risques complexes

L’indispensable souveraineté numérique

Solange Ghernaouti 5 commentaires

Le contexte

Pour un pays, la souveraineté est synonyme de pouvoir et de moyen de revendiquer son indépendance et sa reconnaissance au niveau international.

La problématique

Pour un pays, être souverain, c’est être autonome et en mesure de construire, maintenir et défendre son autonomie stratégique, économique et industrielle afin de de pouvoir, même en situation de crise, être en mesure d’agir, c’est à dire être en capacité de prendre des décisions. C’est en fait, avoir le choix.

Désormais tout cela n’est pas possible sans le recours à des infrastructures numériques, mais qui les maitrise ? Quelles entités maitrisent les données, les logiciels et les matériels informatiques et de télécommunication indispensable à la souveraineté des pays?

Force est de constater que :

  • Sans souveraineté numérique, un pays peut-il encore disposer des moyens suffisants et nécessaires pour protéger ses intérêts ?
  • Sans souveraineté numérique, un pays peut-il encore être en situation de pourvoir exercer sa souveraineté économique et industrielle ?
  • Tout état indépendant peut-il être souverain sans souveraineté numérique ?

Des réponses convaincantes devraient être apportées à ces questions avant qu’un pays s’engage, en toutes connaissances de causes et d’effets y compris sur le long terme, dans le choix de solutions Cloud basées sur des fournisseurs étrangers.

Un Cloud étranger n’est jamais neutre

L’évolution technologique est la résultante de choix politiques et économiques.

Les nouvelles technologies sont au service d’une vision du monde et de ceux qui le dirigent. La technologie n’est pas neutre, elle modifie profondément notre manière de vivre aux niveaux individuel et collectif, des organisations publiques et privées et des pays.

La technologie est un instrument du pouvoir pour ceux qui la maitrisent. Elle enlève le pouvoir à certains pour le donner à d’autres en changeant la réalité pour tous.

Le problème n’est pas ce que permet de faire la technologie ni ce qu’elle peut apporter, mais il relatif la manière dont elle le fait, à son prix et à la dépendance développé à son égard et envers ses fournisseurs.

Dans l’agriculture intensive, ce n’est pas le concept d’agriculture qui est en cause, mais la façon dont elle est réalisée et ses impacts négatifs. Toujours par analogie, ce n’est ni l’électricité, ni le gaz, ni le pétrole qui posent problèmes, c’est la surconsommation et les dépendances à ces énergies et à leurs pourvoyeurs qui sont devenues problématiques. C’est la même chose avec l’informatisation de la société basée sur la dépendance grandissante aux plateformes numériques d’origine étrangère. Elles appartiennent à une poignée d’acteurs hégémoniques qui imposent leurs règles aussi bien au niveau local qu’international.

Le 21ème siècle est celui de la plateformisation du monde qui impose que la majorité des services numériques soient accessibles uniquement en passant par des plateformes qui concentrent données et traitements et qui contrôlent l’accès aux mondes numériques.

Comme pour la pandémie Covid ou le conflit en Ukraine, qui constituent des révélateurs de nos interdépendances complexes à effet systémique qui affectent tout un chacun dans son mode de vie et son pouvoir économique, la manière de réaliser la transition numérique de la société fondée sur des plateformes numériques que nous ne contrôlons pas, complexifie la maitrise des risques informatiques et en génère de nouveaux.

