N° 2541 |
N° 271 |
|
ASSEMBLÉE NATIONALE |
SÉNAT |
|
CONSTITUTION DU 4 OCTOBRE 1958 QUATORZIÈME LÉGISLATURE |
SESSION ORDINAIRE 2014 - 2015 |
|
Enregistré à la présidence de l'Assemblée nationale |
Enregistré à la présidence du Sénat |
|
le 2 février 2015 |
le 2 février 2015 |
RAPPORT
au nom de
L'OFFICE PARLEMENTAIRE D'ÉVALUATION
DES CHOIX SCIENTIFIQUES ET TECHNOLOGIQUES
sur
SÉCURITÉ NUMÉRIQUE ET RISQUES :
ENJEUX ET CHANCES POUR LES ENTREPRISES
PAR
Mme Anne-Yvonne LE DAIN, députée, et M. Bruno
SIDO, sénateur
Tome I : Rapport
Déposé sur le Bureau de l'Assemblée nationale par M. Jean-Yves LE DÉAUT, Président de l'Office |
Déposé sur le Bureau du Sénat par M. Bruno SIDO, Premier vice-président de l'Office |
PRÉAMBULE
Le 16 avril 2014, vos rapporteurs ont présenté à l'OPECST leur étude de faisabilité sur la saisine de la commission des affaires économiques du Sénat, transmise à l'Office, le 26 juin 2013, d'un rapport sur « Le risque numérique » (voir, en annexe, la lettre de saisine).
La raison même de l'étude de faisabilité précédant les rapports de l'Office parlementaire d'évaluation des choix scientifiques et technologiques conduit notamment à vérifier si une étude analogue récente existe concernant la sécurité des réseaux numériques utilisés par les entreprises, à recenser les multiples colloques traitant de la sécurité numérique et à apprécier la portée des choix à opérer.
Dans le cadre de la présente étude, vos rapporteurs ont organisé trois journées d'auditions publiques retracées, comme l'ensemble de la centaine d'auditions, dans le tome II du présent rapport.
C'est ainsi que trois auditions publiques ont été organisées .
En avril 2014, trois tables rondes sur l'éducation au numérique et à sa sécurité ont d'abord tenté de repérer les moments et les moyens de nature à favoriser, tout au long de la vie, l'apprentissage des outils numériques, une connaissance des avantages et des risques induits par leurs usages et une conscience de leurs faiblesses ; l'omniprésence et le développement rapide de ces outils devant être accompagnés par une accélération de l'acquisition d'une véritable culture numérique par la population.
Il deviendrait ainsi possible d'analyser l'évolution en cours et de se demander si elle conduit à une humanité augmentée (plus connectée, plus performante, plus généreuse...) plutôt qu'à une humanité diminuée (plus dépendante, plus influençable, plus soumise, etc.).
Ce questionnement est contenu dans l'analyse de M. Éric Sadin sur l'évolution actuelle de l'humanité conduisant à une administration numérique du monde : « C'est l'apparition d'un couplage inédit entre organismes physiologiques et codes numériques qui se tisse ». 1 ( * )
Le 19 juin 2014, une audition publique a permis aux intervenants à deux tables rondes de se pencher sur le cadre juridique, les risques et les aspects sociétaux de la sécurité des réseaux numériques .
Enfin, le 26 juin 2014, une audition publique a réuni deux tables rondes sur le risque numérique à travers la sécurité des réseaux informatiques, le stockage des données personnelles ou industrielles et leur exploitation . La première table ronde a rassemblé des opérateurs d'importance vitale des secteurs de l'énergie et des télécommunications ; la seconde a permis d'entendre les entreprises proposant des solutions de sécurité numérique.
Comme déjà envisagé par le Gouvernement en avril 2014, le thème du numérique, enjeu économique voire stratégique, devrait donner lieu au dépôt d' un projet de loi pour la fin du premier semestre 2015.
