Souveraineté numérique et dématérialisation au Congo-Brazzaville

Transformation numérique

 

J’ai commencé à écrire ce billet à Pointe Noire au Congo où je suis intervenue dans le premier Forum numérique organisé autour de la dématérialisation et la gouvernance électronique, par le Guichet Unique des Opérations Transfrontalières (GUOT) (10-12 septembre 2018).

Porté par une organisation en charge des échanges commerciaux par voies maritime, fluviale, aériennes et terrestres, ce forum a traité des enjeux stratégiques de la transformation numérique sur le continent africain et en particulier au Congo Brazzaville. Des présentations, retours d’expériences et discussions relatives au droit et à son application, aux développement des infrastructures et des capacités humaines, à la cybersécurité, à la lutte contre la cybercriminalité, aux aspects techniques, organisationnels, procéduraux et financiers du commerce électronique et de la e-administration ont structurés ces trois journées de rencontre.

Experts et participants de grande qualité provenant des pays africains francophones mais aussi de Belgique et de Suisse ont eu l’occasion d’interagir avec les membres et représentants du gouvernement congolais. Plusieurs ministres ont marqué leur intérêt par leur présence prolongée et leur participation aux débats. Ainsi, il fut possible d’entendre le point de vue des des ministres de la Communication et des médias, porte-parole du Gouvernement, de la Justice, des droits humains et de la promotion des peuples autochtones, de la Santé et de la population et du ministre des Postes, des télécommunications et de l’économie numérique, lors d’une table ronde ministérielle animée par le directeur des informations à la télévision nationale congolaise.

Six piliers fondamentaux de la souveraineté numérique

 

Les thèmes abordés tout au long de ce Forum de la gouvernance numérique concernent également les problématiques liées à la souveraineté numérique, comme exprimé par l’Organisation Internationale de la Francophonie à Genève en décembre 2017, en référence aux piliers fondamentaux de la souveraineté numérique qui ont été définis de la manière suivante:

  • Pilier 1 : innovation et industrie numérique
  • Pilier 2 : sécurité et protection de données (infrastructure, donnée, cyberattaque et cybermenace)
  • Pilier 3 : citoyenneté et éthique numérique (comportement/usage et responsabilité)
  • Pilier 4 : régulation /réglementation
  • Pilier 5 : production et contenus locaux
  • Pilier 6 : inclusion et renforcement de capacités des femmes et des jeunes (femmes, actrices du numérique).

A Pointe Noire, il a été identifié des besoins de trouver des solutions convaincantes pour assurer une transformation numérique du pays, qui tient compte des besoins spécifiques du Congo et des retours d’expériences effectués au niveau régional et international afin d’optimiser la démarche.

Parmi les points importants abordés qui doivent faire l’objet d’attentions particulières et de réalisations concrètes, il a été retenu les suivants :

  • L’économie de la donnée avec la maîtrise du cycle de vie de la donnée (production, collecte, traitement, stockage et exploitation) ;
  • La création de valeurs et le développement économique via le numérique et l’innovation technologique ;
  • La gouvernance pour une souveraineté numérique ;
  • Le financement de l’économie numérique (fiscalité et financements alternatifs, etc.) ;
  • Le développement des infrastructures techniques et des services électroniques adaptés aux besoins de la population notamment pour ce qui concerne les applications administratives (e-administration) ;
  • La construction des capacités humaines (éducation, sensibilisation de la population, formation continue) notamment pour ce qui concerne les jeunes et les femmes ;
  • Le respect des droits humains, de la vie privée, de l’intimité numérique, libertés et autodétermination informationnelle ;
  • L’identité numérique ;
  • La cybersécurité ;
  • La lutte contre la cybercriminalité ;
  • Le droit, la réglementation et la régulation du numérique ;
  • La problématique de mise en place des structures organisationnelles adaptées aux besoins ;
  • L’écosystème numérique global qui intègre l’infrastructure énergétique nécessaire à son bon fonctionnement.

 

Partout dans le monde, s’ouvrent des débats qui questionnent la notion de souveraineté des pays et qui interrogent sur les stratégies, plans d’actions, ressources et compétences nécessaires à la réussite des changements de société consécutifs à la dématérialisation et de l’usage des technologies du numérique.

 

“Le bâton que tu possèdes détermine le serpent que tu peux tuer »

 

Ce dicton africain rappelle la réalité du monde hyperconnecté et interdépendant et celle de l’économie du numérique dominée par des acteurs hégémoniques, réalités qui nous contraignent à trouver des espaces de liberté et d’actions possibles afin de donner un minimum de sens à la notion de souveraineté, d’autonomie et d’indépendance.

 

Cybersécurité et illettrisme numérique

Les défis de la protection du patrimoine numérique

Les infrastructures numériques, les services offerts, les processus supportés comme les informations manipulées, constituent désormais le capital informationnel de L’État, des organisations et des personnes. Nouvelle valeur de société, l’information digitale, qu’elle soit générée et manipulée à des fins professionnelles ou privées, est fragile et vulnérable. À l’heure du « tout numérique », la société se fragilise tous les jours un peu plus par une dépendance croissante à des fournisseurs, à des technologies et services difficilement maitrisables, mais aussi du fait de l’existence de vulnérabilités des infrastructures numériques et de la réalité des actions malveillantes.

