Pratiques numériques, un risque pour les droits humains

Cette année le Forum de la gouvernance de l’Internet (IGF 2018, 12-14 novembre 2018) se tient à Paris dans les locaux de l’UNESCO, en parallèle du Forum de Paris sur la Paix qui fait suite à la commémoration du centenaire de l’armistice de la première guerre mondiale. L’Université de Genève consacre cette même période à la semaine des droits humains avec notamment un colloque académique sur « Les droits humains et le cyberespace » dans lequel j’interviens.

 

Ce que nous apprend George Orwell

En Europe nous nous habituons, à consommer du numérique, à nous exposer sur les réseaux sociaux sans trop questionner l’impact à long terme que cela peut avoir sur la préservation de nos droits fondamentaux.

Nous souscrivons à l’illusion de sécurité que peut procurer un système de surveillance présenté comme un système de protection. Certains pensent que la transparence des êtres et de leurs activités est synonyme de sécurité alors qu’en réalité cela contribue à leur aliénation dans une posture imposée par le dispositif de surveillance et à leur soumission au système. C’est ce que démontre George Orwell dans son roman « 1984 » dont la première édition a été publiée en1949 au Royaume Uni , dans lequel il nous est amené à penser que la dignité et l’intimité humaines se sont progressivement annihilées, que les liens sociaux se sont délités, que les individus se sont isolés les uns des autres du fait du contrôle invisible opéré par le « télécran », véritable système de surveillance panoptique.

L’existence de procédés de surveillance asymétriques et potentiellement liberticides inhérente à la manière dont le cyberespace et le mode de fonctionnement des services numériques ont a été conçu, autorise à penser que le slogan de G. Orwell « Big Brother is watching you » ou Big Brother est un dictateur invisible exerçant un contrôle totalitaire via un système de surveillance asymétrique, est incarné dans sa globalité par le réseau Internet.

De manière analogue ou les citoyens d’un grand nombre de villes et de pays se sont habitués à se déplacer sous l’œil des caméras de vidéosurveillance, nous intégrons sans la questionner, la surveillance qu’autorisent nos pratiques numériques. Pratiques imposées par l’informatisation massive de la société où toutes les activités traditionnelles se trouvent désormais médiées par les technologies de l’information.

La majorité des personnes ne peut plus se passer des technologies de l’information dont l’adoption a été favorisée en grande partie par des pratiques permanentes de divertissement et de consommation. Cette auto-aliénation et cet auto-assujettissement sont renforcés par le lien affectif développé par l’Internaute au regard des services consommés et de ses objets connectés. Ce qui contribue à l’empêcher de développer un regard critique sur la réalité de la surveillance dont il fait l’objet et donc de pouvoir la contester.

Un seuil a déjà été franchi il y a plus de quinze ans avec le hold-up de la vie privée et des données personnelles par les acteurs du numérique et de l’économie du numérique. En effet, la profitabilité de cette dernière s’est développée sur la base que les données des personnes sont considérées comme étant des valeurs commercialisables fournies gratuitement par les utilisateurs. L’intimité des personnes dans leur domicile est également mise à mal par l’intrusion des systèmes d’assistance vocales comme ceux proposés par Google, Amazon ou Apple par exemple. Les télévisions ou encore les jouets connectés sont également en mesure d’espionner leurs propriétaires, comme d’ailleurs le sont les montres et bijoux connectées. Ces derniers, au plus près du corps des individus sont capables d’enregistrer leur moindre mouvement ou leur fonctionnement biologique. Désormais, aucun lieu habituellement privé comme une voiture échappe à l’informatisation, ce qui a pour corolaire une surveillance automatisée.

Dès lors, dans ces conditions, comment l’Article 12 de la Déclaration universelle des droits de l’homme « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes », peut–il être respecté?

L’empreinte numérique des utilisateurs est récoltée, stockée, croisée avec celles issues d’autres sources (téléphone, caméra de vidéosurveillance, navigation web, paiement…) et traitée afin de construire des profils de consommateurs (comportements, déplacements, goûts, sentiments, transactions commerciales, consommations de média, etc.). Classer catégoriser des personnes, des groupes de personnes y associer une note, un rang, y joindre des avantages (carottes – réduction des prix, …) comme des restrictions (coups de bâton – accès refuser à des services et prestations, …) permet non seulement de mesurer les individus mais aussi de les dresser. De fait, l’expérience client de certains services ou plateformes numériques, la dépendance à ces services contribuent à rendre les utilisateurs « dociles et utiles », de les assujettir et de les discipliner.

 

Ce que nous apprend Michel Foucault

« Surveiller et Punir » est le titre de l’ouvrage de Michel Foucault dont le sous-titre est « Naissance de la prison » paru chez Gallimard en 1975. Impossible de ne pas penser que les systèmes de vidéosurveillance de plus en plus intrusifs puisque de plus en plus intelligents et omniprésents, sont les nouvelles forteresses invisibles du 21ème siècle qui emprisonnent les individus pour les « redresser », les tenir en laisse électronique, les contraindre à opter pour des comportements pas uniquement socialement acceptables, mais normés selon un système politique déterminé. Se déplacer sous l’œil permanent des caméras, c’est accepter la contrainte intériorisée d’un comportement prédéfini, c’est vivre enfermé dans « une entreprise d’orthopédie sociale » pour reprendre les termes de Foucault. Lorsque que les personnes se savent observées, leurs comportements changent. L’Europe n’est pas à l’abri de l’adoption d’un système de surveillance totale, habilement justifié avec une population prête à l’accepter où imposé par une logique de marché servant une politique de sécurité particulière supportée par des partenariats public-privés spécifiques.

 

La transformation numérique des moyens de surveillance

La transition numérique de la société concerne également la transformation des moyens de surveillance. Ceux-ci sont implicitement intégrés, non pas sous ce nom et comme tels, dans tous les services personnalisés développés à partir du phénomène de big data et de l’application de techniques d’intelligence artificielle. En effet, la collecte massive de données et les algorithmes permettent de déduire les caractéristiques physiques, psychologiques, socio-comportementales, sexuelles des personnes, etc., d’éventuellement les prédire et donc aussi de les influencer.

Le numérique favorise une double surveillance des individus celle physique et celle de leur réputation et habitudes numériques avec la possibilité de les croiser. Cela augmente la performance du dispositif de surveillance, son automatisation, son effet de dissuasion et d’autocensure ainsi que la pression sociale tout en restreignant considérablement la liberté individuelle et la prise de risque de ne pas être en conformité avec une moyenne décidée artificiellement par des algorithmes plus ou moins bien conçus et imposés par les gouvernants.

Les relations de pouvoirs entre tous les acteurs de la société et cela à l’échelle mondiale, s’appuient désormais par la maitrise des technologies de l’information et des données. Il est à craindre que certains en Europe et ailleurs dans le monde, défende leurs intérêts en favorisant une surveillance informatisée. Il suffit d’un moment opportun (attentats terroristes, problèmes économiques, immigration, …), de discours politiques convaincants, de quelques lois liberticides, d’une communication efficace pour que la population se soumette à un tel système, voire le sollicite.

Le marché existe, il est supporté par les fabricants et fournisseurs de solutions qui ne demandent qu’à vendre … L’économie du numérique est en pleine expansion, comme celle de la sécurité d’ailleurs.

De plus, la population s’habitue sans résistance, comme elle s’est habituée à l’usage à priori indolore des cartes de crédits, des paiements ou déclarations en ligne mais aussi à la publicité personnalisée. Or, la traçabilité des paiements électroniques autorise surveillance et un contrôle social. Par ailleurs, beaucoup d’incitations existent pour ne plus payer en liquide. La publicité personnalisée est une forme de surveillance à vocation initialement commerciale mais qui peut évoluer vers d’autres finalités. Ce type de détournement a été illustré par l’affaire Facebook & Cambridge Analytica.

 

Pour de nouveaux droits humains

Les droits fondamentaux ne sont pas négociables, ils doivent être protégés, préservés, défendus, exigés dans le monde physique comme dans le cyberespace. Au regard des pratiques numériques existantes et à venir il est urgent d’innover pour que les droits humains traditionnels soient respectés dans le cyberespace. Il est tout aussi urgent de reconnaitre de nouveaux droits humains liés spécifiquement aux technologies du numérique comme celui du droit à la déconnexion ou encore du droit à savoir si un humain interagit avec une intelligence artificielle.

