Par le général (2S) Marc WATIN-AUGOUARD, Fondateur du Forum International sur la Cybersécurité (FIC)
À un ministre de l’intérieur qui, il y a une quinzaine d’années, se félicitait de la baisse de la délinquance, un de ses conseillers répondit : « elle ne diminue pas, elle s’évapore ». Belle illusion d’optique, en effet, que celle des chiffres officiels de la criminalité et de la délinquance ! Ils sont l’agrégat des plaintes des victimes et des constatations d’initiative des gendarmes et policiers. Mais, dans l’espace numérique, les victimes sont-elles conscientes de l’être, souhaitent-elles véritablement déposer plainte ? Connaît-on le « chiffre noir », celui des infractions commises mais non révélées ? Les enquêteurs sont- ils assez nombreux pour mener toutes les investigations nécessaires ?
Oui, la criminalité s’évapore pour se métamorphoser en cybercriminalité ! Le moteur de cette mutation est l’intelligence du prédateur qu’il ne faut jamais sous-estimer : depuis l’origine de l’humanité, il cherche à optimiser le profit par rapport au risque pénal. Chaque étape de l’évolution de la structure économique de la société a été marquée par une dominante : le secteur primaire a été celui des atteintes aux personnes (meurtre, assassinat, viols, esclavage, etc.). Avec le développement du secteur secondaire,
l’artisanat puis l’industrie ont favorisé les atteintes aux biens (vols, recels, dégradations). Le développement du secteur tertiaire a été, quant à lui, propice à la délinquance en « col blanc » (escroqueries, faux, blanchiment, etc.). Chaque fois, le prédateur a procédé à des arbitrages pour « gagner plus en risquant moins ».
L’émergence du secteur quaternaire, le secteur lié au « tout numérique », n’échappe pas à ce glissement. Le délinquant comprend que, grâce au « réseau des réseaux », il n’a jamais été aussi près de sa victime et aussi loin de son « juge ». Il est devant nous, sur nous, dans nous (par ex., au travers d’un pacemaker connecté), mais il peut agir de très loin, depuis un Etat « cyber voyou » peu enclin à la coopération policière et judiciaire.
Que craindre d’un vol à main armée dans une agence bancaire qui rapportera au mieux quelques centaines d’euros comparé à une escroquerie sur internet, à un ransomware qui peuvent se solder par plusieurs centaines de milliers d’euros ? Dans le premier cas, les assises et la réclusion criminelle ; dans le second, un risque infime d’être arrêté, faute d’avoir pu remonter à temps la filière.
Cette « tectonique des plaques » est encore peu perceptible. Bien que la prise de conscience semble gagner toutes les couches de la société, la métamorphose numérique, dont on ne mesure pas assez la vitesse et l’ampleur, va radicalement changer notre vie durant la prochaine décennie. Il faut donc s’y préparer et s’organiser pour faire face aux enjeux. Pour cela, il faut d’abord une prise de conscience politique. Si l’Etat n’est plus en mesure d’assurer la sécurité des personnes physiques et morales et des biens, il perdra sa légitimité au regard de citoyens qui se tourneront vers d’autres régulateurs. Les organisations civiles et militaires doivent également épouser cette transformation, car il en va de leur survie. Combien d’entreprises sont déjà victimes de spoliateurs (escroqueries au « faux président », vols de données, d’éléments essentiels de leur propriété intellectuelle) et ont, pour certaines d’entre elles, subi un préjudice tel qu’elles ont cessé d’exister ?
Ce que recherche aujourd’hui le prédateur, c’est la donnée, matière vive de la transformation numérique : la donnée pour sa valeur, pour ce qu’elle représente, pour ce qu’elle permet de faire (données bancaires), pour le profit que l’on peut tirer lorsqu’elle est « prise en otage » par un chiffrement malveillant. Par cette donnée, il est possible de s’en prendre aux personnes, aux services et aux biens. La cybercriminalité a toujours un impact sur le monde réel.