Le Pays doit relever entre autres, le défi de la protection de ses patrimoines numériques, non seulement au sein de ses frontières géographiques traditionnelles, mais également dans le cyberespace du fait de l’usage d’Internet, des équipements électroniques et objets connectés ou encore des services de l’informatique en nuage (cloud computing). Outre la question transversale de la cybersécurité, le défi est celui de savoir comment assurer la souveraineté d’un pays dans un contexte d’une « société monde » hyperconnectée aux multiples interdépendances. Cette question ne peut pas être dissociée de celle relevant de la capacité à développer un Internet ouvert, libre, fiable et sûr. Dès lors, comment contribuer à atteindre ces objectifs ?

 

Un environnement complexe

Dans un contexte de crise économique exacerbée qui s’inscrit dans un environnement complexe de tensions géopolitiques, les valeurs informationnelles doivent être protégées et assurées à hauteur des risques qu’elles engendrent. La cybercriminalité, constitue un facteur additionnel de risques qui sont désormais structurels et permanents. Les impacts de ces risques sont à supporter par la société dans son intégralité au détriment du développement économique des acteurs légitimes.

De la PME à la multinationale, quelle que soit sa taille ou son secteur d’activité, toute entreprise est exposée aux cyberrisques. Elle doit faire face à de nombreuses menaces qu’elles soient d’origine interne ou externe, issues de conflictualités, de la concurrence économique, de la malveillance ou encore d’erreurs de conception, de gestion ou d’utilisation par exemple.

La maîtrise des cyberrisques devient une préoccupation majeure des organisations qui doivent faire face à divers enjeux : la transformation numérique, l’externalisation vers le cloud, la mobilité, les conséquences d’interruption de réseaux informatiques, la protection des données structurées et non structurées. Parmi les cyberattaques pouvant nuire aux intérêts économiques d’une organisation, il ne faut pas sous-estimer les impacts dus à :

  • des pertes d’actifs intangibles (réputation, propriété intellectuelle) ;
  • des actions relevant de l’ingérence économique (surveillance, espionnage, sabotage, terrorisme, chantage, extorsion) ;
  • des pertes d’opportunités.

Une bonne connaissance des mécanismes de l’ingérence économique au regard des facilités offertes par le monde numérique, contribue au maintien des avantages concurrentiels des organisations. Ce qui contribue à une protection adaptée du capital scientifique, technique, économique et industriel du Pays et à la bonne santé de la place économique, mais cette connaissance évolue très vite, au grès des technologies, et requiert constamment de nouveaux investissements dont le coût est difficile à évaluer.

 

Une nécessaire émancipation numérique

Aujourd’hui, la performance économique d’un pays dépend dans une large mesure du bon fonctionnement de son écosystème numérique et de sa cybersécurité. S’approprier le numérique pour un développement durable de la société passe par une certaine émancipation au regard des dépendances numériques, mais aussi par la maitrise :

  • des infrastructures de base, des ressources critiques de l’Internet et de la sécurité, (y compris la sécurité énergétique;)
  • des données en vue de développer la nouvelle génération des services et des équipements basés sur l’intelligence artificielle ;
  • de l’innovation transformable en progrès social ;
  • des problématiques de financement et de fiscalité de l’économie du numérique ainsi que de des transactions s’appuyant de plus en plus sur des modes de paiement sur lesquels les Etats tendent à perdre le contrôle (cryptomonnaies, …) ;
  • de l’éducation et de l’accompagnement des évolutions technologiques pour transformer ces dernières en progrès social pour tous.

 

Lutter contre l’illettrisme numérique

 Tout cela présuppose au-delà de la prise de conscience des enjeux et besoins des ruptures technologiques, une volonté d’agir, une certaine vision et culture du numérique qui refuse la cécité des menaces et des risques. Cela repose sur le partage d’information et la mise à disposition des connaissances nécessaires à la construction des compétences dans les disciplines relatives à la politique, à l’économie, au management, à la sociologie, au droit et à la technologie. Construire les capacités nécessaires à l’adoption de comportements responsables dans le cyberespace et le monde réel, qui s’appuient sur des mesures de prévention, de protection et de défense est une nécessité. Cela contribue globalement à une meilleure cybersécurité, à renforcer la résilience et à lutter contre les cybermenaces.

Lutter contre l’illettrisme numérique ou contre les différentes formes de domination culturelles et économiques ne suffit pas. Aujourd’hui, force est de reconnaitre que les champions mondiaux de l’économie du numérique ne sont ni suisses, ni européens, encore moins francophones. De plus, les individus ne sont pas en mesure d’être dans un état d’auto-détermination informationnelle ni en mesure par exemple, d’imaginer l’avenir du travail.

Apprendre à coder, c’est-à-dire à écrire des programmes informatiques, comme on apprend à ânonner une langue étrangère, est de peu d’utilité. L’apprentissage de la technique informatique doit être, entre autre et par exemple, accompagné par un enseignement de l’éthique et de la philosophie. Décoder ce qui se passe derrière l’écran est tout aussi primordial, voire plus important que d’apprendre à coder ou d’apprendre à utiliser un équipement informatique. Seule une éducation de qualité, qui traite également des défis et des conséquences de la numérisation, peut contribuer à éviter des aliénations et addictions numériques, que l’humain ne soit pas au service de la machine et du réseau et, in fine, dépossédé de ses capacités mentales, émotionnelles ou cognitives ou ni ne devienne un mercenaire- hacker.

 

La société civile est au bout de la chaine alimentaire du numérique

En fait la société civile est au bout de la chaine alimentaire du numérique. Elle espère que l’Etat continue à être le garant de la protection de ses citoyens et qu’il contribue à assurer la juste balance des intérêts de toutes les parties prenantes. Or le temps du politique n’est pas celui du business. Force est de constater que les pansements aux maux générés par le numérique ne sont généralement pas fournis par l’État, mais par les acteurs hégémoniques du Net. Ces derniers, comme les organisations criminelles d’ailleurs pour d’autres motivations et par d’autres moyens, occupent tout l’espace laissé libre par la lenteur de l’action politique au niveau national et international. Lenteur souvent amplifiée par l’incompréhension des politiques pour les enjeux, les menaces et les risques du fait notamment, de la complexité, de l’envergure et de la dynamique du problème.

