• il y a 8 mois
Jeudi 28 mars 2024, SMART TECH reçoit Guillaume Tissier (directeur, Forum InCyber) , Tariq Krim (fondateur, cybernetica.fr) et Karine Bannelier (maître de conférences en droit international et directrice, Grenoble Alpes Cybersecurity Institute)

Category

🗞
News
Transcription
00:00 [Musique]
00:08 Bonjour à tous, bienvenue dans ce Smartech spécial Forum in Cyber.
00:12 Ça va être un format débrief, on va commenter l'actualité de la cybersécurité aujourd'hui
00:16 avec Guillaume Tissier, Tariq Krim, Karine Bannelier.
00:19 Merci beaucoup d'être mes invités.
00:21 Évidemment, on va parler de ces grands sujets qui font la cyber les grandes tendances,
00:25 les grands défis à relever.
00:27 Et puis on s'intéressera aux questions de coopération internationale,
00:30 aux questions d'indépendance aussi technologique dans ce domaine.
00:34 Voilà en gros pour le menu du débrief, ça démarre tout de suite.
00:37 [Musique]
00:42 Alors mes débatteurs aujourd'hui pour ce débrief spécial Forum in Cyber,
00:45 je vous les présente tout de suite.
00:47 Guillaume Tissier, bonjour, merci de nous accueillir.
00:49 Accueillir doublement parce que vous êtes le directeur général de ce Forum.
00:53 Qu'il se passe bien ?
00:54 Très bien.
00:55 Il y a un monde incroyable sur cette édition.
00:56 Oui, il y a effectivement un peu plus de monde que l'année dernière.
00:58 Oui.
00:59 Tariq Krim est également avec nous, fondateur de Cybernetica.
01:02 Bonjour Tariq.
01:03 Bonjour Delphine.
01:04 Merci d'être régulièrement dans Smartech.
01:06 Et puis Karine Bannelier, très heureuse de vous recevoir Karine.
01:10 Vous êtes directrice du Grenoble-Alpes Cyber Security Institute,
01:14 CyberAlpes pour faire court.
01:16 Bienvenue à vous.
01:17 Vous allez nous parler en l'occurrence de cette question cruciale,
01:20 la coopération internationale dans le domaine de la cybersécurité.
01:23 Mais avant, je voulais qu'on revienne sur ces grands sujets qui font la cybersécurité
01:28 avec une année un peu particulière, électorale, les Jeux olympiques
01:32 qu'on attend sur Paris pour cet été.
01:34 Ça fait quand même beaucoup de défis à relever en matière de cybersécurité.
01:37 Je me demandais si ce n'était pas aussi une grosse pression pour l'écosystème, Guillaume ?
01:41 Effectivement, à la fois le contexte géopolitique et puis les JO vont nous mettre à l'épreuve, clairement.
01:48 Alors on s'est préparé.
01:50 Mais ce qu'on peut dire, c'est qu'on a une concentration de facteurs de risque liés à l'intensité en matière de communication,
01:56 évidemment, sur cet événement, lié à la multiplicité des systèmes et la diversité des technologies,
02:01 à la multiplicité des acteurs concernés aussi.
02:04 Alors, comme je le disais, on s'est préparé.
02:06 C'est à dire que ça fait quand même déjà plusieurs années que certains travaillent.
02:10 On a fait beaucoup d'analyse de risque en amont.
02:12 Tout un dispositif a été mis en place avec également des acteurs privés.
02:17 Des scénarios de risque ont été préparés.
02:20 À quoi on doit s'attendre ?
02:23 Alors, on s'est préparé par rapport à des scénarios.
02:26 Maintenant, c'est souvent évidemment une combinaison de ces scénarios qui arrivent.
02:30 On s'est préparé à de l'activisme.
02:32 Ça, c'est évident.
02:34 On a eu des démonstrations d'ailleurs ces derniers jours avec des actions sans doute en déni de service.
02:39 On s'est préparé aussi à des actions plus graves qui peuvent être des actions même de sabotage.
02:45 On a vu dans des JO précédents à Londres en 2012, par exemple,
02:48 ce qui s'est pu se passer au deuxième jour avec pendant 40 minutes une perturbation du système d'alimentation électrique.
02:55 On a eu également de la cybercriminalité avec des sites de hameçonnage,
02:59 avec des ventes de faux jetons officiels, des choses comme ça.
03:03 Donc, on a une large diversité de menaces qui appellent évidemment des actions de protection, de prévention.
03:12 Donc, toute une gouvernance a été mise en place. Il y a un budget aussi sécurité.
03:16 Et on en a parlé puisque le RSSI des JO était là ce matin.
03:21 Donc, il faut être vigilant. Alors, je pense que la peur n'est pas forcément bonne conseillère.
