Le CECyF Une sécuritéintelligentepour les technologies du ... · un consortium pour assurer un...

Le CECyFLe centre expert contre la cybercriminalité français est une associationpermettant aux services chargés de l’application de la loi, aux chercheursde toutes origines (académiques, industriels, indépendants) et auxétablissements d’enseignement de se rencontrer et d’échanger pourcréer des projets qui contribuent à la formation, à l’éducation, à laprévention (site cEcyF prévention) et à la recherche & développementcontre la cybercriminalité. Le cEcyF compte 34 membres dont les douzepremiers étaient issus du projet européen 2cENTRE et de leurs15 partenaires. Il rassemble des services de l’état, des établissementsd’enseignement supérieur et de recherche, des entreprises et desassociations. La gendarmerie en assure la présidence et le secrétariatgénéral.

Le cEcyF est partenaire du Festival du film de sécurité d’Enghien.

partenaire de cyberlex, association qui regroupe des spécialistes du droitdu cyberespace et des technologies numériques, il organise avec elle unemasterclass sur le droit pénal de l’espace numérique à l’occasion du FIc2017. En synergie avec cet événement, il co-organise la 3e conférencesur la réponse aux incidents et l’investigation numérique, coRI&IN.

UN

ES

ÉC

UR

ITÉ

INT

ELLIG

EN

TE

PO

UR

LE

ST

EC

HN

OLO

GIE

SD

UFU

TU

RR

EV

UE

DE

LA

GE

ND

AR

ME

RIE

NA

TIO

NA

LE TECHNIQUE > Collectivitéslocales et cyber-risques

N°

256

/4e

TRIM

ES

TRE

2016

www.gendarmerie.interieur.gouv.fr

DROIT > La loi du3 juin 2016

REVUEde la gendarmerie nationaleREVUE TRIMESTRIELLE / DécEMbRE 2016 / N° 256 / pRIx 6 EURoS

Une sécurité intelligente pourles technologies du futur

Smarter security for future technologies

INTERNATIONAL >Safe Harbour

COUV N°256.qxp_Mise en page 1 Copier 14 16/12/2016 11:30 Page1

retour sur images numéro 255

retrouvezen Page 136 Le

défi descoLLectivités

face àL’accessibiLité

des données

Les technoLogies de La sécuritéLes marchés mondialisés obligent à des synergies entre pouvoirs publics, organismes derecherche et firmes industrielles pour produire des nouvelles techniques à forte valeur probatoireet pouvant contribuer à une prévention situationnelle. Elles doivent s'appuyer sur une fiabilitéet un paramétrage transparent pour les opérateurs. En effet, la captation de données biométriqueset le relevé des activités personnelles doivent être encadrés juridiquement afin de proroger laconfiance des personnes dans une gouvernance sociale numérique.

>>

© g

end

arm

erie

© F

otol

ia

avant-ProPos

numéro 256

3

Ce que pronostiquait bon nombre d’experts en cybersécurité depuisquelques années est finalement arrivé le 21 octobre dernier. La premièregrande attaque en déni de service préparée via un réseau d’objetsconnectés a mis à mal, pendant plusieurs heures, le fonctionnement dedizaines de sites américains… et non des moindres : Twitter, Netflix,Reddit ou encore le New York Times... Un adage populaire rappelle que la« peur n’évite pas le danger » et il est à craindre que cette attaque, quisera à n’en pas douter suivie par d’autres du même type, symbolisel’évolution d’une menace réelle. Combien de temps faudra-t-il encore pourque tous les responsables d’organisations passées à l’ère numériques’interrogent sur la réalité de leurs niveaux de protection.

Industrie 4.0, smart Cities, impression 3D, intelligence artificielle… Ladigitalisation du monde est en marche et constitue aux yeux de nombreuxobservateurs une troisième révolution, après l’invention de l’imprimerie etla révolution industrielle. La transformation qui en résultera ne pourrareposer, au-delà du caractère innovant, que sur des bases de sécurité etde confiance. Sécurité parce que « l’on ne bâtit pas sur du sable » etconfiance parce que l’usage qui sera fait des technologies et des donnéesqu’elles véhiculent ne doit pas être mis entre toutes les mains.

« Security by design », sécurité pensée dès la conception…tel estl’enjeu pour les années à venir… Certes, il faudra faire aussi avecl’existant, l’adapter, le moderniser et c’est bien en cela que le FIC est unrendez-vous essentiel pour tous les acteurs de la cybersécurité. 2007-2017, c'est la 9e édition d’un forum, né de la volonté de quelquesgendarmes précurseurs et visionnaires, qui est devenu l’un des plusimportants lieux d’échanges européens du monde de la cybersécurité. Lepartenariat formé avec cette belle ville de Lille et la région des Hauts deFrance assure une assise et un cadre de développement très favorables àce rassemblement annuel avec les territoires, acteurs essentiels de laréussite de cette transformation numérique.

Le ministère de l’Intérieur, ministère de la sécurité et des territoires,s’appuie sur les préfectures, les services de police et de gendarmerie, lesservices de renseignement intérieur et se mobilise pour relever le défi de lacybersécurité. Il est pleinement engagé dans l’accompagnement de cettetransformation avec les collectivités locales et les acteurs économiques decette filière industrielle.

Thierry DELVILLEDélégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces

4e trimestre 2016 Revue de la Gendarmerie Nationale

sommaire

numéro 256

4

dossier une sécurité intelligente pour les technologies du futur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58

techniQuecollectivités locales et cyber-risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136par Gérard Combes

La cybersécurité efficace, une affaire de culture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144par Jean-Paul Poggioli

La mission ecoter et les collectivités locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152par Patrick Bellin et Elodie Bouigue

Les acteurs régaLiensLa dacg et la lutte contre la cybercriminalité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22Entretien avec robert Gelli

Les acteurs régaliens de cybersécurité et sa gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26Table ronde animée par le général d'armée (2S) marc WATIn-AuGouArD et Guillaume TISSIEr

droitLes évolutions en matière de numérique issues de la loi du 3 juin . . . . . . .160par myriam Quéméner

cybercriminalité et compétence territoriale :dernières évolutions législatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166par myriam Quéméner

un autre aspect de la sécurité des personnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172par Fabrice Lorvo

régime juridique du ransomware ou prise d'otage numériques . . . . . . . . . . . . . . .178par Eric A. Capprioli

Revue de la Gendarmerie Nationale 4 e trimestre 2016

internationaLvers un agenda francophonede la cybersécurité et de la cyberdéfense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6par éric Adja

Les implications juridiques et technologiques post safe harbour . . . . . . . . . .14par Jacques martinon

5

La formation en cybersécurité :un investissement d'avenir 93

Entretien avec marie moin

Les crypto monnaies : une insécuritéqui nuit à la confiance 97

par Jean-Luc Delangle

Le cyberespace et les enjeuxenvironnementaux 105

par otmane Boussebaa

Les enjeux relatifs à la technologie blockchain 111

par Ludovic Petit

former des citoyens numériquement responsables 121

par Jean-Paul Pinte

La communication « machine to machine » (mtm) et ses nouveauxusages, en toute sécurité 129

par Franck marescal et Dario Zugno

Une sécurité intelligentepour les technologies du futur

DossierDossier


Le dispositif d’assistance aux victimes de cybermalveillance 59

par Jérome notin

Pharos : agir contre les contenus illicites de l’internet 63

par François-Xavier masson

Les périphériques usb en entreprise :les précautions à prendre 69

par Ludovic Haye

Le calculateur quantique, menace ousolution pour la cryptologie ? 73

par Gérard Peliks

« bug bounty Program » : l'avènementdes plates-formes européennes 81

par Sandra Esquiva Hesse et Toufik Airane

L’influence de la communauté russophone sur la cybercriminalité 85

par Adrien Petit

L'organisation internationaLe de La francoPhoniesoutient Le renforcement de La cYbersecurite dansL'esPace francoPhone

La conférence de Grand-Bassam a été l'occasion de jeter les bases d'unevision partagée de la cybersécurité et de la cyberdéfense au sein d'un espacefrancophone. La conscience des limites d'une conception périmétrique de ladéfense des intérêts d'un pays, de la nécessité d'un partenariat public-privé etde la mise en œuvre d'une coopération internationale ont permis de débouchersur des actions signifiantes actées dans trois documents fondamentaux.

La définition de stratégies, la protection des OIV, le développement d'un capitalhumain d'experts au sein d'une communauté francophone seront les leviers deplans de financements activés par un consortium. Les axes d'effort ne négligentpas l'émergence d'une jeunesse francophone susceptible d'intégrer une communautéactive et professionnalisée qui pourra collaborer aux stratégies numériques misesen place par les opérateurs régaliens et privés dans le cadre de la déclaration dusommet de la francophonie d'Antananarivo en novembre 2016.

internationaL

6 Revue de la Gendarmerie Nationale 4e trimestre 2016

oIF

internationaL

7

Vers un agenda francophonede la cybersécurité et de la cyberdéfense

Du 8 au 10 février 2016, les experts etreprésentants de pouvoirs publics etd’entreprises provenant des paysfrancophones d’Afrique, d’Europe etd’Amérique se sont réunis à Grand-Bassam (Côte-d’Ivoire), à l’initiative del’Organisation internationale de laFrancophonie (OIF), autour du thèmedu renforcement de la cybersécurité etde la cyberdéfense dans l’espacefrancophone. Depuis lors, un véritableagenda francophone de lacybersécurité se met en place, sur labase des actes et recommandationsde la conférence de Grand-Bassam.

DAnimée par des spécialistesinternationaux, professeurs, cyber-juristes, officiers de l’armée et de lapolice, régulateurs, représentants deministères et de parlementsfrancophones, cette conférence a étéstructurée autour de plusieurs thèmesdont la lutte contre la cybercriminalité, lasécurité des réseaux et systèmes, laprotection des données à caractèrepersonnel, la formation et la recherche, lacyber-défense et la sécurité nationale. Lesdébats ont permis aux participants de co-construire une vision partagée de lacybersécurité et de la cyberdéfense dansl’espace francophone, au point deproposer l’adoption d’une doctrinefrancophone en la matière. Cettedémarche a été facilitée par l’adoptiondes trois principaux actes de laConférence . À l’issue de la rencontre,l’oIF a entrepris un certain nombred’actions en vue de concrétiser lacontribution de la Francophonie au

par eric ADJA


eric ADJA

directeur adjoint de lafrancophonie economiqueet numérique.

renforcement de la cybersécurité et de lacyberdéfense dans les pays membres.

une doctrine francophone de lacybersécurité et de la cyberdéfense ?La cybersécurité, une question globale

Les participants à la Conférence deBassam ont estimé que dans lecyberespace, la sécurité périmétrique estdépassée. Ils ont recommandé uneapproche à la fois civile et militaire de lasécurité et de la défense, en fonction descibles et du niveau d'impact recherché.En effet, il existe un continuumcybersécurité/cyber-défense. Lestechnologies duales à usage civil etmilitaire confirment cette réalité, ainsi que

la relative banalisation et vulgarisation desgadgets du parfait espion par lesapplications et outils des "TIC grandpublic”.

Les participants à la Conférence deBassam ont également estimé que le rôledes opérateurs privés dans l'architecturede la cyber-sécurité et de la cyber-défense méritait d’être précisé, étantdonné que plusieurs infrastructuresd’importance vitale appartenaient à cesacteurs. De ce fait, le renforcement de lacoopération public-privé dans la luttecontre la cybercriminalité constitue unimpératif catégorique.

En définitive, le caractère transfrontalierdes cybermenaces et de certaines

internationaL

VErS un AGEnDA FrAnCoPHonE DE LA CyBErSéCurITé ET DE LA CyBErDéFEnSE

8

Cybersécurité et de cyberdéfense sont abordés dans un plan d'action global


attaques informatiques met en évidencela nécessité d’une coopération à plusieursdimensions : bilatérale, multilatérale,régionale et internationale.

une vision partagée de la cybersécurité

Au regard de ces observations et desvaleurs que porte le mouvementfrancophone, les participants à laConférence de Grand-Bassam ontrecommandé que la Francophonie sedote d’une doctrine en matière decybersécurité et de cyberdéfense. Poureux, les outils et politiques de sécuritédes systèmes et des réseauxd’information doivent viser la protectiondes données, des informations et desinfrastructures critiques contre lesattaques et atteintes de toutes sortes quientravent l’appropriation et l’utilisation desTIC pour le développement et lacroissance.

Ces instruments et mécanismes doiventse développer dans le respect de l’état dedroit. La protection de la vie privée et desdonnées personnelles des citoyens, lapromotion et la sauvegarde de la libertéd’expression en ligne sont des défismajeurs pour les sociétés démocratiquesdans leur passage au numérique.

Les actes de la conférenceAu terme des travaux de la Conférence,les participants ont adopté troisdocuments fondamentaux constituant lesactes :

un projet de Déclaration de principes surla cyber-sécurité et la cyber-défense àl’intention des hauts dirigeants de lafrancophonie ;

un guide pratique de la cybersécurité quipropose une batterie d’actions et descombinaisons que les Etats mettront enœuvre selon leurs écosystèmesspécifiques ;

un plan d’action francophone pourpermettre à l’oIF de proposer uneinitiative d’accompagnement des Etats,des entreprises et des citoyens dans lerenforcement de la cybersécurité et de lacyberdéfense dans l’espace francophone.

un projet de déclaration de principes

Il s’agit d’un document politique quiaffirme l’engagement des Etats à luttercontre la cybercriminalité et à œuvrer pourla cybersécurité et la cyberdéfense, enrenforçant leur coopération, en engageantdes actions et en adoptant des mesures,des dispositifs et des règles quirespectent, entre autres, les droitsfondamentaux de l’homme (notamment lerespect de la vie privée et la libertéd’expression), favorisent l’innovationtechnologique et le développementéconomique, et concourent à laprotection des infrastructures critiques.

un guide pratique de cybersécurité et dela cyberdéfense

réalisé sous la supervision de madameSolange Ghernaouti, Professeure à

internationaL



d’action suivantes ont été retenues parles participants :

– mettre en place des stratégiesnationales de cybersécurité et decyberdéfense ;

– promouvoir la mutualisation desressources ;

– développer les métiers de lacybersécurité et de la cyberdéfense ;

– faire de l’éducation numérique la basepour la cybersécurité ;

– encourager l’excellence francophonepour relever les défis de la cybersécuritéet la cyberdéfense.

Il a été préconisé également unmécanisme de suivi et de financement duplan d’action qui combine le financementpublic avec l’apport des acteurs del’industrie et des services numériques.

Les actions entreprises et lesperspectivesDepuis la Conférence de Bassam, desactions ont été entreprises en vue de lamise en œuvre des recommandations.une opération d’internalisation desconclusions des travaux a été engagée ausein de l’oIF pour partager les résultats etles faire porter par les principauxresponsables de notre organisation.

l’université de Lausanne, le guide estconçu comme une boîte à outils. Ilpropose aux experts et dirigeants despays francophones :

– d’élaborer des stratégies nationales, surla base de diagnostics de l’état de lacybersécurité et de la cyberdéfense dansleurs écosystèmes et d’en assurer la miseen œuvre et le suivi ;

– d’identifier leurs infrastructures critiqueset de garder un œil vigilant sur tous lesopérateurs d’importance vitale, de mettreen œuvre des structures de réponsed’urgence aux incidents de sécurité del’information, de définir des mécanismesappropriés de protection des données àcaractère personnel et de protection desenfants et de la jeunesse dans lecyberespace ;

– de développer le capital humain, lecadre organisationnel et les mesureslégislatives et d’assurer la coopérationrégionale et internationale en matière decybersécurité et de cyberdéfense, enmobilisant des réseaux tels queFrAnCoPoL (réseau francophone despolices).

un plan d’action francophone

Le troisième acte de la Conférence sedécline en une esquisse de plan d’actionfrancophone de renforcement de lacybersécurité et de la cyberdéfense,coordonné par l’oIF. Les cinq lignes

10 Revue de la Gendarmerie Nationale 4 e trimestre 2016

internationaL


un consortium pour assurer un réseautageefficace

un mois après la Conférence de Grand-Bassam, l’oIF a entrepris de mettre enplace un consortium francophone sur lacybersécurité, à l’occasion des journéesde la Sécurité (Security Days), le 16 mars2016 à Dakar. Cette plateformeambitionne de regrouper différentesparties prenantes de l’espacefrancophone : les représentants despouvoirs publics, les opérateurs privés,les acteurs de la société civile et lesexperts du monde académique.

un pôle de coopération francophone

L'organisation internationale de laFrancophonie (oIF) et l'Agenceuniversitaire de la Francophonie (AuF)conjuguent leurs efforts pour lerenforcement de la cybersécurité et de lacyberdéfense, dans le cadre d’uneconvention de partenariat en discussion.Les deux organisations envisagent demobiliser leurs réseaux d’expertises etleurs moyens propres pour mener desactions dans quatre directions :

– information, sensibilisation, médiation etformation ;

– recherche, colloques, séminaires etassises francophones ;

– mise à jour des législations nationales ;

– appui à la mise en place de structuresde réponse aux incidents de sécurité.

À ce titre, l’AuF et l’oIF ont organisé desassises francophones de la cybersécuritédans l'espace francophone, les 2 et3 novembre 2016 à Antananarivo. L’oIFenvisage également d’autres initiativesavec l’Assemblée parlementaire de laFrancophonie (APF), TV5, l’universitéSenghor et l’Association internationaledes maires francophones (AImF).

mobilisation de la jeunesse francophone

L’oIF mobilise un Fond Francophones del’innovation numérique (FFIn) pourstimuler la créativité des jeunes dans cedomaine. Ainsi en 2016, ont été organisésdes « hackathons » ou « innovathons »dans cinq pays francophones: la Côted’Ivoire, madagascar, l’Ile maurice, laTunisie et le Vietnam. L’objectif estd’amener les jeunes à proposer auxadministrations publiques des solutionsinnovantes pour contribuer à résoudredes problèmes de cybercriminalité dansleurs pays.

Par ailleurs, madame michaelle Jean,Secrétaire générale de la Francophonie,s’inscrivant dans la « Francophonie dessolutions » a lancé le 10 mars 2016l’Initiative « Libres ensemble ». Cettecampagne, qui connaît un succèsretentissant sur les médias et réseauxsociaux (plus de 3 millions de vues sur uninternet, une cinquantaine de messageset de projets déposés par des jeunesfrancophones sur la plate-forme dédiée),se veut une réponse aux stratégies


internationaL


12

2016) précisent fort justement que « lacriminalité en ligne est devenue un défipour la croissance et le développementéconomique, la protection des systèmeset réseaux d’information, le respect del’État de droit et la protection descitoyens ». Ils saluent à cet effet « lesactions entreprises par la Secrétairegénérale de la Francophonie dans ledomaine de la cybersécurité et de lacyberdéfense ». Enfin, ils encouragent« l’OIF à poursuivre ses efforts pouraccompagner les Etats membres dansleur volonté d’instaurer un environnementde confiance numérique, dans le respectdes droits fondamentaux des citoyens etl’AUF à développer ses actions deformation et de soutien à la recherchedans le domaine de la cybersécurité,notamment en mobilisant ses réseaux ».

numériques déployées par lesmouvements extrémistes.

La conférence de Grand-Bassam aposé les jalons de plusieurschantiers en matière de

cybersécurité et de cyberdéfense dansl’espace francophone. Le défi est grand.Des financements importants serontnécessaires, au vu l’ampleur de ladélinquance cybernétique, mais aussi enraison de la professionnalisation et de lacomplexification des attaquesinformatiques, sans compter les usagesdu cyberespace à des fins deradicalisation des jeunes.

Ayant pris la mesure de ces défis, lesChefs d’état et de Gouvernement, dansla Déclaration du Sommet de laFrancophonie à Antananarivo (novembre

internationaL



13

internationaL



L’auteur

Eric ADJA est Directeur Adjoint de la Francophonie économique etnumérique au siège de l’Organisation internationale de la Francophonie (OIF)à Paris. Titulaire d’un doctorat en sciences du langage à l’Université Paris 7 et d’unMaster en Economie internationale et Globalisation à l’Université PierreMendès France de Grenoble, il a occupé les fonctions de Directeur de l'ONGinternationale Innovations et Réseaux pour le Développement (IRED) àGenève (2002-2005), Conseiller du Président de la République du Bénin(2006-2011) et de Directeur général de l'Observatoire international destransferts de fonds des migrants (OITFM), auprès du Bureau mondial decoordination des Pays les Moins Avancés aux Nations Unies à New-York(2011-2014).

La securite des données au cœur desPréoccuPations de La cour euroPéenne de Justice

L'accord Safe Harbour n'a pas résisté à la question de la protection desdonnées personnelles transférées en dehors de l'Union européenne sans unniveau de protection adéquat, qu'elles soient incluses dans un pack de communicationsélectroniques mal différencié ou que l'on ne dispose pas de voies de droitclassiques pour leur protection au regard des programmes de surveillance desÉtats-Unis. Il était reproché notamment une limitation du pouvoir d'enquête desautorités de contrôle.

Le Privacy Shield, nouvelle mouture de cet accord, accorde des garantiesréelles mais qui suscitent quelques interrogations. Présenté le 29 février 2016,par la Commission, le dispositif comprend les principes d'un bouclier de protectiondes données : obligations pour les entreprises, accès encadré par les autoritésaméricaines, protection des droits des citoyens de l’Union et un mécanisme deréexamen annuel conjoint.

internationaL


internationaL

15

Les implications juridiqueset technologiques post "Safe Harbour"

Proclamée par la Courde justice del’Union européenne1, la censure del’accord dit Safe Harbour , encadrantle transfert des données personnellesdes Européens par5 000 entreprises américaines2, aremis les “CNIL” européennes dans unrôle de premier plan et provoqué denouvelles négociations entre l’UE etles États Unis, dont le Privacy Shieldest le fruit.

L'invalidation du Safe HarbourL’accord dit Safe Harbour a été censurésur une argumentation solide, engendrant

des répercussions àcourt terme auniveau politique,juridique ettechnologique.

une censuresymbolique

Cette censure est lefruit d'une remise en

Pcause du SafeHarbour dontl'origine remonte àjuin 2013,aboutissant à un fortsignal de la Cour deJustice de l'unioneuropéenne.

La remise en causedu Safe Harbour

Les révélations d’Edward Snowden surles programmes de surveillancesaméricains et britanniques3

commencèrent le 6 juin 2013. Quelquesjours plus tard, maximilian Schremsportait plainte contre Facebook devantl’autorité de contrôle irlandaise afin defaire cesser le transfert transatlantique deses données personnelles. En effet, il estinterdit de transférer des donnéespersonnelles en dehors de l'unioneuropéenne (directive n°95/46/CE), saufen présence d'un "niveau de protection

(1) CJuE, 6 oct. 2015, aff.C-362/14, MaximilianSchrems c/ Data protectionCommissioner.

(2) Précisément 5561d’après le décompte officielau 14 mars 2016 :https://safeharbor.export.gov/list.aspx. En effet, ledépartement du commerceaméricain continued’administrer le programmeSafe Harbour, dans l’attentedu Privacy Shield.

(3) Entre autres : PrISm,Xkeyscore, BoundlessInformant, DroPouT JEEP.

par JAcqUes MArtinon


JAcqUes MArtinon

magistrat, mission de luttecontre la corruption et lacybercriminalité de ladirection des affairescriminelles et des grâces

adéquat"4. Afin depermettre un teltransfert massif desdonnées vers lesEtats-unis, l'accordSafe Harbour avaitété négocié entre lacommissioneuropéenne et ledépartement du

commerce américain (décisionn°2000/530/CE). Cet accord sera annulédeux ans plus tard sous l'analyse de laCour de Justice.

Le signal fort de la cour de Justice

Il convient d'abord de rappeler l'arrêt du8 avril 2014 invalidant la directive 2006/24sur la conservation des données5. LaCour estima que « cette directivecomporte une ingérence dans ces droits

(4) Article 25-1 de ladirective n°95/46/CE.

(5) Arrêt de la CJuE du 8avril 2014, invalidant ladirective 2006/24/CE sur laconservation de donnéesgénérées ou traitées dans lecadre de la fourniture deservices de communicationsélectroniques accessibles aupublic ou de réseaux publicsde communications dans lesaffaires jointes C-293/12 etC-594/12 Digital rightsIreland et Seitlinger.

fondamentaux (articles 7 et 8) d’une vasteampleur et d’une gravité particulière [...]sans qu’[elle]soit précisément encadrée[...]». En effet, la directive couvrait "demanière généralisée toute personne ettous les moyens de communicationélectronique ainsi que l’ensemble desdonnées relatives au trafic sansqu’aucune différenciation, limitation ouexception soient opérées en fonction del’objectif de lutte contre les infractionsgraves ».

Autrement dit, même si la directiverépondait effectivement à un objectifd’intérêt général, le principe deproportionnalité n’avait pas été respecté,d'autant plus que cette directive n’avaitpas imposé que les données soientconservées sur le territoire de l’union,empêchant que soit pleinement garanti lecontrôle par une autorité indépendante.

16

Safe harbour est juridiquement contestable car il ne garantit pas une gestion des données conforme à

charte européenne des droits fondamentaux.

Foto

lia -

Jow

in


internationaL

LES ImPLICATIonS JurIDIQuES ET TECHnoLoGIQuES PoST SAFE HArbOUr

Les conclusions de l'avocat général yvesBoT dans l'affaire Schrems sont dans ledroit fil de ce constat lorsqu'il note que lesétats-unis « n’offrent aucune protectionréelle des données conservées sur leterritoire [...] contre la surveillance de l’État.[...]." et que "l’existence d’une décisionadoptée par la Commission européenne[...] n’a pas pour effet d’empêcher uneautorité nationale de contrôle d’enquêtersur une plainte alléguant qu’un pays tiersn’assure pas un niveau de protectionadéquat [...] et, le cas échéant, desuspendre le transfert de ces données ».

Le principal reproche que fait l'avocatgénéral à la commission européenne estde ne pas avoir suspendu l'application dela décision Safe Harbour alors mêmequ'elle avait constaté depuis novembre2013 qu' « il n'existe [...] aucune possibilité[...] pour les personnes concernées [...],d'obtenir l'accès, la rectification ou lasuppression de données ou d'exercer des

voies de droit [...]dans le cadre desprogrammes desurveillance des États-Unis »6. L'avocatgénéral évoque ainsiune « surveillancemassive et nonciblée »,« disproportionnée parnature » qui constitue« une ingérenceinjustifiée dans lesdroits garantis » par laCharte des droitsfondamentaux7.

(6) CommunICATIon DELA CommISSIon relative aufonctionnement de la sphèrede sécurité du point de vuedes citoyens de l'union etdes entreprises établies surson territoire, 27 novembre2013, Com(2013) 847 final.

(7) Article 8 de la Charte : 1. Toute personne a droit àla protection des données àcaractère personnel laconcernant.2. Ces données doivent êtretraitées loyalement, à desfins déterminées et sur labase du consentement de lapersonne concernée ou envertu d’un autre fondementlégitime prévu par la loi.Toute personne a le droitd’accéder aux donnéescollectées la concernant etd’en obtenir la rectification.3. Le respect de ces règlesest soumis au contrôled’une autorité indépendante.

En conséquence, la Cour de Justice vaeffectivement trancher en défaveur del'accord Safe Harbour, reprenant lesmotifs développés par l'avocat général:limitation injustifiée du pouvoir d'enquêtedes autorités de contrôle, ingérencesdisproportionnées dans la vie privée dufait de l'absence de différenciation ou delimite de la surveillance de masse,absence de voies de recours pour lapersonne concernée.

Les conséquences à court terme del'arrêt de la cJue

renforcées par cet arrêt, les « CnIL »européennesregroupées au seindu G298 ont posé unultimatum, laissantdes alternativesjuridiques au SafeHarbour. un recoursaccru auxtechnologies deprotection dedonnées est

constaté.

un calendrier accéléré par le g29

Le 16 octobre 2015, le G29 a publiéune déclaration sur les conséquences decet arrêt9, avec un ultimatum pour finjanvier 2016, estimant que puisque lestransferts de données fondés sur le SafeHarbour étaient illégaux, en casd'absence d'un nouveau cadre juridiquesatisfaisant à cette date, des actionsrépressives coordonnées seraientengagées10.

(8) En référence au Groupede travail institué par l'article29 de la directive 95/46/CErelative à la protection despersonnes physiques àl'égard du traitement desdonnées à caractèrepersonnel et à la librecirculation de ces données.

(9) http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf


internationaL


l'on peut craindredans un contexteprofessionnel du faitd'un lien desubordination14.

Pour une entreprisefrançaise, la pratiqueencourage de fairesigner des clausescontractuelles à sessous-traitants auxétats-unis, ou

d'imposer un hébergement des donnéesen Europe à ces derniers15.

un recours accru aux technologies deprotection de données

Sur un plan technologique, la protection desdonnées va probablement s'accompagnerd'un accroissement des outilscryptographiques, puisque selon certains : «les données personnelles [...] doiventdésormais être protégées [...] par desmesures d’encadrement juridiqueadéquates et par des mesures deprotection technologiques en particuliercryptographiques. En effet, [...] l’évolutiondes algorithmes de traitement des donnéesen masse (big data), rend plus nécessaireencore la protection de ces données. »16 Siune diffusion de ces technologies paraîtpositive, des effets pervers ont parfois étéconstatés en termes d'entrave auxinvestigations judiciaires.

La gestation du Privacy shield L’accord Safe Harbour étant neutralisé, lasémantique commandait de puiser à

(14) Groupe de travail«Article 29», Avis 8/2001 surle traitement des données àcaractère personnel dans lecontexte professionnel (WP48), 13 septembre 2001, p.31, 32 et 36.

(15)http://www.brmavocats.com/2015/11/invalidation-du-safe-harbor-quelles-consequences-pour-votre-entreprise, article de meEdouard VErBECQ.

(16) B. Benhamou,secrétaire général del'institut de la souveraineténumérique.http://www.souverainetenumerique.fr/

Il ajoute que desclausescontractuelles types(CCT) ou des règlesd'entreprisecontraignantes11

(rEC) peuvent êtreutilisés, sanspréjudice pour lesautorités nationalesde contrôle de menerdes investigations, àla lumière des articles7, 8 et 47 de laCharte.

Les alternativesjuridiques actuellesau safe harbour :cct, rec et casdérogatoires

La Commission arendu publiques

des orientations12. En résumé, lesentreprises américaines peuvent avoirrecours aux mécanismes de "CCT"émises par la Commission13 ou de "rEC"autorisées par les membres du G29. Cesmécanismes contractuels sont censéssuppléer l'accord Safe Harbour avec desgaranties suffisantes. Il existe enfin desdérogations, notamment lorsque lapersonne concernée a « indubitablementdonné son consentement au transfert ».Afin d'éviter tout abus, le G29recommande des bonnes pratiques,notamment pour garantir un véritableconsentement « libre, spécifique etinformé », sans pression particulière, que

(10) En France, le transfertde données vers un pays neprésentant pas un niveau deprotection adéquat estréprimé par l'article 226-21du code pénal d'une peinede 5 ans d'emprisonnementet de 300 000 eurosd'amende.

(11) Concernent uniquementles transferts de donnéesintragroupes, afin de fairecirculer librement cesdonnées entre les diversesentités d'un groupe partoutdans le monde.

(12) Communication de lacommission concernant letransfert transatlantique dedonnées à caractèrepersonnel faisant suite àl’arrêt de la Cour de justicedans l’affaire C- 362/14(Schrems), 6 novembre2015, Com(2015) 566 final.

(13) Certains droits etobligations sont ainsidirectement intégrés dansles "CCT", par exemple desmesures de sécurité, denotifications à la personneconcernée en cas detransfert de donnéessensibles, de droit d'accès,de rectification etd'effacement, de règlesd'indemnisation en cas deviolation de ces clauses.


internationaL


nouveau dans le champ lexical de lasécurité afin de restaurer une confianceperdue, d’où l’avènement du PrivacyShield. Au-delà des mots, ce mécanismedésormais finalisé a fait l’objet d’un avisdu G29, alors que les enjeux sontconsidérables pour les acteurs privés etpublics.

un mécanisme finalisé

Les nouvelles garanties du Privacy Shieldsont réelles mais non exemptesd’interrogations selon certainsobservateurs et selon l’avis public duG29.

Le dispositif "Privacy shield"

Présenté le 29 février2016 par laCommission17, ledispositif comprendles principes du«bouclier deprotection desdonnées», auxquelsles entreprisesdoivent adhérer, ainsiqu'une séried'engagementsécrits des états-unis.La formule Trust is amust résume l'espritaffiché de cestextes18.

Les garanties s'articulent comme suit :entreprises soumises à des obligationsfermes19 ; accès par les autoritésaméricaines étroitement encadré et

(17)http://europa.eu/rapid/press-release_IP-16-433_fr.htm

(18) Déclaration dem. Andrus Ansip, vice-président de la Commissioneuropéenne

(19) mécanismes desurveillance, possibilité desanction ou d'exclusion,conditions strictes pour lestransferts ultérieurs.

(20) En théorie, tout accèsdes pouvoirs publicsaméricains aux données àdes fins de sécuriténationale serait "subordonnéà des limitations, desconditions et desmécanismes de supervision[...], empêchant un accèsgénéralisé aux donnéespersonnelles" ; de pluspossibilité d'un recours pourles citoyens de l’uE dans ledomaine du renseignementaméricain à un mécanismede médiation indépendantdes services de sécuritéaméricains.

transparent20 ;protection effectivedes droits descitoyens de l’unionet plusieurspossibilités derecours21 ;mécanisme deréexamen annuelconjoint22. Cemécanisme complètel’adoption en mai2016 de la nouvellelégislation

européenne sur la protection desdonnées (un règlement général sur letraitement des données personnellesdans l’uE et une directive sur les donnéestraitées par les autorités policièresjudiciaires).

un dispositif finement évalué par le g29

Les réserves decertains observateursconcernant le futurPrivacy Shield23,pointant notammentune autorisation desurveillance demasse ("signalsintelligence collectedin bulk") dans la« Presidential PolicyDirective 28 »(PPD28) utilisabledans six domaines

(détection et lutte de certaines activitésde puissances étrangères, antiterrorisme,lutte contre la prolifération nucléaire,

(21) éponse des entreprisesaux plaintes dans les45 jours ; mécanisme derèglement extrajudiciaireaccessible sans frais ;possibilité pour les citoyensde l’uE de s'adresser à leurautorité nationale chargéede la protection desdonnées, en collaborationavec la Commission fédéraledu commerce : mécanismed’arbitrage disponible endernier ressort.

(22) Commissioneuropéenne et le ministèreaméricain du commerce,associant des expertsnationaux du renseignementtravaillant au sein desautorités américaines eteuropéennes de protectiondes données.

(23) http://www.lemondeinformatique.fr/actualites/lire-l-accord-privacy-shield-prend-forme-a-bruxelles-64060.html

(24) http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-6_en.pdf

(25) http://www.nextinpact.com/news/98366-apres-safe-harbor-privacy-shield-un-bouclier-papier.htm

(26) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.


internationaL


20

personnelles sont également un sujetmajeur pour les souverainetés nationales.

un enjeu de stabilité pour le modèleéconomique du big data

Comme le souligne myriam Quémenerdans son étude de l'arrêt Schrems : « lajustice européenne s’institue enprotectrice des données des Européensqui constituent une manne

économique »27. Legroupe d'intérêtDigitalEurope (Apple,Google etmicrosoft...) paraît se

satisfaire du projet de Privacy Shield, etles nouveaux textes européens vontcertes prendre en compte unrenforcement du niveau de protection des

donnéespersonnelles28 maiségalement desprécautions pourcréer un« environnementlégislatif favorableaux futurs championseuropéens dunumérique »29.

un enjeu de stratégiepour lessouverainetésnationales

Au-delà du Privacy Shield, l'accordUmbrella Agreement signé le 2 juin 2016relatif au transfert et au traitement desdonnées personnelles en matière policière

(27) « La fin du Safe Harborau nom de la protection desdonnées personnelles :enjeux et perspectives »,myriam QuEmEnEr inrevue Lamy droit del'immatériel, n°120(2015)

(28) renforcement desconditions du consentement(article 7) et en particulier duconsentementparental, consécration dudroit à l’oubli (article 17),droit à la portabilité desdonnées (article 18)

(29) "Protection desdonnées personnelles : versde nouvelles règleseuropéennes", me JérômeDeroulez,http://www.village-justice.com/articles/protection-des-donnees,21234.htm

(31) L'accord soumet letransfert à l’autorisationpréalable de la CnIL. Lesapports sont de limiter ladurée de conservation desdonnées, avec un droitd’accès et de correction.

cybersécurité, détection et lutte contre lesmenaces visant les états-unis et lesforces armées alliées et enfin, lutte contreles menaces de crimes transnationaux24),ou encore celles de l'eurodéputé Claudemoréas, président de la Commission deslibertés civiles, de la justice et des affairesintérieures du Parlement européen,estimant qu'en l'absence de dispositioncontraignante, cette architecture nerepose que sur une déclaration desautorités américaines difficilementvérifiable25, ont trouvé un certain échodans l’avis public du G29 rendu public le13 avril 201626.

Ainsi, concernant le volet “commercial” duPrivacy Shield, le G29 souhaite desclarifications dans la conservation desdonnées et leur utilisation, ainsi que desgaranties explicites dans le cas d’untransfert ultérieur des données à unepartie tierce.

Quant au volet « sécurité nationale », leG29 maintient qu’une surveillance demasse et indiscriminée de personnes nepeut être considérée comme proportionnéet strictement nécessaire, salue la miseen place d’un médiateur(« ombudsperson ») tout en se disantpréoccupé d’une indépendancepotentiellement insuffisante vis-à-vis desautorités américaines.

Les enjeux d'une confiance restaurée ?

Si la finalisation de l’accord PrivacyShield était attendue impatiemment parles acteurs économiques, les données


internationaL


La position de la Cour de Justice del'union européenne conduit àrequérir des gages sérieux visant à

strictement limiter et contrôler lessurveillances de masse, voire à en bannirl’usage au titre de son caractèrepotentiellement disproportionné « paressence ». L’importance stratégique de lalocalisation des données stockées et deleur sécurisation, notamment par

chiffrement31,pourrait amenercertains acteursprivés à lesrelocaliser enEurope.

Si la puissancepublique doit tisserun cadre protecteurpour les donnéespersonnelles de sescitoyens, elle doitégalement pouvoirêtre en capacité de

les exploiter, dans un cadre légal clair etdans le respect du principe deproportionnalité, pour des motifs légitimes(sécurité nationale, investigationsjudiciaires).

Ces délicats compromis peuvent etdoivent se chercher au niveau européen.Les autorités nationales de contrôle et laCour de Justice de l'union européenneconstituent des garantiessupplémentaires déterminantes pour laprotection des données personnelles descitoyens européens.

(31) Le 2 décembre 2015,maximilien Schrems a denouveau porté plainteauprès des CnIL irlandaise,allemande et belge pourinterdire à Facebook detransférer les données deses utilisateurs européensvers les états-unis. Ilsuggère des solutionsalternativescomme « déplacer lesdonnées en Europe, chiffrerles données stockées auxÉtats-Unis ou revoir lastructure de l’entreprise», http://www.lemonde.fr/pixels/article/2015/12/03/le-militant-max-schrems-s-attaque-a-nouveau-a-facebook-sur-les-donnees-

21

et judiciaire couvre toutes les données(noms, adresses ou condamnations)susceptibles d’être échangées entre l'uEet les états-unis, garantissant un transfertconforme au droit européen ainsi qu'uneégalité de traitement avec lesaméricains30. Il constituait un préalable àl'adoption des partages de données telque le Passenger Name record (Pnr)dans le transport aérien, dont la mise enplace a été accélérée sous l’impulsion dela lutte antiterroriste.


L’auteur

Jacques Martinon est titulaire d’un DEA endroit privé (Panthéon Assas) et d’un DEA endroit européen (Panthéon-Assas). Magistratde l’ordre judiciaire depuis 2008 (promotionENM 2006), ses premiers postes ont été juged’instruction au Tribunal de Grande Instancede Senlis, puis juge d’instruction au Tribunalde Grande Instance de Bobigny. En janvier2016, il rejoint la mission de lutte contre laCorruption et la Cybercriminalité de ladirection des affaires criminelles et desgrâces (DACG), au sein du ministère de lajustice. A ce titre, il est amené à suivrel’actualité nationale en lien avec lacybercriminalité ainsi que les négociationsinternationales (Conseil de l’Europe, Unioneuropéenne…). Au-delà de la cybercriminalitéau sens strict, ses attributions peuvents’étendre aux problématiques engendrées parle recueil de la preuve numérique(chiffrement, extraterritorialité...). Enfin, il estle Point de Contact France du nouveauRéseau Judiciaire Européen sur la

internationaL


La dacg au cœur de La Lutte contre LacYbercriminaLité

La direction des affaires criminelles et des grâces soutient les initiatives natio-nales et internationales de lutte contre la cybercriminalité. L'adaptation du code deprocédure pénale, une sensibilisation des juridictions et sa participation aux négo-ciations européennes liées au recueil de la preuve dans le cyberespace témoignentde cet engagement. En effet, la définition d'une nouvelle territorialité, l'hypercon-nexion des systèmes et les procédés tant cryptographiques que d'anonymisationau sein de réseaux “noirs” sont des freins aux investigations dans le cyberespace.

Enfin, créée en 2014, la « mission de lutte contre la cybercriminalité » permet uneanalyse transverse de la cyber criminalité, d'en apprécier la substance et d'évaluerla ressource humaine et matérielle à y consacrer. Le soutien aux projets THESEE etPERCEVAL, menés par le ministère de l’Intérieur, afin de respectivement mettre enplace un portail de plainte en ligne contre les cyber-escroqueries et un portail designalements pour les usages frauduleux de cartes bancaires entrent dans cetteoptique.

Les acteurs régaLiens


La DAcG et la lutte contre la cybercriminalité

Monsieur le directeur, de quellemanière le ministère de la Justiceparticipe-t-il à la lutte contre cettecriminalité croissante et protéiforme ?

Afin de permettre une analyse transversalede ce phénomène en perpétuelleévolution, j’ai créé, en 2014, une missionde lutte contre la cybercriminalité au seinde la direction des affaires criminelles etdes grâces du ministère de la Justice. Ladéfinition même de la cybercriminalité faitdébat, mais deux axes principaux s’endégagent. Le noyau dur se constitue desattaques informatiques stricto sensu (lesatteintes aux Systèmes de traitements

automatisés dedonnées, STAD),tandis qu’unemyriade d’infractionsdites traditionnellessont facilitées, voiredémultipliées, parl’emploi de réseauxde communications

Mélectroniques. une tendance récente estpar exemple le basculement du traficd’armes et de drogue vers l’Internetprofond. En soutenant des initiativesnationales et internationales de luttecontre la cybercriminalité, en adaptant lecode de procédure pénale à cettematière spécifique, en participant auxnégociations européennes surl’amélioration du recueil de la preuvedans le cyberespace et en sensibilisantles collègues en juridiction à ces enjeuxnouveaux, ma direction prend activementsa part dans ce combat essentiel pour laconfiance de nos concitoyens enl’économie numérique.

Quels sont les plus grands défis en lamatière ?

Ainsi que je l’ai indiqué, il est parfoisdélicat de définir la cybercriminalité et iln’est malheureusement pas plus simpled’appréhender statistiquement cephénomène. En effet, outre le problème

société

23

entretien avec robert Gelli


robert GeLLi

directeur des affairescriminelles et des grâcesministère de la Justice

classique du « chiffre noir » (ensemble descrimes et délits qui ne sont pas connusdu fait de leur non dénonciation), il existeune difficulté actuelle d’ordre statistique.Des pistes de réflexion sont en cours à cesujet, considérant qu’une sous-évaluationdu phénomène criminologique peut avoirpour conséquence une sous-évaluationdes moyens nécessaires à sonéradication.

Au-delà de la cybercriminalité, c’est enréalité toute la question du recueil de lapreuve numérique qui est posée, quel quesoit le type d’enquête, qui se heurte auxlimites traditionnelles de la territorialité,concept largement dépassé dans notremonde hyperconnecté et sujet àl’explosion de l’informatique dans lesnuages (Cloud), à un chiffrement desdonnées (certes nécessaire poursécuriser les échanges informatiquesmais parfois difficile à concilier avec lesimpératifs des investigations judiciaires) etaux nombreuse techniquesd’anonymisation prisées par lescybercriminels (réseau Tor…).

Le contexte actuel de menace terroristerenforce encore l’urgence de trouver dessolutions pragmatiques et rapides à cesdifficultés nouvelles.

Quelles sont les perspectivesd’amélioration à court terme ?

Il est difficile d’être exhaustif en la matièremais je souhaite profiter de cet entretienpour évoquer les projets THESEE etPErCEVAL menés par le ministère del’Intérieur avec le soutien de ma direction,

afin de respectivement mettre en place unportail de plainte en ligne contre lescyber-escroqueries et un portail designalements pour les usages frauduleuxde cartes bancaires. D’autre part, lanouvelle compétence nationaleconcurrente du parquet de Paris enmatière d’atteintes aux systèmes detraitements automatisés de données(STAD) devrait permettre unespécialisation des acteursparticulièrement profitables en la matière.


L’auteur

Robert GELLI est le Directeur des affairescriminelles et des grâces du ministère de laJustice depuis le 11 septembre 2014. Il exerce ses premières fonctions de substitutdu procureur à Gap, puis à Marseille où ildevient premier substitut. Nommé procureurde la République adjoint à Aix-en-Provence, ilest amené à gérer le détournement de l’AirbusA300 de la compagnie Air France et la prised’otages, commis par les terroristes dugroupe islamique armé les 24, 25 et 26décembre 1994. De 1997 à 2002, il est leconseiller technique pour la justice de LionelJospin, Premier ministre. Robert Gelli estnommé procureur de la République à Nîmes àpartir de 2002, puis procureur de laRépublique à Nanterre en 2012. Il dirige alorsun ressort qui correspond à la troisièmerégion économique de l’Union Européenne. En2014, M. Gelli devient le directeur des affairescriminelles et des grâces, exerçant ainsi lesattributions du ministère de la Justice enmatière pénale. Il est décoré des titres de Chevalier de l’ordrenational du mérite et de chevalier de la légiond’honneur. Il a été président de la conférencenationale des procureurs de la République de2011 à 2014, et membre en 2013 de laCommission pour la modernisation duministère public.


LA DACG ET LA LuTTE ConTrE LA CyBErCrImInALITé


DIRECTION DES AFFAIRES CRIMINELLES ET DES GRÂCESMinistère de la Justice

La direction de la norme et de la justice pénalesSi elle a longtemps été perçue comme la direction du ministère public, la direction des affairescriminelles et des grâces, qui a célébré son bicentenaire en 2014, apparaît aujourd'hui davantagecomme la direction de la norme et de la justice pénales du ministère de la Justice, tant sonchamp d'action s'étend au-delà de l'établissement de la politique pénale.La direction des affaires criminelles et des grâces comprend 369 personnes, dont 61 magistratsde l'ordre judiciaire, répartis sur trois sites : à Paris, où se trouvent les trois sous-directionspénales, à Nanterre - au sein de la direction centrale de la police judiciaire - où se trouve uneantenne du bureau de l'entraide pénale internationale, et à Nantes, siège de casier judiciairenational de 1982.

Les principales missions de la DACG Dans le cadre de sa mission d’élaboration, d’animation et de suivi de la politique pénale définiepar le garde des Sceaux, la DACG apporte son soutien aux parquets et parquets généraux enmettant à leur disposition son analyse technique, et en leur proposant des ressources, des outilspratiques et des bases de données juridiques et statistiques. La DACG assure, par ailleurs,l’évaluation des politiques pénales, ainsi que la gestion de la base de données juridiques desinfractions pénales.La DACG élabore la législation et la réglementation en matière répressive et examine, en liaisonavec les départements ministériels concernés, tous les projets de normes comportant desdispositions pénales.Ainsi, la DACG développe son expertise au bénéfice du garde des Sceaux et de l'ensemble desmagistrats et fonctionnaires de justice dans des domaines aussi variés que la procédure pénale,la lutte contre les atteintes aux biens et aux personnes, les discriminations, le terrorisme, lacriminalité organisée, les trafics de stupéfiants, les atteintes à la probité publique, le droit del’environnement et de la santé publique, la délinquance économique et financière, l’exécution despeines, ou encore la direction de l’enquête judiciaire.L’Union européenne représentant une source croissante pour le droit interne, la DACG contribuepar ailleurs activement aux négociations européennes et internationales dans ses domaines decompétence. Responsable de la mise en œuvre de l'entraide pénale internationale, la DACGœuvre concrètement à la réalisation de l'Europe judiciaire.Enfin, à travers l’activité du service du casier judiciaire national qui lui est directement rattaché, laDACG est garante de la mémorisation et de la restitution des condamnations prononcées.

Une direction récemment réorganiséeRefondue en août 2015 afin de répondre plus efficacement à l'évolution de ses domainesd'activité, l'organisation de la direction des affaires criminelles et des grâces s'inscrit dans lavolonté de fournir une expertise de haut niveau, nourrie de l'expérience en juridiction desmagistrats la composant et de la spécialisation de ses divers personnels (assistants spécialisés,personnels détachés, contractuels), pour développer une politique cohérente et ambitieuse. C’estdans ce cadre qu’a été créée la mission de prévention et de lutte contre les atteintes à la probitéet contre la cybercriminalité.

aLLer PLus Loin


LA DACG ET LA LuTTE ConTrE LA CyBErCrImInALITé

Les acteurs regaLiens deLa cYbersecurite et sa gouvernance

Le 16 juin 2016, co-organisée par la CEIS et le CREOGN, une table ronde réunissaità l'amphithéâtre Foch de l'Ecole militaire, à Paris, les acteurs régaliens majeurs de lacybersécurité.

Ils ont exploré l'approche interministérielle de cette problématique et abordé lanotion de continuum défense-sécurité ainsi que la question de la réserve opérationnellecyberdéfense. Le statut des lanceurs d'alerte, des plateformes de Bug Bounty a étéévoqués dans le concept d'un écosystème global de la cybersécurité et des capacitésdéfensives et offensives à développer dans un cadre juridique. La convergence desacteurs publics et privés a été abordée de manière constructive notamment en la repla-çant dans le cadre plus large de programmes européens de recherches. Il s'agit prag-matiquement d'une mutualisation des moyens et d'un partage capacitaire qui requiertl'assentiment des grandes puissances européennes.

Cette orientation semble nécessaire puisque le sommet mondial sur la société del'information (SMSI), en marge de l'assemblée générale des Nations-unies de 2015, n'apas conclu à l'ouverture d'une négociation relative à un traité international sur l'Internetou sur la cybersécurité. Les acteurs régaliens ont en conséquence examiné avec acuitéle concept d'autonomie stratégique au regard d'ensembles géostratégiques définis parles traités et la question européenne comme en témoigne l'âpreté des négociationsinternationales (TAFTA, Privacy Shield, réforme de l'ICANN) liées à la constructiond'une nouvelle hiérarchie des normes en témoigne.



Cr

Eo

Gn

Les acteurs régaliens de cybersécurité et sa gouvernance

général d'armée (2s) marc Watin-augouard creogn, co-organisateur du fic

Chers amis, nous sommes, GuillaumeTISSIEr et moi-même, particulièrementheureux de vous voir ici rassemblés danscet amphi FoCH. C’est un exercice annuelde convergence entre d’une part le centrede recherche de l’EoGn que je dirige et

d’autre part,l’observatoire FIC1 quiassure la poursuite

tout au long de l’année de l’activité du FICavec Guillaume TISSIEr, avec toutel’équipe du Forum que je ne remercieraijamais assez pour la qualité de leurengagement.

