture de façon sécurisée. Cela demande un apprentissage, c’est sanctionné par un examen : tout cela reste à faire avec internet.

Si d’ici à cinq ans ont pouvait mettre en place un tel “permis de conduire sur internet” - quelque chose qu’il faudrait repasser régulièrement car la technologie évolue sans cesse - on ferait de grands progrès en matière de cybersécurité pour les français. Ca ne me choquerait pas du tout qu’une entreprise exige un tel permis avant de laisser ses employés utiliser internet au bureau, et l’Etat pourrait parfaitement fournir un mooc gratuit et le personnel enseignant qui va avec, ce qui permettrait de former en masse les français au B-A BA de la cybersécurité.

Franck Decloquement : À l’image de cette valeur fondatrice dans le domaine de l’économie, le sujet de la cybersécurité est indissociablement lié au principe de "confiance". Les donneurs d’alertes peuvent dans certains cas jouer un rôle majeur dans la détection précoce des failles technologiques, ou humaines. Dans "l’affaire Yahoo", il semble bien que des employés de la firme avaient eu connaissance de cette brèche. Et cela dès 2014. Dans un rapport de la SEC déposé mercredi dernier, Yahoo a déclaré en substance que la société avait identifié qu'un acteur - vraisemblablement "parrainé" par un État - a eu accès au réseau de la société à la fin de 2014, compte tenu de la nature assez sophistiquée de l’attaque. Pourtant, il apparaît difficile pour l’heure de savoir qui était réellement au courant de cette violation initiale en interne, lorsque Yahoo a découvert l'étendue du hack cet été. Mais le rapport de la SEC a également indiqué que la réponse à ces deux questions était actuellement à l'étude... 

Les investissements technologiques et la puissance financière ne peuvent pas tout en matière de protection technologique. La formation des hommes et des femmes au contact - et plus globalement la culture interne des entreprises - jouent un rôle majeur dans la sécurité des systèmes d’information, car une très grande majorité des failles cyber reposent en définitive sur les vulnérabilités humaines. Cette question de "la confiance" est centrale et pourrait-être aussi  étendue à l’ensemble de l’écosystème de l’internet lui-même.

En France désormais, toutes les entreprises sont tenues d’appliquer un "minimum légal" en matière de cybersécurité. Et ceci, en déclarant par exemple sans délai, l’ampleur des attaques dont elles font l’objet à l’ANSSI (Agence nationale de la sécurité des systèmes d'information), au risque de commettre ; dans le cas contraire ; une très grave faute de gestion… Le monde de l’assurance est également en ébullition sur ces sujets complexes et se mobilise aussi pour savoir en définitive qu’exiger en la matière, comment et qui devra payer "les pots cassés", en cas de négligence  informatique majeure. Avec la digitalisation massive des services en ligne, la sécurisation des données est primordiale pour le développement de toute activité commerciale. Quand vous êtes une mutuelle, une assurance ou un opérateur bancaire, et que vous avez subi des attaques informatiques récurrentes, le fait de le crier sur tous les toits va forcément vous faire passer pour un établissement vulnérable en matière de sécurité, et très peu fiable aux yeux de ses clients. Ceci pouvant déstabiliser durablement votre business digital dans son ensemble. Le récent scandale de l’affaire Ashley Madison que nous avions traité ici même, dans les colonnes d’Atlantico (où un groupe de hackers avait piraté les serveurs informatiques de la société et dévoilé au grand jour les noms de tous les utilisateurs du site "de rencontres en ligne) est un exemple type. A cet effet, il reste encore dans toutes les mémoires… Cet évènement s’inscrit malheureusement, dans cette très longue liste d’actions cybercriminelles (TV5 Monde, arnaques au faux Présidents, le vol des données des agences fédérales américaines, le piratage des données personnelles des consommateurs de l’entreprise Hello Kitty, ou encore les intrusions répétées par des hackers se revendiquant de l’Etat islamique (EI), sur les sites de certaines institutions françaises, etc...), qui mettent en exergue la vulnérabilité manifeste des systèmes d’information dans leur composante humaine. 

