RGN 268 Fic Web

INTERNATIONAL > TERRITOIRE > JURIDIQUE > Le US CLOUD-ACT
La coopération technologique cybermalveillance.gouv.fr : vu de la France : craintes légitimes

internationale – CTI
au cœur de la cybersécurité ou peurs inutiles ?
collective et collaborative
REVUE
de la gendarmerie nationale
REVUE TRIMESTRIELLE / JANVIER 2021 / N° 268 / PRIX 6 EUROS
Pour une cybersécurité

coopérative et collaborative
retour sur images NUMÉRO 267
© SIRPA-Gendarmerie
LA GESTION DE L’ORDRE PUBLIC
L’ordre public consiste en un équilibre subtil entre la liberté de manifester et les libertés concurrentes
de circuler, de travailler, etc. L’État est le garant de cet équilibre. La force publique en France
n’est pas tyrannique. Sa mise en œuvre est auto-contrainte par l’État lui-même, de manière libérale,
au nom des libertés publiques.
RETROUVEZ À PARTIR
DE LA PAGE 177,
UNE ÉTUDE QUI
MONTRE QUE
LA LOI PEUT ÊTRE
UN INSTRUMENT DE
LA SOUVERAINETÉ
NUMÉRIQUE
EUROPÉENNE ET UN
LEVIER DE RÉGULA-
© Scott Maxwell-AdobeStock
TION ÉCONOMIQUE
DE PRATIQUES
MONOPOLISTIQUES
ABUSIVES ET
D’ATTEINTES AU
DROIT DU TRAVAIL.
EN CELA, ELLE EST
UN FACTEUR
DE DIVISION OU DE
COLLABORATION
POUR LA CYBERSÉ-
CURITÉ EUROPÉENNE
ET MONDIALE.
AVANT-PROPOS
NUMÉRO 268
Pour une cybersécurité coopérative

et collaborative
La confiance, qui a toujours sous-tendu des activités socio-économiques
apaisées, repose en matière de cybersécurité sur une inclination vers des normes
internationales, une authentification des transactions numériques et un équilibre
contractuel entre les producteurs de service et les usagers.
Cependant, la complexité des mœurs numériques et des systèmes d’information
n’a d’égale que la diversification et la spécialisation des cybercriminels. La résilience
des systèmes, la capacité de gestion de crise en cas d’attaque cyber, la détection
des menaces ne peuvent plus résulter de capacités nationales. Les postures défensives
ou offensives demandent un dialogue, une mutualisation des moyens de détection,
des procédures de réponse aux attaques et un continuum de la recherche. Le cadre
partenarial interétatique mais également Privé/Public semble adéquat pour instaurer une
cybersécurité collaborative et coopérative. Le facteur humain prend toute son importance
dans la conduite des projets, la gestion des crises et dans la conception de solutions
innovantes requérant de l’intuition, une empathie et une capacité de rupture.
L’Union européenne, pour recouvrer une souveraineté numérique, se heurte aux
intérêts de firmes internationales ou de groupes géo-stratégiques hégémoniques.
Cependant, son corpus législatif sert maintenant de référence en matière de respect
des droits fondamentaux des citoyens. Il porte des solutions, tant sur le plan éthique que
technologique, qui permettront lentement de recadrer l’éco-sphère de l’Internet vers une
option de service général dépassant une pratique mercantile. En effet, la convergence
de compétences humaines doit s’asseoir sur un socle de valeurs communes qui
se fondent sur une éthique et le respect fondamental des libertés individuelles.
Colonel (ER) Philippe Durand
Rédacteur en chef de la revue de la Gendarmerie nationale
1er trimestre 2021 Revue de la Gendarmerie Nationale 1

SOMMAIRE
NUMÉRO 268
EUROPE INTERNATIONAL
L’Europe de la cybersécurité au prisme de la souveraineté des flux
et de l’intégration 4
par Pierre Berthelet
Coopération Technologique Internationale : la nouvelle arme de la gendarmerie
scientifique et des cyber-gendarmes 14
par Thibaut Heckmann
Une souveraineté des écosystèmes numériques par la voie de l’identité 22
par Guy de Felcourt et André Viau
TERRITOIRES ET DÉMARCHE COLLABORATIVE

Dispositif national d’assistance aux victimes de cybermalveillance 32
par Jérôme Notin
Cybersécurité des territoires 40
par Olivier Kempf
Partenariats public-privé en cybersécurité 48
par Cyril Bras
Données et collectivités territoriales 54
par Jérôme Buzin
La réserve numérique 60
par Florence Esselin
DOSSIER
Hygiène des organisations et des systèmes 70
APPROCHE JUDICIAIRE
La loi : facteur de division ou de collaboration pour la cybersécurité
européenne et mondiale 176
par Cécile Doutriaux
Le US CLOUD-ACT vu de France : craintes légitimes ou peurs inutiles ? 198
par Emmanuelle Legrand
La règlementation de l’intelligence artificielle 210
par Sabine Marcellin
2 Revue de la Gendarmerie Nationale 1er trimestre 2021

DOSSIER
Hygiène des organisations

et des systèmes
Sécurité des données et transformation La CSPN, une certification en cybersécurité
numérique 71 que l’Europe nous envie 131
par Ludovic Petit par Gérard Peliks
SOC et IOC au travers de la Threat Blockchain, au service de la sécurité 137

Intelligence85 par Jacques Favier
par Matthieu Thuaire et Robert Breedstraet
De la genèse de la loi informatique et libertés
Des « faits alternatifs » à la « Deepfake reality », à l’éloge de la transdisciplinarité 143
vers la fin inéluctable de la vérité par Alice Louis
dans le cyberespace ? 95
L’ingénierie sociale et du rôle de l’utilisateur
par Franck Decloquement
en tant qu’acteur de la sécurité 149
Cybersécurité et protection des données : par Denise Gross
Pourquoi les entreprises sont-elles plus exposées
La part humaine déterminante face auxcrises
après la crise ? 105
majeures et son rôle dans la cybersécurité 155
par Marie de Friminville
par Daniel Guinier
Quelle cybersécurité face aux innovations
Expérience des Facteurs Humains
numériques ? 111
Organisationnels et culture de cybersécurité 163
par Myriam Quemener
par Joubert Marc-Xavier, Stéphane Deharvengt
Les IOT : l’internet des objets 115 et Robert Breedstraet
par François Bouchaud
Cybermenaces : la transition numérique

de la police 123
par Thomas Souvignet

INTERNATIONAL
© mixmagic - EU GDPR data bits and bytes wave ripples

CYBERSÉCURITÉ COLLABORATIVE :
DE LA SOUVERAINETÉ A L’INTÉGRATION
Cet article de chercheur esquisse les horizons de la construction d’une cybersécu-

rité européenne collaborative selon trois approches. La première décrit des États
qui rythment leur transposition nationale de la législation européenne, non sans
lourdeur et quelques divergences liées à l’expression de souverainetés numériques,
et qui freinent des progrès coordonnés au regard de contraintes géostratégiques
et de la nature des cybermenaces. L’imbrication des actions sous la forme
d’une gouvernance multiniveaux de réseaux et de capacités de recherche constitue
une seconde voie. Ces collaborations transnationales favorisent les partenariats
et la construction de projets européens et des réponses plurielles mais parfois
complexes à appréhender dans une stratégie globale. Enfin, une intégration
européenne par étapes, selon une approche néo-fonctionnaliste, reposerait
sur l’obtention d’une cybersécurité normative et serait l’incarnation d’une méthode
communautaire renouvelée. Sa conséquence directe serait un rapprochement
des législations nationales qui caractériserait un modèle européen de cybersécurité
collaborative dégageant un corpus juridique spécifique.

INTERNATIONAL
L’Europe de la cybersécurité
au prisme de la souveraineté, des flux
et de l’intégration
Par Pierre Berthelet
L’
L’objectif de cet article est de présenter
une lecture conceptuelle de la cybersé-
curité européenne voulue comme « col-
lective et collaborative ». Il est possible
un accord en vertu duquel ils considèrent
que la sécurité de l’un d’entre eux est
l’affaire de tous.
de dégager trois grilles de lecture dis- La deuxième lecture correspond à une

tinctes : une sécurité par « le bas » en sécurité « collective et collaborative » en
adoptant une approche par la souverai- réseau. Cette sécurité se présente comme
neté nationale, une sécurité transver- une « forme d’auto-organisation non
sale en privilégiant une approche par centralisée ».
les flux transnationaux et une imbrica-
tion des strates, enfin une sécurité par La troisième et dernière lecture insiste sur
« le haut » en optant le mouvement d’intégration que connait la
pour une approche cybersécurité européenne. Cette dernière
par l’intégration ne correspond pas à une sécurité sur-
européenne. plombant celle des États membres. Elle
est en revanche le fruit d’une construction
La première lecture progressive, expression de solidarités
PIERRE
correspond à une nationales toujours plus fortes.
BERTHELET sécurité « collective
Docteur en droit, et collaborative » sta- Une lecture sous l’angle
chercheur associé to-centrée. Les États de la souveraineté nationale
au CESICE
(Université de l’Union définissent La théorie intergouvernementaliste
de Grenoble). les contours de cette souligne la prééminence du rôle des États
Chercheur associé
au CREOGN sécurité en concluant dans le processus décisionnel européen.

INTERNATIONAL
L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION
(1) Hoffmann, S., Elle insiste sur leur poids en matière opérationnelle, il est possible
« Obstinate or
Obsolete? The Fate
dans ce processus d’évoquer le protocole de lutte contre les
of the Nation-State et souligne les obstacles menaces hybrides de 2016 (EU Playbook).
and the Case of
Western Europe », à l’intégration européenne Cet outil s’inscrit dans une logique
Daedalus, vol. 95,
n° 3, 1966, inhérents à la souveraine- intergouvernementale, une telle action
p. 862-915. té de chacun d’eux1. s’opérant à ce sujet en liaison avec
d’autres organisations internationales,
Une telle théorie, qui met en évidence en premier lieu l’OTAN. Il complète ainsi
l’importance pour les États de coopérer, d’autres structures telles que la cellule
s’applique à la cybersécurité européenne. de fusion de l’Union européenne contre les
La coopération européenne menée menaces hybrides et qui constitue le point
en matière de cybersécurité n’interdit focal pour l’évaluation de telles menaces.
pas des avancées dans la construction
européenne, bien au contraire. C’est le Les États rythment donc une collaboration
cas d’une plateforme en ligne restreinte qui rencontre un ensemble de limites.
entre la Commission et le Service euro- L’une d’entre elles a trait à la mise
péen pour l’action extérieure recensant les en œuvre effective de la législation
outils employés pour contrer les menaces en matière de cybercriminalité. L’Union
hybrides. C’est aussi celui du projet d’une s’est dotée d’un arsenal législatif consé-
unité conjointe de cybersécurité visant à quent mais le droit reste mal appliqué.
permettre une coordination opérationnelle (2) Saurugger, S., Il ressort de certaines ana-
F. Terpan.
englobant un mécanisme d’assistance « Resisting ‘New
lyses juridiques que cette
mutuelle en période de crise. Modes of Gover- réticence n’est pas une
nance’ through
Policy Instruments anormalité de l’exécution
», Comparative
La coopération opérationnelle se trouve European Politics, du droit, mais au contraire
au cœur de cette coordination qui se veut vol. 14, n° 1, 2016, une des conséquences
p. 53–70.
structurée. Ainsi, les États consentent directes du poids des
à l’élaboration d’un socle commun de États sur la mise en œuvre des normes
règles communes en matière de cyber- juridiques2.
sécurité pour les institutions et organes
de l’Union. Il s’agit de favoriser l’échange Une autre limite concerne l’élaboration par
sécurisé d’informations des infrastruc- l’Union de capacités propres. Ainsi en est-il
tures numériques de ces institutions et de l’Agence européenne de cybersécurité
organes de l’UE à partir d’une coopération (ENISA), qui ne constitue pas une agence
opérationnelle articulée autour de l’équipe disposant des capacités opérationnelles
d’intervention en cas d’urgence informa- similaires à celles des États membres,
tique (CERT UE). Parmi d’autres avancées telles que l’ANSSI en France. Un rapport

INTERNATIONAL
de l’Assemblée nationale secteurs critiques, il souligne que l’identifi-

(3) Assemblée
nationale, Rapport rappelle à cet égard que cation des OES demeure encore considé-
d’information
déposé par la l’ENISA constitue une rablement fragmentée dans l’ensemble de
commission des
affaires européennes
agence facilitatrice, mais l’Union. Ainsi, il existe une résistance
sur l’avenir de qu’elle n’est, en aucun étatique forte qui freine la construction
la cybersécurité
européenne, cas, un organe suprana- européenne. D’ailleurs, ce rapport ne
n° 2415 , déposé(e)
le jeudi 14
tional de cybersécurité promeut pas une révision de la directive,
novembre 2019. de l’Union3. mais seulement davantage de réunions
de groupes de travail et l’instauration
Selon la pensée intergouvernementaliste, de lignes directrices afin de faire converger
la structuration de la cybersécurité les approches nationales.
européenne dépend de la volonté des
États, en particulier en matière d’infrastruc- Une lecture sous l’angle des flux
tures critiques. Ceux-ci possèdent la liberté transnationaux
de renforcer leur collaboration certes, mais Pour une autre approche, cette grille de
aussi ils ont aussi la capacité de la limiter. lecture sous l’angle de rapport opposant
À cet égard, la structuration impliquant les les États soucieux de préserver leur sou-
« opérateurs d’importance vitales » (OIV), veraineté et l’Union n’est pas pertinente.
ou les opérateurs de services essentiels Suggérant une conception transversale
(OES) dans le jargon de la cybersécurité, elle part de l’idée qu’il
européen, constitue une existe une interpénétration des sphères
(4) Dunn-Cavelty,
M., « The socio- limite. Il s’agit d’un secteur conduisant à un brouillage des secteurs
political dimensions
of critical information
sensible au sein duquel les (public et privé) et des niveaux (national
infrastructure États membres demeurent et européen).
protection (CIIP) ».
International Journal en charge de la désigna-
of Critical Infrastruc-
tures, 1(2), 2005, tion et de la gestion La cybersécurité européenne se déploie
p. 258-268. de ces infrastructures4. sous forme d’interactions diverses. Les
(5) La directive Un rapport remis par la analyses de la gouvernance multi-niveaux,
(UE)2016/1148
du Parlement euro- Commission européenne (6) Hooghe, L.,
comme théorie alternative
péen et du Conseil
du 6juillet 2016
sur l’évaluation de la Marks, G., à l’intergouvernementa-
Multi-Level
concernant des directive SRI5 précise que Governance lisme, appréhende l’Union
mesures destinées
and European
à assurer un niveau si ce texte a enclenché un Integration, Lanham,
sous l’angle d’une
élevé commun de
sécurité des réseaux processus crucial d’aug- imbrication de différentes
Rowman & Littlefield
Publishers, coll.
et des systèmes mentation et d’améliora- strates6. La cybersécurité
Governance
d’information
in Europe Series,
dans l’Union1 tion des pratiques 2001. européenne, en tant que
(directiveSRI).
de gestion du risque « sécurité coopérative
des opérateurs dans les et collaborative », apparaît ainsi sous la

INTERNATIONAL
perspective d’une sécurité de nature Tous ces réseaux constituent

multi-niveaux. La création du Réseau des enceintes de dialogue et de réflexion
judiciaire européen anti-cybercriminalité, propices à l’adoption de normes
élaboré en 2016, apparaît comme techniques et de droit mou (soft law).
l’illustration de ce mouvement de réticulari-
sation à l’œuvre, à l’instar du Réseau L’action menée par l’Union concernant
de compétences en cybersécurité qui fait les infrastructures liées à la 5G est un autre
l’objet depuis 2019 d’une exemple. Cette action s’organise autour
(7) ttps://eur-lex.euro-
pa.eu/legal-content/ proposition de règlement d’une recommandation non contraignante
EN/HIS/?uri=CELE
X:52018PC0630&q en cours de discussion7. de la Commission européenne. Le constat
id=1537349553647&-
sortOrder=asc
Ce réseau, connecté au est un risque de perturbations systémiques
Centre européen de et généralisées de ces réseaux. Différentes
compétences industrielles, technologiques mesures ont été adoptées au sein de ce
et de recherche en matière de cybersécuri- cadre d’une gouvernance informelle, dans
té visera à assurer la mise en commun le contexte d’une « boîte à outils » relative à
et le partage des capacités de recherche la 5G. Elle incarne le caractère innovant des
ainsi que des résultats en matière instruments mis en place, souligné par les
de cybersécurité. tenants de la gouvernance multi-niveaux.
© Master 1305 - Adobe stock
La voie de programmes mobilisant des acteurs multidisciplinaires et provenant tant des puissances
étatiques que des groupes privés permet de fait la production d’une norme qui s’impose aux tenants
de thèses souverainistes.

INTERNATIONAL
Ces outils, fondés sur des dispositifs Dans le cadre de ce programme pour la
contraignants, promeuvent une approche recherche et l’innovation, les collaborations
horizontale visant à mettre en réseau des se forgent par l’encouragement et la
acteurs existants ; le but est de faciliter stimulation.
certains flux, en l’occurrence des données.
En effet, la cybersécurité européenne est
Le système d’alerte rapide de l’UE en vue comme une réponse collective et
matière de cybercriminalité est un exemple. plurielle impliquant toutes les composantes
Élaboré conjointement entre Europol de la société. Autrement dit, les procédés
et l’ENISA, il vise à permette une meilleure d’identification des menaces, autant que
circulation de l’information en cas d’aggra- ceux qui concernent la résilience et la
vation de la cybercriminalité, vue elle-même réaction, requièrent une action coordon-
comme un phénomène fluctuant, qu’il née et des acteurs diversifiés : institutions
importe de mesurer et d’endiguer. et agences de l’Union, États membres,
entreprises, milieux universitaires, associa-
Les programmes financiers européens tions et particuliers. Le futur plan d’action
constituent un levier de l’action publique en matière d’éducation numérique prévoit
de l’Union destiné à promouvoir la collabo- à cet égard, une série mesures destinées
ration d’acteurs pluriels (parties prenantes à renforcer les compétences informatiques
ou « stakeholders ») à l’élaboration des citoyens. Or, cet effort de formation
d’une cybersécurité européenne. s’appuie sur les divers niveaux d’action :
Ces programmes favorisent, au moyen institutions européennes, États membres
de la subvention publique, cet effet et société civile, en particulier le milieu
d’imbrication des différents niveaux associatif impliqué dans la sensibilisation
de prise de décision et associent de certaines catégories de la population
(8) Berthelet, P., étroitement les secteurs (enfants, demandeurs d’emploi, personnes
« La coopération privé et public. Ils ren- âgées, etc.).
public-privé
à l’échelle de l’UE. forcent les collaborations
L’émergence d’un (9) Coen, D., That-
«Etat régulateur» transnationales en dehors Les différentes structures
cher, M., « Network
européen en matière governance and
de cybersécurité »,
des canaux classiques de multi-level dele-et agences européennes
note du Centre coopération8. Le partena- gation: European sont donc impliquées
de recherche networks of regu-
de l’Ecole nationale riat public-privé européen dans le contexte de cette
latory agencies »,
de la Gendarmerie Journal of Public
(CREOGN), note sur la cybersécurité, lancé action coordonnée et
Policy, vol. 28, n° 1,
avril 2008, p. 49-71.
n° 29, décembre en 2016, sur la base multi-acteurs. Cependant,
2017.
des financements dans cette perspective multiniveaux, elles
du programme Horizon 2020, constituent des systèmes non-hiérar-
est une illustration de cet entrelacement. chiques de négociation et de régulation9.

INTERNATIONAL
C’est le cas d’Europol et de l’ENISA, l’intégration, même si sa structuration ne

qui ont vu chacune leurs compétences correspond pas à un saut qualitatif voulu
renforcées respectivement en 2017 par les partisans d’une Europe fédérale.
et en 2019. Enfin, cette mise en réseau Elle a trait davantage à un
(11) Lindberg, L. N.,
se traduit d’une part, par une multiplication Scheingold, S. A., processus incrémental
des acteurs qu’ils soient publics ou privés, Europe’s would- correspondant à l’ap-
be polity: Patterns
par exemple ceux du marché of change in the proche néo-fonctionna-
European Commu-
(10) Sterlini, P. de la cybersécurité, nity, Prentice Hall, liste. Selon les tenants
et al., Governance Englewood Cliffs,
Challenges for Euro-
représentés par l’organisa- 1970.
de cette théorie, l’Europe
pean CyberSecurity tion européenne pour la se construit par étapes11.
Policy: Stakeholders
Views, EU H2020- cybersécurité (ECSO),
SU-ICT-03-2018
Project No. 830929 et d’autre part, par une La cybersécurité européenne peut être lue
CyberSec4Europe, démultiplication des sous cet angle. D’abord, l’Union a dévelop-
Povo di Trento,
University of Trento, sphères de collaboration, pé un ensemble de mesures dans le cadre
2019.
avec, par exemple, du marché unique, qu’elle a étendues au
le groupe consultatif créé par l’Acte domaine numérique. La cybersécurité
de cybersécurité10. apparaît comme un complément à la
protection de ce marché, l’existence de
Ce foisonnement d’enceintes est l’expres- législations divergentes générant des
sion de cette configuration européenne décalages préjudiciables à son bon
multi-niveaux, fondée sur des interdépen- fonctionnement. De même, en matière de
dances toujours plus fortes en matière de répression pénale dans le cyberespace,
cybersécurité. La lecture néofonctionnaliste l’Union a pu étendre les mesures déjà
analyse aussi la construction européenne prises dans le contexte de l’espace de
sous l’angle des interdépendances, mais liberté, de sécurité et de justice, en
ses conclusions sont radicalement diffé- particulier les dispositifs de reconnaissance
rentes, conduisant à une grille de lecture mutuelle des décisions judiciaires natio-
distincte de la cybersécurité. nales. Là encore, une répression efficace et
uniforme dans le cyberespace apparaît
Une lecture sous l’angle comme une nécessité afin d’éviter que
de l’intégration européenne les cyberdélinquants ne
(12) Le spill-over trouvent refuge dans les
est la notion selon
L’élaboration d’un modèle européen laquelle l’intégration mondes numériques. Le
dans un certain
de cybersécurité domaine fonctionnel processus de spill-over12
La cybersécurité européenne, comme entraîne de facto s’opère du moment que
l’intégration dans les
sécurité « coopérative et collaborative », domaines connexes. l’Union ne conçoit plus la
peut enfin être analysée sous le prisme de cybersécurité comme une

INTERNATIONAL
annexe des politiques déjà en place, mais économiques. C’est le cas de la proposi-
comme une politique en soi. C’est ce tion de règlement relative à la prévention
qu’elle a fait en 2013 avec l’élaboration de la diffusion en ligne de contenus à
d’un agenda spécialisé. Force est de caractère terroriste qui impose un cadre
constater que par effet de « petit pas » mis contraignant à l’égard des opérateurs
en évidence par les privés.
(13) Kasper; A.;
Vernygora, V. A., analyses néofonctionna-
« Towards a ‘Cyber
Maastricht’: Two listes, l’Union développe Cela étant dit, il est inexact de réduire
Steps Forward, et structure son action l’Europe de la cybersécurité à sa seule
One Step Back »,
in Harwood, M., dans ce domaine13. En dimension normative. La construction
Moncada, S., Pace,
R. (dir.). The Future particulier, un rapport de la européenne porte également sur l’élabora-
of the European
Union: Demisting
Commission européenne, tion de capacités spécifiques, incarnation
the Debate, 2020, de 2017, révèle que la d’une méthode communautaire renouvelée.
p. 186−210.
directive dite « cyberat- À cet égard, l’Union se dote de capacités
taques », adoptée au moyen de la méthode de plus en plus conséquentes en matière
communautaire, a contribué à accomplir de lutte contre les cyberrisques et les
des progrès substantiels en matière de cybermenaces. De prime abord, la création
criminalisation des cyberattaques, à un de celles-ci s’opère à côté et en complé-
niveau comparable dans tous les États ment des capacités étatiques.
membres. L’élaboration d’un socle Pour autant, il est possible de considérer
commun de normes contraignantes, que ces capacités ne se limitent pas
adopté dans un contexte de prise de à des outils européens à la disposition
décision européenne qui ne relève pas, ou des acteurs nationaux.
plus, de la méthode intergouvernementale,
est l’illustration de cet effacement progres- (14) European
Ainsi, Europol se dote
sif des souverainetés. center crime depuis les années 2000
ou centre européen
de lutte contre lade structures dans ce
cybercriminalité.
La nouvelle stratégie, destinée à remplacer https://www. domaine, notamment
celle de 2017, va être adoptée dans les europol.europa. l’EC314 qui est l’unité
eu/about-europol/
mois à venir. Elle marque un nouveau stade european-cyber- anti-cybercriminalité ou
crime-centre-ec3
de cette Europe de la cybersécurité norma- plus récemment la
tive. La sédimentation des textes juridiques plateforme dite « NAI » visant notamment à
européens contribue à piéger les souve- aider les États membres, les agences
rainetés nationales, en créant progressive- européennes et les réseaux de profession-
ment un cadre de plus en plus élaboré nels, à partager les connaissances entre
et en limitant les marges de manœuvre les services répressifs dans l’ensemble de
des États membres et des acteurs l’UE sur les manières d’effectuer des

INTERNATIONAL
analyses criminelles. Ce renforcement Cette convergence de vues se combine

d’Europol s’opère dans le cadre d’un avec un rapprochement des législations
mouvement permettant à l’Union de se nationales aux fins d’établissement d’un
doter de capacités autonomes concourant modèle européen de sécurité. L’adoption
à façonner et préserver à un intérêt du Cybersecurity Act en 2019 établit à cet
supranational. Contrairement aux tenants égard un cadre européen de certification
de l’intergouvernementalisme pour qui la de cybersécurité, élément destiné à assurer
construction européenne se heurte à une la sécurité du marché unique numérique
forme de plafond de verre, les partisans du européen et à renforcer la compétitivité
néofonctionnalisme estiment quant à eux, de l’Union sur le marché mondial. Ce texte
que le plafond de verre se fissure progres- établit un nouveau cadre de certification
sivement. Le Procureur européen, opéra- de cybersécurité contribuant à une culture
tionnel en 2020, est, quant à lui, l’illustra- de la cybersécurité dès la conception.
tion archétypique de ce processus en
matière d’atteintes Il est possible d’évoquer également l’éta-
(15) Majone, G.,
« The new European aux intérêts financiers blissement en cours d’un instrument sur
agencies: regulation
by information ». de l’Union, qui englobe les preuves numériques (e-evidence) visant
Journal of European la lutte contre la criminalité à accélérer, grâce à une injonction judi-
Public Policy, vol. 4,
n° 2, 1997, numérique ayant trait ciaire européenne, le recueil des preuves
p. 262 -275.
à ce domaine15. détenues par des fournisseurs de services
sur le territoire de l’Union. Il importe enfin
Qui plus est, les travaux de ces agences, de mentionner le RGPD qui incarne à lui
en particulier ceux d’Europol, comme seul, les valeurs défendues par l’Union
le rapport sur l’état de la cybercriminalité en matière de protection de la vie privée.
en Europe (iOCTA), favorisent une conver- Or, ces textes réglementaires constituent
gence des vues sur les cybermenaces. un cadre normatif contraignant auquel
Dans le même registre, les efforts se les États membres doivent se plier. Ils
concentrent actuellement sur le développe- concourent à façonner un modèle original,
ment d’une conscience situationnelle. distinct des États membres et que l’Union
À cet effet, la Commission européenne et entend exporter. Ce cadre normatif, qui re-
le Service européen pour l’action extérieure pose sur un ensemble de valeurs, constitue
œuvrent conjointement sur l’intégration des les fondements de l’action de l’Union, qui,
flux d’information émanant des agences en tant que puissance normative, entend
européennes (Europol, ENISA, Frontex) promouvoir son modèle de cybersécurité
et des États membres, ainsi que d’agences sur la scène internationale.
de l’UE.

INTERNATIONAL
© Par beebright pour AdobeStock

L’AUTEUR
Diplômé de l’Université d’Oxford au RU
et de l’Université catholique de Louvain
en Belgique, Pierre BERTHELET est docteur
en droit et spécialisé en droit de l’UE.
Il est chercheur associé sur les questions
de droit & sécurité à l’Université de Grenoble
(CESICE), à l’Université d’Aix-Marseille
(CERIC) et auprès de la Gendarmerie
nationale (CREOGN).
Diplômé de l’Université de Cambridge
en anglais, il a fait un post-doctorat
en criminologie & relations internationales
à l’Université de Laval (Québec).
Ancien conseiller ministériel, il est l’auteur
de nombreux travaux universitaires,
dont plusieurs ouvrages. Il est intervenant
à la faculté de droit de l’Université
de Strasbourg et il l’a été pendant plusieurs
années auprès de l’École Nationale
d’Administration (ENA).

INTERNATIONAL
© Fotolia_123882025
LA COOPÉRATION INTERNATIONALE POUR ANTICIPER
L’ÉVOLUTION DE LA CYBERCRIMINALITÉ
L’évolution des menaces numériques et le chiffrement généralisé des données

impose aux forces de polices européennes de densifier leurs échanges techniques
et de mutualiser des moyens matériels. La création de plateformes
multidisciplinaires européennes contre les menaces criminelles facilite
des coopérations techniques en matière de cybermenaces. Dans ce fil, la création
de groupes de travail d’action contre la cybercriminalité, la mise en œuvre
ponctuelle de bureaux mobiles d’Europol ou la mobilisation de laboratoires
détenant des expertises spécifiques participent à cette démarche collaborative.
La Gendarmerie nationale a pris le parti de s’orienter vers une forte coopération
avec le monde universitaire et de construire un dispositif incitatif aux travaux
de recherches via des mesures d’accompagnement prenant en compte
des innovations de rupture. Elle participe, aux côtés d’industriels et d’universitaires,
à des programmes internationaux de financement de recherches orientées vers
les besoins des forces de l’ordre.

INTERNATIONAL
Coopération Technologique
Internationale (CTI): la nouvelle arme
de la gendarmerie scientifique
et des cyber-gendarmes
L
Par Thibaut Heckman
Les criminels suivent de très près l’évo- organisés et à la cybermenace, les

lution des technologies numériques forces de sécurité intérieure n’ont pas
et sont plus particulièrement attentifs d’autre choix que de multiplier les Coo-
aux technologies de chiffrement leur pérations Technologiques Internatio-
promettant une impunité totale (confi- nales (CTI) en s’ouvrant à de nouveaux
dentialité, authentification et intégri- partenariats et en développant des
té). Les supports de stockages sécuri- échanges techniques avec les forces
sés par mot de passe, les messageries de sécurité étrangères, les industriels
chiffrées (WhatsApp, Telegram, Signal) et les universitaires.
et les téléphones portables sur-sécuri-
sés sont systématiquement utilisés pour Ainsi, pour la gendarmerie scientifique
les communications et les cyber-gendarmes, la coopération
entre membres de technologique internationale se concré-
puissants réseaux tise principalement sous trois formes : les
criminels ou terro- échanges techniques et la mutualisation
ristes dans le cadre des moyens matériels avec les forces
de leurs diverses de police étrangères, la coopération
THIBAUT activités. Devant la technique avec le monde universitaire/
HECKMANN difficulté technique industriel international et la participation
Capitaine d’absorber les tech- à des programmes de recherche interna-
de Gendarmerie.
Docteur
nologies de chiffre- tionaux impliquant des acteurs similaires.
en Mathématiques ment de plus en plus Si la première forme de collaboration
de l’ENS-Paris.
Chargé de Projets
complexes et pour est active depuis de nombreuses années,
au CREOGN faire face aux crimes les deux dernières formes sont bien plus

INTERNATIONAL
COOPÉRATION TECHNOLOGIQUE INTERNATIONALE (CTI): LA NOUVELLE ARME DE LA GENDARMERIE
SCIENTIFIQUE ET DES CYBER-GENDARMES
récentes et immédiatement dépendantes

des difficultés techniques générées
par l’évolution des nouvelles technologies.
Les grandes organisations

internationales, un pilier solide
mais non suffisant de la chaîne
de coopération technique...
L’organisation internationale de police
criminelle (Interpol), dont le siège se trouve
à Lyon, a été créée en 1923 afin d’initier
et de faciliter la coopération policière inter
nationale (elle s’appelait
(1) Statut adopté
par l’Assemblée alors Commission
générale
de l’Organisation
internationale de police
en sa 25 session
e
criminelle1). L’idée de la
(Vienne–1956).
création d’Interpol est née
© Interpol
lors du premier Congrès de police judiciaire
internationale, qui s’est tenu du 14 au 20
avril 1914 à Monaco, et dont les confé- Affiche du Congrès de police judiciaire
international de 1914.
rences portaient notamment sur la
nécessité de réaliser des échanges
techniques en identification humaine difficultés techniques posées par la
(section sur l’anthropométrie préventive généralisation du chiffrement des données
internationale des conscrits dirigée par le dans les affaires criminelles, les forces de
célèbre policier français Alphonse Bertillon). police européennes avaient besoin d’une
force de frappe spécialisée afin de densifier
Interpol est forte aujourd’hui de 194 États les échanges techniques et les mutualisa-
membres. Chaque pays membre dispose tions de moyens matériels. C’est ainsi
d’un bureau central national, véritable qu’en 2013 a été créé le Centre européen
point d’entrée des demandes de coopé- de lutte contre la cybercriminalité (Euro-
ration policière, judiciaire et technique. La pean Cyber Crime Centre – EC32)
coopération scientifique entre forces de dirigé par EUROPOL sous
(2) Commission
police étrangères fait d’Interpol le véritable Européenne l’égide de l’Union Euro-
IP/12/37
précurseur de la CTI des forces de l’ordre. et MEMO/12/221,
péenne, dans le but de
Mais devant la montée croissante des Brussels, 28 Mars lutter plus efficacement
2012.
nouvelles menaces numériques et les contre la cybercriminalité.

INTERNATIONAL
L’EC3 soutient techniquement les services création des bureaux mobiles d’Europol
de police dans la lutte contre la criminalité dans le cadre d’opérations majeures et
organisée. Dans ce sens, plusieurs leviers enfin la création des journées d’actions
ont été mis en place par Europol pour communes (Joint Action Days).
contrer le crime numérique : une plate- Du point du vue de la criminalistique, la
forme multidisciplinaire européenne contre coopération européenne a été facilitée
les menaces criminelles via les pro- par la création en 1995 de l’ENFSI
grammes quadriennaux EMPACT (Euro- (European Network of Forensic Science
pean Multidisciplinary Platform Against Institutes3) qui regroupe
(3) Founding
Criminal Threats) véritables facilitateurs des Meeting on October les laboratoires de police
20, 1995 in Rijswijk
coopérations techniques en matière de (The Hague).
technique et scientifique
cybermenaces ; la création d’un groupe de de l’UE. Dix-sept groupes
travail conjoint d’action contre la cybercri- de travail ont été instaurés permettant aux
minalité (Joint Cybercrime Action Taskforce) experts internationaux d’échanger leurs
pour aider les enquêteurs nationaux; la résultats mais également de mutualiser

INTERNATIONAL
leurs moyens techniques et humains no (USA) en 2015, l’histoire retiendra

(stages, formations, conférences). Ainsi, les surtout la procédure judiciaire intentée
experts français de l’Institut par le FBI contre Apple pour contraindre
de Recherche Criminelle de la Gendarmerie l’entreprise à développer un logiciel
Nationale (IRCGN), acteur majeur permettant d’extraire et de déchiffrer
de l’ENFSI, intègrent l’ensemble de ces les données du téléphone portable
groupes. Ils ont ainsi vu les échanges du tueur. La procédure n’était pas allée
techniques et humains se multiplier ces à son terme puisque le FBI avait finalement
dernières années. Des ateliers techniques reçu une solution provenant de partenaires
et des conférences internationales universitaires (comme l’université de Cam
majeures sont organisés pour inciter bridge qui proposa une
(4) Skorobogatov,
à l’innovation comme par exemple Sergei. «The bumpy
technique publiée4) ou
la conférence de l’EAFS (European road towards iPhone d’autres entités privées
5c NAND mirroring.»
Academy of Forensic Science) qui est un arXiv preprint étrangères alors restées
arXiv:1609.04327
événement public triennal organisé (2016). anonymes. Le directeur
par l’ENFSI et permettant à l’ensemble du FBI indiqua en
de la communauté criminalistique conférence de presse avoir payé la solution
internationale de se réunir. plus d’un million d’euros. Le FBI qui était,
avant la tuerie de San Bernardino, opposé
Enfin, d’autres organismes européens à échanger techniquement (culture
comme le collège européen de police du secret et développement interne de ses
(CEPOL), ou le collège européen propres solutions) s’est alors ouvert
de sécurité et de défense (CESD), à la coopération technologique extérieure.
permettent des échanges européens Les mêmes questions se sont posées
et le perfectionnement des militaires au niveau des forces de sécurité intérieure
de la gendarmerie. La coopération françaises. La Gendarmerie nationale
scientifique internationale entre forces a alors pris le parti de se réorganiser
de l’ordre est également grandement et de s’orienter vers une forte coopération
favorisée par l’échange d’officiers avec le monde universitaire en participant
de liaison. à de nombreux projets de recherche
nationaux et européens. Elle a construit
La tuerie de San Bernardino, un dispositif incitatif afin d’encourager les
un tournant décisif dans la coopération gendarmes à réaliser des travaux
entre les forces de sécurité intérieure de recherches via des mesures d’accom-
et le monde universitaire dans l’échange pagnement innovantes (temps réservé
de techniques de déchiffrement à la rédaction, publications, conférences,
De l’enquête sur la tuerie de San Bernardi- dépôts des brevets industriels, thèses)
INTERNATIONAL
et en décidant de scolarités alternatives et des invitations aux évènements

à l’École de guerre pour ses futurs chefs scientifiques permettent aux personnels
(formations universitaires de hauts niveaux, de la gendarmerie et aux chercheurs
doctorat, Master of Business Administra- du monde entier de se rencontrer
tion, préparation d’Habilitations à Diriger et d’échanger autour de la recherche
des Recherches). En 2018, elle a créé et de l’innovation.
le programme « DISRUPT » pour soutenir
l’innovation de rupture via des thèses et Le financement de la recherche,
des études scientifiques autour du le nerf de la guerre…
numérique, du big data, de l’intelligence Comme dans toute structure, qu’elle
artificielle, de la robotique, de l’humain soit publique ou privée, la recherche et
augmenté et de l’identification humaine. le développement ont un coût important
Pour pérenniser et renforcer ce rapproche- qui constitue bien souvent une grosse
ment avec le monde universitaire, partie du budget de fonctionnement. Afin
elle a signé en 2019 un accord-cadre d’augmenter considérablement ce budget,
avec le CNRS ainsi qu’une convention la Gendarmerie nationale participe, aux
avec la Conférence des Présidents côtés d’industriels et d’universitaires, à des
d’Universités. programmes internationaux de financement
de recherches orientés vers les besoins
La gendarmerie accueille également des forces de l’ordre tels qu’Horizon 2020,
de nombreux étudiants du cursus Licence, OLAF, le Fonds de Sécurité Intérieure de
Master, Doctorat ou des grandes écoles l’Union Européenne. La gendarmerie est
d’ingénieurs (X, ENS, mines) leur permet- déjà présente dans bons nombres d’entre
tant de travailler sur des sujets d’intérêt eux (CERBERUS, EXFILES, Shuttle, OP-
pour l’Institution avec la perspective MoPS, ILEAnet, ...) et continuera à l’être
également de constituer un vivier de recru- dans les prochains programmes (Horizon
tement. La Gendarmerie nationale compte Europe). À compter de 2021, la Commis-
actuellement dans ses rangs près de 350 sion Européenne proposera un budget de
docteurs et doctorants, toutes disciplines 94 milliards d’euros pour Horizon Europe
confondues, et ce chiffre ne cesse en remplacement du programme Horizon
de croître chaque année. Le CREOGN 2020 (doté de 77 milliards d’euros).
(Centre de recherche de l’école
des officiers de la gendarmerie nationale) Les résultats prometteurs
a notamment pour mission de recenser, de la gendarmerie dans la Coopération
d’encourager et de valoriser les militaires Technologique Internationale
de la gendarmerie qui mènent des activités En France, la criminalité organisée
de recherche. Ainsi, un dialogue régulier est réprimée plus sévèrement. Cette

INTERNATIONAL
répression se retrouve à deux niveaux des résultats obtenus, en avril 2020,

sur le plan pénal : la circonstance aggra- il a été décidé, de créer une Équipe
vante de bande organisée (132-71 Commune d’Enquête (ECE) entre la France
du code pénal) et l’infraction d’association et les Pays-Bas, sous l’égide d’EUROJUST
de malfaiteurs (l’article 450-1 du Code avec le soutien d’EUROPOL. Au terme de
pénal). Du fait de cette répression, les cette opération, des centaines de criminels
réseaux criminels se sont protégés ont été interpellés dans toute l’Europe,
et se sont rapprochés des nouvelles 10 tonnes de cocaïne et 1 200 kg de crys-
technologies afin de laisser un minimum tal méthamphétamine ont été saisis, dix-
de traces, rendant difficile le travail de la neuf laboratoires clandestins de drogues
justice. Le stockage des données et les synthétiques démantelés et des projets
communications entre les membres d’assassinats stoppés.
des réseaux criminels se sont donc portés
naturellement vers les nouvelles techniques L’action de la gendarmerie scientifique
de chiffrement. L’une d’elles a fait la une et des cyber-gendarmes en coopération
des médias en juillet 2020. La société technique étroite avec les forces étrangères
Encrochat commercialisait des téléphones a permis de démanteler ce réseau
portables sécurisés à destination de grande envergure, avec des arrestations
de milliers de criminels (basés sur Android et des saisies records à la clé. Cette action
mais utilisant des surcouches logicielles illustre parfaitement les résultats directs
de chiffrement). La caméra, le micro de la Coopération Technologique Interna-
et le GPS étaient physiquement retirés tionale et elles seront très certainement
pour écarter tout risque d’interception encore plus nombreuses dans les années
et traçage par les forces de l’ordre. à venir.
Le réseaux Encrochat a été démantelé
en 2020 par la gendarmerie française dans
le cadre d’une coopération technologique
internationale exemplaire.
Début 2019, le projet de recherche euro-

péen CERBERUS, piloté par la Gendarme-
rie nationale et financé par les Fonds
de Sécurité Intérieure de l’Union
Européenne, permettait d’accélérer
les recherches de l’IRCGN et du centre
de lutte contre les criminalités numériques
(C3N) sur ces téléphones. Devant l’ampleur

INTERNATIONAL
Le projet CEBERUS, co-financé par le Fond de Sécurité Intérieure de la Commission Européenne, a pour
principal objectif la mise au clair de la donnée dans un contexte de lutte contre la criminalité organisée.
L’IRCGN (France) est porteur du projet, avec pour partenaires le NFI (Pays-Bas) et l’Irlande (UCD Dublin).
L’AUTEUR
Le capitaine Thibaut Heckmann est docteur
en mathématiques de l’École normale
supérieure de Paris et chercheur associé
à l’ENS depuis 2018. Ancien chercheur
associé à l’université de Londres
et à l’université de Cambridge, en 2017
et 2018, il a rejoint le CREOGN en août 2020.
Il a été de 2015 à 2020 expert à l’IRCGN
et a notamment dirigé l’unité d’expertise
extraction des données. Il a obtenu en 2018
le prix Européen Emerging Forencic Scientist
Award 2018-2021 de l’académie européenne
de police technique et scientifique (ENFSI)
et le Trophée de cybersécurité du Cercle K2
en 2020. Il est membre du comité
d’organisation de nombreuses conférences
internationales et projets européens.

INTERNATIONAL
© rolffimages - Fotolia
UN ÉCOSYSTÈME DE L’IDENTITÉ NUMÉRIQUE À CONSTRUIRE
Les autorités européennes et françaises ont perçu l’importance stratégique

de l’instauration d’identités numériques de confiance, à vocation sociale
et économique, au service des personnes physiques et morales.
L’identité numérique exige des garanties de sécurité, d’interopérabilité
et de maîtrise des données qui définissent la qualité de ce nouvel écosystème.
Cependant, il se pose la question de son organisation, de son infrastructure
et de sa gouvernance.
L’enjeu est de transformer progressivement les accès aux comptes
et les connexions propriétaires des services et plateformes logicielles ainsi que
les échanges sur les attributs d’identité et les conditions de leurs validations.
Il reste également à mettre en place une interopérabilité plus grande sur les plans
technique, juridique et organisationnel au travers d’une standardisation des
normes. La gouvernance touchera, outre une politique incitative, à l’éducation
des personnes physiques aux avantages qu’elles retireront de leur participation à
un écosystème présentant une liberté de choix, une garantie de sécurité
et un environnement juridique européen.

INTERNATIONAL
Une souveraineté
des écosystèmes numériques
par la voie de l’identité
Par Guy de Felcourt
A
A l’heure où nous vivons toujours
plus connectés à des plateformes logi-
cielles, les initiatives se multiplient pour
promouvoir des identités pivots
gouvernance des écosystèmes d’iden-
tités, avec comme enjeu les exercices
de souveraineté notamment en matière
juridique, financière et fiscale.
de vastes écosystèmes conciliant
ergonomie, sécurité, et interopérabilité. Dans l’histoire du numérique, il y aura sans
Les enjeux portent sur la réalisation de doute un avant et un après Coronavirus,
la société et l’intégration de l’économie tant la crise sanitaire a eu pour effet une
dans une dimension numérique perva- accélération de l’utilisation des plateformes
sive, mais aussi de savoir quelle sera numériques pour le travail et la vie
la souveraineté des États et de l’Union en société. Des milliards de personnes
Européenne sur les territoires numé- dans le monde ont dû changer leurs habi-
riques qui se dessinent ? Alors que tudes et vivre plus intensément leurs vies
les vingt premières économiques, professionnelles (avec
années du siècle le télétravail) et sociales à travers les inter-
ont vu des débats faces numériques. Nous pouvons même
animés sur la ques- affirmer que pour beaucoup l’écosystème
tion de l’émission numérique est devenu le principal visage
des identités numé- de la société et de l’économie.
riques régaliennes,
GUY DE FELCOURT les vingt prochaines Dans ce contexte, les autorités euro-
Consultant promettent d’être péennes et françaises ont semble-t-il perçu
spécialisé davantage centrées l’importance de renforcer leurs stratégies
Co-fondateurs
de l’ID Forum sur la question de la de mise en place d’identités numériques

INTERNATIONAL
UNE SOUVERAINETÉ DES ÉCOSYSTÈMES NUMÉRIQUES PAR LA VOIE DE L’IDENTITÉ
de confiance au service des personnes Enfin le troisième enjeu est celui de la

physiques et morales afin que celles-ci souveraineté tant nationale qu’européenne
puissent mieux exercer leurs missions dans dans un espace qui est appelé à devenir
le cadre de leurs différents rôles écono- progressivement avec la maturité des
miques et sociaux. Sur le plan européen, écosystèmes et le maillage des identités,
une nouvelle consultation a été lancée pour un véritable « territoire numérique ».
moderniser, élargir et rendre plus effectif
le règlement eIDAS1 Rechercher l’optimisation de l’ergono-
(1) https://www.ssi.
gouv.fr/administra- portant sur les services mie et de la sécurité :
tion/reglementation/
confiance-nu- de confiance numérique L’identité numérique, dans sa forme
merique/le-re- et l’interopérabilité la plus élémentaire, utilise quelques
glement-eidas/
referentiel-docu- des identités numériques données personnelles (qualifiées d’attributs
mentaire-lie-au-re-
glement-eidas/ reconnues officiellement de l’identité) dans une dimension à la fois
par les États membres. structurée et dynamique en fonction
En France, l’année 2021 devrait voir du contexte d’usage et en vue d’une
se concrétiser auprès du grand public finalité d’un accès à un service. Elle est
les actions de la mission Interministérielle susceptible d’utiliser des technologies
sur l’identité numérique, à commencer logicielles et matérielles diverses,
par l’arrivée de la nouvelle carte nationale y compris la biométrie et la cryptographie.
d’identité électronique (CNIE). Elle implique une dimension de confiance
qui exige des garanties dans les conditions
Pour mieux comprendre les actions en de sécurité, d’interopérabilité, ainsi que
cours, il convient de distinguer plusieurs de maitrise (au minimum de consentement)
types d’enjeux sur le déploiement des iden- sur les données utilisées.
tités numériques. Un premier niveau d’en-
jeu est l’émission d’identités numériques La recherche de l’identité numérique
de confiance utilisables par le grand public. est née non seulement du besoin d’une
C’est une réalité dans près de la moitié relation à distance qui puisse garantir
des pays d’Europe mais cela commence l’authenticité des parties qui interagissent,
à peine en France. Le deuxième enjeu, mais aussi d’un grand souci de simplifica-
plus ambitieux, se situe dans la capacité tion, puisque nous ne sommes
de fonctionnement d’une société obligée pas capables de gérer efficacement
de vivre dans l’espace numérique. Il s’agit les centaines de comptes numériques
alors d’organiser un écosystème d’identités que nous possédons.
numériques, avec son infrastructure,
son interopérabilité, sa gouvernance Les enjeux de fonctionnement de l’identité
et ses incitations pratiques et juridiques. numérique s’élargissent en pénétrant

INTERNATIONAL
aussi dans des environnements permettant d’attribuer à l’identité

physiques. Que nous soyons en présence produite, reconnue et utilisée un niveau
ou à distance, les étapes de l’identification de confiance. Le plus souvent les deux
et l’authentification portent davantage simultanément dans le cadre des usages
de flux. Il peut s’agir de transactions du secteur public.
d’achat, de paiement ou d’autres types
d’interactions comme l’accès à des infor- L’État émetteur d’identités
mations et des services personnalisés. Pendant les deux premières décennies
du XXIe siècle, l’axe privilégié du débat
Dans la vie physique, les automates sur l’identité numérique a été le rôle
et les objets connectés continuent à se de l’État en tant qu’émetteur d’identités.
substituer aux personnes. Pour obtenir Certains pays ont fait le choix d’un État
un ticket de transport, passer en caisse essentiellement contrôleur des identités
ou solliciter un service, l’identité numérique numériques émises par le secteur privé
est convoquée comme le Sésame (Royaume Uni, Suisse, ou en grande
de nos interactions avec les machines, parties des pays scandinaves privilégiant
afin de nous authentifier. des identités numériques bancaires),
d’autres ont privilégié une position, parfois
L’évolution va vers des solutions à la fois durant des années de quasi-monopole,
robustes, multi-usages et surtout d’émission des identités numériques
ergonomiques pour les utilisateurs. officielles (Allemagne, Estonie, Belgique).
Ce dernier point suppose de renforcer
constamment le confort, la rapidité et la En France, le rôle de l’État comme émet-
simplicité d’usage. C’est ainsi que nous teur d’une ou plusieurs solutions d’identités
assistons depuis quelques années à une numériques n’a jamais été mis en cause.
croissance des solutions combinant la Cela s’explique d’une part par la tradition
biométrie et l’usage du téléphone mobile de citoyenneté républicaine et le devoir
notamment. d’inclusion numérique et d’accès aux
services publics. D’autre part, le secteur
En termes de confiance et de sécurité, privé n’a pu ou su au cours des deux
tantôt on cherchera à garantir la chaîne premières décennies mettre en place
de confiance, dans la dérivation d’identité des solutions, faute d’usages, de modèle
permettant de remonter jusqu’à une iden- économique, d’ergonomie appétente
tité officielle et à travers elle des données pour les utilisateurs et de garantie
d’état civil, tantôt on visera à garantir de pérennité par l’État.
la sécurité des informations grâce a un
ensemble de conditions techniques Pour autant l’émission des identités

INTERNATIONAL
numériques par l’État Français dotées d’un des conditions sanitaires « obligé de vivre
niveau de confiance substantiel ou élevé va en ligne ». Lorsqu’un professeur d’école
tout juste commencer en 2021 avec la se plaint de messages perturbant les cours
nouvelle CNIE et/ou d’autres solutions en ligne émis sous des pseudonymes dont
(2) Alicem est
(Alicem2,..), c’est-à-dire on ne sait quel élève (ou si même s’il a
une application avec une vingtaine la qualité d’élève), ce n’est qu’un des
pour smartphone
développée par le d’années de retard sur les nombreux faits révélateurs du besoin
ministère
de l’Intérieur
premiers pays européens d’identité numérique afin de reproduire
et l’Agence comme la Finlande, la en ligne les conditions de protection
nationale des titres
sécurisés (ANTS) Belgique ou l’Estonie. de l’enfance promus dans une classe
qui permet à tout
particulier, qui avec des murs et une porte.
Il est vrai que pendant de
décide de l’utiliser,
de prouver son
nombreuses années la
identité sur Internet La gouvernance d’un écosystème
de manière
culture dominante a fait
sécurisée, à l’aide d’identités numériques
de son smartphone
de l’identité dans notre
et de son passeport
Nos identités numériques ont encore
ou de son titre pays non pas une valeur des progrès à faire pour nous permettre
de séjour.
positive d’insertion éco- des relations plus harmonieuses et respon-
nomique et sociale et d’accès aux droits, sables. La qualité de l’écosystème d’iden-
comme elle est présentée par les Nations tités numériques en termes d’ergonomie,
Unies, mais au contraire un instrument de d’interopérabilité et de sécurité
la vision post 68 d’une logique du « surveil- en représente une dimension fondamen-
ler et punir ». Dans un paradoxe comme tale. Si la discussion sur l’Etat émetteur
notre pays les aime, l’État « devait » faire d’identités numériques semble avoir baissé
mais « ne pouvait pas » faire. d’intensité, cela est une bonne chose afin
de pouvoir aborder une question bien plus
Cette situation est désormais derrière nous, critique à l’heure où l’intermédiation
car outre les garanties des grandes par l’identité devient un enjeu global,
législations européennes cette question est celle de l’organisation
gouv.fr/entreprise/ sur l’interopérabilité de l’écosystème des identités numériques,
reglementation/
confiance-numerique et la vie privée de son infrastructure et de sa gouvernance.
/le-reglement-eidas/
(Règlements eIDAS3
(4) https://www. (2014) et RGPD4(2018)) L’enjeu est important et vise à transformer
ssi.gouv.fr/
administration/ plus personne aujourd’hui progressivement les accès aux comptes
reglementation/rgpd-
renforcer-la-securite- ne peut contester et les connexions propriétaires des services
des-donnees-a- et plateformes logicielles ainsi que
caractere-personnel/
le besoin d’identités
numériques de confiance les échanges sur les attributs d’identité
alors que le monde entier est pour et les conditions de leurs validations.

INTERNATIONAL
Pour les grands opérateurs du numérique, De nombreuses obligations de conformité,

comme pour les acteurs privés, cet enjeu d’audit et de gestion des risques des
s’exprime avant tout en termes d’intermé- entreprises sont directement traduisibles
diation dans leurs activités économiques par les niveaux de confiance des identités
et commerciales. L’identité est devenue la alors pourquoi ne pas formuler
brique sans doute la plus essentielle dans ces exigences, ce qui simplifierait
la relation client et aussi le positionnement au passage aussi la gestion administrative.
des chaînes de valeurs sectorielles.
Il est temps de prendre de la mesure
Les premières réponses ont été apportées que l’organisation de la société numérique
avec la mise en place d’une interopérabilité passe par l’organisation d’un écosystème
plus grande sur les plans techniques, d’identités approprié.
juridiques et organisationnels.
Ces réponses se sont traduites par une Longtemps les États ont perçu surtout
progression de la standardisation l’enjeu défensif des identités numériques
des solutions d’identité. Les normes autour
et celui de la cybersécurité, notamment,
des identités numériques des personnes
puisque la qualité des enregistrements
permettent de construire de larges intero-
d’identités associée à la solidité des titres
pérabilités et de se substituer aux logiques
électroniques et des processus
de fédérations d’identité, souvent lourdes
d’authentifications permet de pallier
à administrer.
la plupart des risques. Puis est venu
le temps de la simplification administrative
Mais l’interopérabilité ne fait pas tout,
(dites-le nous une fois) et du bon fonction-
il faut pour gouverner ces écosystèmes
de manière adéquate, construire une poli- nement des administrations alliant déploie-
tique à la fois incitative et responsabilisante ment d’une confiance et d’une relation
vis-à-vis des acteurs sociaux et écono- personnalisée dans l’accès aux services.
miques. Il faut informer et parfois éduquer Ce fut le temps de la naissance de France
les personnes physiques sur les avantages Connect.
qu’elles peuvent retirer de leur participation
à un écosystème d’identités interopérables Aujourd’hui il s’agit d’aller bien plus loin
avec des garanties en termes de liberté car la gouvernance d’un écosystème
de choix, de sécurité, de validité juridique d’identités numériques devient une ques-
effective et de maitrise des données tion prioritaire de souveraineté vis-à-vis
personnelles. Vis-à-vis des entreprises d’un nombre croissant d’échanges
et des administrations, il faut développer économiques, administratifs et sociétaux
une politique incitative et responsabilisante. réalisés en ligne.

INTERNATIONAL
Sur les dix dernières années, le temps Nous pouvons crier à l’injustice juridique
moyen d’exposition aux écrans n’a cessé et fiscale du numérique et tenter
de progresser. En 2020 pendant les mois de réclamer aux États-Unis et à la Chine
du confinement, il a explosé atteignant la promulgation de nouvelles règles.
selon les sources entre 9h et 13 heures Cependant, nous serions sans doute bien
par jour. Télétravail, relations sociales inspirés aussi d’agir en construisant
et loisirs numériques ont tous contribué un écosystème d’identités numériques
à ce changement. Même si nous avons qui permettra de porter demain les règles
rééquilibré cette tendance depuis, juridiques et fiscales vers un territoire
nous sommes devenus de fait des citoyens numérique national et d’apporter
numériques. une effectivité plus forte à nos règles
de droit et de fiscalité.
Une souveraineté à construire
sur des « territoires numériques » Cela est-il possible ? En commençant
Un écosystème d’identités peut permettre notre révolution culturelle pour percevoir
de structurer en cohérence les approches que notre territoire n’est plus seulement
de demain pour la santé, la monnaie physique. Le territoire sent d’ailleurs de
numérique, le droit exerçable dans moins en moins le « terroir » aussi regret-
les relations des parties qui l’utilisent. table que ce soit. Jean Bodin, au XVIe
On peut estimer raisonnablement siècle, puis l’époque Westphalienne avaient
que grâce à lui, il existe la possibilité déjà privilégié une approche juridictionnelle
d’une nouvelle territorialité numérique. de la souveraineté.
D’ailleurs cela tend à se manifester déjà
aujourd’hui sous de nombreuses formes.
Par exemple, quand le gouvernement
britannique défend la prééminence
du serveur et du réseau dans une affaire
judiciaire , il ne fait que reconnaitre l’exis-
tence et la prééminence de cette nouvelle
forme de territorialité numérique. Il en est
de même pour plusieurs des pratiques
internationales souvent qualifiées
d’extraterritoriales et qui en fait prennent en
compte de nouveaux faits de rattachement
des personnes à des territoires nationaux
numériques et financiers mais non géogra-
phiques.

INTERNATIONAL
Photo libre de droit : La signature du traité de Munster en 1648 par le peintre néerlandais
Gerard ter Borch (Rijks Museum Amsterdam).
La paix de Westphalie marque la consécration de la souveraineté des nations. Près de 400 ans plus tard
les nations européennes arriveront elles à organiser leur « territoire numérique » et à y asseoir
leur souveraineté ?

INTERNATIONAL
Plus récemment l’écrivain américain

Charles Maier a qualifié le territoire
d’espace de décision politique,
d’activités, d’identités et d’appartenance.
La supposée indépendance de l’Internet
et du cyberespace rendue célèbre
par la proclamation de Perry Barlow
dans les années 1990 a vécu. L’espace
numérique n’est pas un espace neutre,
en tout cas moins que les océans, l’espace
sidéral ou les pôles géographiques.
Le territoire numérique a ses infrastructures
propres : serveurs, réseaux, espaces
de stockage, satellites, etc.
Son architecture, même si elle comporte
plusieurs couches applicatives,
tend à démontrer que les comptes,
les identités ou les données structurées
ont un rôle essentiel car ils peuvent donner
une organisation à ce territoire ou du moins
une effectivité, et demain leur dimension
la plus importante : la « vitalité ».
Le défi est important, l’Europe et la France

s’y attellent mais nous devons les encou-
rager afin de ne pas désespérer d’une
souveraineté numérique qui puisse donner
plus de satisfaction aux citoyens,
aux organisations et aux États. Quelle
satisfaction demain grâce aux territoires
et aux identités numériques de pouvoir
exercer notre citoyenneté nationale pleine-
ment et ceci partout dans le monde !

INTERNATIONAL
L’AUTEUR ID-FORUM
Après une carrière dans la monétique Premier évènement en France consacré
et les services d’assistance, Guy de Felcourt spécifiquement au développement
est devenu depuis 2015 consultant de l’identité numérique, il réunit les acteurs
spécialisé sur les questions de société privés et publics afin de débattre les enjeux
et d’identité numérique. Il intervient politiques, stratégiques, économiques
sur la conception et la stratégie des et opérationnels de l’identité numérique
programmes d’identités tant pour des en Europe et en France.
gouvernements que des entreprises. Plus d’informations sur https://id-forum.eu/
Il est un des co-fondateurs de l’ID Forum
aux côtés du Général d’armées (2S)
Watin-Augouard et du Préfet André Viau.
Il est l’auteur d’un livre sur l’usurpation
d’identité (CNRS) et enseigne l’identité
numérique dans certaines universités.

