Sécurité et liberté indissociables dans l’espace numérique (par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image [IA, 6G, identité numérique :] États-Unis et UE poursuivent leur coopération](https://incyber.org//wp-content/uploads/2024/01/incyber-news-cybersecurite-cybersecurity-partenerariat-partnership-885x690.jpg)
![Image [PhilosoFIC :] les algorithmes génératifs, fossoyeurs ou accélérateurs de l’intelligence humaine ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
La symbiose entre la sécurité et la liberté est au cœur de la construction de l’Etat de droit. L’une ne va pas sans l’autre ! Loin de s’opposer, elles se composent. Si les grands principes semblent stabilisés, s’agissant du « monde réel », l’émergence des nouvelles technologies qui accompagnent le développement de l’espace numérique pose les problèmes en de nouveaux termes.
Il est intéressant de noter que le cyberespace est d’abord né des exigences de sécurité et de défense, avec le programme lancé à la fin des années 50 par Paul Baran, inspirateur d’Arpanet. Abandonné, il a cédé la place à des équipes universitaires n’ayant qu’une seule idée en tête, celle de liberté. On peut même parler de courant libertaire soutenu par le néo-communalisme américain et les 750000 hippies, vivant dans la Silicon Valley mais doctorants au sein des grandes universités américaines pour nombre d’entre eux…
Avec quelques dizaines ou centaines de machines connectées, « l’indépendance du cyberespace » aurait pu demeurer une sympathique utopie. Mais avec plus de 10 milliards de machines maillées en 2016 et peut-être 1000 milliards en 2030, l’espace numérique cesse d’être « ailleurs ». A terme, il sera sans doute « le seul espace » qui se déclinera selon les milieux terrestre, maritime ou aérien.
Dès le début de la démocratisation du cyberespace, arrive le prédateur, et avec lui commencent à s’élaborer des stratégies de sécurité et de défense, d’abord avec la SSI, la lutte contre la cybercriminalité puis, plus récemment, avec la cyberdéfense. L’espace numérique apparaît de plus en plus comme un espace propice au profit, à la compétition, à la lutte d’influence, à la malveillance tutoyant dans ses extrêmes la conflictualité.
Universel (par construction), sans frontière (apparemment), le cyberespace aurait pu ou dû bénéficier d’une gouvernance mondiale. Malgré de multiples tentatives internationales aux succès limités (UIT, GGE, etc.), la prise en compte planétaire des enjeux est loin d’être une réalité. L’Europe du numérique, alternative nécessaire entre un modèle américain et un modèle chinois, en est encore à ses balbutiements, même si des perspectives semblent aujourd’hui percer.
L’Etat revient donc en première ligne, lui qui avait « abandonné » internet à des acteurs privés avec lesquels il doit désormais composer. Il revient pour lutter contre la cybercriminalité mais aussi pour protéger les infrastructures critiques, les opérateurs d’importance vitale et les opérateurs de services essentiels, au travers d’une cyberdéfense, certes défensive, mais dont on ne saurait oublier les capacités offensives. La menace terroriste, qui s’exprime ou se manifeste avec beaucoup de compétences techniques via le cyberespace, accentue son interventionnisme, comme en témoigne l’inflation du corpus législatif depuis le début des années 2000.
Les « traitements » étaient au cœur de la loi de 1978, les « systèmes » de traitement constituaient le fondement de la loi Godfrain de 1988, les données sont désormais la cible principale des prédateurs en tout genre, en raison de leur valeur intrinsèque, des multiples possibilités qu’elles offrent dès lors qu’elles sont « volées », dénaturées, etc. Si la couche « matérielle » (infrastructure, routeurs, câbles sous-marins, data centers ») peut être l’objet de malveillances, et si la couche « logique » de l’espace numérique demeure un objectif des cyber attaquants, la couche « sémantique », celle du sens, est de plus en plus un champ d’action.
S’agissant de la couche matérielle, sa protection et sa défense n’offrent guère de particularité puisqu’elle constitue une empreinte du cyberespace dans le monde réel. Elle nécessite donc des mesures de sécurité physique, puisque la liberté d’accès à l’espace numérique est réduite si par exemple des câbles sous-marins sont sectionnés, des « atterrissements », des data centers ou des routeurs endommagés.
La protection de la liberté dans la couche logique appelle des mesures de sécurité pour le moment assez peu intrusives dans la vie privée, même si la sécurité des systèmes d’information peut soulever des problèmes inédits en termes de partage entre la vie privée et de la vie professionnelle. L’authentification par la biométrie et la threat intelligence mêlant profilage des requêtes, analyses comportementales, « sécurité cognitive », peuvent aussi ouvrir des voies plus intrusives dans la sphère privée des utilisateurs d’internet.
La sécurité de la couche sémantique (ou à partir de celle-ci) est celle où le conflit avec la liberté est sans doute le plus aigu. Le développement des techniques spéciales d’enquête et des techniques de renseignement en témoignent. En France, deux exemples récents illustrent cette tension : le retrait, sur pression d’un Sénat craignant une contrariété avec la Constitution, de l’obligation de fournir les numéros d’abonnement et identifiants techniques de tout moyen de communication électronique dont dispose une personne suspectée d’activités terroristes, et le « feuilleton » de la constitutionnalité du délit de consultation habituelle de sites terroristes (question prioritaire de constitutionnalité adressée le 4 octobre dernier par la Cour de cassation). Au-delà du cas français, le chiffrement offre un exemple topique du « duel » sécurité/liberté. Indispensable pour créer la confiance dans les échanges, il est aussi un obstacle pour les forces de sécurité qui se heurtent au mur du chiffrement « de bout en bout » pratiqué notamment par les Over The Top (Whatshapp, Instagram, etc.). On comprend l’exigence d’accès par la justice aux messages « en clair » transmis par les mouvements terroristes et la criminalité organisée. Mais on mesure aussi les dangers liés à la mise en place de « backdoors », non demandée d’ailleurs par les services enquêteurs français.
La recherche de l’équilibre est plus que jamais nécessaire si l’on veut que l’espace numérique sécurisé demeure un espace de liberté. Le discours pondéré, régulièrement tenu par Guillaume Poupard, directeur général de l’ANSSI, traduit cette aspiration. C’est aussi « l’esprit FIC » qui, depuis 10 ans, témoigne de la volonté de donner une finalité aux moyens de la cybersécurité. Une devise pour le FIC ? : ni sécurité absolue, qui serait la négation de la liberté, ni liberté absolue, qui conforterait la « loi du plus fort ».
Pour atteindre cet équilibre, il importe de conjuguer les compétences et notamment de rapprocher les « sciences dures » des sciences humaines. C’est l’ambition de transversalité affichée par le FIC, c’est le souffle qu’il veut apporter à un débat qui dépasse les seuls enjeux technologiques !
Pour atteindre cet équilibre vital, il nous faut aussi partager l’idée que la liberté de chacun est le résultat d’une cybersécurité mise en œuvre par tous. L’hyperconnexion, thème du 10ème FIC, met en lumière les interférences, les interactions, les responsabilités croisées qui vont encore s’accentuer dans les cinq ans à venir. Entre les « sécuritaires » et les « libertaires », le FIC est la rencontre des partisans du juste milieu. Nous serons nombreux à exprimer cette ambition, les 23 et 24 janvier prochain !