Dans le cas de l’attaque historique qu’a subit Yahoo, de nouvelles révélations se font jour très régulièrement dans les médias. Ce que révèlent aussi certaines investigations menées en profondeur dans les arcanes du "Darknet", ce lieu privilégié d’échanges frauduleux entre pirates de haut vol et criminels informatiques de tous poils. Dans un avenir très proche, certaines compétences spécifiques seront indispensables quant à la maîtrise de la gouvernance de la sécurité en entreprise. C’est-à-dire de la connaissance des processus de réponses aux incidents cybers. Il s’agira d’être en capacité d’instaurer les méthodes normées de gestions fines, au profit de la sécurité globale dans l’entreprise. Cela ayant en outre pour finalité immédiate de contrecarrer efficacement les failles humaines, cette composante prioritairement exploitée par les hackers dans la mise en œuvre de leurs actions délictueuses. Avec l’émergence des solutions d’authentification par biométrie et cryptogramme dynamique, l’expert en cybersécurité devra également maitriser en continue les évolutions de la règlementation et des normes - mais aussi l’émergence des nouvelles technologies - en se formant non-stop. Cela ayant aussi pour objectif final recherché de lever l’un des freins majeurs en matière de croissance de l’e-commerce, car l’usurpation d’identité et la fraude sous toutes ses formes, insécurise indéniablement le développement du volume des transactions numériques à l’échelle globale. La confiance générale des internautes pouvant être très vite échaudée, compte tenu de la déferlante des affaires de piratages dans les médias.

Face à cette situation, ne pourrait-on imaginer que l'Etat effectue (ou commande) des audits pour vérifier que les entreprises aient des protections informatiques suffisantes, comme c'est déjà le cas pour le respect des normes sociales ou environnementales ?

Franck Decloquement : Dans un premier temps, L'ANSSI (L’Agence nationale de la sécurité des systèmes d'information) qui est aussi une agence de l’Etat a d’ores et déjà imposé ses propres règles de sécurité aux OIV (opérateurs d'infrastructure vitale) : Renforcement des mécanismes de détection d'intrusion, audit des réseaux, obligation de déclaration des attaques, qualification des produits et des prestataires de cybersécurité. Et ceci, au profit des entreprises opérant sur des secteurs d'activités sensibles et vitaux. Les grandes entreprises françaises sont couramment les cibles privilégiées d'attaques, par le biais de leur réseau informatique (Plans d'études volés, captation des banques de données, rapt d’informations sensibles, pillages des processus commerciaux, piratages des réponses aux appels d'offre par des concurrents agressifs, détournement des efforts en matière de R&D, etc…). Ce qui est visé est pour l’essentiel des savoirs faires technologiques ou immatériels à partir d'intrusions de très haut vol, menées par des groupes criminels organisés et employant de nombreux spécialistes pour agir. Le plus souvent agissant depuis l'étranger, à partir des pays de l’Est, de la Chine, du Moyen-Orient ou d’Afrique, compte tenu des facilitées en matière d’impunité que ces pays confèrent généralement aux acteurs d’actions criminelles…

L'ANSSI craint également d'autres risques comme le cyber-sabotage des installations industrielles. Face à ces menaces émergentes, diffuses et labiles, la France a décidé de renforcer la sécurité de ses entreprises les plus sensibles, regroupées sous le vocable "d'opérateurs d'infrastructure vitale" ou "OIV". Au nombre de 218 (Chiffre datant de 2015), ces entreprises dont la liste reste secrète, opèrent dans des secteurs d'activité dites "critiques". A savoir : la santé, la gestion de l’eau, l’alimentation, l’énergie, la communication, l’électronique, l’audiovisuel et information, les transports, les finances, l’industrie, les activités civiles, militaires et judiciaires de l’État,  etc...  l'ANSSI s’est donc vue conférée de nouveaux pouvoirs pour satisfaire à ces nouvelles exigences sécuritaires. Et cela est chose faite depuis la parution au journal officiel le 27 mars 2015 des différents décrets prévus dans le cadre de la loi de programmation militaire (LPM) votée en décembre 2013. Ainsi via l'article 22, l'agence va pouvoir imposer ses règles de sécurité aux opérateurs d'infrastructure vitale en réalisant des contrôles, en exigeant un certain niveau d'équipement notamment pour détecter les tentatives d'intrusion, en obligeant les victimes à communiquer sans délai sur les attaques subies. En prenant même en partie le contrôle du réseau en cas de crise majeure. Et cela, en vue de compenser des lacunes graves qu'elle aura pu observer. 