Des solutions sont possibles

Choisir des acteurs locaux permet une meilleure maîtrise technologique tout en stimulant l’économie locale (emploi, réseau de partenaires, fiscalité,…). Les données stockées et traitées par des logiciels et des infrastructures du pays permet l’application du cadre juridique du pays et de s’assurer par l’usage de technologies « open source », qu’il n’y a pas de point d’entrée cachée exploitée par un fournisseur étranger ou les autorités dont dépendent ce fournisseur. Des Lois extraterritoriales existent comme par exemple le Cloud Act (The Clarifying Lawful Overseas Uses of Data Act (USA, 2018)) qui autorisent certaines autorités à accéder aux données partout dans le monde. C’est pour cela qu’il n’est pas suffisant que les données soient localisée dans un territoire national, il est désormais impératif qu’elles soient traitées par des infrastructures numériques qui permettent que le For juridique du pays puisse s’appliquer afin de contribuer à assurer la cohérence technique et juridique. Cela doit aussi être pris en compte lors de choix des prestataires de cloud computing. Il est crucial de se poser la question de l’origine des logiciels qui traitent les données. Par ailleurs, les bases juridiques sont de plus en plus questionnées comme en témoigne par exemple le fait que le Tribunal administratif fédéral suisse devra statuer prochainement sur le projet de cloud public de la Confédération.

Maîtriser toute la chaîne de valeur du numérique passe aussi par la maitrise non seulement, des données, des traitements et des réseaux mais aussi par la maitrise de l’ensemble des éléments constitutifs de la chaîne de production et de distribution de ces technologies et de leur cybersécurité. Cela comprend par exemple la fabrication des processeurs et des systèmes d’intelligence artificielle. A défaut, la souveraineté numérique revient en réalité à réduire et à maitriser les dépendances stratégiques dans le domaine du numérique.

Un cercle vertueux

Comme pour l’autosuffisance alimentaire, disposer d’une certaine autonomie numérique est possible en s’appuyant notamment sur des solutions de Cloud souverains et sur celles permettant la maitrise de la cybersécurité des systèmes d’information nécessaires au bon fonctionnement des infrastructures vitales d’un pays (activités civiles, militaires, judiciaires d’un pays, recherche et développement, transport, énergie,…).

Assurer des niches d’autonomie, initialiser un cercle vertueux, le développer pour grandir en souveraineté demande une volonté et des actes en cohérence qui consiste dès que faire se peut d’utiliser des solutions qui sont conformes à la définition de la souveraineté numérique et de contribuer à tous les niveaux de développer les capacités et compétences humaines nécessaires.

Cette démarche peut s’inscrire dans une stratégie numérique « responsable et durable » et intégrer divers volets de la numérisation qui pourrait concerner entre autres : la numérisation de la santé ou celle des collectivités territoriales.

En Suisse par exemple, comme dans bien d’autres pays européens, le tissu économique dispose des entreprises possédant un réel savoir-faire dans ce domaine, pourquoi ne pas collaborer avec elles de manière plus soutenue ? Pourquoi ne pas les faire collaborer pour réaliser des mesures concrètes soutenant une vision politique assumée de la souveraineté numérique ?

Cela permettrait d’obtenir une meilleure maîtrise des infrastructures numériques du pays par le fait même que les entreprises partagent les mêmes intérêts et le même cadre juridique avec des relations de proximité durables favorisant la réalisation de solutions sur mesure, indépendamment d’éventuelles pressions exercées par des fournisseurs étrangers.

Cela pourrait également s’inscrire dans une démarche plus efficace de cybersécurité et de protection des données. D’autant plus que des solutions multi-cloud telles que celles retenues par la Confédération helvétique, sont susceptibles d’engendrer une complexité opérationnelle et des défis de sécurité additionnels.

à suivre …

 

***

Au sujet de la souveraineté numérique par Solange Ghernaouti

 

Pour une obligation d’annoncer dans quel cloud se trouvent nos données.

Blog Cybersécurité. Le Temps. 10 juillet 2022

https://blogs.letemps.ch/solange-ghernaouti/2022/07/10/pour-une-obligation-dannoncer-dans-quel-cloud-se-trouvent-nos-donnees/

Économie numérique et transhumanisme.

Interview AntiThèse. 7 juin 2022

https://www.antithese.info/videos-antithese/solange-ghernaouti

La souveraineté numérique passe aussi par la sobriété.

The Conversation. 15 Décembre 2021.

https://theconversation.com/la-souverainete-numerique-passe-aussi-par-la-sobriete-172790

Cybersécurité et souveraineté numérique : réponses aux questions que nous recevons avec Solange Ghernaouti. Infomaniak. 7 mars 2022.

https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

Souveraineté numérique.

