La capacité d’un Etat ou d’une organisation à contrôler et réguler son environnement numérique est devenue une préoccupation majeure.
Analyse de la souveraineté numérique et de ses enjeux.
Naissance du concept de souveraineté numérique
La souveraineté est définie dans le Larousse comme «lePouvoir suprême reconnu à l’État, qui implique l’exclusivité de sa compétence sur le territoire national (souveraineté interne) et son indépendance absolue dans l’ordre international où il n’est limité que par ses propres engagements (souveraineté externe) ». Avec la mondialisation et l’accroissement du numérique, la question de la souveraineté s’est élargie au cyberespace.La souveraineté numérique est ainsi définie comme la capacité d’un Etat ou d’une organisation à contrôler et réguler son environnement numérique.
Cette notiona émergé progressivement en Europe face à l’hégémonie américaine et chinoise sur la gestion d’Internet. La création de l’ICANN (Internet Corporation for Assigned Names and Numbers), autorité américaine de régulation d’Internet, ou encore la domination des multinationales dans les technologies du numérique ont provoqué des réactions quant au monopole technique et économique du web.
Dès 2012, la Russie et la Chine revendiquent également leurs “droits souverains” sur la gestion du réseau Internet, lors de la Conférence mondiale des télécommunications internationales.
Mais c’est en 2013 que le grand public prend conscience d’un autre enjeu de la souveraineté numérique avec l’affaire Snowden : celle du partage de données. Le scandale a accentué les préoccupations mondiales et européennes sur le sujet. En France, il a même conduit à la création d’un Institut de la souveraineté numérique, association chargée de sensibiliser le public et les élus aux enjeux.
Trois composantes de la souveraineté numérique
Indépendance technologique
Les technologies du numérique transforment continuellement nos sociétés, sans se limiter à des frontières physiques. Ainsi, l’hégémonie des multinationales sur l’espace numérique mondial et globalisé complexifie le développement et l’innovation technologique au sein d’autres nations. Réduire la dépendance à des technologies étrangères, au sein de secteurs stratégiques et critiques notamment, pour favoriser un marché national, constitue un des premiers leviers pour développer des infrastructures numériques souveraines.
Développement économique et politique
Le rapport de la commission d’enquête du Sénat sur la souveraineté numérique, paru en 2019,décritla souveraineté numérique comme “la capacité de l’État à agir dans le cyberespace” avec la maîtrise de “nos réseaux, nos communications électroniques et nos données“. En effet, les rapports de force économiques et politiques entre Etats se jouent également, si ce n’est encore plus fortement aujourd’hui, dans l’espace numérique. La cyber power des nations est d’ailleurs aujourd’hui un critère d’évaluation de puissance nationale à part entière, mesuré par le NCPI. La souveraineté numérique participe donc à la fois au renforcement de la compétitivité économique et à l’autorité du pays dans le cyberespace.
Protection des données
L’avènement des technologies du numérique a vu naître aussi un nouvel or, celui de la data. Les utilisateurs, consommateurs et citoyens partagent une multitude de données en ligne sans toujours savoir comment ni par qui elles seront employées.
Sur le plan éthique, la souveraineté numérique participe à garantir une plus grande protection des données personnelles, en limitant leur accès et leur utilisation par des pays tiers. L’Europe s’est faite garant de cette préoccupation fondamentale. En mai 2023, dans son document « Approches mondiales de la souveraineté numérique : Définitions concurrentes et politiques contrastées », elle définit la souveraineté numérique comme « la capacité de l’UE à faire ses propres choix en matière de régulation des données, basée sur ses valeurs et respectant ses propres règles, afin de protéger les droits individuels et promouvoir l’innovation technologique. ». Toujours dans une visée souveraine, protéger les données numériques vise également à prévenir les risques d’espionnage et d’atteinte à la propriété scientifique et technique des nations.
Quels sont les défis et menaces ?
Les géants du numérique, qu’ils soient américains sous les acronymes GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et NATU (Netflix, Airbnb, Tesla, Uber) ou chinois (BATX pour Baidu, Alibaba, Tencent et Xiaomi) ont amené les consommateurs à renoncer à leurs droits sur leurs données personnelles, en échange de l’accès à leurs services.
Bien que remise en question de façon croissante, cette situation pose de nombreux défis à l’Europe sur sa capacité à proposer des technologies numériques innovantes et souveraines.
En somme, la souveraineté numérique représente un défi majeur pour la protection des intérêts des nations et implique la mise en place de stratégies différentes pour la garantir.
Les États membres de l’UE s’efforcent aujourd’hui d’influencer le débat mondial pour la protection des données en établissant de nouvelles règles de gouvernance pour une infrastructure numérique qui respecte les souverainetés nationales.
Les mesures pour renforcer la souveraineté numérique européenne
L’Union Européenne tente d’imposer ses valeurs dans la lutte pour la souveraineté numérique, grâce à différentes mesures.