03:24 Donc, il faut être vigilant. Je crois que c'est le terme.
03:28 Et puis, c'est un événement international.
03:31 Donc, il n'y a pas uniquement la France qui va être mobilisée sur cette question.
03:34 Carine Badelier, ça pose des questions.
03:36 Là aussi, c'est un peu un vrai ballon d'essai en matière de cybersécurité
03:41 gérée au niveau international.
03:43 Oui, effectivement, on peut et on sait d'ailleurs qu'il y a une collaboration très forte actuellement
03:49 entre les Etats pour la sécurisation des Jeux olympiques de Paris.
03:54 Donc, sans doute une collaboration entre les autorités de police et de justice.
03:59 Aussi, une collaboration entre les services de renseignement de différents Etats
04:02 pour s'assurer que cet événement se passe en mieux.
04:06 Alors, Marie-Laure Denis est venue ici sur ce forum in cyber.
04:10 Donc, la présidente de la CNIL nous dire qu'il fallait enfin appeler la cybersécurité
04:16 comme une grande cause nationale.
04:19 Vous la rejoignez sur ce point, Tariq Krim?
04:22 Je pense que tous les experts de la cybersécurité savent depuis très longtemps
04:26 que c'est un des sujets dominants.
04:28 Mais ce qui est nouveau, et je pense que l'année 2024 sera peut être l'année
04:32 où on sort d'une certaine ambiguïté.
04:34 C'est-à-dire que finalement, on avait la cybercriminalité,
04:37 on avait les questions d'Etat.
04:40 Et ce que l'on voit aujourd'hui, c'est qu'on est passé de la dualité
04:43 où le mode opératoire militaire et le mode opératoire d'attaque civile
04:47 étaient séparés, à une hybridité où désormais, finalement, les mêmes réseaux,
04:52 que ce soit les réseaux sociaux, que ce soit les plateformes Internet,
04:55 que ce soit les sites, se retrouvent à la fois, comme tu l'expliquais,
05:01 face à des activistes, face à des opérations de politique intérieure,
05:05 face à des criminels, mais également face à des Etats.
05:09 Et donc on se retrouve avec une menace qui est très diversifiée,
05:13 mais avec des canaux qui sont les mêmes.
05:15 La désinformation, avec l'utilisation des deepfakes peut-être utilisées
05:19 à des fins civiles ou militaires, ce sont les mêmes qui les utilisent.
05:24 Et donc il y a effectivement une nouvelle complexité.
05:27 C'est vrai que les spécialistes du domaine doivent désormais identifier
05:31 quel type de menace, quel type d'acteur.
05:33 Parce qu'évidemment, on ne réfléchit pas de la même manière
05:36 avec des acteurs de type étatique et de simples cybercriminels
05:41 à la recherche de profit.
05:43 On a aussi Vincent Strubelle de l'Annecy qui nous dit que c'est un test inédit.
05:48 Ça pèse lourd, j'imagine, sur les épaules de l'écosystème
05:52 qui est là, rassemblé aujourd'hui au Forum Insider.
05:54 Clairement, l'écosystème est mobilisé.
05:56 Donc ça, c'est le côté positif.
05:58 C'est-à-dire que je pense qu'avoir des moments comme ça d'intensité,
06:03 ça permet d'éprouver le dispositif.
06:06 Il y a eu beaucoup d'entraînement en amont, ce qu'il faut dire.
06:08 Et je crois que l'entraînement est un sujet absolument essentiel.
06:10 Quand on a une situation de crise à gérer, évidemment, mieux vaut être préparé,
06:13 mieux vaut avoir des procédures.
06:15 Et le point important, et Vincent Strubelle le disait,
06:18 c'est aussi la scalabilité du dispositif.
06:20 C'est-à-dire que c'est toute la difficulté, c'est de pouvoir monter le dispositif
06:23 escaladé, comme on dit, de façon à pouvoir répondre
06:27 à un incident, à deux incidents.
06:29 Et puis peut-être on aura des pics avec beaucoup d'incidents.
06:31 Et peut-être avec des fausses alertes.
06:33 On a vu là ce qui se passe par exemple dans les lycées,
06:35 avec quand même les espaces numériques de travail
06:38 qui ont été piratés, des usurpations d'identité,
06:41 des alertes, des fausses alertes, des vraies alertes,
06:43 on ne sait pas, mais tout le temps, tout ce temps finalement
06:46 où l'on se mobilise sur ces attaques...
06:48 C'est là qu'elle est la difficulté.
06:50 On ne mobilise pas peut-être là où il faudrait.
06:52 Il peut y avoir de la diversion.
06:54 Et clairement, le sujet c'est d'arriver à trier.
