Cyberespace sécurisé et éthique – risque du Numérique

Une Grande Transformation du Monde, défis et difficultés…
Journée du 14 juin 2018


L’UNESCO et plus précisément l’IFAP (Intergovernmental Information for All Program) et l’Université PARIS SUD ont été les organisateurs de la 14ème édition de la Conférence Mondiale sur le Capital intellectuel, avec un regard plus particulier sur la France et la première matinée consacrée à la Cybersécurité et aux grands risques que génère le Numérique, des risques qui sont à la mesure du spectaculaire développement de « l’emprise du digital » pour tous, partout et sur tout. La transformation assez radicale du monde en train de s’opérer ne saurait être vue seulement sous un angle technique – la cybersécurité, une affaire de spécialiste – tant sont nombreuses les implications de ces changements. Cela est bien ressorti des discussions auxquelles ont pris part des représentants de l’UNESCO (secteur Communication et Information, IFAP), des experts gouvernementaux (France, Union européenne), des conseillers consultants (France, Estonie), des représentants d’entreprise (Airbus), un économiste (OCDE).

Une journée riche en informations et en enseignements, quelques idées fortes qui, à certains égards, rejoignent plusieurs des observations qui sont ressorties de la journée d’étude du CCIC du 4 mai sur les « Puissances technologiques et Éthique de la finitude humaine ».


La première intervention, fut celle de M. Guillaume Poupart Directeur général de l’Agence Nationale pour la Sécurité des Système d’Information (ANSSI), organe de Renseignement et de Protection des victimes du numérique, directement rattaché auprès du Premier Ministre. D’entrée, nous ont bien été posés les termes du débat : les dangers que génère la multiplication des acteurs, la prolifération des outils, l’explosion des capacités de traitement et de diffusion des données, la banalisation des usages et des accès au monde numérique ; des dangers qui ne sont pas anodins. Ils peuvent menacer le citoyen, les entreprises, les États. Il y a là des enjeux de sécurité nationale : les grandes infrastructures critiques peuvent être touchées et la démocratie peut être mise à mal (cf ce qui s’est passé aux États-Unis par exemple lors des élections).

Il ne s’agit pas de vagues menaces, parce que le Monde du numérique est constamment l’objet d’incidents et parfois de graves accidents qui ont des formes multiples et qui causent de réels dommages : vols de données, rupture du secret logiciel, intrusions malveillantes, actes criminels (racket, demande de rançon), mise en ligne de jeux dangereux, de vidéos perverses, discours de haine, manipulation de l’information, trafics, hackers, acteurs maffieux, il y a bel et bien un monde de la délinquance ou du terrorisme numérique. On en parle peu, les victimes n’osent pas avouer… alors on tend à négliger ou sous estimer la menace alors qu’elle est réelle et lourde, permanente.

Alors que le numérique va continuer de se développer massivement dans tous les secteurs (cf en particulier la voiture autonome, les objets connectés, la santé numérique et toutes les infrastructures), il est important d’avoir conscience des risques, d’élever des défenses mais aussi d’intervenir par la voie législative : les questions de sécurité ne peuvent plus être traitées à la légère, au niveau national comme au niveau international (c’est un sujet que suit l’Union européenne), au niveau de toutes les entreprises et notamment des PME comme du simple citoyen.

M. Boyan Radoykov de l’UNESCO a rappelé que si ces questions ont pris une dimension nouvelle elles ne datent pas d’hier : déjà en 1995 l’UNESCO évoquait ces risques, ces dérives et les moyens de les contenir. La question a aussi été examinée par le Conseil de l’Europe en 2005. Un code éthique, rédigé non sans difficulté, a été soumis à la Conférence Générale qui a pris note simplement : il n’y avait manifestement pas d’unité de vue à l’époque, les choses semblent changer lentement.


La seconde intervention a porté sur l’expérience estonienne : M. Marten Kaevats a rapporté tout ce qu’a fait son gouvernement au fil des dix dernières années pour véritablement généraliser l’administration numérique avec des changements radicaux : fin du papier, tout est et se fait en ligne.

Un succès obtenu grâce à une marche forcée, qui a été facilitée de plusieurs manières : grande attention apportée à la question de l’identité et de l’identification (hautement sécurisée mais aussi simplifiée dans son utilisation pour toute formalité ou autres opérations avec l’administration), standardisation des systèmes d’exploitation, protection des flux qui sont anonymisés, interdiction des copies de fichiers, propriété des données laissée à son détenteur (celui qui les enregistre), etc.

