LA TRIBUNE - Que peuvent apporter les industriels de la sécurité dans le but de renforcer la lutte contre le terrorisme et plus généralement dans le domaine de la sécurité?
MARC DARMON - Il y a quatre domaines dans lequel l'industrie de la sécurité peut offrir des réponses complémentaires en termes de technologies : anticipation, action, investigation et cybersécurité. La France dispose d'une filière d'excellence capable de proposer aujourd'hui des technologies très novatrices, certaines d'entre elles étant déjà déployées à l'étranger. Ce sont des technologies très récentes qui permettent de réaliser des gains importants en matière de sécurité, dans les quatre domaines.

Comment peut-on aujourd'hui progresser dans la phase de l'anticipation afin de mieux localiser, puis identifier des personnes suspectes?
Le premier besoin est celui de supervision mobile ou de surveillance mobile qui peuvent être filature sophistiquée ou de suivi de la situation par exemple. Ces solutions reposeront en partie sur des communications sécurisées à très haut débit qui permettent d'échanger des vidéos et des images en temps réel, entre plusieurs forces de sécurité. Elles doivent fonctionner tout le temps, y compris quand les infrastructures locales sont surchargée ou même en panne. C'est probablement l'une des évolutions les plus importantes pour les forces de sécurité. Ces programmes servent aussi bien dans le domaine de la prévention que dans celui de l'action. Ce type de programmes de communications sécurisées à haut débit se développe déjà dans plusieurs pays, notamment en Angleterre et aux Etats-Unis.

Et en France ?
Dans le cadre du conseil, nous avons initié deux programmes de démonstrateurs de téléphonie pour les forces de sécurité basés sur la technologie 4G, l'un piloté par Airbus, l'autre par Thales, en vue de montrer le gain opérationnel de la transmission à haut débit pour des appels de groupe entre autre. Nous travaillons également sur le signalement internet, un domaine qui intéresse les services de renseignement. Il existe déjà une plateforme de signalement sur internet (lutte contre la pédopornographie, apologie de la criminalité, etc.) mais ce site peut être surchargé lors d'événements hors norme comme les attentats du 13 novembre. Nous pouvons le renforcer avec des capacités de traitements intelligents ce qui permettra d'éviter les fausses alertes ou de corréler les signalements qui se répètent... Ce sont probablement des programmes intéressants à développer.

Les réseaux sociaux ne sont-ils pas également un terrain de surveillance?
Des industriels français travaillent sur des systèmes de surveillance sur les sources ouvertes pour être capable de détecter des signaux faibles. Attention ce n'est pas du renseignement, et on ne transgresse pas la vie privée des personnes. Nous travaillons sur des projets de suivi de ce qui se passe sur les réseaux sociaux, en étant capable par exemple de détecter des signaux faibles dans la twittosphère. Cela ne permet pas forcément d'empêcher des attentats mais cela permet de mieux comprendre de ce qui se passe dans le monde des réseaux sociaux et des sources ouvertes.

Pour détecter ces signaux faibles, comment pouvez-vous gérer la masse de données?
Ce sont des logiciels sophistiqués qui savent retrouver des « aiguilles dans une botte de foin ». C'est un mélange de traitement de « Big data » et d'analyses sémantiques, qui permettent de comprendre ce qui se passe et de trouver les informations pertinentes. Les solutions techniques « Big Data »ont été développées dans le domaine public, comme dans les assurances par exemple. Nous savons adapter ces solutions techniques aux besoins des forces de sécurité. Nous savons identifier et retrouver parmi des milliers de données des informations pertinentes que ce soit dans des bandes enregistrées de communications, que dans les flux vidéo.

On a bien vu que les forces de sécurité avaient rapidement identifié les terroristes...
... Quand on veut comprendre rapidement ce qui s'est passé, les forces de sécurité ont à leur disposition d'énormes quantités de films ou de données mais qui sont hétérogènes. Elles ont les caméras de surveillance, les vidéos postées par des personnes sur internet par exemple. Dans cette masse de données, des systèmes intelligents moulinent pour trouver l'information pertinente, la corréler avec d'autres informations. Des solutions techniques existent déjà.

