Académique Documents
Professionnel Documents
Culture Documents
REVUE
de la gendarmerie nationale
REVUE TRIMESTRIELLE / JANVIER 2021 / N° 268 / PRIX 6 EUROS
© SIRPA-Gendarmerie
LA GESTION DE L’ORDRE PUBLIC
L’ordre public consiste en un équilibre subtil entre la liberté de manifester et les libertés concurrentes
de circuler, de travailler, etc. L’État est le garant de cet équilibre. La force publique en France
n’est pas tyrannique. Sa mise en œuvre est auto-contrainte par l’État lui-même, de manière libérale,
au nom des libertés publiques.
RETROUVEZ À PARTIR
DE LA PAGE 177,
UNE ÉTUDE QUI
MONTRE QUE
LA LOI PEUT ÊTRE
UN INSTRUMENT DE
LA SOUVERAINETÉ
NUMÉRIQUE
EUROPÉENNE ET UN
LEVIER DE RÉGULA-
© Scott Maxwell-AdobeStock
TION ÉCONOMIQUE
DE PRATIQUES
MONOPOLISTIQUES
ABUSIVES ET
D’ATTEINTES AU
DROIT DU TRAVAIL.
EN CELA, ELLE EST
UN FACTEUR
DE DIVISION OU DE
COLLABORATION
POUR LA CYBERSÉ-
CURITÉ EUROPÉENNE
ET MONDIALE.
AVANT-PROPOS
NUMÉRO 268
NUMÉRO 268
EUROPE INTERNATIONAL
L’Europe de la cybersécurité au prisme de la souveraineté des flux
et de l’intégration 4
par Pierre Berthelet
Coopération Technologique Internationale : la nouvelle arme de la gendarmerie
scientifique et des cyber-gendarmes 14
par Thibaut Heckmann
Une souveraineté des écosystèmes numériques par la voie de l’identité 22
par Guy de Felcourt et André Viau
DOSSIER
Hygiène des organisations et des systèmes 70
APPROCHE JUDICIAIRE
La loi : facteur de division ou de collaboration pour la cybersécurité
européenne et mondiale 176
par Cécile Doutriaux
Le US CLOUD-ACT vu de France : craintes légitimes ou peurs inutiles ? 198
par Emmanuelle Legrand
La règlementation de l’intelligence artificielle 210
par Sabine Marcellin
L’Europe de la cybersécurité
au prisme de la souveraineté, des flux
et de l’intégration
Par Pierre Berthelet
L’
L’objectif de cet article est de présenter
une lecture conceptuelle de la cybersé-
curité européenne voulue comme « col-
lective et collaborative ». Il est possible
un accord en vertu duquel ils considèrent
que la sécurité de l’un d’entre eux est
l’affaire de tous.
(1) Hoffmann, S., Elle insiste sur leur poids en matière opérationnelle, il est possible
« Obstinate or
Obsolete? The Fate
dans ce processus d’évoquer le protocole de lutte contre les
of the Nation-State et souligne les obstacles menaces hybrides de 2016 (EU Playbook).
and the Case of
Western Europe », à l’intégration européenne Cet outil s’inscrit dans une logique
Daedalus, vol. 95,
n° 3, 1966, inhérents à la souveraine- intergouvernementale, une telle action
p. 862-915. té de chacun d’eux1. s’opérant à ce sujet en liaison avec
d’autres organisations internationales,
Une telle théorie, qui met en évidence en premier lieu l’OTAN. Il complète ainsi
l’importance pour les États de coopérer, d’autres structures telles que la cellule
s’applique à la cybersécurité européenne. de fusion de l’Union européenne contre les
La coopération européenne menée menaces hybrides et qui constitue le point
en matière de cybersécurité n’interdit focal pour l’évaluation de telles menaces.
pas des avancées dans la construction
européenne, bien au contraire. C’est le Les États rythment donc une collaboration
cas d’une plateforme en ligne restreinte qui rencontre un ensemble de limites.
entre la Commission et le Service euro- L’une d’entre elles a trait à la mise
péen pour l’action extérieure recensant les en œuvre effective de la législation
outils employés pour contrer les menaces en matière de cybercriminalité. L’Union
hybrides. C’est aussi celui du projet d’une s’est dotée d’un arsenal législatif consé-
unité conjointe de cybersécurité visant à quent mais le droit reste mal appliqué.
permettre une coordination opérationnelle (2) Saurugger, S., Il ressort de certaines ana-
F. Terpan.
englobant un mécanisme d’assistance « Resisting ‘New
lyses juridiques que cette
mutuelle en période de crise. Modes of Gover- réticence n’est pas une
nance’ through
Policy Instruments anormalité de l’exécution
», Comparative
La coopération opérationnelle se trouve European Politics, du droit, mais au contraire
au cœur de cette coordination qui se veut vol. 14, n° 1, 2016, une des conséquences
p. 53–70.
structurée. Ainsi, les États consentent directes du poids des
à l’élaboration d’un socle commun de États sur la mise en œuvre des normes
règles communes en matière de cyber- juridiques2.
sécurité pour les institutions et organes
de l’Union. Il s’agit de favoriser l’échange Une autre limite concerne l’élaboration par
sécurisé d’informations des infrastruc- l’Union de capacités propres. Ainsi en est-il
tures numériques de ces institutions et de l’Agence européenne de cybersécurité
organes de l’UE à partir d’une coopération (ENISA), qui ne constitue pas une agence
opérationnelle articulée autour de l’équipe disposant des capacités opérationnelles
d’intervention en cas d’urgence informa- similaires à celles des États membres,
tique (CERT UE). Parmi d’autres avancées telles que l’ANSSI en France. Un rapport
La voie de programmes mobilisant des acteurs multidisciplinaires et provenant tant des puissances
étatiques que des groupes privés permet de fait la production d’une norme qui s’impose aux tenants
de thèses souverainistes.
Ces outils, fondés sur des dispositifs Dans le cadre de ce programme pour la
contraignants, promeuvent une approche recherche et l’innovation, les collaborations
horizontale visant à mettre en réseau des se forgent par l’encouragement et la
acteurs existants ; le but est de faciliter stimulation.
certains flux, en l’occurrence des données.
En effet, la cybersécurité européenne est
Le système d’alerte rapide de l’UE en vue comme une réponse collective et
matière de cybercriminalité est un exemple. plurielle impliquant toutes les composantes
Élaboré conjointement entre Europol de la société. Autrement dit, les procédés
et l’ENISA, il vise à permette une meilleure d’identification des menaces, autant que
circulation de l’information en cas d’aggra- ceux qui concernent la résilience et la
vation de la cybercriminalité, vue elle-même réaction, requièrent une action coordon-
comme un phénomène fluctuant, qu’il née et des acteurs diversifiés : institutions
importe de mesurer et d’endiguer. et agences de l’Union, États membres,
entreprises, milieux universitaires, associa-
Les programmes financiers européens tions et particuliers. Le futur plan d’action
constituent un levier de l’action publique en matière d’éducation numérique prévoit
de l’Union destiné à promouvoir la collabo- à cet égard, une série mesures destinées
ration d’acteurs pluriels (parties prenantes à renforcer les compétences informatiques
ou « stakeholders ») à l’élaboration des citoyens. Or, cet effort de formation
d’une cybersécurité européenne. s’appuie sur les divers niveaux d’action :
Ces programmes favorisent, au moyen institutions européennes, États membres
de la subvention publique, cet effet et société civile, en particulier le milieu
d’imbrication des différents niveaux associatif impliqué dans la sensibilisation
de prise de décision et associent de certaines catégories de la population
(8) Berthelet, P., étroitement les secteurs (enfants, demandeurs d’emploi, personnes
« La coopération privé et public. Ils ren- âgées, etc.).
public-privé
à l’échelle de l’UE. forcent les collaborations
L’émergence d’un (9) Coen, D., That-
«Etat régulateur» transnationales en dehors Les différentes structures
cher, M., « Network
européen en matière governance and
de cybersécurité »,
des canaux classiques de multi-level dele-et agences européennes
note du Centre coopération8. Le partena- gation: European sont donc impliquées
de recherche networks of regu-
de l’Ecole nationale riat public-privé européen dans le contexte de cette
latory agencies »,
de la Gendarmerie Journal of Public
(CREOGN), note sur la cybersécurité, lancé action coordonnée et
Policy, vol. 28, n° 1,
avril 2008, p. 49-71.
n° 29, décembre en 2016, sur la base multi-acteurs. Cependant,
2017.
des financements dans cette perspective multiniveaux, elles
du programme Horizon 2020, constituent des systèmes non-hiérar-
est une illustration de cet entrelacement. chiques de négociation et de régulation9.
annexe des politiques déjà en place, mais économiques. C’est le cas de la proposi-
comme une politique en soi. C’est ce tion de règlement relative à la prévention
qu’elle a fait en 2013 avec l’élaboration de la diffusion en ligne de contenus à
d’un agenda spécialisé. Force est de caractère terroriste qui impose un cadre
constater que par effet de « petit pas » mis contraignant à l’égard des opérateurs
en évidence par les privés.
(13) Kasper; A.;
Vernygora, V. A., analyses néofonctionna-
« Towards a ‘Cyber
Maastricht’: Two listes, l’Union développe Cela étant dit, il est inexact de réduire
Steps Forward, et structure son action l’Europe de la cybersécurité à sa seule
One Step Back »,
in Harwood, M., dans ce domaine13. En dimension normative. La construction
Moncada, S., Pace,
R. (dir.). The Future particulier, un rapport de la européenne porte également sur l’élabora-
of the European
Union: Demisting
Commission européenne, tion de capacités spécifiques, incarnation
the Debate, 2020, de 2017, révèle que la d’une méthode communautaire renouvelée.
p. 186−210.
directive dite « cyberat- À cet égard, l’Union se dote de capacités
taques », adoptée au moyen de la méthode de plus en plus conséquentes en matière
communautaire, a contribué à accomplir de lutte contre les cyberrisques et les
des progrès substantiels en matière de cybermenaces. De prime abord, la création
criminalisation des cyberattaques, à un de celles-ci s’opère à côté et en complé-
niveau comparable dans tous les États ment des capacités étatiques.
membres. L’élaboration d’un socle Pour autant, il est possible de considérer
commun de normes contraignantes, que ces capacités ne se limitent pas
adopté dans un contexte de prise de à des outils européens à la disposition
décision européenne qui ne relève pas, ou des acteurs nationaux.
plus, de la méthode intergouvernementale,
est l’illustration de cet effacement progres- (14) European
Ainsi, Europol se dote
sif des souverainetés. center crime depuis les années 2000
ou centre européen
de lutte contre lade structures dans ce
cybercriminalité.
La nouvelle stratégie, destinée à remplacer https://www. domaine, notamment
celle de 2017, va être adoptée dans les europol.europa. l’EC314 qui est l’unité
eu/about-europol/
mois à venir. Elle marque un nouveau stade european-cyber- anti-cybercriminalité ou
crime-centre-ec3
de cette Europe de la cybersécurité norma- plus récemment la
tive. La sédimentation des textes juridiques plateforme dite « NAI » visant notamment à
européens contribue à piéger les souve- aider les États membres, les agences
rainetés nationales, en créant progressive- européennes et les réseaux de profession-
ment un cadre de plus en plus élaboré nels, à partager les connaissances entre
et en limitant les marges de manœuvre les services répressifs dans l’ensemble de
des États membres et des acteurs l’UE sur les manières d’effectuer des
© Fotolia_123882025
LA COOPÉRATION INTERNATIONALE POUR ANTICIPER
L’ÉVOLUTION DE LA CYBERCRIMINALITÉ
Coopération Technologique
Internationale (CTI): la nouvelle arme
de la gendarmerie scientifique
et des cyber-gendarmes
L
Par Thibaut Heckman
© Interpol
lors du premier Congrès de police judiciaire
internationale, qui s’est tenu du 14 au 20
avril 1914 à Monaco, et dont les confé- Affiche du Congrès de police judiciaire
international de 1914.
rences portaient notamment sur la
nécessité de réaliser des échanges
techniques en identification humaine difficultés techniques posées par la
(section sur l’anthropométrie préventive généralisation du chiffrement des données
internationale des conscrits dirigée par le dans les affaires criminelles, les forces de
célèbre policier français Alphonse Bertillon). police européennes avaient besoin d’une
force de frappe spécialisée afin de densifier
Interpol est forte aujourd’hui de 194 États les échanges techniques et les mutualisa-
membres. Chaque pays membre dispose tions de moyens matériels. C’est ainsi
d’un bureau central national, véritable qu’en 2013 a été créé le Centre européen
point d’entrée des demandes de coopé- de lutte contre la cybercriminalité (Euro-
ration policière, judiciaire et technique. La pean Cyber Crime Centre – EC32)
coopération scientifique entre forces de dirigé par EUROPOL sous
(2) Commission
police étrangères fait d’Interpol le véritable Européenne l’égide de l’Union Euro-
IP/12/37
précurseur de la CTI des forces de l’ordre. et MEMO/12/221,
péenne, dans le but de
Mais devant la montée croissante des Brussels, 28 Mars lutter plus efficacement
2012.
nouvelles menaces numériques et les contre la cybercriminalité.
L’EC3 soutient techniquement les services création des bureaux mobiles d’Europol
de police dans la lutte contre la criminalité dans le cadre d’opérations majeures et
organisée. Dans ce sens, plusieurs leviers enfin la création des journées d’actions
ont été mis en place par Europol pour communes (Joint Action Days).
contrer le crime numérique : une plate- Du point du vue de la criminalistique, la
forme multidisciplinaire européenne contre coopération européenne a été facilitée
les menaces criminelles via les pro- par la création en 1995 de l’ENFSI
grammes quadriennaux EMPACT (Euro- (European Network of Forensic Science
pean Multidisciplinary Platform Against Institutes3) qui regroupe
(3) Founding
Criminal Threats) véritables facilitateurs des Meeting on October les laboratoires de police
20, 1995 in Rijswijk
coopérations techniques en matière de (The Hague).
technique et scientifique
cybermenaces ; la création d’un groupe de de l’UE. Dix-sept groupes
travail conjoint d’action contre la cybercri- de travail ont été instaurés permettant aux
minalité (Joint Cybercrime Action Taskforce) experts internationaux d’échanger leurs
pour aider les enquêteurs nationaux; la résultats mais également de mutualiser
Le projet CEBERUS, co-financé par le Fond de Sécurité Intérieure de la Commission Européenne, a pour
principal objectif la mise au clair de la donnée dans un contexte de lutte contre la criminalité organisée.
L’IRCGN (France) est porteur du projet, avec pour partenaires le NFI (Pays-Bas) et l’Irlande (UCD Dublin).
L’AUTEUR
Le capitaine Thibaut Heckmann est docteur
en mathématiques de l’École normale
supérieure de Paris et chercheur associé
à l’ENS depuis 2018. Ancien chercheur
associé à l’université de Londres
et à l’université de Cambridge, en 2017
et 2018, il a rejoint le CREOGN en août 2020.
Il a été de 2015 à 2020 expert à l’IRCGN
et a notamment dirigé l’unité d’expertise
extraction des données. Il a obtenu en 2018
le prix Européen Emerging Forencic Scientist
Award 2018-2021 de l’académie européenne
de police technique et scientifique (ENFSI)
et le Trophée de cybersécurité du Cercle K2
en 2020. Il est membre du comité
d’organisation de nombreuses conférences
internationales et projets européens.
© rolffimages - Fotolia
UN ÉCOSYSTÈME DE L’IDENTITÉ NUMÉRIQUE À CONSTRUIRE
Une souveraineté
des écosystèmes numériques
par la voie de l’identité
Par Guy de Felcourt
A
A l’heure où nous vivons toujours
plus connectés à des plateformes logi-
cielles, les initiatives se multiplient pour
promouvoir des identités pivots
gouvernance des écosystèmes d’iden-
tités, avec comme enjeu les exercices
de souveraineté notamment en matière
juridique, financière et fiscale.
de vastes écosystèmes conciliant
ergonomie, sécurité, et interopérabilité. Dans l’histoire du numérique, il y aura sans
Les enjeux portent sur la réalisation de doute un avant et un après Coronavirus,
la société et l’intégration de l’économie tant la crise sanitaire a eu pour effet une
dans une dimension numérique perva- accélération de l’utilisation des plateformes
sive, mais aussi de savoir quelle sera numériques pour le travail et la vie
la souveraineté des États et de l’Union en société. Des milliards de personnes
Européenne sur les territoires numé- dans le monde ont dû changer leurs habi-
riques qui se dessinent ? Alors que tudes et vivre plus intensément leurs vies
les vingt premières économiques, professionnelles (avec
années du siècle le télétravail) et sociales à travers les inter-
ont vu des débats faces numériques. Nous pouvons même
animés sur la ques- affirmer que pour beaucoup l’écosystème
tion de l’émission numérique est devenu le principal visage
des identités numé- de la société et de l’économie.
riques régaliennes,
GUY DE FELCOURT les vingt prochaines Dans ce contexte, les autorités euro-
Consultant promettent d’être péennes et françaises ont semble-t-il perçu
spécialisé davantage centrées l’importance de renforcer leurs stratégies
Co-fondateurs
de l’ID Forum sur la question de la de mise en place d’identités numériques
numériques par l’État Français dotées d’un des conditions sanitaires « obligé de vivre
niveau de confiance substantiel ou élevé va en ligne ». Lorsqu’un professeur d’école
tout juste commencer en 2021 avec la se plaint de messages perturbant les cours
nouvelle CNIE et/ou d’autres solutions en ligne émis sous des pseudonymes dont
(2) Alicem est
(Alicem2,..), c’est-à-dire on ne sait quel élève (ou si même s’il a
une application avec une vingtaine la qualité d’élève), ce n’est qu’un des
pour smartphone
développée par le d’années de retard sur les nombreux faits révélateurs du besoin
ministère
de l’Intérieur
premiers pays européens d’identité numérique afin de reproduire
et l’Agence comme la Finlande, la en ligne les conditions de protection
nationale des titres
sécurisés (ANTS) Belgique ou l’Estonie. de l’enfance promus dans une classe
qui permet à tout
particulier, qui avec des murs et une porte.
Il est vrai que pendant de
décide de l’utiliser,
de prouver son
nombreuses années la
identité sur Internet La gouvernance d’un écosystème
de manière
culture dominante a fait
sécurisée, à l’aide d’identités numériques
de son smartphone
de l’identité dans notre
et de son passeport
Nos identités numériques ont encore
ou de son titre pays non pas une valeur des progrès à faire pour nous permettre
de séjour.
positive d’insertion éco- des relations plus harmonieuses et respon-
nomique et sociale et d’accès aux droits, sables. La qualité de l’écosystème d’iden-
comme elle est présentée par les Nations tités numériques en termes d’ergonomie,
Unies, mais au contraire un instrument de d’interopérabilité et de sécurité
la vision post 68 d’une logique du « surveil- en représente une dimension fondamen-
ler et punir ». Dans un paradoxe comme tale. Si la discussion sur l’Etat émetteur
notre pays les aime, l’État « devait » faire d’identités numériques semble avoir baissé
mais « ne pouvait pas » faire. d’intensité, cela est une bonne chose afin
de pouvoir aborder une question bien plus
Cette situation est désormais derrière nous, critique à l’heure où l’intermédiation
car outre les garanties des grandes par l’identité devient un enjeu global,
(3) https://www.ssi.
législations européennes cette question est celle de l’organisation
gouv.fr/entreprise/ sur l’interopérabilité de l’écosystème des identités numériques,
reglementation/
confiance-numerique et la vie privée de son infrastructure et de sa gouvernance.
/le-reglement-eidas/
(Règlements eIDAS3
(4) https://www. (2014) et RGPD4(2018)) L’enjeu est important et vise à transformer
ssi.gouv.fr/
administration/ plus personne aujourd’hui progressivement les accès aux comptes
reglementation/rgpd-
renforcer-la-securite- ne peut contester et les connexions propriétaires des services
des-donnees-a- et plateformes logicielles ainsi que
caractere-personnel/
le besoin d’identités
numériques de confiance les échanges sur les attributs d’identité
alors que le monde entier est pour et les conditions de leurs validations.
Sur les dix dernières années, le temps Nous pouvons crier à l’injustice juridique
moyen d’exposition aux écrans n’a cessé et fiscale du numérique et tenter
de progresser. En 2020 pendant les mois de réclamer aux États-Unis et à la Chine
du confinement, il a explosé atteignant la promulgation de nouvelles règles.
selon les sources entre 9h et 13 heures Cependant, nous serions sans doute bien
par jour. Télétravail, relations sociales inspirés aussi d’agir en construisant
et loisirs numériques ont tous contribué un écosystème d’identités numériques
à ce changement. Même si nous avons qui permettra de porter demain les règles
rééquilibré cette tendance depuis, juridiques et fiscales vers un territoire
nous sommes devenus de fait des citoyens numérique national et d’apporter
numériques. une effectivité plus forte à nos règles
de droit et de fiscalité.
Une souveraineté à construire
sur des « territoires numériques » Cela est-il possible ? En commençant
Un écosystème d’identités peut permettre notre révolution culturelle pour percevoir
de structurer en cohérence les approches que notre territoire n’est plus seulement
de demain pour la santé, la monnaie physique. Le territoire sent d’ailleurs de
numérique, le droit exerçable dans moins en moins le « terroir » aussi regret-
les relations des parties qui l’utilisent. table que ce soit. Jean Bodin, au XVIe
On peut estimer raisonnablement siècle, puis l’époque Westphalienne avaient
que grâce à lui, il existe la possibilité déjà privilégié une approche juridictionnelle
d’une nouvelle territorialité numérique. de la souveraineté.
D’ailleurs cela tend à se manifester déjà
aujourd’hui sous de nombreuses formes.
Par exemple, quand le gouvernement
britannique défend la prééminence
du serveur et du réseau dans une affaire
judiciaire , il ne fait que reconnaitre l’exis-
tence et la prééminence de cette nouvelle
forme de territorialité numérique. Il en est
de même pour plusieurs des pratiques
internationales souvent qualifiées
d’extraterritoriales et qui en fait prennent en
compte de nouveaux faits de rattachement
des personnes à des territoires nationaux
numériques et financiers mais non géogra-
phiques.
Photo libre de droit : La signature du traité de Munster en 1648 par le peintre néerlandais
Gerard ter Borch (Rijks Museum Amsterdam).
La paix de Westphalie marque la consécration de la souveraineté des nations. Près de 400 ans plus tard
les nations européennes arriveront elles à organiser leur « territoire numérique » et à y asseoir
leur souveraineté ?
L’AUTEUR ID-FORUM
Après une carrière dans la monétique Premier évènement en France consacré
et les services d’assistance, Guy de Felcourt spécifiquement au développement
est devenu depuis 2015 consultant de l’identité numérique, il réunit les acteurs
spécialisé sur les questions de société privés et publics afin de débattre les enjeux
et d’identité numérique. Il intervient politiques, stratégiques, économiques
sur la conception et la stratégie des et opérationnels de l’identité numérique
programmes d’identités tant pour des en Europe et en France.
gouvernements que des entreprises. Plus d’informations sur https://id-forum.eu/
Il est un des co-fondateurs de l’ID Forum
aux côtés du Général d’armées (2S)
Watin-Augouard et du Préfet André Viau.
Il est l’auteur d’un livre sur l’usurpation
d’identité (CNRS) et enseigne l’identité
numérique dans certaines universités.
© ACYMA
UNE DÉMARCHE COLLABORATIVE AU PROFIT DES VICTIMES
Cybermalveillance.gouv.fr :
au cœur de la cybersécurité collective
et collaborative
Par Jérôme Notin
L
Lancé en octobre 2017, le dispositif
national d’assistance aux victimes
cybermalveillance.gouv.fr, piloté
par le Groupement d’Intérêt Public
numériques, fournisseurs de solutions ».
© ACYMA
© Acyma – Gendarmerie
C’est en partant de ce constat, issu des travaux
conduits avec ses membres, que le dispositif
a réalisé en 2018 le premier volet de son kit de
sensibilisation, le plus facile d’accès possible.
© ACYMA
tant pour les particuliers que pour les pro-
fessionnels. Force a été malheureusement
de constater que nos prévisions se sont
avérées exactes. Cet article a d’ailleurs
battu un record de consultation sur notre tenariat avec l’AFNOR et les associations
site en quelques semaines. professionnelles vise à apporter un niveau
de reconnaissance des compétences des
Dans les premiers jours du confinement, prestataires spécialisées en cybersécurité.
une autre production majeure a été diffusée
sur le télétravail en situation de crise Le GIP a également conçu une campagne
proposant des recommandations de cyber- télévisée de spots de sensibilisation grand
sécurité pour répondre au besoin tant des public, réalisée en partenariat avec France
employeurs que de leurs collaborateurs. Télévisions et diffusée en mai et juin sur ses
chaînes ainsi que sur celles des groupes
La plate-forme a ainsi fonctionné à plein TF1 et Canal+. Les quatre clips de 30
régime avec un taux de fréquentation qui a secondes ont été réalisés en moins de trois
augmenté de 400 % durant les premières semaines.
semaines du confinement. Elle a dans
le même temps continué à recevoir Enfin, au regard du besoin lié au confine-
des mises à jour régulières de fonctionna- ment, une intégration d’un lien vers la bri-
lités et de contenus. Côté assistance aux gade numérique de la Gendarmerie natio-
victimes et relations avec les professionnels nale a été réalisée dans les espaces privés
référencés, la réactivité a été assurée. des professionnels et depuis l’apparition de
certaines cybermalveillances les concer-
A noter que le dispositif a finalisé trois nant. Les victimes peuvent désormais avoir
projets structurants durant cette période. directement une l’assistance pour déposer
Le premier est le lancement de son label une plainte lorsqu’une cybermalveillance
cible leur entité. Projet initié en janvier 2020 ou réunis au sein de groupes de travail.
avec la Gendarmerie, il a été jugé utile de
le rendre accessible au plus vite du fait des Pour faire face à la problématique
contraintes du confinement et de l’aug- de la cybermalveillance, une démarche
mentation de la menace. collaborative et collective avec tous
les acteurs impliqués est indispensable, car
Tout ceci en parallèle du travail de fond il serait évidemment illusoire de penser
réalisé par le dispositif. que l’on puisse vaincre seul ce fléau.
