FÉDÉRATION FRANÇAISE DES TÉLÉCOMS (FFT)
M. Yves Le Mouël, directeur général de la Fédération française des télécoms
M. Jean-Luc Moliner, président de la commission sécurité de la Fédération française des télécoms
M. Pierre-Yves Lavallade, directeur général adjoint, Fédération française des télécoms
27 février 2014
M. Yves Le Mouël . - Le Premier ministre a présenté tout récemment une série de mesures lors de sa visite à l'ANSSI. Un engagement a été donné et reçu par les opérateurs notamment d' avoir des offres de messageries nationales qui soient sécurisées , chiffrées, avec des messages électroniques transitant ou étant stockés sur des serveurs situés sur le territoire national. Les opérateurs se sont attelés à cette problématique et tout cela nous paraît aller dans le bon sens.
On a vu aussi qu'il y avait une avancée importante entre l'Allemagne et la France sur ces sujets-là et nous sommes en relation avec nos collègues allemands, nous regardons comment cela se déroule dans leur propre pays. Tout cela est positif car la sécurité n'a pas de frontières. Il faut se serrer les coudes si l'on veut essayer de faire barrage à ces attaques potentielles.
Nous sommes en relation assez régulières avec la CNIL sur différents éléments qui concernent non seulement les aspects sécurité mais, globalement, la relation que le citoyen peut avoir avec la numérisation de la société et on participe aux travaux de la CNIL sur ces différents aspects.
À l'heure actuelle, ce qui est important dans les projets de législation, c'est l'approche de la législation sur les données personnelles qui vise à harmoniser les modalités de traitement de ces données dans l'Union européenne et encadrer le transfert de ces données en direction des États tiers. Là encore, on a des problématiques de concurrence avec les entreprises extra-européennes , ce qui constitue pour nous un combat quotidien. De même, des aspects de fiscalité et de sécurité, des réglementations sont également à l'ordre du jour vis-à-vis de ces acteurs mondiaux ; notamment la problématique du statut du Safe Harbor qui est en jeu dans ce cadre-là, vis-à-vis de tous les utilisateurs de nos réseaux, de tous ceux qui mettent sur ces réseaux leurs données personnelles.
L'autre projet important à nos yeux est le projet de loi numérique qui permettra d'adapter la législation nationale sur le numérique à la révolution data , à la globalisation des échanges de données, avec un équilibre à conserver quant aux libertés fondamentales de nos concitoyens. Jusqu'où doit-on aller ? Jusqu'où peut-on aller ? Il ne faut pas qu'il y ait de rejets dans ce domaine-là. Il y a des éléments extrêmement sensibles sur ces sujets ; des organisations, des associations sont très vigilantes sur ces points ou sur ce qui peut apparaître comme un problème posé par telle ou telle orientation législative ou réglementaire.
On a aussi en ligne de mire l'évolution de toute la numérisation de notre société à travers le développement et le déploiement des objets connectés . Au salon de Barcelone, GSMA , il a été relevé que le marché des objets connectés se chiffre en dizaines de milliards. Il va falloir les gérer car ces objets seront en relation et donneront des informations sur la localisation et, éventuellement, sur un certain nombre de données qu'ils seront capables de capter sur les personnes ou sur les situations auxquelles sont confrontées ces personnes ou les objets qui les représentent. On est dans cette problématique face à quelque chose qu'il faut essayer d'anticiper et de gérer au plan national et également sur un plan beaucoup plus large. Pour nous, la façon de gérer passe par différentes définitions de protocoles qui sont importants ensuite à mettre en oeuvre et à gérer d'où une responsabilisation grandissante des opérateurs.
La question centrale reste la mise en place du cadre européen unifié favorable à la sécurisation des données des citoyens européens avec cette problématique de la question de l'asymétrie réglementaire entre les entreprises nationales et les entreprises extra-européennes, mondiales, qui ont souvent une vision assez différente de la nôtre sur ces différents chapitres.
En résumé, trois priorités apparaissent pour l'entreprise : les problématiques de simplification . On sait que c'est au coeur des préoccupations actuelles des pouvoirs publics et il est clair que plus on rentre dans le souhait de vouloir réglementer et organiser, etc., plus on risque, au contraire, la complexification dans la mise en oeuvre de différentes orientations. On est toujours soucieux de préserver cet équilibre entre l'objectif que l'on à atteindre, que l'on partage, qui est celui de la sécurité et de la sécurisation des installations, des transmissions etc., et le souci de simplification avec lequel on est déjà dans une problématique extrêmement lourde de gestion de différentes activités.
