Mardi 15 octobre 2024, SMART TECH reçoit Nicolas Arpagian (Vice-président, HeadMind Partners) , Selma Souihel (directrice du projet P16, Inria) , Thomas Hutin (responsable cybersécurité, FTI Consulting) et Matthieu Bourgeois (Avocat & vice-président, Cercle de la Donnée)
Category
🗞
NewsTranscription
00:00Bonjour à tous. Grand rendez-vous cyber aujourd'hui à la une de Smartech.
00:12Parmi les sujets, les nouvelles réglementations ou encore qu'attendre du dispositif anti-spoofing pour lutter contre les arnaques téléphoniques.
00:19On parlera aussi, on dira quelques mots, de l'affaire de cyber-espionnage par des hackers nord-coréens.
00:26Et dans cette édition également, on va s'intéresser à la difficulté d'accéder aux données de connexion pour retrouver des cyber-délinquants.
00:33Mais d'abord, je vous propose trois questions sur les communs numériques souverains pour l'intelligence artificielle.
00:39C'est tout de suite dans Smartech.
00:45P16, c'est le nom du projet piloté par INRIA qui s'inscrit dans le cadre de la stratégie nationale pour l'intelligence artificielle.
00:52Bonjour Selma Souyel. Bonjour et bienvenue dans Smartech. Merci d'être avec nous.
00:57Vous êtes la directrice de ce projet P16. Ça sonne comme un nom de code. Qu'est-ce qu'il y a derrière ?
01:02Alors tout à fait. Donc P16, c'est la mise en œuvre de la 16e mesure de la stratégie nationale en IA, d'où le fameux 16.
01:11Et c'est un projet qui a pour objectif de développer, de maintenir à l'état de l'art et de disséminer un ensemble d'outils pour l'assurance des données
01:21pour l'IA. Donc ça part d'une bibliothèque qui est très connue qui s'appelle Scikit-Learn qui a été un grand succès dans le monde des sciences de la donnée
01:34qui est très utilisée à la fois dans le monde académique mais également chez des industriels.
01:39Et donc l'objectif de ce projet P16, c'est d'essayer de reproduire le succès qu'a été Scikit-Learn et d'identifier d'autres bibliothèques prometteuses pour les pré-industrialisés.
01:49Alors Bruno Sportis de INRIA nous parle de porter une ambition d'autonomie stratégique majeure pour la France et l'Europe dans le domaine de l'IA et de la science des données.
01:59Ça passe par quoi concrètement ?
02:02Alors le lien finalement entre souveraineté et open source, parce que c'est bien de l'open source qu'il s'agit. On développe des bibliothèques open source.
02:11Il est très fort de deux façons. Je vais dire d'abord parce que le fait d'utiliser l'open source par les acteurs de l'industrie, ça fait qu'ils sortent de la situation captive qu'ils pourraient avoir vis-à-vis des acteurs extraterritoriaux en utilisant leurs solutions propriétaires.
02:32Donc ça déjà c'est le lien évident. Et puis il y a un deuxième lien qui est de dire que quand on investit dans le développement de l'open source, en fait on investit dans la montée en compétence des talents, dans leur capacité à développer de l'open source et de fait on reprend finalement la maîtrise, la gouvernance de ces bibliothèques.
02:53Donc c'est très important aussi finalement pour la souveraineté technologique de la France et de l'Europe d'investir dans l'open source.
03:01Et vous fixez quels objectifs d'ici à 2030 ?
03:04Alors le projet, la durée initiale du projet est jusqu'à 2028 mais ce que je n'ai pas dit en préambule...
03:11Parce que c'est dans le cadre du Plan France 2030.
03:13Tout à fait.
03:14C'est pour ça que je parlais de cette échéance.
03:15Tout à fait. Mais en tout cas le projet il est articulé en deux parties. Il y a la partie P16 INRIA sur tous les aspects recherche amants, préindustrialisation, identification des bibliothèques qui peuvent répondre à des besoins industriels.
03:30Et il y a une entreprise à mission qui s'appelle Probable qui est finalement la partie industrielle de ce projet P16.
03:38Donc entreprise à mission de souveraineté numérique et industrielle.
03:44Et le but de cette société c'est finalement d'assurer l'industrialisation des bibliothèques logicielles sur lesquelles on travaille en commercialisant une offre de services et de produits autour de ces bibliothèques.
03:56Donc l'idée finalement avec Probable c'est de pérenniser cette ambition initiale qui est sur 5 ans. Le projet P16 est financé par le Plan France 2030 sur 5 ans.
