« Quel que soit le domaine, nous nous dirigeons vers une exigence éthique renforcée », résume le général Marc Watin-Augouard. Le fondateur du Forum international de la cybersécurité (FIC) constate un certain nombre de signes avant-coureurs « qui nous alertent sur la prise de conscience des individus de l'usage qui peut être fait de leurs données personnelles ». Il entrevoit même que, dans les dix ans à venir, les clients exigeront à coup sûr le traitement éthique de leurs données :

« De la même manière qu'ils demandent aujourd'hui à l'entreprise une certaine responsabilité sociale et environnementale, demain, vous ne pourrez pas développer d'activités numériques sans avancer des garanties sur l'usage qui en sera fait. »

En clair, les entreprises doivent d'ores et déjà intégrer cette nouvelle donne dans leur business model. Reste un paradoxe, et de taille : l'humain est de plus en plus connecté, informé de l'utilisation de ses données personnelles... et pourtant toujours prêt à donner son consentement sans y regarder de plus près !

« Il possède des objets connectés, comme les voitures autonomes. Il va vivre dans des villes intelligentes, entouré de systèmes connectés. Avant, la relation était bilatérale, alors qu'aujourd'hui, les machines dialoguent entre elles, en dehors de l'humain. Est-ce qu'on doit subir ? Peut-on laisser les algorithmes décider pour nous ? Ou devons-nous essayer de maîtriser ces données ? » questionne le général.

Le RGPD, règlement européen sur la protection des données personnelles, a été beaucoup critiqué, « mais des pays comme le Japon et ses 124 millions d'habitants ou un État comme la Californie, où l'approche des libertés individuelles a toujours primé sur la structure, commencent à s'aligner sur ce qu'ont décidé les 28 pays européens. Cela montre que nous pouvons arriver progressivement à une vision mondiale qui replace l'humain et ses données au cœur de la cybersécurité ».

A fortiori dans un contexte où éclatent des scandales de plus en plus nombreux, à l'image des révélations d'Edward Snowden, qui a mis au jour plusieurs programmes de surveillance de masse américains et britanniques, ou de Facebook-Cambridge Analytica, qui a révélé comment les données personnelles ont pu influencer les votes de la dernière élection présidentielle américaine. La question de la donnée arrive ainsi sur le terrain politique, avec la mise en application de réglementations communes, comme le RGPD ou le Cybersecurity Act, ouvrant la voie à une Europe de la cyberdéfense.

« Le sujet de la souveraineté numérique sera au cœur des débats du FIC cette année, avance Guillaume Tissier, président du cabinet de conseil en intelligence économique CEIS et coorganisateur du FIC. L'agenda européen va se saisir des questions de souveraineté numérique européenne, de confiance et de sécurité numérique. Il y a eu une vraie prise de conscience de l'extrême domination des États-Unis dans la cybersécurité, qui détiennent 45 % du marché mondial. À nous de regarder quels leviers actionner pour faire en sorte que nos intérêts français et européens soient préservés. »

Le montant des levées de fonds a progressé

Surtout quand les acteurs économiques européens de petite taille sont très vite achetés par des fonds étrangers, leurs technologies prometteuses échappant ainsi à l'Europe.

« Tout l'enjeu aujourd'hui est que les investissements se réorientent sur la deep tech et la cybersécurité en France. Le montant des levées de fonds a progressé, mais il reste encore en deçà de la Grande-Bretagne et des États-Unis. »

Guillaume Tissier aimerait même un soutien plus direct via la commande publique. « Ce sont des choses que l'on n'assume pas aujourd'hui, alors que d'autres acteurs y recourent allégrement », citant en exemple le programme américain NewSpace, soutenu par la NASA et les pouvoirs publics, et rejaillissant sur les entreprises, comme celles d'Elon Musk.

___

ZOOM

Data Transition, pour une gestion responsable des données

« On transforme de la nitroglycérine, qui peut exploser à tout instant, en de la dynamite qu'on peut décider d'allumer ou pas. Notre canevas permet au dirigeant d'évaluer le niveau de conformité par rapport aux données personnelles et de décider des règles de gestion à mettre en place, en toute connaissance de cause », résument les cofondateurs de Data Transition, Michael Fozeu (CEO), Laure Isabelle Ligaudan (privacy manager) et Glenn Rolland (directeur technique). Siégeant à Fécamp (Normandie), Data Transition accompagne les entreprises dans la construction des preuves de leur éthique concernant la gestion de données personnelles, la conformité avec la législation (et notamment le RGPD), mais aussi l'e-privacy (la transparence des algorithmes et les normes des systèmes d'information). « Nous partons de la réalité opérationnelle de l'entreprise - envoi d'emails, carte de fidélité, fichiers clients, etc. - pour traduire ces opérations en un certain nombre de préconisations afin de les mettre en conformité. » Ce qui différencie Data Transition de l'offre actuelle du marché ? « Nous proposons une approche globale qui repose sur trois volets : la technique, l'organisation et l'e-privacy. » L'entreprise ambitionne d'imposer « une manière de faire standard, à l'image de la comptabilité à double entrée, qui permet à la fois de vérifier et de prouver ».

___

ENCADRÉ

Cybermenaces : toujours des failles humaines

Guillaume Tissier, président du cabinet de conseil en intelligence économique CEIS et coorganisateur du Forum international de la cybersécurité, note « une recrudescence des cyberattaques criminelles massives, distribuées avec les désormais fameux ransomwares ». Face à la sécurisation accrue des entreprises, les cybercriminels recherchent de plus en plus le « maillon faible » chez des prestataires ou des fournisseurs, déplaçant la menace et attaquant par rebond. Les attaques de type WannaCry ou Petya se perfectionnent « sans forcément faire des casses énormes, mais en additionnant beaucoup de petites rançons ». Et, plus les sommes sont petites, plus les entreprises sont tentées de payer les quelques milliers d'euros demandés majoritairement en cryptomonnaies, surtout quand elles sont assurées. « Au risque de voir progresser toujours plus ces demandes de rançons », déplore Guillaume Tissier. Les attaques Magecart, qui injectent du code malveillant dans des sites de commerce électronique pour dérober les données de paiement des clients, se sont multipliées : elles ont touché des centaines de sites en 2019, notamment des chaînes d'hôtels, des géants du commerce et des PME, sur toutes les plateformes, souligne Check Point Software Technologies, fournisseur de solutions de cybersécurité, dans son rapport 2020.

Et le cloud n'est pas épargné, avec des attaques exploitant la mauvaise configuration des ressources ou visant directement les prestataires de services. Vade Secure, devenu l'un des principaux spécialistes mondiaux de la sécurité des emails et sélectionné dans le cadre du programme Next40 d'accompagnement des 40 sociétés tech françaises au plus fort potentiel de développement, constate que « les cybercriminels vont de plus en plus utiliser les failles humaines pour passer les barrières de sécurité. » « On dit de nous que nous avons le meilleur système de détection d'attaques par email au monde, mais nous aurons toujours besoin de l'utilisateur pour l'améliorer en continu », souligne Georges Lotigier, son PDG, qui laisse entrevoir par ailleurs une avancée prochaine dans les échanges entre la solution Vade Secure et les utilisateurs, pour toujours plus de pertinence. G. D.