Il est d'ailleurs probable qu'un tel projet de loi, nécessaire, ne règle, ni en une fois ni une fois pour toutes, les questions posées par le numérique et qu'il faille le compléter, l'approfondir à plusieurs reprises. D'une part, car bien des aspects de cette technique omniprésente ne sont pas encore entrevus, et, d'autre part, parce que l'utilisation du numérique ne cesse de se déployer à travers le monde, notamment du fait de l'évolution des supports (de l'ordinateur au téléphone portable, de la puce RFID 2 ( * ) aux compteurs individuels dits intelligents).
Ce projet de loi s'inscrit dans un ensemble d'initiatives gouvernementales relatives au numérique incluant une concertation sur le numérique , organisée par le Conseil national du numérique (CNN) et comprenant une plate-forme en ligne recueillant des contributions de la société civile (d'octobre 2014 à février 2015), la publication de la stratégie numérique de la France , en mars 2015, laquelle, outre le projet de loi, devrait inclure un plan de mesures concrètes à caractère national et un plan stratégique à déployer au niveau européen .
Mme Axelle Lemaire, Secrétaire d'État chargée du numérique, a eu l'occasion d'évoquer ce dispositif devant l'Assemblée nationale lors du débat d'orientation pour la stratégie numérique de la France , le 14 janvier 2015.
Ce sur quoi la commission des affaires économiques du Sénat a souhaité être éclairée, à travers la présente saisine de l'Office sur le risque numérique , ce sont aussi les aspects de la sécurité numérique qui seraient de nature à favoriser ou, au contraire, à entraver l'activité économique des entreprises.
En effet, en quelques années, un nouvel espace économique est apparu, s'est déployé commodément, y compris dans le nuage numérique, utilisé par les individus comme par les entreprises. Cet espace semble avoir toujours existé ; il paraît sans limite au point que sa mise en cause ne vient pas à l'esprit même si le numérique parfois inquiète.
Au-delà des peurs comme du laisser-faire, ces préoccupations ont conduit vos rapporteurs à établir certains constats puis à opérer des choix.
Les constats des rapporteurs au début de leur étude :
Certains constats découlent directement de la spécificité du numérique, à la fois familier et inconnu.
- Constat n° 1 : une représentation mentale des frontières du numérique est difficile, voire impossible à imaginer et, alors même qu'il faudrait pouvoir connaître les limites du numérique pour mesurer la confiance à placer en lui, ses failles, son degré de sécurité et les moyens de la garantir. Ces limites, fluctuantes, ne correspondent pas aux frontières des États, elles sont inconnues du grand public, voire de beaucoup de professionnels du numérique .
En réalité, fixer et surveiller les frontières du numérique ne relève pas des États mais de contrats, de rapports de force qui prennent la forme de contrats de gré à gré. C'est ainsi que le droit nord-américain trouve, de fait, à s'appliquer partout dans le monde et que les autres droits nationaux ne parviennent plus à appréhender, donc à maîtriser, la réalité juridique de relations qui concernent pourtant les nationaux de chaque État sur son propre territoire.
Ces frontières sont méconnues. Qui sait, par exemple, que la France a une frontière numérique commune avec l'Inde et qu'elle passe sous le site de La Défense ?
Ces frontières fluctuent, éventuellement plusieurs fois par jour, en fonction de l'état des techniques et des liens juridiques tissés.
- Constat n° 2 : les approches traditionnelles des évolutions techniques et économiques peinent à cerner la réalité du numérique car le contenu de notions comme celles de frontières, de confiance, de productivité et même de sécurité a évolué. Elles sont réinterprétées de façon extrêmement rapide tant par les usagers que par les fournisseurs de produits et/ou d'accès numériques.
Ces approches traditionnelles sont aussi remises en cause par les usages malveillants qui se développent sur la toile (ou web ) : si les entreprises sont des cibles évidentes en dépit de leurs efforts de sécurité, il convient de prendre acte que les réseaux sociaux se réclamant de l'élan démocratique, empreint de bienveillance, associé à l'image de l'Internet, sont aussi, de plus en plus, utilisés par des individus malveillants et dangereux pour des échanges d'informations nuisibles et également pour des commerces illégaux comme ceux des armes et des substances illicites.