04:05Mais l'idée c'est de pérenniser à long terme ces bibliothèques et de pouvoir les maintenir.
04:10Avec un budget de 8 millions d'euros sur ces 5 années, est-ce que j'ai envie de dire, c'est super, c'est déjà énorme, mais est-ce que c'est suffisant ?
04:20Quand on parle des investissements dans l'IA en général on parle en milliards.
04:24Oui, alors 8 millions juste pour contextualiser, c'est pour la partie P16 INRIA.
04:29Et ensuite Probable a par ailleurs une partie du financement public parce qu'ils ont un actionnariat un peu particulier avec des financeurs publics, privés et les collaborateurs internes.
04:40Donc 8 millions certes pour P16, je pense qu'on est plus de l'ordre de 24 millions pour Probable.
04:47Alors certes en termes d'échelle ce n'est pas vraiment comparable au financement quand on pense à tous les projets autour de l'IA générative, etc.
04:57Mais c'est ça aussi la promesse de P16, c'est de dire qu'avec finalement assez peu de ressources on arrive à faire des choses.
05:04Parce que c'est des bibliothèques qui existent déjà dans le monde académique, chez INRIA, chez nos partenaires académiques, qu'il faut juste aider à pré-industrialiser et ensuite à industrialiser.
05:14Quand je dis pré-industrialiser, c'est simplement améliorer la qualité de code, faire en sorte que la documentation est bien faite, faire en sorte que c'est scalable pour une utilisation en production chez les entreprises.
05:27Donc finalement la marche à aggravir n'est pas si haute et c'est pour ça aussi qu'on n'a pas besoin des mêmes échelles de financement que pour les projets d'IA générative.
05:37Les projets eux par ailleurs ont besoin de coûts, de calcul, etc.
05:44Merci beaucoup Selma Souyel, directrice du projet PCED à INRIA. Merci de vos explications.
05:51Merci.
05:52Tout de suite c'est notre grand rendez-vous cyber.
05:58Nouvelle réglementation, dispositifs anti-spoofing pour lutter contre les arnaques téléphoniques, affaires de cyber-espionnage impliquant des hackers nord-coréens.
06:07C'est parti pour notre grand rendez-vous cyber dans Smartech avec Nicolas Arpagian. Bonjour.
06:12Bonjour Malphine.
06:13Expert cyber, ça va s'en dire. Vice-président du cabinet de conseil Edmind Partners, vous êtes aussi enseignant à l'école nationale supérieure de la police, à l'école nationale de la magistrature, Sciences Po Saint-Germain, l'université polytechnique de Mohamed VI Maroc, enfin je ne sais plus quoi dire.
06:28Auteur de très nombreux ouvrages, le dernier en date ?
06:31Il s'appelle Innocence à crédit sur le commerce de l'innocence, donc totalement amoral.
06:36Et à côté de vous Thomas Hutin qui dirige l'activité cybersécurité de FTI Consulting en France avec une grande expérience du cyber dans l'aéronautique, la défense, le secteur public, la finance, l'industrie, le transport, l'énergie.
06:49Et vous avez notamment participé à la définition de la position et des propositions de l'industrie européenne pour relever les défis de la cybersécurité et du transport aérien.
06:58D'ailleurs j'aurais une petite question pour vous en aparté.
07:00Très bien, bonjour Delphine.
07:01Bonjour, on va commencer avec ces nouvelles réglementations. Qu'est-ce qui va changer avec Nice 2 et Dora ?
07:07On peut peut-être commencer par Dora parce que je n'en ai pas beaucoup parlé de ce nouveau règlement qui adresse la sécurité des instituts financiers face aux risques numériques.
07:17Entrée en vigueur prévue 17 janvier 2025, ça laisse un petit peu de temps mais à quoi faut-il s'attendre ?
07:23Plus tellement de temps parce qu'effectivement c'est quand même des chantiers qui sont assez importants.
07:27Moi je trouve qu'il y a une certaine ambition derrière ce texte réglementaire qui couvre beaucoup de sujets donc il y a quand même beaucoup de choses à faire.
07:35Est-ce que les institutions financières ne sont pas déjà les plus protégées en matière de cybersécurité ?
07:41Quand on pense aux grandes banques commerciales qui ont un rôle systémique pour le pays, oui elles sont bien équipées et elles travaillent sur ces sujets depuis longtemps.
07:52Après la nouveauté aussi avec Dora c'est que c'est l'ensemble des institutions qui travaillent dans le secteur financier.
07:59Donc on couvre un spectre beaucoup plus important de sociétés.