Interview Radio Libre. 26 février 2022

https://radio-libre.ch/podcast/souverainete-numerique-avec-prof-solange-ghernaouti-le-live/

Cyber allégeance, la triple peine

Blog Cybersécurité.  Le Temps. 19 décembre 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/12/19/cyber-allegeance-la-triple-peine/

Cloud et souveraineté numérique, quelles conséquences ?

Blog Cybersécurité. Le Temps. 23 juillet 2021

https://blogs.letemps.ch/solange-ghernaouti/2021/07/23/cloud-souverainete-numerique-quelles-consequences/

Perte de souveraineté numérique, la faute de trop

Blog Cybersécurité.  Le Temps. 10 juillet 2021.

https://blogs.letemps.ch/solange-ghernaouti/2021/07/10/perte-de-souverainete-numerique-la-faute-de-trop/

Priorité à la défense du vivant et des territoires numériques

Blog Cybersécurité.  Le Temps. 26 aout 2020

https://blogs.letemps.ch/solange-ghernaouti/2020/08/26/priorite-a-la-defense-du-vivant-et-des-territoires-numeriques/

Mobilité 5 G, reprendre le contrôle

Blog Cybersécurité.  Le Temps. 1 février 2019

https://blogs.letemps.ch/solange-ghernaouti/2019/02/01/mobilite-5-g-reprendre-le-controle/

Des espions chinois dans nos machines ?

Blog Cybersécurité.  Le Temps. 17 décembre 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/12/17/des-espions-chinois-dans-nos-machines/

Souveraineté numérique et dématérialisation au Congo-Brazzaville

Blog Cybersécurité.  Le Temps. 19 septembre 2018

https://blogs.letemps.ch/solange-ghernaouti/2018/09/19/souverainete-numerique-et-dematerialisation-au-congo-brazzaville/

Cybersécurité : 5 questions vitales

Blog Cybersécurité.  Le Temps. 16 mai 2018.

https://blogs.letemps.ch/solange-ghernaouti/2018/05/16/cybersecurite-5-questions-vitales/

Cybersécurité : l’intérêt collectif est l’intérêt particulier

Blog de l’Académie suisse des sciences techniques (SATW). 20. juillet 2017

https://www.satw.ch/fr/blog/cybersecurite-linteret-collectif-est-linteret-particulier

Cybersouveraineté

Octobre 2017. Mon journal de la Cybersécurité — Saison 1 Cyberconscience. Éditions ISCA Livres, 2022.

https://shop.isca-livres.ch/isca/1075-book-mon-journal-de-la-cybersecurite.html

 

Pandémie et Cyber: Faire face

Solange Ghernaouti 10 commentaires

Un aperçu de la réalité

Télétravail

Le télétravail recommandé pour contribuer à lutter contre la pandémie, n’a fait que stimuler l’ingéniosité des criminels et qu’augmenter le nombre et l’attractivité des systèmes connectés et des flux échangés.

Les cybercriminels s’adaptent à l’évolution des opportunités et les saisissent avec une redoutable efficacité, agilité et réactivité. Ils savent rentabiliser leurs actions, qu’elles soient orientées recherche de profit ou motivées par des finalités de déstabilisation économique ou politique. Leurs cibles peuvent être autant des individus que des organisations publiques ou privées, leur terrain de jeu est mondial.

S’il est possible de connaitre la nature des cybercrimes rapportés aux instances de justice et police, il est plus difficile, voire impossible d’obtenir une cartographie exhaustive de la réalité de la cybermalveillance. En 2020, comme lors des années précédentes, les systèmes d’information des organisations ont fait l’objet d’attaques essentiellement liées à l’exploitation de leurs vulnérabilités, à des logiciels malveillants comme des rançongiciels par exemple. Les attaques en déni de service, l’usurpation de paramètres de connexion et de comptes, la compromission de systèmes de messagerie, l’ingénierie sociale ont encore été au service d’une criminalité essentiellement économique.

