Les défis de la cybersécurité

Alain Juillet est le président de l’Académie de l’intelligence économique. Dans l’entretien qu’il nous a accordé, il évoque tous les enjeux liés au cyberespace.

Alain Juillet a été un des hauts responsables du SDECE, l’ancêtre de la DGSE, direction générale de la sécurité extérieure. Il a été chef d’entreprise  (Ricard, Suchard-Tobler, l’Union laitière normande, Bongrain, France Champignon).  Il intervient à l’ÉNA et à l’École nationale de la magistrature.

Deux cyber-attaques mondiales ont visé des milliers d’entreprises en mai et juin 2017. Comment les analysez-vous ?
Les deux attaques ont exploité des failles informatiques connues depuis le mois de janvier. Pourtant, dès février-mars, Microsoft avait donné les clés pour les rendre inopérantes. Nos systèmes de défense ne sont pas encore au point. Nous n’avons pas encore pris conscience du fait que nous vivons dans un cyberespace où tout va beaucoup plus vite que le monde auquel nous étions habitués. Nos sociétés se digitalisent, ce qui présente à la fois de formidables possibilités et aussi d’importantes menaces. Il n’est pas possible d’attendre. Quand une solution existe, il faut l’utiliser instantanément. L’anticipation est un enjeu majeur dans la cybersécurité actuelle et future.

Que préconisez-vous ?
Un changement d’état d’esprit est nécessaire. Que l’on soit pour ou contre, c’est inévitable. Il faut regarder la réalité en face. Tous les paramètres changent. Nous avons beaucoup investi pour améliorer l’efficacité de nos systèmes et les capacités de veille et de surveillance mais, ces dix dernières années, la cybersécurité a été le parent pauvre du cyberespace. En cas de cyber attaque, notre organisation doit être capable de la parer. Sinon, il faut prendre immédiatement les mesures nécessaires. Il n’est plus question d’attendre car le temps joue contre nous. Nous sommes encore trop sur la défensive, dans la réaction, alors que nous devrions anticiper. C’est d’autant plus regrettable que nous avons d’excellents spécialistes en France.

Qui est visé par ces attaques?
Elles visent tout le monde. Il faut arrêter de faire croire que des États voyous n’ont qu’une idée en tête : celle de nous faire du tort. C’est de la manipulation. En mai, avec l’attaque du virus Wannacry, les Russes ont été accusés. Et, à nouveau, en juin avec Petya parce que l’Ukraine a été la première touchée. C’est oublier que toute la Russie a aussi été frappée. Pensez-vous que les services russes ont pour objectif de détruire leur propre économie ? Bien sûr que non ! Lors des élections américaines, on s’est indigné de voir que des hackers russes avaient piraté les mails d’Hilary Clinton. Avons-nous déjà oublié ce que révélait Edward Snowden, il y a trois ans, sur les pratiques de la NSA[1] qui écoutait ce que disaient tous les présidents des États européens.

Mais les États pratiquent le cyber espionnage…
En réalité, des services d’États testent de nouvelles techniques en prenant l’apparence de hackers. Les militaires parlent de cyber guerre. Aux États-Unis, il y a un Cyber Command. En France, nous avons créé le Centre de cyber défense. Parallèlement, vous avez des hackers partout dans le monde, parfois regroupés et extrêmement performants, qui décident d’attaquer un site, une organisation, une entreprise ou un pays pour faire des ravages. La plupart du temps, ils agissent pour des raisons financières, plus rarement par idéologie. Dans le cyberespace, Internet et les réseaux sociaux sont devenus un champ d’espionnage, de détournement pour beaucoup de gens qui essaient d’obtenir puis de vendre des informations.