08:02Pas simplement les grandes banques auxquelles on parle naturellement mais ça peut aller effectivement sur des fonds d'investissement qui peuvent être beaucoup plus petits.
08:09Ça peut être des courtiers d'assurance, ça peut être des sociétés dans le domaine de crypto.
08:13Donc on va toucher effectivement à travers Dora des sociétés qui n'étaient tout simplement pas tellement régulées sur des sujets si bien jusqu'à maintenant.
08:21C'est un peu comme NIS2 en fait, on étend le nombre d'organisations visées par ces réglementations.
08:26On viendra sur NIS2 sans seuil véritablement de taille et donc c'est simplement vous êtes dans le secteur financier et donc vous avez tout un ensemble d'exigences.
08:37Et donc on peut considérer que pour ces sociétés-là, la marge est assez haute.
08:40Autant quand il y a des risques opérationnels, les grandes banques connaissaient ces sujets depuis des années, elles sont préparées, elles ont un certain niveau de maturité.
08:50Autant pour d'autres sociétés effectivement, elles doivent s'adapter et tout de suite monter au niveau attendu par Dora.
08:57Et le niveau attendu par Dora, moi je trouve assez élevé.
09:00Il y a beaucoup de choses à faire quand on regarde simplement, quand on lit le texte.
09:03Alors je ne vais pas faire peur à tout le monde mais le texte, on voit qu'il y a beaucoup de sujets de gestion des risques, de tests de sécurité, des sujets aussi qui sont complexes.
09:11Quand on parle de sous-traitants, il faut intégrer les sous-traitants dans son fonctionnement.
09:16Et aujourd'hui, c'est quand même pas mal de choses à faire.
09:19Et même les grands établissements qui travaillent depuis un certain nombre d'années sur le sujet ont encore des choses à faire à la fin de l'année.
09:26Donc là c'est à peu près 100 jours.
09:29Demain, ça sera 100 jours effectivement de Dora.
09:32Donc il y a quand même beaucoup de choses à faire.
09:34Et quand on rencontre les sociétés, généralement c'est des plans d'action qui sont sur plusieurs mois avec un certain niveau d'investissement qui est attendu.
09:42Donc là, c'est plutôt la dernière ligne, l'accélération pour atteindre cette date dédiée.
09:49La marche est haute donc ça ne va pas être si simple que ça de se mettre en conformité d'ici le mois de janvier.
09:55C'est pareil pour Nice 2, on a encore moins de temps parce que là on attend une transposition en octobre.
10:00Alors là on a beaucoup plus de temps parce que c'est la transposition de la loi en droit français.
10:05Mais après on aura 3 ans pour se mettre en conformité.
10:09Donc effectivement, Dora c'est le court terme.
10:13Le 17 janvier, c'est fin de l'année.
10:15C'est 100 jours donc c'est très court.
10:17Il y a beaucoup de chantiers sécurité.
10:19Et quand on regarde ces chantiers, nous effectivement chez FTI, quand on fait des assessements pour des sociétés, on fait des analyses d'écart.
10:26Souvent, il y a une quinzaine, une vingtaine de chantiers à réaliser.
10:30Et ces chantiers, on ne peut pas les faire tous en parallèle parce que c'est compliqué.
10:34Et les ressources internes et externes ne sont certainement pas suffisantes.
10:38Nicolas, est-ce qu'on va avoir, je ne sais pas, on va être débordé sous les normes ?
10:44On va avoir au contraire un super élan dans la cyber.
10:47Tout le monde va être très bien protégé.
10:49On va voir chuter les escroqueries.
10:51Le principe de cette réglementation, c'est de penser en écosystème.
10:55C'est-à-dire que jusqu'à présent, c'était des entités isolées qui étaient protégées.
10:58Et là, en fait, avec Nice 2, avec Dora, on pense à un écosystème.
11:03Avec des entreprises qui sont interconnectées.
11:05Avec des comparatifs de systèmes qui sont dans des entités plus petites
11:09qui vont avoir les technologies qu'on va retrouver chez les plus grands.
11:12Et qui, donc, pourraient être exposées à des attaques qui, à l'origine,
11:15visaient seulement des structures de taille conséquente.
11:18Et puis, c'est surtout de dire, on va faire en sorte que notre économie numérisée
11:22et hyper-connectée soit la plus robuste possible.
11:26Et pour cela, il faut de la réglementation.
11:28Pourquoi ? Parce qu'elle va fixer des obligations, des dates d'entrée en vigueur,
11:32de mise en application et, éventuellement, un régime de responsabilité
11:35et potentiellement de sanction.