De quelles villes numériques voulons-nous ? … et qui le décide pour nous ?

Urbanisation et mimétisme numérique

La dématérialisation, la généralisation de l’usage d’Internet, de l’informatique, des plateformes numériques, ont fait basculer la société dans une ère de changements. Changement des habitudes de faire, de communiquer, de consommer, de se déplacer, de se distraire, de travailler, de se former, ces changements marquent l’ensemble de nos relations, qu’elles soient réelles ou dématérialisées. La ville, lieu de concentration de personnes physiques et morales, et par conséquent des sources et usagers des données est concernée par l’urbanisation numérique. La ville numérique est un nouveau monde développé à partir des infrastructures informatiques et télécoms, des capteurs, des objets, des systèmes connectés. Les données irriguent ses artères virtuelles.

Pour ses citoyens, la société de tout numérique passe désormais par « l’expérience client ». Imposée par les fournisseurs de services et les plateformes numériques, elle conditionne les interactions entre les personnes et les institutions. L’économie des services numériques se développe dans une logique de mimétisme qui décline et duplique les modèles d’affaire basés sur l‘exploitation des données dont les acteurs hégémoniques du Net (GAFAM, NATU, BATX)[1] sont les maîtres.

Ce clonage des modèles déployés empêche de penser des modèles alternatifs qui pourraient mieux tenir compte des besoins de protection des données personnelles, de la préservation de l’intimité numérique, des droits fondamentaux ou encore des besoins des populations particulières.

 

Clonage et uniformisation

La transition numérique revient à « Chercher ses clés sous le lampadaire »[2] et à normer, homogénéiser, uniformiser les modes de vie, les manières d’être et de se comporter dans un monde globalisé.

Sous couvert de divertissement, d’aide à la prise de décision, ou de promesses illusoires de mieux être, les e-trucs et les smart-machins conditionnent leurs utilisateurs, forcés de consentir à leurs conditions générales, à se soumettre au pouvoir des algorithmes et par conséquent à celui de leurs fabricants et maîtres.

Comme le rappellent Natacha Polony et le comité Orwell dans l’ouvrage «Bienvenue dans le pire des mondes , le triomphe du soft totalitarisme» l’industrie du divertissement présente « une efficacité bien plus grande que n’importe quel système de coercition » [3] .

Le pouvoir de séduction et d’attraction des interfaces électroniques, associé à la force des discours idéologiques portés par les acteurs hégémoniques du Net s’appuyant sur une logique de marché néolibérale et sur le capitalisme numérique, présentent le progrès technologique comme inéluctable et indiscutable. Le slogan TINA « There is no alternative » (il n’y a pas d’autre alternative) fait écho au fait de considérer à tort, que l’évolution technologique s’inscrit dans la thérorie de l’évolution des espèces et de la sélection naturelle soutenue par C. Darwin au XIXe siècle[4].

Dans sa publication de 1943 le psychologue américain Abraham Maslow “A Theory of Human Motivation”[5] structurait en cinq niveaux les besoins fondamentaux des individus et les représentaient selon une pyramide. Désormais, les individus comme les institutions publiques et privées sont devenus dépendants d’Internet et des systèmes d’information pour la satisfaction de leurs besoins. A chaque instant de leur vie les personnes, parfois dès leur plus jeune âge, dépendent des infrastructures numériques et des fournisseurs de services pour vivre leurs vies professionnelle et personnelle. Besoins réels ou induits par ces mêmes fournisseurs qui proposent de les combler.

 

L’individu constitue une source de minerai informationnel

Toutes les activités informatiques traitent des données et laissent des traces numériques. Celles-ci sont fournies directement par les utilisateurs (contenu d’un message, d’une requête, …) et récupérées indirectement à partir de l’usage des services numériques (il s’agit de métadonnées comme celles relatives au type de système utilisé, à l’heure de connexion, à la localisation géographique de l’utilisateur, …).

Toutes ces données sont complétées par celles provenant de leurs traitements informatiques. Ce sont des données fabriquées par des algorithmes, qui permettent généralement, un profilage des personnes selon des analyses et critères propres aux fournisseurs de services. Cela peut notamment inclure des analyses relatives aux comportements, goûts, sentiments, achats, etc., via des inférences mathématiques et des croisements de données.

Le volume des données « cachées », qui ne sont pas livrées consciemment par un individu, représenteraient environ 80 % de la masse de données le concernant.

 

Un seul horizon : celui de l’exploitation et du commerce de la donnée

Les données créées à partir des données de l’utilisateur et de ses métadonnées sont à la base de la profitabilité de la majorité des intermédiaires techniques et des fournisseurs de prestations.

Toutes les entreprises, dans tous les secteurs d’activité en relation directe ou indirecte avec les individus, dès lors qu’elles traitent des données personnelles, sont concernées. Elles peuvent devenir, par opportunité ou par nécessité, des acteurs du commerce de la donnée.

Par exemple, en France, le géant de la distribution Casino, avec sa plateforme RelevanC dont le slogan de la page d’accueil est « Bienvennue dans l’ère de la pertinence » nous informe que « relevanC collecte et analyse chaque jour ; Des millions de transactions en magasin ; Des millions de transactions en ligne ; Des millions d’usages digitaux et mobiles ».

C’est plus de 50 millions de profils de consommateurs qui sont concernés et dont l’observation est rendue possible par le croisement des données des 10 000 magasins en France (hybermarchés Géant, Casino de proximité, Franprix, Monoprix et Leader Price) et des comportements des internautes via le site Cdiscount. La plateforme a pour ambition de mutualiser les données des consommateurs d’autres marques comme Courir ou Gosport par exemple.

Le commerce de la donnée est en pleine expansion, la protection des données personnelles tente de mettre un frein à des possibilités commerciales sans limites. Comme la profitabilité des « vendeurs de données » est corrélée à la qualité des profils constitués (pertinence, véracité, précision, qualité des données récoltées), il leur est fondamental de pouvoir croiser les données à partir de multiples sources et applications et de maintenir l’internaute connecté en permanence ou sous surveillance physique. Désormais il est possible dans des lieux publics (aéroports, centres commerciaux, …) de relier l’identification d’un smartphone (possible grâce à l’usage du WiFi), à une personne se déplaçant dans une zone de vidéo surveillance.

Google développe le moteur de recherche Dragonfly, pour la téléphonie mobile en Chine, qui permet de lier les requêtes de navigation d’une personne à son numéro de téléphone afin de renforcer la surveillance, le contrôle et la censure par les autorités chinoises. Ce pourait-il que ce modèle puisse être adapté et adopté par le reste du monde ?

Associé aux possibilités de l’intelligence artificielle, de l’informatique prédictive et avec l’apport des sciences cognitives et comportementales, il n’est pas incongru de penser que les entités qui maitrisent les données et leurs traitements sont ou seront bientôt en mesure de prévoir, de manipuler et d’orienter les déplacements, les opinions, les décisions, les actions des personnes qui sont connectées en permanence à leurs services.

Poussé à l’extrême avec ce type de systèmes, il pourrait ne plus être nécessaire de voter puisque nos moindres désirs, déplacements, actions, sentiments, seront sous contrôle et orientés. Initiatives, référendum, revendications, appartiendront au passé, il ne sera plus possible d’agir en dehors de la matrice… une transparence totale et totalitaire sans possibilité de surveiller le surveillant, de contrôler les entités qui contrôlent est en train de se mettre en place sous couvert de services personnalisés et d’optimisation de l’usage des ressources (transport, énergie, santé, …).

 

Pour le meilleur de la transformation numérique et sans le pire

Bien que de véritables opportunités pour le développement économique et personnel, existent autour de l’usage du numérique, il n’empêche que la dépendance à des infrastructures et à des fournisseurs de services informatiques, par ailleurs très énergivores, autorise la surveillance de masse et le contrôle social. De plus, les possibilités d’usages abusifs, détournés ou criminels des données, services et infrastructures, sont infinies. L’envergure des cybernuisances est large, leurs impacts sur la société bien réels.