La République d’Estonie, forte de son expérience, s’engage vers les nouveautés technologiques du moment (blockchain, intelligence artificielle), mais n’entend le faire que graduellement pour favoriser leur appropriation et s’assurer de la sécurisation des processus. C’est à ce prix seulement que les succès peuvent être obtenus auprès des utilisateurs/citoyens, qui doivent « culturellement » se convertir à de nouvelles pratiques, comme ils l’ont fait lorsqu’ils sont passés au mode du « sans papier ».


Le troisième intervenant, M. Dominique Guellec de l’OCDE, a traité de la question des innovations et de l’incidence que pouvait avoir l’irruption du numérique dans les politiques publiques en faveur de l’innovation.

Deux points sont soulignés comme impactant (favorablement) les innovations :

  • Le numérique est générateur d’une baisse spectaculaire des coûts qui sont infiniment moindres que ceux du monde matériel (on diffuse, réplique, reconfigure, analyse à peu de frais). Il a comme autre caractéristique celle d’assurer une grande fluidité des données qui deviennent des éléments essentiels dans tous les domaines ;

  • La « servicisation » : on assiste à une petite révolution dans le secteur manufacturier, qui de plus en plus s’ouvre à la fonction « service » avec le soutien du numérique. L’industrie embarque de plus en plus dans ses produits le service de logiciels ouverts à ses clients : le réel va à la rencontre du virtuel grâce au numérique (cf les fonctions de géolocalisation, l’assistance à distance), etc.

Avec le numérique, les ajustements techniques s’opèrent plus facilement et à moindre prix.

La tendance est à la miniaturisation (en moins de trente ans, on est passé des lourds systèmes mainframe aux outils légers et performants que sont les mobiles de la dernière génération.

Cela rend plus facile le travail des chercheurs ou des entrepreneurs innovants : on se parle plus, on décloisonne.

Les barrières tombent sous l’effet de la concurrence avec des effets positifs, une dynamique créative, mais négatifs aussi lorsque la maîtrise d’une technique amène son promoteur à se constituer une position dominante (cf les GAFAM).

Les progrès incontestables que génèrent les innovations stimulées et provoquées par le numérique s’accompagnent ainsi d’inégalités grandissantes, de phénomènes d’éviction, de constitution de quasi monopoles qui ne manquent pas d’interpeller.

Dans ce nouvel environnement, chaotique aux contours mouvants et incertains, les politiques publiques sont appelées à changer. Les pouvoirs publics doivent d’abord repenser la façon dont ils mènent leurs programmes de recherche et leurs grands projets en agissant de façon plus décentralisée dans leur collaboration avec le secteur privé, avec plus d’agilité et en recourant plus à l’expérimentation avant d’intervenir.

Le traitement des données devient un enjeu qui n’est pas sans risque : il y a une forte demande pour que l’on adopte une attitude ouverte, il y a un fort intérêt des entreprises pour obtenir massivement les données personnelles susceptibles d’être valorisées, intérêt pour l’ouverture des grandes bases de données dont dispose l’administration. Ici, il appartient aux législateurs d’assurer une protection suffisante de la vie privée (privacy) et des créateurs (droits d’auteur ou copyright, brevets).

Les politiques de la concurrence sont à revoir. La question est délicate, il faut se doter de règles et respecter certains principes mais leur élaboration et les applications pratiques sont devenues plus difficiles. Iil faut se garder d’initiatives intempestives qui pourraient casser certaines dynamiques innovantes générées par les promoteurs de nouvelles technologies et tenir compte du fait que, de plus en plus, avec le numérique on est confronté à un espace mondial, sans frontière.

Autre sujet d’intérêt général à revoir : la question des PME pour lesquelles le numérique peut constituer un réel élément de fragilité qu’il leur est difficile de maîtriser. L’aide des pouvoirs publics en la matière pourra opportunément se justifier d’autant plus qu’on agit pour consolider ces entreprises face aux risques du cyberespace.


A distance, de Bruxelles, un représentant de DG CONNECT a donné quelques éclairages sur les préoccupations et surtout les actions de l’Union Européenne en matière de protection pour faire face au risque numérique. Des initiatives nombreuses et qui tendent à s’intensifier, ce que justifient à la fois le constat d’une grande disparité de situations entre États membres et l’intérêt d’actions communes ou coordonnées face à ce phénomène global du numérique.

Depuis 2004 une Agence spécialisée intervient sur des questions concrètes : sensibilisation des États, information du Public, publication de Rapports, aide à la définition des politiques publiques, suivi des incidents ou accidents numériques, conseil, encouragements et fonction de coordination pour l’exercice de tests, participation à l’élaboration des textes normatifs adoptés par l’Union (Règlements d’application générale ou Directives à transposer nationalement).