11:37Et c'est ces trois composantes qui vont faire qu'on a cet agenda qui se met en place.
11:43Alors, évidemment, il est contraignant. Pourquoi ?
11:45Parce qu'il faut des femmes, des hommes à la tête bien faites pour pouvoir faire les travaux.
11:48Et puis, en plus, il faut opérer sur les infrastructures.
11:51C'est-à-dire, pendant le spectacle continu, pendant que les travaux doivent avoir lieu.
11:57Et donc, évidemment, ça oblige à consacrer des moyens techniques, humains, financiers
12:02pour conduire à ces dispositifs-là.
12:04Donc, on a des échéances.
12:05Alors, il s'avère que, ni ce deux, on attend la loi française,
12:07puisque le principe des directives, c'est que l'Union européenne établit des objectifs,
12:12pas théoriques, mais qui sont, en tout cas, assez larges.
12:18Et ensuite, le comment.
12:19Et le comment, il est établi par des lois nationales de transposition.
12:22On a aujourd'hui quatre États qui ont procédé à la publication de la loi nationale.
12:27Donc, la France n'en fait pas partie.
12:29Mais, bon, en principe, le texte était prêt.
12:31Il s'avère que la dissolution a modifié un peu l'agenda.
12:34La date butoir, c'est le 17 octobre 2024.
12:36Il est vraisemblable, vu la date du jour, qu'elle ne sera pas respectée.
12:40Vraisemblablement.
12:41Mais, par contre, on voit bien qu'il y a quand même cette tendance.
12:43Et, comme le disait Thomas, on a ensuite, après ces trois ans,
12:45et d'ailleurs, le directeur général de l'Annecy, Vincent Strubel,
12:48l'agence nationale de sécurité, a dit qu'il y aurait une tolérance, une compréhension.
12:53L'idée, c'est d'enclencher une démarche et de faire en sorte de tendre vers un résultat.
12:57Et ça, évidemment, c'est assez vertueux comme accompagnement des entreprises.
13:02D'ailleurs, on peut le signaler, il y a une plateforme sur le site de l'Annecy,
13:05donc cyber.gouv.fr, monespace-nice2.cyber.gouv.fr,
13:10pour essayer de comprendre comment je suis concerné.
13:13Parce qu'on rappelle que les entreprises...
13:14On parle de 30 000 organisations.
13:16Voilà. Et elles doivent se déclarer elles-mêmes.
13:18Donc, ça veut dire qu'il faut qu'elles fassent cette auto-diagnostique,
13:21auto-évaluation de leur posture, de leur positionnement.
13:23Donc, monespace-nice2.cyber.gouv.fr a vocation à centraliser l'information sur le sujet.
13:30Et on parlait du niveau de préparation, mais il y a aussi le niveau d'investissement qui va être nécessaire.
13:36Tout à fait. Et c'est pour ça qu'à mon avis, il faut anticiper.
13:39Parce que c'est vrai que c'est des investissements,
13:41c'est des investissements avec des ressources, avec des personnes.
13:44C'est des investissements financiers.
13:46Et donc, c'est important de lisser ces investissements dans le temps.
13:49Si on arrive au dernier moment, c'est sûr que ça sera une sorte de bosse budgétaire
13:53qui sera difficile, effectivement, à avaler.
13:56Donc, je pense que c'est la préparation, l'anticipation.
13:59Et puis, il faut bien que tout le monde ait en tête que la cybersécurité,
14:02je pense qu'on est d'accord, c'est un chemin.
14:04Ce n'est pas une destination finale.
14:06Donc, il y a certainement un effort à mettre en place des mécanismes,
14:09des procédures, de la sensibilisation.
14:12Mais après, il faudra maintenir cet effort dans le temps.
14:15Donc, effectivement, certainement, des choses one-shot, je mets en place.
14:19Et après, il faudra continuer à les opérer et continuer à les améliorer.
14:22D'accord ?
14:23Donc, on se situe dans un temps long.
14:25Et on pense, de toute façon, que cette dimension cybersécurité,
14:28elle ne va pas disparaître.
14:29Elle va faire qu'elle est croissante.
14:31En tout cas, c'est comme ça depuis le début.
14:34Mais je voulais qu'on passe à notre autre sujet,
14:36parce que je vois le temps qui passe.
14:37Alors, on a un nouveau dispositif.
14:39On sort de la réglementation, là, on rentre vraiment dans le concret.
14:41Dispositif anti-spoofing téléphonique.
14:44Je voulais vous demander, qu'est-ce qu'on peut en attendre ?