Même si le numérique permet d’offrir de nouveaux services, le progrès technologique est rarement synonyme de progrès social pour tous.

« Voir sans être vu » est un projet politique, économique et techno-idéologique s’inscrivant dans une logique de pouvoir et de puissance sans limite. L’exemple de la Chine nous montre que cela est possible comme avec le système de crédit social pour surveiller la population.

Ici déjà, les caméras de vidéosurveillance omniprésentes dans les leux publics, procurent une illusion de sécurité et une surveillance bien réelle.

Par ailleurs, Apple vient d’annoncer un système d’évaluation et de notation relatif au comportement des usages de iPhone, iPad, Apple Watch et Apple TV, dont la finalité est de contribuer à prévenir des fraudes relatives au e-commerce.

Souhaite-t-on un modèle de société technologique de surveillance totale à la chinoise ?

 

Pour une ville intelligente de confiance

Comment sont pris en compte les besoins de protection des données personnelles dans des applications comme celles :

  • de suivi des déplacements pour l’optimisation du trafic ;
  • d’analyse des comportements pour gérer la consommation électrique (comme avec le compteur Linky en France qui fait l’objet d’un rejet de la population) ;
  • de pilotage des objets connectés (comme les vélos en libre-service) ?

A ce jour, peu de services sont conçus en privilégiant le respect de la sphère privée (« privacy by design »), c’est-à-dire en assurant une sécurité renforcée des données de l’utilisateur, en minimisant la collecte de données, et en vérifiant que ces dernières ne sont pas détournées.

Existe-t-il une obligation pour prendre en compte ces préoccupations et pour vérifier que les produits commercialisés satisfont le respect ces droits humains fondamentaux ?

 

Injonction d’innovation

L’injonction d’innovation technologique s’inscrit dans une logique d’optimisation et de rationalisation économiques basées sur l’exploitation des données captées gratuitement (mais dont le coût est porté par l’utilisateur via notamment l’achat de son objet connecté (téléphone, montre, ordinateur, …) et son abonnement télécom et par le temps passé à produire des données. Dans les lieux publics, le coût du WiFi « gratuit » est à la charge de la société c’est-à-dire du service public tandis que les bénéfices de la connectivité sont généralement pour le secteur privé qui en maitrise les usages.

L’économie de la donnée a fait place à l’économie de l’attention avec une informatique toujours plus « affective » qui permet de pister en permanence les goûts, les sentiments, les envies, les déplacements et les actions. Le maillage et les croisements des données que permettent une ville intelligente sont sans limite.

Est-ce qu’un instrument juridique comme Le Règlement Général sur la Protection des Données (RGPD) qui est le résultat de la prise de conscience par le régulateur européen de la nécessité d’agir sera suffisant pour développer une ville intelligente de confiance, et où il fait bon vivre ensemble ?

 

Quel projet de société pour la ville numérique ?

Une ville numérique ne peut se résumer à la somme des initiatives qui permettent de contrôler et d’optimiser des flux et des ressources. Ce ne sont pas ces types d’applications ou celles ayant pour finalité la sécurité comme celle par exemple de police prédictive, qui peuvent engendrer du progrès social et un meilleur bien être pour tous.

Même les vaches peuvent être connectées, pour autant sont –elles plus heureuses sachant que la technologie est pensée pour améliorer la vie des éleveurs, pour qu’elles produisent plus de lait ou encore éventuellement un lait de meilleure qualité ? Qu’en pensent les vaches ? Si le numérique a pour finalité de mieux les traire et de les exploiter, est-ce vraiment à leur avantage ?

Un modèle de ville basée sur une économie numérique dans laquelle le citoyen est un client, tout en étant de fait, l’employé non rémunéré de plateformes dont ses activités dépendent, est-il pertinent ?

Est-il raisonnable de penser qu’une ville, un marché, une place de jeu pour enfants puissent être conçues comme un quartier d’affaires et gérées comme une entreprise ?

L’informatisation des entreprises consiste pour l’essentiel à automatiser des processus. Beaucoup d’entreprises investissent dans le numérique pour se passer de leurs employés. Appliquée aux villes intelligentes, cette logique conduira à leur déshumanisation.

Dans une ville optimisée technologiquement, que faire des personnes allergiqueséfractaires, inaptes au numérique ?

Y aura – t- il une place quelque part pour les migrants du numérique, pour ceux qui ont une phobie du mobile ou qui souffrent d’addiction numérique et de surmenage digital (digital intox)?

« L’homme est né libre et partout il est dans les fers » nous rappelait au siècle des Lumières, Jean-Jacques Rousseau dans son « Contrat social ». Peut-être est-il temps de ne pas oublier que dans son ouvrage, le citoyen de Genève invitait les hommes à être vigilants « Tant qu’un peuple est contraint d’obéir et qu’il obéit, il fait bien ; sitôt qu’il peut secouer le joug et qu’il le secoue, il fait encore mieux. »

L’immense potentiel du numérique confirme l’importance à accorder à la transformation numérique de la société et celle à donner à la conception et à la gestion des villes dites intelligentes dès lors que leur population doit être connectée pour y vivre.

Partout dans le monde, des groupes de réflexions s’interrogent sur linformatisation du monde et son devenir au regard des évoutions technologiques. Ainsi par exemple, le Center for Humane Technology propose des axes de réflexions et des alternatives possibles pour reprendre le contrôle de notre destin en partant du principe que le problème fondamental du développement de la société est lié au fait que notre société a été piratée par la technologie « Our society is being hijacked by technology ».

 

En route vers des erreurs exemplaires ?

Dans un monde hyperconnecté et interdépendant, quel est donc le nouveau contrat social qui permettrait d’avoir foi dans un futur de qualité ?

Qu’elles sont les initiatives à prendre et les actions à poser pour que plus tard, des historiens ou anthropologues, à moins que cela soient des archéologues du numérique, ne puissent penser :

  • que notre époque a sous-estimé les risques associés à l’usage extensif du numérique ;
  • qu’elle n’a pas anticipé la perte de souveraineté des personnes et des institutions ;
  • que le politique s’est plus focalisé sur de la gestion quotidienne du court terme au détriment d’une vision stratégique à plus long terme.

Sommes-nous en mesure d’orienter les choix stratégiques et technologiques afin que les générations futures ne nous bannissent pas pour les choix opérés qui seront pour eux des erreurs exemplaires ? Cela en ayant notamment créé de nouveaux modes de dépendances à des technologies et à leurs fournisseurs. Dépendances, qui valorisent le dialogue avec des objets connectés au détriment des interactions entre personnes non médiées par de la technologie.

 

[1]GAFAM pour Google Amazon, Facebook, Apple, Microsoft (USA)

NATU pour Netfix, Airbnb, Telsa, Uber (USA)

BATX pour Baidu, Alibaba, Tencent et Xiaomi (Chine)

[2] Jean-Paul Fitoussi, Le théorème du lampadaire ; Les Liens qui libèrent, 2013.

[3] Natacha Polony & Le comité Orwell, «Bienvenue dans le pire des mondes , le triomphe du soft totalitarisme » ; Editions Plon, 2016 (p.23 Editions J’ai lu, 2018)

[4] C. Darwin ; « L’origine des espèces » 1859.

[5] Maslow, A. H. (1943). A theory of human motivation. Psychological Review, 50(4), 370-396.

Souveraineté numérique et dématérialisation au Congo-Brazzaville

Transformation numérique

 

J’ai commencé à écrire ce billet à Pointe Noire au Congo où je suis intervenue dans le premier Forum numérique organisé autour de la dématérialisation et la gouvernance électronique, par le Guichet Unique des Opérations Transfrontalières (GUOT) (10-12 septembre 2018).

Porté par une organisation en charge des échanges commerciaux par voies maritime, fluviale, aériennes et terrestres, ce forum a traité des enjeux stratégiques de la transformation numérique sur le continent africain et en particulier au Congo Brazzaville. Des présentations, retours d’expériences et discussions relatives au droit et à son application, aux développement des infrastructures et des capacités humaines, à la cybersécurité, à la lutte contre la cybercriminalité, aux aspects techniques, organisationnels, procéduraux et financiers du commerce électronique et de la e-administration ont structurés ces trois journées de rencontre.