Le RGPD
Le RGPD (Règlement Général sur la Protection des Données) cadre strictement la collecte, le traitement et l’utilisation des données des citoyens européens. Le règlement inclut notamment des mesures qui favorisent la transparence des entreprises, sur le but du traitement, mais aussi le droit à la confidentialité et à l’effacement des données des utilisateurs. Il garantit également que l’hébergement des données soit soumis au contrôle des juridictions européennes et jamais transféré dans un pays tiers, ce qui garantit la souveraineté numérique.
La loi SREN, pour la souveraineté du cloud
La nouvelle loi SREN pour la régulation de l’espace numérique, entrée en vigueur le 21 mai 2024, vise notamment à réduire l’influence des géants américains du cloud. Parmi ses mesures, l’encadrementdes frais de transfert de données et de migration, l’obligation d’interopérabilité ou encore le plafonnement des crédits cloud.
Cette loi pourrait favoriser le choix d’opérateurs cloud européens souverains, notamment qualifiés SecNumCloud. Cette qualification de sécurité française, attribuée par l’ANSSI (Agence nationale de la sécurité des systèmes d’informations), garantit un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.
Des progrès restent néanmoins à faire sur le sujet de la souveraineté du cloud. En effet, le projet de premier schéma européen de certification de sécurité du Cloud, ou EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), a récemment vu son principal critère relatif à la souveraineté européenne supprimé. Une modification soutenue par 26 groupes industriels européens qui ont publié une lettre commune indiquant que l’EUCS ne devait pas discriminer les grandes entreprises technologiques.
L’IA Act, pour une intelligence artificielle souveraine
En matière d’innovation technologique, l’intelligence artificielle représente aujourd’hui un domaine hautement stratégique au niveau mondial, dans lequel l’UE compte bien se faire une place. Le 21 mai 2024, le Conseil européen a adopté le projet IA act pour développer et « garantir une IA respectueuse des droits fondamentaux » et de la souveraineté numérique. Elle pourra ainsi favoriser le respect de la protection des données et « faciliter le développement d’un marché unique pour des applications d’IA légales et sûres, et empêcher la fragmentation du marché. ».
Pour les entreprises : choisir des solutions souveraines
En plus de réguler un marché, ces réglementations permettent de guider les entreprises et les organisations dans leurs choix technologiques et numériques. En effet, les solutions soumises à des lois extra-territoriales (Cloud act ou autres), ne garantissent jamais la protection des informations. Alors que, dans des secteurs critiques comme l’industrie ou la finance, la préservation des données stratégiques est indispensable.
Parmi les choix technologiques les plus sensibles des entreprises figure celui de l’outil de visioconférence. Utilisée pour des communications sensibles, la visioconférence fait transiter une multitude d’informations confidentielles, sur l’activité de l’organisation mais aussi sur les participants aux réunions en ligne.
Si les données des utilisateurs sont protégées en Europe par le RGPD, ce n’est pas le cas ailleurs. De plus, le chiffrement des flux de communications n’est pas limité au sein de l’UE, même si cette technologie fait régulièrement l’objet de débats au sein des Etats membres. Il est cependant largement restreint dans d’autres pays (notamment aux Etats-Unis avec la loi du Patriot Act). En clair, utiliser une solution de visioconférence non souveraine expose les entreprises à des risques d’espionnage et d’ingérence économique accrus.
En conclusion, la souveraineté numérique est une notion essentielle pour les États et les entreprises qui cherchent à protéger leurs intérêts stratégiques dans un monde de plus en plus connecté et dominé par les géants du numérique. En réduisant la dépendance vis-à-vis des technologies étrangères, en promouvant l’innovation technologique locale et en garantissant la sécurité des données, l’Union Européenne s’efforce de créer un environnement numérique sûr et autonome.
Pour les entreprises, choisir des solutions numériques souveraines n’est pas seulement une question de conformité aux régulations : c’est avant tout une stratégie pour assurer la confidentialité et la sécurité de leurs informations sensibles. Tixeo accompagne les organisations critiques dans le renforcement de leur souveraineté numérique, via la protection de leurs communications en ligne.
Tribune de Fabien Lavabre, Responsable sécurité chez Tixeo
Fin 2024, les pays membres de l’Union européenne devront avoir transposé la Directive NIS 2 (Network Information and security) dans leurs lois nationales. Alors que la cybercriminalité ne cesse de croître, ce nouveau texte a pour ambition d’élargir le renforcement de la cybersécurité et de la cyber-résilience de milliers d’entités européennes.
Mais dans un contexte de pénurie de talents et de contraintes budgétaires fortes. Comment les entreprises vont-elles s’organiser pour se conformer à une énième réglementation européenne exigeante ?
De la genèse vers de plus grandes ambitions
Si la directive NIS 1 affichait comme objectif d’élever le niveau commun de cybersécurité des États membres de l’Union Européenne et de mieux protéger les entreprises les plus sensibles (Opérateurs de Services Essentiels), elle constituait surtout une réaction aux nombreuses cyberattaques perpétrées contre l’Europe entre 2005 et 2016. Dans les faits, cette directive n’a été que peu appliquée, notamment en raison des faibles sanctions réellement prononcées.