14:47Puisque là, depuis le 1er octobre, ça y est,
14:49les opérateurs sont obligés d'authentifier, en fait,
14:52de vérifier l'authenticité d'un numéro
14:55et de couper les appels frauduleux
14:58avant qu'il n'arrive, finalement, sur le combiné de l'utilisateur.
15:02Est-ce que, voilà, il faut quand même rappeler que ça ne concerne
15:05que les lignes fixes qui pourront être authentifiées aujourd'hui.
15:09Mais est-ce qu'on peut en attendre, en effet, un résultat
15:11avec une baisse des fraudes, par exemple, aux faux conseillers bancaires ?
15:15Alors, c'était une escroquerie assez prospère.
15:18Pourquoi ? Parce qu'en fait, vous receviez un message
15:20qui apparaissait sur votre écran de téléphone
15:22comme émanant, en général, d'une banque
15:24ou d'une entité dite de confiance.
15:26Donc là, l'idée, c'est dans la main des opérateurs,
15:29effectivement, pour bloquer le fait
15:32qu'on ne pourra plus, j'allais dire, endosser
15:35l'identité d'une entité tierce
15:38précisément pour éviter cette usurpation
15:40puisque l'appel et l'affichage du numéro
15:43devaient créer le climat de confiance
15:45pour que le destinataire du coup de fil
15:47soit à même de répondre aux sollicitations,
15:49par exemple, donner des coordonnées bancaires,
15:51des données personnelles.
15:53Et donc, en fait, on essaye de réduire l'aide...
15:56Alors que derrière ces escroqueries,
15:58ce sont quoi comme type de numéros ?
16:00Alors, en fait, en général...
16:02Des mobiles ? Des numéros à l'étranger ?
16:04En tout cas, ce n'est pas celui de la banque en question.
16:07C'est surtout ça, le véhicule.
16:09C'est-à-dire que, là, l'utilisation,
16:11c'est de réduire un moyen qui était
16:13à la main des attaquants, des pirates, des escrocs,
16:16qui sont avant tout là, des escrocs,
16:18puisque la dimension technique est au final assez modeste,
16:20et donc de faire en sorte de réduire
16:22les risques pour tout un, chacun,
16:24monsieur, madame, tout le monde,
16:26d'être leurrés par cet affichage initial.
16:28Et donc, effectivement...
16:30Mais alors, ça ne marche pas sur les mobiles,
16:32ça ne marche pas sur les SMS,
16:34ça ne marche pas sur le RCS.
16:36Comme on nous dit à la Fédération française de l'éthique,
16:38en fait, c'est hyper complexe.
16:40On se dit que ce n'est pas très difficile
16:42de vérifier l'authenticité d'un numéro.
16:44Si, parce que ce réseau téléphonique,
16:46il a été fait pour connecter les gens entre eux
16:48et non pas pour des questions de sécurité.
16:50Là, on est vraiment à un changement de paradigme, aussi.
16:52C'est vrai qu'on a évoqué rapidement l'aviation,
16:54mais il y a plein de protocoles, effectivement,
16:56qui ont été conçus au départ,
16:58pour communiquer de choses ouvertes.
17:00Et ces besoins de sécurité sont nouveaux,
17:02ils ne sont pas conçus nativement.
17:04Ajouter de la sécurité sur ces systèmes,
17:06c'est assez complexe.
17:08Il y a beaucoup d'opérateurs,
17:10beaucoup de sociétés qui sont concernées,
17:12et mettre en place un dispositif
17:14qui fonctionne pour tout le monde,
17:16c'est complexe.
17:18On va avoir une arrivée progressive,
17:20mais pour avoir un dispositif
17:22qui fonctionne partout,
17:24c'est compliqué.
17:26Il faut imaginer que ce qu'expliquait Nicolas,
17:28c'était un outil de l'attaquant.
17:30On va priver l'attaquant de cet outil.
17:32C'est pour ça qu'effectivement,
17:34c'est aussi le message à faire passer,
17:36de dire que ce ne sera pas la réponse absolue,
17:38puisque l'attaquant...
17:40Ce n'est pas le filtre anti-arnaque.
17:42L'éducation, c'est-à-dire
17:44qu'on ne répond pas à des sollicitations
17:46d'un appel téléphonique d'un prétendu banquier.
17:48C'est aussi une des ripostes
17:50et des mesures de protection
17:52qui est très humaine,
17:54mais qui permet de se prémunir
17:56contre ce type de sollicitations.
17:58On termine avec une affaire,
18:00avec des hackers nord-coréens impliqués.
