Avec la transformation numérique des acteurs économiques, l’ouverture des données, le développement de smart grids et d’objets connectés, ce sont tous les secteurs de l’industrie comme des services, la Banque, les transports, les télécoms et l’énergie qui sont désormais concernés par les enjeux de cybersécurité.

En France, l’Agence Nationale de la Sécurité des Systèmes d’Informations (Anssi) a notamment été chargée d’accompagner les Opérateurs d’Importance Vitale OIV, exploitant ou utilisant des installations indispensables à la survie de la Nation, à la sécurité des populations et à la protection de son économie, pour la sécurisation de leurs systèmes d’information. La cyberdéfense devient pour l’Etat un enjeu de souveraineté et pour les entreprises un enjeu économique, pour protéger leur savoir-faire, leur outil de production et donc leur activité.

Pour sa 25e Matinale, qui s’est déroulée le 22 mars 2017, l’Atelier Energie et Territoires, avait choisi d’aborder ces enjeux de la cybersécurité en sollicitant deux spécialistes :

 Christian Daviot
Chargé de mission stratégie auprès du directeur général de l’Anssi
Olivier Ligneul
Directeur Mission technique et sécurité / CTO / RSSI au sein du Groupe EDF.

Les 12 enseignements à retenir 

1

La cybersécurité est liée à différentes catégories d’attaques dont peuvent faire l’objet les systèmes informatiques d’entreprises, d’administrations ou de collectivités. Des attaques aux motivations multiples : l’argent (l’attaquant pénètre un système d’information et en bloque le fonctionnement jusqu’au versement d’une rançon  via un « rançongiciel » – cryptolocker, en anglais) ; la révélation ou la destruction de données pour porter atteinte à un ou des adversaires, déstabiliser un Etat voire son processus électoral,… ; enfin, l’espionnage industriel.

2

Les cyberattaquants vont de l’ado hacker jusqu’au service de renseignement étatique en passant par le crime organisé, des mouvements issus de la société civile comme celui des Anonymous. En plus d’être massives et « industrialisées », leurs attaques sont rarement circonscrites dans le temps, mais au contraire le fruit de beaucoup de persévérance, ce qui les rend d’autant plus difficiles à traiter.

3

La surface de risque devrait s’étendre avec l’essor des smart grids (synonyme de plus d’interconnexion), de l’Internet des Objets et de la 5G, sans compter les risques inhérents aux nouveaux processus d’innovation (ouverte, collaborative,…).

4

Jusqu’à présent, les cyberattaques n’ont fait aucune victime humaine, mais il risque d’en être autrement du fait de l’accroissement de cette surface de risque et dès lors que des terroristes s’aviseraient à recourir à ces méthodes…

5

Face aux cyber-risques, des dispositions ont d’ores et déjà été prises : comme la constitution d’organismes tels que l’Anssi en France, et l’identification d’Opérateurs d’Importance Vitale (OIV), soit des entreprises du secteur public ou privé, exploitant ou utilisant des installations indispensables à la survie de la Nation, à la sécurité des populations et à la protection de son économie. Au total, une douzaine de secteurs sont concernés (dont l’énergie).

6

A l’échelle de l’Europe, la directive Network Information Security, inspirée du modèle préconisé par l’Anssi, fait obligation aux Opérateurs de Services Essentiels (OSE) de notifier les attaques dont ils sont victimes.

7

Les exigences de la cybersécurité se placent devant un dilemme : informer les usagers ou clients qui risquent de pâtir directement ou indirectement d’une cyberattaque / ne pas les informer pour ménager les intérêts de l’entreprise (elle encourrait un risque de voir le cours de ses actions s’effondrer) ou de l’institution (inciter l’attaquant à recourir à un plan B).

8

Au plan de l’organisation et du management des entreprises comme des administrations ou des collectivités, la cybersécurité implique plus de concertation entre RSSI (pour une approche globale, la définition du niveau d’acception des risques), leur implication plus forte dans la gouvernance (le Comex, dans le cas des grandes entreprises), mais aussi une sensibilisation des clients, usagers ou fournisseurs.

9

Entre logiciels libres et logiciels propriétaires, les contraintes de cybersécurité ne jouent pas nécessairement en faveur des uns ou des autres. Tout dépend du degré de sécurisation souhaité ou encore de maîtrise dans le développement des premiers.

10

À l’échelle des Etats, est invoquée une « souveraineté numérique », mais sans qu’on sache ce qu’elle peut recouvrer du fait de l’interconnexion des réseaux (et, dans le cas des pays Européens, de l’absence d’une industrie numérique suffisamment puissante pour garantir l’indépendance des sources d’approvisionnement en équipements sûrs). Cette même souveraineté est mise à mal par le principe de libre circulation des données (free flow of data) que l’Union européenne a fait sien.

11

À défaut d’une souveraineté numérique pleine et entière, plusieurs options existent : la certification d’équipements sous l’égide d’un « tiers de confiance » comme l’Anssi, par exemple.

12

Au final, les défis de la cybersécurité demandent à être davantage pris en considération (notamment au sein des collectivités territoriales). Ces défis se révèlent tout autant techniques qu’humains (il faut disposer des compétences) et juridiques. En revanche, le coût de la cybersécurité pour une entreprise, une administration ou une collectivité reste à un niveau supportable, au regard des risques encourus, mais aussi des investissements requis par la transition numérique, et moyennant une approche globale.

Philippe Labro : Pour les besoins de cette audition consacrée aux enjeux de la cybersécurité, nous procèderons en trois temps : nous interrogerons nos deux invités sur la nature exacte des risques que recouvre la cybersécurité (1) avant de les solliciter sur les réponses possibles (2); enfin, nous examinerons cette notion de « souveraineté numérique », dont on parle beaucoup sans toujours savoir ce qu’elle recouvre exactement (3). Commençons par vous, Christian Daviot, qui représentez l’Etat non sans vous inviter à rappeler la vocation exacte de l’Anssi.

Christian Daviot : L’Anssi est un service du Premier ministre, rattaché au Secrétaire général de la Défense et de la Sécurité nationale. Elle mobilise un demi millier d’ingénieurs (un chiffre appelé à croître encore), dont le métier est principalement d’assurer la sécurité des systèmes d’information de la France, avec un effort particulier sur ceux de l’Etat et ce qu’il est convenu d’appeler les Opérateurs d’Importance Vitale (OIV) : des entreprises du secteur public ou privé, intervenant dans une douzaine de secteurs d’activités, dont l’énergie. La liste de ces OIV étant classifiée Défense, je ne peux vous en divulguer le contenu. Mais, comme vous pouvez le deviner – et parce que nous avons été amenés à le révéler dans certaines circonstances – EDF en fait partie.

L’Anssi a été créée sous sa forme actuelle en 2009, suite à la publication du Livre blanc sur la sécurité et défense nationale de 2008 (l’agence comptait alors une centaine de collaborateurs). Rappelons que ce rapport faisait lui-même suite aux attaques dont l’Estonie avait été victime (l’ensemble de ses informations numériques avaient été rendues indisponibles pendant plusieurs semaines : concrètement, les Estoniens ne purent faire de retraits d’argent, accéder aux services publics en ligne, à des parcs de stationnement,…). Une attaque attribuée au voisin russe (manifestement en réaction contre l’intention de l’Estonie de déplacer une statue représentant un soldat soviétique de la Seconde Guerre mondiale…).

Les origines de l’Anssi remontent à bien plus loin, à la création du « service du chiffre », en 1943 – ce service étant destiné à protéger les informations de la France Libre. Aujourd’hui encore, l’agence compte des cryptologues et est également en charge de sécuriser les communications gouvernementales (elle travaille à cette fin étroitement avec le ministère de la Défense).

Maintenant, pour aborder le premier axe de votre audition – la nature des risques que nous encourrons à l’heure de la transition numérique et du Big Data, je répondrai en commençant par solliciter votre indulgence pour ma franchise : je me garderai dans la suite de mes propos à entretenir l’illusion que la situation serait totalement sous contrôle. Dit autrement, je serai raisonnablement pessimiste non sans assumer aussi une part de paranoïa, de celle qui sied à tout personne engagée dans la cybersécurité.

Non seulement les risques sont réels, mais encore il est à craindre qu’ils aillent croissant grâce d’ailleurs à votre propre concours ! Autant le poser d’emblée : bien des risques découlent d’un manque d’attention et de vigilance des victimes potentielles, particuliers comme organisations. Nous reviendrons sans doute sur cet aspect des choses.

Au sein de l’Anssi, nous parlons davantage de « menaces », en désignant par là des attaques déjà en cours (et non à venir comme le suggère la notion de cyber-risque). Nous parlons également d’ « attaquants » (un terme qui dit bien la nature des risques), en désignant par là différents profils qui vont de l’ado hacker jusqu’au service de renseignement étatique en passant par le crime organisé, des mouvements comme celui des Anonymous, etc.

