En 2007, le thème du 1er FIC était prémonitoire : « la cybercriminalité, criminalité du XXIème siècle ! ». Près de 15 ans plus tard, les faits sont là et prouvent bien la migration simultanée, vers le substrat numérique, de la délinquance et de la conflictualité entre États.

La première migration est la suite logique d’un rapport risque pénal/gain escompté très favorable au prédateur ; la seconde offre aux États la possibilité de régler leurs comptes avec une certaine discrétion, privilégiant la « banderille numérique » à la « politique de la canonnière ». Ces deux migrations se croisent, puisque les États ne manquent pas de faire appel à des groupes criminels organisés pour agir à leur place : « C’est pas moi, c’est ma sœur qu’a cassé le calculateur », chantait, dans les années soixante Evariste, par ailleurs docteur en particules élémentaires…Certains États en ont fait leur second hymne national. Ils disent ignorer les activités qui prennent naissance sur leur territoire national, mais ils avouent ainsi ne pas mettre en œuvre les principes de la « diligence due » qui fondent les relations internationales.

Cette double transhumance a d’abord concerné la « couche logique[1] », les systèmes de traitement automatisés de données (STAD) victimes de pénétrations et de maintiens frauduleux, d’entrave et d’atteinte aux données qu’ils contiennent ou traitent. La loi Godfrain (1988) n’a pas pris une ride et souligne la vision prospective de son auteur. Du « script kiddy » au groupe structuré, les exemples ne manquent pas pour illustrer l’action de plus en plus ciblée, de plus en plus dévastatrice de cybercriminels[2]. Les cyberattaques pénètrent désormais la « couche sémantique », celles des données, comme en témoigne le développement fulgurant des rançongiciels depuis au moins deux ans, grâce aux opportunités offertes par la crise Covid-19. La donnée est, en effet, de plus en plus la cible, l’atteinte aux STAD, le moyen. La donnée est convoitée pour sa valeur marchande (vente sur les darknets), pour l’avantage concurrentiel qu’elle procure (espionnage), par son utilisation afin de préparer une cyberattaque, commettre une escroquerie (données bancaires), une extorsion (rançongiciels) ; elles aussi au cœur de sabotages, ainsi que l’a prouvé l’attaque NotPetya, visant l’Ukraine, en 2017. Le développement du Web et celui des réseaux sociaux contribuent à son dynamisme.

La « couche sémantique » porte les contenus, c’est-à-dire les données qui ont du sens, mais elle offre aussi un asile pour le faux-sens, le non-sens, le contresens. C’est « l’espace informationnel », comme les Russes, non sans raison, aiment à qualifier le cyberespace. Il est stratégique. En octobre 2018, devant la Privacy Conference qui rassemble chaque année des autorités de régulation, Isabelle Falque-Pierrotin, alors présidente de la CNIL, s’exprimait ainsi : « Les données personnelles sont sorties du seul champ de la protection pour devenir un véritable enjeu de pouvoir, d’influence, voire de manipulation, au cœur même de nos systèmes démocratiques. Le déploiement de l’IA dans de nombreux pays pousse à l’extrême des questionnements sur l’autonomie des personnes ou sur la souveraineté nationale, enjeux qui prennent une importance stratégique nouvelle, au plan national et international ». La souveraineté nationale appelle une grande vigilance sur les contenus : c’est notamment le rôle des services de renseignement qui disposent de techniques de renseignement pour mener les investigations préventives. Qu’en est-il de l’autonomie des personnes ?

Le « code fait loi », écrivait Lawrence Lessig[3]. Selon lui, à l’ère de l’algorithme, le régulateur « c’est le code : le logiciel et le matériel qui font du cyberespace ce qu’il est. Ce code, ou cette architecture, définit la manière dont nous vivons le cyberespace. Il détermine s’il est facile ou non de protéger sa vie privée, ou de censurer la parole. Il détermine si l’accès à l’information est global ou sectorisé. Il a un impact sur qui peut voir quoi, ou sur ce qui est surveillé. Lorsqu’on commence à comprendre la nature de ce code, on se rend compte que, d’une myriade de manières, le code du cyberespace régule ».

Le code est un transformateur qui part d’une « matière première », la donnée, pour aboutir à un résultat, lequel peut constater une situation ou être à l’origine d’une décision, notamment à caractère individuel. Si la loi est « pour tous », l’algorithme est souvent « pour chacun », en adaptant les choix aux profils des internautes. L’élaboration de la loi est transparente, celle du code est encore très « secrète ».