18:02C'est Mandiant qui les traquait
18:04depuis quelques années ?
18:06Vous pouvez nous raconter cette histoire ?
18:08C'est Mandiant qui les a documentés,
18:10en quelque sorte, à mode opératoire,
18:12depuis plusieurs années,
18:14de personnes qui postulaient à des emplois
18:16de techniciens, d'informaticiens,
18:18souvent des emplois à distance.
18:20Ce qui est intéressant, dans le descriptif de cette affaire,
18:22c'est que c'est un concentré de toute la cybercriminalité
18:24et de la cyberattaque,
18:26c'est-à-dire des personnes qui usurpent des identités,
18:28de leur localisation géographique,
18:30puisqu'ils travaillaient à partir de Russie, de Chine, éventuellement.
18:32Ce qui n'était pas annoncé,
18:34puisqu'ils ciblaient des entreprises occidentales.
18:36Deuxième chose,
18:38ils étaient dans des fonctions informatiques,
18:40avec des droits d'accès pour accéder à des données,
18:42mais on apprend également
18:44qu'ils cumulaient les emplois
18:46pour que leurs salaires additionnés
18:48les uns aux autres soient reversés
18:50aux autorités nord-coréennes
18:52et ainsi disposent de devises occidentales.
18:54On voit que c'est à la fois des humains
18:56qui étaient mis à contribution dans leur savoir-faire,
18:58pas toujours avec la satisfaction visiblement
19:00de leur employeur, si on en croit l'analyse demandant,
19:02mais en tout cas d'individus qui vont être
19:04à la fois captés du renseignement, ramenés de l'argent,
19:06et puis profiter de l'interconnexion
19:08des systèmes pour agir.
19:10Ça permet de voir que tout ça est une mécanique très humaine.
19:12Oui, et puis ça illustre aussi
19:14quand on fait des analyses de risque
19:16pour comprendre le contexte des sociétés,
19:18ça illustre ce qu'on appelle la menace interne,
19:20ou insider threat,
19:22de dire qu'il faut faire attention à ses employés.
19:24Donc là, c'était des employés qui travaillaient
19:26complètement à distance, et la vérification
19:28de cet employé est importante
19:30parce que sinon, on ouvre la porte
19:32tout simplement, on donne les clés
19:34d'accès, et après c'est très simple
19:36de compromettre la société.
19:38C'est vrai qu'il y avait un exemple qui était assez flagrant
19:40où dès qu'une personne s'est connectée
19:42le premier jour de son arrivée, il y a quasiment
19:44automatiquement une attaque informatique
19:46qui s'est déclenchée. Donc voilà, ça fait partie
19:48des fondamentaux de la cybersécurité
19:50et c'est illustré à travers cet exemple.
19:52Thomas, j'avais dit que j'avais une petite question en aparté
19:54pour vous. On a vu que Air France
19:56avait annoncé une signature avec
19:58Starlink pour offrir du wifi
20:00dans l'avion, de manière aussi confortable
20:02qu'à la maison. Ça présente un risque
20:04cyber, ça ?
20:06Les avionneurs,
20:08dans leur construction, les compagnies aériennes
20:10et les autorités de sécurité aérienne,
20:12il y a tout un écosystème, bien sûr,
20:14autour de la sûreté de l'aérien,
20:16ont pris en compte ce type
20:18de contexte d'usage
20:20depuis un certain temps et en fait
20:22les données sont séparées
20:24et tout ce qui concerne
20:26l'avionique, la conduite de l'avion
20:28et tout ce qui concerne le passager,
20:30le métier de combine,
20:32de cabine, sont sur des infrastructures
20:34qui sont séparées.
20:36Il faut que ça reste comme ça,
20:38mais ça fait partie
20:40conceptuellement
20:42par construction.
20:44C'est des infrastructures qui sont séparées.
20:46Merci beaucoup Thomas Hutin
20:48de FTI Consulting et Nicolas Arpagian
20:50de Edmind Partners
20:52pour vos éclairages. A très bientôt.
20:54Merci Delphine, merci Nicolas.
21:02La donnée à l'épreuve
21:04de nos droits fondamentaux, c'est le nouveau rendez-vous
21:06avec Mathieu Bourgeois. Bonjour.
21:08Vous êtes avocat, je le rappelle, vice-président
21:10du Cercle de la Donnée. Aujourd'hui, on va parler de ce grand
21:12déséquilibre entre les menaces
21:14et les moyens pour les contrer.
21:16Déjà, première question, pourquoi
21:18faut-il parfois accéder aux données
21:20de connexion pour retrouver
21:22des cyberdélinquants ?