En règle générale, la première motivation de l’attaquant est l’argent : il pénètre un système d’information pour en saisir des identifiants bancaires ou des données qu’il menace de revendre ensuite. Pour cela, il recourt, par exemple, à ce qu’on appelle un « rançongiciel » (cryptolocker, en anglais). Les cibles sont de grandes entreprises, mais elles peuvent être aussi des PME, des libéraux, des institutions. Concrètement, l’attaquant adresse un courriel avec une pièce jointe malveillante, qui, une fois ouverte, va chiffrer l’ensemble des fichiers disponibles sur l’ordinateur et le réseau de ses cibles, les rendant évidemment inaccessibles. En contrepartie de la clé de déchiffrement, il faut verser une rançon – une somme relativement peu élevée, en règle générale, de l’ordre de 500 à 1 000 euros. En contrepartie, la victime reçoit la clé de déchiffrement avec également une adresse sur internet pour solliciter une assistance, si nécessaire. Une sorte de service après vente, fait à dessein pour inciter la victime à s’exécuter. Comme vous pouvez le voir, nous sommes en présence d’un véritable modèle économique, d’autant plus efficace que les victimes non seulement paient, mais n’hésitent pas à recommander aux autres d’en faire autant (le paiement garantit l’obtention d’une clé de déchiffrement).

En dehors de l’argent, une autre motivation  est la révélation de données et ce, dans l’intention de déstabiliser un Etat – son administration (cas de la cyberattaque perpétrée par Edouard Snowden) ou son processus électoral (comme aux Etats-Unis, lors des dernières élections) – une entreprise ou une personnalité. A chaque fois, le scénario est le même : l’attaquant pénètre le système d’information pour en exfiltrer les données confidentielles.

3e motivation : la destruction de ces données. C’est le cas de l’attaque subie en 2012 par Aramco, le premier producteur mondial de pétrole. En quelques minutes, les milliers ordinateurs du siège social de cette firme sont devenus inutilisables (et ont donc dû être intégralement changés). L’objectif était manifestement de déstabiliser le marché mondial du pétrole. Par chance, Aramco est parvenue à continuer à livrer le sien en se passant de l’outil informatique, nous épargnant ainsi une crise mondiale. En France, TV5 a été victime d’une attaque similaire : en quelques minutes, les programmes ont été interrompus suite à la destruction de ses systèmes de broadcast. TV5 n’a pu émettre durant plusieurs heures.

Jusqu’à présent, ces attaques n’ont pas fait de victimes directes. Ce que nous craignons à l’Anssi, c’est justement qu’il en soit autrement, que des groupes terroristes utilisent ce type de pratiques pour porter physiquement atteinte aux personnes. Pour l’heure, nous n’avons pas d’exemples connus, mais hélas, vu le niveau de sécurité de la plupart de nos infrastructures critiques (je ne parle pas de celles d’EDF, qui a acquis une réelle expertise en la matière et que nous continuons à accompagner), je crains que de plus en plus de systèmes d’information ne soient en danger et ce, dans de nombreux domaines (les transports, l’industrie chimique,…). Pour peu que des attaquants soient suffisamment déterminés et compétents, ils pourraient tirer profit de failles pour commettre des accidents dans l’intention de faire des victimes.

Sylvain Allemand à Christian Daviot : Pourriez-vous revenir d’ailleurs à cet épisode dont on a peu parlé, à savoir la cyberattaque que la France a subie suite aux attentats contre Charlie Hebdo, de la part de djihadistes, après que les Anonymous eurent attaqué plusieurs de leurs propres sites. Nombre d’institutions et de collectivités avaient été alors ciblées. A l’époque votre directeur avait réagi en considérant que ces attaques relevaient plus du « graffiti ». Est-ce dire que nous pourrions encourir des attaques bien plus graves ?

Christian Daviot : Exactement. Ce n’est que progressivement, à partir de la fin des années 2000, que les Etats se sont résolus à attaquer à leur tour, en considérant que le numérique pouvait contribuer à neutraliser des ennemis potentiels, sans avoir à recourir à une guerre conventionnelle. Ils se sont dotés pour cela d’armes informatiques. Seulement, les attaquants, et notamment les terroristes font le même chemin. Je vous invite pour vous en convaincre à lire Dar Al-islam, le trimestriel édité par Daech (dans la mesure du possible, bien sûr, tant les propos et illustrations sont peu conformes à nos valeurs républicaines). Vous constaterez qu’il comporte désormais une rubrique « sécurité informatique ». L’édition publiée après l’attentat de Nice comporte un mode d’emploi du chiffrement. Déjà, une vidéo d’Al-Qaïda, diffusée il y a quelques années, expliquait aux combattants comment se protéger contre l’espionnage des gouvernements, procéder à ses échanges informatiques et téléphoniques. A l’Anssi, nous faisons l’hypothèse qu’ils sont depuis passés au stade de l’attaque, mais sans disposer – pour le moment – de réelles compétences en la matière. Ce que nous craignons, c’est le 3e stade, celui où ils seront en mesure de causer des dégâts de plus grande ampleur, avec des pertes humaines, donc, à la faveur, notamment, de l’essor des smart grids et autres réseaux numériques que nous nous employons à promouvoir dans nos pays. Un scénario auquel nous nous préparons. D’autant plus que des scénarii de ce type se sont déjà déroulés à l’étranger, en Corée du Nord ou au Liberia.

Sylvain Allemand à Olivier Ligneul : vous êtes passé par l’Anssi au cours de votre carrière. On imagine que vous partagez le même diagnostic…

Olivier Ligneul : Avant d’être responsable de la sécurité des systèmes d’information du Groupe EDF, j’ai été en effet un collègue de Christian Daviot. L’Anssi venait d’être créée et nous n’étions encore qu’une certaine de personnes. Je m’occupais des activités conseils de l’Anssi. Je me retrouve dans le paysage qu’il a dressé des différents risques que nous encourons. Les attaques qu’il a évoquées sont bien celles auxquelles les groupes du secteur de l’énergie sont aujourd’hui confrontés. J’en distinguerai trois catégories, dans ce type de contexte :

La première catégorie est l’attaque industrialisée de nos systèmes d’information, visant à obtenir des rançons : une nouvelle forme de délinquance, en constant progrès, qui permet d’obtenir de l’argent facilement. A cette fin, les attaquants vont tâcher de comprendre les process que recouvrent nos activités.

Le monde industriel n’est pas le seul concerné comme en témoigne cet exemple que j’emprunte à la veille de l’Anssi. Il concerne cet hôtel autrichien quatre étoiles, dont l’attaquant a pris la nuit le contrôle de l’ensemble du système de fermeture des chambres en faisant savoir à la direction de l’hôtel que, si elle souhaitait libérer sa clientèle, il lui faudrait verser de l’ordre de 1 700 euros (on retrouve, au passage, l’ordre de grandeur évoqué par Christian Daviot). On peut imaginer que la direction s’est exécutée.

Ce genre d’attaque n’est pas isolé, mais procède par vagues, en ciblant des catégories de population et des secteurs d’activité : des milliers voire des dizaines de milliers de personnes se voient adresser un email qui les incite à accéder à un site web, de façon à pénétrer dans leur ordinateur, récupérer leurs données personnelles ou bancaires, sinon chiffrer leur poste. La parade pour le défenseur est de repérer le plus rapidement l’intrusion et d’endiguer l’attaque…

Le deuxième type d’attaques fait moins parler de lui, mais n’en est pas moins aussi préjudiciables : elles visent à capter des informations précieuses, d’ordre commercial, relatives à des marchés ou savoir-faire. Des attaques qui relèvent de l’espionnage et qui sont donc difficiles à déjouer : ceux qui les commettent cherchent à pénétrer en toute discrétion un système d’information, de le parcourir afin d’en capter des données.

Il faut garder à l’esprit que l’attaquant est généralement quelqu’un de persévérant : il prend le temps de comprendre les process de l’entreprise, sait s’organiser pour exfiltrer des informations et, au cas où son attaque serait détectée, pour emprunter des voies de secours, appliquer un plan B en somme. Il ne renonce pas au premier échec. C’est dire s’il faut rester vigilant.

Enfin, 3e type d’attaques : elles visent à porter atteinte aux différents organes de production : ceux liés aux fonctions classiques (les opérations comptables, la gestion de clientèle,…) ou aux métiers de l’entreprise. Par différents moyens, y compris réglementaires (et en coordination avec l’Anssi), nous nous assurons que le niveau de sécurité est adapté au niveau de la menace.