Certains secteurs, finances, industrie, structures énergétiques, recherche, santé… sont-ils plus visés que d’autres ?
Il faut être très prudent sur cette question, en perpétuelle évolution. Trois aspects sont à prendre en considération :

  • L’intérêt des États, c’est-à-dire les intrusions et les interceptions des grands pays comme les États-Unis, la Chine, la Russie ; il s’agit d’aller chercher des informations ou de déstabiliser pour conforter une politique d’État ;
  • Ensuite, vous avez les entreprises dont certaines sont richissimes : les 50 plus grosses d’entre elles au niveau mondial sont plus riches que 150 pays, sans oublier les Gafa (NDLR : Gafa pour Google, Apple, Facebook, Amazone et aussi Microsoft, Alibaba, etc.) qui sont hors catégorie. Certaines sociétés sont malintentionnées. Elles sont comme disent les Américains des « Rogue Companies », des entreprises voyous. Elles n’hésitent pas à payer des hackers pour collecter des renseignements sur tout ce qui peut les aider : la recherche, l’organisation industrielle, les fichiers clients… pour améliorer leurs performances ou battre des concurrents.
  • Enfin, il y a les groupes criminels qui vont piller des informations dans des entreprises pour les revendre à d’autres, ou pour les utiliser dans le cadre d’un commerce illicite. C’est un défi crucial. Il ne s’agit pas seulement du trafic de cigarettes dont la contrebande se développe à chaque augmentation des taxes.  Des groupes criminels gagnent aujourd’hui plus d’argent en vendant par Internet des produits pharmaceutiques et des médicaments frelatés qu’en vendant de la drogue, avec un niveau de risque très réduit. Vous ne mettez pas votre vie en danger en vendant de faux médicaments. Ceux qui les utilisent, oui. Les législations ne sont pas adaptées.

La cyberguerre a-t-elle déjà commencé ?
Oui, dans une certaine forme. Ce n’est pas un pays qui déclare la guerre à un autre. Mais quand des attaques peuvent détruire les moyens de production d’une entreprise, les services administratifs d’un État ou les bloquer pendant quelques jours, comme nous l’avons vu dans les pays baltes, si ce n’est pas une guerre, qu’est-ce c’est?

Comment agissons-nous face à ces menaces ?
La France a pris le taureau par les cornes en créant l’Anssi, l’agence nationale de la sécurité des systèmes d’information (voir Encadré). Notre pays est dans une situation nettement meilleure et plus dynamique que la plupart des pays d’Europe. Nous avons déployé des efforts en matière d’innovation et de recherche, développé des incubateurs et des startups. Certes, les Américains, les Chinois, les Russes et les Israéliens ont plusieurs longueurs d’avance sur nous. Les Français ont une caractéristique : ils partent en retard mais, une fois mobilisés, ils vont généralement plus vite.

Y a-t-il un défaut de transversalité dans notre approche ?
C’est un autre problème. Nous avançons pour trouver des solutions et prenons des initiatives comme, par exemple, la création dans le gouvernement Fillon II, en 2008, d’un secrétariat d’État de la Prospective, de l’Évaluation des politiques publiques et du développement de l’Économie numérique. Malheureusement la France est le pays des silos ; la transversalité n’est pas dans notre culture ; nous n’échangeons pas d’informations d’un ministère à l’autre. Peu d’entreprises réussissent à faire travailler en commun différentes fonctions ou différents départements. Quand nous y parvenons, les résultats sont très bons. Quand les très grandes entreprises sont victimes de cyber attaques, elles réagissent. « L’escroquerie au président » qui a fait des ravages dans le CAC 40, Wannacry qui a touché Renault ou Petya qui a atteint Auchan, AXA et d’autres, font que nous sommes entrés dans un processus vertueux. La prise de conscience des dirigeants progresse, mais elle reste lente.

Une fois le mal fait, comment se prémunir ?
Chez les militaires, après une opération réussie ou loupée, on fait un « retex », un retour d’expérience. Tout ce qui s’est passé est analysé froidement : les points négatifs à ne pas reproduire et les positifs à développer. Il y a la volonté de rebondir. Pour les questions liées au cyberespace, c’est aujourd’hui beaucoup moins clair en dépit des capacités d’un certain nombre d’organismes publics et privés.

Qu’en est-il des entreprises ?
Ce que fait l’Anssi est formidable, mais elle ne regroupe que 500/600 fonctionnaires. C’est insuffisant pour traiter les problèmes de 3 millions d’entreprises. Le cyberespace couvre toutes les activités. Il faut donc des relais efficaces au niveau des fédérations, des organisations et des syndicats professionnels dans tous les secteurs de l’économie.