Lors des leurs diverses interventions, les services de l’ANSSI demandent le plus souvent les plans des réseaux informatiques des établissements impactés. En général, les victimes ne les ont pas révélés d'après un spécialiste de l’agence. Les décrets permettent aussi à l’ANSSI de mener des audits de sécurité sur les réseaux des "OIV" par le biais de prestataires qualifiés. Selon l'agence d’Etat, les contrôles qu'elle a pu réaliser jusqu'ici ont souvent révélé des failles de sécurité importantes ou majeures. Certains OIV affirmant le plus souvent qu'ils n’ont pas été l’objet d’attaques - alors qu'ils ne les ont tout bonnement pas détectées en réalité - faute de disposer eux-mêmes des compétences nécessaires en interne... Ces audits sont menés par des prestataires qualifiés, compétents et de confiance. l'ANSSI se réserve aussi le droit d'entrer dans le code source des logiciels commerciaux afin de vérifier leur intégrité et la bonne implémentation des fonctions de sécurité (authentification, chiffrement, etc…), avant d’octroyer son aval aux produits de cybersécurité. Les OIV sont également contraints de déclarer très rapidement les attaques dont ils ont été l’objet, permettant en cela d'organiser le périmètre d’une défense conjointe beaucoup plus efficace. Un prédateur utilise en effet le plus souvent les mêmes modes opératoires pour attaquer toute une série d'entreprises appartenant à un même secteur d'activité. Cela permet en outre de détecter les victimes d’une opération d’envergure. Et ceci parfois même, avant qu'elles ne le détectent elles-mêmes. En cas de crise majeure, l'Agence peut prendre des mesures conservatoires draconiennes, pouvant aller jusqu'à exiger la totale déconnexion du réseau de l'entreprise impactée, de l'Internet... Ces mesures ont évidemment un coût financier certain pour les OIV concernés. Surtout quand il faut redéfinir l'intégralité d’un système d'information initialement mal ficelé. Toutefois, les arrêtés qui définissent précisément les obligations des opérateurs d'infrastructure vitale ont été rédigés, secteur d'activité par secteur d'activité, afin de coller au mieux à la réalité du terrain. La publication de ces arrêtés sectoriels s’est étalée jusqu’en début d’année 2016, et est donc opérationnelle à cette heure.

Fabrice Epelboin : L’industrie de la cybersecurité ne manque pas de normes et de certifications, indispensables pour tout un tas de choses, mais cette approche de la cybersécurité n’est pas du tout en mesure de faire face à la situation actuelle.

L’Etat se mêle par ailleurs de la cybersécurité de pas mal d’entreprises françaises, celle qui sont des “Opérateurs d’Importance Vitale”, deux cents entreprises comme EDF ou la SNCF, mais il est invraisemblable que l’Etat commence à faire des audits sur toutes les entreprises en France, nous n’avons pas du tout les ressources necessaires pour cela. Et quand je parle de ressources, ce n’est même pas une problématique financière : il n’y a pas suffisamment de talents en matière de sécurité informatique en France pour imaginer un tel programme, d’autant plus qu’il faudrait pour qu’il soit un tant soit peu crédible que cet audit soit réalisé de façon quasi permanente, car les technologies des entreprises évoluent de façon quasi permanente.

Le problème n’est cependant pas propre à la France, même si il y est particulièrement critique : un récent rapport de la Commission Européenne estime à 1,5 million le nombre de talents en cybersécurité nécessaires pour faire face aux défis posés dans les cinq prochaines années.