Chaque année, nous organisons ensembleune manifestation commune. Il y a deuxans, nous réfléchissions sur lagouvernance de l’internet et l’annéedernière sur la voiture connectée. Cetteannée, nous avons choisi le thème des

(1) FIC : Forum Internationalde laCybersécurité

acteurs régaliens dans la cybersécurité,particulièrement peu traité jusqu’àmaintenant. nous avons par conséquentun plateau un peu inédit. En effet, je nesais pas si jusqu’à présent ont pu êtreréunis sur la même scène, le directeurgénéral de l’AnSSI (GuillaumePouPArD), l’officier généralcyberdéfense (le vice-amiralCouSTILLIErE), le préfet cyber du

ministère del’Intérieur2

(représenté par lecommissaire

divisionnaire AVoInE) et notreambassadeur pour la cyberdiplomatie etl’économie numérique (DavidmArTInon). Ensemble, nous allonspasser quelques dizaines de minutes surce thème des acteurs régaliens maisvous verrez que l’on va assezrapidement l’élargir pour voir la relation

(2) Depuis, les fonctions dupréfet cyber ont été confiéesau Délégué ministériel desindustries de sécurité(DmIS)

société

27

table ronde animée par le

GénérAL D'ArMée (2s) MArc WAtin-AUGoUArD et GUiLLAUMe tissier


• commissaire divisionnaire vincent avoine, chargé de l’intérim du préfet chargé de la luttecontre les cybermenaces • vice-amiral arnaud coustiLLiere, officier général cyberdéfense à l’état-major des armées•isabelle vaLentini, adjointe à l’officier général cyberdéfense• david martinon, ambassadeur pour la cyberdiplomatie et l'économie numérique• guillaume PouPard, directeur général de l'anssi

avec le secteur privé. En ce sens, nousallons procéder à une sorte d’approcheconcentrique. nous allons commencerpar évoquer le territoire national, puisl’Europe, l’oTAn et enfin le reste dumonde.

merci à Guillaume PouPArD, à ArnaudCouSTILLIErE, au commissairedivisionnaire AVoInE à David mArTInonde votre présence. merci aussi àGuillaume TISSIEr d’être avec moi pouranimer cette table ronde.

La première question, si vous le voulezbien portera sur l’interministérialité. où enest-on aujourd’hui? Il n’y a pas decybersécurité sans une approchetransversale, bien sûr. Chaque ministère àson rôle, l’Agence nationale de la sécuritédes systèmes d’information (AnSSI) estun organisme interministériel puisqu’ellerelève du Premier ministre. où en est-onaujourd’hui dans cette interministérialité,comment chacun travaille-t-il avec lesautres et comment les autres travaillent-ilspour chacun ? Finalement cetteinterministérialité est-elle enmouvement ? Est-ce qu’elle se construitprogressivement pour effectivementdonner à la cybersécurité son caractèretransversal ? Guillaume PouPArD veut-ilcommencer à répondre ?

guillaume PouPard - directeur général de l'anssi

C’est là une vaste question. revenons surla démarche française dans un sujet quiest la cybersécurité, dont on parle

beaucoup depuis quelques années, sujetpeut-être même à la mode, puisqu’on estdans une véritable évolution de la sociétéliée au numérique. Quand s’est posée enFrance la question des menaces,essentiellement en 2008 dans le cadre dutravail sur le Livre blanc de la défense etde la sécurité nationale, on a regardéquels étaient les modèles à l’étranger.C’est toujours le premier réflexe. on a vunotamment un modèle anglo-saxon quiintégrait fortement les questions derenseignement, de défense au sensdéfensif, de protection mais également lesquestions d’attaque. Suite à denombreuses réflexions, nous sommesarrivés à la conclusion que ce modèlen’était pas transposable en France. Pourque cela fonctionne chez nous, il faut, aucontraire, une séparation claire entre descapacités offensives et des capacitésplutôt défensives.

Déjà à l’époque, on avait le pressentimentque ces questions de cybersécuritéappelaient des réponsesfondamentalement interministérielles maispas avec une interministérialité quiconduit à créer des « comités Théodule »à tout propos pour tout coordonner.Chacun a et aura de plus en plus un rôleà jouer dans son métier propre et, enmême temps, il reste des fonctions quisont mutualisées, qui ne rentrent pasdans un ministère particulier.

En 2009 est créée l’AnSSI sur la based’un existant mais avec justement l’idée


LES ACTEurS réGALIEnS DE LA CyBErSéCurITé ET SA GouVErnAnCE


qu’il fallait continuer à pousser lesdifférentes administrations concernées,les différents ministères, vers undéveloppement de la cybersécurité et enmême temps avoir une sorte d’entité quine soit pas dans un des ministères afind’être capable d’animer, de coordonnerl’ensemble. Coordonner, ça ne veut pasforcément dire donner des ordres, c’estbeaucoup plus fin que cela au quotidien. Ils’agit également d’avoir des fonctions enpropre comme la prévention, les travauxautour de la politique industrielle, laréglementation, le développement deproduits et de services de sécurité, ladétection. Ce sont là les métiers internesde l’AnSSI. Tout est mutualisé au sein del’AnSSI et ce pour éviter de demander àchaque ministère de se protéger lui-même et de réinventer des actionscompliquées à mettre en œuvre. C’estd’ailleurs ce qui justifie que les moyens del’AnSSI soient passés progressivement,mais assez vite, d’une centaine depersonnes à 500 aujourd’hui.

Je pense que c’est un modèle adapté à laFrance, qui fonctionne aussi parce qu’il ya des hommes et des femmes quis’entendent bien, ce qui reste essentiel.Comment fait-on pour continuer à garderce modèle extrêmement vivant pour éviterde se faire dépasser ? Comment pose-t-on ce modèle national en interface avecles modèles de nos alliés qui évidemmentsont parfois très différents ? J’ai citél’exemple des Anglo-saxons qui, au

contraire, condensent les capacités. Il estpossible de parler aussi de nos amisallemands qui ont fait également ce choixde la séparation de l’attaque et de ladéfense mais notre homologue ne peutpas être interministériel et se retrouve ausein du ministère de l’Intérieur, ce quicomporte certes des avantages mais, onle voit également au quotidien, parfois desinconvénients. Telles sont les questionsauxquelles nous devrons aujourd’huiapporter une réponse.

général d'armée (2s) marc Watin-augouard -creogn, co-organisateur du fic

Arnaud CouSTILLIErE, quel est le regarddu ministère de la Défense sur cettequestion ?

vice-amiral arnaud coustiLLiere - officier généralcyberdéfense à l’état-major des armées

Depuis 2009, nous avons travaillé avecGuillaume PouPArD, avec Patrick

PAILLouX3 etBernard BArBIEr4

sur la constructionde ce modèle. on sesouvient de tous lesmodèles que nous

avons étudiés et les raisons pourlesquelles on a fait une séparation entreles différents domaines. Je vais reprendrepar le bas pour compléter par des signestangibles. Première interministérialité,premier lien entre le ministère de laDéfense, le CALID5 qui est le centreexpert du ministère de la défense. Il esthébergé dans les mêmes locaux que

(3) Ancien directeur del’AnSSI

(4) Ancien directeurtechnique de la DGSE

(5) Centre d'Analyse enLutte InformatiqueDéfensive




mêmes hommes qui sont impliqués.

Enfin, pour être très clair, tout ce quirelève de l’offensif est hébergé au sein duministère de la défense, à part quelquespetits éléments. nous avons par ailleursentre les trois principaux ministères uncertain nombre de groupes de travailfermés, classifiés, dans lesquels onéchange très naturellement sur des sujetsbien réels.


Vincent AVoInE, quel regard le ministèrede l’Intérieur porte-il justement sur cetteinterministérialité ? où en est-on ? Lesfonctions « préfet cyber » sont aujourd’huivacantes ; la délégation va-t-elle semettre en place ?

commissaire divisionnaire vincent avoine - chargé del’intérim du préfet chargé de la lutte contre lescybermenaces

Effectivement, le préfet LATournErIEest parti voici un mois et demi. La« délégation » existe toujoursphysiquement, nous venons d’ailleursd’emménager place Beauvau. Je m’entiens très simplement à la parole duministre de l’Intérieur. Dans une enceintequi me paraissait pour le moins sérieuseet face à un public d’initiés, le ministre del’Intérieur, le 21 janvier, a annoncé qu’unde ses chantiers, à savoir la mise enplace d’une délégation en charge de lalutte contre les cyber-menaces, allait êtreconcrétisé par un décret l’instituant. Lesévénements ont fait que ce n’est pas

l’AnSSI avec deux autorités totalementindépendantes au dessus mais quitravaillent totalement ensemble.

Deuxième sujet, on a bâti ensemble,GuillaumePouPArD, laDGGn6 et nous, le

projet de réserve à vocationopérationnelle porté par le ministère de laDéfense mais qui est mis à disposition.

Je souligne ensuite tout ce qui graviteautour du pôle d’excellence en Bretagne,en matière de cyberdéfense (PEC) quiopère des rapprochements en matière der&D et avec des feuilles de routecommunes avec l’AnSSI sur tout ce quirelève du régalien. Le ministère de ladéfense investit 25 millions d’euros,l’AnSSI 5 millions d’euros mais la feuillede route est totalement commune. Jeparle au nom de mon camarade FrédéricVALETTE, qui n’est pas là ; lerapprochement de l’AnSSI avec le socletechnique qu’apporte la DGA du ministèrede la Défense – il va d’ailleurs bientôtcompter de l’ordre de 500 ingénieurs -est bien une action au profit de l’état,globalement et pas seulement au profitdes armées. La continuité estextrêmement forte aujourd’hui si bienque, très souvent, je ne parle plus decontinuité sécurité-défense maisd’imbrication totale entre ce qui relève dela cybercriminalité, de la cybersécurité, dela cyberdéfense, parce que se sont lesmêmes acteurs, les mêmes outils, les

(6) Direction Générale de laGendarmerienationale

30




encore sorti mais le ministre l’a dit et je neretiens que cela.

L’autre point sur lequel je voudraism’exprimer, c’est l’interministérialité. C’esttrès confortable, en France, d’avoir unpilote de l’interministérialité avec l’AnSSIet le SGDSn qui ont mis en place unestratégie nationale de sécurité dunumérique, à charge pour chacun desministères de la décliner pour ses champsde compétence propres. C’est en courspour le ministère de l’Intérieur, nous ytravaillons avec les services . L’existencede cette agence nationale placée auprèsdu Premier ministre sous l’autorité duSGDSn est un réel confort qui n’existepas dans tous les pays. GuillaumePouPArD parlait de l’Allemagne, je suistémoin effectivement de difficultéss’agissant d’appliquer l’interministérialitédans ce pays-là.

Du point de vue du ministère de l’Intérieur,nous inscrivons cette action dans uneinterministérialité concrète. En me référantà des événements récents, l’interventionde l’AnSSI a été extrêmement précieuseen support du ministère de l’Intérieur, duministère des Affaires étrangères et duministère de l’énergie pour assurer lasécurité de la CoP21 mais également del’euro 2016. L’interministérialité, je la voisaussi dans la projection internationale dela France lorsque notre ambassadeur,David mArTInon, se rend à l’étrangerassociant l’AnSSI, le ministère del’Intérieur et le ministère de la Défense ;

c’est également le cas avec la directionde la coopération internationale ou, dansles ambassades, les attachés de sécuritéintérieure qui agissent avec les autresattachés. L’interministérialité se manifesteaussi dans l’élaboration du diagnostic surla situation des victimes decybermalveillances. En effet, il y a tout untravail effectué dans une logiqueinterministérielle associant notamment leministère de l’économie et des finances,visant à définir quel était l’état desvictimes avec une démarche qui va semettre en place bientôt. Interministérialitéencore avec le ministère de la défense,plus précisément dans le recueil etl’exploitation du renseignement. Il y a desliens forts entre le ministère de la défense,qui dispose de nombreux capteurscomme vous l’imaginez bien et lesservices du ministère de l’Intérieur quitravaillent sur la lutte antiterroriste.

Voilà pour la manière dont nous pouvonstémoigner de l’interministérialité tellequ’elle est pratiquée en France.évidemment, tout cela est encoreperfectible. Il y a des pistes, que ce soitau niveau local, autour des préfectures,dans la sensibilisation, dans l’assistanceaux victimes mais aussi, on en parlaitavec l’Amiral CouSTILLIErE, dans ledéveloppement d’échanges techniques,opérationnels entre les experts du CALIDet les enquêteurs qui fondent la policejudiciaire tant en gendarmerie que dans lapolice.

31




32

guillaume tissier - directeur général ceis, co-organisateur du fic

une question à propos de la loi deprogrammation militaire (LPm) à laquelleGuillaume PouPArD pourra apporter uneréponse. La LPm a finalement devancé la

directive nIS7 enintroduisant uncertain nombre dedispositions visantles opérateurs

d’infrastructure vitale. J’ai cru comprendrequ’un certain nombre d’arrêtés étaient enpréparation, qu’ils allaient bientôt sortir.Pouvez-vous nous en dire un peu plus surle contenu de ces arrêtés qui ont donnélieu à de nombreuses concertations cesderniers mois ?


Le premier arrêté - c’est un scoop ! - estsigné mais pas encore publié. Il va entreren vigueur au 1er juillet et concernera lesproduits de santé. Il n’y a pas demessage subtil sur la priorité qui seraitaccordée à ces produits, c’estsimplement le premier arrêté qui a étéprêt. Il a été écrit en étroite coopérationavec le ministère coordonnateur et les

oIV8 eux-mêmes,avec une démarchetrès positive de co-

construction et de co-écriture sur la basede règles génériques que l’on a fourniesmais qui ont été bien comprises, bienamendées par ce travailfondamentalement transverse. Les autres

(7) Directive sur la sécuritédes réseaux et dessystèmes d’informationconnue sous l’appellation« network and InformationSecurity (nIS) » du 6 juillet2016

(8) Les opérateursd’importancevitale


on voit bien en vous écoutant qu’il y a uncontinuum défense-sécurité. unequestion pour l’Amiral CouSTILLIErE : laréserve opérationnelle cyberdéfense va-t-elle rester interministérielle dans sonaction ou rester une réserve militaire, dontl’engagement sera réservé au profit duministère de la Défense ?


non, c’est une réserve dont le projet,comme il a été précisé précédemment, aété bâti en commun avec l’AnSSI, avecun fort soutien de la DGGn et qui a pourvocation de se mettre à la disposition desservices de l’état en cas de grandescrises. Elle sera activée par les processusnormaux de réquisition des forces arméesaprès avis et/ou sur sollicitation del’AnSSI. C’est donc l’AnSSI qui, pour cequi ne relèvera pas du ministère de laDéfense, déclenchera l’action de cetteréserve.

Pour cette réserve, il y a un objectif de500 membres d’ici la fin de l’année, tousles textes administratifs ont été signés. Jecommence à partir de la semaineprochaine le processus de recrutementque nous avons déjà bien initié avec uncertain nombre d’écoles. C’est bien uneréserve dont l’un des principauxemployeurs, le principal client seral’AnSSI.




encore insuffisante. Par conséquent,l’effet conjugué d’une réglementation etd’une actualité qui nous aide aussi àsensibiliser les dirigeants fait que le sujetde la cybersécurité, grâce à l’article 22 de

la LPm, devient unsujet de ComEX9,

devient un sujet pour les directeursjuridiques, pour les directeurs financiers etplus généralement pour les PDG. J’étaisencore mardi au ComEX d’un gros oIVoù la question n’était plus de s’interrogersur la réalité de l’état de la menace oud’imaginer comment faire pourcontourner la nouvelle réglementation. Ledébat portait sur la manière de réglerfinement la coopération entre lesdifférents acteurs étatiques et ces oIV demanière à anticiper les catastrophes qui,autrement, ne manqueront pas de seproduire. C’est extrêmement positif etfinalement j’attendais essentiellement celade la part de la LPm : créer ce lien, créercette prise de conscience. De ce point devue, l’objectif est pleinement rempli.

Dans la rédaction de ces arrêtés, ons’aperçoit qu’il y a beaucoup d’acteursqui sont impliqués. on en revient auconstat fait initialement que le sujet cyberest un sujet fondamentalementtransverse. Forcément, quand on veutrassembler autour de la table denombreux acteurs qui n’ont pas toujoursl’habitude de travailler ensemble cela peutprendre un certain temps mais, au final,c’est cependant très positif.

(9) Comité exécutif

33

arrêtés prendront effet au 1er octobre. Au-delà de l'aspect calendaire, il faut revenirau fondement même de la LPm et voirfinalement pourquoi elle a précédé ladirective nIS. Ce n’est pas totalement unhasard. La LPm, c’est notre nom de codeà nous mais l’idée c’est bien de modifierle code de la Défense de manière àimposer dorénavant des mesures decybersécurité aux opérateurs les pluscritiques pour la nation. La démarchequ’ont pu faire nos alliés, consistant àrester dans le domaine du conseil et del’incitation, est une démarche qui à termefinira par fonctionner mais à mon avisaprès des drames. En ce qui nousconcerne, l’idée est de rendre un peuplus obligatoire la cybersécurité, deréglementer par la loi et par le règlementpour que ces questions de cybersécuriténe soient plus laissées à la seuleappréciation des opérateurs les pluscritiques. En revanche, pour que celafonctionne, il faut que ce soit non pasl’occasion de rajouter des règles auxnombreuses règles qui existent déjà maisbien de créer un lien, une coopérationavec des gens qu’on n’avait pasl’habitude de voir jusque-là. J’ai coutumede dire qu’au sein de ces opérateurs, lecontact avec les rSSI était facile parcequ’on parlait avec des gens quicomprenaient notre langage et qui avaientde surcroît les mêmes préoccupationsque nous. Pourtant, pour aller au-delà deces rSSI, c’était souvent très compliquéparce que la prise de conscience est




34

directive va concerner un autre ensembled’opérateurs essentiels. Les oIV serontforcément tous inclus. Pour eux, ladirective nIS sera indolore puisque letravail aura déjà été fait. En revanche, celava évidemment nous permettre d’étendrele champ, d’aller voir d’autres personnesque l’on ne voit pas aujourd’hui et le grostravail va consister à trouver un équilibreentre l’augmentation de la cible et ladéfinition de règles ou de processus quivont, sans nous saturer et en respectantles spécificités de chacun, permettre deréellement relever le niveau de sécurité, làoù c’est nécessaire.


David mArTInon, un ambassadeur, enprincipe, travaille « vers l’extérieur ».Comment apporte t-il une plus value àl’action des acteurs régaliens qui, àl’intérieur du territoire, sont en quelquesorte les garants de la cybersécurité ?

david martinon - ambassadeur pour lacyberdiplomatie et l'économie numérique

Pour ce qui est du rôle du diplomate enmatière de cybersécurité, je précise toutd’abord que la cybersécurité n’est qu’unaspect de ma mission, puisque je couvreà peu près l’ensemble des sujets liés àInternet et aux nouvelles technologiespour le compte du ministre des Affairesétrangères. S’agissant de lacybersécurité, il y a des fonctions trèsprécises qui sont notamment liées àl’activité de l’organisation des nations

La limite de ce que l’on a fait - maisc’était assumé - est posée par la LPm quine s’applique qu’aux oIV stricto sensu.Les oIV, il y en un peu plus de 200 enFrance, à la fois publics et privés. Ilspréexistaient à la démarche cyber et il nefallait pas tomber dans l’écueil consistantà dire : on va faire un dispositifréglementaire pour les opérateurscritiques mais quelle est la liste desopérateurs critiques ? C’est très dur àfaire quand on part d’une feuille blancheparce que faire la liste des opérateurscritiques est quelque chose de trèsbinaire. on est ou on n’est pas sur la liste.on a assumé le fait de prendre cette listedes oIV, qui est probablement insuffisanteen termes de quantité, mais qui, de fait,regroupe des acteurs qui sontintéressants d’un point de vue du cyber.L’étape d’après va consister à avoir unedémarche similaire, mais adaptée, pourélargir le champ. C’est là que la directivenIS arrive. D’une certaine manière, nousavons tout fait pour influencer les travauxeuropéens qui nous semblaient aller dansla bonne direction, de façon à ce quenous avons fait pour les oIV soit tout àfait compatible avec la directive nIS et, enmême temps, traiter les acteurs quiaujourd’hui ne sont pas concernés par laLmP. C’est ce qui va maintenants’enclencher et nous sommes tous

impatients de voir ladirective publiéeofficiellement10.Concrètement, la

(10) Directive (uE)2016/1148 du Parlementeuropéen et du Conseil del’union européenne du6 juillet 2016 - Jo (uE) du19 juillet 2016.




puissance publique ne peut être seule,assurément. Elle a donc de plus en plusbesoin de bénéficier du concoursd’acteurs privés de la sécurité .Finalement, comment voyez-vous cettearticulation public-privé dans lacybersécurité ? J’ai une autre question,tout à fait d’actualité : quelle place pour lehacker éthique dans notre dispositif decybersécurité ?


Je vais répondre de façon extrêmementclaire et plutôt extrêmement pragmatique.Le hacker éthique c’est l’équipe d’audit«expertise ». Je viens de prendre ladirection de l’ensemble des équipesd’audit du ministère de la défense. notrepremière tâche va être de les rapprocherdes équipes d’audit plus spécialisées etde leur faire faire davantage d’actions de

type pentest11, detype test depénétration, ycompris dans deszones d’exercice

bien balisées. Pour ma part, le hackeréthique ne me pose aucun état d’âme dece point de vue car cela fait partie del’évolution normale.

Prenant l’exemple du Pentagone, on voitbien qu’aux états-unis quand on prend lePentagone, qu’ils font appel à descompétences extérieures sous forme dechallenge. nous avons commencé àtester ce genre de pratiques en faisant

(11) Pénétration test : testd’intrusion mené par uneéquipe informatique etdestiné à tester larobustesse des dispositifsde sécurité d’un systèmed’information.

35

unies relatives à la clarification des règlesde droit international public applicables aucyber-espace devenu un espace deconflit. Je cite l’onu, je pourraiségalement citer l’organisation pour lasécurité et la coopération en Europe(oSCE) qui travaille également sur cessujets-là. Dans ces deux enceintes, ons’efforce également de bâtir des normesde comportement pour construire unesécurité collective basée sur la confiance.

Pour nourrir les positions et négociationsfrançaises, nous avons besoin d’un travailinterministériel. C’est assez classique enréalité. nous nous parlons, avec l’AmiralCouSTILLIErE, avec GuillaumePouPArD, avec nos collègues duministère de l’Intérieur et du ministère desFinances. Le but de cette concertationest d’avoir des positions pour la France,comme nous avons des positions« France » au sein des instancescommunautaires qui sont préparées parle secrétariat général pour les affaireseuropéennes. Dans le domaine qui nousintéresse aujourd’hui, la préparation estplus simple parce que les acteurs sontplus facilement identifiables et repérés.


Dans le monde réel, l’offre publique, l’offrerégalienne de sécurité est majoritaire.Bien sûr, il y a des sociétés privées desécurité, des acteurs qui viennents’agréger mais c’est toujours l’état quidomine. Dans le cyberespace, la




36

c’est bien toutel’action qui estlancée à travers lePEC de Bretagne15, àtravers le P3316, à

travers tout ce qui est lancé actuellementpour faire immerger une vraie offre desécurité avec des sociétés de tailleacceptable en France. nous avonsbeaucoup de PmE très innovantes,beaucoup de petites sociétés de servicesmais quand on leur demande la taille deleurs équipes un peu pointues , laréponse est souvent minimaliste. nous enavons de l’ordre de quelques centainesdans les différents services de l’état, maison a besoin d’avoir des acteurs de taillemoyenne capables de mobiliser deséquipes de pentest de l’ordre de 50 à 100personnes. Si vous considérez lessociétés françaises, ça se compte sur lesdoigts de la main.


Aujourd’hui mes capacités d’audit sont del’ordre de 70 audits par an. C’estbeaucoup, certes, mais c’est très peu enpratique face au besoin qui se présente.Les audits sont nécessaires en amont,lors des inspections des ministères oubien chez certains oIV, pendant letraitement des affaires. Les 70 « tickets »que j’ai à ma disposition sontextrêmement vite consommés et toute laquestion est de savoir comment faire pourtraiter tout le reste ? L’amiral vient de ledire, au sein du ministère de la défense il

(15) Pôle d’excellence cyber

(16) Plan France numérique2012-2020(http://www.entreprises.gouv.fr/)

appel à des réservistes de la réservecitoyenne, ce qui me paraît en France, entout cas pour ce qui concerne le ministèrede la défense, le bon cadre d’action pouraller vers ce genre d’actions, d’autantplus que je peux habiliter le personnel.

La place de l’industrie est énorme. onvoit bien aujourd’hui que les grandsopérateurs de la cybersécurité comme

SymAnTEC12 ouKASPErSKy13 ontune place de choix.Ce que l’on peutregretter, c’est queparmi ces grandsacteurs, il y a trèspeu d’Européens et

encore moins de Français. Pour nous, çapose clairement un vrai problème parceque nous sommes obligés, pour protégernos réseaux, les réseaux de la DIrISI14

par exemple, de faire appel à des servicesémanant de différents pays. Pour nouscela représente quelque 25 pays trèsdivers.

La stratégie que nous adoptons pourl’instant consiste à panacher des produitsvenant de l’Est avec des produits venantde l’ouest pour que nos données passentà travers ces différents filtres. on attendavec impatience l’arrivée de grandsacteurs étatiques compétents. Il faut êtreFrançais et compétent, du moins jepréférerais dire, compétent et Françaispour pouvoir refaire partie du cercle desgens que l’on mettra sur nos réseaux et

(12) Société américainespécialisée dans les logicielsinformatiques

(13) Société russespécialisée dans laprotection des systèmesd’information

(14) Direction interarméesdes réseaux d'infrastructureet des systèmesd'information de laDéfense




Concrètement, nous produisons desréférentiels qui sont publics et quiexpliquent ce que nous attendons d’unprestataire de services de sécurité.Ensuite, nous évaluons les prestataires,au vu de ce référentiel, ou, plusexactement, nous les faisons évaluer demanière indirecte par des laboratoiresindépendants, comme pour les produitsde sécurité. Parfois même, nous sommesobligés d’évaluer les experts, un par un,parce que nous savons très bien, dans lecas type des audits, des pentests qu’ilfaut avoir confiance dans l’entité maiségalement dans la personne qui va menerle test lui-même. C’est extrêmementcompliqué et lourd, mais in fine, quand ona fait tout ce travail, on peut dire, au nomde l’état français, au nom du Premierministre que tel prestataire a lacompétence et le potentiel pour mener,par exemple, des audits. C’est tout

l’intérêt du référentielPASSI17 et dudispositif PASSI quisont en place et déjà

opérationnels. Arnaud CouSTILLIErE seplaint un peu du manque d’acteurs. Ence qui me concerne, je suis au contraireagréablement surpris du nombred’acteurs qualifiés et de la qualité dutravail réalisé aujourd’hui .

on peut se demander si c’est encoresuffisant pour répondre à la demande,mais il s’agit plutôt ici d’un problèmepositif. La même démarche est amorcée

(17) référentiel d’exigenceapplicable aux prestatairesd’audit de la sécurité dessystèmesd’information

37

y a des capacités d’audit à peu prèscomparables. même si on voulait sepasser du secteur privé dans ce domaine,cela n’aurait aucun sens. La cybersécuritéest une question qui doit être normalisée,traitée comme les autres et lesprestataires privés ont un rôlefondamental à jouer. Comment peut-onpromouvoir cela ? Tout d’abord, nousavons des liens étroits avec la plupart despersonnes qui produisent deséquipements de sécurité ou quiproposent des services de sécurité.Ensuite, nous considérons que le rôle del’état n’est pas de tout faire maisd’indiquer vers qui se tourner pour faire letravail efficacement. C’est exactement ladémarche de qualification qui est en placeet qui consiste à vérifier qu’un acteur quipropose des produits ou des services està la fois compétent et de confiance, ainsique le disait l’amiral. Il y a des personnestrès compétentes mais d’une confiancetrès limitée de notre point de vue national.Il y a également des personnes qui sontde confiance mais pas compétentes :celles-là je vous les déconseille, c’estévident, avec eux vous allez dépenservotre argent pour rien. nous avonsvraiment besoin de ces deux qualités quisont complètement orthogonales. Cela nese décrète bien évidemment pas sur labonne tête des uns et des autres ou surles bonnes relations que nous pouvonsavoir. Ce n’est que le fruit d’un processussérieux d’évaluation sur la base de règlesdu jeu claires et ouvertes.




38

Pourtant, ce serait une erreur stratégiqueet une erreur en termes de légalité qued’affirmer que nous ne voulons que desacteurs français. Encore faudrait-il avanttout pouvoir définir ce qu’est un acteurfrançais. C’est, en effet, une notion qui aun vrai sens mais quand on cherche à lalégaliser, c’est complexe et on se rendcompte que certains de nos grandspartenaires de confiance, de fait, payentleurs impôts ailleurs ou ont leur siègesocial ailleurs.


Vincent Avoine, voulez-vous ajouter uncomplément ?


Sur le lien avec les entreprises, pour leministère de l’Intérieur et notamment d’unpoint de vue de la police et de lagendarmerie, il va de soi que noussommes parfaitement conscients del’expertise et de l’aide technique quepeuvent nous apporter les industriels dela cybersécurité. Des partenariatsopérationnels et des échanges existent, ycompris au niveau d’Interpol oud’Europol. on peut citer des structures

tels que le CECyF18

ou Signal SPAm quicontribuent à la

cybersécurité par des actions deprévention au service de la lutte contre lacybercriminalité.

(18) Centre expert de lacybercriminalité français(cecyf.fr)

dans le domaine de la détectiond’incidents. Bien évidemment, il est horsde question que les oIV développent leurpropre capacité de détection d’incidents.C’est un travail d’expert, même si ça neveut pas dire qu’ils ne doivent pas s’yimpliquer. on appelle de nos vœux lamise en place de prestataires dedétection d’incidents de sécurité, desPDIS dans notre jargon. De mémoire, il yen a déjà 8 en cours de qualification àtitre expérimental. même sujet dans ledomaine de la réaction des incidents. Parextension, nous nous essayonségalement. Là, nous sommes en margede nos métiers. Toutefois, si on veut sortirde la simple agitation de la menacerelative au Cloud (attention, le Cloud,c’est dangereux!), il faut au contraire,proposer des solutions et des acteurscompétents et de confiance en termes desécurité, même si l’objet même du Cloudcomputing n’est pas de faire de lasécurité. on veut au contraire sélectionnerdes acteurs qui intègrent la sécurité dansleur métier. C’est en cours et cela marcheplutôt bien .

Contrairement à ce qu’à dit l’amiral, cen’est pas réservé aux acteurs françaismais aux acteurs de confiance.Effectivement, la confiance est parfoisplus facile à établir avec des acteursfrançais qu’avec les acteurs étrangers,pour la simple raison qu’ils ont moinsd’états d’âme à nous ouvrir les portes, ànous montrer leurs codes sources.




communiqués, grâce aux entreprises, àl’autorité publique et qui permettent denettoyer cet espace voire dans un certainnombre de cas – on a pu l’observernotamment après les attentats denovembre 2015 – d’engager desenquêtes judiciaires, que ce soit sur desfaits de menace de nouveaux attentats,des revendications d’attentats ou des casd’apologie du terrorisme. Ce lien existe etil est important pour nous de continuer àdiscuter avec les entreprises, notammentpour les besoins de l’enquête. En effet,pour lutter contre la cybercriminalité, ilfaut que les entreprises nous aident àréagir très vite. Des échanges sontnourris avec les entreprises et c’est l’objetdu groupe de contact permanent qui aété mis en place à la demande duministre de l’Intérieur. Il fonctionne depuisun peu plus d’un an. C’est un lieud’échange sur les mécanismesd’obtention de données auprès desentreprises pour les services de police etde gendarmerie mais c’est aussi un lieud’échange sur l’appréciation du droit quipeut être faite par les entreprises. Sur cepoint, je pourrais citer un certain nombred’exemples. Il y a des avancées et cegroupe de contact fait évoluer lesentreprises. J’ai même entendurécemment qu’un certain nombred’opérateurs étaient en train de mettre enplace une base de données communes’agissant des contenus haineux pourque le retrait de ces contenus soit le plusefficient, le plus rapide possible dès lors

39

Le lien avec les entreprises permet auministère de l’Intérieur d’assurer lasalubrité publique sur cet espace qui estle cyberespace. À ce titre, nous sommesbien conscients que les entreprises n’ontpas un rôle facile, d’une part parcequ’elles doivent gérer énormément dedonnées et aussi parce qu’on al’impression qu’elles sont en capacité decontrôler tout ce qui circule sur les plates-formes, ce qui n’est pas le cas. D’ailleurs,les entreprises n’ont pas une obligationgénérale de surveillance des contenus.Autre difficulté dont nous sommesconscients, les entreprises doiventappliquer plusieurs droits et lacombinaison des différents droitsnationaux est un exercice pour le moinsdifficile, voire parfois impossible. Larelation avec les entreprises, évidemmenttous les pays du monde l’entretiennent ycompris les états-unis, très concernéspar ce lien avec les entreprises, lesplates-formes.

Comment assurer cette salubritépublique sur le cyberespace en lien avecles entreprises? Et bien, on exploite cequi nous est signalé. Les entreprisesdoivent mettre en place des mécanismesde signalement aux autorités pour qu’il yait ensuite des retraits de contenus. nousavons mis en place, avec la loi denovembre 2014, un dispositif de blocageet de déréférencement des contenus quifonctionne bien. Il monte en puissance.on est bien sur des éléments qui sont




40

dans le cadre d’entreprises qualifiées oùtout est surveillé. C’est un cas qui nepose pas débat aujourd’hui, mais on aégalement la situation que l’on cherche àtraiter dans le cadre du projet de loi pourla république numérique qui consiste àprendre en compte les signalementspouvant venir de ce que j’appelle « lescitoyens responsables ». on est sur ceterme de « white hat ».

En effet, on a aujourd’hui toute unecommunauté de gens qui ne sont pasforcément chez les acteurs privés ni chezles acteurs étatiques, qui ont de vraiescompétences et qui respectent la loi. Cesgens-là, il faut être capable de lesécouter, ce qu’on ne sait pas encore fairesuffisamment. Pourtant, ils sont unesource d’information très intéressante surl’état de santé même de notreécosystème numérique.

Dans son état actuel, le projet de loi nousdit que ces personnes peuvent signalerdes faits anormaux en termes de sécurité,très souvent autour de sites web ou desystèmes d’information un peu tropouverts sur internet. Quand ils vont noussignaler cette situation, sans chercher àen tirer parti, ni financièrement, ni entermes de communication, alors nous neserons pas obligés de les dénoncersystématiquement à la puissancepublique et de les traiter comme desmalfrats parce que ce ne sont pas desmalfrats de fait. C’est un progrès trèsclairement. on est loin de la question deslanceurs d’alerte, qui est très différente, à

qu’ils apparaissent sur les sites internet.Les actions que l’on engage en Francesont relayées - je ne sais pas si c’est lefait du hasard ou si c’est due à lapuissance de notre pays - au niveaueuropéen. La Commission européenne ad’ailleurs récemment défini avec lesopérateurs, un code de conduite relatif àla prise en compte des contenus haineuxsur internet.


Avant de passer la parole à GuillaumeTISSIEr, je salue Isabelle VALEnTInI, quiremplace l’amiral CouSTILLIErE. Elletémoigne par sa présence de la continuitédu service public au sein de la défense.Guillaume, des questions sur les aspectseuropéens de la cybersécurité ?


Avant de parler de l’Europe, une questionsur les hackers éthiques que nous avonsabordée très rapidement tout à l’heure.on parle beaucoup de « cloud security »,

on voit des plates-formes de bugbounty19 apparaître.un projet de loi

consacre le statut de lanceur d’alerte.Quel rôle donner à ces « white hat » dansl’écosystème sur la cybersécurité ?


Il y a effectivement un problème devocabulaire. Tout à l’heure on évoquait lecas des personnes qui font du pentest

(19) récompense qu'unesociété offre à tous ceux quitrouvent des failles desécurité dans un périmètredonné.




d’autonomie. Quels sont ces piliers et quesignifie exactement l’autonomiestratégique en matière numérique ?


Il est vrai que le concept de souveraineténumérique est difficile à saisir. D’abord, jetiens à dire que la souveraineté, elle, nese discute pas. Les états sont souverains,point ! C’est ce qui les définit et bien sûrcela s’applique au numérique. Les étatsont, parce qu’ils sont souverains, lacapacité de mettre en œuvre un certainnombre de politiques publiques, derègles, de principes qui peuvent affecterou régir le cyberespace. Le cyberespaceest un autre concept difficile à saisir luiaussi. Lorsque les expertsgouvernementaux se retrouvent au seindu groupe des experts gouvernementaux

(GGE)20 de l’onupour parler desrègles ducyberespace, ilsdiscutent de lasouveraineté et deses limites. En toutcas, ce qui est sûr,lors de sa dernière

session, le GGE a conclu que le conceptde souveraineté s’appliquait dans lecyberespace avec tout ce que celaemporte de conséquences juridiques endroit international public. Par conséquent,la souveraineté s’applique et, avec elle, lacapacité des états à se défendre et àmettre en œuvre le principe de légitime

(20) Se réunit depuis 2004,un groupe d’état dénommé« le groupe des expertsgouvernementaux » (15,puis 20 après 2014) ,sélectionné par l’onu envertu de leur expertise et deleur représentativitégéographique et mandaté, àce titre, pour définir desrecommandations visant àrenforcer la sécuritéinternationale ducyberespace.

41

mon avis encore bien plus complexe etj’ai beaucoup milité pour qu’il n’y ait pasde confusion entre les deux notions.Après, nous sommes évidemmentprudents avec eux parce qu’aujourd’huion a un Code pénal qui a quand mêmeété bien écrit. Les articles 323-1 etsuivants expliquent clairement que rentrerdans les systèmes d’information c’estmal, modifier les informations qu’il y a àl’intérieur des systèmes d’informationc’est encore pire et il n’est absolumentpas question de revenir sur ce genre dechoses et de ré-ouvrir une boîte depandore créant une sorte de « far-westnumérique » où chacun, au titre del’éthique ou pas, pourrait commencer àaller faire n’importe quoi. on ne veutsurtout pas créer un effet d’aubaine pourdes gens qui pourraient utiliser des idéesun peu trop bienveillantes et naïves pourmasquer une activité qui estfondamentalement malveillante.


Après cette première partie de débatconsacrée aux questions nationales, jepropose de passer au deuxième cerclequi est le cercle européen et celui del’oTAn, avec une première questionassez générale, pour David mArTInon,sur le concept d’autonomie stratégique.J’ai cru comprendre que le termesouveraineté et, notamment souveraineténumérique, froissait parfois un certainnombre de nos alliés et qu’on avaitdéveloppé un concept qui était celui




42

vais pas y répondre aujourd’hui parcequ’on n’est pas au clair. on ne veutcertainement pas être assimilé à nos amisrusses et Chinois mais je viens de vousdire qu’un certain nombre de conceptspoussés par les Américains étaient pournous incommodes. La souveraineté dansle numérique c’est un objet qui est difficileà saisir mais en même temps vouloirl’imposer, c’est d’une certaine manièrefaire preuve de faiblesse. Les états, laFrance en particulier, n’ont pas à discuterde leur souveraineté dans le numérique. Àpartir du moment où on commence à lefaire, cela veut dire qu’on a peur et quel’on essaye de mettre des tranchées là oùil n’y a pas de raison d’en mettre. L’étatest souverain. C’est vrai que dans nosréflexions, nous avons plutôt évolué versle concept d’autonomie stratégique parceque nous le pensons un peu plusopératoire, un peu plus concret et parcequ’il nous ramène à l’idée qui est enréalité sous-jacente dans tout ce qu’à ditGuillaume PouPArD, l’AmiralCouSTILLIErE et le commissaireAVoInE, qui est que nous souhaitons,nous Français, avoir les capacités pouragir de manière autonome dans lecyberespace. Cela veut dire, en effet,développer une industrie, une expertise,des pratiques, des habitudes de travailqui font que nous saurons mieux nousdéfendre et mieux aider les autres parceque, dans le concept d’autonomiestratégique aussi, il y a la capacité que laFrance revendique et met en œuvre,

défense. C’est extrêmement important.En réalité, si tout le monde s’est misd’accord pour dire que la souverainetés’applique dans le cyberespace,personne n’est tout à fait au clair sur ceque cela veut dire réellement. C’est lagrande difficulté !

Qu’est-ce que la souveraineté dans lecyberespace? Pour nos amis chinois etrusses ce sont notamment lesinfrastructures, les réseaux et tout ce quipasse dedans, toutes les données alorsque pour nos amis américains se sont lesinfrastructures, point ! Dans toutes lesdiscussions internationales - on vient desortir d’une longue série de négociationsdans le cadre du G7 donc au niveau deschefs d’états, des ministres des Affairesétrangères et des ministres en charge dunumérique - nos amis Américains n’ontcessé de pousser le concept de « freeflow of data », de libre circulation desdonnées auquel nous avons mis un holàpour privilégier le concept de « free flowoff information », c'est-à-dire detransmission sans contrainte del’information parce qu’évidemmentderrière ce concept il y a un certainnombre d’intérêts économiques. Sansaller plus loin dans le débat parce quec’est un débat économique qu’il fauttraiter en ayant les idées claires et lesyeux ouverts, quelle est notre définition ànous Français de la souveraineté dans ledomaine du cyberespace mais égalementdans le domaine du numérique? Je ne




sur la formation, le partage decompétences en vue de favoriserl’élaboration de normes, de règles, delutte informatique défensive. En revanche,ce qui comporte toute la dimensionoffensive, d’attaque, de « souveraineté àintervenir », capacité à réagir quand noussommes victimes d’attaques - je repenseà TV5 monDE et la coordination trèsefficace qu’il y a eu lieu entre nosdifférents services, notamment avecl’AnSSI - l’état, notre pays est totalementsouverain mais cela implique égalementun partage des échanges avec nosprincipaux partenaires, je pensenotamment aux Britanniques en Europe.

La souveraineté, c’est difficile dans unezone de brouillard où nos partenaires, nosadversaires, nos ennemis ne respectentpas les mêmes définitions conceptuelles,la même pratique et le même respect desrègles internationales.


Peut-être pouvons-nous bénéficier de lavision du ministère de l’Intérieur sur cettequestion de l’Europe et de lacybersécurité ?


Pour nous, sur de nombreux points trèsconcrets, l’Europe de la cybersécurité esten marche. évidemment, le dispositif dela directive nIS qu’a évoquée tout àl’heure Guillaume PouPArD étend ce qui

43

notamment à travers l’AnSSI mais aussi àtravers certaines actions du ministère del’Intérieur, du ministère de la défense etdu ministère des Affaires étrangères.C’est ce que l’on appelle le « capacitybuilding ». on peut limiter le concept àces deux notions, on peut aller plus loinaussi mais à mon sens, ce qui la forge,c’est la nécessité d’être autonome sur lesquestions cyber et la capacité à aider lesautres. C’est désormais une veilleantienne mais le réseau est aussi sûr queson maillon le plus faible.


Isabelle VALEnTInI, peut-être voulez-vouscompléter cette réponse ?

isabelle vaLentini - adjoint à l’officier généralcyberdéfense, état-major des armées

Je rejoins ce que vient de dire DavidmArTInon. La difficulté du cyberespacedans la définition de la souveraineté, c’estque nous sommes situés dans une zonede brouillard, des zones grises où lesétats ne se définissent pas toujours entant que tels. on cite la Chine, la russiemais nous sommes aussi confrontés àdes mercenaires, des corsaires, desgroupes criminels qui agissent au nomdes états et contre lesquels nous devonsintervenir.

La capacité que nous avons au sein del’union européenne ou de l’oTAn et denos principaux partenaires européens,c’est bien sûr le partage d’informations




44

vous parlais s’est adresséeimmédiatement à la police judiciairefrançaise pour lui demander s’il fallaitrelayer cette opération de nettoyage dunet.

C’est très concret, je l’ai vécu en direct.C’est aussi, toujours dans ce domainedes contenus haineux, le forum del’internet au niveau de l’union Européennequi a adopté le 31 mai dernier un code debonne conduite visant à aller dans le bonsens pour effacer tout ce qui est illicite.un dernier point très spécifique à lacybercriminalité cette fois-ci et à la luttequi est entreprise au niveau européen: ilfaut savoir qu’au niveau de l’unionEuropéenne, il existe une structured’évaluation des dispositifs en place dansde nombreux domaines, le groupe

GEnVAL23 quis’attache à vérifierque les choses sontplus ou moins bienfaites dans lesdifférents pays. Il y aeu une évaluation enFrance du dispositifde cybercriminalité et

cette évaluation depuis qu’elle a étélancée en France s’est portée sur chacundes pays européens.

Tous les pays européens passent parcette évaluation à l’issue de laquelle estproduit un rapport qui souligne l’état dudispositif et qui met en exergue lesbonnes pratiques. Les autres pays

(23) Groupe "Questionsgénérales, y comprisl'évaluation". Il pourmissions de prévenir lacriminalité organisée et àlutter contre ce phénomène,d’évaluer les pratiques desétats membres etdéterminer si ceux-cirespectent les obligationsinternationales qui leurincombent dans le domainede la répression et de lalutte contre la criminalitéorganisée.

est fait en France et va créer autour desoIV tout un écosystème qui va sesécuriser progressivement. on le ressent

au travers desinterventions de laDGSI21 ou des autres

services de police ou de gendarmerie quisont au contact des entreprises.

Plus concrètement concernant l’Europede la cybersécurité, j’évoquaisprécédemment les signalements quipermettent d’évacuer, de nettoyer le netde contenus qui sont illicites. Il existe undispositif qui est piloté en France par lasous-direction de la lutte contre lacybercriminalité au travers d’un office,

c’est le dispositifPHAroS22 qui reçoitles signalements etles exploite. Il faut

savoir qu’au niveau européen, il y a pourdes domaines un peu plus limités mais ôcombien essentiels, l’équivalent qui a étémis en place à EuroPoL. Ce dispositifs’appelle Europol's Internet referral unit(EIru).C’est une structure qui fait lamême chose, qui s’attache avec lesopérateurs à effacer les contenus illicites.un exemple très concret de l’Europe de lacybersécurité: avant-hier matin, suite à cequi s’est passé en France avecl’assassinat de deux policiers, il y a eu,vous le savez, sur Facebook, unediffusion d’éléments particulièrementodieux. Le travail a été fait en France parFacebook. La structure Europol dont je

(21)Direction générale de lasécurité intérieure

(22) Plateformed'Harmonisation, d'Analyse,de recoupement etd'orientation desSignalements




notamment à une utilisation des fonds derecherche et développement, H202025 etautres plans de financement pour ceuxqui connaissent. L’idée simple qu’il y aderrière ce PPP, même si la mise enœuvre est bien évidemment beaucoupplus complexe, consiste à dire que pourêtre capable de « négocier » des créditsde r&D, de bien les orienter et utilisertout cet argent de manière intelligente, ona besoin d’avoir une structure qui parleavec la DG ConnECT.

La première chose à faire est de créer unesorte d’assemblée, un groupement quipermette de parler avec la DG ConnECTet qui regroupe finalement tous lesacteurs qui ont été cités jusque-là, desacteurs privés, des acteurs publics, desétats. C’est là que c’est compliqué,probablement toujours un peu inquiétantquand on compare aux autres PPP quiont pu être montés mais je suis plutôtconfiant. A priori tout cela va être signé,de mémoire, le 5 juillet et nous permettrade continuer sous l’impulsion, notammentlancée par le commissaire oETTInGEr. Ilporte ces questions d’autonomiestratégique avec beaucoup d’énergie.nous sommes complètement en phaseavec lui pour développer tout cela. Le faitque l’Europe prenne la cybersécurité enmain, c’est une démarche qui est trèspositive. Le règlement e-IDAS26, c’estmême encore le cas le plus extrême carc’est l’Europe qui nous aide à avancer.on a des coopérations qui peuvent être

45

européens peuvent retenir lesobservations faites par ce groupeGEnVAL. Ce groupe a produit pour laFrance un rapport qui était, je dois dire,plutôt favorable et qui a fixé la barre assezhaut. Depuis lors, les autres pays sontévalués à la lumière du dispositif français.Pour le ministère de l’Intérieur, l’Europe dela cybersécurité a une dimension trèsconcrète.


on a parlé tout à l’heure de coopérationentre les acteurs publics et les acteursprivés. La commission européenne au

travers « DGConnECT»24 a lancéun appel àproposition pour unpartenariat public-privé (PPP) enmatière de

cybersécurité. Quel est l’enjeu, quel estl’intérêt de ce PPP? David ou Guillaumepeuvent-ils nous en parler ?


Ce PPP est une démarche que l’onsoutient depuis le départ. Elle montre queles questions de cybersécurité, certainesde ces questions, peuvent être traitées auniveau européen, qu’elles doiventimpliquer l’ensemble des acteurs privésnotamment, que ce sujet de lacybersécurité, même s’il y a le motsécurité dedans, se prête bien

(24) Direction Générale desréseaux de communication,du contenu et destechnologies (europa.digital-single-market)

(25) Horizon 2020 : portailfrançais du programmeeuropéen pour la rechercheet l’innovation (horizon2020)




46

concernant la sécurité de l’état. Celles-là,on arrivera toujours à les exclure duchamp, mais il y a plein d’autres donnéessensibles et on serait bien en peineaujourd’hui je pense de faire une listeexhaustive, une liste blanche de toutes lesdonnées qui peuvent pâtir d‘ un tel « freeflow of data » poussé à son extrême. Il y abeaucoup de débats autour de ce sujetpour justement refuser ce principe. Il estnécessaire que les états européensconservent une capacité à réglementer entermes de circulation des données, parceque toutes les données ne peuvent pascomme ça, par principe, se balader auxquatre coins de la planète.

L’autre risque qui est associé directement- et autour duquel tournent de vraisenjeux - c’est la question de lalocalisation des données. on a clairementenvie de développer en France desdatacenters, des capacités de stockage,de gestion de ces données. nousconsidérons que, par définition, cesdonnées ne doivent passystématiquement traverser l’Atlantique.on a des enjeux qui sont probablementencore plus complexes, qui font le lienavec ce que je disais tout à l’heure, surles qualifications de produits, notammentdes produits de sécurité. Aujourd’hui, sil’on veut avoir confiance dans desproduits et si on souhaite réellement jouerle jeu de l’ouverture vis-à-vis desdifférents partenaires (mais pasuniquement des partenaires Français) on

officielles et d’autresqui sont beaucoupplus secrètes entrepays européens demanière à faire face àdes menacescommunes maiscomme il l’a déjà étéexpliqué, c’estquelque chose quimarche et qui est

une réalité aujourd’hui.

Aussi, je me dois de dire que l’Europe estégalement un risque pour la cybersécuriténotamment dans le cadre desnégociations des traités transatlantiques,des traités économiques qui, non pasdans la hiérarchie des normes mais dansla hiérarchie des règles, sont placésextrêmement hauts. Il faut êtreparticulièrement vigilant à l’égard de toutce qui peut être négocié dans le cadredes TTIP/TAFTA27. Tout cela est trèscompliqué mais complètementd’actualité, avec les risques de voir arriverpar le haut des principes qui vonts’appliquer à nous au-delà même de noslois nationales. Poser le principe du « freeflow of data » comme principe nous poseun vrai problème. Considérer que touteentrave à la libre circulation des donnéesest quelque part quelque chosed’inacceptable nous pose de vrais soucisparce que dans les données que l’on neveut pas voir librement circuler, il y a bienentendu les données très sensibles

(26) Le Parlement européenet le Conseil de l’unioneuropéenne ont adopté, le23 juillet 2014, le règlementn° 910/2014/uE surl’identification électroniqueet les services de confiancepour les transactionsélectroniques au sein dumarché intérieur, ditrèglement « eIDAS ».