- Constat n° 3 : l'existence de failles de sécurité du numérique est inhérente à cette technologie . Elles sont inévitables à chaque degré d'évolution de la technique et à chaque niveau des systèmes informatiques. Ces failles sont multiples et souvent utilisées d'abord par les pirates qui les exploitent bien avant qu'elles soient explicitées par des analyses théoriques. Ces failles peuvent être inhérentes aux logiciels, aux systèmes d'exploitation ou résulter de connexions entre réseaux (internes ou internes/externes).
Ces faiblesses intrinsèques peuvent se trouver à l'intérieur d'un matériel, d'un composant, d'un coeur de réseau mal conçu ou conçu volontairement avec une faille appelée « porte dérobée » permettant au constructeur, à l'instigation ou non d'un utilisateur, de pénétrer volontairement le réseau qu'il a contribué à construire ou d'y dérober des données de la manière la plus discrète et la plus durable possible - ou, plus simplement, à l'intérieur d'un logiciel, le plus souvent introduit lors d'un téléchargement ou via une clé USB non sécurisée.
L'existence de ces failles est souvent constatée par les utilisateurs d'un réseau avec plusieurs mois, voire plusieurs années, de retard ou n'être jamais ni constatée ni révélée - les entreprises répugnant à donner de l'écho à leurs mésaventures informatiques. Il semble cependant que le rythme de découverte des intrusions s'accélère, soit grâce à la vigilance accrue des entreprises soit en raison de l'augmentation du nombre des intrusions.
- Constat n° 4 : les utilisateurs du numérique, généralement mal informés des risques de celui-ci, négligent trop souvent la sécurité, par faiblesse de leurs connaissances ou oubli des précautions à prendre, et/ou ignorance des moyens pour y parer . En effet, la vigilance des services informatiques des entreprises est parfois perçue par les utilisateurs professionnels du numérique - même au plus haut niveau - comme un frein à l'activité et à la croissance de leur entreprise.
Ces failles, involontaires ou volontaires, ne sont pas exclusivement techniques ou malveillantes mais sont d'autant mieux mises à profit qu'elles sont amplifiées par la légèreté des utilisateurs. Il convient donc de prôner l'hygiène informatique.
- Constat n° 5 : la sécurité du numérique doit être réinventée chaque jour puisqu'elle est, par nature, impossible à penser à partir des risques avérés et des procédés de sécurité antérieurs mais doit prendre en compte, à la fois et également, les risques présents et ceux qui pourraient caractériser le futur.
- Constat n° 6 : la dépendance au numérique des individus comme des entreprises et de la société en général ne cesse de s'accroître .
Tant dans les usages individuels que professionnels du numérique, le perfectionnement des outils, la fascination qu'ils peuvent exercer par leurs facultés et leur apparence familière, pratique et esthétique, sont de nature à entraîner une accoutumance qui peut se transformer en dépendance voire en addiction.
Cela est particulièrement frappant chez les jeunes mais s'observe à tout âge. Dans les loisirs comme dans le milieu professionnel, nul ne saurait plus se passer du numérique d'autant que celui-ci se fait nomade dans la plupart de ses outils et peut donc accompagner partout et en permanence.
Les facilités offertes par les ordinateurs portables, les messageries électroniques, la téléphonie mobile, les clés USB données et/ou échangées, permettent de travailler n'importe où et à n'importe quelle heure, ce qui ouvre évidemment des opportunités, mais ne laisse pas d'inquiéter.
- Constat n° 7 : l'omniprésence du numérique rime parfois avec l'ignorance de ses possibilités comme des risques pris .
La dépendance au numérique des individus comme des entreprises et de la société tout entière, ne cesse de s'amplifier et le décalage s'accroît entre les possibilités techniques des outils numériques et les connaissances nécessaires à leur maîtrise .