C’est aux entreprises de se prendre en main et d’assurer tant leur propre cybersécurité en tant que personne morale, que celle de leurs employés et de leurs clients et prospects. La cyberdirective Européenne va d’ailleurs poser un cadre clair aux entreprises du continent, à l’avenir, les fuites d’information personnelles qu’elle tenteront de cacher aux yeux de leurs clientèle seront très lourdement sanctionnées par une amende pouvant aller jusqu’à 4% de leur chiffre d’affaire

C’est sans doute comme cela que l’on peut améliorer la situation actuelle : demain, les entreprises devront soit faire face à une perte de confiance grandissante de la part de leur clientèle, refroidie à force d’entendre parler de la légèreté avec laquelle certaines entreprises sécurisent les données qu’elle lui confie, soit faire face à des amendes records, accompagnées des gros titres de la presse, ce qui est encore pire.

Alors que pour le grand public, la connaissance de ces problématiques essentielles au 21ème siècle passe encore beaucoup par l'action des lanceurs d'alerte, une intervention de l'Etat dans ce domaine pourrait-elle selon vous engendrer de grands changements dans les pratiques des utilisateurs d'Internet et des entreprises elles-mêmes ?

Fabrice Epelboin : Nous ne tarderons pas à avoir une réponse. Le programme de Trump en matière de cybersécurité est plutôt clair : des backdoors dans les technologies américaines et une forte augmentation des budgets destinés à augmenter la capacité offensive des USA dans le cyber.

Pour une entreprise non américaine, utiliser des technologies américaines reviendra clairement à donner libre accès à la NSA à ses données, ce qui n’est pas vraiment nouveau, ce qui l’est, c’est le changement assez radical de la situation géopolitique qui sous-tend cet état de fait. Certaines entreprises devraient réagir en passant à d’autres technologies, mais surtout, les dirigeants d’entreprises comme d’institution ne peuvent plus fermer les yeux sur cela, et reléguer tout ça à un service informatique. Comme le disent les américains : “Shit rolls down, until shit hits the fan”. Le scandale de Microsoft équipant l’armée française, par exemple, n’est plus, désormais, quelque chose que nos hommes politique peuvent ignorer. 

Le programme de Trump force les entreprises non-américaines à reconsidérer les conséquences de l’Affaire Prism - cette portion des révélations d’Edward Snowden qui montre comment les grandes entreprises de la Silicon Valley collaborent activement avec la NSA à ses missions - l’antiterrorisme comme l’espionnage industriel. Or, encore une fois, force est de constater que la plupart des chefs d’entreprises on fermé les yeux là dessus, une attitude facilitée par une lecture geostratégique du monde naïve et simplette, désormais totalement obsolète.

Le problème sur lequel doivent se pencher les dirigeants du monde corporate comme du monde politique, c’est d’avoir aujourd’hui une idée claire de leur souveraineté numérique. Cette de leur entreprise, celle de l’Etat dans lequel elle est située, des évolutions à venir et de leur capacité à être résilients face à tout cela. Il va leur falloir apprendre à coder et décoder leur souveraineté numérique.

Franck Decloquement : C’est déjà le cas. Bien au-delà des mesures mises en œuvre par l’Etat Français ou des actions de détection sporadiques des lanceurs d’alertes, la Commission européenne a proposé dès 2001 une communication en matière de cybersécurité. Celle-ci a été suivie en 2006 par l’adoption d’une stratégie pour "a Secure Information Society", afin de développer rapidement la culture du "Network Information Security" au sein de l’Union européenne. Le 30 mars 2009, la Commission avait adopté une Communication relative au "Critical Information Infrastructure Protection" mettant en avant la nécessité de se protéger en Europe. Plus récemment, la directive NIS "Network Security and Information" proposée en février 2013 par la Commission européenne - et approuvée en décembre 2015 - devrait elle entrer en vigueur en 2018. Celle-ci vise prioritairement à traiter des mesures à mettre en place afin d’assurer un très haut niveau de sécurité en matière cyber, au sein de l’Union européenne. Elle précise et fixe en outre les obligations légales en matière de sécurité incombant aux opérateurs fournissant des services essentiels, et aux fournisseurs de services numériques.