NIS 2 vient donc élargir le périmètre des entités concernées à 18 secteurs d’activité, comme les administrations publiques, et à des milliers d’entreprises et de sous-traitants. Avec deux objectifs à relever :
s’adapter aux cyberattaques d’aujourd’hui qui ciblent tout type d’entité (de la petite PME au groupe du CAC 40),
forcer l’application du texte, en appliquant des sanctions similaires à celles prévues par le RGPD et en augmentant leur montant (basé sur le nombre d’employés et le Chiffre d’Affaires) ainsi que le nombre de contrôles.
Une mise en œuvre complexe de la directive NIS 2
Pour répondre à son ambition, NIS 2 reprend principalement les mesures de la norme ISO/IEC 27001. Celles-ci, au-delà d’imposer des critères techniques avancés, impliquent la mise en place de changements structurels et organisationnels.
La Directive y ajoute quelques spécificités, comme la création des Entités Essentielles (EE) et des Entités Importantes (EI). Une classification qui permet d’adapter les exigences à la fois au niveau de risque et au poids de l’organisation et ainsi d’améliorer la proportionnalité des sanctions. Quoi qu’il en soit, une entité déjà certifiée ISO 27001 ne devrait pas avoir de gros efforts à faire pour se mettre en conformité à NIS 2.
À l’inverse, les organisations qui n’ont pas ou peu de culture en cybersécurité vont devoir investir énormément de ressources humaines et financières, pour structurer leur sécurité de manière organisationnelle et adapter leur gouvernance.
Se pose alors la problématique de la pénurie des talents en cybersécurité. NIS 2 devrait concerner au moins 6000 entreprises en France, et plus de 100.000 au niveau européen. Or, en 2023, Cybersecurity Ventures indiquait que 3,5 millions de postes en cybersécurité étaient toujours à pourvoir. Et qu’en parallèle, depuis 2011, le taux de chômage du secteur est à 0%.
L’application de la NIS 2 va se heurter à la réalité du terrain : engager un spécialiste en cybersécurité ne sera possible que pour les sociétés capables de payer des prestations qui devraient être revues à la hausse.
Trois défis majeurs pour les entreprises européennes concernées
Les entreprises devront relever plusieurs défis pour se mettre en conformité avec cette nouvelle directive.
D’abord, elles devront s’y retrouver dans la complexité des textes de lois européens, toujours plus nombreux et exigeants. En effet, NIS 2 est un énième texte réglementaire sur la cybersécurité, un de plus au niveau mondial. Entre les mises à jour et les nouveautés concernant les normes internationales, les frameworks et les types de réglementations (règlements, directives, lois, décrets, arrêtés…), les entités concernées doivent suivre la marche. D’autant plus que d’autres textes européens arrivent comme l’IA Act (proposition de règlement européen sur l’intelligence artificielle) et deux projets de certifications de cybersécurité européennes (EUCC pour les produits TIC et l’EUCS pour le cloud).
Ensuite, les entités devront trouver des ressources humaines suffisamment qualifiées et expérimentées (juristes, consultants, RSSI…) pour répondre à toutes ces exigences.
Enfin, elles devront sélectionner, parmi les multiples produits de sécurité du marché, ceux qui leur conviennent. Le coût cumulé sera non négligeable. Ces dépenses sont certes nécessaires mais loin d’être à la portée financière de petites entités. Même si certains éditeurs ont anticipé cette problématique et adapté leurs offres pour s’adresser au plus grand nombre.
Et si NIS 2 était trop ambitieuse ?
Volonté utopique et politique, la Directive NIS 2 promet d’imposer un socle de sécurité commun à différents secteurs dont font partie des milliers d’organisations. Mais cette mise en œuvre paraît trop ambitieuse car elle s’appuie sur un écosystème fragilisé par le manque de ressources humaines. Les organisations devront être guidées, notamment avec des plans de formations ou des subventions, afin de réaliser leur mise en conformité.
Dans un univers de la cybersécurité où la gestion du risque est primordiale, les entreprises devront soigneusement évaluer le rapport entre les ressources investies dans la mise en conformité à NIS 2, en tenant compte de la probabilité des risques encourus, et des amendes potentielles.
Après NIS 1 en 2016, NIS 2 en 2023, quid de NIS 3 ? en 2030 ? L’Europe décidera-t-elle de poursuivre l’élargissement des mesures aux toutes petites entreprises ou rajoutera-t-elle de nouvelles exigences aux EE et EI ? Une chose est sûre : l’accompagnement renforcé des entités et la simplification de cet arsenal législatif pourraient être les bienvenus.
FAQ :
Qu’est-ce que la Directive NIS 2 ?
La Directive NIS 2 (Network and Information Systems) est une réglementation de l’Union Européenne visant à améliorer la cybersécurité et la cyber-résilience des infrastructures critiques. Elle étend les obligations de sécurité à 18 secteurs d’activité critiques et impose des mesures strictes pour la protection des réseaux et des systèmes d’information.
Quels sont les objectifs principaux de la Directive NIS 2 ?
La Directive vise à renforcer la cybersécurité des entités dites “essentielles” ou “importantes” grâce à différentes stratégies comme l’analyse des risques, le traitement des incidents ou encore la continuité des activités. Son ambition est d’harmoniser les exigences de sécurité à travers l’UE.