Christian Daviot : A juste titre, Olivier Ligneul a parlé d’espionnage. Une réalité tellement banale que je ne me suis pas attardé dans la typologie des risques/attaques que je vous ai proposée. Si je l’ai omise, c’est qu’il ne ressemble plus guère à celui évoqué classiquement dans les romans ou les films. Il s’est considérablement sophistiqué à l’heure du numérique. Et peut être le fait de pays alliés… Dans bien des cas, les entreprises et institutions qui sont victimes d’opérations d’espionnage numérique, se gardent de communiquer. Nous-mêmes nous nous gardons de communiquer sur les attaques informatiques sur lesquelles nous intervenons. A fortiori s’il s’agit d’une entreprise dont un service de renseignement serait parvenu à obtenir des informations. Car, alors, sa valeur en bourse risquerait d’être fortement dégradée. On pourrait d’ailleurs imaginer qu’une attaque soit réalisée dans une optique de prédation (l’attaquant cherchant à faire baisser le cours des actions de façon à en acquérir au moindre coût).

Pas plus qu’on ne communique en externe, on ne le fait en interne, pour ne pas éveiller les soupçons de l’attaquant, dont tout porterait à croire qu’il est présent de longue date dans le système d’information. A cet égard, je pense, entre autres exemples, à l’attaque subie par Bercy, et dont nous avons eu connaissance en décembre 2010. Nous l’avons traitée trois mois durant sans échanger via notre le système informatique du ministère. Ce qui, comme vous vous en doutez, n’est pas simple. Mais l’attaquant avait si bien pénétré le réseau que la moindre intervention de notre part aurait éveillé ses soupçons.

Sylvain Allemand à Christian Daviot : Et les collectivités locales ? Quels sont les risques spécifiques auxquels elles seraient exposées ? Rappelons que la cyberattaque que nous avons évoquée avait touché plus de 450 sites de collectivités, sans compter ceux d’institutions…

Christian Daviot : Je répondrai d’autant plus volontiers à cette question qu’elle m’offre l’occasion de rappeler que l’Anssi a vocation à accompagner ces collectivités, mais aussi le chemin à parcourir pour parvenir à un changement des mentalités. Force est de constater que les collectivités sont loin d’avoir pris la mesure des risques qu’elles encourent.

Dans des communes de quelques centaines d’habitants, il arrive que le mot de passe de l’ordinateur principal de la mairie soit encore bien visible à proximité, au prétexte que tout élu doit pouvoir y accéder…

Pour les grandes villes, les menaces risquent de s’accroître avec l’intensification des objets connectés et le développement des smart grids. C’est la face plus sombre de ce qu’on appelle la ville intelligente, qui aura pour effet de démultiplier la surface d’attaque. Les attaquants n’auront plus besoin d’entrer par le système d’information principal, mais ils pourront éventuellement exploiter le moindre capteur qui aura été mal sécurisé et mettre ainsi en danger l’ensemble du système. Dans cette éventualité, la question ne manquera pas de se poser de savoir qui sera responsable  de ce manque de vigilance ? Le maire ? L’opérateur numérique ? La question gagnerait à être tranchée rapidement.

Nous évoquions tout à l’heure les attaques portées contre le système de vote électoral. C’est un autre risque auquel les collectivités ne peuvent rester indifférentes. Car c’est bien l’intégrité des résultats de votes remontant des communes, qui risque d’être mise en doute.

Philippe Labro à Christian Daviot : A vous entendre, on pourrait donc s’étonner que la situation n’ait pas été déjà pire que ce que nous avons déjà connu, sous réserve d’être bien informé de l’ampleur des cyberattaques. On prend aussi la mesure de l’accroissement des risques encourus avec le smart grid et l’Internet des Objets censés rendre la ville plus intelligente (promesse en tout cas de la smart city). Quelles sont donc les parades possibles ?

Christian Daviot : Avant d’imaginer des parades, il faut aller au bout du diagnostic de ce qui nous attend, y compris des risques que l’imagination débordante de nos ingénieurs nous font courir à leur insu en croyant œuvrer à un avenir meilleur. En disant cela, je pense en particulier à cet équipementier télécom dont les équipes de R&D travaillent sur la latence des réseaux (le temps de réponse). Un enjeu majeur, dans la perspective notamment des véhicules autonomes qui ont besoin de connaître leur environnement en temps réel. A fortiori s’ils sont appelés à rouler vite comme semble l’envisager ces équipes de recherche, en travaillant sur une hypothèse de travail de véhicules roulant à plus de 300 km… Il est peu probable que ce soit pour demain, mais c’est l’objectif qu’elles se fixent sans se soucier des incidences au plan de la cybersécurité : ces véhicules deviendront d’autant plus dangereux si des cyberterroristes devaient parvenir à prendre le contrôle des systèmes d’information assurant leur circulation. Les entreprises ne sont pas forcément en cause : elles ignorent parfois bien des recherches que mène leur R&D. Loin de moi aussi de minorer les opportunités que leurs innovations représentent. Mais à trop focaliser sur les opportunités, il ne faudrait pas escamoter les risques.

Cette réalité du processus d’innovation constitue un vrai défi pour nous : à peine avons-nous sécurisé une technologie que de nouveaux usages émergent, suscités par des innovations qu’on n’avait pas vu venir. D’autant que les entreprises engagées dans un marché très concurrentiel sont incitées à réduire le time to market au point de lancer des produits ou des process qui n’ont déjà plus guère à voir avec ce à quoi les ingénieurs tout juste sortis de leur école.

Une tendance qui expose à des effets en cascade. Voici un autre exemple pour illustrer mon propos : il s’agit du Bring Your Own Device (BYOD), qui a pour effet de vous inciter à recharger votre e-phone en le branchant sur le réseau de votre entreprise. Ce faisant vous mettez en danger cette dernière et, pour peu qu’elle soit le fournisseur d’un OIV, la sécurité de celui-ci et donc indirectement celle du pays.

Et encore, nous n’avons pas basculé dans l’ère de la 5G. Je crains qu’on ne soit avec l’avènement de celle-ci qu’au tout début d’une révolution dont on n’a pas pris forcément la mesure. On a connu la transformation numérique. La 5G laisse présager une transformation de la transformation numérique.

Philippe Labro : Les ingénieurs sortis des écoles n’ont pas, dites-vous, été préparés aux innovations en cours. Qu’en est-il des pouvoirs publics et du législateur ?

Christian Daviot : Je crains qu’ils n’aient parfois aussi un train de retard. J’ai pu le mesurer à travers l’enjeu du véhicule connecté (je ne parle même pas du véhicule autonome). Les ministères concernés n’avaient pas pris la mesure des risques de détournement de ces véhicules. C’est nous qui les avons alertés, voici trois ans.

Nous pourrions peser davantage sur l’élaboration des réglementations, mais ce n’est pas simple tant elle est devenue complexe du fait de l’accumulation des textes entre ceux produits par le Parlement et les autres d’origine européenne voire internationale. Bien que ce ne fût pas dans nos missions initiales, nous n’en sommes pas moins amenés à participer davantage à leur élaboration.

Philippe Labro à Olivier Ligneul : Christian Daviot vient d’évoquer les effets de la course de l’innovation. Avez-vous le sentiment de courir vous-même après ?

Olivier Ligneul : Oui. Et ce, d’autant plus que, par définition, elle ne peut pas toujours être anticipée, a fortiori quand elle est de rupture ou disruptive comme on dit. Nous procédons cependant à un intense travail de veille, en assistant notamment aux événements qui rendent compte des grandes tendances. Je pense au CES qui se tient chaque année à Las Vegas et qui est l’occasion d’assister à des annonces majeures. Pour en revenir au véhicule autonome, des annonces ont été faite en début d’années, selon lesquelles l’autonomie complète du véhicule ne serait plus l’objectif premier des grands constructeurs. Le conducteur aura davantage loisir de contacter une plateforme. Dans l’ultime décision de l’intelligence artificielle, il s’agira davantage d’un service client contactable à distance. Ce qui n’est pas sans engager la responsabilité et, donc, l’adoption d’une réglementation adaptée. Cela étant dit, d’autres indices laissent augurer une plus grande autonomie que celle annoncée.

De manière générale, force est de constater que les technologies dont on nous parle sont loin d’être stabilisées. Tant et si bien qu’il apparaît difficile de les réglementer sauf à revoir rapidement la réglementation en vigueur pour les adapter aux nouveaux risques.

Au sein d’une même collectivité, force est de constater la diversité des technologies adoptées, en l’absence d’une vision d’ensemble. Déjà plusieurs opérateurs se sont positionnés dans la perspective de la 5G, avec leur propre solution (Sigfox, LoRa,…).

Je rejoins Christian Daviot dans son scepticisme à l’égard des objets connectés : on annonce leur démultiplication, mais sans s’interroger sur la gestion des flux de données qui en résulteront. Même si les réseaux sont plus performants, plus rapides, ils n’en sont pas moins exposés à des risques de saturation. 

