Cybersécurité : "Nous sommes en train de perdre  la souveraineté de nos données" (Alain  Bouillé, Cesin)

Par Amandine Sanial

 

"Nous avons perdu depuis  longtemps la bataille de la souveraineté matérielle et logicielle, et nous  sommes  en train de perdre la souveraineté de nos données", déplore  Alain Bouillé. Le président du Cesin (Club des experts  de la sécurité de l'information et du numérique) s'exprimait lors d'un colloque sur la coopération public-privé en  matière   de  cybersécurité  organisé   par  le  CREOGN,  jeudi

22  mars  2018  à  Paris.  Alain  Bouillé   regrette  en particulier que  "les  grands

acteurs  à même de proposer des solutions satisfaisantes en matière  de 'cloud' soient  essentiellement américains", ce qui, selon  lui, menace  la souveraineté des  données.   Pour  le  colonel  Éric  Freyssinet, commandant  de  la  mission

numérique de la gendarmerie nationale, le défi  de la souveraineté numérique nécessite "d'obliger les opérateurs et plateformes à appliquer nos lois lorsqu'ils offrent des services en France et en Europe".

 

 

 

 

 

 

"Nous  sommes  exposés  à   l'espionnage  industriel  en  faisant  appel  à  des  solutions

étrangères", affirme le président du Cesin (Club des experts de la sécurité de l'information et du numérique), Alain Bouillé, jeudi 22 mars 2018. "Si Airbus avait eu le choix avec une solution souveraine, française ou européenne, il n'aurait peut-être pas choisi de confier sa bureautique et sa messagerie à Google", poursuit-il. Le groupe aéronautique européen a en effet annoncé  le 16 mars 2018 avoir choisi d'abandonner Microsoft au profit de la solution de communication et collaboration en ligne du géant américain Google.

 

Pour  Fabien  Reich,  directeur  régional  France-Italie  de  McAfee,  éditeur  de  logiciels antivirus, la solution pour contrer le "cloud" américain pourrait être de créer une offre européenne. "Les organismes d'État américains mettent leurs données chez AWS", une division du  groupe  américain  Amazon dédiée aux  services de  "cloud computing", qui

compte parmi ses clients la Nasa et la CIA. "Ils ont créé un 'Amazon fédéral'. A nous,

Français, de créer le nôtre."

 

QUELLE DÉFINITION POUR LA SOUVERAINETÉ NUMÉRIQUE?

 

Outre les lacunes européennes en termes de solutions de cybersécurité satisfaisantes, Alain Bouillé déplore "le manque de législation claire sur les messageries, le 'cloud', y compris   pour   les   OIV".   "Nous   sommes   dans   un  flou   artistique   en   termes   de

 

réglementation."  Le président du Cesin attend "une clarification" en ce sens (lire sur AEF).

 

Alain  Bouillé  réclame  également  "une définition  claire  de souveraineté  de  la donnée" "Pour  moi,  les  données  sont  souveraines  lorsqu'elles  sont hébergées  nationalement  et obéissent à la loi du pays. Microsoft a ouvert des centres de données en France, mais ils sont toujours sous le coup de la loi américaine. On ne peut donc pas dire que ces données nous appartiennent."

 

"Qu'est-ce  que  la  souveraineté  numérique  ?  Nous  n'en  savons  rien",  le  rejoint  Daniel Ratier, chargé de mission  sur la cyber-résilience au Conseil général de l'économie.  Pour lui, cette absence de définition de souveraineté numérique est une "insuffisance problématique".  "Nous avons besoin de quelque chose de juridiquement interprétable, pour savoir ce qu'il faut protéger, et ce qu'il faut défendre."

 

OBLIGER LES OPÉRATEURS À APPLIQUER LES LOIS EUROPÉENNES

 

Pour Éric Freyssinet, commandant de la mission numérique de la gendarmerie nationale, le défi actuel est "de regagner  la souveraineté dans les espaces qui ne relèvent pas de nos territoires".  Cela implique, "pour les services de l'État, d'être présents dans le numérique, d'être  capables  de dialoguer  avec des acteurs  qui offrent des services  en France  et en Europe,  d'expliquer  que des lois s'appliquent,  et d'obliger les opérateurs et plateformes à appliquer  ces  lois  lorsqu'elles   offrent  des  services  en  France  et  en  Europe.  C'est  la direction que va prendre l'Union européenne pour gagner cette souveraineté."

 

Interrogé sur le principe de la neutralité d'Internet, Éric Freyssinet estime qu"'il ne peut pas y avoir de neutralité sans une responsabilité de l'ensemble des acteurs". Il prend l'exemple de l'attaque Wannacry pour justifier une disposition de la loi de programmation militaire, qui devrait permettre aux opérateurs télécoms de poser des "sondes" sur leurs réseaux afin de déceler ces attaques  (lire sur AEF). "Il n'est pas normal que nos opérateurs n'aient pas le droit  d'intervenir  pour  bloquer  la  propagation  de  ce  type  d'attaque."  "Est-ce  qu'on  ne pourrait pas aller jusqu'à la possibilité de bloquer des attaques ?" poursuit Éric Freyssinet, qui  affirme  que  certains  pays,  tels  que  les Pays-Bas,  ont  mis  en  place  des  mesures permettant de bloquer la propagation de certaines attaques sur leurs réseaux.