TERRITOIRES
ET DÉMARCHE COLLABORATIVE
© ACYMA
UNE DÉMARCHE COLLABORATIVE AU PROFIT DES VICTIMES
Le dispositif national d’assistance aux victimes : Cybermalveillance.gouv.fr reflète

une démarche collaborative fédérant des acteurs publics et privés : particuliers,
entreprises, collectivités et associations.
Le dispositif a une capacité à accompagner la victime dans sa démarche
judiciaire et à l’orienter vers des experts pour gérer une crise. Le dispositif a lancé
un label, élaboré en partenariat avec l’AFNOR et les associations professionnelles,
qui signale la fiabilité et les compétences de prestataires spécialisés en matière
de cybersécurité.
Une de ses spécificités est de savoir identifier des phénomènes à partir
d’événements discrets et épars et de les assembler pour mettre en évidence
une stratégie d’attaque sérielle et d’un volume important.
Sa force est également d’être un outil de prévention en donnant l’accès
aux documents recensant les bonnes pratiques. Il joue un rôle majeur
en concentrant des expertises, en assistant les structures en difficultés,
répondant ainsi à la mission d’intérêt public que lui a assigné L’État.

Cybermalveillance.gouv.fr :
au cœur de la cybersécurité collective
et collaborative
Par Jérôme Notin
L
Lancé en octobre 2017, le dispositif
national d’assistance aux victimes
cybermalveillance.gouv.fr, piloté
par le Groupement d’Intérêt Public
numériques, fournisseurs de solutions ».
Notre collectif était né.
ACYMA, est par essence une démarche Rappel sur l’organisation

collective et collaborative qui fédère Cybermalveillance.gouv.fr a trois missions :
des acteurs publics et privés pour - la sensibilisation et la prévention par
une meilleure cybersécurité. la diffusion de bonnes pratiques
en cybersécurité et la diffusion d’alertes
La stratégie nationale pour la sécurité contextualisées ;
du numérique, qui appelait à la création du - l’assistance aux victimes par une aide
dispositif d’assistance au diagnostic du problème, des conseils
aux victimes d’actes simples et adaptés, une orientation
de cybermalveillance, vers les services compétents, voire vers
indiquait dès 2015 : des prestataires spécialisés de proximité
« Le dispositif adoptera en capacité de les assister ;
une forme juridique - l’observation de la menace afin de
et une organisation lui détecter les phénomènes émergents
JÉRÔME NOTIN
permettant de béné- pour pouvoir les anticiper et y répondre.
Directeur général ficier de l’apport des
du GIP ACYMA
Chef d’escadron acteurs économiques Les publics du dispositif sont les particu-
de la réserve du secteur de la cyber- liers, les entreprises, les collectivités
citoyenne
cyberdéfense sécurité - éditeurs de et les associations, hors opérateurs d’im-
de la gendarmerie logiciels, plateformes portance vitale et de services essentiels.

CYBERMALVEILLANCE.GOUV.FR : AU CŒUR DE LA CYBERSÉCURITÉ COLLECTIVE ET COLLABORATIVE
Le choix du vecteur administratif retenu publics de la cybermalveillance pour des

a été de créer un groupement d’intérêt victimes qui n’envisagent pas toujours
public (GIP), le GIP ACYMA. Ce partenariat en première intention de déposer
public-privé rassemble les acteurs plainte parce qu’elles n’ont pas conscience
de l’État et de la société civile engagés que leur incident pourrait faire l’objet
dans sa mission d’intérêt public de lutte de poursuites, qu’elles pensent que
contre la cybermalveillance, qui travaillent les poursuites dans la sphère cyber
de manière collaborative au quotidien. ont peu de chance d’aboutir ou enfin
qu’elles ont honte et craignent pour leur
Parmi les membres du GIP, on peut ainsi image. Le dispositif intervient notamment
citer l’ANSSI, qui relève des services du en incitant systématiquement la victime
Premier ministre et le ministère de l’Intérieur au dépôt de plainte chaque fois qu’une
qui ont co-piloté sa conception, ainsi que infraction peut être retenue, mais aussi
le ministère de la Justice, le ministère de en l’aidant dans sa démarche au travers
l’Économie et des Finances et le secrétariat des conseils élaborés en collaboration
d’État en charge du numérique. étroite avec le ministère de l’Intérieur.
À leurs côtés travaillent de nombreux
acteurs de la société civile comme des Une des forces du dispositif est donc
associations de consommateurs et d’aide sa capacité à identifier des phénomènes
aux victimes, des représentations profes- à partir d’événements qui, parfois pris
sionnelles de type fédérations ou syndicats, séparément, peuvent être considérés
des assureurs, des opérateurs, comme marginaux mais dont le rassemble-
des constructeurs, des éditeurs… ment met en évidence leur caractère sériel
Fin 2020, le groupement d’intérêt public voire massif. C’est ainsi que le dispositif
est fort de 47 membres. Outre leur soutien a pu contribuer dès ses premiers mois
financier, ces membres renforcent de fonctionnement à l’identification
et démultiplient les actions du dispositif du phénomène cybercriminel de masse
en participant à des groupes de travail qu’est « l’arnaque au faux support
pilotés par les agents du GIP. technique ». L’identification de l’ampleur
de cette catégorie d’escroquerie a pu être
Un capteur en temps réel réalisée en grande partie grâce
de la cybermalveillance aux rapports techniques d’intervention
Une originalité du dispositif est qu’il sur le terrain qui lui sont remontés par ses
intervient généralement en amont des prestataires référencés. Dans la grande
autres services de l’État lorsque la victime majorité des cas, si les victimes avaient
rencontre un incident. Il est en cela un bien eu l’impression à un moment ou
capteur très intéressant pour les pouvoirs un autre de s’être faites arnaquer,

elles n’envisageaient généralement 28 000 concitoyens transmettent alors

pas pour autant de déposer plainte, les éléments. Grâce aux informations col-
pour les raisons évoquées précédemment. lectées, les services d’enquête identifient
deux personnes. Elles sont interpellées
L’identification de ce phénomène cyber- en septembre, puis en décembre 2019.
criminel et les échanges opérationnels qui
ont pu être conduits avec les services des Cette possibilité d’identification des
ministères de l’Intérieur et de la Justice menaces au plus près de leur apparition
ont conduit à l’ouverture d’une enquête par permet également au dispositif d’alerter
la section de lutte contre la cybercriminalité les populations sur son site Internet
du parquet de Paris, en mars 2018. et/ou ses réseaux sociaux (Twitter, Face-
Cette enquête, confiée au centre de lutte book, LinkedIn). Grâce à l’appui de
contre les criminalités numériques (C3N) ses membres, plusieurs alertes émises
du pôle judiciaire de la Gendarmerie natio- par le dispositif ont été largement reprises
nale, a conduit à l’interpellation par les médias grands publics (Presse,
et la mise en examen de trois individus émissions et journaux télévisés de grand
ayant fait près de 8 000 victimes et la saisie audience comme des 20h00), démultipliant
de près de 2 millions d’euros début 2019. ainsi les capacités d’atteindre le plus
D’autres enquêtes sur ce phénomène, grand nombre de victimes potentielles.
qui perdure et fait encore quotidiennement
de nombreuses victimes, sont aujourd’hui Un outil de sensibilisation
toujours en cours. La sensibilisation reste la meilleure arme
pour éviter les cyberattaques. Cette sensi-
Le début 2019 a également vu l’amplifica- bilisation aux cybermenaces et aux bonnes
tion des campagnes de « crypto-porno » pratiques à adopter pour les détecter
(chantage à la webcam prétendue et les éviter est donc primordiale.
piratée) et, par conséquent, du nombre En effet, ce sont les utilisateurs qui par
de victimes. Ce phénomène est rapidement leurs pratiques et leur vigilance pourront
identifié par le dispositif et les magistrats être les premiers remparts de la cybersé-
spécialisés du pôle cybercriminalité. curité. Ils doivent être considérés comme
Ces magistrats élaborent aussitôt un modèle des acteurs à part entière. Or, cela reste
de lettre plainte électronique en collaboration souvent un exercice difficile, car les sujets
avec la SDLC. Cybermalveillance.gouv.fr de sécurité numérique sont généralement
a mis à disposition le document sur sa plate- ressentis comme rébarbatifs et sources
forme, permettant aux victimes de formaliser de contraintes pour les utilisateurs.
leur plainte et de partager des données
techniques avec les enquêteurs.

© ACYMA
© Acyma – Gendarmerie
C’est en partant de ce constat, issu des travaux
conduits avec ses membres, que le dispositif
a réalisé en 2018 le premier volet de son kit de
sensibilisation, le plus facile d’accès possible.
Le kit complet a été

Au titre de la prévention et de la sensibilisation,
(1) Etalab est finalisé en juin 2019. on peut également citer la campagne partenariale
un département
de la direction Il peut être téléchargé avec la Gendarmerie nationale, sur une initiative
interministérielle du du GGD88, avec la diffusion de bonnes pratiques
numérique (DINUM), gratuitement. Il comprend
dont les missions sur des supports du quotidien : 800 000
et l’organisation
différents types fourreaux à pain ont été distribués par huit
sont fixées par de supports (courtes groupements : dispositif R-Mess, Prix de la
le décret
vidéos, infographies, Prévention 2019 de la Gendarmerie nationale.
du 30 Octobre
2019. Il coordonne
notamment fiches pratiques, mémo...).
la conception Il vise les usages person- meçonnage (phishing) dans ses usages
et la mise en œuvre
de la stratégie nels de manière pédago- personnels, elle saura également
de l’État dans
le domaine gique et illustrée, le faire dans ses usages professionnels.
de la donnée.
Il coordonne
sur des sujets qui peuvent Un choix fort a été de le publier sous
les actions des également intéresser licence Etalab 2.01, qui permet à toute
administrations de
l’Etat et leur apporte l’entreprise dans ses entité de le modifier, et donc d’ajouter ou
son appui pour
faciliter la diffusion pratiques professionnels. supprimer du contenu. Beaucoup de struc-
et la réutilisation de Par exemple, si une tures ont par exemple simplement ajouté le
leurs informations
publiques. personne sait détecter et logo de leur entité afin que l’adhésion des
réagir à un message d’ha- collaborateurs soit encore plus forte.

La période Covid-19 ExpertCyber auprès des prestataires,

Comme lors de toute crise, les cybercrimi- initié en 2019. Ce label, élaboré en par-
nels savent très vite s’adapter pour en tirer
profit. Le GIP a donc rapidement proposé
un contenu de prévention spécifique.
Dès la veille du confinement, nous avons
publié sur notre site un appel au renforce-
ment de la vigilance en termes de sécurité
en présageant d’un certain nombre de me-
naces que la situation pourrait engendrer,
© ACYMA
tant pour les particuliers que pour les pro-
fessionnels. Force a été malheureusement
de constater que nos prévisions se sont
avérées exactes. Cet article a d’ailleurs
battu un record de consultation sur notre tenariat avec l’AFNOR et les associations
site en quelques semaines. professionnelles vise à apporter un niveau
de reconnaissance des compétences des
Dans les premiers jours du confinement, prestataires spécialisées en cybersécurité.
une autre production majeure a été diffusée
sur le télétravail en situation de crise Le GIP a également conçu une campagne
proposant des recommandations de cyber- télévisée de spots de sensibilisation grand
sécurité pour répondre au besoin tant des public, réalisée en partenariat avec France
employeurs que de leurs collaborateurs. Télévisions et diffusée en mai et juin sur ses
chaînes ainsi que sur celles des groupes
La plate-forme a ainsi fonctionné à plein TF1 et Canal+. Les quatre clips de 30
régime avec un taux de fréquentation qui a secondes ont été réalisés en moins de trois
augmenté de 400 % durant les premières semaines.
semaines du confinement. Elle a dans
le même temps continué à recevoir Enfin, au regard du besoin lié au confine-
des mises à jour régulières de fonctionna- ment, une intégration d’un lien vers la bri-
lités et de contenus. Côté assistance aux gade numérique de la Gendarmerie natio-
victimes et relations avec les professionnels nale a été réalisée dans les espaces privés
référencés, la réactivité a été assurée. des professionnels et depuis l’apparition de
certaines cybermalveillances les concer-
A noter que le dispositif a finalisé trois nant. Les victimes peuvent désormais avoir
projets structurants durant cette période. directement une l’assistance pour déposer
Le premier est le lancement de son label une plainte lorsqu’une cybermalveillance

cible leur entité. Projet initié en janvier 2020 ou réunis au sein de groupes de travail.
avec la Gendarmerie, il a été jugé utile de
le rendre accessible au plus vite du fait des Pour faire face à la problématique
contraintes du confinement et de l’aug- de la cybermalveillance, une démarche
mentation de la menace. collaborative et collective avec tous
les acteurs impliqués est indispensable, car
Tout ceci en parallèle du travail de fond il serait évidemment illusoire de penser
réalisé par le dispositif. que l’on puisse vaincre seul ce fléau.
Qu’il s’agisse des pouvoirs publics,
Et demain ? des acteurs de la société civile ou même
L’avenir du GIP s’annonce toujours plus du simple citoyen, chacun peut avoir un
collectif et productif, du fait du renforce- rôle à jouer et une contribution à apporter
ment de son équipe avec l’arrivée en fonction de ses prérogatives et moyens
de 3 nouveaux agents mis à disposition dans la prévention et l’assistance
par le ministère de l’Intérieur et par aux victimes de la cybermalveillance.
l’intégration de nouveaux membres au sein A ce titre, le dispositif Cybermalveillance.
du GIP, comme le ministère des Armées. gouv.fr joue un rôle majeur en concentrant
et fédérant les énergies et bonnes
L’année 2021 sera également marquée volontés pour en amplifier les effets
par le lancement au FIC du label au service de la mission d’intérêt public
ExpertCyber. Ce label a vocation à appor- qui lui a été assignée par L’État.
ter une reconnaissance des compétences
des professionnels de la cybersécurité
et garantir un accompagnement de qualité
ainsi qu’une meilleure lisibilité des
prestations et services aux publics
professionnels (entreprises, associations,
collectivités).
Plusieurs nouveaux supports de sensibilisa-

tion aux bonnes pratiques de la cybersécu-
rité et d’assistance face aux cybermenaces
en cours de finalisation seront également
publiés dans les prochains mois.
Enfin, de nombreux projets sont

en gestation avec nos membres en bilatéral

L’AUTEUR
Impliqué dans la sécurité numérique
depuis de nombreuses années,
Jérôme Notin dispose d’expériences
dans la création et la direction d’entreprises.
Il a rejoint l’ANSSI en mai 2016 en qualité
de préfigurateur du dispositif
et a été nommé, en mars 2017,
directeur général du GIP ACYMA lors de sa
création. Il est par ailleurs ancien gendarme
auxiliaire (94/10 PSIG de Blois) et réserviste
citoyen de défense et de sécurité
de la Gendarmerie nationale.

TERRITOIRES
© ACYMA
UNE CONVERGENCE D’INTÉRETS POUR UNE CYBERSÉCURITÉ
DE TERRITOIRES NUMÉRIQUES
Les territoires d’influence diffèrent des limites administratives : bassins d’emplois,

agglomérations, réseaux de communication, etc. Un territoire est constitué
d’acteurs à l’activité imbriquée, porteurs d’intérêts communs ou divergents.
Maint d’entre eux : établissements, PME et PMI et indépendants, gèrent des don-
nées sensibles et ne perçoivent pas qu’ils constituent des cibles privilégiées.
Une mobilisation pour asseoir une cybersécurité ne peut que reposer sur un mode
collaboratif. Elle doit fédérer tous les acteurs, responsables territoriaux
(maires, présidents d’intercommunalités, préfets, Gendarmerie nationale)
ou de secteurs économiques (associations professionnelles, dirigeants
d’entreprises, syndicats mixtes spécialisés,…). Le cyberespace permet
une convergence objective : des acteurs, aux intérêts hétérogènes, peuvent
se rassembler sur un projet pour produire une action numérique, multimodale selon
leurs besoins, et co-produire une architecture de cybersécurité.
Il se pose, en conséquence, la question du niveau territorial efficient et d’un seuil
critique de ressources humaine et financière permettant de se doter des structures
et des compétences propres à instaurer une sûreté des systèmes d’information.

Cybersécurité collaborative
des territoires
Par Olivier Kempf
L
La cybersécurité collaborative
est à l’ordre du jour. Pourtant, elle est
aujourd’hui surtout une préoccupation
des grandes structures, publiques
cybersécurité et la résilience des
territoires1 (INCRT) : aller écouter les
(1) https://www.
cyberterritoires.fr/
besoins et tenter
de trouver les réponses
ou privées, qui cherchent une approche adaptées et concrètes à chaque
à 360 degrés de leur cybersécurité. situation.
Or, les territoires ont aussi besoin
de cybersécurité et force est de La Cybersécurité collaborative,
constater qu’ils sont loin de pouvoir préoccupation des grosses structures
mettre en œuvre des politiques de Il n’existe à vrai dire pas de définition
sécurité des systèmes d’informations. agréée de la cybersécurité collaborative.
Pourtant ils sont autant victimes que Constatons tout d’abord que nombre
d’autres et leur situation nécessite de pratiques du cyberespace sont fondées
également une sur des méthodes collaboratives, permises
approche d’ailleurs par des outils mis à la disposition
multi-acteurs. de tous : ainsi, Wikipedia (comme tous
En conséquence les processus Wiki) part de la contribution
la cybersécurité des de beaucoup pour fonder, petit à petit,
territoires ne pourra un corpus encyclopédique désormais
être que collabora- reconnu, malgré les quelques critiques
OLIVIER KEMPF tive. C’est le cœur qu’il peut encore susciter.
Docteur en science du programme du
politique
Vice-président nouvel Institut De même, le phénomène des logiciels
de l’INCRT national de la en source ouverte (open source) part

CYBERSÉCURITÉ COLLABORATIVE DES TERRITOIRES
du principe que tout un qui vient à l’esprit est celui des Anony-
(2) http://www.
senat.fr/es- chacun peut contribuer mous. Même s’ils ont perdu un peu de
pace_presse/
actualites/201606/ à l’élaboration puis relief ces dernières années, ils s’assem-
quelle_supervision_
internationale_de_li-
l’amélioration du code blaient pour une cause qui leur semblait
cann.html logiciel mis à disposition juste et visaient une cible de façon à lui
(3) https://www. (gratuitement) du public. faire corriger son comportement.
diplomatie.gouv.fr/fr/
politique-etrangere-
En termes de sécurité,
de-la-france/diplo- d’aucuns pensent De même, on pourrait parler d’insécurité
matie-numerique/
les-domaines-d-ac- d’ailleurs que cette collaborative en pensant aux groupes de
tion-de-la-di-
plomatie-nume- ouverture du code, pirates qui s’assemblent pour augmenter
rique-francaise/
garantir-la-secu-
en évitant structurellement leurs chances d’atteindre leurs cibles.
rite-internatio- les portes dérobées Les dénis de service distribué (DDOS)
nale-du-cybe-
respace-a-tra- et autres failles cachées, constituent eux aussi des processus
vers-le-renforce-
ment-de/article/
permet donc une meilleure collaboratifs, puisque l’agresseur mobilise
cybersecurite-appel- sécurité. Enfin, en termes de nombreuses machines pour faire
de-paris-du-12-no-
vembre-2018-pour- de gouvernance du converger des requêtes sur la cible.
la-confiance-et-la
cyberespace, beaucoup De même, une des sources importantes
ont reproché la mainmise d’insécurité vient de la mobilisation
des grands Etats ou des grands acteurs de machines utilisées à distance (sans la
de l’Internet. Ainsi, la notion d’approche (4) Le minage connaissance de leur
c’est le procédé
« multi-acteurs » a été promue il y a par lequel les tran-
propriétaire) afin de miner4
quelques années lors des débats sactions Bitcoin sont du bitcoin. Il y a ainsi
sécurisées. A cette
sur la gouvernance de l’ICANN2. fin, les « mineurs » de multiples façons
effectuent avec leur
Une telle approche a d’ailleurs été reprise matériel informa- de faire travailler des
récemment lors de l’appel de Paris3. tique des calculs
mathématiques pour
ordinateurs ensemble
le réseau Bitcoin. pour réaliser des actions
Comme récom-
Cette diversité d’exemples montre que pense pour leurs illégales et construire
services, ils col-
le monde numérique connaît, depuis long- lectent les bitcoins
une cyberinsécurité
temps, les méthodes collaboratives. Elles nouvellement créés collaborative.
ainsi que les frais
existent également dans le domaine spéci- des transactions
qu’ils confirment.
fique de la cybersécurité. Le cyberespace À l’inverse, des hackers
permet tout d’abord des phénomènes blancs peuvent contribuer à la cybersécuri-
de coalescence : divers acteurs, à l’origine té coopérative au moyen des systèmes
ayant des intérêts divergents, se ras- de Bug Bounty, qui permettent à des
semblent sur tel ou tel projet pour produire individus de tester les failles de telle ou telle
une action numérique, positive ou négative société qui le demande, avec récompense
selon leur mobile. Le premier exemple à la clef. Cette diversité constitue un atout

qui vient compléter les processus plus Les territoires ont un grand besoin
usuels de sécurité intégrée (Security de cybersécurité
by design et Devsecops) ou l’utilisation Il reste que cette approche s’intéresse
de sociétés d’audit qui font des tests dans les faits aux grands organismes :
de pénétration. Fondamentalement, États, grandes sociétés, OIV, grosses ETI,
on ne saurait réduire la cybersécurité régions. L’échelon inférieur est négligé.
collaborative à ces seuls exemples Les spécialistes de la cybersécurité parlent
des logiciels en source ouverte ou des bien sûr des individus (citoyens, consom-
Bug bounty. mateurs, usagers), ils s’intéressent aussi
à leurs collaborateurs à qui il faut enseigner
Elle désigne la coopération d’acteurs les règles d’hygiène numérique, mais cela
de niveaux différents, qu’ils soient ne va guère au-delà. C’est pourquoi il nous
au sein de l’organisation ou entre organisa- semble intéressant de partir de l’échelon
tions de pied différent. Il peut s’agir du territoire pour aborder cette question
de la sécurité collaborative. Constatons
de la coopération entre l’échelon
simplement qu’en fait, seule la collabora-
de direction, les spécialistes techniques
tion peut permettre de faire émerger
(DSI et RSSI) et les divisions techniques
une certaine cybersécurité dans
(production, marketing, communication).
les territoires.
Cela peut surtout concerner la coopération
entre des organisations du même secteur,
Tout d’abord, qu’est-ce qu’un territoire ?
le régulateur ou les autorités locales,
Disons pour commencer ce qu’il n’est
les spécialistes du numérique (infrastruc-
pas : ce ne peut être une des très grosses
tures, plateformes, grands comptes),
agglomérations urbaines supérieures
les fournisseurs, les partenaires à 200 ou 300 000 habitants. À ce niveau
et les clients. Tous ont un point de vue de population et de densité, la probléma-
et un intérêt bien différents mais partagent tique du responsable sera proche de celle
aussi une bonne sécurité de leurs d’un grand compte, public ou privé. Il aura
systèmes (matériels, logiciels, données). un service informatique conséquent et une
Pour autant, bien peu sont prêts à faire équipe constituée de spécialistes de la SSI,
l’effort nécessaire et chacun à tendance avec des outils appropriés à la défense
à reporter sur l’autre la responsabilité de ses SI.
de cette sécurité et son coût associé.
Pourtant, chacun participe Dès lors, tout ce qui est en dessous
à un certain écosystème et contribue répond à cette approche des territoires :
à sa résilience, un des attributs il peut s’agir de l’échelon départemental,
de la cybersécurité. dont on a vu pendant la pandémie

qu’il avait une dimension optimale pour nautés d’agglomération qui s’en sont
avoir d’une part assez de moyens d’action, dotée. Pourtant, la communauté permet
d’autre part une proximité avec population de rassembler de nombreuses communes
que des plus grosses entités (les régions, limitrophes, d’une dizaine à plus d’une
l’Etat) n’ont pas. Il semble qu’il s’agit centaine selon les cas, mobilisant une
de l’échelon principal de résilience, population plus importante et exerçant
quelle que soit la crise, sanitaire, une influence élargie sur le territoire et son
catastrophique ou cyber. environnement. Surtout, l’agglomération
permet d’inclure des petites communes
Il peut s’agir ensuite des agglomérations qui ont rarement par elles-mêmes la taille
moyennes, d’une taille entre 50 000 et les compétences pour définir et conduire
et 200 000 habitants : elles sont souvent une PSSI. Le plus souvent, ces communes
structurées autour d’un pôle, qui n’est comptent moins d’une dizaine de milliers
d’ailleurs pas forcément le chef-lieu d’habitants avec souvent une double
du département et qui ordonne le territoire préoccupation : celle de la proximité
alentours. Cette notion est très contingente de la grande ville et celle d’une histoire
et empêche toute généralisation. rurale qui demeure prégnante.
Le territoire d’influence dépend
de plusieurs facteurs qui coïncident Or, les communes sont comme les autres
rarement avec les limites administratives : des victimes potentielles de cyberagres-
bassin d’emploi, situation économique sions : elles manipulent de nombreuses
et démographique, présence d’une données sensibles, elles ont des budgets
agglomération concurrente à proximité et font l’objet comme d’autres entités de
(à plus ou moins de 50 km), structure rançonnages ou de rumeurs. La taille
des réseaux de communication importe peu et l’on a constaté que même
(autoroutes, TGV), etc. Enfin, les agglomé- (5) Pour avoir un des petites communes
point des différentes
rations ont déjà des structures existantes agressions contre
étaient la cible de rançon-
de coopération, celles des établissements les communes, voir nage5. Or, les édiles sont
O. Kempf, « Cyber-
publics de coopération intercommunale sécurité aujourd’hui peu sensibili-
et résilience,
(EPCI) et notamment des communautés les grandes oubliées sés à ces questions
d’agglomération. des territoires », et s’imaginent, comme
Notes de la FRS
n° 30/2020, 14 mai beaucoup de PME et PMI,
2020.
Or, si le chef-lieu du territoire, à l’échelon que la commune est trop
de la ville, peut éventuellement avoir la taille petite pour constituer une cible.
suffisante pour conduire une politique de Funeste erreur, trop souvent partagée
sécurité des systèmes d’information (PSSI), dans le monde économique, qui fait
très rares sont les exemples de commu- pourtant des dégâts.

Ne réduisons pourtant pas les territoires ainsi mis en place une organisation
à leurs seules structures publiques, des territoriale, avec des délégués en région, et
EPCI aux différents syndicats mixtes. elle a récemment publié un guide consacré
Les territoires incluent évidemment une à l’essentiel de la réglementation de
population mais aussi une activité écono- cybersécurité à destination
mique, constituée parfois de gros établis- (6) ANSSI, janvier des collectivités territo-
2020, « Sécurité
sements, plus souvent de beaucoup de numérique des riales6. Le Pôle d’Excel-
collectivités
PME et PMI mais aussi d’indépendants. territoriales : lence Cyber7 a également
l’essentiel de la
Certains de ceux-ci manient des données réglementation ».
rendu public, en novembre
sensibles (notaires, médecins, comptables, 2020, un guide pratique
(7) https://www.
pharmaciens, huissiers). Or, la plupart font pole-excellence-cy- de cybersécurité des
ber.org/presenta-
confiance à un prestataire informatique de tion-du-pole/ collectivités territoriales.
proximité, le plus souvent compétent en Certaines initiatives ont vu
matière informatique mais plus rarement le jour, comme celles de la Gendarmerie
pour les questions de cybersécurité. nationale dans le Morbihan (Hermès 56)
ou encore certaines étapes du Cybercercle
La cybersécurité des territoires en province, tandis que cybermalveillance.
nécessite la collaboration fr développe des actions décentralisées
Un territoire est donc constitué de plusieurs de sensibilisation ou que le magazine
acteurs à l’activité intriquée, des intérêts Acteurs publics publie régulièrement
évidemment communs mais des préoc- des articles sur le sujet. De même,
cupations également divergentes. Il serait quasiment toutes les régions ont lancé
vain de demander à chacun de faire un des initiatives sur la cybersécurité. Il faudra
effort si celui-ci n’était pas coordonné. La ensuite recenser l’existant, variable d’un
conclusion est évidente : dans un territoire, territoire à l’autre, certains s’étant déjà
la cybersécurité ne peut être que collabo- saisis du problème alors que d’autres
rative. Elle doit mobiliser tous les acteurs, n’en sont qu’aux premières étapes
ceux responsables du bien public (maires, de la prise de conscience. Enfin, il faudra
présidents d’intercommunalités, préfets, imaginer des projets concrets, adaptés à
Gendarmerie nationale), mais aussi ceux chaque situation. La notion de « solution »,
ayant des préoccupations plus écono- souvent utilisée par des grands éditeurs
miques (associations professionnelles, de logiciels, s’applique finalement assez
dirigeants d’entreprises locales, syndicats peu en la matière.
mixtes spécialisés).
Il reste que ce travail doit être conduit
Il faut d’abord écouter les besoins et mener car à l’heure du télétravail généralisé
des actions de sensibilisation. L’ANSSI a et de la néo-ruralisation (ou plus exacte-

ment, la sortie des grandes métropoles), L’AUTEUR

la dimension numérique des territoires
constitue un aspect essentiel de leur at- Docteur en science politique, chercheur
associé à l’IRIS, directeur de la lettre
tractivité économique. Or, la cybersécurité stratégique La Vigie, Olivier Kempf
constitue désormais une dimension essen- est consultant en stratégie digitale.
tielle de cette attractivité numérique. Olivier Kempf est vice-président de l’INCRT
Il a publié avec François-Bernard Hyughe et
Souvent considérée comme un centre de Nicolas Mazzucchi : Gagner le cyberconflit,
coût, la cybersécurité est en train au-delà du technique (Économica, 2015,
de devenir un centre de profit. On ne peut 175 pages). Olivier Kempf est l’auteur de :
Introduction à la cyberstratégie (Economica,
pas lancer de grands projets de Smart city 2012) et Alliances et mésalliances
sans inclure une forte dimension dans le cyberespace (Economica, 2014).
de cybersécurité.
Après les nombreuses initiatives lancées

depuis une quinzaine d’années et la
constitution d’un solide dispositif national
(ANSSI, Livre blanc sur la cybersécurité,
OIV, Pôle d’excellence cyber, COM CYBER,
cybermalveillance.fr, Forum FIC, campus
cyber, etc.), il est temps désormais
de s’intéresser au maillage territorial
de notre pays et de construire la résilience
cyber et économique de cet écosystème.

INCRT
L’Institut National de la Cybersécurité
et de la Résilience des Territoires
(INCRT) a été créé avec esprit et l’ambition
d’être au plus près des territoires,
de les accompagner et de les mettre
en réseau, de promouvoir des réponses
simples et pragmatiques, d’assurer
une veille et de conduire des études
pratiques répondant aux besoins identifiés.
Il a vocation à aller là où les autres ne vont
pas pour écouter ceux que l’on écoute
peu et trouver à leurs côtés les moyens
de construire, par le bas et de façon adaptée
à chaque situation locale, une cybersécurité
de terrain, forcément collaborative. L’INCRT
a pour président le Général d’Armée (2S)
Watin-Augouard, ce qui garantit non
seulement une profonde expérience
des questions de cybersécurité
mais aussi une connaissance fine
des besoins des territoires.

TERRITOIRES
© Fotolia_117874214_Subscription_XXL
UNE PARTENARIAT PRIVÉ – PUBLIC SANS COMPLEXES
Un partenariat Public - Privé abouti permet de combiner des potentiels en matière

de cybersécurité. Déjà engagé dans la pratique, il met en scène un Etat, fort de ses
prérogatives régaliennes et de la puissance « historique » de ses institutions,
qui appuie la sphère privée. Il profite en retour des capacités d’innovation
de cette dernière, dictées par les règles concurrentielles, et d’une adaptation rapide
aux évolutions du marché. Dans ce cadre, on peut privilégier trois axes
de collaboration : la formation et les financements associés au maintien
d’un continuum de recherches.
Dans les territoires, on peut envisager une mutualisation de moyens qui se trouvent
à l’interface : État, Economie et Politique. Ce dispositif pourrait faciliter la relation
avec les services de l’État en charge de la sécurité (prévention cyber, sécurité
économique, plateformes spécialisées, etc.) et répondre aux attentes des
entreprises et des collectivités territoriales. Il permettrait aux forces de sécurité
de prendre la mesure de l’état de la menace cyber par un dialogue direct
et permanent.
Cette combinaison de compétences passe également par des passerelles
entre le Privé et le Public. Les experts y verront une alternance professionnelle
valorisante et naturelle dans un parcours enrichi. Ces échanges auraient vocation
à contribuer à l’intérêt général et à générer de nouveaux mécanismes
économiques. Cette nouvelle forme collaborative passe cependant
par des échanges privé-public décomplexés.

Les partenariats
public-privé en Cybersécurité
Par Cyril Bras
N
Note du rédacteur en chef : Cet ar-
ticle est un focus sur les travaux de
la 2e session nationale « Souveraineté
numérique & Cybersécurité de l’IHE-
est un contrat administratif par lequel l’État
ou une autorité publique confie à un pres-
tataire privé la gestion et le financement
d’équipements, d’ouvrages permettant
DN et l’INHESJ » sur les intérêts et les d’assurer un service public.
limites du partenariat public-privé. Les Au-delà de cette définition générale,
membres du groupe de travail sont nous pouvons remarquer que des partena-
dans l’ordre alphabétique : Cyril Bras, riats existent déjà dans le domaine de la
Rémi de Gouvion Saint-Cyr, Ludovic Cybersécurité ; le FIC en est quelque
Haye, Brunon Le Jossec & Dominique part une illustration concrète.
Lestrade. Son intérêt a retenu notre C’est d’ailleurs au cours du FIC 2020
attention. Rapporteur de ces travaux, que Guillaume Poupard, directeur général
Cyril Bras a bien voulu en retracer les de l’ANSSI, donnait sa perception de
problématiques es- l’impérieuse nécessité d’une collaboration
sentielles qu’ils sou- « L’idée, c’est que le privé
(1) L. Adm,
lèvent en répondant à « FIC 2020 : seul n’a pas la solution,
« Le privé seul
nos questions. n’a pas la solution, le public non plus.
le public non plus On croit donc que la
», 29 Janvier 2020.
Comment définir [En ligne]. Available: solution se trouve dans
https://www.
CYRIL BRAS le partenariat zdnet.fr/actualites/ l’alliance des deux1 ».
fic-2020-le-prive-
public/privé seul-n-a-pas-la-
Responsable RSSI
Grenoble-Alpes en Cybersécurité ? solution-le-public- Ce partenariat permet
non-plus-39898215.
Métropole. Le contrat de partena- la combinaison des forces
htm . [Accès le 25
Ville de Grenoble Février 2020].
et CCAS riat public privé (PPP) et spécificités de ces deux

LES PARTENARIATS PUBLIC-PRIVÉ EN CYBERSÉCURITÉ
entités. L’État assure des missions Comme évoqué précé-

de service public, la justice et la défense demment, certaines
(4) Lorsque l’on
entre dans ses prérogatives régaliennes. parle de hack activités relèvent
Le secteur privé pour assurer sa survie face back, il s’agit d’une de la sphère étatique
défense agressive,
à la concurrence est une source continue allant au-delà de ses exclusive comme par
propres systèmes.
d’innovations. Les Etats-Unis exemple le « hack back »4.
travaillent à une
formule qui
Cependant, il convient
D’une certaine façon notre groupe donnerait à une d’y associer les acteurs
entreprise un droit
de travail en est aussi une illustration d’autodéfense cyber privés de la résilience
et d’attaquer
puisque nous sommes issus des sphères le système cyber. Pour ce faire,
publiques et privées. qui serait à l’origine les visas attribués par
de l’intrusion.
l’ANSSI5 permettent
(5) M. Duault,
Outre le FIC, avez-vous des exemples « Qu’est-ce que notamment de garantir
le Visa de sécurité
de partenariats déjà en place ? délivré par l’ANSSI
un niveau de confiance
Le projet « No More ?» 2018. [En ligne]. pour les utilisateurs
(2) T. de Coatpont, Available: https://
« La collaboration Ransom », initié en juillet yousign.com/fr-fr/ publics de solutions
public-privé, blog/visa-de-secu-
nouvelle arme de la
2016, associe les acteurs rite-anssi. (Accès de sécurité développées
cybersécurité ?» publics de lutte contre la le 23 Mai 2020). par des acteurs privés.
22 Mars 2019.
[En ligne]. Available: cybercriminalité et ceux du (6) RTBF.BE, Le privé apporte alors
https://business. « Un partenariat
lesechos.fr/direc- privé afin de détecter les public-privé permet une partie de la solution
à 12 Bruxellois
tions-numeriques/
[Accès le 25 Février
attaques et d’apporter des d’être diplômés
au public.
2020]. solutions aux victimes2. en cybersécuri-
té, » 20 Février
(3) UnderNews 2020. [En ligne]. Enfin nous pouvons en-
Actu, « La gendar- Available: https://
merie (C3N) met fin
Nous pouvons également www.rtbf.be/info/ core citer une expérience
au botnet Retadup mentionner le démantè- regions/bruxelles/ menée à Bruxelles entre
– 800 000 machines detail_un-partena-
zombies, » 28 Août lement du Botnet Reta- riat-public-prive-per- des entreprises privées
2019. [En ligne]. met-a-12-bruxellois-
Available: https:// dup, en août 2019, par d-etre-diplomes- et le ministère de l’emploi
en-cybersecu-
www.undernews.
fr/malwar-
la Gendarmerie Nationale rite?id=10430222.
afin d’aider à la reconver-
es-virus-antivirus/ en lien avec le fabriquant [Accès le 25 Février sion et à la réinsertion pro-
la-gendarmerie-c3n- 2020].
met-fin-au-botnet- d’Antivirus Avast3, fessionnelle vers le secteur
retadup-800-000-
machines-zombies.
ce dernier fournissant de la Cybersécurité6.
html. [Accès le 23 les éléments techniques
Mai 2020].
pour conduire l’enquête.

© 132377290 Public Partnership concept on the gearwheels,

3D rendering par Alexlmx – Adobe stock
Les sphères opérationnelles du secteur public et privé peuvent générer, par une interaction favorisant
le partage d’expertises, de financements et de ressources humaines, des projets collaboratifs efficients
en matière de cybersécurité.
Si ces partenariats existent déjà, la garantie d’un continuum de compétence

quel apport donnerait une plus-value (recherche / public / privé).
à ces interactions ?
Nous avons constaté de fortes disparités Actuellement le marché du travail
tant au niveau du public que du privé sur la en Cybersécurité est en tension,
prise en considération de la Cybersécurité. comment le secteur public peut-il
Les petites structures (PME-PMI, collecti- attirer des talents ?
vités territoriales…) ne sont pas forcément Le secteur public est en effet pénalisé
aussi bien préparées à faire face à la me- par ses processus de recrutement
nace cyber que de grands groupes ou tout ou ses conditions salariales. Certes,
simplement elles n’ont pas les moyens de ce secteur propose des missions intéres-
mettre en œuvre les mesures nécessaires santes mais qui ne suffisent pas toujours à
pour y faire face. Nous avons donc identifié compenser les rémunérations proposées
3 axes de coopération : la formation de la dans le secteur privé. Dans le même temps
ressource humaine, sa mise à disposition ce dernier recherche des profils dispo-
par le biais de financements agiles et enfin sant de compétences qui ne peuvent être

acquises que dans les missions propo- quand celle-ci n’est pas tout simplement
sées par les services étatiques. Une de méconnue. Ce constat s’applique égale-
nos propositions consiste à ce que des ment aux petites collectivités.
entreprises privées apportent une contribu-
tion financière visant à verser un salaire aux Dans ce cas, nous proposons la mutualisa-
étudiants pendant leur formation, à l’image tion de moyens au travers d’acteurs locaux
des écoles militaires. Cet effort financier tels que les chambres consulaires,
se poursuit dans un premier emploi au sein les agences locales de développement
de L’État en apportant un complément au économique qui se trouvent à l’interface
salaire pour le rendre attractif. En échange, « État /Economie/Politique ». Ainsi,
l’étudiant s’engage à servir l’État pour une des petites entités pourraient contribuer
durée déterminée (5 ans). À défaut, financièrement au recrutement d’un RSSI
il devra rembourser les frais de sa scolarité qui serait alors mutualisé entre les diffé-
et les indemnités perçues. Ensuite, il pourra rentes structures. Ce dispositif pourrait
se voir proposer un poste dans une des également faciliter la mise en relation
entreprises qui a soutenu financièrement avec les services de l’ État en charge de la
sa formation, avec une durée d’engage- sécurité (prévention cyber, sécurité écono-
ment. L’indemnité de rupture se calculera mique…) pour répondre aux attentes des
alors au prorata du temps passé entreprises mais aussi fournir du rensei-
en entreprise. gnement sur l’état de la menace pour la
Gendarmerie nationale, la Police nationale
Cette première solution s’applique et le GIP ACYMA.
plutôt aux grandes entreprises.
Dans vos réponses précédentes vous Reste-t-il d’autres pistes à explorer ?
évoquiez la nécessité d’aider les petites Oui, nous pensons également qu’il faudrait
structures, que proposez-vous dans repenser la réserve cyber en la rapprochant
ce cas ? des territoires et de leurs acteurs.
Le tissu économique Il conviendrait pour cela de dynamiser
(7) B. Bellanger,
« Baromètre français est en effet la réserve citoyenne et d’en faire un lien fort
des TPE/PME dans
l’économie française
constitué de 99.9% entre les sphères publique et privée.
en 2019, » de TPE/PME7 qui sont Elle pourrait partager des bonnes
21 Janvier 2020.
[En ligne]. Available: de plus en plus victimes pratiques de Cybersécurité, participer
https://solutions.
lesechos.fr/compta- de cybermalveillances. à des actions de prévention ou d’investiga-
gestion/c/
[Accès le 05 Aout
Dans la plupart des cas, tion mais aussi apporter des compétences
2020]. elles ne disposent pas des autres que cyber (intelligence économique,
ressources nécessaires escroquerie financière ou encore travail
pour se protéger contre cette menace, illégal). Elle pourrait prendre exemple sur

l’expérimentation HERMES menée par le La transformation numérique engagée

groupement du Morbilhan (56) ; ce dernier en France doit se faire en lien avec
assiste les entreprises du département la Cybersécurité qui reste le gage
en leur proposant des conseils contre les de confiance dans l’usage du numérique.
menaces physiques et numériques La crise sanitaire actuelle a confirmé
ou encore en intelligence économique. cette impérieuse nécessité.
Pour cela, l’introduction d’un niveau
de confidentialité adapté et encadré par
des dispositions réglementaires devra être
L’AUTEUR
mis en œuvre. Il conviendra également
d’accepter un ancrage dans les territoires Cyril Bras remplit les fonctions de RSSI
de la métropole grenobloise depuis
malgré la distance avec le cadre de l’ANSSI
mars 2018. Il est auditeur de la 2e session
et du Comcyber. La gendarmerie a désigné nationale Souveraineté numérique
des correspondants régionaux pour et Cybersécurité IHEDN & INHESJ.
Il est par ailleurs enseignant vacataire
ses réserves numériques et cyber.
auprès de l’université Grenoble Alpes
et intervenant auprès du CNFPT.
Quelques mots pour conclure ?
Sans bouleverser les grands équilibres
qui tiennent à la nature profonde des
entités publiques et privées, il est possible
de trouver dans les zones de contact entre
les populations de ces deux sphères des
partenariats enrichissants. Qu’il s’agisse
d’une ressource qui a vocation à dessiner
un parcours professionnel alternant
les deux mondes, de personnels du privé
qui souhaitent apporter leur contribution à
l’intérêt général ou encore de mécanismes
économiques qui permettent d’échanger
des outils contre une plus forte souplesse
en termes de charges, une grande variété
de partenariats se dessine.
Une forte volonté politique semble néces-

saire pour mettre en route ces mesures,
lever les réticences des entreprises
et décomplexer les échanges privé-public.

TERRITOIRES
ET DÉMARCHE
COLLABORATIVE
© Map, par BillionPhotos.com

COLLECTIVITÉS TERRITORIALES : MAÎTRISE DES DONNÉES
ET POLITIQUE PUBLIQUE PARTENARIALE
La question de la maîtrise du cycle de vie des données sensibles touche t

outes les activités sociétales et place les collectivités territoriales devant une forte
responsabilité.
Outre la cartographie des données et de leur usage, il importe de les sécuriser.
Cela concerne le régime contractuel de leur stockage, via des prestataires privés
et une vision collaborative des usages. Les administrations doivent ouvrir un accès
régulé à leurs données sans pour autant renoncer au pilotage de leurs politiques
publiques. Il importe donc que le pilotage des projets, dans le cadre de partenariats
« Privés – Collectivités territoriales », s’inscrivent dans une vision d’intérêt général
et d’adéquation aux besoins de la population. L’usage des données étant encadré
juridiquement, les modèles de développement doivent être définis en conséquence
pour servir de support aux projets innovants. La difficulté rencontrée dans la mise
en œuvre des politiques publiques est d’en trouver les leviers d’action juridiques
et financiers.

Les données publiques

territoriales
Par Jérôme Buzin
A
Alors que la crise sanitaire met en avant
l’importance du numérique, tant pour
son influence sur le développement
économique que pour son apport à la
nomique, l’éducation, la recherche, etc.
Afin de promouvoir et améliorer leurs
politiques publiques, les collectivités
territoriales ont donc la nécessité d’agir
résilience de l’activité, les questions de sur l’ensemble du cycle de vie de leurs
souveraineté sont revenues au pre- données.
mier plan. Souveraineté alimentaire,
médicale, des approvisionnements Une culture du partage des données
stratégiques, mais aussi numérique. Qui pour arriver à une efficience
collecte, stocke ou traite nos données ? des traitements
La question de la maîtrise de nos don- Cela commence avec la connaissance
nées sensibles et stratégiques touche de ces données, qu’elles soient produites
l’ensemble des activités de notre vie directement par les services de la collecti-
quotidienne. Les vité ou par d’autres acteurs. Cela implique
collectivités territo- de dresser et tenir à jour une cartographie
riales gèrent tous les et de mener une veille qui porterait
jours des quantités également sur les usages. À ce stade,
énormes de données les premiers obstacles peuvent se dresser.
relatives à l’environ- Les services publics ont l’obligation de
nement, la voirie, les mettre à disposition leurs données
JÉRÔME BUZIN transports, la gestion gratuitement aux autres administrations
Administrateur de l’eau, l’énergie, les mais les entreprises n’y sont pas soumises
général des données
Métropole
déchets, l’habitat, le et peuvent s’avérer réfractaires, y compris
européenne de Lille développement éco- dans le cadre de marchés publics

LES DONNÉES PUBLIQUES TERRITORIALES
ou de délégations de services publiques le transfert des données facilement vers

(DSP). La situation évolue, notamment un concurrent, ce qui est loin d’être le cas
(1) Loi n° 2016-1321 grâce à la notion de aujourd’hui. Ces aspects sont notamment
du 7 octobre 2016
pour une
données d’intérêt général au cœur du projet franco-allemand GAIA-X
République introduite par la loi dont on ne peut que souhaiter la réussite.
numérique.
Lemaire1. Cependant,
la réalité est qu’aujourd’hui les collectivités Un autre aspect problématique lié
doivent négocier et insister pour obtenir à la situation de dépendance vis-à-vis
des données auprès de leurs partenaires de certains acteurs réside dans leurs
privés. conditions contractuelles et en particulier
dans le fait que certains de ces acteurs
Par ailleurs, les capteurs permettant s’arrogent le droit de les modifier unilatéra-
de recueillir une partie des données sur le lement comme l’a dénoncé le Contrôleur
territoire sont d’une extrême diversité, européen de la protection des données2.
tant dans leurs protocoles d’échanges (2) https://edps. Associée au point
europa.eu/sites/
que dans les réseaux de communication edp/files/publica-
précédent qui place
utilisés, et ils n’offrent pas toujours la possi- tion/20-07-02_ les collectivités dans une
edps_euis_micro-
bilité de les administrer et les sécuriser. soft_contract_inves- dépendance technique,
tigation_en.html
cette pratique revient
La question contractuelle au cœur dans les faits à vassaliser les clients qui ne
du régime juridique de la gestion peuvent que subir les nouvelles conditions
de la donnée contractuelles sans réelle capacité à sortir
Le stockage des données collectées du contrat pour se tourner vers
représente le second point d’achoppement un concurrent.
pour les collectivités territoriales. En effet,
si certaines ont les moyens d’opérer à Une vision collaborative des usages
partir de leur propre centre de traitement Le dernier volet de la stratégie des
de données, la plupart doivent s’appuyer collectivités territoriales concerne la
sur des partenaires privés. Cela n’est pas maitrise des usages. Les grands acteurs
un mal en soi, au contraire, à condition du numérique se sont tous positionnés
que le contrat permette le respect de d’une façon ou d’une autre sur ce terrain
l’ensemble des contraintes réglementaires du territoire connecté. En effet, selon
qui s’appliquent aux données stockées. (3) https://www. Grand View Research,
Il faut également qu’il soit équitable et grandviewresearch.
com/press-release/
le marché de la Ville
qu’il ne place pas la collectivité dans une global-smart-ci- intelligente pourrait
ties-market
situation d’impuissance. Cela implique en atteindre plus
particulier de permettre la récupération ou de 460 milliards de dollars d’ici 20273.

© Par metamorworks - Adobe stock

La sensibilité des données gérées par les collectivités territoriales et l’interaction de celles-ci
avec les opérateurs privés nécessitent un cadre contractuel maîtrisé de leur stockage et usage en accord
avec un cadre juridique national et européen.
La démarche de ces acteurs privés peut se tourner vers l’entreprise qui développe
se faire en partenariat avec les collectivités l’application pour exposer le problème
territoriales, mais le plus souvent elle et demander une adaptation des proposi-
les ignorera voire visera à agir à leur place. tions faites aux automobilistes pour mieux
En effet, nous l’avons vu précédemment, s’accorder à la réalité du terrain, voire
ces acteurs n’ont pas toujours à cœur coconstruire des modèles de données
le respect de la vision du client qui incluraient l’information sur la capacité
ou de l’usager. d’accueil de la voirie ou les heures d’entrée
et de sortie des écoles.
Imaginons une application mobile qui op-
timise votre trajet en voiture en s’appuyant Mais comment réagirions-nous si cette
sur des informations sur le trafic obtenues entreprise s’estimait porteuse d’une
grâce à sa communauté d’utilisateurs. mission de service public et refusait de
Imaginons qu’aux heures de pointe cette changer son modèle car cela pénaliserait
application oriente une partie importante le temps de trajet de ses utilisateurs ?
du trafic vers des rues, non conçues pour Serions-nous amusés, choqués ou dans
accueillir un tel trafic, où de nombreux l’acceptation si cette entreprise proposait
enfants entrent ou sortent des écoles. La à la collectivité de modifier les jeux
collectivité territoriale pourrait alors de données qu’elle met à disposition

et qui sont utilisé dans ce cadre pour de la métropole du Grand Lyon à rempla-
fermer les rues concernées, en omettant cer, le 30 septembre 2019, cette licence
que ces jeux de données sont utilisés pour par une « licence de réutilisation des
d’autres usages ? Trouverions-nous accep- données d’intérêt général » qui permet la
table que la situation soit figée parce que la (6) https://down- mise à disposition gratuite
décision se prend en Californie et non pas load.data.grandlyon. de la donnée avec
com/files/grandlyon/
à l’échelon local ? Licence_Reutilisa- authentification du
tion_Donnees_Inte-
ret_General.pdf réutilisateur6. L’intérêt
(4) https://
siecledigital. L’exemple du projet de général est posé comme
fr/2020/02/28/a-to-
Sidewalk Labs à Toronto4,
ronto-la-grogne-des-
principe de cette licence : le/la licencié(e)
locaux-contre-al- qui a fini par être arrêté, doit déclarer les utilisations du ou des jeux
phabet/
est celui d’un projet de données, la Métropole s’assurant
qui n’a pas réussi à concilier la vision qu’elles sont conformes aux politiques
de l’entreprise et les attentes des citoyens publiques.
et de la collectivité.
Désormais, « les Données peuvent être
Face à ces problématiques, les collectivités utilisées par toute personne à toutes fins,
territoriales cherchent des leviers d’action internes ou externes, commerciales ou
pour défendre leurs politiques publiques. non, et notamment en vue :
Ainsi la métropole du Grand Lyon, - de l’information du public ;
(5) Loi Lemaire, pionnière en matière -d e la réutilisation des Données pour
code des relations
entre le public d’ouverture des données, des services, applications ou produits ;
et les administra-
tions (CRPA) et le
avait lancé son service -d u développement de services
règlement européen OpenData en 2013 avec innovants ;
2017/1926 de la
Commission une licence qui permettait - de l’enseignement et de la recherche.
du 31 mai 2017,
complétant la direc- la mise en œuvre d’une
tive 2010/40/UE du redevance modulable Sous réserve que :
Parlement européen
et du Conseil en en fonction du succès - leur réutilisation soit compatible avec
ce qui concerne la
mise à disposition économique de l’applica- les politiques publiques mises en œuvre
dans l’ensemble de
l’Union européenne
tion réutilisant les don- par le Concédant ou par le Producteur
de services nées. Ce modèle était et ne porte pas atteinte à l’intérêt général,
d’informations sur
les déplacements d’ailleurs l’un de ceux - la mention soit faite de la paternité
multimodaux.
proposés par Mohammed de la Donnée.
Adnène Trojette, Magistrat à la Cour
des comptes, dans son rapport au Premier Les obligations du Licencié sont établies
ministre en juillet 2013. Mais l’évolution à l’article 8 de la présente Licence.
du cadre législatif5 a conduit le Conseil

De plus, la réutilisation des Données mises attendues en décembre 20209 sera

à disposition est soumise, sauf accord peut-être, il faut l’espérer, l’occasion
du Concédant, à la condition que ces de définir au niveau national et plus tard
Données ne soient pas altérées, européen des outils pour permettre aux
que leur sens ne soit pas dénaturé. » collectivités territoriales, et plus globale-
ment aux administrations, d’ouvrir large-
De son côté, Nantes métropole fait le ment leurs données sans pour autant
constat que « des données sont au- renoncer au pilotage de leurs politiques
jourd’hui produites en grand volume par publiques.
la gestion des services publics, par des
opérateurs de mobilité, des distributeurs
L’AUTEUR
d’énergie, des gestionnaires de déchets
et bien d’autres. » et qu’il « est donc es- Après un parcours dans l’administration
centrale d’État (ANSSI, ministère
sentiel d’encadrer l’utilisation des données de l’Intérieur, ministère de la Justice)
produites sur le territoire afin de protéger et les institutions européennes,
les citoyens. » Jérôme Buzin est aujourd’hui
administrateur général des données
de la Métropole européenne de Lille.
Elle a donc créé la notion
(7) https://metro- Sensibilisé à la gestion du risque
pole.nantes.fr/ de « données d’intérêt et aux questions de sécurité,
charte-donnee il est auditeur de la première session
métropolitain » et fédéré « Souveraineté numérique
plus de 40 acteurs privés, associatifs et cybersécurité » de l’IHEDN et l’INHESJ.
et publics pour faire appliquer les engage-
ments et les principes de sa charte
de la donnée métropolitaine7.
Ces démarches, qui vont dans le sens

d’une réappropriation de l’usage des
données par les administrations locales
dans l’objectif de cohérence avec leur
stratégie, sont isolées et peuvent se heurter
aux dispositions réglementaires nationales
ou européennes.
(8) https://www.
legifrance.gouv. La mission confiée en juin
fr/affichTexte.
do?cidTexte
2020 par le Premier
ministre au député
(9) Avant le FIC2021
mais après le bou- Éric Bothorel8, dont
clage de cet article.
les conclusions sont

TERRITOIRES
© F. Balsamo - SIRPA-Gendarmerie
LA RÉSERVE NUMÉRIQUE : UN VIVIER D’EXPERTISES
La « Réserve numérique », ingénierie conçue par la mission numérique

de la Gendarmerie nationale (MNGN), entre dans une logique de coordination
des projets et de mutualisation des besoins des différents services,
centraux comme déconcentrés. Elle associe des réservistes « citoyens », détenant
de fortes expertises numériques, à des réservistes « opérationnels », ancrés
dans une pratique de terrain, pour participer à des projets ou à leur conduite.
À ce titre, les réservistes numériques renforcent les gendarmes d’active
pour développer des logiciels ou apporter un conseil. Ils contribuent également
à la sécurisation juridique, économique, technique et patrimoniale des projets,
aidant ainsi à leur mise en production, à leur déploiement et à leur maintenance
évolutive. Des plans d’action pour des besoins régionaux permettent d’élaborer
collaborativement des supports de sensibilisation aux cybermenaces, notamment
à destination des entreprises, et d’apporter une assistance aux TPE/PME
pour qu’elles puissent diagnostiquer leurs vulnérabilités et mettre en place
des partenariats.
La réserve numérique, vivier expérimental, est un des leviers du plan stratégique
« Gend20.24 » pour faciliter la transformation numérique de la Gendarmerie
nationale, accroître sa résilience aux cyber-attaques et la sécurité des « nouvelles
frontières numériques ».

La réserve numérique :
un réseau collaboratif d’experts au service
de la transformation numérique
de la gendarmerie
L
Questions à Florence Esselin, Alain Grandjean et David Toulotte
Les réservistes renforcent depuis d’un vivier commun, sur site comme
plusieurs années la Gendarmerie à distance et en fonction des compé-
nationale dans le cadre du dévelop- tences pour des missions ponctuelles
pement d’outils logiciels et participent ou promettant de devenir récurrentes.
ponctuellement à ses réflexions straté-
giques en matière de transformation L’approche disruptive de la « réserve
numérique. Avec la création numérique », qui mêle statuts et grades
du réseau des réservistes opérationnels pour une pluralité et une complémen-
et citoyens « numériques », la Gendar- tarité de vues, a déjà apporté de beaux
merie nationale expérimente l’emploi résultats. C’est la raison pour laquelle
la Revue de la Gendarme-
rie a souhaité éclairer
cette nouvelle approche
de la cybersécurité
avec des acteurs
qui reflètent cette diver-
sité et cette convergence
FLORENCE ALAIN GRANDJEAN DAVID TOULOTTE
ESSELIN d’expertise.
Lieutenant-Colonel David Toulotte
Conseiller expert de Gendarmerie. Directeur de projets
en numérique Division informatiques Florence Esselin,
et sécurité des opérations. Arcelor Mittal. pourriez-vous nous
du numérique. Région Capitaine
Cabinet du Directeur de gendarmerie de gendarmerie dessiner le périmètre
général de la des Hauts-de- (Réserve de la réserve numérique
Gendarmerie France. opérationnelle).
nationale. et nous expliquer ce

LA RÉSERVE NUMÉRIQUE : UN RÉSEAU COLLABORATIF D’EXPERTS AU SERVICE DE LA TRANSFORMATION

NUMÉRIQUE DE LA GENDARMERIE
qui la différencie de la réserve cyber ? de ce réseau. J’étais lieutenant-colonel

La « réserve numérique » n’est pas une de la RCDS depuis 2012 et membre de la
réserve de plus, c’est le nom d’un réseau réserve cyber. Le colonel
(1) Article
qui s’appuie sur la « réserve opération- BEPA-Cyber, Éric Freyssinet, chef de la
nelle » et la « réserve citoyenne de défense la Base d’estimation MNGN, connaissait
des potentiels
et de sécurité » (RCDS), définies par d’attaques Cyber, mon travail sur l’échelle
Revue de la Gendar-
le code de la défense. Ce réseau a été initié merie Nationale de dangerosité
N°248 4 trimestre
en 2017 par la mission numérique de la des cybermenaces
e
2013.
Gendarmerie nationale (MNGN) en liaison BEPA-Cyber1 et mon
avec le commandement des réserves approche résolument collaborative de la
gendarmerie ; il est composé de réservistes cybersécurité. Dans mon précédent poste
« opérationnels » et de réservistes (haut fonctionnaire adjoint de défense
« citoyens », partageant un même intérêt et de sécurité, fonctionnaire de sécurité
pour le numérique, ses impacts sur la des systèmes d’information au cabinet
société, ses atouts et ses faiblesses, du ministre de la Culture), j’avais créé
et pour sa sécurité. le réseau des acteurs de la sécurité
du numérique de la Culture, à l’appui
La « réserve cyber » est l’héritière d’une démarche inédite de co-construction
de la « réserve de cyberdéfense » créée d’une politique de sécurité des systèmes
conjointement en 2012 par les armées d’information adaptée à la diversité
et la gendarmerie ; elle regroupe de ce secteur.
des réservistes essentiellement intéressés
par la cyberdéfense, la cybersécurité Ma modeste connaissance de la
et la lutte contre la cybercriminalité. Gendarmerie nationale a été heureusement
Notre réserve numérique embarque avec complétée par une vision partielle
elle les réservistes cyber de la gendarmerie de l’évolution de ses systèmes d’informa-
du fait d’une évidence : quelle transformation. Depuis 2006, j’avais commencé
tion numérique peut-on prétendre mener à accompagner la Gendarmerie nationale
sans cybersécurité ? dans quelques projets, en tant qu’inspec-
teur à la DCSSI. Cela a duré plus
Florence Esselin, vous animez de dix ans, dans un contexte de pleine
la « réserve numérique » depuis 2018. transformation tant par la création
Pourquoi vous a-t-on confié de l’ANSSI que par le rattachement
cette mission ? de la Gendarmerie au ministère
Quand, en juillet 2018, j’ai rejoint la MNGN de l’Intérieur en 2009.
au cabinet du directeur général de la
Gendarmerie nationale, j’étais déjà membre Aussi étais-je ravie et honorée de rejoindre


l’institution pour contribuer à l’élaboration des ingénieurs experts, des élèves

de sa stratégie de transformation numé- ingénieurs, des élus locaux, des chefs
rique et de lutte contre les cybermenaces, d’entreprise, des professionnels de la
en collaboration avec toutes les ressources communication, des anciens de l’arme
pertinentes, parmi lesquelles la réserve de tous grades ainsi que des généraux
numérique de la gendarmerie. en deuxième section, etc. Tous ont
en commun leur attachement à la
Dans quel esprit développez-vous Gendarmerie nationale et la volonté
la réserve numérique ? de « Servir ».
Convaincue de l’importance du facteur
humain dans la créativité comme dans Quel est l’apport des réservistes
la cybersécurité, c’est d’abord le lien avec numériques à la transformation
chaque réserviste que j’ai cherché à renfor- numérique de la gendarmerie ?
cer, en m’appuyant en partie sur le travail Depuis plusieurs années les réservistes
d’animation des officiers d’active ou de renforcent régulièrement les gendarmes
réserve désignés comme « coordinateurs d’active pour des développements logiciels
réserve cyber » en régions. ou des conseils techniques, par exemple.
Chacun d’eux établit un Les réservistes citoyens, bénévoles

(2) La Gendarmerie
nationale ne plan d’action en fonction du service public, généralement très expé-
pouvant décemment
pas convier
des effectifs et des profils rimentés dans leur milieu professionnel,
ses réservistes des réservistes, pour des apportent un recul et un regard extérieur
à consommer
de l’alcool, besoins régionaux et tisse qui aident l’institution à se comparer
la grenadine
est recommandée des liens avec son groupe. à d’autres milieux et à progresser en
comme boisson
issue de la
Pour renforcer la cohésion cohérence avec la Société. Les réservistes
nationale, j’ai notamment
transformation de la opérationnels, qui sont formés à interve-
grenade, fruit
mais aussi symbolelancé les « rencontres nir sur le terrain, ont une connaissance
de l’institution
depuis 1795.
grenadines2 » - une du quotidien des gendarmes qui en font
réunion mensuelle d’excellents relais auprès des réservistes
informelle en visio, pour « papoter » citoyens qui méconnaissent cet aspect
pendant une heure et demie autour de l’institution.
d’un thème avec ceux qui sont disponibles
en sortant du bureau : les idées fusent, La rencontre des deux statuts, a fortiori
les expériences sont échangées entre en présence des gendarmes d’active,
les régions, des contacts sont pris pour est d’une richesse phénoménale.
de nouveaux projets. C’est un forum Nous l’avons constaté notamment lors
où se retrouvent des experts juridiques, du séminaire national des réservistes


© Gendarmerie nationale - EOGN

Les ateliers du séminaire national 2019 des réservistes numériques ont permis des échanges intenses
et de dégager des procédures collaboratives mobilisant des acteurs souhaitant mettre en commun
leurs expertises au profit de projets innovants et disruptifs.
numériques, organisé à Melun la brigade la plus proche, en précisant le

en septembre 2019 avec le soutien motif de votre rendez-vous, afin de faciliter
de l’EOGN qui fêtait alors ses 100 ans, votre accueil.
avec deux jours d’ateliers de recherche
et de découverte de la gendarmerie d’hier, La création de ce service a été pilotée
d’aujourd’hui et de projection dans la par la MNGN. Les réservistes numériques
gendarmerie de demain. « Disruptif », sont intervenus dès l’élaboration
« innovant », « engagement », « esprit des spécifications générales. Une analyse
de corps » ont été les mots les plus des scénarios stratégiques, suivant
évocateurs de ces journées. la méthode EBIOS Risk Manager, a été
menée par une équipe de réservistes
Pouvez-vous nous donner quelques citoyens de plusieurs régions, en une
exemples de cette contribution ? réunion « agile » en visioconférence
@GendEtVous est une excellente illustra- avec les chefs de projet fonctionnels.
tion de la richesse de cette collaboration. Un réserviste opérationnel a participé
C’est un service reposant sur une applet au développement de l’applet. L’analyse
qui vous permet aujourd’hui, lorsque vous des risques et le dossier d’homologation
vous connectez à https://lannuaire.seront été complétés à distance
vice-public.fr de prendre rendez-vous avec par un réserviste opérationnel de la région


Pays de Loire. Un audit de d’audit interne pour les homologations

(3) https://www.
ssi.gouv.fr/ code a été mené par une de sécurité des projets à petit budget. Des
uploads/2014/12/
PASSI_referen- équipe de réservistes réservistes citoyens, juristes de profession,
tiel-exigences_
v2.1.pdf
opérationnels, familiers du nous ont proposé leurs conseils pour la
référentiel d’audit PASSI révision de quelques aspects juridiques.
de l’ANSSI3, qui expérimentaient ainsi On a pu ainsi prononcer l’homologation de
l’idée, née d’une « rencontre grenadine », sécurité du système pour un coût modique
de constituer un référentiel et une équipe et avec beaucoup d’agilité.
© Gendarmerie nationale
Une application qui s’inscrit dans le souci de « répondre présent » à toutes les attentes du public
par des moyens numériques entrés dans les usages quotidiens.