Du point de la sécurité, se pose la question de savoir comment interpréter le silence d’un objet : sera-t-il dû à une panne ? Au déchargement d’une batterie ? Ou à une attaque ? Autant d’enjeux et de sujets de réflexion dont la R&D d’EDF Lab s’est saisie, en s’intéressant notamment à la manière dont on peut avancer au plan de l’inter-opérabilité sans nuire à la sécurité, mais également au plan des normes à adopter, etc.

S’agissant de la 5G, je rejoins encore Christian Daviot quand il dit que nous basculerons assurément dans une nouvelle ère : on va donner la possibilité de s’interconnecter d’une manière indifférenciée, à tous les réseaux et ce, en situation de mobilité, et où qu’on soit. Le professionnel pourra ainsi accéder directement au système de son entreprise. On se doute bien que les processus d’habilitation de droits d’accès devront être plus fins. Sans quoi on va au devant de graves problèmes. Il faudra aussi être capable de contrôler le bon niveau de sécurité selon les usages.

Sylvain Allemand à Christian Daviot : Je souhaiterais revenir sur ce que vous avez dit quant à la nécessité de ne pas communiquer sur les attaques dont serait victime une entreprise. Or, en l’état de la législation tant nationale qu’européenne, il y a obligation à informer les clients ou usagers sur les risques encourus par leurs données personnelles. Jusqu’où pourrez-vous assumer cette contradiction ?

Christian Daviot : Une entreprise classée OIV doit nous notifier l’attaque dont elle est l’objet. Mais nous ne sommes pas dans une logique de transparence : cette notification restera donc secrète et ce, au titre de la dérogation qui nous a été accordée.

Sylvain Allemand : Quels rapports entretenez-vous avec les OIV ? On a pu lire ici et là qu’ils sont parfois tendus…

Christian Daviot : Les rapports ont pu effectivement être tendus, par le passé. L’Anssi avait suggéré en 2013, à l’occasion du nouveau Livre blanc de la défense et de la sécurité nationale, qu’une disposition soit prise pour imposer aux OIV des règles techniques, l’obligation de notifier les attaques dont ils étaient l’objet (et ce, en vertu de la directive européenne Network and Information Security -NIS), ou de se prêter à tout moment à des contrôles de leur système d’information. Cela n’a certes pas aidé à instaurer des rapports simples… Ces recommandations n’en ont pas moins été adoptées grâce à leur inscription dans le cadre de la loi de programmation militaire (ce qui a eu le mérite de contrarier le travail des lobbyistes…). Deux ans ont ensuite été nécessaires à l’intégration des règles techniques. Il a fallu s’accorder sur ce qu’était un système d’information critique, selon les métiers. Si donc les rapports ont pu être froids, au début, du moins avec les entreprises privés qui ont pu voir dans les nouvelles obligations une intrusion de l’Etat, les rapports se sont depuis détendus. L’heure est désormais à une vraie coopération, d’autant plus que l’Anssi n’avait pas et n’a toujours pas prétention à connaître tous les métiers. Nous mêmes nous sommes donc mis à l’écoute des opérateurs.

Olivier Ligneul : Pour notre part, à EDF, nous avons vécu positivement cette coopération avec l’Anssi, en y voyant l’opportunité de conjuguer nos forces avec celles d’un spécialiste des enjeux de sécurité numérique, qui, en plus d’en avoir une vision à 360°, s’emploie à mettre en œuvre des moyens de sécurité dans l’intérêt du pays et, donc, de tout un chacun.

Nos relations sont d’autant plus excellentes que plusieurs des enjeux auxquels nous devons faire face exigent le recours à un tiers de confiance, en capacité d’évaluer notre système, en toute objectivité.

Christian Daviot : Nous n’avons pas prétention à dicter aux Directions de systèmes informatiques ce qu’ils ont à faire. En revanche, nous sommes là pour les aider à prendre la mesure d’enjeux qui peuvent les dépasser. Les DSI comme la chaîne SSI, au sein de l’Etat, ne sont plus tout à fait adaptées à la réalité. Les systèmes d’information devront si ce n’est déjà fait être conçus au plus près des métiers. Un défi dont le législateur n’a pas pris lui-même la mesure. L’erreur serait de n’y voir que des problèmes techniques et non des enjeux politiques. En réalité, c’en sont bien, a fortiori dans un pays où la culture centralisatrice est encore prégnante.

Des changements ont cependant déjà été introduits. Jusqu’ici, nous travaillions avec les secrétaires généraux des ministères auxquels sont rattachés les fonctionnaires de la sécurité des systèmes d’information. Désormais, notre interlocuteur, ce sont les ministres, en plus des responsables de chaque métier au sein des ministères.

Sylvain Allemand : Qu’en est-il des obligations réglementaires au plan européen ?

Christian Daviot : La directive Network Information Security que nous évoquions tout à l’heure fait obligation aux Opérateurs de Services Essentiels (OSE) de notifier les attaques dont ils sont victimes. Cette directive s’inspire directement du modèle que l’Anssi a préconisé (les OIV français qui seront également OSE ont donc pris de l’avance par rapport aux futurs OSE européens). Permettez-moi de souligner au passage le rôle moteur de la France en matière de cybersécurité.

Philippe Labro : Je souhaiterais revenir au défi des objets connectés, dont la multiplication accroît la surface de risques. Force est de constater dans le même temps un processus de centralisation de l’information à travers les data centers. Y a-t-il des simulations d’attaques pour tester la solidité des systèmes à l’image de ceux conçus dans le domaine bancaire ? L’Anssi propose-t-elle des tests de ce genre ? Qu’en est-il du côté d’EDF ?

Olivier Ligneul : Je crains que la menace ne vienne pas seulement des objets connectés et que ce soit en centralisant les clouds qu’on réduit les risques. Ce qui importe, c’est de bien expliquer que ce qu’il nous faut protéger c’est ce qui nous est le plus sensible.

Les attaquants ont atteint un niveau de maturité et de connaissance de nos process tel qu’ils savent parfaitement quel objet attaquer pour bloquer le reste du système. Il faut donc être capable, dans les entreprises aussi bien que dans les administrations, de concentrer son effort non plus seulement sur ce qui était classiquement l’objet de l’attention du service de sécurité ou de la maintenance, mais d’anticiper sur les attaques de personnes a priori très malveillantes.

Il faut encore se préparer à des attaques multiformes destinées à détourner l’attention sur la vraie cible. Ainsi de celle dont a fait l’objet du réseau électrique de l’Ukraine, en 2015. On y a porté atteinte de façon à ce qu’il ne puisse plus distribuer l’électricité auprès de centaines de milliers de personnes ; au même moment, une attaque était lancée sur le centre d’appel : il a été saturé de façon à ce que les usagers ne puissent plus informer de la panne d’électricité dont ils étaient victimes. Ni le responsable du centre d’appel ni le responsable opérationnel du réseau n’étaient donc en mesure de faire le lien entre les deux attaques. Pour faire face à ce genre de situation, il faut être capable d’identifier les scénarii les plus problématiques et prendre en conséquence des mesures de prévention.

Maintenant, pour répondre à votre question, oui, il convient de garantir une continuité de service en matière de cybersurveillance, à travers des moyens techniques sophistiqués, mais aussi des ressources humaines : plusieurs de nos collaborateurs sont d’astreinte. En cas d’anomalies décelées, elles remontent l’information plus ou moins haut, selon leur gravité, jusqu’à provoquer si nécessaire la réunion d’une cellule de crise (à laquelle je prends part).

Reste une difficulté qui tient à la nature des signaux faibles, lesquels peuvent être une panne informatique dont on ne peut dire a priori si elle est ordinaire ou le fait d’une tentative d’attaque. De là cette forme de paranoïa dont parlait Christian Daviot et que nous cultivons : parfois, nous crions au loup alors qu’il ne s’est rien passé.

J’ajoute que lorsque l’Anssi intervient, c’est à la manière des pompiers, non pas pour anticiper l’incendie, mais parce que le « feu » a déjà été déclaré. Cela ne signifie pas qu’il est déjà trop tard, mais que la cybersurveillance n’a pas été suffisamment efficace, qu’on a laissé échapper un vrai « signal faible ».

Philippe Labro à Christian Daviot : Les OIV présentent-elles toutes le même degré de vigilance ?

Christian Daviot : Tout dépend des secteurs d’activités. Certains étaient moins matures que d’autres. Je pense au secteur bancaire, dont nos premiers interlocuteurs ont été surpris que nous nous approchions d’eux. En substance, ils ont mis en avant le fait qu’ils luttaient depuis des années contre la fraude, sous entendu : sans avoir attendu l’Anssi pour le faire. Nous avons fait valoir que ce n’était pas le sujet, que notre motif de préoccupation, c’était l’intégrité des données. Désormais, nous travaillons ensemble, étroitement, en bonne intelligence. Quant à EDF, elle est parmi les entreprises les plus matures. Elle a très tôt pris conscience des risques, y compris au plan humain. Nous n’avons aucune difficulté à travailler avec cette entreprise.