21:24Bonjour à tous.
21:26D'abord, pourquoi ? C'est parce que
21:28il y a une multiplication des
21:30attaques sur Internet et sur les réseaux.
21:32Il y a un relatif anonymat.
21:34Contrairement au monde physique où quand vous roulez avec une voiture
21:36vous avez un permis de conduire,
21:38vous avez en général une plaque d'immatriculation, on peut vous retrouver
21:40sur les réseaux.
21:42En raison de l'absence d'identité numérique unifiée,
21:44vous pouvez grosso modo
21:46communiquer sous des pseudos, voire sous
21:48un total anonymat.
21:50Avec des équipements très peu coûteux à l'acquisition,
21:52il y a une menace
21:54importante avec un anonymat.
21:56C'est la raison pour laquelle
21:58il faut
22:00aller chercher des informations supplémentaires
22:02pour aller retrouver les cyberdélinquants.
22:04C'est ces données de connexion qui font
22:06que ce n'est pas de l'anonymat total. On a quand même un moyen
22:08à priori de retrouver les personnes.
22:10C'est vrai, parce que quand on surfe sur les réseaux,
22:12il reste des traces techniques, des données de connexion.
22:14Je vais m'en expliquer dans un instant.
22:16Vous parliez en introduction d'un grand déséquilibre.
22:18C'est vrai que face à cette facilité d'attaque,
22:20à cet accroissement de la surface d'attaque
22:22et à ce relatif anonymat, il y a
22:24en contrepoint une extrême insuffisance
22:26des moyens de police-justice. Pour vous donner un ordre d'idée
22:28et un chiffre, il y a environ
22:30240 000, 224 000 à 250 000
22:32policiers, gendarmes
22:34dans le monde physique. Pour l'espace numérique,
22:36il y a 250 seulement
22:38agents spécialisés. Vous voyez, ça fait 0,1%.
22:40C'est extrêmement faible.
22:42Qui sont les opérateurs
22:44qui ont l'obligation de conserver
22:46ces données de connexion ?
22:48Pouvez-vous préciser de quelles données on parle ?
22:50Les opérateurs en question,
22:52il y a deux grandes catégories. Il y a les opérateurs
22:54de communication électronique, et pour être plus précis
22:56pour les téléspectateurs, il y a quatre sous-catégories
22:58de ces gens-là. Il y a les fournisseurs
23:00d'accès à Internet, bien connus,
23:02Orange, Bouygues, SFR, etc.
23:04Les fournisseurs de services de communication
23:06interpersonnelle, concrètement les fournisseurs de messagerie
23:08telles que Outlook, mais aussi telles que
23:10WhatsApp ou Signal. Les transitaires
23:12de données, moins connus. Et les fournisseurs
23:14de services de mise en cache, très techniques,
23:16Akamai Technologies par exemple. Ça, ce sont
23:18les opérateurs de communication électronique.
23:20Et puis, mais les plus connus sont les FAI.
23:22Et puis ensuite, les hébergeurs. Alors les hébergeurs,
23:24ce n'est pas ceux auxquels on croit, ce n'est pas OVH
23:26par exemple. Ce sont en fait tous ceux
23:28qui stockent de la donnée, qui sont
23:30mis à la disposition du public, qui n'ont pas de rôle actif.
23:32Typiquement, Facebook, Youtube, X
23:34sont des hébergeurs au sens de cette réglementation.
23:36Donc ce sont ces deux grandes catégories
23:38d'opérateurs auxquels
23:40on a le droit de s'adresser pour
23:42obtenir des données de connexion quand on est victime d'une
23:44cyberattaque. Et alors,
23:46la liste des données,
23:48effectivement, très rapidement,
23:50la liste des données en fait, elle est définie
23:52par trois décrets. C'est assez technique,
23:54je ne vais pas rentrer dans le détail, mais grosso modo
23:56il y a deux choses à retenir. Premièrement, il faut être victime
23:58d'une infraction pénale. Si vous êtes
24:00victime juste d'une faute civile, vous ne pouvez pas
24:02invoquer ces textes. Et
24:04deuxièmement, ces textes-là
24:06ont été battus en brèche par la Cour de
24:08Justice de l'Union Européenne en 2020
24:10parce que les juges communautaires
24:12ont considéré que la législation
24:14française permettait
24:16une conservation généralisée
24:18des données et donc menaçait un petit peu
24:20la liberté, la vie privée sur les réseaux.
24:22Vous voyez, c'est cet équilibre entre la vie privée et la lutte
24:24contre les infractions qui est compliquée à faire.