Pourquoi est-il essentiel de se conformer à la Directive NIS 2 ?
Se conformer à la Directive NIS 2 est crucial pour éviter des sanctions sévères et garantir la continuité des activités en cas d’incident cyber. La conformité assure également une protection accrue des données sensibles et renforce la confiance des clients et partenaires.
Comment Tixeo aide-t-elle à se conformer à la Directive NIS 2 ?
Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, qui répond aux exigences strictes de la Directive NIS 2.
Quelles sont les innovations de Tixeo en matière de visioconférences sécurisées ?
Depuis plus de 10 ans, Tixeo développe sa propre technologie de chiffrement de bout en bout. La conception de la solution répond aux principes du Secure by Design, intégrant la sécurité dès les premières étapes de développement du logiciel.
Qui est concerné par la Directive NIS 2 ?
La Directive concerne plus de 100 000 organisations européennes dans des secteurs critiques comme l’énergie, les transports, les banques, les infrastructures du marché financier, la santé, l’eau potable et les infrastructures numériques.
Quelles sanctions sont prévues en cas de non-conformité à la Directive NIS 2 ?
Les sanctions pour non-conformité incluent des amendes significatives et des mesures correctives imposées par les autorités compétentes. La Directive prévoit également des mécanismes de surveillance et de sanctions harmonisés au niveau de l’UE.
Quelles sont les étapes pour se conformer à la Directive NIS 2 ?
Pour se conformer à la Directive NIS 2, les entreprises doivent effectuer une évaluation des risques et allouer des ressources humaines spécialisées afin de mettre en place des mesures de sécurité appropriées. Elles devront aussi surveiller et signaler les incidents et assurer la formation et la sensibilisation de leur personnel, et notamment de leurs dirigeants, à la cybersécurité.
L’année 2024 sera marquée par plusieurs événements politiques et géopolitiques importants qui auront des répercussions dans le cyberespace. Quels sont-ils et quels sont les risques en matière de cybersécurité ?
Les élections politiques de 2024
Alors que la guerre en Ukraine et le conflit Israëlo-Palestinien se poursuivent en cette fin d’année 2023, des élections politiques majeures marqueront l’année 2024 et le cyberespace.
L’élection présidentielle à Taïwan
Le 13 janvier 2024, l’élection présidentielle à Taïwan a eu lieu. Cet événement était sous étroite surveillance car le candidat du parti au pouvoir (Parti progressiste démocratique), auquel la Chine s’oppose fermement, était favorisé par une opposition taïwanaise divisée. Les États-Unis portaient également une attention particulière à la situation, à un moment où les tensions avec la République populaire de Chine s’intensifiaient. Les partis d’opposition, à savoir le Kuomintang et le Parti du peuple taïwanais (TPP), étaient dits “en faveur d’un apaisement des relations avec Pékin.” Le résultat de l’élection a vu le candidat du parti au pouvoir remporter une victoire décisive, renforçant ainsi la position du Parti progressiste démocratique dans le paysage politique de Taïwan.
Les élections générales britanniques
Le 4 juillet 2024, les élections générales britanniques pourraient voir revenir le Parti travailliste au pouvoir, après 14 ans d’opposition. À un mois du passage aux urnes, le Parti mené par Keir Starmer est en tête des sondages avec environ 45 % des intentions de vote. Loin devant les conservateurs de Rishi Sunak, qui oscillent entre 20 et 25 %. (source)
L’élection présidentielle américaine
Le 5 novembre 2024, le nouveau président américain sera élu. Une élection aux lourdes conséquences sur le plan géopolitique, avec la candidature probable de l’ancien Président Donald Trump. En cas de victoire, ses positions quant à la guerre en Ukraine ou sa volonté affichée et répétée de quitter l’OTAN provoqueraient des bouleversements sur le plan mondial.
Les élections européennes
En Europe, du 6 au 9 juin 2024, se dérouleront les élections européennes. Plus de 705 députés européens seront élus pour représenter les citoyens des 27 États membres de l’UE. Les électeurs sont appelés à se mobiliser pour cette élection. Celle-ci pourrait entraîner une réorganisation historique des alliances politiques au sein du Parlement européen.
Les Jeux Olympiques 2024
Les Jeux Olympiques de Paris 2024 se tiendront du 26 juillet au 11 août. L’événement sportif et géopolitique décuplera la visibilité de la capitale française et du pays. Les autorités ont déjà prévenu de la hausse inédite du niveau de risque de cyberattaques durant la période de préparation et de lancement des JO.
Quelles sont les répercussions au sein du cyberespace en 2024 ?
Ces événements géopolitiques sont autant d’occasions pour des cyberattaquants de mener des opérations d’ampleur. Conséquence : une hausse probable du niveau d’alerte pour les nations et organisations, notamment dans des secteurs critiques.
3 grands types de cybermenaces
Souvent d’origine étatique ou para-étatique, ces cybermenaces peuvent être classées dans trois grandes catégories.