Sylvain Allemand : Et les collectivités territoriales ?

Christian Daviot : Elles constituent un cas autrement plus problématique que les OIV, faute d’interlocuteur et de culture en matière de sécurité informatique. Certes, des villes mènent des expériences en matière de vidéo protection, mais je crains qu’elles ne fassent en réalité que répondre aux sollicitations d’équipementiers différents, au risque d’ajouter à la complexité, en l’absence de vision globale. Pour le dire de manière différente et plus directe : il n’y a pas de pilote dans l’avion, un responsable en charge de gérer la juxtaposition de systèmes… Les élus ont pourtant un rôle indéniable à jouer : ce sont les seuls à même de réunir autour de la même table les divers opérateurs et parties concernées. La priorité est de veiller à la cohérence entre les divers systèmes d’information.

Sylvain Allemand à Olivier Ligneul : A ce stade de l’audition, il me faut vous taquiner. D’abord, j’observe qu’à la différence de Christian Daviot, vous n’avez pas votre portable en évidence, de sorte qu’on peut se demander comment vous seriez informé en cas de catastrophe…

Olivier Ligneul : Vous m’offrez l’occasion de faire plaisir à Christian Daviot en lui montrant que je n’ai pas perdu mes anciennes habitudes héritées de l’Anssi : je n’ai pas un, mais deux portables – je ne connecte pas mon téléphone personnel à celui de l’entreprise. Ensuite, si l’ensemble de la sécurité au niveau de la tête groupe reposait uniquement sur la RSSI, joignable à tout moment, on aurait des motifs d’inquiétude. La sécurité informatique est assurée par une cellule fonctionnant 24 h sur 24, prête à entrer en mode de gestion de crise. Moi-même, je relève de la direction des systèmes d’information du groupe et rapporte à ce titre à un membre du Comex les moindres incidents de sécurité.

Il faut prendre la mesure qu’une attaque peut être source de stress, car elle est rarement ponctuelle, mais continue, l’attaquant s’employant à trouver une parade. Il faut donc être capable dès le départ, quand on arme sa cellule de crise, de savoir qui en assurera la gestion, en anticipant jusqu’aux phases de repos. Et rester vigilant, sans se reposer sur ses lauriers, même une fois l’attaque déjouée.

Sylvain Allemand : Lors d’une précédente Matinale, François Gonczi, Directeur du numérique de la Branche commerce du groupe EDF. Echangez-vous autant avec lui que vous le faites avec Christian Daviot ? Derrière cette interrogation, je m’interroge sur la gouvernance qu’implique la cybersécurité au sein d’un groupe comme le vôtre.

Olivier Ligneul : C’est un enjeu d’importance que vous abordez-là. La nécessaire transformation qu’évoquait Christian Daviot au sujet des collectivités concerne aussi les entreprises. Nous avons une volonté de conduire plus rapidement notre transformation numérique aussi bien en amont (la production) qu’en aval (les relations clients – particuliers aussi bien qu’entreprises et administrations – dont a en charge François Gonczi). Ce qui passe par l’intégration de la fonction sécurité – je parle bien de fonction – dans chaque métier. François Gonczi l’a bien compris : il s’interroge systématiquement sur la manière de procéder à cette intégration, jusqu’où il peut l’externaliser (via le Cloud), s’associer à d’autres acteurs (en référence au concept de l’entreprise étendue : plusieurs entreprises d’une même filière s’allient pour optimiser leur sécurité numérique). J’échange de plus en plus avec lui et ses équipes. Etonnamment, ce n’est plus un sujet seulement « technique ». Nos échanges portent aussi sur le propriétaire de la donnée, la manière dont on la partage, jusqu’où on est prêt à l’exposer, de quelle manière on va la traiter, etc. Nous échangeons aussi beaucoup sur des aspects plus juridiques : quelles relations contractuelles nous pouvons nouer avec nos partenaires (au regard de nos exigences de sécurité).

Autant de questions qui commencent à être traitées dans le cadre de différentes commissions. Il y a un an et demi, mes interlocuteurs étaient plutôt des responsables de la DSI. Désormais, j’ai plus affaire à des responsables métiers, qui me sollicitent spontanément, pour savoir jusqu’où ils peuvent aller.

Philippe Labro : En d’autres termes, vous avez mis en place des process, qui permettent d’anticiper pour chaque métier les risques, de réduire leur exposition, en assumant par la même un rôle d’assistance à la manière d’une « maîtrise d’ouvrage »…

Olivier Ligneul : C’est tout à fait cela, étant entendu que je peux m’appuyer sur un réseau d’interlocuteurs, en l’occurrence les RSSI de chaque métier. La coordination de ce réseau est dictée par une politique de sécurité des systèmes d’information, que nous avons remise à jour récemment (elle a été validée en Comex au début du mois de février 2017), de manière à couvrir l’intégralité des systèmes d’information. L’animation de ce réseau permet d’être au plus près des métiers et d’interagir avec eux le plus amont dans leur projet, de manière à ce que la sécurité ne soit pas un frein au moment du time to market.

Christian Daviot : Ce changement d’organisation dont vient de parler Olivier Ligneul, ne s’impose pas qu’aux seules entreprises. A l’Anssi, nous considérons que l’organisation des ministères devra à son tour évoluer, au regard de la gestion de leurs systèmes informatiques, en mettant la donnée au cœur du dispositif. Ce qui passe par une gouvernance globale, qui pourrait s’incarner par la mise en place d’un Chief Data Officer, autour duquel serait organisé le réseau numérique des ministères. Il n’est pas a priori dans les missions premières de l’Anssi de nourrir cette réflexion, mais l’évolution des choses l’amène à se prononcer sur ses enjeux.

Philippe Labro : Il est intéressant de relever à quel point l’organisation des entreprises comme des administrations, leurs processus internes, sont amenés à évoluer quand on les appréhende par le prisme de la transition numérique et des enjeux de cybersécurité. Il y a nécessité à repenser les processus internes pour gagner en transversalité et réactivité…

Olivier Ligneul : Oui, car il s’agit toujours de prendre des décisions en connaissance de cause des risques qu’on encourt. A chaque organisation, sa cybersécurité, donc. Au sein d’EDF, le sujet est pris en compte au même titre que les autres fonctions au plus haut niveau de l’entreprise. Je ne suis jamais autant intervenu au sein des organes de gouvernance qu’au cours de ces toutes dernières années.

Sylvain Allemand à Olivier Ligneul : En quoi la prise en compte des défis de la cybersécurité transforme-t-elle la relation aux clients ? Dans quelle mesure appréhendez-vous ceux-ci comme des agents de votre politique de cybersécurité ?

Olivier Ligneul : Trois réponses à cela. D’abord, notre défi est de préserver notre relation de confiance dans un contexte en profonde transformation du fait du numérique. Ensuite, nous devons prendre en considération le fait que nous avons toujours plus d’interaction avec nos clients et les opportunités qui en résultent en termes de coproduction de valeur. C’est particulièrement le cas dans le cadre d’écosystèmes de type smart city. Cependant, et c’est ma troisième réponse, cela oblige à partager le même niveau d’exigence au plan de la cybersécurité.

Philippe Labro : Quelles sont les perspectives offertes par les Blockchains, dont d’aucuns assurent qu’ils garantissent a priori un meilleur niveau de sécurisation au plan numérique, du fait de leur architecture décentralisée ?

Olivier Ligneul : Au risque de vous surprendre ou de vous décevoir, je rappellerai que la Blockchain n’est qu’un moyen cryptographique comme un autre, qui permet juste de créer un certain niveau de confiance. Pourquoi en parle-t-on donc autant, notamment dans le domaine qui vous est cher, l’énergie, me demanderez-vous. C’est selon moi parce que la Blockchain semble pouvoir garantir un niveau élevé de sécurité (je dis « semble », car cela reste encore à démontrer), par sa capacité de disposer d’un grand registre dans lequel on fige les différentes transactions entre les acteurs. Je pose alors la question : qu’advient-il des données personnelles qui seraient ainsi enregistrées ? Quelle garantie donne-t-on quant à la possibilité de les détruire ne serait-ce que pour être en conformité avec la loi ?

Il y a cependant un certain nombre de cas d’usages où la Blockhain pourrait être utile. Je pense en particulier à la gestion des échanges d’énergie dans un contexte non régulé comme les Etats-Unis : producteurs et consommateurs individuels pourraient échanger plus facilement entre eux en donnant la possibilité de souscrire à un même service via différents fournisseurs (la Blockchain assurant que la facturation est fiable et reconnue). Selon nous, seule l’intégration des mêmes exigences de sécurité permettra cependant d’instaurer une vraie relation de confiance. De ce point de vue, on peut donc faire une analogie avec ce qui a été entrepris avec les OIV. Au début, les entreprises concernées étaient inquiètes au regard des règles de sécurité imposées par l’Etat. Dans la pratique, pourtant, des règles se révèlent indispensables. Les contester a fortiori quant elles touchent à la sécurité, c’est un peu comme récuser des règles d’hygiène basiques. Dans un cas comme dans l’autre, il s’agit juste de faire en sorte que tout un chacun ait les mêmes réflexes.