Que devrions-nous faire ?
Là où il y a une volonté, il y a un chemin[2]. Il faut des paroles… et des actes. Il faut une volonté aux plus hauts échelons de l’État, fixer des objectifs et, ensuite, mobiliser avec les moyens nécessaires. En France, nous avons des acteurs publics et privés. Au-delà de l’ANSSI,

  • Il existe une délégation chargée de la lutte contre les cyber-menaces au ministère de l’Intérieur avec des relais dans la gendarmerie qui s’y est beaucoup investie, la police nationale et les services de renseignement : c’est très bien, mais est-ce suffisant ?
  • La Défense est très impliquée dans la cyber défense au niveau des armées et de la DGSE dont la partie cyber pourrait servir de socle à une NSA à la française.
  • Vous avez aussi le Clusir, organisme privé extrêmement pointu sur les cyber-risques.
  • Le Cigref, qui regroupe des directeurs de l’informatique et de l’information des grandes entreprises. Très orienté sur les aspects positifs du numérique, il ne prend pas assez en compte le côté obscur de la force[3]

Faudrait-il une meilleure coordination des pays occidentaux pour lutter contre les menaces ?
Oui, bien sûr. Sur le plan mondial, tout le monde est concerné par ce combat. Les 27 pays de l’Union européenne, ou une partie d’entre eux, pourraient mieux collaborer. Pourquoi les instances européennes à Bruxelles ne se mobilisent-elles pas plus? À l’occasion du traité de Lisbonne en 2001, les Européens avaient constaté que les Américains surinvestissaient dans le domaine du cyberespace et ils ont voulu emboîter le pas. Ils avaient même fixé des pourcentages… qui n’ont jamais été respectés. Les États-Unis, depuis Bush père[4],  investissent annuellement près de 3% du budget fédéral sans aucun changement de cap, considérant qu’il s’agit d’un instrument de domination mondiale. Joseph Nye, le patron du National Intelligence Council en 1994, affirmait dans le revue Foreign Affairs que le leader du cyberespace pour les 25 ans à venir serait le leader du monde, en ajoutant : « Ce sera nous ».

Que pensez-vous de la stratégie européenne ?
Les Européens devraient investir et se mobiliser. Nous aurions pu le faire à 10 ou à 12 mais à 27, ce n’est pas possible. Regardons en face ce que nous appelons l’Union européenne. Elle a complètement échappé à ses pères fondateurs : De Gaulle, Adenauer et, avant, Jean Monnet, Robert Schuman et les autres. Au départ, il s’agissait de maintenir la paix et, ensuite, de créer un marché commun avec une monnaie commune entre des pays de l’Europe de l’ouest qui se ressemblent. L’erreur, c’est ma conviction profonde, a été d’accepter des pays qui n’ont rien à voir sur le plan culturel et économique. Ils considèrent l’Union européenne comme un Otan économique alors que cela n’a rien à voir. Nous sommes en désaccord avec le groupe de Visegrad (Hongrie, Pologne, Slovaquie et République tchèque) et les autres pays de l’Est de l’Europe sur pratiquement tout. Les pays de l’Europe de l’Ouest qui ont construit l’Europe devraient réaliser une union sur le cyberespace pour travailler, échanger et utiliser les mêmes outils. Actuellement, nous achetons du matériel principalement américain ou chinois. Ces produits sont certes efficaces mais posent problème sur les plans de l’indépendance et de la souveraineté.

