La sécurité des systèmes d’information n’est plus simplement une exigence technique qui serait à la charge de quelques experts. Cela devient une nécessité essentielle pour le bon fonctionnement de toutes les activités sociales et économiques qui utilisent des moyens numériques, mais aussi des fonctions vitales de l’Etat et des services publics. Mais cette politique publique majeure dépend très largement des pratiques de sécurité que mettent en œuvre les entreprises et les acteurs privés pour leur propre compte.
Un autre facteur de complexité tient au fait que de tous les systèmes techniques contemporains, les systèmes d’information sont ceux qui sont les plus globalisés, puisque le « tout IP » implique nécessairement de participer au cyberespace mondial. Plus encore, le basculement progressif vers le « cloud computing » et l’externalisation des données va encore plus déterritorialiser la problématique de la sécurité.
Dès lors, la cybersécurité passe par une régulation internationale associant les principales sphères mondiales. L’adoption en 2001 de la Convention Cybercriminalité entre l’Europe et quelques grands Etats, dont les Etats-Unis, en a été la première manifestation.
Parallèlement, les principaux Etats actifs sur la scène des technologies de l’information et des services numériques (dont la France) cherchent à développer au maximum les potentialités d’usage de la collecte massive de données, tant pour le profit de leurs entreprises (applications « Big data ») que pour renforcer leurs moyens de renseignement technique (comme les révélations Snowden l’ont bien illustré). Cela pour induire une grande ambivalence dans la détermination des objectifs de politique publique, le renforcement de la sécurité des uns pouvant aller de pair avec un affaiblissement de la capacité opérationnelle des autres.
A l’heure où la France a décidé de moderniser le cadre juridique et administratif de ses activités de renseignement d’Etat et où l’Union européenne s’engage activement dans le domaine de la sécurité de l’information (avec le règlement de 2014 sur l’identification électronique et la prochaine directive sur la sécurité de l’information), le moment est sans doute propice pour croiser les différents aspects de la sécurité des réseaux, tant en ce qui concerne la prévention de la cybercriminalité et la protection de la vie privée et du secret des affaires que des impératifs défensifs et offensifs de la sécurité nationale.
Cette réflexion doit également prendre en compte le développement et le soutien d’une offre française et européenne de produits et services de sécurité. Elle devrait pouvoir déboucher sur une remise à jour des règles du jeu au sein du partenariat occidental sur ces questions.
Bertrand Warusfel
Intervenants :
M. Lionel DE SOUZA, Group chief data protection officer, Atos
Mme Florence MANGIN, Coordinatrice pour la cybersécurité, ministère des Affaires étrangères et du développement économique international
M. Bertrand WARUSFEL, Professeur à l’Université de Lille 2, Avocat au Barreau de Paris
Dossier documentaire :
Pour une véritable politique publique du renseignement, Etude Juillet 2014, par Sébastien-Yves Laurent.
Liberté et sécurité dans un monde anomique de données, Sébastien-Yves Laurent, contribution au Rapport n°22 de la Commission nationale de contrôle des interceptions téléphoniques, n°22 (2013/2014)
Formation à la cybersécurité des TPE et des PME, Préférentiel pédagogique, Mars 2015, piloté par la Délégation interministérielle à l’intelligence économique
Loi sur le renseignement : des avancées essentielles, au-delà des malentendus, M. Bertrand Warusfel, Hestia Expertise, 11 avril 2015