Pour en revenir à la Blockchain, il ne s’agit pas d’être pour ou contre, mais de se poser les bonnes questions sans céder trop vite à ce qui s’apparente aussi à un phénomène de mode : comment l’intégrer tout en maintenant les exigences de cybersécurité qu’on s’est fixées.

Christian Daviot : Olivier Ligneul a tout dit. La Blockchain n’est d’abord qu’un outil technique. A ce titre, elle doit pouvoir être appréhendée avec ses avantages mais aussi ses inconvénients, sans céder non plus, en effet, à un phénomène de mode, pour briller dans les dîners en ville. De ce point de vue, attendez-vous à ce que l’informatique quantique connaisse un certain succès. En attendant, et pour en rester à la Blockhain, sachez que les « crytopathes » de l’Anssi ont déjà défini des scénarii d’attaques dont elle pourrait faire l’objet…

Philippe Labro : Ce qu’on entend donc, c’est que c’est une option à étudier, qui répond à certains besoins, de surcroît efficacement, mais qui n’est pas d’une fiabilité absolue…

Sylvain Allemand : La France compte 36 000 communes, des intercommunalités, des départements, des régions… Quel serait l’échelon pertinent pour la gouvernance d’une politique de cybersécurité ? Sont-ce les métropoles ? Les régions (dont vous avez épousé le découpage dans vos organisations respectives : l’Anssi compte des référents régionaux) ? EDF songe-t-elle à se positionner dans l’assistance auprès des collectivités ne serait-ce que dans le domaine énergétique ?

Christian Daviot : L’Anssi compte effectivement des correspondants dans la plupart des nouvelles régions. Ce n’est pas pour autant que nous pouvons parler d’une organisation régionale, même si leur accompagnement fait bien partie des missions de ces correspondants. Reconnaissons que jusqu’à présent l’implication de l’Anssi auprès des collectivités n’a pas été aussi forte. Depuis sa création, elle s’est concentrée sur la protection des infrastructures critiques et celle de l’Etat.

Il importe cependant que les élus se saisissent de l’enjeu de la cybersécurité et organisent en conséquence les services de leur collectivité. Encore une fois, leur responsabilité risque d’être engagée en cas d’attaque d’un système de transport, de signalisation ou autre qui ferait des victimes. A commencer par celle du maire de la commune concernée. Une de nos principales actions consiste à nous rendre chaque année au salon des maires pour les sensibiliser à cet enjeu. Reste que la commune n’est pas le bon échelon. Un élu ayant une vision globale d’un territoire serait plus à même d’assumer des responsabilités. Les régions nous paraissent donc a priori le bon échelon d’autant qu’elles communiquent avec leurs homologues d’autres Etats membres de l’Union européenne ou d’autres pays. Si vous m’autorisez un néologisme, il faudrait promouvoir l’ « inter-régionalité », y compris entre régions transfrontalières.

Olivier Ligneul : Je ne me substituerai pas aux métiers, qui gèrent leur relation avec les différentes régions. Ce qui ajoute à la complexité, c’est que le Groupe EDF compte aussi de nombreuses filiales (Dalkia), qui jouissent d’une certaines autonomie, mais sans avoir forcément les moyens d’une vraie cyberprotection. Il importe donc de faire en sorte, tout en préservant l’agilité nécessaire aux métiers au regard de leurs relations avec les territoires et de leur développement, de mutualiser les moyens existant. Pour cela, nos diverses entités peuvent s’appuyer sur la puissance de feu du groupe.

Je rappelle que ce dernier est de dimension internationale : au plan de la production, EDF est particulièrement présent en Angleterre, en Belgique et en Italie. Les cyberattaques peuvent donc provenir aussi de ces pays. Nous sommes en relation avec l’équivalent de l’Anssi, notamment le BSA, en Angleterre. Au final, nous sommes plus dans une logique de coordination, de convergence plutôt que dans une régionalisation de notre politique de cybersécurité.

Philippe Labro : Venons-en à cet enjeu de souveraineté numérique, une expression qui nous paraît relever de l’oxymore. Comment prétendre en effet être souverain dans un monde plus que jamais ouvert, interconnecté, où les données se déplacent à la vitesse de la lumière ? Comment l’Anssi appréhende-t-elle d’ailleurs et entend participer à cette souveraineté ? Quelle capacité de régulation dispose-t-on par rapport aux plateformes numériques (les Gafa) ?

Christian Daviot : Il y a deux notions à prendre en compte : la numérisation du territoire, d’une part, et le territoire numérique (ou cyberspace), d’autre part, pour lequel il peut être effectivement approprié de parler de « souveraineté numérique ». Mais, pour cela, encore faudrait-il s’accorder sur ce que serait le territoire national dans le numérique sur laquelle elle s’exercerait.

Les experts de l’Onu se sont bornés à considérer que le droit international s’appliquait dans le cyberspace, y compris l’article 51 de la charte de l’Onu qui stipule qu’on peut y faire la guerre. Pourtant si la notion de territoire national est prégnante dans le droit international, rien ne le définit dans l’espace numérique. Comment donc appliquer ce droit international ? C’est précisément l’enjeu d’une conférence programmée les 6-7 avril à l’Unesco avec l’ambition d’articuler une approche technique à une approche plus juridique. Pour je ne sais quelle raison, les diplomates de l’Onu considèrent encore qu’il ne faut pas parler de souveraineté numérique européenne, mais d’ « autonomie stratégique européenne »… 

Permettez-moi maintenant de m’exprimer ici à titre plus personnel en considérant que parler de souveraineté me paraît excessif. Pour les raisons que vous avez dites – l’interconnexion et le règne des réseaux transnationaux – un pays peut difficilement prétendre rester souverain. Et je crains qu’il ne soit trop tard pour un pays comme le nôtre de remédier à cette situation.

La France comme d’ailleurs le reste l’Europe, est dépourvue d’industrie numérique à même de concurrencer les acteurs américains (Gafa) et asiatiques. A cet égard, on peut s’étonner de la cession d’un équipementier télécom comme Alcatel-Lucent, alors même que c’était un acteur majeur de cette industrie du numérique. Nous avons par ailleurs perdu la maitrise des données personnelles en vertu d’une décision du Conseil d’Etat suivant laquelle elles appartiendraient à ceux qui les induisent (les usagers ou consommateurs). Une décision incontestable du point de vue du droit, mais dont on peut s’interroger de la pertinence au regard des faits : le plus souvent, l’usager qui télécharge une application cède l’usage de ses données en répondant positivement aux conditions générales d’utilisations (CGU) – lesquelles sont formulées en termes suffisamment abscons pour qu’il ne mesure la conséquence de son acte.

Bref, la souveraineté fait partie de ces mots dont il est bon de prendre le temps d’examiner le sens et la pertinence. On parle maintenant de créer un « commissariat à la souveraineté », mais aujourd’hui, force est de constater qu’on part de rien.

Je ne conclurai pas pour autant sur cette note pessimiste. En réalité, je considère que l’on peut regagner notre souveraineté, quitte à inscrire notre effort dans la durée, en procédant pas à pas, comme on le ferait pour reconquérir un territoire.

La souveraineté numérique commence par l’usage qu’on fait de son smartphone sinon de son ordinateur, personnel ou professionnel : la manière dont on l’utilise personnellement ou dont la DSI de son entreprise ou administration en garantit la sécurisation. L’Etat ne reste bien évidemment pas inactif : il a déjà une longue expérience du chiffrage des informations sensibles, classifiées Défense, et de protection des communications gouvernementales. L’Anssi a développé un téléphone sécurisé. Mais une souveraineté numérique exige de la volonté politique et des moyens financiers et humains. A contrario, il y a des acteurs qui n’ont pas forcément intérêt à ce qu’il y ait une telle souveraineté numérique. Déjà dans les années 90, d’aucuns en contestaient le principe au nom de la « Fin de l’histoire » (Francis Fukuyama) et de son corollaire : la fin des Etats nations. La main invisible du marché ferait le nécessaire, disait-on. Aujourd’hui, la souveraineté numérique est contestée au nom du principe de libre circulation des données (free flow of data). Pour les tenants de ce principe, parler de souveraineté numérique est même un non sens. Curieusement, l’Union européenne a fait sienne ce principe du free flow of Data et va jusqu’à contester récemment (à la France, en l’occurrence) le fait de maintenir des informations classifiées Défense. L’Europe a par ailleurs introduit un règlement sur l’identité numérique en distinguant jusqu’à trois niveaux – élevé, substantiel et faible. Seul le niveau élevé garantit que l’identité numérique corresponde à une personne physique. Sauf que n’importe quel Etat membre pourra délivrer à n’importe quel citoyen européen ce type d’identité qui pourra ainsi entrer en concurrence avec l’identité liée à la nationalité accordée par les Etats.