Recrudescence de cyberattaques

Toutefois, la recrudescence des cyberattaques ciblant par des systèmes liés à la santé (sites hospitaliers, centres de recherche, laboratoires pharmaceutiques, …) marque un virage dans la perception de la motivation des acteurs impliqués. Au-delà du gain économique potentiel que pourraient procurer des cyberattaques sur des infrastructures de santé, elles questionnent sur leurs capacités de déstabilisation et leur finalité qui pourrait relever du terrorisme, lorsqu’elles mettent en danger la vie.

Les enfants ne sont pas épargnés

Même s’il en est moins question dans les médias, il ressort des rapports d’Interpol[1] et d’Europol[2] que les périodes de confinement ont donné lieu à une augmentation des activités liées à l’exploitation sexuelle des enfants en ligne. La commercialisation de contenus d’abus sexuels de nourrissons et d’enfants a largement été observée. Un cybercrime n’est jamais virtuel. En matière de cyberpédophilie, seule leur représentation est dématérialisée et ce sont bien de vraies victimes qui sont abusées et dont la vie est détruite. Le contexte de la pandémie a également profité à ceux savent tirer parti des réseaux dits sociaux comme caisse de résonnance pour amplifier des actions de manipulation d’information, de rumeurs, de fausses informations, ou de contre-vérités en lien avec la Covid. De véritables campagnes de désinformation et de manipulation de l’opinion se sont déroulées au travers d’Internet, avec des niveaux d’impacts variables. À l’inverse, dans certains pays, ce sont des journalistes et des lanceurs d’alertes qui ont été condamnés par les autorités des pays dont ils sont les ressortissants pour avoir tenté d’informer, d’attirer l’attention sur la gravité de la situation et avoir osé proposer des récits de la pandémie différents des récits officiels.

Internet est un vecteur amplificateur et de globalisation de la criminalité.

Le risque informatique d’origine criminelle est ainsi devenu un risque structurel dont le coût est porté par la société. Pour autant, disposons-nous des mesures de lutte contre la cybercriminalité suffisantes ?

Mettre un frein à l’impunité des cybercriminels

Même s’il est regrettable que tous les cybercrimes rapportés ne fassent pas l’objet d’investigation, retenons toutefois, pour n’en citer qu’un, le succès de la coopération des forces de l’ordre advenu en 2020, concernant la France, la Suisse, l’Allemagne, les Pays-Bas et les Etats-Unis. Celui lié au démantèlement d’une infrastructure (Safe-Inet) au service de la cybercriminalité, active depuis une dizaine d’années[3]. Par le recours à des services de réseau privé virtuel, les acteurs criminels qui y recourraient pouvaient agir sans craintes d’être identifiés et en toute impunité. Ce qui contribue largement à la performance et à l’augmentation de la cybercriminalité et de facto, à l’accroissement du nombre de victimes. Élever la prise de risque pour les criminels d’être poursuivis et intensifier le nombre de barrières à la réalisation de l’action criminelle, passent par des mesures de cybersécurité et des moyens de lutte contre la cybercriminalité. Si ce succès des forces de l’ordre est appréciable, combien de plaintes sont restées sans suite et combien d’investigations n’ont jamais été entreprises ou ont abouties?

 La cybersécurité, une réponse partielle et incomplète

La cybersécurité est avant tout une affaire de gestion des risques, d’anticipation et de réactivité. Elle s’intègre dans une culture de maitrise intégrée de risques complexes. Elle s’appuie sur des mesures adaptées de sécurité, des compétences humaines et des capacités particulières qui doivent exister et être entrainées. Cela se construit dans un temps long, en amont de la survenue des problèmes, or le travail à domicile a été mis en place dans l’urgence, sans forcément prioriser et apporter des réponses convaincantes aux besoins de cybersécurité requis au regard des risques encourus. Les PMEs notamment mais pas seulement, sont alors devenues encore plus exposées et vulnérables lors de la crise sanitaire. En revanche, les entreprises, qui autorisaient déjà le télétravail ou étaient habituées au travail à distance ou qui avaient d’employés nomades, étaient en principe mieux préparées aux cyber risques que celles qui ont dû passer au télétravail dans la précipitation.