06:58 Et ça c'est le travail formidable qui est fait au quotidien
07:01 par notamment tous les gens qui font de la supervision,
07:04 de sécurité, qui consiste à aiguiller, à recueillir
07:07 les incidents et ensuite à détecter parmi ces incidents,
07:12 alors on est aidé heureusement par l'IA, de plus en plus,
07:15 mais tout ne se fait pas automatiquement.
07:17 Et là le sujet, ce sera effectivement de s'assurer
07:19 qu'il n'y a pas dans tous ces incidents,
07:22 l'incident qui aura les conséquences les plus importantes,
07:25 qui sera peut-être caché parmi d'autres, volontairement d'ailleurs.
07:28 Alors on va parler justement de cybersécurité et d'intelligence artificielle.
07:31 Pourquoi on parle d'IA ici ?
07:33 Parce que c'est le mot à la mode en ce moment
07:35 où vraiment c'est un nouveau défi qui s'impose.
07:38 Parce que l'IA dans la cybersécurité,
07:40 ça fait quand même plusieurs années qu'on en parle,
07:42 mais il s'est passé des choses quand même nouvelles,
07:44 les IA génératives, une grosse accélération dans les usages.
07:47 Qu'est-ce que ça pose comme nouvelle question
07:49 en matière de cybersécurité ? Tariq ?
07:52 En matière de cybersécurité et en matière généralement de...
07:58 plus général, ce qui est intéressant avec l'IA générative,
08:01 c'est qu'on amplifie le travail des développeurs.
08:04 Désormais on peut écrire du code aidé par une IA,
08:07 on peut trouver des vulnérabilités aidées par une IA,
08:10 donc il y a cette amplification du savoir,
08:12 il y a les deepfakes, il y a un ensemble de choses
08:14 qui font que finalement, l'état de la menace
08:17 est beaucoup plus important,
08:19 puisque désormais un petit groupe de gens
08:22 aidés des bonnes technologies
08:24 peut en fait avoir autant d'effets
08:26 que des gens mieux financés,
08:28 plus nombreux il y a quelques années.
08:30 Donc il y a un vrai sujet.
08:32 Ce qui est vrai dans la productivité en général
08:34 est aussi vrai dans la productivité
08:36 en termes de cybercriminalité.
08:38 Donc effectivement, c'est un risque.
08:40 Ça veut dire aussi, c'est l'espoir que de l'autre côté,
08:43 il y a du côté des gens qui défendent ces plateformes,
08:46 l'idée c'est que cette technologie puisse les aider
08:49 évidemment à naviguer à travers un nombre
08:52 de plus en plus important d'attaques,
08:54 avec le risque qui était soulevé par Guillaume
08:57 qui est les trous dans la raquette
08:59 qui peuvent être effectivement très dommageables.
09:01 Est-ce que ça veut dire qu'il faut réinventer des choses
09:03 en matière de cyber là,
09:05 cette utilisation finalement massive de l'IA
09:08 est très simple entre les mains de tout le monde ?
09:10 Il faut que les experts de chaque côté
09:12 fassent un pas l'un vers l'autre.
09:14 On a peut-être des communautés qui sont encore un peu trop séparées.
09:16 On ne se parle pas beaucoup entre expert de la cyber
09:18 et expert d'intelligence artificielle ?
09:20 Il y a déjà de l'IA, comme on le disait,
09:22 dans la cybersécurité depuis assez longtemps.
09:24 C'est clair que l'IA générative,
09:26 c'est encore une vague supplémentaire.
09:28 Aujourd'hui, on observe effectivement
09:30 un début de prise de conscience, je pense,
09:32 sur le fait que ces usages de l'IA générative,
09:36 si on n'intègre pas de la sécurité,
09:39 à un moment ou à un autre, il y aura un problème de confiance.
09:41 On a vu ce matin, par exemple,
09:43 le témoignage de Mitril Security,
09:45 qui justement est là pour fournir
09:48 des IA sécurisées, garantissant notamment
09:52 la sécurité des données qui sont injectées dans les IA.
09:55 Et donc ce mariage, je pense, est assez indispensable.
09:58 Ça, c'est toujours difficile.
09:59 Quand on est dans une course à l'innovation,
10:01 on n'a pas forcément envie tout de suite de se freiner
10:03 avec de nouvelles contraintes, notamment en cyber, c'est ça ?
10:06 Certes, mais en même temps, ce n'est pas une option, je pense,
10:08 parce que la confiance sera à ce prix-là.
10:10 Et on a besoin de confiance.
10:13 Donc ensuite, la technologie est toujours, de toute façon, alliée et ennemie.
10:16 Alliée parce que l'IA permet d'automatiser,
10:19 d'améliorer la détection, de faire plein de choses.