Experts et participants de grande qualité provenant des pays africains francophones mais aussi de Belgique et de Suisse ont eu l’occasion d’interagir avec les membres et représentants du gouvernement congolais. Plusieurs ministres ont marqué leur intérêt par leur présence prolongée et leur participation aux débats. Ainsi, il fut possible d’entendre le point de vue des des ministres de la Communication et des médias, porte-parole du Gouvernement, de la Justice, des droits humains et de la promotion des peuples autochtones, de la Santé et de la population et du ministre des Postes, des télécommunications et de l’économie numérique, lors d’une table ronde ministérielle animée par le directeur des informations à la télévision nationale congolaise.

Six piliers fondamentaux de la souveraineté numérique

 

Les thèmes abordés tout au long de ce Forum de la gouvernance numérique concernent également les problématiques liées à la souveraineté numérique, comme exprimé par l’Organisation Internationale de la Francophonie à Genève en décembre 2017, en référence aux piliers fondamentaux de la souveraineté numérique qui ont été définis de la manière suivante:

  • Pilier 1 : innovation et industrie numérique
  • Pilier 2 : sécurité et protection de données (infrastructure, donnée, cyberattaque et cybermenace)
  • Pilier 3 : citoyenneté et éthique numérique (comportement/usage et responsabilité)
  • Pilier 4 : régulation /réglementation
  • Pilier 5 : production et contenus locaux
  • Pilier 6 : inclusion et renforcement de capacités des femmes et des jeunes (femmes, actrices du numérique).

A Pointe Noire, il a été identifié des besoins de trouver des solutions convaincantes pour assurer une transformation numérique du pays, qui tient compte des besoins spécifiques du Congo et des retours d’expériences effectués au niveau régional et international afin d’optimiser la démarche.

Parmi les points importants abordés qui doivent faire l’objet d’attentions particulières et de réalisations concrètes, il a été retenu les suivants :

  • L’économie de la donnée avec la maîtrise du cycle de vie de la donnée (production, collecte, traitement, stockage et exploitation) ;
  • La création de valeurs et le développement économique via le numérique et l’innovation technologique ;
  • La gouvernance pour une souveraineté numérique ;
  • Le financement de l’économie numérique (fiscalité et financements alternatifs, etc.) ;
  • Le développement des infrastructures techniques et des services électroniques adaptés aux besoins de la population notamment pour ce qui concerne les applications administratives (e-administration) ;
  • La construction des capacités humaines (éducation, sensibilisation de la population, formation continue) notamment pour ce qui concerne les jeunes et les femmes ;
  • Le respect des droits humains, de la vie privée, de l’intimité numérique, libertés et autodétermination informationnelle ;
  • L’identité numérique ;
  • La cybersécurité ;
  • La lutte contre la cybercriminalité ;
  • Le droit, la réglementation et la régulation du numérique ;
  • La problématique de mise en place des structures organisationnelles adaptées aux besoins ;
  • L’écosystème numérique global qui intègre l’infrastructure énergétique nécessaire à son bon fonctionnement.

 

Partout dans le monde, s’ouvrent des débats qui questionnent la notion de souveraineté des pays et qui interrogent sur les stratégies, plans d’actions, ressources et compétences nécessaires à la réussite des changements de société consécutifs à la dématérialisation et de l’usage des technologies du numérique.

 

“Le bâton que tu possèdes détermine le serpent que tu peux tuer »

 

Ce dicton africain rappelle la réalité du monde hyperconnecté et interdépendant et celle de l’économie du numérique dominée par des acteurs hégémoniques, réalités qui nous contraignent à trouver des espaces de liberté et d’actions possibles afin de donner un minimum de sens à la notion de souveraineté, d’autonomie et d’indépendance.

 

Cybersécurité et illettrisme numérique

Les défis de la protection du patrimoine numérique

Les infrastructures numériques, les services offerts, les processus supportés comme les informations manipulées, constituent désormais le capital informationnel de L’État, des organisations et des personnes. Nouvelle valeur de société, l’information digitale, qu’elle soit générée et manipulée à des fins professionnelles ou privées, est fragile et vulnérable. À l’heure du « tout numérique », la société se fragilise tous les jours un peu plus par une dépendance croissante à des fournisseurs, à des technologies et services difficilement maitrisables, mais aussi du fait de l’existence de vulnérabilités des infrastructures numériques et de la réalité des actions malveillantes.

Le Pays doit relever entre autres, le défi de la protection de ses patrimoines numériques, non seulement au sein de ses frontières géographiques traditionnelles, mais également dans le cyberespace du fait de l’usage d’Internet, des équipements électroniques et objets connectés ou encore des services de l’informatique en nuage (cloud computing). Outre la question transversale de la cybersécurité, le défi est celui de savoir comment assurer la souveraineté d’un pays dans un contexte d’une « société monde » hyperconnectée aux multiples interdépendances. Cette question ne peut pas être dissociée de celle relevant de la capacité à développer un Internet ouvert, libre, fiable et sûr. Dès lors, comment contribuer à atteindre ces objectifs ?

 

Un environnement complexe

Dans un contexte de crise économique exacerbée qui s’inscrit dans un environnement complexe de tensions géopolitiques, les valeurs informationnelles doivent être protégées et assurées à hauteur des risques qu’elles engendrent. La cybercriminalité, constitue un facteur additionnel de risques qui sont désormais structurels et permanents. Les impacts de ces risques sont à supporter par la société dans son intégralité au détriment du développement économique des acteurs légitimes.

De la PME à la multinationale, quelle que soit sa taille ou son secteur d’activité, toute entreprise est exposée aux cyberrisques. Elle doit faire face à de nombreuses menaces qu’elles soient d’origine interne ou externe, issues de conflictualités, de la concurrence économique, de la malveillance ou encore d’erreurs de conception, de gestion ou d’utilisation par exemple.

La maîtrise des cyberrisques devient une préoccupation majeure des organisations qui doivent faire face à divers enjeux : la transformation numérique, l’externalisation vers le cloud, la mobilité, les conséquences d’interruption de réseaux informatiques, la protection des données structurées et non structurées. Parmi les cyberattaques pouvant nuire aux intérêts économiques d’une organisation, il ne faut pas sous-estimer les impacts dus à :

  • des pertes d’actifs intangibles (réputation, propriété intellectuelle) ;
  • des actions relevant de l’ingérence économique (surveillance, espionnage, sabotage, terrorisme, chantage, extorsion) ;
  • des pertes d’opportunités.

Une bonne connaissance des mécanismes de l’ingérence économique au regard des facilités offertes par le monde numérique, contribue au maintien des avantages concurrentiels des organisations. Ce qui contribue à une protection adaptée du capital scientifique, technique, économique et industriel du Pays et à la bonne santé de la place économique, mais cette connaissance évolue très vite, au grès des technologies, et requiert constamment de nouveaux investissements dont le coût est difficile à évaluer.

 

Une nécessaire émancipation numérique

Aujourd’hui, la performance économique d’un pays dépend dans une large mesure du bon fonctionnement de son écosystème numérique et de sa cybersécurité. S’approprier le numérique pour un développement durable de la société passe par une certaine émancipation au regard des dépendances numériques, mais aussi par la maitrise :

  • des infrastructures de base, des ressources critiques de l’Internet et de la sécurité, (y compris la sécurité énergétique;)
  • des données en vue de développer la nouvelle génération des services et des équipements basés sur l’intelligence artificielle ;
  • de l’innovation transformable en progrès social ;
  • des problématiques de financement et de fiscalité de l’économie du numérique ainsi que de des transactions s’appuyant de plus en plus sur des modes de paiement sur lesquels les Etats tendent à perdre le contrôle (cryptomonnaies, …) ;
  • de l’éducation et de l’accompagnement des évolutions technologiques pour transformer ces dernières en progrès social pour tous.