(27) TTIP (=TransatlanticTrade ans InvestmentPartnership) et TAFTA(=Transatlantic Free TradeAgreement) désignent leTraité de libre échange entreles Etats-unis et l’unionEuropéenne




blague. Le paquet est beaucoup plusintelligent et permet une circulationbeaucoup plus fluide que ce qui étaitassuré auparavant.

Deuxièmement, ce n’est pas la protectioneuropéenne des données qui a empêchéles grandes sociétés Américaines decréer le marché de la donnée et de ledominer. Par conséquent, si on faisait duprotectionnisme, on le ferait vraiment trèsmal.

Troisièmement, je n’ai pas envie qu’onlaisse caricaturer la France comme étantl’état le plus soucieux de sa souverainetéen Europe sur la question des données.Pour le moment, on n’a pas fait grand-chose en réalité sur ce sujet-là. Arrête-moi Guillaume si je me trompe, mais surla localisation des données, on a encorerien dit, rien décidé, rien voté alors qu’uncertain nombre de nos partenaires àtravers le monde et notamment les alliésles plus proches des états-unis commel’Australie ou le Canada, ont fait adopterdes lois qui exigent, qui imposent lalocalisation sur leur sol d’un certainnombre de données jugées sensibles etnotamment les données de santé.

Quatrièmement, tout ce qu’a ditGuillaume est vrai. Si c’est important alorspourquoi ne l’a-t-on pas fait avant etqu’est-ce qu’on attend pour le faire ?

Cinquièmement, j’aimerais, moi, qu’il y aitune industrie française du Cloud et del’hébergement de données. Elle existe car

47

a besoin d’avoir accès par exemple auxcodes sources. une fois encore, poursavoir si ces produits sont bons ou pasbons, on ne peut pas simplement secontenter de regarder la boîte fermée. Ilfaut, à un moment, entrer dedans aumoins pour les niveaux d’évaluation lesplus élevés. Je ne vous cache pas qu’il ya un sujet conflictuel avec nos alliés quisont contre ce principe. on ne voudraitsurtout pas que ces négociations,économiques avant tout, soit l’occasionde cranter des principes qui vontdirectement contre les intérêts de lacybersécurité, pour l’état mais plusgénéralement pour les nations, c’est-à-dire incluant autre chose que la sécuritépurement nationale.


Je voudrais aller un tout petit peu plusloin que Guillaume sur le sujet desdonnées. En fait, on se rend compte quederrière tous les grands sujets degouvernance internationale de l’Internet ily a toujours un moment où on en revientà la question des données. Dans ce qu’adit Guillaume, il y a des choses trèsimportantes et je voudrais rajouterquelques éléments parce qu’on estfacilement caricaturé et on caricaturefacilement les autres.

Premièrement, quand nos amisaméricains disent qu’avec « le paquetprotection des données » on fabrique duprotectionnisme non tarifaire, c’est une




48

masse critique, tous les pays qui n’ontpas d’industries en propre ont du mal à lefaire. on voit bien que c’est extrêmementcomplexe.

La solution, mais David l’a dit, c’est defonctionner en réseau, faire du capacitybuilding. Il est de notre intérêt, nousFrance, avec les autres pays européensqui ont commencé un tout petit peu plustôt, de partager le savoir-faire. Il y acependant des limites intrinsèques. Pourle partage de renseignement opérationnelnotamment, au sens militaire du terme,sur des choses très précises comme« untel vous attaque sur telle adresse IP »,cela avance mais c’est forcément prudentet forcément fait dans des cerclesmaîtrisés. Ce n’est pas quelque choseque l’on va faire sur la place publique etque l’on va faire à 28 parce qu’il s’agit derenseignement très sensible issu desources, que très souvent, on ne voudrapas citer. Ce sont le plus souvent dessources du renseignement venantd’autres partenaires internationaux endehors de l’Europe, des victimes enFrance ou à l’étranger chez qui on peutanalyser les comportements d’unattaquant et en déduire de nombreusesinformations. on n’aura pas envie de direle nom de ces victimes. C’est notammentun des sujets sur lesquels on s’est battudans le cadre de la directive nIS pouréviter toute forme d’obligation, denotification d’incidents à un niveaueuropéen. Quand un oIV français se fait

il y a de belles sociétés en France commeoVH. Je veux rappeler qu’on a quandmême fait des tentatives très largementsubventionnées en France et en Europepour bâtir des entreprises de Cloudsouverains et que, pour le moment, cen’est pas une grande réussite...

guillaume tissier - directeur général de ceis - co-organisateur du fic

Pour revenir sur le sujet de la coopérationeuropéenne, on voit bien qu’on aaujourd’hui un certain nombred’échanges d’information, d’exercices etde procédures qui sont mis en place. onest dans le « capacity building » mais au-delà du « capacity building », il y a tout cequ’on appelle le « pooling and sharing »,c’est-à-dire la mutualisation et le partagecapacitaire. on voit bien que là c’estbeaucoup plus compliqué puisqu’uncertain nombre d’états, notamment lesplus puissants, sont relativement hostiles.Faut-il par conséquent persévérer danscette voie-là et si oui, comment ?


C’est évidemment compliqué parce qu’auniveau national nous sommes en traind’apprendre en marchant. on essaye demarcher vite mais c’est compliqué. undes éléments, qui est d’ailleurs dans ladirective nIS, consiste à pointer du doigtle fait que beaucoup de pays européensn’ont pas pris la mesure et sont bien enpeine pour la prendre parce que, pourdes raisons de taille, de budget, de




s’agit directement de la protection denotre souveraineté nationale.


En matière de cyberdéfense, nousmenons, dans le cadre plus restreint d’unnoyau dur de partenaires, descoopérations opérationnelles qui sontévidemment secrètes, en coalition, encyber-coalition en particulier avec lesétats-unis dans la lutte contre Daech.nous participons également descoopérations dans d’autres domainesque les incidents eux-mêmes tels que lesréseaux sociaux, le contre-discours, lecontre narratif avec les états-unis, leroyaume-uni et d’autres pays encore.nous recevons à l’instant même, leministre de la défense suisse au centreopérationnel à Balard, le centreopérationnel de cyberdéfense. Il y a aussides éléments de coopération trèssensibles sur la lutte contre des « foreign

fighters29 ». Enmatière de discours,nous entretenonsune coopérationavec la Suisse, laBelgique et laTunisie. Ce sont deséléments secretsmais qui sont trèsimportants en

matière d’échange d’informations et dansla lutte contre le cyberterrorisme ou dansle terrorisme de Daech.

(29) Les foreign fighters(littéralement lescombattants étrangers) sontdes individus qui s’engagentdans les groupes armésterroristes sur un territoiredont ils ne sont pas issus.Ce sont par exemple desFrançais ou desBritanniques combattant enSyrie. Susceptibles derevenir ensuite dans leurpays d’origine, ilsconstituent un sujetd’inquiétude en matière desécuritéintérieure.

49

attaquer, avec potentiellement desconséquences graves, on considère quec’est une question de sécurité nationaleet pas une question qui doit être partagéeau niveau européen. Tout cela pour direque l’on va vers un fonctionnement enréseau par opposition à unfonctionnement qui serait centralisé oudécentralisé. Ce réseau serait purementeuropéen parce que ça n’aurait pas desens qu’il en soit autrement, avec unfonctionnement qui doit s’appuyer encore

plus qu’aujourd’huisur l’EnISA28,l’agence européenne

chargée de la sécurité des réseaux et del’information et qui peut fortementcontribuer au développement de tout cequi est capacity building, mutualisationdes moyens, partage de bonnespratiques. D’ailleurs, le président duboard de l’EnISA vient d’être renouvelé,c’est un français, Jean BaptisteDEmAISon, de l’AnSSI en l’occurrence,cela montre quelque part notreengagement dans cette démarcheeuropéenne.

nous sommes constamment enrecherche d’un bon équilibre entre unemeilleure prise en compte de cesquestions de cybersécurité, en profitantde la taille critique européenne. Le faitque nos voisins sont vraiment nos voisinsest pour le coup important : quand ils sefont attaquer, on n’est pas loin de se faireattaquer nous-mêmes. Soyons clairs, il

(28)enisa.europa.eu




50

ils ont beaucoup fait et se sontconsidérablement améliorés. nousn’avons pas forcément envie de partager,de mutualiser les capacités. En revanche,dans la logique de l’article 5 du traité del’Atlantique nord, il est évident que laFrance doit jouer son rôle comme lesautres dans cette défense mutuelle.

La logique, ça serait plutôt de dire quenous allons mettre nos capacités auservice de l’oTAn après avoir défini desobjectifs. Ensuite, on se partage cesobjectifs, on les atteint, mais on les atteintavec nos capacités nationales.


nous allons passer maintenant, si vous levoulez bien, au reste du monde sousdeux aspects. Le premier va concerner lagouvernance. David, tu avais lagentillesse, il y a deux ans, de venir

présenter les enjeuxrelatifs à l’ICAnn30 età sa réforme. on a

vu que le résultat de marrakech nesatisfait pas forcément le gouvernementfrançais. Première question, peut-ons’accorder sur une gouvernance ducyberespace ? En matière decybersécurité, c’est la deuxième question,on a beaucoup parlé de souveraineté. Lacybersécurité ne nous conduit-elle pas àavoir une approche un peu égoïste dansla mesure où un accord international estassez difficile à mettre en œuvre ?

(30)enisa.europa.eu


Isabelle, peut-être un mot sur l’oTAnaussi? on a beaucoup parlé de l’unionEuropéenne mais quel rôle peut-être tenupar l’oTAn en matière de capacitybuilding, en termes de mutualisationcapacitaire également ?


L’oTAn a défini le cyberespace commeun cinquième domaine, un domaine deconfrontation permettant, en coordinationavec les Américains, les Britanniques, lesnéerlandais, la France et un peu l’Estonie,via le centre d’excellence de Tallinn, dedéfinir une posture en matière défensive.Bien sûr, la France est très réservée sur lapartie offensive, comme les états-unis etle royaume-uni. D’ailleurs, nous nesouhaitons pas que ces capacity buildingpuissent aller au-delà du partaged’informations sur la formation ou ladiffusion de compétences pour les paysqui sont entrain de se construire enmatière de cybersécurité.


C’est le dilemme habituel des états qui,contrairement aux autres, investissentbeaucoup dans un domaine et n’ont pasenvie de partager pour rien cesinvestissements. En matière decybersécurité, à l’évidence, lesAméricains sont très loin devant nous.Quant aux Britanniques et aux Français,




souveraineté internationale devaits’appliquer, que le droit internationalpublic s’appliquait totalement dans lecyberespace et qu’il fallait bâtir un certainnombre de normes de confiance quiressemblent à ce que l’on retrouve dansles négociations internationales sur ledésarmement mais avec des spécificitéstrès forte. C’est probablement commecela que l’on va pouvoir bâtir une sécuritécollective dans le cyberespace. nousespérons qu’il y aura encore des progrèsmais ce n’est pas si simple. Il faut essayerde forger de nouveaux concepts parcequ’on se rend compte que certains desconcepts habituels ne fonctionnent pas.La notion de dissuasion, qui est tellementopératoire dans le domaine dudésarmement, est très difficile à utiliserdans le cyberespace, dans lacybersécurité. La notion de non-prolifération ou de contre-prolifération vaêtre très peu opératoire dans lecyberespace, mais nous avons quandmême un certain nombre d’idées surlesquelles nous travaillons avec nos amisde la défense, de l’AnSSI, du ministèrede l’Intérieur pour essayer d’avancer.

Quelles valeurs peuvent avoir cesaccords, ces décisions ou cescompromis ? C’est un vrai sujet. Pour lemoment, il y a un rapport qui estendossé, dont l’Assemblée généraleprend note chaque année. on est dans lanuance de la nuance diplomatique, maisenfin, ce n’est pas rien, parce que d’une

51


Sur la deuxième question d’abord, est-onproche d’un accord ou pas ? Ce qui estsûr, c’est que la communautéinternationale, réunie au sommet mondialsur la société de l’information (SmSI) enmarge de l’Assemblée générale desnations unies, en décembre 2015, adécidé qu’il n’y aurait pas d’ouvertured’une négociation globale d’un traitéinternational sur l’Internet ou sur lacybersécurité ou sur la cybercriminalité,parce que c’est une impasse. on sait trèsbien qu’on n’avancera pas, qu’on va ré-ouvrir des sujets déjà traités sur lesquelsnous sommes arrivés à des consensus etce sera beaucoup de temps perdu pourun résultat à peu près nul. En revanche,cela ne veut pas dire qu’il ne se passerien, puisque, comme je le disais tout àl’heure, le groupe des expertsintergouvernementaux en est déjà à sonquatrième rapport et va se réunir fin aoûtà new york. objectivement, il y a de vraisprogrès, de vrais points d’accord, descompromis historiques, enfin historiques,il ne faut pas exagérer...mais il y a eu despoints sur lesquels nos amis Chinois etrusses ont fait des concessions pour semettre sur nos lignes. ll y a desambiguïtés constructives qui permettentd’avancer, notamment sur la notion desouveraineté dans le domaine ducyberespace. La communautéinternationale ou le GGE, qui représenteune vingtaine de pays, a dit que la




52

réforme31. Je dis« dans quelquessemaines » parcequ’aujourd’hui leCongrès américainest saisi, il en débat.Ted CruZ y estopposé depuis ledébut parce que,pour lui, celaconsiste à donnerl’Internet aux russeset aux Chinois, c’estdit comme ça, avec

cette finesse extraordinaire qu’on atoujours trouvée chez Ted CruZ. Il faitune sorte de fillibustering 32, de guérillalégislative pour essayer de faire voter uneloi qui empêcherait l’exécutif américain deprendre seul la décision de renoncer à latutelle du département du Commerce surl’ICAnn. nos amis Américains nous onttoujours dit que ça devait être, c’était etça resterait une décision de l’exécutifaméricain et donc qu’au final cette loi nepourrait pas prospérer. on va voir. Jepense plutôt que c’est ce qui va sepasser parce qu’on se rapproche duterme de l’administration oBAmA et queça fait partie à l’évidence de la legacy decette administration, de l’héritagepolitique et symbolique de cetteadministration. Je pense que la maisonBlanche, l’administration oBAmA et leDépartement du commerce actuel nerenonceront pas à mettre en œuvre cettetransition. Le contrat qui lie le

(31) Le 10 mars 2016, Dr.Stephen D. Crocker,Président de l’ICAnn, aremis au gouvernementaméricain un plan mis aupoint par la communautéInternet internationale(https://www.icann.org/)

(32) Terme américainemployé pour parlerd’obstruction parlementaire

(33)

certaine manière c’est endossé par lacommunauté internationale. Peut-on fairemieux ? on a fait un peu mieux, parceque le dernier communiqué du G20 aégalement endossé le dernier rapport duGGE. L’étape d’après, ce seraitprobablement que le Conseil de sécuritéannonce pour plus tard, sur le fondementdu rapport du GGE, un traité international.mais je pense que ce n’est pas la bonnemanière d’avancer. La bonne manièred’avancer pour le moment, c’est detravailler en un petit groupe d’états, petitgroupe qui s’étend puisque l’on va passerde 20 à 25 cette année, avec des étatspour la plupart très compétents enmatière de cybersécurité, très avancés oules plus avancés et en même tempsmanifestant une forme de diversité dansla représentation. C’est probablementcomme cela que l’on peut avancersérieusement et faire des progrès.

Sur la question de la gouvernanceinternationale de l’Internet, c’est un sujetà part entière. Pour faire court, je diraisque dans quelques semaines, si tu mereposes la question, je te répondrai qu’ilest derrière nous. Il est derrière nousparce que la réforme de la ICAnn a étéforgée et acceptée par la communauté.nous n’avons pas approuvé cette réformeau final mais nous avons décidé de nepas bloquer la transmission de cetteproposition au Département ducommerce américain qui doit maintenantdécider s’il accepte ou pas cette




comportements ? Est-il question, parexemple, de réfléchir à une instance, à unorgane qui contrôlerait l’application deces comportements ?


C’est la question centrale à mon sens. Sion veut contrôler et vérifier la pleineapplication à la fois des normes de droitinternational public dans le cyberespaceet des normes de comportementvolontaires que nous avons décidées et sion veut que se soit bien fait, que cela aitdu sens, il faut qu’à un moment on soitcapable de dire : « c’est untel qui est àl’origine de cette attaque ». C’estextrêmement difficile. on peutprobablement aujourd’hui - arrête-moiGuillaume si je suis dans l’erreur - allerdéchiffrer jusqu’à la dernière ligne decode d’une attaque en prenant le temps,c’est-à-dire que l’on peut trouver uneligne de code en farsi ou en cyrillique.Est-ce suffisant pour dire que telleattaque est perpétrée par les servicesIraniens ou par des mercenaires russes ?Je pense que l’intoxication reste possible.Les Américains nous disent que c’estextrêmement prometteur de bâtir unesécurité collective dans le cyberespace,dès lors qu’on est sûr de l’attribution etque cette question de l’attribution va êtretrès vite réglée. moi, je ne suis pas sûr etje serais ravi que Guillaume s’exprime surce sujet-là. Autant c’est prometteur, parceque une fois que vous être capable de

53

département du commerce à l’ICAnnexpire au 30 septembre33. Je pense quecette date sera tenue. De tout de façon,si elle n’est pas tenue, il sera difficile derenouveler le contrat pour deux ou troismois, voire de l’étendre jusqu’au19 janvier 2017, veille du jour del’investiture du prochain présidentaméricain. Je pense que le calendrier estcontraint et je ne pense pas que cetteadministration y renoncera.

Est-ce que c’est une bonne réforme ?C’est une bonne réforme à 80%. nousavons obtenu beaucoup de choses quenous avions demandées et sur lesquellesnous avons travaillé et fait despropositions pendant deux ans. Au final,je reste frustré parce que la prétention decette communauté à vouloir donner laparole à toutes les parties prenantes,donc gouvernementales, nongouvernementales, académiques,techniques est en réalité une prétentiontrès largement hypocrite. Au sortir decette réforme, nous voyons bien que lerôle des états sera limité et que leurcapacité à influer les décisions seraencore minorée.


David mArTInon une question sur leGGE ? Le GGE se réunit cet été. Il y adéjà un certain nombre decomportements responsables qui ont étédéfinis. Va-t-on à un moment parler ducontrôle de l’application de ces




54


malheureusement, on bute constammentsur cet écueil qui est connu depuisl’origine. Il ne s’agit pas simplement desavoir qui a fait le coup. Très souvent, neserait-ce qu’en regardant à qui celaprofite, en regardant les multiples indicesobtenus à droite et à gauche, on finit paravoir une bonne idée mais devant un jugeça ne tient pas 10 secondes. on observerécemment de plus en plus une démarchequi consiste, pour les services offensifsles plus performants, à ne plus attaqueren direct ou par les différents biais qu’onconnaissait auparavant mais à attaquerles attaquants eux-mêmes dans d’autrespays, à passer par les infrastructuresd’autres attaquants de manière à menerleurs propres attaques. En l’état actuel,c’est le crime de la technologie quasiparfait parce que quand bien même on serendrait compte de l’attaque, quand bienmême on arriverait à la comprendre et àla détricoter, on va tomber sur quelqu’unqui n’a certainement pas la consciencetranquille mais, qui de fait, n’est pas levéritable commanditaire ou celui qui estvéritablement à la manœuvre. C’estextrêmement compliqué. Ce que je vousdis là, n’est pas du domaine desélucubrations puisque ça a été révélé parEdward SnoWDEn dans un des trèsnombreux documents. Cela fait partie dela doctrine et, en même temps, quand ony réfléchit, c’est assez logique de passerpar ce type de moyens.

L’attribution restera toujours un problème.Quand bien même, en poussant la

dire « c’est untel qui a fait ça », vous êtescapables de réengager un certain nombrede règles classiques, traditionnelles,coutumières du droit international publiccomme la légitime défense, les contre-mesures, le fait de diligenter descommissions d’enquête internationalesqui vont être collégiales et qui vont êtrecapables de confirmer l’origine del’attaque. Il y a par conséquent un certainnombre de conséquences, deresponsabilités internationales, qui sontengagées et cela peut déboucher sur desprocédures en responsabilité pénaleinternationale. Tout cela est trèsprometteur. mon sentiment est qu’il fautcontinuer de bâtir sur le principed’attribution et, en même temps, il fautaussi le contourner parce que je crainsque l’on ne soit pas capable d’attribueravec une totale certitude.

une réponse possible, c’est effectivementce que vous avez évoqué dans votrequestion, serait peut-être de confier à unetierce partie le soin de déterminerl’attribution, de déterminer la culpabilitédans le cadre d’une attaque. Pour quecette autorité soit crédible, légitime etindépendante, il faut cependant mettresur le papier un certain nombre deparamètres qui ne sont pas simples.

Il faut à l’évidence que ce soit collégial,que ce soient des personnes à la foispolitiquement légitimes et d’un très hautniveau technique, venant du public et duprivé et il faut que leur verdict soitrespecté mais cela ne va pas vraiment desoi.




désarroi américain et c’est là que je voisun réel signe d’espoir. Sur le sujet duchiffrement par exemple, qui n’a pas étéévoqué en profondeur aujourd’hui, j’aientendu dire que le FBI se sentaitimpuissant. Quand on est impuissant, onessaye de rebondir. J’imagine qu’il va yavoir des démarches collectivesinternationales sur ce sujet.

Autre point, j’ai eu connaissance d’uncolloque organisé le 6 juin dernier par ledépartement de la Justice américain, unpeu en urgence, pour envisager lesmécanismes internationaux decoopération rendus nécessaires à la foispar les différences de législation enmatière de liberté d’expression et detransmission de données aux services depolice et aussi en matière de chiffrement.Je me dis que pour que le départementde la Justice américain soit perdu aupoint de recourir à la connaissance deses partenaires internationaux, pourenvisager des solutions, c’est qu’il y a unvrai souci. En même temps j’y vois unespoir puisqu’on va réellement vers unecoopération internationale comme ledisait David mArTInon. Je crois que celaavance s’agissant du traitement de lacybersécurité vu sous l’angle policier,judiciaire.


Encore une fois je n’aime pas lacaricature, je ne voudrais pas êtrecaricaturé moi-même. J’ai beaucoupparlé des états-unis, les états-unis nousagacent parce qu’ils sont bien meilleurs

55

logique jusqu’au bout, on utiliseraitl’ensemble de nos capacités offensives,de nos capacités en matière derenseignement et qu’on arriverait par lebiais de ces capacités à savoirprécisément qui en est à l’origine, pourpeu qu’on y arrive, nous n’aurions peut-être pas envie de dire comment on a faitpour avoir l’information. on va au final seretrouver dans la situation, queconnaissent peut-être les Américains ence moment, qui est de dire, « moi, je saisqui c’est mais comme je ne peux pasvous dire comment je l’ai su, je suiscoincé ». Cela va être très compliqué et,si on continue à se heurter à ce problèmed’attribution, cela va durer longtemps. Ilfaut donc réussir à le contourner pourêtre efficace.


mes chers amis, l’heure est venue deconclure. Avant de nous séparer, avez-vous une idée, un point particulier quevous n’avez pas évoqué, que vousvoudriez absolument transmettre àl’ensemble de nos amis ici présents, unpoint particulier qui vous tient à cœur ?


Sous un angle policier, sous l’angle duministère de l’Intérieur, je vais donner unsigne d’espoir. Les états-unis sontsouvent cités, ils l’ont été par DavidmArTInon ou par Guillaume PouPArD.moi je recense dans le traitement dessujets judiciaires, policiers, un réel




56

se tourne vers l’international, est un bonmodèle, au moins en France. Je peuxtémoigner du fait que, dans des réunionsqui peuvent être plus ou moins classifiées,la volonté de travailler ensemble est bienréelle et c’est suffisamment importantpour être mentionné, parce que je ne suispas certain que se soit systématiquementle cas dans tous les travauxinterministériels. C’est un élémentd’espoir qui d’ailleurs explique pourquoi laFrance se maintient dans ce cercle assezfermé des pays qui comptent dans ledomaine de la cybersécurité, dont la voixest écoutée. Il faut impérativement qu’onreste dans ce premier cercle et qu’oncontinue à s’en donner les moyens. Je nenie pas le fait qu’il y des questionscompliquées à traiter, de tous ordres etque certaines questions, dont celle duchiffrement par exemple, sont complexes,mais fondamentalement, face à desquestions complexes, on peut s’interrogersur l’efficacité d’une réponse triviale. Ilfaut être capable d’aller jusqu’au bout etde peser ce que l’on gagne et ce que l’onperd. La question autour du chiffrement,pour moi, n’en est pas une aujourd’hui.C’est un outil absolument indispensablepour protéger aussi bien nosinfrastructures les plus critiques que lesdonnées de nos concitoyens. Commentfait-on pour éviter ou pour limiter lebénéficie que peuvent en retirer nosennemis ? mais encore une fois c’est unequestion qui est extrêmement complexeet qui ne pourra pas avoir de réponsetriviale.

que nous en réalité. C’estessentiellement, comme l’a dit Guillaume,un problème transatlantique mais ne noustrompons pas, le danger le plus prégnantne vient pas d’eux. nous restons tout demême dans le même camp. En matièrede défense, de renseignement nousdépendons énormément d’eux. Au seindu groupe des experts gouvernementaux,encore une fois, nos positions sont trèslargement les mêmes dans la négociationet ce que nous avons pu obtenirconcernant la réglementation du proxy,c’est une idée que nous avons en partageavec les états-unis. En écoutant VincentAvoine, il faut dire une chose très simple,je ne voudrais pas être caricaturé endonnant le sentiment que je suis lediplomate français crispé derrière sonabsence de ligne maginot par rapport auxétats-unis. Vraiment, ce n’est pas le cas.Par ailleurs, je crois fondamentalement àcette révolution numérique, même s’il fautencore monter en compétence. Pour lavivre pleinement, je suis convaincu qu’elleapporte un surcroît de bien-être, au senséconomique du terme, à la collectivitémondiale.


Je rebondis sur ce mot positif parce que,malheureusement, quand on parle decybersécurité, on est constamment dansles choses très lourdes. on voit desproblèmes partout, des menaces et desattaquants de partout. Je voudraistémoigner, mais je pense que ça a étégrandement évoqué, du fait que notremodèle national, mais également quand il




une bonne nouvelle ! nous avons unebonne nouvelle parce que la loi du 3 juin2016 relative à la criminalité organisée, àla lutte contre le terrorisme et à sonfinancement a créé une juridictionspécialisée nationale en matière de luttecontre les atteintes aux systèmes detraitement automatisé de données. Cettejuridiction, qui sera au sein du Parquet deParis va avoir un rôle moteur en matièrede conduite de l’action judiciaire pour lesinfractions les plus importantes, lesatteintes aux systèmes de traitementautomatisé de données. nous savonsbien, maître DouTrIAuX ici présente etavec qui nous travaillions hier sur dessujets relatifs à l’approche judiciaire de la

loi GoDFrAIn34 peuten témoigner, quederrière les atteintesaux systèmes de

traitement automatisé de données, ontrouve de l’usurpation d’identité, del’extorsion et bien d’autres infractions.Grâce à cette juridiction spécialisée due àl’initiative de François moLInS, qui avaitcréé la section F1 au Parquet de Paris,nous allons avoir un porte-étendard de lajustice.

Je vous annonce également, qu’en 2017,ici même, nous nous retrouverons pourun observatoire FIC et pour un atelier duCrEoGn. Le thème portera sur « lemonde judiciaire et le cyber ». Le mondejudiciaire, les magistrats mais aussi lesavocats ont bien sûr compris l’enjeu à lafois sur le plan civil que sur le plan pénalde la cybersécurité. merci à vous.

(34) Loi n° 88-19 du 5janvier 1988 relative à lafraudeinformatique

57


Guillaume tu viens de dire de tenir despropos que j’avais envie de prononcer.Les Français sont souvent pessimistesmais je trouve qu’en matière decybersécurité, la coordinationinterministérielle avec notamment lesquatre partenaires que nous constituons,se passe très bien. Elle est constructiveface aux défis auxquels nous sommesconfrontés, tant au plan nationalqu’international, y compris dans la guerrecontre Daech. C’est exemplaire etsouvent envié par un certain nombre depays dont les états-unis, qui ontbeaucoup plus de difficultés intérieuresavec les structures qui sont énormes etqui ont d’immenses capacités mais unecomplication politique que nous n’avonspas. Je trouve que c’est un élément quimérite d’être valorisé.


merci infiniment pour ces paroles pleinesd’optimisme et porteuses d’espérance.Je voudrais avec Guillaume TISSIEr,l’équipe FIC et avec toute l’équipe duCrEoGn remercier nos cinq intervenantspuisque l’amiral nous a quitté et vous direque notre seul regret, c’est qu’il manquesur cette tribune l’autorité judiciaire.malheureusement, myriam QuEmEnEr,qui est une amicale complice depuisdouze ans et pionnière de la lutte contrela cybercriminalité, ne pouvait pas êtreprésente ce matin. Elle m’a demandé debien vouloir l’excuser, mais nous avons




dossierune sécurité inteLLigentePour Les technoLogies du futur

« Bug Bounty Program » :l'avènement des plates-formes européennes p. 81

par Sandra Esquiva Hesse et Toufik Airane

Le dispositif d’assistance aux victimes decybermalveillance p. 59

par Jérome notin

Le calculateur quantique,menace ou solution pour lacryptologie ? p. 73

par Gérard Peliks

Les périphériques USB enentreprise : les précautions àprendre p. 69

par Ludovic Haye

L’influence de la communauté russophone sur la cybercrimi-nalité p. 85

par Adrien Petit

La formation en cybersé-curité : un investissementd'avenir p. 93

Entretien avec marie moin

Les crypto monnaies :une insécuritéqui nuit à la confiance p. 97

par Jean-Luc Delangle

Le cyberespace et lesenjeux environnementaux p. 105

par otmane Boussebaa

Les enjeux relatifs à la technologieBlockchain p. 111

par Ludovic Peti

Former des citoyensnumériquementresponsables p. 121

par Jean-Paul Pinte

CommunicationM to M p. 129

par Franck marescal et Dario Zugno

PHAROS : agir contre les contenus illicites del’Internet p. 63

par François-Xavier masson


Le dispositif d’assistance aux victimes de cybermalveillance

« Le Gouvernement lancera un dispositifsusceptible d’assister sur tout leterritoire les victimes d’actes decybermalveillance (particuliers,collectivités territoriales et entreprisesde toute taille). Ce dispositif fournira, parexemple via une plate-forme numérique,un service d’assistance au dépôt deplainte et d’orientation vers des acteurslocaux susceptibles de fournirl’assistance technique la plus

adaptée à lasituation de lavictime. 1».L’annonce a étéfaite lors de laprésentation de lastratégie numériquedu Gouvernement le18 juin 2015. Lesobjectifs de cedispositif ont par lasuite été détaillésdans la Stratégie

(1) Stratégie numérique duGouvernement, 18 juin 2015

Lnationale pour la sécurité dunumérique présentée le 16 octobre2015 par le Premier ministre.

nous présentons à travers cet article lesdifférentes missions confiées au dispositifet son organisation. Pour rappel de lastratégie nationale, il s’adressera auxparticuliers, aux entreprises et auxcollectivités qui ne sont pas supportés parl’Agence nationale de sécurité dessystèmes d’information (AnSSI).

une assistance de proximitéLa première mission est de mettre enrelation les victimes d’actes decybermalveillance avec des prestatairesréférencés qui se seront engagés àtravers la signature d’une charte.« L’instauration d’un environnement deconfiance pour les citoyens et pour lesentreprises est essentielle audéveloppement des usages du numériqueet des échanges électroniques. LeGouvernement œuvre donc pour la

dossier

59

par JéroMe notin


JéroMe notin

chef de projetdispositif d’assistance auxvictimes d’actes decybermalveillanceagence nationale de la

définition d’un écosystème favorable audéveloppement économique sansrenoncer à la protection des donnéespersonnelles. »

Cet écosystème doit être le moins possibleimpacté par tout type d’acte decybermalveillance. Le dispositif permettradonc à tout citoyen, entreprise oucollectivité d’être mis en relation avec desprestataires de proximité susceptibles deles assister dans la remédiation, aprèsavoir été victime de cybermalveillance.Cette jonction sera réalisée à travers uneplate-forme numérique qui accompagnerala victime dans la qualification de sonincident et lui apportera la réponseadaptée. Elle a donc vocation à devenir lepoint d’entrée unique pour tous les actesde cybermalveillance. Cette réponse

pourra égalementêtre un renvoi vers

des services existants comme la plate-forme de signalement des contenus illicitesde l’Internet (Pharos)2 pour une déclarationde contenu web illégal ou l’affichage d’une

(2) https://www.internet-signalement.gouv.fr/

liste de prestataires. Toujoursdans l’esprit d’assistance dela victime, la plate-formeaccompagnera la victimedans ses démarches dudépôt de plainte et lesprestataires seront parailleurs évalués.

La sensibilisation dupublicLa seconde mission dudispositif est la sensibilisationdu public aux bonnes

pratiques en matière de sécuritéinformatique et aux enjeux de la protectionde la vie privée numérique. « Lasensibilisation de tous est un préalablenécessaire pour que les élus, les dirigeantsd’administrations ou d’entreprises puissentprendre en compte le « risque cyber » àson juste niveau et décider des mesuressusceptibles de protéger les citoyens qu’ilsreprésentent ou les organismes qu’ilsdirigent face à des menaces de vold’informations ou de propriétéintellectuelle, d’atteinte aux donnéespersonnelles, voire l’exposition à desruptures d’activité, d’accidents deproduction, avec des impactstechnologiques ou environnementaux

auxquels ils sontpotentiellementexposés. 3»

Le dispositifdéveloppera ainsi des campagnes deprévention nationale sur les sujets liés aunumérique, avec comme ambition deréaliser des campagnes sur le modèle dela sécurité routière. Elles permettront ainsi

(3) Stratégie nationale pourla sécurité du numérique -https://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf

60

La plate-forme permettra un accès direct, intuitif qui donnera

rapidement accès à un prestataire qualifié pour assister la victime.

Pla

te-f

orm

e /

not

in


dossier

LE DISPoSITIF D’ASSISTAnCE AuX VICTImES DE CyBErmALVEILLAnCE

aux citoyens d’être mieux préparés auxrisques numériques. En parallèle desopérations de sensibilisation réaliséesdirectement par le dispositif, ce dernierpourra approuver les campagnes mises enplace par des tiers (entreprises,organisations professionnelles …). Celapermettra de fédérer les actions desensibilisation proposées par les tiers et des’assurer de la qualité du message délivré.

observatoire/alerte/prospectiveLa troisième mission est de mettre enplace un observatoire de la menacenumérique pour mieux l’anticiper.

« Les travaux interministériels menés àl’initiative du ministère de l’intérieur depuis2013 ont conduit au constat qu’il n’existepas aujourd’hui de statistiques fiablesrelatives spécifiquement à la délinquanceou à la criminalité informatique, la plupartdes infractions concernées étantenregistrées sous une appellation qui nerend pas compte de cette dimension,aujourd’hui absente des référentielsutilisés. L’absence de telles statistiques estpréjudiciable à la conception par lespouvoirs publics de politiques

constammentréévaluées et à lamise en place desmoyens adaptés.4 »

Au-delà des statistiques sur les infractionsrelevées, cet observatoire offrira une vueréelle et consolidée de la menacenumérique afin de mieux l’anticiper. Eneffet, les seules statistiques disponibles surle périmètre cible du dispositif (particuliers,entreprises et administrations qui ne sont

(4) Stratégie nationale pourla sécurité du numérique -https://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf

pas supportées par l’AnSSI) sont fourniespar des entreprises qui sont le plusfréquemment des éditeurs de solutions desécurité et bien souvent d’origineétrangère. La question de la neutralité peutalors se poser au regard des objectifscommerciaux de ces entités. Ladisponibilité pour le pouvoir politique et lasociété civile d’une cartographie neutre etd'analyses prospectives permettra unemeilleure appréhension de cette menacenumérique et donc une meilleure prise dedécisions par le pouvoir politique et tousles acteurs impliqués.

En lien avec le premier l’objectif, la plate-forme permettra donc de remonter deséléments d’information sur les incidentsinformatiques portés à la connaissancedes différents prestataires participants. Cesinformations seront analysées pourinformer et alerter les autorités et le publicsur l’état de la menace.

Le véhicule : giPLà encore, la Stratégie nationale pour lasécurité du numérique indique clairement :« Le dispositif adoptera une forme juridiqueet une organisation lui permettant debénéficier de l’apport des acteurséconomiques du secteur de lacybersécurité — éditeurs de logiciels,plates-formes numériques, fournisseurs desolutions ». La mission du dispositif estd’assurer l’activité, d’intérêt général, deporter assistance aux victimes d’actes decybermalveillance. L’AnSSI, qui porte leprojet en collaboration avec le ministère del’Intérieur, a retenu la forme juridique dugroupement d’intérêt public (GIP). Il


dossier


dispose d’une autonomie de gestion sur leplan opérationnel tout en restant sous lecontrôle de l’état et permet en effet deréunir les talents des acteurs publics etprivés.

Afin d’administrer le GIP, le groupe detravail préfigurateur du dispositif a prévu laconstitution de 4 collèges. Le premiercollège devrait réunir les acteurs publicsque sont l’AnSSI , rattachée au Secrétairegénéral à la défense et à la sécuriténationale, les ministères de la justice, del’intérieur et des finances. Ce collègedisposera de la majorité des voix,conformément à la législation qui demandeque l’état soit majoritaire dans les organesde gouvernance. Le deuxième collègeréunira des représentants des utilisateurs,comme par exemple des associations deconsommateurs. Le troisième collège seracomposé d’organisations professionnellesreprésentant les prestataires qui vontintervenir chez les victimes afin de

62

remédier à l’incident de cybermalveillance.Enfin, le quatrième collège réunira lesoffreurs de solutions. Il sera donc composéd’éditeurs de solutions de sécurité,d’équipementiers réseaux, d’opérateurstélécom ou encore d’organisationsprofessionnelles représentant des acteurssusceptibles d’intervenir d’une manièreassez large dans les domaines de la luttecontre la cybermalveillance.

Conscient du développement de lacybermalveillance pour l’ensembledes acteurs de la société, l’état, et

en particulier l’AnSSI et le ministère del’intérieur, s’est massivement investi dansla mise en place de ce dispositif qui verrale jour en 2017. une phase expérimentalesera lancée dans la région Hauts-deFrance. Son succès reposera sur lamobilisation des prestataires tout commecelle des acteurs étatiques, en particulieren régions. La Gendarmerie nationale,grâce à son expertise dans l’assistanceaux victimes d’une manière générale et saplace au sein de notre nation, jouera unrôle fondamental dans la réussite de notredispositif. Chaque personnel sera ainsi lerelais du dispositif sur notre territoire.


La fédération des actions de sensibilisation

permettra de limiter les atteintes à des victimes

qui cernent mal leur intégration dans une

écosphère mondialisée et porteuse de

vulnérabilités.

Pla

te-f

orm

e /

not

in

L’auteur

Jérôme Notin a rejoint l’ANSSI, en mai 2016,en qualité de Chef de projet – préfigurateur dudispositif. Il est impliqué dans la SSI depuis denombreuses années et dispose d’expériencesdans la création et direction d’entreprise. Il estpar ailleurs ancien gendarme auxiliaire (94/10PSIG de Blois) et fait partie de la réservecitoyenne cyberdéfense de la gendarmerie.

dossier


PHAros : agir contre les contenus illicites de l’Internet

Hébergé au sein de la plateforme designalement PHAROS1 depuis 2009, lesite www.internet-signalement.gouv.fr

mis en place par laDCPJ pour signalerles contenus illicitespublics présents sur

Internet est l’exemple même du phare quiguide les internautes au cours de leurnavigation sur l’océan numérique. Ilrappelle que le cyberespace, espace deliberté, n’en est pas pour autant une zonede non-droit. Le dispositif PHAROS

incarne une nouvellevision de la policejudiciaire, tournéevers le public et versle secteur privé, à lafois outil deprévention etd’investigation.Modèle innovant,véritable catalyseurd’énergies, il

(1) Plateformed’Harmonisation, d’Analyse,de recoupement etd’orientation desSignalements

Hcanalise l’information, en rationalise letraitement et démultiplie le bénéfice deson action par son positionnement ausein de la sous-direction de la luttecontre la cybercriminalité.

La cybercriminalité évolue au rythme de latransformation des réseaux et deséquipements. Elle impose aux forces desécurité intérieure l’adaptation constantede leurs structures et de leurs méthodes.Depuis les années 1990, les pouvoirspublics ont ainsi progressivement prisconscience de la nécessité de répondre demanière innovante aux nouvellesproblématiques posées par Internet.

La première d'entre elles est celle de la« territorialité judiciaire ». Quand un délit estcommis sur Internet, il l’est en tout lieu duterritoire. même si les contenus illicites,pour la plupart, ne font pas de victimedirecte, tout service de police ou degendarmerie, ou toute institution chargéede lutter contre la délinquance du web, est

dossier

63

par FrAnçois-XAVier MAsson


FrAnçois-XAVierMAsson

chef de l’office central delutte contre la criminalitéliée aux technologies de

l'information

susceptible de prendre l’initiative d’uneenquête. Au début des années 2000, alorsqu’il n’existait pas encore de structure decoordination, il était fréquent qu’unhébergeur reçoive jusqu’à 10 réquisitionsjudiciaires pour le même contenu. Toutautant que ces conflits de compétence« positifs », les conflits négatifs laissaient enfriche des pans entiers de la lutte contre lacybercriminalité. C’est la raison pour laquelle,le 13 avril 2005, lors de la présentation desconclusions du « chantier cybercriminalité »,le ministre de l'intérieur annonçait « la miseen place d’un centre national designalement, afin d’éviter qu’une mêmeinformation consultée par une multituded’internautes ne génère une démultiplicationdes plaintes et des signalements […] ».Composée à parité de policiers et degendarmes, cette plateforme était placéeauprès de l’office central de lutte contre lacriminalité liée aux technologies del'information et de la communication(oCLCTIC). Elle commençait son activité le

1er septembre 2006 à nanterre avec deuxpremiers enquêteurs placés sous lecommandement d’un chef de projet. Deuxans, plus tard, le dispositif était pleinementopérationnel et le site www.internet-signalement.gouv.fr était officiellement ouvertau public le 6 janvier 2009. La plateformeprenait une nouvelle dimension dans le cadrede la création de la Sous-direction de la luttecontre la cybercriminalité (SDLC), par arrêtédu 29 avril 2014, dans un contexte demobilisation généralisée des institutionspubliques face aux défis de lacybercriminalité. Dans la foulée des attentatsdes 7 et 8 janvier 2015, PHAroS seretrouvait projeté au cœur du dispositif deréponse étatique à la menace terroriste par lamobilisation totale de ses ressources enmatériel et personnel.

une prise en compte des attentes desinternautesLe site de signalement et la plateformePHAroS (du nom de l’île qui pendant prèsde dix-sept siècles porta le phared’Alexandrie) ont d’abord valeur de symbole.Ils marquent la présence de l’état sur Internetet rappellent que cet espace de liberté n’estpas une zone de non-droit. PHAroS se veutainsi un repère pour les internautes qui aucours de leur navigation numérique, peuventse retrouver désemparés face à descontenus ou des comportements illicites. Lecaractère massif des signalements reçusdans la continuité des attentats de janvier2015 l’a bien montré. Dispositif reposant engrande partie sur des actions decommunication et de partenariat, PHAroSest rapidement devenu un acteurincontournable et reconnu de l’Internet

64

La plateforme Pharos évite les redondances des

enquêtes et concourt à la pertinence des suites

judiciaires à donner aux renseignements

centralisés.

min

istè

re d

e l'I

ntér

ieur


dossier

PHAroS : AGIr ConTrE LES ConTEnuS ILLICITES DE L’InTErnET

français, tant dans son environnementjudiciaire que parmi les acteurs privés(hébergeurs, associations, etc.). Laplateforme répond en effet aux attentes desnombreux professionnels de l’Internet qui ontbesoin d’un interlocuteur central lorsqu’ilssont confrontés à des contenus ou à descomportements qui brisent la confiance desinternautes dans l’économie numérique. Cespartenaires représentent aujourd’hui ladiversité des acteurs du Web : hébergeursde contenus et fournisseurs d'accès àInternet (orange, SFr, Free, oVH…),réseaux sociaux (Facebook, Twitter…),fournisseurs de services divers (Vivastreet, LeBon Coin, Dailymotion...), acteurs américainsmajeurs (microsoft, Google, Apple...),associations (LICrA, E-Enfance…) et acteursinstitutionnels (Commission nationale del'Informatique et des Libertés…). Tous ontaujourd’hui identifié PHAroS comme leurinterlocuteur naturel pour la problématiquedu signalement de contenus illicites del’Internet.

rationalisation et transversalitéD’un point de vue plus opérationnel, la raisond’être du dispositif PHAroS est de prévenirla redondance du traitement des contenusillicites de l’Internet. La plateforme est unpoint de convergence de l’information quirationalise l’action des services d’enquêtedans leur lutte contre la cybercriminalité.L’existence d’un pôle central, clairementidentifié et directement accessible en ligne,optimise la transmission des informationsdans des délais compatibles avec la courtedurée de vie des éléments constitutifs desinfractions sur Internet et des élémentspermettant l’identification de leurs auteurs.

La compétence matérielle de la plateformen’est pas limitative. Elle englobe toutes lesformes d’activités illicites constatables enligne : pornographie enfantine, incitation à lahaine raciale, proxénétisme, diffusion deprocédés permettant la fabrication d’enginsexplosifs, escroqueries, apologie duterrorisme, etc.

Trois grandes catégories se détachentcependant : les escroqueries et extorsions,phénomène de masse qui a toujoursconstitué près de la moitié des signalementschaque année ; les atteintes sur les mineurs,qui englobent principalement lapédopornographie (véhiculée par desmoyens techniques permettant unedémultiplication de leur impact sur lesinternautes), mais également la prédationsexuelle de mineurs en ligne ; lesdiscriminations et autres délits de presse(incitation à la haine, contestation de crimescontre l’humanité, etc.).

Cette compétence transversale distinguePHAroS des plateformes mises en place àl’étranger, dont l’action est souvent restreinteà des champs limités de la cybercriminalité :escroqueries, pédopornographie, terrorisme,contrefaçons, etc. Le choix français permetde démultiplier l’impact de ses moyens, deson réseau partenarial et de l’expertise deses enquêteurs, tout en définissant uneméthodologie commune à tous les champsde son activité. Le dispositif se veut en outreréactif. une circulaire interministérielle en datedu 19 juillet 2013 prévoit ainsi la transmissiondirecte des procédures judiciaires auxservices territorialement compétents pourpoursuivre les investigations initiées parPHAroS, à charge pour eux d’en informer


dossier


leurs parquets et recevoir les instructionsrelatives à la conduite de l’enquête. Ceformalisme simplifié permet une transmissionrapide des dossiers, adaptée à la courtedurée de vie des traces informatiques. unprotocole de compétences associe à chaqueinfraction susceptible d’être signalée le typede service auquel la plateforme peutadresser ses signalements, au sein de lapolice nationale, de la gendarmerie nationale,de la direction générale de la sécuritéintérieure (DGSI), des douanes et de ladirection générale de la concurrence, de laconsommation et de la répression desfraudes (DGCCrF).

une dynamique en mouvementDe 2006 à 2008, la plateforme PHAroS aessentiellement pris en compte lessignalements de contenuspédopornographiques qui lui parvenaient parle site www.internet-mineurs.gouv.fr. Ledoublement, dans l’intervalle, du nombre designalements fut la résultante du travailréalisé auprès des acteurs professionnels del’Internet qui exploitèrent rapidement etrelayérent l’existence du nouveau dispositiftrès attendu, avant même la campagne decommunication publique de 2009. Celle-ciatteignit son objectif : en un an, le nombre designalements quintupla. L’ouverture dudispositif à toutes les infractions et lafocalisation de la campagne decommunication sur une délinquance demasse – les escroqueries – entraînèrent uneexplosion des signalements. De 2009 à2014, le nombre de signalements futpresque multiplié par trois. La réponse duministère de l’Intérieur en termes de moyenshumains se devait d’être à la hauteur des

66

attentes du public. En 2008, les effectifs de laplateforme étaient portés à 8 enquêteurs (4policiers et 4 gendarmes). Basées sur uneévaluation empirique du flux dessignalements, ces ressources se révélaientrapidement insuffisantes. À ce jour, laplateforme compte 16 policiers et6 gendarmes.

Les enquêteurs de la plateforme PHAroSsont recrutés parmi des personnels motivéset intéressés par la matière informatique.mais plus que de compétences techniquesde pointe, ils doivent percevoir le Web, lesréseaux sociaux et les outils de partage decontenus comme leur environnement naturel.L'âge moyen des enquêteurs de PHAroSest de 34 ans. Avec plus de 3 600signalements par semaine à traiter en 2015,le travail d’évaluation et le volume des fluxréclament rigueur, organisation et une bonneaptitude au travail en équipe. une importantedisponibilité est également nécessaire pourrépondre aux pics d’activité souvent brutauxsurvenant lors d’évènements de portéenationale (attentats terroristes, faussesalertes à la bombe dans les lycées,événements sportifs majeurs comme l’Eurode football en juin 2016…).

Les policiers et gendarmes de PHAroS sontpar ailleurs soumis à une forte pressionpsychologique, tenant à la nature descontenus auxquels ils sont exposés auquotidien : pédopornographie, violenceextrême, discours extrémistes, etc. Larépétition des images, autant que leurcaractère choquant, est un facteur de stresspotentiel. Les symptômes de l’usurepsychologique peuvent apparaître plusieursmois, voire plusieurs années après la prise de


dossier


fonction des personnels, qui sontrégulièrement suivis par les psychologues duService de soutien psychologiqueopérationnel (SSPo) de la DrCPn.

Autre critère de recrutement, la mixité police-gendarmerie des effectifs de la plateformeconstitue une condition importante de sonefficacité. La circulaire du 19 juillet 2013précise que la plateforme « […] est dirigée enalternance par un fonctionnaire de policenationale ou par un militaire de lagendarmerie nationale. Elle est composée àparité de policiers et de gendarmes, et avocation à intégrer des fonctionnaires desautres administrations concernées par ledispositif. »

centraliser pour prévenir la redondancede l’action et assurer l’efficacité de laréponseLa plus-value apportée par le dispositifPHAroS repose sur sa capacité àcentraliser les sources des signalements decontenus illicites de l’Internet pour assurer lapertinence de ses recoupements :internautes, au travers du portail internetpublic, fournisseurs de services sur internetet services étatiques y participentactivement.

Les signalements reçus du public parPHAroS peuvent fortuitement concernerdes contenus détectés par ailleurs par desservices de sécurité intérieure, au coursd’activités de veille ou d’enquêtes judiciaires.La circulaire interministérielle du 19 juillet2013 oblige l’ensemble des services à« signaler les contenus et comportementsillicites relevés au cours de leursinvestigations ». Dans une matière où les

critères de compétence territoriale ne sontpas immédiatement apparents, lesconsultations de la base PHAroSpermettent de prévenir les enquêtesredondantes et d’effectuer desrapprochements judiciaires. L’applicationinclut aujourd’hui un moteur de recherche quipermet à tous les services de police ou degendarmerie de vérifier la présence en basede mots-clés correspondant à desidentifiants de l’Internet. En cas derecoupement, l’application précise les suitesqui ont été données aux signalements déjàreçus.