Dans ce contexte, le prédateur a hélas ! un temps d’avance. Son imagination est plus prompte, sa réactivité plus forte, sa capacité d’adaptation plus aiguisée. Il est dans son temps, alors que les organisations tardent à sortir du XXe siècle. Tout simplement parce que les élites (déconnectées selon Laure Belot1 ) n’ont pas le numérique dans leur « ADN », comme les générations montantes. La prise en compte au sein du COMEX de la stratégie de cybersécurité n’est pas encore partagée. Même s’il est, ici ou là, trop lent, un mouvement se dessine pourtant.
1. Laure BELOT, La déconnexion des élites, Les Arenes, Ed.
En témoigne l’intérêt croissant que suscite le Forum international de la cybersécurité (FIC) chez les dirigeants des secteurs public et privés. En 2007, lors de sa création, cette manifestation suscitait de la curiosité. En 2017, plus de 7000 experts sont venus à Lille écouter notamment trois ministres, un commissaire européen, des acteurs centraux de la lutte contre la cybercriminalité et de la cyberdéfense.
Oui, il y a une prise de conscience, comme le prouvent les dispositions de la loi d’orientation et de modernisation du ministère de l’intérieur et les annonces liées à la future loi de programmation militaire. Mais cet élan doit être amplifié. La formation à la cybersécurité est aujourd’hui insuffisante, notamment au sein de l’université et des grandes écoles. Il n’y a pas de souveraineté numérique et de cybersécurité sans talents, sans compétences ! Aucun diplôme d’Etat ne devrait être homologué sans exiger qu’une partie du contenu lui soit consacré, à hauteur des enjeux en cause. Est-il normal que de futurs cadres ayant la responsabilité de données à caractère personnel ou de données sensibles arrivent sur le marché de l’emploi, vierges de toute connaissance ad hoc ?
Les organisations doivent se restructurer pour augmenter leur résilience, leur aptitude à résister à une cyberattaque, à maintenir ou à reprendre leur activité en cas de sinistre cyber. Si elles veulent une cyber-assurance, elles devront respecter des normes, aujourd’hui imposées aux opérateurs d’importance vitale (OIV) et aux entités visées par la directive NIS2, mais dont les effets en cascade devraient agir sur tout le tissu économique.
Dans l’espace numérique, la sécurité est individuelle mais aussi collective. Pour atteindre un niveau optimal, le partenariat public-privé doit se développer, selon une dynamique et une profondeur inédites. Dans le « monde réel », l’Etat apporte une contribution majoritaire à l’offre de sécurité. Dans le cyberespace, les acteurs privés détiennent la plupart des réponses techniques ou organisationnelles. Parfois, ce sont des « hackers éthiques ». La coopération public-privé est primordiale !
La conjugaison de toutes les compétences civiles et militaires est seule de nature à protéger et à défendre un espace numérique où acteurs étatiques, terroristes, mafieux, délinquants s’allient parfois contre nature mais pour servir leurs propres intérêts. Elle est indispensable dans un contexte de conflictualité, dont la guerre en Ukraine révèle l’intensité, où cybercriminalité et opérations militaires dans le cyberespace se croisent, se conjuguent, se superposent.
Pour lutter contre la cybercriminalité, il faut certes répondre à la question « comment ? » : comment mieux contrer un adversaire, comment attribuer une cyberattaque, comment y répondre par les voies judiciaires en mettant en œuvre une coopération internationale, comment disposer d’une capacité offensive qui puisse répondre à de menaces hybrides ? Mais il faut aussi répondre à la question « pourquoi ? », c’est-à-dire donner du sens. Nous ne maîtriserons pas la criminalité du XXIe siècle si nous ne « reformatons » pas la société, notamment autour de quelques valeurs : la confiance, la loyauté, la responsabilité, la solidarité. La France doit montrer l’exemple, en étant à la pointe du développement d’une Europe de la cybersécurité. L’Union fait la force, chaque Etat membre doit contribuer à la force de l’Union.