Le deuxième point, évoqué précédemment, est l'équité de traitement entre les acteurs nationaux et les acteurs mondiaux . Très souvent, ce que l'on perçoit c'est que, lorsque l'on veut gérer un problème, même si cela part de bons sentiments, on met en place une réglementation ou une législation qui s'adapte parfaitement aux acteurs nationaux, voire européens, qui sont soumis à cette réglementation tandis que les acteurs non européens ne tombent pas, du fait de leur statut, sous le coup de cette législation. En conséquence, on charge de boulets supplémentaires les acteurs nationaux alors que ceux qui seraient visés, notamment par ces tentatives de législation, échappent à ces règles-là parce qu'ils n'ont pas les mêmes statuts, parce qu'ils n'ont pas les mêmes contraintes que les acteurs nationaux. Cela constitue un vrai souci aujourd'hui qui dépasse la France, qui est européen.
Autre souci que l'on a aussi, c'est cet équilibre entre les préoccupations du consommateur, du citoyen et les préoccupations de l'entreprise . Il faut que l'on arrive à trouver un équilibre de façon à ce que les citoyens ne soient pas pris dans cette loi du contrôle permanent qu'ils peuvent rejeter et qui les rendrait prisonniers de leur propre identité sur le numérique. En même temps, les entreprises doivent être aussi dans une situation qui ne soit pas pleine de contraintes excessives pour elles.
Quant aux autres aspects concernant vraiment les entreprises, la Fédération est un peu plus mal à l'aise pour y répondre mais c'est peut-être Orange qui pourra en parler.
Ce que l'on sait sur les entreprises et l'information du personnel au sein de ces entreprises, c'est que, aujourd'hui, très précisément, chaque opérateur délivre des consignes extrêmement strictes pour chacun de ses collaborateurs sur les règles à respecter en matière de sécurité des données de l'entreprise et il y a deux positions par rapport à l'usage d'Internet. Tout ce qui se passe sur l'Intranet de l'entreprise est très protégé mais les collaborateurs, de plus en plus, y ont accès pas seulement depuis l'entreprise mais aussi quand ils sont à l'extérieur. Il y a des consignes très strictes qui sont mises en oeuvre pour cet accès sécurisé via des Virtual Private Network (VPN) ou autres. Tout cela fait partie de la politique de l'entreprise.
Il y a aussi un autre aspect des choses qui est l'intrusion de l'Internet au sein de l'entreprise. Il est difficile de priver certains collaborateurs de l'accès à Internet. Il faut donc aussi sécuriser cet accès Internet pour éviter d'ouvrir une faille de sécurité dans ce dispositif.
M. Jean-Luc Moliner, président de la commission sécurité de la Fédération française des télécoms . - Pour certaines entreprises de télécoms considérées comme des entreprises d'importance vitale , c'est le cas d' Orange , il y a des contraintes nouvelles qui apparaissent. Toute la population dite des administrateurs dispose de postes de travail qui ne sont reliés ni à la messagerie ni à Internet. Cela signifie qu'il leur faut un ordinateur portable spécifique pour intervenir sur un système à distance. S'agissant de la messagerie, ce que reconnaît aujourd'hui la législation, c'est que l'on peut utiliser son adresse personnelle au sein de l'entreprise pour envoyer un courriel personnel. Le courriel est considéré comme personnel dès lors que figure un intitulé dans l'objet précisant qu'il s'agit d'un message personnel. Des procédures existent pour permettre d'avoir des espaces dans lesquels ce qui est identifié comme étant personnel est interdit d'accès à l'entreprise.
Des procédures internes permettent de le garantir. Chacun a un dossier qui s'appelle « personnel » dans le disque dur et ce dossier est considéré comme étant inviolable par l'entreprise ; tout le reste concerne des données de l'entreprise. Il faut bien gérer cette problématique parce que, même si les gens travaillent, ils sont bien obligés de s'occuper pendant quelques minutes de leurs problèmes personnels, notamment en adressant des courriels. Tous nos employés aujourd'hui ont accès à l'Internet et, s'ils utilisent leur messagerie personnelle à des fins personnelles, cela relève de leur propre responsabilité. Il s'agit d'une question d'éducation des employés et l'entreprise doit s'efforcer qu'ils fassent bien la distinction entre l'information qui relève de l'entreprise et ce qui relève de leurs affaires propres et privées.