Est-ce possible d’externaliser sa cybersécurité ?

Externaliser (outsourcer en bon franglais) signifie de confier à un tiers la réalisation de tout ou partie des traitements informatiques nécessaire à la réalisation des objectifs d’une organisation. Certains fournisseurs d’infrastructures et de services en nuage (cloud) peuvent apporter une réponse globale au besoin d’informatisation des organisations et offrir des prestations techniques qui intègrent des éléments de la sécurité informatique et de celle des réseaux de télécommunication.

S’il est désormais courant de penser à la sécurité informatique d’une organisation en terme de cybersécurité, englobant de ce fait toutes les dimensions de la sécurité physique et logique des infrastructures numériques, des systèmes d’information et de l’information, cela correspond en fait au besoin de pouvoir maitriser les risques générés par l’usage des technologies numériques.

Au regard de la complexité et des ressources que nécessite la mise en place d’un processus continu de gouvernance des risques et de la sécurité, certaines entreprises choisissent d’externaliser cette fonction. Pour autant, peuvent-elles, doivent-elles tout externaliser et ce faisant externalisent-elles aussi leur responsabilité ?

 

Est-ce que la dépendance à un fournisseur n’introduit pas un nouveau risque de sécurité ?

Les conséquences des risques induits par l’informatique sont toujours à la charge de l’organisation qui dépend du bon fonctionnement, de la disponibilité, de l’intégrité des ressources et des infrastructures informationnelles et parfois de la nécessaire confidentialité de ses données. Si en amont d’un processus d’externalisation, l’institution n’a pas été en mesure d’assurer un niveau de cybersécurité cohérent au regard de ses actifs informationnels et des menaces qui peuvent les mettre à mal, comment peut-elle être en mesure de garantir la sécurité de son patrimoine informationnel en dehors de son périmètre ?

Quel est son niveau de sécurité avant le passage au Cloud ? Ce qui revient à se poser d’autres questions : Comment sont protégés les actifs à l’intérieur de l’organisation ? Comment le seront –ils hors du contrôle de celle-ci ? Est-ce que le fournisseur de cloud peut résoudre tous les problèmes de sécurité ? Sachant que ces derniers peuvent être augmentés par des accès à distance de l’infrastructure qui peut même être localisée dans un autre pays ? Est-ce que le passage au cloud ne va pas favoriser des mécanismes parallèles d’usage d’outils informatiques non contrôlés (shadow IT) ? Comment s’assurer que les clauses contractuelles ne soient pas préjudiciables au contrôle de la maitrise de la sécurité par un fournisseur ? Quelles sont les garanties sur le lieu d’hébergement des données et de transit, sur la manière dont les données sont exploitées, traitées et maintenues ? Peut –il y avoir de l’outsourcing de l’outsourcing, quelle est alors la chaine de responsabilité ? Comment la sécurité est réalisée (quel chiffrement, qui maîtrise les clés de chiffrement, comment les mises à jour de sécurité sont effectuées, … ?), maintenues, auditées, vérifiées et optimisées ?

 

La confiance se bâtit sur des faits et des clauses contractuelles

S’il peut paraître aisé de démontrer un avantage économique à court terme de passer à une solution Cloud, qu’en est-il sur le long terme ? La vigilance est requise notamment pour ce qui concerne des offres globales « package tout en un », bien évaluer ce qui est réellement proposé est incontournable. Il ne suffit pas de se fier uniquement à l’expérience d’un prestataire ou au nombre de ses clients. La confiance est essentielle, elle se bâtit sur des faits et des clauses contractuelles. Par ailleurs, les experts sécurité qualifiés ne sont pas légion, certaines entreprises n’hésitent pas à étiqueter comme experts de jeunes diplômés sans expérience (qui construisent leurs compétences sur le dos des clients) ou recourent à des experts auto-proclamés. Le marché s’arrache les personnes d’expérience, leur nombre est limité.

 

L’outsourcing n’est pas synonyme de déresponsabilisation

L’entreprise qui externalise son infrastructure IT peut avoir tendance à penser que la sécurité informatique n’est plus son problème. Cela serait oublier le fait que d’externaliser n’est pas synonyme de se défaire de ses responsabilités envers notamment les données de ses clients. Les risques de perte de disponibilité, d’intégrité ou de celle de confidentialité, occasionnés par un défaut de sécurité lors de traitements informatiques à l’interne de l’organisation existent toujours. Elle n’est pas à l‘abri de fraudes, d’escroqueries, d’actions d’ingénierie sociale, de fuites ou de compromission de ses données par exemple.

L’organisation, quels que soient son type (commerciale, hospitalière, gouvernementale…) et sa taille, ne peut pas se défausser de sa responsabilité de développer en interne une culture de la cybersécurité, de sensibiliser et de former tous les acteurs qui interagissent avec des systèmes d’information, même s’ils sont hébergés dans des clouds externes.

Plus rares sont les institutions qui ont compris les risques de sécurité inhérents à la phase de migration vers le cloud. Comment sont-ils pris en compte lors de la phase de migration, qui est responsable, qui en supporte les coûts cachés? La transition vers une externalisation de l’infrastructure et des services nécessite une préparation minutieuse sans oublier de vérifier la résilience et la sécurité de l’infrastructure du réseau local. Or cet aspect est généralement passé sous silence par les fournisseurs de cloud, cela augmenterait le coût de leur offre et est rarement exprimé correctement dans des appels d’offres.