Qu’il s’agisse des pouvoirs publics,
Et demain ? des acteurs de la société civile ou même
L’avenir du GIP s’annonce toujours plus du simple citoyen, chacun peut avoir un
collectif et productif, du fait du renforce- rôle à jouer et une contribution à apporter
ment de son équipe avec l’arrivée en fonction de ses prérogatives et moyens
de 3 nouveaux agents mis à disposition dans la prévention et l’assistance
par le ministère de l’Intérieur et par aux victimes de la cybermalveillance.
l’intégration de nouveaux membres au sein A ce titre, le dispositif Cybermalveillance.
du GIP, comme le ministère des Armées. gouv.fr joue un rôle majeur en concentrant
et fédérant les énergies et bonnes
L’année 2021 sera également marquée volontés pour en amplifier les effets
par le lancement au FIC du label au service de la mission d’intérêt public
ExpertCyber. Ce label a vocation à appor- qui lui a été assignée par L’État.
ter une reconnaissance des compétences
des professionnels de la cybersécurité
et garantir un accompagnement de qualité
ainsi qu’une meilleure lisibilité des
prestations et services aux publics
professionnels (entreprises, associations,
collectivités).
L’AUTEUR
Impliqué dans la sécurité numérique
depuis de nombreuses années,
Jérôme Notin dispose d’expériences
dans la création et la direction d’entreprises.
Il a rejoint l’ANSSI en mai 2016 en qualité
de préfigurateur du dispositif
et a été nommé, en mars 2017,
directeur général du GIP ACYMA lors de sa
création. Il est par ailleurs ancien gendarme
auxiliaire (94/10 PSIG de Blois) et réserviste
citoyen de défense et de sécurité
de la Gendarmerie nationale.
© ACYMA
UNE CONVERGENCE D’INTÉRETS POUR UNE CYBERSÉCURITÉ
DE TERRITOIRES NUMÉRIQUES
Cybersécurité collaborative
des territoires
Par Olivier Kempf
L
La cybersécurité collaborative
est à l’ordre du jour. Pourtant, elle est
aujourd’hui surtout une préoccupation
des grandes structures, publiques
cybersécurité et la résilience des
territoires1 (INCRT) : aller écouter les
(1) https://www.
cyberterritoires.fr/
besoins et tenter
de trouver les réponses
ou privées, qui cherchent une approche adaptées et concrètes à chaque
à 360 degrés de leur cybersécurité. situation.
Or, les territoires ont aussi besoin
de cybersécurité et force est de La Cybersécurité collaborative,
constater qu’ils sont loin de pouvoir préoccupation des grosses structures
mettre en œuvre des politiques de Il n’existe à vrai dire pas de définition
sécurité des systèmes d’informations. agréée de la cybersécurité collaborative.
Pourtant ils sont autant victimes que Constatons tout d’abord que nombre
d’autres et leur situation nécessite de pratiques du cyberespace sont fondées
également une sur des méthodes collaboratives, permises
approche d’ailleurs par des outils mis à la disposition
multi-acteurs. de tous : ainsi, Wikipedia (comme tous
En conséquence les processus Wiki) part de la contribution
la cybersécurité des de beaucoup pour fonder, petit à petit,
territoires ne pourra un corpus encyclopédique désormais
être que collabora- reconnu, malgré les quelques critiques
OLIVIER KEMPF tive. C’est le cœur qu’il peut encore susciter.
Docteur en science du programme du
politique
Vice-président nouvel Institut De même, le phénomène des logiciels
de l’INCRT national de la en source ouverte (open source) part
du principe que tout un qui vient à l’esprit est celui des Anony-
(2) http://www.
senat.fr/es- chacun peut contribuer mous. Même s’ils ont perdu un peu de
pace_presse/
actualites/201606/ à l’élaboration puis relief ces dernières années, ils s’assem-
quelle_supervision_
internationale_de_li-
l’amélioration du code blaient pour une cause qui leur semblait
cann.html logiciel mis à disposition juste et visaient une cible de façon à lui
(3) https://www. (gratuitement) du public. faire corriger son comportement.
diplomatie.gouv.fr/fr/
politique-etrangere-
En termes de sécurité,
de-la-france/diplo- d’aucuns pensent De même, on pourrait parler d’insécurité
matie-numerique/
les-domaines-d-ac- d’ailleurs que cette collaborative en pensant aux groupes de
tion-de-la-di-
plomatie-nume- ouverture du code, pirates qui s’assemblent pour augmenter
rique-francaise/
garantir-la-secu-
en évitant structurellement leurs chances d’atteindre leurs cibles.
rite-internatio- les portes dérobées Les dénis de service distribué (DDOS)
nale-du-cybe-
respace-a-tra- et autres failles cachées, constituent eux aussi des processus
vers-le-renforce-
ment-de/article/
permet donc une meilleure collaboratifs, puisque l’agresseur mobilise
cybersecurite-appel- sécurité. Enfin, en termes de nombreuses machines pour faire
de-paris-du-12-no-
vembre-2018-pour- de gouvernance du converger des requêtes sur la cible.
la-confiance-et-la
cyberespace, beaucoup De même, une des sources importantes
ont reproché la mainmise d’insécurité vient de la mobilisation
des grands Etats ou des grands acteurs de machines utilisées à distance (sans la
de l’Internet. Ainsi, la notion d’approche (4) Le minage connaissance de leur
c’est le procédé
« multi-acteurs » a été promue il y a par lequel les tran-
propriétaire) afin de miner4
quelques années lors des débats sactions Bitcoin sont du bitcoin. Il y a ainsi
sécurisées. A cette
sur la gouvernance de l’ICANN2. fin, les « mineurs » de multiples façons
effectuent avec leur
Une telle approche a d’ailleurs été reprise matériel informa- de faire travailler des
récemment lors de l’appel de Paris3. tique des calculs
mathématiques pour
ordinateurs ensemble
le réseau Bitcoin. pour réaliser des actions
Comme récom-
Cette diversité d’exemples montre que pense pour leurs illégales et construire
services, ils col-
le monde numérique connaît, depuis long- lectent les bitcoins
une cyberinsécurité
temps, les méthodes collaboratives. Elles nouvellement créés collaborative.
ainsi que les frais
existent également dans le domaine spéci- des transactions
qu’ils confirment.
fique de la cybersécurité. Le cyberespace À l’inverse, des hackers
permet tout d’abord des phénomènes blancs peuvent contribuer à la cybersécuri-
de coalescence : divers acteurs, à l’origine té coopérative au moyen des systèmes
ayant des intérêts divergents, se ras- de Bug Bounty, qui permettent à des
semblent sur tel ou tel projet pour produire individus de tester les failles de telle ou telle
une action numérique, positive ou négative société qui le demande, avec récompense
selon leur mobile. Le premier exemple à la clef. Cette diversité constitue un atout
qui vient compléter les processus plus Les territoires ont un grand besoin
usuels de sécurité intégrée (Security de cybersécurité
by design et Devsecops) ou l’utilisation Il reste que cette approche s’intéresse
de sociétés d’audit qui font des tests dans les faits aux grands organismes :
de pénétration. Fondamentalement, États, grandes sociétés, OIV, grosses ETI,
on ne saurait réduire la cybersécurité régions. L’échelon inférieur est négligé.
collaborative à ces seuls exemples Les spécialistes de la cybersécurité parlent
des logiciels en source ouverte ou des bien sûr des individus (citoyens, consom-
Bug bounty. mateurs, usagers), ils s’intéressent aussi
à leurs collaborateurs à qui il faut enseigner
Elle désigne la coopération d’acteurs les règles d’hygiène numérique, mais cela
de niveaux différents, qu’ils soient ne va guère au-delà. C’est pourquoi il nous
au sein de l’organisation ou entre organisa- semble intéressant de partir de l’échelon
tions de pied différent. Il peut s’agir du territoire pour aborder cette question
de la sécurité collaborative. Constatons
de la coopération entre l’échelon
simplement qu’en fait, seule la collabora-
de direction, les spécialistes techniques
tion peut permettre de faire émerger
(DSI et RSSI) et les divisions techniques
une certaine cybersécurité dans
(production, marketing, communication).
les territoires.
Cela peut surtout concerner la coopération
entre des organisations du même secteur,
Tout d’abord, qu’est-ce qu’un territoire ?
le régulateur ou les autorités locales,
Disons pour commencer ce qu’il n’est
les spécialistes du numérique (infrastruc-
pas : ce ne peut être une des très grosses
tures, plateformes, grands comptes),
agglomérations urbaines supérieures
les fournisseurs, les partenaires à 200 ou 300 000 habitants. À ce niveau
et les clients. Tous ont un point de vue de population et de densité, la probléma-
et un intérêt bien différents mais partagent tique du responsable sera proche de celle
aussi une bonne sécurité de leurs d’un grand compte, public ou privé. Il aura
systèmes (matériels, logiciels, données). un service informatique conséquent et une
Pour autant, bien peu sont prêts à faire équipe constituée de spécialistes de la SSI,
l’effort nécessaire et chacun à tendance avec des outils appropriés à la défense
à reporter sur l’autre la responsabilité de ses SI.
de cette sécurité et son coût associé.
Pourtant, chacun participe Dès lors, tout ce qui est en dessous
à un certain écosystème et contribue répond à cette approche des territoires :
à sa résilience, un des attributs il peut s’agir de l’échelon départemental,
de la cybersécurité. dont on a vu pendant la pandémie
qu’il avait une dimension optimale pour nautés d’agglomération qui s’en sont
avoir d’une part assez de moyens d’action, dotée. Pourtant, la communauté permet
d’autre part une proximité avec population de rassembler de nombreuses communes
que des plus grosses entités (les régions, limitrophes, d’une dizaine à plus d’une
l’Etat) n’ont pas. Il semble qu’il s’agit centaine selon les cas, mobilisant une
de l’échelon principal de résilience, population plus importante et exerçant
quelle que soit la crise, sanitaire, une influence élargie sur le territoire et son
catastrophique ou cyber. environnement. Surtout, l’agglomération
permet d’inclure des petites communes
Il peut s’agir ensuite des agglomérations qui ont rarement par elles-mêmes la taille
moyennes, d’une taille entre 50 000 et les compétences pour définir et conduire
et 200 000 habitants : elles sont souvent une PSSI. Le plus souvent, ces communes
structurées autour d’un pôle, qui n’est comptent moins d’une dizaine de milliers
d’ailleurs pas forcément le chef-lieu d’habitants avec souvent une double
du département et qui ordonne le territoire préoccupation : celle de la proximité
alentours. Cette notion est très contingente de la grande ville et celle d’une histoire
et empêche toute généralisation. rurale qui demeure prégnante.
Le territoire d’influence dépend
de plusieurs facteurs qui coïncident Or, les communes sont comme les autres
rarement avec les limites administratives : des victimes potentielles de cyberagres-
bassin d’emploi, situation économique sions : elles manipulent de nombreuses
et démographique, présence d’une données sensibles, elles ont des budgets
agglomération concurrente à proximité et font l’objet comme d’autres entités de
(à plus ou moins de 50 km), structure rançonnages ou de rumeurs. La taille
des réseaux de communication importe peu et l’on a constaté que même
(autoroutes, TGV), etc. Enfin, les agglomé- (5) Pour avoir un des petites communes
point des différentes
rations ont déjà des structures existantes agressions contre
étaient la cible de rançon-
de coopération, celles des établissements les communes, voir nage5. Or, les édiles sont
O. Kempf, « Cyber-
publics de coopération intercommunale sécurité aujourd’hui peu sensibili-
et résilience,
(EPCI) et notamment des communautés les grandes oubliées sés à ces questions
d’agglomération. des territoires », et s’imaginent, comme
Notes de la FRS
n° 30/2020, 14 mai beaucoup de PME et PMI,
2020.
Or, si le chef-lieu du territoire, à l’échelon que la commune est trop
de la ville, peut éventuellement avoir la taille petite pour constituer une cible.
suffisante pour conduire une politique de Funeste erreur, trop souvent partagée
sécurité des systèmes d’information (PSSI), dans le monde économique, qui fait
très rares sont les exemples de commu- pourtant des dégâts.
Ne réduisons pourtant pas les territoires ainsi mis en place une organisation
à leurs seules structures publiques, des territoriale, avec des délégués en région, et
EPCI aux différents syndicats mixtes. elle a récemment publié un guide consacré
Les territoires incluent évidemment une à l’essentiel de la réglementation de
population mais aussi une activité écono- cybersécurité à destination
mique, constituée parfois de gros établis- (6) ANSSI, janvier des collectivités territo-
2020, « Sécurité
sements, plus souvent de beaucoup de numérique des riales6. Le Pôle d’Excel-
collectivités
PME et PMI mais aussi d’indépendants. territoriales : lence Cyber7 a également
l’essentiel de la
Certains de ceux-ci manient des données réglementation ».
rendu public, en novembre
sensibles (notaires, médecins, comptables, 2020, un guide pratique
(7) https://www.
pharmaciens, huissiers). Or, la plupart font pole-excellence-cy- de cybersécurité des
ber.org/presenta-
confiance à un prestataire informatique de tion-du-pole/ collectivités territoriales.
proximité, le plus souvent compétent en Certaines initiatives ont vu
matière informatique mais plus rarement le jour, comme celles de la Gendarmerie
pour les questions de cybersécurité. nationale dans le Morbihan (Hermès 56)
ou encore certaines étapes du Cybercercle
La cybersécurité des territoires en province, tandis que cybermalveillance.
nécessite la collaboration fr développe des actions décentralisées
Un territoire est donc constitué de plusieurs de sensibilisation ou que le magazine
acteurs à l’activité intriquée, des intérêts Acteurs publics publie régulièrement
évidemment communs mais des préoc- des articles sur le sujet. De même,
cupations également divergentes. Il serait quasiment toutes les régions ont lancé
vain de demander à chacun de faire un des initiatives sur la cybersécurité. Il faudra
effort si celui-ci n’était pas coordonné. La ensuite recenser l’existant, variable d’un
conclusion est évidente : dans un territoire, territoire à l’autre, certains s’étant déjà
la cybersécurité ne peut être que collabo- saisis du problème alors que d’autres
rative. Elle doit mobiliser tous les acteurs, n’en sont qu’aux premières étapes
ceux responsables du bien public (maires, de la prise de conscience. Enfin, il faudra
présidents d’intercommunalités, préfets, imaginer des projets concrets, adaptés à
Gendarmerie nationale), mais aussi ceux chaque situation. La notion de « solution »,
ayant des préoccupations plus écono- souvent utilisée par des grands éditeurs
miques (associations professionnelles, de logiciels, s’applique finalement assez
dirigeants d’entreprises locales, syndicats peu en la matière.
mixtes spécialisés).
Il reste que ce travail doit être conduit
Il faut d’abord écouter les besoins et mener car à l’heure du télétravail généralisé
des actions de sensibilisation. L’ANSSI a et de la néo-ruralisation (ou plus exacte-
INCRT
L’Institut National de la Cybersécurité
et de la Résilience des Territoires
(INCRT) a été créé avec esprit et l’ambition
d’être au plus près des territoires,
de les accompagner et de les mettre
en réseau, de promouvoir des réponses
simples et pragmatiques, d’assurer
une veille et de conduire des études
pratiques répondant aux besoins identifiés.
Il a vocation à aller là où les autres ne vont
pas pour écouter ceux que l’on écoute
peu et trouver à leurs côtés les moyens
de construire, par le bas et de façon adaptée
à chaque situation locale, une cybersécurité
de terrain, forcément collaborative. L’INCRT
a pour président le Général d’Armée (2S)
Watin-Augouard, ce qui garantit non
seulement une profonde expérience
des questions de cybersécurité
mais aussi une connaissance fine
des besoins des territoires.
© Fotolia_117874214_Subscription_XXL
UNE PARTENARIAT PRIVÉ – PUBLIC SANS COMPLEXES
Les partenariats
public-privé en Cybersécurité
Par Cyril Bras
N
Note du rédacteur en chef : Cet ar-
ticle est un focus sur les travaux de
la 2e session nationale « Souveraineté
numérique & Cybersécurité de l’IHE-
est un contrat administratif par lequel l’État
ou une autorité publique confie à un pres-
tataire privé la gestion et le financement
d’équipements, d’ouvrages permettant
DN et l’INHESJ » sur les intérêts et les d’assurer un service public.
limites du partenariat public-privé. Les Au-delà de cette définition générale,
membres du groupe de travail sont nous pouvons remarquer que des partena-
dans l’ordre alphabétique : Cyril Bras, riats existent déjà dans le domaine de la
Rémi de Gouvion Saint-Cyr, Ludovic Cybersécurité ; le FIC en est quelque
Haye, Brunon Le Jossec & Dominique part une illustration concrète.
Lestrade. Son intérêt a retenu notre C’est d’ailleurs au cours du FIC 2020
attention. Rapporteur de ces travaux, que Guillaume Poupard, directeur général
Cyril Bras a bien voulu en retracer les de l’ANSSI, donnait sa perception de
problématiques es- l’impérieuse nécessité d’une collaboration
sentielles qu’ils sou- « L’idée, c’est que le privé
(1) L. Adm,
lèvent en répondant à « FIC 2020 : seul n’a pas la solution,
« Le privé seul
nos questions. n’a pas la solution, le public non plus.
le public non plus On croit donc que la
», 29 Janvier 2020.
Comment définir [En ligne]. Available: solution se trouve dans
https://www.
CYRIL BRAS le partenariat zdnet.fr/actualites/ l’alliance des deux1 ».
fic-2020-le-prive-
public/privé seul-n-a-pas-la-
Responsable RSSI
Grenoble-Alpes en Cybersécurité ? solution-le-public- Ce partenariat permet
non-plus-39898215.
Métropole. Le contrat de partena- la combinaison des forces
htm . [Accès le 25
Ville de Grenoble Février 2020].
et CCAS riat public privé (PPP) et spécificités de ces deux
acquises que dans les missions propo- quand celle-ci n’est pas tout simplement
sées par les services étatiques. Une de méconnue. Ce constat s’applique égale-
nos propositions consiste à ce que des ment aux petites collectivités.
entreprises privées apportent une contribu-
tion financière visant à verser un salaire aux Dans ce cas, nous proposons la mutualisa-
étudiants pendant leur formation, à l’image tion de moyens au travers d’acteurs locaux
des écoles militaires. Cet effort financier tels que les chambres consulaires,
se poursuit dans un premier emploi au sein les agences locales de développement
de L’État en apportant un complément au économique qui se trouvent à l’interface
salaire pour le rendre attractif. En échange, « État /Economie/Politique ». Ainsi,
l’étudiant s’engage à servir l’État pour une des petites entités pourraient contribuer
durée déterminée (5 ans). À défaut, financièrement au recrutement d’un RSSI
il devra rembourser les frais de sa scolarité qui serait alors mutualisé entre les diffé-
et les indemnités perçues. Ensuite, il pourra rentes structures. Ce dispositif pourrait
se voir proposer un poste dans une des également faciliter la mise en relation
entreprises qui a soutenu financièrement avec les services de l’ État en charge de la
sa formation, avec une durée d’engage- sécurité (prévention cyber, sécurité écono-
ment. L’indemnité de rupture se calculera mique…) pour répondre aux attentes des
alors au prorata du temps passé entreprises mais aussi fournir du rensei-
en entreprise. gnement sur l’état de la menace pour la
Gendarmerie nationale, la Police nationale
Cette première solution s’applique et le GIP ACYMA.
plutôt aux grandes entreprises.
Dans vos réponses précédentes vous Reste-t-il d’autres pistes à explorer ?
évoquiez la nécessité d’aider les petites Oui, nous pensons également qu’il faudrait
structures, que proposez-vous dans repenser la réserve cyber en la rapprochant
ce cas ? des territoires et de leurs acteurs.
Le tissu économique Il conviendrait pour cela de dynamiser
(7) B. Bellanger,
« Baromètre français est en effet la réserve citoyenne et d’en faire un lien fort
des TPE/PME dans
l’économie française
constitué de 99.9% entre les sphères publique et privée.
en 2019, » de TPE/PME7 qui sont Elle pourrait partager des bonnes
21 Janvier 2020.
[En ligne]. Available: de plus en plus victimes pratiques de Cybersécurité, participer
https://solutions.
lesechos.fr/compta- de cybermalveillances. à des actions de prévention ou d’investiga-
gestion/c/
[Accès le 05 Aout
Dans la plupart des cas, tion mais aussi apporter des compétences
2020]. elles ne disposent pas des autres que cyber (intelligence économique,
ressources nécessaires escroquerie financière ou encore travail
pour se protéger contre cette menace, illégal). Elle pourrait prendre exemple sur
A
Alors que la crise sanitaire met en avant
l’importance du numérique, tant pour
son influence sur le développement
économique que pour son apport à la
nomique, l’éducation, la recherche, etc.
Afin de promouvoir et améliorer leurs
politiques publiques, les collectivités
territoriales ont donc la nécessité d’agir
résilience de l’activité, les questions de sur l’ensemble du cycle de vie de leurs
souveraineté sont revenues au pre- données.
mier plan. Souveraineté alimentaire,
médicale, des approvisionnements Une culture du partage des données
stratégiques, mais aussi numérique. Qui pour arriver à une efficience
collecte, stocke ou traite nos données ? des traitements
La question de la maîtrise de nos don- Cela commence avec la connaissance
nées sensibles et stratégiques touche de ces données, qu’elles soient produites
l’ensemble des activités de notre vie directement par les services de la collecti-
quotidienne. Les vité ou par d’autres acteurs. Cela implique
collectivités territo- de dresser et tenir à jour une cartographie
riales gèrent tous les et de mener une veille qui porterait
jours des quantités également sur les usages. À ce stade,
énormes de données les premiers obstacles peuvent se dresser.
relatives à l’environ- Les services publics ont l’obligation de
nement, la voirie, les mettre à disposition leurs données
JÉRÔME BUZIN transports, la gestion gratuitement aux autres administrations
Administrateur de l’eau, l’énergie, les mais les entreprises n’y sont pas soumises
général des données
Métropole
déchets, l’habitat, le et peuvent s’avérer réfractaires, y compris
européenne de Lille développement éco- dans le cadre de marchés publics
La démarche de ces acteurs privés peut se tourner vers l’entreprise qui développe
se faire en partenariat avec les collectivités l’application pour exposer le problème
territoriales, mais le plus souvent elle et demander une adaptation des proposi-
les ignorera voire visera à agir à leur place. tions faites aux automobilistes pour mieux
En effet, nous l’avons vu précédemment, s’accorder à la réalité du terrain, voire
ces acteurs n’ont pas toujours à cœur coconstruire des modèles de données
le respect de la vision du client qui incluraient l’information sur la capacité
ou de l’usager. d’accueil de la voirie ou les heures d’entrée
et de sortie des écoles.
Imaginons une application mobile qui op-
timise votre trajet en voiture en s’appuyant Mais comment réagirions-nous si cette
sur des informations sur le trafic obtenues entreprise s’estimait porteuse d’une
grâce à sa communauté d’utilisateurs. mission de service public et refusait de
Imaginons qu’aux heures de pointe cette changer son modèle car cela pénaliserait
application oriente une partie importante le temps de trajet de ses utilisateurs ?
du trafic vers des rues, non conçues pour Serions-nous amusés, choqués ou dans
accueillir un tel trafic, où de nombreux l’acceptation si cette entreprise proposait
enfants entrent ou sortent des écoles. La à la collectivité de modifier les jeux
collectivité territoriale pourrait alors de données qu’elle met à disposition
et qui sont utilisé dans ce cadre pour de la métropole du Grand Lyon à rempla-
fermer les rues concernées, en omettant cer, le 30 septembre 2019, cette licence
que ces jeux de données sont utilisés pour par une « licence de réutilisation des
d’autres usages ? Trouverions-nous accep- données d’intérêt général » qui permet la
table que la situation soit figée parce que la (6) https://down- mise à disposition gratuite
décision se prend en Californie et non pas load.data.grandlyon. de la donnée avec
com/files/grandlyon/
à l’échelon local ? Licence_Reutilisa- authentification du
tion_Donnees_Inte-
ret_General.pdf réutilisateur6. L’intérêt
(4) https://
siecledigital. L’exemple du projet de général est posé comme
fr/2020/02/28/a-to-
Sidewalk Labs à Toronto4,
ronto-la-grogne-des-
principe de cette licence : le/la licencié(e)
locaux-contre-al- qui a fini par être arrêté, doit déclarer les utilisations du ou des jeux
phabet/
est celui d’un projet de données, la Métropole s’assurant
qui n’a pas réussi à concilier la vision qu’elles sont conformes aux politiques
de l’entreprise et les attentes des citoyens publiques.
et de la collectivité.
Désormais, « les Données peuvent être
Face à ces problématiques, les collectivités utilisées par toute personne à toutes fins,
territoriales cherchent des leviers d’action internes ou externes, commerciales ou
pour défendre leurs politiques publiques. non, et notamment en vue :
Ainsi la métropole du Grand Lyon, - de l’information du public ;
(5) Loi Lemaire, pionnière en matière -d e la réutilisation des Données pour
code des relations
entre le public d’ouverture des données, des services, applications ou produits ;
et les administra-
tions (CRPA) et le
avait lancé son service -d u développement de services
règlement européen OpenData en 2013 avec innovants ;
2017/1926 de la
Commission une licence qui permettait - de l’enseignement et de la recherche.
du 31 mai 2017,
complétant la direc- la mise en œuvre d’une
tive 2010/40/UE du redevance modulable Sous réserve que :
Parlement européen
et du Conseil en en fonction du succès - leur réutilisation soit compatible avec
ce qui concerne la
mise à disposition économique de l’applica- les politiques publiques mises en œuvre
dans l’ensemble de
l’Union européenne
tion réutilisant les don- par le Concédant ou par le Producteur
de services nées. Ce modèle était et ne porte pas atteinte à l’intérêt général,
d’informations sur
les déplacements d’ailleurs l’un de ceux - la mention soit faite de la paternité
multimodaux.
proposés par Mohammed de la Donnée.