Si le code fait loi, il peut aussi être « la loi du plus fort » et porter ainsi atteinte à nos libertés. Il porte en germe une uniformisation de la société par le rejet de tout ce qui n’est pas dans la norme. Imaginons simplement le traitement par Big data des comportements atypiques, exclus parce qu’ils sortent des critères. On imagine aussi la « dictature » des algorithmes prédictifs. Dans ce contexte, le citoyen est un objet d’étude au travers du profilage ; il est asservi au bon vouloir de ceux qui l’utilisent comme matière première, comme élément essentiel de leur business model. La gouvernementalité algorythmique conduit à un « enfermement algorythmique ».

Mais, pire encore, l’individu est la première victime d’un espace numérique insuffisamment régulé, notamment dans la lutte contre la cybercriminalité.

L’internaute est atteint dans son identité numérique qui lui confère son unicité. Ses données à caractère personnel, en particulier les plus sensibles au sens du RGPD, sont des proies mal protégées, malgré la règle du consentement, et en raison des fuites régulières, fruit de la négligence de ceux qui les collectent, les stockent, les traitent. Outre les atteintes à la confiance dont il est victime, sa liberté d’opinion, de décision est mise à mal au travers des manipulations de l’information, de la tétanisation des esprits.

La Convention du Conseil de l’Europe sur la cybercriminalité, qui fête cette année son vingtième anniversaire, ne vise que la pédopornographie au titre des infractions de contenus. Ce n’est pas rien en soi, si l’on considère le traumatisme que subissent de jeunes enfants, parfois des bébés, le business qui en résulte pour une criminalité organisée sans scrupule. Aujourd’hui, il faudrait ajouter la provocation du terrorisme et son apologie, le harcèlement, les injures, la diffamation, les discriminations, etc. Le consommateur est aussi victime au travers de contenus qui offrent des produits illicites, interdits, réglementés ou contrefaits. Le futur règlement sur les services numériques (DSA) énumère ces faits qui, sous couverture des très grandes plateformes, sont préjudiciables à l’égard de personnes démunies de toute protection. Certains affirmeront que ces infractions ne relèvent pas du champ de la cybersécurité. Il suffit pour les convaincre du contraire de se reporter à l’article 2 du règlement européen sur la cybersécurité (Cybersecurity Act) qui la définit ainsi : « les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces ». On notera que doivent être protégées les « utilisateurs » et « autres personnes ». L’humain est bien une cible directe des prédateurs.

Pour le protéger, pas de SOC, pas de « threat intelligence », de Big data, d’IA, d’analyse comportementale, pas de groupe d’intervention rapide, de centre européen de compétences, d’unité conjointe de cybersécurité. Dans un espace numérique marqué par la multitude[4], la victime connaît la solitude, même s’il faut reconnaître l’action d’associations comme Point de Contact. Cette victime doit être au cœur des préoccupations de l’État, car c’est la mission première de celui-ci. S’il l’oublie, il perdra sa légitimité. Si la cybercriminalité est bien la « criminalité du XXIème siècle », c’est l’humain qui sera le STAD le plus menacé, car son cerveau est le « système » le plus sophistiqué, le plus inégalable – n’en déplaise aux singularistes -, mais aussi le plus fragile.

À l’origine, le FIC avait pour centre de gravité les offres de cybersécurité. Puis il a élargi son champ à la cybersécurité des offres. La cybersécurité au service du citoyen sera la prochaine étape. D’ici là, la Présidence française de l’Union européenne doit être l’occasion d’accentuer les efforts, dès lors que les 27 souhaitent construire une cybersécurité fondée sur des valeurs. La première d’entre elles est la protection des citoyens de l’UE. Paraphrasant le général de Gaulle[5], on peut affirmer « qu’en notre temps, la seule querelle qui vaille est celle de l’homme. C’est l’homme qu’il s’agit de sauver, de faire vivre et de développer…dans l’espace numérique ». Vaste programme !

Pour satisfaire la trilogie gaullienne, il convient de mettre en œuvre la première des 28 recommandations du Livre Blanc réalisé par l’Agora du FIC[6] et présenté, le 9 septembre dernier. Acculturation, éducation, formation sont les actions les plus urgentes. Sans elles, l’espace numérique sera peuplé de zombies dominés par une poignée d’acteurs aux ambitions peu compatibles avec l’esprit FIC qui place l’humain au cœur de la cybersécurité.

[1] La trilogie « couche matérielle », « couche logique », « couche sémantique » est scientifiquement contestable mais elle présente l’avantage de la pédagogie.

[2] Cette qualification décriminalise le hacker éthique.

[3] Lawrence Lessig, Code and another laws of cyberspace, janvier 2000 – Harvard Magazine

[4] Henri Verdier, Nicolas Colin, L’âge de la multitude, 2015, Armand Colin

[5] Elysée, le 25 mars 1959

[6] Accessible sur inCyber.fr, le nouveau média du FIC

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.