Les dernières évolutions : la lutte contreles discriminations, la veille et le blocageadministratif des sites à caractèreterroriste ou pédopornographiqueLa lutte contre la xénophobie a pris, depuisles attentats de janvier 2015, une nouvelledimension, tant la prolifération de la haine etdes discriminations sur Internet a semblé sebanaliser jusqu’à représenter 30% dunombre total des signalements. une cellulespécialisée de 4 enquêteurs a donc étéinstallée au sein de la plateforme PHAroSen septembre 2015. Elle dispose d'uneexpertise juridique spécifique, doublée d’uneconnaissance approfondie des vecteurs dediffusion des contenus haineux. Le caractèretransversal des activités de la plateformePHAroS et le nombre important designalements traités au quotidien donnent àses enquêteurs un point de vue privilégié surle fonctionnement du « web ». La diversitédes signalements reçus par la plateforme etses contacts privilégiés avec les fournisseursde services communautaires sur Internet(Facebook, Dailymotion, etc.) lui permettent


dossier


68

s’appuyant sur des outils adaptés dont laplateforme se dote progressivement.

Enfin, depuis la loi du 13 novembre 2014renforçant les dispositions relatives à la luttecontre le terrorisme, l’oCLCTIC a été désignéautorité administrative, sous le contrôle de laCnIL, chargée de mettre en œuvre lesmesures de blocage et de déréférencementdes sites internet à caractèrepédopornographique ou faisant l’apologie duterrorisme voire concourant à sa provocation.Seule entité disposant en temps réel, avec leCentre de lutte contre les criminalitésnumériques (C3n), d’une vision large descontenus illicites du Web et de l’expertisetechnique requise, la plateforme PHAroS anaturellement été chargée de la mise enœuvre du dispositif dont les décretsd’application ont été publiés en février etmars 2015. Le but de la procédure deblocage/déréférencement est de protéger latrès grande majorité des internautes. Si leblocage peut paraître inefficace pour despédophiles ou des activistes aguerris auxnouvelles technologies, il joue en revanchepleinement son rôle dans les autres cas enempêchant les internautes d’aboutir à desconnexions non souhaitées ou à descontenus choquants ou violents au hasarddes navigations et des liens proposés. Ce futpar exemple le cas pour tous les événementsterroristes qui touchèrent la France entrenovembre 2015 et juillet 2016. L’existence dece dispositif et la réactivité des enquêteurs dePHAroS dédiés à cette mission ontlargement contribué à contrecarrer lapolitique de terreur de DAECH qui visait àinonder l’Internet français de ses vidéos depropagande et d’exécutions.

d’orienter ses recherches sur des sujetsprécis, en fonction des objectifs du service.Les signalements qui parviennent à PHAroSsont de puissants indicateurs des nouvellestendances de communication, des sujets,des réflexions ou des humeurs les pluslargement répandus sur Internet… autant dephénomènes qui permettent par la suite demieux cibler les actions de veille. Lesenquêteurs de PHAroS sont ainsi enmesure de focaliser leur veille sur desthématiques précises pour compléter letraitement d’un signalement, anticiper unévénement ou assister un serviced’investigation. C’est par exemple le caslorsqu’il s’agit de retrouver des contenusdiffusés par les médias qui, bien que nonencore signalés sur la plateforme, vontimpacter le travail des enquêteurs sur uneaffaire judiciaire donnée ou sur un événementd’ordre public. La création d’un pôle de veilleInternet pérenne, directement rattaché àPHAroS, est aujourd’hui à l’étude poursystématiser les actions de ce type, en


L’auteur

Le commissaire divisionnaire François-XavierMASSON est chef de l’Office Central de Luttecontre la Criminalité liée aux technologies del’Information et de la Communication (OCLCTIC)de la DCPJ depuis septembre 2015. Diplômé del’ENSP en 1996 (46ème promotion), il a toujoursdirigé des services d’investigation tant au seinde la Direction Centrale de la Police Judiciaire(chef de la section criminelle de la DIPJ Lille de2000 à 2006) qu’au sein de la Direction Centralede la Sécurité Publique (chef de la SûretéDépartementale des Yvelines de 2008 à 2012).Avant de rejoindre l’OCLCTIC, il était à la tête duService d’Information de Renseignement etd’Analyse Stratégique sur la CriminalitéOrganisée (SIRASCO) de 2012 à 2015.

dossier


Les périphériques Usb en entreprise : les précautions à prendre

Les périphériques USB, notamment lesclés, ont la cote… c’est indubitable. Quin’utilise pas ces objets pratiques etsimples d’utilisation, aux formes etcouleurs variées (ce qui en fait un supportpublicitaire de choix), pour transporterses données personnelles etprofessionnelles ? Ce que l’on sait moins,c’est qu'ils constituent une des causesde contagion virale numérique les plusimportantes en entreprises …

un support de contamination importantPeu onéreux, légers, miniaturisés, d’une

capacité et d’unevitesse de transferttoujours plusimportantes, lessupports amoviblesuSB (universal SerialBus), que l’on appelleplus communémentpériphériques uSB,ont non seulement

Lenvahi notre vie privée (photos, musiques,jeux, vidéos, etc.), mais également notrevie professionnelle (présentations, compterendu, softwares etc.)

Ces supports de données amoviblespermettent très aisément de transférer desfichiers d’un ordinateur à un autre enéchappant totalement à la surveillance desréseaux. Ce cheminement de PC en PCpeut cependant s’avérer problématique entermes de vols de données etd’inoculations de virus. Il permet égalementl’installation rapide de logiciels illicites ousans licence, mettant ainsi l’entreprisedans l’illégalité. Si la facilité d’utilisation et larapidité furtive des clés uSB constituent unavantage indéniable, les entreprisesdoivent cependant prendre conscience dudanger qu’elles peuvent représenter et parconséquent prendre certaines dispositionsen mettant notamment en place une chartede bonne utilisation des clés uSB.

Les chiffres sont éloquents

dossier

69

par LUDoVic HAYe


LUDoVic HAYe

expert it en systèmes erP(saP)chef d'escadron de la

réserve citoyenne

Plus du 1/3 des entreprises demandent àleurs employés de ne pas utiliser de cléspersonnelles sur le lieu de travail mais rienn’est fait pour s’en assurer. Plus de la moitiédes entreprises de plus de 200 salariés neprend aucune mesure pour sécuriser les cléset ne contrôle ni leur usage ni leur accès(Source Clusif). Il apparaît que plus de 70 %des salariés français utilisent des clésprovenant de l’extérieur de l’entreprise. Enfin,une étude, réalisée sur 600 millions desystèmes informatiques, révèle que 26 % desinfections du système d’exploitation ont étépropagées par une clé uSB utilisant lafonction AuTorun (lancement automatiqueà la connexion de la clé) (Source Windows).

on relèvera aussi que plus simplement les 2/3des personnes interrogées avouent avoir déjàperdu une ou plusieurs clés contenant desdonnées personnelles, par inattention ou parnégligence. À titre anecdotique, rien que dansune ville comme Londres, près de 10 000clés ont été retrouvées dans des pressings en

un an et près de 9 000 dans les taxis, ce quireprésente une perte de plus de 10 To dedonnées...

Quels sont exactement les risquesauxquels les entreprises s’exposent ?La propagation des virus

Les risques sont bien réels et sans tomberdans une paranoïa contre-productive nousaurions tort de les sous-estimer. Dès lors quela clé est connectée à un PC hôte, elle peutinfecter ce dernier si une vérification n’a pasété faite au préalable. Inversement, la clé peutse voir infectée par son hôte ; elle joue alorssans le savoir le rôle du vecteur depropagation au gré de ses différentesconnexions futures, ce qui en fait la causeprincipale d’infection numérique en entreprise.

Le vol

Le contenu de la clé peut également fairel’objet de convoitise, notamment lorsqu’ils’agit de travaux de recherche, de brevets, dedonnées médicales ou financières, etc. Sataille la rend très facile à subtiliser et si savaleur intrinsèque n’est pas très importante, levol de son contenu peut, lui, être trèspréjudiciable. C’est la raison pour laquellebien souvent, seul le contenu de la clé estintégralement copié de manière silencieuse àl’insu de son propriétaire par le PC sur lequelelle est connectée (ce que l’on appelle lePodSlurping), d’où l’utilité de cryptersystématiquement son contenu.

L’oubli, la perte

Dans la grande majorité des cas, il n’y a pasde vol caractérisé mais tout simplement uneperte ou un oubli de la clé sur le PC hôte parson propriétaire. De même sa taille, toujours

70

La miniaturisation, l'augmentation de capacité

des clés USB, associées au phénomène de BYOD

(Bring Your Own Device), en font un vecteur

critique en matière de sécurité des systèmes

informatiques d'une entreprise.

Lud

ovic

Hay

e


dossier

LES PérIPHérIQuES uSB En EnTrEPrISE : LES PréCAuTIonS À PrEnDrE

plus petite, facilite grandement sa perte. L’onpeut même parfois lire de manière un peuprovocante : « qu’elle est faite pour êtreperdue ». En effet, si le contenu estrégulièrement sauvegardé mais surtout crypté(c’est-à-dire illisible pour toute autre personneque le propriétaire), les conséquences de laperte s’en trouvent grandement minimisées.

Ces risques étant identifiés et appréhendés,les principales causes de délits liés à despériphériques uSB sont bien souventmotivées par de la malveillance interne (salariémécontent), externe (vol par un concurrent,espionnage etc.) et par la négligence ou laméconnaissance de certains salariés, quiagissent comme un catalyseur de lapropagation virale (alors que paradoxalementl’on croit tout savoir sur ces petits objets).

Les solutions existent dans le cadre d'unepolitique partagée au sein de l'entreprise

Il existe pourtant des solutions peu onéreuseset faciles à mettre en œuvre par lesentreprises. La première chose à faire est debien sensibiliser le personnel aux risquesqu’ils font prendre à l’entreprise et ceuxauxquels ils s’exposent eux-mêmes. Lanomination et la formation d’un rSSI(responsable Sécurité des Systèmesd’Information) sont indispensables pour bienprendre en compte les problèmes de sécuritéactuels et anticiper ceux de demain. Ceresponsable peut être amené à faire appliqueret évoluer une charte de bonne utilisation despériphériques uSB en entreprise dont lespoints essentiels seraient les suivants :

• Veiller à ne pas laisser les clés sanssurveillance, a fortiori celles connectées à unordinateur,

• Veiller à bien les déconnecter du systèmed’exploitation avant de les débrancherphysiquement (afin d’éviter la corruption desdonnées),

• Fournir aux employés des clés uSBagréées et à vocation professionnelleuniquement (également appelées « clésapprouvées »),

• S’assurer à l’achat, que ces dernières sontfiables (respect des normes de sécurités),

• S’assurer que le personnel ayant accès àdes données confidentielles et sensiblesn’utilise exclusivement que des cléssécurisées,

• Crypter systématiquement le contenu dechaque clé (Perdre une clé est possible… nepas la crypter est une faute …),

• mettre en place un système d’accès avecmot de passe,

• Prendre l’habitude de s’assurer rapidementavant toute utilisation que la clé est saine etexempte de programme malveillant,

• Savoir qui utilise quelle clé et à quelmoment. Cela peut s’avérer contraignant,mais l’efficacité de la procédure est prouvée,

• mettre en place une procédure derécupération des clés perdues (aujourd’huiseule une minorité avoue la perte d’un telobjet),

• Former le personnel quant aux utilisationsqualifiées acceptables ou inacceptables parl’entreprise,

• ne considérer en aucun cas ce type desupport comme fiable dans le temps ; à cetitre, il ne peut nullement se substituer aux


dossier


72

Les conséquences juridiquesLa perte de données personnelles ouconfidentielles (commerciales, médicales etc.)constitue un manquement grave à la loiInformatique et Liberté (CnIL). Ce dernierpeut être, dans certains cas, complété par unsecond manquement à l’obligation desécuriser ses données. Dans les 2 cas, unepeine d’emprisonnement peut êtreprononcée, à laquelle peut s’ajouter unesanction pécuniaire pouvant aller jusqu’à 300000€, sans parler du discrédit en termesd’image et de réputation pour le consultantou l’entreprise qui a égaré la clé.

En conclusion, dans un contexted’interconnexion croissante entre les sphèrespersonnelle et professionnelle, couplé auphénomène de ByoD (Bring your ownDevice) ou de bureau mobile, on voit malcomment une entreprise pourrait interdirestrictement à ses salariés l’utilisation de leurspériphériques personnels. Tout résidefinalement dans l’équilibre entre les droits dessalariés sur leur lieu de travail et les pouvoirsdes employeurs afin d’œuvrer pour le bonfonctionnement de leur entreprise.

Cela dit, nous avons vu précédemment queles dangers potentiels engendrés par cesappareils (uSB le plus souvent) peuvent êtrequalifiés d’inversement proportionnels à lataille de ces derniers. Les entreprises ontlongtemps négligé cette faille de sécurité.Elles n’ont d’autres choix aujourd’hui que demettre en place une organisation permettantd’encadrer de manière draconiennel’utilisation qui est faite de ces appareils, afind’éradiquer efficacement les problèmes desécurité intrinsèques.

systèmes de sauvegardes en vigueur. Pourrappel, une clé uSB n’est autre qu’unmorceau de carte électronique qui possèdeun nombre de cycles de lectures/écritureslimité et connu à l’avance. De plus, unemauvaise utilisation réduit leur durée de vie(ex : déconnexion sauvage),

• Plus globalement, créer et mettre en placeune politique relative aux usages de la cléuSB en entreprise (procédures, affecter uneclé par usage etc.)

D’une manière générale il ne s’agit pasd’interdire mais d’utiliser sous condition. Sicertains points peuvent être mal vécus par lepersonnel, ils sont aussi là pour les protégercar les conséquences juridiques et financièrespeuvent être colossales.


L’auteur

Ludovic HAYE est Expert IT en systèmes ERP(SAP) à l’international, Certifications SAP dessystèmes ERP. Il est membre de la SNIPF(Société Nationale des Ingénieurs Professionnelsde France) et conseiller auprès des divisions desûreté niveau groupe.Chef d’escadron de la Réserve citoyenne de laGendarmerie Nationale, il intervient enIntelligence économique dans les BrigadesTerritoriales et les écoles (en lien avec les BPDJ).Il intervient régulièrement lors du Forum du Rhin-supérieur sur les Cybermenaces (FRC) à l’ENA deStrasbourg depuis 2011 (sécurité despériphériques USB, les bonnes pratiques duCloud, la sécurité des Moyens de paiement,l’authentification et la signature électroniquecomme moyen de prévention etc.). Il est partieaux Rencontres de la SIM de MULHOUSE (juin2016) : « La Cybersecurité : Comment protégerefficacement son entreprise ». Contributeurponctuel au sein du CRIE (Comité Régional pourl'Intelligence Economique), il est déléguéRégional (Alsace) de l’ANAJ-IHEDN. Élu local, ilest en charge des finances, du développementnumérique et des Nouvelles Technologies.

dossier


Le calculateur quantique, menace ou solution pour la cryptologie ?

La catastrophe va-t-elle se produire ?Le chiffrement quantique entraînera-t-ilà court terme la fin du chiffrement etdonc l’impossibilité d’assurer laconfidentialité des données numériqueséchangées et stockées ? Lescryptanalystes qui cassent les codesvont-ils définitivement l’emporter surles cryptologues qui conçoivent lescodes ? Des fantasmes naissent decette fin de la cryptologie annoncéecomme inéluctable, à laquelle nombrede prédicateurs donnent de la voix.

Essayons d’y voirplus clair dans cesdiscours alarmantset au-delà du logos,voyons si uneréalité plusrassurante peut êtreenvisagée. Voyonsmême, si plutôtqu’une menacepour la cryptologie,

Lle calculateur quantique ne serait pasau contraire une bonne solution pourassurer la confidentialité de nosinformations sensibles. Sortons desmythes et abordons la réalité.

Le chiffrement à clé publique menacéLe chiffrement à clé publique, dit aussichiffrement asymétrique, met en jeu deuxclés mathématiquement liées. Quand onchiffre avec l’une, on déchiffre avec l’autre.une des clés est privée, son propriétairene la révèle jamais. L’autre clé estpublique, son propriétaire la donne à tousceux qui peuvent en avoir besoin, inclusedans un certificat numérique signé par uneautorité de confiance. Donc, bienévidemment, une clé publique n’est pasconfidentielle mais à partir d'elle, il n’estpas possible de reconstituer la clé privéecorrespondante. Si Alice veut utiliser lechiffrement asymétrique pour envoyer unmessage à Bob, elle chiffre le messageavec la clé publique de Bob qui le déchiffreavec sa clé privée.

dossier

73

par GérArD PeLiks


GérArD PeLiks

association desréservistes du chiffre et de la sécurité del'information

Deux éléments demandent des précisionsdans le paragraphe précédent. Quand onaffirme : « À partir de la clé publique, iln’est pas possible de reconstituer la cléprivée correspondante », ce n’est pas unevérité mathématique. Il faudrait plutôtaffirmer : « À partir de la clé publique, ilest très coûteux en temps de calculs dereconstituer la clé privéecorrespondante ». En effet les algorithmesqui lient les deux clés reposent sur unproblème très difficile à résoudre par unordinateur d’aujourd’hui. Soit le problèmeréside dans la difficulté de factoriser untrès grand nombre, produit de deuxnombres premiers (chiffrement rSA), soitil réside dans la difficulté posée par lelogarithme discret (Diffie Hellman) : à partirde y= ax mod(n), connaissant y, a et n, ilest très coûteux en temps de trouver x.Des algorithmes existent, tel l’algorithme

de Shor pour factoriser un grand nombre,mais s’il faut plusieurs milliers de milliardsd’années pour arriver au résultat, c’est ceque nous appelons « il n’est paspossible de … » en tout cas dans untemps raisonnable. C’est là que survientla menace du calculateur quantique, quidonne toute sa raison d’être àl’algorithme de Shor pour déchiffrer, enretrouvant une clé privée asymétrique, àpartir de la clé publique asymétriquecorrespondante, toutes les cléssymétriques secrètes en transit sur leréseau. nous verrons plus loin ce qu’estle chiffrement symétrique. retenons icique l’acheminement sécurisé des cléssecrètes symétriques va poser unproblème.

un calculateur quantique manipule nonpas des bits à 0 ou à 1, mais unesuperposition de bits à « 0 et à 1 ». C’est

74

Selon son état quantique et son orientation, le photon porte une caractéristique discriminatoirequand il frappe un miroir.

Foto

lia :

mG


dossier

LE CALCuLATEur QuAnTIQuE, mEnACE ou SoLuTIon Pour LA CryPToLoGIE ?

le principe de superposition d’un étatquantique. Cet état peut être encodédans un photon qui est une entitééminemment quantique. Précisons que laphysique quantique s’applique auxnanoparticules comme les électrons oules photons, pas à vous ni à moi ni auchat de Schrödinger dans le fameuxparadoxe, du moins dans la vie réelle. Cetétat quantique du photon est assezdifficile à obtenir et surtout à conserverpar ailleurs car la superposition des bits à0 et à 1, par un deuxième principe del’état quantique, le principe dedécohérence, peut se réduire simplementà un bit à 0 ou à un bit à 1, alors le calculest compromis dans ce retour brutal aumonde classique. Il ne faut pas grand-chose pour que la décohérence d’unélément quantique s’opère, un obstacledans la fibre optique, ou une simpleobservation suffisent. mais supposons iciqu’il n’y ait pas ce genre de problème.

Le problème de la factorisation d’ungrand nombre ou celui du logarithmediscret ne poseraient aucun problème àun ordinateur quantique qui calculebeaucoup plus rapidement qu’unordinateur classique parce qu’il effectueses calculs en parallèle alors qu’uncalculateur classique les effectuerait ensérie. un calculateur quantique pourraalors trouver, dans un temps raisonnable,par l’utilisation de l’algorithme de Shor, enfactorisant le grand nombre qui intervientdans une clé publique rSA, la clé privée

correspondante. Comme bien sûr tout lemonde peut obtenir une clé publique,ceux qui disposeraient d’un calculateurquantique pourraient retrouver la cléprivée pour déchiffrer les messageschiffrés avec la clé publiquecorrespondante. Le calculateur quantiquemarque-t-il alors la fin du chiffrement ?

Dans le deuxième élément évoqué, Aliceutilise la clé publique de Bob pour chiffrerle message qu’elle lui envoie. Eh biennon ! car ce n’est pas le chiffrement à clépublique qui est utilisé pour chiffrer lesdonnées numériques car il est très lent,trop lent pour chiffrer ou déchiffrer lesgros fichiers. Donc n’étant pas utiliséspour chiffrer les messages, les problèmesdifficiles à résoudre par les ordinateursclassiques, rendus faciles avec lesordinateurs quantiques, ne devraient pasêtre un motif de crainte. D’autant plus, etnous le verrons dans la suite, que lecalculateur quantique apporte aussi unesolution élégante à l’échange de clés.

Le chiffrement symétrique renforcéC’est le chiffrement symétrique qui estutilisé pour chiffrer / déchiffrer car il est

très rapide. onchiffre avec une clésymétrique et avecun algorithme(comme l’AES1) et ondéchiffre avec lamême clé et lemême algorithme.Suivant le principe

(1) Advanced EncryptionStandard : standard decrytage symétrique destiné àremplacer le DES ( DataEncryptionStandard) devenutrop faible.

(2) https://www.reseau-canope.fr/savoirscdi/societe-de-linformation/le-monde-du-livre-et-de-la-presse/histoire-du-livre-et-de-la-documentation/biographies/claude-elwood-shannon-1916-2001.html


dossier


de Shannon2, le chiffrement symétriqueprésente même un cas incassable,prouvé par les mathématiques, connusous le nom de « chiffre de Vernam » oumasque jetable. Quand la clé symétriquea la même taille que le message à chiffreret si cette clé n’est utilisée qu’une seulefois et qu’elle a été générée pour être nonprédictible, il est prouvé que ce chiffre estincassable. Le nirvana des cryptologues !Le chiffrement utilisé par le téléphonerouge durant la guerre froide !

utilisons le fameux couple de lacryptologie, Alice et Bob. Alice chiffre,envoie le message chiffré à Bob qui ledéchiffre. Alice génère une clésymétrique… si possible parfaitementaléatoire, et la chiffre avec la clé publiquede Bob. Elle chiffre aussi son messageavec sa clé symétrique, et elle envoie àBob d’une part le message chiffré avec laclé symétrique qu’elle a générée, d’autrepart la clé symétrique qu’elle a chiffréeavec la clé publique de Bob. Seul Bobpeut alors déchiffrer la clé symétriqued’Alice avec sa clé privée correspondantà sa clé publique donnée à Alice, et s’enservir pour déchiffrer le message reçu.

mais s’il ne sera plus du tout prudentd’utiliser le chiffrement à clé publique,pour faire transiter la clé symétrique, carles ordinateurs quantiques sauraient enun temps raisonnable retrouver la cléprivée de Bob, correspondant à sa clépublique qu’il a donnée à Alice et à tout lemonde, comment Alice pourrait-elleopérer pour faire parvenir à Bob la clésymétrique qu’elle a générée, avec

76

laquelle elle va chiffrer son message etque Bob devra utiliser pour le déchiffrer ?D’autre part, comment générer une clésymétrique qui soit réellement aléatoire ?Par logiciel, on ne sait générer que desclés pseudo-aléatoires ? En effet si ungrand nombre de clés est généré par unefonction logicielle, au bout d’un certainnombre de clés, la séquence de clés peutse répéter.

rien ne vaut une méthode matérielle pourgénérer des séquences de clés vraimentaléatoires, et c’est là que la physiquequantique apporte, dès aujourd’hui, unesolution aux deux problèmes : lagénération de clés purement aléatoires etl’acheminement de ces clés de manièresécurisée.

La génération de séquences de clésréellement aléatoires rendue possibleun photon, particule de lumière ou ondelumineuse suivant qu’on parle de théoriecorpusculaire ou ondulatoire de la lumièrepossède un état quantique : sa polarité.Si un photon dont la polarisation estorientée suivant un axe, rencontre unmiroir semi-réfléchissant qui fait un angleα avec l’axe du photon, ce photonpolarisé traversera-t-il le miroir ou sera-t-ilréfléchi ? La probabilité qu’il traverse lemiroir est égale à cos2α. Il est intuitif que,si le photon polarisé arrive avec un anglenul par rapport à l’axe du miroir : α =0. Lephoton traverse. En effet cos2 0 = 1 doncla probabilité que le photon traverse estde 100%. Si le photon arrive avec unangle de 90 degrés (𝜋/2), donccomplètement en travers du miroir semi-


dossier


réfléchissant, cos2 𝜋/2 = 0, donc laprobabilité que le photon passe est de0% et le photon est réfléchi. Si le photonarrive incliné de 45 degrés (𝜋/4) ou de135 degrés (3𝜋/4), la probabilité que lephoton passe est, mathématiquement, decos2 𝜋/4 = (2/2)2 = 0,5, donc laprobabilité pour que le photon passe oune passe pas est exactement de … unechance sur deux.

La nature, ou plutôt la technologie nousdonne ainsi l’outil pour générer un aléaparfait. Si le photon passe, il estenregistré par un capteur situé derrière lemiroir, qui met dans une pile un bit à 0. Sile photon est réfléchi, il est enregistré parun capteur situé devant le miroir, qui metdans la même pile un bit à 1. Et ainsi,photon après photon, on peut constituerun nombre parfaitement aléatoire.

une application de ce phénomène estlibrement accessible sur un web de

l’université deGenève3. Il vous estpossible de rentrer

comme paramètres la quantité denombres aléatoires désirés, par exemple50, et leur limite haute (par exempleinférieurs à 100). Le générateur denombre aléatoire vous donne alors 50nombres parfaitement aléatoires inférieursà 100. Cette application peut être utiliséepour une loterie par exemple.

une distribution des clés symétriquesinaltérée, sinon on s’en aperçoitnous savons donc, grâce aux propriétésde la physique quantique, générer une clé

(3) http://www.randomnumbers.info/

totalement aléatoire. C’est donc bien partipour un chiffrement symétrique

incassable comme lechiffre de Vernam4.Dans cette méthodela longueur de la cléde chiffrement est

égale à la longueur du message à chiffrer.reste le problème de transmettre cetteclé de chiffrement au destinataire en toutesécurité, au travers d’un réseau pasnécessairement sécurisé, comme àtravers une fibre optique, par exemple.

Dans le chiffrement classique, pourtransmettre la clé symétrique, on utilise lechiffrement à clé publique, mais nousavons vu que de par sa vitesse de calculqui résout facilement les problèmesjusque-là difficiles à résoudre sur lesquelsle chiffrement à clé publique est basé,l’ordinateur quantique rend cette méthodepeu sécurisée. Heureusement la physiquequantique apporte là encore la solution.

nous évoquerons ici le protocole BB84,du nom de ses deux inventeurs Bennet etBrassard publié en 1984, mais plusieursautres protocoles alternatifs existentaussi.

Il est possible par le jeu de l’orientation dela polarité des photons pratiquée par Aliceet de l’orientation de filtres pratiquée parBob d’échanger, en toute sécurité,aujourd’hui à travers une fibre optique,une clé symétrique. Alice choisit lapolarité du photon qu’elle envoie mais neconnaît pas l’orientation du filtre choisiepar Bob. Celui-ci ne connaît pas la

(4) En 1917, Gilbert Vernammit au point un algorithmede chiffrement -basé sur uneclé secrète qui a longtempsprotégé le fameux"téléphone rouge", qui reliaitla maison Blanche auKremlin. nDLr


dossier


78

filtre, Bob et Alice sauront que cette clé aété observée. Comment ? D’abord, touteobservation du photon entraîne sadécohérence quantique, donc il perd sapolarité et ne peut être rejoué dans l’étatoù on l’a trouvé. Et comme l’espion n’aaucune idée de la polarisation du photonenvoyé par Alice, en renvoyant le photonqu’il aurait à nouveau polarisé à Bob pourne pas lui mettre la puce à l’oreille … ilaura une chance sur deux de se tromper.Alice saura alors que la clé a étécompromise et générera d’autres cléstant qu’avec Bob elle n’aura pasl’assurance que la clé sera passée sansavoir été interceptée.

Toutefois, avec les technologies actuelles,l’état quantique d’un photon peut s’altéreravec la distance parcourue (état dedécohérence), donc le passage d’une cléà travers une fibre optique est limitéaujourd’hui à quelques dizaines dekilomètres, un peu plus avec desrépéteurs. mais la technologie estprometteuse et des expérimentations ontdéjà été faites.

un ordinateur quantique sera-t-ilvraiment opérationnel un jour ?C’est la grande question ! nous aurionsmême pu commencer par répondre àcette question, car si l’ordinateurquantique n’existera jamais, le chiffrementà clé publique pour acheminer les cléssymétriques a encore de très nombreuxjours devant lui. Sur un plan théorique,l’existence d’un ordinateur quantique ne

polarité du photon envoyé par Alice maisconstate juste que le photon passe ou nepasse pas par le filtre qu’il a orienté. Enfonction de ces renseignements, Alice etBob pourront constituer une clé dechiffrement symétrique. Comment ? Pourfaire simple, Alice convient qu’un bit à 0de la clé qu’elle a générée (aléatoirement)équivaut à un photon polarisé à 0 ou à 45degrés. un bit à 1 se traduit par unphoton polarisé à 90 ou à 135 degrés.« Photon par Photon », en faisantcorrespondre leur polarité au bit à 0 ou à1 de la clé symétrique, qu’elle a générée,elle envoie les photons qu’elle a polarisés.Bob positionne son filtre de manièrealéatoire (0, 45, 90 ou 135 degrés). Si lephoton traverse son filtre, il note un bit à1. S’il n’a pas traversé, il note un bit à 0.Par un autre canal qui n’a pas à êtresécurisé, par exemple par téléphone, ilindique à Alice si son filtre qu’il a orienté aété rectiligne (0 ou 90 degrés) oudiagonale (45 ou 135 degrés). Aliceindique à Bob si la polarisation qu’elle achoisie pour le photon qu’elle a envoyéest rectiligne ou diagonale. Si Alice et Bobont utilisé la même inclinaison, Bob etAlice valident le bit, sinon ils laissenttomber les bits non validés. Ainsi Bobreconstitue une partie de la clésymétrique générée par Alice. Et ce quireste des bits retenus est la clésymétrique qu’Alice et Bob se partagent.

Si un espion capte au passage cette clésur la fibre optique, en utilisant son propre


dossier


79

se pose plus puisque des expériences enlaboratoire ont été concluantes avec desportes quantiques, mais il faudrabeaucoup de telles portes pour rendre uncalculateur réellement opérationnel. Leproblème réside dans sa puissance decalcul conditionnée par le nombre de« qubits » (quantum bit, unité quantiquede superposition de bit à 0 et à 1). IBm amis en œuvre un processeur quantique à5 qubits dans le Watson research Centerà new york, qui est accessible, en modeCloud, aux chercheurs. De son côté,Google aurait mis en service unprocesseur quantique à 9 qubits. uncalculateur quantique de l’universitéd’Innsbruck aurait une puissance de 14qubits. Précisons que chaque qubitajouté double la puissance de calcul. uncalculateur quantique de n qubits aurait lapuissance de calcul de 2n calculateursclassiques calculant en parallèle. mais ilfaudrait beaucoup plus de qubitsutilisables que ce qui est disponibleaujourd’hui pour parler réellement d’unordinateur quantique utile.

mais si un ordinateur quantique existaitdéjà dans des centres secrets delaboratoires occultes, le saurait-on ?

Le chiffrement post quantiqueDans un chiffrement quantique,l’information est codée dans des photons.Chaque photon contient quelques bits.En altérant leur état par une fonctionaléatoire, on chiffre cette information. Parune fonction aléatoire inverse, on la

déchiffre. Ces fonctions aléatoires sontcontenues dans la clé de chiffrement /déchiffrement. Dans les centres derecherches, on travaille déjà, lit-on dans lalittérature spécialisée, sur ce chiffrement.

maintenant rêvons un peu en évoquantune troisième propriété de la physiquequantique : le principe d’intrication. Pourfaire simple, si deux objets quantiquessont intriqués, toute modification de l’unentraîne la même modification sur l’autre.Ceci même si l’un des objets quantiquesse situe à Paris et l’autre est dans unsatellite en orbite autour de la planètemars. Vous voyez le parti qu’on peut entirer pour le chiffrement symétrique ? Aliceconçoit une clé et Bob voit cette cléapparaître chez lui ! mais qui prouvera àBob que cette clé qu’il voit apparaître estbien celle conçue par Alice ? Fin du rêve,retour à la réalité et concluons.

Le chiffrement qui combine une clésymétrique (comme l’AES) pourchiffrer / déchiffrer et un couple de

clés asymétriques (comme le rSA) pourchiffrer / déchiffrer la clé symétrique afinde l’acheminer de manière sûre, même àtravers un réseau public, a encorequelques années devant lui.

mais la disponibilité probable decalculateurs quantiques opérationnelsoblige les cryptologues à concevoird’autres solutions pour garantir la


dossier


80

confidentialité des données numériquessensibles. L’une d’elles, déjà implémentéeaujourd’hui, est d’utiliser le chiffre deVernam (masque jetable, non prédictible,et de la longueur du message à chiffrer)pour chiffrer / déchiffrer et le protocoleBB84 pour transmettre ce masque.


L’auteur

Gérard Peliks travaille depuis plus de vingt ansdans le domaine de la sécurité del'information. Ingénieur diplômé, son dernieremployeur a été Airbus Defence & SpaceCybersecurity. Il est lieutenant-colonel de laRéserve Citoyenne de Cyberdéfense (DGGN)et membre du Conseil d'administration del'Association des Réservistes du Chiffre et dela Sécurité de l'Information (ARCSI). Il présidel'atelier sécurité de l'association Forum Atena,et il est chargé de cours sur différentesfacettes de la sécurité à l'Institut Mines-Télécom et au pôle Léonard de Vinci. Il estprésident de l’association CyberEdu, initiativede l’ANSSI pour que la sécurité du numériquesoit évoquée dans les cours d’Informatique del’enseignement supé[email protected]

dossier


« bug bounty Program » : l'avènement des plates-formes européennes

Le concept du "Bug Bounty Program"est né Outre-Atlantique en 1996 dansles locaux de Netscape. L'idée estsimple et efficace : combiner lesbesoins en sécurité des systèmesd'information des entreprises et desinstitutions au talent des hackers.Grâce au développement croissant dusecteur de la sécurité informatique et àla ferveur de passionnés de larecherche de vulnérabilités, cettecollaboration a remodelé, en quelquesannées, le paysage de la sécurité

Linformatique et redoré l'image deshackers auprès des acteurs de notresociété. Ce modèle est actuellementpropulsé par les géants de la toile telque Google, Twitter, Facebook, Uberou récemment Apple.

Les "Bug Bounty Program" ont cepouvoir de canaliser l'énergie d'unearmée de hackers en effaçant leursmotivations individuelles et hétérogènespar la motivation de gagner desrécompenses pécuniaires et unereconnaissance publique. En mettant enplace un "Bug Bounty Program", lesentreprises coupent l’herbe sous le pieddes attaquants malveillants. En effet, lestentations d'exploitations malveillantessont absorbées par le gain immédiat etlégal que représente le fait de soumettrela vulnérabilité sur une plateforme deBug Bounty. L'esprit de compétition ainsique le nombre croissant d'auditeursimpliquent qu'une vulnérabilité identifiéesera aussitôt soumise avant qu'un

dossier

81

par sAnDrA esqUiVA Hesse et toUFik AirAne


sAnDrA esqUiVAHesse

avocat au barreau de Pariset new-York

toUFik AirAne

consultant en sécuritésociété enKi

exploitant malveillant n'en profite. Pourarbitrer les relations et répondre auxchallenges, des plateformes de "BugBounty Program" ont vu le jour. Cesintermédiaires offrent aux deux parties lesinterfaces de communication et les règlesde conduite pour se comprendre. Dupoint de vue des entreprises, les bugssont énumérés unitairement dans unformat standardisé. Encore faut-il qu'ellespossèdent la main-d’œuvre nécessaire etsuffisante pour interpréter les rapports debugs, une quantité importante derapports devant être traitée par prioritéselon la catégorie et l'impact sur lesystème.

Cette limpidité offre une grande agilité etune réactivité pour les équipes en charge.Les plates-formes de "Bug Bounty"s’attachent à accompagner lesentreprises notamment sur les questionsdu périmètre et des seuils derémunération. Quant aux hackers, ellesleur offrent un filtre et des ressources pournormaliser et soumettre des rapports dequalité et assurent le bon déroulementdes paiements.

La normalisation des vulnérabilités est undéfi, accentué par des profils de hackersvenus d’horizons divers. Il existecependant des programmes privés,accessibles uniquement à une élite dechercheurs. Ces programmesgarantissent l’appel à des professionnelsdans la recherche de vulnérabilités.L’interaction entre toutes ces parties

implique un langage commun, parconséquent l'avènement de plates-formeseuropéennes devient une évidence pourl'autonomie et l’efficacité de nos acteurséconomiques et institutionnels.

En Europe, les initiatives sont encoretimides mais une startup a relevé le défi :yoGoSHA, qui signifie défense enjaponais.

Elle innove en proposant l'intégrationd'applications auditées sur desenvironnements virtuels afin de laisserlibre champ aux auditeurs en préservantles infrastructures en production. Parailleurs, la startup accompagne lesentreprises avant, pendant et aprèsl’établissement du programme. Lesentreprises sont ainsi plus sereines dansla détermination du périmètre et sontencadrées afin d'orienter le travail desauditeurs. Finalement, l'entreprise achèteses propres failles, l'auditeur estrémunéré et la plate-forme veille au bondéroulement des opérations. La sécuritédevient un produit. De nouveauxparadigmes sont à inventer et le "BugBounty Programs" est au cœur de cesinnovations de procédés. Indéniablement,une évolution des rapports de force esten marche et tend vers une relationtripartie gagnant-gagnant basée sur un


dossier

« BuG BounTy ProGrAm » : L'AVènEmEnT DES PLATES-FormES EuroPéEnnES

élément fondamental : la confiance.

En avril 2016, le programme "Hack thePEnTAGon" est lancé, impulsé par ledépartement de la défense numériqueAméricain en collaboration avec la plate-forme HACKEronE. Plus de 1000chasseurs de bugs se sont attardés surles infrastructures gouvernementales,découvrant de nombreuses vulnérabilités.En complément des applicationsstandards de sécurité des systèmes etdes audits, les "Bug Bounty Programs"sont une réponse originale etpragmatique à la montée en complexitédes attaques et à la créativité descybercriminels. Apprécié des hackers, le« Bug Bounty Programs » est un systèmeméritocratique et pérenne. Les « BugBounty Programs» offrent unerécompense à tous ceux qui trouvent desfailles de sécurité dans un périmètredonné de leur système informatique. Ilssont soumis à un budget global répartipar l’entreprise sponsor ou sonintermédiaire en fonction de critèresobjectifs et subjectifs d’appréciation.

Plus la faille est critique, complexe, biendocumentée avec si possible un « Proofof Concept », des recommandations,voire un patch, plus la récompense seraélevée.

Les entreprises souhaitant recourir à cettepratique fixent le plus souvent lesconditions dans lesquelles doit s’exercerla recherche de failles et définissentnotamment :

• le périmètre d’action, certainsprogrammes limitant la recherche de failleà un logiciel précis, une application ou àcertains sites internet ;

• le type de failles ouvrant droit àrémunération. Il peut s’agir d’identifier unefaille affectant la confidentialité oul’intégrité des données des utilisateursn’ayant jamais été repérée ou d’un simplebug;

• la durée du Bug Bounty program : leplus souvent la période de test étantenfermée dans un délai précis avec desdates d’ouverture et de fermeture;

• des règles de confidentialité : les BugBounty program insistent sur la nécessitéde ne pas révéler la faille au public ou àdes tiers avant qu’elle ne soit réparée;

• des règles de protection des donnéespersonnelles : lorsque les Bug Bountyprogram concernent des sociétés enpossession de données à caractèrepersonnel (ex : Facebook, Google),l’exigence éthique est renforcée vis-à-visdes auditeurs. Ainsi, Facebook ou Googleprécisent dans leurs conditionsl’obligation d’effectuer des tests via descomptes spécialement créés à cet effetou d’obtenir l’accord explicite dupropriétaire du compte sur lequel sonteffectués les tests ;

• des règles de conflit de lois : certainsprogrammes précisent la juridictioncompétente dans l’éventualité d’un conflit(par exemple, le Bug Bounty program


dossier


lancé par microsoft précise que leprogramme étant hébergé aux Etats-unis,il est soumis exclusivement à la loi del’Etat de Washington);

• les conditions de paiement sont liéesnotamment à la révélation de la faille àl’entreprise et au respect d’uneconfidentialité renforcée garante de labonne foi de l’auditeur à l’opposé depratiques indésirables telles le spamming,le phishing, la destruction de données ouencore la perturbation du système dedonnées.

La bonne foi trace ainsi la limite delégalité entre des auditeurs ayantune éthique, qui mettent leurs

compétences au service de l’identificationde faiblesses systémiques et de leurcorrection, et les hackers qui tentent depénétrer irrégulièrement et de mener desactivités illégales.


L’auteur

Toufik Airane est consultant en sécurité dessystèmes d’information au sein de l’entrepriseENKI. Autodidacte passionné par la sécuritédes systèmes d’informations depuisl’adolescence, Toufik Airane s’intéresse àdivers horizons tels que la retro-ingénierie, lasécurité offensives ou l’analyse de programmemalveillants. Actuellement, il travaille sur lescas d’utilisation d’habits connectés « wear-hacking » ou encore la catégorisation del’information pour prévenir de l’exfiltration dedonnée.

L’auteur

Sandra Esquiva-Hesse a rejoint FTPA enJanvier 2016, suite à la fusion absorption deSEH Legal, cabinet d’avocats qu’elle avait crééen Avril 2011. Elle conseille et accompagnedes entreprises, entrepreneurs et investisseursdans leurs opérations corporate, definancement, de structuration ourestructurations (carve-out, recentrage,acquisitions en situations spéciales) et lesreprésente dans les contentieux y afférents.Elle a une extensive expérience en matière detransactions et contentieux multinationaux.Elle a démarré sa carrière à Wall Street, en1998 en qualité d’US Associate dans ledépartement Bank Finance & Bankruptcy deShearman & Sterling, elle revient en France en2002 et devient Counsel au sein dudépartement Financements Structurés deClifford Chance Paris. En 2006 elle devientAssociée du département Finance &Restructuring du bureau de Paris de PaulHastings, département qu’elle a créé etdéveloppé jusqu’en 2011. Avocate aux barreaux de Paris et New York,elle est titulaire d’un LLM de Columbia LawSchool (New-York, 1997), d’un dottorato diricerca in diritto europeo de l’Universita degliStudi di Bologna (1996), d’un DEA de Droitinternational économique de l’Université Paris-I Panthéon Sorbonne, magna cum laude (1996)et d’un DESS de Droit du commerce extérieurde l’Université Paris-I Panthéon Sorbonne,summa cum laude (major de la promotion duProfesseur GAVALDA, 1995). Sandra est régulièrement classée dans lescatégories d’excellence des annuairesprofessionnels : Chambers Europe and Global,Legal 500, IFLR, Décideurs, Who’s Who inFrance, Who’s Who Legal.Elle a acquis une notoriété pour son approcheinnovante dans la résolution de situationscomplexes, seconde du classement duFinancial Times pour l’Avocat le plus innovantde l’année 2010, le Magazine de Affaires adécerné son Grand Prix RestructuringOpération Mid-Cap Innovante de l’année 2015pour ses travaux pour la reprise par sessalariés organisée sous forme de SCIC de NiceMatin.

dossier


L’influence de la communauté russophone sur la cybercriminalité

Il existe trois principalescybermenaces1 aux motivationsdifférentes : les groupes sponsoriséspar un État (espionnage)2, leshacktivistes (idéologie) et lescybercriminels (profit). Ces derniers sedistinguent par une présence massivesur les plateformes underground. Ellesse sont fortement développées aucours des dernières années etpermettent aux acteurs malveillantsd’étendre leurs activités.

Les cybercriminels ne se concentrent pasau sein d’unécosystème uniqueet global : selon leurorigine et leur culture,ils se fragmentent encommunautés quiont chacune leursparticularités entermes defonctionnement et denature des activités

Iopérées. Il existecependant desconnexions entre lesdifférentescommunautéscaractériséesnotamment par unecertaine influencerussophone.

organisation descybercriminels surles plateformesundergroundLe Deep Web et sonsous-ensemble leDark Webcontiennent desplateformes très

variées : réseaux sociaux, blogs, sites depresse, de partage, de diffusion, destockage, Internet relay Chat (IrC),forums restrictifs ou encore marchésnoirs3. Ces deux derniers sontmassivement utilisés par les

(1) une cybermenace est unacteur (ou un groupe depersonnes) qui se matérialisepar la combinaison de troisfacteurs, à savoir : uneintention de nuire, unecapacité d’attaque et enfinune opportunité à exploiter(technique ou humaine).

(2) n.D.A. : Les attaquesciblées (ou APT – AdvancedPersistent Threat) nes’apparentent pas à unetypologie de cybermenacemais à un mode opératoire.Elles se diversifient, semultiplient et ne sont plusseulement menées par desgroupes sponsorisés par unétat, mais également pardes communautéscybercriminelles commeCarbanak, metel ou encoreGCmAn.

(3) Pour une présentationdes différentes notions, voirAdrien Petit, « Le Dark Web,place de marché desdonnées volées », revue dela Gendarmerie nationale,revue Trimestrielle, n°254,décembre 2015, pp. 53-58

dossier

85

par ADrien Petit


ADrien Petit

consultantcybercriminalitécompagnie européenne d’intelligence stratégique(ceis)

cybercriminels afin de proposer tout unpanel d’activités et de produitsmalveillants : techniques de fraudes, recelde produits volés ou encore malwaredédiés aux attaques informatiques. Entermes d’organisation, les utilisateurs deces plateformes se répartissent enplusieurs sphères. Dans son rapportintitulé « Cybercrime and the Deep Web »publié en mars 2016, la société Trendmicro mettait ainsi en avant l’existence de6 communautés underground répartiesselon des régions du monde :

• russie : pionnière dans le mondecybercriminel, cette communautéprofessionnelle s’articule autour desthématiques du carding et de l’attaqueinformatique. Elle fonctionne comme uneligne d’assemblage où chaque acteurjoue un rôle précis. De nombreux produitset services de très haute qualité et à fortevaleur ajoutée y sont commercialisés.L’accès à cette communauté d’experts

élitistes se fait par cooptation ou enmontrant sa patte « noire »cybercriminelle.

• Allemagne : plateforme considéréecomme étant la petite sœur de celle de larussie aussi bien pour son organisationque pour les produits et serviceséchangés.

• Amérique du nord : accessible à touttype d’utilisateur allant du novice au pirateinformatique confirmé. Les principauxproduits proposés sont ceux issus de lacriminalité traditionnelle, à savoir lesstupéfiants, les armes (non-létalesprincipalement) ou encore les fauxpapiers. Quelques malwares sontproposés à la vente.

• Brésil : communauté très ouverte, jeuneet axée essentiellement sur lacybercriminalité bancaire. De nombreuxchevaux de Troyes bancaires y sontéchangés.

86

Des communautés jeunes et ouvertes qui diversifient leurs activités

CE

IS


dossier

L’InFLuEnCE DE LA CommunAuTé ruSSoPHonE Sur LA CyBErCrImInALITé

• Chine : plaque tournante mettant àdisposition de nombreux prototypes aussibien au niveau hardware que software.Les vendeurs sont très réactifs parrapport aux besoins du marché mais laqualité des produits reste cependant trèsaléatoire. Cette communauté estcomposée d’utilisateurs sinophonesopérant en dehors de Chine.

• Japon : se distingue largement de sesconsœurs de par son organisation(recours à des « bulletin board systems »uniquement accessibles à des utilisateursnatifs japonais) et la nature des contenus.Les utilisateurs échangent surtout sur dessujets qualifiés de tabous.

on constate enfin le développementd’une communauté undergroundfrancophone principalement axée sur lafraude (bancaire, faux documents, etc.), lavente de drogues et la fourniture detutoriels en tous genres. Cettecommunauté est relativement jeune etouverte et n’est pas aussi développéeque les écosystèmes anglophone etrussophone. Elle tente petit à petit de semettre à niveau en développant des outilsoffensifs « Made in France » et ensegmentant certains de ses forums etmarchés noirs via des espaces privésréservés à une communauté élitiste.

L’impact des malwares d’originerussophoneLes forums restrictifs et marchés noirsprésents sur le Deep et Dark Webregorgent de malwares sophistiqués quisont utilisés ultérieurement lors de vaguesde cyberattaques. Ils sont révélés au

grand public une fois les campagnesidentifiées par les spécialistes encybersécurité. À titre d'exemple, le

ransomware Locky4 etle malware Androidmazar5 ont fait la unede l’actualitécybersécurité au débutde l'année 2016 mais

ils étaient échangés sur les plateformescybercriminelles russophones depuis lemois d'octobre 2014. un nombreconséquent de malwares est proposé demanière quotidienne sur les forumsrestrictifs russophones. Il est possibled’identifier les futures tendances deslogiciels malveillants qui seront utilisés aucours des cyberattaques en mettant enplace une surveillance optimisée. Lacombinaison de plusieurs facteurs permetainsi d’isoler les éléments les pluspertinents :

– Historique et renommée du développeur ;

– Certification de la qualité du malware parles administrateurs des plateformes ;

– retours d’expérience par les acheteurs etopérateurs ;

– modalités d’acquisition ;

– Temps de présence et nombre de vues del’annonce ;

– Distribution du malware sur d’autresplateformes ; etc.

À titre d’exemple, 42 malwares qualifiés dehaut niveau et très prisés par lesacheteurs/opérateurs ont été retenusdepuis le début de l’année 2016 et répartis

(4) http://www.forbes.com/sites/thomasbrewster/2016/02/18/ransomware-hollywood-payment-locky-menace/#ad11d

(5) http://www.bbc.com/news/technology-35586446


dossier


suivant une classification évolutive :

Afin de répondre aux besoins du marché,les concepteurs des malwares mettentrégulièrement à jour (base hebdomadaire)leurs produits. Ils améliorent la qualité deleur code dans le but de passer outre lessystèmes de détection. Ils cherchentégalement à se démarquer de laconcurrence en ajoutant de nouvellesfonctionnalités avancées.

En dépit du cloisonnement des différentescommunautés cybercriminelles, des liensse nouent entre elles. De nombreuxmalwares utilisés par les acteursanglophones sont ainsi d’originerussophone en raison de la qualité desproduits et services offerts par les

88

développeurs de cette région. Cetteinteraction se fait de deux manièresdifférentes. Certains forums russophonescommuniquent ouvertement sur leurouverture à des communautésextérieures. Ils souhaitent avant toutattirer une certaine élite et imposent desconditions comme le paiement d’un droitd’entrée.

Il en résulte que l’utilisateur anglophonedispose de sections où les annonces sontentièrement rédigées en anglais :

L’interaction se passe aussi dans le sensinverse. Des vendeurs russophones ayantpignon sur rue dans leur proprecommunauté étendent leur marché surdes plateformes étrangères en s’appuyantsur un réseau de revendeurs ou alors demanière directe. Il n’est pas rare deconstater que ces piratescommercialisent dans un premier tempsleur malware dans la communautérussophone puis étendent leurs activitésaux plateformes étrangères.

on constate ainsi que les produits dehaute qualité et à forte valeur ajoutéeproposés sur les plateformesanglophones reflètent l’état du marchérussophone des semaines précédentes.