Espionnage
Le cyberespionnage implique le vol de données confidentielles et sensibles, parfois classifiées, auprès d’une nation ou d’une organisation. Il peut par exemple s’agir d’intercepter des informations concernant une prochaine élection ou de nuire à l’avantage concurrentiel d’une entreprise. La propriété intellectuelle d’une entreprise mais aussi le potentiel scientifique et technique de la nation peuvent également être en jeu.
Sabotage
Certaines cyberattaques ont pour but de saboter un événement d’envergure, une infrastructure ou l’installation critique d’un pays. Elles peuvent ainsi viser des systèmes informatiques et de communication, des réseaux ou des bases de données. Ces attaques perturbent leur bon fonctionnement ou engendrent des dommages irréversibles. Objectif : nuire à la sécurité et à l’économie d’une nation. L’activisme peut également être à l’origine d’un sabotage, dans le cadre des JO par exemple, pour perturber les épreuves d’un pays. Enfin, le sabotage a généralement pour conséquence de mettre fin à une activité de façon temporaire ou permanente et entraîne des pertes financières graves.
Exemple connu de sabotage : Stuxnet. Découvert en 2010, ce ver informatique a ciblé et saboté des centrifugeuses utilisées pour l’enrichissement de l’uranium en Iran. Le virus a modifié la vitesse des machines tout en affichant des données normales aux opérateurs, causant des dommages matériels irréversibles.
Subversion
Particulièrement utilisée durant les périodes électorales, la subversion consiste à affaiblir la confiance en une personnalité, un parti politique ou une institution afin d’influencer l’opinion publique. Les campagnes de désinformation, notamment sur les réseaux sociaux ou les médias, en sont la partie la plus visible. À l’échelle d’une nation, la subversion entraîne une instabilité politique. Dans les entreprises, cela peut conduire à une perturbation de la gouvernance.
Exemple de subversion : l’affaire des emails d’Hillary Clinton. En 2015, le New York Times rapporte qu’Hillary Clinton a utilisé une adresse e-mail personnelle pour ses communications officielles lorsqu’elle était secrétaire d’État des États-Unis. Une révélation qui a posé question sur la protection des informations classifiées. À quelques jours de l’élection présidentielle de 2016, le FBI annonce la réouverture de l’enquête après la découverte de nouveaux emails sur l’ordinateur du mari d’une des collaboratrices de Clinton. Une controverse majeure qui aurait influencé l’issue de l’élection.
D’autres unités sont actives dans le domaine de la subversion comme le groupe UNC1151. Lié au gouvernement biélorusse, le groupe mène des opérations de désinformation en ligne pour discréditer l’OTAN dans les pays baltes. Depuis 2017, la campagne Ghostwriter diffuse des fake news hostiles à l’Alliance atlantique, notamment sur le déploiement d’armes nucléaires.
Phénomène du hack and leak
Le phénomène du “hack and leak” (piratage et fuite) consiste pour des cyberattaquants à récupérer des données, via du cyberespionnage par exemple, et de les divulguer immédiatement en ligne. Utilisée généralement dans le cadre d’opérations de désinformation, le hack and leak est une méthode de subversion. Les conséquences sur le plan politique sont importantes.
Exemple connu de hack and leak : en France, deux jours avant le second tour de l’élection présidentielle de 2017 a eu lieu l’affaire des “Macron Leaks“. Des documents liés à Emmanuel Macron et à son mouvement En marche ! paraissent en ligne. L’équipe de campagne du principal concerné confirmera que de faux documents étaient mêlés aux vrais, dans un but de désinformation.
Vigilance accrue pour les nations et organisations
En résumé, l’incertitude économique et géopolitique ainsi que des bouleversements politiques majeurs exposent les nations et les organisations à des risques cyber importants.
Les mesures de renforcement de la cybersécurité et de cyber-résilience seront décisives dans le cyberespace en 2024.
D’ailleurs, la mise en application obligatoire de la réglementation NIS 2 au sein des pays membres de l’UE à la fin de l’année sera salutaire. Néanmoins, le délai entre l’obligation et la conformité réglementaire prendra du temps pour les organisations.
Dès à présent, les entreprises et administrations publiques doivent redoubler d’efforts pour se préparer à ces actualités importantes sur le plan international. Elles devront ainsi renforcer leur résilience opérationnelle numérique face à d’éventuelles crises.
Tribune de Jean-Philippe Commeignes, Directeur commercial @Tixeo
L’Europe, frappée par la guerre en Ukraine depuis bientôt deux ans, revit depuis plusieurs semaines une intensification de la menace terroriste suite au déclenchement de la guerre entre Israël et le Hamas. Dans ce contexte géopolitique extrêmement tendu, la déclaration du ministre de l’Intérieur lors d’une récente interview sur l’accès aux données et conversations chiffrées des messageries a remis sur la table la question opposant de manière binaire, la protection de la vie privée et le besoin de sécurité.
La question de fond n’est pas tant le débat sur la négociation peu probable d’accès au messageries chiffrées grand public que le contrôle strict de l’usage, de la vente et l’exportation des technologies de surveillance de pointe. Celles-ci, au-delà de contourner la problématique du chiffrement, représentent une tentation dangereuse au sein de l’Union Européenne comme le rappelle, Sophie in ‘t Veld, députée européenne, dans sa dernière tribune sur les risques de cette industrie.