10:21 Et puis, c'est l'IA potentiellement ennemie,
10:24 au sens où, d'une part, il y a le shadow IA
10:27 qui s'installe petit à petit dans les entreprises,
10:29 qui peut, s'il n'est pas maîtrisé, porter des vrais risques.
10:33 On a des exemples de fuites de données
10:36 générées par des déploiements d'IA individuels,
10:39 quelque part mal maîtrisés.
10:41 Tout un chacun qui utilise chaque GPT dans son contexte professionnel
10:43 peut faire porter des risques,
10:45 notamment s'il exporte des données à l'extérieur.
10:48 Et puis après, c'est effectivement l'IA utilisée par les attaquants.
10:51 C'est les attaquants visant spécifiquement les IA.
10:54 Donc c'est effectivement très ambivalent.
10:57 Tariq, vous vouliez réagir ?
10:59 Plus généralement, on a beaucoup parlé de souveraineté numérique.
11:03 Et aujourd'hui, un des nouveaux sujets qui va émerger,
11:05 c'est la question de l'autonomie cognitive.
11:07 C'est-à-dire que finalement, si on déporte une partie
11:09 de notre capacité à réfléchir sur les machines,
11:12 qui les produit ? C'est toujours la même question.
11:14 Qui les produit ? Comment ?
11:16 Est-ce qu'on n'est pas dans des enfermements cognitifs ?
11:18 Est-ce qu'on n'est pas dans la désinformation de masse ?
11:20 Et donc, énormément de sujets.
11:22 Et c'est vrai qu'on a cette période très bizarre, ambivalente,
11:25 où on est à la fois au cœur d'une nouvelle révolution,
11:28 comme l'a été le cloud, comme l'a été le Web.
11:31 Et en même temps, on est au cœur d'une crise géopolitique majeure
11:34 et on se pose à chaque fois la question.
11:37 Vous vous rappelez, quand le Web a démarré, c'était que du positif.
11:41 Et aujourd'hui, l'IA n'a à peine commencé, l'IA générative,
11:44 son début de chemin que pour l'instant, on ne parle d'extinction de l'humanité,
11:48 de désinformation, de deep fake.
11:50 Donc, il y a un narratif différent.
11:52 Mais ça, c'est depuis le début de l'intelligence artificielle, presque.
11:55 J'ai envie de dire, c'est peut-être du fait du nom qu'on lui a donné aussi.
11:59 Il y a ça, mais il y a aussi un contexte, c'est-à-dire que
12:01 la technologie, des années après, on l'a dit, la moitié de la planète va voter.
12:06 Donc, des années après les élections américaines, le Brexit,
12:09 l'utilisation de technologies, finalement,
12:12 beaucoup plus sommaire que celle dont on a à sa disposition.
12:16 Quand vous regardez Sora, les capacités de générer des vidéos deep fake
12:19 en haute résolution, de la propagande haute fidélité en temps réel,
12:23 on se pose beaucoup de questions.
12:25 Je pense que les gens ont raison de se les poser.
12:27 Il faut voir effectivement qu'elles seront les. Il faut éduquer les gens.
12:31 Et je crois qu'on le disait tout à l'heure. Ce qui est critique,
12:33 c'est que des acteurs qui, jusqu'à maintenant, ne se parlaient pas,
12:36 que ce soit le monde militaire, le monde de l'entreprise,
12:39 le monde de la cyber, le monde de l'IA, doivent évidemment collaborer.
12:43 Et le monde politique aussi. Thierry Breton a ouvert ce forum.
12:48 Il nous dit que finalement, aujourd'hui, en Europe,
12:50 on a des armes pour répondre à cette révolution qui est l'intelligence artificielle,
12:55 notamment les supercalculateurs et l'AIACT,
13:00 le règlement européen qui doit nous protéger. Karine Manolio.
13:04 En effet, et l'Union européenne, finalement, les Européens sont finalement
13:08 connus sur la scène internationale pour leur capacité à encadrer,
13:11 à réguler les nouvelles technologies. C'est ce que nous avons fait déjà
13:15 sur la protection des données personnelles, ce qui était un levier extraordinaire
13:19 sur la scène internationale pour la montée en puissance de l'Union européenne
13:23 comme un modèle dans ce domaine-là. Nous l'avons fait ensuite en travers
13:26 la protection des infrastructures critiques, notamment dans le domaine
13:30 de la cybersécurité avec NIS et puis NIS2, la directive NIS2 qui va être
13:35 implémentée en France au mois d'octobre 2024. Et derrière, on a AIACT.
13:39 Donc, on a un cercle qui peut sembler vertueux en Europe de régulation,
13:44 d'encadrement de ces technologies, cybersécurité, données et intelligence artificielle.