Ceci m’a convaincue que nous pouvions David Toulotte, vous êtes directeur
tenter de monter un collège de réservistes de projets informatiques, notamment
venant en appui des innovateurs de transformation Cloud
de la gendarmerie, pour les aider à faire pour Arcelor Mittal Europe.
émerger leur projet en prenant en compte Vous avez actuellement une mission
les contraintes techniques et réglemen- à la DGGN et une autre à la région
taires dont le respect est indispensable de gendarmerie des Hauts-de-France.
à une généralisation du produit et à son Qu’est-ce qui vous a motivé
maintien en conditions opérationnelles pour accepter ces missions ?
et de sécurité. Ce processus complète Je travaille en effet avec Florence Esselin
les ateliers de la performance que pilote et trois réservistes citoyens, à établir
le service de la transformation, un processus et à constituer une équipe
pour la valorisation de l’innovation de « coachs » afin d’accompagner les
promoteurs d’outils numériques innovants.
participative. En liaison avec ce service
Il s’agit de sécuriser leurs projets quant
et le service des technologies
aux aspects juridiques, économiques,
et des systèmes d’information de la sécuri-
techniques et patrimoniaux qui font peser
té intérieure notamment, j’ai pu monter
une contrainte sur leur mise en production
un groupe de travail piloté par le CNE (R)
et leur déploiement à grande échelle, tout
David Toulotte, expert en chefferie
en soutenant leur innovation et en stimulant
de projet numérique.
leur créativité. J’apporte mes compétences
en termes de chefferie de projet.
En collaboration avec le service du traite-
ment de l’information de la gendarmerie
Parallèlement, du fait de mon expérience
et la région de gendarmerie Ile-de-France, professionnelle dans ce domaine,
nous explorons également les missions je participe aux actions de la réserve
qui peuvent être confiées aux réservistes cyber en région Hauts-de-France pour
en matière de gestion de crises numé- la sensibilisation des entreprises TPE/PME
riques. Leur capacité de mobilisation a été à la cybersécurité. Notre but est d’apporter
illustrée au début du confinement en mars de l’expérience et de la connaissance aux
2020, par le groupe des réservistes cyber TPE/PME déjà submergées par leur propre
d’Ile-de-France, qui a élaboré très vite un activité. Le profil idoine d’un chef
support de sensibilisation à destination des d’entreprise TPE/PME est très large.
entreprises sur les cybermenaces dans ce Outre sa fonction, il doit maîtriser les règles
contexte particulier, que toutes les régions comptables, les relations humaines sans
de gendarmerie de France et le CGOM oublier le domaine commercial. Il n’est pas
ont pu ensuite utiliser. évident d’absorber en plus toutes les


évolutions technologiques et leurs personnelle passionnante et enrichissante.

contraintes. Les actions de la réserve C’est une véritable pratique professionnelle
sont une façon de les soulager et de complémentaire qui permet d’acquérir
soutenir l’activité économique de la région. de nouvelles compétences comme la
Le 15 octobre 2020, nous avons débuté gestion du stress, le dépassement de soi,
une tournée régionale dans les CCI la maîtrise de sa capacité physique mais
Hauts-de-France, une grande première aussi des expertises techniques et d’autres
qui fut un succès. aptitudes (adaptabilité, encadrement, esprit
d’équipe) qui peuvent être utiles au quoti-
Vous animez un groupe de travail dien et dans son emploi. Cela peut aussi
avec des réservistes citoyens. s’avérer un véritable atout pour
Comment se passe la collaboration ? la recherche d’emploi.
Chacun apporte son propre domaine
d’expertise, avec un fort engagement, Il m’apparaît évident d’être aux côtés
en étant passionné et soucieux de soutenir
de mes camarades d’active et de réserve
la Gendarmerie nationale. Par ailleurs,
et je continuerai de les accompagner sur
les échanges d’expérience permettent
le terrain.
à chacun de s’enrichir et de générer
des partenariats ou des promesses
Mon profil me permet de travailler à divers
de relations professionnelles.
échelons de l’organisation de la Gendar-
merie nationale. C’est ainsi que j’ai pu
Quelle est votre expérience
travailler avec la Région de Gendarmerie
de la réserve opérationnelle ?
nationale des Hauts-de-France et dévelop-
Je suis engagé dans la réserve
opérationnelle de la gendarmerie depuis per un outil de diagnostic des vulnérabilités
1999. Depuis peu, la Gendarmerie des entreprises couvrant la cybersécurité
nationale nous propose des missions et la sûreté. Après quelques années, cela a
en lien avec nos compétences profes- débouché sur un partenariat entre la région
sionnelles dans le domaine du numérique. Hauts-de-France et la Région de
C’est une véritable nouveauté qui Gendarmerie. Ce partenariat a été signé
me motive énormément. au FIC 2020, par le président du conseil
régional, Xavier Bertrand, et le GCA Guy
Cependant, je suis aussi dans la réserve Cazenave-Lacroutz, commandant
opérationnelle pour sortir du quotidien par de la région de gendarmerie des Hauts-de-
des missions de terrain qui nous apportent France, en présence du Directeur général
autre chose, pour le bien commun. de la Gendarmerie nationale, le GAR
Cela permet de vivre une expérience Christian Rodriguez.


Alain Grandjean, vous êtes officier acteurs institutionnels et comment

à la division des opérations de la région les saisir, que faire quand on est victime
de gendarmerie des Hauts-de-France, ou témoin et comment trouver les kits de
quel emploi faites-vous de la réserve sensibilisation sur www.cybermalveillance.
numérique ? gouv.fr.
Dans le cadre du partenariat signé entre
la région Hauts-de-France et la région Enfin, la formation s’achève par l’enseigne-
de gendarmerie, la réserve numérique ment des « bonnes pratiques » en matière
de la Gendarmerie nationale intervient de cybersécurité, car la meilleure des
depuis le 15 octobre 2020 sur le « pass protections contre la cyber-malveillance de-
cyber formation » organisé dans le cadre meure la mise en place d’une organisation
du plan cyber initié par le Président de la au quotidien faisant appel au bon sens.
région Hauts-de-France. Il consiste en des Tout ce travail de sensibilisation en matière
journées de sensibilisation au profit des de cybersécurité pourra être partagé dans
chefs d’entreprises et cadres des PME un deuxième temps avec les autres régions
des Hauts de France. Ces journées sont qui souhaitent mettre en place
financées par le Conseil régional (à hauteur des démarches similaires.
de 50 %) et supportées par l’organisme de
formation de la « CCI Hauts-de-France ». Florence Esselin, comment voyez-vous
La « réserve numérique gendarmerie » l’évolution de la réserve numérique ?
a entièrement élaboré le programme de for- La réserve numérique est un vivier expé-
mation et le contenu des cours dispensés rimental. On ne s’interdit a priori aucune
durant ces journées et travaille directement innovation. On imagine des transforma-
avec le chargé de formation de la CCI. tions et on les teste à moindre coût, et si
elles s’avèrent pertinentes, le fruit de nos
La « réserve numérique gendarmerie » recherches peut être intégré dans les pro-
de la région des Hauts-de-France cessus existants.
est composée d’experts du domaine :
cadres d’entreprises ou professeurs En cela, c’est un levier du plan stratégique
d’université. Lors de cette formation, « Gend20.24 » pour faciliter la transfor-
ils abordent des thèmes très concrets : mation numérique de la Gendarmerie
les différents types de cyber-malveillance, nationale, accroître sa résilience aux cy-
l’identité numérique, les mots de passe, ber-attaques et la sécurité des « nouvelles
le RGPD, les cyber-attaques les plus frontières ». Il reste encore à renforcer son
courantes (rançongiciels, phishing et Faux organisation et à formaliser sa feuille de
Ordres de Virement International). route pour les années à venir, dans le cadre
Ils expliquent également quels sont les de son appui aux services centraux comme


aux unités sur le terrain. Signe positif,

quelques groupements, régions
de gendarmerie et services commencent
déjà à s’approprier cet outil, afin de
« Répondre présent, pour la population,
par le gendarme ».
Florence Esselin est conseiller expert Issu de l’École de Militaire de l’Air

en numérique et sécurité du numérique de Salon-de-Provence (EMA 1992),
au cabinet du directeur général le lieutenant-colonel Alain Granjean
de la Gendarmerie nationale. Ingénieur a intégré la gendarmerie en 1998.
en électronique, informatique, télécoms Expert en intelligence économique
et réseaux, elle a plus de vingt ans et protection des entreprises, diplômé de
d’expérience en transformation numérique l’INHESJ, il est actuellement affecté à la
et sécurité du numérique, en entreprise division des opérations de la région de
et en administration centrale (services gendarmerie des Hauts-de-France.
du Premier ministre, ministère Il est à l’origine du partenariat cyber
de la Culture et ministère de l’Intérieur) mis en place entre la Région
dont plus de dix ans au Secrétariat de gendarmerie et le Conseil régional
général de la Défense et de la sécurité des Hauts-de-France.
nationale.
David Toulotte est directeur de projets

informatiques chez ArcelorMittal
et capitaine de la réserve opérationnelle
de la Gendarmerie nationale ; ancien
auditeur de l’IHEDN et titulaire du MBAsp,
Management de la sécurité de l’EOGN,
il a été Référent sûreté multisites
industriels, Data Protection Officer
pour ArcelorMittal France, Coordinateur
RGPD pour ArcelorMittal Europe.
Référent en intelligence économique
pour la réserve, il intervient également
sur ce thème en université.

DOSSIER
Hygiène des organisations
et des systèmes
Sécurité des données
et transformation La CSPN, une certification
numérique P.71 en cybersécurité
par Ludovic Petit que l’Europe nous envie P.131
par Gérard Peliks
SOC et IOC
au travers Blockchain, au service
de la Threat de la sécurité P.137
Intelligence P.85 par Jacques Favier
par Robert
Breedstraet
et Matthieu Thuaire
Des « faits alternatifs » « De la genèse de la loi

à la « Deepfake reality » , informatique et libertés à l’éloge
vers la fin inéluctable de la vérité de la transdisciplinarité » P.143
dans le cyberespace ? P.95 par Alice Louis
par Franck Decloquement
Cybersécurité et protection L’ingénierie sociale et du rôle

des données : Pourquoi les de l’utilisateur en tant
entreprises sont-elles plus qu’acteur de la sécurité P.149
exposées après la crise ? P.105 par Denise Gross
par Marie de Friminville
Quelle cybersécurité face aux La part humaine déterminante

innovations numériques ? P.111 face aux crises majeures
par Myriam Quemener et son rôle
dans la cybersécurité P.155
par Daniel Guinier
Les IOT L’internet Ce que

des objets P.115 l’expérience
par François Bouchaud des Facteurs
Humains
Organisation-
nels dans les
domaines de
Cybermenaces : l’industrie et de l’aéronautique
la transition numérique peut apporter à la notion
de la police P.123 de culture de cybersécurité P.163
par Thomas Souvignet par Marc-Xavier Joubert,
Robert Breedstraet
et Stéphane Deharvengt

DOSSIER
Sécurité des données

et transformation numérique
Par Ludovic Petit
R
« Rien ne se perd, rien ne se crée,
tout se transforme. »
À l’instar de cette citation prêtée

à travers quelques exemples concrets
dans le cadre du Forum FIC dont le
thème est « For a collective and
collaborative cybersecurity ».
à Antoine Lavoisier lors de l’élaboration
de son « Traité élémentaire de chimie », La transformation digitale est une histoire de
l’omniprésence du monde numérique stratégie, pas de technologie. Examinons
dans notre quotidien nous impose tout d’abord un postulat relatif à la sécuri-
de reconsidérer notre perception relative té collaborative : « Tous connectés, tous
à certains concepts, notamment liés solidaires, tous responsables ». L’hyper-
à la cybersécurité. Ce changement connectivité, liée notamment au déploiement
de paradigme induit désormais une de la 5G, va renforcer l’interdépendance des
perspective collaborative et coopérative. acteurs et donc l’exigence de coopération
La cybersécurité apparaît donc dès lors pour éviter un risque systémique.
comme un véritable
fil d’Ariane pour contri- La sécurité collaborative peut être le fruit
buer au succès de la convergence de plusieurs approches :
de toute transformation -D
’un point de vue organisationnel, elle se
numérique. Peut-on traduit par la capacité de différents acteurs
parler de maturité (individus, communautés d’individus, entre-
quand on parle prises, États) à coopérer pour renforcer leur
LUDOVIC PETIT
de transformation sécurité individuelle. Le concept sous-en-
Président de JADE
Conseil en stratégie numérique ? C’est tout tend une dimension agile, voire une forme
et cybersécurité l’objet de cet essai, d’auto-organisation non centralisée,

DOSSIER
SÉCURITÉ DES DONNÉES ET TRANSFORMATION NUMÉRIQUE
- Sur le plan humain, elle rejoint le concept se sachant pourchassé, et donc mieux
de « crowd security ». comprendre les mécanismes de décision
de l’homme en général.
- S’agissant des aspects techniques, enfin,
la sécurité collaborative s’entend comme En 1948, Norbert Wiener baptisa cyberné-
la possibilité pour plusieurs systèmes tique un nouveau domaine de la science
d’échanger de l’information où est étudié le concept de maîtrise des
et d’apprendre les uns des autres machines. L’idée du nom lui vint du grec
pour améliorer leurs propres capacités. ancien kubernao qui signifie ‘piloter’.
Cette dimension collaborative est un défi Cyber a donc la même étymologie
mais aussi une véritable opportunité que gouvernail et que ... gouvernement.
à l’heure de la multiplication des
équipements connectés. En fondant la cybernétique, Wiener
introduit en science la notion de feedback
Aux origines du mot « cyber » (rétroaction, dans son sens littéral de
Quel est donc le sens de ce préfixe cyber, ‘nourrir en retour’), qui a nombre d’implica-
que l’on entend partout de nos jours ? tions dans des domaines tels que l’ingénie-
Les origines du mot aident à le com- rie, le contrôle de système, l’informatique,
prendre. Il est né après la Deuxième Guerre la biologie, la psychologie, la philosophie
mondiale dans la tête d’un chercheur et l’organisation de la société. Il exposa ses
américain nommé Norbert Wiener, théories sur la cybernétique dans son livre :
théoricien et chercheur en mathématiques « Cybernetics or Control
appliquées, surtout connu comme le père and Communication in the Animal and
fondateur de la cybernétique. the Machine », dont le New York Times
fit l’éloge en janvier 1949, en tant qu’un
Ce mathématicien fut engagé au Massa- des livres les plus importants du XXe siècle,
chusetts Institute of Technology (MIT) en lui prédisant un rôle de science phare
dans un programme de recherche dans le futur - et l’actualité lui donne raison.
consacré à de nouvelles formes d’arme- Un des concepts majeurs qui fondent cette
ments. On lui demanda de mettre au point nouvelle théorie est celui de « régulation »,
des missiles capables d’atteindre les avions nous y reviendrons.
allemands V1 et les fusées V2, sans pilote,
bourrés d’explosifs qui causaient tant de La cybernétique, omniprésente de nos
dégâts en Angleterre pendant la Deuxième jours, est en synthèse la science qui étudie
Guerre mondiale. Pour ce faire, Wiener comment un système peut poursuivre et
devait modéliser le comportement atteindre un objectif malgré les perturba-
d’un pilote en situation de combat, tions imprévisibles de son environnement.

DOSSIER
Cyber est devenu un préfixe à la mode à La cybersécurité ou sécurité des techno-

partir de la deuxième moitié du XXe siècle. logies de l’information, s’apparente aux
Son usage est consécutif au développe- techniques de protection des ordinateurs,
ment exponentiel de l’informatique des systèmes d’information, des appareils
et de la robotique, plus généralement mobiles, des réseaux, des applications et
à l’avènement du réseau Internet et de la des données contre les accès non autori-
« révolution numérique » que nous connais- sés et les attaques malveillantes.
sons depuis.
Le terme s’applique à des contextes divers
Force est de constater que la notion et se décline en quelques catégories bien
de sécurité a aussi subi une transformation connues :
assez radicale. À celle, classique,
de défense fortifiée du système d’informa- -L
a sécurité de l’information protège les
tion, s’est ainsi depuis quelques années, informations et les systèmes
substituée une autre approche, d’information contre tout accès,
plus complexe, désignée sous le terme utilisation, divulgation, perturbation,
de « cybersécurité ». modification ou destruction non autorisés
afin d’assurer la confidentialité,
Une des raisons premières est que l’évo- l’intégrité, la disponibilité et la non-
lution numérique technologique et fonc- répudiation des données, qu’elles soient
tionnelle induit la disparition des périmètres stockées / hébergées ou en transit ;
logiques traditionnels (on parle souvent
de disparition des frontières). L’entreprise -L
a sécurité des réseaux qui consiste
orientée « client » doit donc adapter à protéger un réseau informatique
et développer l’interactivité, la fluidité contre les intrus ;
et l’interconnectivité de ses échanges
internes et externes via un système -L
a sécurité des applications
d’information nécessairement plus ouvert se concentre sur la protection
et connecté… donc plus vulnérable. des logiciels contre les menaces ;
Ceci nous amène à un bref rappel -L

a continuité d’activité et la reprise
de la signification de ce que l’on appelle d’activité après un sinistre qui
« cybersécurité », véritable fil d’Ariane qui définissent la manière dont une entreprise
s’inscrit en filigrane de toute transformation réagit à une cyber-attaque ou à tout autre
numérique, pour une meilleure compréhen- événement qui entraînerait une interrup-
sion des quelques cas concrets mention- tion de service, un problème opérationnel
nés plus avant dans l’article. ou une perte de données ;

DOSSIER
- La sensibilisation des utilisateurs, Tenant compte du fait que nous vivons
relative au facteur le plus imprévisible : désormais dans un monde numérique,
l’humain. Aider les utilisateurs à mieux on considère de nos jours par extension -
comprendre et leur apprendre comment et par usage - la cybersécurité comme
réagir est essentiel pour protéger l’activité la sécurité de tout contexte lié à l’utilisation
d’une entreprise. de l’informatique et du numérique, dans
le cyberespace, notamment Internet.
Qu’est-ce que la sécurité des réseaux ?
Si vous considérez une entreprise comme Vient alors LA question :
un château fortifié contre les menaces Contre quoi dois-je me protéger ?
extérieures, la sécurité des réseaux Quelle est la menace ?
se préoccupe du maintien de la paix Dans certains contextes, par exemple
et du calme dans l’enceinte du château. militaires, on connaît les menaces. On agit
Elle se concentre sur le maintien des forti- donc en conséquence en effectuant
des simulations et des exercices, en situa-
fications, bien entendu, mais son objectif
tion réelle, conformes aux scenarios.
premier est de se prémunir contre les
En informatique, une menace est une
problèmes de l’intérieur, en se concen-
cause potentielle d’incidents pouvant créer
trant sur la protection des informations
un dommage au système ou à l’entreprise
internes à l’entreprise, en surveillant le
(selon la norme de sécurité des systèmes
comportement des employés et du réseau
d’information ISO/CEI 27000).
de plusieurs façons. La cybersécurité est
beaucoup plus centrée sur les menaces
La déstabilisation, l’espionnage, le sabo-
venant de l’extérieur du château.
tage et la cybercriminalité constituent les
Quand la sécurité du réseau s’inquiète principales menaces pour une entreprise.
de ce qui se passe à l’intérieur des murs L’atteinte à l’image, l’impact financier et
du château, la cybersécurité consiste les conséquences légales sont bien réels.
à surveiller ceux qui tentent de passer C’est pourquoi il est impératif d’évaluer
la porte ou de franchir les parapets son niveau d’exposition à la menace cyber.
et à analyser les techniques d’attaques. Dans une perspective de sécurité des
Il y a certes une forte intrication entre ces données et de transformation numérique,
deux domaines mais leurs préoccupations la cybersécurité induit naturellement
sont très différentes. La cybersécurité vise et par essence la notion de travail
à défendre le royaume et se concentre sur collaboratif. En effet, la cybersécurité oblige
les attaquants à la porte et sur la façon à considérer tant l’élément à sécuriser
dont le château communique avec que son contexte. En d’autres termes,
le monde qui l’entoure. raisonner cybersécurité ne peut se faire

DOSSIER
© Metal Wheel Concept par EtiAmmos

L’évolutivité des technologies, des mœurs des usagers et les contraintes économiques rendent impératives
une vision collaborative pour promouvoir une cybersécurité normée et suscitant la confiance.
qu’en ayant une idée précise de ce qu’il comme essentielle. Nous le verrons dans
y a à sécuriser (la vision micro) dans un quelques instants, les contraintes légales
contexte global (la vision macro). et réglementaires obligent les entreprises à
C’est accessoirement le sens de l’Analyse sécuriser les données, donc leur système
de Risque. d’information. Par nature, cela nécessite
une très forte interaction entre Direction
Un bon exercice est par exemple d’éteindre Générale et Responsable de la Sécurité
l’interrupteur du site de production, afin de des Systèmes d’Information (RSSI)
tester ses processus de gestion de crise, pour que les mesures opérationnelles
de résilience de service(s) assurant la conti- mises en place répondent aux besoins
nuité d’activité et la reprise d’activité après métier(s) de l’entreprise.
un sinistre. Le coût d’une telle interruption
de service(s) sera vite connu. Avez-vous Cette collaboration doit garantir la légitimité
déjà testé votre processus de gestion de la cybersécurité en entreprise, tant dans
de crise en situation réelle ?... sa verticalité (Comité Exécutif / Direction
Générale – RSSI) que dans sa transver-
La notion de collaboration (voire salité (RSSI – entités Métiers et Direction
d’hyper-collaboration dans le cadre d’un des Systèmes d’Information). C’est ce qui
contexte sensible) apparaît dès lors conditionne une bonne vision d’ensemble

DOSSIER
d’un écosystème. L’exercice est certes loin soit partagée avec ses clients
d’être trivial mais c’est le lot quotidien et partenaires.
du RSSI, véritable chef d’orchestre
de la sécurité des données de l’entreprise La cybersécurité devient dès lors
et protecteur du business. indispensable et constitue un catalyseur
de développement économique, ce qui
Pour que cette collaboration pluridimen- est aujourd’hui perçu comme un facteur
sionnelle fonctionne, cela demande différenciant essentiel. La démarche initiée
de sortir du carcan de la vision purement par l’ANSSI concernant la certification
technique de la SSI. La transformation de solutions est un exemple de ce qu’un
numérique introduit un changement ‘facteur différenciant’ peut représenter
de perspective, centré sur la donnée en termes de solution de confiance.
et sur le potentiel de sa valorisation La cybersécurité est de nos jours devenue
économique. Ainsi s’explique l’engoue- un véritable business-enabler.
ment des entreprises pour l’Analytics
et le Big Data. Ne dit-on pas de la donnée De plus, cette synergie entre Exécutif
qu’elle est le « pétrole » du XXIe siècle ? et RSSI est « bankable » ; c’est à travers
cette stratégie collaborative qu’une
La valeur d’une information est condition- entreprise peut (doit !) être perçue comme
née par sa disponibilité, son intégrité un partenaire de confiance par ses clients
et sa finalité métier qui requièrent et partenaires, socle indispensable
une confidentialité stricte. Les pratiques pour contribuer à faire évoluer une notion
de la sécurité doivent donc dépasser de service.
la dimension purement technologique
du SI pour embrasser la dimension La transformation numérique implique
métier(s). Là est le véritable challenge ! aussi une véritable coopération entre
Data Protection Officer (DPO, le Délégué
La sécurité ne peut donc se résumer à la Protection des Données personnelles -
à un arsenal technique de protection du DPD en français) et RSSI. Cette collabora-
système d’information. Elle est désormais tion entre le DPO et le RSSI, primordiale
intimement liée à tous les aspects de la vie de nos jours, est due à un changement
des entreprises et des métiers, dans leurs de paradigme. Historiquement,
relations avec les clients, les partenaires et ce jusqu’aux prémices d’Internet
et les employés. Pour tirer profit de sa de la fin des années 80, les émergences
transformation numérique, il faut que technologiques prenaient le pas
l’entreprise dispose d’un système d’infor- sur le cadre légal de référence qui n’avait
mation de confiance et que cette confiance pas évolué en conséquence, ce qui posait

DOSSIER
un problème majeur au législateur. le cadre légal et réglementaire conditionne

les moyens techniques à mettre en œuvre
Le droit évoluait alors en fonction des pour être conforme à la loi, à l’image
évolutions technologiques, à l’image du règlement général sur la protection
de la Loi Godfrain du 5 janvier 1988, des données (RGPD) entré en vigueur,
ou de la loi n° 88-19 du 5 janvier 1988 le 25 mai 2018, pour toute société traitant
relative à la fraude informatique, première des données personnelles de citoyens
loi française réprimant les actes de crimi- européens, avec une notion d’extra-
nalité informatique et de piratage. Nommée territorialité.
d’après le député RPR Jacques Godfrain,
c’est l’une des lois pionnières concernant L’article 37 du RGPD mentionne les cas
le droit des nouvelles technologies dans lesquels il est obligatoire de nommer
de l’information et de la communication un DPO, ainsi que ses modalités de dési-
(NTIC), après, notamment, la Loi Informa- gnation. Les articles 38 et 39 définissent
tique et libertés, de 1978, qui introduit respectivement sa fonction et ses missions.
la notion de système de traitement Le DPO a la charge de recueillir les infor-
automatisé de données (STAD) et prévoit mations visant à connaître les opérations
plusieurs dispositions corrélatives de traitement et d’apprécier leur conformité
de la loi Godfrain (notamment concernant au cadre légal. Il doit informer, conseiller
les obligations du responsable du traite- et émettre des recommandations au res-
ment quant à la garantie de la sécurité ponsable de traitement et au sous-traitant.
des données - Art. 34, Loi de 1978).
Rappelons que, bien que le rôle de DPO
Cette tendance s’est depuis inversée. fixé par le règlement européen soit très
La France a été un précurseur en matière récent, la protection des données person-
d’évolutions légales relatives aux nouvelles nelles a toujours historiquement été au
technologies, faisant de nombreux émules centre de la démarche du RSSI, sécurité
de par le monde, par exemple avec le de l’information oblige. Le RGPD vient
« California Online Privacy Protection Act of néanmoins renforcer le fait que le RSSI
2003 » (CalOPPA), entré en vigueur doit travailler de concert avec la direction
le 1er juillet 2004 et modifié en 2013. juridique et le DPO, afin que la sécurité
C’est la première loi d’État des États-Unis de l’information soit appliquée à l’échelle
à exiger que les sites commerciaux de l’entreprise conformément au cadre
et les services en ligne sur Internet légal en vigueur et aux besoins métier(s).
disposent d’une politique de confidentia-
lité sur leur site web. De nos jours, et ce Cette synergie est aujourd’hui un plus
depuis maintenant une vingtaine d’années, indéniable pour toute entreprise souhaitant

DOSSIER
valoriser la sécurité de son patrimoine le label. Dans cette perspective, le pro-

informationnel auprès de ses clients. cessus appliqué par l’entreprise est audité
Lorsqu’on parle sécurité des données et certifié conforme au label ou pas. Il n’y
personnelles, cela implique de facto a pas de demi-mesure. Dans le cadre du
le principe de proportionnalité cher au RSSI RGPD, le principe de finalité du traitement
de Disponibilité, Intégrité, Confidentialité de données à caractère personnel régit le
et Preuve (DICP). Le travail conjoint processus opérationnel à appliquer.
du DPO et du RSSI est l’exemple type Pas de débat, il faut rester pragmatique
de ce que l’on doit concevoir comme et matriciel dans une approche qui dépend
cybersécurité collective et collaborative. du contexte. La CNIL est très claire sur
Citons le Considérant 7 de l’introduction ce point.
du RGPD qui image ce propos : « Il importe
de susciter la confiance qui permettra à L’anonymisation est un traitement
l’économie numérique de se développer. » qui consiste à utiliser un ensemble de
techniques de manière à rendre impossible
Au-delà de l’obligation légale, la coopéra- toute identification de la personne par
tion entre DPO et RSSI s’avère non quelque moyen que ce soit et de manière
seulement être une nécessité mais aussi irréversible. L’anonymisation ne doit pas
une affaire de bon sens pour protéger être confondue avec la pseudonymisation.
le patrimoine de l’entreprise. Cette
coopération majeure et essentielle permet La pseudonymisation est un traitement
à l’entreprise de pérenniser sa cybersécu- de données personnelles réalisé de
rité, contribuant ainsi à être perçue comme manière à ce qu’on ne puisse plus attribuer
un partenaire de confiance par ses clients les données relatives à une personne phy-
et partenaires. sique sans information supplémentaire.
La pseudonymisation consiste à remplacer
Anonymat, pseudonymat, les données directement identifiantes
un vrai-faux débat ? (nom, prénom, etc.) d’un jeu de données
La définition d’une donnée à caractère per- par des données indirectement identifiantes
sonnel existe, certes, tout comme celle de (alias, numéro séquentiel, etc.).
l’anonymisation et de la pseudonymisation. La pseudonymisation permet ainsi
En fait, il faudrait que le législateur créé un de traiter les données d’individus sans
label certifiant que le processus tech- pouvoir identifier ceux-ci de façon directe.
nique d’anonymisation a été bien appliqué En pratique, il est toutefois bien souvent
conformément aux standards technolo- possible de retrouver l’identité de ceux-ci
giques nécessaires, sur les données carac- grâce à des données tierces : les données
térisées à caractère personnel dans concernées conservent donc un caractère

DOSSIER
personnel. L’opération de pseudonymisa- Exemple par excellence de transformation

tion est également réversible, contrairement numérique, Internet est un média électro-
à l’anonymisation. La pseudonymisation nique dont l’utilisation - quelle qu’elle soit
constitue une des mesures recommandées - ne permet PAS l’anonymat. Afin d’étayer
par le RGPD pour limiter les risques liés mon propos je vais citer ici une personne
au traitement de données personnelles. remarquable, Edmond Locard, père de la
police scientifique qui, alors que Georges
À noter qu’il est important que la démarche Clemenceau venait de créer ses Brigades
d’anonymisation / pseudonymisation soit régionales de police mobile (dites
gérée en mode projet, afin de documenter « Brigades du Tigre », et ancêtre
la stratégie et la procédure appliquée ( de l’actuelle police judiciaire française),
données concernées, méthode technique posait en 1910 les fondamentaux de la
choisie et appliquée, description criminalistique : « Nul ne peut agir avec
du processus de modification, etc.), d’être l’intensité que suppose l’action criminelle
en mesure d’appliquer le même processus sans laisser des marques multiples
dans le temps, suivant les mêmes règles, de son passage. Par une action inverse,
de pouvoir trouver une éventuelle faiblesse il a emporté sur son corps ou sur ses
dans le processus, ou de le faire évoluer vêtements les indices de son séjour
en cas de besoin. ou de son geste. »
Quid en revanche de l’anonymat / du pseu- En substance et si on transpose le postulat

donymat lors de la navigation sur Internet ? émis par Edmond Locard au contexte
De façon native, la connexion à Internet de transformation numérique qui régit notre
par un fournisseur d’accès ne fournit pas quotidien, les technologies utilisées par le
d’information sur l’utilisateur, mais réseau des réseaux pour son fonctionne-
en revanche référence une adresse IP ment intrinsèque conditionnent ceci : tout
correspondante. Techniquement, même individu laisse une trace. Techniquement,
si le nom/prénom de la personne qui surfe quand bien-même nous utiliserions des
sur le Net n’est pas divulgué lors de la technologies de chiffrement et autres
connexion, l’anonymat n’est pas garanti. VPNs, l’anonymat – au sens strict du terme
On considère donc en ce cas qu’il y a – est presque impossible sur internet car la
pseudonymat, en ce sens que le fournis- technologie permet la plupart du temps de
seur d’accès à internet peut lui, corréler les faits (mon propos ne concerne
très simplement corréler cette adresse IP pas le cas des États-Nations dans le cadre
à une personne physique (ne serait-ce de leur souveraineté nationale disposant
que par les références de souscription de moyens ad hoc). J’ajoute que, bien sou-
initiale au service). vent, la complexification des technologies

DOSSIER
utilisées à dessein rend - presque - impos- des pertes de revenus, des vols de don-
sible l’identification d’une personne, mais nées et d’autres atteintes à la vie privée.
d’un point de vue technique perdure, quoi
qu’il en soit, la notion dite de bout-en-bout. On peut dès lors légitimement se poser
En telle circonstance donc, il s’agit d’un la question : pourquoi ces sociétés
vrai-faux débat. développent-elles des objets connectés
non sécurisés ? Comme bien souvent, des
Vaste débat que celui de l’Internet décisions fondées sur les coûts ont conduit
des objets (IoT, pour Internet of Things) les développeurs et les entreprises à choisir
Le sujet de l’Internet des objets a briève- des plateformes IoT peu sécurisées.
ment été évoqué, qu’en est-il des objets Les entreprises évitent souvent de fournir
connectés et quid de la cybersécurité des mises à jour logicielles sécurisées
collaborative ? en raison du coût de déploiement
et de gestion du cycle de vie des
Des solutions mal sécurisées produits qui y est associé. Les ingénieurs
Force est de constater que les solutions de ces plates-formes ont souvent abordé
IoT développées de nos jours ont, pour la le problème à partir de leur propre base
plupart, échoué d’un point de vue sécurité. de connaissances, qui ne comprend
Les raisons sont variées mais trois axes généralement pas une bonne compréhen-
majeurs s’en dégagent : manque de sup- sion des considérations de sécurité.
port matériel pour la sécurité, des solutions De fait, même inconsciemment, des déci-
disparates nécessitant des mises à jour sions ont été prises qui portent atteinte
systématiques et un manque de compré- à la sécurité du système à long terme.
hension de l’environnement de la menace. C’est le challenge à relever concernant le
sujet des objets connectés. À noter qu’un
Beaucoup d’entreprises, qui n’étaient produit perçu comme peu sûr peut non
pas connectées auparavant, ont cherché seulement entraîner son rejet par
à numériser leurs produits et services sans les consommateurs (avec une potentialité
réellement disposer de la connaissance d’impact économique certain) mais aussi
préalable de la cybersécurité. Elles ont d’éventuelles enquêtes judiciaires,
sous-traité le problème à des sociétés ne l’oublions pas.
qui ne comprennent pas non plus les
risques cyber ou qui n’ont qu’une vision Une conception des réseaux datée
partielle du système dans son ensemble. Le pragmatisme est de rigueur avec un tel
Les hackers profitent bien évidemment de sujet. D’un point de vue personnel, je ne
cette situation pour perpétrer des attaques pense pas que l’on puisse disposer, à date,
DDoS (Deni de Service Distribué), causer d’une tendance crédible du nombre

DOSSIER
d’objets qui seront connectés dans les an- (Internet Protocol) qui n’ont pas changé
nées à venir, ceci pour une raison simple qui depuis leur développement dans les
bien souvent est passé sous silence : les années 1970 et leur utilisation à partir des
réseaux de communication actuels ne sont années 1980, notamment par le réseau
pas, à date, conçus pour supporter une Arpanet qui préfigurera le réseau internet.
charge de trafic aussi conséquente relative
à xxx milliards d’objets à interconnecter en Or, de quelques centaines d’utilisateurs
temps réel (Fin de la statistique probabiliste au départ, le réseau des réseaux accueille
précitée). Ce n’est pas un postulat intangible quarante ans plus tard plus de 4,5 milliards
de ma part, encore moins une critique, mais d’utilisateurs à travers une kyrielle
un fait. Les réseaux de télécommunications, de services inimaginables à l’époque :
tels que nous les connaissons aujourd’hui, développement du haut débit, télépho-
ont initialement été conçus pour nous nie sur IP, télévision sur IP, explosion des
permettre de communiquer plus facilement,
usages internet en situation de mobilité,
évolutions technologiques aidant, et ont
essor de l’Internet des objets, etc.
évolué à travers le temps (tout relatif) pour
passer du stade de réseaux voix à celui
Les protocoles TCP et IP n’ont pas été
de voix-data par l’adoption massive de la
pensés, dans les années 1980,
technologie en mode paquet, notamment IP.
pour supporter une telle diversité
En fait, on a voulu avec les télécoms (fixe et
d’applications : « IP n’a pas été optimisé
mobile) migrer de technologies initialement
pour prendre en charge les flux de
dédiées à transporter de la voix, à faire de
données tels que la voix, la diffusion audio
la voix sur IP, alors que le protocole IP n’est
pas du tout conçu pour embarquer des et la vidéo. Il a été conçu pour ne pas être
échantillonnages voix en paquets qui doivent le réseau téléphonique », expliquait en
eux-mêmes être resynchronisés sans fin 2011 John Day, co-concepteur d’Arpanet.
dans les réseaux hétérogènes… Qualité de
Service quand tu nous tiens (QoS). En clair, La technologie 4G a apporté un plus dans
on a voulu faire moins bien avec IP que ce le cadre de cette transformation numé-
qui marchait à peu près bien avec les ré- rique, et la 5G - pour faire simple – va
seaux voix. Peu importe, l’évolution techno- semble-t-il apporter la pervasivité, l’omni-
logique va de pair avec l’évolution humaine, présence, le tout connecté « de partout »,
c’est dans la logique des choses. n’importe quand et quelle que soit
la technologie. En conséquence et avec
Le fonctionnement du réseau Internet une telle perspective technologique,
repose sur les protocoles TCP la cybersécurité ne peut qu’être
(Transmission Control Protocol) et IP collaborative.

DOSSIER
Brève incise à propos de l’un des nombreux projets visant à inventer l’Internet du futur, appelé RINA
(Recursive InterNetwork Architecture), auquel participe le chercheur français Louis Pouzin
(que je salue ici avec respect et reconnaissance), l’un des pionniers de l’Internet.
© CC BY-SA 3.0 Photo Jérémie Bernard

RINA propose une nouvelle architecture de réseau capable de résoudre les lacunes de l’internet
actuel. La France a tout à gagner à supporter et valoriser un tel projet !
La technologie 4G a apporté un plus d’harmonisation des normes,

dans le cadre de cette transformation de partage d’informations, voire de trans-
numérique, et la 5G - pour faire simple fert de compétences, de consensus
– va semble-t-il apporter la pervasivité, et d’actions coordonnées entre les acteurs,
l’omniprésence, le tout connecté « tant publics que privés ?
de partout », n’importe quand et quelle
que soit la technologie. En conséquence Si le champ des possibles est considérable
et avec une telle perspective technolo- avec la 5G, c’est loin de n’être qu’un sujet
gique, la cybersécurité ne peut qu’être technique. On est là au cœur de la notion
collaborative. de collaboration nécessaire entre acteurs,
car la complexification technologique
Comment en effet espérer, en de telles cir- est telle que les business-models restent
constances, pouvoir gérer une quelconque à créer, tout comme celui de la Cybersécu-
cybersécurité contextuelle s’il n’y a pas rité qui devra nécessairement évoluer

DOSSIER
pour s’adapter en conséquence. qui touche le système reliant la voiture

à Internet, en l’occurrence, Uconnect.
Véhicule autonome et sécurité (Le lien pour visualiser la vidéo est dispo-
collaborative nible dans les sources et références,
Comment, avant de terminer cet essai, en fin d’article).
ne pas parler des véhicules connectés,
tant il y a de préoccupations inhérentes Il y a quelques décennies, une voiture
à la cybersécurité et à la sûreté. n’était qu’une mécanique de métal
dans une carcasse de tôle. Aujourd’hui,
Un exemple pour s’en convaincre ? c’est aussi un ordinateur…Puissant…
Sautons ensemble dans l’arène. Une vidéo Et connecté. La part des voitures connec-
publiée par Wired en 2015 montre un des tées sur le nombre total de voitures neuves
journalistes du magazine spécialisé, Andy vendues dans le monde en 2015 était
Greenberg, rouler à plus de 100 Km/h de 35%, avec une prévision de 90% pour
sur une autoroute du Missouri, dans 2020 et de 100% en 2025. (Voir Ref.)
une Jeep Cherokee récente. Ainsi, en 2025, toutes les voitures neuves
vendues chez les concessionnaires
Sans qu’il n’actionne aucun bouton, devraient être connectées à Internet
la climatisation s’active au maximum. et équipées de services d’information
Il poursuit sa conduite, tandis que sa radio et de communication : Connecto,
se met en route avec le son lui aussi ergo sum.
au maximum. Une minute plus tard,
son réservoir de liquide lave-vitres se vide Une projection du nombre de voitures
et ses essuie-glaces battent la mesure. connectées en circulation en France était
Il ne voit plus grand-chose. Les portes de 3,1 millions en 2017, 8,6 millions cette
se verrouillent et se déverrouillent automati- année en 2020, 10,7 millions en 2021,
quement. Mais un problème plus important avec une prévision de 12,8 millions en
survient. La transmission de son véhicule 2022. D’une évaluation effectuée en 2015
est coupée, la Jeep ralentit. Pendant par des entreprises européennes du
une longue minute, durant laquelle secteur automobile relative aux défis du
il craint de se faire emboutir par un camion marché des voitures connectées, il ressort
semi-remorque, Andy Greenberg ne peut que près de 40 % des entreprises ont
rien faire. Grosse panique à bord ! En fait, considéré l’absence de normes entre les
deux chercheurs en sécurité informatique, fabricants et les fournisseurs comme un
Charlie Miller et Chris Valasek, ont piraté défi majeur à cette période. Ce « simple »
à distance la Jeep Cherokee d’Andy fait concourt à complexifier la mise
Greenberg. Ils ont exploité une faille en place d’une cybersécurité efficace

DOSSIER
- Notions de « données personnelles »,

et adaptée au secteur des véhicules
« d’anonymisation », de « finalité »
connectés. Le défi est réel, car on constate et de « traitement », CNIL
que la cybersécurité peut sauver des - Edmond Locard, le père de la police scientifique
vies ! Il ne viendrait à l’esprit de personne
- Règlement général sur la protection
d’acheter un véhicule sans freins ou en des données (RGPD)
option, ce serait un non-sens. C’est pareil https://www.cnil.fr/fr/reglement-europeen-protec-
avec le cyber pour les véhicules connectés, tion-donnees
la sécurité n’est PAS une option ! Il est - Louis Pouzin, RINA
une évidence que cela méritera considé- (Recursive InterNetwork Architecture)
ration dans la perspective des véhicules https://la-rem.eu/2019/09/rina-un-projet-pour-linter-
net-de-nouvelle-generation/
autonomes qui nécessitent une cybersé-
http://pouzinsociety.org/
curité collaborative.
- Hackers Remotely Kill a Jeep on a Highway -
With me in it
Je sais les engagements, les talents https://www.youtube.com/watch?v=MK0SrxBC1xs
qui œuvrent au quotidien, tout comme https://www.wired.com/2015/07/hackers-remotely-
j’ignore certainement bien des dévelop- kill-jeep-highway/
pements en cours. Je les salue ici avec - Securing IoT Solutions By Design -
respect car le sujet est loin d’être simple. A Guide to Securing IoT Devices and Services
Comme nous avons pu le voir, nous vivons at Scale
https://www.copperhorse.co.uk/copper-horse-and-
dans un Work in progress, un monde
arm-launch-white-paper-on-iot-security-by-design/
en perpétuelle mutation dont la transforma-
- Les voitures connectées - Faits et chiffres,
tion numérique n’en est qu’à ses prémices. juin 2020
L’Intelligence Artificielle, le Machine https://fr.statista.com/themes/3695/
Learning ? Je ne les oublie pas : nous les-voitures-connectees/
en discuterons au FIC 2021. À vous y

L’AUTEUR
rencontrer avec plaisir !
Président de JADE, cabinet de conseil
Sources et Références
en stratégie et cybersécurité, Ludovic
- Aux origines du mot « cyber », Petit a été Directeur Cybersécurité
Luc de Brabrandere du Groupe Altran. Expert en cybersécurité
- Cybernetics, or Control and Communication et protection des données, il est
également chercheur associé au Centre
in the Animal and the Machine (1948) publié
de Recherche de l’École des Officiers
en anglais par la Librairie Hermann & Cie de la Gendarmerie Nationale,
(Paris), The MIT Press (Cambridge, Mass.) Commandant de Réserve Citoyenne
et Wiley (New York) ; traduit sous le titre Cyberdéfense et membre du Conseil
La cybernétique. Information et régulation d’Administration de Cyberlex,
dans le vivant et la machine, par R. Le Roux, l’Association du droit et des nouvelles
R. Vallée et N. Vallée-Lévi, éd. Seuil, Coll. technologies.
Sources du Savoir, 2014.

DOSSIER
La Threat
Intelligence
Par Robert Breedstraet et Mathieu Thuaire
L
La crise sanitaire mondiale que nous traver-
sons actuellement rappelle que le coronavirus
COVID-19 tout comme les virus informatiques
(1) SOC : « Security
Operation Center
», le SOC est un
Fort de cette actualité
« pandémique », dans le
cadre de la cybersécurité et
n’est pas soumis à la notion de frontières. département de de ses moyens déployés
sécurité qui est
Par ailleurs, il nous rappelle la nécessité de en charge de super- par les entités qu’elles
viser et protéger les
travailler ensemble pour obtenir au plus vite systèmes d’informa-
soient privées ou publiques,
le traitement et surtout signaler les clusters tion des entreprises un des outils qui intègre la
contre les cyber
afin de préserver la population. En matière attaques. boite à outil du RSSI est
de cybersécurité cela revient à disposer de la (2) APT : « Advance constitué du SOC (Security
capacité de détecter le signaux des attaques, Persistent Threat » Operating Center)1. La
menace avancée
même faibles, de bâtir une stratégie sur des persistante, c’est- détection des empreintes
à-dire une attaque
bases techniques et organisationnelles et de cyber précise, ou des signaux faibles -
ciblée, souvent
partager, en sûreté, les informations récoltées complexe et furtive.
constituant notamment les
par les systèmes dans un mode collaboratif. L’acronyme APT est APT2 (Advanced Persistant
aussi utilisé pour
décrire les groupes Threat) – est assurée par les
responsables de
ces attaques
mécanismes de corrélation
(exemple : APT 1, des logs concentrés par le
présumé chinois et
supposé troisième SOC, et restituée au travers
département de
l’état major de du SIEM3 (Security Informa-
l‘Armée Populaire tion and Event Manage-
de Libération, connu
sous le code Unité ment) aux analystes. Bien
61398.
ROBERT MATHIEU THUAIRE évidemment, malgré
BREEDSTRAET
RSSI l’automatisation possible, ainsi que le
Division information Secrétariat Général
security officer. machine learning implémenté dans cet outil,
de la Défense et de
Adjoint au Corporate la Sécurité Nationale tout signal qui se glisserait dans un compor-
CISO d’Amadeus
IT Group. 85
1er trimestre 2021 Revue de la Gendarmerie Nationale
DOSSIER
LA THREAT INTELLIGENCE
tement normal défini par les métiers de de crédit et vider vos comptes en banque.
l’entité considérée risquerait de passer Le but des attaquants peut aussi être
inaperçu. Cela souligne ainsi la nécessité et de capturer de nombreuses informations
la difficulté de corréler l’ensemble des sensibles tels des secrets de fabrication
signaux ou même des données personnelles et de
de manière globale afin voyage. D’autres attaques ont comme
(3) SIEM : « Security
Information and d’identifier une attaque finalité de réduire les moyens de communi-
Event Management
» les SIEM sont des
potentielle. La notion cation ou même de complètement détruire
outils de gestion d’indicateur, que nous les moyens informatiques de grands
de l’informationde
sécurité qui aident retrouvons plus régulière- groupes industriels ou d’États ennemis.
les organisations
et les entreprises à
ment sous le terme Les tactiques, les techniques et les
gérer tous leurs éve- d’IOC : Indicator Of procédures utilisées diffèrent car une
nements de sécurité
(les logs ou journaux Compromise, est ici attaque persistante pour le vol des
systèmes) afin d’en
extraire les alertes primordiale4. données se construit
et, potentiellement,
de remonter à la
(5) EBIOS RM : différemment d’une
« Risk manager »
Nous pressentons ici
source de l’attaque. méthode française attaque purement
d’identification
la limite de l’exercice si
(4) IOC : « Indicator et de compéhension
destructrice. Ces éléments
of Compromise »
chaque entité travaille de
on pourrait traduire
des risques numé- sont notamment identifiés
riques au sein
par indicateur demanière isolée. En effet, d’une entreprise. dans la méthode EBIOS
compromission, les
IOCs classiques afin de couvrir le spectre (6) Script kiddie RM5, éditée et préconisée
sont les signatures
le plus large possible, il
de virus, les signa-
ou lamer désigne
des néophytes,
par l’ANSSI, dans le cadre
est nécessaire de détenir
tures de trafic re-
seau, les « hashes »
ne disposant pas des analyses de risques
de compétences
les IOC les plus pertinents
(MD5) de malwares, sérieuses en sécu- servant de base
les URL et les noms rité informatique,
couvrant les risques des
de domaine des ser- qui tentent de forcer
à l’homologation des
veurs de commande
et de contrôle…
SI considérés de l’entité, des systèmes au systèmes d’informations.
moyens de scripts
ce qui nécessite donc de dont ils ne maîrisent
qu’imparfaitement
maîtriser son infrastructure et sa configura- les ressorts. Toutefois, la stratégie est
tion, et surtout de les partager au plus vite commune pour certaines
pour limiter l’impact des attaques. phases de ces différentes attaques
(dans le scénario décrit ci-dessous les trois
L’état de la menace premières phases se retrouvent dans les
Ce qui se cache derrière les menaces attaques citées plus haut). Bien évidem-
aujourd’hui peut prendre plusieurs formes : ment nous parlons ici d’attaques élaborées
les attaquants peuvent avoir des visées et non pas de simples scan de ports
purement économiques, des groupes ou d’attaques de script kiddies6.
criminels parfois multinationaux vont
extorquer votre argent, voler vos cartes -U
ne première phase dite de reconnais-

DOSSIER
LA THREAT INTELLIGENCEE
sance, où se mêle de l’ingénierie sociale possible une attaque relève souvent de

pour apprendre à connaître ses victimes, capacités techniques élevées. Par ailleurs,
du phishing avec cette phase est souvent la plus difficile
(7) Identifiants
de connexion à un des pièces jointes à identifier, d’où la nécessité d’indicateurs
espace à accès
restreint. ciblées et piégées, pertinents et un besoin de corrélation
ou le vol de credentials7. prégnant.
-U
ne seconde phase dite d’exécution, où Afin de définir une stratégie de sécurité
l’attaquant s’installe dans le système en pertinente, il est nécessaire de se baser sur
utilisant des chevaux de Troie (appelés une approche multi-factorielle : technique,
aussi Trojan) à accès distant. organisationnel ou encore métier.
-U
ne troisième phase de persistance qui Sans décrire ici l’ensemble des briques
caractérise le fait de rester caché au fond nécessaires à l’exploitation d’une bonne
des systèmes informatiques de la victime. politique de sécurité des systèmes d’in-
Cette phase est réalisée quand l’atta- formation (PSSI), quelques bases sont à
quant a pris le contrôle de comptes dit respecter :
à privilège, comme des comptes
« administrateurs ». Les bases techniques (liste non exhaustive) :
-U
ne quatrième phase dite de collection -L
a maîtrise de la configuration de ses
où les informations sensibles de la victime systèmes (version logicielle, équipements
sont capturées : données sensibles, installés, politique de gestion du change-
identifiants et mots de passe, courriels. ment, politique de maintien en condition
opérationnelle et de sécurité, …) ;
-U
ne étape finale d’extraction,
où les données sont compressées, -L
a politique de journalisation des logs de
chiffrées et envoyées sur le réseau tous les équipements du proxy au serveur
à un ou des serveurs externes. métier (les équipements dits de sécurité
ne sont pas les seuls à pouvoir fournir
Sans préjuger d’un ordre de criticité de ces des logs pertinents, d’autant plus dans
différentes phases, intéressons-nous le cadre d’une surveillance comporte-
à la troisième phase qui est l’objet de mentale) ;
beaucoup d’attention de la part d’atta-
quants que nous qualifierons d’experts. -L
a maîtrise de ses annuaires (AD8, LDAP9,
En effet, la capacité à se dissimuler dans … toutes ces briques doivent être maîtri-
un réseau et à exploiter le plus longtemps sées et respecter un cloisonnement fort) ;

DOSSIER
- Une architecture suffisamment cloisonnée de la Sécurité des Systèmes

(8) AD et GAD :
pour garantir le service d’Information), capable d’assurer en
« Active Directory métier et assurer une gestion de crise le management tranverse
et Global Active
Directory » ce sont protection contre les des équipes, mais aussi, en temps calme
des annuaires
qui fournissent mouvements latéraux, la sensibilisation et le respect des poli-
des fonctionalités tout en mélangeant des tiques de sécurité (ce poste peut couvrir
d’authentification,
de gestion des technologies issues de bien plus de responsabilité en fonction
identités, de gestion
des groupes fournisseurs différents ; des entreprises, par exemple : pilotage
et des services
d’administration des
des audits, management des équipes
services d’annuaire - Une maîtrise forte des SOC, … ) ;
de l’entreprise.
comptes à hauts privi-
(9) LDAP :
« Lightweight lèges (PAM - Privileged -D
isposer d’une organisation claire des
Directory Access Account Management, responsabilités d’un point de vue SSI,
Protocol » Si LDAP
était à l’origine un bastion d’administra- ayant une certaine indépendance par
protocole standard
pour accéder à des tion, coffre fort à mots rapport à la DSI et à ses contraintes
services d’annuaire
(« AD »), c’est
de passe, réseau budgétaires.
surtout maintenant d’administration
une norme pour
ces services. dédié…) ; Les bases métiers (liste non exhaustive) :
-L
a capacité à faire ressortir les bonnes -M
aîtriser les comportements métiers
informations parmi ces quantités normaux et tenir informé les équipes
de données (d’où le besoin de règles techniques des changements potentiels
de corrélation pertinentes en prenant dans les activités ;
en compte les comportements dits
« normaux » de son entité). -A
ssurer la sensibilisation à l’outil
informatique des équipes, ainsi qu’à
Les bases organisationnelles la bonne gestion de la sécurité des com-
(liste non exhaustive) : portements utilisateurs (un grand nombre
de guide existent, notamment ceux
-C
onnaître, identifier et responsabiliser de l’ANSSI permettant d’obtenir un socle
les acteurs des équipes réseaux, solide sur les bons comportements) ;
systèmes et sécurité, et garantir que
ces derniers sont bien informés de leur -R
estreindre au juste nécessaire les accès
rôle dans le cadre de la gestion des utilisateurs (mise en place
de la sécurité et des incidents ; d’une politique de gestion des accès
et des identités basée sur chacun
-D
isposer d’un RSSI (Responsable des rôles des membres de l’entreprise).