Adnène Trojette, Magistrat à la Cour
des comptes, dans son rapport au Premier Les obligations du Licencié sont établies
ministre en juillet 2013. Mais l’évolution à l’article 8 de la présente Licence.
du cadre législatif5 a conduit le Conseil
© F. Balsamo - SIRPA-Gendarmerie
LA RÉSERVE NUMÉRIQUE : UN VIVIER D’EXPERTISES
La réserve numérique :
un réseau collaboratif d’experts au service
de la transformation numérique
de la gendarmerie
L
Questions à Florence Esselin, Alain Grandjean et David Toulotte
Les réservistes renforcent depuis d’un vivier commun, sur site comme
plusieurs années la Gendarmerie à distance et en fonction des compé-
nationale dans le cadre du dévelop- tences pour des missions ponctuelles
pement d’outils logiciels et participent ou promettant de devenir récurrentes.
ponctuellement à ses réflexions straté-
giques en matière de transformation L’approche disruptive de la « réserve
numérique. Avec la création numérique », qui mêle statuts et grades
du réseau des réservistes opérationnels pour une pluralité et une complémen-
et citoyens « numériques », la Gendar- tarité de vues, a déjà apporté de beaux
merie nationale expérimente l’emploi résultats. C’est la raison pour laquelle
la Revue de la Gendarme-
rie a souhaité éclairer
cette nouvelle approche
de la cybersécurité
avec des acteurs
qui reflètent cette diver-
sité et cette convergence
FLORENCE ALAIN GRANDJEAN DAVID TOULOTTE
ESSELIN d’expertise.
Lieutenant-Colonel David Toulotte
Conseiller expert de Gendarmerie. Directeur de projets
en numérique Division informatiques Florence Esselin,
et sécurité des opérations. Arcelor Mittal. pourriez-vous nous
du numérique. Région Capitaine
Cabinet du Directeur de gendarmerie de gendarmerie dessiner le périmètre
général de la des Hauts-de- (Réserve de la réserve numérique
Gendarmerie France. opérationnelle).
nationale. et nous expliquer ce
2013.
Gendarmerie nationale (MNGN) en liaison BEPA-Cyber1 et mon
avec le commandement des réserves approche résolument collaborative de la
gendarmerie ; il est composé de réservistes cybersécurité. Dans mon précédent poste
« opérationnels » et de réservistes (haut fonctionnaire adjoint de défense
« citoyens », partageant un même intérêt et de sécurité, fonctionnaire de sécurité
pour le numérique, ses impacts sur la des systèmes d’information au cabinet
société, ses atouts et ses faiblesses, du ministre de la Culture), j’avais créé
et pour sa sécurité. le réseau des acteurs de la sécurité
du numérique de la Culture, à l’appui
La « réserve cyber » est l’héritière d’une démarche inédite de co-construction
de la « réserve de cyberdéfense » créée d’une politique de sécurité des systèmes
conjointement en 2012 par les armées d’information adaptée à la diversité
et la gendarmerie ; elle regroupe de ce secteur.
des réservistes essentiellement intéressés
par la cyberdéfense, la cybersécurité Ma modeste connaissance de la
et la lutte contre la cybercriminalité. Gendarmerie nationale a été heureusement
Notre réserve numérique embarque avec complétée par une vision partielle
elle les réservistes cyber de la gendarmerie de l’évolution de ses systèmes d’informa-
du fait d’une évidence : quelle transforma- tion. Depuis 2006, j’avais commencé
tion numérique peut-on prétendre mener à accompagner la Gendarmerie nationale
sans cybersécurité ? dans quelques projets, en tant qu’inspec-
teur à la DCSSI. Cela a duré plus
Florence Esselin, vous animez de dix ans, dans un contexte de pleine
la « réserve numérique » depuis 2018. transformation tant par la création
Pourquoi vous a-t-on confié de l’ANSSI que par le rattachement
cette mission ? de la Gendarmerie au ministère
Quand, en juillet 2018, j’ai rejoint la MNGN de l’Intérieur en 2009.
au cabinet du directeur général de la
Gendarmerie nationale, j’étais déjà membre Aussi étais-je ravie et honorée de rejoindre
© Gendarmerie nationale
Une application qui s’inscrit dans le souci de « répondre présent » à toutes les attentes du public
par des moyens numériques entrés dans les usages quotidiens.
Ceci m’a convaincue que nous pouvions David Toulotte, vous êtes directeur
tenter de monter un collège de réservistes de projets informatiques, notamment
venant en appui des innovateurs de transformation Cloud
de la gendarmerie, pour les aider à faire pour Arcelor Mittal Europe.
émerger leur projet en prenant en compte Vous avez actuellement une mission
les contraintes techniques et réglemen- à la DGGN et une autre à la région
taires dont le respect est indispensable de gendarmerie des Hauts-de-France.
à une généralisation du produit et à son Qu’est-ce qui vous a motivé
maintien en conditions opérationnelles pour accepter ces missions ?
et de sécurité. Ce processus complète Je travaille en effet avec Florence Esselin
les ateliers de la performance que pilote et trois réservistes citoyens, à établir
le service de la transformation, un processus et à constituer une équipe
pour la valorisation de l’innovation de « coachs » afin d’accompagner les
promoteurs d’outils numériques innovants.
participative. En liaison avec ce service
Il s’agit de sécuriser leurs projets quant
et le service des technologies
aux aspects juridiques, économiques,
et des systèmes d’information de la sécuri-
techniques et patrimoniaux qui font peser
té intérieure notamment, j’ai pu monter
une contrainte sur leur mise en production
un groupe de travail piloté par le CNE (R)
et leur déploiement à grande échelle, tout
David Toulotte, expert en chefferie
en soutenant leur innovation et en stimulant
de projet numérique.
leur créativité. J’apporte mes compétences
en termes de chefferie de projet.
En collaboration avec le service du traite-
ment de l’information de la gendarmerie
Parallèlement, du fait de mon expérience
et la région de gendarmerie Ile-de-France, professionnelle dans ce domaine,
nous explorons également les missions je participe aux actions de la réserve
qui peuvent être confiées aux réservistes cyber en région Hauts-de-France pour
en matière de gestion de crises numé- la sensibilisation des entreprises TPE/PME
riques. Leur capacité de mobilisation a été à la cybersécurité. Notre but est d’apporter
illustrée au début du confinement en mars de l’expérience et de la connaissance aux
2020, par le groupe des réservistes cyber TPE/PME déjà submergées par leur propre
d’Ile-de-France, qui a élaboré très vite un activité. Le profil idoine d’un chef
support de sensibilisation à destination des d’entreprise TPE/PME est très large.
entreprises sur les cybermenaces dans ce Outre sa fonction, il doit maîtriser les règles
contexte particulier, que toutes les régions comptables, les relations humaines sans
de gendarmerie de France et le CGOM oublier le domaine commercial. Il n’est pas
ont pu ensuite utiliser. évident d’absorber en plus toutes les
SOC et IOC
au travers Blockchain, au service
de la Threat de la sécurité P.137
Intelligence P.85 par Jacques Favier
par Robert
Breedstraet
et Matthieu Thuaire
R
« Rien ne se perd, rien ne se crée,
tout se transforme. »
- Sur le plan humain, elle rejoint le concept se sachant pourchassé, et donc mieux
de « crowd security ». comprendre les mécanismes de décision
de l’homme en général.
- S’agissant des aspects techniques, enfin,
la sécurité collaborative s’entend comme En 1948, Norbert Wiener baptisa cyberné-
la possibilité pour plusieurs systèmes tique un nouveau domaine de la science
d’échanger de l’information où est étudié le concept de maîtrise des
et d’apprendre les uns des autres machines. L’idée du nom lui vint du grec
pour améliorer leurs propres capacités. ancien kubernao qui signifie ‘piloter’.
Cette dimension collaborative est un défi Cyber a donc la même étymologie
mais aussi une véritable opportunité que gouvernail et que ... gouvernement.
à l’heure de la multiplication des
équipements connectés. En fondant la cybernétique, Wiener
introduit en science la notion de feedback
Aux origines du mot « cyber » (rétroaction, dans son sens littéral de
Quel est donc le sens de ce préfixe cyber, ‘nourrir en retour’), qui a nombre d’implica-
que l’on entend partout de nos jours ? tions dans des domaines tels que l’ingénie-
Les origines du mot aident à le com- rie, le contrôle de système, l’informatique,
prendre. Il est né après la Deuxième Guerre la biologie, la psychologie, la philosophie
mondiale dans la tête d’un chercheur et l’organisation de la société. Il exposa ses
américain nommé Norbert Wiener, théories sur la cybernétique dans son livre :
théoricien et chercheur en mathématiques « Cybernetics or Control
appliquées, surtout connu comme le père and Communication in the Animal and
fondateur de la cybernétique. the Machine », dont le New York Times
fit l’éloge en janvier 1949, en tant qu’un
Ce mathématicien fut engagé au Massa- des livres les plus importants du XXe siècle,
chusetts Institute of Technology (MIT) en lui prédisant un rôle de science phare
dans un programme de recherche dans le futur - et l’actualité lui donne raison.
consacré à de nouvelles formes d’arme- Un des concepts majeurs qui fondent cette
ments. On lui demanda de mettre au point nouvelle théorie est celui de « régulation »,
des missiles capables d’atteindre les avions nous y reviendrons.
allemands V1 et les fusées V2, sans pilote,
bourrés d’explosifs qui causaient tant de La cybernétique, omniprésente de nos
dégâts en Angleterre pendant la Deuxième jours, est en synthèse la science qui étudie
Guerre mondiale. Pour ce faire, Wiener comment un système peut poursuivre et
devait modéliser le comportement atteindre un objectif malgré les perturba-
d’un pilote en situation de combat, tions imprévisibles de son environnement.
- La sensibilisation des utilisateurs, Tenant compte du fait que nous vivons
relative au facteur le plus imprévisible : désormais dans un monde numérique,
l’humain. Aider les utilisateurs à mieux on considère de nos jours par extension -
comprendre et leur apprendre comment et par usage - la cybersécurité comme
réagir est essentiel pour protéger l’activité la sécurité de tout contexte lié à l’utilisation
d’une entreprise. de l’informatique et du numérique, dans
le cyberespace, notamment Internet.
Qu’est-ce que la sécurité des réseaux ?
Si vous considérez une entreprise comme Vient alors LA question :
un château fortifié contre les menaces Contre quoi dois-je me protéger ?
extérieures, la sécurité des réseaux Quelle est la menace ?
se préoccupe du maintien de la paix Dans certains contextes, par exemple
et du calme dans l’enceinte du château. militaires, on connaît les menaces. On agit
Elle se concentre sur le maintien des forti- donc en conséquence en effectuant
des simulations et des exercices, en situa-
fications, bien entendu, mais son objectif
tion réelle, conformes aux scenarios.
premier est de se prémunir contre les
En informatique, une menace est une
problèmes de l’intérieur, en se concen-
cause potentielle d’incidents pouvant créer
trant sur la protection des informations
un dommage au système ou à l’entreprise
internes à l’entreprise, en surveillant le
(selon la norme de sécurité des systèmes
comportement des employés et du réseau
d’information ISO/CEI 27000).
de plusieurs façons. La cybersécurité est
beaucoup plus centrée sur les menaces
La déstabilisation, l’espionnage, le sabo-
venant de l’extérieur du château.
tage et la cybercriminalité constituent les
Quand la sécurité du réseau s’inquiète principales menaces pour une entreprise.
de ce qui se passe à l’intérieur des murs L’atteinte à l’image, l’impact financier et
du château, la cybersécurité consiste les conséquences légales sont bien réels.
à surveiller ceux qui tentent de passer C’est pourquoi il est impératif d’évaluer
la porte ou de franchir les parapets son niveau d’exposition à la menace cyber.
et à analyser les techniques d’attaques. Dans une perspective de sécurité des
Il y a certes une forte intrication entre ces données et de transformation numérique,
deux domaines mais leurs préoccupations la cybersécurité induit naturellement
sont très différentes. La cybersécurité vise et par essence la notion de travail
à défendre le royaume et se concentre sur collaboratif. En effet, la cybersécurité oblige
les attaquants à la porte et sur la façon à considérer tant l’élément à sécuriser
dont le château communique avec que son contexte. En d’autres termes,
le monde qui l’entoure. raisonner cybersécurité ne peut se faire
qu’en ayant une idée précise de ce qu’il comme essentielle. Nous le verrons dans
y a à sécuriser (la vision micro) dans un quelques instants, les contraintes légales
contexte global (la vision macro). et réglementaires obligent les entreprises à
C’est accessoirement le sens de l’Analyse sécuriser les données, donc leur système
de Risque. d’information. Par nature, cela nécessite
une très forte interaction entre Direction
Un bon exercice est par exemple d’éteindre Générale et Responsable de la Sécurité
l’interrupteur du site de production, afin de des Systèmes d’Information (RSSI)
tester ses processus de gestion de crise, pour que les mesures opérationnelles
de résilience de service(s) assurant la conti- mises en place répondent aux besoins
nuité d’activité et la reprise d’activité après métier(s) de l’entreprise.
un sinistre. Le coût d’une telle interruption
de service(s) sera vite connu. Avez-vous Cette collaboration doit garantir la légitimité
déjà testé votre processus de gestion de la cybersécurité en entreprise, tant dans
de crise en situation réelle ?... sa verticalité (Comité Exécutif / Direction
Générale – RSSI) que dans sa transver-
La notion de collaboration (voire salité (RSSI – entités Métiers et Direction
d’hyper-collaboration dans le cadre d’un des Systèmes d’Information). C’est ce qui
contexte sensible) apparaît dès lors conditionne une bonne vision d’ensemble
d’un écosystème. L’exercice est certes loin soit partagée avec ses clients
d’être trivial mais c’est le lot quotidien et partenaires.
du RSSI, véritable chef d’orchestre
de la sécurité des données de l’entreprise La cybersécurité devient dès lors
et protecteur du business. indispensable et constitue un catalyseur
de développement économique, ce qui
Pour que cette collaboration pluridimen- est aujourd’hui perçu comme un facteur
sionnelle fonctionne, cela demande différenciant essentiel. La démarche initiée
de sortir du carcan de la vision purement par l’ANSSI concernant la certification
technique de la SSI. La transformation de solutions est un exemple de ce qu’un
numérique introduit un changement ‘facteur différenciant’ peut représenter
de perspective, centré sur la donnée en termes de solution de confiance.
et sur le potentiel de sa valorisation La cybersécurité est de nos jours devenue
économique. Ainsi s’explique l’engoue- un véritable business-enabler.
ment des entreprises pour l’Analytics
et le Big Data. Ne dit-on pas de la donnée De plus, cette synergie entre Exécutif
qu’elle est le « pétrole » du XXIe siècle ? et RSSI est « bankable » ; c’est à travers
cette stratégie collaborative qu’une
La valeur d’une information est condition- entreprise peut (doit !) être perçue comme
née par sa disponibilité, son intégrité un partenaire de confiance par ses clients
et sa finalité métier qui requièrent et partenaires, socle indispensable
une confidentialité stricte. Les pratiques pour contribuer à faire évoluer une notion
de la sécurité doivent donc dépasser de service.
la dimension purement technologique
du SI pour embrasser la dimension La transformation numérique implique
métier(s). Là est le véritable challenge ! aussi une véritable coopération entre
Data Protection Officer (DPO, le Délégué
La sécurité ne peut donc se résumer à la Protection des Données personnelles -
à un arsenal technique de protection du DPD en français) et RSSI. Cette collabora-
système d’information. Elle est désormais tion entre le DPO et le RSSI, primordiale
intimement liée à tous les aspects de la vie de nos jours, est due à un changement
des entreprises et des métiers, dans leurs de paradigme. Historiquement,
relations avec les clients, les partenaires et ce jusqu’aux prémices d’Internet
et les employés. Pour tirer profit de sa de la fin des années 80, les émergences
transformation numérique, il faut que technologiques prenaient le pas
l’entreprise dispose d’un système d’infor- sur le cadre légal de référence qui n’avait
mation de confiance et que cette confiance pas évolué en conséquence, ce qui posait
utilisées à dessein rend - presque - impos- des pertes de revenus, des vols de don-
sible l’identification d’une personne, mais nées et d’autres atteintes à la vie privée.
d’un point de vue technique perdure, quoi
qu’il en soit, la notion dite de bout-en-bout. On peut dès lors légitimement se poser
En telle circonstance donc, il s’agit d’un la question : pourquoi ces sociétés
vrai-faux débat. développent-elles des objets connectés
non sécurisés ? Comme bien souvent, des
Vaste débat que celui de l’Internet décisions fondées sur les coûts ont conduit
des objets (IoT, pour Internet of Things) les développeurs et les entreprises à choisir
Le sujet de l’Internet des objets a briève- des plateformes IoT peu sécurisées.
ment été évoqué, qu’en est-il des objets Les entreprises évitent souvent de fournir
connectés et quid de la cybersécurité des mises à jour logicielles sécurisées
collaborative ? en raison du coût de déploiement
et de gestion du cycle de vie des
Des solutions mal sécurisées produits qui y est associé. Les ingénieurs
Force est de constater que les solutions de ces plates-formes ont souvent abordé
IoT développées de nos jours ont, pour la le problème à partir de leur propre base
plupart, échoué d’un point de vue sécurité. de connaissances, qui ne comprend
Les raisons sont variées mais trois axes généralement pas une bonne compréhen-
majeurs s’en dégagent : manque de sup- sion des considérations de sécurité.
port matériel pour la sécurité, des solutions De fait, même inconsciemment, des déci-
disparates nécessitant des mises à jour sions ont été prises qui portent atteinte
systématiques et un manque de compré- à la sécurité du système à long terme.
hension de l’environnement de la menace. C’est le challenge à relever concernant le
sujet des objets connectés. À noter qu’un
Beaucoup d’entreprises, qui n’étaient produit perçu comme peu sûr peut non
pas connectées auparavant, ont cherché seulement entraîner son rejet par
à numériser leurs produits et services sans les consommateurs (avec une potentialité
réellement disposer de la connaissance d’impact économique certain) mais aussi
préalable de la cybersécurité. Elles ont d’éventuelles enquêtes judiciaires,
sous-traité le problème à des sociétés ne l’oublions pas.
qui ne comprennent pas non plus les
risques cyber ou qui n’ont qu’une vision Une conception des réseaux datée
partielle du système dans son ensemble. Le pragmatisme est de rigueur avec un tel
Les hackers profitent bien évidemment de sujet. D’un point de vue personnel, je ne
cette situation pour perpétrer des attaques pense pas que l’on puisse disposer, à date,
DDoS (Deni de Service Distribué), causer d’une tendance crédible du nombre
d’objets qui seront connectés dans les an- (Internet Protocol) qui n’ont pas changé
nées à venir, ceci pour une raison simple qui depuis leur développement dans les
bien souvent est passé sous silence : les années 1970 et leur utilisation à partir des
réseaux de communication actuels ne sont années 1980, notamment par le réseau
pas, à date, conçus pour supporter une Arpanet qui préfigurera le réseau internet.
charge de trafic aussi conséquente relative
à xxx milliards d’objets à interconnecter en Or, de quelques centaines d’utilisateurs
temps réel (Fin de la statistique probabiliste au départ, le réseau des réseaux accueille
précitée). Ce n’est pas un postulat intangible quarante ans plus tard plus de 4,5 milliards
de ma part, encore moins une critique, mais d’utilisateurs à travers une kyrielle
un fait. Les réseaux de télécommunications, de services inimaginables à l’époque :
tels que nous les connaissons aujourd’hui, développement du haut débit, télépho-
ont initialement été conçus pour nous nie sur IP, télévision sur IP, explosion des
permettre de communiquer plus facilement,
usages internet en situation de mobilité,
évolutions technologiques aidant, et ont
essor de l’Internet des objets, etc.
évolué à travers le temps (tout relatif) pour
passer du stade de réseaux voix à celui
Les protocoles TCP et IP n’ont pas été
de voix-data par l’adoption massive de la
pensés, dans les années 1980,
technologie en mode paquet, notamment IP.
pour supporter une telle diversité
En fait, on a voulu avec les télécoms (fixe et
d’applications : « IP n’a pas été optimisé
mobile) migrer de technologies initialement
pour prendre en charge les flux de
dédiées à transporter de la voix, à faire de
données tels que la voix, la diffusion audio
la voix sur IP, alors que le protocole IP n’est
pas du tout conçu pour embarquer des et la vidéo. Il a été conçu pour ne pas être
échantillonnages voix en paquets qui doivent le réseau téléphonique », expliquait en
eux-mêmes être resynchronisés sans fin 2011 John Day, co-concepteur d’Arpanet.
dans les réseaux hétérogènes… Qualité de
Service quand tu nous tiens (QoS). En clair, La technologie 4G a apporté un plus dans
on a voulu faire moins bien avec IP que ce le cadre de cette transformation numé-
qui marchait à peu près bien avec les ré- rique, et la 5G - pour faire simple – va
seaux voix. Peu importe, l’évolution techno- semble-t-il apporter la pervasivité, l’omni-
logique va de pair avec l’évolution humaine, présence, le tout connecté « de partout »,
c’est dans la logique des choses. n’importe quand et quelle que soit
la technologie. En conséquence et avec
Le fonctionnement du réseau Internet une telle perspective technologique,
repose sur les protocoles TCP la cybersécurité ne peut qu’être
(Transmission Control Protocol) et IP collaborative.
Brève incise à propos de l’un des nombreux projets visant à inventer l’Internet du futur, appelé RINA
(Recursive InterNetwork Architecture), auquel participe le chercheur français Louis Pouzin
(que je salue ici avec respect et reconnaissance), l’un des pionniers de l’Internet.
La Threat
Intelligence
Par Robert Breedstraet et Mathieu Thuaire
L
La crise sanitaire mondiale que nous traver-
sons actuellement rappelle que le coronavirus
COVID-19 tout comme les virus informatiques
(1) SOC : « Security
Operation Center
», le SOC est un
Fort de cette actualité
« pandémique », dans le
cadre de la cybersécurité et
n’est pas soumis à la notion de frontières. département de de ses moyens déployés
sécurité qui est
Par ailleurs, il nous rappelle la nécessité de en charge de super- par les entités qu’elles
viser et protéger les
travailler ensemble pour obtenir au plus vite systèmes d’informa-
soient privées ou publiques,
le traitement et surtout signaler les clusters tion des entreprises un des outils qui intègre la
contre les cyber
afin de préserver la population. En matière attaques. boite à outil du RSSI est
de cybersécurité cela revient à disposer de la (2) APT : « Advance constitué du SOC (Security
capacité de détecter le signaux des attaques, Persistent Threat » Operating Center)1. La
menace avancée
même faibles, de bâtir une stratégie sur des persistante, c’est- détection des empreintes
à-dire une attaque
bases techniques et organisationnelles et de cyber précise, ou des signaux faibles -
ciblée, souvent
partager, en sûreté, les informations récoltées complexe et furtive.
constituant notamment les
par les systèmes dans un mode collaboratif. L’acronyme APT est APT2 (Advanced Persistant
aussi utilisé pour
décrire les groupes Threat) – est assurée par les
responsables de
ces attaques
mécanismes de corrélation
(exemple : APT 1, des logs concentrés par le
présumé chinois et
supposé troisième SOC, et restituée au travers
département de
l’état major de du SIEM3 (Security Informa-
l‘Armée Populaire tion and Event Manage-
de Libération, connu
sous le code Unité ment) aux analystes. Bien
61398.
ROBERT MATHIEU THUAIRE évidemment, malgré
BREEDSTRAET
RSSI l’automatisation possible, ainsi que le
Division information Secrétariat Général
security officer. machine learning implémenté dans cet outil,
de la Défense et de
Adjoint au Corporate la Sécurité Nationale tout signal qui se glisserait dans un compor-
CISO d’Amadeus
IT Group. 85
1er trimestre 2021 Revue de la Gendarmerie Nationale
DOSSIER
LA THREAT INTELLIGENCE
tement normal défini par les métiers de de crédit et vider vos comptes en banque.
l’entité considérée risquerait de passer Le but des attaquants peut aussi être
inaperçu. Cela souligne ainsi la nécessité et de capturer de nombreuses informations
la difficulté de corréler l’ensemble des sensibles tels des secrets de fabrication
signaux ou même des données personnelles et de
de manière globale afin voyage. D’autres attaques ont comme
(3) SIEM : « Security
Information and d’identifier une attaque finalité de réduire les moyens de communi-
Event Management
» les SIEM sont des
potentielle. La notion cation ou même de complètement détruire
outils de gestion d’indicateur, que nous les moyens informatiques de grands
de l’informationde
sécurité qui aident retrouvons plus régulière- groupes industriels ou d’États ennemis.
les organisations
et les entreprises à
ment sous le terme Les tactiques, les techniques et les
gérer tous leurs éve- d’IOC : Indicator Of procédures utilisées diffèrent car une
nements de sécurité
(les logs ou journaux Compromise, est ici attaque persistante pour le vol des
systèmes) afin d’en
extraire les alertes primordiale4. données se construit
et, potentiellement,
de remonter à la
(5) EBIOS RM : différemment d’une
« Risk manager »
Nous pressentons ici
source de l’attaque. méthode française attaque purement
d’identification
la limite de l’exercice si
(4) IOC : « Indicator et de compéhension
destructrice. Ces éléments
of Compromise »
chaque entité travaille de
on pourrait traduire
des risques numé- sont notamment identifiés
riques au sein
par indicateur demanière isolée. En effet, d’une entreprise. dans la méthode EBIOS
compromission, les
IOCs classiques afin de couvrir le spectre (6) Script kiddie RM5, éditée et préconisée
sont les signatures
le plus large possible, il
de virus, les signa-
ou lamer désigne
des néophytes,
par l’ANSSI, dans le cadre
est nécessaire de détenir
tures de trafic re-
seau, les « hashes »
ne disposant pas des analyses de risques
de compétences
les IOC les plus pertinents
(MD5) de malwares, sérieuses en sécu- servant de base
les URL et les noms rité informatique,
couvrant les risques des
de domaine des ser- qui tentent de forcer
à l’homologation des
veurs de commande
et de contrôle…
SI considérés de l’entité, des systèmes au systèmes d’informations.
moyens de scripts
ce qui nécessite donc de dont ils ne maîrisent
qu’imparfaitement
maîtriser son infrastructure et sa configura- les ressorts. Toutefois, la stratégie est
tion, et surtout de les partager au plus vite commune pour certaines
pour limiter l’impact des attaques. phases de ces différentes attaques
(dans le scénario décrit ci-dessous les trois
L’état de la menace premières phases se retrouvent dans les
Ce qui se cache derrière les menaces attaques citées plus haut). Bien évidem-
aujourd’hui peut prendre plusieurs formes : ment nous parlons ici d’attaques élaborées
les attaquants peuvent avoir des visées et non pas de simples scan de ports
purement économiques, des groupes ou d’attaques de script kiddies6.
criminels parfois multinationaux vont
extorquer votre argent, voler vos cartes -U
ne première phase dite de reconnais-
LA THREAT INTELLIGENCEE
-U
ne seconde phase dite d’exécution, où Afin de définir une stratégie de sécurité
l’attaquant s’installe dans le système en pertinente, il est nécessaire de se baser sur
utilisant des chevaux de Troie (appelés une approche multi-factorielle : technique,
aussi Trojan) à accès distant. organisationnel ou encore métier.