En effet, il n'est nullement nécessaire de maîtriser l'informatique pour utiliser un logiciel, un téléphone portable ou un ordinateur, pour stocker des images et des données dans un nuage numérique ou envoyer des photos et des fichiers à un tiers ou sur un site de partage en ligne, etc. La faible connaissance que nombre d'usagers ont de leur matériel devient plus inquiétante quand cette ignorance empêche de suspecter l'existence de failles de sécurité dans les outils numériques utilisés .
Il est singulier d'observer que, désormais, la quête de la connexion permanente l'emporte sur toute autre considération : chacun est attiré par la prise de courant, la connexion Wi-Fi , la clé USB prêtée ou offerte, et néglige le temps de recul, l'instant de réflexion qui permettrait, peut-être, de se demander si ces multiples possibilités ne masquent pas un fait essentiel : un flux de données peut toujours s'écouler en sens contraire à celui espéré par l'heureux possesseur de ces merveilles technologiques et ce, totalement indépendamment de sa volonté.
C'est ainsi que nombre de commerciaux emportent à l'étranger leur ordinateur professionnel avec toutes ses données, se connectent de nombreuses fois au cours de leur voyage puis s'étonnent sincèrement de voir les marchés escomptés leur échapper. Il en va de même pour nombre d'ingénieurs, pourtant mieux avertis, qui transportent des données sensibles.
Dans ce contexte, au printemps 2014, déjà éclairés par près d'une quarantaine d'auditions, vos rapporteurs ont jugé utile de proposer à tous les membres de l'Office une séance de démonstration de la vulnérabilité des outils numériques dont l'usage s'accroît à proportion, par exemple, de l'exploitation croisée des données massives ( big data ).
Désormais, une masse considérable de données peut être stockée et exploitée, dès à présent ou dans le futur, sur des serveurs dispersés dans le monde, dont les nuages numériques. La mobilité et la multitude des opérateurs rendent possible la collecte massive et durable de données disparates et éparses relatives à une personne ou à une entreprise. Cette collecte ne prenant éventuellement sens qu'au regard de sa mise en ordre par l'opérateur de données massives ou par la personne à laquelle il aura transmis ces informations.
Les données massives, même éparses, prennent ainsi, progressivement, une valeur marchande, économique, pour l'opérateur, à l'insu de son client et en l'absence de tout contrôle .
Le client, dont l'être se réduit ainsi à une série de données, devient le produit : l'exploitation économique du « petit tas de secrets » évoqué par André Malraux débute. Personne ne l'avait prévu ; tout le monde en est l'objet.
Ce phénomène, qui s'intensifie, entraîne la création de nouveaux modèles d'affaires , attrayants mais insidieux.
En effet, l'exploitation de ces données peut ne pas être conforme à la volonté initiale de celui qui les a confiées - le plus souvent sans avoir conscience de cet acte lui-même - au fournisseur du service de stockage.
C'est ainsi qu'une photo déposée dans un espace « privé », par exemple Facebook, Twitter ou Google , peut être utilisée, modifiée, détournée à des fins totalement étrangères à la volonté initiale de la personne ayant placé sa confiance en cet opérateur.
Des décisions récentes ont été prises par certains opérateurs en matière d'effacement de données et ce, sous la pression de la Commission nationale informatique et libertés (CNIL) et des médias... mais toutes les questions d'ordre privé n'ont pas pour autant été résolues.
Entre angélisme et paranoïa, il est donc nécessaire de trouver une voie, non point médiane mais appropriée à chacun, personne physique ou morale, dans l'intérêt bien compris du développement économique comme de la sécurité publique et privée.
Ce qui conduit à se demander si le changement de monde, vécu actuellement, que l'on voudrait créateur d'emplois et d'activités, peut se satisfaire, pour sa sécurité, du seul outil de l'autorégulation ?
- Constat n° 8 : la nécessité de recourir à des tiers de confiance s'impose pour aborder ces questions sur le numérique, ses frontières, son caractère évolutif et sa complexité.
Cela ne va d'ailleurs pas sans paradoxe : le Centre de sécurité de Thales - comme bien d'autres - recrute des hackers , des pirates de la toile, agiles à déjouer les attaques informatiques menaçant les opérateurs d'importance vitale et à remédier à leurs effets. Ces pirates se muent alors en corsaires du XXI e siècle.