 

Lutter contre l’illettrisme numérique

 Tout cela présuppose au-delà de la prise de conscience des enjeux et besoins des ruptures technologiques, une volonté d’agir, une certaine vision et culture du numérique qui refuse la cécité des menaces et des risques. Cela repose sur le partage d’information et la mise à disposition des connaissances nécessaires à la construction des compétences dans les disciplines relatives à la politique, à l’économie, au management, à la sociologie, au droit et à la technologie. Construire les capacités nécessaires à l’adoption de comportements responsables dans le cyberespace et le monde réel, qui s’appuient sur des mesures de prévention, de protection et de défense est une nécessité. Cela contribue globalement à une meilleure cybersécurité, à renforcer la résilience et à lutter contre les cybermenaces.

Lutter contre l’illettrisme numérique ou contre les différentes formes de domination culturelles et économiques ne suffit pas. Aujourd’hui, force est de reconnaitre que les champions mondiaux de l’économie du numérique ne sont ni suisses, ni européens, encore moins francophones. De plus, les individus ne sont pas en mesure d’être dans un état d’auto-détermination informationnelle ni en mesure par exemple, d’imaginer l’avenir du travail.

Apprendre à coder, c’est-à-dire à écrire des programmes informatiques, comme on apprend à ânonner une langue étrangère, est de peu d’utilité. L’apprentissage de la technique informatique doit être, entre autre et par exemple, accompagné par un enseignement de l’éthique et de la philosophie. Décoder ce qui se passe derrière l’écran est tout aussi primordial, voire plus important que d’apprendre à coder ou d’apprendre à utiliser un équipement informatique. Seule une éducation de qualité, qui traite également des défis et des conséquences de la numérisation, peut contribuer à éviter des aliénations et addictions numériques, que l’humain ne soit pas au service de la machine et du réseau et, in fine, dépossédé de ses capacités mentales, émotionnelles ou cognitives ou ni ne devienne un mercenaire- hacker.

 

La société civile est au bout de la chaine alimentaire du numérique

En fait la société civile est au bout de la chaine alimentaire du numérique. Elle espère que l’Etat continue à être le garant de la protection de ses citoyens et qu’il contribue à assurer la juste balance des intérêts de toutes les parties prenantes. Or le temps du politique n’est pas celui du business. Force est de constater que les pansements aux maux générés par le numérique ne sont généralement pas fournis par l’État, mais par les acteurs hégémoniques du Net. Ces derniers, comme les organisations criminelles d’ailleurs pour d’autres motivations et par d’autres moyens, occupent tout l’espace laissé libre par la lenteur de l’action politique au niveau national et international. Lenteur souvent amplifiée par l’incompréhension des politiques pour les enjeux, les menaces et les risques du fait notamment, de la complexité, de l’envergure et de la dynamique du problème.

Est-ce possible d’externaliser sa cybersécurité ?

Externaliser (outsourcer en bon franglais) signifie de confier à un tiers la réalisation de tout ou partie des traitements informatiques nécessaire à la réalisation des objectifs d’une organisation. Certains fournisseurs d’infrastructures et de services en nuage (cloud) peuvent apporter une réponse globale au besoin d’informatisation des organisations et offrir des prestations techniques qui intègrent des éléments de la sécurité informatique et de celle des réseaux de télécommunication.

S’il est désormais courant de penser à la sécurité informatique d’une organisation en terme de cybersécurité, englobant de ce fait toutes les dimensions de la sécurité physique et logique des infrastructures numériques, des systèmes d’information et de l’information, cela correspond en fait au besoin de pouvoir maitriser les risques générés par l’usage des technologies numériques.

Au regard de la complexité et des ressources que nécessite la mise en place d’un processus continu de gouvernance des risques et de la sécurité, certaines entreprises choisissent d’externaliser cette fonction. Pour autant, peuvent-elles, doivent-elles tout externaliser et ce faisant externalisent-elles aussi leur responsabilité ?

 

Est-ce que la dépendance à un fournisseur n’introduit pas un nouveau risque de sécurité ?

Les conséquences des risques induits par l’informatique sont toujours à la charge de l’organisation qui dépend du bon fonctionnement, de la disponibilité, de l’intégrité des ressources et des infrastructures informationnelles et parfois de la nécessaire confidentialité de ses données. Si en amont d’un processus d’externalisation, l’institution n’a pas été en mesure d’assurer un niveau de cybersécurité cohérent au regard de ses actifs informationnels et des menaces qui peuvent les mettre à mal, comment peut-elle être en mesure de garantir la sécurité de son patrimoine informationnel en dehors de son périmètre ?

Quel est son niveau de sécurité avant le passage au Cloud ? Ce qui revient à se poser d’autres questions : Comment sont protégés les actifs à l’intérieur de l’organisation ? Comment le seront –ils hors du contrôle de celle-ci ? Est-ce que le fournisseur de cloud peut résoudre tous les problèmes de sécurité ? Sachant que ces derniers peuvent être augmentés par des accès à distance de l’infrastructure qui peut même être localisée dans un autre pays ? Est-ce que le passage au cloud ne va pas favoriser des mécanismes parallèles d’usage d’outils informatiques non contrôlés (shadow IT) ? Comment s’assurer que les clauses contractuelles ne soient pas préjudiciables au contrôle de la maitrise de la sécurité par un fournisseur ? Quelles sont les garanties sur le lieu d’hébergement des données et de transit, sur la manière dont les données sont exploitées, traitées et maintenues ? Peut –il y avoir de l’outsourcing de l’outsourcing, quelle est alors la chaine de responsabilité ? Comment la sécurité est réalisée (quel chiffrement, qui maîtrise les clés de chiffrement, comment les mises à jour de sécurité sont effectuées, … ?), maintenues, auditées, vérifiées et optimisées ?

 

La confiance se bâtit sur des faits et des clauses contractuelles

S’il peut paraître aisé de démontrer un avantage économique à court terme de passer à une solution Cloud, qu’en est-il sur le long terme ? La vigilance est requise notamment pour ce qui concerne des offres globales « package tout en un », bien évaluer ce qui est réellement proposé est incontournable. Il ne suffit pas de se fier uniquement à l’expérience d’un prestataire ou au nombre de ses clients. La confiance est essentielle, elle se bâtit sur des faits et des clauses contractuelles. Par ailleurs, les experts sécurité qualifiés ne sont pas légion, certaines entreprises n’hésitent pas à étiqueter comme experts de jeunes diplômés sans expérience (qui construisent leurs compétences sur le dos des clients) ou recourent à des experts auto-proclamés. Le marché s’arrache les personnes d’expérience, leur nombre est limité.

 

L’outsourcing n’est pas synonyme de déresponsabilisation

L’entreprise qui externalise son infrastructure IT peut avoir tendance à penser que la sécurité informatique n’est plus son problème. Cela serait oublier le fait que d’externaliser n’est pas synonyme de se défaire de ses responsabilités envers notamment les données de ses clients. Les risques de perte de disponibilité, d’intégrité ou de celle de confidentialité, occasionnés par un défaut de sécurité lors de traitements informatiques à l’interne de l’organisation existent toujours. Elle n’est pas à l‘abri de fraudes, d’escroqueries, d’actions d’ingénierie sociale, de fuites ou de compromission de ses données par exemple.

L’organisation, quels que soient son type (commerciale, hospitalière, gouvernementale…) et sa taille, ne peut pas se défausser de sa responsabilité de développer en interne une culture de la cybersécurité, de sensibiliser et de former tous les acteurs qui interagissent avec des systèmes d’information, même s’ils sont hébergés dans des clouds externes.

Plus rares sont les institutions qui ont compris les risques de sécurité inhérents à la phase de migration vers le cloud. Comment sont-ils pris en compte lors de la phase de migration, qui est responsable, qui en supporte les coûts cachés? La transition vers une externalisation de l’infrastructure et des services nécessite une préparation minutieuse sans oublier de vérifier la résilience et la sécurité de l’infrastructure du réseau local. Or cet aspect est généralement passé sous silence par les fournisseurs de cloud, cela augmenterait le coût de leur offre et est rarement exprimé correctement dans des appels d’offres.

 

Confiance, confort et stratégie

L’informatique d’une organisation dont le niveau de sécurité est adapté aux risques que celle-ci encourt, permet la réalisation de toutes ses tâches et missions avec un certain niveau de confiance et de confort.

