Dans notre société désormais numérisée, les échanges d’informations n’ont plus de limites. Quiconque circulant sur la toile peut s’approprier une information et ainsi la manipuler à sa guise. Ces flux sont aujourd’hui libres. Si libres que l’information relayée échappe presque systématiquement aux gouvernants et aux garants de la cybersécurité.
Devant ce constat, Didier Spella, le co-fondateur de CMCS (Charente-Maritime Cyber Sécurité) qui s’ouvre ce lundi 11 octobre 2021 à La Rochelle, président de la société spécialisée en cybersécurité Mirat Di Neride, invite « à réfléchir sur ce cybermonde en révolutions plurielles ».
Entretien exclusif mené par Raymond Taube, rédacteur en chef d’Opinion Internationale et directeur de l’IDP – Institut de Droit Pratique
Opinion Internationale : Didier Spella, vous dites que nous vivons actuellement une triple révolution. Qu’est-ce que cela signifie ?
Didier Spella : Cela veut dire que le citoyen s’est emparé de l’information. Jusqu’à il y a peu, celle-ci était descendante. Les élites la maîtrisaient. C’était le cas avant l’invention de l’imprimerie à la Renaissance, où des moines copistes, appartenant au haut de l’échelle sociale, transmettaient les informations qu’ils choisissaient de diffuser par le biais de livres. Or désormais, c’est le citoyen qui prend la main. Il crée lui-même de l’information, sans même s’assurer de sa validité, il réagit plus vite que les élites à l’actualité.
En fait, cela signifie que la censure n’existe plus. Il n’y a plus de pensée unique car il n’y a plus de canaux uniques de transmission de l’information.
La seconde révolution est celle de la gouvernance qui a complètement éclaté : une sorte de cloud, de nuage de direction s’est créé. On commence à peine à se pencher sur la nécessité de réguler cet espace certes sans censure mais aux effets dévastateurs. Maintenant, l’information appartient à n’importe qui, et qui plus est à des entités morales qui ne sont représentées par aucune personne physique identifiable. On a pu le remarquer avec les gilets jaunes qui sont un mouvement sans chef officiel. Il faut inventer une nouvelle gouvernance. Car il est temps de faire en sorte que le paradigme d’Edgar Morin se réalise : « du désordre naît de l’ordre ». Sinon nous aurons l’anarchie dont nous constatons déjà les effets sur la toile.
Troisième révolution : on crée des outils dont l’usage premier est détourné pour d’autres fonctionnalités. Des sites Internet deviennent des machines à fake news. Il en va de même des objets connectés.Le smartphone sert à tout aujourd’hui sauf parfois à téléphoner. Et l’on ne se protège pas assez contre ces emballements technologiques.
OI : Le souci du cyber ne serait-il pas aussi lié à notre approche sociétale qui se limite à traiter les conséquences du problème plutôt que ses causes ?
DS : Nous faisons peu de prévention car nous passons trop vite sur l’analyse des risques. Si vous supprimez un site Internet incriminé pour racisme, ses propos resteront présents sur les réseaux sociaux car d’autres organismes se seront assurés de les diffuser sur la toile. Au lieu de se questionner directement sur les risques résultant d’une création comme Internet, on préfère traiter les problèmes après qu’ils sont apparus. Et c’est fondamentalement trop tard.
La société a en permanence évolué ainsi. Avec le développement de la voiture, le code de la route est venu peu à peu. Quand on prend le volant, on se dit que si on respecte le code de la route, les risques d’accident sont faibles, partant du constat qu’une analyse de risques a déjà été effectuée en amont, après avoir essuyé les plâtres des premières décennies du monde de la voiture. Mais ledit code de la route a toujours évolué à la suite de drames. Avec Internet, nous sommes face à un manque de conscience de cet ordre fort regrettable mais les esprits changent enfin.