Parmi les cas d'attaque relevés aujourd'hui figurent des cas de phishing . Par exemple, lorsque les gens mettent leur CV en ligne sur un réseau social, la plupart des attaques procèdent de la manière suivante : l'attaquant passe par le biais de quelqu'un de l'entreprise qui est également inscrit dans ce réseau et accède à d'autres noms de l'entreprise car les gens sont souvent référencés avec la mention de leur adresse électronique professionnelle. Ils sont alors attaqués par l'intermédiaire de leur messagerie professionnelle par un courriel piégé qui a pour but de prendre le contrôle de leur ordinateur.
Le fait de s'exposer, si les gens ne sont pas très prudents sur le type de courriel qu'ils reçoivent, c'est quelque chose qui se produit tous les jours. Des centaines de courriels de ce type-là arrivent dans les entreprises ; c'est la vie de tous les jours dans les entreprises à l'exception d'une minorité d'entre elles, extrêmement sensibles, travaillant dans le nucléaire ou la défense, qui n'ont pas accès à Internet.
Dans les entreprises du monde des télécoms, il est assez difficile d'envisager de laisser les téléphones portables à l'extérieur des salles de réunion. Au contraire, dans des entreprises très sensibles, des mesures très strictes existent, notamment quand il s'agit de projets dits « confidentiels défense » . Des zones réservées au traitement de ces projets-là bénéficient de la précaution consistant à laisser son téléphone portable à l'entrée et aucune connexion Internet n'est possible à l'intérieur de ces espaces. Il s'agit de mesures complémentaires qui ne sont pas représentatives de la vie quotidienne de tous les employés.
Aujourd'hui, la sécurité est aussi une question d'éducation des employés qui devrait commencer par des règles d'hygiène informatique apprises à l'école . Lorsqu'on arrive sur le marché du travail, ce serait souhaitable d'avoir déjà des réflexes bien formatés, un peu comme en matière de sécurité routière. Dans ce domaine, des efforts ont été faits de la part des constructeurs automobiles pour renforcer la sécurité, active et passive, des véhicules, d'autres efforts sur les routes et les autoroutes pour éviter de construire des virages en épingle à cheveux après des kilomètres de lignes droites et, ensuite, il y a eu une éducation forte des conducteurs et, enfin, il y a eu la sanction. Le parallèle avec la circulation routière est assez riche. Internet a vingt-cinq ans au maximum alors que la circulation routière a presque un siècle. Évidemment, Internet et le numérique ne font pas de morts mais il y a beaucoup de brigands sur les autoroutes de l'information , peut-être même est-ce l'endroit du monde où il s'en trouve le plus. En outre, il n'y a pas beaucoup de police qui circule sur les autoroutes de l'information et l'utilisateur est assez peu informé - il est même à classer dans la catégorie des grands naïfs, pour ne pas dire plus.
On est aujourd'hui dans un monde où l'éducation des consommateurs passe aussi par des normes de sécurité comme le font l'ANSSI et l'Union européenne sur ce sujet en essayant d'améliorer un peu la qualité des normes. Avec la difficulté que, dans l'industrie automobile, les normes ont été mondiales ( crash tests acceptés au niveau mondial) alors que dans l'industrie de l'informatique, ce n'est pas du tout le cas aujourd'hui. Il y a une volonté européenne très forte de protection du consommateur, du citoyen, etc., qui n'est pas partagée par toute la planète aujourd'hui. Il n'y a donc pas d'aide à attendre d'un mouvement d'ampleur mondiale.
Aux États-Unis d'Amérique, la conception de la protection des citoyens est assez différente de la conception européenne car beaucoup de choses y sont permises qui ne sont pas autorisées en France.
À noter que ces mêmes actions sont autorisées au Royaume-Uni. Toute l'industrie du logiciel est aujourd'hui d'origine nord-américaine et peu de produits sont d'origine européenne ; à part les SAP qui sont d'origine allemande. D'ailleurs, même si des matériels sont conçus en Europe ou aux États-Unis d'Amérique, ils sont tous fabriqués en Chine.