 

Confiance, confort et stratégie

L’informatique d’une organisation dont le niveau de sécurité est adapté aux risques que celle-ci encourt, permet la réalisation de toutes ses tâches et missions avec un certain niveau de confiance et de confort.

La sécurité informatique est stratégique dans le sens où elle dépend de la stratégie d’une organisation et aussi parce qu’elle nécessite une vision stratégique qui tient compte des dimensions politique, économique, organisationnelle, humaine, juridique et technologique du contexte dans lequel évolue l’institution. Avoir une cybersécurité défaillante n’est pas une option pour la compétitivité et la survie d’une organisation, cela est amplifié si l’organisation en question est une infrastructure vitale comme peut l’être un hôpital, il en va de sa réputation (quid d’une fuite de données des dossiers et secrets médicaux ?) mais surtout de la sécurité et de la survie des patients eux-même (quid de cyberattaques portant atteintes à la disponibilité et à l’intégrité des dossiers médicaux, à celles des ressources informatiques nécessaires à bon fonctionnement de la structure hospitalière (chaine d’approvisionnement logistique, systèmes de santé connectée, d’aide à la prise de décision, à la médecine de précision, …)) ?

Pourquoi en cybersécurité, l’éthique ne suffit pas

Qu’est-ce que l’éthique ?

Le dictionnaire nous rappelle que « l’éthique est la science de la morale». La morale est une notion sujette à de multiples interprétations. Elle est propre à un milieu, à une culture, à une époque, à des mœurs ou encore à un groupe de personnes. L’éthique est un concept de portée locale, dans une temporalité définie. C’est un concept élastique dans le temps et dans l’espace qui contribue à effectuer des jugements d’appréciation d’actions ou de comportements comme étant bons ou mauvais.

Peut-on apprécier des qualités morales des acteurs qui conçoivent, mettent en place, gèrent ou utilisent les systèmes et services informatiques ? Est-ce que ce sont des principes relevant de la morale qui leurs permettent d’être en mesure d’assurer que des critères techniques de base de la sécurité informatique, que sont la disponibilité, l’intégrité et la confidentialité, sont effectifs et cela tout en respectant les droits humains fondamentaux, pour un développement durable de la société ? Est-il possible d’attribuer des critères relevant de l’éthique, à des solutions, à des mesures, à des procédures de cyberéscurité ? Peut-on attester de la moralité d’un produit ?

 

Existe-t-il une cyberéthique ?

A l’instar des comités de bioéthique, existe-t-il-des comités d’éthique de la cybersécurité, des comités de cyberéthique ? Qui a autorité pour les constituer ? Quels en sont les membres ? Quels sont leurs pouvoir, leurs champs d’application et de compétence ? Qui les reconnait ? Serait-ce un comité purement consultatif ou pourrait-il avoir un pouvoir de coercition ? Autant d’interrogations qui à ce jour n’ont pas de réponse.

Que cela concerne l’éthique de la cybersécurité ou celle de l’intelligence artificielle, une question fondamentale, en amont de toutes les précédentes, est sans doute de savoir comment déterminer ce qui éthique ou non et au regard de quelles valeurs, de quelle morale, de quelles mœurs ou de quels référentiels existants et éventuellement futurs ?

Le numérique bouleverse déjà nos valeurs et repères traditionnels. Pour ne prendre que quelques exemples, pensons à l’exposition permanente de la vie privée dont certains acteurs hégémoniques du Net, qui ont construit leur puissance sur l’exploitation des données personnelles, assurent que la fin de la vie privée est normale et que la non intimité numérique est une nouvelle valeur du 21ème siècle. Cela peut également s’appliquer à la surveillance de masse, aux filatures numériques, à la traçabilité des actions et comportements médiées par les technologies de l’information, à l’usage des réseaux sociaux. Ces nouveaux possibles sont en passe de devenir de nouvelles normes sociales qui instaurent par exemple, comme étant suspectes, des personnes qui n’ont pas d’empreinte numérique.

Notre système de valeurs se transforment progressivement sous l’impulsion notamment de la mondialisation, de la révolution numérique, de la prépondérance des valeurs issues du monde de l’économie et de la finance.

Jusque-là très largement issue de notre culture judéo-chrétienne et de notre héritage greco-latin, l’éthique (êthikos en grec «qui concerne les mœurs morales », mot dérivé de êthos « manière d’être habituelle), se rattache à une racine indoeuropéenne. Notre manière d’être habituelle se trouve de plus en plus confrontée à des valeurs originaires d’autres cultures comme celles provenant d’Extrême ou du Moyen-Orient par exemple. Elle est également influencée par des comportements matérialistes et consuméristes, des logiques économiques (croissance infinie, capitalisme, libéralisme, …), des logiques identitaires (nationalisme, communautarisme,…). Ces différents systèmes de valeurs sont en concurrence, voire en tension ou en contradiction. Peuvent-ils coexister, se transformer ? Quel sera le système de valeur prédominant des nouvelles générations ? Est-t-il possible de tenir compte de toutes les valeurs humaines ?