En matière de cybersécurité, l’ouverture des systèmes, la connectivité permanente et la facilité d’usage d’outils grands publics et souvent gratuits ne riment pas avec un niveau de sécurité de qualité. Il est avéré que les logiciels gratuits, y compris ceux utilisés pour réaliser des visioconférences, n’offrent pas un niveau raisonnable de sécurité mais il est désormais impossible d’ignorer qu’ils exploitent les données livrées par les des utilisateurs et celles collectées à leur insu.

Pour autant, sommes-nous suffisamment conscients des conséquences des actions d’intelligence économique, d’espionnage et de surveillance, que les pratiques numériques non sécurisées et que la perte de la maitrise des données autorisent ?

Ce que la crise du Covid nous apprend en matière de gestion des risques

Une posture de sécurité

Être en sécurité, consiste généralement à fermer des environnements, à réaliser des périmètres de sécurité, cela demande le plus souvent de restreindre des activités et de renoncer à des pratiques qui ne sont pas suffisamment bien et correctement sécurisées. Pour se protéger en cas pandémie liée à un virus biologique, il y a le confinement, le port du masque, l’adoption des comportements et des mesures d’hygiène. Lutter contre la propagation de virus informatiques (programmes malveillants, rançongiciels,…) et la réalisation de cyberattaques, nécessite de disposer d’une politique de sécurité, de mesures d’hygiène et de cybersécurité efficaces et de les accompagner de campagnes de sensibilisation et de pratiques cohérentes du numérique.

Jouer aux cyberpompiers, n’est pas suffisant

Encore aujourd’hui, en matière de cybersécurité, nous agissons en « pompiers », nous intervenons après une cyberattaque (lorsqu’elle est détectée), après un incident ou un sinistre informatique, souvent dans l’urgence (à condition de disposer des équipements nécessaires à éteindre l’incendie).

Être réactif, c’est bien, mais pas suffisant au regard des conséquences désastreuses que peuvent entrainer des cyberattaques. Il est impératif de pouvoir être plus proactif et de tout mettre en œuvre pour prévenir la concrétisation de menaces. En aucun cas, réaliser des activités sur Internet doit être synonyme d’accepter de devenir une cible de la cybercriminalité et l’objet de pratiques abusives du numérique par ceux qui le maitrisent et fournissent des services devenus de plus en plus incontournables.

De l’élevage en batterie, aux risques Cyber

L’élevage en batterie, la concentration des êtres et des risques, c’est ce qu nous donne également à observer la pandémie actuelle. Elle nous offre un mirroir de notre réalité informatique avec la concentration des données et des traitements par des acteurs hégémoniques et des grandes plateformes numériques. Le réseau Internet ne contribue plus comme à son origine à distribuer les traitements et donc à répartir les risques. Le paradigme des fournisseurs de plateformes et celui de l’informatique en nuage, ont réinventé la concentration et la centralisation. Ce qui rend entre autre possible, le vol massif des données et le piratage à grande échelle de comptes utilisateurs.

Crise sanitaire, crise d’envie d’avenir ou crise de l’anticipation ?

Besoins de ressources

Pour faire face à une crise de grande ampleur, de grande intensité et qui en plus s’incrit dans la durée, il faut y être préapré. Anticiper et prévoir un évènement, une situation ou une crise et ses conséquences, demande une posture, une volonté politique et des investissements. En sécurité comme en santé, pour gérer une crise il faut des « réserves » qui ne servent qu’en cas de crise (et qui coûtent « pour rien » le reste du temps). Ce qui est souvent considéré comme un frein à la performance et à la rentabilité économique des organisations. Les ressources nécessaires en cas de crise sont alors souvent insuffisantes, voire inexistantes, il en est de même en cybersécurité.

Gérer le risque, mais jusqu’où prévoir le pire ?