La maîtrise du numérique dépend de l'endroit où la valeur ajoutée est créée. Ainsi, quand on paie 50 € pour un téléphone, à part la TVA qui est française, le reste est étranger.
Or, on ne peut pas savoir ce qu'il y a derrière les composants à partir du moment où on ne les fabrique pas. Les entreprises doivent rechercher un équilibre permanent entre le risque et les opportunités. C'est pour cela qu'il est assez difficile de légiférer en ce domaine car le contexte évolue à une rapidité stupéfiante et les entreprises doivent procéder à des évaluations de risque . C'est le métier des patrons de la sécurité dans les entreprises de limiter le risque pris. Si l'on part du principe que le téléphone n'est pas très sûr, à ce moment-là on va utiliser d'autres moyens : téléphone fixe, téléphone chiffré, etc. En permanence, il faut rechercher comment l'entreprise peut limiter les risques comme cela est fait pour le risque financier, les risques commerciaux et, maintenant, les risques informatiques à limiter au maximum. On ne sait pas les éliminer complètement car il y aura toujours une part de risque. Dans les bilans des sociétés, il y a souvent des provisions pour risques qui sont, en fait, l'ensemble des risques que l'on n'a pas su éliminer et donc à classer parmi ceux contre lesquels on se protège de manière financière.
En matière de sécurité, il vaut mieux être curieux de nature sous peine de tomber dans la catégorie des naïfs.
Quand on regarde où sont situés les centres de production d'ingénierie du numérique, quand on fait un achat, il ne reste que la TVA pour l'État et la marge du revendeur local. C'est là une retombée de la mondialisation de l'économie.
Tous les opérateurs télécoms achètent beaucoup des technologies peu maîtrisées par les Européens aujourd'hui. Le GSM a été inventé par les Européens, normalisé au niveau mondial par les Européens puis, pour des raisons historiques et économiques, les centres de production et de recherche se sont déplacés dans d'autres endroits du monde.
La maîtrise de l'économie numérique s'apprécie en voyant comment nos industriels sont capables de fournir des solutions aux entreprises de télécommunications, aux entreprises de services, etc. Encore une fois, parler de maîtrise c'est quand même très difficile quand vous ne concevez ni ne construisez tous les équipements que vous utilisez . Nous sommes plutôt dans une gestion du risque et dans le fait qu'on essaie de diminuer au maximum les risques pour nos clients et pour nous-mêmes.
Orange possède ses propres infrastructures en France qui sont maîtrisées par des Français et sont situées en Normandie, le plus gros centre récemment créé étant à Val-de-Reuil. Mais ce n'est pas Orange qui a conçu les ordinateurs qui sont à l'intérieur du système, ce sont IBM et HP , mais tout ce qui se trouve à l'intérieur du centre est maîtrisé par Orange .
Yves Le Mouël . - Il y a une ambition nationale et européenne. Maintenant, il est difficile d'agir seul dans son coin, c'est pourquoi la coopération franco-allemande correspond au désir d'avoir une industrie. Au-delà de la mise en oeuvre d'un centre de données, il y a les composantes de ce centre, sous tous ses aspects, à prendre en compte avec les composants physiques et le logiciel.
M. Jean-Luc Moliner . - Nous nous sommes tournés plutôt vers des solutions open source plutôt que d'utiliser des logiciels venant des États-Unis d'Amérique.
Yves Le Mouël . - À la fin de l'année dernière, nous avons réalisé une étude montrant un certain nombre de choses et, parmi ses recommandations, figure la nécessité d'un véritable building numérique au niveau européen. L'un de ses piliers serait la confiance numérique et, dans le cadre de cette confiance numérique, trois types de propositions seraient possibles : l'une qui serait de réaliser un projet d'identité numérique fondée sur la carte SIM avec une impulsion forte des États et de l'Europe. Face à cela, des acteurs comme Google ou Apple ont une vision sans carte SIM de toute cette problématique.
La deuxième proposition, c'est de mettre en place et promouvoir un label européen de stockage de données .
La troisième proposition est celle de la certification des logiciels et des équipements critiques diffusés en Europe . Il faut que cette sécurité existe plus profondément dans les outils qu'on utilise.