Le carding : une activité lucrative etdémocratiséeLe carding est une activité de blanchimentdes données bancaires volées par lescybercriminels. Il a été originellementdéveloppé par la communautérussophone qui continue de baser la


Une palette de Malware adaptée aux besoins du

marché.

CE

IS

dossier


majorité de ses échanges sur cetteactivité. Cette dernière est depuislargement développée par les autrescommunautés underground. Le cardingse décompose en plusieurs étapes :

support malware bancaire

1re étape : création du support permettantle vol des données bancaires

Le malware bancaire est un programmeinformatique malveillant dont le but est devoler des données bancaires parrécupération de formulaire, keylogger etattaques man-in-the-browser.

Les premiers malwares bancaire (Zeus ouCarberp) furent développés dans lesannées 2000 par la communautérussophone. Cette dernière continue deproposer ce type de produits et tend à lesrendre de plus en plus simples à utiliser(principe du malware-As-A-Service).

2e étape : acquisition des donnéesbancaires

Le malware bancaire se transmet parsimple visite sur un site infecté. Il peutégalement être camouflé dans une piècejointe envoyée lors d’une campagne despam d’apparence légitime (relancefacture, remboursement, etc.). Lorsque lavictime ouvre le document le malware sedéploie silencieusement sur la machine. Ils’active et vole les informations bancaireslorsque la victime indique ses donnéesbancaires au cours d’un achat en ligne. Iltransmet par la suite les données àl’attaquant.

support kit de phishing

1re étape : création du support permettantle vol des données bancaires

Le kit de phishing est un ensemble depages web usurpant la charte graphiqued’un établissement. Cette techniqueconsiste à faire croire à la victime qu'elles'adresse à un tiers de confiance —banque, administration, etc. — afin de luisoutirer des renseignements personnels.

La création d’un kit ne requiert pas decompétences particulières. un débutanten piratage peut aisément développer sonpropre kit.

2e étape : acquisition des donnéesbancaires

Les pages sont auto-hébergées(l’attaquant crée un site dédié à ce kit dephishing) ou hébergées sur un site qui aété préalablement compromis. L’avantagede cette dernière technique est sontemps de présence sur le web, les pagessont moins susceptibles d’être détectéespar des outils anti-fraude. Le fraudeurenvoie ensuite par spam l’urL redirigeantvers les pages malveillantes. Lorsque lavictime renseigne sur ces pages sesdonnées bancaires, ces dernières sonttransmises au fraudeur.

Trois autres techniques moins employéespermettent à un attaquant de dérober desdonnées bancaires :

Le skimmer est un appareil qui se posesur un distributeur automatique de billets.


dossier


90

revente directe

Le vendeur peut choisir de revendre demanière directe son butin sur lesplateformes underground. Il publie desannonces dans lesquelles il donne unensemble d’indications :

Type de la carte / origine de la carte/Possibilité d’acheter une ou plusieurscartes.

revente indirecte

L’autre solution est d’utiliser au préalableles données bancaires afin de lesmonétiser par la revente deproduits/services achetés en ligne. Lefraudeur poste une annonce dans laquelleil propose son produit.

Si cette approche s’avère plusfastidieuse, elle reste néanmoins trèslucrative.

La revente directe tend à seprofessionnaliser. Le principe d’annoncesest peu à peu remplacé par ledéveloppement de nouvelles plateformesdites autoshops. L’acheteur va procéderà l’acquisition des données bancaires enquelques clics sur une plateforme

Il capture la piste magnétique de la carteet est associé à un dispositif desurveillance qui enregistre le code à 4chiffres renseigné par la victime.

Le vol d’une base de données clients àpartir d’un site web qui a été compromis.Les pirates cherchent à exploiter desfailles présentes au sein de sites e-commerçant afin de voler les bases dedonnées clients qui comprennentnotamment les données bancaires.

Le malware PoS (Point of sale) est quantà lui de plus en plus répandu. Il se déploiesur les terminaux de paiement.

Les forums restrictifs et marchés noirsregorgent de produits et services liés à lacréation ou la mise à disposition dessupports permettant le vol des donnéesbancaires. Ils sont en généralaccompagnés de tutoriels permettantd’optimiser leur utilisation.

une fois que le fraudeur récupère lesdonnées bancaires, deux solutionss’offrent à lui afin de les monétiser :

3e étape : monétisation des donnéesbancaires volées


Exemple d’un autoshop

CE

IS

dossier


91

automatisée sans qu’il ait besoin decommuniquer directement avec levendeur.

La revente indirecte est quant à elle unphénomène en plein essor notammentauprès de la communauté francophone.Les fraudeurs utilisent eux-mêmes lesdonnées bancaires volées pour acheterdes produits/services en ligne afin de lesrevendre par le biais d’annonces sur lesplateformes cybercriminelles. Cetteapproche leur permet de fournir de réelsproduits/services à un prix inférieur à leurvaleur réelle d’acquisition. Lesproduits/services les plus répandus sont :

Location de véhicules – 25/30% du prixinitial ;

Billets de train – 25/30% du prix initial ;

Produits issus de sites e-commerce(High-tech, prêt-à-porter, parfumerie,pièces automobile/moto) – 20/25% duprix initial ;

Services de restauration – 20/40% du prixinitial ;

Cartes cadeaux – 25/40% du prix initial ;

Carding du type drive – 20/30% du prixinitial ;

Chambres d’hôtel – 25% du prix initial ;

Location de villa/appartement – 15/25%du prix initial ;

Location chez un particulier – 30% du prixinitial ;

Location village vacances – 20% du prixinitial ;

Billets événements / concerts / parcsd’attractions – 20/25% du prix initial.


dossier


92

Il existe une réelle influence russophonesur les autres communautéscybercriminelles qui s’opère de manière

directe et indirecte. D’une part, cela sefait au travers des interactions liées à ladistribution de malware. En effet, si lescommunautés anglophones etfrancophones tentent petit à petit dedévelopper leurs propres outils, elles nedisposent pas du même niveaud’expérience que leurs confrères. Elles setournent donc directement vers lacommunauté russophone afin dedéployer ultérieurement les outils acquisau cours de cyberattaques. D’autre part,de par son statut de pionnière dans lemonde cybercriminel via ledéveloppement de l’attaque informatiqueet du carding, la communautérussophone tend à être prise pour modèlepar les sphères étrangères. En effet, cesdernières ont donc largement adopté etdéveloppé une économie liée à l’activitéde carding.


L’auteur

Adrien PETIT est consultant senior en CyberThreat Intelligence et travaille chez CEISdepuis janvier 2015. Il a pour responsabilité laconduite opérationnelle des missions de CyberThreat Intelligence. Avant de rejoindre CEIS, Adrien PETIT atravaillé pendant 4 ans au sein du CERT-LEXSIbasé à Singapour où il a exercé le métierd'analyste en cybercriminalité auprès declients internationaux bancaires et industriels.Enseignant vacataire au sein de plusieursétablissements, Adrien a signé de nombreuxarticles et intervient régulièrement au cours deconférences.

dossier


La formation en cybersécurité : un investissement d'avenir

À l’occasion du 9e Forum Internationalde la Cybersécurité (FIC), nous sommesallés à la rencontre de Marie Moin,directrice de Securesphere by EPITA.Pour nous, elle décrypte les enjeux deformation en matière de cybersécurité.De par son expertise, elle offre un regardéclairé sur la nécessité de développerdavantage la formation dans ce domaineet ainsi multiplier le nombre d’experts.

Pouvez-vous nous présenterSecuresphere by EPITA ? Comment estvenue l’idée de créer ce centre deformation ?

Commençons par lagenèse deSecureSphere et pourcela, rappelons enpremier lieu quel’EPITA et la sécuritéinformatique, devenueaujourd’huicybersécurité ou

Àsécurité numérique, c’est une histoire deplus de trente ans !

L’EPITA, école d’ingénieurs spécialiséedans l’informatique fondée en 1984,accompagne depuis ses débuts lesprincipaux acteurs de la sécurité desSystèmes d’Information. une de sesmajeures, « Systèmes, réseaux etSécurité » (SrS), a formé nombre de rSSIet de DSI des plus grandes entreprises etde l’administration. Son Laboratoire derecherche en sécurité (LSE) est engagédans plusieurs partenariats avec desinstitutions spécialisées dans le domaine.

Si nous ajoutons le fait que la proximitéavec les entreprises est une des prioritésde l’école, l’EPITA apparaît donc commeun observateur privilégié des besoins dumarché en termes de compétences encybersécurité. notre constat a révélé unepénurie inquiétante d’experts et aussi uncertain degré d’inconscience de la partdes utilisateurs face aux cybermenaces.

dossier

93

entretien avec Marie Moin


MArie Moin

directrice desecuresphere by ePita

L’école peut certes accueillir un plus grandnombre d’étudiants mais cela resteinsuffisant pour faire face aux demandesque nous recevons et ne couvre pas latotalité des besoins. La numérisation denotre société implique de multiplier lenombre d’experts et impose égalementqu’au-delà des experts, chacun soit initié àla sécurité.

nous avons donc décidé de créerSecureSphere, entité dédiée à la formationcontinue, qui propose :

• Des formations expertes destinées auxéquipes sécurité. Ces formationsthématiques, courtes, ont vocation àcouvrir avec pragmatisme les besoins lesplus urgents.

• Des parcours de reconversion pour descollaborateurs souhaitant rejoindre lesmétiers de la cybersécurité. Ces parcours,dispensés avec l’EPITA permettent de

compenser la pénurie d’experts dans cetunivers en pleine croissance qui peine àtrouver des talents.

• Des formations aux fondamentauxadaptées aux métiers de l’entreprise etdestinées à l’ensemble des collaborateurs.nous sommes en effet convaincus quechacun, quel que soit son poste, doit êtreimpliqué et devenir l’acteur de sa propresécurité et ainsi participer à celle de sastructure.

Et, parce que la formation professionnelleréclame une expertise différenciée,SecureSphere s’est dotée dès ses débutsd’un Comité de Programme etd’orientation en Sécurité qui regroupe denombreuses personnalités issues dumonde de l’entreprise, des institutions etacadémies, ainsi que des experts ensécurité et en cybercriminalité : BernardBarbier, Alain Bouillé, michel Cazenave,

94

Une formation adaptée à une diversité de métiers

Ep

ita


dossier

LA FormATIon En CyBErSéCurITé : un InVESTISSEmEnT D'AVEnIr

Alain Doustalet, Bernard Fesquet, DidierGras, Adel Jomni, Philippe Leroy, Jean-yvesPoichotte, myriam Quéméner et AnneSouvira.

Aujourd’hui avez-vous le sentiment queles professionnels, tous domainesconfondus, ne sont pas assez formésen matière de sécurité numérique ?

Pour apporter une réponse pertinente, il estessentiel de distinguer au moins troiscatégories de professionnels :

• Les professionnels de la sécurité. Ils sontd’une manière générale suffisammentformés mais trop peu nombreux.

• Les professionnels IT. un grand nombrede ces experts manque encore decompétences en sécurité. Cela peutparaître surprenant mais beaucoupd’ingénieurs (y compris en informatique)n’ont pas été initiés à la sécurité au coursde leurs études.

Considérons les autres métiers. Pour eux, lemanque de formation est patent. Depuisquelque temps, des progrès tangibles sontà noter et la prise de conscience de lagravité de la menace est en marche. maisentre une prise de conscience collective etune adaptation des comportements pourlutter efficacement contre les menaces, il y aencore une étape à franchir et la formationdoit les aider ! Si la sensibilisation est lepremier objectif à atteindre, elle doit êtresuivie d’une formation pour parvenir à unemontée en compétences qui permettra unréel changement des habitudes.

Pour synthétiser, chaque collaborateurquelles que soient ses fonctions doit avoir

des compétences en la matière. La sécuriténumérique est un sujet transversal qui ne selimite pas à la seule expertise technique, siessentielle soit-elle.

Comment appréhendez-vous laformation en cybersécurité ? Existe-t-ildes fondamentaux à ne pas manquerafin d’optimiser les formations ?

Il est préférable aujourd’hui de parler desformations en cybersécurité et non plus de laformation en cybersécurité. Lesprofessionnels de la sécurité distinguent lesnon experts desquels ils attendent de plusen plus de maîtrise du sujet et les expertsqu’ils souhaitent de plus en plus nombreux.

Et, cette distinction mérite encore d’êtreaffinée. La cybersécurité englobe une grandediversité de métiers. De l’architecte desécurité au rSSI (responsable de la sécuritédes systèmes d’information) en passant parle juriste spécialisé, les enseignementsdoivent se structurer pour répondre à cesdifférenciations et la formation doit délivrerdes compétences adaptées. La liste de cesmétiers est longue et ne manquera pas des’étoffer dans les années à venir. L’AnSSI(l’Agence nationale pour la Sécurité desSystèmes d’Information), avec un groupe detravail composé de représentants del’enseignement supérieur et du mondeindustriel, a identifié 16 filières actuellementen plein développement.

Quant aux non spécialistes, l’AnSSI a isolédes règles simples qu’elle a qualifiéesd’hygiène informatique et qui devraient auminimum être abordées dans toutes lesformations. Il est aussi indispensable dedifférencier la formation initiale et la formation


dossier


continue, qui se doit d’être plus souplepour s’adapter aux profils des stagiaires,au temps qu’ils peuvent dégager et aucontexte spécifique de l’activité de leurstructure. Pour harmoniser les méthodespédagogiques avec les nouvelles mobilités,nous proposons, en parallèle desformations présentielles, des parcoursd’enseignement à distance pouvant êtresuivis depuis son domicile ou son lieu detravail.

Cela étant, des savoir-faire communs,transversaux et fondamentaux devraientfigurer au programme de chaque parcours.Le caractère multidimensionnel de lasécurité numérique impose d’intégrer, encomplément des matières scientifiques ettechniques des composantes juridiquesmanagériales et comportementales danstous les enseignements qu’ils soientinitiaux ou professionnels et quel que soitleur degré de technicité. La subtilitéconsiste à trouver le juste équilibre entreces différentes matières pour uneintégration efficace dans chaque cursus.

Il apparaît aujourd’hui nécessaire, si cen’est indispensable, d’anticiper lesattaques, de sécuriser les systèmes et lesapplications, et de répondre aux incidentsde façon appropriée. Que diriez-vous auxpersonnes qui hésitent encore à se formersur ces problématiques ?

Les évolutions et les innovations qui seprofilent ne peuvent se réaliser que dansun climat de confiance. La sécurité doitêtre consubstantielle au développementdes technologies de demain.

96

Pour assurer une sécurité efficace,nous savons que la montée encompétences de chacun est

indispensable. Les solutions techniquesseules, si performantes soient-elles,resteront insuffisantes. Faire descollaborateurs la première ligne de défenseface à une attaque est le défi que laformation doit relever. Il est grand temps dechanger de paradigme. La formation doitêtre perçue comme un investissementd’avenir et ce n’est pas parce que sonretour est difficilement quantifiable, qu’il estinexistant !

Et, pour conclure, c’est la phrased’Abraham Lincoln que nous retiendrons :

« Si vous trouvez que l'éducation coûte cher,essayez l'ignorance »


aLLer PLus Loin

N’hésitez pas à consulter nos sitesinternet :www.securesphere.fr & www.epita.fr ou

à nous écrire à l’adresse suivante :[email protected]

L’auteur

Juriste, spécialisée en droit des propriétésintellectuelles et en droit des nouvellestechnologies, Marie Moin est responsable desenseignements juridiques au sein de l’EPITA,école d’ingénieurs en informatique En 2013,l’école lui confie le développement deSecureSphere by EPITA, son offre deformation en cybersécurité destinée auxentreprises. Depuis deux années, elle poursuitle développement de cette entité et en assurela direction.

dossier


Les crypto monnaies : une insécurité qui nuit à la confiance

Il est difficile désormais d’échapper à lavague « bitcoin » et autres crypto-monnaies. Ces dernières se vendent,s’achètent et s’échangent, comme devraies monnaies. Pourtant ellesconservent quelques relents sulfureux.Leur univers, aux règles pas toujourstrès claires, comporte de trèsnombreux risques pas seulement« cyber » mais aussi juridiques etéconomiques. Le manque de confiancequi en découle constitue sans douteune menace majeure pour leur

pérennité.

Les termes «monnaievirtuelle» et «cryptomonnaie» se sontrépandus de façonrécente. Lesdéfinitions n’en sontpas totalementarrêtées et uneclarification restenécessaire.

ILe terme de «monnaie virtuelle» sembleavoir été utilisé initialement par la BanqueCentrale Européenne pour désigner uninstrument numérique utilisé comme unemonnaie mais dont les instigateurs -gestionnaires du dispositif voire

régulateurs1- sontdes agentspurement privés etdont les utilisateursconstituent de factoune communauté.En sont doncexclues lesmonnaies localesqui fleurissent ici oulà et sont desavatars de lamonnaie nationale2.

À l’origine, les monnaies virtuellesdésignent les simulacres de monnaieutilisés au sein des métavers, sites à lafois de jeux de rôles multijoueurs etréseaux sociaux, comme le lindendollar

(1) Dans le présent article,nous adoptons l’acceptionfrançaise du terme« régulation », c’est-à-dire« ce qui permet unajustement vers unéquilibre » ; à son acceptionanglo-saxonne, nouspréférerons le terme« règlementation »

(2) Ces monnaies localessont étroitement liées à lavaleur de l’euro et répondentà des obligationsrèglementaires poséesnotamment dans les articlesL.311-5 et L.311-6 du Codemonétaire et financier ; ellesn’entrent pas dans le champdu présent article.

dossier

97

par JeAn-LUc DeLAnGLe


JeAn-LUcDeLAnGLe

contrôleurbanque de francelieutenant-colonel de laréserve citoyenne de lagendarmerie

du site «Second Life». Elles sontcependant très vite sorties de l'universludique et le lindendollar s'achèteaujourd'hui contre des devisessouveraines.

une seconde vague a été constituée pardes dispositifs alliant système depaiement centralisé et monnaietotalement privée. C'est ainsi qu'ontfonctionné E-gold, de 1996 à 2006, et« Liberty reserve » de 2006 jusqu'à sondémantèlement par les polices de17 pays en mai 2013 et la condamnationde ses promoteurs par la justiceaméricaine pour blanchiment d’argent.

La troisième vague a été celle de ladécentralisation, avec une « monnaie »dont le parangon est le bitcoin. reposantsur un algorithme cryptographique, cetype de monnaie est désigné sous le

vocable de « crypto-monnaie ». Sespromoteurs se réclament trèsouvertement d'une philosophielibertarienne et ne cachent pas leurméfiance envers l'état et envers lesbanques. Il fonctionne en « peer to peer »,c'est-à-dire en échange direct etdécentralisé entre internautes permettantles règlements directs. Les transactionsfinancières se dispensent de banques oude plateformes de compensation, ce qui,selon ses partisans, réduit très fortementles coûts de fonctionnement. Le systèmeest organisé en une sorte de vaste livrede comptes recensant l’ensemble destransactions et dont disposent tous lesparticipants. Autrement dit, le dispositif« bitcoin » est un système de paiementappelé « Bitcoin » disposant de sonpropre instrument d’échange. Il existe unnombre élevé de crypto-monnaies –


Un nombre de transactions qui arrive à un palier technique du fait d'une insécurité des transactions.

dossier

LES CryPTo monnAIES : unE InSéCurITé QuI nuIT À LA ConFIAnCE

plusieurs centaines dont certaines ontdéjà disparu - et le domaine fait preuved’une recherche constante d’évolution (cequ’on appelle le bitcoin 2.0). Le bitcoinreste néanmoins le modèle type, celui quiest très majoritairement utilisé dans lestransactions impliquant des crypto-monnaies, constituant de ce fait laréférence du présent article.

une « crypto monnaie virtuelle » enplein boomDe création récente - 2009 -, le bitcoinest sorti du cercle des initiés à partir de2013. Le nombre de transactionsquotidiennes a connu une hausse brutaleà la mi-2012, atteignant les 25000. Lecap des 100 000 transactionsquotidiennes a été durablement franchi enjanvier 2015 mais fin 2016 le mouvementsemble se stabiliser avec 225 à 275 000transactions quotidiennes.

Le nombre de bitcoins en circulation croîtselon un algorithme déterminé, atteignantfin 2016 les 16 millions sur les 21 quipourront être créés. Sans êtrenégligeable, la liste des entreprises quiacceptent ce type de monnaie demeureencore restreinte, voire confidentielle.Quoi qu’en disent ses promoteurs,l’utilisation du bitcoin – et des monnaiesvirtuelles d’une façon générale – se heurtenotamment à une insuffisance majeure desécurité, contrepartie à payer d’uneliberté voulue totale.

une insécurité juridique despaiementsLe Code monétaire et financier définitdifférents éléments de protection desutilisateurs de moyens de paiement. Ilexiste ainsi des possibilités decontestation et de recours juridique encas d’incident, des règles defonctionnement légales. Aucune nes’applique au bitcoin, dont le statut légalest à ce jour parfaitement indéfini. Lespromoteurs des monnaies virtuellesutilisent des arguments à géométrievariable au gré de leurs intérêts. Ainsi, sesont-ils réjouis du début dereconnaissance du bitcoin commemonnaie au travers de la décision de laCour de Justice européenne d’exonérerde TVA « les opérations d’échange dedevises traditionnelles contre des unitésde la devise virtuelle « bitcoin » (etinversement) » car elles « constituent desprestations de services fournies à titreonéreux au sens de la directive, dès lorsqu’elles consistent en l’échange de

différents moyens depaiement »3. maistout autant, ils sesont félicités qu’àl’inverse un juge deFloride ait arrêté enjuillet 2016 que lebitcoin n’était pas un

instrument monétaire, relaxant un prévenumis en cause pour infraction à lalégislation sur le blanchiment d’argent.

(3) CJuE, arrêt dans l’affaireC-264/14Skatteverket/DavidHedqvist ; 22 octobre 2015.

(4) Position 2014-P-01 du29 janvier 2014 de l’Autoritéde Contrôle Prudentiel et derésolution (organisme encharge de la surveillance dusecteur bancaire et desassurances).


dossier


En France, l’ACPr4 exige depuis le débutde l’année 2014 que les plateformesexerçant des activités de change« bitcoins contre euros » reçoivent unagrément en tant qu’établissement depaiement. Il ne s’agit pas pour autantd’une reconnaissance officielle du bitcoinen tant que devise. Simplement, laréception de fonds en euro pour lecompte de la clientèle, nécessaire pour lagestion des opérations de change,« relève de la fourniture de services depaiement » et, à ce titre, est réglementée.L’octroi de cet agrément implique de lapart de son bénéficiaire des obligations enmatière de contrôle interne, de cyber-protection et de lutte contre leblanchiment.

une insécurité économique : aucunegarantie de valeurLe bitcoin offre l’avantage d’être

100

convertible en monnaies officielles, àpartir notamment de plateformes quieffectuent ces opérations de change. Lacontre-valeur en monnaies officielles dubitcoin obéit pleinement à la trèsclassique règle de l’offre et de lademande : s’il y a plus de bitcoins àvendre contre une monnaie donnée quede bitcoins demandés dans cettemonnaie, le cours du bitcoin baisse ; àl’inverse, s’il y a plus de bitcoinsdemandés que de bitcoins à vendre, lecours du dans la monnaie donnéeaugmente.

Les plateformes de change publient lescours en temps réels. Ces cours – saufaccident – ne différent pas trop d’uneplateforme à une autre, les opérateurseffectuant des arbitrages5. Le cours dubitcoin apparaît comme très instable.


Cours du bitcoin contre dollars depuis 2009 (https://blockchain.info)

dossier


D’aucuns affirmentqu’il s’agit là d’undéfaut de jeunessequi passera avec letemps. C’est peuprobable, l’instabilitéétant inhérente parconstruction. Lebitcoin fait donccourir un fort risquede change6 aux

détenteurs :

– il ne possède pas de valeur intrinsèque,qui jouerait le rôle d'un garde-fou ; lesmétaux précieux, par exemple, ont unevaleur a minima qui est celle fixée parl'offre et la demande industrielles ; sonpouvoir d’achat s’établit en fonction deson taux de change ;

– aucune banque centrale n'intervientpour maintenir sa valeur de change ;

– il n’est pas adossé à une économie etde ce fait, la masse monétaire de bitcoinsn’est pas garantie par une production debiens et de services7 ;

– il est en concurrence permanente avecles monnaies officielles et avec les autrescrypto-monnaies, ces dernières offrant lesmêmes services, voire plus ; un simpleeffet de mode ou un engouement mêmepassager pour une monnaie virtuelleconcurrente se feraient alors sentir sur lecours du bitcoin ; ainsi le « monero » dontles promoteurs affirment qu’il est des plusanonymes a vu son cours doubler au

(5) L’arbitrage consiste àacheter sur une place pourvendre sur une autre enprofitant des écarts decours ; cette activité permetde lisser les cours.

(6) Le risque de change estle risque de perte liée auxvariations de valeur d’unedevise.

(7) La valeur de l’euro, parexemple, est d’aborddéterminée par la quantitéde biens et de servicesproduits au sein de l’uE etqui donc peuvent êtreacquis en euro.

cours de l’été 2016 et se pose en rival ;

– la détention des bitcoins apparaît trèsconcentrée : moins de 50 personnespossèdent 30 % des bitcoins, moins de1000 en conservent la moitié ; l'étroitessedu marché fait que des variations devolumes échangés même réduitesentraînent des variations de coursimportantes, voire facilitent desmanipulations de cours.

Il en résulte que le bitcoin est d’unenature très volatile. Il se montre trèssensible au contexte politique. Sapremière envolée, celle qui l’a faitconnaître, date du printemps 2013 avecla crise chypriote et ses conséquences,notamment le blocage des comptesbancaires de l’île. De même, la crisegrecque de l’été 2015 et le Brexit audébut de l’été 2016 ont provoqué dessursauts. A l’inverse, des prises debénéfice après de fortes envolées, desinterdictions ici ou là, ou le piratage deplateformes ont fait chuter les cours. Pourillustrer ces variations, il suffit de constaterune chute de l’équivalent de 110 € (parbitcoin …) en 3 jours fin juillet 2016 à lasuite du vol de 119 756 bitcoins sur laplateforme BIFInEX. Dans l’autre sens, lecours du bitcoin a pris 10 % entre le 4 etle 11 septembre 2016 et même 3 % enune heure le 11 octobre 2016 … L’activitééconomique s’accorde mal avec unemonnaie dont, au final, on ne sait tropquel sera son pouvoir d’achat, même àcourt terme.


dossier


102

du pain béni pour le crimeLe système Bitcoin repose sur unetechnologie innovante, la blockchain, quiest « une technologie de stockage et detransmission d’informations, transparente,sécurisée, et fonctionnant sans organecentral de contrôle. Par extension, uneblockchain constitue une base dedonnées qui contient l’historique de tousles échanges effectués entre sesutilisateurs depuis sa création. Cette basede données est sécurisée et distribuée :elle est partagée par ses différentsutilisateurs, sans intermédiaire, ce quipermet à chacun de vérifier la validité de

la chaîne »11. Lablockchain constituele grand livrecomptable où estrecensé l’ensembledes transactions.Pour autant est-ellefiable ? on évoquecertes la fraude« 51 » qui permettrait

à un individu détenant suffisamment depuissance de calcul d’attaquer l’intégritédu dispositif. Il semble néanmoins que lecoût d’une telle fraude soit prohibitif.

La vraie question de la sécurité consisteen la protection des bitcoins détenus.Qu’ils soient sur un support informatiquepersonnel ou confiés à une plateformespécialisée, ils attirent la convoitise despirates12. Les chiffres sont éloquents :mTGoX – qui fut jusqu’à sa disparition

(11) Source :https://blockchainfrance.net/decouvrir-la-blockchain/c-est-quoi-la-blockchain

(12) La question s’est poséeen son temps de laconservation des différentssignes monétaires, c’estd’ailleurs là un des motifs del’émergence des banques.

(13) Les circonstances de ladisparition des fonds n’ontcependant pas étééclaircies.

Certes, il existe desproduits decouverture8 – qui nedemandent qu’àdevenir purementspéculatifs – commeles contrats surdifférence (CFD), lescontrats à terme oudes swaps entremonnaies virtuelles9.Cependant, cesproduits sontcomplexes, parfoisrisqués car avec deforts effets de levier10

et évoluant tropsouvent dans ununivers aux règlesfloues. Ils sont à

déconseiller au commun des mortels!

Enfin, il convient de constater laconception quelque peu schizophréniquedu fonctionnement du bitcoin. En effet, lamasse monétaire est amenée à sestabiliser alors que ses promoteursencouragent le développement deséchanges, donc de la circulation de lamonnaie. De par la demande accrue,chaque bitcoin va être amené à sevaloriser, ce qui encourage alors descomportements de thésaurisation pourprofiter de l’effet d’aubaine quiralentissent l’utilisation de la monnaie. Cetantagonisme constitue un facteurd’instabilité latent.

(8) La couverture est unmoyen de protection en casde variation des cours ; àl’inverse, la spéculationconsiste à miser sur uneévolution de cours enespérant un gain … ou enprenant une perte en casd’erreur.

(9) Le CSD consiste à misersur une valeur du bitcoinpour une date donnée et àencaisser ou payer à laditedate la variation du cours ; lecontrat à terme consiste àacheter ou vendre desbitcoins à une date et pourune valeur convenues àl’avance ; le swap consisteen un échange temporairede portefeuilles en monnaiesdifférentes.

(10) L’effet de levier permetd’investir dans des contratspour un montant supérieur àla mise de départ ; ainsi, desCFD permettent un effet delevier de 20, c’est-à-direqu’il suffit de disposer d’1 €pour investir dans uncontrat de 20 € et ainsid’amplifier les gains … oules pertes.


dossier


103

l’une des références du marché desbitcoins – a vu s’envoler13 l’équivalent de450 millions de dollars. Au début du moisd’août 2016, c’est BITFInEX qui s’est faitvoler 36 % de bitcoins détenus, soit64 millions de dollars. À côté, le piratagede BITSTAmPS en 2015 fait figure degagne-petit, avec seulement un vol de4,3 millions de dollars. Au final, selon desdonnées fournies par rEuTEr, ce serait30 % des plateformes qui auraient étépiratées depuis 2012, principalement enraison d’un manque de moyens pourassurer une cyber-protection efficace. Lespertes pour l’essentiel ont été répercutéessur les clients. on peut égalementavancer sans crainte que l’absenced’autorité de surveillance facilite lescomportements à risque. Parcomparaison, le secteur bancaire a une

obligation deprotection14 et renddes comptes à une

autorité de contrôle.

Le bitcoin n’est pas qu’objet de délit, il enest aussi moyen. Le monde criminel estun univers fort bien structuré, à l’affût detoute innovation permettant d’accroître saperformance et sa rentabilité. Les crypto-monnaies offrent des atoutsconsidérables : discrétion, anonymat,circulation de valeurs sous un volumeinexistant, sans frontière et sans lecontrôle d’un tiers …

Au début du mois d'octobre 2013, le FBIfermait SILK roAD, site mettant en

(14) Articles 88 et 89 del’arrêté du 3 novembre2014.

relation acheteurs et vendeurs, serémunérant par commission, où lespaiements ne s'effectuaient qu'en bitcoin.Ce cyber-courtier du produit criminel,ouvert en 2011, aurait généré en 2 ans unchiffre d'affaires de 9,5 millions debitcoins, à comparer aux 12 millions àl’époque en circulation. Sa fermeture apermis l’émergence de multiples sitesfonctionnant de façon similaire. La cyber-extorsion, par menace d’attaque, lecyber-chantage s’accommodent fort biende versements de fonds en bitcoin.

En France, la gendarmerie a fermé, enjuillet 2014, une plateforme clandestinede change, saisissant au passage 388bitcoins, l’équivalent de 200 000 €. Elleétait notamment utilisée dans le cadred’activités illicites de jeux en ligne.L’utilisation des bitcoins apparaît aussiavec les rançongiciels qui bloquent lesordinateurs tant qu’un paiement n’a pasété effectué, allant jusqu’à la destruction

des données. Selonle GuArDIAn15, desbanques anglaisesstockeraient mêmedes bitcoins pourfaire face à

d’éventuelles attaques de ce type.

Le bitcoin est parfois comparé à l’argentliquide, ce qui demeure assez inexact.L’usage du numéraire est fortementencadré, la plupart des paiements étantnotamment limités à 1 000 €16 . Lebitcoin, lui, s’il est anonyme, reste

(15) https://www.theguardian.com/technology/2016/oct/22/city-banks-plan-to-hoard-bitcoins-to-help-them-pay-cyber-ransoms

(16) Art L.112-6 à L.112-8,art D.112-3 du Codemonétaire et financier


dossier


104

traçable : le « registre » de l’ensemble desopérations est à la disposition desparticipants au système. Toutefois, ilexiste des méthodes de blanchimentutilisées entre porte-monnaies de crypto-

monnaies, comme le« schtroumfage17 »,altérant cette

traçabilité. mais surtout, le bitcoin permetune circulation transfrontalière etextrêmement rapide de valeurs. Pour lecrime, ce peut être un outil formidable …à condition de maîtriser le risque dechange.

À l’instar d’internet, le bitcoin et lescrypto-monnaies constituent uneformidable innovation. En revanche, ledanger vient principalement de leurenvironnement. Elles ne pourront trouverleur place que si elles inspirent et méritentconfiance. Tant pis pour l’espritlibertarien : elles ont besoin d’un tiers deconfiance garant de leur bonne conduite.

(17) multiplication desmouvements entre quelquesportemonnaies pour nuire àla traçabilité des flux.


L’auteur

Jean-Luc Delangle est économiste et travailledepuis plusieurs années dans le contrôle dusecteur financier. Après avoir exercé en qualitéd’inspecteur général d’établissements decrédit, il a rejoint un organisme de surveillance.Il est lieutenant-colonel de la réserve citoyennede la gendarmerie, membre de la RéserveCitoyenne Cyberdéfense et chercheur associéau Centre de recherche de l’Ecole des Officiersde la Gendarmerie.

dossier


Le cyberespace et les enjeux environnementaux

« Avec un milliard de capteurs intégrésdans l'environnement tous reliés pardes systèmes informatiques, logiciels etservices, il sera possible d'écouter lesbattements du cœur de la Terre, enimpactant l'interaction humaine avec lemonde. » Peter Hartwell, Chercheurprincipal, HP Labs.

Depuis plusieurs siècles, le monde a pu sedévelopper grâce à des révolutionssuccessives ayant comme point communde générer un changement global dusystème technique qui influence la société.

Cela était le cas, dèsla renaissance, avecla révolution de lamachine dont lesymbole reste lapresse à imprimer deJohannes Gutenbergen 1450. Ensuite larévolution mécaniquede l’ère industrielle a

Apermis la mise en œuvre de troisinnovations majeures, en l’occurrence :l’emploi généralisé du métal dans ledomaine des matériaux, l’utilisationcorollaire de la machine à vapeur danscelui de l’énergie et l’essor du charboncomme combustible. Actuellement, noussommes en train de vivre l’ère de la3e révolution industrielle qui estnumérique. À l’opposé des précédentesmutations, il a fallu seulement quelquesannées à l’humanité pour bâtir lecyberespace – un monde parallèle danslequel nous sommes à la fois desspectateurs et des acteurs – et pourmétamorphoser la notion du temps et del’espace, les habitudes, les relationshumaines ainsi que le rendementprofessionnel… En effet, aujourd’hui,l’être humain est capable de réaliser destâches extrêmement difficiles en unminimum de temps grâce àl’automatisation. Il est également enmesure de se déplacer virtuellement

dossier

105

par otMAne boUssebAA


otMAneboUssebAA

Lieutenant de lagendarmerie royalemarocaineingénieur, master 2 « droitet stratégies de lasécurité

n’importe où sur le globe en un simple« clic ».

Ce qui était perçu autrefois commerelevant de l’impossible relève aujourd'huide la banalité. Ainsi, tout est devenuconnecté : un individu peut habiter unemaison intelligente permettant de régulerautomatiquement ses paramètresd’ambiance. Il peut conduire une voitureintelligente, auto-pilotable, connectée entemps réel au trafic et aux donnéesclimatiques. Au travail, plusieurs fonctionss’offrent à lui, facilitant la tâche, comme lecontact par mail, la visioconférence, laconsultation des données en tempsréel,… L'e-commerce est disponible surle net, offrant l’avantage de comparer lesprix d'un large panel de produits. Le soirpour se divertir chez lui sans avoir à sedéplacer, plusieurs moyens sont mis à sadisposition, comme le téléchargement defilms, les jeux en ligne, les commandes derestauration à domicile…De façongénérale, la vie est facilitée grâce aurecours à une technologie sophistiquéeau service de l’Homme. Cependant, faceà tous ces avantages que nous procure lecyberespace, il est judicieux de se poserla question inéluctable de la face cachéede ce développement technologiqueexponentiel.

Actuellement, la montée en puissance dumonde numérique génère une flambée deproblématiques. D’une part, tous lesordinateurs, téléphones portables etcapteurs, dont nous sommes équipés,ont besoin de l’électricité pour fonctionneret l’augmentation de leur nombre se

traduit par une explosion de saconsommation. D’autre part, tous ceséquipements, arrivant en fin de vie,deviennent des déchets qui doivent fairel'objet de traitements adaptés. Il fautégalement appréhender l'enjeu de la sur-extraction des minerais et des matériauxutilisés dans le domaine des nTIC quientraîne une raréfaction de cesressources à l’échelle mondiale ainsi qued’autres problèmes liés à l’environnementlocal comme les nuisances et l’impact surla santé.

L’appréhension de l’impactenvironnemental généré par le mondenumérique se fait par la maîtrise de lanotion d’empreinte carbone, par lediagnostic des différentes problématiquesqui en découlent, notamment celle desdéchets, de l’énergie, de l’épuisementdes matériaux et enfin celles relatives à lasanté publique.

À l’instar des autres secteurs, le mondedes nTIC a aussi une empreinteécologique, c’est-à-dire un impactenvironnemental produit par les différentséquipements. Aux outils directementperceptibles (téléphones, ordinateurs,capteurs,…) il faut ajouter ceux quiservent au fonctionnement de l'immensetoile: des fibres optiques, des câbles encuivre, des émetteurs Wi-fi, des antennesde téléphonie cellulaire, des routeurs quirelaient les données et établissent leschemins vers les destinations. Il faut yajouter les fameux data-centers, cescentres où sont traitées et stockéestoutes les données générées. Selon le site


dossier

LE CyBErESPACE ET LES EnJEuX EnVIronnEmEnTAuX

« Ecoloinfo1 » :5 milliards de

personnes sont en ligne dans le mondeentier ; les seules infrastructures detélécommunication (les équipementsréseaux) seraient responsables de 37 %des émissions de Co2 des TIC ;l’empreinte énergétique du net est encroissance de plus de 10 % chaqueannée ; Internet pèserait près de 300millions de tonnes de Co2 par an,l’équivalent de 2 trajets Paris new-yorkpar an et par Français.

des déchets dangereux objets detraficsLes Déchets des équipementsélectroniques et électriques (DEEE) ontune empreinte écologique très élevée enraison des importantes quantités deressources en eau, métaux, et énergiesmobilisées par la conception, lafabrication, le transport, l'utilisation et lerecyclage des composants et objetsélectriques et électroniques. Les DEEEcontiennent des métaux précieux (argent,or, palladium, cuivre et indium enparticulier) dont l'exploitation est unesource potentielle d'emplois mais d'unusage dangereux s'il n'est pas associé àdes législations et des pratiques quiprennent en compte le fait que certainscomposants sont aussi des déchetstoxiques ou dangereux tels quel'aluminium, le cuivre, le plomb, le zinc,des métaux du groupe du platine, l'argentet également des polluants persistantstels que l'arsenic, le mercure, le cadmiumet lithium, etc.) sans oublier le verre, les

(1)http://ecoinfo.cnrs.fr/ plastiques et la céramique. Selon uneétude du Programme pour

l’environnement desnations unies2, 60 à90% des déchetsélectroniques sontrevendus et/ou jetésillégalement par destrafiquants. Interpolestime qu’une tonnede déchetsélectroniques se

négocie environ 500 dollars au marchénoir. Avec une prévision de 41 à75 millions de tonnes émises chaqueannée, dès 2017, le montant du trafic estestimé entre 12 et 19 milliards de dollars,soit 10 à 17 milliards d’euros.

une dépense énergétiqueinégalement répartieLe monde numérique consomme del’énergie électrique pour fonctionner.Cette énergie est en grande partierésultante des énergies primaires de typefossiles, qui sont à la fois épuisables ettrès polluantes. Le caractère énergivoredu cyberespace apparaît à travers toutesses mailles, allant du besoin énergétiquedes data-centers3 à celui des simplesinternautes (ordinateurs, tablettes,téléphones portables,…).

Si aucune statistique n’existe pourquantifier les besoins énergétiques

globaux des centresde traitement dedonnées, leuraugmentation ne fait

(2) https://www.greenit.fr/2015/05/18/dechets-electroniques-un-trafic-mondial-de-17-milliards-d-euros/

http://www.nextinpact.com/archive/35098-dechets-electroniques-dechets-pollution-nati.htm

(3) http://www.actu-environnement.com/ae/dossiers/efficacite-energetique/data-centers-reduire-facture-energetique-rester-competitifs.php

(4) http://www.guideinformatique.com/dossiers-actualites-informatiques/consommation-electrique-des-data-centers-29.html


dossier

LE CyBErESPACE ET LES EnJEuX EnVIronnEmEnTAuXLES EnJEuX EnVIronnEmEnTAuX

aucun doute4. À l’échelle européenne, laCommission estimait cette consommationà 56 milliards de kilowatts, en 2008, ettablait sur 104 milliards en 2020. Lescentres de données, qui consomment 2%de l’énergie mondiale, entraînent delarges émissions de Co2. Cependant, laconsommation électrique et les émissionsde gaz à effet de serre générées par lesdata-centers sont plus faibles comparéesà celle des ordinateurs qui s’yconnectent. Trois facteurs peuvent êtrepris en compte pour justifier cette idée :

• la consommation électrique propre aumatériel,

• le rapport entre le nombre d’utilisateurset de serveurs et le temps nécessairepour délivrer la page (temps passé par leserveur à générer la page et par le réseauà l’acheminer jusque chez l’internaute),

108

• le temps passé par l’utilisateur àinteragir avec cette page.

Pour le premier point, les ordinateursconsomment en valeur absolue, de l’ordrede 50 à 100 fois moins d’électricité queles serveurs (30Wh/h pour un ordinateurportable contre 300 Wh/h pour un petitserveur). En valeur relative, les serveurssont bien plus efficients que lesordinateurs des internautes car ilsconsomment moins d’énergie pourréaliser le même nombre de traitementsinformatiques. Concernant le point 2, unseul serveur est généralement capable derépondre aux sollicitations de plusieurscentaines à plusieurs milliersd’internautes. Le rapport est donc trèsdéfavorable pour les internautes quipèsent bien plus lourd dans la dépenseénergétique que les serveurs. Google sert


Un data center fiable et économique repose sur l'ingénierie des salles, le choix de serveurs et deracks intelligents et des systèmes de contrôle de paramètres évolués.

Foto

lia :

vla

dim

ircar

ibb

dossier


par exemple 3000 utilisateurs de G mailavec un seul serveur d’une puissance de450 watts.

Enfin pour le troisième point, l’internautepasse plus de temps à lire une page ou àinteragir avec elle que le serveur à lagénérer, d’autant plus si l’on prend encompte des différents caches (navigateur,proxy…). on peut avancer qu’uninternaute passe 10 à 100 fois plus detemps sur la page que le serveur à lagénérer. Les ordinateurs des internautesconsomment bien plus d’énergie que lesserveurs web, pour une même unitéfonctionnelle. À ce titre, une étude a étéréalisée chez deux serveurs – Gmail et

GrennIT.fr5 –démontrent que lesinternautes

consomment entre 300 et 900 fois plusd’énergie que les serveurs des data-centers.

L'épuisement des matériauxDepuis plusieurs années, des étudesprésentent les TIC comme l’une desindustries ayant le plus fort impact surl’environnement par unité produite, celle

d’Eric Williams6 en2002 résume

parfaitement ce point de vue. Lademande pour les métaux utilisés dansles industries de hautes technologies(dont les TIC) a plus que triplé au coursde 20 à 30 dernières années. Dans lamême période, la sollicitation des métauxdans la table de mendeleïev est passéede 10 dans les années 1980 à 60 métauxdans les années 2010. un rapport del’union européenne précise que certains

(5) https://www.greenit.fr/2015/05/12/quelle-est-l-empreinte-environnementale-du-web/

(6) Institut de Technologie derochester

de ces éléments vont êtreparticulièrement sollicités par cesindustries de pointe d’ici à 2030 : legallium (Ga) va voir sa demande multipliéepar plus de 22, l’indium (In) et legermanium (Ge) par 8, le néodyme (nd)par 7, le titane (Ti) par 4, le cuivre (Cu) etla palladium (Pa) par 3,5 et l’argent (Ag)par 3.

La santé publiquenous n'avons pas actuellement depreuves directes et scientifiques de laresponsabilité des radio-fréquences desantennes relais dans la genèse decancers ou de leucémies, y compris chezles enfants. Le nombre d'antennes relaisdoit être mis en rapport avec le nombrede personnes exposées. Cinq milliardsd'individus sont aujourd'hui exposés auxémissions de radiofréquence. Avec unéchantillon de population aussi important,les maladies engendrées devraient êtrenormalement plus nombreuses. L'étude« Interphone7 » a examiné spécifiquement

l'évolution destumeurs du cerveauet des leucémies.Cette étude a étéréalisée dans 13pays sur 5 000 cas.Cette étude montrequ'il existe unepossibilité faibled'augmentation defréquence desgliomes, tumeurscérébrales graves, etdes neurinomes dunerf acoustique,

(7) La recherche, baptiséeInterphone, a réunit deséquipes de spécialistes,provenant de treize pays.L'enquête, menée à uneéchelle très vaste pour évitertout biais régional, s'estconcentrée sur ledéveloppement de typesspécifiques d'affectionstumorales du systèmecrânien : tumeurs ducerveau (gliomes etméningiomes), des glandessalivaires (parotides) et dunerf acoustique(neurinomes), ainsi que lesatteintes de tissuslymphatiques (lymphomes).Les personnes ont étésélectionnées dans leszones d'implantationprécoce (cinq et dix ans derecul) et sur une classed'âge active de 30 à 59 ans,ayant une expériencecontinue de la téléphonieportable.


dossier

LE CyBErESPACE ET LES EnJEuX EnVIronnEmEnTAuXLES EnJEuX EnVIronnEmEnTAuX

110

car d’une part les GES8 générés parl’énergie fossileconsomméecontribuent auréchauffementclimatique à l’échelleplanétaire, et d’autrepart la pollution

atmosphérique, causée par les déchargesnon contrôlées de DEEE, esttransfrontalière.

une autre problématique résulte du fait denormes et lois en vigueur différentes d’unpays à l’autre. À titre d’exemple,l’exportation des DEEE est interdite en uEalors qu’elle ne l’est pas aux états-unis. Ilserait donc opportun de débattre surcette problématique et de convaincre lespays producteurs de la nécessité d’allierun bénéfice économique et lescontraintes environnementales afind’aboutir à un développement durable etpérenne.

(8) Les gaz à effet de serre(GES) sont des composantsgazeux qui absorbent lerayonnement infrarougeémis par la surface terrestreet contribuent à l'effet deserre. L'augmentation deleur concentration dansl'atmosphère concourt auréchauffement climatique.

tumeurs bénignes mais gênantes, chezles personnes qui utilisent trèsfréquemment le téléphone et notammentà partir de 10 ans d'exposition. Lesopérateurs de téléphonie mobile ont, pourpallier ce problème, l'obligation de donnerdes oreillettes. on préconise d'utiliser unkit main libre pour téléphoner et deprivilégier les SmS surtout pour lesenfants.

Dans le cadre des scénarios prévisionnelsétablis par les cabinets d’étudespécialisés, le nombre d’objets connectésatteindrait au minimum 30 milliardsd’unités d’ici l’horizon 2020 ce quiconduira à une aggravation desproblématiques que nous venonsd'exposer. Cela amène la communautéinternationale à prendre des mesuressérieuses pour atténuer l’impactenvironnemental afférent au mondedigital. Dans cette optique, la France amis en place un corpus juridique completpour réglementer la problématique desDEEE et leur élimination. Le secteur privétente de mettre en œuvre des solutionspour promouvoir l’efficacité énergétique,en l’occurrence l’énergie libre, les data-centers vertueux et les compagnes desensibilisation «E-cleaning days».

Actuellement, on ne peut pas nier le faitque plusieurs pays font des effortsconsidérables pour atténuer les effetsnégatifs du cyberespace surl’environnement, cependant cetteproblématique revêt un caractère mondial


L’auteur

Otmane Boussebaa, est officier de lagendarmerie royale marocaine. Il est titulaired'un diplôme d’ingénieur d’Etat, filière géniecivil, de l’Ecole Mohammadia d’Ingénieurs(Rabat, 2014) et du diplôme des étudesuniversitaires et militaires, branche (scienceset techniques), de l’Académie Royale Militaire.Il est également lauréat du Master « Droit etstratégies de la sécurité » de l’université Paris2 Panthéon-Assas (Paris, 2016).

dossier


Les enjeux relatifs à la technologie Blockchain

« The blockchain is the most disruptivetechnology I have ever seen »

Salim Ismail, GlobalAmbassador andFounding ExecutiveDirector SingularityUniversity1

Avant de dissertersur un tel sujet, il convient d’enexpliquer le concept. Une blockchainn’est pas un logiciel, c’est un concepttechnologique. Une blockchain est unlivre de transaction numérique

distribué, avec descopies identiquesmaintenues surplusieurs systèmesinformatiquescontrôlés par desentités différentes.La Blockchain estun système de basede données

(1) http://www.christian-faure.net/2015/09/13/la-blockchain-et-lemergence-des-distributed-consensus-engines/http://www.christian-faure.net/wp-content/uploads/ismael2-1024x768.jpg

Tdistribuée qui permet de rendreinfalsifiable l’historique destransactions effectuées entre desparties.

un grand livre de transactionsLa base de données distribuée destransactions est appelée « Ledger » enanglais, littéralement « grand livre » ou« livre de compte ». Jusqu'à présent, laconfiance dans une transaction est, engénéral, portée par une institution tierceet centralisée. Avec une informatique deconfiance permise par le nouveauparadigme technologique proposé par laBlockchain, la confiance est portée parles algorithmes cryptographiques, lechiffrement et l'organisationdécentralisée au sein du réseau desdonnées issues de la transaction.

on parle dès lors de consensusdécentralisé. Il permet de s'affranchir del'intermédiation d'une institutioncentralisée, notamment bancaire dans le

dossier

111

par LUDoVic Petit


LUDoVic Petit

directeur cyber sécuritégroupe altranréserve citoyennecyberdéfense

cas des transactions de paiement. De parson concept fonctionnel, c’est cenouveau paradigme, ce nouveau modèlefonctionnel, qui avère une notion deconfiance technologique contextuelle,autrement appelée Sécurité. nous yreviendrons.

Les ordinateurs équipés de l’interfacelogicielle nécessaire communiquentensemble pour réaliser les transactionscommandées par les utilisateurs qui, eux,forment le réseau de la blockchain. Lavaleur d'échange est le token (jeton, quel’on peut assimiler à une empreintenumérique) qui, par exemple dans le casde transaction financière a valeur demonnaie cryptographique. C’est pourquoion parle de crypto-monnaie (oucryptocurrency en anglais, bien que leterme ‘currency’ soit relatif à la devise).