Pour clôturer cette session sont intervenus deux responsables de l’UNESCO.

Madame Chafika Haddad, Présidente du Bureau du Conseil de l’IFAP a rappelé l’importance de l’engagement de l’UNESCO sur ces sujets sensibles. Il y a encore beaucoup de déficiences, il faut aider les États à mettre en place des Politiques qui permettent d’élever des barrières de défense. On doit massivement réguler, communiquer sur les risques, à tous niveaux et en visant tout particulièrement les jeunes, en ayant aussi une attention particulière pour les pays en développement qui ne sont pas épargnés par les menaces. Le sujet n’est pas seulement technique, il y a aussi une dimension éthique à ne pas perdre de vue. Des codes de bonne conduite peuvent être élaborés mais ce n’est pas assez : il faut aussi réguler.

Le représentant de l’Adjoint à la Directrice Générale en charge du secteur Communication et Information a tenu un propos direct et « accrocheur ».

Il a d’abord rappelé que les risques ont trop longtemps été ignorés ou sous-estimés. L’UNESCO est maintenant pleinement dans une phase que l’on peut qualifier de rattrapage, en s’efforçant d’appréhender un domaine difficile à couvrir : la cible est mouvante et multiforme, plus ou moins perceptible. Il est important de ne pas en rester au stade du « discours ». Assurément, on parle beaucoup de toutes les menaces, on est témoin de faits choquants (cf l’affaire CAMBRIDGE avec l’exploitation de données personnelles à des fins électorales, ou plus grave encore l’affaire BLUE WHALE ce jeu video qui amenait des jeunes au suicide), mais il faut passer aux actes. Pour lutter contre les attaques ou les arnaques, on ne peut plus se contenter de bonnes paroles. Il faut pouvoir désigner des responsables et éventuellement sanctionner, et surmonter les difficultés qui sont grandes : réticence des acteurs à prendre leurs responsabilités, difficultés d’actionner des procédures judiciaires car les juridictions restent nationales alors que le monde du numérique et du net est, ceci est à nouveau rappelé, global.

L’UNESCO pour sa part entend contribuer à faire avancer ce qu’on pourrait appeler la cause d’un internet (ou d’un monde numérique) de qualité, en misant notamment sur une meilleure gouvernance du « net », des politiques plus inclusives et protectrices des personnes, tournées tout particulièrement vers les jeunes. Les quatre principes résumés dans l’acronyme ROAM sont le cadre que se donne l’UNESCO pour guider ses actions : R comme Right (respect du droit ou des droits humains) O comme openness (ouverture), A comme access (accès du net à tous yc aux handicapés), M comme multiple stakeholders (prise en compte de l’intérêt de toutes les parties prenantes).

Deux derniers points ont été mentionnés, qui comptent parmi les grandes préoccupations de l’UNESCO : les langues (promouvoir plus de diversité linguistique) et les contenus (privilégier les plus pertinents, ceux qui aident les utilisateurs).

Les questions posées par l’auditoire ont porté sur

  • la façon de lutter contre ceux qui, par le biais de manipulation numérique, menacent nos régimes démocratique ;

  • la lutte contre les effets nocifs de l’anonymat ;

  • la faiblesse des traités internationaux non respectés ou difficiles à élaborer ;

  • la neutralité du net, mises à mal par les orientations du Congrès américain.

Les réponses données à ces questions révèlent la complexité du sujet. Les difficultés sont encore loin d’être surmontées pour parvenir à endiguer les risques auxquels ces questions ont fait allusion.


Deux idées sont mises en évidence comme notes finales :

  • en matière de Régulation, un sujet incontournable, beaucoup reste encore à faire, il y a « beaucoup plus de Terres Promises que de Terres gagnées » ;

  • « mettre l’accent sur la mise en jeu des Responsabilités à assumer » est la piste qu’il faut explorer prioritairement, car là est l’essentiel.

On aurait pu préciser des Responsabilités individuelles et collectives avec de réels engagements et surtout une claire Vision du Monde vers lequel nous voulons aller, au service de l’Homme.


La seconde session a traité des questions pratiques liées au risque du cyberespace dans les entreprises : la sensibilisation interne, l’organisation des protections au-delà des domaines techniques, la nécessité d’une gouvernance de la gestion du risque numérique et d’une responsabilisation devant aller jusqu’aux plus hauts niveaux avec notamment la définition d’une stratégie de défense et la contractualisation d’assurances contre un risque dont on doit mesurer le coût.