SYNTHÈSE DE CLÔTURE PAR M. MICHEL
COSNARD,
PRÉSIDENT-DIRECTEUR GÉNÉRAL DE L'INRIA
M. Michel Cosnard, président-directeur général de l'Inria. C'est une lourde charge que de proposer une synthèse de quatre tables rondes qui ont rassemblé vingt-cinq orateurs et suscité de multiples questions. Je remercie ceux qui ont contribué à la richesse des débats, et souhaite que cette réunion en appelle d'autres du même type.
La première table ronde de la matinée, consacrée à la place du numérique dans la gestion de la menace stratégique, a proposé un état des lieux en matière de cybersécurité. Dans ce domaine, le nombre d'attaques augmente de manière exponentielle. M. Chauve a montré la gradation d'une menace, qui va de la simple revendication ou de l'affichage de messages sur des sites officiels, par le biais du hacking, jusqu'au cyberespionnage, voire au cybersabotage. Les attaques sont imputables à des empilements chancelants de technologies. La maîtrise technologique doit pouvoir s'appuyer sur la confiance pour qu'on puisse construire une politique industrielle.
M. Grumbach nous a alertés sur le fait que les questions de souveraineté s'étendent au domaine des données, notamment personnelles. Il juge important que la France et l'Europe disposent d'une stratégie de récolte et de stockage, afin d'exploiter et de transformer ces données.
M. Pailloux a expliqué la stratégie de réponse élaborée par l'ANSSI. Elle se développe selon trois axes : conserver la capacité de protéger les informations essentielles, renforcer la sécurité des informations globales, promouvoir la sécurité dans le cyberespace. Selon lui, il existe une « hygiène informatique » que chacun doit respecter.
M. Bockel a présenté les grandes lignes de son rapport d'information sur la cyberdéfense, domaine où des progrès importants ont été accomplis. S'il faut donner la priorité à ce secteur, on doit aussi renforcer la cybersécurité et définir une stratégie européenne. M. Bockel propose également de créer une cyberréserve citoyenne - pour mobiliser des citoyens sur le territoire national en cas d'attaque massive -, d'adapter la législation au problème de la cybercriminalité et de rendre obligatoire la déclaration d'incidents. La communauté nationale doit être sensibilisée à ces enjeux majeurs.
M. Rihan Cypel nous a informés que le Livre blanc sur la défense, en préparation, ferait de la cyberdéfense un sujet majeur de sécurité nationale, de protection des entreprises et de lutte contre la cyberescroquerie. Il a plaidé pour la création de filières universitaires, en rappelant que les risques pouvaient aussi être considérés comme des opportunités économiques.
M. Latty a détaillé les mesures prises par le ministère de la défense dans le cadre d'un schéma directeur de cyberdéfense et de cybersécurité.
Au cours de la deuxième table ronde, consacrée à la fiabilité et à la sécurité numérique des systèmes d'armes, M. Brugère a rappelé les étapes d'une conception sûre : établissement d'une chaîne de confiance ; maîtrise des technologies critiques ; développement d'expertises pointues liées à la sécurité des systèmes de défense et des infrastructures critiques ; mécanismes de surveillance et de détection ; partenariats de confiance.
M. Terrier a développé la notion de conception sûre. Tous les objets embarquant aujourd'hui de l'intelligence, ils doivent, pour communiquer, disposer d'une capacité d'adaptation et d'ouverture ; de ce fait, ils sont plus fragiles face aux attaques, et leur conception est plus délicate. Il a plaidé pour la mise en place d'une ingénierie système et logicielle à partir de briques fiables, dont les capacités ont été démontrées formellement.
M. Ripoche a indiqué que les risques, qui dépassent le cadre des équipements, s'étendent aux composants logiciels et, par-là, aux armes de défense. Il a souligné l'importance de la dualité civil-défense pour coordonner les efforts de recherche. Il a aussi montré l'intérêt et la fragilité de l'interopérabilité des systèmes d'armes dans des alliances comme l'OTAN. Le risque est gérable, à condition d'y consacrer les moyens.
M. Moliner s'est intéressé à la sécurité des grands systèmes de communication, à l'heure où des milliards d'objets sont connectés à Internet et où explose le trafic de données. Disposer de réseaux fermés étant impensable, la confiance devient un enjeu essentiel.
M. Malis a rappelé le rôle majeur qu'ont joué les évolutions technologiques dans les grandes confrontations, des guerres napoléoniennes à la Seconde Guerre mondiale. La maîtrise industrielle et technique est indispensable. Il faut considérer que l'ennemi est intelligent et s'intéresser à sa doctrine, impératif que l'on sous-estime parfois dans le domaine du numérique.