Guerre mondiale contre la terreur et surveillance de masse
Après le 11 septembre et le déclenchement de la guerre contre le terrorisme par les USA et ses alliés, la demande pour des solutions de surveillance et de renseignement a explosé. Un rapport de Privacy International de 2017 dénombre plusieurs centaines de création d’entreprises dans ce secteur sur la période 2001-2013, et dont 75% sont issues des pays de l’OTAN. L’approche, teintée de technosolutionnisme américain pour répondre à la menace, a entrainé la mise en œuvre de programmes de surveillance de masse révélés par le lanceur d’alerte Edward Snowden en 2013, alors employé par la célèbre agence NSA. Cela a également révélé le rôle des grandes plateformes américaines dans cette collecte de données.
Mutations incontrôlées dans le monde post-Snowden
Ces révélations ont eu deux effets majeurs :
La généralisation progressive du chiffrement, y compris dans des solutions grand public, rendant les autorités plus « aveugles » dans la collecte technique, et incitant les états à disposer de moyens de contournement ;
Le durcissement des réglementations en matière de protection de données, au travers du Règlement Général sur la Protection des Données, positionnant l’Europe en porte-étendard sur la protection de la vie privée au niveau mondial.
En parallèle, l’adoption rapide du smartphone, des messageries et des réseaux sociaux a permis de faciliter la coordination de mouvements sociaux comme les printemps arabes, créant une demande plus forte des pays autoritaires pour des solutions permettant de les contenir.
« L’industrie de la cybersurveillance s’est adaptée sur toute la chaîne de valeur »
L’industrie de la cybersurveillance s’est adaptée sur toute la chaîne de valeur pour répondre au marché à la fois intérieur et à l’export, dans un mélange d’affaires et de politique étrangère. Il s’agit d’un marché à tiroirs.
Le premier est celui de la recherche et de l’acquisition de failles informatiques inconnues des éditeurs, appelées 0-day, et qui permettent à ceux qui les détiennent de compromettre les logiciels et équipements ciblés sans nécessiter d’action des utilisateurs (0-clic). Le deuxième est celui des logiciels espions qui utilisent ces failles comme vecteurs invisibles de déploiement de leurs outils de surveillance en temps réel.
Cela a été mis en lumière à deux reprises grâce au travail de consortiums de journalistes et d’ONG comme Amnesty International. La première fois en juillet 2021 par Forbidden Stories et 17 médias dans le cadre du Projet Pegasus, du nom du logiciel espion développé par la société israélienne NSO. La deuxième fois, il y a un mois, dans le cadre des Predator Files, du nom d’un autre logiciel du même type, développé cette fois-ci par un consortium d’entreprises basées en Europe, et notamment en France, Intellexa. C’est emblématique d’un écosystème encore à la dérive et employé à des fins politiques. La plateforme Digital Violence, développée par le laboratoire Forensic Architecture, y permet une immersion effrayante mais salutaire.
Ce marché de l’industrie de la cybersurveillance est estimé aujourd’hui à 12 Md$ d’après le directeur du laboratoire Citizen Lab.
La commission PEGA et ses recommandations face à la tentation illibérale en Europe
Les travaux de la Commission Parlementaire sur les logiciels espions, appelée PEGA, suite au scandale Pegasus, a permis de mettre en lumière les principaux problèmes au sein de l’Union Européenne.
Sur le plan intérieur
D’abord sur le plan intérieur, avec la confirmation que 14 pays européens et 22 agences de sécurité avaient acquis ce type de logiciels et que 5 pays membres en avaient usage contre la société civile au mépris du droit et des institutions. Cela souligne que même nos démocraties peuvent être séduites par des outils permettant de s’affranchir du contrôle indispensable à un usage légitime et proportionné, en s’appuyant parfois sur une définition très large du concept de sécurité nationale.
Sur le plan extérieur
Sur le plan extérieur, ils ont montré les limites des règles d’exportations de ces technologies au sein de l’UE, à la fois permissives et sans applications homogènes au sein des états membres. Cela permet la mise en œuvre de structures d’entreprises opaques pour profiter de ces faiblesses afin d’exporter plus facilement.
Un récent rapport du Carnegie Endowment for International Peace indique que les états membres de l’UE ont accordé 317 autorisations d’exportations sur ce segment entre 2015 et 2017 contre seulement 14 refus. Il indique également que ces exportations sont majoritairement à destination de pays où le respect des droits de l’homme est secondaire.
C’est tout le paradoxe de l’Europe : être un modèle promouvant la démocratie et la protection des droits humains tout en important et exportant, sans contrôle strict, les moyens de son recul.
Les entreprises et organisations européennes font face à une hausse des attaques de cyberespionnage d’origine étatique. Majoritairement d’origine russes ou chinoises, ces attaques se sont multipliées depuis la guerre en Ukraine.