DOSSIER
Ces éléments permettent ainsi de réduire -L

es entreprises ou les administrations qui
considérablement le périmètre d’attaque, se sont dotées des technologies néces-
et optimisent les travaux des équipes de saires pour détecter les attaques dont
sécurité. Toutefois, ils ne garantissent elles sont ou pourraient être les victimes.
aucunement un risque zéro des attaques Certaines d’entre elles, surtout celles dont
informatiques. Il est donc nécessaire d’an- les comités exécutifs ont pris la mesure
ticiper les scénarios de crise, et surtout de du risque cyber, se sont équipées d’un
maintenir une politique de veille de sécurité. CERT, une équipe de veille et surveillance
de la menace et de réponse rapide à inci-
L’identification de la menace dent (« Computer Emergency Response
Face à une cyber menace si bien organi- Team ») et ont la possibilité de conserver
sée, comment doit-on réagir ? La commu- et de trier leurs propres indicateurs ;
nauté cyber a ainsi commencé à partager
l’ensemble de ses indicateurs, permettant -L
es CERT nationaux, comme le CERT-FR
d’informer la communauté au plus tôt des dont le rôle au sein de l’ANSSI (Agence
chemins d’attaques rencontrés. À l’instar nationale de la sécurité des Systèmes
des tests de robustesse des algorithmes d’information) est notamment de corréler
confiés à l’ensemble des acteurs du les informations sur les incidents,
monde cyber, il est illusoire de pouvoir ima- de traiter les alertes et d’échanger
giner bénéficier uniquement de ses propres avec les autres CERT nationaux et privés.
indicateurs de compromission Certains gouvernements, comme celui
(IOC « Indicator Of Compromise ») du Royaume-Uni, favorisent ces
et de vivre en autarcie. échanges dans le cadre de partenariat
privé-public comme le CISP (« Cyber-se-
Ces initiatives sont donc vitales à la matu- curity Information Sharing Partnership »)
rité de la sécurité des systèmes d’informa- initié par le NCSC (« National Cyber
tion à plusieurs titres : Security Center »).
- Informer la communauté pour anticiper -D

es regroupements internationaux
et freiner la diffusion de la menace ; indépendants de CERT, comme l’organi-
sation FIRST (siège basé à Cary en
- Circonscrire, voir rendre inopérant Caroline du Nord - USA), dont l’objectif
les codes ou attaques malveillantes. est de mutualiser les informations de
CERT issus de toutes les cultures et
Quelles sont ces communautés ou organi- régions du monde. Les menaces étant
sations en capacité de fournir ces indica- globales, la réponse elle aussi doit l’être.
teurs : FIRST regroupe plus de 500 CERT,

DOSSIER
(10) SIRP : « dont 16 en France. En Ces organisations issues des US sont

Security Resonse sont membres pour la très fortement orientées pour défendre les
incident platform »
est une plateforme plupart des grandes actifs Américains.
dédiée à la gestion
des incidents institutions bancaires
de sécurité qui
avec le SIEM réalise
françaises comme la Comment s’organiser face à la menace
la corrélation des Banque de France, le et anticiper pour être prêt, par exemple
« logs » (journaux
systèmes) pour en Crédit Agricole, La en cas de pandémie mondiale
extraire les alertes
de sécurité. Le SIRP Société Générale, BNP En effet, reprenant ainsi l’analogie de la
aide les CERT et les Paribas, la Poste mais pandémie, il est nécessaire de veiller
équipes de sécurité
à gérer leurs inci- aussi le CERT-FR, le à alerter l’ensemble de la chaîne dès
dents.
SIRP10 d’Interpol et l’apparition des premiers « clusters »
(11) https://www.
ivision.fr/
quelques autres. de diffusion afin de se prémunir de la
NDLR : On définit pandémie. L’étape suivante est de fournir
par l’acronyme
SOAR ces tech- - Les acteurs privés l’antidote ou le vaccin afin de rendre
nologies logicielles
qui permettent spécialisés dans cette menace mineure et être ainsi capable
d’automatiser cer- l’orchestration, de de vivre avec.
taines tâches liées
à la gestion de la sé- l’automatisation et des
curité informatique,
et notamment, solutions de réponses Ces éléments sont devenus vitaux, notam-
à la détection
des incidents.
aux incidents de cyber ment du fait d’un marché parallèle au sein
Le terme SOAR sécurité11. Toutes duquel sont vendus ces malwares, trojans
(Security Orchestra-
tion, Automation ne fournissent pas ou concepts d’attaques. Il n’est pas rare
and Response, qui
signifie en français exactement les mêmes de voir ressurgir des versions mutantes
« Orchestration, services mais leur des malwares quelques années après
automatisation
et réponse aux utilisation est bien la diffusion de ces « zero day ».
incidents de sécurité
informatique ») sûr payante ; Compte tenu de la rapidité de mutation
a été utilisé pour
la première fois
de ces malwares, il est donc indispensable
par le cabinet d’agir sur la rapidité de diffusion
Gartner, en 2018.
des symptômes permettant de déceler
-L
es organisations sectorielles qui re- ces attaques informatiques.
groupent des acteurs d’un même type
d’industrie (comme Aviation-ISAC pour Une fois les informations collectées,
le secteur aérien ou RH-ISAC pour les le problème est souvent dans la détermi-
secteurs grande distribution et chaines nation de leur pertinence. L’idée d’organi-
d’hôtels) afin d’échanger des informations ser ces IOCs a émergé et certaines
sur les cybermenaces. Ces organisa- plateformes ont ainsi pris naissance
tions favorisent aussi les échanges entre notamment en open source tel que
acteurs publics et privé, surtout aux US. OPENCTI

DOSSIER
(12) MISP : ou MISP12. Par exemple, entreprise ou administration a été victime

« Malware le projet OpenCTI (Open d’une cyber attaque. Qui n’a jamais pen-
Information
Sharing Platform Cyber Threat Intelligence) sé qu’une entité victime de cyber attaque
» une plateforme
”open-source” pour est développé par l’ANSSI n’était donc pas de confiance ?
rassembler, stocker,
partager et corréler
en partenariat avec le Quel impact pour sa santé financière,
les informations surCERT-EU. C’est un outil non pas à cause de l’attaque elle-même
les attaques cyber,
les informations de gestion et de partage mais à cause de la notoriété impactée
sur les vulnérabi-
lités, et même de de la connaissance par cette attaque ? Autant de questions
en matière d’analyse
l’information liée au qui soulignent les réserves potentielles
contre-terrorisme.
de la cybermenace (Threat à partager ces informations.
Intelligence). Initialement conçue
pour structurer les informations Il est donc nécessaire de se pencher
de l’agence relatives à la menace informa- sérieusement sur la protection
tique, la plateforme facilite aussi les des entités qui consentent à partager
interactions entre l’ANSSI et ses parte- leurs indicateurs de compromission.
naires. L’outil, intégralement libre, Beaucoup hésitent encore même si tout
est aujourd’hui disponible pour l’usage le monde s’accorde à dire qu’ensemble
de l’ensemble des acteurs de la « threat face à une menace toujours plus
intelligence ». variée et toujours plus sophistiquée,
Un éco système complémentaire de logiciel nous serons plus forts. En Europe
libre est disponible, permettant ensuite de et en France en particulier, il n’existe
centraliser la gestion et le suivi de la pas de garantie légale que ce partage
reponse (The Hive), et Cortex x permettent de l’information ne se retournera
d’utiliser des données MISP (Malware pas contre ceux qui ont eu l’honnêteté
Information Sharing Platform) ainsi que et le courage de partager leurs IOCs
des données provenant d’autres sources et ce dans le but même d’aider et renfor-
pour enrichir le contexte. cer nos défenses face à des ennemis
de mieux en mieux organisés et financés
Le besoin de protéger les acteurs alors qu’elle existe bien aux États-Unis.
qui échangent des informations L’administration Obama a, en effet,
sur les menaces fait adopter par le Congrès Américain
Cependant, malgré cette volonté une loi : le CISA (« Cyber Security
et nécessité de partage de l’information, Information Sharing Act ») dont le but
des réticences sont encore nombreuses. est de fournir une protection juridique
En effet, la collaboration atteint ses limites aux acteurs qui échangent des informa-
quant à la diffusion d’une information tions sur les menaces de cyber
permettant de déduire qu’une grande sécurité pour peu que ces échanges

DOSSIER
soient conformes aux règles stipulées commune aux attaques cyber ;

dans la loi. La question est donc posée : cela n’aurait-il pas limité les impacts
comment favoriser l’adhésion du plus de Wannacry ?
grand nombre et protéger les sources
d’informations ? En complément de ces partages
d’informations, et toujours dans l’optique
Conclusion d’une amélioration de la circulation
Fort de ces éléments, plusieurs constats de l’information, n’est-il pas nécessaire
sont donc à synthétiser : de protéger les contributeurs afin
de défendre des intérêts communs ?
A l’instar des US, n’est-il pas souhaitable
de fédérer la communauté européenne Bien sûr, il est facile d’opposer
pour le partage des indicateurs. à ces propositions la souveraineté
Pourquoi ne pas imaginer une réponse nationale des différents États,

DOSSIER
mais n’est-il pas envisageable f. https://www.congress.gov/bill/114th-

de distinguer les actifs primordiaux congress/senate-bill/754
d’un État et de ne pas exposer ces der-
niers lors du partage d’IOC. Par ailleurs, g. https://www.fireeye.fr/current-threats/
un grand nombre de systèmes d’infor- apt-groups.html
mations sont basés sur des technologies
communes. Le partage d’indicateurs h. https://www.ssi.gouv.fr/guide/re-
ne met donc pas en exergue les architec- commandations-de-seccurite-rela-
tures des États membres, sauf usage tives-a-active-directory/
de technologies spécifiques.
i. https://www.ssi.gouv.fr/entreprise/ma-
Enfin, un volet légal ne permettrait-il nagement-du-risque/la-methose-ebios-
pas un partage accru des bonnes risk-manager
pratiques et ne renforcerait-il pas
une réaction commune de l’Europe
face à des menaces étatiques fortes ?
Ainsi, soutenons ce vœu pieu d’une

réponse européenne à la fois technique,
organisationnelle et juridique.
Bibliographie
a. https://www.ssi.gouv.fr/administration/
bonnes-pratiques/
b. https://www.misp-project.org/
c. https://thehive-project.org/
d. https://www.cert.ssi.gouv.fr/
e. https://www.first.org/

L’AUTEUR L’AUTEUR
Robert Breedstraet - Division information Mathieu Thuaire exerce la fonction
security officer, adjoint au Corporate CISO de RSSI au sein du SGDSN. Dans le cadre
d’Amadeus IT Group. de ses activités, il a en charge la politique
Robert Breedstraet dirige le département de sécurité et ses aspects réglementaires
gouvernance et contrôle, le management au sein de son entité, la réalisation
de projets de cyber sécurité comme de la politique d’audit et sa mise en
la gestion des identités et des accès, application, et enfin la responsabilité
la protection de la marque Amadeus. du SOC et le management des
Il a aussi sous son autorité programmes cyber.
les responsables régionaux de sécurité Mathieu Thuaire a une expérience
informatique (Amériques, Inde, de plusieurs années dans la cyber
Asie-Pacifique, Europe et Moyen Orient). sécurité, et plus particulièrement
Robert a une expérience de plusieurs dans l’administration, avec notamment
dizaines d’années en informatique un passage en tant que manager
et en particulier dans le domaine programme à la DGA, puis au SGDSN.
de la réservation aérienne. Il est également auditeur IHEDN – INHESJ
Il est également représentant d’Amadeus de la première session nationale
dans différents groupes internationaux, Souveraineté Numérique
informaticien et titulaire d’une maîtrise et Cyber-sécurité.
en politique économique, il est auditeur
IHEDN – INHESJ de la première session
nationale Souveraineté Numérique
et Cyber-sécurité.

DOSSIER
La « Deepfake
reality » : vers la fin de la vérité
dans le cyberespace ?
Questions à Franck DeCloquement
D
ans cette nouvelle fabrique du sens
qu’est devenu l’internet, une vigilance ac-
crue des pouvoirs publics se fait jour face
aux nouvelles « menaces à la vérité ». La
Dans nos démocraties occidentales en proie
au doute, au séparatisme communautaire et
à la tentation illibérale, la liberté d’expression
qui circule sur les réseaux dits « sociaux »
question fondamentale est la crédibilité est à la fois un formidable mécanisme de
des informations que nous percevrons contre-pouvoir mais aussi une promesse de
demain à travers le cyberespace. Franck déstabilisation massive pour nos démocra-
Decloquement s’entretient avec nous ties représentatives, avec l’émergence de
de cette problématique qui intéresse, ces « vérités alternatives » qui y font florès.
outre notre entendement et les libertés L’affaire des gilets jaunes en a été le dé-
associées, le fondement de nos sociétés monstrateur évident. Parce qu’elle est cette
médiatisées. nouvelle « forge » de l’opinion publique et de
ses revendications tues, la vie des réseaux
La Revue : « Actions sociaux suscite la convoitise des influenceurs
sur les perceptions », politiques et des législateurs qui cherchent
« guerre du sens », naturellement à la mettre au pas ou à l’endi-
« faits alternatifs » et guer. Cependant, la vie trouve toujours son
« menaces à la vérité » chemin ! Ce quadrillage de l’opinion pu-
? Quoi de neuf dans le blique, qu’il vienne des grandes plateformes
champ des opérations elles-mêmes ou des pouvoirs publics, ne
FRANCK
DECLOQUEMENT de propagande, à l’ère doit pas oblitérer le fait qu’à l’individu seul
Professeur à l’IRIS des réseaux sociaux incombe en définitive le soin et la responsa-
MBA « Géoéconomie et du web 2.0 ? bilité de choisir ses informations, afin de juger
et gestion des
risques » Franck DeCloquement : au mieux de la compétence de ses édiles.

DOSSIER
LA « DEEPFAKE REALITY » : VERS LA FIN DE LA VÉRITÉ DANS LE CYBERESPACE ?
Sur le plan international et intérieur, les de substitution notamment de visages

pays occidentaux sont impliqués depuis et de sons afin de réaliser des trucages
plus d’une trentaine d’années, dans des pour orienter le sens de la compréhension
« foires d’empoigne » où les communau- ou tout simplement pour faire sourire
tés s’affrontent au nom de leurs valeurs la multitude. Parfois pour une noble cause,
propres et revendiquent une légitimité la fausse vidéo de Donald Trump réalisée
politique ou idéologique qui justifierait leur par « Solidarité sida » en est un exemple
combat. Dans ce véritable malström pour type.
la « guerre du sens », qui s’opère par mé-
dias interposés, rien de véritablement neuf Toutefois, dans la majeure partie des cas,
sous le soleil en matière d’accaparement il s’agira de diffuser des informations erro-
de la réalité si ce n’est la puissance accrue nées afin de discréditer une personnalité
de ces opérations de falsification, augmen- pour manipuler l’opinion publique à des fins
tée cette fois par l’apport déterminant des idéologiques. Cette tendance lourde
nouvelles technologies digitales opérant au ne devrait pas s’éroder dans les prochaines
sein du Web 2.0. En conséquence, dans années, dans ces espaces d’affrontement
ces nouveaux espaces de conflictualités virtuels qui sont plus que jamais devenus
délétères et de luttes sémantiques, les le reflet de nos turpitudes collectives,
fausses nouvelles à des fins de propa- à l’approche d’élections présidentielles
gande ou les deepfakes à visée parodique déterminantes, par exemple.
s’y multiplient tout naturellement
à un rythme exponentiel. Cela représente Au sein de l’écosystème
(1) Yves Citton
évidemment un risque accru de désinfor- est professeur attentionnel dans lequel
mation pour les populations. de littérature à l’Uni-
nous sommes peu ou
versité Paris-VIII.
Il est l’auteur deprou plongés, selon le
livres et d’articles
Le courage, la haine, le jusqu’auboutisme, consacrés à chercheur Yves Citton1,
l’imaginaire politique
la tromperie, l’assujettissement de la modernité s’accumulent irrémédia-
des consciences et le brouillage des faits blement dans nos
occidentale. Il est
directeur de l’École
en constituent indubitablement le mo- universitaire de cerveaux des informations
recherche ArTeC
teur. Des discours trafiqués aux images depuis 2018. parfaitement disparates
truquées, les fausses nouvelles se pro- https://fr.wikipedia.
qui finissent tôt ou tard par
org/wiki/Yves_Citton
pagent à toute vitesse à travers les réseaux converger et se combiner
digitaux. Les fameuses deepfakes, entre elles pour faire sens. Or, l’art de faire
par exemple, se basent pour l’essentiel adhérer, de faire croire ou de faire penser
sur les avancées de l’intelligence artificielle. dans le champ psychologique, prend
Elles consistent, très schématiquement, désormais le pas sur l’art de manœuvrer
à fusionner des vidéos, dans un but la force brute pour soumettre autrui à sa

DOSSIER
© Solidarité SIDA
Efficace, cette vidéo a été critiquée. L’incrustation qui spécifiait qu’il s’agissait d’une fake news
n’apparaissait que 50 secondes après son début. Le plus faible temps consacré par les internautes
à l’examen de documents médias l’occultait et accréditait la véracité du document.
Le directeur de campagne a spécifié avoir privilégié la densité de l’information.
volonté dans le champ du réel. L’objectif sans limites. À titre d’exemple, les faits al-
fondamental vise, en définitive, à produire ternatifs ont fait irruption dans notre espace
ces opérations d’influence offensives afin perceptif commun voilà quatre ans lorsque
d’orienter la compréhension de l’adver- Kelly-Anne Conway, conseillère spéciale du
saire, jusqu’à le faire œuvrer parfois contre président Trump, évoqua ce terme, courant
ses propres intérêts. 2017, pour justifier les dires du porte-parole
de la Maison-Blanche, Sean Spicer. Au len-
La Revue : À quoi devons-nous faire demain de la cérémonie d’investiture du 45e
face au juste, quand on parle de président des États-Unis, celui-ci accusait
« deepfake reality » ou de « faits en effet les médias d’opinion américains
alternatifs » ? d’avoir volontairement sous-estimé les
Franck DeCloquement : Cette petite chiffres de la foule qui y assistait, autrement
fabrique de l’opinion publique 2.0 ne cesse dit, de remettre en cause l’importance de la
d’innover dans ses modalités d’actions participation publique lors de l’investiture du
subversives. La créativité sémantique président Trump. Or les données dispo-
et l’imagination des attaquants dans ce nibles d’alors montraient bien qu’il n’y avait
nouvel écosystème digital apparaissent pas eu autant de participants que cela aux

DOSSIER
réjouissances, en tout cas, bien moins que visées militaires. Ce qui change et interpelle
pour celle de Barack Obama. Sean Spicer dans l’exemple américain évoqué précé-
a depuis admis que certains des chiffres demment, c’est cette capacité indubitable
qu’il avait mobilisés pour son argumentaire pour les parties prenantes à assumer le
étaient incorrects, même s’il les avait crus mensonge et à faire mine de le considérer
pourtant exacts sur le moment. comme un élément quasi factuel. Nous
sommes ici dans le registre du bobard pur
Très concrètement, les « faits alternatifs » et simple, utilisé sciemment comme maté-
sont des mensonges ou des « bullshit » riau de construction d’une argumentation
(bobards, sottises, stupidités, balivernes, indubitablement falsificatrice,
conneries, affabulations, mensonges, soit une « construction de la réalité ».
crâneries), ayant pour intention principale
de plier la réalité à des objectifs prédéfinis, Cela diffère grandement, avouons-le, d’une
en la manipulant ou en la « façonnant » manipulation de masse classique à la sauce
en fonction d’un « état final recherché » Orwellienne, usant d’une novlangue limitant
(EFR), selon une terminologie bien connue le langage, pour mystifier le discernement
dans le champ de l’action psychologique à d’une population. On était habitués à ce

DOSSIER
que l’histoire soit réécrite par les vainqueurs pour convaincre un auditoire-cible.
dans les périodes post-conflictuelles mais, Ce sont des actions d’intelligence menées
dorénavant, c’est le passé immédiat et les dans le but d’orienter la réalité perçue par
évènements de la veille qui sont suscep- autrui, en jouant sur le filtre de ses percep-
tibles d’être instantanément réécrits et tions ou de ses biais cognitifs. Une forme
revus en quasi-temps réel alors que tout de « guerre sans la faire » en somme,
le monde a pourtant encore les faits de la mais qui se livre dans le champ psycholo-
veille en mémoire. gique de l’adversaire.
Concernant les deepfakes, les avancées La Revue : Quand la prolifération

vertigineuses en matière d’intelligence ar- de ces « armes du faux », selon
tificielle (IA) et de deep learning permettent l’expression consacrée du chercheur
aujourd’hui de façonner ou de contrefaire François-Bernard Huygues, augure
le réel pour lui faire dire ce que l’on veut, dangereusement d’une possible
ou presque ! Grâce à la puissance crois- désintégration du ciment de nos
sante des algorithmes « apprenants », sociétés démocratiques, pourrons-nous
les deepfakes gagnent constamment encore croire demain tout ce que nous
en sophistication, obligeant les chercheurs verrons sur la toile, et ses plateformes
en génie logiciel à perfectionner leurs outils sociales ?
de détection. Mais de quoi s’agit-il au Franck DeCloquement : Rien n’est moins
fond ? Le terme récent de « deepfakes » sûr en effet, si on considère l’arsenal digital
est une expression forgée en ajoutant et les outils de falsification qui sont aux mains
au terme « fake » le terme « deep », des prédateurs. Du fait de la promesse tenue
pour « deep learning » ou apprentissage d’une « réalité augmentée », il se pourrait bien
profond. Ce néologisme anglophone que nous nous dirigions à grands pas –
désigne en somme un ensemble compte tenu des avatars de la « Deepfake
de procédés techniques permettant reality » – vers une « réalité diminuée » ou une
aux intelligences artificielles d’apprendre version très « rabougrie » de celle-ci !
à reconnaître des formes, des structures, Dans l’analyse classique qui est faite du
des motifs, des objets ou des per- cyberspace en trois couches, la composante
sonnes. Les anglophones parlent ici de sémantique ou informationnelle du cyber,
« Patterns » : un terme polysémique ayant recèle l’ensemble des informations qui
moult traductions en langue française. transitent sur la toile. Les enjeux stratégiques
La « deepfake reality », quant à elle, actuels se portent indéniablement vers
découle en droite ligne de cet usage la maîtrise de cette 3e dimension information-
délétère et intensif par certains États nelle où s’opère justement la conflictualité,
ou groupes d’acteurs des outils du faux, la contrefaction

DOSSIER
des faits n’y étant pas monde. Cette année « 1984 » fictive pro-
(2) https://www. le moindre mal mise par Orwell au siècle dernier, n’est-elle
diplomatie.gouv.fr/fr/
politique-etrangere- à gérer par les Etats pas définitivement devenue notre réalité,
de-la-france/mani-
pulations-de-l-in-
occidentaux. Pour preuve, avec ce présent aux relents de guerre
formation/ les constats du document froide que nous sert quotidiennement
rapport-conjoint-
caps-irsem-les- produit en 2018 l’Amérique de Donald Trump à travers
manipulations-de-l-
information-un-defi-
par l’IRSEM et le CAPS2, ses « faits alternatifs » et sa « post-vérité
pour-nos/ sur les manipulations de » mais aussi la Russie de Vladimir Poutine,
https://www.diplo-
matie.gouv.fr/IMG/ l’information envisagées en pointe sur la désinformation comme au
pdf/les_manipula-
tions_de_l_informa- sans ambages comme bon vieux temps recouvré de l’Union Sovié-
tion_2__cle04b2b6. « un défi absolu pour nos tique ? L’avenir glorieux que nous réserve
pdf
démocraties ». la Chine de Xi Jinping n’est pas en reste,
empreint de cette propagande communiste
À titre d’illustration, le grand classique d’antan, mais aujourd’hui mâtinée
de la littérature de George Orwell, « 1984 de technologies intelligentes dernier cri…
» que nous évoquions plus haut ne disait Ne sommes-nous pas en train de basculer
pas autre chose. Il figure toujours parmi subrepticement dans une ère de « post-
les meilleures ventes de livres à travers vérité intégrale », au risque de briser
le monde ! L’auteur y préfigurait déjà ? irrémédiablement sur ces récifs le socle
en 1949, comment le pouvoir politique de nos sociétés occidentales ? La question
fictif, qu’il dépeignait à travers son œuvre, se pose indubitablement, un peu
contrôlait drastiquement les esprits et les plus chaque jour.
cœurs de ses citoyens en manipulant sans
vergogne la vérité des faits. Dans son cha- La Revue : Est-ce que les attentes
pitre IX, Orwell y avait rédigé cette injonc- des différents Etats en matière
tion parfaitement annonciatrice des périls d’implication des GAFAM
qui nous guettent : « Pour diriger dans la régulation des contenus
et continuer à diriger, il faut être capable de ne rencontrent pas un frein
modifier le sens de la réalité ». C’est dans les modèles économiques
en somme ce que sont en capacité de pro- que ces derniers ont choisi ?
duire aujourd’hui tous ces moyens digitaux Franck DeCloquement : Le paradoxe n’est
sur nos psychés. C’est entre autres le jeu pas mince. Si Mark Zukerberg, le fondateur
auquel s’adonnent les régimes autoritaires emblématique de la multinationale Face-
et populistes à travers la planète, à l’ère book, accepte aujourd’hui l’augure d’un
du Web 2.0. C’est aussi ce que font de meilleur contrôle d’Internet par les États
grandes plateformes sociales américaines, occidentaux, sa posture affable peine à
en croissance constante partout dans le cacher la réalité de son emprise croissante

DOSSIER
sur nos vies et notre modèle de démocra- à penser et à concevoir un site web de
tie. Ravir nos attentions collectives, manière à ce que l’expérience utilisateur
les monétiser sans relâche et maintenir soit privilégiée, et demeure la meilleure
nos cognitions individuelles captives possible.
de leurs dédales digitaux, via l’usage
de Dark Patterns, est bien in fine le grand La commercialisation de nos données
jeu des plateformes dites « sociales » personnelles assure de gigantesques
dans leur ensemble. Le principe de ces profits aux firmes géantes de la Tech,
Dark Patterns repose sur un précepte as- essentiellement américaines et toutes sous
sez simple en définitive : inciter l’utilisateur contrat avec le Pentagone. En réclamant
lambda à faire une action qu’il n’aurait pas en mars 2019 une intervention plus mus-
eu l’intention d’effectuer de lui-même sans clée des États dans la régulation du web,
être influencé, si possible sans qu’il s’en récidivant le 10 mai 2019 à l’Élysée aux
rende compte… Le but recherché est, côtés d’Emmanuel Macron, et prônant
par exemple, de collecter ses données pour la France et l’Europe « un nouveau
personnelles plus aisément, de lui faire modèle de régulation d’internet », Mark
ajouter des produits dans son panier Zuckerberg approuvait dans la foulée
utilisateur ou encore de lui faire passer l’appel de Christchurch contre les contenus
plus de temps sur une interface spécifique terroristes, extrémistes et haineux,
afin d’améliorer le trafic du site. L’une des à l’initiative concertée de plusieurs
plus célèbres formes de Dark Pattern dirigeants occidentaux, outre celle de la
connues est le « Privacy Zuckering », en Première ministre néo-zélandaise Jacin-
référence à Mark Zukerberg justement ! da Ardern et celle du président français.
Celle-ci s’opère principalement en cou- Trompe l’œil que tout cela ! Derrière les
lisses, quand vous êtes très progressive- bonnes intentions affichées, l’essayiste
ment invité par la plateforme de réseautage Bruno Patio résume impeccablement cette
social à partager publiquement beaucoup affaire « d’encerclement cognitif » mis en
plus d’informations sur vous-même, œuvre par les plateformes sociales dans
que vous ne le souhaitiez initialement… son ouvrage à succès, « la civilisation
Le sobriquet « Privacy Zuckering » du poisson rouge » : « Les empires éco-
a d’ailleurs fini par s’imposer aux États- nomiques ont créé une nouvelle servitude
Unis pour qualifier ce type de procédé avec une détermination implacable.
qui repose pour l’essentiel sur un « élément Au cœur du système, et au cœur de notre
de design douteux » qui vise à orienter vie quotidienne, un projet caché : l’écono-
ou manipuler le choix de l’utilisateur mie de l’attention. Augmenter la produc-
en ligne. Il s’oppose en cela à « l’UX tivité du temps pour en extraire encore
éthique » (ou design éthique), qui consiste plus de valeur… ». Sur la durée, on évalue

DOSSIER
encore mal les conséquences exactes de Zuckerberg cache l’emprise indéniable

de ces technologies de rupture sur la fra- des GAFAM sur nos vies. Le modèle
gile trame du tissu social de nos systèmes économique initialement adopté par les
démocratiques, la bonne tenue de leur plateformes sociales, comme Facebook,
cohésion générale face à la production exploite en réalité ardemment ce type de
de contenus hautement déstabilisants mais contenus contrefaits pour mieux prospérer.
aussi leur impact général sur le déve- En la matière, le bon sens commanderait
loppement de l’esprit critique des popu- évidemment de ne pas confier les clefs du
lations. L’accroissement de la crédulité poulailler à « Maître Renard » en espé-
générale est bien entendu en ligne de mire rant qu’il assurera loyalement et en toute
des falsificateurs de tous poils, et autres quiétude la surveillance des gallinacés !
promoteurs de « faux ». Ne nous voilons Gageons que Jean de La Fontaine aurait
évidemment pas la face : la diffusion des aussi trouvé à y redire...
deepfakes n’est pas seulement un pro-
blème technologique qui pourra être résolu La nouvelle puissance des réseaux sociaux
par un surcroît de technologie. A contrario, assume indéniablement une sorte de cin-
les explications technophiles très orientées quième pouvoir, à côté de celui des médias
« business » d’un Mark Zuckerberg, qui audiovisuels et de la presse écrite tradition-
promettait déjà l’an dernier – et pour cause nelle. Elle oblige aussi à la responsabilité
– de résoudre ce problème grâce à l’usage accrue et à la vigilance extrême de
intensif d’une « IA plus performante », nos élus. Sans filtrage éditorial apparent,
occultent en réalité un problème structurel les faits et les opinions se bousculent
crucial bien plus prosaïque. La croisade dans les groupes Facebook, les threads
Le classement des plateformes révèle immédiatement l’enjeu économique, sociétal et géostratégique

qu’elles génèrent par leur business-modèle ou leur contrôle par certains États.

DOSSIER
de Twitter, les vidéos YouTube ou TikTok. plate-forme consiste à maximiser le temps

Cette révolution silencieuse qui imprègne d’engagement de ses audiences (certains
désormais nos perceptions, oblige lourde- parleraient ici de « temps de cerveaux dis-
ment nos élites politiques à de nombreux ponible »), afin de s’octroyer des revenus
examens de conscience. publicitaires astronomiques, des contenus
controversés, choquants, complotistes ou
La Revue : En n’envisageant la lutte parfaitement complaisants sont tout natu-
contre les effets de la Deepfake rellement poussés jusqu’au sommet de la
Reality qu’à l’aune d’une remédiation « chaîne alimentaire » pourrait-on dire.
technique, les géants de la Silicon Valley
ne s’exonèrent-ils pas de leurs relations C’est bien là que réside la véritable ambi-
symbiotiques avec ces contenus guïté de fond car en le formulant indubita-
profitables et consubstantiels blement sous le seul prisme des errements
de leur business-modèle ? de la technologique, ces puissantes
Franck DeCloquement : C’est indéniable. plates-formes technologiques américaines
Cette posture ambiguë leur est en effet distraient en réalité opportunément leur
consubstantielle et incluse, pourrait-on dire, public – ainsi que certains pouvoirs publics
au cœur même de leur ADN – de l’idée qu’il pourrait y avoir des liens de
industriel, compte tenu du choix de leur connivences et d’intérêts croisés bien plus
business-modèle. La conflictualité, les fondamentaux, en deçà de notre appré-
propos haineux, rageurs et complotistes hension des véritables enjeux géopolitiques
génèrent du trafic en très grande quantité et financiers pour l’essentiel. Ainsi peut-on
et alimentent la machine. Le volume des résumer très schématiquement la chaîne
audiences-cibles s’en trouve naturellement de valeur qui les meut.
augmenté et les recettes publicitaires né-
cessairement boostées. Pour résumer Pour les spécialistes avertis de l’association
à grands traits nos propos précédents militante « la quadrature du Net », la régu-
et enfoncer le clou, les médias sociaux lation des contenus haineux ou contrefaits
et les grandes plateformes du web sont par les seuls géants du Web est clairement
cyniques par nature. La relation très vouée à l’échec. Cette petite équipe
ambiguë qu’entretiennent ces multinatio- d’experts et de juristes, d’inspiration
nales géantes de la Silicon Valley, avec la libertaire, mène d’ailleurs une campagne
diffusion d’informations alternativement de lobbying musclée contre les GAFAM
« factices » ou « factuelles », s’explique en depuis quelques années, accusés
grande partie par la poursuite implacable de beaucoup trop s’immiscer dans
de leurs intérêts commerciaux bien com- nos vies privées. En lutte contre les faux
pris. Lorsque le business-modèle d’une dilemmes et les fausses évidences nourries

DOSSIER
par les cabinets de lobbying inféodés L’AUTEUR

aux GAFAM, elle préconise en outre deux
autres options possibles, mais non suivies Franck DeCloquement est praticien
et expert en intelligence économique
jusqu’alors par les gouvernements : et stratégique. Ancien de l’École
renforcer le rôle de la justice sur le plan de Guerre Économique de Paris (EGE),
numérique, en musclant ses effectifs membre du CEPS (Centre d’Etude
et de Prospective Stratégique),
dédiés mais aussi développer des for- de la CyberTaskForce, membre
mations d’aguerrissement, ayant toutes fondateur du Cercle K2, il est professeur
une vocation à édifier les « esprits et les à l’IRIS (MBA « Géoéconomie et gestion
des risques »). Il enseigne à l’IHEDN
cœurs ». En somme, il s’agirait de vacciner les actions d’influence et de contre-
individuellement les internautes contre les ingérence économique, les stratégies
méfaits cognitifs d’un usage irréfléchi et in- d’attaques subversives adverses contre
les entreprises. Il a également enseigné
tensif des plateformes sociales, mais aussi la géopolitique des médias et de
des réalités frelatées qu’elles véhiculent, l’Internet en Master 2 recherche « Médias
conformément en cela aux impératifs et mondialisation », à l’IFP (Institut
français de presse) de l’université de Paris
de leur business-modèle. Pour l’heure, II Panthéon-Assas.
leurs nombreuses recommandations n’em-
portent pas la conviction des décideurs
politiques successifs, plus adeptes d’impo-
ser un filtrage et une centralisation accrue
du Web, mais opérés par ces plateformes
elles-mêmes... Une alliance impossible
par nature, tel le mariage de la carpe
et du lapin, confinant véritablement
à un syndrome de Stockholm vis-à-vis
des GAFAM, de l’avis général des plus fins
spécialistes de la toile.

DOSSIER
Cybersécurité et protection
des données : pourquoi les entreprises
sont-elles plus exposées après la crise ?
Par Marie de Freminville
D
Diverses raisons expliquent l’exposition
aux risques cyber de l’ensemble
des organisations : le contexte imprévu
et anxiogène, la désorganisation du cadre
encore vu le jour pour des raisons politiques
ou culturelles, de résistance au changement
ou de cyber risques. Nous avons assisté au
développement du télétravail, de la signature
de travail et des comportements inadap- électronique, à la création de nouveaux sites
tés, et des dispositifs de cyber sécurité e-commerce, et à l’utilisation croissante
insuffisants (outils, gouvernance, proces- d’outils collaboratifs (partage de fichiers
sus, ressources, formation). Il est temps ou réunion en visio-conférence).
de définir une stratégie de cybersécurité.
La prochaine crise sera numérique ! La crise COVID-19 a forcé les entreprises
(même les grandes entreprises qui n’avaient
Il n’a échappé à pas anticipé une telle situation) à prendre les
personne que la crise dispositions nécessaires pour une grande
Covid-19 a été un accé- partie des effectifs et sur une durée incon-
lérateur exceptionnel nue : achat de PC portables, transport
de transformation numé- de PC fixes au domicile ou encore utilisation
rique : de nombreuses de PC privés à des fins professionnelles…
initiatives ont été prises
dans l’urgence pour Revers de la médaille : cette période a consi-
réaliser des opérations à dérablement augmenté la surface d’attaque
distance (vente, adminis- et l’exposition au risque de vol de données,
MARIE
DE FREMINVILLE tration, communication de fraude ou de demandes de rançons.
Présidente de interne, gestion de pro- Elle a aussi été la révélatrice de la dépen-
Starboard Advisory jets…) qui n’avaient pas dance des entreprises au numérique,

DOSSIER
CYBERSÉCURITÉ ET PROTECTION DES DONNÉES : POURQUOI LES ENTREPRISES

SONT-ELLES PLUS EXPOSÉES APRÈS LA CRISE ?
qui permet de faire fonctionner l’écono- navigation sur le Web, achats en ligne
mie et de maintenir le lien social. Le SI est et utilisation des réseaux sociaux.
devenu, pour la plupart des entreprises,
des collectivités locales ou des hôpitaux, La crise sanitaire est anxiogène et les in-
un organe vital sans lequel l’organisation ternautes sont vulnérables. Les cybercrimi-
peut être paralysée ! Une fuite de données nels le savent très bien. L’état de confusion
stratégiques ou personnelles peut avoir et d’anxiété des collaborateurs engendrent
des conséquences mortelles ou fragiliser de mauvaises manipulations et la pandé-
durablement l’entreprise, mais aussi ses mie est donc une excellente opportunité
parties prenantes. pour tromper la vigilance des utilisateurs.
Faire la cyber autruche et attendre l’at- Les nouvelles attaques liées au Covid-19
taque pour intervenir n’est pas recomman- (malwares, attaques DNS, noms de
dé ! domaines frauduleux, faux sites, spams,
phishing, faux installeurs) sont nombreuses
Certaines entreprises en ont en effet déjà
et ne sont pas identifiées par les systèmes
subi les conséquences : la mutuelle MMA
de sécurité. Entre le 9 mars et le 23 mars,
a demandé aux collaborateurs de rappor-
316 523 nouveaux sites factices relatifs
ter leur matériel informatique, pour le sécu-
au Coronavirus ont été repérés, ayant pour
riser. Par ailleurs, les salariés ont été priés
objectif de voler des identifiants et d’adres-
de revenir sur site, sauf cas particulier.
ser des malwares sur les postes de travail
D’autres organisations, telles que Rabot
qui n’ont pas été mis à jour.
Dutilleul, Bolloré Transport & Logistics,
Faro Technologies, ou encore le Conseil
Les mobiles sont aussi des vecteurs
départemental d’Eure-et-Loir, ont été
attaquées récemment… d’attaque. De fausses applications
exploitent la crise du Coronavirus
Pourquoi les entreprises sont-elles et accèdent aux photos, vidéos, fichiers,
plus exposées après la crise ? à la localisation du terminal, ainsi qu’à
Première raison : le contexte de crise l’autorisation de prendre des photos
sanitaire a en effet facilité la tâche des et d’enregistrer des vidéos. Des courriels
cybercriminels, qui n’attendent pas long- et SMS usurpant la marque de grandes
temps avant de saisir une nouvelle enseignes (de la vente en ligne, de socié-
occasion d’attaquer. Créatifs et rapides, tés de transport, de banques, d’adminis-
ils profitent du fait que la surface d’attaque trations ou d’ONG) ont permis de récupé-
a naturellement augmenté pendant rer les identifiants et les mots de passe de
la crise : utilisation accrue d’Internet, leurs utilisateurs.

DOSSIER

© Par metamorworks - Base adobe stoc

Le télétravail a modifié la perception des menaces du fait de la confusion des outils privés et professionnel,
de la redistribution des systèmes d’authentification et des logiciels « métiers ». Cela oblige à adopter une
stratégie pérenne qui mobilise les décideurs, les usagers et les responsables de SI.
Enfin, des campagnes de phishing prenant (1) https://www. Selon l’étude Trend
l’apparence d’outil de visioconférences trendmicro.com/
fr_fr/about/news-
Micro1, les salariés
récoltent ainsi les informations d’identifica- room/press-re prennent des libertés avec
tion des utilisateurs via des courriels (2) https://www. les règles de l’entreprise :
tessian.com/
ou encore un lien qui invitent le destinataire research/the-state-
56% reconnaissent utiliser
à cliquer pour activer son compte en le of-data-loss-preven- au moins une application
tion-2020/
redirigeant vers une page web frauduleuse personnelle sur leur outil
afin qu’il y saisisse ses identifiants. de bureau, et 64% ont déjà téléchargé des
Un autre type de mail prétexte une réunion données de l’entreprise vers cette applica-
manquée, comprenant un lien vers une tion. 80% admettent utiliser leur PC
fausse page d’identification. Les niveaux professionnel pour un usage personnel sur
de sécurité de ces plateformes sont divers Internet.
(des études ont été publiées à ce sujet).
Selon une étude publiée par Tessian2,
Deuxième raison : le cadre de travail la moitié des employés admettent qu’ils
est désorganisé à la fois pour les utilisa- prennent des raccourcis en télétravail en
teurs et pour les équipes informatiques matière de cybersécurité, comme le par-
et de sécurité. tage de fichiers confidentiels par courrier

DOSSIER

électronique au lieu de recourir changent comme les horaires de travail par

à des mécanismes plus fiables. exemple ce qui crée de fausses anomalies
dans les systèmes de détection).
Les télétravailleurs mélangent leurs usages
personnels et professionnels sur leur poste Elles sont moins disponibles, par exemple,
de travail (soit personnel, soit fourni par pour :
l’entreprise) et l’utilisation d’applications
non-sécurisées se développe. - Former les collaborateurs, les intérimaires
et les prestataires aux nouveaux usages
(3) http://www.
Les dirigeants s’estiment et outils, les sensibiliser aux risques
revue-banque.fr/ souvent au-dessus des de sécurité liés au télétravail et adres-
management-fonc-
tions-supports/ règles ! «Trouble at the ser des instructions claires sur ce qu’ils
breve/les-di-
rigeants-mail- Top» selon une étude peuvent faire ou ne pas faire.
lon-faible-secu-
rite-mobile
publiée par MobileIron3 :
bien que visés par
- Informer les utilisateurs des nouvelles
les cybercriminels, 74% d’entre eux
menaces et attirer leur attention
demandent de relâcher les mesures de
sur les tentatives des cyber attaquants,
sécurité mobile, 45% d’entre eux estiment
qui utilisent le COVID ou les outils
qu’elles freinent l’utilisation de leur appareil.
de visio-conférence pour piéger
37 % ont voulu accéder à des données
les utilisateurs.
professionnelles à partir d’une application
non reconnue.
- Compléter la liste des sites ou mots-clés
Les usages évoluent : la tendance est de en “liste noire” et monitorer les accès
passer d’un SI central à un modèle cloud. distants.
Les utilisateurs organisent les espaces
partagés et en sécurisent les accès, Troisième raison : un manque d’outils
alors que la gestion des accès est tradi- et des processus techniques inadaptés
tionnellement mise en œuvre par l’équipe sont apparus pendant cette période
informatique. de confinement, certes pas dans toutes
les organisations ! Ces carences ont donné
Enfin, la charge de travail des équipes lieu à de nouvelles situations et à des com-
informatiques augmente : achat d’ordina- promis avec la sécurité.
teurs, installation de logiciels de sécu-
rité, formation aux outils et aux bonnes
pratiques de télétravail, surveillance des
activités à distance (les comportements

DOSSIER

LES MAUVAISES PRATIQUES

Au-delà de la mise en place d’outils4 empêchant le téléchargement d’applications non
autorisées et la connexion à des sites web frauduleux), les processus techniques peuvent
ne pas être mis en place ou ne pas être adaptés à une nouvelle situation.
our améliorer la performance, les filtrages VPN sont diminués, ou le « split tunneling5 »
-P
est désactivé.
-L
es procédures de patch sur tous les équipements du SI (postes nomades, fixes, tablettes,
smartphones, serveurs, équipements réseaux ou de sécurité, logiciels exposés sur Internet,
tels que le VPN, le bureau distant, la solution de messagerie) n’ont pas été modifiées.
Les VPN sont par ailleurs incapables de transporter de gros volumes de mises à jour.
-D
es privilèges ont pu être donnés aux collaborateurs pour installer un VPN par exemple
(en cas d’infection par un virus ou malware, un programme malveillant pourra être installé
avec des droits étendus et augmentera fortement le risque d’intrusion).
-L
e chiffrement et la tokenisation par défaut ne sont pas encore la norme. Selon le « 2020 Data
Threat Report » publié par Thales6, le multicloud progresse, mais insuffisamment : 57% des
données sensibles stockées dans des environnements cloud sont protégées
par le chiffrement et 48% le sont par tokenisation.
-L
es équipements utilisés ne sont pas configurés correctement ou le wifi domestique
n’est pas sécurisé.
- La politique de mots de passe n’est pas assez robuste.
-L
es fonctionnalités de sécurité (par exemple sur les outils de visio-conférence : admission
dans les « salles de réunion », partage de documents avec les participants, mots de passe,
authentification…) ne sont pas connues ou pas respectées.
-L
e filtrage applicatif au niveau des pare-feu n’est pas ajusté, ce qui génère des risques
de rebond vers les réseaux internes depuis un poste de télétravail.
-L
a classification des données, la gestion des autorisations (interne et externe !), le contrôle
des accès et des flux, la sécurisation des transferts de données ne sont pas toujours en place.
-L
’annuaire et le serveur d’authentification dédiés aux télétravailleurs ne sont pas placés
en DMZ (zone « démilitarisée » entre Internet et les réseaux internes), ce qui augmente
les risques de compromission.
-D
es sessions utilisateurs restent trop longtemps inactives et ouvertes (réduire les délais
d’expiration automatique).
-L
’activité des accès externes, des systèmes sensibles et équipements d’infrastructure
(serveurs, pare-feu, proxy…), des API, voire des postes de travail, ‘est pas surveillée via
un SOC (Security Opération Center), ce qui permettrait de pouvoir détecter les connexions
suspectes ou un volume inhabituel de téléchargement d’information. L’état du parc
de machines via des outils d’inventaire, les opérations de partage de fichiers, en fonction
de leur classification, ne sont pas suffisamment supervisés.
-L
es données sont éparpillées, les sauvegardes ne sont pas assurées selon les processus
habituels ! Le niveau de sauvegarde des hébergements externes (cloud, site Internet
d’entreprise, service de messagerie…) est également à contrôler.
(4) Dispositifs de DLP-Data Loss Prevention, barrières de type CASB-Cloud access security broker, environnements VDI, solu-
tions antivirales complémentaires pour protéger des infrastructures et des terminaux.
(5) Le split tunneling VPN (Virtual Private Network ) permet de diriger une partie du trafic à travers un tunnel VPN chiffré, tandis
que les autres appareils ou applis conservent un accès direct à Internet.
(6) https://www.thalesgroup.com/fr/group/journaliste/press-release/securite-du-cloud-moment-charniere-le-rapport-2020-
thales-menaces

DOSSIER

En conclusion, il faut développer les processus, la gouvernance

une stratégie pérenne des données tout en prenant en compte
Le télétravail a créé des failles qui ont les contraintes juridiques !
déjà été exploitées ou le seront (il faut donc
se préparer à une crise numérique, après
cette crise sanitaire !). En conséquence, L’AUTEURE
il exige à la fois : Marie de Freminville est l’auteure
de l’ouvrage : « La cybersécurité
et les décideurs », publié en 2020
À court terme, une vigilance accrue lors
par Iste. Le Prix du « livre cybersécurité
du retour dans l’entreprise : les postes de 2020 » lui a été décerné par le FIC.
travail ont pu être infectés pendant le confi- Elle est Associée-fondatrice de Starboard
Advisory, société de conseil
nement. Avant de les reconnecter au SI de
en gouvernance, finance et cyber risques
l’entreprise, il faudra contrôler les postes, : audits de gouvernance, pilotage
auditer les systèmes, faire les mises à jour, de filiales, organisation de conférences et
ateliers pour dirigeants et administrateurs
changer les mots de passe, effacer les
sur les bonnes pratiques de gouvernance,
données stockées sur des supports per- la responsabilité numérique des dirigeants
sonnels, supprimer des dérogations et administrateurs, la cartographie des
risques cyber, la protection des données,
de sécurité, auditer la sécurité des fournis-
et la conformité RGPD.
seurs et sous-traitants critiques ! Elle est diplômée d’HEC, membre de l’IFA
(Institut Français des Administrateurs),
du bureau HEC Gouvernance et du comité
À moyen terme, le lancement d’un pro-
du Cercle Suisse des Administratrices.
gramme qui permettra le développement Elle a été administratrice de filiales
de ces nouveaux modes de travail d’Airbus Group (EADS Singapour, Airbus
Group France et IT services), et de Fonds
de façon pérenne.
d’Investissement dans l’Aéronautique,
d’une ETI (Construction) et d’une PME
À long terme, notamment pour des raisons de promotion et commercialisation
Immobilière.
de développement durable, les entreprises
mettront en place des dispositifs qui per-
mettent de limiter les déplacements et de
gagner en productivité. Les dirigeants de-
vront mettre en place une stratégie cyber,
ce qui implique de comprendre les enjeux
et les priorités, basés sur un audit et une
cartographie des risques, et de transférer
une partie des risques à l’assurance.
L’objectif est de trouver le bon équilibre
entre les outils et la technologie,

DOSSIER
Quelle cybersécurité
collective face aux innovations
numériques ?
Par Myriam Quéméner
L
La période que nous vivons après
le déconfinement est propice à faire
le point sur la mobilisation des acteurs
pour renforcer la cybersécurité dans un
secteurs entiers d’assurer la continuité
de leur activité. La crise sanitaire liée
à la covid 19 a conduit à de nouveaux
comportements numériques avec notam-
esprit à la fois collectif et collaboratif ment un recours accru au télétravail, souvent
désormais indispensable. En effet, développé de façon empirique voire risquée.
il apparait très clairement une montée
en puissance des cyberattaques ampli- En outre, les innovations numériques
fiée par un climat anxiogène et d’improvi- exploitant massivement les données, allant
sation numérique qui nécessite une modes cryptoactifs à l’intelligence artificielle,
bilisation sans faille de tous les acteurs, ne sont souvent pas ou
(1) M. Quéméner,
publics et privés. L’exemple du domaine C.Wierre, F. Dalle,
imparfaitement règlemen-
de la e- santé est à cet égard très parlant. quels droits face tées ce qui n’échappe pas
aux innovations
numériques ? aux cybercriminels1 tant
Lextenso 2020.
Le cyberconstat l’écosystème numérique
La crise mondiale, qui a (2) M. Quéméner,
le droit face
est disruptif2. Si le numé-
émergé à la suite de la à la disruption rique apparaît plus que
numérique,
pandémie de COVID-19, Lextenso 2018. jamais incontournable, tant
a touché tous les pour le secteur privé que
MYRIAM secteurs d’activités éco- public, il soulève également de nombreuses
QUÉMÉNER nomiques et humaines interrogations au niveau de la cybersécurité,
Avocat général de nos sociétés. Durant notamment à l’heure où les données
près la Cour d’appel
de Paris.
cette période, la digita- représentent une valeur essentielle pour
Docteur en droit lisation a permis à des les entreprises.

DOSSIER
QUELLE CYBERSÉCURITÉ COLLECTIVE FACE AUX INNOVATIONS NUMÉRIQUES ?
(3) L’humain De plus, la masse d’infor- La coopération public/privé à renforcer

au cœur de la
cybersécurité,
mations et de nouveaux ll convient de développer les initiatives
Revue de la gen- systèmes liés à la transfor- associant acteurs publics et privés qui
darmerie nationale
n°266. mation numérique s’accom- peuvent permettre de mieux accompagner
https://www.
gendarmerie.
pagnent d’attaques les cybervictimes. Par exemple, on peut
interieur.gouv.fr/ qui démontrent un niveau citer le dispositif d’assistance aux victimes
crgn/publications/
revue-de-la-gen- d’expertise de plus en plus de cyberattaques cybermalveillance.gouv.fr,
darmerie-nationale/
revue-n-266. élevé. Les cyberattaques se incubé par l’Anssi et copiloté avec le ministère
(4) Au croisement
manifestent sous des de l’Intérieur. La plate-forme a reçu 25 000
du conseil formes évolutives et il ne demandes en un an, survenant surtout de
en management
et du conseil en s’agit plus de se protéger particuliers, et permis de mobiliser près de
digital, Wavestone
accompagne les
seulement par des moyens 1 600 prestataires référencés pour assister les
grandes entreprises techniques. Il convient victimes. Ces partenariats donnent l’occasion
et organisations
dans leurs également de faire intervenir à deux cultures différentes, publique et privée,
transformations les
plus critiques en l’humain3, de mobiliser de se rencontrer, de se connaître et d’ap-
combinant 3 natures l’ensemble des forces de prendre à travailler ensemble. Ils posent les
d’expertises
différentes : secto- l’entreprise. Au-delà des bases d’une relation de confiance, indispen-
rielle, fonctionnelle
et technologique. conseils d’organisation et sable à la lutte contre des cybercriminels qui
https://fr.wavestone.
com/fr/
de prise en compte de la savent profiter des failles des organisations.
menace, il s’agit d’impulser Cela permet, en outre, à de grands acteurs in-
de nouvelles collaborations à tous les niveaux ternationaux de démontrer qu’ils sont prêts à
et de vérifier le bon fonctionnement et la être transparents et à travailler avec les États.
solidité de leurs systèmes de sauvegarde, qui C’est un acte indispensable de responsabilité
pêchent très régulièrement comme le sociale des entreprises en faveur
constatent les experts de Wavestone4 d’une véritable stratégie de cybersécurité.
lorsqu’ils interviennent pour aider des
entreprises touchées par des cyberattaques. Face à la nécessité de rassembler toutes les
forces et les compétences pour juguler les
La défense et la sécurité sont plus que jamais cyberattaques, les partenariats public/privé
d’actualité dans le contexte mondial de la apparaissent comme une voie à encourager.
crise de la COVID-19 et de ses effets écono- L’Agence Nationale de la Sécurité Informa-
miques et sécuritaires. Les leçons tirées de tique a mis en place des visas de sécurité,
cette crise renvoient toutes une initiative qui permettent à la fois aux
à la question de l’autonomie stratégique, entreprises de disposer de produits et
rendant nécessaire l’adaptation de ce services conformes aux niveaux exigés et aux
qui fonde la sécurité du pays. start-ups de mieux vendre leurs produits aux
grands groupes industriels. Parallèlement,

DOSSIER
à l’échelle européenne le
gouv.fr/entreprise/ Cyber Security Act 5 devient
reglementation/cy-
bersecurity-act-2/ le cadre législatif qui
permettra d’homogénéiser
le niveau de certification des systèmes
informatiques au sens large.
L’État est un acteur très important mais les

acteurs économiques doivent aussi mutualiser
leur savoir-faire en la matière afin de mieux
© DACG – ANSSI
contrer les attaquants qui, par exemple,
mettent en commun leurs informations sur
les failles à exploiter. Désormais, les acteurs
économiques doivent mettre en place des
stratégies de défense face aux attaquants. Un exemple de partenariat qui a une incidence
directe sur l’assainissement du système
de sécurité des entreprises et sur la gestion
La coopération « public-privé » en matière de la crise occasionnée par une cyberattaque.
de cybersécurité est cruciale et doit être au
cœur de toute politique menée à l’échelle de
l’Union. C’est l’idée maîtresse qui irrigue et Les enjeux induits par une telle attaque vont bien
structure l’émergence d’un « État régulateur », au-delà de la perte de données ou du paiement
via la prise en compte politique et l’organisa- d’une rançon. En effet, les organisations vic-
tion progressive du secteur de la cybersécuri- times doivent faire face à de nombreuses autres
té au sein de l’Union. conséquences. C’est pourquoi il est recomman-
dé de mettre en place une cellule de crise au
Ce renforcement de la collaboration entre plus haut niveau de l’organisation, indépendante
acteurs se réalise aussi au niveau des des groupes opérationnels de travail qui auront
institutions elles-mêmes, par exemple entre le des responsabilités de pilotage et d’exécution.
ministère de la Justice et l’ANSSI, Les attaques par rançongiciels connaissent une
ainsi qu’en témoigne augmentation sans précédent.
(6) https://www.
ssi.gouv.fr/ le guide récent de bonnes
uploads/2020/09/
anssi-guide-at-
pratiques préventives et L’exemple de l’e-santé
taques_par_ran- réactives face aux rançongi- Le champ de la santé est particulièrement
congiciels_tous_
concernes-v1.0.pdf ciels6. Dans ce guide, trois concerné par la cybersécurité car les données
victimes d’un rançongiciel numériques de ce domaine sont particulièrement
en 2019, livrent un témoignage éclairant à sensibles et convoitées par les cybercriminels
destination des entreprises et des collectivités. et le sujet défie les frontières7. À cet égard,

DOSSIER
le ministère des solidarités sence international qui devrait aussi être évoqué
(7) https://www.
enisa.europa.eu/ et de la santé a réalisé une dans le cadre du G7.
publications/good-
practices-for-the-se- campagne d’information : «
curity-of-healthcare-
services
santé 2022, un engagement Le troisième dialogue
(9) https://www.
collectif ». Il est souligné que diplomatie.gouv.fr/ stratégique « France-États-
(8) https://esante. fr/politique-etran-
gouv.fr/sites/ la cybersécurité est une gere-de-la-france/ Unis » en matière de
default/files/ securite-desarme-
media_entity/docu- condition préalable et ment-et-non-pro-
cybersécurité9 s’est tenu à
ments/2019-11-20_ continue de la confiance et liferation/ Paris le 2 janvier 2020. Ces
Dossier_Informa- lutter-contre-la-cri-
tion_Campagne_Cy- de la transformation du minalite-organisee/ deux puissances ont évoqué
bersecurite.pdf la-france-et-la-cy-
système de santé8. bersecurite/ les discussions et les projets
actualites-et-evene- portés à l’ONU dans les
ments-lies-a-la-cy-
Pour se saisir plus rapidement des opportunités bersecurite/ enceintes multilatérales
article/troisieme-dia-
et appréhender les risques spécifiques du numé- logue-strate relatives à la paix et à la
rique, la ministre des Solidarités et de la Santé a sécurité dans le cyberespace,
présenté la feuille de route : « Accélérer le virage les initiatives multi-acteurs, notamment l’Appel
numérique en santé », le 25 avril 2019, qui est le de Paris, ainsi que les enjeux de souveraineté
résultat d’une convergence de l’ensemble des numérique.
acteurs de l’écosystème de la e -Santé.
Par le biais de l’European Union Agency for
Cybersécurité collective Cybersecurity (ENISA), l’Union prône un cy-
sur le plan international berespace de « libertés, commun et ouvert ».
Depuis 2017, la multiplication de cyberattaques Ces valeurs sont partagées par Paris, qui, au
de grande ampleur et médiatisées, comme travers de l’ANSSI, a appelé, en janvier 2020,
Wannacry et NotPetya, ont marqué la nécessité à l’approfondissement de la souveraineté
d’un cadre normatif commun dans un nombre européenne dans le domaine cybernétique. Les
croissant de domaines. enjeux liés au domaine cyber conduisent à agir
sur plusieurs fronts simultanément : l’Europe et
L’Europe constitue l’échelon naturel et souhai- l’international. Cet engagement, tous azimuts,
table pour promouvoir une vision souveraine est visible également dans nombre d’institu-
de la cybersécurité et exprimer ses valeurs sur tions au sein desquelles le pays s’investit. Par
la scène internationale. En plaidant pour une exemple, les délégations françaises ont été les
approche ambitieuse de la cybersécurité tournée premières à s’être rendues au Centre d’Excel-
vers l’économie et la société, la France apporte lence de Cyberdéfense Coopérative de l’OTAN
sa pierre à la construction d’un édifice législatif depuis le début de la pandémie. La France voit
en matière de cybersécurité et développe une également en l’OSCE une instance tout à fait
politique d’échange au sein de l’écosystème apte à accompagner le développement normatif
numérique. La cybersécurité est un sujet par es- en matière cyber.

DOSSIER
L’Internet des objets

à l’épreuve de la criminalistique numérique
Par François Bouchaud
L
La criminalistique numérique a été
popularisée avec le développement et la
diffusion des séries télévisées telles que
NCIS ou « Les experts ». À ses débuts,
également présentes dans des activités
criminelles impliquant l’utilisation
d’un appareil informatique ou numérique,
comme dans les cas de trafic
elle résulte de demandes opérationnelles ou de blanchiment d’argent dans lesquels
des Forces de Sécurité Intérieure (FSI), l’appareil numérique constitue le vecteur
dans le cadre d’une enquête sur un crime de l’infraction.
impliquant l’appropriation du système
informatique, généralement un ordinateur À cette diversification du périmètre infraction-
personnel, un téléphone portable ou un nel et des usages s’ajoutent de nouveaux
serveur. Cependant, défis techniques. Le développement des
les enquêtes médi- écosystèmes connectés à Internet confronte
co-légales numériques la médecine légale à des dispositifs et des
ne se limitent pas aux environnements hétérogènes, étendus et
affaires de cybercrimi- interconnectés avec de fortes dépendances.
nalité telles que l’accès La donnée probante se retrouve fragmentée
ou sa tentative non et dispersée au gré de la politique de gestion
FRANÇOIS
BOUCHAUD autorisés à un système de la donnée, tant au niveau du stockage
de traitement automa- que de la synchronisation dans le réseau.
Capitaine
de Gendarmerie. tisé de données ou la Cette structuration de l’espace numérique
Chef du département diffusion de contenus et physique constitue donc un tournant
coordination
du Centre de lutte d’exploitation sexuelle dans l’analyse et la compréhension des phé-
contre les criminali- de mineurs. De plus nomènes, nécessitant une contextualisation
tés numériques
(C3N). en plus, elles sont de la donnée et de sa diffusion.

DOSSIER
L’INTERNET DES OBJETS À L’ÉPREUVE DE LA CRIMINALISTIQUE NUMÉRIQUE
Cependant, elle est gage d’opportuni- bantes sont extraites ou proviennent

tés inédites dans le recueil de données des appareils ménagers, de systèmes
probantes par son fort ancrage dans domotiques, des équipements médicaux
l’environnement de l’utilisateur, tant dans la pour le vivant « homme ou animal »,
digitalisation de ses habitudes que dans des voitures, des lecteurs RFID, etc.
le monitoring des systèmes. Par conséquence, les données sont plu-
rielles et varient en fonction des interactions
1- Présentation d’une scène de crime avec l’environnement et des services four-
connectée nis. Pour illustrer ces propos et répondre
Classiquement, les matériels étudiés sont aux multiples défis que génère la criminalis-
des ordinateurs, des appareils mobiles, tique dans l’Internet des objets, nous vous
des passerelles, des équipements de proposons d’étudier une scène de crime
stockage ou des serveurs. L’Internet des contenant des dispositifs intelligents
objets ouvre de nouvelles perspectives en et communicants.
introduisant des sources qui diffèrent par
leur nature, leur nombre, leur format et les Le 10 avril 2018, à 8 heures, le CORG1
protocoles utilisés. Ainsi, les données pro- est alerté pour le cambriolage d’un
Figure 1 : croquis de l’appartement avec les équipements connectés.

DOSSIER
appartement. Une L’appartement s’étend sur une surface

(1) Centre
d’opérations patrouille de gendarmerie de 45 m². Il comprend trois pièces
et de renseignement
de la gendarmerie, arrive à 8h15 sur le lieu distinctes : une entrée (pièce 1),
niveau des faits. Lors de la une chambre (pièce 2) et un salon (pièce
départemental.
reconnaissance, elle 3). Il est équipé d’un système domotique
découvre la porte d’entrée de l’apparte- issu d’un kit Orvibo, avec deux cap-
ment fracturée. Les premières constations teurs d’ouverture (1 et 2) et un capteur
font ressortir de nombreuses traces de mouvement (3) couplé à une caméra
de lutte et de violence avec des objets Wi-Fi (4). Cette solution contrôle les deux
renversés et brisés sur le sol. Dans une ouvertures extérieures. Elle communique
pièce, une personne décédée est retrouvée par le protocole ZigBee au travers d’une
gisant sur un lit. La patrouille met donc en passerelle dédiée (5). Le système domo-
œuvre les premières mesures de protection tique est complété d’une ampoule Philips
de la scène de crime et demande un appui (6 et 7) connectée à sa passerelle (8). Par
auprès des unités compétentes. Une ailleurs, quatre capteurs Sen.se Cookies
équipe médico-légale, dont un technicien sont cachés dans les différentes pièces. Ils
en nouvelles technologies, prend en charge transforment les objets ménagers en objets
la scène de crime à 9 heures. Il procède connectés. Dans cette situation, ils sur-
à l’appréhension de l’environnement en veillent la température ambiante de l’appar-
identifiant les différents objets connectés tement (9), le niveau d’eau de la machine
(figure 1) et en traçant la cartographie à café (10), la position du vélo en extérieur
des interactions (figure 2). (11) et la gestion de la bibliothèque (12).
Figure 2 : cartographie globale de l’environnement local [1].