En complément, quand un individu, une entreprise, une administration souhaite placer tout ou partie de ses données dans un nuage de stockage numérique, il doit s'assurer que le fournisseur est un partenaire de confiance apte à garantir la disponibilité, l'intégrité, la confidentialité (DIC) et la réversibilité du stockage des données et des services rendus . Ces critères objectifs de confiance peuvent d'ailleurs être exigés par contrat.
Cette notion de confiance, au temps des pirates et des nuages numériques, illustre les limites de la sécurité du numérique puisque, faute de pouvoir appréhender le degré de sécurité de tels matériels, logiciels, réseaux, centres de stockage, etc., il sera choisi de n'évaluer que le degré de fiabilité de ce tiers de confiance qui est supposé, lui, être à même d'expertiser en permanence le degré de sécurité de tout ce qu'il propose à ses clients.
Pour autant, les critères d'octroi de la confiance demeurent personnels et subjectifs. Ce qui conduit certains acteurs à faire appel à plusieurs opérateurs de confiance - qui, dans le même esprit, dupliquent eux-mêmes les données pour en mieux garantir la sécurité.
- Constat n° 9 : la sécurité des entreprises face aux risques du numérique apparaît insuffisamment garantie , ce qui est d'autant plus regrettable qu'elle peut être un facteur de croissance économique.
C'est l'objet même des interrogations de la commission des affaires économiques du Sénat d'estimer l'ampleur des risques encourus par les entreprises du fait du numérique.
En effet l es failles énumérées ci-dessus rendent vulnérables toutes les entreprises et, en particulier, celles classées parmi les opérateurs d'importance vitale.
De leur côté, les jeunes entreprises innovantes constituent des proies intéressantes pour des entreprises plus matures, à la recherche d'innovations, tout comme les entreprises de taille intermédiaire (ETI) qui tentent de développer massivement et au plus vite leurs marchés au niveau mondial.
- Constat n° 10 : la vie quotidienne des entreprises est maintenant rythmée par des attaques informatiques de plus ou moins grande ampleur comme par des moments de crise liés à une attaque ciblée.
L'examen du dispositif de crise prévu pour impulser une réaction immédiate et cohérente jusqu'à la fin des effets de l'attaque numérique comprend ou non le recours à une équipe spécialisée.
La prise de conscience de l'importance des questions de sécurité peut devenir un facteur de croissance pour l'économie en favorisant l'émergence d`entreprises spécialisées en sécurité numérique (encodage, cryptage, algorithmique, groupage, dégroupage, transports, duplications, etc.). La sécurité est ainsi devenue un enjeu citoyen et un intérêt économique.
- Constat n° 11 : la vulnérabilité des opérateurs d'importance vitale (OIV) peut résulter de celle de leurs nombreux sous-traitants, clients, et personnels et être aussitôt mise à profit par leurs concurrents .
De la sorte, nombre d'opérateurs d'importance vitale se tournent souvent vers des sociétés propres à leur assurer une sécurité totale de leurs données comme celle du fonctionnement de l'ensemble de leurs outils numériques . De plus, ces tiers peuvent également, à leur tour, faire appel à des sous-traitants . Or, comme toujours, la solidité d'une chaîne dépend de celle de son maillon le plus faible. Aussi, la sécurité des opérateurs d'importance vitale peut-elle être compromise par un sous-traitant qui n'a pu ou su veiller à sa propre sécurité numérique.
Il peut arriver aussi que la défaillance provienne d'un affaiblissement des barrières habituelles, un stagiaire, un visiteur, etc.
- Constat n° 12 : la confiance n'excluant pas le contrôle, pas plus que l'information n'exclut la formation, la sécurité informatique doit être un enjeu de performance dans toutes les entreprises .
Il importe que les processus internes et externes de sécurité numérique soient placés au coeur de la vie de l'entreprise impliquant l'ensemble de la hiérarchie, toutes les instances de direction, et qu'ils ne soient plus laissés à la seule charge du service informatique, bien souvent peu écouté.