L’objectif de l’Union européenne est bien entendu de sécuriser les systèmes d’informations de certaines entreprises afin de prévenir tout risque d’intrusion malveillante et de piratage. Cette finalité s’inscrit dans la lignée des valeurs de l’Europe. À savoir offrir aux citoyens de l’Union européenne un espace de sérénité et de quiétude dans le monde physique, mais également dans les espaces numériques. De construire un espace ouvert, unifié où les législations internes de chaque État membre sont harmonisées. Mais également de garantir un espace sécurisé des réseaux informatiques en Europe, tant pour les citoyens européens que pour les entreprises. En d’autres termes, il s’agit ici de renforcer la réactivité et la coopération entre les autorités des 28 États membres de l’Union européenne en matière de lutte contre la cybercriminalité, et de sensibiliser les entreprises aux risques d’intrusion et de piratage de leurs réseaux informatiques, afin que ces dernières "prennent en main" la sécurité de leurs systèmes digitaux.

Les éléments essentiels de ce grand changement peuvent être résumés comme suit :

  • Une amélioration des moyens mis en œuvre par les autorités de chaque État membre en matière de cybersécurité.

  • Un renforcement de la coopération entre les États membres, et ceci afin de favoriser les échanges d’informations et la mise en place d’une coopération stratégique. À cet égard, la directive institue un réseau appelé "CSIRT" qui a pour objectif de promouvoir une coopération opérationnelle efficace en permettant notamment le partage d’informations sur les risques existant en matière de cybersécurité.

  • L’Agence Européenne chargée de la sécurité des réseaux et de l’information (ENISA) devra assurer le secrétariat de ce réseau et jouera de manière générale un rôle primordial en ce qui concerne notamment la coopération entre les États membres.

  • La directive prévoit également que les opérateurs concernés doivent prendre des mesures préventives, d’ordre technique et opérationnel afin de détecter tout risque concernant la sécurité du réseau informatique.

  • Les opérateurs concernés doivent mettre en place des mesures techniques de sécurité appropriées, afin de gérer les risques liés à la sécurité des réseaux et aux systèmes d’information. À cet égard, les autorités compétentes, pour veiller au respect des obligations par les opérateurs, peuvent demander des audits effectués par des organismes indépendants notamment, et donner des instructions contraignantes.

  • Une obligation de déclaration aux autorités compétentes toute intrusion et/ou piratage sans retard injustifié auprès des autorités compétentes, en cas d’attaque dans les systèmes informatiques des acteurs concernés par la directive. À l’image de ce que la France pratique déjà, avec les opérateurs d'infrastructure vitale concernée par les obligations de déclaration à l’ANSSI de toutes attaques, de toutes intrusions dans leur système informatique.

La directive s’adresse aux opérateurs publics et privés, excepté les autorités judiciaires.

À cet égard, les entreprises concernées par l’obligation de sécurité sont celles ayant un rôle important dans la société et l’économie, à savoir les opérateurs fournissant des services essentiels (Operators of Essential Services). C’est-à-dire les entreprises de différents secteurs, comme l’énergie, les transports, les banques, les marchés financiers, la santé, le secteur de l’eau, l’infrastructure numérique (les points d’échange internet, les prestataires de services relatifs au système des noms de domaine, de registres de nom de domaines de premier niveau), et également les entreprises importantes du secteur numérique ou "fournisseurs de services numériques", à savoir les sites d’e-commerce (Amazon, Booking.com, e-Bay, Expedia, HomeAway, etc.), le Cloud computing (Apple icloud, Dropbox, Google docs, etc.), les moteurs de recherche (Google, Yahoo, etc.).

D’autre part, il convient de préciser que le règlement européen du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE relative à la vie privée et aux communications électroniques, oblige les fournisseurs de services de communication électronique accessible au public, d’informer la CNIL au plus tard 24 heures après le constat de l’incident – art. 2.2 du règlement UE– ayant trait à la perte ou au vol de données des internautes.

Néanmoins, les réseaux sociaux, comme par exemple "Facebook", "Twitter", "Instagram", etc. ne seront pas concernés par cette directive.

Y a-t-il aujourd'hui des obstacles qui se mettent en travers de la route d'un Etat interventionniste sur ces questions de sécurité informatique ? Que ce soit au niveau législatif ou au niveau de la coopération des entreprises, quels sont les écueils à franchir ?