 

Ethicalwashing

La notion d’éthique peut échapper aux principes philosophiques ou moraux traditionnels de notre culture européenne, pour ne refléter qu’une version commerciale de celle-ci. Le néologisme d’ethicalwashing, construit par analogie à celui du « green washing » désigne la récupération marketing du concept d’éthique afin de promouvoir une image « éthique » d’une organisation à des fins de profitabilité. En effet, l’éthique est plus souvent invoquée comme slogan publicitaire, une sorte de label « responsable » auto-attribué, que pour désigner un comportement respectueux de valeurs. Valeurs qui, dans le cyberespace, n’ont pas encore été définies, négociées et reconnues par les acteurs du numérique, organisations privées et publiques, par la société civile et les internautes. Ces derniers se trouvent être au bout de la chaine alimentaire de l’écosystème numérique. Force est de constater que ce sont les acteurs les plus puissants qui sont en mesure d’imposer leur vision du monde, en fonction de leurs intérêts et de leur histoire, histoire toujours écrite par les vainqueurs.

 

L’éthique n’est pas contraignante

L’humain peut être un vecteur de sécurité à condition qu’il respecte une certaine éthique compatible avec les exigences de sécurité de l’environnement dans lequel il opère. Le problème majeur de l’éthique appliquée au monde Cyber, est que le concept qu’il recouvre n’est pas reconnu de manière universelle et unique. L ’éthique n’est pas une loi à respecter dont la conformité peut être vérifiée et son non-respect dénoncé auprès des autorités.

En matière d’éthique, la bonne volonté des « gentils » n’est pas suffisante comme nous le rappel Woody Allen, « Les méchants ont sans doute compris quelque chose que les bons ignorent ». Les « méchants » ne jouent pas collectifs, produire du bien commun n’est pas leur priorité, assumer le coût de la cybersécurité au bénéfice de tous, ne fait pas partie de leurs objectifs.

Le phénomène de la cybercriminalité, qui ne cesse de prendre de l’ampleur depuis plusieurs années déjà, en témoigne. Ce n’est pas l’éthique qui dissuade les acteurs malveillants ou qui prévient et protège des cyberattaques. Même si les criminels peuvent éventuellement suivre des principes et des règles de conduites propre à leur milieu et qui pourraient s’apparenter à une certaine déontologie, ce n’est ni l’éthique, ni la religion d’ailleurs, qui mettent un frein à leurs comportements criminels.

 

L’éthique comme vecteur d’éducation à la responsabilité numérique

Pertinemment établie, formulée et présentée, l’éthique permet de faire prendre conscience des rôles et devoirs de chacun en matière de comportement responsable, y compris au travers du cyberespace et des activités en ligne. L’éthique peut ainsi être un fabuleux outil de sensibilisation des acteurs étatiques et non – étatiques et des individus.

L’éthique, c’est comme la confiance, elle doit pouvoir se construire et se vérifier. De plus, les cas « d’abus d’éthique » doivent pouvoir être dénoncés lorsque le concept est détourné, contourné ou bafoué. Or la confiance dans l’éthique des membres de l’écosystème numérique s’appuie généralement sur leur réputation et non sur des critères objectifs de contrôle et de vérification de la qualité de leur posture éthique sur l’ensemble de leurs activités. Cela peut générer un faux sentiment de confiance préjudiciable à la société et ouvrir la porte à des pratiques sans limites et non répréhensibles.

 

La cyberéthique : une question de philosophie politique ?

Sommes-nous en mesure de relever le défi de distinguer le bien, le juste, le bien vivre ensemble dans le monde physique et dans le cyberespace ? Sommes-nous en mesure de définir une éthique privée et publique, appliquée et appliquable au cyberespace ? Il est permis d’en douter s’il est fait référence au nombre de problèmes soulevés par la gouvernance mondiale de l’Internet qui n’ont pas encore trouvés de réponses convaincantes.

Les ruptures technologiques ne s’opposent pas au besoin continu d’exigence de protection et de respect des droits humains fondamentaux.

Plus que jamais, il est urgent de réaffirmer les valeurs relatives à la dignité humaine, au libre consentement, à la liberté de penser et de se déplacer, à la fraternité. Peut-être serait-il temps de penser le monde Cyber en termes de coresponsabilité et de paix. Innovons pour que des valeurs telles que celles d’empathie, de tolérance, de prudence, de non-violence puisse s’exprimer via le numérique. Innovons pour que les droits humains traditionnels soient respectés et que de nouveaux liés spécifiquement aux technologies soient reconnus comme celui par exemple du droit à la déconnexion.

Intégrer ces principes dès la conception de la Technologie, contribuerait à l’orienter vers la résolution des grands problèmes auxquels l’humanité est confrontée (éradication de la pauvreté, réduction des inégalités, des hostilités, protection de l’environnement, …). Un beau défi, un espoir pour ré enchanter le monde mais aussi pour contribuer à un monde durable.

Cybersécurité : 5 questions vitales

Le doute n’est plus permis, nous utilisons des solutions vulnérables et piratables. Il suffit pour s’en convaincre de suivre l’actualité Cyber ou encore de s’intéresser aux vulnérabilités répertoriées par l’organisation américaine MITRE, active depuis soixante ans en recherche et développement des technologies liées à des domaines stratégiques (défense, sécurité, cyberespace, …). Depuis 1999, elle tient le registre des vulnérabilités de sécurité – CVE (Common Vulnerabilities and Exposures). La synthèse hebdomadaire de l’US-CERT (United States Computer Emergency Response Team), les classifie en quatre catégories (haute, moyenne, faible et en niveau de sévérité non encore assigné), les décrit et identifie des correctifs de sécurité (patch) à appliquer.

Quelle peut bien être la supériorité technologique d’une organisation si la technologie dont elle est devenue dépendante est conçue avec des vulnérabilités qui peuvent être exploitées par des acteurs tiers?