Les chiffres clés du cyberespionnage étatique :
77% des attaques cyberétatiques en 2022 concernent des opérations d’espionnage. (source : cfr.org/cyber-operations)
9 opérations de cyberdéfense sur 19 ont impliqué des groupes liés à la Chine. (source : ANSSI)
En 2023, 83% des cyberattaques étatiques identifiées à date concernent l’espionnage. (source : cfr.org/cyber-operations)
Les JO 2024 : un défi à venir
80entités critiques sont concernées par les Jeux Olympiques de Paris 2024, sur un total de 350 organisations.
Le niveau de risque cyber pourrait atteindre un seuil inédit durant cette période. Les organisations européennes, et notamment françaises, doivent dès à présent s’y préparer. En effet, des acteurs internationaux de la cybermenace étatique pourraient profiter de cet événement mondial pour mener des attaques, notamment de cyberespionnage, afin de déstabiliser le déroulement des JO, voire l’équilibre de la nation.
La cyber-résilience plus que jamais nécessaire
Il faut désormais se préparer au pire pour les organisations européennes, notamment dans un contexte géopolitique tendu avec la guerre en Ukraine et au Proche-Orient. Le renforcement des mesures de cybersécurité est bien entendu indispensable. Auprès de Public Sénat, l’ANSSI a d’ailleurs annoncé mener une soixantaine d’audits et distribué des kits d’entraînement aux 350 entités concernés par les JO 2024, dont 210 établissements de santé. L’objectif étant d’identifier au mieux les risques, mais aussi et surtout de réagir en conséquence et de se rétablir vite. Pour cela, des “plans de remédiation rapide” permettront aux organisations de maximiser leur résilience et garantir au mieux la continuité de leur activité.
Tribune cosignée par Renaud Ghia, CEO de Tixeo, Frans Imbert-Vier, CEO d’UBCOM, Lionel Roux, CEO de Wimi, Olivier Detour, CEO de Netheos, Thomas Fauré, CEO de Whaller, Sabine Marcellin, Avocate associée de DLGA, droit du numérique
La souveraineté numérique est l’idéal vers lequel tout le monde tend, mais qui semble difficilement atteignable sans une réelle prise de conscience de tous et le soutien du gouvernement… Aujourd’hui encore, des entreprises françaises stockent leurs données sur les clouds d’Amazon (AWS), de Google ou de Microsoft et de nombreux Français échangent quotidiennement sur des messageries et applications qui collectent leurs données pour les partager avec les GAFAM. Mais comment agir pour que les solutions françaises et européennes deviennent une évidence et un réflexe pour toute la population ? Voilà un défi qui sans exagération aucune peut être qualifié de vital pour l’Europe. Un défi auquel ne saura répondre qu’une mobilisation forte sur le plan économique et légal, mais aussi social.
Les ressources économiques
La souveraineté numérique se joue majoritairement au niveau des financements, et ces derniers ne suivront que si le gouvernement croit en ces acteurs du numérique européens et fait de leur promotion une priorité, à commencer par exemple par faire changer le code des marchés publics et évaluer systématiquement le bien-fondé du choix d’une technologie extracontinentale selon l’exemple du CFIUS (Comité pour l’investissement étranger aux États-Unis).
D’après une étude publiée le 11 février 2021 et réalisée par Guillaume Roulleau, Faÿçal Hafied et Chakir Rachiq, trois économistes à la direction générale du Trésor (ministère de l’Économie, des Finances et de la Relance), les acquisitions prédatrices de jeunes entreprises innovantes (JEI) par de grands groupes pour étouffer la concurrence restent un phénomène « marginal » ; à hauteur de 6 % maximum, mais qui, dans les faits, a de fortes conséquences. Ces rachats devraient être plus contrôlés, et effectués en priorité par des entreprises françaises. Au-delà de ce phénomène, ce sont les financements qui manquent pour soutenir les innovations françaises.
Des efforts sont faits du côté du gouvernement pour soutenir les entreprises françaises développant des technologies d’avenir et les aider à mieux se financer, par exemple avec le lancement d’un fonds d’investissement de 150 millions d’euros l’année dernière ou encore pour renforcer la cybersécurité des systèmes sensibles, après les cyberattaques contre deux hôpitaux, avec un plan d’un milliard d’euros. Un soutien qui n’est certes pas négligeable, mais qui nécessite d’être accompagné par des actions concrètes pour que l’on puisse voir une réelle amélioration.
Au-delà des financements, la problématique est aussi culturelle, et veut que les entrepreneurs européens, plus rarement confrontés dans leurs parcours à la croissance rapide à l’américaine, n’osent pas prendre de risques. Ils font aussi face à de nombreuses contraintes légales caractéristiques au Vieux Continent, qui font aplatir leurs courbes de croissance.
Le cadre légal
En effet, l’argent n’est pas tout, et doit s’accompagner de mesures juridiques adaptées. Choisir des solutions françaises ou européennes c’est avant tout faire le choix de sécuriser ses données personnelles ou celles de son entreprise. Ce sont les seules garantes d’une souveraineté double, à la fois sur les technologies et sur les données. Dans ce sens, le cadre légal en Europe, parfois estimé comme trop contraignant, a l’avantage de permettre de lutter contre les principaux risques tels que l’espionnage. Il est devenu un point différenciant alors que de nombreux acteurs sont soumis à des législations étrangères qui leur imposent, par exemple, l’obligation d’obtenir sur demande des autorités les clés de chiffrement des utilisateurs, et de pouvoir récupérer leurs données personnelles.