La sécurité informatique est stratégique dans le sens où elle dépend de la stratégie d’une organisation et aussi parce qu’elle nécessite une vision stratégique qui tient compte des dimensions politique, économique, organisationnelle, humaine, juridique et technologique du contexte dans lequel évolue l’institution. Avoir une cybersécurité défaillante n’est pas une option pour la compétitivité et la survie d’une organisation, cela est amplifié si l’organisation en question est une infrastructure vitale comme peut l’être un hôpital, il en va de sa réputation (quid d’une fuite de données des dossiers et secrets médicaux ?) mais surtout de la sécurité et de la survie des patients eux-même (quid de cyberattaques portant atteintes à la disponibilité et à l’intégrité des dossiers médicaux, à celles des ressources informatiques nécessaires à bon fonctionnement de la structure hospitalière (chaine d’approvisionnement logistique, systèmes de santé connectée, d’aide à la prise de décision, à la médecine de précision, …)) ?

Pourquoi en cybersécurité, l’éthique ne suffit pas

Qu’est-ce que l’éthique ?

Le dictionnaire nous rappelle que « l’éthique est la science de la morale». La morale est une notion sujette à de multiples interprétations. Elle est propre à un milieu, à une culture, à une époque, à des mœurs ou encore à un groupe de personnes. L’éthique est un concept de portée locale, dans une temporalité définie. C’est un concept élastique dans le temps et dans l’espace qui contribue à effectuer des jugements d’appréciation d’actions ou de comportements comme étant bons ou mauvais.

Peut-on apprécier des qualités morales des acteurs qui conçoivent, mettent en place, gèrent ou utilisent les systèmes et services informatiques ? Est-ce que ce sont des principes relevant de la morale qui leurs permettent d’être en mesure d’assurer que des critères techniques de base de la sécurité informatique, que sont la disponibilité, l’intégrité et la confidentialité, sont effectifs et cela tout en respectant les droits humains fondamentaux, pour un développement durable de la société ? Est-il possible d’attribuer des critères relevant de l’éthique, à des solutions, à des mesures, à des procédures de cyberéscurité ? Peut-on attester de la moralité d’un produit ?

 

Existe-t-il une cyberéthique ?

A l’instar des comités de bioéthique, existe-t-il-des comités d’éthique de la cybersécurité, des comités de cyberéthique ? Qui a autorité pour les constituer ? Quels en sont les membres ? Quels sont leurs pouvoir, leurs champs d’application et de compétence ? Qui les reconnait ? Serait-ce un comité purement consultatif ou pourrait-il avoir un pouvoir de coercition ? Autant d’interrogations qui à ce jour n’ont pas de réponse.

Que cela concerne l’éthique de la cybersécurité ou celle de l’intelligence artificielle, une question fondamentale, en amont de toutes les précédentes, est sans doute de savoir comment déterminer ce qui éthique ou non et au regard de quelles valeurs, de quelle morale, de quelles mœurs ou de quels référentiels existants et éventuellement futurs ?

Le numérique bouleverse déjà nos valeurs et repères traditionnels. Pour ne prendre que quelques exemples, pensons à l’exposition permanente de la vie privée dont certains acteurs hégémoniques du Net, qui ont construit leur puissance sur l’exploitation des données personnelles, assurent que la fin de la vie privée est normale et que la non intimité numérique est une nouvelle valeur du 21ème siècle. Cela peut également s’appliquer à la surveillance de masse, aux filatures numériques, à la traçabilité des actions et comportements médiées par les technologies de l’information, à l’usage des réseaux sociaux. Ces nouveaux possibles sont en passe de devenir de nouvelles normes sociales qui instaurent par exemple, comme étant suspectes, des personnes qui n’ont pas d’empreinte numérique.

Notre système de valeurs se transforment progressivement sous l’impulsion notamment de la mondialisation, de la révolution numérique, de la prépondérance des valeurs issues du monde de l’économie et de la finance.

Jusque-là très largement issue de notre culture judéo-chrétienne et de notre héritage greco-latin, l’éthique (êthikos en grec «qui concerne les mœurs morales », mot dérivé de êthos « manière d’être habituelle), se rattache à une racine indoeuropéenne. Notre manière d’être habituelle se trouve de plus en plus confrontée à des valeurs originaires d’autres cultures comme celles provenant d’Extrême ou du Moyen-Orient par exemple. Elle est également influencée par des comportements matérialistes et consuméristes, des logiques économiques (croissance infinie, capitalisme, libéralisme, …), des logiques identitaires (nationalisme, communautarisme,…). Ces différents systèmes de valeurs sont en concurrence, voire en tension ou en contradiction. Peuvent-ils coexister, se transformer ? Quel sera le système de valeur prédominant des nouvelles générations ? Est-t-il possible de tenir compte de toutes les valeurs humaines ?

 

Ethicalwashing

La notion d’éthique peut échapper aux principes philosophiques ou moraux traditionnels de notre culture européenne, pour ne refléter qu’une version commerciale de celle-ci. Le néologisme d’ethicalwashing, construit par analogie à celui du « green washing » désigne la récupération marketing du concept d’éthique afin de promouvoir une image « éthique » d’une organisation à des fins de profitabilité. En effet, l’éthique est plus souvent invoquée comme slogan publicitaire, une sorte de label « responsable » auto-attribué, que pour désigner un comportement respectueux de valeurs. Valeurs qui, dans le cyberespace, n’ont pas encore été définies, négociées et reconnues par les acteurs du numérique, organisations privées et publiques, par la société civile et les internautes. Ces derniers se trouvent être au bout de la chaine alimentaire de l’écosystème numérique. Force est de constater que ce sont les acteurs les plus puissants qui sont en mesure d’imposer leur vision du monde, en fonction de leurs intérêts et de leur histoire, histoire toujours écrite par les vainqueurs.

 

L’éthique n’est pas contraignante

L’humain peut être un vecteur de sécurité à condition qu’il respecte une certaine éthique compatible avec les exigences de sécurité de l’environnement dans lequel il opère. Le problème majeur de l’éthique appliquée au monde Cyber, est que le concept qu’il recouvre n’est pas reconnu de manière universelle et unique. L ’éthique n’est pas une loi à respecter dont la conformité peut être vérifiée et son non-respect dénoncé auprès des autorités.

En matière d’éthique, la bonne volonté des « gentils » n’est pas suffisante comme nous le rappel Woody Allen, « Les méchants ont sans doute compris quelque chose que les bons ignorent ». Les « méchants » ne jouent pas collectifs, produire du bien commun n’est pas leur priorité, assumer le coût de la cybersécurité au bénéfice de tous, ne fait pas partie de leurs objectifs.

Le phénomène de la cybercriminalité, qui ne cesse de prendre de l’ampleur depuis plusieurs années déjà, en témoigne. Ce n’est pas l’éthique qui dissuade les acteurs malveillants ou qui prévient et protège des cyberattaques. Même si les criminels peuvent éventuellement suivre des principes et des règles de conduites propre à leur milieu et qui pourraient s’apparenter à une certaine déontologie, ce n’est ni l’éthique, ni la religion d’ailleurs, qui mettent un frein à leurs comportements criminels.

 

L’éthique comme vecteur d’éducation à la responsabilité numérique

Pertinemment établie, formulée et présentée, l’éthique permet de faire prendre conscience des rôles et devoirs de chacun en matière de comportement responsable, y compris au travers du cyberespace et des activités en ligne. L’éthique peut ainsi être un fabuleux outil de sensibilisation des acteurs étatiques et non – étatiques et des individus.

L’éthique, c’est comme la confiance, elle doit pouvoir se construire et se vérifier. De plus, les cas « d’abus d’éthique » doivent pouvoir être dénoncés lorsque le concept est détourné, contourné ou bafoué. Or la confiance dans l’éthique des membres de l’écosystème numérique s’appuie généralement sur leur réputation et non sur des critères objectifs de contrôle et de vérification de la qualité de leur posture éthique sur l’ensemble de leurs activités. Cela peut générer un faux sentiment de confiance préjudiciable à la société et ouvrir la porte à des pratiques sans limites et non répréhensibles.

 

La cyberéthique : une question de philosophie politique ?