Une approche réactive, d’installation à postériori, de rustines de sécurité, permet de réduire la fenêtre d’exposition des systèmes d’une organisation, mais ne peut garantir que les failles ne soient pas déjà exploitées et que les tous les trous de sécurité soient bouchés.

Combien d’organisations dédient suffisamment de ressources à une veille technologique rigoureuse et à des mises à jour permanentes de leurs systèmes ?

Réagir à des cyberincidents ou à l’annonce de vulnérabilités, contribue à considérer la sécurité comme un centre de coût alors qu’elle devrait l’être d’un point de vue stratégique, comme un levier de la performance et un facteur clé de succès de la compétitivité d’une organisation.

Est-il envisageable de baser les mesures de cybersécurité en fonction d’une approche proactive et prospective de la gouvernance des risques, afin de devenir un individu, une organisation – voire un pays doté d’une réelle capacité de cyber-résilience ?

Il est impossible d’ignorer que les vulnérabilités existent, d’être naïf au point de croire qu’elles ne seront jamais exploitées à des fins malveillantes, de conflictualité ou de supériorité.

Sommes-nous en mesure de penser au principe de précaution et changer de paradigme dans la manière de concevoir et de mettre en œuvre les technologies de l’information, la transformation numérique de la société et la cybersécurité ?

L’usage de solutions vulnérables n’est pas le fruit du hasard mais est la résultante de choix plus ou moins conscient et rationnels. L’ouvrage du biologiste Jacques Monod, « Le hasard et la nécessité » (1970) traite de philosophie des sciences au regard de l’évolution de l’espèce humaine et de sa survie.

Si notre survie dépend du numérique, dans la mesure ou la fragilité du numérique est connue, pourquoi adopter un comportement de fuite en avant technologique sans en maîtriser les vulnérabilités, sans avoir conscience et compréhension des risques globaux et systémiques que peut engendrer une cybersécurité insuffisante, inadaptée ou défectueuse ?

Ce que nous apprend l’affaire Facebook

Une affaire pas si surprenante

Il n’est pas étonnant que les agences de renseignement fassent du renseignement. De même, il n’est pas surprenant que les entreprises qui ont pour modèle économique l’exploitation des données, les utilisent. Ce qui est le cas de Facebook, mais aussi de la majorité des plateformes numériques. Ce qui est moins prévisible se sont les facteurs et les conditions qui déclenchent des révélations concernant des usages abusifs, détournés ou criminels des données et des services du numérique.

En 2015, la manipulation de l’information a été identifiée comme étant une préoccupation majeure par le site américain Defense One. La manipulation, sert des stratégies d’influence, de persuasion ou de guerre psychologique, qui peuvent être d’envergure, concerner la population, des décideurs politiques et économiques, des civils et des militaires. Ces attaques sémantiques ne visent pas à la prise de contrôle de systèmes informatiques, mais celle du « cerveau humain ».

La marchandisation des données s’applique à tous les domaines. Pour certains, voter est assimilable à un acte d’achat. Dès lors, il n’est pas étonnant que le ciblage publicitaire facilite la diffusion de messages politiques lors de campagnes électorales.

Toute l’économie du numérique est une économie de prédation des données, basée sur leur collecte et exploitation massives et les internautes sont des proies faciles. L’insuffisance des mesures de prévention et de protection pour empêcher le siphonage des données des utilisateurs et de leurs contacts sans leur consentement éclairé et explicite, facilite le détournement des données.

Tous les acteurs hégémoniques du Net, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft), les NATU (Netflix, AirB&B, Tesla, Uber) sont concernés et pourraient se retrouver un jour ou l’autre sur le banc des accusés. Cela devrait nous faire réfléchir aux pratiques de leurs concurrents et homologues chinois que sont notamment Baidu, Alibaba, Tencent et Xiaomi (les BATX).

Vers un éveil des consciences

Si l’affaire Facebook engendre une vraie prise de conscience sur nos dépendances au services et acteurs du numériques, de leur pouvoir et plus globalement de l’importance de protection de la sphère privée et des données personnelles, cela sera plus important que les excuses peu crédibles de Mark Zuckerberg. Le mal est fait, ni les promesses, ni les excuses ne peuvent en atténuer les conséquences. Il est un peu tard, voire peut-être trop tard pour les entités dépendantes à Facebook, en situation d’addiction et d’accoutumance pour envisager éventuellement de modifier leurs pratiques. La seule sincérité du dirigeant de Facebook concerne celle liée au risque réputationnel auquel son entreprise doit faire face, car la confiance des utilisateurs est essentielle à sa profitabilité.

Il ne faut pas se leurrer, dans l’économie du numérique, l’individu n’est pas considéré comme un acteur doté de bon sens et de libre arbitre mais plutôt comme un objet, un système d’information à exploiter, à piloter, à améliorer ou encore à mettre en conformité.

Aucun discours messianique ou pseudo humaniste proféré par les grands patrons des GAFAMs ne peut faire oublier leur vision du monde orientée à la transformation des données en argent et la connectivité en pouvoir. Les multinationales ne sont pas des philanthropes, leur objectif est de maximiser leurs profits le plus vite possible. Toutefois, une action collective d’envergure (initiatives de boycott, de « namming & shamming (nommer le crime et infliger la honte», d’action en justice, …) contribuerait à un renversement des rapports de force. En préjudiciant les intérêts des fournisseurs de services, en portant atteinte à leur image, en exigeant des mesures de protection des données, il est possible de contribuer à faire évoluer la situation vers un meilleur respect des droits fondamentaux.