Mais la vidéo surveillance, ce ne sont que des capteurs passifs, non?
L'industrie française a développé la vidéo-protection intelligente grâce à des logiciels performants. Ce ne sont plus seulement des caméras branchées et des écrans de surveillance. Aujourd'hui, les opérateurs peuvent parfaitement comprendre ce qu'ils voient en ayant une surveillance active. Des industriels ont rajouté de l'intelligence dans les systèmes de vidéo-protection. Ce qui permet de n'afficher à l'écran que ce qui est pertinent. Par exemple, le système peut détecter de la violence, un comportement anormal - par exemple une personne qui dépose un objet inanimé par terre -, une corrélation entre ce qu'on voit sur l'image et une autre information, la détection d'un coup de feu, un appel d'urgence...

Très impressionnant...
... Ces systèmes permettent de faire de la reconnaissance faciale et de vêtements ainsi que de suivre un événement d'une caméra à l'autre. Par exemple après l'attentat du marathon de Boston, le système a réussi à identifier les coupables dans la masse de vidéo surveillance en détectant un événement anormal : ces personnes courraient dans le sens inverse de la foule. Ce qui était impossible à l'homme ne l'a pas été pour le système même si on ne peut pas programmer l'ordinateur à tout trouver. Comme un cerveau humain, il apprend ce qui est normal et anormal. Puis, il remonte l'information. Cette technologie, basée sur le « machine-learning », a été développée pour des applications dans le monde du civil. Par exemple, Thales va installer une fonction supplémentaire dans le système de vidéo-protection de la ville de Mexico en y introduisant la détection des événements anormaux basée sur l'apprentissage. Nous travaillons chez Thales avec une PME pour inclure la dimension sonore. Nous allons être capables lorsque des personnes crient dans une rame de train, de détecter un événement anormal lié à la voix ou au son émis.

Dans le domaine de l'action, peut-on mieux faire qu'aujourd'hui?
En termes d'actions, il y a d'abord clairement un sujet qui concerne la protection des forces face à des adversaires ayant des armes lourdes et qui n'ont peur de rien. Protéger les forces avec des véhicules renforcés, des gilets pare-balles efficaces, des protections encore plus fortes est clairement la priorité. Puis il faut penser à des communications à haut débit sécurisées et interopérables entre les différentes équipes d'intervention.

Comment sécuriser les espaces publics, comme les gares ferroviaires, maritimes, etc..?
Dans chaque infrastructure publique, il faut faire une analyse de vulnérabilité. Puis la construction d'une solution généralement sophistiquée se basera sur la réalité de la menace et sur les flux réels des voyageurs. Pour la sécurité de grandes zones comme les gares, les aéroports, il n'y a donc pas de réponse technique unique. Nous devons vraiment faire du sur mesure autour du besoin pour ne pas non plus perturber le fonctionnement d'une gare, d'un aéroport... Les systèmes performants de sécurité des aéroports par exemple sont des systèmes qui sont complètements intégrés dans lequel on mélange à la fois des caméras, des sas d'entrée, des portiques, un suivi des passagers d'un point à un autre de l'aéroport avec leur carte d'embarquement. L'opérateur dispose ainsi d'une vue d'ensemble. La somme des programmes de sécurité apporte beaucoup plus que juste des éléments juxtaposés les uns aux autres pour les équipes de surveillance dans la salle de contrôle. Si les pouvoirs publics souhaitent protéger une gare, ils doivent s'inspirer de cette méthode. Des audits permettront de simuler le flux des voyageurs, de comprendre à quel endroit sont les risques. Peut-être faut-il une surveillance en deux étapes dans les gares, à l'entrée puis à l'entrée du quai. La compréhension du besoin et des solutions sont plus complexes que de rajouter seulement un portique et une caméra. La technologie peut apporter beaucoup mais à condition de prendre du recul afin d'aider l'homme à prendre la meilleure décision au bon moment face à une situation critique.

Faut-il craindre une cyber-attaque sur le cœur d'un système de communications d'un train, d'un bateau, d'un avion?
Aujourd'hui, on entend parler de cyberespionnage ou de cybercriminalité à l'instar de ce qui s'est passé pour des grandes entreprises ou le site de rencontres Ashley Madison. En fait, ces attaques, insidieuses et discrètes, ne représentent pas toute la menace à venir qui va être également une menace de « cyber-sabotage ». Elle va aller en augmentant. Nous avons peu de cas répertoriés en France à l'exception de TV5 Monde mais il faut protéger les systèmes opérationnels (Train, bateau ou avion). Dans ce dernier cas, il n'y a pas pour le moment de cas avéré.