Littéralement, une blockchain désigne unechaîne de blocs, des conteneursnumériques sur (en fait, dans) lesquelspeuvent être stockées des informationsde toute nature : transactions, contrats,titres de propriétés, etc. L’ensemble deces blocs forme une base de donnéessemblable aux pages d’un grand livre decompte. Ce livre de compte estdécentralisé, c’est-à-dire qu’il n’est pashébergé par un serveur unique mais parune partie des utilisateurs. Lesinformations contenues sur les blocs sontprotégées par plusieurs procédéscryptographiques innovants si bien qu’ilest (à date) impossible de les modifier a

posteriori. Enfin, la Blockchain estcréatrice d’une crypto-monnaie qui luipermet de rémunérer certains nœuds du

réseau quisupportent soninfrastructure.2

La sémantique estpiégeuse. Il s’agit eneffet de distinguer LABlockchain commetechnologie, fruit destravaux de natoshi

Sakamoto3, et unE blockchain spécifiqueque chaque organisation pourrapotentiellement déployer. Autre difficulté,aujourd’hui l’expression « la blockchain »désigne souvent la blockchain utilisée parla crypto-monnaie Bitcoin, Le problèmetient au fait que pour la plupart d’entrenous, le concept de la blockchain estintrinsèquement lié à la monnaie digitale(i.e. numérique) Bitcoin.

La Blockchain a trois propriétés :désintermédiation, sécurité, autonomie.Elles reposent sur trois technologies :architecture décentralisée, protectioncryptographique et émission de crypto-monnaie.

Blockchain est la technologie sous-jacente à la gestion décentralisée d’unecrypto-monnaie. Plutôt que de consignertoutes les transactions dans un grand livrecomptable (à l’instar des organismesfinanciers, banques centrales), la crypto-monnaie a en effet choisi de décentraliser

(2) Livre Blanc « Comprendrela Blockchain » publié par lasociété u change

http://www.uchange.co/download/blockchain-whitepaper/

(3) (3) Satoshi nakamoto.« Bitcoin: A Peer-to-PeerElectronic Cash System »(24 may 2009)

https://bitcoin.org/bitcoin.pdf


dossier

LES EnJEuX rELATIFS À LA TECHnoLoGIE BLoCKCHAIn

l'historique destransactions. Ces« blocs » sontdétenus par lesdétenteurs decrypto-monnaie etgarantissent àchaque instantl'authenticité etl'unicité destransactionseffectuées.

En fait, la validationd’une transaction estassujettie à larésolution par la

machine d'un challenge cryptographiquequi s’avère coûteux en puissance decalcul. Cette opération mathématique faitappel à des informations contenues dansles blocs précédents de la chaîne. C'est

(4) The great chain of beingsure about things

http://www.economist.com/news/briefing/21677228-technology-behind-bitcoin-lets-people-who-do-not-know-or-trust-each-other-build-dependable

http://cdn.static-economist.com/sites/default/files/imagecache/original-size/images/print-edition/20151031_FBC911.png

(5) Fonctionnement simplifiéde la blockchain

https://i2.wp.com/www.ethereum-france.com/wp-content/uploads/2016/06/blockchainsimplifie.png

https://jurischain.com/bitcoin-2

uniquement lors de sa résolutiontechnique que toutes les transactions decette dernière sont validées, et unnouveau bloc automatiquement créé estlié aux précédents.4 5

une approche conceptuelle d’uneorganisation autonome décentraliséeDe nouveaux modèles d’organisationdécentralisée et distribuée sont en trainde naître, rendus possibles par l’ubiquitéd’Internet puis l’émergence de latechnologie blockchain, dans le contextede la mutation de notre civilisation sousl’impact du numérique. Considéréescomme une alternative à l’entreprise, auxstructures de gouvernance, voire auxEtats, les Decentralized Autonomousorganizations (DAo) – organisationsAutonomes Décentralisées - s’inscriventdans un nouveau paradigmed’interconnexion collaborative du genrehumain.

Les limites de l’organisation verticale del’entreprise dans le nouveau contextenumérique sont une des raisons de larecherche d’un modèle alternatif pour


dossier


l’activité économique et la collaboration.Parallèlement à cela, les limites de nosinstitutions face à l’accroissement de lapopulation mondiale et à l’épuisementdes ressources, expliquent la quête demodèles de gouvernance plus adaptés.

une brève incise à propos d’un desmythes fondateurs et le contexted’émergence des DAo : dès la fin desannées 1990, à la naissance du WorldWide Web, les thèmes qui sous-tendentles débats actuels sur liberté, surveillanceet souveraineté du net sont présents.Ceux qui tentent à l’époque de penser lepotentiel de ce nouveau réseau ont déjàune intuition forte des tensions à venir.Ainsi, l’économiste milton Friedmanévoque dès 1999 dans une interview lerôle d’une crypto-monnaie, auxcaractéristiques proches de celles duBitcoin que l’on connaît de nos jours,dans l’évolution du rôle central du

gouvernement : « Ithink that the Internetis going to be one ofthe major forces forreducing the role of

government. The one thing that’s missing,but that will soon be developed, is areliable e-cash, a method whereby on theInternet you can transfer funds from A tob, without A knowing b or b knowingA. »6

La Déclaration d’Indépendance duCyberespace7 apparaît commeparticulièrement prémonitoire dans ce

(6)http://www.coindesk.com/economist-milton-friedman-predicted-bitcoin/

(7) https://www.eff.org/fr/cyberspace-independence

114

contexte : « … We are forming our ownSocial Contract. This governance willarise according to the conditions of ourworld, not yours. Our world is different.Cyberspace consists of transactions,relationships, and thought itself, arrayedlike a standing wave in the web of ourcommunications. (…) Your legal conceptsof property, expression, identity,movement, and context do not apply tous. They are all based on matter, andthere is no matter here. » John PerryBarlow, 1996. Barlow a déjà la vision d’uncyberespace constitué de transactions,mais à son époque la liberté etl’autorégulation des transactions, dont ilperçoit le potentiel, ne peuvent inclure lamatière. La blockchain concrétiseaujourd’hui ce lien entre transaction etmatière, et va même bien au-delàpuisqu’elle le certifie. Elle réintègredirectement, et ce dans toute leurpuissance, les notions de « property,expression, identity, movement » dans lecyberespace. C’est ce lien entre lenumérique et la matière qui est nouveau,la blockchain en tant que rupturetechnologique en ouvre le champ despossibles.

La blockchain sera-t-elle la rupturetechnologique qui va permettre deconcrétiser ces pistes ? La couverturemédiatique du sujet est conséquente, unedes plus importante de ces dernièresannées8. Décrite comme la « Trustmachine » ou « la machine de confiance »


dossier


par The Economist9,la blockchain estprésentée comme lasolution dedésintermédiationidéale : faible coût,fiable et hautementsécurisée. Le motest donc lâché :désintermédiation !La notion deconsensusdécentralisé ayantpour essence des’affranchir del'intermédiationd'une institutioncentralisée, c’est en

cela que l’approche conceptuelle d’uneorganisation autonome décentralisée telleque la Blockchain, véritable technologiedite de rupture, est dite disruptive, ausens littéral du terme anglais(Perturbateur, adj.).

Dans son rapport intitulé « TechnologicalTipping Points and Societal Impact » deSeptembre 201510, le World EconomicForum laisse présager que la taxe seraperçue pour la première fois par ungouvernement via une Blockchain en2025 et que 10% du produit intérieur brut(PIB) mondial sera stocké sur latechnologie Blockchain d'ici à 2027. Telest le champ des possibles.

(8) La Blockchain, « nouvellestar » des médias

http://www.latribune.fr/opinions/tribunes/la-blockchain-nouvelle-star-des-medias-592202.html

http://static.latribune.fr/article_body/592204/02-blockchain.png

(9) The trust machine, TheEconomist

http://www.economist.com/news/leaders/21677198-technology-behind-bitcoin-could-transform-how-economy-works-trust-machine

(10) rapport du WorldEconomic Forum «Technological Tipping Pointsand Societal Impact »

http://www3.weforum.org/docs/WEF_GAC15_Technological_Tipping_Points_report_2015.pdf

un concept à intégrer dans un contextecomportant une dimension humaineComment pouvons-nous appréhender ceconcept tant dans notre quotidien en tantqu’individu, que dans un contexteprofessionnel, mais aussi relatif auxinstitutions régaliennes de l’Etat ? Il sembledonc évident que l’enjeu majeur de lacompréhension, puis de l’adoption denouveaux modèles organisationnels commecelui d’une organisation autonomedécentralisée - Blockchain dans notre cas -est basé sur une constante… l’Humain.Celui-ci, en tant que personne, est lefacteur clé de succès de l’intégration de lasociété numérique d’aujourd’hui, tant danssa dimension étatique, d’entreprise quesociétale. notre rapport personnel àd'éventuelles perspectives de changementconditionne donc l’adoption et l’adaptationà ces modèles. C’est notre souhait devouloir comprendre ce qui va de factoinfluer notre appétence à ce concept deBlockchain, et par voie de conséquence enassurer le « degré » de prise en compte ausein de notre société. Le champ despossibles est conditionné par cet enjeumajeur. C’est donc en soi une interrogationlégitime que de réfléchir au facteur humainet à la maturité de tout un chacun. Lechangement dérange, voire perturbe noshabitudes. Je modéliserais mon proposainsi dans la perspective d’un contexteprofessionnel d’entreprise :

r = f (nm)


dossier


116

habitudes, bien que l’utilisation de lacryptographie ne soit pas nouvelle. maisBlockchain est en fait véritablementdisruptive dans son concept deconsensus décentralisé, qui induit unenotion de confiance… technique ettechnologique. C’est cette confiancetechnologique inhérente à ce nouveauparadigme, en tant que modèle, quibouscule notre rapport personnel avec ceque nous concevons être de confiance.

C’est ce nouveau paradigme, ce nouveaumodèle fonctionnel, qui avère une notionde confiance technologique contextuelle,autrement appelée Sécurité. Ce quiamène somme toute assez logiquementune réflexion de fond : Devons-nousreconsidérer notre rapport avec leconcept de confiance ? Quel est notrerapport psychologique, humain,personnel avec la notion de confiance ?Puis-je concevoir, dois-je concevoir qu’unniveau de sécurité technique, contextueldans une simple relation bilatérale de pairà pair, implique que je fasse confiance àl’écosystème entier ? Et de laisser notreesprit cartésien tout droit nous mener ausujet de gouvernance et d’autorégulationde la confiance, pour ouvrir le grand livredu Droit (et du devoir), du cadre légal etréglementaire.

Si l’on s’en réfère à la définition duLarousse,

Gouvernance : Action de gouverner,manière de gérer, d’administrer.

r = résistance interne aux nouvelles idées,technologies, aux nouveaux concepts, n= nombres d’employés et m = nombre deniveaux de management.

Il y a donc nécessairement une réflexion àmener.

La technologie blockchain bouleversela notion de confiance.nous en arrivons maintenant aufondement même de Blockchain, qui paressence conditionne bien des enjeux :Sécurité = Confiance ? Jusqu'à présent,la confiance dans une transaction est, engénéral, portée par une institution tierceet centralisée. La notion mêmed’institution implique la reconnaissanceofficielle tant par le secteur d’activité quepar les instances gouvernementales.

Avec une informatique de confiance quepourrait permettre le nouveau paradigmetechnologique proposé par la Blockchain,la confiance est portée par lesalgorithmes, le chiffrement etl'organisation décentralisée au sein duréseau des données issues de latransaction. on parle dès lors deconsensus décentralisé, qui permet des'affranchir de l'intermédiation d'uneinstitution centralisée, notammentbancaire dans le cas de transactions depaiement. De par son conceptfonctionnel, la technologie Blockchainbouleverse donc de prime abord un pointde vue technologique et elle bouscule nos


dossier


117

réguler : Fait d'assurer unfonctionnement correct.

Autorégulation : régulation automatiqued'un processus, fonctionnement tel qu'ils'adapte de lui-même aux changements.

Confiance : Sentiment de quelqu'un quise fie entièrement à quelqu'un d'autre, àquelque chose.

Sécurité : Situation dans laquellequelqu'un, quelque chose n'est exposé àaucun danger, à aucun risque, absenceou limitation des risques dans un domaineprécis.

Il est aussi intéressant de noter ladéfinition suivante :

Dao : Dans l'ancienne philosophiechinoise, principe d'ordre qui fait l'unitéde l'univers. La voie.

Au-delà du clin d’œil relatif à l’acronymeDAo (Decentralized Autonomousorganization), le principe d’ordre chinoisserait-il la voie vers un système degouvernance de la confiance ?D’autorégulation ? Gouvernance n’est-ilpas in fine question d’ordre et d’unité ?Laissons quelques instants cetteperspective pour nous intéresser au cadrelégal et réglementaire.

La France dispose certes du cadre légalet réglementaire le plus élaboré au mondemais il convient toutefois de garder àl’esprit que nombre de lois datent, si cen’est de la période napoléonienne pour

bonne partie de notre Code Civil, aumoins d’une époque révolue si l’on seréfère à la dimension temporelle que nousconnaissons de nos jours avecl’avènement des nouvelles technologies.

Le monde numérique, dans lequel nousvivons depuis quelques décennies,conditionne de nos jours les enjeuxpolitiques et géostratégiques del’économie mondiale et de notreéconomie nationale. C’est donc,notamment, à travers le législateur quecette économie peut trouver croissance,car les lois et les réglementationssectorielles ont certes pour but de régulerun contexte d’activité mais aussi depotentiellement protéger les intérêts desparties. Blockchain s’inscrit dans cetteperspective.

une légitimité à construireLa notion de consensus décentraliséayant pour essence de s’affranchir del'intermédiation d'une institutioncentralisée, comment dès lors lelégislateur intègrerait-il un conceptd’autorégulation de confiance dans laperspective d’une organisation autonomedécentralisée ? rappelons-nous qu’undirigeant d’entreprise est non seulementcivilement mais aussi pénalementresponsable au regard de la loi. Cetteresponsabilité peut-elle être, doit-elle êtreapplicable à un contexte d’organisationautonome décentralisée ?


dossier


118

la recherche & Développement surblockchain, et 500 Millions d’EUrsupplémentaires sur les 3 ans à venirpour accompagner les startups si nousvoulons rester dans la course. Entre USAet Chine, il y a l’Europe qui doit saisir sachance et l’Afrique qui a d’énormesbesoins auxquels blockchain peutapporter réponse. »

nous vous soumettons quelquestémoignages qui permettent de saisir laprise de conscience d'enjeuxconsidérables :

Christian Buchel, directeur généraladjoint, chief digital & international officerd’Enedis : « Un atelier de travailblockchain est prévu à la prochaineCOP22 à Marrakech (Conference OfParties). Comment la collectivité peut-ellebénéficier de ces modèles de fiabilisationdécentralisés ? »

Corinne Erhel, députée (PS) des Côtesd’Armor : « L’explication, la pédagogiepermet l’anticipation, et lesexpérimentations doivent mettre enlumière les besoins pour, le cas échéant,légiférer et adapter le cadre légal. Lapédagogie par l’exemple. »

Lionel Tardy, député (Lr) de la Haute-Savoie : « Le rôle du régulateur estd’accompagner et d’identifier la valeurlégale de blockchain, de son usage. Il fautplus de parlementaires spécialistes dunumérique au sein de l’écosystème, afinde permettre une meilleure prise deconscience des enjeux. »

Juridiques, réglementaires, il est bien desaspects inhérents à la personne, en tantqu’individu. mais dans le cas d’uneorganisation décentralisée, que prévoie lelégislateur ? La notion d’autonomie induitdonc par elle-même une perspective degouvernance, pourquoi pas d’auto-gouvernance, mais qui devra trouverréférence dans un cadre légal ad hocpour trouver une légitimité dans uncontexte, qu’il soit économique, social ouinstitutionnel. Ce postulat est fractal, àsavoir qu’il est déclinable à l’identiquequelle que soit l’échelle – parlons plutôtde contexte - qui de facto amène un autreconcept, adaptabilité.

Gouvernance et autorégulation de laconfiance, une équationmultidimensionnelle qui se doit au respectdes principes élémentaires de simplicitéet de cohérence pour trouver pertinenceet écho.

En témoignent les échanges lors durécent Forum Parlementaire de la

Blockchain11 à Paris,je cite PhilippeDewost, chargé de

l’économie numérique et du financementdes entreprises à la mission Programmed’Investissements d’Avenir au sein de laCaisse des Dépôts : « L’économie del’écosystème d’investissement dans latechnologie blockchain tend à ‘migrer’des USA vers la Chine, qui disposeactuellement du plus gros potentiel decalcul dans blockchain dans le monde(i.e. les Mineurs, Miners). Il faudrait enEurope injecter 500 Millions d’EUr dans

(11) « Code Is Law, onLiberty in Cyberspace », byLawrence Lessig


dossier


119

maître Hubert de Vauplane, avocat : « il nefaut pas légiférer sur la technologie, maissur l’usage de ce qui est fait avec

blockchain. « Codeis Law »12, ce sontdes chiffres, desmathématiques, acontrario de la Loiqui elle s’exprime en

lettres. L’exécution, la faisabilité techniqued’un Smart Contract (ou ContratIntelligent s’appuyant sur blockchain)implique-t-elle que Code is Law… ouplutôt qu’il faille contrôler la valeur légaled’une action dans le code ? C’est trèsprécisément sur ce point que le législateurdoit concentrer la notion de confiance quis’avère, par des textes et desexplications. Le régulateur doit avoir pourbut d’accompagner le changement. »

Laure de la raudière, députée (Lr)d’Eure-et-Loire : « La preuve del’inscription dans la blockchain doit êtreavérée, et la notion de ‘Tiers deconfiance’ à caractériser. blockchainlaisse entrevoir des perspectiveséconomiques considérables, il fautannuler le principe de précaution dansnotre constitution française, pour yinscrire un principe d’Innovation. Il fautaccompagner, il faut de la hardiesse, del’audace ! Le droit du travail doit êtreadapté afin de fournir à nos startups lesmoyens d’évoluer sereinement. »

Axelle Lemaire, secrétaire d’Etat chargéedu numérique et de l’Innovation : « on nedoit pas légiférer tant que l’on n’a pascompris le sujet, les enjeux, les

(12) (13) « Code Is Law, onLiberty in Cyberspace », byLawrence Lessig

http://harvardmagazine.com/2000/01/code-is-law-html

Code isLaw - Traduction françaisede l’article de LawrenceLessig

perspectives et les besoins. Il faudraensuite en revanche adapter notre cadrelégal en conséquence. nous devons nousinterroger sur les perspectives.Blockchain devrait intéresser lesphilosophes, les politiques,parlementaires, les financiers, lesorganismes de protection de la vie privée,et pas seulement les responsables de laSécurité des Systèmes d’Informations etles experts techniques. Il faut avancer !nous devons accompagner cetteévolution conceptuelle majeure. unprincipe d'innovation a été voté parl'Assemblée dans le cadre de la loiSapin 2. »

code is lawJ’invite à la lecture de « Code Is Law, onLiberty in Cyberspace », par LawrenceLessig. « … Code is law, and architectureis politics… » ou une brève histoire duCyberespace : (clin d’œil à ‘une brèvehistoire du temps’ de Stephen Hawking)

nous sommes à l’ère du cyberespace. Ilpossède lui aussi son propre régulateur.Ce régulateur, c’est le Code : le logiciel etle matériel qui font du cyberespace cequ’il est. Ce code, ou cette architecture,définit la manière dont nous vivons lecyberespace. Il détermine s’il est facile ounon de protéger sa vie privée, ou d’agir àdessein. Il détermine si l’accès àl’information est global ou sectorisé. Il aun impact sur qui peut voir quoi, sur quiest qui et qui fait quoi. Lorsque l’oncommence à comprendre la nature de cecode, on se rend compte que, d’une


dossier


120

qui, rappelons-le, est toujours contextuel.L’équilibre est lié au contexte. La sécuritédu Code, ou le Code de la sécurité aussi.Le Code est-il force de Loi ? Le Code est-il la Loi ? Le Code deviendra-t-il Loi ? Et àtitre de référence légale, devrons-nousconcevoir et en appréhender le sens entant que… Confiance ou ‘Code is Law’reste(ra)-t-il un concept abstrait régit parun idiome technologique humainementnon concevable en termes de notion deconfiance ?

Sommes-nous prêts ? ou plutôt,sommes-nous suffisamment sages ?Blockchain est plus qu'une technologie.C'est une stratégie. Connecto, ergo sum.

myriade de manières, le code ducyberespace régule. ‘Code is Law’ est enfait la résultante du concepttechnologique de la Blockchain.

rappelons-nous toutefois qu’un Code,quel qu’il soit, ne fait que ce que nous,humains, souhaitons qu’il fasse, car nousl’avons conçu. Avec certes toute notreintelligence… ainsi qu’avec tous nosdéfauts. Dès lors et par voie deconséquence, quand bien même ons’appuierait sur les normes de qualité etde sécurité les plus évoluées et uneimplémentation,i.e. le contexte de mise enexécution de tout code, serapotentiellement soumis à défaut. (et derappeler ici l’importance capitale de laformation des développeurs au ‘SecureCoding’, i.e. au développement dit‘sécurisé’. La Qualité dans le Code). Qu’ilme soit permis de rappeler ici l’excellencefrançaise en termes de recherche enmathématiques, de notoriété mondiale.Cryptographie, mathématiques,Blockchain… la France a sa place !

Tel est - certes très brièvement esquissé -le concept de la Blockchain, tels en sontquelques enjeux. Cette législation est entrain de changer, elle s’adapte, elle mute.Le ‘code du cyberespace’ aussi. Et àmesure que ce code change, il en va demême pour la nature du cyberespace.

Les contraires seraient-ilscomplémentaires ? Assurément, neserait-ce que dans un concept d’équilibre


L’auteur

Professionnel de la lutte contre lacybercriminalité et de la lutte contre la fraude,Ludovic PETIT est Directeur Cyber Sécurité duGroupe Altran. Il est chercheur associé auCentre de Recherche de l’Ecole des Officiersde la Gendarmerie Nationale (CREOGN),membre de la Réserve CitoyenneCyberdéfense et Auditeur du Centre desHautes Etudes du Cyberespace (CHECy).

dossier


Former des citoyens numériquement responsables

Si le cyberespace est devenu unformidable outil d’accès à laconnaissance, il est aussi le terrain oùse manifestent toutes sortes dedéviances, de manipulations et derisques allant jusqu’à mettre à mal lesréputations, les identités voire parfoisla vie de chacun d’entre nous. Cettesociété numérique créée par nosinteractions et pérégrinations sur latoile répond aujourd’hui au concept de« citoyenneté numérique » pour lequel ilconvient de former dès le plus jeune

âge des citoyensnumériquementresponsables touten tentantd’installer ou derétablir une certaineconfiance avec lestechnologies.

Scitoyenneté numérique : de quoi parle-t-on exactement ?Le vocable « citoyenneté », emprunté àl’égypte antique et réservé aux élites de lamacédoine, est l’un des concepts de basede plusieurs disciplines, telles que lessciences politiques, la géopolitique, lasociologie, etc. La citoyenneté, pour rappel,évoque les notions de droits civils,politiques et bien évidemment des devoirsciviques qui définissent le rôle, lecomportement que le citoyen doit avoir faceaux autres membres d’une société donnée.Accouplée à l’adjectif « numérique », quirenvoie aux ressources et aux outilstechnologiques, elle pose la question de ladéfinition des règles que ledit « citoyennumérique » doit adopter en milieuprofessionnel, familial et scolaire. C’est, entout cas, l’une des thèses défendues parmike ribble dans son ouvrage

« Citoyenneténumérique à l’école »1.Ainsi, cette posture

(1) Citoyenneté numérique àl'école, Technologie del'éducation, mike ribble –2014 Editions reynaldGoulet Inc.

dossier

121

par JeAn-PAUL Pinte


JeAn-PAUL Pinte

maître de conférencesfaculté des Lettres etsciences humainesuniversité catholique deLille

épistémologique nous oblige à penser età accepter que nous sommes dans une« société numérique » existante ou encours d’exister au regard de nosinteractions et pratiques destechnologies.

on a longtemps évoqué cette populationdes Digital natives de 18 à 35 anscomme des adeptes du numérique.Aujourd’hui il faut reconnaître que pourformer des e-citoyens, il conviendra des'y prendre dès le plus jeune âge. Pourles dépeindre, un néologisme estproposé : les « digiborigènes », uncompromis entre « digital natives » et« natifs du numérique ».

Si le Web 2.0, dit social, a marqué et aété le creuset de cette génération avecl’avènement des réseaux sociaux, il nefaudrait pas que les métadonnéesgénérées par ces mêmes réseauxpuissent venir industrialiser leurs vies, ceque le Big Data est en train pourtant defaire. Le Web 3.0, dit sémantique, coupléà celui du tout connecté (Web 4.0), sinous n’y prenons garde, pourraient bienaussi dans cette postmodernité faire denos jeunes citoyens des dépendants dunumérique. En effet les réseaux sociauxactivent les mêmes parties du cerveauque l’alcool ou la drogue : ils fonctionnentsur le système de récompense etprovoquent chez pas mal de jeunes uneaddiction psychologique.

Se protéger est d’abord une question debon sens que l’on soit jeune ou adulte et

la question se pose souvent de savoirpourquoi on n’adopte pas les mêmescomportements sur Internet que dans lemonde réel alors que l’on saitpertinemment, par exemple, que lenumérique facilite la tâche descyberdélinquants. n’allons pas jusqu’àdire qu’il s’agit de tout verrouiller maisapprenons à nos jeunes à évaluer lesrisques.

Les données transmises par nos enfantsde manière volontaire ou involontaire fontle terreau de toute une population depersonnes mal intentionnées qui, à toutmoment s’en serviront pour dénigrer, fairechanter ou encore user de l’identité deces mêmes enfants. nous sommesentrés trop vite dans une société dite del’information, où chacun de nous n’a pus’adapter aux évolutions de l’Internet, etsurtout dans un cyberespace conçu il y aplus de vingt ans sans avoir pensé sadimension « sécurité ». nous ne sommesplus sur Internet mais dans Internet et lephénomène de disruption dans lequelnous vivons avec l’avènement destechnologies ne peut que nous interpeller.

C’est ainsi que nous nous réveillonsaujourd’hui dans une société où lesjeunes ont leurs propres prothèsescognitives pour apprendre avec lenumérique et où celui qu’on appelle pluscommunément le sachant a du mal àrentrer dans le flux de ces pratiques. maisce n’est pas parce qu’ils disposent d'unetechnologie que nos jeunes en ont tous lamaîtrise. C’est pourquoi il est utile ici


dossier

FormEr DES CIToyEnS numérIQuEmEnT rESPonSABLES

d’évoquer des pistes pour déceler lesmanques, évaluer et développer descompétences numériques adaptées aucontexte.

une nette méconnaissance desréseaux sociauxEn interrogeant nos jeunes sur les diversréseaux sociaux, on s’aperçoit très vitequ’ils ne connaissent que très peu d’entreeux. À la question « citez-moi quelquesréseaux sociaux ? », les réponsesmontrent qu’ils ne connaissent queFacebook, Twitter, Linkedin, Snapchat,Instagram et Whatsapp par exemple.

La réalité est toute autre sur le terrain à lavue de plus de 200 autres réseaux quemême les adultes ne connaissent pas.Ces derniers correspondent pourtant à latrame de leur vie et à la capacité pourchacun de surveiller son ADn numérique

chaque jour de manière manuelle ouautomatisée.

un outil comme Qwant.com ou encore saversion Qwant Junior développée pour lesplus jeunes en est une des meilleuresillustrations. La CnIL a d’ailleurs retenu etreconnu ce moteur de recherche commefiable pour l’intégrer dans les outilsnumériques des établissements scolaires.

Pas de véritable littératie numériquechez nos jeunes

Il n'existe pas dedéfinitionconsensuelle de lalittératie numérique2.Pour se forger unesolide culturenumérique, on peutretenir l’idée d’une

combinaison de capacités

(2) la littératie est « l’aptitudeà comprendre et à utiliserl’information écrite en vued’atteindre des butspersonnels et d'étendre sesconnaissances et sescapacités ». Pour tenter unedéfinition numérique :http://habilomedias.ca/sites/mediasmarts/files/publication-report/full/definir-litteratie-numerique.pdf


dossier


La page d’accueil du moteur de recherche Qwant Junior

Qw

ant

technologiques, de compétencesintellectuelles et de comportementséthiques autour de l’utilisation dunumérique. Habilo médias, Centrecanadien d'éducation aux médias et delittératie numérique, publie en ligne undocument de discussion intitulé « Définirla politique de littératie numérique et lapratique dans le paysage de l’éducationcanadienne ». michael Hoechsmann etHelen DeWaard, deux auteurs canadiens,indiquent que « la littératie numériquen'est pas une catégorie technique quidécrit un niveau fonctionnel minimal decompétences technologiques, mais plutôtune vaste capacité de participer à unesociété qui utilise la technologie descommunications numériques dans lesmilieux de travail, au gouvernement, enéducation, dans les domaines culturels,dans les espaces civiques, dans lesfoyers et dans les loisirs ».

Selon une étude récente de l’universitéde Stanford3 ,faisantsuite aux rumeurs etquestions autour defausses informations

circulant en ligne après l’élection deDonald Trump à la présidence des Etats-unis, les adolescents se feraientfacilement duper et seraient rares à savoirdistinguer le vrai du faux.

Il est donc bien sûr ici principalementquestion d’éducation aux médias et deculture informationnelle. La mise en placeen mai 2015 de la réserve Citoyenne del’éducation nationale après les attentats

(3) most Students Don’tKnow When news Is Fake,Stanford Study Finds, The Wall Street, 21 novembre2016

124

de janvier avait pris pour missionprincipale de trouver les volontaires sur leterritoire en vue d’intervenir dans lesétablissements scolaires avec lesprofessionnels en exercice ou en retraite.Cette réserve ne semble pas avoir remplià ce jour cette mission bien que plus de4000 personnes se soient portéesvolontaires pour l'assurer.

En septembre 2016, le groupe mGEnlance un programme d’éducationnumérique initiant un vaste programmecollaboratif d’éducation numérique àdestination des publics scolaires. Placésous le marrainage d’Axelle Lemaire,secrétaire d’état chargée du numérique, ila pour but de sensibiliser les enfants etles adolescents aux enjeux de laprotection de la vie privée sur Internet etde les aider à se prémunir des risques liésà la circulation des informations privées.

Dans la foulée, ladécision d’ouvrir unsite internet public etgratuit a été prise parle ministère del’éducation nationaleet de l’EnseignementSupérieur. BaptiséPIX, il ouvrira à larentrée 20174 pourpermettre aux élèveset étudiants, ainsiqu’à n’importe quelutilisateur, d’évaluer

et de développer ses compétencesnumériques. L’annonce en a été faite par

(4) https://pix.beta.gouv.fr/

(5) Brevets et certificatsinformatique et Internet misen place à l'éducationnationale. Tous les écoliers,collégiens et apprentis, del'enseignement primaire aulycée et CFA gérés par lesEPLE sont concernés par leB2i. Dans le supérieur, lesC2i, jalonnent, pour lesétudiants, un parcours deformation graduel. À traversla formation des étudiantsc’est, à terme, l'ensembledes professions, qui estvisée. Il existe aussi un B2ipour les adultes et d'autresattestations informatique etInternet en France et dansd'autre pays.http://eduscol.education.fr/numerique/dossier/archives/b2ic2i


dossier


la ministre de l’éducation nationale, najatVallaud-Belkacem, lors du Salon dunumérique éducatif Educatec-Educatice,le jeudi 17 novembre à Paris. Ceprogramme PIX est un service en ligneco-construit et évolutif qui est appelé àremplacer les certificats B2i et C2i5

actuellement en place du collège jusqu’ausupérieur.

apprendre à coder : pourquoi etcomment ?Il s’agit, par l’apprentissage du code dèsle CP, de former des citoyens avertiscapables de comprendre commentfonctionnent les programmes en vue dedéplacer un robot ou un personnage surécran, voire à construire une figuresimple. Au collège, le code devient mêmeun des thèmes des programmes demathématiques et de technologie. Tout

ceci doit nous rappeler des langagescomme LoGo qui servaient il y a plus detrente ans à l’écriture, la mise au point etl’exécution de programmes simples surles premiers ordinateurs. Au brevet 2017,l’épreuve de mathématiques et sciencescomportera obligatoirement au moins unexercice d’algorithmique ou deprogrammation. « L’idée n’est pas deformer des spécialistes, mais d’apporteraux élèves des clefs de décryptage dumonde numérique, de les amener à voirl’informatique autrement que comme unepensée magique à laquelle on n’aurait pasaccès », explique Florence robine,directrice générale de l’enseignementscolaire au ministère de l’éducationnationale, dans Le monde du 6 juin 2016.

Il est aussi question dans un monded’algorithmes, qui nous construisent


dossier


La page beta du site PIX

éd

ucat

ion

natio

nale

126

Alors que certains jeunes sont plus quedes adeptes de la programmation, unprojet a été dédié pour les populations lesplus défavorisées et ceux qui sont endécrochement scolaire. Ainsi, en partantdu constat que seules 38 % despersonnes sans diplôme sont internautes(contre 95 % des bacs +5), le projet

Capprio8 a pourvocation de faire du

numérique un levier d’insertion pour lesjeunes en difficulté de 16 à 24 ans.

aller dans les profondeurs du Web,veiller et connaître les cyber-risquesLes nouvelles pratiques numériques sontparfois risquées et ce n’est pas latendance au tout connecté qui changerala donne. L'exploration du Web peutdistinguer plusieurs niveaux d'accès enfonction des méthodes utilisées pour yaccéder : le Web surfacique (ou visible)qui est documenté dans les grandsmoteurs de recherche, le Web profond(ou invisible) non référencé (parce que lesmoteurs de recherche n'y sont pasautorisés ou pour lesquels une interactionavec le visiteur est nécessaire), ou encorece qui est parfois appelé le darknet, enréalité des sites Web - légitimes ou non,en tous cas plus confidentiels -uniquement accessibles via des réseauxd'anonymisation tels que Tor, Freenet ouI2P.

Dans chaque évolution du Web prennentplace de nouvelles formes d’ingénieriesociale qu’il convient d’évoquer avec les

(8) http://capprio.fr/qui-sommes-nous/

aujourd’hui, de comprendre ce que sontces calculs qui servent depuis longtempsà décrypter des tendances et à prédiredes événements dans presque tous lesdomaines de notre société. L’école ducode initiée par « Bibliothèques sans

frontières » etTralalère6 est un

exemple de programme pourles professeurs et animateurs, sansconnaissances de l’informatique,désireux de monter des ateliers d’initiationau code pour les jeunes de 8 à 14 ans. Ilpropose une formation et unaccompagnement sur mesure, ainsi quedes ressources numériques et desapplications adaptées à l’âge de leursélèves. Ces ressources ont étédéveloppées autour de 3 axes : savoir,savoir-faire, savoir-être.

Davantage orienté « savoir-être », leprogramme D-Clicsnumériques7 a pour

objectif de former les acteurs éducatifspour qu’ils puissent accompagner lesjeunes de 8 à 14 ans dans leurapprentissage des usages du numérique.Le but étant de leur donner lescompétences nécessaires à l’éducationde futurs citoyens numériques. Pourl’instant, D-Clics numériques s’adressesurtout aux animateurs et citoyensmédiateurs du numérique, mais desperspectives pour renforcer les liens avecles enseignants devraient s’ouvrir en2017.

(7) http://d-clicsnumeriques.org/

(6) http://www.tralalere.com/


dossier


127

élèves. Au-delà du phishing se trouventen effet bien des modes opératoiresvisant à capter des données, à lesréutiliser pour nous faire chanter, voireencore pour usurper nos identités. Lesméthodes de cyber-harcèlement sont envogue et fleurissent principalement àpartir des réseaux sociaux.

La cartographie avec des outils commeTouchgraph SEo permet ainsid’apprendre à descendre dans le Webprofond dit invisible et pourtant accessibleà tous pour qui se donnent la peine depratiquer les outils gratuits disponibles surla toile. De même avec Immersion, les

jeunes pourraient mieux apprécier lesinteractions se produisant dans lesmessageries comme Gmail, yahoo…

récemment, leprojet Educnum9 a

mis en place une plateforme ainsi qu’unconcours qui récompense les meilleursprojets chez les jeunes. Sur cette mêmeplateforme la cybersécurité est expliquéepar de faux hackers avec la "Hack-Academy", une brillante parodied'émission de TV réalité pour sensibiliserles jeunes internautes aux quatreprincipaux cyber-risques qui menacentleurs données personnelles. Les cahierspédagogiques n° 530 de juin 2016 ont

consacré un dossierspécial sur « Formerles futurscitoyens10 ».

vers le retour d’une instructioncivique pas seulement axée sur ledjihadismeLa tâche d'une partie des enseignants a

été délicate au lendemain des attentatsqui ont affecté les intérêts français. Lathéorie du complot et d’autres discourspervertis par une reproductiond'informations erronées et non contrôléessont ressortis dans les classes. Peupréparés à ce genre d’événements, ayantun manque de connaissance de lapsychologie adolescente d'une partie deleurs élèves, certains enseignants ont faitface à des situations complexes d’autoritécar ils n'avaient pas une pratique assurée

(10) http://www.cahiers-pedagogiques.com/reserve-citoyenne-et-culture-numerique

(9) https://www.educnum.fr


Cah

iers

péd

agog

ique

s

Un cahier spécial dédié à la citoyenneté

dossier


128

quant au traitement de ce type de sujets.La culture du débat à partir d'informationsissues du net devra inclure une rationalitéafin que les étudiants puissent considérerqu'un droit ou un fait est le produit d'unehistoire continue et interactive entre despays, des nations, des groupes d'intérêtsou des communautés. Il faudra enassimiler les principes en déconstruisantde graves errements de penséenotamment par des recherches croiséeset un réexamen objectif de vidéos enclasse. La recherche de la source fiablede l’information et son recoupement avecdiscernement en compagnie del’enseignant, voire des parents avec quion pourrait oser l’éducation dans ce sens,seraient une piste de progrès appréciable.Tout ceci demande de mettre l'objectif dela compréhension des clés de notremonde au centre de l’ensemble desdisciplines.


L’auteur

Jean-Paul Pinte, Docteur en Informationscientifique et technique est Maître deconférences et chercheur au Laboratoired'innovation pédagogique de l’Universitécatholique Cyber-criminologue.Il a écrit de nombreux articles dans des revuesspécialisées et est le co-auteur, avec MyriamQuéméner, d’un ouvrage intituléCybercriminalité des acteurs économiques:risques, réponses stratégiques et juridiquesaux Editions Hermés-Lavoisier en 2012. Il adirigé un ouvrage sur l’identité numérique dansles Cahiers du Numérique des Editions Hermes– Lavoisier (Vol 7/1 – 2011).En mai 2014 est sorti son dernier ouvrage chezHermés-Lavoisier intitulé "Enseignement,préservation et diffusion des identitésnumériques".

Il est expert scientifique au Conseil supérieurde la formation et de la recherche stratégiques(CSFRS), membre expert de l’AssociationInternationale de Lutte Contre laCybercriminalité (AILCC), de l’Académie del’Intelligence économique et du FIC (ForumInternational de cybercriminalité) depuis sacréation Titulaire d’un certificat enmanagement des risques criminels etterroristes des entreprises délivré par l'EDHECet l'INHESJ, ses compétences et son statut deLieutenant-colonel de gendarmerie (RCC)l’amènent à intervenir à l’École de Guerre àParis, à l’École Nationale de Magistrature,dans la formation continue du personnel destribunaux ainsi qu’à l’Institut National desHautes Études de Sécurité et de Justice(INHESJ).

dossier


La communication « Machine to Machine » (MTM) et ses nouveaux usages,en toute sécurité

La relation « Machine to Machine » relèvedavantage de la réalité que de la science-fiction. C'est l'évolution de la technologiequi a profondément modifié la société etpermet aujourd'hui l'interactiond’équipements servant d'interface avecun utilisateur final, comme le conducteurd'une voiture ou un patient suivi àdistance. Ceci est dû à la convergenceentre les équipements intelligents reliéspar des réseaux de communication et uncentre informatique en mesure deprendre des décisions.

LQu'est ce que le mtm ?Le « machine to machine » estl'association des technologies del'information et de la communicationavec des objets intelligents etcommunicants, dans le but de fournir àces derniers les moyens d'interagir sansintervention humaine avec le systèmed'information appartenant indifféremmentà une organisation ou à une entreprise.

En lisant cette définition, un autreconcept très proche et d'actualité nousparvient immédiatement à l'esprit,l'internet des objets (communémentappelé IoT en anglais). Toutefois unedifférence essentielle existe et doit êtreretenue. L'IoT est considéré comme unsystème où chaque objet est identifié(avec une adresse IP par exemple) etcommunique avec une plateforme detype Cloud en y envoyant ses donnéesqui peuvent parfaitement intégrer unréseau mondial. À l'instar, le mTmfonctionne dans un espace plus restrictif.

dossier

129

par FrAnck MArescAL et DArio ZUGno


FrAnck MArescAL

colonel de gendarmeriechef de l'observatoirecentral des systèmes detransport intelligents

DArio ZUGno

chef d'escadron degendarmerieobservatoire central des systèmes de transportintelligents

Les données transmises par un capteursont envoyées à un autre (via un serveursi besoin) et sont traitées via uneapplication (un logiciel propriétaire). Cesystème, plus sécurisé, nécessite depasser par un opérateur decommunication. Il s'agit en l'occurrencede philosophies différentes où deux typesde technologies existent. Il faut donc bienidentifier ses besoins et choisir leprocessus le plus adapté à son activité.

Le mtm pour quels usages ?Afin de répondre à des besoins précis, lemTm s'applique tout particulièrement aux

secteurs d'activités choisis commeexemples ci-après.

dans le domaine médical :

La e-Santé a le vent en poupe et apparaîtde plus en plus comme une solutionadéquate afin de répondre aux défis dessystèmes de santé tels que levieillissement de la population, la prise encharge de la dépendance, les inégalitésterritoriales d'accès aux soins, …

La e-Santé veut replacer l'usager au cœurdu dispositif en répondant à sa volontéd'autonomie. C'est notamment le cas des

130

La communication M to M se situe dans un écosystème global intéressant les infrastructures, descalculateurs puissants associés à des serveurs accessibles et la conservation d'une responsabilitéjuridique en cas d'incidents.

foto

lia :

bee

brig

ht


dossier

LA CommunICATIon « mACHInE To mACHInE » (mTm) ET SES nouVEAuX uSAGES, En TouTE SéCurITé

patients, maintenus dans leur domicile,atteints de maladies chroniques (diabète,insuffisance cardiaque, …) ouhandicapées et nécessitant uneassistance spécifique.

Des actes médicaux peuvent être réalisésà distance au moyen de dispositifsutilisant les technologies de l'informationet de communication (TIC) comme latélésurveillance médicale avecl'interprétation à distance des donnéesmédicales nécessaires au suivi médicald'un patient et le cas échéant unedécision relative à sa prise en charge.C'est dans le domaine de la santé que labarrière entre mTm et IoT n'est pascomplètement fermée. En effet denombreux objets connectés permettentde mesurer des données physiologiquesou l'activité physique. Ce phénomèned'auto-mesure est bien connu du grandpublic. Pourtant il existe également,comme indiqué supra pour les personnesatteintes de maladies chroniques, desoutils tel que la pompe à insulineconnectée qui permet d'ajuster la dosed'insuline après contrôle du niveau deglucose par le smartphone.

dans l'automobile (avec un focusparticulier sur la gestion de flotte)

C'est probablement dans ce domaine queles innovations attendues sont les plusfortes. La remontée d'informations depuisles véhicules permet à l'entreprise detransport de gérer en temps réel son

parc, le suivi de véhicules, sans perdre devue l'amélioration du comportement duconducteur. La géolocalisation permetd'optimiser le planning des visites(réactivité de l'entreprise face auxdemandes des clients). Les donnéesémises par le boiter télématique installédans le véhicule permettent de connaîtrela consommation réelle de carburant etde suivre plus précisément l'usure descomposants nécessaires au bon entretiendes véhicules.

Les constructeurs automobiless'intéressent aux clients professionnels etproposent des solutions clés en main.C'est le cas du groupe PSA PeugeotCitroën qui commercialise une solution demobilité connectée « Interparc Connectmanagement ». Cet outil de gestionpermet de remonter des données depuisles véhicules vers le gestionnaire de parc.Toujours sur la gestion de flotte,l'Aéroport de Paris Charles de Gaulle adéveloppé un service permettantd'optimiser le flux des taxis. La solutionconsiste à mettre en place une zone destockage des taxis à moins de 2kilomètres des terminaux, plus une zonetampon non loin du point de prise encharge des clients. Des badges rFIDéquipent les taxis qui permettent ladétection automatique des véhicules dansla zone de stationnement (entrée et sortie)et de prise en charge des clients. Despanneaux électroniques incitent leschauffeurs de taxis à passer d'une zone à


dossier


l'autre en fonction de l'arrivée des clients.Les apports du mTm sont indéniables entermes de réduction du temps d 'attentedu taxi et des clients. un autre intérêt nonnégligeable consiste en la réduction de lafraude car les taxis non équipés de badgesont contraints de repartir.

D'autres exemples voient le jour avec leparking qui communiquera au véhicule ladisponibilité de places, l'infrastructureroutière (comme le feu de circulation) quienverra des indications ou les systèmescollaboratifs entre véhicules qui alerterontdes dangers (voir le projet SCooP ci-après).

Il est toujours difficile de parlerd'innovations sans parler des nouvellestechnologies.

état de l'art technologiqueLa communication V2X comprendl'échange de données entre véhicules etentre les véhicules et l'infrastructureroutière, ceci étant possible dans labande de fréquence allouée (5,9 Ghz) quicorrespond à la norme européenne pourles communications spécifiques devéhicule connue sous le vocable ETSIITS-G5 (WIFI de dernière générationd'une portée pouvant aller à 1000mètres).

D'importants travaux de standardisationont été effectués et, parallèlement à cestravaux, des projets sont en cours pourmettre en application les possibilitésoffertes par ces nouvelles technologies. Il

s'agit d'une volonté forte de l'unionEuropéenne marquée par la déclarationd'Amsterdam des ministres desTransports d'avril 2016.

Ce système coopératif doit fonctionnerdans des circonstances critiques. Il estalors nécessaire de prendre en compte ladistance et la vitesse des véhicules quicommuniquent, la densité du trafic ainsique l'environnement qui peut influer sur lapropagation du signal, sans oublier laproblématique de la congestion où ilfaudra gérer l'ensemble destransmissions.

D'autres technologies existent pourdisposer de la meilleure couverture enfonction de l'environnement. Il est fait iciréférence à la technologie cellulaire (4G etdans quelques années 5G), auxtechnologies de communications à courtedistance telles le Li-Fi (transmission dedonnées via les ondes lumineuses) ou àlongues portées telles que les solutionsIoT (LorA et SIGFoX) qui secaractérisent par de très faibles débits.

Projet scoop@fAfin de préparer le déploiement des STIcoopératifs à l'échelle nationale, la Frances'inscrit dans un projet dénomméScoop@f qui se caractérise par unegrande variété de types de routesempruntées (autoroute, voie rapide, routedépartementale et de montagne). C'estun projet lancé par le ministère deL’écologie, du Développement durable et


dossier


de l’énergie en 2014. Il regroupe autourdu ministère plusieurs partenaires publicset privés (collectivités locales,gestionnaires routiers, constructeursautomobiles français, instituts oulaboratoires de recherche et PmE).

L'échange d'informations entre véhiculeset entre le véhicule et la route se fera viala fréquence Wifi ITS-G5 par des unitésembarquées dans les véhicules (uEV) etdes unités bord de route (uBr)permettant d'établir les communications.une plateforme assure la collecte desinformations et l'envoi des messages auxunités embarquées dans les véhiculesdans le cadre d'accident, de présenced'obstacles ou de dangers, de difficultésde circulation, …

Grâce à la collecte des données,l'information routière en temps réel serarelayée aux conducteurs par un traitementen back office assurant la complètesécurité du système.

Scoop@f déploiera 3 000 véhicules sur2 000 kilomètres début 2017 et vise àaméliorer la sécurité routière ainsi que lasécurité des agents d'exploitation quiinterviennent sur les routes pour destravaux et autres opérationsd'exploitation.

La gendarmerie nationale participera à cebeau projet en ayant des véhiculeséquipés d'unités (uEV) en Bretagne et surl'A4, autour de reims, dans le but de tirerdes enseignements de cette

expérimentation afin d'améliorer nosmodes d'action.

Problématique de la sécuritéLes aspects sécurité et confidentialitésont des problèmes majeurs pour tous lesobjets de communications. Dansl'exemple du V2X, il faut toutparticulièrement veiller à la disponibilité,l'intégrité et à la confidentialité decertaines données qui transitent entre lescentres de supervision (constructeurs,opérateurs de service) et le véhiculeconnecté qui sera un jour autonome,entre le véhicule et les unités de bord deroute et entre les véhicules eux-mêmes.

En France, la sécurité des systèmesd'information relève aujourd'hui del'AnSSI et ce domaine est parfaitementréglementé. Des guides de bonnespratiques génériques ou spécifiquesaident les constructeurs à développerleurs objets connectés. L'EnISA (Agencede l'union Européenne pour la sécuritédes systèmes d'information) proposeplusieurs guides en fonction de l'objet(IoT, Transports, Véhicule, …).

Il s'agit là de prévenir des agressions surles communications, par exemple le dénide service, l'intrusion, l'injection de virus,l'usurpation ...

Des solutions existent pour sécuriser lescommunications en créant unearchitecture de sécurité qui exécute uneprocédure de PKI (Public KeyInfrastructure) et qui fait intervenir


dossier


134

Il est demandé aux constructeurs et auxfournisseurs de faire de la protection dessystèmes électroniques et informatiquesdes véhicules contre les risques depiratage l'une de leur priorité et des'attaquer à ce problème dès le début duprocessus de développement desnouveaux modèles (security by design).

La mobilité n'a jamais été autant au cœurdes problématiques du bien-être descitoyens avec le véhicule connecté etbientôt autonome et les smart cities, maisces défis ne pourront être relevés qu'enprésentant une technologie sans faille,fiable et suscitant la confiance desutilisateurs.

différentes autorités de certification afinde protéger la communication V2X contreles attaques externes (société Idnomicest dans ce projet). Ainsi, il est nécessaired'assurer l'authenticité, l'intégrité et lanon-répudiation des messages transmispar une signature, d'éviter le rejet par unedatation du message, sans oublier laprotection de la vie privée dans le cadredu respect de l'anonymat par une clé designature à courte vie pour les véhicules(afin d'assurer l'anonymisation).

Le corollaire de ce niveau de sécuritéinduit par la mise en place de nombreuxserveurs (PKI, identifiants, détectiond'attaques) est un trafic decommunication significatif. C'est une desraisons qui incite à développer l'emploi ducellulaire en appoint du vecteur IEEE802.11p (Wifi G5). Pour cela, la norme 5Gest en cours de définition par lesopérateurs de communications mais nesera pas opérationnelle avant 2025environ.

Concernant la question de lacybersécurité des véhicules, la NationalHighway Traffic Safety Administration(nHTSA) américaine a publié, le24 octobre 2016, des recommandationssur la façon dont les constructeursdevaient aborder ce problème. Ellesviennent en complément du guide debonnes pratiques de la SAE (Société desIngénieurs de l'Automobile uS) et del'AutoISAC (un centre de partaged'informations et d'analyse d'attaques surles véhicules implanté aux uS).


dossier


135

Comme le prône l'Institut derecherche TechnologiqueSystemX, située à Saclay, les

constructeurs devraient faire de lacybersécurité un avantage commercial.Les projets développés dans cet instituten collaboration avec des industrielspermettent d'atteindre cet objectif. Au-delà, les constructeurs devraient faire lapreuve du bon niveau de cybersécuritédès la mise sur le marché d'un nouvelobjet connecté. Ils sont de plus en plusnombreux à s'inscrire dans cette logique.