- Constat n° 13 : les conditions de la sécurité de l'informatique en nuage semblent peu développées en France , et même les opérateurs les plus performants ne sont pas exempts de failles de sécurité, y compris internes.
Le déploiement de services en propre ou le recours aux traditionnels ressources et services associés (service de paiement électronique, gestion de la paye, puissance de calcul, etc.) peut en effet entraîner des failles massives de sécurité. Tout comme le peu de confiance accordée aux propres services des entreprises et des administrations souvent marginalisés ou au mieux perçus comme rétifs à la modernité.
Le développement rapide des solutions partagées dans les infrastructures en nuage et leur médiatisation pourraient laisser penser que l'externalisation de la sécurité informatique serait la solution miracle. Il n'en est évidemment rien et nombre d'entreprises préfèrent continuer à disposer de serveurs classiques (hébergés ou non) pour maîtriser l'ensemble de leurs informations et données. Les faiblesses sont d'ailleurs souvent davantage d'ordre humain que d'ordre technique, et c'est à cela aussi que l'entreprise doit prendre garde.
Il convient donc de déployer, dans tous les cas, une solidité de bon aloi dans l'entreprise pour que le recours à des prestataires externes soit performant, et que l'ensemble du personnel de toutes les entreprises comprenne ces questions de sécurité, notamment grâce à une information et une formation continues.
Enfin, au-delà de ces nécessaires ajustements internes à l'entreprise, il importe qu'elle connaisse de manière explicite les lieux de stockage de ses données et qu'elle maîtrise les garanties de disponibilité, d'intégrité, de confidentialité et de réversibilité offertes par l'opérateur choisi, puisque ce sont les objectifs mêmes d'une sauvegarde de données satisfaisante s'inscrivant dans une démarche-qualité opérationnelle, validée au plus haut de la hiérarchie.
Des constats qui précèdent, vos rapporteurs ont déduit quelques choix pour orienter leurs travaux .
Choix n° 1 : focaliser l'étude sur les acteurs publics ou privés classés comme opérateurs d'importance vitale (OIV) .
Près de deux cents entreprises sont reconnues comme étant des opérateurs d'importance vitale en fonction de leur rôle crucial au sein de l'économie et de la société en général. Selon les sources, le nombre de ces opérateurs varie assez sensiblement mais il s'agit toujours d'entreprises dont le fonctionnement ne saurait être interrompu par quelque événement que ce soit sous peine de compromettre sévèrement le fonctionnement économique du pays.
Choix n° 2 : après avoir procédé à un tour d'horizon de ces entreprises, vos rapporteurs ont estimé que les opérateurs d'importance vitale des secteurs des télécommunications et de l'énergie méritaient une attention particulière .
En effet, le secteur des télécommunications est doublement sensible : d'abord en lui-même et comme support du maillage nécessaire au fonctionnement et au développement du numérique.
Quant au secteur de l'énergie, il est évident que sa sauvegarde est particulièrement cruciale puisqu'il inclut aussi bien les centrales nucléaires que les raffineries, les oléoducs, les gazoducs, les éoliennes, les centrales solaires ou encore les barrages, les transformateurs, les lignes à haute tension et même, tout simplement, le réseau « cuivre », servant d'ailleurs aussi de réseau de transport « numérique ».
C'est pourquoi, dès le stade de l'étude de faisabilité, vos rapporteurs avaient procédé à l'audition de plusieurs opérateurs d'importance vitale, parmi lesquels Total et la Fédération française des télécommunications .
Choix n° 3 : après avoir rappelé et analysé le contexte et l'organisation de la sécurité numérique, la compréhension, même faible, du risque numérique impose l'étude détaillée de la technique de la transmission du message, du système d'information de l'entreprise pour en déduire les conditions de sa sécurisation au vu des failles constatées et des attaques subies par les entreprises .
* 1 Voir la bibliographie en annexe du présent rapport.
* 2 Un glossaire des termes techniques et un lexique des sigles figurent en annexe du présent rapport.