13:49 - Vous nous dites "qui peut sembler". - Qui peut sembler, puisqu'on connaît
13:53 aussi les détracteurs qui pensent peut-être que l'Europe régule trop,
13:59 qu'elle encadre trop et qu'il y a peut-être ici un frein à la compétitivité,
14:03 à l'innovation. Et donc, il y a un équilibre à trouver entre nécessité
14:08 de régulation et puis compétition et innovation.
14:12 - C'est peut-être pour ça que Thierry Breton a parlé aussi de la puissance
14:16 de calcul, pas seulement des règlements. Oui, Guillaume.
14:20 - Oui, il a effectivement parlé de ce qui compose la puissance à l'air de l'IA.
14:25 Et on sait que l'IA, il y a quand même des facteurs de concentration.
14:29 La disponibilité des GPU, 80% du marché pour NVIDIA, il faut le dire.
14:34 Il y a l'accès à tout cela. Il y a évidemment aussi la partie infrastructure.
14:40 Il ne suffit pas d'avoir des très bons moteurs. Il faut aussi pouvoir les héberger
14:45 sur des infrastructures. Et donc, on pense quand même pour rejoindre le sujet
14:49 que Thierry abordait sur la souveraineté. À l'air de l'IA, clairement,
14:55 on a des risques supplémentaires et une dépendance accrue de ce fait là.
15:01 - Thierry ? - Sur ces questions, il y a deux questions à se poser.
15:04 En fait, la première, c'est quels sont les business models sur lesquels
15:07 on peut se positionner ? Alors aujourd'hui, la question des puces, c'est un vrai sujet.
15:11 Donc la fabrication, c'est le premier problème. La deuxième, c'est l'accès à ces puces.
15:15 Les dernières puces de toute dernière génération qui ont été annoncées
15:18 il y a quelques semaines sont déjà chez Amazon, chez Google, chez les grands groupes.
15:23 On a deux acteurs. On a SAP, je crois, en Europe. Mais ça va être très difficile
15:26 de se procurer ces puces. Et puis, un avantage aussi important, c'est que l'IA générative
15:32 ne s'appuie pas sur des données, mais sur de la culture, sur des éléments culturels.
15:36 Et l'Europe est un paradis culturel d'une certaine manière.
15:39 Et donc, il va falloir trouver une manière de transformer toute cette valeur économique
15:45 et culturelle grâce à l'IA et ne pas être simplement un fournisseur de matières premières
15:51 à des plateformes qui vont faire des profits ailleurs parce qu'elles auront finalement l'ensemble.
15:56 Qu'est-ce qu'on pourrait mettre en place ? Il y a déjà des initiatives en Europe,
16:00 notamment pour remplacer les droits d'auteur avec des outils d'IA qui respectent le droit d'auteur
16:06 qui sont en train de mise en place. Il y a aussi l'accès à des puissances de calcul
16:11 parce que c'est vrai qu'une entreprise comme Microsoft peut investir énormément d'argent
16:16 pour avoir toutes les puces. Et nous, ça ne peut se faire qu'au niveau européen.
16:20 Mais attention, il faut faire attention aussi que cette puissance de calcul soit offerte
16:24 aussi à tous les innovateurs et qu'on ne se retrouve pas qu'avec toujours les mêmes
16:28 qui ont accès à ces choses. Ce qui est intéressant dans l'IA, c'est que dès qu'on a accès aux données,
16:32 à la puissance de calcul, on peut inventer des nouvelles choses. Et là, c'est vrai que pour l'instant,
16:37 en Europe, ce n'est pas tellement une question de compétence, mais plutôt d'accès aux ressources
16:41 qui nous bloquent. Karine, vous vous intéressez à cette question de la coopération internationale.
16:47 Mais qu'en est-il déjà de la coopération européenne entre les Etats membres ?
16:52 On pourrait dire quand même que la coopération européenne semble réussie puisque nous avons été
16:57 capables en Europe d'adopter ces directives, ce règlement sur la protection des données,
17:03 ces directives NIS 1 et NIS 2, maintenant l'IACT. Donc il y a une réelle coopération
17:10 entre les Etats européens avec sans doute, je pense, des leaders, et notamment la France,
17:15 qui est manifestement un leader en matière de cybersécurité et de régulation,
17:20 mais avec aussi cette capacité, parce que je pense que c'est ça la difficulté,
17:23 c'est qu'il y a quand même des niveaux de capacité entre les Etats européens qui sont quand même très différents.
17:29 Et donc il faut arriver à entraîner ces pays sur le meilleur niveau de régulation.
17:35 Et ça, je pense que c'est quelque chose qui est extrêmement complexe, mais que la France est arrivée,
17:39 je trouve, à faire à travers notamment NIS 2.