24:26Et donc, sous l'impulsion
24:28du Conseil d'État, de cette Cour
24:30de Justice et du Conseil d'État, il y a des nouveaux
24:32textes qui sont sortis en 2021 qui sont un petit peu
24:34compliqués, mais grosso modo, il y a trois
24:36décrets. Et quand on fait l'objet d'une infraction
24:38pénale classique, on peut accéder à
24:40certaines données, notamment adresse IP,
24:42identifiant de
24:44connexion. Et quand on fait l'objet d'une infraction
24:46pénale grave, on a le droit
24:48d'accéder à encore davantage
24:50de données. Mais dans les faits,
24:52très concrètement, est-ce que ces opérateurs
24:54jouent le jeu et transmettent
24:56les données de connexion ? Alors, c'est tout le
24:58problème. Malheureusement, non.
25:00Pourquoi ? Parce qu'en fait,
25:02très peu communiquent aux victimes qui le demandent
25:04spontanément, parce qu'en fait, ils se retranchent, toujours
25:06pareil, derrière cette protection de la vie privée.
25:08Et ils exigent très souvent
25:10une décision judiciaire, peut-être probablement
25:12pour se couvrir, pour ne pas être attaqué
25:14évidemment par ceux dont ils dévoileraient l'identité
25:16et puis notamment
25:18sous l'influence, c'est vrai, du RGPD,
25:20du respect de la vie privée. Donc, ils exigent
25:22une décision judiciaire, et malheureusement,
25:24et ça, c'est quand même un regret, moi, personnellement,
25:26que j'ai, je l'ai vécu dans des procédures,
25:28c'est qu'ils n'aident pas toujours la victime, c'est-à-dire que quand on s'adresse
25:30au juge pour demander une ordonnance,
25:32on a un principe du
25:34contradictoire, donc le fournisseur d'accès, par exemple,
25:36se défend devant le juge, et souvent,
25:38ça tourne un petit peu à la joute, alors qu'en réalité,
25:40on devrait tous pédaler dans le même sens,
25:42puisqu'à in fine, si infraction,
25:44il y a, je suis désolé, mais ils doivent coopérer,
25:46et ça, c'est vrai qu'en tant qu'avocat, moi, j'ai une petite
25:48frustration, parce que je sens, on est dans une logique
25:50de joute,
25:52d'affrontement,
25:54alors qu'on devrait être dans une logique de coopération.
25:56Alors, il y en a qui sont un petit peu plus coopératifs
25:58que d'autres, mais souvent, c'est la joute,
26:00ils n'aident pas beaucoup, et malheureusement,
26:02le poids financier, temporel,
26:04pèse sur la victime.
26:06Mais il y a des outils judiciaires
26:08pour obtenir ces données, quand vous faites face
26:10à des réticences ? Alors, il y a des outils judiciaires,
26:12c'est la procédure de référé ou de requête, on peut aller
26:14en bref délai si on justifie d'une urgence,
26:16donc il y a les outils classiques, mais on en revient
26:18toujours au même problème, Delphine, c'est que
26:20les moyens de police-justice n'ont pas été
26:22accrus, si vous voulez, au fur et à mesure
26:24du développement technologique,
26:26donc il y a toujours autant de juges aujourd'hui, peu ou prou,
26:28le Président de la République a promis
26:30qu'il serait, je crois, revalorisé en termes de rémunération,
26:32mais ça n'en donne pas davantage, et donc
26:34moi, ma conviction, mais vous la connaissez
26:36sur cette antenne depuis toujours, c'est qu'il faut accroître
26:38les moyens de police-justice sur l'espace
26:40numérique pour qu'enfin, par exemple,
26:42sur ce genre de cas, on puisse obtenir plus vite,
26:44plus facilement les données de connexion et retrouver
26:46les cyberdélinquants. Mais on n'a pas besoin de nouveaux
26:48outils juridiques ? Non, c'est des moyens humains.
26:50Et de la bonne volonté.
26:52Si j'ai bien compris. Merci beaucoup
26:54Mathieu Bourgeois, du Cercle de la Donnée,
26:56je le rappelle, pour vos éclairages réguliers
26:58dans Smartech sur cette donnée
27:00face à nos droits fondamentaux. Et puis merci
27:02à tous de nous suivre, c'était Smartech.
27:04On se retrouve très bientôt sur la chaîne
27:06Be Smart For Change. Vous pouvez aussi
27:08nous suivre en podcast, bien évidemment.
27:10À très bientôt pour une nouvelle discussion
27:12sur la tech.