Sommes-nous en mesure de relever le défi de distinguer le bien, le juste, le bien vivre ensemble dans le monde physique et dans le cyberespace ? Sommes-nous en mesure de définir une éthique privée et publique, appliquée et appliquable au cyberespace ? Il est permis d’en douter s’il est fait référence au nombre de problèmes soulevés par la gouvernance mondiale de l’Internet qui n’ont pas encore trouvés de réponses convaincantes.

Les ruptures technologiques ne s’opposent pas au besoin continu d’exigence de protection et de respect des droits humains fondamentaux.

Plus que jamais, il est urgent de réaffirmer les valeurs relatives à la dignité humaine, au libre consentement, à la liberté de penser et de se déplacer, à la fraternité. Peut-être serait-il temps de penser le monde Cyber en termes de coresponsabilité et de paix. Innovons pour que des valeurs telles que celles d’empathie, de tolérance, de prudence, de non-violence puisse s’exprimer via le numérique. Innovons pour que les droits humains traditionnels soient respectés et que de nouveaux liés spécifiquement aux technologies soient reconnus comme celui par exemple du droit à la déconnexion.

Intégrer ces principes dès la conception de la Technologie, contribuerait à l’orienter vers la résolution des grands problèmes auxquels l’humanité est confrontée (éradication de la pauvreté, réduction des inégalités, des hostilités, protection de l’environnement, …). Un beau défi, un espoir pour ré enchanter le monde mais aussi pour contribuer à un monde durable.

Cybersécurité : 5 questions vitales

Le doute n’est plus permis, nous utilisons des solutions vulnérables et piratables. Il suffit pour s’en convaincre de suivre l’actualité Cyber ou encore de s’intéresser aux vulnérabilités répertoriées par l’organisation américaine MITRE, active depuis soixante ans en recherche et développement des technologies liées à des domaines stratégiques (défense, sécurité, cyberespace, …). Depuis 1999, elle tient le registre des vulnérabilités de sécurité – CVE (Common Vulnerabilities and Exposures). La synthèse hebdomadaire de l’US-CERT (United States Computer Emergency Response Team), les classifie en quatre catégories (haute, moyenne, faible et en niveau de sévérité non encore assigné), les décrit et identifie des correctifs de sécurité (patch) à appliquer.

Quelle peut bien être la supériorité technologique d’une organisation si la technologie dont elle est devenue dépendante est conçue avec des vulnérabilités qui peuvent être exploitées par des acteurs tiers?

Une approche réactive, d’installation à postériori, de rustines de sécurité, permet de réduire la fenêtre d’exposition des systèmes d’une organisation, mais ne peut garantir que les failles ne soient pas déjà exploitées et que les tous les trous de sécurité soient bouchés.

Combien d’organisations dédient suffisamment de ressources à une veille technologique rigoureuse et à des mises à jour permanentes de leurs systèmes ?

Réagir à des cyberincidents ou à l’annonce de vulnérabilités, contribue à considérer la sécurité comme un centre de coût alors qu’elle devrait l’être d’un point de vue stratégique, comme un levier de la performance et un facteur clé de succès de la compétitivité d’une organisation.

Est-il envisageable de baser les mesures de cybersécurité en fonction d’une approche proactive et prospective de la gouvernance des risques, afin de devenir un individu, une organisation – voire un pays doté d’une réelle capacité de cyber-résilience ?

Il est impossible d’ignorer que les vulnérabilités existent, d’être naïf au point de croire qu’elles ne seront jamais exploitées à des fins malveillantes, de conflictualité ou de supériorité.

Sommes-nous en mesure de penser au principe de précaution et changer de paradigme dans la manière de concevoir et de mettre en œuvre les technologies de l’information, la transformation numérique de la société et la cybersécurité ?

L’usage de solutions vulnérables n’est pas le fruit du hasard mais est la résultante de choix plus ou moins conscient et rationnels. L’ouvrage du biologiste Jacques Monod, « Le hasard et la nécessité » (1970) traite de philosophie des sciences au regard de l’évolution de l’espèce humaine et de sa survie.

Si notre survie dépend du numérique, dans la mesure ou la fragilité du numérique est connue, pourquoi adopter un comportement de fuite en avant technologique sans en maîtriser les vulnérabilités, sans avoir conscience et compréhension des risques globaux et systémiques que peut engendrer une cybersécurité insuffisante, inadaptée ou défectueuse ?

Ce que nous apprend l’affaire Facebook

Une affaire pas si surprenante

Il n’est pas étonnant que les agences de renseignement fassent du renseignement. De même, il n’est pas surprenant que les entreprises qui ont pour modèle économique l’exploitation des données, les utilisent. Ce qui est le cas de Facebook, mais aussi de la majorité des plateformes numériques. Ce qui est moins prévisible se sont les facteurs et les conditions qui déclenchent des révélations concernant des usages abusifs, détournés ou criminels des données et des services du numérique.

En 2015, la manipulation de l’information a été identifiée comme étant une préoccupation majeure par le site américain Defense One. La manipulation, sert des stratégies d’influence, de persuasion ou de guerre psychologique, qui peuvent être d’envergure, concerner la population, des décideurs politiques et économiques, des civils et des militaires. Ces attaques sémantiques ne visent pas à la prise de contrôle de systèmes informatiques, mais celle du « cerveau humain ».

La marchandisation des données s’applique à tous les domaines. Pour certains, voter est assimilable à un acte d’achat. Dès lors, il n’est pas étonnant que le ciblage publicitaire facilite la diffusion de messages politiques lors de campagnes électorales.

Toute l’économie du numérique est une économie de prédation des données, basée sur leur collecte et exploitation massives et les internautes sont des proies faciles. L’insuffisance des mesures de prévention et de protection pour empêcher le siphonage des données des utilisateurs et de leurs contacts sans leur consentement éclairé et explicite, facilite le détournement des données.

Tous les acteurs hégémoniques du Net, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft), les NATU (Netflix, AirB&B, Tesla, Uber) sont concernés et pourraient se retrouver un jour ou l’autre sur le banc des accusés. Cela devrait nous faire réfléchir aux pratiques de leurs concurrents et homologues chinois que sont notamment Baidu, Alibaba, Tencent et Xiaomi (les BATX).

Vers un éveil des consciences

Si l’affaire Facebook engendre une vraie prise de conscience sur nos dépendances au services et acteurs du numériques, de leur pouvoir et plus globalement de l’importance de protection de la sphère privée et des données personnelles, cela sera plus important que les excuses peu crédibles de Mark Zuckerberg. Le mal est fait, ni les promesses, ni les excuses ne peuvent en atténuer les conséquences. Il est un peu tard, voire peut-être trop tard pour les entités dépendantes à Facebook, en situation d’addiction et d’accoutumance pour envisager éventuellement de modifier leurs pratiques. La seule sincérité du dirigeant de Facebook concerne celle liée au risque réputationnel auquel son entreprise doit faire face, car la confiance des utilisateurs est essentielle à sa profitabilité.

Il ne faut pas se leurrer, dans l’économie du numérique, l’individu n’est pas considéré comme un acteur doté de bon sens et de libre arbitre mais plutôt comme un objet, un système d’information à exploiter, à piloter, à améliorer ou encore à mettre en conformité.

Aucun discours messianique ou pseudo humaniste proféré par les grands patrons des GAFAMs ne peut faire oublier leur vision du monde orientée à la transformation des données en argent et la connectivité en pouvoir. Les multinationales ne sont pas des philanthropes, leur objectif est de maximiser leurs profits le plus vite possible. Toutefois, une action collective d’envergure (initiatives de boycott, de « namming & shamming (nommer le crime et infliger la honte», d’action en justice, …) contribuerait à un renversement des rapports de force. En préjudiciant les intérêts des fournisseurs de services, en portant atteinte à leur image, en exigeant des mesures de protection des données, il est possible de contribuer à faire évoluer la situation vers un meilleur respect des droits fondamentaux.

