Compte rendu de la conférence du 21 mai 2001 portant sur la sécurité de l’information, organisée par le Club IES et animée par Pierre Barber et Pierre-Luc Réfalo.
Présentation des intervenants (ces biographies date de 2001) :
Pierre-Luc Refalo :
- Responsable du programme « Sécurité de l’information » CEGETEL.
- En charge des aspects stratégiques et réglementaires de la cybercriminalité et de la signature électronique en relation avec Vivendi Universal et Vodafone.
Pierre Barber :
- Commissariat à l’Energie Atomique. En charge des relations internationales à l’institut de protection et de sûreté nucléaire – IPSN, puis à la direction de la sûreté nucléaire, enfin à l’agence nationale de gestion des déchets radioactifs – ANDRA.
- Actuellement consultant, expert auprès de la Commission Européenne et de l’Agence Internationale de l’Energie Atomique. En outre, M. Barber est Commissaire Enquêteur, et membre du Conseil d’Administration, de la Compagnie des Commissaires Enquêteurs d’Ile de France.
Sécurité de l’information : idées développées par M. Barber
L’intelligence économique est aujourd’hui dans la même situation qu’était le principe de « qualité » il y a 20 ans. C’est à dire que nous n’en sommes qu’aux balbutiements ! Le rapport de l’IHEDN le montre bien. La pratique de l’intelligence économique, et de la sécurité de l’information, est loin d’être généralisée dans les entreprises françaises.
Différentes causes peuvent être mentionnées :
- La faible prise de conscience de l’importance de cette discipline dans les entreprises est liée à l’aspect financier.
- Le fait que l’indicateur financier soit si important n’incite pas à « investir » dans ce secteur qui apparaît comme « non productif ».
Deux illustrations
Après nous avoir présenté le cas du Concorde, M. Barber développe un exemple de « partage non voulu » d’information tiré de son expérience professionnelle. Il s’agit du copiage de la technologie française de stockage des déchets radioactifs par les Japonais.
Dans le cadre de cet exemple, M. Barber a mis en exergue la formidable organisation de collecte des informations à l’échelle du Japon. Toutes les informations utiles convergent vers le MITI. Les rapports sont ensuite retransmis aux personnes qui en ont l’utilité. M. Barber a fait l’expérience d’une délégation japonaise, qui suivait de trois ans une autre délégation du pays du soleil levant (avec des membres différents), lui rappelant des propos qu’il avait tenu alors. Cela signifie que ces propos avaient été notés, puis transmis à la nouvelle délégation à trois ans d’intervalle. Les notes ont été analysées par la nouvelle délégation et pour finir, utilisées pour obtenir des informations. Cela prouve un système extrêmement organisé et efficace de gestion de l’information.
En conclusion, et dans le cadre précis du produit concerné, à savoir la technologie de stockage des déchets nucléaires, M. Barber relativise l’effet du « vol » d’information. Il semble que les Japonais se soient fortement inspirés de la technologie française. Mais est-ce vraiment un problème ? Le produit en question, le stockage des déchets dangereux, n’est pas un produit (à proprement parler) à garder secret. Une coopération internationale n’est-elle pas plus souhaitable que de risquer un mauvais stockage sur un endroit de la planète avec les risques à grande échelle que cela suppose ? C’est le principe de la coopétition, qui est mis ici en valeur.
Sécurité de l’information : Idées développées par M. Réfalo
M. Réfalo s’exprime en son nom propre et non au nom de l’entreprise pour laquelle il travaille.
Voici quelques convictions qu’il a bien voulu nous commenter, et qui vont trouver une illustration dans les deux exemples ci-dessous :
- La révolution informatique est une révolution à prendre au sens littéral, c’est-à-dire, que la société évolue par rotation. Il n’y a pas de rupture, mais une continuité dans les changements. L’important pour bien saisir les évolutions à venir est de savoir déterminer les continuités.
- Dans le cadre de l’informatique, « l’arme est aussi la cible » ! Dans les deux cas, c’est l’ordinateur. D’où une réflexion, au sein des plus hautes instances de décision internationales, qui a été menée pour savoir s’il fallait libéraliser, les ordinateurs, les logiciels? La réponse a été clairement : oui.
- M. Réfalo insiste sur le rôle de la qualité et sur la définition des causes d’accident. « Un accident est très souvent causé par une erreur ou une négligence », dans les deux cas c’est un problème de qualité des comportements ou des procédures.
- La sensibilisation de la DG sur l’augmentation de la cybercriminalité, des fraudes et des piratages, est facilitée par les médias.
- Pour les entreprises, la sécurité est en grande partie un enjeu marketing et légal, et non pas un enjeu technique comme il est souvent dit. Une entreprise peut très bien subir une attaque informatique sans que cela mette en péril son existence. Par contre, la manière dont elle va réagir peut très bien conditionner son avenir à court terme voire sa survie. Les deux exemples développés ci-dessous illustrent ces propos.
Deux illustrations :
- En mars 98, CEGETEL subit une attaque : Un algorithme du GSM est publié sur Internet. Les conséquences commerciales et en termes d’image peuvent être importantes. Les conséquences en terme techniques et opérationnels sont réelles mais maîtrisées. La gestion du problème doit prendre en considération ces différents paramètres.
En l’occurrence, cette divulgation représente plus probablement une matérialisation de la guerre économique Europe / États-Unis sur les standards de téléphonie mobile. Le GSM étant le standard européen que des concurrents cherchent sans doute à discréditer. L’incident ne visait donc pas tant CEGETEL que le standard en question, qui de toute manière était en train de s’imposer en Europe. - Plus récemment, un site pirate a téléchargé à partir d’un site CEGETEL des documents, et les a ensuite diffusés sur Internet en dénigrant la sécurité du site en question? Là encore, la gestion de l’affaire a eu pour but de prendre en considération les paramètres techniques, mais surtout les paramètres en terme d’image. En l’occurrence, il a été choisi d’ignorer médiatiquement cette attaque, sans pour autant la nier, ni omettre de traiter le problème (notamment en corrigeant certains paramètres et en vérifiant qu’il n’y avait aucun impact client).
La gestion de ce genre d’événement est donc très délicate, et est souvent autant – si ce n’est plus – du ressort de la communication que de la technique. Dans tous les cas de figure, les entreprises doivent prendre des décisions en terme de sécurité des informations et trouver le juste milieu entre paranoïa et laxisme, entre prévention et réaction. En cas de « piratage », il est important d’évaluer les risques réels et non plus potentiels encourus sous toutes les facettes (économique, politique, marketing, image, technique…). Nous entrons alors dans le cercle vertueux du « risk management », de l’équilibre entre sur-protection inefficace (techniquement et économiquement) et sous-protection maîtrisée (évolutive, adaptable, corrigeable).
Pour en savoir plus sur les problématiques de cybersécurité et de souveraineté numérique…
A lire : La Cybersécurité, de Nicolas Arpagian.
Cartographie des acteurs de la souveraineté numérique.
A lire : la souveraineté numérique – Le concept, les enjeux.
Vidéo d’Alain Juillet : intelligence économique et souveraineté numérique.
Jérôme Bondu