DOSSIER
Tous ces équipements sont reliés à une 2- Appréhension de l’environnement

base centrale Sen.se Mother et commu- connecté dans sa globalité
niquent avec un protocole propriétaire (13). Dans une démarche analytique de l’envi-
Les différentes passerelles Orvibo, Philips ronnement, l’écosystème se découpe en
et Sen.se, l’Amazon Echo (14), le Rasp- trois zones complémentaires (figure 3) [2] :
berryPi0 (15) et la caméra IP M136W (16) un environnement local composé des ob-
sont connectées à Internet au travers jets connectés et des passerelles (1), une
d’un WinkHub 2 (17). infrastructure externalisée construite autour
de plateformes Cloud (2) et un interfaçage
La victime est allongée sur le lit de la avec l’utilisateur ou avec un autre système
chambre. Elle porte à son poignet droit une connecté (3). L’appréhension de la scène
Apple Watch 3 (18) et a un iPhone SE (19) de crime se focalise sur l’environnement
dans sa poche. Un capteur de sommeil local, soit les zones 1 et 3. Seules les don-
Terraillon Dot (20) est caché dans le lit. nées de ces zones demeurent directement
D’autres objets hétéroclites sont disposés accessibles aux enquêteurs. L’acquisition
dans l’appartement : un Sens’it (21), des données de la zone 2 nécessite l’inter-
un bracelet Heroz (22) et une balance vention d’un tiers, initiée par une réquisition
Nokia (23). judiciaire. Cependant, les demandes au-
près des opérateurs de plateforme doivent
Figure 3 : découpage par zones de l’environnement connecté.

DOSSIER
être orientées et motivées en fonction des bracelets connectés [4], des assistants
informations recueillies localement, en par- vocaux [5] et plus globalement de tout dis-
ticulier dans l’identification de l’équipement positif connecté de la vie quotidienne [6].
et des données remontées. Cependant, les traces obtenues résident
en de nombreux fragments contenus
Chaque infrastructure est caractérisée dans une pluralité de supports d’un même
par une politique de gestion de la don- réseau, susceptibles d’évoluer à travers
née unique. Par exemple, le Terraillon Dot le temps et l’espace. Afin qu’elle ne soit
est synchronisé manuellement alors que pas parcellaire, l’analyse ne doit pas se
l’Apple Watch utilise une synchronisation focaliser sur l’étude d’un unique objet mais
automatique. De même, la caméra Orvibo sur l’infrastructure connectée dans son
utilise un stockage externe comme intégralité. Elle consiste donc à étudier
mémoire tampon dans la communication la donnée selon trois axes : le temps en
avec le réseau. La donnée remontée se définissant la chronologie des évènements
retrouve alors dispersée au sein du réseau et des phénomènes itératifs, l’espace en
au gré des configurations et des services positionnant la donnée dans l’infrastruc-
proposés. Un équipement est susceptible ture et au regard de l’environnement local
d’être contrôlé ou accessible à partir et le contexte de l’évènement au regard
d’un autre appareil du système, selon une des rôles et des actions des équipements
structure de lien caché. La donnée se face au phénomène. Par cette approche
propage dans les équipements du réseau, ternaire, l’enquêteur cherche à déterminer
concourant ou non à l’objet cible [3]. le cycle de vie de la donnée retrouvée,
Cette problématique soulève plusieurs afin de la qualifier, et établir sa cohérence.
questions pour la criminalistique moderne Dans le but de procéder à une analyse
sur le partage et le recoupement des infor- pertinente des événements, il est néces-
mations afin de reconstituer la chronologie saire d’étudier l’information au regard
des événements. Elle met à mal une d’un horodatage commun, défini à partir
approche statique et unitaire des éléments des caractéristiques techniques des
de la scène de crime, en s’inscrivant dans appareils étudiés.
une approche plus globale de la chose.
Par exemple, en étudiant les journaux
3- Exploitation et analyse des données d’évènements contenus dans la passerelle
recueillies et l’application Philips, l’événement «lampe
La littérature scientifique est riche de allumée» est horodaté. Cependant, il doit
nombreux travaux dans l’étude des so- être caractérisé plus précisément. S’agit-il
lutions connectées et de leurs artefacts, d’une action de l’utilisateur par le biais de
que ce soit au travers des montres, des l’application téléphonique, d’un interrupteur

DOSSIER
externe, du signal d’un capteur ou hypothèses sur le lieu du meurtre et les cir-
d’une commande vocale au travers de constances. Ces informations doivent être
l’Amazon Echo ? A-t-elle été effectuée mises en perspective avec les données
par un utilisateur connu ? S’agit-il d’une médico-légales recueillies sur la scène
action programmée ? Pour chaque ques- de crime et sur la victime. Par ailleurs,
tion, une donnée unique est associée. les données numériques sont en mesure
Cette approche analytique est générali- d’orienter certaines investigations comme
sable à tous les objets de l’infrastructure des relevés de traces biologiques sur la
connectée. Ces informations déterminent scène de crime en fonction du parcours
les acteurs étant intervenus sur et dans criminel du mis en cause. Sur une habita-
l’événement, leurs positions en fonction tion de plus grande taille, ces informations
des objets, les actions effectuées aident à délimiter et à discriminer une zone
ou détectées et la réponse des objets d’étude en définissant une stratégie d’in-
aux différentes sollicitations. vestigation en cohérence avec les données
relevées. Les objets connectés donnent
Ainsi, les équipements regroupent des la possibilité de vérifier des hypothèses de
données de contexte (une configuration travail en apportant de nouveaux éléments
physique et logique d’un lieu, une habitude matériels, comme par exemple un mo-
de vie, un enregistrement sonore ou vidéo, bile incohérent avec un mode opératoire.
etc.) et des données à caractère personnel L’étude de la chronologie des évènements
(une identité du consommateur de service, peut également renseigner
des informations numériques et de biomé- sur une éventuelle préméditation dans
trie, etc.). Ces informations offrent la logique criminelle.
aux enquêteurs la possibilité de reconsti-
tuer la succession des évènements avant
et après l’incident. Ainsi, à partir des
premiers éléments numériques, l’enquêteur
est en mesure de dater l’intrusion dans
le domicile de la victime avec le capteur
de la porte d’entrée, le parcours du mis
en cause avec le système domotique
Orvibo corroboré par le mouvement
du Sen.se Cookie (9), ainsi que l’heure
du décès de la victime. Il peut constater
l’absence de modification de la scène
de crime comme un déplacement du corps
de la victime post-mortem, émettre des

DOSSIER

DOSSIER
4- En Bref... Forensics and Cyber Crime. Springer (Oct 2020).

L’Internet des objets contribue à l’apport [2] Oriwoh, E., Jazani, D., Epiphaniou, G., Sant,
subséquent d’éléments de preuves confortant P.: Internet of things forensics: Challenges and
un procès au pénal. Il s’avère, dans certains approaches. In: 9th IEEE International Confe-
cas, que cette structuration étendue de rence on Collaborative Computing: Networking,
l’environnement connecté peut présenter des Applications and Worksharing. IEEE (Oct 2013).
difficultés en termes de réponse criminalis- [3] Attwood, A., Merabti, M., Fergus, P., Abuelmaat-
tique. Les traces sont dispersées localement ti, O.: SCCIR: Smart cities critical infrastructure
ou également au travers des ramifications de response framework. In 2011 Developments
l’infrastructure et des espaces de traitement in E-systems Engineering. IEEE (Dec 2011).
en ligne. Ainsi, la donnée est susceptible [4] Baggili, I., Oduro, J., Anthony, K., Breitinger, F.,
d’être partielle dans l’objet connecté mais McGee, G.: Watch what you wear: preliminary
devient un ensemble cohérent dans l’arbores- forensic analysis of smart watches. In 2015 10th
cence numérique. Cette détermination de la International Conference on Availability, Reliability
présence et du positionnement de l’informa- and Security. IEEE (2015, August).
tion demeure unique à chaque écosystème. [5] Chung H, Park J, Lee S.: Digital forensic
Elle est en particulier liée à la politique de la approaches for Amazon Alexa ecosystem.
gestion de la donnée, tant au niveau du stoc- Digital Investigation (Aug 2017).
kage que de sa synchronisation au travers [6] Bharadwaj, N. K., Singh, U.: Acquisition
du réseau. L’analyse des traces est donc and analysis of forensic artifacts from Raspberry
beaucoup plus complexe que dans le cadre Pi an Internet of Things prototype platform.
de la criminalistique numérique traditionnelle, In Recent Findings in Intelligent Computing
en raison de son caractère multidimensionnel Techniques. Springer (Nov 2019).
et pluridisciplinaire. Elle s’accompagne éga-
lement d’un travail de contextualisation de la
donnée et de compréhension de sa diffusion,
selon les facteurs espace et temps. Identifier L’AUTEUR
et comprendre les sources précieuses de
Officier de la Gendarmerie nationale,
traces est donc un défi majeur. L’ensemble le Capitaine François Bouchaud dirige
de l’enquête dépend de la nature de l’appareil le département coordination du Centre
de lutte contre les criminalités
connecté et de l’intelligence mise en place
numériques (C3N). Doctorant en
pour sa gestion. informatique à l’Institut de recherche
sur les composants logiciels et matériels
pour l’informatique et la communication
Références bibliographiques :
avancée, il est diplômé de l’École supé-
[1] Bouchaud, F., Vantroys, T., Grimaud, G.: rieure d’électronique de l’Ouest
Evidence gathering in IoT criminal investigation. et de l’École centrale Paris.
In: 11th EAI International Conference on Digital

DOSSIER
Cybermenaces :
la transition numérique de la police
Par Olivier Ribaux et Thomas Souvignet
L
(1) https://third.
digital/
NDLR : cet article
a été initialement publié
dans la revue Third1
en novembre 2020.
ne prêtons même plus attention aux
tentatives d’hameçonnage qui pullulent
dans nos boîtes de « spam » (pourriels).
Il devient alors indispensable de se de-

Les transformations numériques de nos mander comment les victimes ressentent
activités quotidiennes se sont inévitable- ces attaques et y réagissent, et comment
ment accompagnées d’une évolution de les pratiques policières évoluent pour
la criminalité et des menaces qui pèsent s’adapter à ces transformations. Nous
sur la société. Les cybermalveillances exprimerons ces enjeux et présenterons
sont devenues des développements opérationnels en
quasi banales illustrant nos propos par une fraude en
et nous ligne, typique, dont notre École a été la
cible.
L’omniprésence des crimes numériques

Les transformations numériques de notre
THOMAS
SOUVIGNET société engendrent toute sorte de nouveaux
dangers qui perturbent concrètement notre
Lieutenant-colonel
OLIVIER RIBAUX de Gendarmerie quotidien. Ils sont mis en évidence dans
(En disponibilité). l’étude menée en juin 2019 par l’Institut
Directeur de l’École Professeur à l’École
des Sciences des Sciences National de la Consommation pour Cyber-
Criminelles Criminelles malveillance.gouv.fr2, le dispositif français
de l’Université de l’Université
de Lausanne, Suisse. de Lausanne, Suisse. d’assistance aux victimes, de prévention des

DOSSIER
CYBERMENACES : LA TRANSITION NUMÉRIQUE DE LA POLICE
risques numériques 2), sont souvent faussement considérées

(2) https://www.
cybermalveillance. et d’observation de la comme banales et bénignes. Elles sont
gouv.fr/tous-nos-
contenus/actualites/
menace en France : néanmoins susceptibles de causer des
plus-de-9-francais- plus de 9 français sur 10 dommages financiers et psychologiques
sur-10-ont-deja-ete-
confrontes-a-un- admettent avoir déjà été parfois dramatiques pour les victimes.
acte-de-cybermal-
veillance. confrontés à un acte de
malveillance sur Internet.
(3) https://www.
cybermalveillance.
gouv.fr/tous-nos-
contenus/actualites/ Le nombre et la variété
chiffres-et-ten-
dances-des-cyber-
des évènements pour les-
menaces-cybermal- quels ce même organisme
veillance-gouv-fr-de-
voile-son-pre- est sollicité3 (Figure 1), in-
mier-rapport-dacti-
vite-2019. diquent le polymorphisme
de ces dangers.
Figure 2 – Évolution du spam d’origine cybercri-

minelle entre 3ème trimestre 2019 et 2e trimestre
2020 (source : www.signal-spam.fr).
(4) https://www. Dans son évaluation

europol.europa.eu/annuelle du paysage des
activities-services/
main-reports/ cybermenaces pour
internet
l’année 2019 (IOCTA
20194), Europol met notamment en avant
les formes plus organisées et graves, telles
que l’exploitation sexuelle de mineur
en ligne, la fraude aux paiements, l’atteinte
Figure 1 - Réparation des menaces lors des
recherches d’assistance provenant de particuliers aux systèmes numériques (rançongiciel,
(source : www.cybermalveillance.gouv.fr). compromission de données, etc.)
ou encore les espaces numériques sur
lesquels s’appuient des activités terroristes.
Ces formes omniprésentes de criminalité
en ligne, confirmées par d’autres entités Nombre de ces cybermenaces ont
comme l’association Signal Spam (Figure toutefois un angle d’attaque commun :

DOSSIER
les vulnérabilités de l’humain. En effet, nous arrivons toutefois à nous contacter

une action et une inattention de l’utilisateur et débute alors une gestion commune
sont très souvent nécessaires pour qu’une de l’incident.
attaque puisse avoir l’effet escompté.
Professionnels avertis en la matière, nous
Au-delà des chiffres, comment réagir ? comprenons rapidement qu’il s’agit d’une
Les réponses apportées jusqu’ici résultent usurpation d’identité (faux directeur) visant
d’une multitude d’initiatives souvent à demander de l’argent aux destinataires
prometteuses, mais encore très fragmen- des courriels. Nous devons découvrir quels
tées. Elles se confrontent à de nouvelles sont les destinataires de ceux-ci. Deux
questions : qui doit prendre en charge les hypothèses se dessinent rapidement :
problèmes (institutions privées, publiques, soit le carnet d’adresse du Directeur a été
responsabilité individuelle), quand (modes piraté, soit l’attaquant a récupéré une liste
d’intervention) et comment (quelle répres- de cibles de choix en exploitant des don-
sion ? quelles méthodes de prévention ?). nées publiées par exemple par le site web
Les questions éthiques (par ex. les libertés institutionnel de l’École.
individuelles), comme le reste, doivent s’en-
visager à une nouvelle échelle. Le mode opératoire étant défini, vient
ensuite l’étape visant à endiguer l’attaque
Une attaque dont notre École a été victime et, de manière pragmatique, éviter tout
durant l’été 2019, permet d’illustrer paiement. Nous comprenons que la fraude
une partie de ces difficultés. est synchrone (l’auteur dialogue en temps
réel avec les personnes contactées). Notre
(5) https://www. Nous prenons conscience réaction doit être immédiate.
sciencedirect.com/
science/article
qu’une attaque (détaillée
dans un article publié dans Les messages étant envoyé d’une adresse
Forensic Science International : Digital Gmail créée par l’attaquant, la première idée
Investigation5) par harponnage (ou spear consiste à s’appuyer sur Google. Un formu-
phishing) est en cours lorsque le premier laire disponible sur le site support de Google
auteur de cet article (professeur spécialisé semble pouvoir répondre au besoin. Mais,
en criminalistique numérique) reçoit, en restant réaliste, nous comprenons que le
sur son adresse professionnelle, un courriel temps de réaction du géant américain n’est
de son directeur (deuxième auteur de cet pas compatible avec l’évolution de la fraude.
article) dont le sujet est « Hello are you
available? ». Le tout est envoyé d’une L’identification des destinataires n’étant
adresse Gmail et non de celle de l’universi- toujours pas possible, le directeur prend la
té. Tous deux sur nos lieux de vacances, décision :

DOSSIER
- d’envoyer un courriel à l’ensemble étaient synchronisés avec l’émission

des collaborateurs de l’École, des courriels d’harponnage.
- d’informer le support informatique Finalement, seule une cible sur une

de l’université, centaine ira jusqu’à la phase de paiement,
mais ce paiement sera annulé à la dernière
- de prendre contact individuellement minute.
avec quelques adresses de sa propre liste
de contacts, en dehors de l’École, Dans cette situation assez simple,
pour tester l’hypothèse du piratage de nombreuses décisions et démarches,
de son compte. à des niveaux différents ont été nécessaires
pour endiguer la fraude.
Enfin, le directeur contacte officieusement
quelques responsables de la police locale, Ces démarches, pas forcément simples
spécialisés en numérique, afin de connaître ou accessibles, même pour des utilisateurs
la démarche à suivre. avertis, montrent la difficulté de faire face
à une attaque technologiquement simple.
Les actions menées ont eu l’effet escomp- On peut aisément imaginer la grande diffi-
té puisque certains collaborateurs en culté d’une victime âgée face à un
discussion avec l’attaquant ont stoppé rançongiciel (eg. cryptolocker) ou une prise
net à réception du courriel adressé aux col- en main à distance lors d’une fraude
laborateurs de l’École. De même, le service au faux support technique.
informatique de l’université a été en mesure
d’intercepter immédiatement le flux continu Une évolution nécessaire de la réponse
de messages provenant de l’attaquant. policière
Par les retours obtenus des collaborateurs Cet exemple met en exergue un paradoxe
et les réponses des contacts hors de l’uni- quant à la manière dont la Police aborde la
versité, il apparaît maintenant clairement criminalité sur Internet et aux attentes que
que le cercle des personnes ciblées nous avons à l’égard de cette institution.
se restreint aux membres de l’École.
En effet, si nous n’avions pas été victime
Dans une seconde phase d’analyse d’une attaque en ligne mais d’une rixe
à froid, cette hypothèse a été confirmée ou d’un cambriolage, nous aurions immé-
par l’examen des journaux d’événement diatement appelé la Police et lui aurions
(logs) du site internet de l’École : laissé entièrement gérer la crise engendrée.
des accès aux adresses électroniques Dans son rôle régalien, celle-ci aurait
des collaborateurs par le site internet sans doute réalisé des opérations de police

DOSSIER
technique et scientifique, effectué une la Police dans un délai aussi court. Même
enquête de voisinage et saisi les images dans un contexte de confiance Police-
de vidéoprotection disponibles. Quand bien Nation aussi fort qu’en Suisse, où la Police
même nous enseignons à nos étudiants est régulièrement sollicitée pour
ces pratiques, nous aurions entièrement des renseignements de toutes natures,
« confié » ces opérations à la Police. nous considérions tacitement qu’elle
n’aurait pas les ressources pour traiter
Dès lors, pourquoi n’avons-nous pas immédiatement notre petite attaque.
agi de la même manière avec cette cybe- N’aurait-elle pas agi immédiatement si l’on
rattaque dont nous avons été victimes ? tentait de s’en prendre à nos biens dans
Parce que nous n’avions pas « confiance » le monde physique ?
en la réponse que pourrait apporter
Figure 3 – Estimation de la délinquance en Angleterre et Pays de Galle (source : Office nationale de la

statistique du Royaume-Uni6).

DOSSIER
Cela pose ainsi la nécessité per les laboratoires forensiques8 ?

et la capacité des forces de l’ordre En d’autres termes, est-ce que
à traiter individuellement toutes les forces de police ont su prendre
les cyberattaques. le virage numérique, adapter leurs
Une enquête doit-elle et peut-elle être pratiques aux cybermenaces ?
menée dès la réception d’une tentative Faute de prendre en compte
d’hameçonnage ? Si ce n’est pas le cas, ces nouvelles menaces, et campant
à partir de quel niveau d’intensité sur des pratiques du siècle dernier,
une réponse policière doit-elle être ne risquent-elles pas, à l’image
apportée ? de Kodak qui misait tout sur la vente
de pellicules, de ne pas se remettre
Pour comprendre l’éventuelle difficulté de ces évolutions numériques ?
à faire face à ces cyberattaques, il suffit
de consulter les statistiques de la dé- Tout d’abord, il est possible d’argumen-
linquance de l’Angleterre et du Pays de ter à ceux qui voient un « syndrome
Galles (Figure 3). En effet, la prise Kodak » dans l’adaptation des forces
en compte des crimes et délits liés de police aux cybermenaces,
au numérique depuis 2007 a pour effet qu’un « syndrome Polaroid »
de quasiment doubler la délinquance peut également être mis en avant.
estimée. En effet, même avec l’avènement
du numérique les pratiques tradition-
Au vu de la criminalité nelles restent d’actualité. Le succès
(6) https://www.ons. dans les années du Polaroid ne se dément pas, comme
gov.uk/peoplepo-
pulationandcommu- 1990-2000, on pourrait celui de la criminalité traditionnelle.
nity/crimeandjustice/
bulletins/crimeinen- se dire, qu’à effectif
glandandwales/
yearending-
du même ordre Ensuite, les forces
(9) Technicien en
march2020. de grandeur7, la moitié Identification Crimi- de l’ordre s’attachent
nelle – TIC –
(7) https://www. serait dédiée à cette en Gendarmerie
à réaliser leurs transfor-
gov.uk/government/
collections/police-
nouvelle délinquance et Agent spécialisé mations numériques.
de Police Technique
workforce-england- et qu’une réponse à la et Scientifique – En France, dès la fin
and-wales ASPTS – en Police.
hauteur de la criminalité du XXe siècle,
(8) https://online- (10) Enquêteur
library.wiley.com/doi/ traditionnelle serait spécialisé
les spécialistes en scène
abs/10.1111/1556-
4029.13849.
produite. Ceci n’est bien en technologie de crime9 ont été rejoints
numérique – NTech
sûr pas le cas. – en Gendarmerie par des spécialistes
et Investigateurs
en cybercriminalité –
en analyse de supports
Dès lors, les polices sont-elles atteintes ICC – en Police. et en enquêtes
du « syndrome Kodak » qui semble frap- numériques10.

DOSSIER
Depuis 200911, utilisée dans les mécanismes mis

(11) https://www.
legifrance.gouv. la Plateforme d’Harmoni- en place. Nous noterons ainsi
fr/affichTexte.
do?cidTexte sation, d’Analyse, la participation des forces de l’ordre
de Recoupement dans des associations de lutte contre
et d’Orientation des Signalements la criminalité numérique (Signal Spam,
(PHAROS) a quant-à-elle pour mission CECyF, etc.) ou encore la création
de recueillir, de manière centralisée, de Groupes d’Intérêt Public (GIP)
l’ensemble des signalements comme le GIP Action contre
de nombreux faits commis en ligne, la Cybermalveillance (GIP ACYMA)
dont les escroqueries et arnaques derrière « cybermalveillance.gouv.fr »
financières utilisant internet. préalablement cité.
Enfin des unités spécialisées détiennent
les compétences techniques nécessaires Une marge de manœuvre
à la lutte contre les encore grande
fraudes mettant Malgré cette prise en compte
(12) https://www.
europol.europa.eu/
en œuvre des technolo- des nouvelles menaces portées
newsroom/news/ gies évoluées, comme par le numérique et la transformation
dismantling-of-
encrypted-network- le montre le démantèle- de leurs pratiques, les forces de Police
sends-shockwaves-
through-organised- ment d’un réseau ont quand même du chemin à parcourir
crime-groups-
across-europe.
de Darkphone pour prendre en compte la criminalité
(téléphones hautement numérique comme elles prennent
sécurisés utilisés en compte la criminalité traditionnelle.
par des groupes criminels) En dehors d’une meilleure prise
par la Gendarmerie Nationale12. en charge des victimes, l’exploitation
systématique du renseignement
Reste tout de même la prise en compte judiciaire pourrait être un moyen efficace
de l’utilisateur qui doit faire face de rattraper ce retard. C’est du moins
à une cyberattaque, telle que nous ce qu’essaie de faire la Suisse
l’avons vécue. Là encore, les agences en développant la Plateforme
gouvernementales françaises prennent d’Information de la Criminalité Sérielle en
en compte le virage numérique Ligne (PICSEL). Cette plateforme exige
avec esprit d’innovation. déjà des policiers qui saisissent
les plaintes et qui alimentent
La Gendarmerie a ouvert une brigade le dispositif, une attention particulière
en ligne, accessible 24h/24 en créant à ces formes de criminalité jusqu’ici
la « brigade numérique ». La coproduc- ignorées. Ils doivent s’entretenir
tion de sécurité est ainsi régulièrement avec le plaignant et s’appuyer

DOSSIER
sur les brigades spécialisées pour L’AUTEUR

exprimer clairement le mode opératoire
et en identifier des traits pertinents. Lieutenant-Colonel de gendarmerie
en position de disponibilité,
Les traces accessibles sont aussi Thomas Souvignet est professeur
susceptibles d’aider à détecter spécialisé en traces numériques à l’École
des problèmes répétitifs et à suivre leur des Sciences Criminelles de l’Université
de Lausanne. Titulaire de différents
évolution. L’analyse des informations, masters (Sécurité des Systèmes
ainsi réunies et organisées, offre les d’Information — Information Security
moyens d’adapter les stratégies and Computer Crime — Systèmes
embarqués et mobiles), il détient
préventives et répressives, de mieux un doctorat en Informatique (sujet relatif
communiquer avec les partenaires à la lutte contre la fraude aux moyens
et avec le public, de prioriser les efforts de paiement). Après avoir œuvré
au développement du département
et d’orienter les enquêtes. En moins informatique-électronique de l’IRCGN
de deux ans de fonctionnement pendant une douzaine d’années,
et bien qu’en état encore embryon- il se consacre actuellement à élargir la
recherche, l’expertise et l’enseignement
naires, ces nouveaux processus ont du numérique au sein de la plus ancienne
déjà modifié profondément l’approche école de police scientifique au monde.
policière des crimes transformés
numériquement.

DOSSIER
Critères Communs, CSPN

et Qualification, pour une confiance
objective dans un produit de sécurité
Par Gérard Peliks
L
La confiance en un produit de cyber-
sécurité ne se décrète pas. Si on parle
de confiance objective, elle s’obtient en
faisant certifier ou qualifier le produit.
les Réseaux Privés Virtuels (VPN),
les antimalwares, l’authentification forte,
le chiffrement, concourent à diminuer
les risques, les effets des cyberattaques
Des standards et des normes existent et et à réduire l’incertitude sur la qualité
sont élaborés par une coopération entre des produits. Elles augmentent ainsi la
pays comme les standards ITSEC pour confiance que les utilisateurs peuvent éprou-
l’Europe et les Critères Communs pour ver vis-à-vis de leur système d’information.
l’international. Elles peuvent garantir la disponibilité,
l’intégrité, la confidentialité et la traçabilité
De l’Orange Book à des process et des data, surtout quand
la qualification, en celles-ci sont sensibles. Cependant,
passant par l’ITSEC, le problème des logiciels de sécurité est que
les Critères Communs ce sont des logiciels ou des solutions qui
et la CSPN, cet article reposent sur des logiciels, or tout logiciel
explore ces différentes comporte des vulnérabilités. Les plus dan-
préconisations. gereuses sont celles qui sont encore peu
GÉRARD PELIKS
connues et qui n’ont donc pas de correctifs
Association Vers une confiance largement distribués. Un outil de cybersé-
des Réservistes
du Chiffre objective et internatio- curité est-il adapté pour contrer les cybe-
et de la Sécurité nale pour un produit rattaques auxquelles il est censé faire face
de l’Information.
Réserve citoyenne de cybersécurité ? Les fonctionnalités prétendues sont-elles
cyberdéfense. Les solutions de sécuri- réelles et efficaces ? Le logiciel comporte-t-il
Gendarmerie
nationale. té, comme les pare-feux, des fonctionnalités cachées ? Le développe-

DOSSIER
CRITÈRES COMMUNS, CSPN ET QUALIFICATION, POUR UNE CONFIANCE OBJECTIVE

DANS UN PRODUIT DE SÉCURITÉ
ment du produit est-t-il compatible avec la validée par un diplôme, que ces tests ont
sécurité attendue ? été réalisés par un organisme indépendant
et que le résultat a reçu l’aval d’un orga-
Quelle confiance objective peut-on nisme d’état. On veut être persuadé que
accorder aux solutions de sécurité ? deux produits, qui assurent les mêmes
Qui est garant de la confiance que ces fonctionnalités, ont passé les mêmes tests,
solutions feront ce pour quoi elles sont avec le même degré d’exigence,
installées et tout ce qu’elles doivent faire sur une surface équivalente des produits.
dans des conditions réelles de telle On obtient alors une assurance de sécuri-
ou telle attaque ? té objective qui, de plus, permet de com-
parer deux produits de la même famille.
On pourrait penser qu’un produit de
sécurité est lui-même sécurisé et assume Pour que cette confiance en un produit
bien son rôle si une organisation, dont la puisse être formalisée, elle doit reposer
sécurité repose sur le même produit, n’a
sur des méthodes d’évaluation de risque
jamais exprimé un avis négatif. On pourrait
et sur la fourniture de preuves qualifiées et
penser que, si un produit de sécurité est
infalsifiables, mais elle doit s’appuyer aussi
développé ou commercialisé par une orga-
sur une autorité de confiance, universel-
nisation qui a bonne réputation, ce produit
lement reconnue. Ces méthodes et ces
est sûr. On pourrait penser que, plutôt que
preuves peuvent apporter une confiance
de comparer deux produits, il est préfé-
objective en la sécurité d’un produit.
rable de comparer la réputation de leurs
concepteurs. Cette confiance n’est que de
De l’Orange Book à la CSPN,
la confiance « subjective ».
des alliances se dessinent
On peut considérer qu’un produit de Dans les années 80, les USA ont adopté
sécurité assure sa fonction, n’assure que l’Orange Book (ou TCSEC), certification
sa fonction et toute sa fonction, que s’il est américaine fruit d’un appel d’offre émis
passé au travers d’une batterie de tests par le NIST1. L’Orange Book définissait
menés par des experts et validés par des niveaux de sécurité allant du niveau D
un organisme officiel. Bien sûr, ce sont (le moins exigeant) au niveau A,
les mêmes tests pour tous les produits de mais qui ne permettaient pas d’avoir
la même famille, qui poussent à un niveau des critères de comparaison entre
suffisant les contrôles sur toute la surface plusieurs produits de la même famille.
des fonctionnalités attendues de ce produit Ces certifications américaines définies
et avec une profondeur suffisante. On peut par l’Orange Book allaient-elles être
vouloir vérifier, par une certification reconnues en Europe ?

DOSSIER

Trois pays européens, un bel exemple de Les Critères Communs, un standard

coopération multilatérale dans le domaine international devenu une norme ISO
de la certification de sécurité : France, Les Critères Communs4
(4) Common Criteria
Grande-Bretagne et Allemagne, auxquelles for Information sont des spécifications
technology Security
se sont joints les Pays Evaluation»
qui évoluent grâce aux
(2) Information
Technologies Bas, ont écrit les ITSEC2 https://www. travaux d’un groupe
Security Evaluation commoncriteriapor-
Criteria. qui établissaient tal.org/ d’experts, avec des
des niveaux de confiance (5) Common Criteria accords de reconnais-
(3) Anadian Trusted
Computer Product de E1 à E6, pendant Recognition Arran- sance mutuelle, le CCRA5.
Evaluation Criteria. gement.
que le Canada écrivait ses La version actuelle 3.1
(6) Agence Nationale
propres critères d’évaluation, le CTCPEC3. de la Sécurité des se compose de quatre
Systèmes d’Infor-
Pourtant la certification ITSEC E3, mation
volumes : Le premier porte
par exemple d’un pare-feu, allait-elle être https://www.ssi. sur le sujet « Introduction
gouv.fr/entreprise/
reconnue par les États-Unis, ou même produits-certifies/cc/ et modèle général »,
criteres-et-methodo-
par les pays d’Europe qui n’avaient pas logies-devaluation/ le deuxième sur les
participé à l’élaboration des ITSEC ? « exigences
Nous avons là plusieurs organismes fonctionnelles » qui sont essentiellement
de certification, qui ont défini leurs niveaux une bibliothèque d’éléments qui décrivent
de confiance et qui, avec les ITSEC, les fonctionnalités de sécurité pouvant être
ont montré qu’une certification commune mises en œuvre par le produit. Le troisième
entre pays était possible. volume décrit les « exigences et les niveaux
d’assurance » relatifs aux mesures
Au début des années 2000, tous ces de sécurité conformes aux spécifications
pays unissent leurs travaux pour définir et assortis d’une efficacité, en accord avec
une nouvelle méthodologie pour s’assu- le niveau de certification visé. Un quatrième
rer qu’un produit de sécurité remplit ses volume traite des méthodologies d’évalua-
fonctions, pas plus et pas moins, avec un tion. Il existe une version en français
niveau d’assurance quantifié, face à des de ces spécifications, à télécharger
menaces bien définies. Cette coopération sur le web de l’ANSSI6.
internationale allait aboutir aux « Critères
Communs ». Ce n’étaient encore que Un produit est évalué « Critères
des standards industriels, qui n’avaient Communs », non pas pour l’ensemble
pas force de loi, mais la version 2.1 de ses fonctionnalités et de son code,
des Critères Communs devint une norme ce ne serait que trop difficilement atteint,
internationale (ISO/IEC 15408) publiée mais sur un espace restreint appelé une
en 2009 et modifiée en 2014. « cible de sécurité ». Pour éviter qu’un
éditeur ne se lance dans un jeu subtil de

DOSSIER

découpage de sa cible de sécurité pour Cette cible de sécurité doit être

ne proposer de soumettre aux tests qu’une acceptée par l’organisme
(7) Secrétariat
fine dentelle du produit dont il est persuadé Général de la signataire de la certifica-
Défense et de la
qu’elle passera les tests sans problème, Sécurité Nationale.
tion, en France l’ANSSI,
il a été prévu la notion de « Profil rattachée au SGDSN7,
(8) Centre d’Evalua-
de Protection » (PP : Protection Profile). tion de la Sécurité organisme interministériel
des Technologies
de l’Information. qui dépend du Premier
Un profil de protection est une cible ministre. La cible
de sécurité générique propre à un type acceptée, les tests de certification peuvent
d’équipement ou à une communauté commencer. Cette évaluation est menée
d’utilisateurs comme, par exemple par un cabinet privé, le CESTI8, choisi
les Firewalls. Si un commanditaire veut faire par le commanditaire.
certifier un produit, qui présente
des fonctionnalités couvertes par un profil Dans la cible de sécurité sont définies
de protection, il doit l’inclure dans sa cible. les menaces auxquelles le produit doit faire
Ainsi la certification « Critères Communs » face et comment il se comporte pour les
gagne en crédibilité, surtout que, contrer. Le soumissionnaire définit la
d’un standard international, elle est surface d’évaluation en choisissant parmi
devenue une norme (ISO/IEC 15408). les éléments fonctionnels des Critères
Communs, ceux qui correspondent aux
fonctionnalités à tester. Il décide du niveau
de certification qu’il souhaite que son
produit atteigne, ce qui implique la
© Iso iec 3D par profit_image
fourniture des éléments d’assurance

qui prouveront que la cible peut obtenir
ce niveau de certification. Un produit
peut être certifié « Critères
(9) EAL : Evaluation
Assurance Level Communs » sur l’un des
sept niveaux d’évaluation
Le caractère normé de la cible et la
profondeur des tests permet de donner au client allant de EAL1 à EAL79.
une assurance objective de l’adéquation
du produit commercialisé à ses besoins
EAL1 est le plus bas niveau des Critères
et à la sécurité de son activité.
Communs et définit des tests de fonction-
nement en boîte noire : on s’assure que le
Le commanditaire soumet, à l’autorité de produit se comporte conformément à ce
certification, sa cible de sécurité qui définit qui est écrit dans sa documentation.
la surface du produit qui va subir les tests. Avec EAL4, on commence à vérifier

DOSSIER

des parties du code source du produit. et pour des domaines techniques très
spécifiques, comme les microcontrôleurs,
Au-delà commence le domaine de la jusqu’au niveau EAL7.
certification par des technologies mettant
en œuvre des méthodes de développe- La CSPN, une voix de la France
ment plus spécifiques et rigoureuses. On dans le concert des certifications
commence alors à parler de spécifications Pour établir le niveau de confiance qu’on
semi-formelles. Le plus haut niveau, EAL7, peut accorder à un produit de sécurité face
impose des spécifications formelles à certaines attaques, les « Critères
exprimées dans un langage syntaxique Communs » sont efficaces, reconnus
basé sur des concepts mathématiques. internationalement, mais ils demandent
un travail très conséquent car ils sont chers
S‘engager dans une démarche de certifica- et longs à obtenir. Si le coût et la durée
tion « Critères Communs », c’est emprunter de la certification sont un obstacle, il existe
un chemin long, sinueux et coûteux.
une autre certification. L’ANSSI a créé, en
Cela suppose un travail important qui peut
2008, la CSPN, Certification de Sécurité
s’étaler sur plus d’un an. Le coût d’une
de Premier Niveau, solution suffisante
certification EAL4 peut s’élever à plus
quand le niveau de confiance visé n’est
de 100 000 euros qui seront versés à un
pas élevé. Elle consiste en des tests en
CESTI, l’organisme d’experts qui va effec-
« boîte noire » effectués en temps et délais
tuer les tests et monter le dossier
contraints. L’évaluation de sécurité est
d’évaluation qu’il remettra à l’organisme
faite, comme pour les Critères Communs,
officiel de certification. Il faut aussi compter
les ressources que le commanditaire par un centre d’évaluation (CESTI) agréé
de la certification doit mettre en œuvre par l’ANSSI. Il faut compter 25 jours
en interne. Bien entendu plus le niveau pour qu’un produit obtienne, si les tests
de certification à atteindre est élevé, plus la sont concluants, une certification CSPN
surface de la cible de sécurité est étendue, ou 35 jours si le produit comporte aussi
plus le travail et le budget à prévoir sont des éléments de cryptographie.
conséquents. Enfin, pour avoir une chance
d’atteindre la certification souhaitée, La CSPN est une certification française
le produit doit être dans une version stable mais d’autres pays européens com-
et mature. mencent à nous l’envier et vont sans
doute l’adopter ou l’imiter. Les États-Unis
Des accords de reconnaissance mutuelle y pensent aussi. La reconnaissance
européens (SOG-IS) existent jusqu’au de la CSPN par l’Europe est un des
niveau d’évaluation EAL4, depuis 2010, objectifs de l’ANSSI.

DOSSIER

La Qualification, une certification - dans les conditions d’utilisation et/ou d’ex-

qui peut être exigée ploitation qu’il décrit ;
La Qualification est « la recommandation
par l’État français de produits ou services de - dans la limite des hypothèses et des me-
cybersécurité éprouvés et approuvés par naces considérées par la cible de sécurité.
l’ANSSI ». Dans la qualification,
le client, en général une administration La certification d’un produit ne s’applique
ou un OIV10, définit la cible pas aux mises à jour ultérieures, sans main-
(10) Opérateur
d’Importance Vitale.
sur laquelle les tests vont tenance de cette certification. Elle ne fournit
porter. Elle comprend trois donc aucune information sur les versions
niveaux : la qualification élémentaire qui peut plus récentes.
être obtenue si le produit est certifié CSPN,
la qualification standard qui requiert que le Les certifications et qualifications sont
produit soit certifié « Critères Communs » un grand pas pour accorder une confiance
au niveau EAL3+ et la qualification élevée objective à un produit de sécurité et sont
pour laquelle le produit doit être certifié aussi un bel exemple de coopération
EAL4+. Alors que les certifications « Critères internationale avec les Critères Communs.
Communs » sont attribuées « à vie » mais Avec la CSPN, la France a fait preuve
pour une version précise du produit, la de capacités d’innovation et d’adaptation
qualification est attribuée pour une durée de à la réalité du marché. Nul doute
deux à trois ans puis doit être renouvelée. que d’autres pays l’imiteront.
Une confiance objective établie ? L’AUTEUR

Utilisée à des fins de boucle d’amélioration
Lieutenant-colonel dans la Réserve
de la qualité logicielle et de l’environnement Citoyenne de Cyberdéfense de la
de développement, les certifications «Critères gendarmerie nationale, ingénieur diplômé,
expert en cybersécurité, et aujourd’hui
Communs» ou CSPN et les Qualifications,
retraité actif, Gérard Peliks s’implique
quand cela est nécessaire, ont tout leur sens dans des associations comme l’ARCSI
et donnent une confiance objective vis à vis (Association des Réservistes du Chiffre
et de la Sécurité de l’Information).
du produit.
Il est chargé de cours dans des mastères
et MBA dans des écoles d’ingénieurs
Mais pour que celle-ci soit établie, il convient et universités.
Il écrit des articles sur les dangers
de bien lire le rapport de certification ou de
du cyberespace et coorganise
qualification qui n’est valable que : les « Lundi de la cybersécurité » le soir,
sur une base mensuelle, à l’Université
de Paris Descartes.
- pour la version évaluée du produit ;

DOSSIER
La Blockchain
au service de la sécurité
Par Jacques Favier et Élie Fontana
P
Pourquoi l’armée s’intéresserait-elle
à la blockchain ? Parce qu’en examinant
les cas d’usage déjà développés par
des militaires en France, ce qui est
Transporter de façon sécurisée de l’infor-
mation ou de l’argent, du matériel ou des
pièces détachées est stratégique. Or, la
logistique est l’un des domaines où la mise
actuellement au stade de recherche, en œuvre d’une blockchain aurait des vertus
en répertoriant les obstacles qui restent à tandis que la crise née de la pandémie plaide
lever et en se plaçant dans la perspective pour un intérêt accru des spécialistes de la
des nombreux désordres possibles après sécurité envers une technologie porteuse
la pandémie, le recours à la forme d’une forme spécifique d’ordre.
résiliente d’ordre qu’offre une blockchain
doit être considéré comme une opportu- « La » Blockchain ?
nité pour les visionnaires. Le concept de blockchain a émergé d’une
innovation radicale : Bitcoin. La première
fonction des protocoles qu’il a inspirés
consiste à échanger des jetons numériques.
Bitcoin en 2009 et ses copies privilégiaient
la sécurité absolue de la base de données
et des transactions. En 2014, Ethereum
proposa une blockchain différente, avec
un langage de programmation plus acces-
ÉLIE FONTANA sible et des programmes auto-exécutables.
JACQUES FAVIER Commandant Une troisième génération de blockchain
de l’armée de Terre. regroupe celles (Tezos, Cardano ou EOS)
Cabinet conseil Stagiaire à l’École
« Catenae ». de Guerre. qui permettent une réelle mise à l’échelle

DOSSIER
LA BLOCKCHAIN AU SERVICE DE LA SÉCURITÉ
ou des mécanismes de gouvernance Les Armées (et les publications

rationalisée. spécialisées) ont assez vite perçu
la Blockchain comme un outil de remise
L’important, ce sont deux principes en cause d’idées acquises. Depuis 30 ans,
fondamentaux : la distribution des données les évolutions les plus notables portent
et celle du consensus. Un grand nombre sur les technologies d’information
de nœuds n’apporte pas une garantie et de communication mais toutes
robuste si la validation des écritures reste s’appuient sur un même type d’architec-
le fait de quelques-uns. Au-dessus ture radio en étoile. Au centre, les stations
du consensus algorithmique, il demeure directrices sont de réels goulets d’étrangle-
toujours un consensus social critique. ment et elles facilitent le travail
du renseignement adverse du fait
Quant aux usages, on peut en retenir de leur fâcheuse caractéristique d’émettre
4 familles : les règlements (projets privés beaucoup plus fort que les autres stations.
de Facebook ou de JP Morgan
et expérimentations au niveau des banques Si les forces armées adoptaient des
centrales) ; la notarisation et le traçage, protocoles de communication chiffrés avec
notamment pour les secteurs stratégiques une transmission de station en station par
de la défense et de l’aérospatiale ; le vote le chemin le plus direct, la perte d’un nœud
et enfin les transactions entre machines. n’aurait pas d’incidence.
(1) La RFID Avec une numérisation
(radio frequency
Pour quoi faire ? identification), ou intégrale et en s’appuyant
radio-identification,
Septembre 2019 a connu le premier est une technologie sur les technologies RFID1
qui permet
déploiement d’un contrat auto-exécutable de sauvegarder
et blockchain, la logistique
par une entité gouvernementale, le C3N et récupérer de transport pourrait enfin
des données
de la Gendarmerie nationale, pour notariser à distance sur ce obtenir une vision exhaus-
que l’on appelle
les justifications de dépenses subven- des puces ou tags tive et en temps réel
tionnées par Europol. Pour des raisons RFID ou encore
des radio-étiquettes.
de l’intégralité de ses flux.
techniques, il fut choisi de le faire sur la La politique de mainte-
blockchain publique Tezos. Le bénéfice nance sur les théâtres d’opérations
d’une traçabilité infalsifiable et transparente en serait améliorée et cela permettrait
coûtait moins de 0,003 € par enregistre- des rapports plus clairs avec les
ment et cette preuve de concept ouvrait entreprises civiles.
la voie à un changement de paradigme
comptable et à la fluidification Pour la fonction « connaissance-anticipa-
de la réponse logistique aux besoins tion », la question de la bascule sur une
opérationnels. blockchain est plus difficile, vu l’importance
DOSSIER
centrale des bases de données possédant

un très haut niveau de confidentialité.
La politique consiste à dégrader la base
© Human eyes on digital computer

de données au fur et à mesure qu’on
s’approche de la zone d’insécurité,
pour limiter le risque de compromission
en cas de perte de la base. La distribution
décentralisée des bases de données
“renseignement” ne pourra se faire
qu’en l’assortissant d’une preuve d’une
robustesse logique et équivalente à celle
qui est reconnue en organisationnel. Les solutions passent par la reconnaissance de
la robustesse des protocoles décentralisés autant
que par une adéquation aux besoins d’inviolabilité
En métropole, les hauts standards des transactions et d’une
de sécurité sont plus aisément respectés authentification numérique élargie.
qu’en opération. Ceci devrait faciliter un

déploiement décentralisé de données serveurs de toutes ces données cruciales à
traditionnellement centralisées. Plusieurs la vie militaire est une vulnérabilité face à
cas d’usages sont envisageables. Le plus une panne d’envergure ou à une cyber-at-
accessible est une évolution de solutions taque qui aurait des conséquences
déjà utilisées, une décentralisation de importantes sur le fonctionnement
l’ensemble des processus administratifs, d’une armée déjà contrainte d’adopter
leur inscription dans un registre unique un fonctionnement alternatif. Le choix
et transparent, auditable par tous. d’une distribution décentralisée des
Les logiciels de signature électronique données rendrait plus robuste l’organisa-
et de suivi de courriers, lourds tion. Les satellites de surveillance, les
et non universels, pourraient être moyens de défense sol-air, les aéronefs
remplacés par des solutions légères. d’alerte mais aussi les unités engagées
en cas de catastrophe naturelle,
Se pose aussi la question de la protec- voire NRBC2, devraient
tion des confidentiels dits spécifiques. (2) Les risques être dotés d’un réseau
NRBC (Nucléaires,
La pandémie a forcé au confinement Radiologiques, décentralisé pérennisant
Biologiques,
de très nombreux cadres militaires. Chimiques) sont la mission de protection
des risques
Éloignés de leurs enceintes sécurisées, à danger élevé,
une fois le premier choc
ils s’en sont davantage remis à des ayant pour enjeu encaissé. La paralysie
la vie des popula-
solutions de communication peu sécuri- tions civiles que nous avons connue
ou des militaires.
sées. La concentration sur certains suggère le risque que

DOSSIER
revêtirait un virus plus mortel, voire un pour la blockchain ne concerne encore

blackout complet après une cyber-attaque que des profils particuliers, pas forcément
de grande ampleur. majoritaires. Il faut lever les doutes, réfuter
les craintes, trouver les mots pour faire
Entrapercevoir les déclencheurs d’une admettre de nouvelles idées, rapprocher
crise et ses conséquences n’est pas deux mondes qui ont à apprendre l’un de
suffisant. Il faut consentir le coût d’une l’autre, faire comprendre qu’il ne s’agit pas
préparation matérielle. Les Américains d’un gadget pour informaticien.
poursuivent certes une politique d’investis-
sements massifs dans les nouvelles L’existence d’une face sombre des cryp-
technologies, et la tomonnaies n’est pas une raison suffisante
(3) La Defense
Advanced Research DARPA3 expérimente, pour ignorer la blockchain. Internet aussi
Projects Agency
(DARPA) (« Agence
depuis 2016, un protocole a servi aux criminels. Si une invention ne
pour les projets de de messagerie décentrali- sert pas aux criminels (surtout dans ses
recherche avancée
de défense ») sé. En 2019, elle en était premiers pas) c’est probablement qu’elle
est une agence
du département
encore à une demande n’apporte rien… L’automobile naissante a
de la Défense des d’information sur les été utilisée en 1910 par la bande à Bonnot
États-Unis chargée
de la recherche capacités de la blockchain et en 1914 par le général Gallieni. Quant
et développement
des nouvelles tech- dans l’amélioration de la au routage en oignon (Tor), il n’a pas été
nologies destinées
à un usage militaire.
sécurité, du stockage ou développé pour faire circuler du contenu
du calcul. Au niveau de pornographique mais en partie par des
(4) Le Supreme
Headquarters l’OTAN, le SHAPE4, militaires américains, pour augmenter
Allied Powers
Europe (SHAPE)
a vocation à penser la la sécurité de leurs communications.
est le centre standardisation permet-
de commandement
militaire des forces tant l’interopérabilité de La seule parade au crime, comme
de l’OTAN
en Europe. ses membres. La NATO la Gendarmerie Nationale l’a montré
Communication and en appréhendant plusieurs cybercriminels,
Information Agency a lancé, en 2016, c’est une connaissance fine de la techno-
un appel à projet pour des solutions logie. Pour traquer les transactions, mais
blockchain. Mais sa formulation ne laisse aussi anticiper les coups à venir (monnaies
pourtant que peu d’espoir pour de vraies plus anonymes, “laveries” crypto, etc.)
applications stratégiques. Les propositions mieux vaut être docteur en informatique
en resteront sans doute davantage à la et travailler en partenariat avec des start-
messagerie et au suivi logistique. ups de l’écosystème. L’échange de bonnes
pratiques avec les sociétés Bitcoin
Des défis nombreux est essentiel. Elles ont été les premières
Dans chaque corps, l’intérêt pragmatique victimes des cybercriminels et les

DOSSIER
principales plateformes de change se a crû la taille des hacks de sites qui se

soumettent aux règles anti-blanchiment et vantaient d’une sécurité militaire. Comme
anti-terrorisme. Plusieurs start-up (Score- les parasites attirés par la grande culture,
chain, Elliptic…) ont développé les hackers sont stimulés par l’entrepo-
des solutions de traçage. sage de millions de téraoctets de données
valorisables. Un fonctionnement disséminé
Il s’agit d’un domaine en constante est une défense naturelle contre
évolution et qui suscite de nombreuses ces prédateurs.
rencontres, dont celles du FIC.
Il reste à expliquer le caractère public
Les nations occidentales recherchent des grandes blockchains. Penser que
dans les technologies un avantage “publiques” signifie ouvertes à tout vent
comparatif et la blockchain doit y être est un contresens ; imaginer que les
comprise. Certes l’IA concentre l’essentiel blockchains “privées” sont mieux sécuri-
de l’attention mais les avancées relèvent sées est un contresens pire encore.
davantage de la communication que
de la percée technologique. En regard, Il faut enfin conforter la collaboration
la blockchain, technologie mature avec avec les savants nationaux, que ce soit
des cas d’usages accessibles, pourrait dans des formations spécialisées (IRSEM,
offrir des résultats opératoires concrets. IHEDN, École de Guerre), des partenariats
Il faut qu’elle soit rendue compréhensible (Groupe Thalès avec les Écoles normales
aux militaires, admissible par l’opinion supérieures) ou des échanges intellectuels
publique et qu’un dialogue soit maintenu (Association des Réservistes du Chiffre
avec les savants. et de la Sécurité de l’Information).
Il faut déminer deux sujets, la décentralisa- Une fois abandonnée la logique

tion des données et leur ouverture du “château fort” il faut envisager trois
au public, en trouvant les moyens axes de réflexion sur ce qui touche
de les présenter, au mieux, à des militaires au terrain dans lequel se déroulent
habitués à la hiérarchie plutôt qu’à des les échanges, sur les traces, les indices,
informaticiens « anarchisants ». les preuves qui en résultent et enfin sur la
maîtrise nécessaire de tous les “langages”
On a longtemps compté pour défendre le impliqués dans ces échanges.
secret Défense sur le béton et le blindage,
développant une “culture du coffre-fort” Dans l’espace numérique, le premier
que les réalités numériques viennent bous- facteur de souveraineté tient à l’existence
culer. Avec l’accumulation des données d’une capacité nationale d’entretien,

DOSSIER
d’amélioration et de mise à jour du proto- dans la voie d’une identité garantie

cole source, mais aussi de développement et rendue inviolable par la cryptographie.
et d’audit des programmes auto- La technologie des « ZP » (zero proof)
exécutables. La territorialité des infrastruc- fournirait une voie de mise en œuvre.
tures constitue un autre élément clef
de la souveraineté, en particulier pour Go !
la blockchain que le caractère distribué Nous n’éludons pas les défis. Mais les
du stockage n’affranchit pas des logiques chocs nés de la pandémie peuvent
territoriales : une transaction validée voire provoquer une récession intellectuelle,
simplement compilée par un nœud situé une paresse qui laisse la porte ouverte
en territoire étranger peut être soumise aux GAFAM. Pour les plus visionnaires,
à une loi différente de la loi française. les crises peuvent au contraire favoriser
l’innovation de rupture. Adopter des
Enfin l’identité des citoyens est aussi architectures ouvertes et décentralisées
un enjeu stratégique du fait des failles en lieu et place des silos et des citadelles
de souveraineté que la réalité numérique serait une révolution au sens où on va
de notre pays provoque. Alors que les entendre ce mot au XXIe siècle.
procédés d’identification par Facebook
et Google sont extrêmement users
friendly, l’authentification France-Connect,
conçue en théorie pour l’interopérabilité
et les échanges européens et mondiaux,
comme le pivot de l’identité numérique
des français et l’outil français permettant
l’interconnexion dans le cadre LES AUTEURS
du programme européen e-IDAS, risque
de souffrir de son caractère centralisé et Jacques Favier, normalien,
est agrégé d’histoire. Co-fondateur
hexagonal (ou « seulement » européen). du cabinet conseil « Catenae ».
Auteur de plusieurs livres sur Bitcoin
Un système adapté au monde numérique et les blockchains, il est le secrétaire
de l’Association francophone « Le Cercle
et protégeant les données des utilisateurs du Coin ».
devrait s’apparenter à un protocole
informatique internationalement
Le commandant Élie Fontana, de l’armée
interopérable. Une blockchain permettrait de Terre, est stagiaire à l’École de Guerre.
une forme numérique de l’identité Il est l’ancien chef de bureau adjoint
(des citoyens, des entreprises, pourquoi à la Direction du Renseignement Militaire.
pas des robots et des machines) qui aille

DOSSIER
De la genèse de la loi
« Informatique et Libertés » à l’éloge
de la transdisciplinarité
Par Alice Louis
L
(1) Yves Lenoir,
Ingénieur de
« L’unification est un
grand rêve […]. Je me
recherche à l’Ecole
souviens que j’avais été
des Mines de Paris,
« L’interdisciplinarité
frappé, lorsque j’avais lu
(2) La Cybersécurité
est définie
par l’ANSSI comme
suit : « l’état recher-
de gouvernance,
avec l’objectif d’y intégrer
des fonctions capables de
répondre efficacement aux
: aperçu historique
ché pour un sys-
de la genèse d’un«Le jeu des perles de tème d’information nouvelles exigences en
concept ». Cahiers
verre» de Hermann (SI) lui permettant matière de Cybersécurité2.
de la recherche
de résister à des
en éducation, 1995,
2 (2), p 227-265.Hesse» […]. évènements issus
du cyberespace
Cette unification était susceptibles La protection des diffé-
de compromettre
réalisée par le biais de ce jeu de perles la disponibilité,
rentes entités contre les
dont étaient sorties la musique, puis les l’intégrité ou la risques d’atteinte à leur
confidentialité des
mathématiques, etc. et finalement données stockées, patrimoine informationnel
traitées ou
rassemblait toute la connaissance transmises et des est notamment régie par
humaine en une seule pratique. »1 services connexes le Droit de la Cybersécuri-
que ces systèmes
offrent ou qu’ils té - droit pluridisciplinaire3
rendent accessibles.
La genèse de la loi La cybersécurité eu égard à la diversité des
fait appel à des
« Informatique techniques de sé-
bases textuelles
et Libertés » curité des systèmes qu’il englobe.
d’information
L’augmentation sans et s’appuie sur la
lutte contre la
précédent des cyberat- cybercriminalité
taques, depuis la crise et sur la mise
ALICE LOUIS en place d’une
sanitaire, oblige les cyberdéfense».
Consultante https://www.ssi.
en Gouvernance. acteurs du secteur gouv.fr/entreprise/
du Patrimoine public et privé à glossaire/c/ /
Informationnel
& DPO Externe. repenser leur modèle

DOSSIER
DE LA GENÈSE DE LA LOI « INFORMATIQUE ET LIBERTÉS » À L’ÉLOGE DE LA TRANSDISCIPLINARITÉ
Parmi ces dernières, figure Le siècle des Lumières

(3) Il est aussi (7) « Le contrat
transdisciplinaire. la loi « Informatique et social » sera celui de la recon-
En effet, nonobstant de J-J Rousseau naissance des libertés
les législations Libertés » dont les et « Le fondement
et réglementations
individuelles -
spécifiques, le droit
principes et les valeurs, de la métaphysique
liberté de conscience,
des mœurs »
pénal, le droit des qui en sous-tendent la d’E. Kant. liberté d’expression, liberté
contrats, les droits économique,
dits «sectoriels» vision, sont issus de
(citons la directive liberté contractuelle, droit au respect de la vie
(UE) 2015/2366
l’histoire de la philosophie privée, etc. - qui sont la transposition juridique
relative aux services morale*, à l’époque où «la d’une philosophie des droits de l’homme.
de paiement,
dite DSP2, entrée en France, à l’apogée de sa Mai 1968 incarne la troisième vision
vigueur le 13 janvier
2018), le droit de la civilisation, sert de modèle du monde. Celle-ci annonce l’ère de la grande
responsabilité civile, consommation ainsi que l’avènement
le droit du travail,
à l’Europe entière»4.
des nouvelles technologies de l’information.
le droit de la proprié-
À noter qu’en 1966, l’Académie française
té intellectuelle, etc.,
comportent des * FOCUS : accueille le mot « Informatique ».
articles applicables
au domaine. LA PHILOSOPHIE
MORALE
(4) Tina Malet,
« XVIIIe siècle ET LES LIBERTÉS Hannah Arendt, philosophe et politologue
L’Europe des Lu- INDIVIDUELLES. allemande énonçait à propos des technos-
mières », https://
www.herodote. ciences qu’elles pouvaient devenir l’outil
net/L_Europe_ Dans la République
des_Lumieres-syn- de Platon, la cité est d’un totalitarisme « confisquant l’avenir des
these-2157.php juste lorsqu’elle reproduit hommes », si ceux-ci ne développaient pas
(5) Wikipedia, l’ordre de « la nature»
« la parabole
et la hiérarchie des êtres. « à leur égard une pensée
des talents », (8) Max Dauchet,
L’Évangile selon Ainsi « le juste » n’est autre « Les informati- critique » en vue de
Matthieu XXV, 14- que « l’ajusté ». ciens et l’éthique préserver la démocratie8.
30, https://fr.wikipe- Tout en l’illustrant du numérique »,
dia.org/, https://www.
le 19/09/19, dispo- parfaitement, « la parabole
lemonde.fr/blog/
nible sur : https:// des talents »5 annonce la binaire/2014/03/11/ Le 21 mars 1974,
fr.wikipedia.org/wiki/ rupture avec cette vision
Parabole_des_ta- (9) Philippe Boucher,
le journal Le Monde9
aristocratique du monde6.
lents journaliste au révélait l’existence
Monde, «Safari
(6) Luc Ferry,
Les textes fondateurs7 du projet dénommé
ou la chasse aux
« Une brève histoire de la deuxième vision Français»,
de l’éthique : morale considèrent que les https://rewriting.net/ « Système Automatisé
de l’antiquité
à nos jours, Cycle
dons naturels n’ont aucune wp-content pour les Fichiers
de conférence : valeur sauf celle d’être mise (10) Bugbrother, Administratifs et le
philosophie du au service du « bien » « Safari et la
temps présent », ou du « mal ». Quant (nouvelle) chasse Répertoire des Individus »
Parenthèse Culture aux Français », 23
2, https://www.
à la vertu, c’est l’altérité,
décembre 2010,
(S.A.F.A.R.I), initié par le
youtube.com, le et, enfin, le labeur puisqu’en https://www.le- Ministre de l’intérieur,
19/09/19, dispo- transformant la nature monde.fr/blog/bug-
nible sur : https:// (l’agriculture) on se trans- brother/2010/12/23/ Raymond Marcellin dont
www.youtube.com/ safari-et-la-nou-
watch?v=UkzBT- forme soi-même (la culture). velle-chasse-aux- le parcours politique avait
LQsGfI&t=4327s francais/ été jugé « complexe »,

DOSSIER
en particulier, durant la qui fut adoptée le 6 janvier 1978.