Pourtant, entre l’élection de Trump, le Brexit et les ambitions d’un Poutine, il apparaît clair que nous serons amenés à revenir à une vision géopolitique classique, fondée sur l’existence d’Etats souverains et de relations internationales.

Olivier Ligneul : Merci à Christian Daviot d’avoir fait part avec autant de franchise de son avis personnel. De fait, bien des notions liées à la transformation numérique, sont encore instables. C’est le cas de celle de souveraineté numérique. Mon motif d’inquiétude c’est qu’on ne porte son attention que sur les données les plus critiques, dont la manipulation peut porter atteinte à nos existences. Pourtant, d’autres données demandent à être sécurisées : les données personnelles liées à une activité commerciale. Des données sensibles, dont on n’a pas toujours la garantie qu’elles ne seront pas manipulées, transférées à d’autres opérateurs que ceux auxquels on s’adresse. Je ne mets pas en cause la relation de confiance et parle bien de garanties.

Par rapport à cette problématique, notre position, à EDF, est de disposer, dans le cas où des données seraient transmises à un tiers, des garanties techniques supplémentaires quant à leur usage. Je ne fais là que rejoindre la doctrine de l’Anssi esquissée par Christian Daviot : on ne peut se permettre d’être moins regardant sur ce genre de risque, sous prétexte que la proposition commerciale serait alléchante.

Je m’interroge par la même occasion sur la facilité avec laquelle les usagers donnent des données personnelles, laissent une plateforme numérique les exploiter alors qu’elles opèrent depuis un autre pays (les Etats-Unis, dans le cas des Gafa), et sans savoir qui pourrait y accéder. Encore une fois, je ne mets pas en doute la possibilité de faire confiance. Je pointe juste l’absence de garanties techniques que l’accès à ces données ne soit possible qu’aux opérateurs autorisés.

Christian Daviot : Non seulement, nous n’avons pas de garantie technique sur l’accès aux données, mais encore sur leur disponibilité et leur intégrité. Or, si un attaquant change les données émises par un capteur, il peut en résulter des catastrophes en cascades.

Sylvain Allemand : En vous entendant évoquer la possibilité de regagner pas à pas une souveraineté numérique, depuis son smartphone et son ordinateur, je n’ai pas pu m’empêcher – le cadre du Procope [le café où se déroule les Matinales] s’y prête – de songer à la reconnaissance d’un usager souverain…

Cela étant dit, comment parvenir à une souveraineté numérique alors que, comme l’évoquait Christian Daviot, notre industrie est sous-représentée dans le domaine du numérique ? Que faire pour parvenir à restaurer une souveraineté industrielle ? EDF pourrait-il contribuer, de par son expérience, à revitaliser une industrie de la sécurité numérique ?

Christian Daviot : L’Anssi a développé une compétence en matière de qualification des produits de cybersécurité. Certains de ces produits ainsi qualifiés sont développés en France. Mais, demain, à l’heure de la 5G, comment fera-t-on ? Suite à la cession d’Alcatel-Lucent, il nous faudra certainement nous associer à des équipementiers dont certains sont connus pour piéger leurs équipements, de façon à faciliter l’espionnage par les services de renseignement de leurs pays respectifs. Nous aurons donc à arbitrer entre déployer des équipements sur l’ensemble du territoire national, performant à un prix correct, de façon à poursuivre notre transformation numérique, et accroitre notre exposition au risque d’espionnage… Il y a un équilibre à trouver et ce défi engage une réflexion stratégique qui, pour l’heure, fait défaut.

Olivier Ligneul : Pour prolonger ce que vient de dire Christian Daviot, je dirai que le meilleur moyen de faire est de recourir à un équipement qualifié ou certifié par un tiers neutre. Du point de vue d’EDF, ce dernier n’est autre que l’Anssi. Nous considérons que tout produit certifié par cette dernière peut être adopté, y compris dans les environnements les plus critiques au regard de nos cœurs d’activités. Au plan européen, il convient de rappeler la dynamique engagée dans le cadre du programme Horizon 2020 – auquel participent certaines régions françaises. Nous poussons à l’adoption de schémas de certification étendus, qui seraient validés par l’Anssi. Si tel ne devait pas être le cas, nous ne considérions pas que le niveau de garantie requis soit atteint.


Échanges avec le public

Un participant : Mon interrogation porte sur les nouveaux modes d’innovation ouverte, agile, collaborative, promue à la faveur de la transformation numérique, dans les entreprises ou territoires, y compris dans des secteurs sensibles – je pense à la maintenance industrielle dans le domaine de la Défense. Les partenaires français ou étrangers en viennent ainsi à échanger des données brutes. Or les schémas de sécurisation que vous prônez semblent, avec leur logique de certification, aller à l’encontre de ces logiques d’innovation ouverte – ils semblent même revenir à des formes de centralisation. Quel serait donc le mode d’organisation en matière de cybersécurité que vous envisagez face à ces nouveaux modes d’innovation ouverte ?

Olivier Ligneul : Il y a deux tendances à prendre en considération. Les méthodes de développement agiles, d’une part, les logiques d’open innovation, d’autre part. S’agissant des premières, la nécessité est admise de devoir adopter un track technique, de manière à garantir un niveau de sécurité au fil du développement. Le responsable innovation doit prendre la mesure de son nouvel environnement : un environnement offrant des opportunités nouvelles, mais qui n’e reste pas moins aussi dangereux – et donc intégrer la fonction sécurité dans son métier. S’agissant maintenant des logiques d’innovation ouverte, je me réjouis du fait que les hackathons et autres événements de ce genre ne mettent plus seulement en avant l’innovateur, mais se prennent davantage en compte l’intégrateur – il faut bien pouvoir intégrer l’innovation en s’assurant de sa compatibilité avec le système d’information existant.

Enfin, un mot sur le processus de certification que vous semblez associer à une démarche re-centralisatrice : le principe n’est pas tant d’ « imposer » une certification que de convaincre nos principaux fournisseurs à adopter la même que nous. C’est en tout cas ainsi que nous procédons au sein d’EDF.

L’important est d’avoir accès à des briques techniques qui soient dignes de confiance. De par son aspect régalien, il nous semble que c’est à l’acteur étatique que revient de garantir un niveau de certification optimal (après tout, ses intérêts rejoignent les nôtres en tant qu’entreprise du service public). Au contraire d’un acteur privé, dont on ne peut savoir avec certitude s’il n’est pas animé par d’autres intérêts ou influencé par un de nos concurrents – vous aurez reconnu là la paranoïa qui sied à tout RSSI.

Christian Daviot : A l’Anssi, nous recourrons à une méthode historique d’analyse de risques, que nous avons adaptée aux méthodes agiles de développement. En même temps qu’on développe au plus près des besoins métiers comme des besoins clients, nous sommes en capacité d’intégrer d’emblée des éléments de sécurisation, de la manière la plus légère et efficace possible.

Antoine-Tristan Mocilnikar, Ministère du Développement Durable : Je souhaite revenir sur les mots à la mode qui n’ont pas été évoqués durant cette Matinale. A savoir : logiciel libre, open hardware, open data… Pourquoi ne pas les évoquer alors que j’y vois des clés de renforcement de la résilience de nos systèmes d’information ? Que pensez-vous en particulier de l’open data (auquel un forum a été récemment consacré par le précédent Président de la République), que d’aucuns promeuvent en poussant jusqu’à la libération de toutes les données ? Jusqu’où peut-on libérer les données au regard des exigences de sécurité ? Avez-vous constaté des dérives auxquelles leur libération a pu donner lieu ?

Une deuxième question porte sur l’extraterritorialité : les données stockées dans les clouds peuvent se retrouver dans des espaces juridiques différents, ou d’autres lois s’appliquent, souvent inspirées de tout autres philosophies du droit que les nôtres. Dans quelle mesure les RSSI appréhendent-ils cet enjeu ?

Christian Daviot : Sur le logiciel libre, d’abord. Il n’est pas plus ni moins sécurisé qu’un logiciel propriétaire. En réalité, la question n’est pas tant de savoir ce qui est le mieux entre les deux, mais jusqu’où ira, dans l’univers numérique, la perversion des hommes : plutôt que de viser le bien commun (finalité originale du logiciel libre), on s’est mis à vendre des failles de sécurité (les « 0 days »). Voyez celle d’OpenSSL, qui a perduré des années sans que personne de la communauté du libre ne la révèle. Le colloque de l’Unesco que j’évoquais tout à l’heure, a aussi pour objectif de contrer ce phénomène. Il ne faut pas pour autant craindre a priori l’open source. Nous y recourons nous-mêmes pour élaborer des briques dont on peut avoir confiance (elles sont certifiées). Nous avons notamment développé un système d’exploitation souverain, sur une base Linux, que l’on a cependant repris à zéro…

S’agissant de l’open data, nous sommes très intéressés par ce que fait Henri Verdier, le Chief Data Officer du gouvernement français. Il entreprend de libérer autant que possible la donnée, en travaillant main dans la main avec les différents métiers de l’administration centrale.