Gardons à l'esprit que le nouveaurèglement européen sur la protection desdonnées (appelé rGPD), qui entrera envigueur le 25 mai 2018, définit uneobligation de résultat et non pas demoyens. Le défaut de sécurité quientraînera des problèmes de divulgationsde données et donc d'atteinte à la vieprivée sera sanctionné par une amendede 4% du chiffre d'affaires mondial dugroupe !

La sécurité de l'IoT et du mTm est ainsidevenue une composante incontournable.L'oCSTI, par ses actions de prévention,en montrant les vulnérabilités et lesrisques encourus, participe à la stratégienationale pour la sécurité numérique.


variete de nouveauX usages etnouveLLe PoLitiQue du risQue

Les collectivités territoriales sont confrontées à la complexité et la variété desusages suscitées par les nouvelles technologies. C'est un enjeu primordial, politiquesans aucun doute, qui touche à la confiance des usagers en des relations dématérialiséesqui se doivent de conserver une dimension humaine au gré d'applications intuitives,accessibles et fiables.

Les réponses existent pour peu que l'on fasse référence aux prescriptions del'ANSSI, que l'on choisisse des prestataires inscrits dans cette logique dès laconception des produits, que l'on favorise les solutions cryptées et que l'on placela protection des données à caractère personnel au centre des préoccupations.

Cette politique volontariste est la clé de la confiance numérique du citoyenconnecté mais elle doit être portée par des directeurs généraux de service quisachent s'entourer d'organes susceptibles d'identifier les risques encourus, desérier les dispositifs à installer et de mobiliser les ressources humaines et budgétairesà y consacrer. Dans ce cadre financier, outre les maintenances classiques, on doitobligatoirement inclure le coût des évolutions des systèmes au gré des avancéestechnologiques et sociétales.

techniQue

136

chom

bosa

n

Revue de la Gendarmerie Nationale 4e trimestre 2016

collectivités locales et cyber-risques

Les collectivités locales, en introduisantconstamment de nouveaux usages destechnologies digitales, accroissentinexorablement leur exposition auxcyberattaques. Les enquêtes récentestémoignent globalement d’uneinsuffisance des mesures préventives.Bien que le risque zéro n’existe pas, lescollectivités locales, par une prise deconscience aiguë, peuvent accroîtreconsidérablement leur protection etleur résilience.

Les collectivités locales, comme lesinstitutions et les entreprises, n'échappentpas à l'introduction massive de nouveaux

usages issus descyber - technologies.La multiplication deceux-ci accroît lavulnérabilité dessystèmes. Le champdes usages dunumérique est trèsvaste pour une

Lcollectivité. Il va du simple site informatifjusqu’à l'utilisation d’objets connectés(les feux tricolores par exemple ) enpassant par des transactions de typecommercial.

En septembre 2015,PrImo France1 apublié un rapport2,fruit d’un travail deplusieurs mois,dressant un état deslieux des cyber-risques descollectivités. Suite àl’envoi d’unquestionnaire auxcollectivités, lesrésultats ont été

discutés dans un premier groupe detravail réunissant PrImo, des acteursprivés du monde de l’assurance et desDGS. Cette étude a pu mettre en lumièreun réel manque de connaissances et desensibilisation des collectivités et de

(1) Association dédiée à lagouvernance du risque et àla gestion du risque public.Fondée entre les directeursgénéraux des collectivitéslocales, le groupe marsh,Dexia, elle fait partie duréseau européen de PrImoEuroPE, ce qui lui permetde bénéficier des meilleuresinformations de bonnepratique et debenchmarking. Lieud'échange et de réflexion,Primo crée un espacecollaboratif de dialogue avectous les acteurs de lagestion du risque.

(2) « Les collectivités localesface aux conséquences ducyber-risque », Septembre2015

techniQue


par GérArD coMbes

GérArD coMbes Président de l’associationPrimo france

138

entachera quoi qu’il arrive l’e-réputationdes collectivités et aura de toute évidenceun impact sur sa vie politique ; cesattaques sont les plus fréquentes etdeviennent de plus en plus virulentes. Lesconséquences du vol ou de la perte dedonnées, souvent contre une demandede rançon, sont plus préoccupantes:outre d'éventuelles pertes d'argent pourla collectivité, les données peuvent êtredétruites ou revendues pour un usagefrauduleux. Les possibilités de recours ducitoyen sont réelles, puisque laresponsabilité civile des élus et duresponsable de la sauvegarde desdonnées est engagée. une attaque endéni de service, consistant à bloquerl’accès aux serveurs et empêcher le bonfonctionnement d’un ou plusieursservices, peut être désastreuse. Enfin, un

leurs agents quant à la profondeur descyber-risques. Bien que bon nombred’entre elles fassent preuve deconscience et bonne volonté, lescollectivités peinent à atteindre un niveauminimal de protection des données ;quand bien même elles auraient mis enplace une prévention renforcée (SSI,antivirus, firewall, cryptage…), presqueaucune aujourd’hui n’est couverte faceaux conséquences du cyber-risque. Lescollectivités sont en cela proches descomportements des individus ou desentreprises face à un risque identifié,correctement perçu mais face auquel laprévention et la protection ne sont passuffisantes.

Quels risques pour les collectivités ?La défiguration de site (ou défaçage) estl’attaque la moins grave mais elle

Une conception liée à des développements locaux qui n'intègrent pas nécessairement des optionsde sûreté pourtant impératives.

Prim

o-Fr

ance

et

mar

sh


techniQue

CoLLECTIVITéS LoCALES ET CyBEr-rISQuES

hacker qui a tout pouvoir sur le systèmeet qui décide de le libérer ou non, peutavoir la possibilité de détruire toutes lesdonnées et les services associés.

Lors d’une rencontre avec des Directeursgénéraux des services en 2015, l’un desinvités a eu l’occasion de relater sonexpérience de perte de données survenuerécemment dans sa collectivité. L’incidenta nécessité un travail de longue haleine etune énergie colossale, mobilisant denombreux acteurs de la collectivité. Lescoûts engagés ont été particulièrementélevés : face à l’urgence de la situation,toutes les solutions proposées ont ététentées, sans pour autant n’avoir aucunecertitude sur leur efficacité. Ce typed’incident entraîne d’importants coûts deréparations, d’honoraires pour conseils etd’éventuels frais suite aux réclamationsdes tiers lésés.

L’attaque idéologique est généralementune réponse à un projet ou un événementrécent. Elle nécessite une mise en placerapide par le hackeur et elle est peuorganisée et précise. De plus, cesattaques, généralement conçues pourêtre vues par le plus grand nombre, sontde facto facilement détectables. Enrevanche, l’attaque crapuleuse, visant àsoutirer des informations ou de l’argent àla cible, nécessite d’être extrêmementpréparée et très sophistiquée ; en cela,elle est particulièrement difficile à détecteret peut se produire sur un tempsparticulièrement long.

Les chiffres révélés par l’enquêteindiquent une forte exposition descollectivités aux cyberattaques. Dans lepanel retenu, aucune des collectivitéssondées ne crypte ses données, et 5 %d'entre elles déclarent ne pas connaîtrecette possibilité, et moins de 15 % ontdéclaré avoir pris connaissance duréférentiel général de sécurité. Parailleurs, alors que 70 % des collectivitésinterrogées ont déclaré être passées parun prestataire pour la conception de leursite internet, 15 % ont fait concevoir lesite par un agent de la collectivité …

Lorsque l’on sait que seulement 10 %des collectivités procèdent à desformations de sensibilisation aux cyber-risques pour leurs agents, et queseulement 13 % utilisent des procéduresde révocation des comptes professionnelsaprès le départ des agents, le risque setrouve considérablement accru.

Pourtant, les collectivités sont vouées àse digitaliser, soit par la force des choseset par la volonté des citoyens, soit par lesactions du législateur. Ainsi les servicespublics sont destinés à être de plus enplus accessibles et gérés en ligne. Laplupart des collectivités sont d’ores etdéjà passées à une gestion informatiséede nombreux services comme ladistribution des eaux, l’éclairage public, letraitement des déchets ou la gestion desréseaux électriques. L’évolution rapidedes technologies entraîne uneaugmentation des exigences du citoyen


techniQue


Twitter alors que 89 % des conseilsrégionaux ont un compte Facebook, et

81% ont ouvert uncompte Twitter3.

L’administration électronique ou e-administration se veut être un moyen desimplification de l’organisationadministrative et des relations avec lescitoyens, en favorisant les échangesd’informations et de données. Cesnouveaux enjeux numériques imposésaux collectivités les propulsent dans unmonde de données et de menacesauxquelles elles ne sont pas préparées.

De plus en plus, les collectivitésproposent des services en lignes pourprocéder à des actes administratifscourants, tels que les demandes d’actesd’état civil, le règlement des factures decrèches, des activités gérées par lescollectivités (école de musique, d’art,théâtre…), transformant ainsi une simpleinterface web en site transactionnel. LeLivre blanc - Téléservices et collectivités

20104 listait déjà lesservices les plusdemandés par lescitoyens. Force estde constater que les

demandes sont nombreuses et que laplupart d’entre elles nécessitent la gestionde données personnelles etconfidentielles comme les donnéesbancaires. La demande de digitalisationdes services est croissante. Elle vademander aux collectivités de s’engager

(3) http://www.ideose.com/barometre-collectivites-territoriales-reseaux-sociaux/

(4)https://issuu.com/gfiinformatique/docs/gfi_livre_blanc_collectivit__s_d__f

http://www.collectivites-locales.gouv.fr/zoom-sur-ladministration-electronique

en matière de participation citoyenne etde gestion administrative.

Les nouvelles pratiques au sein descollectivités : le citoyen connectéLa participation citoyenne aux politiquesde la ville est en plein développement : lescommunes développent de plus en plusdes applications pour smartphone outablettes pour diffuser de l’information etdes messages, faire des signalementsvoire, comme à Lyon, Aix-en-Provence oumontreuil, recueillir de la donnée, via lagéolocalisation de l’utilisateur. Avecl’essor du concept de « ville intelligente »(ou smart city) on peut s’attendre à ceque de nombreuses applications sedéveloppent en lien avec la ville et lesservices proposés par la collectivité quidevra être la garante de la bonneadministration de ses données et bienévidemment de leur protection.

Les plates-formes collaborativescitoyennes semblent recevoir toutel’attention des communes et deshabitants. Elles permettent aux citoyensde s’exprimer, d’échanger et de débattresur leur quartier ou sur leur ville,démontrant que l’échange se passe aussi– et surtout – sur le web, à l’instar de laplate-forme nantes&Co. Les réseauxsociaux séduisent également de plus enplus les collectivités et les citoyens : 55 %des villes préfectures sont présentes surFacebook et 50 % ont un compte Twitter.68 % des conseils généraux sontprésents sur Facebook contre 50 % sur

techniQue



dans la sécurisation des réseaux et desprocess, dans la formation à la collecte, àla gestion et à l’accès aux données, enintégrant cette problématique nouvelleaux politiques publiques. De fait, au vudes nombreux piratages informatiquesdes années précédentes, il est légitime des’interroger sur le niveau de protectiondes collectivités face au cyber-risque,d’autant plus qu’il existe une particularitépour les collectivités qui touche à l’imagede l'élu.

Les données des collectivitésLes intervenants externes comme lesassureurs spécialisés et les cabinets deconseil en gestion des risques sont tout àfait en mesure d’identifier les risques etles données particulièrement sensiblesdes collectivités. un intervenant majeur dudomaine et partenaire de Primo Francedéclarait récemment qu’« au vu desnombreuses missions que doivent gérerles collectivités, il est évident quechacune d’entre elles est amenée àconserver des données particulièrementsensibles. On pourrait qualifier de donnéesensible toute donnée confidentielle ou àcaractère personnel ». un article de la loi« informatique et libertés » de 1978 enpropose une définition précise :« Constitue une donnée à caractèrepersonnel toute information relative à unepersonne physique identifiée ou qui peutêtre identifiée, directement ouindirectement, par référence à un numérod’identification ou à un ou plusieurs

éléments qui lui sont propres ». Ce dernierpoint fait référence par exemple, à unnuméro de sécurité sociale,l’immatriculation d’un véhicule, un numérode carte bancaire, une adresse IP, unephoto… « Parmi toutes les donnéesconservées par les collectivités, poursuit-il, on peut distinguer les donnéespersonnelles – noms, prénoms, adresse,état civil… – des données purementconfidentielles – données bancaires,données sociales des communes, CCAS,départements… – ainsi que toutes lesdonnées de gestion des collectivités –service des ressources humaines, servicecomptable, service paie – qui peuventdétenir des bases de données complètesavec toutes les informations des agents ».

Les collectivités locales doivent prendre lamesure des risques qu’elles font prendreà leurs administrés. Il est de laresponsabilité des élus d’agir, en premierlieu, sur leur capacité à pouvoir réagir viteet contenir les effets d’une perte massivede données. malgré toutes les mesuresqui peuvent être prises en matière desécurité informatique, les experts sontformels : le risque zéro n’existe pas. Lescibles d’attaques sont parfois desvictimes prises au hasard d’un envoimassif d’e-mails infectés, et un simple clicpeut plonger la collectivité dans ledésastre. Le transfert de ce risque versl’assurance est l’ultime protection contreles conséquences financières d’unecyberattaque. La plupart des assureurs

techniQue



142

spécialisés mettent à disposition desassurés une cellule de gestion de criseexternalisée, des experts informatique eten communication, mobilisables enurgence.

mais auparavant, il convient que lacollectivité s’organise pour répondre aumieux aux défis du cyber-risque. Lapremière action , recommandée parl’association PrImo consiste à connaîtreparfaitement les risques encourus en lesidentifiant précisément et en estimantleurs conséquences. La deuxième actionconsiste à disposer d’un comitéspécialisé sur le cyber-risque relevant del’autorité du Directeur général desservices, assurant un état des lieux encontinu et en procédant à des simulationsd’attaques ou de crash test..

Grâce à ces quelques mesures simples,la collectivité pourra être en mesure nonseulement de mieux se protéger maisaussi de se mettre dans une situation plusfavorable en termes de résilience.s

techniQue



L’auteur

Gérard Combes a notamment occupé lesfonctions professionnelles suivantes:Directeur général de la Ville de Nancy ;Directeur régional Ile de France de la Caissedes dépôts et Consignations ; Directeur del'économie mixte et des participationspubliques de la CDC , à ces titres a présidéle directoire de la société de financementsolidaire Solidec SA, a siégé au Conseild’Administration de plusieurs sociétés . Il aensuite été délégué général du CESER RhôneAlpes.Extra professionnellement il a été : Présidentdu Syndicat National des directeurs générauxdes collectivités territoriales et Présidentfondateur de l’Union des dirigeantsterritoriaux européens.Il est actuellement président de l’associationPRIMO FRANCE , dédiée aux risques publics.Il est Chevalier dans l’ordre national duMérite.

143

aLLer PLus Loin

techniQue



administrations et entrePrises gardiennesd'un Patrimoine informationneL

Une entreprise ou une administration doit être génératrice de services fiableset continus au profit d'un particulier ou d'une collectivité. Ils s'inscrivent globalementdans une économie numérique et un patrimoine informationnel qui doivent êtreprotégés. L’environnement hyper-connecté des systèmes d’information, la croissancedu nombre d’utilisateurs et la forte émergence de l'internet des objets augmententla variété des services et les surfaces d'attaques. L'obligation particulière faite auxadministrations de dématérialiser leurs procédures ouvre leurs systèmes d’informationsaux services en lignes. Pourtant, malgré la prégnance des incidents par malveillance,près de la moitié des entreprises ne disposent pas d’un instrument permettant leurmise en évidence et leur traitement alors que les cyberattaques sont souventmassives et touchent des cibles indifférenciées.

La sécurisation de cette bulle numérisée doit résulter d'une expertise technique(DSI, prestataires de services, etc.) mais également d'une prise de conscience parles décideurs de l'incidence létale pour le système de pratiques inappropriées destechniciens et des utilisateurs. Le fondement d'une politique de sécurité reposesur une prise de conscience, une compréhension des questions de sécurité et ledéveloppement d'une culture de la sécurité. C'est une stratégie qui ne peut êtreconduite qu'à haut niveau pour assurer de son caractère impératif et de sa cohérence.

techniQue

144

Foto

lia


La cybersécurité efficace, une affaire de culture

Il n’y a jamais eu autant de matériels etd’intelligence artificielle au service de lacybersécurité, et pourtant elle n’ajamais été aussi malmenée,notamment, par des cyberattaquesconstitutives de la force de frappe desterroristes et mises au rang d’armementmilitaire par certains Etats. Toutefois,une cyberattaque réussie est rarementle résultat d’une sophisticationtechnologique et elle est souvent laconséquence des transactions d’unutilisateur insouciant ou berné. Ce quiamène à s'interroger sur le fait qu'une

cybersécuritéefficace estfinalement uneaffaire de culture.

Dès lors qu’onaborde la question dela cybersécuritéauprès de toutessortesd’organisations,

Iquels que soient leur secteur d’activité etleur taille, celles-ci ont en généraltoujours le sentiment de disposer d’unesécurité de leur Système d’information(SI) adéquate ou au moins suffisante touten étant parfaitement conscientes deleur extrême dépendance à leur SI.Pourtant tout porte à croire que malgrédes efforts de plus en plus importants enmatière de sécurité, notamment du faitde la croissance des investissementstechnologiques dans ce domaine, ledanger est loin d’être écarté.

des investissements technologiquespour la cybersécurité en croissanceet des attaques réussies tout aussicroissantesLe rapport 2016 du Clusif1 sur les« menaces informatiques et pratiques dela sécurité » (mIPS)2 indique que lesincidents logiques par malveillance sonttoujours en croissance. Arrivent en têteles infections par virus avec 44% des

techniQue


par JeAn-PAUL PoGGioLi

JeAn-PAULPoGGioLi directeur de projet etconsultantmédiaterra consultants

146

la continuité d’activité alors que toutes sesavent dépendantes de leur SI !

nous avons tous en tête les attaquesspectaculaires qui ont frappé de grandsgroupes internationaux avec un impactéconomique particulièrement conséquent.Fin novembre 2014, l’affaire Sony Picturesfait la une de l’actualité de lacybercriminalité. une attaque auraitdémarré à son encontre en février 2014avec l’extraction de plus de 110 To dedonnées. Le 21 novembre,

entreprisesconcernées, soit14 points de plusque l’annéeprécédente. Pourtant49 % de ces mêmesentreprises nedisposent toujourspas d’une cellule decollecte et detraitement des

incidents de sécurité de l’information…Près du tiers ne prennent pas en compte

(1) Clusif : Club de laSécurité de l’InformationFrançais -https://www.clusif.fr/ - clubprofessionnel, constitué enassociation indépendante,ouvert à toute entreprise oucollectivité. Sa finalité estd’agir pour la sécurité del’information, facteur depérennité des entreprises etdes collectivités publiques.

(2) https://www.clusif.fr/fr/production/ouvrages/pdf/CLuSIF_2016_rapport-mIPS_vF.pdf

max

sim

Fot

olia


Les opérateurs humains par la variété des connexions liées à leurs métiers sont les maillons faiblesd'une sûreté des transactions mise en place par les DSI. Ils sont au cœur d'une culture decybersécurité réussie

techniQue

LA CyBErSéCurITé EFFICACE, unE AFFAIrE DE CuLTurE

l’établissement reçoit un courrierélectronique de demande de rançon. Legroupe pirate « GoP » menace de publiersur la toile l’ensemble des informationspiratées (films, mails confidentiels,contrats et secrets commerciaux,données personnelles…). Tandis queSony Pictures refuse de payer, 3 joursplus tard un malware se propage surl’ensemble des postes de travail Windowset 75 % des serveurs du groupe. SonyPictures est paralysé, les personnels sontprivés de leurs outils logiciels de travail.La France n’est pas épargnée avec, enavril 2015, le piratage de tout le systèmeinformatique de production et de diffusiondes sites web, twitter, Facebook… de lasociété TV5 monde. Il aura pourconséquence l’arrêt de la diffusion dansplus de 200 pays !

des attaques de masse non cibléesqui visent tout type de systèmeinformatiquemais ces histoires, bien qu’ayant fait laune de l’actualité grand public, ont euassez peu de conséquences dans laplupart des organisations saufcertainement dans les grands groupes quiont actionné leurs plans de prévention,leurs revues de sécurité et autresmissions d’audits. Finalement cetteactualité aurait même tendance à fairepenser que seuls les grands groupes, lesopérateurs industriels stratégiques ou lesentreprises détenant des informations deforte valeur marchande comme des

numéros de cartes bancaires sontpotentiellement la cible d’unecyberattaque. or, il n’en est rien, car il y ade plus en plus d’attaques de masse,avec par exemple les malwares de type« cryptolocker » plus communémentbaptisés « ransomwares ». Ces derniersune fois exécutés s’attaquent aux unitésde stockage, locales ou sur serveurs, etcryptent les fichiers. Il est demandé unerançon pour permettre leur décryptage.une fois les fichiers contaminés, la seulesolution est de repartir de sauvegardessaines à condition d’en disposer. Payer larançon n’offre que rarement une issuefavorable ! Selon une étude menée parTrend micro auprès des directeurs dessystèmes d’information des entreprisesfrançaises, 40 % avouent avoir ététouchés par des ransomwares dans lesdeux dernières années. Si 50 % de cesvictimes ont accepté de payer la rançon,seulement 32 % d'entre-elles ont pueffectivement récupérer leurs données.

Il nous faut rajouter de nouvelles menacesqui visent directement l’économie de nospays, voire nos modèles sociaux etpolitiques. Les terribles événements dejanvier 2015, qui ont visé Charlie Hebdo etla supérette kasher de la porte deVincennes, ont été suivis de nombreusesattaques de sites web, particulièrementdes sites institutionnels de petitesorganisations (environ 20 000 sites webont été défacés affichant des images deDaesh en lieu et place de leur page


techniQue


– les équipements IP qui verront leurnombre passer de 16,3 milliards à 24,4milliards ;

– le trafic réseau qui passera de 72,4exaoctets à 168 exaoctets de trafic IP parmois ;

– les données dont les volumes passerontde 8,8 zettaoctets à 44 zettaoctets.

n sixième facteur impacte plusspécifiquement les administrations :l’obligation de dématérialiser leursprocédures administratives a pourconséquence une large ouverture de leurssystèmes d’information aux services enlignes.

un dénominateur commun pour 85 %des compromissions en secteurpublicCe qui est le plus frappant lorsqu’onanalyse la plupart des cyberattaques,c’est la facilité et la rapidité avec laquelleelles ont pu se dérouler. Le rapportd'enquête 2015 sur les compromissions

de données, élaborépar Verizon4, préciseque dans 60 % descas, les attaquantsont pu compromettreune organisation enquelques minutes. Ilfaudra des jours pourcontenir l’incident

dans près de 40 % des cas, et dessemaines, voire des mois, pour 26 % des

(4) Verizon : Groupe uS detélécommunications et deréseaux implanté dans 150pays. Le rapport d'enquêteVerizon 2015 sur lescompromissions de données(DBIr) fournit une analysedétaillée de près de 80 000incidents, dont 2 122compromissions de donnéesconfirmées :http://www.verizonenterprise.com/r3s0u4c3s/es_dbir-executive-summary_fr.pdf

d’accueil). Depuis il n’est plus rared’entendre parler de piratage de comptesde réseaux sociaux à des fins depropagande, comme ce fut le cas pour lecompte twitter du journal Le monde piratépar l’Armée électronique syrienne finjanvier 2015.

une surface d’attaque en fortecroissance qui n’épargne pas lesadministrations L’environnement hyper-connecté danslequel se trouvent les systèmesd’information, la croissance du nombred’utilisateurs ou encore l’explosion encours de l’internet des objets ne peuventque contribuer à l’aggravation desrisques, on parle alors d’augmentation dela surface de cyberattaque.

Dans son rapport sur les prévisions à cinqans sur lacybersécurité,mcAfee Labs3

spécifiel’augmentation de lasurface decyberattaque avec lacroissance de 5

facteurs d’ici 2019 :

– les utilisateurs, au nombre de3 milliards en 2015, passeront à4 milliards en 2019 ;

– les connexions de smartphones quipasseront de 3,3 milliards à 5,9 milliards ;

(3) mcAfee Labs est ladivision de recherche sur lesmenaces d'Intel Security.C'est l'une des principalesréférences à l'échellemondiale en matièred'études et de cyberveillesur les menaces. rapportsur les prévisions en matièrede cybermenaces en 2016et au-delà :http://www.mcafee.com/fr/resources/reports/rp-threats-predictions-2016.pdf


techniQue


cas. Dans ce même rapport, on apprendque pour le secteur public 85 % descompromissions portent sur 3 modèlesd’attaques et que le dénominateurcommun de ces modèles est l’humain :

– logiciels criminels (50 % descompromissions) : Il s'agit d'unecatégorie large, couvrant toute utilisationd'un logiciel malveillant pourcompromettre des systèmes. Cette actionest habituellement opportuniste etmotivée par l'appât du gain ou la volontéde nuire aux institutions. L’activation del’attaque par ces logiciels criminels esttoujours le fait des utilisateurs, la plupartdu temps sans qu’ils en aient l’intention,par exemple en ouvrant une pièce jointecompromise ou en cliquant sur un lienmalicieux…

– erreurs diverses (23 % descompromissions) : on peut citer l'envoid'informations sensibles à desdestinataires incorrects, la publication dedonnées non publiques sur des serveursWeb publics et la destruction nonsécurisée de données personnelles et/oumédicales.

– menace interne (12 %) par délit d’initiéet abus de privilèges : Il s'agitprincipalement d'une utilisation abusivede données ou de fonctionnalités par lesemployés de l’administration mais le plussouvent par des personnes extérieures(du fait d'une collusion) et par des

partenaires (parce que des privilèges leuront été accordés).

– attaques des applications Web :L'utilisation d'identifiants volés oul'exploitation de vulnérabilités dans desapplications Web — comme les systèmesde gestion de contenu (CmS) ou lesplateformes de commerce électronique.

– vol ou perte physique : La perte ou levol d'ordinateurs portables, de clés uSB,de documents imprimés et d'autres actifsd'information, principalement dans lesbureaux et les véhicules. Dans ce caségalement la responsabilité desutilisateurs est évidente.

développer une culture de la sécuritéIl ne faut donc pas limiter son regard auxseuls environnements techniques maiss’intéresser aussi à la composantehumaine des systèmes d’information.L’oCDE (l’organisation de coopération etde développement économique) l’avaitidentifié dès 2002. Dans les "Lignesdirectrices régissant la sécurité dessystèmes et réseaux d’information »,sous-titrée « Vers une culture de lasécurité », la préface indiquait : « Du faitde leur connectivité croissante, lessystèmes et réseaux d’information sontdésormais exposés à un nombrecroissant et à un éventail plus large demenaces et vulnérabilités, ce qui pose denouveaux problèmes de sécurité. Lesprésentes lignes directrices s’adressent


techniQue


150

Ainsi, la cybersécurité intéresseautant les technologies que lesprocess ou encore une culture

nécessaire de tous les utilisateurs. Dansune infrastructure informatique, aussisophistiquée soit-elles, du point de vuetechnologique et de sa cyberdéfense,l’utilisateur non averti constituera toujoursun point de vulnérabilité majeur. La culturede la cybersécurité doit alors êtrepartagée par tous les utilisateurs dessystèmes d’informations de nosorganisations, c’est à cette condition quenos cybersociétés deviendront plus sûres.

donc à l’ensemble des parties prenantesà la nouvelle société de l’information, etsuggèrent le besoin d’une prise deconscience et d’une compréhension desquestions de sécurité accrues, ainsi quela nécessité de développer une culture dela sécurité ».

En effet, les erreurs de manipulation destechniciens de l’informatique ou mêmedes simples utilisateurs, le manque deprécaution à l’égard des identifiants tropsimples, trop accessibles, ou beaucouptrop facilement communiqués, l’ouverturede pièces jointes compromises ou encorela saisie de données confidentielles surdes formulaires usurpant des sites licites,sont en réalité les principales causes depertes, de compromissions ou de fuitesde données, d’altération parfois totaled’un patrimoine informationnel. Dans sonlivre « Secrets & Lies. Digital Security in aNetworked World » (Secrets etmensonges. Sécurité numérique dans un

monde en réseau),Bruce Schneier5

résume très biencette problématiquepar cetteconsidération : « Sivous pensez que la

technologie peut résoudre vos problèmesde sécurité, alors vous n'avez riencompris à vos problèmes ni à latechnologie ».

(5) Cryptologue, spécialisteen sécurité informatique etun écrivain américain auteurd’une littérature reconnuetraduite en de nombreuseslangues notamment sur lessujets de la cryptographie, ilest également auteurd’algorithmes de chiffrementpopulaires et inviolés à cejour.


techniQue



L’auteur

Jean-Paul Poggioli est ingénieur diplômé dudépartement Informatique de l'INSA de Lyon.Il a fait une première carrière d'une quinzained'années en sociétés de services etd'ingénierie informatique dans un largeéventail de responsabilités, du génie logiciel àl'intégration d'infrastructures notamment pourdes administrations et collectivités locales.Depuis une vingtaine d'années, il intervient enmission d'assistance à maîtrise d'ouvrage ouen maîtrise d’œuvre auprès des DSI ou desdirections générales des collectivités localespour tout ce qui touche aux systèmesd'informations. Actuellement , il assure ladirection de mission d'un marché deconception et d'accompagnement à la miseen œuvre d'un schéma directeur dessystèmes d'information au ConseilDépartemental des Hauts de Seine.

techniQue


La mission ecoter est un atout Pour La gouvernanceterritoriaLe numeriQue

La Mission Ecoter est un outil accompagnant le secteur public local dans unmouvement de modernisation sans précédent et continu. Aux premiers premiers portailsweb des collectivités, à la numérisation des procédures, au lancement des réseauxs'ajoutent de nouvelles technologies, comme le RFID / NFC (expérimentations de cartessans contact) qui obligent les DSI et les directions « métiers » à travailler ensemble àla conduite de projets plus complexes. La dématérialisation impulsée par l’ADAE etson plan Adèle (ADministration ELEctronique 2004/2007) implique l’élaboration et lapublication de référentiels d’accessibilité, d’interopérabilité et de sécurité. Elle concourtà instaurer une confiance numérique, une résilience des SI et la sécurisation du patrimoineinformationnel des collectivités territoriales.

L'instauration d'un référentiel général de sécurité, intégrant la compétence d'ingénieursterritoriaux et des experts sécurité comme les syndicats mixtes numériques, permettraitde réguler un empilage de SI métiers difficilement interopérables, une « smart city » quisuscite par sa complexité une vulnérabilité et une inflation des données produites.Gageons que le Data Protection Officer obligatoire pour le 1er janvier 2018 aura un effetdéclencheur sur une partie de la sécurité des données.

techniQue

152

miss

ion E

COTE

R


La mission ecoter et les collectivités locales

Les structures territoriales connaissenttoutes les évolutions technologiques etorganisationnelles imposées par lesadaptations indispensables auxattentes de l’État et du citoyen. Ellessubissent les contraintes d’optimisationbudgétaires et se doivent de servir leplus efficacement et le plus rapidementleur territoire et leurs habitants.Aujourd’hui, l’usage du numérique étanttotalement intégré dans lesorganisations et les processterritoriaux, la sécurisation desdonnées en possession descollectivités est un nouveau défi à

Lplacer en face d’obligations quipeuvent être vues commecontradictoires comme l’open data.

un accompagnement descollectivités dans leur modernisationnumériqueLa mission Ecoter est une association deloi 1901 qui réunit des collectivités et desentreprises. Créée en 1997, elle est unespace de veille, de conseil,d’information et de formation sur lenumérique sous l’angle desinfrastructures, des usages, des serviceset de leurs impacts dans lesorganisations et la gouvernance desCollectivités Territoriales.

Par ses activités de veille etd’observation, son club « collectivités »,ses colloques, ses guides, sa veillehebdomadaire, la mission Ecoter sepositionne depuis toujours comme unoutil accompagnant le secteur publiclocal sur les sujets de modernisation. Il

techniQue


par PAtrick beLLin et eLoDie boUiGUes

PAtrick beLLin conseiller techniquemission ecoter

eLoDie boUiGUes responsable desprogrammesmission ecoter

154

l’aménagement numérique du territoire etdu déploiement des réseaux fixes hautdébit, sur l’administration électroniqueavec les premiers portails web descollectivités, la numérisation desprocédures, l’intranet… et sur unesensibilisation à la sécurité des SI et desréseaux avec le lancement du Wifi, del’umTS, et du Wimax.

une troisième phase 2004-2008 où nousaugmentons le nombre de nosrencontres, dans un contexte volontaristede faire entrer les collectivités territorialesdans la dématérialisation impulsée parl’ADAE et son plan Adèle (ADministrationELEctronique 2004/2007). Il s'agit demettre en œuvre la dématérialisation desmarchés publics, du contrôle de légalité,des titres de recettes et mandats, del’archivage, des moyens de paiements,des tiers de confiance, de la signatureélectronique. En externe l'effort porte surla relation avec les usagers et denouveaux services dématérialisés : carte

se veut pédagogique, pragmatique etaussi stratégique, avec un regard accrusur la question de la sécurité et de laprotection des données.

Les grandes étapes du numériquedans les collectivités ?Il faut comprendre que ces vingt dernièresannées ont propulsé les collectivitésterritoriales et leurs administrations dansun mouvement de modernisation sansprécédent... et continu.

une première phase 1997-2000 quicorrespond au développement del’internet, souligné par le vice-président AlGore avec les autoroutes de l’information(1994), au passage à l’an 2000 et àl’informatisation des services, à lalibéralisation des télécoms et aux réseauxboucle local radio…

une seconde phase 1997-2004 oùl’agenda de l’association se construit,avec le concours de collectivitéspionnières, sur la question de

Une sensibilisation sur des thématiques associées aux nouveaux développements numériques quiinduisent des relations dématérialisées avec l'usager et la protection des données sensibles.

Eco

ter


techniQue

LA mISSIon ECoTEr ET LES CoLLECTIVITéS LoCALES

de vie quotidienne (bouquet de servicesmunicipaux comprenant les entrées auxpiscines, aux bibliothèques) et lepaiement par internet de la cantinescolaire, etc.

Les DSI et les directions « métiers »travaillent ensemble à la conduite deprojets plus complexes, et la premièregère la relation avec les nouveaux acteursque sont les fournisseurs de solutions.

Ainsi, si la sécurité des SI conservetoujours sa place dans les réunions,l’attention est principalement portée surl’organisation des services et lagouvernance au regard du caractèretransversal du numérique qui s'oppose àune administration organisée en silo.

une quatrième phase 2006-2010 estmarquée par l’arrivée de nouvellestechnologies, de référentiels, de serviceset la mobilité avec :

– le rFID / nFC (expérimentations decartes sans contact) pour développer lecommerce électronique, dématérialiser lestitres de transport et les moyens depaiements… et les premiers smartphonesavec les applications téléchargeables surles plates-formes,

– la vidéoprotection, dont les collectivitéscommencent à s’équiper et qui pose laquestion des données, du stockage, del’hébergement, de l’interopérabilité,

– une adoption du logiciel libre par denombreuses collectivités,

– l’élaboration et la publication desréférentiels d’accessibilité,d’interopérabilité et de sécurité.

Pour la première fois, nous associonsdans nos réunions les termes de confiancenumérique à ceux d’intégrité, de sécuritédes données, de pérennité, de résiliencedes SI et de sécurisation du patrimoineinformationnel, dans un contexte où lessystèmes d’information sont de plus enplus complexes et où de nouvelles offrestechnologiques se dessinent.

Depuis 2011 à aujourd’hui, une cinquièmephase, qui continue de s’écrire, est à lafois caractérisée par une avalanche detechnologies et de solutions : cloudcomputing, virtualisation des SI, IoT,capteurs, smart grid et smart metering,plates-formes guichet unique et GrC,d’open data, d’archivage électronique,etc.. Elle se caractérise également parl’explosion de données sensibles,critiques, à caractère personnel, en coursd’être ouvertes et réutilisables. Ellecomporte enfin une chaîne numériquecomplexifiée, aux multiples acteurs où laDSI semble réduite dans ses fonctionsalors que les directions métiers achètent« sur étagères ».

on notera que les PC, les tablettes, lessmartphones, les clés usb et messageriessont les principaux moyens de travail desagents territoriaux ; les fichierss’échangent souvent sans cryptage ; lespostes restent allumés… Des habitudes


techniQue


néanmoins, suite à une enquête quenous avons conduite sur l’évolution des SIdes collectivités vers des centres deservices (février 2015), tout ne semblepas si noir.

Sur 106 réponses (8 régions,14 départements, 10 communes de plusde 100 000 habitants, 16 de 50 à 99 000,19 EPCI) :

- 60 % avaient mis un centre d’appel etd’un point d’entrée pour l’ensemble deleurs prestations et pour les utilisateursdes directions métiers.

- 46 % avaient un projet en cours pourrenforcer la sécurité du SI par desprestations et/ou des infrastructurescomplémentaires (PrA, audit rGI rGS,etc.), 26 % pensaient à renforcer lasécurité du fait d’une évolution prévuedes infrastructures mais pas avant deuxans, 23 % avaient un projet à l’étude pourrenforcer la sécurité des SI, 10 %n’avaient pas l’intention de renforcer lasécurité de leurs infrastructures.

des stratégies à conduire pourréduire les risquesLes nouvelles technologies et lacomplexification croissante des SI posentla question des compétences, de lasensibilisation des agents (et des élus),des rH et finances et de l’organisation. Ilexiste des réponses pour chaquedomaine.

de travail qui peuvent peser lourd pourl’intégrité du SI et des données.

une évolution des dsi dans le cadred'une appréhension du risque« sécurité »Les DSI semblent isolées face auxdirections métiers, qui construisent lesbouquets de services publicsdématérialisés, aux habitudes de travaildes agents et enfin au support incertainque les DGS et les élus leur accordent

pour sécuriser les SI1

et sensibiliser auxbonnes démarches

les acteurs des collectivités.

nous donnons la parole aux DSI(communes, intercommunalités,département, région), depuis cinq ans surla transformation informatique : cloudcomputing, hébergement et stockage,virtualisation des postes et plateformes,impact de la convergence fixe mobile,gestion des données. nous pouvonseffectuer le constat suivant.

Des performances en déclin avec lamontée en charge et la sécuritéinsuffisamment prise en compte ; unempilage de SI métiers difficilementinteropérables et une « smart city » quiapporte son lot de vulnérabilités ; uneinflation de data produites à gérer,caractériser et protéger ; et en définitive,une cartographie des SI (logiciels métiers,sig, outils de travail) et une réingénierienécessaire à conduire.

(1) Etude PrImo La gestiondu cyber risque au sein descollectivités françaises. Etatdes lieux, septembre 2015


techniQue


Plus de ressources humaines

on déplore souvent le manque de fortescompétences en interne pour administrerla sécurité des SI, ou mettre en place leréférentiel général de sécurité, pourtantle « métier » existe comme en témoigne leguide des métiers territoriaux du CnFPT :rSSI, Expert sécurité SI ou chargé de lasécurité SI. Par ailleurs, le CnFPT, enmettant à son catalogue de formation desstages pour « définir et piloter la stratégiede sécurité des systèmes d'information etgarantir l'intégrité, la confidentialité et lapérennité des informations de lacollectivité territoriale », se préoccupedésormais de la montée en

compétence des ingénieurs territoriaux.Ces experts sécurité apparaissentprincipalement dans les organigrammesde grandes collectivités au détriment despetites et moyennes collectivités. Pourpallier à ce qui peut être lié à desdifficultés rH ou budgétaires, une mesurede progrès serait de mutualiser les rSSI,comme dans le secteur hospitalier, surplusieurs sites ou s’appuyer sur lesstructures satellites que sont les syndicatsmixtes numériques.

une optimisation de l'emploi descorrespondants informatique et libertés

rappelons que les collectivités ont lagestion de l’état civil, des listesélectorales, de l’inscription scolaire, desactivités sportives et périscolaires, del’action sociale, de la gestion foncière et

de l’urbanisme, de la facturation de taxeset redevances.

La CnIL ne compte que1 250 correspondants informatique etlibertés. Ce chiffre est insuffisant poursensibiliser agents et élus (responsablesdes traitements) aux risques liés àl’absence de sécurité et de protection desdonnées à caractère personnel, alorsqu’ils sont dans l’obligation d’y veillersous peine de sanctions. Si les régions deFrance métropolitaine, les départementset les communautés urbaines sont bienéquipées, restent toutes les autrescollectivités. Gageons que le Data

Protection officer2

obligatoire pour le1er janvier 2018 auraun effet déclencheur

sur une partie de la sécurité des données.

convaincre les élus

Si un maire peut estimer que sacommune n’est pas une cible particulièreet digne d'intérêt, ce n’est pas la logiquedes hackers, que des motivationsdiverses (sur commande, par défi, paridéologie, etc.) conduisent à inondermassivement les systèmes informatiquesde leurs programmes invasifs.Statistiquement, il y aura toujours unnombre d’agents qui cliqueront sur unmessage douteux. Sécuriser etsensibiliser pour prévenir a un coût etnécessite de mettre en place desprocessus transverses qui sont trop

(2) nouveau métier dunumérique, Le dataprotection officer estresponsable de la protectionet de la conformité desdonnées de l’entreprise.


techniQue


Quels sont les chantiers ouverts ou àouvrir pour les collectivités Localeset comment la mission ecoter peut-elle les accompagner ?La mission Ecoter va poursuivre sesactions de sensibilisation et d’informationdans ses futures actions :

– par des piqûres de rappel sur laprotection des données à caractèrepersonnel, car l’évolution de laréglementation avec l’obligation d’avoir unData Protection officer va faire passer lescollectivités dans une autre dimension àcompter de 2018. Les collectivitésencourront jusqu’à 20 millions d’euros depénalité à partir du 25 mai 20183,

souvent négligés voire ignorés par les éluset par les directeurs généraux desservices. Il faut aussi veiller à faire uneplace pour la sécurité dans la commandepublique et consacrer une part du budgetaux actions de sensibilisation.

vers un changement d’organisationLa fin du travail en silo et des achats surétagères dans les directions, assis sur laréorganisation des processus avec uneDSI, à la fois maîtrise d’ouvrage etmaîtrise d’œuvre, permettrait la mise enplace d’une véritable politique de sécuritéinformatique des collectivités, plusefficace face aux risques.


ECOTER accompagne les élus et des décideurs (DGS et cadre de maîtrise) pour qu'ils puissentcoordonner et financer les actions utiles à la protection de leurs systèmes d'informations.

Eco

ter

techniQue



Par la mise enperspective del’ouverture desdonnées publiques4

avec l’organisationde la collectivité et la

fin des silos,

Par l’assistance à la sensibilisation despersonnels territoriaux à l’importance desgestes basiques de protection del’information,

– par le repositionnement des SI commeoutil transverse de pilotage del'organisation, de la conception et de lamise en œuvre des politiques publiques,

– par la mise en évidence, pour les élus,des nouveaux droits des citoyens et deleur recours, en ce qui concernel’obligation, pour les collectivités locales,de l’ouverture « par défaut » des donnéespubliques.

(3) Titre II le volet de la «protection des citoyens dansla société numérique » de laLoi Pour une républiquenumérique, adoptée enseconde lecture par le Sénat(28 septembre 2016)

(4) Loi pour une républiquenumérique

techniQue


une nouveLLe LegisLation Pour La Lutte contre LacYbercriminaLite

Les nouvelles dispositions de la loi du 3 juin 2016 ouvrent la voie à une législationglobale dédiée à la lutte contre la cybercriminalité. Elles mettent en œuvre un largespectre de nouvelles infractions numériques en référence à tout lien avec le terrorismeet étendues à la législation sur les explosifs. Sous contrôle des magistrats, ellespermettent de mettre en œuvre de nouvelles procédures adaptées au numérique.Outre le règlement de la concurrence des compétences, la capacité d'investigationest renforcée par un nouveau régime de l'interception des informations numériques,de la gestion des scellés de données numériques. Il est utilement disposé de lamise au clair de données cryptées et du développement de mesures intrusives tantpar le recours à l'Imsi-Catcher, qu'à la captations des données et à la procédurede l'achat.

droit


Les évolutions en matière de numérique issues de la loi du 3 juin

L’arsenal pénal en matière de luttecontre la cybercriminalité, sous lapression de la menace terroriste et ducrime organisé, vient à nouveau d’êtrerenforcé par des dispositions créantd’une part de nouvelles infractionsdites de prévention en matièreterroriste et en développant d’autrepart des procédures intrusives tout enaméliorant les règles de compétenceterritoriale pour améliorer la luttecontre la cybercriminalité.

La loi n°2016-731 du 3 juin 2016renforçant la lutte contre le crime organisé,

le terrorisme et leurfinancement etaméliorant l’efficacitéet les garanties de laprocédure pénale,composée de120 articles, intègrecomme désormais laplupart des textes ladimension

Lnumérique des activités en lien avec leterrorisme et logiquement lacybercriminalité. Cette loi apporte desévolutions notables tant au niveau du droitmatériel que du droit processuel.

Les nouvelles infractions numériques en lien avec le terrorisme

Le nouvel article 421-2-5-2 du code pénalincrimine la consultation habituelle d’unservice de communication au public enligne mettant à disposition des messages,images ou représentations soit provoquantdirectement à la commission d'actes deterrorisme, soit faisant l'apologie de cesactes lorsque, à cette fin, ce servicecomporte des images ou représentationsmontrant la commission de tels actesconsistant en des atteintes volontaires à lavie : les peines prévues sont de deux ans

d'emprisonnement etde 30 000 €d'amende.L’infraction1 n’est par

(1) L’infraction a été retenue,le 8 août dernier par letribunal correctionnel deChartres, pour condamnerun internaute à 2 ansd'emprisonnement

droit

161

par MYriAM qUéMéner


MYriAM qUéMéner

magistrate, conseillèrejuridiqueministère de l’intérieurdocteresse en droit

contre pas établie lorsque la consultationest faite de bonne foi, qu’elle résulte d’untravail journalistique, intervient dans lecadre de recherches scientifiques ou estréalisée pour servir de preuve en justice.

L’art. 421-2-5-1 du code pénal crée unenouvelle infraction. Ainsi, désormais, estpuni de cinq ans d’emprisonnement etde 75 000 € d’amende le fait d’extraire,de reproduire et de transmettreintentionnellement des données faisantl’apologie publique d’actes de terrorismeou provoquant directement à ces actesen vue d’entraver les mesures d’arrêtd’un service de communication en lignepar voie judiciaire ou les retraits oublocages demandés par l’autoritéadministrative.

en lien avec le financement du terrorismeIl faut relever également les modificationsdu code monétaire et financier. Bienqu’elles ne soient pas pénales àproprement parler, des sanctions peuventêtre prévues sous forme de dispositionsrelatives au plafonnement des cartesprépayées ainsi que celles permettant à lacellule de renseignement financierTrACFIn de signaler des situationsprésentant un risque élevé deblanchiment ou de financement duterrorisme: une sanction pénale estprévue si les personnes informéescommuniquent à leurs clients ou à destiers les informations transmises parTrACFIn.

en lien avec les explosifs

L’article 322-6-1 du Code pénal, quiincrimine le fait de diffuser par toutmoyen, sauf à destination desprofessionnels, des procédés permettantla fabrication d'engins de destructionélaborés à partir de poudre ou desubstances explosives, de matièresnucléaires, biologiques ou chimiques, ouà partir de tout autre produit destiné àl'usage domestique, industriel ouagricole, aggrave les peines de un and’emprisonnement et 15 000 eurosd’amende, à trois ans d’emprisonnementet 45 000 euros d’amende. Si cetteinfraction est commise par le biais d’unréseau de communication électronique àdestination d’un public déterminé, lespeines sont portées à cinq ansd’emprisonnement et 75 000 eurosd’amende.

Les nouvelles procédures adaptéesau numérique L’adaptation de la compétence territorialeà la cybercriminalité

La cybercriminalité présente desparticularités nécessitant une adaptationdes règles de compétence afin dedisposer d’un critère certain qui soit denature à sécuriser les procédures d’unpoint de vue juridique notamment enmatière de lutte contre la criminalitéorganisée et contre le terrorisme. Lacompétence des juridictions françaisesaux infractions commises par le biais d’un

droit

LES éVoLuTIonS En mATIèrE DE numérIQuE ISSuES DE LA LoI Du 3 JuIn 2016


réseau de communication électronique,même hors du territoire de la république,à l’encontre d’une victime résidant enFrance et sans exiger la condition d’uneplainte préalable de cette dernière poséepar l’article 113-8 du Code pénal. Cetobjectif est atteint par la création d’unnouvel article 113-2-1 du Code pénalprévoyant que toute infraction commisepar le biais d’un réseau decommunication électronique est réputéecommise en France. En second lieu,concernant les infractions commises surle territoire national, le présent projet deloi propose la création d’un nouveaucritère de compétence du procureur de larépublique, du juge d’instruction et dutribunal correctionnel lié au domicile de lavictime en complément 43 des critères decompétence habituels existants. Cesecond volet implique la modification dela rédaction des articles 43, 52 et 382 ducode de procédure pénale.

L’article 706-72 nouveau du Code deprocédure pénale dispose que les actesincriminés par les articles 323-1 à 323-4-1 et 411-9 du Code pénal, lorsqu’ils sontcommis sur un système de traitementautomatisé d’informations, sontpoursuivis, instruits et jugés selon desrègles particulières fixées par les articles706-72-1 à 706-72-6 du Code deprocédure pénale. Il est ainsi créé unecompétence concurrente pour lesinfractions informatiques, c’est-à-dire lacybercriminalité au sens strict. Cela ne

signifie pas le dessaisissementautomatique des juridictions compétentesen vertu des articles 43, 52 et 382 duCode de procédure pénale. Desmodalités de dessaisissement sontprévues à l’article 706-72-2 du code deprocédure pénale. Par contre lesinfractions commises voire facilitées parInternet et les réseaux numériques nesont pas visées par cette compétenceconcurrente. Cependant, il convient derappeler que le procureur de larépublique de Paris a déjà créé un pôlenumérique composé de quelquesmagistrats et assistants spécialisés quitraitent la cybercriminalité y compris lesinfractions non visées par ce nouveautexte comme les « escroqueries auprésident ».

La copie des données provenant desscellés

L’article 60-3 du Code de procédurepénale consacre, clarifie et simplifie lesopérations réalisées par des personnesqualifiées portant sur les scellés d'objets,les supports de données informatiques,notamment les téléphones portables oudes ordinateurs. Les articles 77-1-3(enquête préliminaire) et 99-5(commission rogatoire) se réfèrent aumême article. Ainsi, lorsqu'ont été placéssous scellés des objets qui sont lesupport de données informatiques, leprocureur de la république ou l'officier depolice judiciaire peut, par tout moyen,requérir toute personne qualifiée, inscrite

droit



l’identification d’un équipement terminalou du numéro d’abonnement de sonutilisateur, ainsi que l'acquisition desdonnées relatives à la localisation d’unéquipement terminal utilisé. L’autorisationest délivrée pour une durée maximaled’un mois, renouvelable une fois dans lesmêmes conditions. Ce même équipementpeut être utilisé afin d’intercepter descorrespondances émises ou reçues parun équipement terminal selon lesmodalités prévues aux articles 100-4 à100-7 du Code de procédure pénale (art.706-95-4 du Code de procédure pénale).Le décret n° 2016-1159 du 26 août 2016pris pour l'application de l'article 706-95-8 du code de procédure pénale fixe laliste des services dont les agentspeuvent être requis par le procureur de larépublique, le juge d’instruction oul’officier de police judiciaire pour utiliser unImsi-catcher.