M. Mallet a rappelé le caractère exponentiel des cyberattaques et l'aggravation de la menace, bien que des stratégies de défense soient en cours d'élaboration. L'échelle de la menace dépasse les limites habituelles de la guerre ou de la dissuasion. La capacité de certains États à prendre le contrôle d'infrastructures ou d'entreprises ouvre des espaces insoupçonnés. Des groupes non étatiques peuvent développer des stratégies pour utiliser ces failles et ces espaces, afin de mener des guerres asymétriques. Le monde numérisé offre cependant des outils pour résister. Même si nous sommes toujours à la merci d'un Pearl Harbor numérique, nous devons collectivement construire notre capacité de défense. M. Mallet a présenté l'organisation du ministère de la défense, depuis la chaîne de commandement opérationnel jusqu'aux investissements humains et techniques. Enfin, il a rappelé la dimension sociale et citoyenne du problème, en reprenant la proposition présentée par M. Bockel de créer une réserve citoyenne de cyberdéfense.
L'après-midi a été consacré aux moyens de prémunir la société contre le risque de dépendance numérique. Au cours de la première table ronde portant sur la sûreté numérique dans la gestion courante, M. Berry a rappelé l'origine et l'importance des bugs, en insistant sur la formation. Il juge préoccupant qu'on ne réserve pas au génie logiciel la même place qu'au génie mécanique.
M. Erman a montré que la protection des données allait devenir une préoccupation de sécurité nationale, ce qui est déjà le cas aux États-Unis.
M. de la Boulaye a traité de la sécurité des données dans le cadre de la domomédecine.
M. Dowek a présenté des cas de dysfonctionnement des systèmes informatiques.
Quant à M. Bolignano, il a évoqué les travaux conduits dans le cadre de la preuve de programme.
Au cours de la dernière table ronde, portant sur l'installation insidieuse d'une vulnérabilité numérique tous azimuts, M. Oullier a distingué la notion d'addiction et celle de dépendance, en rappelant qu'il n'y avait pas lieu d'assimiler certains nouveaux comportements à des problèmes cliniques.
M. Valleur a étendu la réflexion aux jeux sur Internet. L'éducation et la formation apportent des réponses dans ce domaine. Le développement de la qualité des jeux en réseau est la meilleure prévention de l'addiction. On parle parfois de « serious games ». Peut-être faut-il être plus sérieux pour jouer en réseau, sans perdre de vue la dimension ludique.
M. Grumbach, qui s'interroge sur les transformations durables de la société, a posé le problème de la protection de la vie privée, envisagé dans le cadre des réseaux sociaux par M. Abiteboul. Celui-ci identifie quatre leviers pour agir : la loi, les associations de consommateurs, l'éducation et la recherche.
Mme Nerbonne a montré que les internautes sont moins bien protégés que les citoyens. La loi relative à l'informatique et aux libertés étant devenue insuffisante, un règlement européen est en cours d'élaboration, car chacun doit pouvoir s'opposer ou consentir à l'utilisation de ses données personnelles.
Mme Torrès a expliqué qu'il existe un socle juridique protégeant ces données. Elle fait appel au législateur pour qu'il remplisse le vide juridique concernant leur propriété.
À partir de l'exemple d'Areva, Mme Legras a réfléchi sur la protection des données concernant les employés et sur le rôle joué par le correspondant « informatique et libertés ».
Un débat s'est élevé ensuite sur le vol de l'identité numérique, qui peut justifier la création d'un service public de l'identité numérique.
Un des maîtres mots de nos échanges a été l'éducation, qu'il s'agisse de se doter d'experts en matière de sûreté, de sécurité ou de fiabilité, ou tout simplement de comprendre le monde. L'OPECST a encore beaucoup de travail devant lui !
M. Jean-Yves Le Déaut, premier vice-président de l'Office. Au cours de cette journée, beaucoup de sujets ont été abordés. Le développement du numérique et les risques qu'il présente sont un sujet très vaste, dont ni l'État ni le Parlement ne doivent se désintéresser. Nous avons travaillé en amont de la législation et de la régulation, pointant la nécessité d'instaurer un contrôle, mais, pour avoir déjà travaillé ici sur la cybercriminalité en 2005, nous savons combien il est difficile de mettre en place des règles de droit dans un domaine international et dématérialisé. Des constantes apparaissent cependant au niveau national, notamment la nécessité de développer la formation et la recherche, en ménageant la dualité du civil et du militaire. C'est ce que fait Thales, sous l'égide de Prix Nobel de physique Albert Fert. Le soutien à la recherche, comme le rôle des associations et du citoyen, est un enjeu essentiel pour le législateur.
Je vous remercie.