Mais la prévention a commencé et des acteurs de terrain comme moi n’arrêtons plus d’aller sensibiliser les décideurs, entreprises, collectivités, aux enjeux de la maîtrise des risques numériques.
OI : La notion de cyber attaque reste floue dans l’esprit du public. De quoi s’agit-il réellement ?
Je la compare à la cinématique d’une bombe nucléaire. Il va y avoir en premier lieu la destruction complète des systèmes sur le lieu de l’attaque, qui peut ici être notre compte personnel sur un réseau social, par exemple.
Ensuite, après son impact, une bombe nucléaire dégage un effet de souffle qui endommage l’environnement aux alentours. Le parallèle se forme avec le cyber par le fait qu’il y a également des dommages collatéraux et successifs. Si nous utilisons toujours le même mot de passe sur tous nos comptes, alors nos pares-feux informatiques sont également inefficients en cas d’attaque.
Enfin, à la fin du processus destructeur, tout notre système est irradié. Il va falloir le reconstituer intégralement. Et cela demande énormément de temps.
Le directeur informatique d’une collectivité de 150.000 habitants qui a essuyé une attaque informatique massive me confiait qu’il leur a fallu deux heures pour détecter l’attaque, deux jours pour se mettre en ordre de marche, deux mois pour s’organiser et deux ans pour retrouver un fonctionnement normal initial.
OI : Comment éviter une attaque cyber ? N’est-ce pas principalement une question d’hygiène informatique ?
DS : Vous avez tout à fait raison. Le point d’entrée, c’est de sauvegarder ses données. Elle relève bien de l’hygiène informatique. La crise sanitaire a d’ailleurs permis de mettre en exergue l’importance de gestes barrières. Sauvegarder ses données, c’est comme se laver les mains, c’est bien un geste barrière, mais en informatique.
C’est plus compliqué que cela : même si je suis vigilant, sur certaines attaques informatiques, il faut être capable de reconstituer les systèmes détruits qui environnaient les données que j’ai pu sauvegarder.
Ceci dit, pratiquer quotidiennement cette prophylaxie permet de réduire significativement les risques. Un simple oubli peut être fatal, notamment pour les entreprises. Leur bonne santé dépend aujourd’hui aussi de leur cybersécurité.
Or la cyber-sécurité, c’est avant tout de la sécurité. On y retrouve les mêmes paradigmes dans le monde de l’Internet et de l’informatique. Une politique de cybersécurité doit répondre à trois questions : définir un risque acceptable ; ce risque doit ensuite être confronté à un coût acceptable ; enfin, quelles sont les limites de la protection acceptable et comment les repousser ? Parfois, la population se rebelle ou freine culturellement à toute pratique vertueuse.
Le CMCS (Charente-Maritime Cyber Sécurité) que j’organise du 11 au 14 octobre à La Rochelle est là pour le démontrer. Globalement, nous n’évoquerons pas seulement les conséquences de la cybercriminalité. Nous mettrons l’accent sur ses causes, avec les entreprises et les collectivités qui participent à l’événement. L’intérêt principal est de se prendre conscience de son impact pour mieux s’en prémunir.
A l’université de La Rochelle, nous aborderons quelques secteurs clés de la vie sociale comme l’agro-alimentaire, le sport, le tourisme.
Une dernière question : les débats sur la souveraineté numérique ne sont-ils pas dépassés au vu de notre dépendance technologique vis-à-vis des Américains ?
Certes mais si nous avions la taille critique et la puissance financière, nous pourrions théoriquement créer un Internet européen, comme les Russes et probablement les Chinois tentent de créer le leur. Mais l’infrastructure, les câbles, les protocoles réseaux (TCPIP…), les systèmes d’exploitation sont déjà aux mains des Américains. Et les problèmes d’interconnexion seraient considérables.
L’essentiel selon moi est que le cybermonde plus que la cyber sécurité devrait être la priorité de nos gouvernants comme du prochain président de la République.
Propos recueillis par Raymond Taube avec Noé Kolanek