Mais n'y a-t-il pas eu aux États-Unis un consultant sécurité qui a pris le contrôle d'un avion de ligne?
Nous n'avons pas aujourd'hui la preuve que ce soit vrai. Il y a une enquête en cours. Que ce soit avéré ou pas, il faut se protéger contre de telles menaces. Alors que la France dispose d'une industrie - grands groupes et PME - très forte en termes de technologies et de capacités, il faut prendre la mesure de cette menace en termes d'investissements. La loi de programmation militaire (LPM) impose désormais aux opérateurs d'importance vitale (OIV) de s'auditer, de se surveiller et de se protéger. Mais on n'arrivera pas à avoir en France une cybersécurité dans le futur si l'industrie et l'administration n'investissent pas massivement. Beaucoup de pays à l'étranger font déjà cet effort d'investissements dans le domaine de la cybersécurité, notamment en Allemagne, Grande-Bretagne mais aussi en Israël et aux États-Unis. En Asie, aussi.

Dans quelles technologies faut-il investir?
A mesure que les menaces sont de plus en plus perfectionnées, que les cyber-attaqueurs sont de plus en plus formés, les méthodes sont variées pour se protéger. La protection des données sensibles, qui représentent environ 50% des données d'une entreprise et d'une administration, est clé. Ainsi même en cas d'attaque, ces données doivent être protégées. C'est la base d'une cyber-protection, tout comme l'hygiène de sécurité en mettant à jour ses serveurs et ses logiciels, en évitant de rentrer une clé USB inconnue et de charger son smartphone sur son ordinateur etc. Ces règles d'hygiène sont le deuxième pilier de la cybersécurité. Enfin, la supervision en est le troisième pilier. Il faut être capable de suivre ce qui se passe dans la sécurité de l'entreprise ou d'une administration pour réagir tout de suite. La supervision de sécurité permet en gestion de crise de gagner un temps précieux afin de résoudre et réduire le problème.

Patrice Caine a-t-il raison d'estimer que l'Europe a sous-investi ou pas investi au bon endroit?
Oui, le besoin en cybersécurité a cru plus vite que nous le pensions. Cela fait longtemps que l'on connait le dossier mais pour beaucoup de nos clients (administrations, entreprises), la cybersécurité était un peu comme l'assurance auto, qui est un peu chère, mais beaucoup moins chère qu'un accident. Avec l'assurance automobile, tant que les utilisateurs n'étaient obligés de s'assurer ou qu'ils n'avaient pas été touchés par un grave accident, ils ne s'assuraient pas contre ce risque. De ce point de vue-là, la France n'a probablement pas investi assez dans ces domaines. Il manque probablement un milliard d'investissements sur quelques années pour développer une vraie base industrielle en cybersécurité à la mesure des risques à venir en France.

Et en Europe?
En Europe, tout le monde a les mêmes soucis. L'Europe est en train de généraliser la règle qui a été définie dans la LPM française pour les opérateurs d'importance vitale qui les obligent à s'auditer, se surveiller et se protéger. Mais il faudrait également plus de programmes d'investissements et de recherches pour aider les industriels à se protéger contre les attaques de plus en plus fortes.

A-t-on investi au bon endroit?
Entre investir dans la technologie (par exemple logicielle qui permet de gagner en performances) ou les moyens physiques (protection physiques, murs, barbelés...), c'est un débat qui existe depuis très longtemps. La technologie permet d'avoir un vrai gain en capacités.

De manière générale, les limites d'une politique de sécurité sont-elles technologiques, politiques ou éthiques?
Ce qui freine aujourd'hui le déploiement des programmes de sécurité, c'est la dispersion des acteurs aussi bien du côté des fournisseurs que des clients potentiels. Leurs besoins ne sont pas mûrs et nous industriels, nous avons besoin de faire mûrir nos offres pour qu'elles soient mieux comprises. Nous, industriels, sommes là également pour les accompagner dans la définition de leurs besoins. Nous devons avancer ensemble. Pour autant, nous avons des systèmes éprouvés et des très belles références à l'export. Nous pourrions les déployer aussi en France. Le système de sécurité des aéroports de Dubaï et de Doha pourrait être transposé en France. Les opérateurs des aéroports de Dubaï et de Doha ont considéré que la sécurité était un point important de leur système.

Le risque zéro est-il crédible?
C'est une question plus politique que technique. Le risque zéro d'attentats n'existe malheureusement pas. C'est pour cela que nous, industriels, devons continuer à travailler main dans la main avec l'administration pour proposer des solutions permettant de prévenir et anticiper la menace. Sur certains sujets plus techniques comme le risque de déchiffrage d'une donnée quand l'entreprise est dotée d'un système correct, on pourrait probablement dire que le risque zéro peut exister.