Faut-il développer une économie de la cyberdéfense ?
Indiscutablement, oui ! En France, nous avons des atouts. Outre, les incubateurs avec des startups spécialisées dans le cyberespace et la cybersécurité, les laboratoires du CEA, à Grenoble ou à Saclay, font de l’innovation et encouragent la création de startups à partir de leurs découvertes. On parle toujours de ce que font les Israéliens avec leurs unités militaires. Au salon de l’électronique grand public[5] à Las Vegas en janvier 2017, le plus important consacré au cyberespace, il faut savoir que la France était le pays ayant le plus grand nombre de sociétés primées. En Israël ou aux États-Unis, dès que quelque chose devient performant, il y a tout de suite des commandes d’État pour la défense et la sécurité. Il y a un encouragement à l’industrie nationale qui s’appuie sur le Buy American Act. Leur stratégie est d’aider des entrepreneurs innovants, qu’il est plus facile ensuite de fédérer. Pourquoi ne parvenons-nous pas à faire pareil alors que nous avons les mêmes capacités de départ dans nos startups ? Ce n’est pas une question de moyens. Il nous manque une politique globale et la volonté. Le même constat peut être fait pour l’Allemagne, l’Espagne et l’Italie.

Encadré 

Naissance de l’intelligence économique
L’intelligence économique a été conceptualisée aux États-Unis dans les années 80 avec l’économiste et professeur Michael Porter[6]. Tout de suite, l’État américain l’a utilisée… Elle était totalement ignorée en France avant d’être ramenée chez nous par un industriel français qui allait souvent aux États-Unis, Robert Guillaumot. Il en a parlé à Henri Martre, PDG de la société Aérospatiale qui mettait au point les premiers Airbus, concurrents des Boeing. Les deux ont eu l’idée de créer une académie, en marge des entreprises et de l’État, pour permettre aux praticiens, aux experts et aux chercheurs d’échanger sur les évolutions et sur les techniques. En 1992, Martre publie un rapport intitulé « L’intelligence économique[7] » à la demande du gouvernement. L’académie est fondée l’année suivante. De 1994 à 2002, l’intelligence économique a connu des hauts et des bas, en devenant un domaine de recherche essentiellement universitaire. En 2003, Jean-Pierre Raffarin, alors Premier ministre, charge le député Bernard Carayon d’une mission parlementaire qui aboutit au rapport « Intelligence économique, compétitivité et cohésion sociale ». Le poste de haut responsable à l’intelligence économique, que j’ai occupé, est créé. Du coup, le concept a été relancé et les grandes entreprises en ont compris l’utilité.

Nous ne sommes pas des robots
Aujourd’hui, notre objectif est de développer l’intelligence économique avec des entrepreneurs, des étudiants, des dirigeants, des journalistes, des consultants et des experts. Elle est indispensable. Tous les pays du monde sont en passe de l’utiliser. Les Anglais la pratiquent depuis longtemps. Les Chinois s’en sont emparés en utilisant nos méthodes. Il ne faut pas perdre cet avantage concurrentiel que nous offre l’analyse dans un monde en plein bouleversement. Jusqu’à tout récemment, la veille se faisait par des recherches classiques avec Internet notamment. Avec le Big Data et les algorithmes, le traitement des données est beaucoup plus performant. L’intelligence économique est entrée dans une nouvelle ère : de l’analyse rationnelle elle est passée à l’analyse prédictive. Mais en dépit de tous les calculs mathématiques, avant la synthèse finale transmise au décideur, il y a toujours la dimension intuitive de l’analyste, que n’a pas la machine, et qui fait que nous ne sommes pas des robots.

En  savoir plus : www.academie-intelligence-economique.org

[1] La NSA, National Security Agency (Agence nationale de la sécurité) est une organisation du département de la Défense des États-Unis dans laquelle Snowden a travaillé.[2] Cette citation est souvent attribuée à Lénine (« Vous ne pouvez pas faire la révolution en gants blancs…Là où il y a une volonté il y a un chemin ») mais aussi à Jaurès, à Churchill. [3] Les passionnés de Star Wars comprendront la référence. [4] George H. W. Bush a été président du 20 janvier 1989 au 20 janvier 1993. [5] Salon du CES, Consumer Electronic Show. [6] Michael Porter, né le 23 mai 1947 à Ann Arbor dans le Michigan, est professeur de stratégie d’entreprise à l’université d’Harvard et consultant d’entreprise. En 1980, il publie une étude : Competitive-Strategy: Techniques for Analyzing Industries and Competitors considéré comme le fondement de l’intelligence économique. [7] À la Documentation française.