-U
ne troisième phase de persistance qui Sans décrire ici l’ensemble des briques
caractérise le fait de rester caché au fond nécessaires à l’exploitation d’une bonne
des systèmes informatiques de la victime. politique de sécurité des systèmes d’in-
Cette phase est réalisée quand l’atta- formation (PSSI), quelques bases sont à
quant a pris le contrôle de comptes dit respecter :
à privilège, comme des comptes
« administrateurs ». Les bases techniques (liste non exhaustive) :
-U
ne quatrième phase dite de collection -L
a maîtrise de la configuration de ses
où les informations sensibles de la victime systèmes (version logicielle, équipements
sont capturées : données sensibles, installés, politique de gestion du change-
identifiants et mots de passe, courriels. ment, politique de maintien en condition
opérationnelle et de sécurité, …) ;
-U
ne étape finale d’extraction,
où les données sont compressées, -L
a politique de journalisation des logs de
chiffrées et envoyées sur le réseau tous les équipements du proxy au serveur
à un ou des serveurs externes. métier (les équipements dits de sécurité
ne sont pas les seuls à pouvoir fournir
Sans préjuger d’un ordre de criticité de ces des logs pertinents, d’autant plus dans
différentes phases, intéressons-nous le cadre d’une surveillance comporte-
à la troisième phase qui est l’objet de mentale) ;
beaucoup d’attention de la part d’atta-
quants que nous qualifierons d’experts. -L
a maîtrise de ses annuaires (AD8, LDAP9,
En effet, la capacité à se dissimuler dans … toutes ces briques doivent être maîtri-
un réseau et à exploiter le plus longtemps sées et respecter un cloisonnement fort) ;
LA THREAT INTELLIGENCE
-L
a capacité à faire ressortir les bonnes -M
aîtriser les comportements métiers
informations parmi ces quantités normaux et tenir informé les équipes
de données (d’où le besoin de règles techniques des changements potentiels
de corrélation pertinentes en prenant dans les activités ;
en compte les comportements dits
« normaux » de son entité). -A
ssurer la sensibilisation à l’outil
informatique des équipes, ainsi qu’à
Les bases organisationnelles la bonne gestion de la sécurité des com-
(liste non exhaustive) : portements utilisateurs (un grand nombre
de guide existent, notamment ceux
-C
onnaître, identifier et responsabiliser de l’ANSSI permettant d’obtenir un socle
les acteurs des équipes réseaux, solide sur les bons comportements) ;
systèmes et sécurité, et garantir que
ces derniers sont bien informés de leur -R
estreindre au juste nécessaire les accès
rôle dans le cadre de la gestion des utilisateurs (mise en place
de la sécurité et des incidents ; d’une politique de gestion des accès
et des identités basée sur chacun
-D
isposer d’un RSSI (Responsable des rôles des membres de l’entreprise).
LA THREAT INTELLIGENCE
LA THREAT INTELLIGENCE
LA THREAT INTELLIGENCE
LA THREAT INTELLIGENCE
LA THREAT INTELLIGENCE
Bibliographie
a. https://www.ssi.gouv.fr/administration/
bonnes-pratiques/
b. https://www.misp-project.org/
c. https://thehive-project.org/
d. https://www.cert.ssi.gouv.fr/
e. https://www.first.org/
La « Deepfake
reality » : vers la fin de la vérité
dans le cyberespace ?
Questions à Franck DeCloquement
D
ans cette nouvelle fabrique du sens
qu’est devenu l’internet, une vigilance ac-
crue des pouvoirs publics se fait jour face
aux nouvelles « menaces à la vérité ». La
Dans nos démocraties occidentales en proie
au doute, au séparatisme communautaire et
à la tentation illibérale, la liberté d’expression
qui circule sur les réseaux dits « sociaux »
question fondamentale est la crédibilité est à la fois un formidable mécanisme de
des informations que nous percevrons contre-pouvoir mais aussi une promesse de
demain à travers le cyberespace. Franck déstabilisation massive pour nos démocra-
Decloquement s’entretient avec nous ties représentatives, avec l’émergence de
de cette problématique qui intéresse, ces « vérités alternatives » qui y font florès.
outre notre entendement et les libertés L’affaire des gilets jaunes en a été le dé-
associées, le fondement de nos sociétés monstrateur évident. Parce qu’elle est cette
médiatisées. nouvelle « forge » de l’opinion publique et de
ses revendications tues, la vie des réseaux
La Revue : « Actions sociaux suscite la convoitise des influenceurs
sur les perceptions », politiques et des législateurs qui cherchent
« guerre du sens », naturellement à la mettre au pas ou à l’endi-
« faits alternatifs » et guer. Cependant, la vie trouve toujours son
« menaces à la vérité » chemin ! Ce quadrillage de l’opinion pu-
? Quoi de neuf dans le blique, qu’il vienne des grandes plateformes
champ des opérations elles-mêmes ou des pouvoirs publics, ne
FRANCK
DECLOQUEMENT de propagande, à l’ère doit pas oblitérer le fait qu’à l’individu seul
Professeur à l’IRIS des réseaux sociaux incombe en définitive le soin et la responsa-
MBA « Géoéconomie et du web 2.0 ? bilité de choisir ses informations, afin de juger
et gestion des
risques » Franck DeCloquement : au mieux de la compétence de ses édiles.
© Solidarité SIDA
Efficace, cette vidéo a été critiquée. L’incrustation qui spécifiait qu’il s’agissait d’une fake news
n’apparaissait que 50 secondes après son début. Le plus faible temps consacré par les internautes
à l’examen de documents médias l’occultait et accréditait la véracité du document.
Le directeur de campagne a spécifié avoir privilégié la densité de l’information.
volonté dans le champ du réel. L’objectif sans limites. À titre d’exemple, les faits al-
fondamental vise, en définitive, à produire ternatifs ont fait irruption dans notre espace
ces opérations d’influence offensives afin perceptif commun voilà quatre ans lorsque
d’orienter la compréhension de l’adver- Kelly-Anne Conway, conseillère spéciale du
saire, jusqu’à le faire œuvrer parfois contre président Trump, évoqua ce terme, courant
ses propres intérêts. 2017, pour justifier les dires du porte-parole
de la Maison-Blanche, Sean Spicer. Au len-
La Revue : À quoi devons-nous faire demain de la cérémonie d’investiture du 45e
face au juste, quand on parle de président des États-Unis, celui-ci accusait
« deepfake reality » ou de « faits en effet les médias d’opinion américains
alternatifs » ? d’avoir volontairement sous-estimé les
Franck DeCloquement : Cette petite chiffres de la foule qui y assistait, autrement
fabrique de l’opinion publique 2.0 ne cesse dit, de remettre en cause l’importance de la
d’innover dans ses modalités d’actions participation publique lors de l’investiture du
subversives. La créativité sémantique président Trump. Or les données dispo-
et l’imagination des attaquants dans ce nibles d’alors montraient bien qu’il n’y avait
nouvel écosystème digital apparaissent pas eu autant de participants que cela aux
réjouissances, en tout cas, bien moins que visées militaires. Ce qui change et interpelle
pour celle de Barack Obama. Sean Spicer dans l’exemple américain évoqué précé-
a depuis admis que certains des chiffres demment, c’est cette capacité indubitable
qu’il avait mobilisés pour son argumentaire pour les parties prenantes à assumer le
étaient incorrects, même s’il les avait crus mensonge et à faire mine de le considérer
pourtant exacts sur le moment. comme un élément quasi factuel. Nous
sommes ici dans le registre du bobard pur
Très concrètement, les « faits alternatifs » et simple, utilisé sciemment comme maté-
sont des mensonges ou des « bullshit » riau de construction d’une argumentation
(bobards, sottises, stupidités, balivernes, indubitablement falsificatrice,
conneries, affabulations, mensonges, soit une « construction de la réalité ».
crâneries), ayant pour intention principale
de plier la réalité à des objectifs prédéfinis, Cela diffère grandement, avouons-le, d’une
en la manipulant ou en la « façonnant » manipulation de masse classique à la sauce
en fonction d’un « état final recherché » Orwellienne, usant d’une novlangue limitant
(EFR), selon une terminologie bien connue le langage, pour mystifier le discernement
dans le champ de l’action psychologique à d’une population. On était habitués à ce
que l’histoire soit réécrite par les vainqueurs pour convaincre un auditoire-cible.
dans les périodes post-conflictuelles mais, Ce sont des actions d’intelligence menées
dorénavant, c’est le passé immédiat et les dans le but d’orienter la réalité perçue par
évènements de la veille qui sont suscep- autrui, en jouant sur le filtre de ses percep-
tibles d’être instantanément réécrits et tions ou de ses biais cognitifs. Une forme
revus en quasi-temps réel alors que tout de « guerre sans la faire » en somme,
le monde a pourtant encore les faits de la mais qui se livre dans le champ psycholo-
veille en mémoire. gique de l’adversaire.
des faits n’y étant pas monde. Cette année « 1984 » fictive pro-
(2) https://www. le moindre mal mise par Orwell au siècle dernier, n’est-elle
diplomatie.gouv.fr/fr/
politique-etrangere- à gérer par les Etats pas définitivement devenue notre réalité,
de-la-france/mani-
pulations-de-l-in-
occidentaux. Pour preuve, avec ce présent aux relents de guerre
formation/ les constats du document froide que nous sert quotidiennement
rapport-conjoint-
caps-irsem-les- produit en 2018 l’Amérique de Donald Trump à travers
manipulations-de-l-
information-un-defi-
par l’IRSEM et le CAPS2, ses « faits alternatifs » et sa « post-vérité
pour-nos/ sur les manipulations de » mais aussi la Russie de Vladimir Poutine,
https://www.diplo-
matie.gouv.fr/IMG/ l’information envisagées en pointe sur la désinformation comme au
pdf/les_manipula-
tions_de_l_informa- sans ambages comme bon vieux temps recouvré de l’Union Sovié-
tion_2__cle04b2b6. « un défi absolu pour nos tique ? L’avenir glorieux que nous réserve
pdf
démocraties ». la Chine de Xi Jinping n’est pas en reste,
empreint de cette propagande communiste
À titre d’illustration, le grand classique d’antan, mais aujourd’hui mâtinée
de la littérature de George Orwell, « 1984 de technologies intelligentes dernier cri…
» que nous évoquions plus haut ne disait Ne sommes-nous pas en train de basculer
pas autre chose. Il figure toujours parmi subrepticement dans une ère de « post-
les meilleures ventes de livres à travers vérité intégrale », au risque de briser
le monde ! L’auteur y préfigurait déjà ? irrémédiablement sur ces récifs le socle
en 1949, comment le pouvoir politique de nos sociétés occidentales ? La question
fictif, qu’il dépeignait à travers son œuvre, se pose indubitablement, un peu
contrôlait drastiquement les esprits et les plus chaque jour.
cœurs de ses citoyens en manipulant sans
vergogne la vérité des faits. Dans son cha- La Revue : Est-ce que les attentes
pitre IX, Orwell y avait rédigé cette injonc- des différents Etats en matière
tion parfaitement annonciatrice des périls d’implication des GAFAM
qui nous guettent : « Pour diriger dans la régulation des contenus
et continuer à diriger, il faut être capable de ne rencontrent pas un frein
modifier le sens de la réalité ». C’est dans les modèles économiques
en somme ce que sont en capacité de pro- que ces derniers ont choisi ?
duire aujourd’hui tous ces moyens digitaux Franck DeCloquement : Le paradoxe n’est
sur nos psychés. C’est entre autres le jeu pas mince. Si Mark Zukerberg, le fondateur
auquel s’adonnent les régimes autoritaires emblématique de la multinationale Face-
et populistes à travers la planète, à l’ère book, accepte aujourd’hui l’augure d’un
du Web 2.0. C’est aussi ce que font de meilleur contrôle d’Internet par les États
grandes plateformes sociales américaines, occidentaux, sa posture affable peine à
en croissance constante partout dans le cacher la réalité de son emprise croissante
sur nos vies et notre modèle de démocra- à penser et à concevoir un site web de
tie. Ravir nos attentions collectives, manière à ce que l’expérience utilisateur
les monétiser sans relâche et maintenir soit privilégiée, et demeure la meilleure
nos cognitions individuelles captives possible.
de leurs dédales digitaux, via l’usage
de Dark Patterns, est bien in fine le grand La commercialisation de nos données
jeu des plateformes dites « sociales » personnelles assure de gigantesques
dans leur ensemble. Le principe de ces profits aux firmes géantes de la Tech,
Dark Patterns repose sur un précepte as- essentiellement américaines et toutes sous
sez simple en définitive : inciter l’utilisateur contrat avec le Pentagone. En réclamant
lambda à faire une action qu’il n’aurait pas en mars 2019 une intervention plus mus-
eu l’intention d’effectuer de lui-même sans clée des États dans la régulation du web,
être influencé, si possible sans qu’il s’en récidivant le 10 mai 2019 à l’Élysée aux
rende compte… Le but recherché est, côtés d’Emmanuel Macron, et prônant
par exemple, de collecter ses données pour la France et l’Europe « un nouveau
personnelles plus aisément, de lui faire modèle de régulation d’internet », Mark
ajouter des produits dans son panier Zuckerberg approuvait dans la foulée
utilisateur ou encore de lui faire passer l’appel de Christchurch contre les contenus
plus de temps sur une interface spécifique terroristes, extrémistes et haineux,
afin d’améliorer le trafic du site. L’une des à l’initiative concertée de plusieurs
plus célèbres formes de Dark Pattern dirigeants occidentaux, outre celle de la
connues est le « Privacy Zuckering », en Première ministre néo-zélandaise Jacin-
référence à Mark Zukerberg justement ! da Ardern et celle du président français.
Celle-ci s’opère principalement en cou- Trompe l’œil que tout cela ! Derrière les
lisses, quand vous êtes très progressive- bonnes intentions affichées, l’essayiste
ment invité par la plateforme de réseautage Bruno Patio résume impeccablement cette
social à partager publiquement beaucoup affaire « d’encerclement cognitif » mis en
plus d’informations sur vous-même, œuvre par les plateformes sociales dans
que vous ne le souhaitiez initialement… son ouvrage à succès, « la civilisation
Le sobriquet « Privacy Zuckering » du poisson rouge » : « Les empires éco-
a d’ailleurs fini par s’imposer aux États- nomiques ont créé une nouvelle servitude
Unis pour qualifier ce type de procédé avec une détermination implacable.
qui repose pour l’essentiel sur un « élément Au cœur du système, et au cœur de notre
de design douteux » qui vise à orienter vie quotidienne, un projet caché : l’écono-
ou manipuler le choix de l’utilisateur mie de l’attention. Augmenter la produc-
en ligne. Il s’oppose en cela à « l’UX tivité du temps pour en extraire encore
éthique » (ou design éthique), qui consiste plus de valeur… ». Sur la durée, on évalue
Cybersécurité et protection
des données : pourquoi les entreprises
sont-elles plus exposées après la crise ?
Par Marie de Freminville
D
Diverses raisons expliquent l’exposition
aux risques cyber de l’ensemble
des organisations : le contexte imprévu
et anxiogène, la désorganisation du cadre
encore vu le jour pour des raisons politiques
ou culturelles, de résistance au changement
ou de cyber risques. Nous avons assisté au
développement du télétravail, de la signature
de travail et des comportements inadap- électronique, à la création de nouveaux sites
tés, et des dispositifs de cyber sécurité e-commerce, et à l’utilisation croissante
insuffisants (outils, gouvernance, proces- d’outils collaboratifs (partage de fichiers
sus, ressources, formation). Il est temps ou réunion en visio-conférence).
de définir une stratégie de cybersécurité.
La prochaine crise sera numérique ! La crise COVID-19 a forcé les entreprises
(même les grandes entreprises qui n’avaient
Il n’a échappé à pas anticipé une telle situation) à prendre les
personne que la crise dispositions nécessaires pour une grande
Covid-19 a été un accé- partie des effectifs et sur une durée incon-
lérateur exceptionnel nue : achat de PC portables, transport
de transformation numé- de PC fixes au domicile ou encore utilisation
rique : de nombreuses de PC privés à des fins professionnelles…
initiatives ont été prises
dans l’urgence pour Revers de la médaille : cette période a consi-
réaliser des opérations à dérablement augmenté la surface d’attaque
distance (vente, adminis- et l’exposition au risque de vol de données,
MARIE
DE FREMINVILLE tration, communication de fraude ou de demandes de rançons.
Présidente de interne, gestion de pro- Elle a aussi été la révélatrice de la dépen-
Starboard Advisory jets…) qui n’avaient pas dance des entreprises au numérique,
qui permet de faire fonctionner l’écono- navigation sur le Web, achats en ligne
mie et de maintenir le lien social. Le SI est et utilisation des réseaux sociaux.
devenu, pour la plupart des entreprises,
des collectivités locales ou des hôpitaux, La crise sanitaire est anxiogène et les in-
un organe vital sans lequel l’organisation ternautes sont vulnérables. Les cybercrimi-
peut être paralysée ! Une fuite de données nels le savent très bien. L’état de confusion
stratégiques ou personnelles peut avoir et d’anxiété des collaborateurs engendrent
des conséquences mortelles ou fragiliser de mauvaises manipulations et la pandé-
durablement l’entreprise, mais aussi ses mie est donc une excellente opportunité
parties prenantes. pour tromper la vigilance des utilisateurs.
Faire la cyber autruche et attendre l’at- Les nouvelles attaques liées au Covid-19
taque pour intervenir n’est pas recomman- (malwares, attaques DNS, noms de
dé ! domaines frauduleux, faux sites, spams,
phishing, faux installeurs) sont nombreuses
Certaines entreprises en ont en effet déjà
et ne sont pas identifiées par les systèmes
subi les conséquences : la mutuelle MMA
de sécurité. Entre le 9 mars et le 23 mars,
a demandé aux collaborateurs de rappor-
316 523 nouveaux sites factices relatifs
ter leur matériel informatique, pour le sécu-
au Coronavirus ont été repérés, ayant pour
riser. Par ailleurs, les salariés ont été priés
objectif de voler des identifiants et d’adres-
de revenir sur site, sauf cas particulier.
ser des malwares sur les postes de travail
D’autres organisations, telles que Rabot
qui n’ont pas été mis à jour.
Dutilleul, Bolloré Transport & Logistics,
Faro Technologies, ou encore le Conseil
Les mobiles sont aussi des vecteurs
départemental d’Eure-et-Loir, ont été
attaquées récemment… d’attaque. De fausses applications
exploitent la crise du Coronavirus
Pourquoi les entreprises sont-elles et accèdent aux photos, vidéos, fichiers,
plus exposées après la crise ? à la localisation du terminal, ainsi qu’à
Première raison : le contexte de crise l’autorisation de prendre des photos
sanitaire a en effet facilité la tâche des et d’enregistrer des vidéos. Des courriels
cybercriminels, qui n’attendent pas long- et SMS usurpant la marque de grandes
temps avant de saisir une nouvelle enseignes (de la vente en ligne, de socié-
occasion d’attaquer. Créatifs et rapides, tés de transport, de banques, d’adminis-
ils profitent du fait que la surface d’attaque trations ou d’ONG) ont permis de récupé-
a naturellement augmenté pendant rer les identifiants et les mots de passe de
la crise : utilisation accrue d’Internet, leurs utilisateurs.
Enfin, des campagnes de phishing prenant (1) https://www. Selon l’étude Trend
l’apparence d’outil de visioconférences trendmicro.com/
fr_fr/about/news-
Micro1, les salariés
récoltent ainsi les informations d’identifica- room/press-re prennent des libertés avec
tion des utilisateurs via des courriels (2) https://www. les règles de l’entreprise :
tessian.com/
ou encore un lien qui invitent le destinataire research/the-state-
56% reconnaissent utiliser
à cliquer pour activer son compte en le of-data-loss-preven- au moins une application
tion-2020/
redirigeant vers une page web frauduleuse personnelle sur leur outil
afin qu’il y saisisse ses identifiants. de bureau, et 64% ont déjà téléchargé des
Un autre type de mail prétexte une réunion données de l’entreprise vers cette applica-
manquée, comprenant un lien vers une tion. 80% admettent utiliser leur PC
fausse page d’identification. Les niveaux professionnel pour un usage personnel sur
de sécurité de ces plateformes sont divers Internet.
(des études ont été publiées à ce sujet).
Selon une étude publiée par Tessian2,
Deuxième raison : le cadre de travail la moitié des employés admettent qu’ils
est désorganisé à la fois pour les utilisa- prennent des raccourcis en télétravail en
teurs et pour les équipes informatiques matière de cybersécurité, comme le par-
et de sécurité. tage de fichiers confidentiels par courrier
Quelle cybersécurité
collective face aux innovations
numériques ?
Par Myriam Quéméner
L
La période que nous vivons après
le déconfinement est propice à faire
le point sur la mobilisation des acteurs
pour renforcer la cybersécurité dans un
secteurs entiers d’assurer la continuité
de leur activité. La crise sanitaire liée
à la covid 19 a conduit à de nouveaux
comportements numériques avec notam-
esprit à la fois collectif et collaboratif ment un recours accru au télétravail, souvent
désormais indispensable. En effet, développé de façon empirique voire risquée.
il apparait très clairement une montée
en puissance des cyberattaques ampli- En outre, les innovations numériques
fiée par un climat anxiogène et d’improvi- exploitant massivement les données, allant
sation numérique qui nécessite une mo- des cryptoactifs à l’intelligence artificielle,
bilisation sans faille de tous les acteurs, ne sont souvent pas ou
(1) M. Quéméner,
publics et privés. L’exemple du domaine C.Wierre, F. Dalle,
imparfaitement règlemen-
de la e- santé est à cet égard très parlant. quels droits face tées ce qui n’échappe pas
aux innovations
numériques ? aux cybercriminels1 tant
Lextenso 2020.
Le cyberconstat l’écosystème numérique
La crise mondiale, qui a (2) M. Quéméner,
le droit face
est disruptif2. Si le numé-
émergé à la suite de la à la disruption rique apparaît plus que
numérique,
pandémie de COVID-19, Lextenso 2018. jamais incontournable, tant
a touché tous les pour le secteur privé que
MYRIAM secteurs d’activités éco- public, il soulève également de nombreuses
QUÉMÉNER nomiques et humaines interrogations au niveau de la cybersécurité,
Avocat général de nos sociétés. Durant notamment à l’heure où les données
près la Cour d’appel
de Paris.
cette période, la digita- représentent une valeur essentielle pour
Docteur en droit lisation a permis à des les entreprises.
à l’échelle européenne le
(5) https://www.ssi.
gouv.fr/entreprise/ Cyber Security Act 5 devient
reglementation/cy-
bersecurity-act-2/ le cadre législatif qui
permettra d’homogénéiser
le niveau de certification des systèmes
informatiques au sens large.
© DACG – ANSSI
contrer les attaquants qui, par exemple,
mettent en commun leurs informations sur
les failles à exploiter. Désormais, les acteurs
économiques doivent mettre en place des
stratégies de défense face aux attaquants. Un exemple de partenariat qui a une incidence
directe sur l’assainissement du système
de sécurité des entreprises et sur la gestion
La coopération « public-privé » en matière de la crise occasionnée par une cyberattaque.
de cybersécurité est cruciale et doit être au
cœur de toute politique menée à l’échelle de
l’Union. C’est l’idée maîtresse qui irrigue et Les enjeux induits par une telle attaque vont bien
structure l’émergence d’un « État régulateur », au-delà de la perte de données ou du paiement
via la prise en compte politique et l’organisa- d’une rançon. En effet, les organisations vic-
tion progressive du secteur de la cybersécuri- times doivent faire face à de nombreuses autres
té au sein de l’Union. conséquences. C’est pourquoi il est recomman-
dé de mettre en place une cellule de crise au
Ce renforcement de la collaboration entre plus haut niveau de l’organisation, indépendante
acteurs se réalise aussi au niveau des des groupes opérationnels de travail qui auront
institutions elles-mêmes, par exemple entre le des responsabilités de pilotage et d’exécution.
ministère de la Justice et l’ANSSI, Les attaques par rançongiciels connaissent une
ainsi qu’en témoigne augmentation sans précédent.
(6) https://www.
ssi.gouv.fr/ le guide récent de bonnes
uploads/2020/09/
anssi-guide-at-
pratiques préventives et L’exemple de l’e-santé
taques_par_ran- réactives face aux rançongi- Le champ de la santé est particulièrement
congiciels_tous_
concernes-v1.0.pdf ciels6. Dans ce guide, trois concerné par la cybersécurité car les données
victimes d’un rançongiciel numériques de ce domaine sont particulièrement
en 2019, livrent un témoignage éclairant à sensibles et convoitées par les cybercriminels
destination des entreprises et des collectivités. et le sujet défie les frontières7. À cet égard,
le ministère des solidarités sence international qui devrait aussi être évoqué
(7) https://www.
enisa.europa.eu/ et de la santé a réalisé une dans le cadre du G7.
publications/good-
practices-for-the-se- campagne d’information : «
curity-of-healthcare-
services
santé 2022, un engagement Le troisième dialogue
(9) https://www.
collectif ». Il est souligné que diplomatie.gouv.fr/ stratégique « France-États-
(8) https://esante. fr/politique-etran-
gouv.fr/sites/ la cybersécurité est une gere-de-la-france/ Unis » en matière de
default/files/ securite-desarme-
media_entity/docu- condition préalable et ment-et-non-pro-
cybersécurité9 s’est tenu à
ments/2019-11-20_ continue de la confiance et liferation/ Paris le 2 janvier 2020. Ces
Dossier_Informa- lutter-contre-la-cri-
tion_Campagne_Cy- de la transformation du minalite-organisee/ deux puissances ont évoqué
bersecurite.pdf la-france-et-la-cy-
système de santé8. bersecurite/ les discussions et les projets
actualites-et-evene- portés à l’ONU dans les
ments-lies-a-la-cy-
Pour se saisir plus rapidement des opportunités bersecurite/ enceintes multilatérales
article/troisieme-dia-
et appréhender les risques spécifiques du numé- logue-strate relatives à la paix et à la
rique, la ministre des Solidarités et de la Santé a sécurité dans le cyberespace,
présenté la feuille de route : « Accélérer le virage les initiatives multi-acteurs, notamment l’Appel
numérique en santé », le 25 avril 2019, qui est le de Paris, ainsi que les enjeux de souveraineté
résultat d’une convergence de l’ensemble des numérique.
acteurs de l’écosystème de la e -Santé.