17:42 Et alors si on passe vraiment à l'échelle internationale, c'est l'autre sujet que je voulais qu'on aborde ensemble.
17:47 Comment ça s'organise aujourd'hui entre les services de police, les autorités judiciaires,
17:53 pour qu'on arrive à combattre le cybercrime à l'échelle à laquelle il est en fait, à l'échelle mondiale ?
18:00 Là, ça devient extrêmement difficile et très politique.
18:04 Alors on peut le faire dans un cadre régional, lorsque les Etats ont finalement des fondements communs.
18:11 Et c'est ce qu'on réussit très bien à faire dans le cadre de la Convention de Budapest,
18:14 qui est la convention du Conseil de l'Europe, où tous les Etats européens sont partis à cette convention contre la cybercriminalité.
18:20 Mais aussi d'autres Etats occidentaux, les Etats-Unis, le Japon, l'Australie, le Canada,
18:26 mais avec des bases communes. Et là, il y a une formidable coopération et aussi d'Europole.
18:31 Ensuite, si on veut monter sur le niveau universel, là les choses deviennent extrêmement complexes,
18:35 puisque nous avons la Russie, nous avons la Chine,
18:38 qui veulent combattre le modèle de protection des droits de l'homme européen
18:44 et qui peuvent essayer d'utiliser cette lutte contre la criminalité internationale
18:49 pour essayer d'avancer d'autres modèles qui ne sont pas compatibles avec nos propres protections des droits de l'homme.
18:55 On peut citer un exemple de coopération réussie très récente, c'est l'opération Kronos en février.
19:01 Europole, une dizaine de services de police et de gendarmerie à travers le monde.
19:05 On a abouti à deux arrestations, 34 serveurs saisis et des serveurs importants,
19:10 notamment le mur où le groupe Lockbit publiait tous ses méfaits.
19:17 200 portefeuilles de crypto-monnaies saisies.
19:21 Donc ça, c'est une réussite vraiment très, très, comment dire, récente et qui montre bien
19:30 que la coopération lorsqu'elle fonctionne permet de compenser quelque part la symétrie
19:35 dont on parle toujours entre l'attaquant et le défenseur.
19:37 Le défenseur qui connaît des frontières, qui a des règles juridiques,
19:41 avec des cloisonnements entre les pays et un attaquant qui, lui, ne connaît pas les frontières,
19:46 coopère facilement, ne s'embarrasse d'aucune règle.
19:49 Et donc la seule solution pour finalement compenser cette asymétrie, c'est la coopération.
19:53 Alors effectivement, c'est Jean-Philippe Lecouf qui est venu sur le forum
19:56 parler de cette opération réussie.
19:58 Notamment, il y en a une autre que j'avais relevée.
20:01 Donc c'est cette réussite aussi, mais du côté plus anglo-saxon.
20:05 C'est les Etats-Unis, la Grande-Bretagne et la Nouvelle-Zélande qui ont fait un front commun
20:09 pour accuser la Chine et en l'occurrence les groupes APT31 et APT40
20:15 sur la prolifération de cyberattaques visant à faire de l'espionnage,
20:23 de l'espionnage économique, géopolitique.
20:26 Pourquoi on retrouve ces trois Etats ensemble sur ce sujet ?
20:30 Pourquoi l'Europe n'y figure pas ?
20:33 Des réponses, Karine ?
20:35 Alors il y a déjà la problématique des "Five Eyes",
20:38 donc des pays qui ont des services communs en termes de partage de renseignements.
20:45 Et donc attribuer des cyberattaques, même s'il s'agit d'espionnage,
20:50 il faut vraiment avoir une communauté et un désir commun à ce moment-là
20:55 de faire l'attribution.
20:56 Donc il y a vraiment sur le plan politique, il faut être extrêmement bien aligné
21:00 et avoir une grande confiance sur les preuves qui ont pu être apportées.
21:05 Donc ça c'est un point.
21:06 Mais ceci étant dit, ça ne signifie pas que le reste des Etats européens
21:09 ne partagent pas ces attributions de façon informelle.
21:13 Et effectivement, nous avons ici un énorme enjeu avec la Chine
21:18 et la question du cyberespionnage.
21:20 Tintin et Krim.
21:21 Oui, comme je le disais l'année dernière ici dans ce forum,
21:24 l'Internet est en train de se fragmenter.
21:27 D'un côté, un espace de démocratie libérale, avec les Etats-Unis qui chapotent tout cela.
21:35 Et de l'autre côté, un nouvel Internet des dictateurs, avec la Russie, la Chine,
21:40 la Corée du Nord, l'Iran.
21:42 Et la liste va sûrement s'allonger.