M. Jean-Luc Moliner . - Aujourd'hui, on sait réaliser des logiciels très sûrs , par exemple dans l'aéronautique. Cela a un coût. À l'inverse, le marché grand public est plutôt tiré vers le bas, vers ceux qui proposent les prix les moins élevés.
Le coût de l'expertise d'un matériel est également très élevé . En tant qu'opérateur effectuant ce genre d'évaluation, il faut préciser que cela est extrêmement coûteux en raison du temps que cela demande. Parfois, cela coûte moins cher de fabriquer soi-même plutôt que d'expertiser la sécurité car si l'on veut vraiment aller au fond des choses, cette expertise dure des mois et il faut mettre une dizaine de personnes sur le sujet. Les évaluations, les tests que nous faisons ne sont pas exhaustifs. Nous faisons le maximum de ce que l'on peut faire dans des délais et à des coûts raisonnables.
Il y a aussi l'agence européenne, l' ENISA , qui est l'ANSSI au niveau européen, mais elle ne fait pas ce type d'évaluation ; elle émet uniquement des propositions. Son rôle est utile mais elle n'est pas financée pour faire des évaluations.
À propos des centres de stockage de données , leur visite n'est pas passionnante - il s'agit de rangées d'ordinateurs et il y fait froid - même si cela est assez impressionnant.
Une des grosses questions posées par ces centres de stockage est leur refroidissement. Nous avons choisi une stratégie de free cooling de rafraîchissement de l'air tout simplement par de l'air qui, en Normandie, a une température la plus stable possible. L'air chaud évacué part dans l'atmosphère. Cela a un coût. Le plus impressionnant à voir, ce sont les installations techniques autour des centres.
Yves Le Mouël . - Quant aux noms de domaine , aujourd'hui, c'est l' ICANN qui gère à la fois les noms de domaine et les adresses des utilisateurs . Le président de l' ICANN était à Paris récemment et sa vision peut faire plaisir car une évolution est en cours. Ce président, issu de plusieurs cultures, possède une vision très internationale qui semble aller dans le bon sens pour une internationalisation de la gouvernance de l' ICANN permettant à toutes les parties prenantes de s'exprimer, pour couper le lien avec le gouvernement nord-américain même s'il ne l'exerce pas, paraît-il. Il serait en tout cas intéressant de le couper formellement tout en n'introduisant pas la possibilité que d'autres grandes puissances puissent elles-mêmes exercer une mainmise sur l'Internet.
Il serait également catastrophique de sectionner l'Internet en un Internet chinois, un Internet occidental, etc. Il faut préserver l'universalité de l'Internet tout en préservant une gouvernance qui assure la participation de tous. Cet objectif semble en bonne voie de réalisation. Le président de l' ICANN compte organiser cette association, actuelle structure de droit californien, pour en faire une fondation ayant son siège à Genève qui représenterait par conséquent plus facilement cette vision multinationale, internationale, de la gestion de la gouvernance de l'Internet.
L' ICANN gère la couche basse de l'Internet avec les noms de domaine et les adresses et tout le monde a une autre problématique qui s'ajoute à celle-là qui est la problématique globale de la sécurité et des usages qui sont faits de l'Internet. La vision que, aujourd'hui, essaie de populariser l' ICANN , c'est d' aller vers une gouvernance mondiale de l'Internet qui ne soit pas l'ONU, qui ne soit pas non plus sous l'emprise des seuls États mais regroupe l'ensemble des parties prenantes bien représentées pour gérer les noms de domaine et avoir une forme de gestion sur les couches plus hautes de l'Internet.
La croisade que mène le président de l' ICANN , à condition qu'elle se concrétise, va dans le sens d'un meilleur équilibre entre toutes les parties prenantes D'où son voyage en Europe pour rencontrer le maximum d'interlocuteurs, pour drainer dans cette gouvernance des entreprises européennes et françaises en particulier. Il est venu nous voir pour que les entreprises françaises participent davantage afin qu'il n'y ait plus seulement, autour de la table, des ingénieurs américains.
Une des raisons pour lesquelles les Anglo-Saxons ont la mainmise sur cette organisation, c'est que les Européens se sont présentés en ordre dispersé ou étaient absents.