Par le biais de l’European Union Agency for
Cybersécurité collective Cybersecurity (ENISA), l’Union prône un cy-
sur le plan international berespace de « libertés, commun et ouvert ».
Depuis 2017, la multiplication de cyberattaques Ces valeurs sont partagées par Paris, qui, au
de grande ampleur et médiatisées, comme travers de l’ANSSI, a appelé, en janvier 2020,
Wannacry et NotPetya, ont marqué la nécessité à l’approfondissement de la souveraineté
d’un cadre normatif commun dans un nombre européenne dans le domaine cybernétique. Les
croissant de domaines. enjeux liés au domaine cyber conduisent à agir
sur plusieurs fronts simultanément : l’Europe et
L’Europe constitue l’échelon naturel et souhai- l’international. Cet engagement, tous azimuts,
table pour promouvoir une vision souveraine est visible également dans nombre d’institu-
de la cybersécurité et exprimer ses valeurs sur tions au sein desquelles le pays s’investit. Par
la scène internationale. En plaidant pour une exemple, les délégations françaises ont été les
approche ambitieuse de la cybersécurité tournée premières à s’être rendues au Centre d’Excel-
vers l’économie et la société, la France apporte lence de Cyberdéfense Coopérative de l’OTAN
sa pierre à la construction d’un édifice législatif depuis le début de la pandémie. La France voit
en matière de cybersécurité et développe une également en l’OSCE une instance tout à fait
politique d’échange au sein de l’écosystème apte à accompagner le développement normatif
numérique. La cybersécurité est un sujet par es- en matière cyber.
L
La criminalistique numérique a été
popularisée avec le développement et la
diffusion des séries télévisées telles que
NCIS ou « Les experts ». À ses débuts,
également présentes dans des activités
criminelles impliquant l’utilisation
d’un appareil informatique ou numérique,
comme dans les cas de trafic
elle résulte de demandes opérationnelles ou de blanchiment d’argent dans lesquels
des Forces de Sécurité Intérieure (FSI), l’appareil numérique constitue le vecteur
dans le cadre d’une enquête sur un crime de l’infraction.
impliquant l’appropriation du système
informatique, généralement un ordinateur À cette diversification du périmètre infraction-
personnel, un téléphone portable ou un nel et des usages s’ajoutent de nouveaux
serveur. Cependant, défis techniques. Le développement des
les enquêtes médi- écosystèmes connectés à Internet confronte
co-légales numériques la médecine légale à des dispositifs et des
ne se limitent pas aux environnements hétérogènes, étendus et
affaires de cybercrimi- interconnectés avec de fortes dépendances.
nalité telles que l’accès La donnée probante se retrouve fragmentée
ou sa tentative non et dispersée au gré de la politique de gestion
FRANÇOIS
BOUCHAUD autorisés à un système de la donnée, tant au niveau du stockage
de traitement automa- que de la synchronisation dans le réseau.
Capitaine
de Gendarmerie. tisé de données ou la Cette structuration de l’espace numérique
Chef du département diffusion de contenus et physique constitue donc un tournant
coordination
du Centre de lutte d’exploitation sexuelle dans l’analyse et la compréhension des phé-
contre les criminali- de mineurs. De plus nomènes, nécessitant une contextualisation
tés numériques
(C3N). en plus, elles sont de la donnée et de sa diffusion.
être orientées et motivées en fonction des bracelets connectés [4], des assistants
informations recueillies localement, en par- vocaux [5] et plus globalement de tout dis-
ticulier dans l’identification de l’équipement positif connecté de la vie quotidienne [6].
et des données remontées. Cependant, les traces obtenues résident
en de nombreux fragments contenus
Chaque infrastructure est caractérisée dans une pluralité de supports d’un même
par une politique de gestion de la don- réseau, susceptibles d’évoluer à travers
née unique. Par exemple, le Terraillon Dot le temps et l’espace. Afin qu’elle ne soit
est synchronisé manuellement alors que pas parcellaire, l’analyse ne doit pas se
l’Apple Watch utilise une synchronisation focaliser sur l’étude d’un unique objet mais
automatique. De même, la caméra Orvibo sur l’infrastructure connectée dans son
utilise un stockage externe comme intégralité. Elle consiste donc à étudier
mémoire tampon dans la communication la donnée selon trois axes : le temps en
avec le réseau. La donnée remontée se définissant la chronologie des évènements
retrouve alors dispersée au sein du réseau et des phénomènes itératifs, l’espace en
au gré des configurations et des services positionnant la donnée dans l’infrastruc-
proposés. Un équipement est susceptible ture et au regard de l’environnement local
d’être contrôlé ou accessible à partir et le contexte de l’évènement au regard
d’un autre appareil du système, selon une des rôles et des actions des équipements
structure de lien caché. La donnée se face au phénomène. Par cette approche
propage dans les équipements du réseau, ternaire, l’enquêteur cherche à déterminer
concourant ou non à l’objet cible [3]. le cycle de vie de la donnée retrouvée,
Cette problématique soulève plusieurs afin de la qualifier, et établir sa cohérence.
questions pour la criminalistique moderne Dans le but de procéder à une analyse
sur le partage et le recoupement des infor- pertinente des événements, il est néces-
mations afin de reconstituer la chronologie saire d’étudier l’information au regard
des événements. Elle met à mal une d’un horodatage commun, défini à partir
approche statique et unitaire des éléments des caractéristiques techniques des
de la scène de crime, en s’inscrivant dans appareils étudiés.
une approche plus globale de la chose.
Par exemple, en étudiant les journaux
3- Exploitation et analyse des données d’évènements contenus dans la passerelle
recueillies et l’application Philips, l’événement «lampe
La littérature scientifique est riche de allumée» est horodaté. Cependant, il doit
nombreux travaux dans l’étude des so- être caractérisé plus précisément. S’agit-il
lutions connectées et de leurs artefacts, d’une action de l’utilisateur par le biais de
que ce soit au travers des montres, des l’application téléphonique, d’un interrupteur
externe, du signal d’un capteur ou hypothèses sur le lieu du meurtre et les cir-
d’une commande vocale au travers de constances. Ces informations doivent être
l’Amazon Echo ? A-t-elle été effectuée mises en perspective avec les données
par un utilisateur connu ? S’agit-il d’une médico-légales recueillies sur la scène
action programmée ? Pour chaque ques- de crime et sur la victime. Par ailleurs,
tion, une donnée unique est associée. les données numériques sont en mesure
Cette approche analytique est générali- d’orienter certaines investigations comme
sable à tous les objets de l’infrastructure des relevés de traces biologiques sur la
connectée. Ces informations déterminent scène de crime en fonction du parcours
les acteurs étant intervenus sur et dans criminel du mis en cause. Sur une habita-
l’événement, leurs positions en fonction tion de plus grande taille, ces informations
des objets, les actions effectuées aident à délimiter et à discriminer une zone
ou détectées et la réponse des objets d’étude en définissant une stratégie d’in-
aux différentes sollicitations. vestigation en cohérence avec les données
relevées. Les objets connectés donnent
Ainsi, les équipements regroupent des la possibilité de vérifier des hypothèses de
données de contexte (une configuration travail en apportant de nouveaux éléments
physique et logique d’un lieu, une habitude matériels, comme par exemple un mo-
de vie, un enregistrement sonore ou vidéo, bile incohérent avec un mode opératoire.
etc.) et des données à caractère personnel L’étude de la chronologie des évènements
(une identité du consommateur de service, peut également renseigner
des informations numériques et de biomé- sur une éventuelle préméditation dans
trie, etc.). Ces informations offrent la logique criminelle.
aux enquêteurs la possibilité de reconsti-
tuer la succession des évènements avant
et après l’incident. Ainsi, à partir des
premiers éléments numériques, l’enquêteur
est en mesure de dater l’intrusion dans
le domicile de la victime avec le capteur
de la porte d’entrée, le parcours du mis
en cause avec le système domotique
Orvibo corroboré par le mouvement
du Sen.se Cookie (9), ainsi que l’heure
du décès de la victime. Il peut constater
l’absence de modification de la scène
de crime comme un déplacement du corps
de la victime post-mortem, émettre des
Cybermenaces :
la transition numérique de la police
Par Olivier Ribaux et Thomas Souvignet
L
(1) https://third.
digital/
NDLR : cet article
a été initialement publié
dans la revue Third1
en novembre 2020.
ne prêtons même plus attention aux
tentatives d’hameçonnage qui pullulent
dans nos boîtes de « spam » (pourriels).
technique et scientifique, effectué une la Police dans un délai aussi court. Même
enquête de voisinage et saisi les images dans un contexte de confiance Police-
de vidéoprotection disponibles. Quand bien Nation aussi fort qu’en Suisse, où la Police
même nous enseignons à nos étudiants est régulièrement sollicitée pour
ces pratiques, nous aurions entièrement des renseignements de toutes natures,
« confié » ces opérations à la Police. nous considérions tacitement qu’elle
n’aurait pas les ressources pour traiter
Dès lors, pourquoi n’avons-nous pas immédiatement notre petite attaque.
agi de la même manière avec cette cybe- N’aurait-elle pas agi immédiatement si l’on
rattaque dont nous avons été victimes ? tentait de s’en prendre à nos biens dans
Parce que nous n’avions pas « confiance » le monde physique ?
en la réponse que pourrait apporter
L
La confiance en un produit de cyber-
sécurité ne se décrète pas. Si on parle
de confiance objective, elle s’obtient en
faisant certifier ou qualifier le produit.
les Réseaux Privés Virtuels (VPN),
les antimalwares, l’authentification forte,
le chiffrement, concourent à diminuer
les risques, les effets des cyberattaques
Des standards et des normes existent et et à réduire l’incertitude sur la qualité
sont élaborés par une coopération entre des produits. Elles augmentent ainsi la
pays comme les standards ITSEC pour confiance que les utilisateurs peuvent éprou-
l’Europe et les Critères Communs pour ver vis-à-vis de leur système d’information.
l’international. Elles peuvent garantir la disponibilité,
l’intégrité, la confidentialité et la traçabilité
De l’Orange Book à des process et des data, surtout quand
la qualification, en celles-ci sont sensibles. Cependant,
passant par l’ITSEC, le problème des logiciels de sécurité est que
les Critères Communs ce sont des logiciels ou des solutions qui
et la CSPN, cet article reposent sur des logiciels, or tout logiciel
explore ces différentes comporte des vulnérabilités. Les plus dan-
préconisations. gereuses sont celles qui sont encore peu
GÉRARD PELIKS
connues et qui n’ont donc pas de correctifs
Association Vers une confiance largement distribués. Un outil de cybersé-
des Réservistes
du Chiffre objective et internatio- curité est-il adapté pour contrer les cybe-
et de la Sécurité nale pour un produit rattaques auxquelles il est censé faire face
de l’Information.
Réserve citoyenne de cybersécurité ? Les fonctionnalités prétendues sont-elles
cyberdéfense. Les solutions de sécuri- réelles et efficaces ? Le logiciel comporte-t-il
Gendarmerie
nationale. té, comme les pare-feux, des fonctionnalités cachées ? Le développe-
ment du produit est-t-il compatible avec la validée par un diplôme, que ces tests ont
sécurité attendue ? été réalisés par un organisme indépendant
et que le résultat a reçu l’aval d’un orga-
Quelle confiance objective peut-on nisme d’état. On veut être persuadé que
accorder aux solutions de sécurité ? deux produits, qui assurent les mêmes
Qui est garant de la confiance que ces fonctionnalités, ont passé les mêmes tests,
solutions feront ce pour quoi elles sont avec le même degré d’exigence,
installées et tout ce qu’elles doivent faire sur une surface équivalente des produits.
dans des conditions réelles de telle On obtient alors une assurance de sécuri-
ou telle attaque ? té objective qui, de plus, permet de com-
parer deux produits de la même famille.
On pourrait penser qu’un produit de
sécurité est lui-même sécurisé et assume Pour que cette confiance en un produit
bien son rôle si une organisation, dont la puisse être formalisée, elle doit reposer
sécurité repose sur le même produit, n’a
sur des méthodes d’évaluation de risque
jamais exprimé un avis négatif. On pourrait
et sur la fourniture de preuves qualifiées et
penser que, si un produit de sécurité est
infalsifiables, mais elle doit s’appuyer aussi
développé ou commercialisé par une orga-
sur une autorité de confiance, universel-
nisation qui a bonne réputation, ce produit
lement reconnue. Ces méthodes et ces
est sûr. On pourrait penser que, plutôt que
preuves peuvent apporter une confiance
de comparer deux produits, il est préfé-
objective en la sécurité d’un produit.
rable de comparer la réputation de leurs
concepteurs. Cette confiance n’est que de
De l’Orange Book à la CSPN,
la confiance « subjective ».
des alliances se dessinent
On peut considérer qu’un produit de Dans les années 80, les USA ont adopté
sécurité assure sa fonction, n’assure que l’Orange Book (ou TCSEC), certification
sa fonction et toute sa fonction, que s’il est américaine fruit d’un appel d’offre émis
passé au travers d’une batterie de tests par le NIST1. L’Orange Book définissait
menés par des experts et validés par des niveaux de sécurité allant du niveau D
un organisme officiel. Bien sûr, ce sont (le moins exigeant) au niveau A,
les mêmes tests pour tous les produits de mais qui ne permettaient pas d’avoir
la même famille, qui poussent à un niveau des critères de comparaison entre
suffisant les contrôles sur toute la surface plusieurs produits de la même famille.
des fonctionnalités attendues de ce produit Ces certifications américaines définies
et avec une profondeur suffisante. On peut par l’Orange Book allaient-elles être
vouloir vérifier, par une certification reconnues en Europe ?
des parties du code source du produit. et pour des domaines techniques très
spécifiques, comme les microcontrôleurs,
Au-delà commence le domaine de la jusqu’au niveau EAL7.
certification par des technologies mettant
en œuvre des méthodes de développe- La CSPN, une voix de la France
ment plus spécifiques et rigoureuses. On dans le concert des certifications
commence alors à parler de spécifications Pour établir le niveau de confiance qu’on
semi-formelles. Le plus haut niveau, EAL7, peut accorder à un produit de sécurité face
impose des spécifications formelles à certaines attaques, les « Critères
exprimées dans un langage syntaxique Communs » sont efficaces, reconnus
basé sur des concepts mathématiques. internationalement, mais ils demandent
un travail très conséquent car ils sont chers
S‘engager dans une démarche de certifica- et longs à obtenir. Si le coût et la durée
tion « Critères Communs », c’est emprunter de la certification sont un obstacle, il existe
un chemin long, sinueux et coûteux.
une autre certification. L’ANSSI a créé, en
Cela suppose un travail important qui peut
2008, la CSPN, Certification de Sécurité
s’étaler sur plus d’un an. Le coût d’une
de Premier Niveau, solution suffisante
certification EAL4 peut s’élever à plus
quand le niveau de confiance visé n’est
de 100 000 euros qui seront versés à un
pas élevé. Elle consiste en des tests en
CESTI, l’organisme d’experts qui va effec-
« boîte noire » effectués en temps et délais
tuer les tests et monter le dossier
contraints. L’évaluation de sécurité est
d’évaluation qu’il remettra à l’organisme
faite, comme pour les Critères Communs,
officiel de certification. Il faut aussi compter
les ressources que le commanditaire par un centre d’évaluation (CESTI) agréé
de la certification doit mettre en œuvre par l’ANSSI. Il faut compter 25 jours
en interne. Bien entendu plus le niveau pour qu’un produit obtienne, si les tests
de certification à atteindre est élevé, plus la sont concluants, une certification CSPN
surface de la cible de sécurité est étendue, ou 35 jours si le produit comporte aussi
plus le travail et le budget à prévoir sont des éléments de cryptographie.
conséquents. Enfin, pour avoir une chance
d’atteindre la certification souhaitée, La CSPN est une certification française
le produit doit être dans une version stable mais d’autres pays européens com-
et mature. mencent à nous l’envier et vont sans
doute l’adopter ou l’imiter. Les États-Unis
Des accords de reconnaissance mutuelle y pensent aussi. La reconnaissance
européens (SOG-IS) existent jusqu’au de la CSPN par l’Europe est un des
niveau d’évaluation EAL4, depuis 2010, objectifs de l’ANSSI.
La Blockchain
au service de la sécurité
Par Jacques Favier et Élie Fontana
P
Pourquoi l’armée s’intéresserait-elle
à la blockchain ? Parce qu’en examinant
les cas d’usage déjà développés par
des militaires en France, ce qui est
Transporter de façon sécurisée de l’infor-
mation ou de l’argent, du matériel ou des
pièces détachées est stratégique. Or, la
logistique est l’un des domaines où la mise
actuellement au stade de recherche, en œuvre d’une blockchain aurait des vertus
en répertoriant les obstacles qui restent à tandis que la crise née de la pandémie plaide
lever et en se plaçant dans la perspective pour un intérêt accru des spécialistes de la
des nombreux désordres possibles après sécurité envers une technologie porteuse
la pandémie, le recours à la forme d’une forme spécifique d’ordre.
résiliente d’ordre qu’offre une blockchain
doit être considéré comme une opportu- « La » Blockchain ?
nité pour les visionnaires. Le concept de blockchain a émergé d’une
innovation radicale : Bitcoin. La première
fonction des protocoles qu’il a inspirés
consiste à échanger des jetons numériques.
Bitcoin en 2009 et ses copies privilégiaient
la sécurité absolue de la base de données
et des transactions. En 2014, Ethereum
proposa une blockchain différente, avec
un langage de programmation plus acces-
ÉLIE FONTANA sible et des programmes auto-exécutables.
JACQUES FAVIER Commandant Une troisième génération de blockchain
de l’armée de Terre. regroupe celles (Tezos, Cardano ou EOS)
Cabinet conseil Stagiaire à l’École
« Catenae ». de Guerre. qui permettent une réelle mise à l’échelle
De la genèse de la loi
« Informatique et Libertés » à l’éloge
de la transdisciplinarité
Par Alice Louis
L
(1) Yves Lenoir,
Ingénieur de
« L’unification est un
grand rêve […]. Je me
recherche à l’Ecole
souviens que j’avais été
des Mines de Paris,
« L’interdisciplinarité
frappé, lorsque j’avais lu
(2) La Cybersécurité
est définie
par l’ANSSI comme
suit : « l’état recher-
de gouvernance,
avec l’objectif d’y intégrer
des fonctions capables de
répondre efficacement aux
: aperçu historique
ché pour un sys-
de la genèse d’un«Le jeu des perles de tème d’information nouvelles exigences en
concept ». Cahiers
verre» de Hermann (SI) lui permettant matière de Cybersécurité2.
de la recherche
de résister à des
en éducation, 1995,
2 (2), p 227-265.Hesse» […]. évènements issus
du cyberespace
Cette unification était susceptibles La protection des diffé-
de compromettre
réalisée par le biais de ce jeu de perles la disponibilité,
rentes entités contre les
dont étaient sorties la musique, puis les l’intégrité ou la risques d’atteinte à leur
confidentialité des
mathématiques, etc. et finalement données stockées, patrimoine informationnel
traitées ou
rassemblait toute la connaissance transmises et des est notamment régie par
humaine en une seule pratique. »1 services connexes le Droit de la Cybersécuri-
que ces systèmes
offrent ou qu’ils té - droit pluridisciplinaire3
rendent accessibles.
La genèse de la loi La cybersécurité eu égard à la diversité des
fait appel à des
« Informatique techniques de sé-
bases textuelles
et Libertés » curité des systèmes qu’il englobe.
d’information
L’augmentation sans et s’appuie sur la
lutte contre la
précédent des cyberat- cybercriminalité
taques, depuis la crise et sur la mise
ALICE LOUIS en place d’une
sanitaire, oblige les cyberdéfense».
Consultante https://www.ssi.
en Gouvernance. acteurs du secteur gouv.fr/entreprise/
du Patrimoine public et privé à glossaire/c/ /
Informationnel
& DPO Externe. repenser leur modèle
de « données à caractère
Face à la polémique que le projet personnel ». Il est précisé que la loi
S.A.F.A.R.I suscita, le Premier ministre n° 2016-1321 du 7 octobre 2016 pour
d’alors, Pierre Messmer, s’engagea à une République numérique consacre
le retirer et à créer concomitamment une notamment le droit à l’autodétermination
Commission dite « informatique et libertés informationnelle, qui renforce le consente-
»13. Le rapport Tricot, que cette dernière ment, et la maîtrise des données
publia en 1975, posa les principes post mortem.
généraux de la loi n° 78-17 relative
à l’informatique, aux fichiers et aux libertés, Par ailleurs, le « paquet européen »14, pu-
blié le 4 mai 2016 au Journal Officiel Plus globalement, les 99 articles et les
de l’Union européenne, qui comprend 173 considérants du RGPD traduisent une
le Règlement Général pour la Protection volonté de responsabiliser les entités, qui,
des Données (R.G.P.D), adapté dans tout en veillant à préserver leur équilibre
le droit national par la loi n° 2018-493 économique, devront intégrer une dé-
du 20 juin 2018, enrichit la notion de marche éthique *.
« données à caractère personnel »
avec de nouveaux critères d’identification * FOCUS : LES THÉORIES DE
de l’individu (génétiques, biométriques, L’ETHIQUE
etc.). En outre, il inclut les éléments L’éthique normative forme des théories
qui suivent : qui permettent d’évaluer moralement
les personnes et leurs actions selon les critères
du « juste » et du « bien ».
-E
xigences de proportionnalité
et de limitation (obligation de loyauté, L’éthique appliquée « applique » les normes
de l’éthique normative à des contextes pratiques
finalités déterminées, etc.) (Cf. l’éthique du numérique).
4 832 points de (non) conformité15, riés, etc., démontreront la solidité ainsi que
parmi lesquels : le caractère éminemment transdisciplinaire
de cet acteur de la gouvernance.
-C
hamp d’application
(notamment territorial), Aussi, le DPO saura initier des échanges
constructifs afin d’assurer une collaboration
-F
inalité, licéité, loyauté, transparence, efficiente avec l’ensemble des services, en
consentement et analyse d’impact particulier, avec le DSI et/ou le RSSI.
sur les droits et libertés des personnes, A fortiori, dans un contexte de gestion
de crise où leurs travaux communs
- Politique de sécurité (Chartes utilisateurs, télétravail, Plan
(16) Il conviendra de
vérifier la cohérence (gestion des droits d’Assurance Sécurité, etc.) permettront de
technique de bout
en bout : protection d’accès, chiffrement, déployer un système et des process
des postes
de travail, sécurité
anonymisation, « agiles ». In fine, son « objectif de neutrali-
des réseaux, suppression/purge des sation des risques d’atteinte aux données
du Cloud, etc.
données, etc.16), (18) Gérard Haas, à caractère personnel »18
ibidem.
pourrait représenter
- Stratégie de conservation, l’opportunité pour les organisations
d’adopter une approche plus globale
- Notification des failles de sécurité (CNIL, de la « data », et ce, notamment, en vue
etc.). de valoriser l’intégralité de leur patrimoine
informationnel. Il en ressort, s’agissant
Nonobstant son plan d’action (qui intégrera d’une vision à long terme, que le DPO
les éléments susvisés), pour la mise en se révèle être un véritable levier
œuvre duquel il devra exprimer toutes ses de développement.
capacités de sensibilisation, parfois même
d’influence, le DPO doit déterminer Propos conclusif
(17) Gérard Haas, « la doctrine de l’entre- Le projet architectural majeur du vingt
ibidem.
prise »17 - à titre et unième siècle sera d’imaginer,
d’exemple, celle de «l’Intérêt légitime» qui de construire et d’aménager l’espace
exonère le responsable de traitement interactif et mouvant du cyberespace.
d’obtenir un quelconque consentement.
Le rôle de l’informatique et des techniques
Son expertise, sa parfaite compréhension de communication à support numérique
de l’activité, sa maturité pour la direction / ne serait pas de «remplacer l’homme »
le pilotage de projets et son sens aigu de la ni de s’approcher d’une hypothétique
communication auprès d’interlocuteurs va- « intelligence artificielle» (forte), mais
1er trimestre 2021 Revue de la Gendarmerie Nationale 147
DOSSIER
I
Par Denise Gross
(2) Le vishing déclarée en mars par (6) La fraude 419 arnaques 4196, arnaques
est l’utilisation (aussi appelée scam
de la technologie
l’OMS a bouleversé les 419, ou arnaque
au président (FOVI),
VoIP (voix sur IP) individus, les entreprises, nigériane) consiste escroqueries sur des
dans le but à promettre la
de duper quelqu’un les organismes et les survenance d’une plateformes de commerce
en lui faisant grosse somme
divulguer de l’infor- États. La surexposition d’argent dans le électronique et des
mation personnelle des utilisateurs sur futur, exigeant campagnes de désinfor-
et/ou financier. de la victime qu’elle
Internet, le stress, communique des mation. La majorité des
(3) Smishing est la éléments d’identité
contraction de SMS l’infobésité, le partage bancaire ou qu’elle prétextes a été construite
et de Phishing. On fasse un paiement
l’appelle également
impulsif de contenus en amont afin de
autour de l’évolution de la
Hameçonnage par anxiogènes ainsi que la permettre la réalisa- maladie et de la diffusion
SMS. Le smishing tion du gain à venir.
est un message crise économique, La dénomination de moyens de prévention,
texte envoyé à un 4-1-9 vient du
utilisateur sur son politique et sanitaire numéro de l’article des mesures écono-
téléphone dans le
but de l’inciter
et enfin l’augmentation du code nigérian miques pour faire face
sanctionnant
à partager ses don- de barrières techniques ce type de fraude. à la crise, des systèmes
nées personnelles,
ou télécharger de protection des (7) D’après le de paiement en ligne,
un virus ou un support technique
programme
systèmes d’information de Twitter : https://
de l’offre de produits
malveillant à son ont largement contribué twitter.com/Twitter- et de services nécessaires
insu. Support; https://
à l’épanouissement blog.twitter.com/ dans le cadre de la pandé-
(4) Le spear- en_us/topics/com-
phishing de l’ingénierie sociale. pany/2020/an-up- mie. Nous devons aussi
(littéralement pêche
au harpon)
Elle se nourrit de ces date-on-our-secu- mentionner des attaques
rity-incident.html
est un mélange facteurs personnels Voir aussi : FREN- telles que : grooming,
de techniques KEL, S., POPPER,
classiques de phi- et situationnels pour N., CONGER, K. sextorsion, chantage
shing et d’ingénierie & SANGER, D.,
sociale. Ce volet
préparer des attaques A Brazen Online
à la webcam. Il ne faut pas
ingénierie sociale rentables, avec un taux Attack Targets V.I.P. oublier les attaques
permet de cibler Twitter Users in a
l’attaque en utilisant de réussite plus favorable Bitcoin Scam, The physiques, si l’on pense
des thèmes liés New York Times
au travail quotidien qu’en temps normal. [page consultée le au nombre d’escroqueries
ou aux intérêts
de la cible.