(11) Après des
Seconde Guerre mon-
siècles de régimes diale10. S.A.F.A.R.I avait L’article 1er de celle-ci dispose que : « l’in-
monarchiques,
le référencement pour objectif d’inter- formatique doit être au service de chaque
des citoyens vise
à symboliser une connecter l’ensemble citoyen. […] Elle ne doit porter atteinte ni à
appartenance des fichiers de l’adminis- l’identité humaine ni aux droits de l’homme,
commune à la
République ainsi tration pour créer ni à la vie privée, ni aux libertés individuelles
qu’une égalité de-
vant la loi. une base de données ou publiques ».
C’est notamment
la raison pour
nationale. En outre,
laquelle le NIR, il prévoyait d’identifier Les éléments substan-
plus connu sous le (14) Le « paquet
terme de numéro chaque citoyen français européen » tiels des bases
de sécurité sociale
dans le Répertoire par un numéro unique11 ; inclut également textuelles
la Directive dite
National d’Identifica- ce qui ne manqua pas « Police-Justice »À l’instar d’autres
tion des Personnes n°2016/680
Physiques (RNIPP) d’évoquer les heures du 27/04/2018 domaines du droit fran-
a été créé. relative à la protec-
les plus sombres de notre tion des personnes
çais, notamment du Droit
(12) Pierre
Piazza, « Système
Histoire récente. En effet, de la propriété intellec-
physiques à l’égard
du traitement
d’enregistrement rappelons que sous des données à tuelle, ce régime
d’identité, numéro caractère personnel
d’identification le gouvernement de Vichy, par les autorités de protection a très large-
et “carte d’identité
de Français” durant la loi du 27 octobre 1940 compétentes à des ment inspiré le législateur
fins de prévention
le Régime de Vichy obligeait « tout Français européen. La directive
et de détection des
(France, 1940- infractions pénales,
1944) » https:// âgé d’au moins seize ans d’enquêtes 95/46 du 24 octobre
journals.openedition.
org/criminocor- à se munir d’une «carte et de poursuites
en la matière.
1995, transposée dans
pus/3649.
d’identité de Français […]. ou d’exécution le droit national par la loi
de sanctions
(13) http://www. L’occupant y voyait n° 2004-801 du 6 août
pénales, et à la libre
senat.fr/evenement/ circulation de ces
archives/D45/ la base nécessaire à la 2004 substitue à la notion
données (applicable
context.html
surveillance et au maintien uniquement « d’informations
aux fichiers
de l’ordre ».12… nominatives », celle
de la sphère pénale).
de « données à caractère
Face à la polémique que le projet personnel ». Il est précisé que la loi
S.A.F.A.R.I suscita, le Premier ministre n° 2016-1321 du 7 octobre 2016 pour
d’alors, Pierre Messmer, s’engagea à une République numérique consacre
le retirer et à créer concomitamment une notamment le droit à l’autodétermination
Commission dite « informatique et libertés informationnelle, qui renforce le consente-
»13. Le rapport Tricot, que cette dernière ment, et la maîtrise des données
publia en 1975, posa les principes post mortem.
généraux de la loi n° 78-17 relative
à l’informatique, aux fichiers et aux libertés, Par ailleurs, le « paquet européen »14, pu-

DOSSIER
blié le 4 mai 2016 au Journal Officiel Plus globalement, les 99 articles et les
de l’Union européenne, qui comprend 173 considérants du RGPD traduisent une
le Règlement Général pour la Protection volonté de responsabiliser les entités, qui,
des Données (R.G.P.D), adapté dans tout en veillant à préserver leur équilibre
le droit national par la loi n° 2018-493 économique, devront intégrer une dé-
du 20 juin 2018, enrichit la notion de marche éthique *.
« données à caractère personnel »
avec de nouveaux critères d’identification * FOCUS : LES THÉORIES DE
de l’individu (génétiques, biométriques, L’ETHIQUE
etc.). En outre, il inclut les éléments L’éthique normative forme des théories
qui suivent : qui permettent d’évaluer moralement
les personnes et leurs actions selon les critères
du « juste » et du « bien ».
-E
xigences de proportionnalité
et de limitation (obligation de loyauté, L’éthique appliquée « applique » les normes
de l’éthique normative à des contextes pratiques
finalités déterminées, etc.) (Cf. l’éthique du numérique).
La méta-éthique quant à elle, étudie

-M
esures organisationnelles et techniques les fondements conceptuels, épistémologiques
(privacy by design et by default, DPO, et ontologiques de l’éthique normative.
etc.)
L’éloge de la transdisciplinarité
- Obligation de sécurité renforcée (risque Au cœur de la conformité et de l’éthique,
élevé pour les personnes concernées, qui comportent, désormais, des enjeux
etc.) hautement stratégiques pour l’ensemble
des organisations, se trouve le délégué
- Garanties des sous-traitants à la protection des données (dit DPO).
(Data agreement, co-responsabilité) Il est précisé que les acteurs publics
et la plupart des entités du secteur privé
- Création de nouveaux droits ont l’obligation de le désigner. Le DPO
de la personne (droit à l’oubli = l’efface- y tient un rôle majeur.
(15) Gérard Haas,
ment, droit d’accès, etc.) « Gouvernance En effet, rappelons qu’au
des données,
ce que le RGPD titre de « garant de la
- Charge de la preuve (l’accountability : a changé », Maison
du Barreau, 22
préservation du respect de
responsable du traitement, etc.) mai 2019, https:// la vie privée, de la sécurité
www.youtube.com/
watch?v=fnMX1wy- juridique et technique »,
YrWY&fea-
- Augmentation des sanctions pécuniaires ture=emb_title
le DPO est susceptible
(dimension pénale notamment d’identifier, à l’aide
sur le consentement, etc.) du registre des activités de traitement,

DOSSIER
4 832 points de (non) conformité15, riés, etc., démontreront la solidité ainsi que
parmi lesquels : le caractère éminemment transdisciplinaire
de cet acteur de la gouvernance.
-C
hamp d’application
(notamment territorial), Aussi, le DPO saura initier des échanges
constructifs afin d’assurer une collaboration
-F
inalité, licéité, loyauté, transparence, efficiente avec l’ensemble des services, en
consentement et analyse d’impact particulier, avec le DSI et/ou le RSSI.
sur les droits et libertés des personnes, A fortiori, dans un contexte de gestion
de crise où leurs travaux communs
- Politique de sécurité (Chartes utilisateurs, télétravail, Plan
(16) Il conviendra de
vérifier la cohérence (gestion des droits d’Assurance Sécurité, etc.) permettront de
technique de bout
en bout : protection d’accès, chiffrement, déployer un système et des process
des postes
de travail, sécurité
anonymisation, « agiles ». In fine, son « objectif de neutrali-
des réseaux, suppression/purge des sation des risques d’atteinte aux données
du Cloud, etc.
données, etc.16), (18) Gérard Haas, à caractère personnel »18
ibidem.
pourrait représenter
- Stratégie de conservation, l’opportunité pour les organisations
d’adopter une approche plus globale
- Notification des failles de sécurité (CNIL, de la « data », et ce, notamment, en vue
etc.). de valoriser l’intégralité de leur patrimoine
informationnel. Il en ressort, s’agissant
Nonobstant son plan d’action (qui intégrera d’une vision à long terme, que le DPO
les éléments susvisés), pour la mise en se révèle être un véritable levier
œuvre duquel il devra exprimer toutes ses de développement.
capacités de sensibilisation, parfois même
d’influence, le DPO doit déterminer Propos conclusif
(17) Gérard Haas, « la doctrine de l’entre- Le projet architectural majeur du vingt
ibidem.
prise »17 - à titre et unième siècle sera d’imaginer,
d’exemple, celle de «l’Intérêt légitime» qui de construire et d’aménager l’espace
exonère le responsable de traitement interactif et mouvant du cyberespace.
d’obtenir un quelconque consentement.
Le rôle de l’informatique et des techniques
Son expertise, sa parfaite compréhension de communication à support numérique
de l’activité, sa maturité pour la direction / ne serait pas de «remplacer l’homme »
le pilotage de projets et son sens aigu de la ni de s’approcher d’une hypothétique
communication auprès d’interlocuteurs va- « intelligence artificielle» (forte), mais
DOSSIER
de favoriser la construction de collectifs AUTEURE

intelligents où les potentialités sociales
et cognitives de chacun pourraient Alice Louis a principalement effectué
son parcours professionnel dans
se développer et s’amplifier le domaine des médias, notamment,
mutuellement «. en tant que Directrice Juridique du pôle
d’agences de presse et d’illustration
du Groupe Hachette Filipacchi Photos.
Peut-être alors sera-t-il possible de Elle a aussi exercé comme Conseil
dépasser la société du spectacle pour en organisation auprès de plus petites
aborder une ère post-médias, dans laquelle entités (entreprises et structures ayant
une mission d’intérêt général).
les techniques de communication serviront Titulaire d’un DEA en Droit des Médias
(19) Pierre Lévy,
à filtrer les flux de connais- (IP/IT), et, plus récemment, d’un MBA
« L’Intelligence sances, à naviguer dans en Management de la Cybersécurité,
collective », Editions l’auteure accompagne, aujourd’hui,
La Découverte, le savoir et à penser les dirigeants dans leur approche globale
1995, p. 25.
ensemble […] 19. de la DATA.
Enfin, passionnée par toutes les questions
inhérentes à « l’Éthique du numérique »,
l’auteure publie régulièrement des articles
sur le sujet. Elle est, par ailleurs,
Directrice du projet «Fonds Cyber
Éthique pour une Souveraineté
Numérique ».

DOSSIER
Réflexions sur l’ingénierie

sociale et le rôle de l’utilisateur en tant
qu’acteur de la sécurité collective
et collaborative
I
Par Denise Gross
Il y a tout juste un an, cette revue de méthodes et de tech-

(1) GROSS, D.
anticipait la thématique du FIC 2020 : niques, qui permet à celui
L’ingénierie sociale :
la prise en compte
« remettre l’humain au cœur de la cyber- du facteur humainqui s’en sert de tirer profit
sécurité ». Une prophétie dont des vulnérabilités humaines.
dans la cybercrimi-
nalité. Thèse
la pertinence est évidente. Il est difficile Actuellement, le recours
de doctorat en droit
pénal et sciences
d’imaginer une période dans laquelle aux technologies est très
criminelles, Univer-
sité de Strasbourg,
le rôle de l’utilisateur sur le cyberespace 2019, pp. 25,
fréquent dans toutes
aurait pu être plus important qu’en 2020. 37, 61. les phases d’une attaque.
Une année disruptive, traversée par une Or, ces outils ne sont pas
pandémie, une crise mondiale et une indispensables et ils seront seulement utiles
accélération forcée de la transformation si l’aspect humain est correctement exploité.
numérique. L’être humain a perdu ses
repères. Il s’est retrouvé confiné mais L’année 2020 nous a confirmé que l’ingénie-
hyperconnecté, envahi par l’incertitude rie sociale s’adapte aux circonstances pour
et les fake news : contourner les barrières de sécurité. Deux
un terrain de jeu pour exemples nous aideront à visualiser
les ingénieurs sociaux. ce postulat.
1. Une année COVID-19 et ingénierie sociale

d’ingénierie sociale L’emploi du vocabulaire épidémiologique en
L’ingénierie sociale1 cybersécurité n’a jamais été aussi approprié.
DENISE GROSS
est un ensemble Le coronavirus mute et l’ingénierie sociale
Avocate au barreau de compétences aussi. C’est l’une des raisons pour lesquelles
de La Plata.
Argentine. pluridisciplinaires, elle est toujours efficace. La pandémie

DOSSIER
RÉFLEXIONS SUR L’INGÉNIERIE SOCIALE ET LE RÔLE DE L’UTILISATEUR EN TANT QU’ACTEUR DE LA SÉCURITÉ

COLLECTIVE ET COLLABORATIVE
(2) Le vishing déclarée en mars par (6) La fraude 419 arnaques 4196, arnaques
est l’utilisation (aussi appelée scam
de la technologie
l’OMS a bouleversé les 419, ou arnaque
au président (FOVI),
VoIP (voix sur IP) individus, les entreprises, nigériane) consiste escroqueries sur des
dans le but à promettre la
de duper quelqu’un les organismes et les survenance d’une plateformes de commerce
en lui faisant grosse somme
divulguer de l’infor- États. La surexposition d’argent dans le électronique et des
mation personnelle des utilisateurs sur futur, exigeant campagnes de désinfor-
et/ou financier. de la victime qu’elle
Internet, le stress, communique des mation. La majorité des
(3) Smishing est la éléments d’identité
contraction de SMS l’infobésité, le partage bancaire ou qu’elle prétextes a été construite
et de Phishing. On fasse un paiement
l’appelle également
impulsif de contenus en amont afin de
autour de l’évolution de la
Hameçonnage par anxiogènes ainsi que la permettre la réalisa- maladie et de la diffusion
SMS. Le smishing tion du gain à venir.
est un message crise économique, La dénomination de moyens de prévention,
texte envoyé à un 4-1-9 vient du
utilisateur sur son politique et sanitaire numéro de l’article des mesures écono-
téléphone dans le
but de l’inciter
et enfin l’augmentation du code nigérian miques pour faire face
sanctionnant
à partager ses don- de barrières techniques ce type de fraude. à la crise, des systèmes
nées personnelles,
ou télécharger de protection des (7) D’après le de paiement en ligne,
un virus ou un support technique
programme
systèmes d’information de Twitter : https://
de l’offre de produits
malveillant à son ont largement contribué twitter.com/Twitter- et de services nécessaires
insu. Support; https://
à l’épanouissement blog.twitter.com/ dans le cadre de la pandé-
(4) Le spear- en_us/topics/com-
phishing de l’ingénierie sociale. pany/2020/an-up- mie. Nous devons aussi
(littéralement pêche
au harpon)
Elle se nourrit de ces date-on-our-secu- mentionner des attaques
rity-incident.html
est un mélange facteurs personnels Voir aussi : FREN- telles que : grooming,
de techniques KEL, S., POPPER,
classiques de phi- et situationnels pour N., CONGER, K. sextorsion, chantage
shing et d’ingénierie & SANGER, D.,
sociale. Ce volet
préparer des attaques A Brazen Online
à la webcam. Il ne faut pas
ingénierie sociale rentables, avec un taux Attack Targets V.I.P. oublier les attaques
permet de cibler Twitter Users in a
l’attaque en utilisant de réussite plus favorable Bitcoin Scam, The physiques, si l’on pense
des thèmes liés New York Times
au travail quotidien qu’en temps normal. [page consultée le au nombre d’escroqueries
ou aux intérêts
de la cible.
17 juillet 2020], dis- et de vols signalés suite
ponible sur : https://
Une simple consultation www.nytimes. à des faux contrôles ou
(5) Le ransomware com/2020/07/15/
est une forme sur des sites spécialisés technology/twitter- des fausses campagnes
dangereuse de hack-bill-gates-elon-
et des plateformes
logiciel malveillant musk.html
de détection de la COVID.
de signalement permettra
qui s’infiltre dans les
ordinateurs et les
appareils mobilesau lecteur de constater 1.2. Twitter : une attaque « mémorable »
pour kidnapper des
que la plupart des
fichiers précieux et d’ingénierie sociale
cyberattaques commises
les garder en otage. Le 15 juillet 2020, un groupe d’employés
cette année, constituent de la plateforme Twitter a été visé par un
des faits: phishing, vishing2, smishing3, « phone spear-phishing attack »7. Une sorte
spear-phishing4, ransomware5, de chaîne d’authentification s’est produite

DOSSIER

dans le sens où les identifiants des cibles Twitter a confirmé que c’était une attaque
initiales ont servi à accéder au système, d’ingénierie sociale et rappelé l’importance
puis à collecter des informations concer- du rôle de l’employé en charge de ce type
nant le fonctionnement interne de la boîte de service. Le réseau a annoncé le
et ensuite à viser d’autres employés ayant renforcement des moyens de détection
des privilèges, notamment, des droits et de prévention des accès non autorisés
d’accès aux outils de support des comptes à ses systèmes, par exemple, à travers
Twitter (« account support tools »). Grâce des campagnes de phishing. Or, à aucun
à ces derniers, les attaquants ont touché moment il n’affirme que ce fait ne se
130 comptes de personnalités publiques, reproduira pas, au contraire, il s’engage à
dont Joe Biden, Bill Gates, Elon Musk, communiquer ouvertement les informations
Jeff Bezos, et d’entreprises comme à chaque fois qu’un incident comme
Apple et Uber. Ils auraient tweeté depuis celui-ci sera détecté. Par conséquent,
45 comptes compromis, accédé aux il y a beaucoup de travail à faire pour
messages privés (DM) de 36 comptes conserver la confiance des internautes.
et téléchargé l’historique et les données
stockées sur 7 comptes. Nous avons ici 2. L’utilisateur dans le cadre
une double attaque d’ingénierie sociale, de la prévention et de la détection
car elle a été appliquée dans un premier des stratégies d’ingénierie sociale
temps contre le personnel de Twitter Selon l’ANSSI, la cybersécurité représente
puis aux abonnés au travers des tweets. un « état recherché pour un système
En usurpant l’identité de ces célébrités, d’information lui permettant de résister
les attaquants ont sollicité du public à des événements issus du cyberespace
un investissement initial en bitcoins, susceptibles de compromettre la disponibi-
en leur promettant de recevoir le double lité, l’intégrité ou la confidentialité des
de cette somme ultérieurement. données stockées, traitées ou transmises
La confiance qu’inspire un milliardaire, et des services connexes offrent ou
le fait qu’il décide d’aider les gens parce qu’ils rendent acces-
(8) Glossaire ANSSI :
que « c’est le moment » pour le faire, https://www.ssi. sibles »8. Or, force est de
l’ambition des abonnés, le sens d’urgence gouv.fr/entreprise/
glossaire/c/
constater que l’ingénierie
(l’offre n’était valable que pendant 30 sociale ne peut pas être
minutes), révèlent l’efficacité des circonscrite au cyberespace. Elle existait
techniques d’influence sémantique. bien avant son apparition. Elle est transver-
En quelques heures, les victimes sale, elle combine le monde physique
de cette arnaque aux cryptomonnaies et l’espace numérique, elle bouleverse
auraient transféré 120.000 dollars environ la « sécurité » que nous devons aborder
à l’adresse indiquée dans les posts. de manière intégrale pour ne pas

DOSSIER

seulement « résister » aux entre nous, en tant que citoyens et cyberci-

(9) Sources : https://
www.cnrtl.fr/ety- attaques. toyens pour « booster » nos capacités.
mologie/s%C3%A-
9curit%C3%A9 ;
https://www. La sécurité a été La résilience est importante, certes,
larousse.fr/
dictionnaires/fran-définie9 comme étant la mais elle doit être notre dernier recours.
cais/s%C3%A9cu-
rit%C3%A9/71792
« confiance de celui qui La lutte contre l’emploi de l’ingénierie
croit n’avoir aucun sujet sociale à des fins illicites diffère de celle
de crainte » ou un « état de tranquillité contre la COVID-19, dans le sens où il ne
qui résulte de l’absence de danger ». nous sera pas possible de trouver le vaccin
Ce terme est issu du latin « securitas » et qui va l’éradiquer. C’est pourquoi, nous
« securus », signifiant « exempt de soucis », devrons toujours insister sur la prévention
comme le fait d’être « objectivement à l’abri et sa détection précoce. Pour ce faire,
du danger ». Alors, est-elle une réalité ob- trois piliers nous semblent nécessaires :
jective ou un état d’esprit ? Les sentiments l’éducation, l’utilisation positive d’ingénierie
et, en particulier, la confiance peuvent être sociale et la coopération. Ce triptyque
une arme à double tranchant. D’une doit être synchronisé et exercé en continu,
part, celle-ci est la clef pour développer en reliant les aspects juridiques, techniques
l’écosystème numérique et d’autre part, et sociaux. De cette manière, l’usager
une confiance excessive ou mal placée ne sera pas qu’un facilitateur d’attaques
peut être très dangereuse. mais aussi un atout pour notre sécurité.
S’il s’agit d’une situation plutôt objective 2.1. Sans éducation la (cyber)sécurité
ou bien d’un objectif à atteindre : demeurera une utopie
comment peut-on garantir notre L’éducation est la base de toutes
sécurité dans ce contexte difficile nos préconisations. Les risques liés
et à l’avenir ? C’est ici que nous pourrions aux usages d’Internet doivent être abordés
penser à l’adaptation du concept dès l’école primaire. Il faut accélérer la prise
de sécurité collective aux internautes de conscience et travailler sur le discerne-
ainsi qu’aux différents secteurs d’une ment des utilisateurs, surtout en ligne.
société. La solidarité, le partage La maîtrise des nouvelles technologies
d’expériences, la répartition équitable n’est pas synonyme d’une réelle compré-
des responsabilités et une volonté hension des cybermenaces.
de protection mutuelle doivent fonder toute
initiative sécuritaire. La cybercriminalité 2.2. Pentesting : un usage positif
se propage lorsque les cyberattaquants de l’ingénierie sociale
s’organisent. Il serait donc intéressant Ces tests devraient être mis en place, de
de penser comme eux et de collaborer manière périodique, dans tous les

DOSSIER

(10) Pentester
organismes car ils nous pour aborder correctement ce sujet.
est la contractionaident à réfléchir comme Il a pour mission la structuration des
de « penetration
test », test un ingénieur social, échanges entre des hackers (dans le bons
d’intrusion
en stimulant notre esprit
en français. Le rôle sens du terme), des experts en sécurité,
de ce profession-
nel de la sécurité
critique, et à apprendre des experts judiciaires, des psychologues,
informatique est à gérer les crises. L’usager des criminologues, des avocats,
de trouver toutes
doit se sentir encouragé
les failles de sécurité des membres des forces de l’ordre,
d’un système puis
de procéder à des
à s’adapter aux outils et à des ingénieurs en informatique, des RSSI,
tests d’intrusion,travailler sur ses erreurs des professeurs et des chercheurs,
autrement dit des
sans avoir été humilié
attaques contrôlées afin d’étudier en profondeur l’ingénierie
grandeur nature.
ou pénalisé à cause de sociale et de proposer des recommanda-
cela. L’employeur et la hiérarchie jouent ici tions. Le GIIS participe à des manifesta-
un rôle central. Du côté du pentester10, il ne tions académiques. Il offre des formations
faut pas oublier la barrière légale et éthique en interne, en externe et « s’auto-forme »,
qui le distinguera d’un cyberdélinquant. car les formateurs sont à la fois instruits
par leurs propres collègues, en fonction de
2.3. L’initiative GIIS : un exemple leurs métiers. Parallèlement à ces activités,
argentin de collaboration le GIIS se divise en sous-groupes dédiés
multidisciplinaire à des axes de recherche spécifiques
Quant à la coopération, les partenariats et temporaires. En outre, les partenariats
sont fondamentaux. Le monde acadé- qui se développent avec des ONG
mique représente un terrain d’entente entre et les forces de l’ordre favorisent
les différents secteurs car il s’agit d’une la collaboration du groupe à des projets
usine à idées et d’un espace de recrute- innovants, comme par exemple, le
ment d’experts, d’une richesse capable de concours au sein
faire évoluer le marché, les technologies (12) Le renseigne- de l’Ekoparty Security
ainsi que l’ordre juridique et politique d’une ment de sources Conference, dans lequel
ouvertes
société. Ici, nous pouvons trouver des ou renseignement les participants
d’origine sources
réponses holistiques à notre phénomène ouvertes (ROSO), s’engagent à chercher
(en anglais : open
transversal. source intelligence,
sur Internet des enfants
OSINT) est un disparus, en exploitant
renseignement
Le Groupe de Recherche obtenu par une des informations obtenues
(11) Contact : giis@ source d’information
frlp.utn.edu.ar sur l’Ingénierie Sociale publique. à partir des techniques
(GIIS)11 de l’Université d’OSINT12.
Technologique Nationale de La Plata, en
Argentine, est né à partir de la constatation
de la nécessité de réunir des spécialistes

DOSSIER

Conclusions et perspectives
Même si les États ont l’obligation d’assurer
la sécurité de leurs citoyens, il n’est pas
possible de faire abstraction du contexte
actuel et de continuer de regarder ailleurs.
Nous devons collaborer pour renforcer
notre sécurité, en ligne et hors ligne.
L’humain est vulnérable mais il n’est pas
faible. La « nouvelle normalité » est aussi
une source d’inspiration pour les ingénieurs
sociaux. La crise que nous sommes
en train d’affronter devrait donc consti-
tuer une opportunité pour que l’utilisateur
puisse trouver la place qu’il mérite.
En attendant, n’oublions pas que l’hygiène
numérique et informationnelle sera toujours
le meilleur geste barrière pour notre
protection et celle de notre entourage.
AUTEURE
De nationalité argentine, Madame
Denise Gross est avocate au barreau
de La Plata. Elle est titulaire d’un Master
II en « sécurité publique », obtenu
à l’Université d’Auvergne et Docteure
de droit pénal et sciences criminelles
de l’Université de Strasbourg, après avoir
soutenu sa thèse en 2019 intitulée :
« L’ingénierie sociale : la prise
en compte du facteur humain dans
la cybercriminalité ».
Parallèlement à ses études, elle a
collaboré avec des ONG à Buenos Aires
dans le cadre de campagnes
de sensibilisation du public aux
les risques d’Internet. Actuellement,
elle poursuit ses travaux sur cette
thématique en tant que coordinatrice
juridique du Groupe de Recherche
sur l’Ingénierie Sociale de l’Université
Technologique Nationale de La Plata.

DOSSIER
La part humaine
déterminante face aux crises majeures
et son rôle dans la cybersécurité
Par Daniel Guinier
L
Les grands systèmes, en particulier
ceux du monde cyber sont complexes
et ne sont pas exonérés de crises
majeures. Si l’effet de sidération laisse
la propagation est
rapide du fait de
réseaux, l’ubiquité
du sinistre
en termes d’origine
(1) Avec les risques
à grande échelle, naturelle, accidentelle,
malveillante, erreurs, etc.,
de secteur : cyber, santé,
est constatable,
dubitatif devant l’impensable pour les finances, politique, etc.,
l’impact est décuplé
sceptiques, l’absurdité serait d’être par l’interdépen- d’étendue localisée ou à
dance et la durée,
persuadé que seul advient ce qui a été auxquels s’ajoute grande échelle1 d’impact
une pénurie géné-
envisagé, alors que ces systèmes sont rale de matériels, direct et indirect, plus
peu diversifiés et très interconnectés d’équipements,
de services, de
ou moins grave, de durée
jusqu’au niveau mondial, introduisant compétences, etc. plus ou moins longue
la possibilité d’une crise majeure systé- suivant plusieurs phases.
mique. Il s’agit ici d’apporter une com- Leur caractère inattendu et brutal est associé
préhension globale des phénomènes, à des scénarios jugés impensables ou à des
d’exposer certains conditions ignorées ou sous-estimées.
aspects de la part En fait, il existe des causes profondes
humaine et les condi- à cette situation. Certaines sont liées
tions favorables à l’imposture ou s’attachent à des aspects
à la maîtrise de telles psychosociologiques, d’autres traitent
crises. de déficits, tandis que la survie impose
DANIEL GUINIER d’avoir pris des dispositions pour s’adapter.
Caractéristiques
Docteur ès Sciences,
Certifications CISSP, des crises majeures Une crise majeure évoque une catas-
ISSMP, ISSAP et aspects théoriques trophe ou un désastre où les lieux et les
et MBCI. Expert
judiciaire honoraire. Les crises sont variées infrastructures, les moyens matériels et les

DOSSIER
LA PART HUMAINE DÉTERMINANTE FACE AUX CRISES MAJEURES ET SON RÔLE DANS LA CYBERSÉCURITÉ
données, les ressources humaines à la catastrophe et l’attachement à divers

et les compétences, essentiels et vitaux, futurs conduisant au chaos. Elle indique
sont atteints ou manquants, conduisant de façon superposée les réactions,
à un sinistre majeur. avec notamment la position centrale
de la planification, l’importance de la
La figure suivante illustre la situation coopération et de l’auto-organisation,
générale engendrée par différentes causes jusqu’à l’interventionnisme des pouvoirs
provoquant l’aboutissement du système publics dans les cas extrêmes.

DOSSIER
(2) La réponse est Les crises sont commu- qui gouvernent le comportement du
complexe en réalité,
puisqu’il n’est pas
nément rattachées à système, pour le maintenir dans un état
possible de prévoir plusieurs théories : métastable et éviter de l’entraîner vers une
le moment de la
transition à l’état théorie de l’état critique, catastrophe.
critique, alors que
cet état ne subsistait
du chaos, et des catas-
pas auparavant trophes, laissant penser Il s’en dégage des dispositions
et que seuls les
symptômes l’indiqu’elles ont un caractère qui s’imposent à l’évitement des crises.
queront, mais
un peu tard… plus prédictible qu’il n’y Elles sont liées à la prévention et à la sûre-
(3) Le chaos résulte
paraît. L’état critique est té, à la réduction de la complexité
d’un comportement une propriété globale de la et à la recherche d’étanchéité pour éviter
apparemment sans
loi, mais pourtant complexité des systèmes. la propagation et les réactions en chaîne.
gouverné par une
loi propre aux sys-
Il résulte d’une évolution D’autres concernent la protection pour
tèmes dynamiques, naturelle convergente vers en réduire l’impact et assurer la continuité
lesquels, malgré des
futurs apparemment un état surcritique pouvant des affaires.
déterminés, n’en
restent pas moins engendrer des réactions
imprédictibles après en chaîne et aboutir à un La part humaine individuelle paradoxale
une légère variation.
Ce phénomène désastre. Il est constatable L’homme peut être le meilleur comme
relève de la «sensi-
bilité aux conditions par des symptômes, le pire des constituants de la cybersécurité
initiales».
engendrés par la préexis- du fait des conséquences de son fonction-
tence de vulnérabilités et de fautes qui ont nement cognitif et psychologique.
dégradé le système de façon non révélée,
ou des incidents ou des signaux faibles L’homme est le maillon faible quand la
non traités, ceci dans ses diverses baisse des performances liée à la fatigue,
composantes techniques, organisation- à des pressions excessives et au déclin
nelles ou humaines. Un tel état critique de vigilance augmente le risque d’erreurs.
nécessite des mesures conjointes pour Celles qui sont issues de sa pensée intui-
rendre le système sous-critique2 afin d’en tive et émotionnelle peuvent être utilisées
reprendre le contrôle effectif et permettre à son encontre, comme dans la majorité
le retour une situation normale. Selon la des cyberattaques, en tirant profit de la
théorie du chaos3, il faudrait veiller aux manipulation et de l’ingénierie sociale pour
conditions initiales et éliminer la corrélation susciter des réponses quasi-immédiates,
entre la dynamique et les événements en jouant sur des leviers d’influence
passés, pour espérer plus de prévisibilité. pour le faire opérer de façon automatique
À son tour, la théorie des catastrophes et sur des biais cognitifs pour l’entraîner
indique la nécessité d’éviter une bifurcation dans des défauts de jugement.
abrupte en agissant sur les paramètres À ceci peuvent s’ajouter des caractéris-
de contrôle criticité et dépendance, tiques psychologiques : difficultés

DOSSIER
à communiquer, à admettre et à signaler brillante qu’il n’y paraît, privilégiant

ses erreurs, résistance au changement, la réputation avant les compétences
etc. Enfin, lors d’une crise brutale, la perte et la forme plutôt que le fond, obligeant à
de repères et le stress auxquels il est déguiser la réalité dans un esprit compétitif.
soumis entraînent un état de démotivation, En contrepartie, elle développe du stress
voire de sidération durable de plusieurs et des angoisses. Il lui correspond celle
jours sans réaction. des hommes qui tenteront de donner une
image d’eux-mêmes aussi parfaite que
L’homme sera cependant le meilleur possible. Elle s’exercera avec d’autant plus
quand il dispose d’une richesse informa- de succès que l’organisme est fragilisé par
tionnelle inégalée par sa connaissance une perte de sens. Ceci participe autant
et sa familiarité avec le milieu. Il peut être à la genèse de la crise qu’à l’impréparation
en mesure de faire face à des situations pour y faire face. Concernant les divers
exceptionnelles, à condition de bénéficier niveaux de responsabilités : direction,
d’une formation et d’un entraînement cadres et personnels informatiques,
adéquats, de procédures opérationnelles, une étude d’envergure montre que
d’aides techniques pour l’orienter vers ni l’intelligence émotionnelle, ni l’honnêteté
la recherche et la mise en œuvre d’une n’apparaissent essentielles pour la réussite
solution. Il est aussi un excellent régula- professionnelle.
teur face à des situations inédites, pour
trancher et juger dans l’incertitude extrême, Les déficits chroniques sont vus comme
montrant des possibilités de diagnostic des points communs d’engendrement de
parfois supérieures à celles attendues. catastrophes. Leur caractère pathologique
Pour finir, lors d’une crise, il est en mesure est en rapport avec la faiblesse intrinsèque
de réapprendre rapidement, de s’adapter des systèmes et de leur résilience pour la
et de développer une capacité d’ingénio- poursuite de l’activité en cas de sinistre ou
sité et de création, à condition toutefois suite à des cyberattaques d’envergure
d’être suffisamment motivé. Les capacités généralisées. Ils se retrouvent bien souvent
humaines de dépassement et d’adhésion avec plus d’ampleur dans les organismes
ont été pleinement démontrées face de petite taille.
à la crise majeure inédite à très grande
échelle engendrée par la pandémie Les déficits culturels se rapportent
de la Covid-19. à l’infaillibilité (l’organisme pense ne pas
avoir été victime de cyberattaque),
L’imposture humaine et les déficits au simplisme (le système d’information
chroniques dans les organismes est considéré comme peu complexe
L’imposture relève d’une image moins et le recours à des méthodes comme
DOSSIER
improductif), et au nombrilisme (aucune de sécurité et des plans formels sont atten-

remise en question et peu d’ouverture dus pour la survie des organismes.
vers l’extérieur). Les déficits managériaux
se réfèrent à l’ignorance (peu d’attention La nécessaire planification et l’adhésion
portée aux incidents précurseurs, et il de l’humain
n’existe ni veille, ni formation en sécurité), Un plan de continuité d’activité (PCA)
au désengagement (pas de sensibilisation décrira la poursuite des opérations
et aucune politique de sécurité), et essentielles sans aucune interruption, avec
à l’absence de planification (aucun plan une vision globale d’un organisme
de continuité d’activité et pas de procé- entier, tandis qu’une solution de secours
dures d’urgence). Les déficits organisa- s’inscrira seulement dans une vision
tionnels concernent la subordination restreinte purement technique.
(la fonction sécurité est placée sous l’auto- Ses objectifs sont de pouvoir répondre à
rité de l’informatique), la dilution (l’action une situation catastrophique et de
spontanée est privilégiée de façon infor- maintenir ou reprendre les processus
melle), et la rigidité (la structure actuelle d’affaires au vu de délais privilégiant le
est considérée comme satisfaisante plus critiques. Le PCA sera conçu selon
et une fonction sécurité serait vue comme une démarche méthodique comportant
une source de désordre). plusieurs étapes, visant à établir des
exigences structurées en termes de
C’est dans ce cadre que s’exprime fonctionnalités, pour la couverture des
la dynamique du risque jusqu’à l’état objectifs, et d’assurance, pour la confiance
de crise majeure ou de catastrophe. à satisfaire ces objectifs, en s’appuyant
Il importe de les identifier pour les corri- sur les normes en vigueur4.
ger et disposer d’un contexte favorable Il sera exécuté selon
(4) La suite de
rendant compte des activités humaines, normes ISO 22301, les plans d’actions
en particulier.
dans leur conduite comme dans la façon et procédures établis,
dont elles sont organisées et contrôlées. testés, mis à jour et validés, conformément
Ainsi, les dimensions humaines, organisa- aux exigences actualisées. Des change-
tionnelles et technologiques sont concer- ments, justifiés par la situation, pourront
nées, impliquant des mesures complémen- cependant être accordés après examen
taires visant à réduire l’occurrence et sous la responsabilité de la cellule
des risques et à en limiter l’impact sur de crise.
les affaires, notamment quand survient
une crise majeure de toute nature atta- Depuis plusieurs décennies, malgré les
chée à un système brutalement dégradé, incitations à s’intéresser davantage à « la
possiblement dans la durée. Une politique part de l’homme », l’impact
DOSSIER
des campagnes de en compte « la part de l’homme »,

(5) 10 % après une
conférence, 30 % sensibilisation apparaît pour développer une culture respec-
après une
démonstration, insuffisant5 malgré les tueuse des mesures humaines, organisa-
elle peut atteindre
75 % par la pratique
efforts consentis. Il s’agit tionnelles, procédurales et techniques,
et jusqu’à donc de couvrir le facteur de façon à garantir au mieux la cyber-
90 % suite
à une implication humain en développant sécurité, l’évitement et la maîtrise des
personnelle dans
un fait marquant, une pédagogie interac- crises de toute nature. La perspective
selon le National tive ciblée, innovante se trouve signifiée dans la littérature :
Training Laboratory
(Bethel). et créative pour capter « Les germes de la crise étaient là.
(6) Les personnels l’attention, ce qui On eût pu en distinguer la présence…»
innovants
et demandeurs,
nécessite avant tout (André SIEGFRIED, L’âme des peuples).
peu nombreux, le ralliement de tous « Puis, la crise avait fini par les atteindre
seront moteurs
pour former une en prenant en compte directement. L’un perdit son emploi …
majorité précoce
avec les optimistes la diversité des attitudes un autre claquait des dents et touchait
et servir de leaders
et de relais pour
et la résistance du bois » (Marcel AYME, Maison basse).
inciter les suiveurs au changement dans Elle est attachée à la capacité d’adapta-
silencieux et ainsi
constituer les organismes. Après tion résultant de la prise en compte de la
une majorité plus
apte à convaincre
l’établissement d’une globalité des risques et des liens entre
les pessimistes politique et des décisions les systèmes. Elle relève aussi
qui ont un vision
plutôt négative au plus haut niveau de la superposition de crises, figurant
du changement
qui leur paraît être il importe de rechercher une possible catastrophe, et la nécessité
une pression. l’adhésion par bascule- d’une remise en question profonde,
Il restera enfin
à traiter la partie ment majoritaire à partir avec plus d’humilité et moins de certi-
minoritaire des résis-
tants qui suspectent d’un seuil critique de tudes que par le passé, dont il devrait être
le changement,
le considérant
groupes favorables6, tiré les leçons pour éviter de subir
comme une pour bénéficier un désastre.
menace.
de comportements positifs
durables, soutenus par des exercices
et des contrôles, en insistant
sur l’implication et l’interdisciplinarité
au vu de la variété des acteurs
et des risques métiers.
En conclusion,
une gestion des ressources humaines
adaptée devrait permettre l’application
d’une politique de sécurité prenant mieux

DOSSIER
Bibliographie sélective -G
uinier D., 2006. In l’encyclopédie
de l’informatique et des systèmes
- Bruns H. et al., 2018. Can Nudges d’information - La politique de sécurité,
Be Transparent and Yet Effective? pp. 1486-1498. Vuibert Sciences.
J of Economic Psychology. vol. 65, avril,
pp.41-59. -G
uinier D., 2007. PRA/PCA :
une obligation légale pour certains
- Guinier D., 1994. Oriented-scenario et un impératif pour tous. Legalis.net,
dynamics in information systems safety. Edition des Parques, n° 2, juin, pp. 5-18.
Introduction to propagation paths,
channels of risk and «revulsion -G
uinier D., 2009. Face à une pandémie
momentum», ACM Sigsac, vol.12, n° 3, annoncée et à la crise suivante… -
pp.6-11. Réponses pour la continuité
de l’activité des entreprises Expertises,
- Guinier D., 1995. Development of
n° 340, octobre, pp.337-342.
a specific criminology dedicated
to information technologies, 7th Ann.
-G
uinier D., 2016. Cyberattaques
CITSS, Ottawa, 16-19 mai, pp. 21-45.
et catastrophes : de l’imposture
et autres causes à la sidération
- Guinier D., 1995. Catastrophe
des entreprises. Expertises, n° 418,
et management - Plans d’urgence
novembre, pp. 371-376.
et continuité des systèmes d’information,
Ed. Masson, 339 pages.
-G
uinier D., 2018. Modèle
- Guinier D., 1997. Application of Chaos de représentation des cyberattaques,
Theory to the management of security mesures génériques et prospective.
development - Finding a concilatory La revue juridique Dalloz IP/IT, mars, pp.
position for improving information system 163-169. Article ayant obtenu le Prix
security in an organism, Proc. 9th Ann. de la Gendarmerie nationale 2019 -
CITSS, Ottawa, 12-16 mai, pp. 383-400. Recherche et réflexion stratégique.
- Guinier D., 2002. Systèmes -G

uinier D., 2020. La crise suivante
d’information : état critique est bien là ! Premières leçons
et désastre - Dispositions essentielles de cette nouvelle pandémie
mises en évidence par les apports de Covid-19 et aide possible
théoriques, Expertises, n° 263, octobre, des technologies numériques.
pp.341-344. Expertises, n° 457, mai, pp. 177-182.

DOSSIER
SOUS-RUBRIQUE
- Kahneman D., 2012. Système 1 / AUTEUR

Système 2 : Les deux vitesses
de la pensée, Flammarion, Essais, Daniel Guinier est Docteur ès sciences,
certifié CISSP, ISSMP, ISSAP en sécurité
545 pages. des SI, et MBCI en continuité et gestion
des crises.
- Kappelman L. et al., 2016. Skills for Il est expert de justice honoraire
et consultant en politiques et stratégies
success at different stages of a IT de cybercriminalité et de cybersécurité
professional’s career. Communications pour le Conseil de l’Europe et l’UE,
ACM, vol. 59, n°8, pp. 84-70. après avoir été expert en cybercriminalité
devant la Cour pénale internationale
de La Haye. Chargé de cours universi-
- Kervern G.Y. et Rubise P., 1991. taires et auprès de grandes écoles, il
L’Archipel du danger : introduction a partagé sa carrière entre le CNRS
et comme PDG d’une société spécialisée
aux cindyniques, Economica, 460 pages. en SSI et entre temps a été professeur
à la US Naval Postgraduate School.
- Kets de Vries M.F.R., 2010. Il est l’auteur de très nombreux articles
et de plusieurs ouvrages précurseurs,
La face cachée du leadership. dont « Sécurité et qualité des SI -
2° Ed., Pearson, 346 pages. Approche systémique - La part
de l’homme » en 1991, et « Catastrophe
et management - Plans d’urgence
- Perrow C., 2007. The next catastrophe et continuité des SI» en 1995, édités
– Reducing our vulnerabilities to natural, par Masson.
industrial, and terrorist disasters. Il est colonel (RC) de la gendarmerie
nationale, en Alsace, chargé du Forum
Princeton Press, 377 pages. du Rhin supérieur sur les Cybermenaces
de 2009 à 2013.

DOSSIER
Culture de la sécurité
et expérience des FHO
dans les industries à risques
Par Marc-Xavier Joubert, Robert Breedstraet et Stéphane Deharvengt
L
L’organisation et le déploiement de la
cybersécurité sont confrontés aux mêmes
problématiques rencontrées au cours
des dernières décennies dans les
luation coût-bénéfice de la sécurité,
du défi que représente le compromis
entre sécurité et disponibilité informa-
tique, mais également de l’importance
domaines de la sécurité des vols, de la du fameux « facteur humain »
sûreté nucléaire ou encore de la sécurité ou de la nécessaire implication
industrielle. Tous les Responsables de du « top management » …
la Sécurité des Systèmes d’Information
pourraient témoigner de la difficile éva- Les professionnels de la sécurité industrielle
voient ici un écho aux mêmes
défis qu’ils affrontent depuis des
dizaines d’année.
Pour dépasser la vision technique
et procédurale de la sécurité, l’in-
dustrie (aéronautique, ferroviaire,
nucléaire, chimique…) a étudié en
MARC-XAVIER ROBERT STÉPHANE profondeur les Facteurs Humains
JOUBERT BREEDSTRAET DEHARVENGT et Organisationnels (FHO) et le
Président de Suez Division information Adjoint chef concept de culture de sécurité
Advanced Fire security officer. de mission sécurité,
Engineering. Adjoint au Corporate sûreté, qualité nécessaires à l’émergence et au
CISO d’Amadeus du contrôle aérien maintien d’un niveau acceptable
IT Group. français. Direction
des Services de sécurité. Quels enseignements
de la Navigation pourrait-on donc tirer du mana-
Aérienne. DGAC.
gement de la sécurité dans ces

DOSSIER
CULTURE DE LA SÉCURITÉ ET EXPÉRIENCE DES FHO DANS LES INDUSTRIES À RISQUES
industries à risques pour construire des s’articuler autour d’une stratégie permet-
cultures de cybersécurité adaptées aux tant de faire face à la variabilité des proces-
défis de la métamorphose numérique de sus maitrisés.
nos sociétés ?
Le rôle de l’humain dans la gestion
Les professionnels de la cybersécurité de la sécurité
et leurs managers devraient aller puiser L’humain intervient partout, qu’il soit acteur
dans cette ressource académique, scien- de première ligne (pilote ou manipulateur) ou
tifique et expérimentale pour en dégager acteur de l’entreprise (compagnie
les lignes directrices utiles au déploiement aérienne, site industriel, concepteur…).
efficace de leurs politiques de sécurité L’entreprise est une organisation
et les adapter au contexte particulier humaine faite de processus managériaux
de la menace cyber et de sa dimension et industriels, d’outils technologiques
intentionnelle. Nous ne traiterons pas ici plus ou moins complexes et d’acteurs
de la manière dont ces industries avec leurs compétences respectives. On re-
intègrent les risques cyber. Nous irons trouve bien sûr en cybersécurité les mêmes
plutôt explorer les concepts clefs qui ont composantes procédurales (méthode
permis d’atteindre un haut degré de sécu- AGILE, règles de codage…), technologiques
rité de fonctionnement dans ces secteurs, (software et hardware) et humaines (déve-
puis nous qualifierons plus précisément loppeur, concepteur, pentesteur…).
la menace cyber et évoquerons les spécifi-
cités d’une culture de cybersécurité. La question de l’erreur humaine est indis-
sociable de l’histoire de la sécurité dans
Un regard « Facteurs Humains les industries à risques. Pour de multiples
et Organisationnels » sur la sécurité raisons - biais d’attribution rétrospectif,
« Les FHO […] doivent aujourd’hui per- recherche d’un coupable - l’humain garde
mettre d’élaborer une logique de sécurité, souvent le mauvais rôle dans les récits
avec des normes bien sûr, mais aussi d’accidents alors que la plupart
la prise en compte de la variation du temps, il est le facteur de sécurisation
des conditions réelles et donc l’existence et de rattrapage qui rend ces systèmes
d’une sécurité gérée, ajustée techniques aussi sûrs. L’erreur peut être
par l’intelligence des hommes. » vue soit comme la cause d’un problème,
(Amalberti and Boissières 2014). soit comme le symptôme d’un souci plus
Les Facteurs Humains et Organisationnels profond (Dekker 2000). On retrouve
expriment une tension entre deux acteurs également cette vision dans le domaine
de la gestion de la sécurité, les humains de la cybersécurité.
et les organisations humaines, qui doivent

DOSSIER
La « Sécurité Réglée » repose sur la

prévision et le management des situations
à risques, voire à les éviter si les conditions
de sécurité ne sont pas remplies : un pilote
peut décider de ne pas décoller ou d’aller
atterrir ailleurs si les conditions techniques
ou météorologiques ne rentrent pas dans
des limites acceptables. Le système
est très robuste mais il est peu adaptatif
en cas de choc imprévisible : il s’arrête
dans ce cas. Il en résulte un très haut
niveau de sécurité – on les appelle
de systèmes ultra-sûrs (nucléaire, aviation
Afin de dépasser ce vieux débat, il faut civile).
prendre de la hauteur et s’interroger sur les
mécanismes qui créent la sécurité Chaque domaine possède ainsi ses stra-
ou la cybersécurité. tégies, ses palettes d’actions, qui résultent
de compromis stratégiques, de nature
Les compromis des stratégies économique, de niveau de sécurité, et
de sécurité d’acceptabilité sociale. (Amalberti 2013).
La tension entre humain et organisation En fonction des domaines dans lesquelles
se traduit concrètement par deux manières elle va s’appliquer, la cybersécurité repose
de gérer la sécurité, complémentaires et sur des choix plus ou moins explicites
interdépendantes (Groupe de travail en fonction des stratégies de l’entreprise :
de l’Icsi « Culture de sécurité » 2017). c’est la logique portée en particulier par la
Loi de Programmation Militaire sur la pro-
La « Sécurité Gérée » repose sur la com- tection des Opérateurs d’Importance Vitale
pétence des acteurs, cette compétence de certaines industries (avec en deuxième
étant un facteur de résilience du fait de rideau des opérateurs de services essen-
leur forte adaptabilité. On a pu en voir un tiels), en leur demandant l’identification
exemple très récent dans la crise sanitaire de leurs systèmes d’importance vitale
de 2020 lorsque les soignants ont réor- (tous les systèmes ne concourent pas
ganisé des services entiers des hôpitaux. aux fonctions essentielles) puis en leur
Cependant le niveau de sécurité obtenu appliquant des règles de sécurisation
est peu élevé, puisqu’il s’agit de réagir au niveau adéquat.
dans l’urgence, sans plan bien préparé.
Mais alors, comment qualifier la sécurité

DOSSIER
ou la cybersécurité d’un système ? est également mesurée par divers

indicateurs et constats (Reason 1995).
Qu’est-ce qu’être sûr ou en (cyber) La cybersécurité en tant qu’état
sécurité ? du système d’information que l’on peut
En écho à cette dualité sécurité gérée et caractériser et mesurer est donc également
sécurité réglée, l’état de sécurité peut être une propriété émergente de l’interaction
envisagé sous deux angles : statique et dy- entre les acteurs, les processus
namique. Sous l’angle statique, la sécurité et les techniques.
est comme un stock qui se caractérise par
l’absence d’accident. Elle est un fait objec- Ainsi, la cybersécurité serait un état
tif constaté par des experts qui analysent du système sociotechnique : on « est en
la situation de façon rétrospective (« jusqu’à cybersécurité », c’est-à-dire que l’on a mis
présent tout va bien »). L’effet pervers de toutes les barrières humaines et techniques
cette approche est qu’elle peut conduire nécessaires pour s’assurer que les dangers
à rechercher l’élimination des imprévus sont maîtrisés à un niveau acceptable,
(réduction de la probabilité des événements dépendant de compromis stratégiques
redoutés), à considérer l’homme comme sociotechniques.
le maillon faible faisant des erreurs et,
in fine, à renforcer la bureaucratie. Cette notion de maîtrise demande à être
Sous l’angle dynamique, la sécurité explicitée. Dans le cadre des systèmes
est un processus et se caractérise par la de management, il est demandé de
somme des accidents évités. Il s’agit se donner des objectifs de sécurité,
d’une construction permanente qui se d’identifier les dangers et les manières
traduit davantage par un ressenti de les maîtriser ou de les atténuer,
de sécurité. Dans ce cadre, la sécurité puis d’effectuer le suivi de la performance
est orientée pour que l’organisation soit en analysant les accidents ou incidents
capable de faire face à l’imprévu, en s’ap- et d’améliorer le système si besoin (Paries,
puyant sur les hommes comme ressource Macchi et al. 2018). La partie la plus difficile
pour rattraper les variabilités du système concerne souvent l’identification des
et du contexte. Il serait toutefois vain dangers ou des menaces sur le système :
d’opposer ces deux visions qui, on ne peut évidemment pas tout prévoir,
au contraire, doivent dialoguer au sein en particulier dans le domaine cyber
de l’organisation. En médecine, la santé où la menace revêt des caractéristiques
est une propriété émergente, qualifiée singulières.
par différents signes physiologiques
et indicateurs relatifs à la qualité de vie. La nature particulière de la menace
Dans les processus industriels, la sécurité cyber

DOSSIER
Cependant, la cybersécurité introduit la tracer son chemin d’attaque. La différence

gestion d’un processus particulier qui est réside ici dans l’intentionnalité de la menace.
celui de la protection contre une attaque,
avec en arrière-plan une intentionnalité mal- Dans les analyses de risques (sécurité
veillante, celle de l’attaquant. Cette dimen- industrielle ou sécurité des biens et des
sion demande une réflexion dépassant personnes), l’intention des intervenants
est d’éviter l’accident pour mener à bien
la mission, c’est-à-dire produire avec un
niveau de qualité déterminé ou amener
des passagers d’un point A à un point B en
toute sécurité. Sur ce chemin, des erreurs,
des omissions peuvent se produire, parfois
même des violations de procédure mais
l’intention est de bien faire son travail.
Sauf si on est un terroriste, on ne se lève
pas le matin en se disant qu’on va provo-
quer un accident industriel.
Dans un contexte de cybersécurité,

les cas classiques de gestion de probabilité on assiste à l’affrontement entre deux inten-
de pannes ou de dégradation des conditions, l’une en charge du fonctionnement du
tions opérationnelles. Système d’Information, parfois génératrice
d’erreur ou d’incidents, l’autre animée
Les trous du cyber-gruyère d’une intention malveillante, cherchant par-
Les industries à risques tentent de mai- fois à provoquer l’accident redouté ou,
triser les vulnérabilités (les trous) dans les tout au moins, à profondément perturber
différentes barrières de protection mises en le fonctionnement normal.
place (règlements, formations, conception,
procédures…). En évitant qu’une succession Des menaces et des organisations
de problèmes survienne, on casse la chaine En fonction de la précision de la
accidentelle. C’est le principe du modèle de connaissance de la menace, les industries
Reason (Swiss Cheese). (Reason 1997). à risques ont développé des modes
de gestion de la sécurité adaptés.
Lors d’une attaque de type cyber, Le schéma suivant présente sur l’axe
l’attaquant, doué d’une intelligence, va horizontal la connaissance formelle
tenter de créer des trous dans les défenses des situations à risques, l’axe vertical
ou d’exploiter ceux qui existent déjà pour les capacités de contrôle des organisations

DOSSIER
opérant dans ces situations. Plusieurs D’abord, cela permet de sauver du temps
exemples illustrent ces concepts. et de l’énergie. On bénéficie ainsi de l’expé-
rience et des leçons apprises par les autres
entreprises, en construisant un langage
et une terminologie communs.
Quel positionnement
de la Cybersécurité ? Pour des raisons de responsabilité,
Il existe de nombreuses motivations de visibilité et de conformité, on peut
à construire un système intégré de ainsi prouver que la cybersécurité est
management de la cybersécurité. rigoureusement gérée et on peut fournir

DOSSIER
les indicateurs qui le prouvent. On utilise tout l’écosystème de l’entreprise à l’amélio-

des composants renouvelables : des ration constante de la cybersécurité.
stratégies, des standards de sécurité et
des objectifs de cybersécurité communs Un système intégré de management
à toutes les strates de l’entreprise. Cela de la sécurité permet de relier le cadre
garantit des processus de cybersécurité stratégique de la cybersécurité,
stables basés sur des méthodologies les catalogues des contrôles et le bon
établies. Tout cela permet de bâtir une fonctionnement des processus critiques
défense en profondeur et de faire travailler de cybersécurité, c’est-à-dire :
la gouvernance, la gestion des règles Ces aspects sont familiers aux RSSI
(« policies management »), l’information qui déploient ces structures au sein
et la formation à la cybersécurité, le mana- de leurs entreprises afin de remplir leur rôle
gement des vulnérabilités, le management de détection, de réaction, et in fine
des identités et de leurs accès ainsi que la de protection des systèmes d’information.
gestion des incidents. On retrouve ainsi les mêmes compo-
santes organisationnelles et techniques
Il est évident qu’une gestion rigoureuse qui fondent la stratégie de sécurité des
de ces processus est une manière fiable systèmes à risques. Sur ces points, les or-
de réduire les risques liés à la digitalisation ganisations devraient s’inspirer des acteurs
des entreprises tout en s’assurant plus avancés tel que le secteur bancaire,
que l’humain œuvrera à plus de sécurité déjà très expérimenté en matière de
et cela grâce aux contrôles mis en place. sécurisation des transactions financières.

DOSSIER
Cependant, la composante essentielle logique.

sera toujours la partie humaine du système
sociotechnique que l’on abordera sous L’Institut pour une Culture de Sécurité
l’angle de la culture de cybersécurité. Industrielle (ICSI) a défini les 7 attributs
d’une culture de sécurité intégrée. Comme
nous pouvons le voir ci-dessous, ceux-ci
sont facilement transposables dans un
Construire la culture de cybersécurité contexte cybersécurité :
“Few things are so sought after and yet so
little understood.”(Reason 1997). La culture 1. C
onscience partagée des risques
de sécurité est un concept scientifique les plus importants,
difficile à appréhender. Mais elle peut se
construire en cybersécurité de la même 2. C
ulture interrogative,
manière que dans la sécurité industrielle.
3. C
ulture intégrée, mobilisation de tous,
Il faut pour la cybersécurité un complet
changement de paradigme. Tant qu’elle 4. É
quilibre pertinent entre le réglé
sera vue comme un simple problème que et le géré,
des techniciens peuvent solutionner avec
des outils techniques, on n’arrivera pas à 5. A
ttention permanente aux trois piliers
construire une culture de la cybersécurité (technique, système de management,
digne de ce nom. Construire cette culture FHO),
est très probablement le plus grand chan-
gement des entreprises pour la prochaine 6. L
eadership du management
décennie. Il est nécessaire d’introduire et implication des salariés,
la cyber au centre même du business.
7. C
ulture de la transparence afin
Sans une intégration poussée par le de générer la confiance.
sommet de la hiérarchie et avec tout
le soutien des comités exécutifs, un tel Bien qu’il nous paraisse évident de cultiver
changement ne sera pas possible. Nos diri- la transparence et de partager les rensei-
geants doivent prendre la responsabilité de gnements que nous possédons, il est
comprendre et d’adapter la culture de leur encore difficile pour une entreprise
entreprise afin d’y inclure de bon niveau de d’admettre qu’elle a subi une attaque cyber
reflexes de cybersécurité. La mise en place ou bien d’évoquer ses vulnérabilités.
d’une stratégie et d’un cadre sécuritaire
(ISO27K ou NIST) en sera la conséquence Il est donc délicat d’instituer cette culture

DOSSIER
de la transparence mais nous pouvons et semble des agents du contrôle aérien fran-
devons faciliter le partage des informations çais, la mention du signalement d’évène-
et des renseignements. De nombreux ment à caractère cyber a été mentionnée.
forums ont déjà été ou sont en train d’être Même si la notion de signalement d’événe-
mis en place pour ce faire : les États euro- ment sécurité est très ancienne et ancrée
péens à travers leurs agences de sécurité dans les mœurs, tout particulièrement chez
informatique mettent en place des réseaux les contrôleurs aériens, la modernisation
de CERT (« Computer Emergency croissante des systèmes de navigation
Response Team ») qui œuvrent en ce sens, aérienne nécessite d’étendre cette culture
des regroupements sectoriels se sont du report. Celle-ci permet également de
créés, notamment aux États-Unis. toucher les acteurs « non-opérationnels ».
Ils permettent de partager les indices
de compromission et aident ainsi collecti- Se préparer à la crise : résilience
vement à améliorer le niveau de protection et construction du sens
de ceux qui acceptent ce partage et donc La menace cyber fait peser un risque
ce niveau de transparence. bien plus grand (tant en probabilité
qu’en étendue) de crises majeures
On apprend de nos erreurs : pour anticiper, touchant l’ensemble d’une organisation.
pour améliorer les connaissances sur la Les attributs clefs de cette culture de
menace, pour développer des procédures sécurité doivent donc être complétés par
robustes. Au niveau d’une entreprise, une meilleure préparation à la crise afin de
il faut donc connaître la vie de tous les rendre les organisations plus résilientes.
jours et les différences entre ce qui est
prescrit et ce qui réellement réalisé. Les ac- D’après Erik Hollnagel (Hollnagel, Pariès
teurs de terrain doivent avoir suffisamment et al. 2010), une organisation résiliente
confiance pour reporter les événements arrive à maintenir en permanence la
sans craindre de sanction en retour. situation sous contrôle, qu’elle soit prévue
ou imprévue. Cela revient à s’interroger
Toutefois, l’idée de sanction, déjà délicate en permanence autour de deux questions
dans le domaine de la sécurité industrielle, fondamentales : Qu’est ce qui fait perdre le
paraît encore plus difficile en contexte contrôle ? Comment maintenir ou regagner
cyber : comment distinguer l’erreur de la le contrôle ? Il définit ainsi quatre attitudes
faute, face à une menace qu’on ne com- clés qui doivent être entretenues dans
prend pas ou que l’on n’a pas détectée ? les organisations et qui font échos aux
concepts abordés précédemment :
Lors de la conception de la formation à la
culture sécurité délivrée en 2020 à l’en- 1. A
pprentissage : connaitre le passé (faits

DOSSIER
objectifs et structurés) diffusé au travers 3. Une attitude de sagesse, comprise

d’un REX (Retour d’expérience) analysé comme la capacité à prendre en per-
et partagé ; manence de la distance vis-à-vis de ses
croyances, de ses certitudes et de sa
2. Réponse : savoir quoi faire et savoir le propre confiance,
faire, notamment par des procédures
réellement opérationnelles et connues ; 4. L’entretien de relations respectueuses
entre les acteurs qui permettent d’être
3. Monitoring : savoir quoi chercher (ce qui à l’écoute de solutions nouvelles,
est critique) et le mesurer par des indica- d’accepter en confiance la répartition
teurs prospectifs ; des rôles.
4. Anticipation : savoir à quoi s’attendre Conclusion

(potentiels et scénarios) y compris Sans vouloir imposer un point de vue
l’impensable. extérieur, la communauté cyber pourrait
bénéficier d’un échange approfondi avec
En complément, Karl Weick (Vidaillet 2003), la communauté de la sécurité industrielle.
au travers de l’analyse de la catastrophe D’un côté, ce que les sciences sociales
de Mann Gulch nous éclaire sur quatre dans les industries à risque nous disent :
dimensions de la souplesse organisation- reconsidérer l’humain comme un élément
nelle qui augmentent la résilience : de sécurisation du système et d’adaptation
aux imprévus, des choix stratégiques et
1. La capacité à improviser et à bricoler tactiques portant sur les caractéristiques
de nouvelles solutions, même sous la des défenses mises en œuvre. De l’autre,
pression. Ceci sous-entend l’entretien ce que la déclinaison des théories actuelles
d’une forme de créativité et de capacité en sécurité apporte au vu des spécificités
d’initiative en dehors des phases des systèmes d’information : une intention-
de crise, nalité malveillante, les caractéristiques de
la résilience organisationnelle en réponse
2. Un système de rôles à tenir, partagé à une cyberattaque. Cet échange pourrait
entre les acteurs de l’organisation, se concrétiser par le déploiement d’une
qui permet à chacun de savoir quels culture de cybersécurité maîtrisée permet-
rôles doivent être tenus en toutes tant d’atteindre un état de cybersécurité
circonstances (exemple : le chef, acceptable. En particulier, la transparence
le secrétaire, le communicant…), dans le report d’événement et le partage
même lorsqu’on est seul, d’information suite à une analyse, valeur
primordiale pour la culture sécurité,

DOSSIER
devraient pouvoir trouver son expression nationales des risques technologiques -

dans une culture de cybersécurité. Le Journal.
Ce cheminement demande des efforts de la Dekker, S. W. A. (2000). The Field Guide

part des décideurs pour prendre en compte to Human Error, Ashgate.
une réalité qui est loin d’être simple mais
que ces connaissances et pratiques per- Groupe de travail de l’Icsi « Culture
mettent d’éclairer. Cette dimension des en- de sécurité » (2017). La culture de sécurité.
jeux de la transformation numérique ne doit Comprendre pour agir. Cahiers de la Sécu-
pas être sous-estimée, en particulier si l’on rité Industrielle. D. Besnard, I. Boissières, F.
veut responsabiliser les acteurs de terrains, Daniellou and J. Villena. Toulouse, France,
adapter les espaces de travail, et construire Institut pour une Culture de Sécurité
la confiance qui sous-tend toute transforma- Industrielle. Numéro 2017-01.
tion. Quant au chemin de croix des RSSI,
qu’il s’agisse de ressources, de budget, de Hollnagel, E., J. Pariès, et al. (2010).
compétences, d’arbitrages, de responsa- Resilience Engineering in Practice:
bilités, d’accès aux décideurs, il n’est pas A Guidebook, Ashgate Publishing, Ltd.
sans rappeler celui du Directeur Sécurité.
La prévention a souvent le mauvais rôle par Paries, J., L. Macchi, et al. (2018).
rapport aux enjeux opérationnels immédiats, « Comparing HROs and RE in the light of
mais elle sera toujours plus payante qu’un safety management systems.»
accident ou une crise cyber majeure qui Safety Science.
paralysera l’entreprise et affectera durable-
ment son image. Reason, J. (1995). « Safety in the operating
theatre. Part 2: Human error and organi-
Bibliographie sational failure. » Current Anaesthesia and
Critical Care 6(2): 121-126.
malberti, R., Ed. (2013). Navigating
A
Safety, Necessary compromises and trade- Reason, J. (1997). Managing the risks
offs, Theory and Practice. Berlin, Springer. of organizational accidents. Aldershot,
UK.
Amalberti, R. (2017). « Les FHO
dans l’entreprise : trois rails éclatés ? » Vidaillet, B. (2003). Le sens de l’action :
Tribunes de la Sécurité Industrielle 1: 5. Karl E. Weick, sociopsychologie
de l’organisation / [F. Allard-Poesi,
Amalberti, R. and I. Boissières (2014). G. Koenig, H. Laroche, C. Roux-Dufort],
Interviews croisées. 6ème assises Vuibert.