Au-delà de la crise sanitaire actuelle, sommes-nous préparés à faire face par exemple à un accident nucléaire majeur en Europe ? Disposons-nous de masques, compteurs, détecteurs, pastilles d’iode, ou encore par exemples, de capacités d’alimentation avec des produits non contaminés ? Qui aujourd’hui est en mesure d’anticiper et d’appréhender les risques complexes et interdépendants portant notamment sur les infrastructures relatives à l’alimentation électrique, dont dépendent totalement les systèmes et réseaux informatiques, qui pourraient être mise en danger par un tel accident et compromettre l’ensemble des services informatiques ?

Pouvons-nous, aujourd’hui et demain faire face à des cyberattaques de grande ampleur et intensité sur les infrastructures critiques et sur les chaînes d’approvisionnement ? Sommes-nous en mesure de maitriser des crises systémiques ? Quid d’une double crise liée à une pandémie biologique et à cyberpandémie ?

Le numérique peut contribuer à résoudre une partie du problème lié à la pandémie. Toutefois, en optant pour toujours plus d’informatisation et de cyberdépendance, avec des services et des infrastructures numériques vulnérables aux cyberattaques, l’économie et la société deviennent plus fragilisées. Sommes-nous capables d’anticiper les conséquences des impacts de la perte de la maitrise des infrastructures numériques vitales au bon fonctionnement du pays ? Ne sommes-nous pas collectivement et individuellement leurrés par le solutionnisme technologique?

Faire de la gestion de crise consiste à assurer en amont de la crise, d’être en mesure de disposer d’une organisation, des compétences, et des ressources nécessaires pour y remédier. Ce qui se traduit dans un monde hyperconnecté et interdépendant à devoir être suffisamment autonome, indépendant et souverain.

Sommes-nous en situation d’autosuffisance numérique ?

Pouvons-nous être en situation de cybersouveraineté ?

Faire face, une imminence urgente

Transition numérique ou fuite en avant technologique?

La pandémie est un accélerateur de la transition numérique déjà orchestrée et une justification de plus conduisant à la dématérialisant des activités. Il s’ensuit pour les protagonistes, une perte de contrôle de celles-ci (accompagnée généralement par une perte de sens) au profit des intermédiaires technologiques. De manière concomitante, la dématérialisation contribue à développer les applications d’analyse massive des données, le marché de l’intelligence artificielle, le surveillance, informatique généralisé (controlling) et l’économie de la surveillance.

Le monde d’après et notre rapport à la technologie

Ne serait-il pas temps de saisir le formidable élan “d’ouverture des yeux” que la pandémie à engendré pour aiguiser notre vision sur les vulnérabilités et les risques liés au numérique? Outre le nouvel ordre du monde et l’organisation algorithmique de la société instaurés, non maitrisés les risques Cyber sont des facteurs de déclin de la civilisation. Ils constituent d’ors et déjà une menace pour l’environnement, le vivant et l’humanité. Est-ce cela, que nous souhaitons laisser en héritage à nos enfants?

Ne serait-il pas temps de considérer notre asservissement au numérique et à ces multinationales emblématiques, pour remettre en question d’une part, notre servitude volontaire à les rendre toujours plus puissantes et d’autre part, notre docilité voire, notre soumission aux injonctions électroniques?

Ne serait-il pas temps tout simplement de résister, c’est à dire, comme le souligne l’origine latine du verbe, de faire face, de se tenir en faisant face?

Au-delà de savoir pourquoi et comment nous en sommes arrivés là, profitons de cette envie de comprendre pour avoir envie d’un avenir numérique différent et d’agir en conséquence.

Peut être que cela nécessitera de passer par une certaine désobéissance numérique, du moins, tant que celle-ci sera possible.

Cette menace est bien réelle et lorsque l’imminent renvoie à l’origine du terme “menacer”, il y a urgence à la prendre en considération.

 

[1] https://www.interpol.int/en/News-and-Events/News/2020/INTERPOL-report-highlights-impact-of-COVID-19-on-child-sexual-abuse

[2] https://www.europol.europa.eu/covid-19/covid-19-child-sexual-exploitation

[3] https://www.europol.europa.eu/newsroom/news/cybercriminals’-favourite-vpn-taken-down-in-global-action