17 juillet 2020], dis- et de vols signalés suite
ponible sur : https://
Une simple consultation www.nytimes. à des faux contrôles ou
(5) Le ransomware com/2020/07/15/
est une forme sur des sites spécialisés technology/twitter- des fausses campagnes
dangereuse de hack-bill-gates-elon-
et des plateformes
logiciel malveillant musk.html
de détection de la COVID.
de signalement permettra
qui s’infiltre dans les
ordinateurs et les
appareils mobilesau lecteur de constater 1.2. Twitter : une attaque « mémorable »
pour kidnapper des
que la plupart des
fichiers précieux et d’ingénierie sociale
cyberattaques commises
les garder en otage. Le 15 juillet 2020, un groupe d’employés
cette année, constituent de la plateforme Twitter a été visé par un
des faits: phishing, vishing2, smishing3, « phone spear-phishing attack »7. Une sorte
spear-phishing4, ransomware5, de chaîne d’authentification s’est produite
dans le sens où les identifiants des cibles Twitter a confirmé que c’était une attaque
initiales ont servi à accéder au système, d’ingénierie sociale et rappelé l’importance
puis à collecter des informations concer- du rôle de l’employé en charge de ce type
nant le fonctionnement interne de la boîte de service. Le réseau a annoncé le
et ensuite à viser d’autres employés ayant renforcement des moyens de détection
des privilèges, notamment, des droits et de prévention des accès non autorisés
d’accès aux outils de support des comptes à ses systèmes, par exemple, à travers
Twitter (« account support tools »). Grâce des campagnes de phishing. Or, à aucun
à ces derniers, les attaquants ont touché moment il n’affirme que ce fait ne se
130 comptes de personnalités publiques, reproduira pas, au contraire, il s’engage à
dont Joe Biden, Bill Gates, Elon Musk, communiquer ouvertement les informations
Jeff Bezos, et d’entreprises comme à chaque fois qu’un incident comme
Apple et Uber. Ils auraient tweeté depuis celui-ci sera détecté. Par conséquent,
45 comptes compromis, accédé aux il y a beaucoup de travail à faire pour
messages privés (DM) de 36 comptes conserver la confiance des internautes.
et téléchargé l’historique et les données
stockées sur 7 comptes. Nous avons ici 2. L’utilisateur dans le cadre
une double attaque d’ingénierie sociale, de la prévention et de la détection
car elle a été appliquée dans un premier des stratégies d’ingénierie sociale
temps contre le personnel de Twitter Selon l’ANSSI, la cybersécurité représente
puis aux abonnés au travers des tweets. un « état recherché pour un système
En usurpant l’identité de ces célébrités, d’information lui permettant de résister
les attaquants ont sollicité du public à des événements issus du cyberespace
un investissement initial en bitcoins, susceptibles de compromettre la disponibi-
en leur promettant de recevoir le double lité, l’intégrité ou la confidentialité des
de cette somme ultérieurement. données stockées, traitées ou transmises
La confiance qu’inspire un milliardaire, et des services connexes offrent ou
le fait qu’il décide d’aider les gens parce qu’ils rendent acces-
(8) Glossaire ANSSI :
que « c’est le moment » pour le faire, https://www.ssi. sibles »8. Or, force est de
l’ambition des abonnés, le sens d’urgence gouv.fr/entreprise/
glossaire/c/
constater que l’ingénierie
(l’offre n’était valable que pendant 30 sociale ne peut pas être
minutes), révèlent l’efficacité des circonscrite au cyberespace. Elle existait
techniques d’influence sémantique. bien avant son apparition. Elle est transver-
En quelques heures, les victimes sale, elle combine le monde physique
de cette arnaque aux cryptomonnaies et l’espace numérique, elle bouleverse
auraient transféré 120.000 dollars environ la « sécurité » que nous devons aborder
à l’adresse indiquée dans les posts. de manière intégrale pour ne pas
S’il s’agit d’une situation plutôt objective 2.1. Sans éducation la (cyber)sécurité
ou bien d’un objectif à atteindre : demeurera une utopie
comment peut-on garantir notre L’éducation est la base de toutes
sécurité dans ce contexte difficile nos préconisations. Les risques liés
et à l’avenir ? C’est ici que nous pourrions aux usages d’Internet doivent être abordés
penser à l’adaptation du concept dès l’école primaire. Il faut accélérer la prise
de sécurité collective aux internautes de conscience et travailler sur le discerne-
ainsi qu’aux différents secteurs d’une ment des utilisateurs, surtout en ligne.
société. La solidarité, le partage La maîtrise des nouvelles technologies
d’expériences, la répartition équitable n’est pas synonyme d’une réelle compré-
des responsabilités et une volonté hension des cybermenaces.
de protection mutuelle doivent fonder toute
initiative sécuritaire. La cybercriminalité 2.2. Pentesting : un usage positif
se propage lorsque les cyberattaquants de l’ingénierie sociale
s’organisent. Il serait donc intéressant Ces tests devraient être mis en place, de
de penser comme eux et de collaborer manière périodique, dans tous les
(10) Pentester
organismes car ils nous pour aborder correctement ce sujet.
est la contractionaident à réfléchir comme Il a pour mission la structuration des
de « penetration
test », test un ingénieur social, échanges entre des hackers (dans le bons
d’intrusion
en stimulant notre esprit
en français. Le rôle sens du terme), des experts en sécurité,
de ce profession-
nel de la sécurité
critique, et à apprendre des experts judiciaires, des psychologues,
informatique est à gérer les crises. L’usager des criminologues, des avocats,
de trouver toutes
doit se sentir encouragé
les failles de sécurité des membres des forces de l’ordre,
d’un système puis
de procéder à des
à s’adapter aux outils et à des ingénieurs en informatique, des RSSI,
tests d’intrusion,travailler sur ses erreurs des professeurs et des chercheurs,
autrement dit des
sans avoir été humilié
attaques contrôlées afin d’étudier en profondeur l’ingénierie
grandeur nature.
ou pénalisé à cause de sociale et de proposer des recommanda-
cela. L’employeur et la hiérarchie jouent ici tions. Le GIIS participe à des manifesta-
un rôle central. Du côté du pentester10, il ne tions académiques. Il offre des formations
faut pas oublier la barrière légale et éthique en interne, en externe et « s’auto-forme »,
qui le distinguera d’un cyberdélinquant. car les formateurs sont à la fois instruits
par leurs propres collègues, en fonction de
2.3. L’initiative GIIS : un exemple leurs métiers. Parallèlement à ces activités,
argentin de collaboration le GIIS se divise en sous-groupes dédiés
multidisciplinaire à des axes de recherche spécifiques
Quant à la coopération, les partenariats et temporaires. En outre, les partenariats
sont fondamentaux. Le monde acadé- qui se développent avec des ONG
mique représente un terrain d’entente entre et les forces de l’ordre favorisent
les différents secteurs car il s’agit d’une la collaboration du groupe à des projets
usine à idées et d’un espace de recrute- innovants, comme par exemple, le
ment d’experts, d’une richesse capable de concours au sein
faire évoluer le marché, les technologies (12) Le renseigne- de l’Ekoparty Security
ainsi que l’ordre juridique et politique d’une ment de sources Conference, dans lequel
ouvertes
société. Ici, nous pouvons trouver des ou renseignement les participants
d’origine sources
réponses holistiques à notre phénomène ouvertes (ROSO), s’engagent à chercher
(en anglais : open
transversal. source intelligence,
sur Internet des enfants
OSINT) est un disparus, en exploitant
renseignement
Le Groupe de Recherche obtenu par une des informations obtenues
(11) Contact : giis@ source d’information
frlp.utn.edu.ar sur l’Ingénierie Sociale publique. à partir des techniques
(GIIS)11 de l’Université d’OSINT12.
Technologique Nationale de La Plata, en
Argentine, est né à partir de la constatation
de la nécessité de réunir des spécialistes
Conclusions et perspectives
Même si les États ont l’obligation d’assurer
la sécurité de leurs citoyens, il n’est pas
possible de faire abstraction du contexte
actuel et de continuer de regarder ailleurs.
Nous devons collaborer pour renforcer
notre sécurité, en ligne et hors ligne.
L’humain est vulnérable mais il n’est pas
faible. La « nouvelle normalité » est aussi
une source d’inspiration pour les ingénieurs
sociaux. La crise que nous sommes
en train d’affronter devrait donc consti-
tuer une opportunité pour que l’utilisateur
puisse trouver la place qu’il mérite.
En attendant, n’oublions pas que l’hygiène
numérique et informationnelle sera toujours
le meilleur geste barrière pour notre
protection et celle de notre entourage.
AUTEURE
De nationalité argentine, Madame
Denise Gross est avocate au barreau
de La Plata. Elle est titulaire d’un Master
II en « sécurité publique », obtenu
à l’Université d’Auvergne et Docteure
de droit pénal et sciences criminelles
de l’Université de Strasbourg, après avoir
soutenu sa thèse en 2019 intitulée :
« L’ingénierie sociale : la prise
en compte du facteur humain dans
la cybercriminalité ».
Parallèlement à ses études, elle a
collaboré avec des ONG à Buenos Aires
dans le cadre de campagnes
de sensibilisation du public aux
les risques d’Internet. Actuellement,
elle poursuit ses travaux sur cette
thématique en tant que coordinatrice
juridique du Groupe de Recherche
sur l’Ingénierie Sociale de l’Université
Technologique Nationale de La Plata.
La part humaine
déterminante face aux crises majeures
et son rôle dans la cybersécurité
Par Daniel Guinier
L
Les grands systèmes, en particulier
ceux du monde cyber sont complexes
et ne sont pas exonérés de crises
majeures. Si l’effet de sidération laisse
la propagation est
rapide du fait de
réseaux, l’ubiquité
du sinistre
en termes d’origine
(1) Avec les risques
à grande échelle, naturelle, accidentelle,
malveillante, erreurs, etc.,
de secteur : cyber, santé,
est constatable,
dubitatif devant l’impensable pour les finances, politique, etc.,
l’impact est décuplé
sceptiques, l’absurdité serait d’être par l’interdépen- d’étendue localisée ou à
dance et la durée,
persuadé que seul advient ce qui a été auxquels s’ajoute grande échelle1 d’impact
une pénurie géné-
envisagé, alors que ces systèmes sont rale de matériels, direct et indirect, plus
peu diversifiés et très interconnectés d’équipements,
de services, de
ou moins grave, de durée
jusqu’au niveau mondial, introduisant compétences, etc. plus ou moins longue
la possibilité d’une crise majeure systé- suivant plusieurs phases.
mique. Il s’agit ici d’apporter une com- Leur caractère inattendu et brutal est associé
préhension globale des phénomènes, à des scénarios jugés impensables ou à des
d’exposer certains conditions ignorées ou sous-estimées.
aspects de la part En fait, il existe des causes profondes
humaine et les condi- à cette situation. Certaines sont liées
tions favorables à l’imposture ou s’attachent à des aspects
à la maîtrise de telles psychosociologiques, d’autres traitent
crises. de déficits, tandis que la survie impose
DANIEL GUINIER d’avoir pris des dispositions pour s’adapter.
Caractéristiques
Docteur ès Sciences,
Certifications CISSP, des crises majeures Une crise majeure évoque une catas-
ISSMP, ISSAP et aspects théoriques trophe ou un désastre où les lieux et les
et MBCI. Expert
judiciaire honoraire. Les crises sont variées infrastructures, les moyens matériels et les
LA PART HUMAINE DÉTERMINANTE FACE AUX CRISES MAJEURES ET SON RÔLE DANS LA CYBERSÉCURITÉ
LA PART HUMAINE DÉTERMINANTE FACE AUX CRISES MAJEURES ET SON RÔLE DANS LA CYBERSÉCURITÉ
(2) La réponse est Les crises sont commu- qui gouvernent le comportement du
complexe en réalité,
puisqu’il n’est pas
nément rattachées à système, pour le maintenir dans un état
possible de prévoir plusieurs théories : métastable et éviter de l’entraîner vers une
le moment de la
transition à l’état théorie de l’état critique, catastrophe.
critique, alors que
cet état ne subsistait
du chaos, et des catas-
pas auparavant trophes, laissant penser Il s’en dégage des dispositions
et que seuls les
symptômes l’indi- qu’elles ont un caractère qui s’imposent à l’évitement des crises.
queront, mais
un peu tard… plus prédictible qu’il n’y Elles sont liées à la prévention et à la sûre-
(3) Le chaos résulte
paraît. L’état critique est té, à la réduction de la complexité
d’un comportement une propriété globale de la et à la recherche d’étanchéité pour éviter
apparemment sans
loi, mais pourtant complexité des systèmes. la propagation et les réactions en chaîne.
gouverné par une
loi propre aux sys-
Il résulte d’une évolution D’autres concernent la protection pour
tèmes dynamiques, naturelle convergente vers en réduire l’impact et assurer la continuité
lesquels, malgré des
futurs apparemment un état surcritique pouvant des affaires.
déterminés, n’en
restent pas moins engendrer des réactions
imprédictibles après en chaîne et aboutir à un La part humaine individuelle paradoxale
une légère variation.
Ce phénomène désastre. Il est constatable L’homme peut être le meilleur comme
relève de la «sensi-
bilité aux conditions par des symptômes, le pire des constituants de la cybersécurité
initiales».
engendrés par la préexis- du fait des conséquences de son fonction-
tence de vulnérabilités et de fautes qui ont nement cognitif et psychologique.
dégradé le système de façon non révélée,
ou des incidents ou des signaux faibles L’homme est le maillon faible quand la
non traités, ceci dans ses diverses baisse des performances liée à la fatigue,
composantes techniques, organisation- à des pressions excessives et au déclin
nelles ou humaines. Un tel état critique de vigilance augmente le risque d’erreurs.
nécessite des mesures conjointes pour Celles qui sont issues de sa pensée intui-
rendre le système sous-critique2 afin d’en tive et émotionnelle peuvent être utilisées
reprendre le contrôle effectif et permettre à son encontre, comme dans la majorité
le retour une situation normale. Selon la des cyberattaques, en tirant profit de la
théorie du chaos3, il faudrait veiller aux manipulation et de l’ingénierie sociale pour
conditions initiales et éliminer la corrélation susciter des réponses quasi-immédiates,
entre la dynamique et les événements en jouant sur des leviers d’influence
passés, pour espérer plus de prévisibilité. pour le faire opérer de façon automatique
À son tour, la théorie des catastrophes et sur des biais cognitifs pour l’entraîner
indique la nécessité d’éviter une bifurcation dans des défauts de jugement.
abrupte en agissant sur les paramètres À ceci peuvent s’ajouter des caractéris-
de contrôle criticité et dépendance, tiques psychologiques : difficultés
LA PART HUMAINE DÉTERMINANTE FACE AUX CRISES MAJEURES ET SON RÔLE DANS LA CYBERSÉCURITÉ
LA PART HUMAINE DÉTERMINANTE FACE AUX CRISES MAJEURES ET SON RÔLE DANS LA CYBERSÉCURITÉ
LA PART HUMAINE DÉTERMINANTE FACE AUX CRISES MAJEURES ET SON RÔLE DANS LA CYBERSÉCURITÉ
En conclusion,
une gestion des ressources humaines
adaptée devrait permettre l’application
d’une politique de sécurité prenant mieux
LA PART HUMAINE DÉTERMINANTE FACE AUX CRISES MAJEURES ET SON RÔLE DANS LA CYBERSÉCURITÉ
Bibliographie sélective -G
uinier D., 2006. In l’encyclopédie
de l’informatique et des systèmes
- Bruns H. et al., 2018. Can Nudges d’information - La politique de sécurité,
Be Transparent and Yet Effective? pp. 1486-1498. Vuibert Sciences.
J of Economic Psychology. vol. 65, avril,
pp.41-59. -G
uinier D., 2007. PRA/PCA :
une obligation légale pour certains
- Guinier D., 1994. Oriented-scenario et un impératif pour tous. Legalis.net,
dynamics in information systems safety. Edition des Parques, n° 2, juin, pp. 5-18.
Introduction to propagation paths,
channels of risk and «revulsion -G
uinier D., 2009. Face à une pandémie
momentum», ACM Sigsac, vol.12, n° 3, annoncée et à la crise suivante… -
pp.6-11. Réponses pour la continuité
de l’activité des entreprises Expertises,
- Guinier D., 1995. Development of
n° 340, octobre, pp.337-342.
a specific criminology dedicated
to information technologies, 7th Ann.
-G
uinier D., 2016. Cyberattaques
CITSS, Ottawa, 16-19 mai, pp. 21-45.
et catastrophes : de l’imposture
et autres causes à la sidération
- Guinier D., 1995. Catastrophe
des entreprises. Expertises, n° 418,
et management - Plans d’urgence
novembre, pp. 371-376.
et continuité des systèmes d’information,
Ed. Masson, 339 pages.
-G
uinier D., 2018. Modèle
- Guinier D., 1997. Application of Chaos de représentation des cyberattaques,
Theory to the management of security mesures génériques et prospective.
development - Finding a concilatory La revue juridique Dalloz IP/IT, mars, pp.
position for improving information system 163-169. Article ayant obtenu le Prix
security in an organism, Proc. 9th Ann. de la Gendarmerie nationale 2019 -
CITSS, Ottawa, 12-16 mai, pp. 383-400. Recherche et réflexion stratégique.
SOUS-RUBRIQUE
Culture de la sécurité
et expérience des FHO
dans les industries à risques
Par Marc-Xavier Joubert, Robert Breedstraet et Stéphane Deharvengt
L
L’organisation et le déploiement de la
cybersécurité sont confrontés aux mêmes
problématiques rencontrées au cours
des dernières décennies dans les
luation coût-bénéfice de la sécurité,
du défi que représente le compromis
entre sécurité et disponibilité informa-
tique, mais également de l’importance
domaines de la sécurité des vols, de la du fameux « facteur humain »
sûreté nucléaire ou encore de la sécurité ou de la nécessaire implication
industrielle. Tous les Responsables de du « top management » …
la Sécurité des Systèmes d’Information
pourraient témoigner de la difficile éva- Les professionnels de la sécurité industrielle
voient ici un écho aux mêmes
défis qu’ils affrontent depuis des
dizaines d’année.
Pour dépasser la vision technique
et procédurale de la sécurité, l’in-
dustrie (aéronautique, ferroviaire,
nucléaire, chimique…) a étudié en
MARC-XAVIER ROBERT STÉPHANE profondeur les Facteurs Humains
JOUBERT BREEDSTRAET DEHARVENGT et Organisationnels (FHO) et le
Président de Suez Division information Adjoint chef concept de culture de sécurité
Advanced Fire security officer. de mission sécurité,
Engineering. Adjoint au Corporate sûreté, qualité nécessaires à l’émergence et au
CISO d’Amadeus du contrôle aérien maintien d’un niveau acceptable
IT Group. français. Direction
des Services de sécurité. Quels enseignements
de la Navigation pourrait-on donc tirer du mana-
Aérienne. DGAC.
gement de la sécurité dans ces
industries à risques pour construire des s’articuler autour d’une stratégie permet-
cultures de cybersécurité adaptées aux tant de faire face à la variabilité des proces-
défis de la métamorphose numérique de sus maitrisés.
nos sociétés ?
Le rôle de l’humain dans la gestion
Les professionnels de la cybersécurité de la sécurité
et leurs managers devraient aller puiser L’humain intervient partout, qu’il soit acteur
dans cette ressource académique, scien- de première ligne (pilote ou manipulateur) ou
tifique et expérimentale pour en dégager acteur de l’entreprise (compagnie
les lignes directrices utiles au déploiement aérienne, site industriel, concepteur…).
efficace de leurs politiques de sécurité L’entreprise est une organisation
et les adapter au contexte particulier humaine faite de processus managériaux
de la menace cyber et de sa dimension et industriels, d’outils technologiques
intentionnelle. Nous ne traiterons pas ici plus ou moins complexes et d’acteurs
de la manière dont ces industries avec leurs compétences respectives. On re-
intègrent les risques cyber. Nous irons trouve bien sûr en cybersécurité les mêmes
plutôt explorer les concepts clefs qui ont composantes procédurales (méthode
permis d’atteindre un haut degré de sécu- AGILE, règles de codage…), technologiques
rité de fonctionnement dans ces secteurs, (software et hardware) et humaines (déve-
puis nous qualifierons plus précisément loppeur, concepteur, pentesteur…).
la menace cyber et évoquerons les spécifi-
cités d’une culture de cybersécurité. La question de l’erreur humaine est indis-
sociable de l’histoire de la sécurité dans
Un regard « Facteurs Humains les industries à risques. Pour de multiples
et Organisationnels » sur la sécurité raisons - biais d’attribution rétrospectif,
« Les FHO […] doivent aujourd’hui per- recherche d’un coupable - l’humain garde
mettre d’élaborer une logique de sécurité, souvent le mauvais rôle dans les récits
avec des normes bien sûr, mais aussi d’accidents alors que la plupart
la prise en compte de la variation du temps, il est le facteur de sécurisation
des conditions réelles et donc l’existence et de rattrapage qui rend ces systèmes
d’une sécurité gérée, ajustée techniques aussi sûrs. L’erreur peut être
par l’intelligence des hommes. » vue soit comme la cause d’un problème,
(Amalberti and Boissières 2014). soit comme le symptôme d’un souci plus
Les Facteurs Humains et Organisationnels profond (Dekker 2000). On retrouve
expriment une tension entre deux acteurs également cette vision dans le domaine
de la gestion de la sécurité, les humains de la cybersécurité.
et les organisations humaines, qui doivent
opérant dans ces situations. Plusieurs D’abord, cela permet de sauver du temps
exemples illustrent ces concepts. et de l’énergie. On bénéficie ainsi de l’expé-
rience et des leçons apprises par les autres
entreprises, en construisant un langage
et une terminologie communs.
Quel positionnement
de la Cybersécurité ? Pour des raisons de responsabilité,
Il existe de nombreuses motivations de visibilité et de conformité, on peut
à construire un système intégré de ainsi prouver que la cybersécurité est
management de la cybersécurité. rigoureusement gérée et on peut fournir
la gouvernance, la gestion des règles Ces aspects sont familiers aux RSSI
(« policies management »), l’information qui déploient ces structures au sein
et la formation à la cybersécurité, le mana- de leurs entreprises afin de remplir leur rôle
gement des vulnérabilités, le management de détection, de réaction, et in fine
des identités et de leurs accès ainsi que la de protection des systèmes d’information.
gestion des incidents. On retrouve ainsi les mêmes compo-
santes organisationnelles et techniques
Il est évident qu’une gestion rigoureuse qui fondent la stratégie de sécurité des
de ces processus est une manière fiable systèmes à risques. Sur ces points, les or-
de réduire les risques liés à la digitalisation ganisations devraient s’inspirer des acteurs
des entreprises tout en s’assurant plus avancés tel que le secteur bancaire,
que l’humain œuvrera à plus de sécurité déjà très expérimenté en matière de
et cela grâce aux contrôles mis en place. sécurisation des transactions financières.
de la transparence mais nous pouvons et semble des agents du contrôle aérien fran-
devons faciliter le partage des informations çais, la mention du signalement d’évène-
et des renseignements. De nombreux ment à caractère cyber a été mentionnée.
forums ont déjà été ou sont en train d’être Même si la notion de signalement d’événe-
mis en place pour ce faire : les États euro- ment sécurité est très ancienne et ancrée
péens à travers leurs agences de sécurité dans les mœurs, tout particulièrement chez
informatique mettent en place des réseaux les contrôleurs aériens, la modernisation
de CERT (« Computer Emergency croissante des systèmes de navigation
Response Team ») qui œuvrent en ce sens, aérienne nécessite d’étendre cette culture
des regroupements sectoriels se sont du report. Celle-ci permet également de
créés, notamment aux États-Unis. toucher les acteurs « non-opérationnels ».
Ils permettent de partager les indices
de compromission et aident ainsi collecti- Se préparer à la crise : résilience
vement à améliorer le niveau de protection et construction du sens
de ceux qui acceptent ce partage et donc La menace cyber fait peser un risque
ce niveau de transparence. bien plus grand (tant en probabilité
qu’en étendue) de crises majeures
On apprend de nos erreurs : pour anticiper, touchant l’ensemble d’une organisation.
pour améliorer les connaissances sur la Les attributs clefs de cette culture de
menace, pour développer des procédures sécurité doivent donc être complétés par
robustes. Au niveau d’une entreprise, une meilleure préparation à la crise afin de
il faut donc connaître la vie de tous les rendre les organisations plus résilientes.
jours et les différences entre ce qui est
prescrit et ce qui réellement réalisé. Les ac- D’après Erik Hollnagel (Hollnagel, Pariès
teurs de terrain doivent avoir suffisamment et al. 2010), une organisation résiliente
confiance pour reporter les événements arrive à maintenir en permanence la
sans craindre de sanction en retour. situation sous contrôle, qu’elle soit prévue
ou imprévue. Cela revient à s’interroger
Toutefois, l’idée de sanction, déjà délicate en permanence autour de deux questions
dans le domaine de la sécurité industrielle, fondamentales : Qu’est ce qui fait perdre le
paraît encore plus difficile en contexte contrôle ? Comment maintenir ou regagner
cyber : comment distinguer l’erreur de la le contrôle ? Il définit ainsi quatre attitudes
faute, face à une menace qu’on ne com- clés qui doivent être entretenues dans
prend pas ou que l’on n’a pas détectée ? les organisations et qui font échos aux
concepts abordés précédemment :
Lors de la conception de la formation à la
culture sécurité délivrée en 2020 à l’en- 1. A
pprentissage : connaitre le passé (faits
AUTEUR AUTEUR
Marc-Xavier Joubert – Président de Suez Robert Breedstraet - Division information
Advanced Fire Engineering security officer, adjoint au Corporate CISO
Au sein de SUEZ, Marc-Xavier Joubert d’Amadeus IT Group.
dirige une start-up innovante Robert Breedstraet dirige le département
pour développer des solutions gouvernance et contrôle, le management
environnementales pour lutter de projets de cyber sécurité comme
contre les incendies. la gestion des identités et des accès,
Après avoir servi au sein de l’Aviation la protection de la marque Amadeus.
