Cyber : prise de conscience du risque et perspectives (2030)

Selon l’Agence nationale de la sécurité des systèmes d’information, fin 2015-début 2016, des attaques ont ciblé les entités clientes de la messagerie interbancaires de SWIFT. En juin 2016 : découverte d’une plateforme de vente cyber criminelle ; « Opération Ghoul » d’espionnage informatique dans les secteurs de l’industrie et de l’ingénierie au Moyen-Orient ; attaques informatiques perturbant la diffusion en ligne d’une conférence américaine sur les massacres de la place Tien An Men (Pékin, avril-juin 1989). Septembre et décembre 2016 : exfiltration d’un milliard de données clients de l’opérateur américain Yahoo ; Novembre 2016 : sabotage informatique d’entreprises et organisations étatiques saoudiennes. Au cours de 2016 : apparition du « rançongiciel » Locky capable de chiffrer des fichiers accessibles via des partages réseau ; attaques de cibles gouvernementales et institutionnelles françaises et belges par le groupe Downsec Belgium, issu de la mouvance « hacktiviste » Anonymous ; propagande de l’Etat islamique (Daech) sur les réseaux sociaux, par défiguration de sites internet et divulgation de documents prétendument exfiltrés de systèmes d’information de gouvernements occidentaux.

Enjeu de souveraineté nationale, la sécurité numérique parvient à s’imposer parmi les administrations, entreprises et particuliers. Toutefois, l’évolution des cyber attaques et le renforcement induit du contrôle de l’Etat risquent d’atteindre systématiquement les libertés individuelles à l’horizon 2030.

Le 7 juin 2017 à Paris, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a présenté son rapport d’activités 2016. De son côté, le Secrétariat pour la défense et la sécurité nationale (SGDSN), auquel elle est rattachée, a publié une étude sur les menaces intitulée « Chocs futurs », dont celles du domaine numérique en 2030.

Autonomie européenne. L’engagement de la France en faveur de l’autonomie stratégique européenne, en matière de sécurité numérique, repose sur trois piliers. Le premier porte sur le développement des capacités au sein de l’Union européenne (UE) elle-même et de chacun des Etats membres. Le deuxième consiste à maîtriser les « briques technologiques » et les outils industriels essentiels. Le troisième vise à préserver la capacité de régulation de l’UE et des Etats membres pour la protection adéquate des données et celle d’évaluation des produits. Après trois ans de négociations, la directive française « NIS » (Network and Information Security) sur la sécurité des systèmes d’information, élaborée par l’ANSSI et approuvée par le Parlement européen et le Conseil de l’Union européenne, va devenir la norme en 2018. La NIS s’articule autour de quatre axes. D’abord, les capacités nationales seront renforcées par le positionnement de la cyber sécurité comme enjeu stratégique majeur pour le marché européen du numérique. Ensuite, la cyber résilience sera améliorée par l’établissement d’un cadre de coopération volontaire entre Etats membres, via un groupe de coopération et le réseau européen des équipes d’intervention rapide CIRT (Computer Incident Response Team). De plus, chaque Etat devra renforcer la cyber sécurité de ses opérateurs de services essentiels. Enfin, la sécurité sera encadrée et régulée par l’instauration de règles communes à l’intention des prestataires de services numériques.

Stratégie 2020. La stratégie « ANSSI 2020 », présentée en mai 2016, établit un référentiel d’orientations et de projets destiné à tous les agents et administrations partenaires. Elle sera actualisée chaque année, en raison du mouvement permanent de l’espace numérique. L’anticipation des évolutions des technologies et usages doit favoriser l’action en amont et concentrer les ressources sur les meilleurs leviers. Le renforcement de l’autorité nationale de l’ANSSI accroîtra son domaine d’action. La connaissance fine et actualisée des publics lui permettra d’adapter son action et d’améliorer la résilience de la société française. La réactivité de l’ANSSI sera accrue face à une crise informatique majeure. Le rayonnement international de la vision française de la cyber sécurité et de la défense soutiendra la politique étrangère de la France et le développement des entreprises françaises spécialisées dans le cyber. En mai 2017, 43 actions ont déjà été définies et sont menées.

Evolution de la menace mondiale. En 2017, les Etats-Unis, la Grande-Bretagne et la Russie développent des capacités offensives, car leurs services de renseignement coordonnent ou assurent la sécurité et les opérations de défense et d’attaques informatiques. De leur côté, l’Allemagne, la France, la Chine et Israël séparent les capacités offensives et défensives. La protection, privilégiée, passe par l’augmentation du niveau de sécurité des systèmes d’information étatiques et des infrastructures critiques du pays, sans pour autant exclure le recours à des actions offensives de prévention ou de rétorsion. De son côté, l’UE a créé l’Agence européenne de sécurité des réseaux et a adopté la directive NIS. En juin 2016, l’OTAN a déclaré le cyberespace  « espace de combat », au même titre que la terre, l’air et la mer. Fin 2016, l’Université américaine de Berkeley a rendu public un travail d’experts sur les perspectives de la menace cyber à l’horizon 2020, lesquelles semblent plausibles jusqu’en 2030, selon le SGDSN. Un premier scénario, dénommé « Omega », se base sur les technologies prédictives, qui ciblent très précisément les goûts, habitudes et désirs des gens. Ceux qui refusent de transmettre leurs données peuvent passer pour criminels. Les données obtenues permettent déjà de comprendre leurs envies et craintes et de sécuriser une ville par la surveillance des individus à risques. Les Etats autoritaires connaissent peu d’insécurité, alors que ceux qui cherchent à encadrer ces technologies, comme les démocraties européennes, présentent des taux d’insécurité élevés. L’instabilité plus ou moins exacerbée et les mouvements de citoyens opposés au « tout numérique » conduiraient les démocraties à mettre en place une forme de régulation et de contrôle. Le deuxième scénario, dit « Bubble 2.0 », envisage une crise économique résultant d’une faible création de valeur réelle et de l’augmentation du coût du travail, due à la présence du numérique dans tous les aspects économiques, financiers et commerciaux de la société. Le centre du monde numérique se déplacerait alors des Etats-Unis vers Singapour, la Chine et la Corée du Sud. Dans le troisième scénario, « l’Internet des objets » s’implanterait dans les grandes villes du monde pour répondre aux  besoins en termes de trafic routier, santé, dépenses publiques et écologie. La violence urbaine diminuerait par suite de l’adaptation des objets connectés aux missions de défense et de sécurité. Les écarts se creuseraient alors entre les villes et les campagnes et entre les villes elles-mêmes, selon leurs capacités d’investissement. Ces écarts se manifesteraient aussi dans l’éducation, la valeur du travail, la santé des populations et le coût des assurances pour les gens qui ne fournissent pas un flux constant de données. Tout cela renforcerait les inégalités sociales et les pouvoirs des régimes autoritaires.

Loïc Salmon

site réalisé par triibu