Vers un frein possible à l’exploitation des données et à un marché sans limite

Le frein à la forte mainmise des plateformes numériques sur le marché publicitaire dépendra du comportement et du nombre des internautes, de leur connectivité plus ou moins permanente, de la banalisation de l’usage des services et des objets connectés, de l’invisibilité des transferts d’informations entre les équipements électroniques omniprésents, jamais éteints, invisibles. Mais il ne faut pas rêver, dans la mesure où le corps humain, les jouets, les vaches, les fermes, les maisons, les organisations, les moyens de transport, les villes sont déjà connectés et que les incitations sont fortes pour aller vers toujours plus de technologie, plus de mobilité, plus d’intelligence artificielle, plus de réalité virtuelle, plus d’utilisation. Tout cela rend complexifie et ardu le changement de paradigme souhaité. Mais ce n’est pas parce que cela est difficile qu’il ne faut rien faire ou que cela est irréalisable.

Vers une certaine régulation des géants du Net 

La mise en place du Règlement européen sur la protection des données (RGPD) poursuit cet objectif dans la mesure où il s’appliquera aux entreprises étrangères qui gèrent des données de citoyens européens. Facebook n’est que l’arbre qui cache la forêt, la régulation n’est possible et n’a de sens que si elle concerne tous les acteurs.

Or, la puissance des acteurs hégémoniques du numérique, basée sur une organisation du marché en oligopole pseudo concurrentiel soigneusement orchestré selon une logique néolibérale, soutenue par des moyens financiers considérables, leur permet de garder leur suprématie en éliminant les potentiels concurrents, tout en mettant la barre très haute pour d’éventuels nouveaux entrants. Ils sont donc en mesure d’influencer fortement les processus et les moyens de régulation. Il s’avère que réguler des acteurs multinationaux n’est pas chose aisée car ils disposent d’un pouvoir parfois supérieur à celui des États.

La gouvernance mondiale est une question complexe. Dans le domaine de l’Internet, elle touche à la fois les domaines civil et militaire que cela soit au niveaux national ou international. Cela soulève des questions de souveraineté, de sécurité, de défense, de coopération, de lutte contre la criminalité et le terrorisme, de philosophie politique et économique, de vision du bien commun et de l’intérêt public. Sujets d’ordre géopolitique, délicats par nature, loin de faire l’objet d’une vision consensuelle.

Par ailleurs, ces acteurs, cibles potentielles de la régulation peuvent être tentés de résoudre le problème de l’autorégulation, par une fuite en avant technologique, en substituant des mesures effectives de régulation et en traduisant le pouvoir de la main invisible du marché par des logiciels d’intelligence artificielle. Cela ne ferait qu’aggraver la situation sans pour autant répondre de manière claire et honnête aux questions suivantes: Qui contrôle et valide les développements technologiques ? Comment ? Qui certifie leurs niveaux de fiabilité, de sûreté, de sécurité, de confiance ? Comment ? La transparence est-elle possible ? Comment vérifier la véracité et la justesse des décisions prises par des systèmes d’intelligence artificielle ? Quelles sont les responsabilités des acteurs ?

 

 

 

Et si le courage en cybersécurité était de renoncer à certains services ?

L’album « Asterix et les Normands » est bâti autour de la quête de la peur par les normands qui ne la connaissent pas «  …Il paraît que la peur donne des ailes,… Elle nous permettra de voler comme des oiseaux. ».  Dans cette aventure le dernier mot avant le  banquet final revient à Panoramix le sage  « C’est en connaissant la peur que l’on devient courageux. Le vrai courage c’est de savoir dominer sa peur ! ». Ces péripéties sont basées sur une incompréhension et un malentendu, ce qui est généralement une source de problèmes, y compris en cybersécurité qui peuvent être liés à l’incapacité à comprendre les impacts des cyberrisques  ou encore par exemple à la sous-estimation des limites des solutions de sécurité.

Dominer sa peur, c’est contribuer à maitriser les cyberrisques en toute connaissance de cause, c’est les mettre sous contrôle en adoptant des mesures de protection, de gestion des incidents et de la continuité des activités cohérentes au regard des valeurs à préserver et des menaces qui pourraient les affecter.

Le début du courage en matière de cybersécurité, que cela soit à l’échelle d’un individu, d’une organisation ou d’un État, est d’éviter les trois types d’attitudes suivantes:

  • Le déni : se convaincre que si on ne voit pas le problème c’est qu’il n’existe pas.
  • L’autosatisfaction : penser que tout va bien puisque des mesures ont été prises sans pour autant s’interroger sur leur utilité, efficacité, pertinence, pérennité, efficience.
  • La fuite en avant technologique : ajouter de la complexité à la complexité, en complétant une technologie qui n’est pas maitrisée, par une autre tout aussi mal maitrisée, mais à qui une confiance aveugle est accordée, sans se préoccuper des nouveaux risques qu’elle peut générer.

Nous sommes en train de prendre conscience de la montée en puissance et en nuisance des cyberrisques et de la peur qu’ils nous inspirent.

C’est en connaissant la peur que l’on devient courageux, c’est en tentant de répondre à des questions comme par exemple « Faut-il avoir peur des cyberattaques ? » que l’on peut contribuer à dépasser les peurs générées par des défauts de sécurité et de robustesse des infrastructures et services numériques dont nous sommes devenus dépendants.

Être courageux c’est oser affronter la réalité des vulnérabilités et de les pallier. C’est aussi comprendre les menaces auxquelles nous exposent l’écosystème numérique pour minimiser notre surface d’exposition aux risques et aux acteurs et aux vecteurs de la cyberinsécurité et d’adopter des comportements et des mesures cohérentes et pragmatiques qui contribuent à la maitrise des cyberrsiques.