Franck Decloquement : Les États européens auront 21 mois pour transposer cette nouvelle directive NIS "Network Security and Information" dans leur droit interne à partir de son adoption, et se mettre ainsi en conformité avec le droit de l’Union européenne. Et l’on peut aisément comprendre l’impératif d’un délai institutionnel finalement assez court, compte tenu des derniers chiffres disponibles en matière d’investissement dans le domaine de la cybersécurité : D’après la dernière étude en date menée par le cabinet PWC (PriceWaterhouseCoopers), le nombre de cybers attaques aurait augmenté de 38% dans le monde, et de 51% en France. Alors que dans le même temps, les budgets alloués à la sécurité par les entreprises eux auraient diminué de 29% au niveau national, et de 24% au niveau international... 

Certains obstacles et résistances corporatistes existent bel et bien il ne faut pas le nier. Les conséquences d’une réglementation draconienne - et à l’échelle européenne - en matière de cyber protection impliquent forcément des coûts supplémentaires pour certains opérateurs du secteur. Et principalement pour les petites entreprises : L’AFDEL (l’Association française des éditeurs de logiciels et de solution internet) considère par exemple que si les petites entreprises sont également soumises à l’obligation de déclaration, cela pourrait porter atteinte à la compétitivité générale de ces entreprises… Cependant, cela permettrait aussi de réduire très sensiblement les risques collatéraux pour les autres entreprises pouvant être attaquées elles aussi, permettant ainsi de restaurer notamment la confiance des consommateurs envers les entreprises du numérique, et de soutenir la recherche sur la nature des cibles visées par les stratégies criminelles et les pirates informatiques. Il est en effet vital que les directions d’entreprises comprennent l’importance de mettre en place un système de sécurité de haut niveau à l’échelle globale, afin de protéger leur système d’information contre toute intrusion malveillante. Et ceci, compte tenu des impacts délétères sur la confiance des consommateurs que cela peut avoir, mais également sur les conséquences économiques néfastes que ces actions peuvent provoquer en termes d’image de marque, de réputation et de croissance des marchés.

Fabrice Epelboin : Aux USA comme en France, la législation qui encadre ce genre de pratiques est faite à postériori : le législateur ne s’en cache du reste pas, et assume tout à fait que des lois comme la récente Loi Renseignement n’ont fait que “légaliser l’existant”. Les “boites noires” tant décriées n’ont pas attendu d’être légales pour exister, personne ne le nie. Du coup, la question n’a pas grand sens, au final. Quelque soit les dispositifs législatifs, ils n’ont pas grand impact sur les pratiques.

Pour ce qui est d’une coopération active entre les Etats et les entreprises, c’est le cas aux USA, on en a eu la preuve en 2013 avec Edward Snowden, et ce n’est pas, pour l’instant en France, une contrainte légale posée aux entreprises.

Du coup, en France, on peut postuler facilement (et prouver, du reste) que certaines entreprises collaborent activement avec les services de renseignement et que d’autres ne sont même pas sollicitées - la plupart, vraisemblement, ne le sont pas. Cet aspect pourrait changer un jour ou l’autre, et on pourrait voir arriver une loi dans la lignée du “Patriot Act” américain, imposant aux entreprises françaises de coopérer activement, voir d’exiger des backdoors à l’usage des services de renseignement, mais on en est pas là.

Enfin, pour ce qui est d’un Etat Français qui exigerait un certain niveau en matière de cybersécurité de la part des entreprises Française, c’est l’Europe qui a pris les devants - et la France a activement participé à la rédaction de la cyberdirective - et la contrainte que pose l’Etat est certainement bien plus efficace que le fait d’exiger une quelconque certification ou un audit : si la cybersécurité d’une entreprise Européenne se montre défaillante, les sanctions seront, à horizon 2018, lourdes, très lourdes. Darwin fera le reste.

Le sujet vous intéresse ?

À Lire Aussi

Pourquoi les révélations sur l'espionnage des internautes par Yahoo pour le compte des autorités américaines pourraient bien n'être que la partie émergée de l'icebergDonnées personnelles en danger : pourquoi il est très important de supprimer vos comptes en ligne que vous n’utilisez plus (et pas seulement de les fermer)

Mots-Clés

Thématiques

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !