« Tout, aujourd’hui, est connecté. Tout. Depuis nos téléphones jusqu’à nos vêtements, en passant par nos voitures et même nos brosses à dents. Tout collecte les données, les traite, les classe, les analyses, a lancé en conférence plénière Florence Parly, ministre des Armées, lors de la 10ème édition du Forum international de la cybersécurité (FIC), qui s’est tenu ces 23 et 24 janvier à Lille. On a pensé que le numérique s’arrêterait à quelques objets précis, nous avions tort : l’Internet of Things (IoT) est aujourd’hui devenu l’internet of everything. Mais nos vies changent, nos modes de vie s’adaptent et avec, nos modes de combat. » Avec 8.600 visiteurs, le FIC 2018, qui s’est déroulé sur 11.000 m² d’exposition répartis sur trois halls, s’est donc placé sous le signe de l’hyperconnectivité et du défi de la résilience des réseaux.
Fusionner innovation technologique et innovation opérationnelle
Au travers des multiples conférences, le constat est le même : en 2020, le trafic web global devrait atteindre le volume vertigineux de 2,2 ZB (Zettabits, soit 1.000 milliards de milliards de bits) pour une vitesse de connexion haut débit de 47.7 Mbps. Appareils mobiles et connexions WiFi représenteront alors 2/3 du trafic. De leur côté, les objets connectés reliés aux réseaux IP seront trois fois plus nombreux que la population mondiale… Outre les virus et rançongiciels, le défi de la résilience des réseaux dans un monde hyperconnecté tient presque de la gageure en raison de Meltdown et Spectre, les failles matérielles récemment découvertes qui, depuis 10 ans, affectent tous les processeurs d’Intel. C’est-à-dire presque l’ensemble des ordinateurs et serveurs dans le monde… Résultat : « Aujourd’hui, les équipements matériels ne sont pas protégés. Il faut donc disposer de sondes pour protéger les Organismes d’importance vitale (OIV) et les infrastructures régaliennes. D’où l’intérêt de l’intelligence artificielle (IA), constate, lors de la conférence « Quelles innovations pour la cybersécurité? », Olivier Bonnet de Paillerets, cybercommandant au ministère des Armées. L’enjeu, c’est la rencontre entre l’innovation technologique et l’innovation opérationnelle. Notre responsabilité, c’est la fusion entre ces deux univers. » Et de proposer une sorte de révolution culturelle dans la pratique du management : permettre aux échelons les moins élevés d’être force de proposition en matière de cybersécurité et développer avec eux l’apprentissage de la codécision. Finies les lourdeurs de la hiérarchie ?
L’IA à tous les étages
Une chose est claire : outre l’hyperconnexion, l’édition 2018 du FIC s’est également placée sous le signe de l’IA. Même dans les débats. En témoigne Nicolas Miailhe, président cofondateur de The Future Society, un think tank sur la gouvernance de l’IA, créé en 2014 à la Harvard Kennedy School de Cambridge (Massachusetts) : « La France et l’Europe ont aujourd’hui l’opportunité historique de devenir un leader global de l’IA. Notamment, il faut se positionner sur le défi scientifique et technologique majeur qui consiste à expliquer comment fonctionne l’IA, en particulier le Deep Learning [apprentissage profond par la machine, NDLR]. C’est important à l’heure où l’on retrouve du Deep Learning par centaines, voire par milliers dans des « boîtes noires » susceptibles d’être utilisées pour des attaques par leurre. Ainsi, à bord d’une caméra, on pourrait faire passer un panneau de stop pour un panneau de limitation de vitesse… » Danger immédiat.
Changer le logiciel de l’Europe
Et André Loesekrug-Pietri, fondateur du cabinet d’investissement A Capital, d’enfoncer le clou : « On n’arrête pas d’entendre parler d’IA. Mais il faut savoir que, en France, le budget de l’Institut national de recherche en informatique et automatique (Inria) [une référence en matière de recherche en intelligence artificielle, NDLR] était d’à peine 230 millions d’euros en 2017. Et celui de 2018 n’est pas plus élevé. » Une goutte d’eau face au budget de R&D d’Alphabet, la maison mère de Google, qui investit 13,7 milliards de dollars en R&D. « La France et de l’Europe risquent de devenir la colonie numérique des États-Unis et de la Chine. Il faut mettre en place des réglementations qui permettent de développer une industrie numérique à l’échelle européenne, reprend André Loesekrug-Pietri qui s’inspire du rôle du ministère de la Défense américain et, surtout, de son bras armé, la Defense (Advanced Research Projects AgencyDarpa) – lequel a impulsé de grandes innovations comme Internet, le GPS, la voiture autonome… Il faut créer une Darpa à l’européenne car c’est l’innovation de rupture qui crée notre souveraineté et sous-tend notre économie. » À cet égard, le financier a lancé sur les fonds baptismaux la Joint European Disruptive Initiative (Jedi) qui n’est ni une agence, ni une banque, ni une institution mais une structure agile capable de prendre des risques et de financer les start-up à hauteur de 2 à 5 millions d’euros pour une période de trois mois. Laquelle devrait démarrer ses opérations en 2018 à l’échelle franco-allemand pour se concentrer sur la mise au point de prototypes destinés à devenir des produits commercialisables.
2018 : une année la cybersécurité à l’échelle européenne
De son côté, la Commission européenne a présenté le 13 septembre dernier un « paquet cybersécurité » qui constitue la feuille de route de l’exécutif européen jusqu’à la fin de son mandat en 2019. « La cybersécurité ne peut rester nationale », a assuré Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), lors d’une conférence de presse durant le FIC rappelant les échanges entre la Commission européenne et l’ANSSI. De fait, dans le sillage de la directive Network and Information Security (NIS), adoptée en 2016, cette feuille de route comprend une communication chapeau sur la « résilience, la dissuasion et la défense pour la cybersécurité de l’UE » listant les actions prioritaires pour les prochaines années. Notamment la création d’un centre européen consacré à la recherche et à la compétence cyber. Citons aussi une proposition de règlement européen incluant un nouveau mandat pour l’Agence européenne de sécurité des réseaux et de l’information (Enisa) renommé « Agence européenne de cybersécurité » ainsi que la création d’un cadre européen de certification de sécurité visant à l’élaboration de schémas de certification. La feuille de route indique également une recommandation proposant un cadre européen de réponse aux crises cyber. Lequel pourrait s’appuyer d’une part sur l’obligation pour chaque État-membre de se doter d’une agence comme l’ANSSI et d’autre part sur un Computer Security Incident Response Team (CSIRT) mis en réseau à l’échelle européenne.
Erick Haehnsen
Commentez