DOSSIER
AUTEUR AUTEUR
Marc-Xavier Joubert – Président de Suez Robert Breedstraet - Division information
Advanced Fire Engineering security officer, adjoint au Corporate CISO
Au sein de SUEZ, Marc-Xavier Joubert d’Amadeus IT Group.
dirige une start-up innovante Robert Breedstraet dirige le département
pour développer des solutions gouvernance et contrôle, le management
environnementales pour lutter de projets de cyber sécurité comme
contre les incendies. la gestion des identités et des accès,
Après avoir servi au sein de l’Aviation la protection de la marque Amadeus.
Légère de l’Armée de Terre, il a rejoint Il a aussi sous son autorité
SUEZ où il a acquis une expertise les responsables régionaux de sécurité
dans la gestion des risques informatique (Amériques, Inde,
environnementaux et industriels Asie-Pacifique, Europe et Moyen Orient).
dans leurs dimensions techniques, Robert a une expérience de plusieurs
humaines et organisationnelles. dizaines d’années en informatique
Il était précédemment directeur et en particulier dans le domaine
de la performance et des risques de la réservation aérienne.
industriels du Groupe SUEZ. Il est également représentant d’Amadeus
Il est également membre dans différents groupes internationaux,
de la commission scientifique risques informaticien et titulaire d’une maîtrise
accidentels de l’INERIS. Diplômé en politique économique, il est auditeur
de l’Ecole Spéciale Militaire de Saint-Cyr IHEDN – INHESJ de la première session
et d’un Master Spécialisé en Facteurs nationale Souveraineté Numérique
Humains et Organisation de l’ESCP et Cyber-sécurité.
Europe, il est auditeur IHEDN – INHESJ
de la première session nationale
Souveraineté Numérique
et Cyber-sécurité.

DOSSIER
AUTEUR
Stéphane Deharvengt – adjoint chef
de mission sécurité, sûreté, qualité
du contrôle aérien français à la Direction
des Services de la Navigation Aérienne -
DGAC
Stéphane Deharvengt dirige l’équipe
en charge du Système de Management
de la DSNA (Contrôle aérien français)
dans ses composantes Sécurité, Sûreté
(physique et cybersécurité) et Qualité.
Son expertise est issue des travaux
qu’il a mené dans la conception
et l’application de stratégies complexes
de maitrise de la sécurité des vols
et du contrôle aérien : Règlements
opérationnels (retour d’expérience,
systèmes de management, gestion
de la fatigue) et de certification avion
(conception cockpit et cabine, A380),
Gestion des risques sécurité et cyber,
Formations facteurs humains, nombreux
programmes de recherche appliquée
à la sécurité aérienne.
Il est également représentant français
dans différents groupes internationaux.
Ingénieur aviation civile de formation,
il est titulaire d’un doctorat en ergonomie
et auditeur IHEDN – INHESJ
de la première session Souveraineté
Numérique et Cybersécurité.

JURIDIQUE
© Zerbor.
POUR QUE L’EUROPE NE SOIT PAS UNE COLONIE NUMÉRIQUE
La souveraineté numérique européenne se heurte aux intérêts d’acteurs étrangers

en situation quasi monopolistique sur le marché digital. La collecte des données,
leur valorisation et leur intégration dans une intelligence artificielle requièrent
la protection de la vie privée, un traçage consenti et le contrôle des modes
de stockage pour susciter la confiance de l’usager et une sécurité commerciale.
En conséquence, l’Europe se dote d’un arsenal juridique : le RGPD en matière
de protection des données, le Règlement « e-Privacy » quant au traçage
et à la manifestation du consentement, le « privacy-shield » qui traite du transfert
des données hors d’Europe avec un niveau de protection équivalent fourni
par les gestionnaires étrangers des données.
La loi est également un instrument de régulation économique du numérique
par la taxation fiscale des activités dans le ressort européen, la correction
du déséquilibre contractuel entre les plateformes et les utilisateurs. Elle joue
également un rôle pour tempérer les pratiques concurrentielles abusives
en garantissant le choix des services ou de solutions logicielles. Elle remet
en cause, par de récentes décisions, les contrats d’entreprise qui asservissent
des travailleurs indépendants ou qui instaurent des conditions de travail
non conformes au droit du travail des pays européens.

DROIT
La loi : atout ou obstacle

à la souveraineté digitale européenne ?
Par Cécile Doutriaux
A
Après l’enthousiasme des débuts de
l’hyper connectivité, force est de constater
qu’être relié à tous, à tous moments
et à tous les endroits du monde suscite
prépondérant, dans le commerce et la
logistique (Amazon, Shopify), l’information
(Google News, Twitter), le transport (Uber),
le tourisme (Booking), le divertissement
désormais moins de ferveur. Pourtant, (Tik Tok, Youtube, Twitch) ou la publicité
les entreprises numériques développent (Google, Facebook). Elles génèrent de la
toujours de nombreuses solutions, donnée précieuse (d’usage, d’achat,
afin créer ou de répondre à de nouveaux de comportement) et l’utilisent pour mieux
besoins pour les citoyens comprendre les usagers et influencer
et les organisations. les décisions des citoyens et notamment
des consommateurs.
Les enjeux ont considérablement évolué
depuis l’avènement d’Internet et au- Ces entreprises numériques jouent
jourd’hui les États un rôle important dans de nombreux
doivent intégrer le Big secteurs et devraient donc être soumises
Data, l’industrie 4.0, au contrôle des autorités judiciaires, civiles
la robotique et administratives. Pourtant, elles fixent
et l’intelligence leurs propres règles, inspirées du modèle
artificielle. Certaines économique nouveau qu’elles ont su créer
sociétés digitales et qui échappent encore au droit actuel,
CÉCILE sont présentes sur sur certains points. Si certains États ont su
DOUTRIAUX
de nombreux s’affirmer sur le marché digital, tels que les
Avocate. marchés et ont États-Unis avec les GAFAM (Google,
Cabinet Juris
Défense. acquis un pouvoir Apple, Facebook, Amazon, Microsoft)

DROIT
LA LOI : ATOUT OU OBSTACLE À LA SOUVERAINETÉ DIGITALE EUROPÉENNE ?
et les NATU (Netflix, Air BNB, Tesla Européenne pour imposer une souveraine-
et Uber), la Chine avec les BATX (Baidu, té numérique, alors qu’elle est confrontée
Alibaba, Tencent, Xiaomi) et la Russie à des acteurs étrangers qui gouvernent le
(avec Yandex, VKontakte), les Européens marché depuis deux décennies ?
peinent à faire émerger des acteurs
indépendants sur le marché du numérique. Dans ce combat, la loi est-elle un facteur
En effet, la production de masse, les d’union ou de division ? Instaure-t-elle véri-
économies d’échelle qui en découlent, le tablement une collaboration ou révèle-t-elle
développement commercial axé exclusive- la concurrence exacerbée entre les Etats ?
ment sur le client, une forte image de
marque et la fidélisation des consomma- I - La loi, instrument de collaboration
teurs à leurs produits, font que tout nouvel pour la souveraineté européenne
entrant sur le marché ne peut produire qu’à Les moteurs de recherche américains,
des coûts unitaires supérieurs, ce qui leadeurs sur le marché, sont en position
entrave toute possibilité de développement de force pour collecter en masse les don-
pérenne. Ainsi, force est de constater nées de leurs utilisateurs et ainsi dévelop-
que l’Union Européenne est encore per l’internet des objets et l’intelligence
(1) Rapport
aujourd’hui « une colonie artificielle.
d’information du numérique ».1 L’Union
de Mme Catherine
MORIN-DESAILLY, Européenne, confrontée Selon le rapport « Crémer » de la Commis-
fait au nom
de la commis-
à ses limites stratégiques sion européenne sur la politique de
sion des affaires et techniques, vit un concurrence à l’ère digitale, 64 % des
européennes n° 443
(2012-2013) - 20 moment historique car, recherches en ligne aux États-Unis sont
mars 2013.
sans confiance et réalisées
adhésion de tous, elle ne peut rivaliser avec via Google et ce chiffre atteint
les entreprises étrangères et prospérer. 90 % en Europe. Ces sites connaissent
ainsi les centres d’intérêts des internautes
Différents moyens peuvent être employés grâce aux mots-clés qu’ils entrent
pour contrer la concurrence étrangère et dans le moteur, les sites qu’ils fréquentent
faire émerger une souveraineté numérique grâce aux liens sur lesquels ils cliquent,
européenne. La loi constitue-t-elle un la position géographique de l’internaute,
moyen efficace pour permettre aux entre- estimée sur la base de l’adresse IP.
prises européennes de prendre une place Concrètement, Google exploite les
pleine et entière sur le marché du digital recherches en ligne pour personnaliser la
ou constitue-t-elle un obstacle à l’inno- publicité, Amazon conserve les historiques
vation pour les entreprises ? Quels sont de consultation et d’achat sur son site.
les moyens juridiques utilisés par l’Union Quant aux réseaux sociaux, Facebook

DROIT
ou Twitter, ils collectent et revendent puisque les évolutions

(4) Selon l’article
(2) Le Boston
des données personnelles 17, la personne technologiques des
Consulting Group que les utilisateurs concernée a le droit dernières décennies ont
a publié, d’obtenir du respon-
en novembre 2012, acceptent de leur confier sable du traitement rendu notamment
une étude évaluant l’effacement,
à 315 milliards volontairement. dans certains cas nécessaire une révision de
et dans les meilleurs
d’euros, en 2011, la Les données sont délais, de données
la Directive 95/46/CE du
valeur des données
personnelles collec- aujourd’hui considérées à caractère 24 octobre 1995.
tées auprès des utili- personnel
sateurs européens comme « l’or noir » la concernant.
et annonçant qu’en
2020, ces données
du marché numérique (5) Selon l’article Depuis le 25 mai 2018, le
pourraient repré- et c’est en toute logique 20, les personnes RGPD est entré en vigueur
senter mille milliards concernées ont le
d’euros et induire que les entreprises droit de recevoir les dans les 27 États membres
une création de données à caractère
valeur équivalant digitales les placent personnel qu’elles de l’Union européenne et
ont fournies à un
à 8 % du PIB au cœur de leur stratégie responsable du
fait office de loi officielle
européen.
de développement.2 traitement, dans un pour la protection des
(3) Selon l’article format structuré,
37-1, cette désigna- couramment données. Ce règlement
tion est obligatoire utilisé et lisible par
notamment lorsque
Au-delà du potentiel machine, et ont le reprend et précise des
le traitement est économique qu’elles droit de transmettre règles existantes concer-
effectué par une ces données à un
autorité publique représentent, les données autre responsable nant les droits des
ou un organisme du traitement.
public, mais aussi collectées en masse et Elles ont aussi personnes concernées par
le droit d’obtenir
lorsque les activités leur croisement (Big data) que les données à
la collecte des données
de base du respon-
sable du traitement mettent en péril la protec- caractère personnel (information, transparence,
ou du sous-traitant soient transmises
consistent en des tion de la vie privée alors directement d’un finalité, droit d’accès,
opérations de trai- responsable du
tement qui, du fait
que, dans la société de traitement à un consentement, confidentia-
de leur nature, de l’information, la croissance autre, lorsque cela
est techniquement
lité…). Il crée également de
leur portée et/ou de
leurs finalités, exi- du marché digital repose possible. nouvelles obligations telles
gent un suivi régulier
et systématique sur la confiance des (6) Selon l’article 22, que la désignation d’un
toute personne
à grande échelle citoyens. a le droit, dans
délégué à la protection des
des personnes
concernées ». Ses certains cas, données (DPO),3 le
principales missions de ne pas faire
sont de contrôler le Après quatre années l’objet d’une consentement positif avec
respect du règle- décision fondée
ment, de conseiller
d’intenses négociations exclusivement l’acceptation explicite des
le responsable des législatives, l’Union sur un traitement
automatisé, y
cookies sur les sites
traitements sur
son application et Européenne s’est dotée compris le profilage, internet, le droit à l’efface-
de faire office de produisant des
point de contact du Règlement Général sur effets juridiques ment,4 à la portabilité des
la concernent
avec l’autorité de la Protection des Données ou l’affectant
données personnelles,5 la
contrôle, de ré-
pondre aux sollicita- (RGPD) N° 2016/679, le de manière possibilité de refuser le
tions de personnes significative de façon
qui souhaitent 27 avril 2016. Cette similaire. profilage dans certains
exercer leurs droits.
refonte était indispensable cas6 et la réalisation

DROIT
d’étude d’impact sur la vie (10) Rapport de L’application du RGPD

(7) Cette étude privée.7 la CNIL, chargée a commencé à produire
de collecter les
a pour but, selon
l’article 35, de pré-
manquements et ses premiers résultats.
les cas de violations
voir les mesures Le règlement européen La CNIL a réalisé un bilan
du droit défini par le
pour diminuer les règlement européen,
conséquences impose également aux publié le 26 mai
chiffré, en mai 2019,10 qui
possibles des
dommages organisations la protec- 2019, accessible révèle que sur une période
sur la page https://
potentiels relatifs tion des données « dès la allant de mai 2018 à mai
www.cnil.fr/fr/1-de-
à la protection rgpd-une-prise-de-
des données conception » des produits, conscience-inedite2019, plus de 11.900
personnelles.
services et systèmes et consultée le 30 plaintes en France
septembre 2020.
(8) Selon l’article 22 consacre la règle de la « (+ 30 %) et 144.376
du RGPD.
sécurité par défaut » qui plaintes au niveau européen ont été
(9) Selon l’article 83
du RGPD, l’une des implique la protection adressées aux autorités de contrôle,
premières amendes
administratives peut
préétablie de la vie privée ce qui signifie que les citoyens souhaitent
atteindre jusqu’à des utilisateurs, notam- manifestement maîtriser davantage leurs
10 000 000 € ou
pour une entreprise, ment par la « minimisa- données personnelles. L’instauration du
jusqu’à 2 % de son
chiffre d’affaires tion » de la collecte de « Comité Européen de la Protection des
annuel mondial leurs données person- Données » par le RGPD a permis
total de l’exercice
précédent. Le nelles.8 Enfin, le RGPD une meilleure coopération européenne
montant retenu
concerne toujours responsabilise les entre- opérationnelle entre les CNIL européennes
le montant de la
sanction le plus
prises, qui n’ont plus à pour diligenter les 1.013 procédures
élevé, lorsque les demander une autorisation concernant plusieurs milliers de personnes.
manquements aux
RGPD concernent préalable de traitement
les obligations in- (11) Dont M. Gary
combant au respon- des données personnelles, Shapiro, l’organisa- Il est certain que ces
sable du traitement teur du salon CES
et au sous-traitant,
mais qui, en contrepartie, (Consumer Elec-
nouvelles contraintes
à l’organisme de doivent être en mesure, à tronic Show, salon n’ont pas forcément été
certification et à annuel réunissant
l’organisme chargé tout moment, d’apporter des startups accueillies avec conviction
du suivi des codes du monde entier
de conduite.
les preuves qu’elles res- et de nombreux par les entreprises,
En cas d’infractions pectent la règlementation. entrepreneurs puisque leurs obligations
plus importante et américains.
liée au non-respect A défaut, elles s’exposent ont été alourdies.
du RGPD, l’amende (12) Voir l’interview
administrative peut à des sanctions financières accordée au Journal Pour certains 11, le RGPD
atteindre jusqu’à Économique le 12
20 000 000 € ou
importantes, allant jusqu’à novembre 2018,
constitue une erreur qui va
dans le cas d’une 4 % du chiffre d’affaires accessible à la entraver considérablement
entreprise, l’amende page consultée le
correspond à 4 % mondial annuel d’une 30 septembre 2020 la capacité d’innovation
du chiffre d’affaires https://www.lejour-
mondial (le montant
entreprise ou 20 millions naleconomiq. européenne, ce qui
le plus important d’euros (le montant le plus conduirait « l’Europe
sera là aussi retenu.
élevé étant retenu), en cas à perdre du terrain sur la Chine
de non-respect.9 et sans doute aussi sur les États-Unis ».12

DROIT
En réalité, l’UE place le citoyen au centre contractuelles relatives à la consommation

de cette guerre économique et utilise la loi, et au RGPD. Ainsi, l’association UFC QUE
d’un point de vue stratégique, pour contrer CHOISIR a obtenu, le 7 août 2018, du
la dominance des entreprises américaines Tribunal de Grande Instance de Paris, la
et asiatiques notamment. condamnation de Twitter à supprimer plus
de 250 clauses abusives et/ou illicites pré-
Le RGPD constitue ainsi une arme sentes dans ses « Conditions d’utilisation »
pour rendre plus difficile l’accès au marché et sa « Politique de confidentialité »
européen et pourrait obliger, à terme, et à 30 000 € de dommages et intérêts.
les entreprises étrangères concurrentes Le 12 février 2019, elle a obtenu la
à revoir leur modèle économique, puisque condamnation de Google, par le
les données sont également protégées Tribunal de Grande Instance de Paris
hors des frontières européennes. pour 209 clauses abusives et illicites
dans ses « Conditions d’utilisation » et «
A. La protection des données Règles de confidentialité ». Elle a aussi
sur le territoire européen obtenu la condamnation de Facebook,
Depuis l’entrée en vigueur du RGPD, par le Tribunal de Grande Instance de
des plaintes ont été déposées partout Paris, le 9 avril 2019, qui a jugé abusives
en Europe contre les géants du Web et illicites 430 clauses pour non-respect
américain : Google, Apple, Facebook, de ses obligations en matière de données
Amazon et LinkedIn. personnelles. Le réseau social a égale-
ment été condamné à verser 30.000 € de
Ces plaintes ont abouti en France à la dommages et intérêts. Plus récemment,
condamnation de Google, pour infraction le 12 juin 2020, l’association UFC « QUE
au RGPD, à une amende de 50 millions CHOISIR » a obtenu la condamnation de
d’euros en 2019, confirmée le 19 juin 2020 la société Apple, par le Tribunal judiciaire
par un arrêt n° 430810 du Conseil d’État. de Paris, qui a jugé illicites ou abusives
Des plaintes contre Facebook et Amazon plusieurs clauses concernant les données
sont actuellement instruites par l’équivalent personnelles. En effet, Apple estimait
irlandais et luxembourgeois de la CNIL. notamment que l’adresse IP, l’indicatif
La CNIL n’est pas le seul organisme postal ou encore la géolocalisation des
français à être entré en guerre économique utilisateurs n’étaient pas des données «
contre les puissantes sociétés américaines. personnelles », et de fait n’étaient pas pro-
En effet, les associations de citoyens tégées par les règles du RGPD. De plus,
engagent, elles aussi, des actions cette société ne respectait pas les règles
judiciaires pour condamner les sociétés relatives au consentement, au droit d’accès
américaines pour non-respect de clauses et au droit d’opposition.

DROIT
Si les sanctions financières qui a pour objet de remplacer la directive

(13) Ici 20 000 €
en réparation du prononcées contre ces « e-Privacy » de 2002 (2002/58/CE),
préjudice occasion-
sociétés mondiales
né à l’intérêt collectif
actualisée en 2009 avec la directive
des consommateurs paraissent dérisoires 13, 2009/136/CE, également appelée
et 10 000 € pour
il n’en reste pas moins
les frais de justice. « Directive Cookie ». Ce règlement a pour
qu’en terme d’image, principal objectif de renforcer le marché
il est préjudiciable pour ces sociétés d’être unique numérique (MUN) européen
condamnées pour non-respect des droits en protégeant d’avantage les données
des citoyens. De plus, pour lutter contre des citoyens. En effet, les sociétés
la concurrence étrangère, la protection commerciales tracent et recensent
des données européennes s’applique l’historique des activités menées par
également hors des frontières de l’Union un individu sur internet, grâce au dépôt de
Européenne. cookies, afin d’identifier ses besoins pour
lui proposer des produits ou des services. Il
B. La protection des données s’avère que les principales plaintes des
hors de l’Union Européenne citoyens portent sur la collecte déloyale
Pour affirmer sa souveraineté numérique, de leurs données person-
(15) La pratique
la commission européenne a décidé de l’opt-out dans le nelles, sans leur consente-
domaine de l’email
de renforcer ses propres règles, pour les marketing, qui ment et sur le défaut
rendre plus efficaces. consiste à envoyer
un email commercial
d’information quant aux
à un individu, sans finalités réelles du
lui avoir demandé
1. Le règlement e-Privacy auparavant son traitement, mis en place à
autorisation, mais
En France, le 19 février 2020, le Sénat en lui permettant
leur encontre. En effet, il
a adopté, à l’unanimité, une proposition cependant dans le est encore possible,
cadre du message
de loi visant à garantir « le libre choix de solliciter actuellement, pour une
à ne plus être
du consommateur dans le cyberespace », dans la liste entreprise, de poser et de
notamment en matière de plateformes et des destinataires,
en est l’illustration.
stocker des cookies, sans
d’applications, pour réguler la concurrence tenir véritablement compte
et démanteler les GAFAM, de la volonté de l’utilisateur de ne pas être
(14) Voir la synthèse dont le chiffre d’affaires suivi dans ses activités.15 De plus, se voir
du sénat sur la page
http://www.senat. serait comparable interdire l’accès à un site ou une applica-
fr/rap/l19-301/l19-
301-syn.pdf
aux recettes fiscales tion, en cas de refus d’être tracé, est
françaises.14 encore fréquent.
L’Union Européenne a aussi décidé d’aller L’idée de l’e-Privacy serait alors d’offrir
plus loin dans la protection des données aux utilisateurs la possibilité de s’opposer à
en 2019 avec le Règlement « e-Privacy » tout tracking, en amont, dans le paramé-

DROIT
trage de leurs outils numériques Pourtant, la loi reste une tentative, utilisée
(ordinateur, tablette, téléphone mobile), comme une autre, pour défendre le mar-
sans devoir réitérer systématiquement ché européen, à l’intérieur des frontières
ce refus, à chaque visite de sites internet européennes, mais aussi en dehors des
ou d’utilisation d’applications. Par défaut, frontières. En effet, l’article 3 du RGPD
les entreprises numériques seraient donc prévoit l’application extra-territoriale du rè-
obligées d’intégrer ce refus, dès la glement aux entreprises établies en dehors
conception de leurs produits et de leurs de l’Union européenne dès qu’elles ciblent
services, ce qui aurait pour effet de les les données personnelles des résidents eu-
rendre moins attractifs pour les entreprises ropéens, ce qui concerne de nombreuses
commerciales, qui collectent massivement entreprises américaines et asiatiques.
les données pour personnaliser leurs offres
et pour les revendre à d’autres entreprises. Le Privacy shield
Ce règlement inquiète les industries Avec la globalisation des échanges
numériques, qui redoutent qu’une protec- et l’utilisation croissante des nouvelles
tion renforcée des données personnelles technologies, le nombre de transferts
entrave leur activité et l’innovation, de données, hors de France et de l’Europe,
notamment pour l’Internet des objets. ne cesse de croître. Là encore, l’UE
Certaines sociétés pensent ainsi que ce recourt à la loi pour contrer les sociétés
règlement risque de mettre économique- concurrentes étrangères.
ment en péril leurs activités et elles n’ont
pas tort en réalité. En effet, il semble assez En effet, le transfert de données hors
prévisible que la majorité des citoyens de l’Union européenne et de l’Espace
déclineront ce consente- Economique Européen est possible,
ment et ce d’autant plus à la seule condition d’assurer un niveau
(16) En France, qu’ils se déclarent de protection des données suffisant
selon la CNIL,
68 % des Français désormais particulière- et approprié, conforme au RGPD. Afin de
se disent plus sen-
sibles à la protection ment sensibles à la pouvoir « s’auto-certifier » conformément
de leurs données protection de leurs aux exigences européennes en matière
personnelles, depuis
l’entrée en vigueur données personnelles.16 de protection des données personnelles,
du RGPD - Voir le
rapport d’activité La loi peut donc, ici, une entreprise établie aux États-Unis
de la CNIL du 9 juin
2020, sur la page
apparaitre comme doit être soumise aux pouvoirs de contrôle
https://www.cnil. un frein à l’innovation et d’exécution de la Commission Fédérale
fr/fr/la-cnil-publie-
son-rapport-dacti- et au développement des du Commerce (« FTC ») ou du Départe-
vite-2019, consultée
le 2 octobre 2020. entreprises numériques, ment des Transports américain
au sein même de l’Union (« DoT »). Le Privacy Shield, succédant
Européenne. au Safe Harbor (lui-même invalidé

DROIT
par la CJUE en 2015), avait été reconnu 2010/87/CE sur les clauses contractuelles
par la Commission européenne (décision types.
2016/1250) comme offrant un niveau
de protection adéquat aux données L’association Noyb, dont le président
à caractère personnel, transférées par une d’honneur est Max Schrems, qui a initié
entité européenne vers des entreprises les actions engagées contre Facebook
établies aux États-Unis. devant les juridictions européennes,
a interrogé 33 entreprises (dont
Pourtant, la Cour de Microsoft, Apple, Nike, Netflix…)
(17) CJUE,
gr. ch., 16 juill. justice de l’Union euro- sur l’annulation du Privacy Shield.
2020, aff. C-311/18,
Data Protection péenne (CJUE) a rendu le Dans son rapport du 25
(20) https://noyb.
Commissioner c/ 16 juillet 2020 un arrêt eu/files/web/Re- septembre 2020,20
Facebook Ireland
Limited, Maximillian dans l’affaire dite « plies_from_control-
lers_on_EU-US_
l’association expose que
Schrems.
Schrems II » invalidant la transfers.pdf les sociétés Airbnb, Netflix
(18) Le FISA autorise
les organismes
décision d’adéquation du et WhatsApp n’ont jamais
de surveillance, Privacy Shield, adoptée en répondu à ses sollicitations et que la
comme le FBI ou
la CIA, à exploiter 2016.17 En effet, le Privacy majorité des autres entreprises l’ont
les données des
ressortissants non Shield prévoyait des renvoyé vers leur politique de confidentialité
américains, même limitations à la protection (Blizzard, Coinbase, Instagram, Revolut).
situés hors du
territoire des Etats- des données en vertu En revanche, pour la société Microsoft,
Unis, dès lors que
ces données sont d’exigences relatives il est toujours possible de transférer des
détenues par des
personnes morales
à la sécurité nationale, données personnelles vers les Etats-Unis,
américaines. notamment par le biais en vertu des clauses contractuelles types.
(19) L’E.O. 12333 des programmes
permet notamment
« l’acquisition d’une et services de renseigne- C’est dans ce contexte que le Comité
communication ment : l’article 702 Européen de la Protection des Données
non publique
par des moyens du « Foreign Intelligence (CEPD) s’est prononcé, le 23 juillet 2020,
électroniques sans
le consentement Surveillance Amendment en exposant que ni les clauses contrac-
d’une personne
qui est partie à une
Act (FISA) »18
tuelles types, ni les BCR ne constituent
communication et l’« Executive Order de « garanties appropriées » suffisantes
électronique.
12333 » (E.O. 12333).19 pour le transfert de données vers les Etats-
Ces textes permettent une surveillance Unis. Dès lors, il conviendrait de suspendre
massive des ressortissants non-américains ou d’interdire tous les transferts vers
et c’est la raison pour laquelle la CJUE les USA ou bien adapter les clauses
a invalidé la décision 2016/1250 de la contractuelles types (CCT) en prévoyant
Commission européenne, sans remettre des mesures supplémentaires, si besoin
en cause la décision de la Commission est, pour assurer cette protection.

DROIT
Effectivement, si les clauses contractuelles acteurs, plutôt qu’entre les mains d’une
des sociétés américaines comportent de minorité dominante.
nouvelles garanties, conformes au RGPD,
il sera difficile juridiquement de s’opposer A. Les entreprises numériques
aux transferts des données européennes sanctionnées par le droit
vers les États-Unis. de la concurrence
L’article 102 du traité sur le fonctionnement
2. La loi, comme instrument de guerre de l’Union européenne (TFUE) interdit les
économique abus de position dominante susceptibles
Selon la commission européenne, certaines d’affecter le commerce dans l’UE et de
sociétés américaines empêchent illégale- fausser ou de restreindre la concurrence.
ment une concurrence et les consomma-
teurs européens de bénéficier d’un réel Ainsi, la commission européenne
choix de services, ce qui à terme, crée intervient régulièrement pour condamner
des situations de monopoles et augmente les entreprises américaines qui menacent
les prix. de manière abusive le développement
d’entreprises numériques européennes
En effet, tout utilisateur a pu constater souveraines et, à titre d’exemple,
l’existence de difficultés pour désinstaller a infligé de lourdes sanctions à Google,
Youtube ou Chrome sur Android et Apple pour un montant total atteignant 8,25
Music sur iOS. Or, la pré-installation forcée milliards d’euros.
et l’impossibilité de désinstaller certaines
applications font que les utilisateurs télé- En effet, en 2017, la Commission
chargent rarement des applications euro- a sanctionné Google d’une amende
péennes, offrant les mêmes fonctionnalités. de 2,42 milliards d’euros, pour abus
de position dominante sur le marché
Ces pratiques commerciales anticoncur- des moteurs de recherche, en favorisant
rentielles sont sanctionnées par le droit son propre service de comparateur de prix,
national et européen, car elles faussent tout en rétrogradant les services de ses
la concurrence qui s’exerce entre les rivaux.
entreprises et porte préjudice à celles qui
souhaitent se faire une place sur le marché. En 2018, Google a été une nouvelle fois
condamnée par la Commission à une
En organisant la dissémination du pouvoir amende de 4,34 milliards d’euros,
économique, le droit protège ainsi la so- pour avoir abusé de sa position dominante
ciété contre les concentrations et partage sur les systèmes d’exploitation mobile,
le pouvoir économique entre différents dans le but de favoriser exclusivement

DROIT
son application de recherche Google (21) À titre

les contrats passés avec
Search et son navigateur Google Chrome. d’exemple, des sites web tiers,
l’enquête « Google
Concrètement, Google exigeait des fabri- shopping » menée contraignant les éditeurs à
par la Commission
cants qu’ils préinstallent ces applications européenne en
réserver l’espace le plus
et payait même des fabricants et des opé- 2008, pour abus de rentable sur leurs pages
position dominante
rateurs de réseaux mobiles pour qu’ils les pour avoir favorisé de résultats de recherche
son service de
préinstallent en exclusivité sur leurs appa- comparaison des aux publicités
reils. Bien évidemment, ces pratiques ont prix sur son moteur
de recherche a pris
de Google et exigeant un
porté préjudice aux moteurs de recherche fin 7 ans plus tard nombre minimal de
et a abouti à une
concurrents et Google est aujourd’hui condamnation en publicités de Google sur
juin 2017, alors
obligé de permettre aux utilisateurs Android que la plupart des
ces pages.
de choisir leur moteur de recherche et leur services de com-
parateurs de prix
navigateur web, lors de la configuration rivaux de Google Ces sanctions sont impor-
ont été évincés
de leur nouveau smartphone. Dès lors, du marché. tantes,
le 8 janvier 2020, la société Google a com- (22) Régies par le
mais parfois, la société
muniqué la liste, par pays européens, règlement 1/2003 dominante parvient
du 16 décembre
des alternatives à son moteur 2002 et son article à les contourner. Ainsi,
8 permet de les
de recherche, étant précisé qu’il s’agit prendre « dans les
la société Google a mis
principalement de DuckDuckGo et d’Info. cas d’urgence en place un système
justifiés par le fait
com, mais aussi du moteur de recherche qu’un préjudice d’enchères, pour proposer
grave et irréparable
Qwant pour la France. Depuis le 1er mars risque d’être causé des moteurs de recherche
2020, Google propose à l’utilisateur de à la concurrence ». alternatifs aux utilisateurs
choisir son navigateur par défaut, parmi (23) http://www. d’Android, ce qui lui a
senat.fr/rap/a19-
une proposition de quatre choix, en plus 548/a19-54810.html permis en réalité de faire
de Chrome. Cette disposition a pour (24) Comme l’a
payer à ses concurrents
objectif à terme de favoriser les moteurs illustré sa décision une partie de l’amende
prise le 16 octobre
de recherche nationaux ou européens, 2019 envers la prononcée à son en-
société américaine
pour collecter d’importantes masses Broadcom, premier contre. De plus, les procé-
de données, destinées à favoriser fournisseur mondial
de puces utilisées
dures sont longues et les
le développement de l’internet des objets dans les décodeurs sanctions arrivent souvent
de télévision
et de l’intelligence artificielle. et les modems. à un moment où les en-
treprises monopolistiques
Google a aussi été condamnée en 2019 ont consolidé leur position dominante et
à une amende de 1,49 milliard d’euros, évincé les concurrents émergents, de sorte
pour abus de position dominante à travers que l’objectif stratégique initial de l’Union
la régie publicitaire AdSense, car elle Européenne n’est pas atteint.21
imposait des clauses d’exclusivité dans

DROIT
L’Autorité de la concurrence Européenne ou des services à des consommateurs par

a donc décidé de recourir plus souvent à leur intermédiaire. Ici, il s’agit de protéger
des mesures conservatoires,22 permettant les professionnels qui pourraient se trouver
d’entraver les activités de ces sociétés dans une relation déséquilibrée avec une
dominantes, avant même qu’une décision plateforme ou avec les moteurs
définitive ne soit rendue, grâce à la directive de recherche américains.
(UE) 2019/1 du Parlement européen et à la
directive « ECN+ »23, qui prévoit la possibili- Le règlement impose ainsi plusieurs
té, pour l’ensemble des autorités nationales contraintes aux plateformes et notamment
de concurrence de se saisir d’office, pour l’obligation d’information et de transpa-
protéger le marché européen d’avantage rence des conditions générales quant aux
en amont.24 comportements qui pourront générer la
Cependant, lutter contre la rapidité restriction, la suspension ou la résiliation
de pénétration de ces entreprises sur les du service, avec l’obligation de motiver
marchés, du fait de l’adhésion forte des
cette décision et de respecter un préavis
consommateurs placée au centre de leur
minimum de 30 jours, avant la mise
démarche commerciale, reste difficile.
en œuvre de cette mesure.
D’autres voies juridiques doivent

Concernant la transparence des
par conséquent être utilisées, au niveau
algorithmes et le traitement des données,
européen, raison pour laquelle l’Union
les plateformes doivent désormais préciser
Européenne a récemment initié des
les principaux paramètres déterminant
travaux, en vue d’instaurer de nouvelles
le classement des offres sur la plateforme
règlementations.
et doivent informer les entreprises
B. Le recours au droit de la consomma- utilisatrices de la possibilité d’influer
tion pour limiter l’emprise des sociétés sur le résultat des classements en contre-
digitales partie d’une rémunération directe
ou indirecte de la plateforme.
1. Le règlement « Plateform
to Business » (P2B) En réalité, ces obligations sont similaires
Ce règlement est entré en vigueur, à celles qui existent déjà en droit français
le 12 juillet 2020, pour encadrer les rela- à la charge des plateformes, dans le cadre
tions entre les services d’intermédiation de leurs obligations générales d’information
en ligne ou les moteurs de recherche précontractuelles depuis la loi n°2016-
et les entreprises utilisatrices, c’est-à-dire 1321 pour une République numérique,
les professionnels qui offrent des biens du 7 octobre 2016.

DROIT
La principale faiblesse de cette règlemen- a. Le « Digital Services Act » (DSA)

tation est qu’aucune sanction financière
n’a été directement prévue. Aussi, Dans le cadre de la stratégie numérique
une autre directive européenne dite européenne, la Commission européenne
« une nouvelle donne pour les consom- a annoncé un ensemble de mesures
mateurs » vise à modifier quatre directives relatives aux services numériques visant
en matière de consommation : la directive à renforcer le marché unique des services
93/13/CEE du 5 avril 1993 sur les clauses numériques et à promouvoir l’innovation
contractuelles abusives, la directive et la compétitivité européenne.
98/6/CE du 16 février 1998 sur l’indication
des prix des produits offerts aux consom- Après avoir règlementé le commerce
mateurs, la directive 2005/29/CE électronique par la Directive 2000/31/CE
du 11 mai 2005 sur les pratiques du 8 juin 2000, inchangée depuis vingt ans,
hormis quelques adaptations sectorielles,
commerciales déloyales des entreprises
la Commission européenne a donc initié
vis-à-vis des consommateurs et la
une réflexion, le 19 février 2020, autour
directive 2011/83/UE sur les droits
d’un « Digital Services Act » pour :
des consommateurs, transposée
« Façonner l’avenir numérique
en droit français par la loi n° 2014-344,
de l’Europe ».25
du 17 mars 2014, dite « Hamon ».
L’objectif de cet acte est
Adoptée le 17 avril 2019, elle prévoit
de limiter la concentration
notamment des obligations renforcées
des entreprises numé-
de transparence pour les plateformes (25) https://ec.eu- riques (réseaux sociaux
en vue de mieux protéger les consomma- ropa.eu/info/sites/
et moteurs de recherche
info/files/communi-
teurs et surtout la possibilité de prononcer cation-shaping-eu-
notamment) dans l’espace
ropes-digital-fu-
une amende maximale d’au moins ture-feb2020_fr.pdf économique européen,
4 % du chiffre d’affaires annuel (26) https://ec.eu- afin de permettre
de l’opérateur dans chaque État membre, ropa.eu/info/law/
une concurrence saine
better-regulation/
en cas d’infraction à la législation have-your-say/ et équitable pour les
initiatives/12418-
de l’Union Européenne en matière Digital-Services-Act- nouveaux entrants
package-ex-ante-re-
de consommation. gulatory-instrument- et les concurrents
of-very-large-online-
platforms-acting-as-
existants, face à des
Les États membres devront transposer gatekeepers. plateformes bien instal-
cette directive au plus tard lées, mais aussi pour
le 28 novembre 2021, date à laquelle diversifier le choix
elle entrera en application. des consommateurs.26

DROIT
Cette règlementation concerne également 3. La loi européenne, porteuse d’égalité

la situation des travailleurs indépendants fiscale et de valeurs sociales
des plateformes et la possibilité d’accepter La régulation économique du numérique
ou de refuser la publicité ainsi que est une nécessité au niveau national,
le ciblage en ligne notamment. européen et international. Les questions
soulevées par la dominance des géants
Une vaste consultation publique a été du numérique ne sont pas seulement
lancée de 2 juin au 8 septembre 2020 économiques car elles concernent aussi
par la Commission européenne pour nos valeurs sociales.
recueillir les avis des européens sur cette
future législation qui, une fois élaborée, A. La taxation fiscale des géants
sera soumise à l’examen du Parlement américains du numérique
européen et au vote des 27 Etats L’objectif est de rétablir une certaine égalité
membres. Consultée, la société Google fiscale avec les entreprises nationales
a rendu son avis le 3 septembre 2020. et européennes, fortement imposées
Elle déclare redouter l’entrave portée en comparaison.
à ses activités par l’Union Européenne
et estime que la Commission doit mettre (28) La loi
En matière fiscale, le
en place une législation qui « encourage n° 2019-759 législateur français a institué
du 24 juillet 2019
la croissance économique et l’innovation » portant création une taxe spécifique visant
d’une taxe sur les
et demande que « les nouvelles règles services numériques certains géants du
n’entraînent pas de coûts et de charges et modification
de la trajectoire
numérique par la loi n°
excessifs pour les entreprises, ce qui les de baisse de l’impôt 2019-759 du 24 juillet
sur les sociétés.
empêcherait de se 201928 qui ne s’applique
(27) https://www. (29) https://www.
blog.google/ développer rapidement gouvernement.fr/
qu’aux services numériques
around-the-globe/
google-europe/
et d’offrir leurs services sites/default/files/ pour lesquels les données
contenu/
more-responsible-in- dans l’UE et dans des utilisateurs sont le plus
novative-and-help-
ful-internet-europe/ le monde entier ».27 fortement mises à contribution dans la
création de valeur. Selon les déclarations du
Effectivement, si toutes les règlementations ministère de l’Économie et des finances du 6
envisagées sont adoptées, les entreprises mars 2019, la fiscalité serait inéquitable entre
américaines pourraient, à terme, perdre les entreprises puisque le taux d’imposition
leur situation de monopole. De plus, moyen d’une entreprise « numérique » dans
il existe d’autres lois pour affirmer l’Union Européenne serait de 9,5 %, alors
la souveraineté européenne sur le marché que le taux d’imposition moyen d’une
du numérique, notamment au niveau fiscal entreprise dans l’Union Européenne serait
et social. de 23,2 %. 29

DROIT
Cette taxe vise expressément les activités (31) https://itsocial. chiffre d’affaires grâce
fr/articles-decideurs/
de publicité ciblée, de vente de données que-cache-la-trans- aux recettes publicitaires.32
formation-de-goo-
en ligne et de services d’intermédiation gle-en-conglomerat- Au total, une trentaine de
entre internautes. Seules sont concernées alphabet/ groupes sont concernés
les entreprises dont le chiffre d’affaires est (32) Informations dont Google, Amazon,
transmises lors
supérieur à 750 millions d’euros au niveau de l’audition Facebook, Apple, mais
de Google
mondial et à 25 millions d’euros à l’échelle par la mission
aussi Meetic, Airbnb,
de la France. d’information Instagram et Criteo.
de l’assemblée
nationale
du 20 février 2020,
Le montant de la taxe est calculé consultable Concrètement, cette taxe
en appliquant un taux de 3 % sur le chiffre sur la page vise à imposer les géants
d’affaires réalisé en France et elle aurait du numérique à hauteur
rapporté à l’État français 350 millions de 3% du chiffre d’affaires numériques (re-
d’euros depuis son application. venus publicitaires, commissions touchées
par les plateformes, revenus liés à la re-
Par mesure de rétorsion, le gouvernement vente de données personnelles) réalisé en
américain a annoncé, le 10 juillet 2020, France. D’autres Etats membres de l’Union
qu’il imposait des droits de douane européenne (UE), tels que le Royaume-Uni,
supplémentaires de 25 % sur les produits l’Espagne, l’Italie, la République tchèque
français d’une valeur commerciale et l’Autriche, se sont engagés dans un
de 1,3 milliard de dollars,30 processus législatif identique, alors même
(30) Soit
1,15 milliard d’euros ce qui a contraint la que la Commission européenne, qui sou-
aux produits cosmé-
tiques et aux sacs
France à geler sa taxe tient ce projet, souhaite éviter un amoncel-
à main dans un délai puis finalement à l’appli- lement de dispositions nationales, déshar-
de 6 mois.
quer pour l’année 2020. monisées sur ce sujet. Cette taxation est
d‘autant moins évidente que la position
Cette mesure est intéressante puisque des 27 membres de l’Union Européenne
certaines puissantes sociétés numériques n’est pas unanime. En effet, des pays tels
américaines qui offrent leurs services, que l’Irlande (avec Facebook, Google et
gratuits pour l’utilisateur, sont financés Apple), la Suède, la Finlande, le Danemark
principalement par la publicité. En effet, et le Luxembourg (avec Amazon) offrent
en 2019, sur les 70,6 milliards de dollars une fiscalité avantageuse aux entreprises
de chiffre d’affaires enregistrés numériques américaines qui implantent
par Facebook, 69,6 milliards (soit 98 %) leur siège social dans leur État.
provenaient de recettes publicitaires.
Intégré au sein du conglomérat Alphabet31 Le 15 mai 2020, le Parlement européen
en 2015, Google réalise 83 % de son a voté une résolution réclamant la mise

DROIT
en place de cette taxe sur les grandes coûts engendrés par cette
(33) Apple a
entreprises du numérique et, le 21 juillet décidé d’ajuster nouvelle fiscalité sur leur
ses tarifs appliqués
2020, les États membres ont proposé aux développeurs partenaires (développeurs,
iOS. Amazon a fait
de mettre en place « une redevance de même avec les
vendeurs et annonceurs),33
numérique », au plus tard le 1er janvier vendeurs tiers et ce qui aurait pour effet
Google avec les
2023. Les négociations sont en réalité annonceurs, dans d’annuler tout effet
de nombreux pays
menées à plusieurs niveaux et dans bénéfique. Finalement, les
tels que la France,
différentes institutions où les États ont sociétés numériques
l’Allemagne, l’Italie,
la Turquie.
vocation à se réunir. Ainsi, l’Organisation dominantes répercutent
de coopération et de développement le montant de la taxe fiscale sur leurs
économiques (OCDE), a obtenu l’accord partenaires commerciaux ou sur les
de principe de 137 Etats, le 29 janvier consommateurs, ce qui rend
2019, pour réformer les règles fiscales cette stratégie assez inefficace.
actuelles, en faveur d’une plus juste
taxation de l’économie numérique. B. La contestation des travailleurs
Elle s’est engagée à présenter une propo- et des professionnels
sition concrète d’accord en octobre 2020, La notoriété des plateformes américaines
lors du « G20 Finances » de Washington. telles qu’Uber, airBnB, Booking n’est plus
Toutefois, en raison de la crise sanitaire à démontrer. Ces entreprises ont su astu-
mondiale, les États-Unis ont déclaré, cieusement prendre une place de choix sur
le 17 juin 2020, vouloir se concentrer le marché économique et dans les habitu-
principalement sur la gestion de cette crise, des de consommation des citoyens.
avant d’envisager la question de la fiscalité
internationale. Cependant, le développement économique
de ces plateformes, après avoir connu
Compte tenu de la divergence de positions auprès des consommateurs un succès
des dirigeants européens et de l’échéance retentissant sur les marchés nationaux
relativement lointaine de ces dispositions, de l’Europe, semble être, pour partie
une solution, pour les États serait du moins, remis en question non seule-
de s’affranchir de l’Union Européenne ment par les États européens et par les
et ce d’autant plus qu’en matière entreprises concurrentes mais aussi par les
de fiscalité chaque État membre reste travailleurs. De fait, en Europe, des procé-
souverain pour élaborer sa propre taxation. dures ont été engagées par ces derniers,
supposés indépendants, pour obtenir la
Toutefois, la limite de cette position requalification de leur contrat d’entreprise
stratégique est que les sociétés taxées ont en contrat de travail.
d’ores et déjà décidé de répercuter les

DROIT
Le statut d’indépendant des coursiers appliquées ». L’argument avancé par la

de Deliveroo, Uber East, Frichti, Stuart, plateforme pour contrer ce raisonnement,
Take Eat Easy, Foodora est ainsi contesté à savoir la liberté offerte au chauffeur
dans de nombreux pays et plusieurs de se connecter lorsqu’il le souhaite
décisions de justice ont déjà donné raison à l’application, a été purement et simple-
aux livreurs. En Belgique, la plateforme ment écarté.
de livraison Deliveroo est accusée de ne
pas payer de cotisations sociales pour Ces procédures, qui remettent en question
les milliers de coursiers qu’elle fait travailler le modèle économique de ces sociétés,
dans le pays. En Espagne, la justice ne sont pas seulement engagées
a estimé que Deliveroo a fait passer devant les juridictions prud’homales
comme indépendants des centaines par les travailleurs, mais également devant
de livreurs qui auraient dû être déclarés les juridictions pénales pour travail dissi-
comme salariés, évitant ainsi de payer mulé et devant le tribunal des affaires de la
1,2 million d’euros de cotisations sociales. sécurité sociale, pour obtenir le recouvre-
En France, le conseil des prud’hommes ment des cotisations qui auraient dû être
de Paris (section commerce 19/0773) versées par ces sociétés aux administra-
a condamné la société Deliveroo, tions françaises, telles que l’URSSAF,
le 4 février 2020, à verser 30 000 d’euros Pôle emploi…
au livreur qui l’avait assignée.
Pour les plateformes américaines
Le 4 mars 2020, la Cour de cassation, et européennes des requalifications
par un arrêt de la chambre sociale n° 374 massives entraîneraient une forte augmen-
(19-13.316), a confirmé la décision tation des coûts notamment en raison
du 10 janvier 2019, de la Cour d’appel des cotisations sociales à verser, des droits
de Paris, qualifiant un chauffeur Uber aux congés payés, à la formation, ce qui
de salarié de la plateforme et non pourrait remettre en cause le modèle
de travailleur indépendant, en raison économique des sociétés numériques.
de l’existence d’un lien de subordination.
En effet, selon la Cour de cassation, Mais plus qu’une guerre économique,
« Le chauffeur qui a recours à l’application il s’agirait aussi d’une guerre idéologique
Uber ne se constitue pas sa propre clien- puisque selon La Fédération nationale
tèle, ne fixe pas librement ses tarifs et ne des auto-entrepreneurs (FNAE), la vaste
détermine pas les conditions d’exécution majorité des chauffeurs n’auraient pas
de sa prestation de transport. L’itinéraire l’intention de devenir des salariés car
lui est imposé par la société et, s’il ne le beaucoup sont dépendants financièrement
suit pas, des corrections tarifaires sont de ces applications ce qui les dissuade

DROIT
d’entamer des poursuites. Selon cette à la protection des données personnelles,

fédération, cette décision risque de mettre à laquelle les consommateurs déclarent
en péril plus de 180 plateformes qui être si sensibles, peut même constituer
existent en France dans tous les domaines une différenciation concurrentielle
et qui ont fait travailler 280 000 personnes favorable, par rapport à leurs concurrents
au moins une fois en 2019. étrangers.
D’autres plateformes sont également En conclusion…

contestées, par la voie judiciaire, par les L’UE a adopté une véritable posture défen-
professionnels de différents secteurs, tels sive et se sert de la loi pour mettre en place
que Booking par les restaurateurs un protectionnisme économique, destiné
ou Airbnb par les hôteliers. Il est intéressant à lutter contre la concurrence américaine
de relever que la CJUE s’est prononcée et chinoise. En limitant et en interdisant
en faveur de l’encadrement de leurs pra- certaines pratiques, les États et l’Union
tiques. En effet, le 22 septembre 2020, Européenne ont clairement déclaré
la CJUE a validé le recourt aux articles la guerre aux sociétés américaines
L. 631-7 et L. 631-7-1 du Code de la en situation de monopole sur leur marché.
consommation français pour limiter,
dans sa portée nationale mais non locale, Cependant recourir à la loi revient à adop-
l’usage d’Airbnb dans les communes ter une posture exclusivement défensive,
de plus de 200 000 habitants en France. adoptée par défaut, alors que la « guerre »
menée entre les États est avant tout tech-
En définitive, recourir à la loi, pour contrer nologique et économique. Effectivement,
la concurrence des entreprises étrangères, la loi peut rendre l’accès au marché
en situation de monopole sur le marché européen plus difficile mais cela suffira-t-il
numérique européen, est utile et relative- à affirmer la souveraineté numérique
ment efficace, même si la commission européenne ? On peut légitimement
européenne doit aller beaucoup plus loin en douter pour l’instant et d’autres
pour affirmer une réelle souveraineté mesures, plus offensives, devront être
numérique indépendante. De plus, seules employées.
les sociétés américaines, en position
de monopole sont essentiellement visées, 1. Systématiser les sanctions
ce qui ne remettrait pas en cause l’innova- pour non-respect du RGPD
tion et le développement des entreprises Les condamnations prononcées au titre
européennes. de la protection des données personnelles
sont importantes symboliquement. On
Développer un positionnement conforme doit cependant noter que Google, Ama-

DROIT
zon, Facebook et Apple génèrent annuel- nombreuses entreprises françaises.

lement près de 700 milliards de dollars Or, la plupart finissent rachetées
de chiffre d’affaires et que ces sanctions par des sociétés étrangères comme
sont intégrées comme de simples charges Spotify, lancé en 2008 et rachetée
de fonctionnement, dans le cadre par la société américaine Facebook
du budget global des plateformes concer- en 2011, et Price Minister rachetée
nées. Elles devraient donc être davantage par une société japonaise en 2010.
alourdies pour être dissuasives, ce qui
permettrait aussi de réinvestir les fonds Il est donc fondamental d’interdire
récoltés dans la recherche opérationnelle, le rachat de starts-up françaises
le développement et l’innovation et européennes innovantes ou de limiter
européenne. fortement la part détendue par les
sociétés concurrentes étrangères
Cependant, limiter la dominance des dans ces entreprises, comme le font
entreprises américaines sans entraver les États-Unis qui n’hésitent pas à affirmer
l’innovation des sociétés européennes leur protectionnisme en interférant dans
reste un exercice délicat. L’établisse- les transactions commerciales opérées,
ment de règles pour éviter les dérives pour imposer l’entreprise américaine
est essentiel mais comment contrer ces Oracle lors du rachat du réseau social
entreprises technologiquement et écono- chinois Tik Tok. La Chine ayant,
miquement ? par réaction, élaboré en septembre 2020,
une nouvelle réglementation qui visait
2. Le rachat par les sociétés à limiter les exportations technologiques
américaines des entreprises chinoises.
européennes prometteuses
Si la domination de grands groupes (34) Ce réseau Au niveau national,
social qui offre
américains est frappante dans le monde le partage instanta- il serait par exemple
né de vidéos
numérique, l’Union européenne est riche et une messagerie
regrettable que le réseau
en nombreux talents, qui peinent toutefois pour favoriser les social français Yubo,34
rencontres, a été
à acquérir une dimension européenne fondé en 2015 extrêmement populaire
par Sacha Lazimi,
et mondiale. Pour renforcer leur position Jérémie Aouate aux Etats-Unis,
dominante, les GAFAM ont procédé, et Arthur Patora. soit finalement racheté
ces dix dernières années, à environ (35) https:// par Facebook qui a déjà
www.lesechos.
400 acquisitions de starts-up fr/tech-medias/ racheté Instagram
hightech/yubo-le-
prometteuses avec un chiffre d’affaires reseau-social-fran-
en 2015. En effet,
limité mais dont le potentiel est estimé très cais-qui-cartonne-a- cette start-up a levé
letranger-1254408
important et parmi lesquelles figurent de 11,2 millions d’euros

DROIT
en 2019 auprès d’Iris Capital, Idinvest les géants du numérique.

Partners, Alven, Sweet Capital et Village
Global, qui compte parmi ses investis- (36) https://www. Le 29 juillet 2020,
usine-digitale.fr/
seurs Mark Zuckerberg et Jeff Bezos, Sundar Pichai (Alphabet,
article/que-faut-il-
retenir-de-l-audi-
ce qui pourrait annoncer un potentiel tion-des-patrons-
maison-mère de Google),
rachat par un géant du Net.35 d-apple-facebook- Tim Cook (Apple), Mark
google-et-amazon-
Zuckerberg (Facebook)
par-le-congres-ame-
ricain.N990419
Il est intéressant de constater que les et Jeff Bezos (Amazon)
États qui ont su prendre une place de ont été interrogés par les élus américains
choix sur le marché digital sont essentiel- devant la Commission judiciaire de la
lement ceux qui ont su, à l’instar Chambre des représentants.36 Lors de
de la Chine et des États-Unis, assumer, cette audition, il a été considéré que leurs
sans complexe, un certain protection- pratiques avaient un effet démesuré sur
nisme numérique. Par conséquent, l’économie et la démocratie américaines.
il serait temps que les États européens Au niveau économique, ces plateformes
soient plus attractifs pour leurs sociétés « abusent toutes de leur contrôle sur les
nationales en priorisant leurs subventions technologies actuelles pour étendre leur
à leur égard et en relocalisant l’activité pouvoir » en imposant leurs propres
de certains sous-traitants, pour permettre produits, ce qui nuirait à une saine
une meilleure indépendance des sociétés concurrence et aux consommateurs.
locales. Malgré les efforts fournis pour Ainsi, cette commission estime
adapter et utiliser le droit, afin de faire que ces sociétés doivent être démante-
émerger la souveraineté numérique lées pour assurer le respect des lois
européenne, des efforts importants antitrust américaines et n’exclut pas
restent à fournir. de recourir à de nouveaux décrets
si nécessaire.
Curieusement, la solution pourrait provenir
davantage des États-Unis eux-mêmes Reste à savoir toutefois si le Congrès
qui souhaitent limiter l’influence, voire décidera de réviser les lois anticoncurren-
démanteler les entreprises américaines tielles existantes et si de fait,
qui entravent aussi leurs concurrents ce démantèlement aura bien lieu,
sur leur territoire national. En effet, à l’image de Bell Telephone Company
les effets néfastes de leur abus de posi- dans les années 80.
tion dominante se retrouvent également
sur le marché intérieur américain Finalement, tous les États semblent
et en 2019, le gouvernement des Etats- s’accorder sur la nécessité de mettre
Unis a décidé d’ouvrir une enquête contre fin au monopole des GAFAM et paradoxa-

DROIT
lement, si l’Union Européenne ne parvient d’une souveraineté numérique

pas à mettre fin à la domination européenne.
des entreprises américaines, la solution
pourrait provenir des États-Unis !
Ce mouvement est d’autant plus
intéressant à observer que s’agissant
de la protection des données, il semblerait
que le RGPD, pourtant si décrié
par certaines sociétés américaines,
inspirerait la législation de certains
États fédéraux américains, puisque
le gouvernement de l’État de Californie,
berceau de la Silicon Valley, a adopté
en juin 2018 le « California Consumer
Privacy Act ».
(37) Puisqu’elle Cette règlementation,

concerne
uniquement entrée en vigueur
les entreprises le 1er janvier 2020,
dont le chiffre
d’affaires annuel instaure plus de transpa-
(généré sur le
rence quant à la finalité
territoire californien)
est supérieur
de la collecte des
ou égal à 25 millions
de dollars ayant données et des droits
au moins 50 000
consommateurs d’information, d’accès
californiens
et dont la moitié et d’opposition
à la vente des données
des revenus provient
de la vente
des données collectées. Si elle a une
personnelles
des consommateurs portée nettement moins
et si les peines
prévues semblent
importante que le
RGPD37, il n’en reste pas
dérisoires (jusqu’à
7500 $ contre
moins que la volonté
20 millions d’euros
pour le RGPD.
de contrer les sociétés
en position de monopole sur le marché
numérique semble devenir de plus
en plus unanime et pourrait tout à fait
aboutir à un démantèlement, ce qui
pourrait, enfin, favoriser l’émergence

DROIT
© Scott Maxwell - AdobeStock

AUTEURE
Maître Cécile Doutriaux, avocate,
fondatrice du cabinet Juris Défense
Avocats, est membre de la Chaire
Cyberdéfense & Cybersécurité
des écoles de Saint-Cyr SOGETI
& THALÈS, de la Réserve Citoyenne
Cyberdéfense et auditeur de l’IHEDN.
Elle enseigne le droit des technologies
de l’informatique et de la communication
au Conservatoire National des Arts
& Métiers (formation labellisée
par la CNIL).