21:44 Avec cette protection qui est faite, vous savez qu'aucune des grandes entreprises
21:51 américaines ou européennes n'a accès au marché chinois, alors que Tic-Tac,
21:56 Temu, qui est l'équivalent maintenant de Tic-Tac, mais avec en utilisant le e-commerce
21:59 plutôt que les vidéos ont accès et donc travaille cognitivement ces populations.
22:06 Et c'est également le cas sur les attaques cyber, l'espionnage.
22:09 C'est d'une certaine manière.
22:11 On veut garder un Internet ouvert puisque l'Internet a été créé pour ça.
22:15 Et on a des pays qui non seulement ont fermé leur Internet aux autres,
22:18 mais utilisent évidemment à mauvais escient cette ouverture.
22:22 Et donc, la vraie question qui se pose, c'est on le voit avec le débat aux Etats-Unis
22:26 sur la potentielle, pas faire mentir des tic-tacs, mais en tout cas,
22:30 on parle d'être un rachat. Un rachat se pose vraiment la question.
22:34 Ensuite de savoir quels sont les acteurs?
22:36 Sachant qu'il va falloir aussi sortir de la naïveté quand des acteurs sont présents.
22:41 Ils le sont pour du commerce, souvent pour l'espionnage et évidemment aussi
22:45 pour les opérations politiques. Et donc, malheureusement,
22:49 l'Internet tel qu'on l'a connu n'existe plus.
22:52 Et la question qu'on doit se poser, qui est la seule question qu'on doit se poser,
22:55 c'est comment protéger notre Internet ouvert public, nos démocraties libérales
23:00 sans utiliser, sans devenir les gens que l'on critique, qui ont tout fermé
23:06 ou la liberté n'existe plus, les droits de l'homme, etc.
23:08 Donc, c'est un vrai sujet. Et là, trouver les bonnes réponses.
23:11 Elles ne sont pas que réglementaires.
23:13 C'est vrai qu'on a ce tropisme en Europe.
23:15 Ça va être un enjeu important de la décennie qui vient.
23:19 Alors, on est sur le sujet de la maîtrise technologique,
23:23 de ce qu'on appelle la souveraineté numérique européenne en matière de cyber sécurité.
23:29 Elle existe un petit peu, cette souveraineté européenne.
23:32 On a quand même une filière, je pense, d'excellence.
23:37 Et le salon le montre bien. C'est un salon qui est ouvert.
23:41 Donc, il y a beaucoup d'entreprises aussi, évidemment, d'autres pays européens,
23:45 voire Europe. Mais on voit quand même la présence à travers, par exemple,
23:50 le groupement Exatrust et toutes les startups qui sont également là
23:54 dans le pavillon d'innovation. Un dynamisme important.
23:57 Et je pense que c'est essentiel.
23:59 C'est deux sujets différents, sécurité et souveraineté.
24:02 C'est à dire qu'il y a bien d'un côté à la fois l'urgence opérationnelle
24:04 liée à la sécurité et puis de l'autre, cette aspiration à une souveraineté,
24:10 mais qui, en revanche, est nécessairement partagée.
24:12 Je pense que l'on voit très bien qu'à un moment ou à un autre,
24:14 il y a des limites. Il y a des limites liées au marché.
24:17 On en a parlé, mais le marché européen reste un marché très fragmenté
24:19 au plan économique. Typiquement, un éditeur de cyber sécurité français,
24:24 lorsqu'il va exporter en Allemagne, va devoir repasser des certifications.
24:29 Ça, c'est une barrière. On avait pourtant mis en place et l'Europe
24:33 avait travaillé sur quelque chose, mais qui, a priori, ne fonctionne pas.
24:36 En tout cas, c'est le retour que nous avons.
24:37 Donc, il y a un vrai travail sur le marché à structurer.
24:42 Et ensuite, je pense que cet écosystème est aussi limité par le fait
24:48 que dès qu'on parle de cloud computing, on a évidemment une domination
24:52 très forte de la part des hyperscalers. Or, aujourd'hui, la sécurité doit s'appliquer
24:58 et s'applique beaucoup sur le cloud, forcément. Et là, on est dépendant.
25:02 Oui, Tariq. Je crois que le problème est toujours le même.
25:07 On a beaucoup de petites startups. On a aussi des acteurs de taille moyenne.
25:10 Comment les faire passer à l'échelle? C'est-à-dire comment faire pour qu'elles deviennent
25:14 ces fameuses licornes? En tout cas, ces grandes entreprises.
25:18 Peut-être qu'on va voir un marché davantage se consolider déjà.
25:21 C'est possible. Mais une des choses qui est importante, c'est qu'il y a plusieurs actions.
25:26 La première, l'État doit participer, donc investir la commande publique.
