TIC et Géopolitique 2015 : Cybersécurité et objets connectés, un avant-goût du monde de demain
Le 11 mars, l’EPITA accueillait l’édition 2015 de son cycle de conférences TIC & Géopolitique. Cette année, les intervenants se penchaient sur l’augmentation considérable du nombre d’objets connectés et l’explosion simultanée de la masse des données personnelles. Ils discutaient également des problématiques de cybersécurité induites par ces deux dynamiques et de l’importance du développement d’une industrie française dans ce domaine. Quels sont les enjeux sécuritaires de demain ? Où se situe la France ? Comment protéger les utilisateurs ? Résumé des débats…
Les objets connectés : nos nouveaux meilleurs ennemis ?
Avec l’annonce de la mise sur le marché de l’Apple Watch, les objets connectés continuent à occuper le devant de la scène numérique. Montres et lunettes connectées, capteurs et éléments de domotique, compteurs EDF et voitures intelligentes, les exemples ne tarissent pas. Leurs usages offrent des possibilités quasi-infinies aux consommateurs mais la collecte des données induites par leur utilisation oblige à s’interroger sur la protection de la vie privée et des informations à caractère personnelle.
La protection des données, l’un des plus grands défis à venir
En ouverture, Anne-Sophie Bordry, présidente du think tank « Objets connectés et intelligents France », rappelle que la notion de vie privée diffère d’un individu à l’autre. Dans le droit français, elle se rattache à l’article 9 du Code civil (« Chacun a droit au respect de sa vie privée »). L’enjeu sous-jacent est celui de la collecte des données personnelles. La montre n’intéresse pas tant Apple pour ses usages que pour les informations que l’entreprise peut récupérer, aux dépens de son premier concurrent, Google.
« Les objets connectés existent depuis longtemps », ajoute Stéphane Grégoire, chef du service des affaires économiques de la Commission nationale de l’informatique et des libertés (CNIL). Les boîtiers de péages, par exemple, comptabilisent les portions de route les plus empruntées. La question de leur cadre juridique n’est donc pas nouvelle. Cependant, l’augmentation massive du nombre d’informations donne à cette problématique une portée inédite. Stéphane Grégoire préfère d’ailleurs parler d’un défi sécuritaire plutôt que d’un risque. De plus, l’environnement transfrontalier révèle les limites d’un contrôle de la collecte, les légalisations étant différentes d’une nation à l’autre.
De gauche à droite : Robert Erra, responsable du LSE, Stéphane Grégoire, chef du service des affaires économiques de la CNIL, Nicolas Arpagian, modérateur de la conférence et rédacteur en chef de Prospective Stratégique, Anne-Sophie Bordry, présidente du think tank « Objets connectés et intelligents France » et Philippe Laurier, spécialiste de l’intelligence économique à l’Ecole Polytechnique.
Renouveler l’arsenal d’outils de lutte et de protection
PourPhilippe Laurier, de l’École Polytechnique : « Rien ne se perd. Rien ne se crée. Tout se transfert… » Plus les objets sont intelligents, plus ils communiquent entre eux, plus ils sont fragiles. Il prend l’exemple d’un cyberterroriste anonyme qui utiliserait une télécommande universelle pour couper la télévision des bars en pleine retransmission d’une finale de football : la cybercriminalité s’introduirait alors au cœur de notre quotidien ! Il devient désormais urgent de recréer du contrôle d’accès et de renouveler les protocoles d’identification : le déplacement des problèmes implique obligatoirement celui des solutions.
Se méfier du « tout connecté »
Ces objets ne sont pas non plus la manne tant attendues que veulent nous vendre Google, Apple, Facebook ou Amazon (GAFA). Selon Robert Erra, responsable du Laboratoire Système de l’EPITA (LSE), « ils sont parfois semblables à ces nanoparticules qui nous mangent avant de se manger entres-elles ». Il illustre son propos avec le boîtier de comptage d’EDF : il est impossible de vérifier comment sont collectées les données ni à qui elles sont transmises. EDF refuse toute communication sur le sujet. Idem pour le pass Navigo qui répertorie les trajets effectués par leurs détenteurs. La RATP impose de payer un supplément de cinq euros pour anonymiser ses informations. Le changement de paradigme est complet !
Une donnée en elle-même ne vaut rien sans agrégation ou algorithmique. Ce n’est donc pas tant la donnée qui est dangereuse que l’usage que l’on en fait. « Ce qui va nous sauver, c’est que pour l’instant, on ne sait pas encore utiliser pertinemment ces données », conclue Robert Erra.