JURIDIQUE
© The Cloud Act by pe3check - Adobe stock

US CLOUD-ACT : UNE VISION EUROPEENNE RESTRICTIVE
ET PORTEUSE DE VALEURS
L’objectif de l’US CLOUD ACT est de faciliter le traitement judiciaire nord-américain

de données et de Méta-données numériques, y compris les interceptions
de communications, situées hors des États-Unis. Il impose une coopération
bilatérale entre les États-Unis et des États « agréés » en abrogeant les mécanismes
classiques de droit international et en imposant de fait une extra-territorialité
judiciaire. Se posent les questions de la nature des données, de l’évolution
de décisions des autorités judiciaires américaines quant aux réquisitions
des autorités légales et fédérales, des conditions de stockage, de communication
à des tiers et de conservation des données.
L’Union européenne penche pour la réalisation d’un accord sur l’accès
transfrontière aux données, au niveau européen et non national, uniquement
à des fins judiciaires. Il s’agit de faciliter l’obtention de la preuve numérique
par les enquêteurs et magistrats européens au cours de l’enquête pénale
tout en assurant aux citoyens le respect de leurs droits. Elle n’intègre donc pas
une finalité de « renseignement » comprise, de fait, dans l’initiative américaine.
La Commission européenne se situe donc au niveau de la protection des principes,
règles et valeurs communes des Etats-Membres et de la défense de l’espace
européen de liberté, de sécurité et de justice.

DROIT
Le US Cloud Act
vu de France : craintes légitimes
ou peurs inutiles ?
Par Emmanuelle Legrand
S
Sans prétention d’exhaustivité,
le présent article a pour ambition
de proposer au lecteur quelques clés
de lecture du US Cloud
(3) Cet accord a été
signé en octobre
2019 : https://www.
justice.gov/opa/pr/
us-and-uk-sign-
landmark-cross-
border-data-access-
agreement-combat-
criminals-and-terro-
notamment été exprimées
quant aux risques encou-
rus par les entreprises
nationales2.
(1) Le texte est rists ; en décembre
disponible en Act et de la recomman- et janvier 2020, le
anglais à : https:// Département de
www.govtrack.us/ dation de la Commis- justice américain a En octobre 2019, le
adressé sa certifi-
congress/bills/115/
s2383/tex
sion européenne en vue cation au Congrès département de justice
de négociations UE-US, américain, avec américain annonçait la
(2) https:// une prise d’effet
www.lesechos. à partir de l’analyse des prévue en juillet signature du premier
fr/tech-medias/ 2020 : https://www.
hightech/bruno-le-
textes, afin de mieux justice.gov/dag/ « Executive agreement »
page/file/1236281/
maire-vent-debout- comprendre le cadre download.
(accord gouvernemental)
contre-le-cloud-act-
americain-991515 dans lequel pourrait avec le Royaume-Uni3.
(4) https://www.
s’inscrire l’action justice.gov/opa/ Quelques jours plus tard,
pr/joint-statement-
de l’Union euro- announcing-united- l’ouverture de négocia-
péenne. states-and-austra- tions avec l’Australie était
lian-negotiation-
cloud-act-agree- officialisée4.
ment-us ; l’Australie
Signé par le président a préparé une loi à
cette fin : https://
Trump, le 23 mars www.lexology.
De son côté, la Com-
2018, le US Cloud Act1 com/library/detail. mission européenne
aspx?g=2cf0f5f7-
a suscité de nom- 4a6b-4523-b04c- présentait, en avril 2018,
4674296f9f74.
EMMANUELLE breuses réactions aux au Conseil ses propo-
LEGRAND (5) https://www.
États-Unis comme consilium.europa.
sitions « E-evidence »5
Magistrate de liaison
française en Europe
en Europe. En France, eu/fr/policies/e-evi- visant à faciliter l’accès
dence/
du Sud Est des craintes ont transfrontière à la preuve

DROIT
LE US CLOUD ACT VU DE FRANCE : CRAINTES LÉGITIMES OU PEURS INUTILES ?
(7) Voir notamment

la recommandation
de la Commission
européenne en
numérique et recevait mandat, le 6 juin faveur de l’ouverture juridique incertain,
de négociations
2019, pour ouvrir des négociations avec avec les États-Unis reposant pour beaucoup
en vue d’un accord
les États-Unis sur le même sujet. Les deux sur l’obtention sur la bonne volonté des
transfrontière de la
initiatives européennes partent du constat preuve électronique
acteurs privés, que les
largement partagé par les magistrats et en matière pénale, enquêtes pénales en
page 5 : « As
enquêteurs européens de la lenteur des regards non-content France, comme en
data, due to the
outils traditionnels de l’entraide pénale, growing number Europe, peuvent avancer,
peu adaptés aux spécificités de la preuve of Mutual Legal ou pas.
Assistance requests
électronique. Ce constat a déjà conduit addressed to the
United States of
les services d’enquête de nombreux pays America, the U.S. De nombreuses publi-
authorities have
à s’adresser directement aux fournisseurs encouraged EU law
cations ont fait état des
de services américains pour obtenir des enforcement and craintes suscitées par
judicial authorities to
données techniques, et ce sans cadre request non-content la promulgation de l’US
data from U.S.
juridique international clair, laissant ainsi le service providers Cloud Act. Toutefois, peu
droit national et la jurisprudence fixer les directly, and U.S. ont tenté de déchiffrer
law allows but
limites d’une pratique développée pragma- does not require les termes employés,
U.S.-based service
tiquement au fil du temps. providers to respond pourtant riches d’ensei-
to such requests. An
EU-U.S. Agreement
gnements8.
Les échanges directs would provide more
(6) On opposera certainty, clear
ici par souci des enquêteurs avec les procedural safe- Les craintes exprimées
de simplicité les guards and reduce
fournisseurs de services
données de trafic, fragmentation for sur le US Cloud Act
qui ne révèlent pas
le contenu des
américains reposent en EU authorities to apparaissent-elles véri-
access non-content
échanges entre l’état sur deux principes : data held by U.S. tablement fondées, à la
les personnes service providers. It
mais apportent d’une part, en général, would also allow for lumière des termes choisis
des informations reciprocal access
techniques sur seules les données de by U.S. authorities
par ses rédacteurs et par
ces échanges, trafic6, souvent utiles pour to data held by EU l’Union européenne ?
aux données de service providers.”
contenu, orienter l’enquête, peuvent
qui contiennent (8) On pourra citer
le contenu d’une être communiquées notamment Chris- Le US Cloud Act
communication
aux enquêteurs étrangers,
écrite ou verbale.
takis, Theodore, (1ère partie) : la clarifica-
21 Thoughts and
conformément au droit Questions about the tion d’une pratique en
UK/US CLOUD Act
américain. D’autre part, cette communica- Agreement: (and matière d’obtention de
an Explanation of
tion aux services d’enquête étrangers How it Works – With
données stockées
intervient sur une base volontaire, après Charts) (October 13, à l’étranger
2019). European
analyse au cas par cas par les fournisseurs Law Blog, October, L’US Cloud Act s’organise
2019, Available
de service américains, selon les règles at SSRN: https:// en deux parties.
fixées par eux et par le droit américain7. ssrn.com/abs- La première constitue
tract=3469704
C’est donc aujourd’hui dans un cadre le « Microsoft fix »

DROIT
(9) Les modifications

en amendant la loi de on peut penser que toute entreprise
touchent le titre 18 procédure américaine et tombant sous le coup de
du US Code, intitulé (12) Aucun élément
« Crimes and crimi- en entérinant la possibilité en sens contraire ne la compétence des
nal procedure », et
concernant donc a pour les autorités améri- semblant en l’état juridictions américaines
amener à une autre
priori les enquêtes
pénales. Plus pré-
caines d’accéder à des conclusion. Dans (US jurisdiction) est
le même sens que
cisément, ce sont données quel que soit leur l’auteure: https:// susceptible d’être
les chapitres 119 www.justice.gov/
(« Wire and electro- lieu de stockage. opa/press-release/
concernée12.
nic communications file/1153446/down-
interception and load
interception of oral Le Cloud Act modifie ainsi La section §2713 de l’US
communications ») (13) 18 U.S. Code
et 121 (« Stored le titre 18 du US Code9. § 2713 « Required Code13 définit néanmoins
wire and electronic
communications Il clarifie une pratique qui preservation and le fournisseur de ser-
disclosure of com-
and transactional
records access »)
avait été remise en cause munications and vice concerné comme
records »
qui sont modifiés par la société Microsoft, étant celui qui a la
par le Cloud Act.
dans le cadre du bras de (14) https://www.
law.cornell.edu/us-
possession, la garde ou
(10) https://www.
nextinpact.com/ar-
fer juridique engagé en code/text/18/2713 le contrôle des don-
ticle/27715/105782- 2014 contre le gouver- (15) Cette dernière nées, où que se situe la
une-etude-dresse- formulation suscite
lesenjeux nement américain, en un intérêt particulier communication14. Cette
(11) Voir 18 U.S. refusant de communiquer lorsque l’on s’inter- obligation s’applique aux
roge par exemple
Code §2713 :
https://www.law.
à ce dernier des données sur la situation d’une fournisseurs de service de
société française
cornell.edu/uscode/ stockées en Irlande10. La qui n’aurait de lien communication électro-
text/18/2713 avec les Etats-Unis
promulgation du Cloud que son service
nique comme aux services
Act, sans attendre la décision de la Cour de stockage de informatiques à distance15.
données en ligne.
suprême, est ainsi venue clore le débat
(16) https://
juridique. ppp.worldbank. Les sociétés américaines
org/public-pri- ne semblent donc pas être
vate-partnership/le-
Désormais, une autorité américaine peut les seules concernées. Le
gislation-regulation/
framework-assess-
légalement requérir la production de don- droit américain, rappe-
ment/legal-systems/
common-vs-civil-law
nées auprès de sociétés, quel que soit le lons-le, est un droit de
lieu de stockage de ces données11. Common law, qui évolue
essentiellement par les décisions des tri-
Le US Cloud Act et le juge américain : bunaux16. Or, nul ne sait en l’état comment
à quelles entreprises ne s’appliquera-t-il le juge américain interprétera la notion de
pas ? « US jurisdiction » dans l’application spéci-
Le Cloud Act ne précise toutefois pas à fique du Cloud Act.
quelles entités cette obligation de commu-
nication des données aux autorités Comparaison n’est pas raison. Néanmoins,
américaines est limitée. Ainsi, par défaut, il n’est pas inutile de rappeler que les

DROIT
(17) https://www.kirkland. juridictions américaines (21) A noter sur ce L’objectif affiché est de
point que le US Cloud
com/publications/
article/2019/03/can-
peuvent parfois retenir, Act modifie également faciliter l’obtention des
les dispositions du
your-overseas-company- notamment en matière US Code relatives aux
données électroniques, y
be-taken-to-us-court
civile17, leur compétence outils de pen register compris de contenu et en
(18) En matière civile et de trap and trace
notamment, il est
‘élargie’18, parfois même (voir notamment 18 temps réel (non stoc-
U.S.Code §3121, qui
question de « long-arm en tenant volontairement crée une exception au kées), notamment des
jurisdiction » ou « long-
arm statute » : https:// en échec les lois de principe de délivrance interceptions de commu-
www.law.cornell.edu/ d’un mandat du juge
wex/long-arm_statute. blocage étrangères19. notamment dans le nications21, sous réserve
cas d’une demande
Littéralement, les
autorités judiciaires d’un gouvernement pour l’État partenaire de
étranger dans le
américaines peuvent Reste à savoir si, dans cadre d’un « executive
répondre aux exigences
donc, selon les domaines
juridiques et les textes l’hypothèse d’une inter- agreement »). fixées par le Cloud Act,
et jurisprudences, https://www.
recourir à la théorie
prétation large du juge vie-publique.fr/sites/ et le cas échéant après
default/files/rapport/
du « bras long » pour américain sur l’application pdf/194000532.pdf. avoir modifié sa loi interne.
retenir leur compétence,
parfois qualifiée du Cloud Act aux sociétés C’est à cette seconde
d’extraterritorialité par (22) https://ec.europa.
certains observateurs. étrangères, ces der- eu/info/policies/ partie de l’US Cloud Act
justice-and-fun-
Voir à ce propos le
rapport d’information
nières estimeront devoir damental-rights/ que semble répondre
criminal-justice/e-evi-
sur l’extraterritorialité de répondre aux demandes dence-cross-bor-
la recommandation de
la législation américaine
déposée en octobre des autorités américaines der-access-electro- la Commission euro-
2016 par la Commission nic-evidence_en
des affaires étrangères
ou si les initiatives natio- péenne22, présentée au
(23) Contrairement à ce
et la Commission des nales ou européennes leur que certains observa- Conseil en février 2019,
finances de l’Assemblée
nationale : http://www. apporteront des réponses. teurs ont pu percevoir, en vue de l’ouverture de
assemblee-nationale. les propositions
fr/14/pdf/rap-info/ E-Evidence de la Com- négociations avec les
mission européenne
i4082.pdf La réponse de l’Union d’avril 2018 ne pou- États-Unis. Cette recom-
vaient pas constituer
(19) Voir notamment sur européenne (2e partie) : une « réponse » au US
mandation eut pu paraître
la loi dite de blocage
française du 26 juillet négocier un accord Cloud Act, promulgué inutile si, comme cela a pu
1968 : en mars 2018, car elles
https://www.legifrance.
complet au niveau résultent directement être évoqué de manière
des engagements pris
gouv.fr/affichTexte. européen en matière par la Commission erronée, les propositions
do?cidTexte=JOR
pénale européenne dès
2015 dans le cadre
E-Evidence d’avril 2018,
(20) En se dispensant
ainsi du processus Dans sa seconde partie, de l’agenda sur la toujours en cours de dis-
politique européenne
législatif habituellement
applicable en matière de
l’US Cloud Act autorise de sécurité (https:// cussion, avaient constitué
ec.europa.eu/com-
traités internationaux. également le gouverne- mission/presscorner/
une réponse au Cloud
Voir notamment C.
Bradley, J. Landman ment américain à conclure detail/en/IP_15_4865 Act. Tel ne semble pas
Goldsmith, O.A. ), de la déclaration
Hathaway, The failed
des accords gouver- commune des être le cas23.
ministres de la justice
transparency regime for nementaux ( Executive et de l’intérieur des
executive agreements:
an empirical and agreements ), avec Etats-Membres et des
représentants des ins-
S’agissant de négocia-
normative analysis:
https://www.ssrn.com/ des gouvernements titutions européennes tions UE-US, la lecture
sur le sujet de l’accès à
abstract=3589900 étrangers20. attentive des termes

DROIT
la preuve électronique
au lendemain des
attentats de Bruxelles
en 2016 (https://www.
consilium.europa.
eu/fr/press/press-re-
leases/2016/03/24/
statement-on-terrorist-
attacks-in-brussels-
on-22-march/), des
consultations réalisées
par la Commission
européenne, des
conclusions du Conseil
de l’Union européenne
demandant à la Com-
mission en novembre
2017 de faire des
© EisenhansL - Fotolia
propositions d’amélio-
ration de l’accès trans-
frontière à la preuve
électronique (https://
www.consilium.europa.
eu/media/31666/
st14435en17.pdf ), et
à une étude d’impact
détaillée, le tout bien
avant la promulgation
Le CLOUD Act est une alternative aux réglementations découlant du droit de l’UE.
du US Cloud Act. La Son approche pose la question de la construction d’un modèle cohérent d’échange
véritable question est et de protection des données personnelles et d’échange d’informations probatoires
donc de savoir si le dans le cadre de procédures pénales.
Cloud Act ne constitue
pas, lui, une réponse
aux efforts annoncés
de la Commission de choisis par la Commission (26) La recommanda- bilatéraux avec des Etats
faciliter l’accès aux
tion de la Commission
données au sein de européenne, adoptés européenne adoptée
remplissant les conditions
l’Union européenne.
par le Conseil, suggère en juin 2019 par le fixées par les États-Unis
Conseil mentionne
(24) Extrait de la
recommendation
ainsi qu’elle n’entend pas clairement l’intérêt en matière d’État de
d’un accord au niveau
de la Commission inscrire ces négociations européen : « An droit25, la Commission,
européenne, du 5
février 2019 page 4: dans le cadre d’un accord agreement between
the European Union
gardienne des traités,
« The European Union
has an interest in a gouvernemental, ni dans and the United States semble adopter l’ap-
would offer a number of
comprehensive agree- les conditions fixées par le practical advantages: proche consistant à
ment with the United
(…)It would reduce the
States of America, both Cloud Act. La possibilité risk of fragmentation
refuser qu’un État tiers
from the perspective
of protecting European d’un simple accord-cadre of rules, procedures, s’octroie unilatéralement
and harmonise the
rights and values such
as privacy and personal
ne semble pas non plus rights and safeguards le rôle d’évaluateur de la
through a single
data protection and être la piste privilégiée par negotiation mandate situation de l’État de droit
from the perspective
of our own security la Commission24. for all European Union
Member States with
dans l’Union européenne,
interests.”
the United States ensu- au profit d’une application
ring non-discrimination
(25) https://www. En effet, tandis que le between European harmonisée26 du droit et
justice.gov/dag/page/
Union Member States
file/1153466/download Cloud Act favorise la and their nationals (…)”
des valeurs de l’Union au
conclusion d’accords sein des États-Membres,

DROIT
(31) Le US Cloud
(27) On pourra citer
et du maintien d’un es- Act fait seulement
l’utilisation des données
à titre d’exemple pace commun de liberté, référence au « US qui seraient éventuelle-
le mandat d’arrêt gouvernement »
européen, la de sécurité et de justice.27 et ne précise pas ment recueillies en vertu
décision d’enquête que son champ
européenne, le d’application se d’un tel accord. Or, le texte
renforcement des
droits des victimes,
Ainsi, si le fait de savoir si limite aux procédures américain précise, quant à
judiciaires. Il semble
ou celui des droits l’Union européenne pou- préciser, certes, lui, en modifiant la section
des suspects et l’intervention d’un
accusés. vait ou non être qualifiée juge dans certains §2523 du titre 18 du US
cas. Toutefois, pour
(28) Extrait du US
de gouvernement étranger ne citer l’exemple
Code, que les « réquisi-
Cloud Act : “the pour conclure un accord que du FBI, ce tions »30 aux entreprises
term `qualifying dernier ne dispose
foreign government’ gouvernemental selon pas seulement des doivent avoir pour objectif
means a foreign pouvoirs que l’on
government”. les termes du US Cloud assimilerait en France d’obtenir de l’information
(29) https://ec.euro-
Act28 a pu susciter des à de la police judi- relative à la prévention,
ciaire (https://www.
pa.eu/info/policies/ réflexions intéressantes, wsj.com/articles/ la détection, l’investiga-
justice-and-funda- fbi-wants-audit-firm-
mental-rights/cri- ce débat est en réalité to-review-how-it- tion ou la poursuite des
minal-justice/e-evi- makes-fisa-wiretap.
dence-cross-bor-
sans grand intérêt, l’Union Par ailleurs, la
infractions graves, incluant
der-access-electro- européenne ne s’étant pas notion de « law enfor- le terrorisme. Le US Cloud
nic-evidence_en cement » reste très
engagée dans cette voie, large, et la mention Act ne définit pas la notion
(30) Du point de de l’intervention d’un
vue de l’auteure, le tout en en prenant acte. juge dans le texte du d’infraction grave. Le droit
terme anglais origi-
nal « order » ne sau-
Dès le titre de la recom- Cloud Act ne préjuge français non plus.
pas forcément,
rait, du point de vue mandation de la Com- en l’absence de
du droit français, toute précision
recouvrir la notion mission, le ton semble La première difficulté
complémentaire, du
de l’injonction, bien cadre juridique dans
qu’utilisée par les
donné29 : il s’agit en l’état soulevée par le texte du
lequel s’exercerait
juristes-linguistes de négocier un accord sur la communicationCloud Act est de savoir
de la Commission de données. Le
européenne dans la l’accès transfrontière à la de quel type de procédure
Cloud Act, s’agissant
version française de des exigences
la recommandation preuve électronique, au on parle, puisque le rôle
applicables aux États
de la Commission
européenne. Cette
niveau européen et non premier du système pénal
contractants en ma-
tière de minimisation
notion d’injonction, national, et uniquement à des procédures, n’est pas, en principe,
utilisée en matière fait d’ailleurs une
civile, a en effet des fins de coopération ju- de prévenir et de détec-
référence explicite
des conséquences aux procédures
juridiques totalement
diciaire en matière pénale. ter mais de réprimer les
en vigueur selon le
différentes de celle infractions commises. Or,
Foreign Intelligence
évoquée ici en Surveillance Act de
matière pénale. Le Cet intitulé n’a pas suscité 1978 (50 U.S.C. le Cloud Act ne précise
terme « order » se 1801).
rapproche donc beaucoup de réactions pas qu’il s’appliquerait aux
davantage en
droit français de la
mais est pourtant riche seules procédures pénales. Il ne précise
notion de réquisition de sens, puisque l’Union pas non plus quelles seraient les autorités
judiciaire, en ce
que cela oblige européenne fixe un cadre américaines qui s’adresseraient aux four-
le destinataire à y
répondre.
clair pour les négocia- nisseurs de services de l’État
tions, et a fortiori quant à contractant31.

DROIT
En réalité, on relèvera que en rappelant sa compé-

(32) A cette époque,
le premier accord gouver- tence, semble avoir
(36) Aux État-Unis,
le Royaume-Uni nemental conclu par les l’autorisation néces- proposé d’atteindre non
était pourtant
saire pour certaines
toujours soumis, a États-Unis l’a été avec activités de rensei-
un accord gouvernemental
priori, au principe
de loyauté envers le Royaume-Uni32, avant gnement relèvent ou un accord-cadre, mais
de la compétence
l’Union européenne. de se tourner vers de la United States un accord complet au
Foreign Intelligence
(33) Voir l’article de l’Australie33. Autrement Surveillance Court. niveau européen assurant
Paul Greaves et
Peter Swire « New dit, des accords entre trois Les activités de la protection adéquate et
renseignement ne
developments
for the UK and
pays du club dit des « Five sont donc pas tota- non discriminatoire des
lement dépourvues
Australian executive Eyes »34. La question d’un contrôle par droits des citoyens de
agreements with
un juge, sans que
the US under the qu’on ne formule jamais cela ne soit régi par
l’UE, dans le respect des
Cloud Act” : https://
www.crossbor- clairement est donc les règles du procès principes et valeurs de
pénal à proprement
derdataforum.org/
new-developments-
celle-ci : l’objectif principal parler. La notion de l’Union, uniquement dans
juge ou de tribunal
for-the-u-k-and- du Cloud Act et des ne permet dès lors le cadre des procédures
australian-executive-
agreements-with- accords gouvernementaux pas à elle seule de pénales et assorti de
déterminer le cadre
the-u-s-under-the-
cloud-act-2/
est-il vraiment de faciliter d’utilisation du US conditions claires et de
Cloud Act.
Dans cet article l’obtention de la preuve loi FISA (Foreign garanties permettant aux
les auteurs notent
Intelligence Surveil-
notamment que la numérique dans le cadre lance Act) s’applique
autorités judiciaires
proposition de loi
visant à adapter la pénal, dans le respect des aux activités. européennes, dans le
procédure austra-
lienne mentionne la
principes généraux de (37) Le mot « reci- prolongement des
procal » apparaît à
possibilité pour les la procédure pénale des 7 reprises dans la propositions E-Evidence,
autorités de solliciter
les fournisseurs État35, ou plutôt de faciliter recommandation d’user d’une nouvelle
de la Commission
de service dans le
cadre du renseigne-
le transfert de données européenne. possibilité procédurale
ment. Ce choix n’est collectées dans le cadre (38) La définition de adaptée aux spécificités
donc pas anodin.
la « US person » est
des activités de renseigne- donnée à l’article
de la preuve numérique.
(34) Alliance
des services de ment36? Cette question 18 U.S. Code
§2523 et inclut tout
renseignements
américains, austra-
demeure entière mais citoyen ou national Le texte européen semble
des État-Unis, tout
liens, britanniques, d’importance, lorsqu’on étranger résident ainsi partir d’un présup-
canadiens et néo-
zélandais : https:// analyse les termes choisis permanent légal, posé différent du Cloud
toute association
fr.wikipedia.org/wiki/
Five_Eyes
par la Commission de fait (« unincor- Act : la recherche d’un
porated ») dont un
européenne dans sa nombre substantiel accord complet en matière
(35) Citons entre
de membres sont
autres le principe du recommandation au citoyens des Etats
pénale, aux conditions
contradictoire, de la
proportionnalité, du Conseil. Unis ou étrangers négociées, équilibrées, et
résidents perma-
respect des droits
de la défense ou
nents légaux, ou fondées sur la réciprocité.
toute société créée
encore le droit au Ainsi, sans préjuger de aux État-Unis.
recours effectif.
l’issue des négociations, A titre d’exemple,
la Commission, l’objectif de réciprocité

DROIT
recherché par la Commission européenne37 côté, et le RGPD et les propositions E-Evi-

est intéressant, alors même que le Cloud dence de l’autre, certains fournisseurs de
Act exclut toute demande de données services pourraient se retrouver confrontés
visant directement ou indirectement les à des conflits de loi40. Ainsi, l’un des objec-
« US persons », dont la définition apparaît tifs affichés par la Commission semble de
bien large38. prévenir, et le cas échéant, de résoudre ces
éventuels conflits de loi, tout en clarifiant
Si les négociations étaient intervenues le cadre juridique d’obtention des preuves
dans le cadre de l’US Cloud Act, l’Union numériques auprès des fournisseurs de
européenne, en affirmant son objectif de services américains.
réciprocité, ne pourrait pas ignorer que
l’application du principe de non-discrimina- (40) Règlement
Toutefois, le Cloud Act
tion des citoyens de l’Union conduirait à un (UE) 2016/679 du s’inscrit dans une
Parlement européen
accord qui deviendrait presque sans intérêt et du Conseil du 27 philosophie juridique
avril 2016, relatif à la
pour les deux Parties. protection des per- propre au droit américain.
sonnes physiques à Ainsi, ce texte n’impose
l’égard du traitement
Ces éléments conduisent des données à ca- pas, en lui-même,
ractère personnel et
(39) Le Conseil, à penser que la Commis- à la libre circulation d’obligation aux fournis-
dans sa directive
de ces données,
de négociation, a sion européenne n’a pas et abrogeant la
seurs de services d’un
repris l’essentiel des
termes proposés entendu se situer au directive 95/46/CE Etat contractant. Il vise
(règlement général
par la Commission
européenne, ne
niveau du Cloud Act, mais sur la protection des uniquement à lever les
données).
négligeant pas le à celui de la protection obstacles juridiques leur
fait d’inclure une
clause relative à des principes, règles et (41) Autrement dit,
le US Cloud Act ne
interdisant de répondre
l’exclusion des faits
pour lesquels la valeurs communes des pose en lui-même à une autorité étrangère,
aucune obligation
peine de mort ou Etats-Membres et de la expresse pour les comme les lois de
la perpétuité réelle
fournisseurs de
est encourue aux défense de l’espace service, ni aucune
blocage, sur la base d’une
Etats-Unis.
https://data.consi- européen de liberté, de sanction. C’est ainsi coopération volontaire.
qu’il appartient au
lium.europa.eu/doc/
document/ST-9666-
sécurité et de justice39. pays partenaire, Il ne semble toutefois
s’il souhaite
2019-INIT/fr/pdf.
conclure un accord résoudre ni le problème
La proposition euro- gouvernemental,
d’amender sa légis-
de l’absence de réponse
péenne : vers un accord équilibré, pro- lation interne pour ni les conséquences
lui donner le cas
tecteur des droits et des données ? échéant une portée juridiques qui en découle-
extraterritoriale et
Le constat de l’Union européenne est celui pouvoir sanctionner
raient, sauf à modifier
des praticiens, demandeurs d’outils juri- les manquements, à son droit interne pour
l’instar de ce qu’ont
diques plus adaptés en matière d’obtention fait les Etats-Unis s’octroyer une compé-
avec la première
de preuve numérique. Toutefois, pris entre partie du US Cloud tence extraterritoriale.41
l’approche unilatérale du Cloud Act d’un Act.

DROIT
La recommandation de la commerciales, la Cour, se référant à la

(42) Arrêt CJUE
C-311/18 du 16 Commission semble en Charte des droits fondamentaux de l’Union
juillet 2020, Data revanche adopter une européenne, pointe les lacunes de la loi
Protection Com-
missioner contre autre approche, plus américaine en matière de sécurité natio-
Facebook Ireland
Ltd, Maximillian proche de ce que nous nale, qui, en l’état, ne permet pas d’assurer
Schrems, EE-
CLI:EU:C:2020:559
connaissons en droit une protection adéquate, notamment en
(http://curia.europa. français notamment, termes de proportionnalité et de recours
eu/juris/document/
document.jsf;jses- visant à fixer des règles effectif.
sionid=49B
communes,
(43) Le Bouclier à définir les conditions La lecture de cette
de Protection des (44) Voir notamment
Données, mieux dans lesquelles Theodore Christakis, décision soulève nécessai-
connu sous le nom After Schrems II :
de « Privacy l’on pourrait s’opposer Uncertainties on
rement des questions
Shield », est un aux décisions
mécanisme d’au-
the Legal Basis for concernant d’autres
Data Transfers and
to-certification pour des autorités judiciaires, Constitutional Impli- accords transatlantiques
les entreprises éta- cations for Europe,
blies aux États-Unis tout en assurant un droit juillet 2020, https:// existants44 s’agissant des
qui a été reconnu
par la Commission
au recours effectif. europeanlawblog. transferts de données en
eu/2020/07/21/
européenne comme after-schrems-ii-un- matière de sécurité et de
offrant un niveau de certain-
protection adéquat Par ailleurs, la nécessité ties-on-the-legal-ba- justice.
aux données à sis-for-data-trans-
caractère personneld’un accord entre l’Union fers-and-consti-
transférées par uneeuropéenne et les Etats-
entité européenne
tutional-impli- Or, dans sa recomman-
cations-for-eu-
Unis assurant l’équilibre
vers des entreprises rope/#para_2 dation au Conseil en vue
établies aux
États-Unis. Ce entre l’efficacité d’un (45) Voir notamment de l’ouverture de négo-
mécanisme est
par conséquent
outil disponible pour les https://cloud.goo- ciations, la Commission
gle.com/blog/pro-
considéré comme autorités judiciaires et la ducts/infrastructure/ européenne rappelait
offrant des garanties announcing-goo-
juridiques pour de protection adéquate des gles-grace-hop- justement la nécessité de
tels transferts de per-sub-
données. (Source droits des personnes et sea-cable-system
garantir la protection des
CNIL). de leurs données apparaît et https://www. principes et droits fonda-
lemonde.fr/pixels/
encore plus trouver son article/2020/07/30/ mentaux reconnus par la
google-a-com-
sens au regard de l’arrêt Schrems II du 16 mence-a-de-
Charte européenne des
juillet 202042, par lequel la Cour de justice ployer-un-nou- droits fondamentaux.
veau-cable-inter-
de l’Union européenne a invalidé le bouclier net-transatlan
de protection des données43 (Privacy Cette décision apparaît

Shield) conclu entre l’Union européenne et d’autant plus intéressante que le 28 juillet
les État-Unis. 2020, Google annonçait le déploiement
d’un nouveau câble sous-marin transatlan-
Ainsi, si le Privacy Shield est un accord tique pour le transfert de données inter-
visant les transferts de donnée à des fins net45, tandis que le sujet du chiffrement des

DROIT
© Fotolia - 118081089
données continue de diviser les autorités et européens se heurtent souvent au bon
en quête d’éléments probants et les ci- vouloir des fournisseurs de service qui se
toyens en recherche légitime de protection réfugient derrière la législation étrangère,
de leurs données. tout en développant leurs services sur le
marché européen.
Conclusion
Les débats sur les initiatives de la Com- Si les enquêtes n’avancent pas faute d’élé-
mission européenne en matière d’obten- ments de preuve numérique, cela se fait
tion transfrontière de la preuve numérique nécessairement au détriment des victimes
sont légitimes et souhaitables dans une et au bénéfice, notamment, de la criminalité
société démocratique. Le défi de l’Union organisée et transnationale. Si les enquêtes
européenne est d’aboutir à une solution avancent du fait d’une pratique pragma-
qui facilite le travail des enquêteurs et des tique qui attend toujours d’être rattrapée
magistrats européens dans les enquêtes par un cadre juridique international clair et
pénales où l’obtention de la preuve numé- efficace, cela peut se faire au détriment des
rique est souvent déterminante, tout en droits des personnes suspectées, alors
assurant aux citoyens le nécessaire respect que la société civile attend une réponse de
de leurs droits et la protection de leurs l’Union européenne qui soit à la hauteur
données. de l’enjeu de la protection des données
personnelles et des valeurs démocratiques
En l’état du droit, les praticiens français qu’elle veut porter. C’est entre ces deux

DROIT
écueils que l’Union européenne doit trouver AUTEURE

la réponse juridique adaptée. Elle n’a pas
d’autre choix, désormais, que de la trouver Emmanuelle Legrand est actuellement
magistrate de liaison française en Europe
afin de protéger les droits et les données du Sud Est. Elle a exercé précédemment
des citoyens de l’Union à la hauteur des des fonctions juridictionnelles au parquet
valeurs qu’elle porte. de Nanterre où elle a notamment
été référente cybercriminalité,
puis en qualité de juge d’instruction
Ainsi, à ceux qui s’interrogent sur l’uti- au pôle financier JIRS de Paris,
lité d’un accord UE-US, tandis que les puis à Nanterre, spécialisée
en matière économique et financière
propositions E-Evidence sont toujours en et en cybercriminalité.
discussion, une question mérite d’être Elle a également exercé au Bureau
posée : en l’absence d’un accord UE- de l’entraide pénale internationale
du ministère de la justice, ainsi qu’à
US protecteur des droits et principes de la Commission européenne, en qualité
l’Union, comment les entreprises françaises d’experte nationale détachée, où elle a
et européennes, dans un monde globalisé, travaillé sur les questions de coopération
judiciaire et de preuve numérique.
peuvent-elles protéger efficacement leurs Elle a notamment fait partie de la Task
données contre une application extensive, Force E-evidence, et participé aux travaux
unilatérale et incertaine du Cloud Act ? de la Commission européenne
en vue de l’ouverture de négociations
avec les Etats-Unis sur la preuve
numérique.
Elle intervient régulièrement à l’École

nationale de la magistrature en formation
initiale et continue, comme expert
en cybercriminalité pour le Conseil
de l’Europe, ou encore dans le cadre
de la formation des enquêteurs
spécialisés.
Elle est également titulaire d’un diplôme

d’université en Cybercriminalité obtenu
à l’Université de Montpellier 1, ainsi que
d’un LL.M. en droit américain obtenu
à la University of Texas School of Law.
Elle est également auditrice
de la 1ère session nationale
INHESJ-IHEDN sur la Souveraineté
numérique et la Cybersécurité,
et préside actuellement l’association
des auditeurs de la session nationale.

JURIDIQUE
© AI par metamorworks
UNE ÉCOSPHÈRE D’IA REGULÉE POUR CONCILIER
L’INNOVATION ET LA CONFIANCE
Les conditions sont réunies pour une évolution généralisée des techniques d’IA :
disponibilité et diversité des données, développement des offres et performance
des équipements informatiques. L’IA génère des inquiétudes quant
aux conséquences sociétales de son emploi dans toutes les activités
et sa supposée prépondérance dans la sphère décisionnelle.
Sa gouvernance juridique est considérée par certains auteurs comme impérative.
Faut-il encore en cerner le périmètre. Les domaines de la responsabilité,
de la propriété intellectuelle et de la protection de la vie privée méritent
l’exploration de nouvelles voies juridiques et éthiques pour accompagner
ou anticiper les effets de systèmes d’IA complexes et évolutifs.
Cependant, si l’IA est une activité concurrentielle et stratégique, la disparité
des régimes légaux régionaux ne préjuge pas d’une norme internationale
dans l’immédiat. Cependant, l’Europe dégage naturellement une vision éthique.
Un contrôle humain, le respect de la vie privée, la transparence,
la non-discrimination et la responsabilisation sous-tendent les recommandations
expresses de ses experts. Sur le plan international, L’OCDE milite pour la création
d’un écosystème d’AI de confiance et centré sur l’humain régulé par
des dispositifs éthiques et réglementaires. La confiance ne pourra résulter à terme
que de la construction d’une norme internationale qui, sans entraver l’innovation,
préserve les libertés individuelles.

DROIT
L’intelligence artificielle
centrée sur l’humain : droit ou éthique ?
Par Sabine Marcellin
L
Les progrès accomplis par l’intelligence
artificielle permettent à des machines
d’effectuer des tâches cognitives
qui étaient réservées aux humains
gence artificielle (IA), la définition de l’OCDE
d’un système d’IA est un système automati-
sé qui, pour un ensemble donné d’objectifs
définis par l’homme, est en mesure d’établir
par le passé. L’IA peut contribuer des prévisions, de formuler des recomman-
à renforcer la cybersécurité ou assister dations ou de prendre des décisions influant
les médecins dans l’élaboration de leur sur des environnements réels ou virtuels.
diagnostic. Les applications sociales de
l’IA sont sources de progrès mais aussi Aujourd’hui, les conditions sont réunies
de risques. Certains chercheurs, comme pour une évolution généralisée des tech-
Stephen Hawking, ont exprimé la crainte niques d’IA : disponibilité et diversité
que l’IA ne devienne une menace pour des données, développement des offres
l’humanité. Face à ces risques, de et performance des équipements
nombreux gouvernements et organi- informatiques.
sations ont entamé
(1) Un biais
des réflexions sur les algorithmique La maîtrise de l’IA
est le fait que le
principes de cadrage représente des enjeux
résultat produit par
de l’IA. Ces principes d’innovation et de
l’algorithme ne soit
pas neutre, loyal ou
prendront-ils la forme productivité. Entre
équitable. Cela peut
provenir du fait
de règles juridiques que les données fascination et inquiétude,
ou éthiques ? utilisées reflètentils s’accompagnent
des interprétations
SABINE
MARCELLIN et valeurs également des risques
existantes.
Parmi les nombreuses parmi lesquels la difficile
Avocat associé
DLGA conceptions de l’intelli- explicabilité des décisions, les effets des

DROIT
L’INTELLIGENCE ARTIFICIELLE CENTRÉE SUR L’HUMAIN : DROIT OU ÉTHIQUE ?
biais des algorithmes1, l’atteinte à la vie sabilité semblent pouvoir être exploités.
privée et la dépendance technique Les parties impliquées peuvent aménager
de quelques acteurs incontournables. les contours de leur responsabilité par
Les nombreuses études françaises un contrat. Cependant, ces conditions
et internationales sur le thème de l’IA contractuelles ne sont pas opposables,
évoquent également d’autres risques : en droit français, ni aux consommateurs ni
les accidents, la limitation des emplois, à un tiers qui subirait un dommage. Si un
l’automatisation de la prise de décision, robot piloté par une IA génère un préjudice,
le frein à la réflexion, la discrimination et le qui sera responsable ? La question de la
renforcement de la fracture technologique. détermination de la responsabilité sera
complexe, comme l’est celle de la chaîne
L’IA représente de tels enjeux et génère de responsabilité. Du concepteur du sys-
tant de transformations que sa gouver- tème jusqu’à son utilisateur, sans oublier
nance mérite d’être élaborée, alors que ceux qui vont maintenir et entraîner ce
des interrogations demeurent quant système apprenant, qui seront les acteurs
à la forme de cette gouvernance. Le droit responsables ?
actuel est-il suffisant et faut-il développer
des règles juridiques ou éthiques ? L’IA remet aussi en
(2) Ensemble de
règles opératoiresquestion les principes de
dont l’application
Le droit actuel peut-il s’appliquer à l’IA ? permet de résoudre
la propriété intellectuelle.
L’intelligence artificielle a des incidences un problème énoncéLa protection des
au moyen d’un
profondes et généralisées qui transforment composants de l’IA
nombre fini d’opéra-
tions. Un algorithme
les modes de travail. Comment peut être traduit,(logiciels, données et
en assurer un développement maîtrisé grâce à un langagealgorithmes2) est cruciale
de programmation,
sans freiner l’innovation ? Les règles en un programme pour permettre la protec-
exécutable par
juridiques actuelles peuvent-elles un ordinateur tion des investissements.
(Dictionnaire
s’y appliquer ? Il existe déjà des normes Larousse).
Les logiciels sont protégés
utiles pour réguler l’IA comme la gouver- par le droit d’auteur, à
nance responsable des entreprises condition de comporter une part d’originali-
et la gestion de la cybersécurité. té. Les données peuvent bénéficier de la
Cependant, des pans entiers du droit protection sui generis des bases de
classique sont remis en question par l’IA, données, à condition de prouver un
parmi lesquels la responsabilité, la proprié- investissement substantiel du producteur et
té intellectuelle et la protection de la vie d’être conformes au droit des données
privée. personnelles. Si les algorithmes ne sont
pas protégeables en tant que tels, leur
Les instruments classiques de la respon- mise en forme pourrait être protégée par le

DROIT
droit d’auteur quand ils sont intégrés à un

logiciel. Il faut préciser que les méthodes
mathématiques ne sont pas protégeables,
ni par le brevet ni par le
(3) Article L611-10 droit d’auteur3. La mise en
du Code de la pro-
priété intellectuelle. œuvre de ces protections
(4) Rapport peut se complexifier
« Donner un sens
à l’intelligence
quand le système d’IA
artificielle », sous la génère lui-même de
direction de Cédric
Villani, 8 mars 2018. nouvelles données. A qui
appartient l’ensemble
de données généré par une intelligence
artificielle ? Et si le système d’IA génère
une création artistique, qui est titulaire
de cette création ? Ici, l’IA défie les notions
juridiques traditionnelles d’originalité et
d’auteur. « Beaucoup de ces enjeux
soulevés par les algorithmes constituent
aujourd’hui un angle mort du droit » selon
© Marcellin
le rapport Villani4.
Pour protéger ces L’IA s’inscrit naturellement dans une sphère

(5) Loi du 30 juillet résultats, la protection éthique du fait de la protection des données,
2018 sur le secret du régime de la responsabilité et de son impact
des affaires. par la loi sur le secret algorithmique discriminatoire. La perception
(6) Loi pour une des affaires5 peut être variable de son périmètre juridique et la disparité
République
une solution mais les des approches tant scientifiques que politiques
numérique du 7 rendent nécessaire mais délicate l’émission
octobre 2016 et exigences de transpa- d’une norme internationale.
décret n° 2017-330
du 14 mars 2017 rence prévues par la
relatif aux droits des
personnes faisant protection des données et transparence des algorithmes, l’équilibre
l’objet de décisions personnelles peuvent se est à construire.
individuelles prises
sur le fondement heurter à ce mécanisme.
d’un traitement
algorithmique. De plus, la loi pour une Les règles de protection des données per-
République numérique6 sonnelles sont également mises à l’épreuve
prévoit que les codes sources des face au développement de l’IA. Le RGPD
algorithmes utilisés par l’administration et la « Loi Informatique et Libertés mo-
soient des documents communicables. difiée » encadrent l’usage des données
Entre protection de l’innovation personnelles et interdisent la prise de

DROIT
décision par la seule machine. La loi pour Comment encadrer ce courant d’innovation
une République numérique s’inscrit dans sans le brider ? Le débat sur la préémi-
la même logique que le RGPD, dès lors nence de l’éthique ou du droit
qu’elle renforce l’obligation faite à ceux pour encadrer l’IA est ouvert.
qui déploient des algorithmes d’en informer
les personnes concernées. En effet, face Rappelons que l’éthique est la science des
aux biais pouvant entraîner une discrimina- principes moraux qui interviennent dans
tion, comment exploiter l’IA tout en main- l’action humaine. A la différence du droit,
tenant l’impératif de protéger les libertés l’éthique n’impose pas de sanctions. La
individuelles, permettre un droit d’accès norme éthique, sans caractère obligatoire,
dans un système dont la complexité est néanmoins une préfiguration de la
peut échapper à la compréhension norme juridique. La réflexion philosophique
humaine et enfin appliquer le principe et morale peut inspirer l’élaboration
de normes à caractère obligatoire.
de transparence quand les systèmes
De plus, le caractère éthique influe
sont complexes et évolutifs ?
sur l’attrait des consommateurs pour
La question se pose de l’obligation
un produit ou service.
de normer par anticipation ou de prendre
le temps d’observer si la mise en œuvre
Quant au droit, c’est l’ensemble des dis-
opérationnelle de l’IA nécessite une évolu-
positions qui, à un moment et dans un État
tion des régimes actuels du droit ?
déterminés, règle le statut des personnes
et des biens, ainsi que les rapports que
La gouvernance de l’IA doit-elle
les personnes publiques ou privées
se structurer autour de règles juridiques
entretiennent. Le droit, de par son carac-
ou éthiques ? tère contraignant, pourrait-il freiner les
La confrontation des nouveaux usages travaux de recherche en IA ? Sachant
de l’IA aux règles juridiques classiques que les régimes juridiques varient entre
a ouvert un large débat et encouragé les les États et régions du monde, il est pos-
réflexions de différents organismes autour sible de penser que l’encadrement
de la normalisation de l’IA. Jamais juridique pourrait influer sur le développe-
un thème n’a autant suscité d’études ment de l’IA dans un État plutôt
et de discussions. Il est vrai que le carac- qu’un autre. Comme l’IA est une activité
tère disruptif de l’IA suscite de nombreux par nature internationale et concurren-
questionnements. Les systèmes cognitifs, tielle, une normalisation juridique mondiale
demain basés sur des neurones artificiels, semble utopique au regard des disparités
modifient la façon dont les organisations des régimes légaux régionaux. L’IA fait
innovent et fonctionnent. l’objet d’enseignements et de recherches

DROIT
dans de nombreux pays, et les technolo- l’éthique ? Cette question est au centre
gies qui en sont à la base y sont similaires. des réflexions de nombreuses institutions
Les algorithmes représentent un langage publiques en France, au plan européen
universel et les États veulent conserver et international. Quelles sont les réflexions
l’équilibre entre innovation et gouvernance. majeures ?
Cette préconisation de se garder d’une Les travaux français

contrainte juridique trop forte sur la Dès 2014, le Conseil d’État consacre son
recherche en IA, est présente dans étude annuelle au numérique et aux droits
différentes études. Par exemple, dans son fondamentaux. L’étude invite notamment
document de réflexion relatif à l’IA dans à « repenser les principes fondant la pro-
le secteur financier7, tection des droits fondamentaux ».
(7) ACPR,
« Intelligence l’ACPR8 indiquait, en
artificielle : enjeux
pour le secteur
2018 : « Il peut y avoir un Le Sénat publie, le 29 mars 2017,
financier », Docu- risque à édicter trop tôt un rapport intitulé « Pour une intelligence
ment de réflexion,
décembre 2018. des normes qui fassent artificielle maîtrisée, utile et démystifiée ».
(8) L’ACPR (Autorité
obstacle au développe- Les principes majeurs énoncés sont
de Contrôle Pruden- ment de certains usages de favoriser des algorithmes et des robots
tiel et de Résolution)
est chargée de la de l’IA dans le secteur sûrs, transparents et justes.
supervision des
secteurs bancaires financier. Inversement,
et d’assurance.
Elle veille à la
il apparaît toutefois Fruit d’un débat public animé par la CNIL,
préservation de la important que le dévelop- en décembre 2017, une publication explore
stabilité du système
financier et à la pro- pement de l’usage les promesses et les risques associés à
tection des clients.
de l’IA s’accompagne ces technologies. Les recommandations
d’une réflexion pratique de la CNIL sont de rendre les systèmes
sur les formes adaptées de leur gouver- compréhensibles en renforçant le droit
nance, au regard d’objectifs réglementaires existant, de promouvoir le design des al-
technologiquement neutres. » gorithmes au service de la liberté humaine,
de construire une plate-forme nationale
Par ailleurs, le temps du législateur d’audit et d’encourager le développement
n’est pas celui du chercheur en IA. de l’éthique.
Les normes envisagées doivent assez
souples pour s’adapter à une technologie Le 28 mars 2018, le Parlement propose
en rapide mutation. un autre rapport : « Une stratégie pour la
France en matière d’IA ». Selon Cédric
Pour accompagner l’IA en plein dévelop- Villani, son rapporteur : « La France doit ré-
pement, faut-il légiférer ou promouvoir affirmer sa souveraineté et définir un cadre
DROIT
de confiance pour l’utilisation de l’IA (AI HLEG) qui partage ses lignes direc-
au bénéfice de ses citoyens, en tenant trices sur l’éthique de l’IA. La Commission
compte du cadre européen. » Le rapport encourage notamment le contrôle humain,
formule diverses recommandations la sécurité et la robustesse, le respect
notamment celles de penser des droits de la vie privée, la transparence, la non-
collectifs sur les données et de promouvoir discrimination et l’équité ainsi que
une gouvernance spécifique de l’éthique la responsabilisation.
en IA.
Le Conseil de l’Europe
Pour le secteur de la banque (9) igh-Level Experta décidé de la création
Group on Artificial
et de l’assurance, l’ACPR publie en juin d’un Comité IA ad hoc9
Intelligence (CAHAI).
2020 un document de réflexion : pour examiner l’opportuni-
« Gouvernance des algorithmes d’intelli- té de développer des règles propres à l’IA,
gence artificielle dans le secteur financier au sein de ses 47 États membres.
». Sa rédaction, soumise au débat public, L’objectif de ce comité est d’« examiner
encourage à s’assurer de la fiabilité des la faisabilité et les éléments potentiels,
algorithmes et à définir une gouvernance sur la base de larges consultations
appropriée. multipartites, d’un cadre juridique pour
le développement, la conception
Les réflexions européennes et l’application de l’intelligence artificielle ».
Le Conseil européen propose,
le 3 décembre 2018, une Charte éthique Les initiatives internationales
sur l’utilisation de l’IA dans les systèmes Comme chaque rupture technologique, l’IA
judiciaires. aura des implications majeures sur le plan
international. Elle constitue
(10) Julien Nocetti,
Une résolution du Parlement européen « Intelligence déjà une zone de compé-
sur une Politique industrielle quant à l’IA artificielle et politique tition10, tout particulière-
internationale :
et la robotique est rendue publique les impacts d’une ment entre les États-Unis
rupture technolo-
le 12 février 2019. Le Parlement veut pro- gique », Études et la Chine. Et l’Europe
de l’Ifri, Ifri,
mouvoir un environnement réglementaire novembre 2019.
reste dans la course.
favorable au développement de l’IA
(11) Recomman-
et envisager avec précaution toute loi dation du Conseil L’OCDE a publié, en juin
sur l’intelligence
ou réglementation globale de l’IA. artificielle. 2019, une Recomman-
https://unesco.
delegfrance.org./
dation du Conseil sur
Le 8 avril 2019, c’est la Commission Intelligence-Arti- l’intelligence artificielle11,
ficielle-des-initia-
européenne, au travers de son groupe tives-et-normes- à l’occasion du sommet
international-3405
d’experts en intelligence artificielle d’Osaka. Il s’agit de la

DROIT
première norme intergouvernementale -e

t favoriser la coopération internationale
sur l’IA. au service d’une IA digne de confiance.
Son objectif est de stimuler l’innovation L’OCDE publiera ensuite en juillet 2020,
et de renforcer la confiance dans l’IA un rapport « Examples of AI National
en promouvant une approche responsable. (12) Examples of
Policies »12 qui présente
La Recommandation indique que : « si elle AI National Policies, l’état des travaux dans
Report for the G20
présente des avantages, l’IA ne va pas Digital Economy une vingtaine de pays,
Task Force, July
sans poser aux sociétés et aux économies 2020.
dont la France. La plupart
un certain nombre de défis, notamment des politiques nationales
en termes de mutations économiques sont récentes, avec pour volonté de
et d’inégalités, de concurrence, construire un écosystème d’AI de
de transitions sur les marchés du travail confiance et centré sur l’humain. Certaines
et de conséquences sur la démocratie questions reviennent régulièrement sur les
et les droits de l’homme. » thèmes d’accès aux données et d’écosys-
tème de l’IA. L’OCDE relève que peu
Le texte de cette recommandation énonce de politiques semblent mettre l’accent
cinq principes majeurs : une croissance sur les principes de robustesse, de sécurité
inclusive, des valeurs centrées et de responsabilité. L’OCDE encourage
sur l’humain, l’explicabilité, la robustesse l’innovation en IA tout en exigeant
et la responsabilité. Ces principes des garanties de protection des droits
s’accompagnent de recommandations humains, par des dispositifs éthiques
pour une IA digne de confiance, à savoir : ou réglementaires.
(13) Organisation
- investir dans la recherche des Nations Unies
De par sa dimension
et le développement en matière d’IA, internationale, l’UNESCO13
pour l’éducation, la
science et la culture.
affiche également
- favoriser l’instauration d’un écosystème son ambition de définir les principes
numérique pour l’IA, éthiques fondamentaux qui encadreront
les développements de l’IA. Dans le cadre
- façonner un cadre d’action favorable d’une conférence, « Principes pour l’IA :
à l’IA, vers une approche humaniste ? »
organisée à Paris le 4 mars 2019, Audrey
- renforcer les capacités humaines Azoulay, directrice générale de l’institution,
et préparer la transformation du monde prend position : « Il est certainement
du travail, prématuré de vouloir réglementer l’IA
au niveau mondial, mais il est plus que
DROIT
temps de définir un socle de principes

éthiques qui encadreraient cette
disruption ». L’Unesco annonce être prête
à élaborer des règles éthiques sur l’IA
et deux réunions intergouvernementales
sont prévues en 2021 pour finaliser le texte
de cet instrument normatif.
Aujourd’hui, la gouvernance de l’IA

est à un stade expérimental mais actif
dans de nombreux pays. Au cœur
des discussions politiques internationales,
cette gouvernance se construit essentielle-
ment autour de dispositifs éthiques.
AUTEURE
Sabine Marcellin est avocat associé
au sein du cabinet DLGA, en charge
du droit de la cybersécurité
et du numérique.
Elle est lieutenant-colonel (RC)
dans la Réserve de Cyberdéfense
de la Gendarmerie et chargée de cours
à HEC.

DIRECTEUR DE LA PUBLICATION
Général de brigade Laurent BITOUZET
RÉDACTION
Directeur de la rédaction :
Général d’armée (2S) Marc WATIN-AUGOUARD,
directeur du centre de recherche de l’EOGN
RÉDACTEUR EN CHEF
Colonel (ER) Philippe DURAND
MAQUETTISTE PAO
Maréchal des logis-chef Anne PELLETIER
SDG
COMITÉ DE RÉDACTION
• Général de corps d’armée Bruno JOCKERS,
major général de la Gendarmerie nationale
• Général de corps d’armée Thibault MORTEROL,
Commandant des écoles de la Gendarmerie nationale
• Général de brigade Laurent BITOUZET,
Conseiller communication du directeur général
de la Gendarmerie nationale - chef du Sirpa-gendarmerie
COMITÉ DE LECTURE
• Général de corps d’armée Alain PIDOUX,
Inspecteur général des armées – gendarmerie
• Général de corps d’armée Bruno JOCKERS,
Major général de la Gendarmerie nationale
• Général de corps d’armée Thibault MORTEROL,
Commandant des écoles de la Gendarmerie nationale
• Général de corps d’armée François GIERÉ,
Directeur des opérations et de l’emploi
• Général de brigade Laurent BITOUZET,
Conseiller communication du directeur général
de la Gendarmerie nationale - chef du Sirpa-gendarmerie
• Colonel Laurent VIDAL,
délégué au patrimoine – DGGN
• Lieutenant-colonel Édouard EBEL,
département gendarmerie au sein
du service historique de la Défense
DÉPOT LÉGAL
Raison sociale de l’éditeur :
CREOGN, avenue du 13e Dragons,
77010 Melun cedex
Général (2S) Watin-Augouard
Imprimerie : SDG - 11 rue Paul Claudel
87000 Limoges
Janvier 2021
101001111010110000001100101111
010 NOUVELLE SESSION NATIONALE 101
111101001010111110100111101000
110000000011010000100111000100
100111101110101001001000101010
010000100011010110010111110010
100011111010011011100100000000
0001000101010000100110101010110
M AJ E U R E 0 1 0 0 0 1 0 1 0 0 1 0 0 1 1 1 1 1 1 0
SOUVERAINETE NUMERIQUE
& CYBERSECURITE1011010001
100101011000110011011101101000
101001111010110000001100101111
010000000100111110100011011101
111101001010111110100111101000
110000000011010000100111000100
100111101110101001001000101010
010000100011010110010111110010
100011110010011011100100000000
001010010101011101100000100110
Période de formation septembre 2021 à juin 2022

NOUS CONTACTER
Pour toutes questions relatives au contenu de la majeure
sncyber@ihedn.fr
Pour toutes questions relatives au processus de recrutement
01 44 42 47 06 – recrutement.auditeurs@ihedn.fr – www.ihedn.fr

RGN 268 Fic Web

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

RGN 268 Fic Web

Transféré par

Droits d'auteur :

Formats disponibles

INTERNATIONAL > TERRITOIRE > JURIDIQUE > Le US CLOUD-ACT

La coopération technologique cybermalveillance.gouv.fr : vu de la France : craintes légitimes

Pour une cybersécurité

Pour une cybersécurité coopérative

1er trimestre 2021 Revue de la Gendarmerie Nationale 1

TERRITOIRES ET DÉMARCHE COLLABORATIVE

2 Revue de la Gendarmerie Nationale 1er trimestre 2021

Hygiène des organisations

SOC et IOC au travers de la Threat Blockchain, au service de la sécurité 137

Cybermenaces : la transition numérique

1er trimestre 2021 Revue de la Gendarmerie Nationale 3

© mixmagic - EU GDPR data bits and bytes wave ripples

Cet article de chercheur esquisse les horizons de la construction d’une cybersécu-

4 Revue de la Gendarmerie Nationale 1er trimestre 2021

de dégager trois grilles de lecture dis- La deuxième lecture correspond à une

1er trimestre 2021 Revue de la Gendarmerie Nationale 5

L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION

6 Revue de la Gendarmerie Nationale 1er trimestre 2021

L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION

de l’Assemblée nationale secteurs critiques, il souligne que l’identifi-

1er trimestre 2021 Revue de la Gendarmerie Nationale 7

L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION

perspective d’une sécurité de nature Tous ces réseaux constituent

© Master 1305 - Adobe stock

8 Revue de la Gendarmerie Nationale 1er trimestre 2021

L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION

1er trimestre 2021 Revue de la Gendarmerie Nationale 9

L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION

C’est le cas d’Europol et de l’ENISA, l’intégration, même si sa structuration ne

peut enfin être analysée sous le prisme de cybersécurité comme une

10 Revue de la Gendarmerie Nationale 1er trimestre 2021

L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION

1er trimestre 2021 Revue de la Gendarmerie Nationale 11

L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION

analyses criminelles. Ce renforcement Cette convergence de vues se combine

12 Revue de la Gendarmerie Nationale 1er trimestre 2021

L’EUROPE DE LA CYBERSÉCURITÉ AU PRISME DE LA SOUVERAINETÉ, DES FLUX ET DE L’INTÉGRATION

© Par beebright pour AdobeStock

1er trimestre 2021 Revue de la Gendarmerie Nationale 13

L’évolution des menaces numériques et le chiffrement généralisé des données

14 Revue de la Gendarmerie Nationale 1er trimestre 2021

Les criminels suivent de très près l’évo- organisés et à la cybermenace, les

1er trimestre 2021 Revue de la Gendarmerie Nationale 15

récentes et immédiatement dépendantes

Les grandes organisations

16 Revue de la Gendarmerie Nationale 1er trimestre 2021

1er trimestre 2021 Revue de la Gendarmerie Nationale 17

leurs moyens techniques et humains no (USA) en 2015, l’histoire retiendra

et en décidant de scolarités alternatives et des invitations aux évènements

1er trimestre 2021 Revue de la Gendarmerie Nationale 19

répression se retrouve à deux niveaux des résultats obtenus, en avril 2020,

Début 2019, le projet de recherche euro-

20 Revue de la Gendarmerie Nationale 1er trimestre 2021

1er trimestre 2021 Revue de la Gendarmerie Nationale 21

Les autorités européennes et françaises ont perçu l’importance stratégique

22 Revue de la Gendarmerie Nationale 1er trimestre 2021

1er trimestre 2021 Revue de la Gendarmerie Nationale 23

UNE SOUVERAINETÉ DES ÉCOSYSTÈMES NUMÉRIQUES PAR LA VOIE DE L’IDENTITÉ

de confiance au service des personnes Enfin le troisième enjeu est celui de la

24 Revue de la Gendarmerie Nationale 1er trimestre 2021

UNE SOUVERAINETÉ DES ÉCOSYSTÈMES NUMÉRIQUES PAR LA VOIE DE L’IDENTITÉ

aussi dans des environnements permettant d’attribuer à l’identité

1er trimestre 2021 Revue de la Gendarmerie Nationale 25

SOC et IOC au travers de la Threat Blockchain, au service de la sécurité 137