Vers un frein possible à l’exploitation des données et à un marché sans limite

Le frein à la forte mainmise des plateformes numériques sur le marché publicitaire dépendra du comportement et du nombre des internautes, de leur connectivité plus ou moins permanente, de la banalisation de l’usage des services et des objets connectés, de l’invisibilité des transferts d’informations entre les équipements électroniques omniprésents, jamais éteints, invisibles. Mais il ne faut pas rêver, dans la mesure où le corps humain, les jouets, les vaches, les fermes, les maisons, les organisations, les moyens de transport, les villes sont déjà connectés et que les incitations sont fortes pour aller vers toujours plus de technologie, plus de mobilité, plus d’intelligence artificielle, plus de réalité virtuelle, plus d’utilisation. Tout cela rend complexifie et ardu le changement de paradigme souhaité. Mais ce n’est pas parce que cela est difficile qu’il ne faut rien faire ou que cela est irréalisable.

Vers une certaine régulation des géants du Net 

La mise en place du Règlement européen sur la protection des données (RGPD) poursuit cet objectif dans la mesure où il s’appliquera aux entreprises étrangères qui gèrent des données de citoyens européens. Facebook n’est que l’arbre qui cache la forêt, la régulation n’est possible et n’a de sens que si elle concerne tous les acteurs.

Or, la puissance des acteurs hégémoniques du numérique, basée sur une organisation du marché en oligopole pseudo concurrentiel soigneusement orchestré selon une logique néolibérale, soutenue par des moyens financiers considérables, leur permet de garder leur suprématie en éliminant les potentiels concurrents, tout en mettant la barre très haute pour d’éventuels nouveaux entrants. Ils sont donc en mesure d’influencer fortement les processus et les moyens de régulation. Il s’avère que réguler des acteurs multinationaux n’est pas chose aisée car ils disposent d’un pouvoir parfois supérieur à celui des États.

La gouvernance mondiale est une question complexe. Dans le domaine de l’Internet, elle touche à la fois les domaines civil et militaire que cela soit au niveaux national ou international. Cela soulève des questions de souveraineté, de sécurité, de défense, de coopération, de lutte contre la criminalité et le terrorisme, de philosophie politique et économique, de vision du bien commun et de l’intérêt public. Sujets d’ordre géopolitique, délicats par nature, loin de faire l’objet d’une vision consensuelle.

Par ailleurs, ces acteurs, cibles potentielles de la régulation peuvent être tentés de résoudre le problème de l’autorégulation, par une fuite en avant technologique, en substituant des mesures effectives de régulation et en traduisant le pouvoir de la main invisible du marché par des logiciels d’intelligence artificielle. Cela ne ferait qu’aggraver la situation sans pour autant répondre de manière claire et honnête aux questions suivantes: Qui contrôle et valide les développements technologiques ? Comment ? Qui certifie leurs niveaux de fiabilité, de sûreté, de sécurité, de confiance ? Comment ? La transparence est-elle possible ? Comment vérifier la véracité et la justesse des décisions prises par des systèmes d’intelligence artificielle ? Quelles sont les responsabilités des acteurs ?

 

 

 

Et si le courage en cybersécurité était de renoncer à certains services ?

L’album « Asterix et les Normands » est bâti autour de la quête de la peur par les normands qui ne la connaissent pas «  …Il paraît que la peur donne des ailes,… Elle nous permettra de voler comme des oiseaux. ».  Dans cette aventure le dernier mot avant le  banquet final revient à Panoramix le sage  « C’est en connaissant la peur que l’on devient courageux. Le vrai courage c’est de savoir dominer sa peur ! ». Ces péripéties sont basées sur une incompréhension et un malentendu, ce qui est généralement une source de problèmes, y compris en cybersécurité qui peuvent être liés à l’incapacité à comprendre les impacts des cyberrisques  ou encore par exemple à la sous-estimation des limites des solutions de sécurité.

Dominer sa peur, c’est contribuer à maitriser les cyberrisques en toute connaissance de cause, c’est les mettre sous contrôle en adoptant des mesures de protection, de gestion des incidents et de la continuité des activités cohérentes au regard des valeurs à préserver et des menaces qui pourraient les affecter.

Le début du courage en matière de cybersécurité, que cela soit à l’échelle d’un individu, d’une organisation ou d’un État, est d’éviter les trois types d’attitudes suivantes:

  • Le déni : se convaincre que si on ne voit pas le problème c’est qu’il n’existe pas.
  • L’autosatisfaction : penser que tout va bien puisque des mesures ont été prises sans pour autant s’interroger sur leur utilité, efficacité, pertinence, pérennité, efficience.
  • La fuite en avant technologique : ajouter de la complexité à la complexité, en complétant une technologie qui n’est pas maitrisée, par une autre tout aussi mal maitrisée, mais à qui une confiance aveugle est accordée, sans se préoccuper des nouveaux risques qu’elle peut générer.

Nous sommes en train de prendre conscience de la montée en puissance et en nuisance des cyberrisques et de la peur qu’ils nous inspirent.

C’est en connaissant la peur que l’on devient courageux, c’est en tentant de répondre à des questions comme par exemple « Faut-il avoir peur des cyberattaques ? » que l’on peut contribuer à dépasser les peurs générées par des défauts de sécurité et de robustesse des infrastructures et services numériques dont nous sommes devenus dépendants.

Être courageux c’est oser affronter la réalité des vulnérabilités et de les pallier. C’est aussi comprendre les menaces auxquelles nous exposent l’écosystème numérique pour minimiser notre surface d’exposition aux risques et aux acteurs et aux vecteurs de la cyberinsécurité et d’adopter des comportements et des mesures cohérentes et pragmatiques qui contribuent à la maitrise des cyberrsiques.

Mais peut être que le vrai courage serait d’oser renoncer à l’usage de certains services ou technologies vulnérables by design, d’appréhender toute la complexité des interdépendances des infrastructures vitales au numérique par une analyse prospective des risques avec un esprit de vigilance et désir d’avenir.

Ainsi parfois, si l’action est à la hauteur des enjeux et de la peur, cette dernière peut donner des ailes afin de ne pas subir la cyberinsécurité et en supporter ses coûts y compris sur le long terme.

Subir, c’est se résigner, c’est accepter une incapacité de fait à prévenir les impacts des usages abusifs, détournés ou criminel du numérique, mais ce n’est pas une fatalité !

Pourquoi la peur est un levier de la cybersécurité mais pas une bonne conseillère

Il semble que l’utopie d’un monde meilleur porter par la cybernétique à son origine, soient de plus en plus remplacée par la peur, la peur des robots, la peur de l’intelligence artificielle, la peur de la fin du travail, la peur des espions et de celle des hackers par exemple.

La peur nous aide à identifier un danger, à mémoriser les conditions dans lesquelles celui-ci est survenu, nous permettant de l’éviter à l’avenir. La peur est un facteur de sécurité, elle permet d’identifier les situations à risques, de les éviter, de s’y préparer et de les affronter, par l’action ou la réaction. En cela elle protège l’être humain depuis la nuit des temps, nous lui devons sans doute notre survie.

Ne pas avoir peur, c’est être vulnérable à un danger, c’est ne pas prendre conscience des risques et donc être dans l’impossibilité de les gouverner et de les mettre sous contrôle.

La peur ne décrit pas une réalité, c’est une perception de la réalité, une émotion, un sentiment. Elle est relative à un risque, réel ou non reflétant un potentiel de danger.

Dans le domaine de la cybersécurité, la peur peut être un levier de la sécurité, de prise de conscience des besoins de sécurité. C’est aussi un instrument au service du commerce de la sécurité et du marché de la sécurité. Marché en pleine expansion qui semble sans limite puisqu’il est là pour durer, la peur aussi d’ailleurs. Toutefois, la peur n’est pas bonne conseillère en matière de cybersécurité.

Ce n’est pas sur la peur qu’il faut implanter des mesures de sécurité qu’elles soient d’ordre juridique, organisationnelles ou techniques, mais sur la réalité des menaces, des risques, des exigences de sécurité, pour atteindre des objectifs de protection et de défense clairement identifiés et évalués.

D’où l’importance de définir, réaliser, tester une stratégie de sécurité et de doter les organisations des instruments de la gouvernance des cyberrisques.

En adoptant des mesures de sécurité, dans l’urgence, en réaction à la survenue d’événements traumatiques, il est probable que ces dernières soient non seulement inefficaces, mais en plus, elles risquent d’être liberticides et contraignantes.