25:32 Ensuite, il faut un système qui permette à ces entreprises de passer à l'échelle
25:35 au niveau européen. Et puis ensuite, sur un sujet qui est quand même un sujet assez touchy,
25:40 pouvoir travailler avec les États-Unis où le marché est très gros, où le reste du monde.
25:44 Évidemment, ça demande beaucoup d'habileté de la part des entrepreneurs.
25:48 Et c'est vrai que c'est un sujet qu'on va tester, puisqu'on a de nombreuses entreprises
25:52 qui sont à la limite de la taille et qui leur permettraient de dire est-ce que je deviens un acteur global?
25:58 Comment je deviens un acteur global de la sécurité dans le monde de 2024?
26:03 Parce que c'est vrai que maintenant, on est dans un monde très fragmenté.
26:05 On doit choisir son camp. Et ça veut dire travailler avec un nombre d'acteurs plus petits,
26:12 plus éthiques probablement aussi. Et donc ce sont des questions qui se sont posées
26:16 pour le cloud, qui se sont posées pour la cyber et qui se posent aussi aujourd'hui
26:20 pour l'intelligence artificielle, avec tous les grands succès qu'on connaît dans le domaine en France.
26:25 Je voulais qu'on termine, parce qu'on arrive déjà pratiquement à la fin de cette édition,
26:29 sur cette question des discussions à l'ONU sur la Convention sur la cybercriminalité.
26:34 Alors c'est un vaste sujet.
26:36 Elles avancent.
26:37 Alors elles avancent. Nous avons depuis 2019, il y a donc une volonté des Nations unies
26:42 d'adopter une convention contre la cybercriminalité.
26:45 Depuis lors, nous avons eu cette session de négociations, des centaines d'heures de négociations.
26:51 Une convention devait être adoptée en février de cette année.
26:55 Et là, il y a eu un échec. Il y a eu une suspension des négociations.
26:58 Les États n'ont pas trouvé un consensus sur cette convention,
27:01 notamment parce qu'il y a la Chine et les États-Unis qui essaient d'inclure dans cette convention
27:07 un certain nombre de cybercrimes qui viseraient fondamentalement à poursuivre leur opposition,
27:14 à limiter la liberté d'expression.
27:16 Et donc là, on se trouve aujourd'hui dans une situation qui est extrêmement délicate pour les Européens
27:21 parce que d'un côté, il y a un besoin de la communauté internationale,
27:24 des États qui ne sont pas partis à la Convention de Budapest,
27:26 d'avoir un cadre de coopération internationale dans la lutte contre la cybercriminalité.
27:30 Et puis d'un autre côté, il ne faut pas moindrir ou atténuer nos protections en matière de droit de l'homme.
27:38 Et donc il faut rester très clair sur nos lignes rouges à cet égard.
27:42 Alors comme Tarek Rimdi disait, on voit un Internet qui se fracture.
27:46 On pourrait avoir une cybersécurité finalement fracturée en restant à cet état-là ?
27:51 C'est vraiment l'enjeu immense.
27:54 Et c'était sans doute la volonté de la Russie, c'est de fracturer la lutte contre la cybercriminalité
27:58 en développant deux modèles, en essayant fondamentalement de porter atteinte à la Convention de Budapest,
28:03 qui est portée par les États de l'Ouest, et de développer une contre-convention.
28:08 Et c'est là l'enjeu aujourd'hui des négociations.
28:11 Oui, Tarek Rim ?
28:13 Non, j'allais dire une sorte de sud global de la cybersécurité.
28:16 Mais le véritable enjeu est là.
28:19 Pendant longtemps, on a pensé que l'Internet était une zone neutre, globale, très utopique,
28:26 même si on nous l'a vendue comme cela.
28:29 Et aujourd'hui, on se rend compte qu'on est dans un monde fragmenté.
28:32 Et ce qu'on découvre, c'est que le droit se fragmente, l'Internet se fragmente,
28:36 et évidemment la cybersécurité se fragmente.
28:38 Merci beaucoup, Tarek Rimdi de Cybernetica.
28:40 Merci aussi, Guillaume, de nous avoir accueillis.
28:42 Je voulais vous donner le mot de la fin, mais on n'a plus le temps.
28:44 Non, c'était juste pour rebondir sur ce sujet, c'était le "Zero Trust".
28:47 C'est le constat que l'Internet n'est pas sûr,
28:50 et du coup, c'est l'essor de toutes les technologies et l'identification.
28:54 Ce sera le sujet de l'année prochaine.
28:55 Très bien, rendez-vous est pris.
28:57 Merci Guillaume Tissier du Forum in Cyber et Karine Bannelier de CyberAlps.
29:00 Merci beaucoup.

Recommandations