La captation de données

Les nouvelles mesures prévoient la miseen place d'un dispositif technique ayantpour objet, sans le consentement desintéressés, la captation, la fixation, latransmission et l’enregistrement deparoles prononcées par une ou plusieurspersonnes à titre privé ou confidentiel,dans des lieux ou véhicules privés oupublics, ou de l’image d’une ou deplusieurs personnes se trouvant dans unlieu privé (art. 706-96 du Code deprocédure pénale).

sur une des listes prévues à l'article 157ou ayant prêté par écrit le serment prévuà l'article 60, pour procéder à l'ouverturedes scellés afin de réaliser une ouplusieurs copies de ces données en vuede permettre leur exploitation sans risquerde porter atteinte à leur intégrité.

mise au clair des données chiffrées

L’article 230-2 du code de procédurepénale prévoit les modalités de mise auclair de données cryptées. un nouvelalinéa 2 autorise l’organisme chargé d’yprocéder à ouvrir les scellés.

Le développement des procéduresintrusives

Pour la poursuite des infractions relevantde la criminalité organisée (articles 706-73et 706-73-1 du Code de procédurepénale), la loi élargit aux enquêtesmenées sous la direction du parquet(enquête préliminaire et enquête deflagrant délit) le recours aux techniquesspéciales d'enquête prévues dans lecadre d'une information.

Le recours à l’imsi-catcher

L'ImSI catcher est une sorte de fausseantenne relais mobile agissant dans unrayon de quelques kilomètres, qui sesubstitue aux antennes des opérateurs enpermettant de disposer de donnéesémises ou reçues par les terminaux ainsileurrés qui y sont connectés. L'emploi dece dispositif pour recueillir les donnéestechniques de connexion permet


droit


Il est aussi prévu le recours à un dispositiftechnique ayant pour objet, sans leconsentement des intéressés, d’accéder,en tous lieux, à des donnéesinformatiques, de les enregistrer, de lesconserver et de les transmettre, tellesqu’elles sont stockées dans un systèmeinformatique, telles qu’elles s’affichent surun écran pour l’utilisateur d’un systèmede traitement automatisé de données,telles qu’il les y introduit par saisie decaractères ou telles qu’elles sont reçueset émises par des périphériquesaudiovisuels (art. 706- 102-1. du Code deprocédure pénale ). Le procureur de larépublique ou le juge d'instruction peutdésigner toute personne physique oumorale habilitée et inscrite sur l’une deslistes prévues à l’article 157, en vued’effectuer les opérations techniquespermettant la réalisation du dispositiftechnique mentionné au premier alinéa duprésent article. Ils peuvent égalementprescrire le recours aux moyens de l’étatsoumis au secret de la défense nationale(Centre Technique d'Assistance – CTA).

L’extension de la procédure dite du «coupd’achat

Le nouvel article 706-106 du code deprocédure pénale crée une nouvelletechnique d’enquête, dite du coupd’achat. Déjà prévue en matière destupéfiants à l’article 706- 32 du code deprocédure pénale, elle est étendue auxinfractions mentionnées au 12° de l’article706-73, c’est-à-dire les infractions

relatives au trafic d’armes et auxexplosifs. Sur autorisation du procureurde la république ou du juge d’instruction,les officiers et agents de police judiciairepeuvent sans être pénalementresponsables acquérir des armes ou leurséléments, des munitions ou des explosifs,et mettre à la disposition des personnesse livrant à ces infractions des moyensjuridiques, financiers ou matériels. Lesactes ne doivent pas constituer uneincitation à commettre une infraction.Cette technique du coup d’achat estégalement prévue en matière douanièrepar l’article 67 bis-1 du code desdouanes.

La loi du 3 juin 2016 procède à unrééquilibrage ducadre judiciaire2 faceà une certaine dérivevers le cadre

administratif en accordant à la justice desmoyens identiques à ceux accordés auxservices de renseignement s'agissant del'accès à distance aux correspondancesstockées par la voie des communicationsélectroniques. La voie est peut-être enfinouverte vers une législation globaledédiée à la lutte contre lacybercriminalité.

(2) L’infraction a été retenue,le 8 août dernier par letribunal correctionnel deChartres, pour condamnerun internaute à 2 ansd'emprisonnement


droit


La Loi du 3 Juin 2016 faciLite Les Poursuites

La loi n°2016-73 du 3 juin 2016 apporte des réponses pertinentes à la questionde la détermination de la compétence territoriale des juridictions pénales en matièrede cybercriminalité. La volatilité de la preuve numérique, l'origine planétaire desactes incriminés rendent difficile l'exercice des voies de droit classiques. L'extensiondes compétences inscrites à l'article 113-2 du Code pénal lève le problème de l'ac-cessibilité à l'auteur opérant depuis l'étranger dès lors que la victime réside sur leterritoire français. De même, l'extension des critères des articles 43, 52 et 382pérennise la compétence du premier parquet saisi et de nouvelles dispositions (C.pr. pén., nouv. art. 706-72-1 à 706-72-6) donnent à la seule juridiction parisienneune compétence concurrente. Il reste que la chancellerie devra éviter des conflitsde compétence en matière d’atteintes aux systèmes de traitement automatisé dedonnées. En effet, des infractions commises au moyen des nouvelles technologiesde l'information pour véhiculer des contenus illicites ou pour faciliter la commissiond'une autre infraction, ne sont pas concernées par cette compétence concurrente.On peut également envisager la création d'un réseau de magistrats référents« Cybercrime» au plan national et la reconnaissance de la cybercriminalité commeun contentieux à part entière.

droit


Foto

lia

cybercriminalité et compétenceterritoriale : dernières évolutions législatives

La détermination de la compétenceterritoriale des juridictions pénales enmatière de cybercriminalité estessentielle pour lutter contre cettedélinquance en pleine extension. À cetégard, les apports de la loi n°2016-73du 3 juin 2016 en la matière sont desplus pertinents mais devronts’accompagner de formation et demoyens adaptés.

La cybercriminalité présente desspécificités nécessitant une adaptationdes règles de compétence afin de

disposer d’un critèrecertain permettantde sécuriser lesprocédures pouvantêtre contestées surce point.

La question de lacompétenceterritoriale enmatière de lutte

Lcontre la cybercriminalité est l’une desdifficultés majeures car les infractionsétant commises dans le cyberespace, ilest par voie de conséquence très difficilede localiser leur origine et souventencore davantage le lieu où se trouvent

leurs auteurs1. onconstate ainsiqu’Internet heurte ledroit classique et le

met en difficulté en raison de soncaractère volatil et ubiquitaire. Ledéveloppement de la cybercriminalitéimpose des évolutions de la procédurepénale concernant l’application de la loipénale dans l’espace.

En effet, identifier les auteurs de cyber-infractions est complexe puisque cesinfractions, souvent instantanées, sontfréquemment commises à distance, enpartie de l'étranger, par des auteursanonymes. En outre, la volatilité de lapreuve numérique met souvent en échecles moyens juridiques classiques.

(1) m.robert,Cybercriminalité : lesnouvelles réponseslégislatives – marc robert –AJ pénal 2016. 412

droit

167

par MYriAM qUéMéner


MYriAM qUéMéner

magistrate, conseillèrejuridiqueministère de l’intérieurdocteresse en droit

En cela, la loi n°2016-73 du 3 juin 2016,renforçant la lutte contre le crimeorganisé, le terrorisme et leurfinancement, et améliorant l'efficacité etles garanties de la procédure pénale vientapporter des réponses pertinentes tantsur le plan de la compétence destribunaux français que sur les critères decompétences territoriales.

L’évolution de la compétence destribunaux français en matière decybercriminalitéJusqu’alors, les critères classiques des

articles 113-2 etsuivants du codepénal2 privilégiaientl'élément matériel,alors même que lelieu de commission

(2) https://www.legifrance.gouv.fr/affichCode.do;jsessionid=18C815016B8059EE9269B948C964A91F.tpdila08v_1?idSectionTA=LEGISCTA000006165262&cidTexte=LEGITEXT000006070719&dateTexte=20161106

d'une cyber-infraction est, le plussouvent, méconnu en début d'enquête etque seule la victime est identifiée.

La compétence du juge pénal français estétablie par les articles 113-1 à 113-13 duCode pénal et 689 à 689-13 du Code de

procédure pénale3.L’article 113-2 duCode pénal disposeque le juge peut sesaisir de touteinfraction, dès lors

que l’un de ses éléments constitutifs alieu sur le territoire national. Il suffit, parexemple, qu’un site Internet soitaccessible depuis la France pour quel’infraction, dont il est le vecteur, soitconsidérée comme constituée. Ainsi, lejuge français s’est déclaré compétent à

(3) https://www.legifrance.gouv.fr/affichCode.do;jsessionid=18C815016B8059EE9269B948C964A91F.tpdila08v_1?idSectionTA=LEGISCTA000006151920&cidTexte=LEGITEXT000006071154&dateTexte=20161106

168

Les dispositions nouvelles prévoient la résidence de la victime sur le territoire français sansobligation de sa nationalité française.

Sea

n G

lad

wel

l


droit

CyBErCrImInALITé ET ComPéTEnCE TErrITorIALE : DErnIèrES éVoLuTIonS LéGISLATIVES

propos de la vente aux enchères suryahoo.com d’objets nazis, en violation de

l’article r.645-1 duCode pénal4 et del'Art. 113-2 du Codepénal, du seul fait del’accessibilité du siteen France, même sice dernier étaitentièrement enanglais et destiné à unpublic américain. En2008, la Cour decassation5 a admis lacompétence du jugefrançais pour uneinfraction decontrefaçon dont étaitvictime le journal Lemonde, bien quel’œuvre ait étéreproduite àl’étranger, parce

qu’elle était accessible depuis le territoirefrançais.

La loi du 3 juin 2016 crée, un nouvel article113-2-1 dans le Code pénal qui dispose :« Tout crime ou tout délit réalisé au moyend'un réseau de communicationélectronique, lorsqu'il est tenté ou commisau préjudice d'une personne physiquerésidant sur le territoire de la républiqueou d'une personne morale dont le siège sesitue sur le territoire de la république, estréputé commis sur le territoire de larépublique ».

(4) https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIArTI000006419560&cidTexte=LEGITEXT000006070719

Est puni de l'amendeprévue pour lescontraventions de la 5eclasse le fait, sauf pour lesbesoins d'un film, d'unspectacle ou d'uneexposition comportant uneévocation historique, deporter ou d'exhiber en publicun uniforme, un insigne ouun emblème rappelant lesuniformes, les insignes oules emblèmes qui ont étéportés ou exhibés soit parles membres d'uneorganisation déclaréecriminelle en application del'article 9 du statut dutribunal militaire internationalannexé à l'accord deLondres du 8 août 1945,soit par une personnereconnue coupable par unejuridiction française ouinternationale d'un ouplusieurs crimes contrel'humanité prévus par lesarticles 211-1 à 212-3 oumentionnés par la loi n° 64-1326 du 26 décembre 1964.

(5) Cass.crim., n°07-87281,Giuliano F., 9 septembre2008, Legifrance.

Ainsi, le nouvel article 113-2-1 assimile àune infraction commise sur le territoirefrançais tout crime ou délit réalisé aumoyen d'un réseau de communicationélectronique lorsqu'il est tenté ou commisau préjudice d'une personne, physique oumorale, résidant sur ce territoire ou dontle siège y est situé. Le législateur privilégieainsi le domicile de la victime, soit unepersonne physique ou morale en retenantalors le siège social de l’entreprise pourretenir leur compétence. un critèrecomplémentaire, à savoir celui dudomicile des victimes, est donc créé.

Dans la loi, ce texte s'inscrit dans unchapitre sur les « dispositions améliorantla lutte contre les infractions en matièred'armes et contre la cybercriminalité ».Présent dès le projet de loi initial, ils’inspire partiellement de la 30e des55 recommandations du rapport «Protéger les internautes. rapport sur

la cybercriminalité 6»,qui préconisait7 que« toute infraction

commise par le biais d'un réseau decommunication électronique, de naturecriminelle ou de nature correctionnellemais punissable d'un emprisonnement,lorsqu'elle est tentée ou commise aupréjudice d'une personne, physique oumorale, de nationalité française aumoment de sa commission, est réputéeavoir été commise en France ».

on peut cependant noter que le critèrede la nationalité française de la victime

(6) m.Quéméner Protéger lesinternautes : rapport sur lacybercriminalité,rldI, nº 107,1er août 2014


droit


site américain, concernent des faitss’étant déroulés hors du territoire national.L’accessibilité depuis le territoire françaisn’est pas un critère suffisant decompétence, la Cour de cassation

exigeant que lespropos soientorientés vers unpublic français11

Les critères de compétenceterritoriale en matière decybercriminalitéL'article 43 du code de procédure pénaleprivilégie, en droit commun, le lieu decommission ou celui de résidence,d'arrestation, voire de détention dususpect ; en pratique, dans la grandemajorité des cas, c'est en fonction d'uneplainte qu'un parquet se saisit et ordonneune enquête en matièrede cybercriminalité ; et si cette dernièreaboutit à l'identification d'un auteursupposé mais que ce dernier réside dansun autre ressort, le parquet est dansl'obligation de se dessaisir au profit d'unautre parquet qui confie l'enquête à unnouveau service, d'où une perte detemps et de motivation.

En étendant les critères des articles 43,52 et 382 au lieu de résidence ou dusiège des personnes physiques oumorales victimes de l'infraction, la loiautorise la poursuite de l'enquête par lepremier parquet saisi. Le projet de laChancellerie prévoyait de donnercompétence concurrente, pour connaître

(11) Voir m.Watin Augouard,Veille juridique n°50,septembre 2016,http://www.gendarmerie.interieur.gouv.fr/crgn/Publications/Veille-juridique/Septembre-2016

n’est pas retenu et qu’il suffit que cettedernière réside sur le territoire français.Cette modification s’explique comptetenu de la difficulté à lutter contre lacybercriminalité, délinquance souventcomplexe et par essence internationale.De plus, cette criminalité flirte souventavec le terrorisme et peut être à sonservice comme le remarque d’ailleurs un

auteur8 , ce quiexplique aussi cettemodification et aussipar voie deconséquencel’introduction denouvelles infractionsdans la loi du 3 juin

2016 comme la simple consultation desites à caractère terroriste et l’obstacle aublocage administratif ou judiciaire de cesmêmes sites9.

Cependant, le législateur ne consacrepas pour autant une compétenceuniverselle de la loi française et un arrêtrécent de la cour de cassation en datedu 12 juillet 201610 vient d’ailleurs de lerappeler. S’agissant d’infractions depresse, réputées commises en tout lieuoù les propos incriminés ont été reçus,lorsque ces derniers ont été diffusés surle réseau Internet, la compétenceterritoriale du tribunal français saisi nesaurait être universelle. En l’espèce lesplaignantes sont étrangères et résident àl’étranger. L’auteur présumé est étranger.Les propos, en langue anglaise, sur un

(8) r.ParisotLoi du 3 juin2016 : aspects obscurs dedroit pénal général – rSC2016. 376

(9) C. pén., art. 113-7 et113-8.

(10) Cour de cassation.Cass. Crim, n°15-86645, 12juillet 2016, Agness X.Compétence du juge pénalfrançais


droit


de ces infractions à la loi, dite Godfrain, àl'ensemble des juridictions interrégionalesspécialisées. Le Sénat, suivi parl'Assemblée nationale, en a décidéautrement en reconnaissant au seulparquet et à la seule juridiction parisienneune compétence concurrente (C. pr. pén.,nouv. art. 706-72-1 à 706-72-6). L’article706-72 nouveau du Code de procédurepénale dispose que les actes incriminéspar les articles 323-1 à 323-4-1 et 411-9du Code pénal, lorsqu’ils sont commissur un système de traitement automatiséd’informations, sont poursuivis, instruitset jugés selon des règles particulièresfixées par les articles 706-72-1 à 706-72-6 du Code de procédure pénale.

PerspectivesLa nouvelle loi prévoit des règles decompétence particulières adaptées audomaine de la cybercriminalité et cesévolutions devraient permettre de faciliterle travail des services d’enquête et desparquets. Il conviendra cependant que lachancellerie donne des orientations depolitique pénale précises afin d’éviter desconflits de compétence s’agissant d’unecompétence concurrente en matièred’atteintes aux systèmes de traitementautomatisés de données. Par ailleurs, cesévolutions ne règlent pas tous lesproblèmes liés à la cybercriminalitépuisque les infractions commises aumoyen des nouvelles technologies del'information, soit pour véhiculer descontenus illicites, soit pour faciliter la

commission d'une autre infraction, nesont pas concernées par cettecompétence concurrente. or, cesinfractions sont nombreuses et souventcomplexes. À l’heure actuelle, le parquetde Paris dispose d’un pôle numérique encharge de ces infractions mais il devras’étoffer à l’avenir. D’autres calagesauront certainement lieu en matièreorganisationnelle avec par exemple unréseau de magistrats référents

« Cybercrime» auplan national12.Il fauten effet que lacybercriminalité soitvéritablement

reconnue comme un contentieux à partentière nécessitant des moyens humainset une spécialisation obligatoire commec’est le cas au niveau des officiers depolice judiciaire.

(12) En ce sens m. WatinAugouard, veille juridiquen°48, mai 2016,http://www.gendarmerie.interieur.gouv.fr/crgn/Publications/Veille-juridique/mai-2016


droit


revoLution numeriQue et securite des Personnes

La révolution numérique bouleverse l'approche et l'exercice des droits attachésà notre personnalité juridique. Sa publicité sur les réseaux et au sein des systèmesd'information confère à l'information qui est rattachée à une personne une permanenceet une inaltérabilité.

Différentes affaires judiciaires en Italie et en Espagne montrent que le déférencementdes moteurs de recherche est possible en Europe si le détenteur étranger de ladonnée en tire un usage commercial non consenti mais il est quasiment impossibledans le monde anglo-saxon où la donnée a valeur de marchandise. La publicisationde la personne en fait un objet de mercantilisme.

On doit également s'interroger sur la question de la maîtrise des algorithmes quitraitent nos données au sein d'un Big Data, qu'ils soient dédiés à la reconnaissancede comportements ou à une sélection préventive voire curative d'individus présentantdes profils particuliers. Ces algorithmes, d'autant plus lorsqu'ils seront intégrés ausein d'une intelligence artificielle, seront sujets de décisions qui entraîneront la res-ponsabilité ou la lésion de particuliers. C'est la porte d'un eugénisme social basésur le traitement opaque d'une bulle informationnelle.

droit


tash

atuv

ango

Un autre aspect de la sécurité des personnes

La révolution numérique est un faitinexorable. Ambivalente, elle nous aapporté du très bon et du moins bon(qui peut même être très dangereux).La difficulté, aujourd’hui, est quel’intervention pour lutter contre lesaspects négatifs du numérique risqued’entraver les effets positifs.

Cette révolution numérique est siprofonde qu’elle a bouleversé notrerelation avec le temps, en faisantdisparaître le passé et en imposant unprésent permanent. Elle s’attaquedorénavant au futur, avec les Big Data, ententant de supprimer l’aléa.

Dans ce contextede mutation, lasécurité est unenjeu essentiel ducyberespace. onperçoit assezfacilement ladimension pénale

Ldu risque. Le cyberespace est d’abord unoutil qui peut être utilisé pour commettredes infractions. C’est ensuite un espacedans lequel des délinquants tentent des’introduire. Il existe un autre volet de lasécurité, qu’on pourrait qualifier de civil(pour le distinguer de son aspect pénal)qui concerne tant la sécurité de l’individuque celle de l’Homme.

La sécurité de l’individu Avec Internet et les réseaux sociaux,l’individu peut se retrouver exposé à lavue du monde entier. Le paradoxe estque les réseaux sociaux comme internetont eu besoin de contenu (un tuyau sanscontenu n’a pas d’utilité). L’astuceextraordinaire a consisté à convaincre lesgens (surtout les jeunes) qu’ils n’auraientd’existence qu’en s’affichant sur le net,entraînant ainsi la publicisation de soi(c'est-à-dire renoncer à sa vie privée).

Cependant, ce qui n’a pas été dit, oucompris, est que tout ce que vous mettez

droit

173

par FAbrice LorVo


FAbrice LorVoavocat au barreau deParisassocié du cabinet ftPa

sur internet pourra être retenu contrevous. En effet, la révolution numérique anotamment aboli le passé.

La fin de l’oubli

Le passé est étroitement lié à l’oubli quiest consubstantiel à l’Homme, c’étaitjusqu’à très récemment un régulateursocial. or, le numérique nous a apportéd’une part l’impérissabilité des donnéeset d’autre part l’accès immédiat à cesdonnées par les moteurs de recherche.En conséquence, toute donnée publiéesur le net est immédiatement et demanière permanente accessible. Lenumérique ne permet donc plus l’oubli quise faisait jusqu’à très récemment d’abordpar la disparition du support. L’oubli

résultait du fait de la disparition destémoins (un vieillard qui meurt est unebibliothèque qui brûle) ou de la destructiondu support, qu’elle soit volontaire(l’incendie de la bibliothèque d’Alexandrie)ou involontaire (désagrégation naturelle dupapier, catastrophe naturelle, etc.). L’oublirésultait ensuite indirectement del’enfouissement du support (un journalsuccède à un autre journal) ou de soninaccessibilité (éloignement géographique).L’oubli résultait enfin de l’effet demécanismes légaux (par exemple, laprescription civile ou pénale, l’amnistie, laréhabilitation, etc.).

Techniquement, le numérique a mis fin àcet oubli. on tente donc d’imposer undroit à l’oubli numérique mais c’est un

174

L'abolition du droit à l'oubli, un déterminisme consacré par des algorithmes de prédiction ducomportement humain forment un danger pour les libertés fondamentales des personnes.

Jip

é


droit

un AuTrE ASPECT DE LA SéCurITé DES PErSonnES

droit difficile à établir et difficile àappliquer.

Le difficile droit à l’oubli

un droit difficile à établir car tout ne doitpas être oublié et il ne s’agit pas deréécrire l’histoire. Il faut aussi distinguerentre les données relevant du droit àl’information du public et celles publiéesvolontairement par l’individu. Il estprobable que l’on doive donner unenouvelle définition du « consentement à lapublication ».

Prenons le cas de Tiziana Cantone, enItalie. En 2015, cette jeune femme se faitfilmer en pleine pratique sexuelle etdiffuse la vidéo dans un cercle restreintd’amis. A son insu, l’un d’eux a posté, surles réseaux sociaux, cette vidéo qui estdevenue virale en Italie. Devant lesjuridictions italiennes, la jeune femme atenté de faire valoir son droit à l’oubliauprès des moteurs de recherche. Elle aété déboutée de sa demande etcondamnée à payer 20 000 euros de fraisd’avocats au motif qu’elle étaitconsentante lors de la captation de sonimage. Elle l’était certes, mais pour unediffusion restreinte et probablement paspour devenir une star. Le côté grivois decette histoire s’efface pour laisser place àla tragédie car le 13 septembre 2016,Tiziana, par désespoir, s’est pendue, àson domicile. Elle avait 31 ans.

un droit difficile aussi à appliquer car lenumérique a mis fin aux frontières. notrevision de la vie privée ou de la donnéepersonnelle est en concurrence avec la

vision anglo-saxonne qui est différente (lavie privée n’a pas la même portée auxuSA et la donnée est une marchandiseaux uSA, pas en Europe). Ces deuxvisions s’affrontent aujourd’hui, d’où lesdifficultés de la CnIL avec notammentGoogle qui veut bien appliquer ledéréférencement sur google.fr mais passur google.com.

Ce déréférencement n’est pas toujoursfacile à obtenir. Prenons le cas demonsieur X, chef d’entreprise qui a faitl‘objet d’une condamnation pénale pourun délit il y a plus de 20 ans. La peine aété exécutée et elle a fait l’objet d’uneréhabilitation légale automatique, dansson cas, en janvier 2014 (soit au bout de10 ans à compter de l’expiration de lapeine). or, à ce jour, en tapant son nomsur un moteur de recherche, on trouvetoujours des articles de presse d’il y aplus de 20 ans indiquant soit qu’il a étécondamné, soit qu’il sortait de prison.Cette information est en contradictionavec l’objectif de la réhabilitation légale.une demande de déréférencement a étéfaite, Google a refusé au motif que lepublic a le droit de savoir…. Il faut doncsaisir la CnIL.

La sécurité des individus est donc unenjeu fondamental du cyberespace. Dansl’intervalle, l’école doit permettre desensibiliser les jeunes aux dangers de lapublicisation de soi. En effet, ladivulgation sur le web de données meconcernant, spontanément ou pas, est denature à figer mon identité numérique et àme porter préjudice à l’avenir.


droit


antécédents et par conséquent tout estmodélisable. Sommes-nous tousd’accord avec un tel postulat ? D’autresne pensent-ils pas qu’il existe un aléaincompressible, c'est-à-dire autantd’hypothèses que d’hommes, ce qui rendvains de tels algorithmes ?

Cette question ne concerne pas que ladélinquance. Elle se pose aussi pour lavoiture autonome (sans chauffeur). Sideux voitures vont se percuter de pleinfront, laquelle doit se jeter dans le fossé ?Doit-on prendre en compte l’âge despassagers ? Leur nombre ? Leur rangsocial ? Autant d’informations qui serontprobablement à la disposition del’algorithme. Qui va prendre l’initiative et laresponsabilité de les paramétrer ?

Admettons que l’on doive fixer et donchiérarchiser ces choix. ne devrions-nouspas imposer que tout ce qui touche à lanorme humaine, et notamment celle ducomportement humain idéal ou ducomportement social moyen, devrait fairel’objet d’une discussion ou d’unevalidation préalable obligatoire, sous unangle éthique. C’est à la Société (soitpolitique, soit civile) de décider et enconnaissance de cause, pas auxingénieurs, de manière implicite etuniquement sous un angle économique.

D’autre part, comment s’assurer de lafiabilité et de l’intégrité des algorithmes ?Le scandale des moteurs diesel deVolkswagen démontre qu’il ne s’agit pasd’une question théorique. La grande

La sécurité de l’hommeIl faut aussi veiller à ce que la révolutionnumérique ne modifie pas implicitementnotre conception de l’Homme et de lasociété.

Les algorithmes prédictifs ducomportement humain

Le numérique tente de supprimer le futuret donc l’aléa avec les algorithmesprédictifs du comportement humain.Tenter de prédire le futur n’est pas fautifen soi. on prédit, et c’est louable,l’évolution de la météo, des catastrophesnaturelles (tremblements de terre,ouragans, typhons, tsunamis, avalanches,etc.) ou des risques épidémiques (Sida,SrAS, grippe aviaire, etc.). Il fautcependant être prudent lorsqu’on arecours à des algorithmes pour prédire lecomportement humain.

Aux uSA, on évalue déjà la prédiction dela récidive. Aujourd’hui, certains selancent dans la prédiction de lacommission d’infractions (PrEDPoL auxuSA et HorIZon en France). Jusqu’oùirons-nous ? Probablement vers laprédiction de l‘identité du délinquant pourl’arrêter au stade de la tentative ou duflagrant délit.

Des ingénieurs travaillent déjà sur de telsalgorithmes. De manière sous-jacente etimplicite, de tels programmes partent dupostulat que le comportement humain estprévisible, ce qui consacre la théorie dudéterminisme : tout obéit à des lois doncles faits humains sont causés par leurs


droit


question de l’antiquité était de savoir quigardera les gardes ? Celle de l’èrenumérique sera de savoir qui gardera lesalgorithmes. Il appartient au législateurd’intervenir sur ces questions et detrouver un équilibre entre le secret desaffaires et la protection de l’ordre public.notre société n’aura rien de bon à gagneren remettant son destin entre les mainsde formules mathématiques secrètes.

allons-nous vers la tyrannie des big datapersonnelles ?

L’internet des objets permet la collectepermanente des données d'un individu etpermet d’avoir une visibilité sur la durée.En matière de santé, cette connaissanceest un progrès et permettra un traitementmédical réellement adapté à chaquepersonne. Le suivi continu des donnéesdu patient sera le standard de demain. Laprudence s’impose dès lors que nous nemesurons pas toutes les conséquencesde la publicisation de nos donnéespersonnelles dans ce domaine.

outre les questions d’atteinte à la vieprivée, gardons-nous de créer unefracture numérique entre les individus.Plus on aura d’ancienneté et donc detraçabilité dans les Big Data personnelles,plus la vie sera facile (si les dites donnéessont «bonnes» !). A l’inverse, la vie serabeaucoup plus difficile pour ceux quin’auront pas de Big Data personnelles ouqui en auront de mauvaises, c'est-à-diredifférentes de la norme attendue.

Gardons-nous aussi d’utiliser cesdonnées pour procéder à une sélectionentre les individus. Dès lors que laconnaissance sera accessible, n’allons-nous pas trier entre les individus à soignerou à assurer ? une telle démarche est denature à remettre en cause notre principede mutualisation. Promouvoir un modèleéconomique permettant de nesélectionner que les bons clients (qu’ilssoient assurés ou patients) sera peut êtreprofitable mais uniquement à court terme.Que se passera-t-il pour les mauvaisclients ? A terme, c’est la cohésionsociale qui sera remise en cause avec desconséquences que l’on ne peut pasmesurer.

Le numérique nous donne accès à unenouvelle connaissance et nous devonsfixer de nouvelles règles qui intègrentabsolument une dimension éthique dansl’utilisation desdites données.


L’auteur

Fabrice LORVO est avocat au Barreau deParis, et associé du cabinet FTPA. Il intervientnotamment en droit des médias, de lacommunication et des nouvellestechnologies. Il est l’auteur de « Numérique :de la révolution au naufrage ? » chezwww.fauves-editions.fr ( Avril 2016). Il estégalement chroniqueur sur France Culturepour l’émission « le Secret des sources ».

droit


Le RANSOMWARE demontre La vaLeur intrinseQue d'unPatrimoine informationneL

Le ransomware est une nouvelle forme massive de prédation qui touche tant lesparticuliers que les entreprises au travers du caractère substantiel de leur capital infor-mationnel pour leurs activités. Le cryptage frauduleux des données numériques d'untiers et le rétablissement de leur accès moyennant une rançon est un acte répréhensiblemais dont la qualification pénale est délicate. Est-il un vol, un chantage, une contrainteou une infraction particulière ? La réponse pénale, normalement dissuasive, peut paraîtreencore inadaptée et il existe encore des marges de progrès quant au temps de traitementet à l'exemplarité des condamnations. La question de la preuve numérique appliquéeà des auteurs situés hors du territoire et intervenant à partir de plusieurs nœuds duréseau trouve toute sa pertinence du fait de la difficulté à réunir les éléments de l'infraction.

Le ransomware entre toutefois dans une économie juridique particulière car lerèglement européen (RGPD) n°2016/679 du 27 avril 2016, applicable à compter de mai2018, oblige les entreprises à notifier la violation de données personnelles dans les72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque laviolation est susceptible d’engendrer un risque élevé pour les droits et libertés de lapersonne. Cette disposition peut concourir à une évaluation réelle du chiffre noir de cephénomène.

droit


Foto

lia

régime juridique du ransomware ou prise d'otage numérique

Avec la généralisation du numérique,la cybercriminalité se développe sanscesse que ce soit en quantité, diversitéou en qualité. Ses contours évoluent ets’adaptent aux mesures de sécuritémises en place pour parer lesmenaces. La société Symantec, dansson rapport annuel 2015 sur l’évolutiondes menaces informatiques dans lemonde, a souligné l’augmentation deplus de 36 % des logiciels malveillantspar rapport à 2014 (en 10 ans, onserait passé d’environ 22 000 à 430millions logiciels malicieux).

Cela peut aussi se traduire par dupiratage de données plus ou moins

sensibles, commedans l’affaire Ashleymadison (site derencontresextraconjugalesavec 37 millionsd’utilisateursconcernés) ou dans

Acelle du fabricant de jouets connectésVTech (soit 6,3 millions de profilsd’enfants dont 1,2 million français). oSmicrosoft, mac, Linux, Androïd, Apps,tous les terminaux (ordinateurs fixes etmobiles, téléphones portables etsmartphones, tablettes, IoT) et tous lessystèmes sont visés par des malwares.Après la vogue des fraudes aux dirigeantsqui ont défrayé la chronique, onobservera cependant une recrudescencede ce que l’on nomme désormais leransomware. En effet, pourquoi sefatiguer à siphonner des données et lesrevendre, alors qu’il est plus facile de lesrendre inintelligibles et de vendre les clésde déchiffrement à celui qui pâtit dublocage, d'autant que la qualificationjuridique de l’infraction est encoreincertaine. Pour la France, le baromètrede la cyber-sécurité des entreprises, dejanvier 2016, du Club des experts de lasécurité de l’information et du numérique(http://www.cesin.fr/publications/docume

droit

179

par eric A. cAPPrioLi


eric A. cAPPrioLi

avocat à la cour de Paris

nt/display/121) constate que 61% desentreprises interrogées ont été victimesde demandes de rançons. on a recensé391 000 attaques de ce type en France !

Les contours du ransomwareéléments de définition

Le ransomware est un logiciel malveillantqui a la particularité de prendre en otagedes données d’une entité en les chiffrantou de bloquer l’accès d'une machine àtout utilisateur. Il existe aussi unransomware appelé « virus gendarmerie »qui consiste à bloquer un ordinateur et àfaire croire que la gendarmerie adécouvert des activités illicites etdemande le paiement d’une amende.Pour déchiffrer les données avec une clécryptographique ou disposer de

l’équipement ou de la clé permettant dedéverrouiller la machine, la victime doitverser une somme d’argent, le plussouvent par Bitcoins, crypto-monnaiesulfureuse qui doit son développementaux divers trafics réalisés dans le web

profond (Dark Web)1.En mars 2016,l’Agence FrancePresse a été victimede deux tentatives

successives de demande de rançon,avec le ransomware Locky. Ces tentativesont été déjouées sans paiement de larançon. mais comme l’a expliqué le rSSI,l’AFP refuse le chantage et : « Nousportons plainte auprès de la policejudiciaire. Nous isolons les ordinateursinfectés, nous les reformatons, nous

(1) Sur le Dark Web , v.Adrien Petit, Le Dark Web,place de marché desdonnées volées, rev. de laGendarmerie nationale,4e trimestre 2015, n° 574,p.53 et s.

180

Le paiement de la rançon ne garantit pas la fin du chantage numérique. Il vaut mieux amorcer uneréponse en collaboration avec les autorités compétentes.

foto

gest

oeb

er


droit

réGImE JurIDIQuE Du rAnSomWArE ou PrISE D'oTAGE numérIQuE

restaurons les données dans la journée etnous conservons les fichiers cryptés

comme nous leconseillent lesenquêteurs »2. Ilconvient de préciser

que les sauvegardes des données avaientété faites hors ligne ; heureuseprécaution !

À côté de ces méthodes reposant sur duchiffrement, il existe d’autres procédésapparentés, sans utilisation de produitscryptographiques qui, par exemple,orientent la victime vers des numérosgratuits mais qui sont en réalité surtaxésou de faux techniciens soi-disant supportde microsoft qui imitent des pagesd’erreurs et bloquent l’ordinateur avecune prise de contrôle à distance avecteam Viewer. Parmi les ransomwares lesplus connus, on peut citer Cryptowall(actuellement la V.4.0) ou teslaCrypt, ouplus récemment Samsam qui s’attaqueaux serveurs utilisant Jboss. Selonl’Agence nationale de la sécurité dessystèmes d’information (AnSSI), onentend par les termes« Chantage/ransomware » : « Formed’extorsion imposée par un codemalveillant sur un utilisateur du système.Si ce dernier refuse de payer oud’effectuer une tâche imposée, le serviceauquel il veut accéder lui est refusé par lecode malveillant. remarques : Un telcode peut par exemple chiffrer desfichiers pour les rendre inexploitables.

(2) http://www.silicon.fr/ransomware-locky-lafp-touchee-son-rssi-temoigne-142797.html

L’utilisateur se voit présenter desinstructions, telles que le paiement d’unesomme d’argent, pour récupérer sesfichiers. Céder au chantage ne garantitpas que les fichiers seront restaurés etcrée un risque de prélèvementsfrauduleux ultérieurs sur les

moyens depayement utilisés »3.

risques juridiques

Ces risques sont de natures diverses.Parmi eux, on citera non seulement lespertes de données à caractère personnel,mais également la préservation de lasécurité des données afin notammentqu’elles ne soient pas déformées,endommagées ou que des tiers nonautorisés n'y aient pas accès (art. 34 dela loi du 6 janvier 1978) sous peine desanctions de la CnIL ou de sanctionspénales (art. 226-17 du code pénal :300 000 euros d’amende et 5 ans deprison). Cependant, avec le nouveaurèglement européen (rGPD) n°2016/679du 27 avril 2016 sur la protection des

données4, applicableà compter de mai

2018, toutes les entreprises aurontl’obligation de notifier les violations dedonnées personnelles contrairement à laloi de 1978 actuellement en vigueur quivise les fournisseurs de services decommunications électroniques en vertude l’article 34 Bis. Selon l’art. 33 du

(3) AnSSI, Glossaire, v.http://www.ssi.gouv.fr/administration/glossaire/c/.

(4) JouE du 4 mai 2016, L.119/1.


droit


interdire en droit français des assurancesce qui serait autorisé auxconcurrents étrangers ? Cela risquerait decréer une forte distorsion de concurrenceau préjudice des assureurs français.

ii/. Quelles qualifications juridiques ?Les infractions juridiques Face à ces nouvelles formes de menacesnumériques, le Code pénal dispose d’unarsenal de dispositions aptes à apporterdes réponses à ces pratiques délictuelles.À ce titre, on observera tout d’abord queles textes légaux classiques depuis la loiGodfrain de 1988 (modifiés à plusieursreprises) permettent de réprimer lesatteintes aux systèmes d’information avecles articles 323-1 et 323-3 du Codepénal : introduction, maintien frauduleuxdans un système d’information, altérationdu fonctionnement du SI, introductionfrauduleuse des données dans un STAD(extraction, détention, reproduction,transmission, suppression modification).Les sanctions varient entre 2 et 5 ansd’emprisonnement et de 60 à 150.000euros d’amende, sauf dans l’hypothèseoù l’on est en présence d’un système detraitement de données à caractèrepersonnel mis en œuvre par l’état, pourlequel le Code pénal prévoit dessanctions plus lourdes (articles 323-1,al.37, 323-2, al. 28 et 323-3, al.2 du Codepénal).

Dans le cadre du ramsonware, on auraplutôt recours à une qualification sefondant sur l’article 323-3 du Code pénal:

rGPD, cette notification doit intervenirdans les 72 heures à compter de saconnaissance auprès de l’autorité decontrôle et lorsque la violation estsusceptible d’engendrer un risque élevépour les droits et libertés de la personne,la notification à la personne concernéedoit s’opérer dans les meilleurs délais (art.34 du rGDP). D’un autre côté, il ne fautpas oublier qu’il existe aussi l’impossibilitéd’accéder aux autres données, quiportent sur les produits, les services oules marchés, de nature technique,économique et ne concernent pas lestraitements de données à caractèrepersonnel. Cela fait référence, parexemple, à celles qui auraient étémarquées comme relevant du secret des

affaires5 et ne sontpas protégées parles droits depropriétéintellectuelle.

Le ransomware est-ilassurable ?

Le fait que leransomware soitassurable suscite

une objection majeure : cela « pourraitfavoriser la collusion frauduleuse entrel’assuré et l’auteur de l’extorsion6 ». Sil’on raisonne par analogie, on peutégalement s’interroger sur la licéité del’assurance portant sur les rançonsversées à l’occasion d’enlèvement depersonnes physiques. mais pourquoi

(5) Directive (uE) 2016/943du Parlement Européen etdu Conseil du 8 juin 2016sur la protection des savoir-faire et des informationscommerciales non divulgués(secrets d'affaires) contrel'obtention, l'utilisation et ladivulgation illicites ; Sabinemarcellin et Thibaut manoirde Juay, Le secret desaffaires, Lexisnexis, 2016.

(6) Jean-Laurent Santoni,Cybercriminalité, Leransomware est-ilassurable ?, Expertises, Juin2016, v. p. 219.


droit


« le fait d’introduirefrauduleusement desdonnées » dans unSI, « d'extraire, dedétenir, dereproduire, detransmettre, desupprimer ou demodifierfrauduleusement lesdonnées qu'ilcontient », puisqu'il ya modificationlorsque les donnéessont chiffrées par untiers de sortequ’elles soient

inutilisables. L’introduction frauduleuse dedonnées est réalisée (les données dechiffrement). En revanche, la qualificationde vol, telle que l’a consacrée la Cour decassation le 20 mai 20159 n’est paspossible car en l’espèce, il n’y a nisoustraction, ni reproduction desdonnées contenues dans le système.

D’un autre côté, il semble égalementenvisageable de s’appuyer sur l’article323-3-1 du Code pénal qui permet desanctionner l’offre, l’importation, ladétention, la mise à disposition ou lacession de programme malveillant si tantest que l’on puisse saisir « unéquipement, un instrument, unprogramme informatique ou toute donnéeconçus ou spécialement adaptés pourcommettre une ou plusieurs des

(7) « Lorsque les infractionsprévues aux deux premiersalinéas ont été commises àl'encontre d'un système detraitement automatisé dedonnées à caractèrepersonnel mis en œuvre parl'Etat, la peine est portée àcinq ans d'emprisonnementet à 150 000 € d'amende. »

(8) « Lorsque cette infractiona été commise à l'encontred'un système de traitementautomatisé de données àcaractère personnel mis enœuvre par l'Etat, la peine estportée à sept ansd'emprisonnement et à 300000 € d'amende ».

(9) CA Paris, pôle 4, ch. 10,5 févr. 2014, n° 13/04833 :Comm. com. électr. 2014,comm. 40, éric A. Caprioli. ;Cass. Crim. 20 mai 2015, n°de pourvoi : 14-81.336,JurisData n° 2015-011834 ;Comm. com. électr.septembre 2015, comm.74, éric A. Caprioli.

infractions prévues par les articles 323-1à 323-3 ».

De plus, ces infractions sont encore plussévèrement réprimées dès lors que lapréparation s’effectue en groupe ouqu’elles sont commises en bandesorganisées, ce qui est souvent le cas desattaques de type ramsonware (ex : prèsde 325 millions de dollars au mêmegroupe de cybercriminels avec cryptoWall3.0).

Deux autres délits non spécifiques aunumérique pourraient trouver às’appliquer : l’extorsion de fonds et lechantage. S’agissant du premier, l’article312-1 du Code pénal dispose :« L'extorsion est le fait d'obtenir parviolence, menace de violences oucontrainte soit une signature, unengagement ou une renonciation, soit larévélation d'un secret, soit la remise defonds, de valeurs ou d'un bienquelconque. L'extorsion est punie de septans d'emprisonnement et de 100 000euros d'amende. » La qualification sembledélicate à établir dans la mesure où il seradifficile de considérer que le fait de chiffrerdes données appartenant à autrui soit dela violence ou une menace de violence ouencore une contrainte. L’action réaliséeavec le ransomware est d’un autre typenon prévu par le texte. En ce quiconcerne le chantage, là encore, laformulation du délit n’est pas adaptée aucas de prise d’otage de donnéesnumériques. Ce délit est réprimé à l’article


droit


184

délinquants ont demandé un nouveaupaiement. Le fait de ne pas porter plaintene facilite pas la tâche des services depolice et de gendarmerie.

Après les ransomwares comme Locky ona vu arriver de nouvelles versions de cedernier, ainsi que des nouveaux produitstels que Crysis ou Ke.ranger. À peinedétectés, il en apparaît de nouveaux. Plusrécemment est apparu le concept deraaS (« ransomware as a Service ») quipermet à l’auteur de partager la rançonavec le diffuseur qui personnalise leransomware. Les paiements s’effectuentsous couvert d’anonymat de l’auteur etdu diffuseur, car ils utilisent le réseau Toret la crypto-monnaie « bitcoins » fondéesur la technologie blockchain.

Si des parades existent notammentlogicielles (tels que malwarebytes et lessolutions développées par des sociétésde sécurité informatique) ou l’analyseforensics, le nettoyage et la restaurationdes données, la meilleure façon de luttercontre le ransomware reste l’anticipation.Dans ce cadre, il est conseillé de:

• procéder à la sauvegarde régulière desfichiers et données hors réseau ;

• sensibiliser régulièrement les personnelssur les bonnes pratiques et avecplusieurs supports (e-learning, formation,jeux, vidéos) ;

• contrôler les utilisateurs sous réserve dedisposer de chartes informatiques et de

312-10 : « Le chantage est le faitd'obtenir, en menaçant de révéler oud'imputer des faits de nature à porteratteinte à l'honneur ou à la considération,soit une signature, un engagement ou unerenonciation, soit la révélation d'un secret,soit la remise de fonds, de valeurs oud'un bien quelconque. Le chantage estpuni de cinq ans d'emprisonnement et de75 000 euros d'amende. »

Les limites à la répression

Les plaintes pénales, lorsqu’ellesaboutissent à des poursuites judiciaires,durent plusieurs années avant qu’uneéventuelle condamnation n’intervienne.or, pour y parvenir, encore faut-il d’unepart, identifier le ou les délinquant(s) quise trouvent souvent hors du territoirefrançais et européen et agissent à partirde plusieurs points d’un réseau et,d’autre part, réunir les éléments de faitsde la ou des infraction(s) afin de lesconstituer. mais finalement, on peutconstater que les tribunaux français,contrairement à ceux d’autres systèmesjudiciaires (ex : uSA, royaume uni)sanctionnent assez faiblement lacybercriminalité alors que les textesautorisent des peines beaucoup plussévères. or, avec le ransomware, le malétant fait, les victimes paient souvent sansporter plainte sans qu'elles n'aient paspour autant des garanties d’accès à leursdonnées comme on a pu le voir, en mai2016, avec le Kansas Heart Hospital oùau lieu de débloquer le système, les


droit


185

procéder aux formalités Informatiques etlibertés et de protéger le patrimoineinformationnel de l’organisation encause ;

• préparer une procédure d’alerte pénalepour collecter les éléments de preuve envue d’une plainte auprès des servicesjudiciaires.

De façon plus générale, la sécurité del’information suppose une remise enquestion permanente et une grandecapacité d’adaptation de l’organisationaux nouvelles menaces. Seulel’application d’une méthodologie fondéesur la roue de Deming (Plan-Do-Check-Plan) est à même de résoudre lesproblèmes de sécurité et de l’améliorer enpermanence. une histoire sans fin …


L’auteur

Après une période de dix ans passée dansdes entreprises technologiques (juristed’entreprise et directeur général), un masteren gestion des entreprises suivi d’un doctoraten droit (thèse sur le crédit documentaire,publiée aux éditions Litec en 1992), Eric A.Caprioli est devenu avocat en fondant lecabinet d’avocats Caprioli & Associés.Parallèlement, il a enseigné le droit del’informatique et du numérique, le droit desaffaires en Ecole de Commerce (EDHECBusiness School) pendant une quinzained’années, ainsi qu’à l’Université de NiceSophia-Antipolis, puis aux Universités deParis II (Panthéon-Assas) et Paris I (Panthéon-Sorbonne) jusqu’à ce jour. Il est titulaire des spécialisations délivrées parle Conseil National des Barreaux en droit desnouvelles technologies, de l’informatique etde la communication et en droit de lapropriété intellectuelle.Il est Membre de la délégation française auxNations Unies en matière de droit ducommerce électronique depuis 1993.Vice-Président de la Fédération des Tiers deConfiance Numérique (FNTC) et du Club desExperts de la Sécurité de l’Information et duNumérique (CESIN).Depuis plus de 10 ans, il tient la chroniquemensuelle « Sécurité de l’information » dansla revue Communication, CommerceElectronique (LexisNexis)[email protected]

droit


directeur de La PubLicationGénéral de brigade Philippe Guimbert

rédactionDirecteur de la rédaction :

général d’armée (2S) Marc WATIN-AUGOUARD,directeur du centre de recherche de l’EoGn

Rédacteur en chef : colonel (Er) Philippe DURAND

maquettiste Pao:major Carl GILLOT

comité de rédactionGénéral de corps d’armée Christian RODRIGUEz,

major général de la gendarmerie nationaleGénéral de corps d’armée Alain GIORGIS,

commandant des écoles de la gendarmerie nationaleGénéral de brigade Philippe GUIMBERT,

conseiller communication du directeur général de la gendarmerie nationale - chef du Sirpa-gendarmerie

Colonel Laurent VIDAL,directeur-adjoint au centre de recherche de l’EoGn

comité de LectureGénéral d’armée Jean-Régis VÉCHAMBRE,inspecteur général des armées – gendarmerie

Général de corps d’armée Christian RODRIGUEzmajor général de la gendarmerie nationale

Général de corps d’armée Alain GIORGIS,commandant des écoles de la gendarmerie nationale

Général de corps d’armée Michel PATTIN,directeur des opérations et de l’emploi

Général de brigade Philippe GUIMBERT,conseiller communication du directeur général

de la gendarmerie nationale - chef du Sirpa-gendarmerieLieutenant-colonel Édouard EBEL,

département gendarmerieau sein du service historique de la Défense

message aux abonnésLa veille juridique de la gendarme-rie nationale et la revue du centre

de recherche de l’EoGn sontmaintenant consultables sur le site

internet du CrEoGnwww.gendarmerie.interieur.gouv.fr/

crgn/publications

Le CECyFLe centre expert contre la cybercriminalité français est une associationpermettant aux services chargés de l’application de la loi, aux chercheursde toutes origines (académiques, industriels, indépendants) et auxétablissements d’enseignement de se rencontrer et d’échanger pourcréer des projets qui contribuent à la formation, à l’éducation, à laprévention (site cEcyF prévention) et à la recherche & développementcontre la cybercriminalité. Le cEcyF compte 34 membres dont les douzepremiers étaient issus du projet européen 2cENTRE et de leurs15 partenaires. Il rassemble des services de l’état, des établissementsd’enseignement supérieur et de recherche, des entreprises et desassociations. La gendarmerie en assure la présidence et le secrétariatgénéral.

Le cEcyF est partenaire du Festival du film de sécurité d’Enghien.

partenaire de cyberlex, association qui regroupe des spécialistes du droitdu cyberespace et des technologies numériques, il organise avec elle unemasterclass sur le droit pénal de l’espace numérique à l’occasion du FIc2017. En synergie avec cet événement, il co-organise la 3e conférencesur la réponse aux incidents et l’investigation numérique, coRI&IN.

UN

E S

ÉC

UR

ITÉ

IN

TE

LLIG

EN

TE

PO

UR

LE

S T

EC

HN

OLO

GIE

S D

U F

UT

UR

RE

VU

E D

E L

A G

EN

DA

RM

ER

IE N

ATI

ON

ALE TECHNIQUE > Collectivités

locales et cyber-risques

N°

256

/ 4e

TRIM

ES

TRE

201

6

www.gendarmerie.interieur.gouv.fr

DROIT > La loi du3 juin 2016

REVUEde la gendarmerie nationaleREVUE TRIMESTRIELLE / DécEMbRE 2016 / N° 256 / pRIx 6 EURoS

Une sécurité intelligente pourles technologies du futur

Smarter security for future technologies

INTERNATIONAL >Safe Harbour

COUV N°256.qxp_Mise en page 1 Copier 14 16/12/2016 11:30 Page1

Le CECyF Une sécuritéintelligentepour les technologies du ... · un consortium pour assurer un...

Documents

Transcript of Le CECyF Une sécuritéintelligentepour les technologies du ... · un consortium pour assurer un...