Mais peut être que le vrai courage serait d’oser renoncer à l’usage de certains services ou technologies vulnérables by design, d’appréhender toute la complexité des interdépendances des infrastructures vitales au numérique par une analyse prospective des risques avec un esprit de vigilance et désir d’avenir.

Ainsi parfois, si l’action est à la hauteur des enjeux et de la peur, cette dernière peut donner des ailes afin de ne pas subir la cyberinsécurité et en supporter ses coûts y compris sur le long terme.

Subir, c’est se résigner, c’est accepter une incapacité de fait à prévenir les impacts des usages abusifs, détournés ou criminel du numérique, mais ce n’est pas une fatalité !

Pourquoi la peur est un levier de la cybersécurité mais pas une bonne conseillère

Il semble que l’utopie d’un monde meilleur porter par la cybernétique à son origine, soient de plus en plus remplacée par la peur, la peur des robots, la peur de l’intelligence artificielle, la peur de la fin du travail, la peur des espions et de celle des hackers par exemple.

La peur nous aide à identifier un danger, à mémoriser les conditions dans lesquelles celui-ci est survenu, nous permettant de l’éviter à l’avenir. La peur est un facteur de sécurité, elle permet d’identifier les situations à risques, de les éviter, de s’y préparer et de les affronter, par l’action ou la réaction. En cela elle protège l’être humain depuis la nuit des temps, nous lui devons sans doute notre survie.

Ne pas avoir peur, c’est être vulnérable à un danger, c’est ne pas prendre conscience des risques et donc être dans l’impossibilité de les gouverner et de les mettre sous contrôle.

La peur ne décrit pas une réalité, c’est une perception de la réalité, une émotion, un sentiment. Elle est relative à un risque, réel ou non reflétant un potentiel de danger.

Dans le domaine de la cybersécurité, la peur peut être un levier de la sécurité, de prise de conscience des besoins de sécurité. C’est aussi un instrument au service du commerce de la sécurité et du marché de la sécurité. Marché en pleine expansion qui semble sans limite puisqu’il est là pour durer, la peur aussi d’ailleurs. Toutefois, la peur n’est pas bonne conseillère en matière de cybersécurité.

Ce n’est pas sur la peur qu’il faut implanter des mesures de sécurité qu’elles soient d’ordre juridique, organisationnelles ou techniques, mais sur la réalité des menaces, des risques, des exigences de sécurité, pour atteindre des objectifs de protection et de défense clairement identifiés et évalués.

D’où l’importance de définir, réaliser, tester une stratégie de sécurité et de doter les organisations des instruments de la gouvernance des cyberrisques.

En adoptant des mesures de sécurité, dans l’urgence, en réaction à la survenue d’événements traumatiques, il est probable que ces dernières soient non seulement inefficaces, mais en plus, elles risquent d’être liberticides et contraignantes.

Vol de données : un vol avec violence indirecte ?

Un vol de données n’est jamais à banaliser.

Même s’il s’agit de données considérées par certain comme peu sensibles, les informations telles que « noms, adresses, dates de naissance et numéros de téléphone mobile » servent généralement à authentifier des personnes à des fins de sécurité.

N’importe quel cyberbraquage de données personnelles, qui peuvent être valorisées et monnayées sur le marché noir de la cybercriminalité, offre des possibilités sans fin d’usurpation d’identité et d’escroquerie.

Dans le monde numérique, que les services soient payants ou gratuits, la majorité des prestataires de services ont subi des pertes de données clients (Uber a annoncé 57 millions de comptes piratés en 2017 alors qu’en 2016 par exemples, ce furent Yahoo (500 millions), LinkedIn (117 millions) et Dropbox (68 millions d’usagers), alors qu’en 2014 Ebay était concerné pour 145 millions de ses clients).

Ce bref rappel non exhaustif des cas de cyberbraquage de données clients, associé à la récente annonce du vol de données concernant 800 000 clients de Swisscom, autorise trois constats :

  • La sécurité des informations des clients est rarement une priorité pour des fournisseurs de service.
  • La logique de rationalisation économique, de profitabilité et la course aux bénéfices en rognant sur les coûts, sur l’emploi et en ignorant les besoins de sécurité et de maintenance des infrastructures, rend ces dernières vulnérables. Ce qui est de plus en plus le cas des infrastructures critiques, détenue pour la majorité d’entre elles par le secteur privé.
  • La sous-traitance, à des fins d’optimisation financière et de réduction des coûts, se paye toujours en défaut de qualité et de sécurité dont les nuisances sont à la charge du client final.

Souscrire à des abonnements ou à des services semble désormais être équivalent à donner un consentement non éclairé pour un usage abusif, détourné ou criminel de ses données.

Payer cher un service, n’est pas forcément synonyme de protection de ses données.

5 questions que posent généralement un vol des données clients

1 – Quelle est la réelle capacité d’un fournisseur à sécuriser les traitements des données qui lui sont confiées?

2 – Quelles sont les responsabilités et niveaux de transparence d’une chaîne d’acteurs impliqués dans des traitements (Qui est responsable ? Qui contrôle?)

3 – Quelles sont pénalités en cas de défaillance ? (Quels sont les incitatifs à bien protéger les données de ses clients ?)

4- Quel est le devoir d’information aux clients sur l’entière vérité à leur donner en cas de perte, de fuite, de vol de leurs données ?

5- Quelle est la valorisation d’un fichier client ? Comment l’assurer ? Comment réparer le préjudice subi par le client ?