De gauche à droite : Sébastien Bombal, directeur des opérations Orange Cyberdéfense et responsable de la majeure SRS, Patrick Guyonneau, délégué ministériel adjoint aux industries de sécurité du ministère de l’Intérieur, Nicolas Arpagian, Guillaume Poupard, directeur général de l’ANSSI et Jean-Noël de Galzain, président d’Hexatrust et de Wallix
Quel avenir pour une industrie française de la cybersécurité ?
Les dernières failles sécuritaires d’Apple, de Gemalto ou encore de Sony, ajoutées à l’indignation provoquée par le scandale de l’affaire Snowden, ont mis sur le devant de la scène les problématiques liées à la cybersécurité. Et personne n’est à l’abri. Ni les individus, ni les entreprises, ni les gouvernements : le nombre de vols de données personnelles, de secrets industriels, diplomatiques ou politiques, des fraudes et arnaques ont explosé ces dernières années. L’émergence d’une industrie française est non seulement nécessaire, mais également encouragée.
Les caractéristiques du marché mondial
Sébastien Bombal, directeur des opérations Orange Cyberdéfense et responsable de la majeure Système, Réseau et Sécurité de l’EPITA explique que le marché mondial se découpe en trois parties : entreprises à gouvernements (BtoG), entreprises à entreprises (BtoB) et entreprises à consommateurs (BtoC). Le BtoG, principalement la cryptographie (assurer la confidentialité, l’authenticité et l’intégrité d’un message), représente 50 à 60 millions d’euros par pays.
Le BtoB correspond aux grands groupes qui n’ont souvent pas les moyens d’accéder aux technologies BtoG. Le marché BtoC est le plus gros : des grands acteurs comme Symantec pèse plus de 2 milliards d’euros. Il est très déséquilibré : 45 % pour les États-Unis, 25 % pour l’Europe (Israël compris) et 30 % pour le reste du monde. D’après Sébastien Bombal, il devient obligatoire pour les entreprises françaises de penser à l’export pour ne pas se contenter du « petit » marché français (environ 1,5 milliards d’euros). Le BtoC ne suffit pas et on ne peut pas uniquement s’appuyer sur les aides de l’État.
Quelle place pour la France ?
Pour Jean-Noël de Galzain, président d’Hexatrust et de Wallix, « la mobilisation des pouvoirs publics a permis une prise de conscience de l’existence de dangers liés au numérique ». Cependant, la France reste une nation naine dans ce secteur. Malgré la bonne position de groupes tels qu’Airbus, Gemalto ou Thales, le marché reste largement dominé par les entreprises américaines et asiatiques. D’autre part, la cybersécurité est un secteur en forte croissance : là où le marché du numérique augmente de 4,5 %, celui de la sécurité décolle de 9 %. La France doit faire confiance à ses PME. Le potentiel existe et les acteurs sont en place.
« Le marché de la protection numérique est très porteur », approuve Patrick Guyonneau, délégué ministériel adjoint aux industries de sécurité du ministère de l’Intérieur. Certaines entreprises française y occupent une place de leader : Thales pour la sécurisation des cartes bleues, la biométrique et la radio sécurisée, Gemalto pour la carte à puce. Leur savoir-faire est reconnu à l’International. Notre point faible est la part réduite qu’occupent les PME, parfois vampirisées par les grands groupes. « Astérix se vend bien, mais pas le reste du village », plaisante-t-il.
Le rôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
Comme le souligne Guillaume Poupard, directeur général de l’ANSSI, « nous connaissons tous la menace mais elle n’en reste pas moins difficile à appréhender. Qui attaque ? Un État ? Une mafia ? Une organisation terroriste ? » La constitution d’une
cyberindustrie française née à la fois d’une nécessité – se défendre – mais aussi d’une opportunité car nous avons besoin d’outils efficaces et de prestataires de confiance. C’est dans ce cadre que s’inscrit la démarche de l’ANSSI : établir un référentiel par métiers, évaluer les prestataires afin d’identifier les entreprises efficaces et de confiance pour les labéliser par la suite. Les questions de cybersécurité s’étendent aussi au cloud et au Big Data. L’ANSSI travaille à la mise en place de règles publiques destinées au stockage dans le cloud. Elle négocie également des traités internationaux et commerciaux pour renforcer la sécurité de l’information et des données.
Les possibilités offertes par les objets connectés paraissent infinies. Les évolutions technologiques qu’ils amènent semblent pouvoir résoudre tous les problèmes mêmes ceux dont on ne soupçonnait pas l’existence. Cependant, leurs besoins immenses en données à caractères personnelles ont des conséquences dangereuses pour la protection de la vie privée des citoyens et des secrets des industriels comme des gouvernements. Si le monde de demain est celui du « tout connecté », il est primordial qu’un cadre juridique international et une prise de conscience globale accompagne ce mouvement.