Je ne condamnerai donc pas a priori l’open data, a fortiori si elle procède de cette façon car, alors, elle donne sens, concourt à la reconnaissance des métiers. Sans compter que cela peut aussi contribuer à améliorer la qualité des services aux usagers. Cela étant dit, je doute qu’il faille tout libérer. Henri Verdier lui-même prône l’open data dans certaines limites et sous réserve de ce qu’on sache entendre par « donnée sensible ». Qu’est-ce d’ailleurs qu’une donnée (numérique) ? C’est une vraie question dont nous nous sommes saisis en faisant plancher des chercheurs sur son ontologie. Pour un informaticien, c’est une information, mais pas au sens où peut l’entendre un journaliste…

Olivier Ligneul : Sur l’open source, d’abord. Pour être passé par Bercy et des environnements interministériels, je peux témoigner du fait que c’est un vrai enjeu. EDF en partage la même vision que les grandes administrations : l’open source est un moyen de préserver notre indépendance l’égard des principaux éditeurs de logiciels. Si l’un d’eux décide de ne pas corriger une faille, malgré les injonctions de l’Anssi, elle risque de s’ouvrir, permettant ainsi à un attaquant de s’y engouffrer. Le seul moyen de réduire cette dépendance aux éditeurs, c’est donc bien de développer des alternatives en open source. Une des rares décisions de politiques industrielles que nous rendons quasi publique, est le fait de demander un renversement de la preuve : d’abord, on examine le degré de pertinence à faire de l’open source ; si tel n’est pas le cas, alors nous nous tournons vers des logiciels propriétaires.

Faire de l’open source nécessite cependant à revoir nos manières de faire. Car, quand je parle d’open source, je pense à celui qui s’appuie sur une communauté de gens animés par d’autres logiques que le profit, soucieux de co-développer, et non celui sous lequel se cache en réalité un éditeur de logiciels propriétaires.

Cette stratégie est bien sûr adossée à une démarche de sécurisation. Nous y avons associé plusieurs grandes entreprises ou institutions (Orange, Carrefour, Société générale, Pôle Emploi,…) à travers une communauté de responsables sécurité et sureté pour voir comment créer une structure pour sécuriser la création de briques en open source à un niveau qui soit acceptable. Une initiative à laquelle participe l’Anssi.

Cette stratégie n’est certes pas sans engendrer des difficultés y compris pour l’Anssi au regard du maintien des versions et, pour nous, au regard des usages qu’on en fait. Au cours du déploiement des solutions dans tel ou tel métier, il nous faut définir les mesures garantissant le niveau de sécurité requis. Mais au moins avons-nous plus de latitude pour intervenir en cas de dysfonctionnement ou en réponse aux besoins de développement, puisque nous avons gardé la main sur tout ou partie du développement.

Sur l’extraterritorialité, maintenant : la question mérite effectivement d’être posée car elle touche elle aussi à l’enjeu des données personnelles. C’est une chose de signer un contrat avec un Gafa, c’en est une autre de le faire avec un hébergeur prêt à inclure des clauses particulières. Il importe de s’interroger sur le degré de confidentialité de la donnée qu’on confie ou cède à un opérateur. C’est en tout cas la première question à se poser. Au sein d’EDF, nous avons plusieurs règles en interne et par métier pour définir ce degré de confidentialité. Une autre question se pose ensuite : quel risque est-on prêt à prendre au regard de cette exigence-là ? Dès lors qu’une donnée est publique, il n’y a aucun problème à ce qu’un site web accessible à tous soit localisé à l’étranger. Cela ne pose pas de problème fondamental si on n’a pas de crainte particulière que ce soit du point de vue de sa disponibilité, de son intégrité ou de sa confidentialité. En revanche (et c’est ce que nous avons rappelé dans notre nouvelle politique de sécurité de nos systèmes d’information), si un métier considère qu’il y a des risques, nous examinons quels seront les mécanismes qui nous garantissent une protection optimale. Nous sommes donc à l’inverse de ce que nous disions plus haut concernant la souveraineté numérique : nous pouvons être amenés à héberger ou à faire traiter par des opérateurs implantés à l’étranger, des données en assumant de les exposer à un niveau de risque. Toute la difficulté est là : faire porter une responsabilité supplémentaire aux différentes directeurs métiers et à leur délégation sur le degré de risque auquel ils sont prêts à s’exposer.

Jean-Baptiste Lebrun, Mairie de Paris : Vous avez mis en garde contre une certaine candeur face à la cybersécurité. Mais quel en est le coût ? Et pensez-vous que ce coût, dans l’hypothèse où il serait élevé, pourrait au final remettre en cause la valeur ajoutée du numérique ? Cela vaudrait-il toujours la peine de progresser dans la numérisation ?

Christian Daviot : Au risque de paraître provocateur, je retournerai la question : quel serait le coût d’une cybersécurité menée à minima ? A fortiori si elle se traduit par des pertes humaines ? Henri Verdier, que j’évoquais tout à l’heure, estime que, si chaque ministère y consacrait 0,1% de son budget, on réussirait la transformation numérique. A l’Anssi, nous nous faisons fort d’y parvenir pour le même prix avec une cybersécurité optimale. Il ne me semble pas que nous soyons dans des ordres de grandeur prohibitifs.

Olivier Ligneul : Je voudrais au préalable relativiser l’impression que nous avons pu donner concernant la candeur de l’opinion face aux enjeux dont nous parlons. Manifestement, il y a une prise de conscience notamment au niveau des DG et des directeurs de projet, au sein des grandes entreprises. De là à dire qu’ils sont à l’aise avec le sujet, je crains qu’on n’en soit pas encore là. Il faudrait dépasser le sentiment de peur qui peut subsister pour affronter le défi, considérer la sécurité numérique comme une fonction parmi d’autres.

Concernant les coûts, force est de constater qu’ils sont difficiles à évaluer. Je vous renvoie cependant au baromètre annuel du Cesin, le Club des experts de la sécurité de l’information et du numérique (j’en suis moi-même membre). Disponible sur Internet, ce baromètre rend compte de l’état de la sécurité, des coûts, des investissements, etc. Il porte sur 300 entreprises (70% du SBF 120), des administrations et des collectivités.

Je rejoins Christian Daviot quand il dit que nous ne sommes pas sur des ordres de grandeur prohibitifs. Pour ce qui concerne EDF, qui a aussi des problématiques de réduction de coûts, nous avons « sacralisé » la fonction cybersécurité, de manière à la maintenir au meilleur niveau possible par rapport aux autres investissements potentiels. Des arbitrages sont faits régulièrement en faveur des moyens à mettre à disposition de nos métiers. Ensuite, dans nos différents projets, nous essayons d’intervenir le plus en amont possible pour pouvoir choisir ce que les différents directeurs métiers appellent le juste équilibre entre l’exigence du métier, le coût de sa sécurisation et le retour sur investissement que cela va engendrer. Si cet équilibre n’est pas atteignable, nous revoyons le projet en intervenant sur différents postes budgétaires.

Dans la perspective de l’arrivée de la 5G, par exemple, nous réfléchissons déjà aux types de services que nous envisageons de maintenir dans nos projets, ceux auxquels nous devrons renoncer faute de disposer de moyens en cybersécurité ou parce que cela aggraverait la surface de risque.

Un participant : Au fil de la Matinale, vous avez évoqué toutes les notions clés, hormis celles d’intelligence économique et de pensée stratégique, qui ont pourtant pour mérite d’inciter davantage à une posture offensive.

Christian Daviot : Je crains que nous soyons repartis pour une nouvelle Matinale. Cette notion d’intelligence économique m’est particulièrement chère. Il y a vingt ans, j’en étais en charge à Bercy, en plus de l’expansion économique. Malheureusement, elle a été reléguée au second plan et ce, au sein même de l’Etat, où elle avait été promue par le Préfet Rémy Pautrat, ex-directeur de la Direction de la Surveillance du Territoire (DST). Elle a été depuis confondue avec la notion anglo-saxonne d’intelligence (qui réfère davantage au renseignement et à l’espionnage, et non, en son sens français, à l’art de traiter les informations pertinentes). Ce faisant, on a remplacé la pensée stratégique, au fondement de l’intelligence économique par des pratiques d’espionnage ou anti-espionnage… Le mieux que nous ayons à faire est de réintroduire de la « pensée stratégique » en dé-silotant par la même occasion la haute fonction publique.