En même temps, même si la CNIL agit au quotidien pour le respect de la vie privée numérique et ne manque pas d’infliger de premières amendes, comme en décembre dernier pour les 100 et 35 millions d’euros d’amende adressés à Google et Amazon à cause du non-respect de la législation sur les cookies, ces actions prennent beaucoup de temps et mériteraient d’être plus régulières. La lenteur des procédures en Europe a un effet protecteur pour les GAFAM, et elles savent l’entretenir par leur puissant lobbying que les Etats européens doivent apprendre à contrer.
Sur un autre plan, lundi 11 janvier 2021, Guillaume Poupard, directeur général de l’ANSSI, l’autorité nationale en matière de sécurité et de défense des systèmes d’information, a indiqué que les attaques informatiques criminelles étaient au plus haut en 2020. La raison ? La sécurité des systèmes informatiques des entreprises n’était pas assez forte. Avec la mise en place massive du télétravail par exemple, de nombreuses entreprises ont adopté les visioconférences d’éditeurs américains aux dépens de leurs données sensibles et confidentielles. Entre l’espionnage industriel et les rançongiciels envoyés dans les entreprises, les tourmentes autour des données personnelles chez les particuliers avec récemment le scandale Whatsapp, mais aussi la recrudescence des cyberattaques contre les hôpitaux, que faut-il de plus pour que les solutions européennes sécurisées soient davantage considérées ?
L’évolution des mentalités
Face à cette situation alarmante, les efforts sur le plan économique et légal ne suffiront pas. La société tout entière doit évoluer.
En effet, aujourd’hui le sujet de la souveraineté numérique est absent des discussions du quotidien, et cette absence est d’autant plus criante que notre usage du numérique s’intensifie. Ce n’est pas que les Français ne s’y intéressent pas mais plutôt que ces solutions se font cannibaliser par les géants américains, car ces derniers sont des automatismes pour de nombreuses personnes. Or, il est possible de changer cela au quotidien en perdant ces reflexes et en faisant disparaitre de notre langage quotidien des marques qui risqueraient de devenir des antonomases. C’est un travail d’évangélisation qu’il faut mettre en place en montrant les alternatives possibles aux géants américains. Même si la crise du Covid-19 aura soulevé de nombreux sujets et particulièrement celui de la sécurité des données avec la mise en place du télétravail, les entreprises ne sont pas assez sensibilisées aux avantages de se tourner vers des solutions européennes et de soutenir l’innovation européenne.
Le choix de se tourner vers une solution européenne et souveraine est encore trop souvent fait après qu’un scandale ait éclaté, ou par peur d’amendes, comme avec l’utilisation des données personnelles, or ce choix pourrait être fait bien avant pour éviter que ce genre de situation ne se produise.
En parallèle, une éducation aux enjeux de la souveraineté numérique est nécessaire dès le plus jeune âge à l’école afin de façonner l’utilisation que ces nouvelles générations auront de ces outils dans le futur. Comment reprocher à quelqu’un de se tourner plus naturellement vers un éditeur quand c’est le seul dont il a entendu parler la majorité de sa vie ? Tant qu’il n’y aura pas une vraie diffusion de cette culture à tous les niveaux, nous aurons beau parler de souveraineté numérique, ce terme restera trop abstrait pour s’imposer dans le quotidien.
Il faut nous libérer des puissances extérieures qui ont aujourd’hui entre leurs mains nos données mais surtout les technologies que nous utilisons tous au quotidien et dont nous dépendons. En cas d’éventuelles tensions avec l’une d’elles, nous pourrions alors être coupés de technologies structurantes. Du jour au lendemain, ces puissances peuvent potentiellement mettre en péril le fonctionnement de nos industries et de toute notre société. Il y a urgence à assurer notre indépendance technologique.
Ce n’est que si les conditions économiques, légales et les mentalités suivent que nous pourrons tendre à une vraie souveraineté numérique. Or, les trois ne peuvent se construire que sur un seul socle : la volonté politique. Et c’est en prenant des décisions fortes comme la nouvelle stratégie nationale pour le cloud annoncée par le gouvernement le 17 mai 2021 que nous pourrons y arriver.
Tixeo utilise des cookies afin de vous offrir la meilleure expérience utilisateur possible. Tixeo n’utilise pas de cookies publicitaires. Pour plus d’information nous vous invitons à consulter notre politique de confidentialité.
Langue parlée (Cookie strictement nécessaire)
Le site utilise un cookie permettant à l’internaute de choisir la langue du site et de conserver son choix. Il s’agit d’un cookie strictement fonctionnel.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie que chaque fois que vous visitez ce site, vous devrez activer ou désactiver à nouveau les cookies.
Statistiques
Ce site utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
Garder ce cookie activé nous aide à améliorer notre site Web.
Veuillez activer d’abord les cookies strictement nécessaires pour que nous puissions enregistrer vos préférences.