Légère de l’Armée de Terre, il a rejoint Il a aussi sous son autorité
SUEZ où il a acquis une expertise les responsables régionaux de sécurité
dans la gestion des risques informatique (Amériques, Inde,
environnementaux et industriels Asie-Pacifique, Europe et Moyen Orient).
dans leurs dimensions techniques, Robert a une expérience de plusieurs
humaines et organisationnelles. dizaines d’années en informatique
Il était précédemment directeur et en particulier dans le domaine
de la performance et des risques de la réservation aérienne.
industriels du Groupe SUEZ. Il est également représentant d’Amadeus
Il est également membre dans différents groupes internationaux,
de la commission scientifique risques informaticien et titulaire d’une maîtrise
accidentels de l’INERIS. Diplômé en politique économique, il est auditeur
de l’Ecole Spéciale Militaire de Saint-Cyr IHEDN – INHESJ de la première session
et d’un Master Spécialisé en Facteurs nationale Souveraineté Numérique
Humains et Organisation de l’ESCP et Cyber-sécurité.
Europe, il est auditeur IHEDN – INHESJ
de la première session nationale
Souveraineté Numérique
et Cyber-sécurité.
AUTEUR
Stéphane Deharvengt – adjoint chef
de mission sécurité, sûreté, qualité
du contrôle aérien français à la Direction
des Services de la Navigation Aérienne -
DGAC
Stéphane Deharvengt dirige l’équipe
en charge du Système de Management
de la DSNA (Contrôle aérien français)
dans ses composantes Sécurité, Sûreté
(physique et cybersécurité) et Qualité.
Son expertise est issue des travaux
qu’il a mené dans la conception
et l’application de stratégies complexes
de maitrise de la sécurité des vols
et du contrôle aérien : Règlements
opérationnels (retour d’expérience,
systèmes de management, gestion
de la fatigue) et de certification avion
(conception cockpit et cabine, A380),
Gestion des risques sécurité et cyber,
Formations facteurs humains, nombreux
programmes de recherche appliquée
à la sécurité aérienne.
Il est également représentant français
dans différents groupes internationaux.
Ingénieur aviation civile de formation,
il est titulaire d’un doctorat en ergonomie
et auditeur IHEDN – INHESJ
de la première session Souveraineté
Numérique et Cybersécurité.
© Zerbor.
POUR QUE L’EUROPE NE SOIT PAS UNE COLONIE NUMÉRIQUE
A
Après l’enthousiasme des débuts de
l’hyper connectivité, force est de constater
qu’être relié à tous, à tous moments
et à tous les endroits du monde suscite
prépondérant, dans le commerce et la
logistique (Amazon, Shopify), l’information
(Google News, Twitter), le transport (Uber),
le tourisme (Booking), le divertissement
désormais moins de ferveur. Pourtant, (Tik Tok, Youtube, Twitch) ou la publicité
les entreprises numériques développent (Google, Facebook). Elles génèrent de la
toujours de nombreuses solutions, donnée précieuse (d’usage, d’achat,
afin créer ou de répondre à de nouveaux de comportement) et l’utilisent pour mieux
besoins pour les citoyens comprendre les usagers et influencer
et les organisations. les décisions des citoyens et notamment
des consommateurs.
Les enjeux ont considérablement évolué
depuis l’avènement d’Internet et au- Ces entreprises numériques jouent
jourd’hui les États un rôle important dans de nombreux
doivent intégrer le Big secteurs et devraient donc être soumises
Data, l’industrie 4.0, au contrôle des autorités judiciaires, civiles
la robotique et administratives. Pourtant, elles fixent
et l’intelligence leurs propres règles, inspirées du modèle
artificielle. Certaines économique nouveau qu’elles ont su créer
sociétés digitales et qui échappent encore au droit actuel,
CÉCILE sont présentes sur sur certains points. Si certains États ont su
DOUTRIAUX
de nombreux s’affirmer sur le marché digital, tels que les
Avocate. marchés et ont États-Unis avec les GAFAM (Google,
Cabinet Juris
Défense. acquis un pouvoir Apple, Facebook, Amazon, Microsoft)
et les NATU (Netflix, Air BNB, Tesla Européenne pour imposer une souveraine-
et Uber), la Chine avec les BATX (Baidu, té numérique, alors qu’elle est confrontée
Alibaba, Tencent, Xiaomi) et la Russie à des acteurs étrangers qui gouvernent le
(avec Yandex, VKontakte), les Européens marché depuis deux décennies ?
peinent à faire émerger des acteurs
indépendants sur le marché du numérique. Dans ce combat, la loi est-elle un facteur
En effet, la production de masse, les d’union ou de division ? Instaure-t-elle véri-
économies d’échelle qui en découlent, le tablement une collaboration ou révèle-t-elle
développement commercial axé exclusive- la concurrence exacerbée entre les Etats ?
ment sur le client, une forte image de
marque et la fidélisation des consomma- I - La loi, instrument de collaboration
teurs à leurs produits, font que tout nouvel pour la souveraineté européenne
entrant sur le marché ne peut produire qu’à Les moteurs de recherche américains,
des coûts unitaires supérieurs, ce qui leadeurs sur le marché, sont en position
entrave toute possibilité de développement de force pour collecter en masse les don-
pérenne. Ainsi, force est de constater nées de leurs utilisateurs et ainsi dévelop-
que l’Union Européenne est encore per l’internet des objets et l’intelligence
(1) Rapport
aujourd’hui « une colonie artificielle.
d’information du numérique ».1 L’Union
de Mme Catherine
MORIN-DESAILLY, Européenne, confrontée Selon le rapport « Crémer » de la Commis-
fait au nom
de la commis-
à ses limites stratégiques sion européenne sur la politique de
sion des affaires et techniques, vit un concurrence à l’ère digitale, 64 % des
européennes n° 443
(2012-2013) - 20 moment historique car, recherches en ligne aux États-Unis sont
mars 2013.
sans confiance et réalisées
adhésion de tous, elle ne peut rivaliser avec via Google et ce chiffre atteint
les entreprises étrangères et prospérer. 90 % en Europe. Ces sites connaissent
ainsi les centres d’intérêts des internautes
Différents moyens peuvent être employés grâce aux mots-clés qu’ils entrent
pour contrer la concurrence étrangère et dans le moteur, les sites qu’ils fréquentent
faire émerger une souveraineté numérique grâce aux liens sur lesquels ils cliquent,
européenne. La loi constitue-t-elle un la position géographique de l’internaute,
moyen efficace pour permettre aux entre- estimée sur la base de l’adresse IP.
prises européennes de prendre une place Concrètement, Google exploite les
pleine et entière sur le marché du digital recherches en ligne pour personnaliser la
ou constitue-t-elle un obstacle à l’inno- publicité, Amazon conserve les historiques
vation pour les entreprises ? Quels sont de consultation et d’achat sur son site.
les moyens juridiques utilisés par l’Union Quant aux réseaux sociaux, Facebook
L’Union Européenne a aussi décidé d’aller L’idée de l’e-Privacy serait alors d’offrir
plus loin dans la protection des données aux utilisateurs la possibilité de s’opposer à
en 2019 avec le Règlement « e-Privacy » tout tracking, en amont, dans le paramé-
trage de leurs outils numériques Pourtant, la loi reste une tentative, utilisée
(ordinateur, tablette, téléphone mobile), comme une autre, pour défendre le mar-
sans devoir réitérer systématiquement ché européen, à l’intérieur des frontières
ce refus, à chaque visite de sites internet européennes, mais aussi en dehors des
ou d’utilisation d’applications. Par défaut, frontières. En effet, l’article 3 du RGPD
les entreprises numériques seraient donc prévoit l’application extra-territoriale du rè-
obligées d’intégrer ce refus, dès la glement aux entreprises établies en dehors
conception de leurs produits et de leurs de l’Union européenne dès qu’elles ciblent
services, ce qui aurait pour effet de les les données personnelles des résidents eu-
rendre moins attractifs pour les entreprises ropéens, ce qui concerne de nombreuses
commerciales, qui collectent massivement entreprises américaines et asiatiques.
les données pour personnaliser leurs offres
et pour les revendre à d’autres entreprises. Le Privacy shield
Ce règlement inquiète les industries Avec la globalisation des échanges
numériques, qui redoutent qu’une protec- et l’utilisation croissante des nouvelles
tion renforcée des données personnelles technologies, le nombre de transferts
entrave leur activité et l’innovation, de données, hors de France et de l’Europe,
notamment pour l’Internet des objets. ne cesse de croître. Là encore, l’UE
Certaines sociétés pensent ainsi que ce recourt à la loi pour contrer les sociétés
règlement risque de mettre économique- concurrentes étrangères.
ment en péril leurs activités et elles n’ont
pas tort en réalité. En effet, il semble assez En effet, le transfert de données hors
prévisible que la majorité des citoyens de l’Union européenne et de l’Espace
déclineront ce consente- Economique Européen est possible,
ment et ce d’autant plus à la seule condition d’assurer un niveau
(16) En France, qu’ils se déclarent de protection des données suffisant
selon la CNIL,
68 % des Français désormais particulière- et approprié, conforme au RGPD. Afin de
se disent plus sen-
sibles à la protection ment sensibles à la pouvoir « s’auto-certifier » conformément
de leurs données protection de leurs aux exigences européennes en matière
personnelles, depuis
l’entrée en vigueur données personnelles.16 de protection des données personnelles,
du RGPD - Voir le
rapport d’activité La loi peut donc, ici, une entreprise établie aux États-Unis
de la CNIL du 9 juin
2020, sur la page
apparaitre comme doit être soumise aux pouvoirs de contrôle
https://www.cnil. un frein à l’innovation et d’exécution de la Commission Fédérale
fr/fr/la-cnil-publie-
son-rapport-dacti- et au développement des du Commerce (« FTC ») ou du Départe-
vite-2019, consultée
le 2 octobre 2020. entreprises numériques, ment des Transports américain
au sein même de l’Union (« DoT »). Le Privacy Shield, succédant
Européenne. au Safe Harbor (lui-même invalidé
par la CJUE en 2015), avait été reconnu 2010/87/CE sur les clauses contractuelles
par la Commission européenne (décision types.
2016/1250) comme offrant un niveau
de protection adéquat aux données L’association Noyb, dont le président
à caractère personnel, transférées par une d’honneur est Max Schrems, qui a initié
entité européenne vers des entreprises les actions engagées contre Facebook
établies aux États-Unis. devant les juridictions européennes,
a interrogé 33 entreprises (dont
Pourtant, la Cour de Microsoft, Apple, Nike, Netflix…)
(17) CJUE,
gr. ch., 16 juill. justice de l’Union euro- sur l’annulation du Privacy Shield.
2020, aff. C-311/18,
Data Protection péenne (CJUE) a rendu le Dans son rapport du 25
(20) https://noyb.
Commissioner c/ 16 juillet 2020 un arrêt eu/files/web/Re- septembre 2020,20
Facebook Ireland
Limited, Maximillian dans l’affaire dite « plies_from_control-
lers_on_EU-US_
l’association expose que
Schrems.
Schrems II » invalidant la transfers.pdf les sociétés Airbnb, Netflix
(18) Le FISA autorise
les organismes
décision d’adéquation du et WhatsApp n’ont jamais
de surveillance, Privacy Shield, adoptée en répondu à ses sollicitations et que la
comme le FBI ou
la CIA, à exploiter 2016.17 En effet, le Privacy majorité des autres entreprises l’ont
les données des
ressortissants non Shield prévoyait des renvoyé vers leur politique de confidentialité
américains, même limitations à la protection (Blizzard, Coinbase, Instagram, Revolut).
situés hors du
territoire des Etats- des données en vertu En revanche, pour la société Microsoft,
Unis, dès lors que
ces données sont d’exigences relatives il est toujours possible de transférer des
détenues par des
personnes morales
à la sécurité nationale, données personnelles vers les Etats-Unis,
américaines. notamment par le biais en vertu des clauses contractuelles types.
(19) L’E.O. 12333 des programmes
permet notamment
« l’acquisition d’une et services de renseigne- C’est dans ce contexte que le Comité
communication ment : l’article 702 Européen de la Protection des Données
non publique
par des moyens du « Foreign Intelligence (CEPD) s’est prononcé, le 23 juillet 2020,
électroniques sans
le consentement Surveillance Amendment en exposant que ni les clauses contrac-
d’une personne
qui est partie à une
Act (FISA) »18
tuelles types, ni les BCR ne constituent
communication et l’« Executive Order de « garanties appropriées » suffisantes
électronique.
12333 » (E.O. 12333).19 pour le transfert de données vers les Etats-
Ces textes permettent une surveillance Unis. Dès lors, il conviendrait de suspendre
massive des ressortissants non-américains ou d’interdire tous les transferts vers
et c’est la raison pour laquelle la CJUE les USA ou bien adapter les clauses
a invalidé la décision 2016/1250 de la contractuelles types (CCT) en prévoyant
Commission européenne, sans remettre des mesures supplémentaires, si besoin
en cause la décision de la Commission est, pour assurer cette protection.
Effectivement, si les clauses contractuelles acteurs, plutôt qu’entre les mains d’une
des sociétés américaines comportent de minorité dominante.
nouvelles garanties, conformes au RGPD,
il sera difficile juridiquement de s’opposer A. Les entreprises numériques
aux transferts des données européennes sanctionnées par le droit
vers les États-Unis. de la concurrence
L’article 102 du traité sur le fonctionnement
2. La loi, comme instrument de guerre de l’Union européenne (TFUE) interdit les
économique abus de position dominante susceptibles
Selon la commission européenne, certaines d’affecter le commerce dans l’UE et de
sociétés américaines empêchent illégale- fausser ou de restreindre la concurrence.
ment une concurrence et les consomma-
teurs européens de bénéficier d’un réel Ainsi, la commission européenne
choix de services, ce qui à terme, crée intervient régulièrement pour condamner
des situations de monopoles et augmente les entreprises américaines qui menacent
les prix. de manière abusive le développement
d’entreprises numériques européennes
En effet, tout utilisateur a pu constater souveraines et, à titre d’exemple,
l’existence de difficultés pour désinstaller a infligé de lourdes sanctions à Google,
Youtube ou Chrome sur Android et Apple pour un montant total atteignant 8,25
Music sur iOS. Or, la pré-installation forcée milliards d’euros.
et l’impossibilité de désinstaller certaines
applications font que les utilisateurs télé- En effet, en 2017, la Commission
chargent rarement des applications euro- a sanctionné Google d’une amende
péennes, offrant les mêmes fonctionnalités. de 2,42 milliards d’euros, pour abus
de position dominante sur le marché
Ces pratiques commerciales anticoncur- des moteurs de recherche, en favorisant
rentielles sont sanctionnées par le droit son propre service de comparateur de prix,
national et européen, car elles faussent tout en rétrogradant les services de ses
la concurrence qui s’exerce entre les rivaux.
entreprises et porte préjudice à celles qui
souhaitent se faire une place sur le marché. En 2018, Google a été une nouvelle fois
condamnée par la Commission à une
En organisant la dissémination du pouvoir amende de 4,34 milliards d’euros,
économique, le droit protège ainsi la so- pour avoir abusé de sa position dominante
ciété contre les concentrations et partage sur les systèmes d’exploitation mobile,
le pouvoir économique entre différents dans le but de favoriser exclusivement
Cette taxe vise expressément les activités (31) https://itsocial. chiffre d’affaires grâce
fr/articles-decideurs/
de publicité ciblée, de vente de données que-cache-la-trans- aux recettes publicitaires.32
formation-de-goo-
en ligne et de services d’intermédiation gle-en-conglomerat- Au total, une trentaine de
entre internautes. Seules sont concernées alphabet/ groupes sont concernés
les entreprises dont le chiffre d’affaires est (32) Informations dont Google, Amazon,
transmises lors
supérieur à 750 millions d’euros au niveau de l’audition Facebook, Apple, mais
de Google
mondial et à 25 millions d’euros à l’échelle par la mission
aussi Meetic, Airbnb,
de la France. d’information Instagram et Criteo.
de l’assemblée
nationale
du 20 février 2020,
Le montant de la taxe est calculé consultable Concrètement, cette taxe
en appliquant un taux de 3 % sur le chiffre sur la page vise à imposer les géants
d’affaires réalisé en France et elle aurait du numérique à hauteur
rapporté à l’État français 350 millions de 3% du chiffre d’affaires numériques (re-
d’euros depuis son application. venus publicitaires, commissions touchées
par les plateformes, revenus liés à la re-
Par mesure de rétorsion, le gouvernement vente de données personnelles) réalisé en
américain a annoncé, le 10 juillet 2020, France. D’autres Etats membres de l’Union
qu’il imposait des droits de douane européenne (UE), tels que le Royaume-Uni,
supplémentaires de 25 % sur les produits l’Espagne, l’Italie, la République tchèque
français d’une valeur commerciale et l’Autriche, se sont engagés dans un
de 1,3 milliard de dollars,30 processus législatif identique, alors même
(30) Soit
1,15 milliard d’euros ce qui a contraint la que la Commission européenne, qui sou-
aux produits cosmé-
tiques et aux sacs
France à geler sa taxe tient ce projet, souhaite éviter un amoncel-
à main dans un délai puis finalement à l’appli- lement de dispositions nationales, déshar-
de 6 mois.
quer pour l’année 2020. monisées sur ce sujet. Cette taxation est
d‘autant moins évidente que la position
Cette mesure est intéressante puisque des 27 membres de l’Union Européenne
certaines puissantes sociétés numériques n’est pas unanime. En effet, des pays tels
américaines qui offrent leurs services, que l’Irlande (avec Facebook, Google et
gratuits pour l’utilisateur, sont financés Apple), la Suède, la Finlande, le Danemark
principalement par la publicité. En effet, et le Luxembourg (avec Amazon) offrent
en 2019, sur les 70,6 milliards de dollars une fiscalité avantageuse aux entreprises
de chiffre d’affaires enregistrés numériques américaines qui implantent
par Facebook, 69,6 milliards (soit 98 %) leur siège social dans leur État.
provenaient de recettes publicitaires.
Intégré au sein du conglomérat Alphabet31 Le 15 mai 2020, le Parlement européen
en 2015, Google réalise 83 % de son a voté une résolution réclamant la mise
en place de cette taxe sur les grandes coûts engendrés par cette
(33) Apple a
entreprises du numérique et, le 21 juillet décidé d’ajuster nouvelle fiscalité sur leur
ses tarifs appliqués
2020, les États membres ont proposé aux développeurs partenaires (développeurs,
iOS. Amazon a fait
de mettre en place « une redevance de même avec les
vendeurs et annonceurs),33
numérique », au plus tard le 1er janvier vendeurs tiers et ce qui aurait pour effet
Google avec les
2023. Les négociations sont en réalité annonceurs, dans d’annuler tout effet
de nombreux pays
menées à plusieurs niveaux et dans bénéfique. Finalement, les
tels que la France,
différentes institutions où les États ont sociétés numériques
l’Allemagne, l’Italie,
la Turquie.
vocation à se réunir. Ainsi, l’Organisation dominantes répercutent
de coopération et de développement le montant de la taxe fiscale sur leurs
économiques (OCDE), a obtenu l’accord partenaires commerciaux ou sur les
de principe de 137 Etats, le 29 janvier consommateurs, ce qui rend
2019, pour réformer les règles fiscales cette stratégie assez inefficace.
actuelles, en faveur d’une plus juste
taxation de l’économie numérique. B. La contestation des travailleurs
Elle s’est engagée à présenter une propo- et des professionnels
sition concrète d’accord en octobre 2020, La notoriété des plateformes américaines
lors du « G20 Finances » de Washington. telles qu’Uber, airBnB, Booking n’est plus
Toutefois, en raison de la crise sanitaire à démontrer. Ces entreprises ont su astu-
mondiale, les États-Unis ont déclaré, cieusement prendre une place de choix sur
le 17 juin 2020, vouloir se concentrer le marché économique et dans les habitu-
principalement sur la gestion de cette crise, des de consommation des citoyens.
avant d’envisager la question de la fiscalité
internationale. Cependant, le développement économique
de ces plateformes, après avoir connu
Compte tenu de la divergence de positions auprès des consommateurs un succès
des dirigeants européens et de l’échéance retentissant sur les marchés nationaux
relativement lointaine de ces dispositions, de l’Europe, semble être, pour partie
une solution, pour les États serait du moins, remis en question non seule-
de s’affranchir de l’Union Européenne ment par les États européens et par les
et ce d’autant plus qu’en matière entreprises concurrentes mais aussi par les
de fiscalité chaque État membre reste travailleurs. De fait, en Europe, des procé-
souverain pour élaborer sa propre taxation. dures ont été engagées par ces derniers,
supposés indépendants, pour obtenir la
Toutefois, la limite de cette position requalification de leur contrat d’entreprise
stratégique est que les sociétés taxées ont en contrat de travail.
d’ores et déjà décidé de répercuter les
Le US Cloud Act
vu de France : craintes légitimes
ou peurs inutiles ?
Par Emmanuelle Legrand
S
Sans prétention d’exhaustivité,
le présent article a pour ambition
de proposer au lecteur quelques clés
de lecture du US Cloud
(3) Cet accord a été
signé en octobre
2019 : https://www.
justice.gov/opa/pr/
us-and-uk-sign-
landmark-cross-
border-data-access-
agreement-combat-
criminals-and-terro-
notamment été exprimées
quant aux risques encou-
rus par les entreprises
nationales2.
(1) Le texte est rists ; en décembre
disponible en Act et de la recomman- et janvier 2020, le
anglais à : https:// Département de
www.govtrack.us/ dation de la Commis- justice américain a En octobre 2019, le
adressé sa certifi-
congress/bills/115/
s2383/tex
sion européenne en vue cation au Congrès département de justice
de négociations UE-US, américain, avec américain annonçait la
(2) https:// une prise d’effet
www.lesechos. à partir de l’analyse des prévue en juillet signature du premier
fr/tech-medias/ 2020 : https://www.
hightech/bruno-le-
textes, afin de mieux justice.gov/dag/ « Executive agreement »
page/file/1236281/
maire-vent-debout- comprendre le cadre download.
(accord gouvernemental)
contre-le-cloud-act-
americain-991515 dans lequel pourrait avec le Royaume-Uni3.
(4) https://www.
s’inscrire l’action justice.gov/opa/ Quelques jours plus tard,
pr/joint-statement-
de l’Union euro- announcing-united- l’ouverture de négocia-
péenne. states-and-austra- tions avec l’Australie était
lian-negotiation-
cloud-act-agree- officialisée4.
ment-us ; l’Australie
Signé par le président a préparé une loi à
cette fin : https://
Trump, le 23 mars www.lexology.
De son côté, la Com-
2018, le US Cloud Act1 com/library/detail. mission européenne
aspx?g=2cf0f5f7-
a suscité de nom- 4a6b-4523-b04c- présentait, en avril 2018,
4674296f9f74.
EMMANUELLE breuses réactions aux au Conseil ses propo-
LEGRAND (5) https://www.
États-Unis comme consilium.europa.
sitions « E-evidence »5
Magistrate de liaison
française en Europe
en Europe. En France, eu/fr/policies/e-evi- visant à faciliter l’accès
dence/
du Sud Est des craintes ont transfrontière à la preuve
(17) https://www.kirkland. juridictions américaines (21) A noter sur ce L’objectif affiché est de
point que le US Cloud
com/publications/
article/2019/03/can-
peuvent parfois retenir, Act modifie également faciliter l’obtention des
les dispositions du
your-overseas-company- notamment en matière US Code relatives aux
données électroniques, y
be-taken-to-us-court
civile17, leur compétence outils de pen register compris de contenu et en
(18) En matière civile et de trap and trace
notamment, il est
‘élargie’18, parfois même (voir notamment 18 temps réel (non stoc-
U.S.Code §3121, qui
question de « long-arm en tenant volontairement crée une exception au kées), notamment des
jurisdiction » ou « long-
arm statute » : https:// en échec les lois de principe de délivrance interceptions de commu-
www.law.cornell.edu/ d’un mandat du juge
wex/long-arm_statute. blocage étrangères19. notamment dans le nications21, sous réserve
cas d’une demande
Littéralement, les
autorités judiciaires d’un gouvernement pour l’État partenaire de
étranger dans le
américaines peuvent Reste à savoir si, dans cadre d’un « executive
répondre aux exigences
donc, selon les domaines
juridiques et les textes l’hypothèse d’une inter- agreement »). fixées par le Cloud Act,
et jurisprudences, https://www.
recourir à la théorie
prétation large du juge vie-publique.fr/sites/ et le cas échéant après
default/files/rapport/
du « bras long » pour américain sur l’application pdf/194000532.pdf. avoir modifié sa loi interne.
retenir leur compétence,
parfois qualifiée du Cloud Act aux sociétés C’est à cette seconde
d’extraterritorialité par (22) https://ec.europa.
certains observateurs. étrangères, ces der- eu/info/policies/ partie de l’US Cloud Act
justice-and-fun-
Voir à ce propos le
rapport d’information
nières estimeront devoir damental-rights/ que semble répondre
criminal-justice/e-evi-
sur l’extraterritorialité de répondre aux demandes dence-cross-bor-
la recommandation de
la législation américaine
déposée en octobre des autorités américaines der-access-electro- la Commission euro-
2016 par la Commission nic-evidence_en
des affaires étrangères
ou si les initiatives natio- péenne22, présentée au
(23) Contrairement à ce
et la Commission des nales ou européennes leur que certains observa- Conseil en février 2019,
finances de l’Assemblée
nationale : http://www. apporteront des réponses. teurs ont pu percevoir, en vue de l’ouverture de
assemblee-nationale. les propositions
fr/14/pdf/rap-info/ E-Evidence de la Com- négociations avec les
mission européenne
i4082.pdf La réponse de l’Union d’avril 2018 ne pou- États-Unis. Cette recom-
vaient pas constituer
(19) Voir notamment sur européenne (2e partie) : une « réponse » au US
mandation eut pu paraître
la loi dite de blocage
française du 26 juillet négocier un accord Cloud Act, promulgué inutile si, comme cela a pu
1968 : en mars 2018, car elles
https://www.legifrance.
complet au niveau résultent directement être évoqué de manière
des engagements pris
gouv.fr/affichTexte. européen en matière par la Commission erronée, les propositions
do?cidTexte=JOR
pénale européenne dès
2015 dans le cadre
E-Evidence d’avril 2018,
(20) En se dispensant
ainsi du processus Dans sa seconde partie, de l’agenda sur la toujours en cours de dis-
politique européenne
législatif habituellement
applicable en matière de
l’US Cloud Act autorise de sécurité (https:// cussion, avaient constitué
ec.europa.eu/com-
traités internationaux. également le gouverne- mission/presscorner/
une réponse au Cloud
Voir notamment C.
Bradley, J. Landman ment américain à conclure detail/en/IP_15_4865 Act. Tel ne semble pas
Goldsmith, O.A. ), de la déclaration
Hathaway, The failed
des accords gouver- commune des être le cas23.
ministres de la justice
transparency regime for nementaux ( Executive et de l’intérieur des
executive agreements:
an empirical and agreements ), avec Etats-Membres et des
représentants des ins-
S’agissant de négocia-
normative analysis:
https://www.ssrn.com/ des gouvernements titutions européennes tions UE-US, la lecture
sur le sujet de l’accès à
abstract=3589900 étrangers20. attentive des termes
la preuve électronique
au lendemain des
attentats de Bruxelles
en 2016 (https://www.
consilium.europa.
eu/fr/press/press-re-
leases/2016/03/24/
statement-on-terrorist-
attacks-in-brussels-
on-22-march/), des
consultations réalisées
par la Commission
européenne, des
conclusions du Conseil
de l’Union européenne
demandant à la Com-
mission en novembre
2017 de faire des
© EisenhansL - Fotolia
propositions d’amélio-
ration de l’accès trans-
frontière à la preuve
électronique (https://
www.consilium.europa.
eu/media/31666/
st14435en17.pdf ), et
à une étude d’impact
détaillée, le tout bien
avant la promulgation
Le CLOUD Act est une alternative aux réglementations découlant du droit de l’UE.
du US Cloud Act. La Son approche pose la question de la construction d’un modèle cohérent d’échange
véritable question est et de protection des données personnelles et d’échange d’informations probatoires
donc de savoir si le dans le cadre de procédures pénales.
Cloud Act ne constitue
pas, lui, une réponse
aux efforts annoncés
de la Commission de choisis par la Commission (26) La recommanda- bilatéraux avec des Etats
faciliter l’accès aux
tion de la Commission
données au sein de européenne, adoptés européenne adoptée
remplissant les conditions
l’Union européenne.
par le Conseil, suggère en juin 2019 par le fixées par les États-Unis
Conseil mentionne
(24) Extrait de la
recommendation
ainsi qu’elle n’entend pas clairement l’intérêt en matière d’État de
d’un accord au niveau
de la Commission inscrire ces négociations européen : « An droit25, la Commission,
européenne, du 5
février 2019 page 4: dans le cadre d’un accord agreement between
the European Union
gardienne des traités,
« The European Union
has an interest in a gouvernemental, ni dans and the United States semble adopter l’ap-
would offer a number of
comprehensive agree- les conditions fixées par le practical advantages: proche consistant à
ment with the United
(…)It would reduce the
States of America, both Cloud Act. La possibilité risk of fragmentation
refuser qu’un État tiers
from the perspective
of protecting European d’un simple accord-cadre of rules, procedures, s’octroie unilatéralement
and harmonise the
rights and values such
as privacy and personal
ne semble pas non plus rights and safeguards le rôle d’évaluateur de la
through a single
data protection and être la piste privilégiée par negotiation mandate situation de l’État de droit
from the perspective
of our own security la Commission24. for all European Union
Member States with
dans l’Union européenne,
interests.”
the United States ensu- au profit d’une application
ring non-discrimination
(25) https://www. En effet, tandis que le between European harmonisée26 du droit et
justice.gov/dag/page/
Union Member States
file/1153466/download Cloud Act favorise la and their nationals (…)”
des valeurs de l’Union au
conclusion d’accords sein des États-Membres,
(31) Le US Cloud
(27) On pourra citer
et du maintien d’un es- Act fait seulement
l’utilisation des données
à titre d’exemple pace commun de liberté, référence au « US qui seraient éventuelle-
le mandat d’arrêt gouvernement »
européen, la de sécurité et de justice.27 et ne précise pas ment recueillies en vertu
décision d’enquête que son champ
européenne, le d’application se d’un tel accord. Or, le texte
renforcement des
droits des victimes,
Ainsi, si le fait de savoir si limite aux procédures américain précise, quant à
judiciaires. Il semble
ou celui des droits l’Union européenne pou- préciser, certes, lui, en modifiant la section
des suspects et l’intervention d’un
accusés. vait ou non être qualifiée juge dans certains §2523 du titre 18 du US
cas. Toutefois, pour
(28) Extrait du US
de gouvernement étranger ne citer l’exemple
Code, que les « réquisi-
Cloud Act : “the pour conclure un accord que du FBI, ce tions »30 aux entreprises
term `qualifying dernier ne dispose
foreign government’ gouvernemental selon pas seulement des doivent avoir pour objectif
means a foreign pouvoirs que l’on
government”. les termes du US Cloud assimilerait en France d’obtenir de l’information
(29) https://ec.euro-
Act28 a pu susciter des à de la police judi- relative à la prévention,
ciaire (https://www.
pa.eu/info/policies/ réflexions intéressantes, wsj.com/articles/ la détection, l’investiga-
justice-and-funda- fbi-wants-audit-firm-
mental-rights/cri- ce débat est en réalité to-review-how-it- tion ou la poursuite des
minal-justice/e-evi- makes-fisa-wiretap.
dence-cross-bor-
sans grand intérêt, l’Union Par ailleurs, la
infractions graves, incluant
der-access-electro- européenne ne s’étant pas notion de « law enfor- le terrorisme. Le US Cloud
nic-evidence_en cement » reste très
engagée dans cette voie, large, et la mention Act ne définit pas la notion
(30) Du point de de l’intervention d’un
vue de l’auteure, le tout en en prenant acte. juge dans le texte du d’infraction grave. Le droit
terme anglais origi-
nal « order » ne sau-
Dès le titre de la recom- Cloud Act ne préjuge français non plus.
pas forcément,
rait, du point de vue mandation de la Com- en l’absence de
du droit français, toute précision
recouvrir la notion mission, le ton semble La première difficulté
complémentaire, du
de l’injonction, bien cadre juridique dans
qu’utilisée par les
donné29 : il s’agit en l’état soulevée par le texte du
lequel s’exercerait
juristes-linguistes de négocier un accord sur la communicationCloud Act est de savoir
de la Commission de données. Le
européenne dans la l’accès transfrontière à la de quel type de procédure
Cloud Act, s’agissant
version française de des exigences
la recommandation preuve électronique, au on parle, puisque le rôle
applicables aux États
de la Commission
européenne. Cette
niveau européen et non premier du système pénal
contractants en ma-
tière de minimisation
notion d’injonction, national, et uniquement à des procédures, n’est pas, en principe,
utilisée en matière fait d’ailleurs une
civile, a en effet des fins de coopération ju- de prévenir et de détec-
référence explicite
des conséquences aux procédures
juridiques totalement
diciaire en matière pénale. ter mais de réprimer les
en vigueur selon le
différentes de celle infractions commises. Or,
Foreign Intelligence
évoquée ici en Surveillance Act de
matière pénale. Le Cet intitulé n’a pas suscité 1978 (50 U.S.C. le Cloud Act ne précise
terme « order » se 1801).
rapproche donc beaucoup de réactions pas qu’il s’appliquerait aux
davantage en
droit français de la
mais est pourtant riche seules procédures pénales. Il ne précise
notion de réquisition de sens, puisque l’Union pas non plus quelles seraient les autorités
judiciaire, en ce
que cela oblige européenne fixe un cadre américaines qui s’adresseraient aux four-
le destinataire à y
répondre.
clair pour les négocia- nisseurs de services de l’État
tions, et a fortiori quant à contractant31.
© Fotolia - 118081089
données continue de diviser les autorités et européens se heurtent souvent au bon
en quête d’éléments probants et les ci- vouloir des fournisseurs de service qui se
toyens en recherche légitime de protection réfugient derrière la législation étrangère,
de leurs données. tout en développant leurs services sur le
marché européen.
Conclusion
Les débats sur les initiatives de la Com- Si les enquêtes n’avancent pas faute d’élé-
mission européenne en matière d’obten- ments de preuve numérique, cela se fait
tion transfrontière de la preuve numérique nécessairement au détriment des victimes
sont légitimes et souhaitables dans une et au bénéfice, notamment, de la criminalité
société démocratique. Le défi de l’Union organisée et transnationale. Si les enquêtes
européenne est d’aboutir à une solution avancent du fait d’une pratique pragma-
qui facilite le travail des enquêteurs et des tique qui attend toujours d’être rattrapée
magistrats européens dans les enquêtes par un cadre juridique international clair et
pénales où l’obtention de la preuve numé- efficace, cela peut se faire au détriment des
rique est souvent déterminante, tout en droits des personnes suspectées, alors
assurant aux citoyens le nécessaire respect que la société civile attend une réponse de
de leurs droits et la protection de leurs l’Union européenne qui soit à la hauteur
données. de l’enjeu de la protection des données
personnelles et des valeurs démocratiques
En l’état du droit, les praticiens français qu’elle veut porter. C’est entre ces deux
© AI par metamorworks
UNE ÉCOSPHÈRE D’IA REGULÉE POUR CONCILIER
L’INNOVATION ET LA CONFIANCE
Les conditions sont réunies pour une évolution généralisée des techniques d’IA :
disponibilité et diversité des données, développement des offres et performance
des équipements informatiques. L’IA génère des inquiétudes quant
aux conséquences sociétales de son emploi dans toutes les activités
et sa supposée prépondérance dans la sphère décisionnelle.
Sa gouvernance juridique est considérée par certains auteurs comme impérative.
Faut-il encore en cerner le périmètre. Les domaines de la responsabilité,
de la propriété intellectuelle et de la protection de la vie privée méritent
l’exploration de nouvelles voies juridiques et éthiques pour accompagner
ou anticiper les effets de systèmes d’IA complexes et évolutifs.
Cependant, si l’IA est une activité concurrentielle et stratégique, la disparité
des régimes légaux régionaux ne préjuge pas d’une norme internationale
dans l’immédiat. Cependant, l’Europe dégage naturellement une vision éthique.
Un contrôle humain, le respect de la vie privée, la transparence,
la non-discrimination et la responsabilisation sous-tendent les recommandations
expresses de ses experts. Sur le plan international, L’OCDE milite pour la création
d’un écosystème d’AI de confiance et centré sur l’humain régulé par
des dispositifs éthiques et réglementaires. La confiance ne pourra résulter à terme
que de la construction d’une norme internationale qui, sans entraver l’innovation,
préserve les libertés individuelles.
L’intelligence artificielle
centrée sur l’humain : droit ou éthique ?
Par Sabine Marcellin
L
Les progrès accomplis par l’intelligence
artificielle permettent à des machines
d’effectuer des tâches cognitives
qui étaient réservées aux humains
gence artificielle (IA), la définition de l’OCDE
d’un système d’IA est un système automati-
sé qui, pour un ensemble donné d’objectifs
définis par l’homme, est en mesure d’établir
par le passé. L’IA peut contribuer des prévisions, de formuler des recomman-
à renforcer la cybersécurité ou assister dations ou de prendre des décisions influant
les médecins dans l’élaboration de leur sur des environnements réels ou virtuels.
diagnostic. Les applications sociales de
l’IA sont sources de progrès mais aussi Aujourd’hui, les conditions sont réunies
de risques. Certains chercheurs, comme pour une évolution généralisée des tech-
Stephen Hawking, ont exprimé la crainte niques d’IA : disponibilité et diversité
que l’IA ne devienne une menace pour des données, développement des offres
l’humanité. Face à ces risques, de et performance des équipements
nombreux gouvernements et organi- informatiques.
sations ont entamé
(1) Un biais
des réflexions sur les algorithmique La maîtrise de l’IA
est le fait que le
principes de cadrage représente des enjeux
résultat produit par
de l’IA. Ces principes d’innovation et de
l’algorithme ne soit
pas neutre, loyal ou
prendront-ils la forme productivité. Entre
équitable. Cela peut
provenir du fait
de règles juridiques que les données fascination et inquiétude,
ou éthiques ? utilisées reflètentils s’accompagnent
des interprétations
SABINE
MARCELLIN et valeurs également des risques
existantes.
Parmi les nombreuses parmi lesquels la difficile
Avocat associé
DLGA conceptions de l’intelli- explicabilité des décisions, les effets des
biais des algorithmes1, l’atteinte à la vie sabilité semblent pouvoir être exploités.
privée et la dépendance technique Les parties impliquées peuvent aménager
de quelques acteurs incontournables. les contours de leur responsabilité par
Les nombreuses études françaises un contrat. Cependant, ces conditions
et internationales sur le thème de l’IA contractuelles ne sont pas opposables,
évoquent également d’autres risques : en droit français, ni aux consommateurs ni
les accidents, la limitation des emplois, à un tiers qui subirait un dommage. Si un
l’automatisation de la prise de décision, robot piloté par une IA génère un préjudice,
le frein à la réflexion, la discrimination et le qui sera responsable ? La question de la
renforcement de la fracture technologique. détermination de la responsabilité sera
complexe, comme l’est celle de la chaîne
L’IA représente de tels enjeux et génère de responsabilité. Du concepteur du sys-
tant de transformations que sa gouver- tème jusqu’à son utilisateur, sans oublier
nance mérite d’être élaborée, alors que ceux qui vont maintenir et entraîner ce
des interrogations demeurent quant système apprenant, qui seront les acteurs
à la forme de cette gouvernance. Le droit responsables ?
actuel est-il suffisant et faut-il développer
des règles juridiques ou éthiques ? L’IA remet aussi en
(2) Ensemble de
règles opératoiresquestion les principes de
dont l’application
Le droit actuel peut-il s’appliquer à l’IA ? permet de résoudre
la propriété intellectuelle.
L’intelligence artificielle a des incidences un problème énoncéLa protection des
au moyen d’un
profondes et généralisées qui transforment composants de l’IA
nombre fini d’opéra-
tions. Un algorithme
les modes de travail. Comment peut être traduit,(logiciels, données et
en assurer un développement maîtrisé grâce à un langagealgorithmes2) est cruciale
de programmation,
sans freiner l’innovation ? Les règles en un programme pour permettre la protec-
exécutable par
juridiques actuelles peuvent-elles un ordinateur tion des investissements.
(Dictionnaire
s’y appliquer ? Il existe déjà des normes Larousse).
Les logiciels sont protégés
utiles pour réguler l’IA comme la gouver- par le droit d’auteur, à
nance responsable des entreprises condition de comporter une part d’originali-
et la gestion de la cybersécurité. té. Les données peuvent bénéficier de la
Cependant, des pans entiers du droit protection sui generis des bases de
classique sont remis en question par l’IA, données, à condition de prouver un
parmi lesquels la responsabilité, la proprié- investissement substantiel du producteur et
té intellectuelle et la protection de la vie d’être conformes au droit des données
privée. personnelles. Si les algorithmes ne sont
pas protégeables en tant que tels, leur
Les instruments classiques de la respon- mise en forme pourrait être protégée par le
© Marcellin
le rapport Villani4.
décision par la seule machine. La loi pour Comment encadrer ce courant d’innovation
une République numérique s’inscrit dans sans le brider ? Le débat sur la préémi-
la même logique que le RGPD, dès lors nence de l’éthique ou du droit
qu’elle renforce l’obligation faite à ceux pour encadrer l’IA est ouvert.
qui déploient des algorithmes d’en informer
les personnes concernées. En effet, face Rappelons que l’éthique est la science des
aux biais pouvant entraîner une discrimina- principes moraux qui interviennent dans
tion, comment exploiter l’IA tout en main- l’action humaine. A la différence du droit,
tenant l’impératif de protéger les libertés l’éthique n’impose pas de sanctions. La
individuelles, permettre un droit d’accès norme éthique, sans caractère obligatoire,
dans un système dont la complexité est néanmoins une préfiguration de la
peut échapper à la compréhension norme juridique. La réflexion philosophique
humaine et enfin appliquer le principe et morale peut inspirer l’élaboration
de normes à caractère obligatoire.
de transparence quand les systèmes
De plus, le caractère éthique influe
sont complexes et évolutifs ?
sur l’attrait des consommateurs pour
La question se pose de l’obligation
un produit ou service.
de normer par anticipation ou de prendre
le temps d’observer si la mise en œuvre
Quant au droit, c’est l’ensemble des dis-
opérationnelle de l’IA nécessite une évolu-
positions qui, à un moment et dans un État
tion des régimes actuels du droit ?
déterminés, règle le statut des personnes
et des biens, ainsi que les rapports que
La gouvernance de l’IA doit-elle
les personnes publiques ou privées
se structurer autour de règles juridiques
entretiennent. Le droit, de par son carac-
ou éthiques ? tère contraignant, pourrait-il freiner les
La confrontation des nouveaux usages travaux de recherche en IA ? Sachant
de l’IA aux règles juridiques classiques que les régimes juridiques varient entre
a ouvert un large débat et encouragé les les États et régions du monde, il est pos-
réflexions de différents organismes autour sible de penser que l’encadrement
de la normalisation de l’IA. Jamais juridique pourrait influer sur le développe-
un thème n’a autant suscité d’études ment de l’IA dans un État plutôt
et de discussions. Il est vrai que le carac- qu’un autre. Comme l’IA est une activité
tère disruptif de l’IA suscite de nombreux par nature internationale et concurren-
questionnements. Les systèmes cognitifs, tielle, une normalisation juridique mondiale
demain basés sur des neurones artificiels, semble utopique au regard des disparités
modifient la façon dont les organisations des régimes légaux régionaux. L’IA fait
innovent et fonctionnent. l’objet d’enseignements et de recherches
dans de nombreux pays, et les technolo- l’éthique ? Cette question est au centre
gies qui en sont à la base y sont similaires. des réflexions de nombreuses institutions
Les algorithmes représentent un langage publiques en France, au plan européen
universel et les États veulent conserver et international. Quelles sont les réflexions
l’équilibre entre innovation et gouvernance. majeures ?
de confiance pour l’utilisation de l’IA (AI HLEG) qui partage ses lignes direc-
au bénéfice de ses citoyens, en tenant trices sur l’éthique de l’IA. La Commission
compte du cadre européen. » Le rapport encourage notamment le contrôle humain,
formule diverses recommandations la sécurité et la robustesse, le respect
notamment celles de penser des droits de la vie privée, la transparence, la non-
collectifs sur les données et de promouvoir discrimination et l’équité ainsi que
une gouvernance spécifique de l’éthique la responsabilisation.
en IA.
Le Conseil de l’Europe
Pour le secteur de la banque (9) igh-Level Experta décidé de la création
Group on Artificial
et de l’assurance, l’ACPR publie en juin d’un Comité IA ad hoc9
Intelligence (CAHAI).
2020 un document de réflexion : pour examiner l’opportuni-
« Gouvernance des algorithmes d’intelli- té de développer des règles propres à l’IA,
gence artificielle dans le secteur financier au sein de ses 47 États membres.
». Sa rédaction, soumise au débat public, L’objectif de ce comité est d’« examiner
encourage à s’assurer de la fiabilité des la faisabilité et les éléments potentiels,
algorithmes et à définir une gouvernance sur la base de larges consultations
appropriée. multipartites, d’un cadre juridique pour
le développement, la conception
Les réflexions européennes et l’application de l’intelligence artificielle ».
Le Conseil européen propose,
le 3 décembre 2018, une Charte éthique Les initiatives internationales
sur l’utilisation de l’IA dans les systèmes Comme chaque rupture technologique, l’IA
judiciaires. aura des implications majeures sur le plan
international. Elle constitue
(10) Julien Nocetti,
Une résolution du Parlement européen « Intelligence déjà une zone de compé-
sur une Politique industrielle quant à l’IA artificielle et politique tition10, tout particulière-
internationale :
et la robotique est rendue publique les impacts d’une ment entre les États-Unis
rupture technolo-
le 12 février 2019. Le Parlement veut pro- gique », Études et la Chine. Et l’Europe
de l’Ifri, Ifri,
mouvoir un environnement réglementaire novembre 2019.
reste dans la course.
favorable au développement de l’IA
(11) Recomman-
et envisager avec précaution toute loi dation du Conseil L’OCDE a publié, en juin
sur l’intelligence
ou réglementation globale de l’IA. artificielle. 2019, une Recomman-
https://unesco.
delegfrance.org./
dation du Conseil sur
Le 8 avril 2019, c’est la Commission Intelligence-Arti- l’intelligence artificielle11,
ficielle-des-initia-
européenne, au travers de son groupe tives-et-normes- à l’occasion du sommet
international-3405
d’experts en intelligence artificielle d’Osaka. Il s’agit de la
Son objectif est de stimuler l’innovation L’OCDE publiera ensuite en juillet 2020,
et de renforcer la confiance dans l’IA un rapport « Examples of AI National
en promouvant une approche responsable. (12) Examples of
Policies »12 qui présente
La Recommandation indique que : « si elle AI National Policies, l’état des travaux dans
Report for the G20
présente des avantages, l’IA ne va pas Digital Economy une vingtaine de pays,
Task Force, July
sans poser aux sociétés et aux économies 2020.
dont la France. La plupart
un certain nombre de défis, notamment des politiques nationales
en termes de mutations économiques sont récentes, avec pour volonté de
et d’inégalités, de concurrence, construire un écosystème d’AI de
de transitions sur les marchés du travail confiance et centré sur l’humain. Certaines
et de conséquences sur la démocratie questions reviennent régulièrement sur les
et les droits de l’homme. » thèmes d’accès aux données et d’écosys-
tème de l’IA. L’OCDE relève que peu
Le texte de cette recommandation énonce de politiques semblent mettre l’accent
cinq principes majeurs : une croissance sur les principes de robustesse, de sécurité
inclusive, des valeurs centrées et de responsabilité. L’OCDE encourage
sur l’humain, l’explicabilité, la robustesse l’innovation en IA tout en exigeant
et la responsabilité. Ces principes des garanties de protection des droits
s’accompagnent de recommandations humains, par des dispositifs éthiques
pour une IA digne de confiance, à savoir : ou réglementaires.
(13) Organisation
- investir dans la recherche des Nations Unies
De par sa dimension
et le développement en matière d’IA, internationale, l’UNESCO13
pour l’éducation, la
science et la culture.
affiche également
- favoriser l’instauration d’un écosystème son ambition de définir les principes
numérique pour l’IA, éthiques fondamentaux qui encadreront
les développements de l’IA. Dans le cadre
- façonner un cadre d’action favorable d’une conférence, « Principes pour l’IA :
à l’IA, vers une approche humaniste ? »
organisée à Paris le 4 mars 2019, Audrey
- renforcer les capacités humaines Azoulay, directrice générale de l’institution,
et préparer la transformation du monde prend position : « Il est certainement
du travail, prématuré de vouloir réglementer l’IA
au niveau mondial, mais il est plus que
1er trimestre 2021 Revue de la Gendarmerie Nationale 217
DROIT
AUTEURE
Sabine Marcellin est avocat associé
au sein du cabinet DLGA, en charge
du droit de la cybersécurité
et du numérique.
Elle est lieutenant-colonel (RC)
dans la Réserve de Cyberdéfense
de la Gendarmerie et chargée de cours
à HEC.
RÉDACTION
Directeur de la rédaction :
Général d’armée (2S) Marc WATIN-AUGOUARD,
directeur du centre de recherche de l’EOGN
RÉDACTEUR EN CHEF
Colonel (ER) Philippe DURAND
MAQUETTISTE PAO
Maréchal des logis-chef Anne PELLETIER
SDG
COMITÉ DE RÉDACTION
• Général de corps d’armée Bruno JOCKERS,
major général de la Gendarmerie nationale
• Général de corps d’armée Thibault MORTEROL,
Commandant des écoles de la Gendarmerie nationale
• Général de brigade Laurent BITOUZET,
Conseiller communication du directeur général
de la Gendarmerie nationale - chef du Sirpa-gendarmerie
COMITÉ DE LECTURE
• Général de corps d’armée Alain PIDOUX,
Inspecteur général des armées – gendarmerie
• Général de corps d’armée Bruno JOCKERS,
Major général de la Gendarmerie nationale
• Général de corps d’armée Thibault MORTEROL,
Commandant des écoles de la Gendarmerie nationale
• Général de corps d’armée François GIERÉ,
Directeur des opérations et de l’emploi
• Général de brigade Laurent BITOUZET,
Conseiller communication du directeur général
de la Gendarmerie nationale - chef du Sirpa-gendarmerie
• Colonel Laurent VIDAL,
délégué au patrimoine – DGGN
• Lieutenant-colonel Édouard EBEL,
département gendarmerie au sein
du service historique de la Défense
DÉPOT LÉGAL
Raison sociale de l’éditeur :
CREOGN, avenue du 13e Dragons,
77010 Melun cedex
Général (2S) Watin-Augouard
Imprimerie : SDG - 11 rue Paul Claudel
87000 Limoges
Janvier 2021
101001111010110000001100101111
010 NOUVELLE SESSION NATIONALE 101
111101001010111110100111101000
110000000011010000100111000100
100111101110101001001000101010
010000100011010110010111110010
100011111010011011100100000000
0001000101010000100110101010110
M AJ E U R E 0 1 0 0 0 1 0 1 0 0 1 0 0 1 1 1 1 1 1 0
SOUVERAINETE NUMERIQUE
& CYBERSECURITE1011010001
100101011000110011011101101000
101001111010110000001100101111
010000000100111110100011011101
111101001010111110100111101000
110000000011010000100111000100
100111101110101001001000101010
010000100011010110010111110010
100011110010011011100100000000
001010010101011101100000100110