La cybersécurité est devenue un mot valise. Comment la définissez-vous ?
C’est avant tout un état, pas une action. Je suis ou je ne suis pas en cybersécurité, exactement comme je suis en bonne ou mauvaise santé. Et pour améliorer cet état, il faut agir sur trois piliers. Le premier, c’est la sécurité de l’information : la protection des réseaux et des données, leur intégrité, leur disponibilité. Le deuxième, c’est la lutte contre la cybercriminalité, à savoir détecter les failles, rechercher les auteurs, démanteler les organisations criminelles qui opèrent dans le cyberespace. Le troisième, c’est ce qu’on appelle la cyberdéfense : protéger les entités essentielles de la nation comme les hôpitaux, les infrastructures d’énergie, de transports, la justice. Tout ce dont la compromission aurait des effets en cascade sur l’ensemble de la société.
Justement, cyberdéfense et cyberrésilience sont souvent confondues…
C’est là où le mot « défense » pose problème. La cyberdéfense offensive est strictement réservée au ministère des Armées et à la DGSE (Direction générale de la sécurité extérieure), dans le cadre d’opérations militaires ou clandestines. Elle n’a rien à voir avec la capacité d’un hôpital ou d’une entreprise à absorber un choc et à rebondir. Je préfère le terme de cyberrésilience. Mélanger les deux crée une confusion réelle dans les esprits.
Les cibles sont-elles encore distinctes ? Le public, le privé, les militaires, le civil sont-ils exposés de la même manière ?
Les cyberattaquants ne segmentent pas leurs cibles. Ceux qui ont frappé une administration sont souvent les mêmes que ceux qui attaquent une banque. Dans un espace numérique hyperconnecté, c’est votre réseau de connexions qui détermine votre exposition. Les attaques sont parfois très ciblées, mais souvent opportunistes : ils détectent une faille, et c’est une porte ouverte. On voit par ailleurs de plus en plus les enquêteurs publics, c’est notamment le cas du parquet de Paris, s’en remettre à des entreprises privées de cybersécurité pour établir les éléments matériels d’une cyberattaque. La frontière public-privé s’efface aussi dans la réponse.
« La place de l’humain reste fondamentale »
L’intelligence artificielle a-t-elle amplifié les menaces ?
Elle les a davantage transformées. D’un côté, dans les centres opérationnels de cybersécurité, l’IA permet de traiter en temps réel un volume de vérifications qu’aucun humain ne pourrait absorber seul. De l’autre, des groupes criminels sans aucune compétence en code sont désormais capables de demander à une IA de détecter des failles dans un système à une vitesse sans précédent. Mais l’IA n’est pas infaillible. Les biais de ses données d’entraînement génèrent des faux positifs et des faux négatifs. Elle peut vous dire qu’il n’y a pas de problème alors qu’il y en a un, ou l’inverse. La place de l’humain reste fondamentale. L’IA, c’est à la fois un ami et un ennemi, un outil qu’on utilise bien ou mal. Ce qui m’inquiète davantage aujourd’hui, ce sont les agents IA : pas des systèmes qui produisent du texte ou des images, mais des systèmes qui produisent des actions et des interactions. Avec les agents autonomes, les risques de cyberattaques réussies montent d’un cran.
Vous évoquiez il y a cinq ans les cyberattaques de type cognitif. Votre prédiction s’est-elle concrétisée ?
Oui. J’avais pourtant eu du mal à convaincre à l’époque. Toute l’économie de l’attention, la manipulation de l’information, les deepfakes, les insultes sur les réseaux sociaux sont là pour le prouver. Je pensais que c’était un vrai sujet. On me répondait qu’il n’y avait pas de marché derrière ça. Aujourd’hui, des start-up se montent précisément pour détecter ces mêmes deepfakes et certifier la fiabilité de l’information. C’est un marché émergent, et je pense qu’il va prendre une importance croissante : il ne s’agira plus seulement de créer de l’information, mais de vérifier qu’elle n’est pas fabriquée par une IA.
La puissance publique française est-elle suffisamment active et puissante sur le sujet ?
Des progrès importants ont été accomplis depuis le premier Forum. Mais nous n’avons pas atteint un stade idéal. Une grande partie des décideurs politiques et administratifs en sont encore au stade du smartphone pour envoyer des mails. La vision cyber n’est pas arrivée au niveau somital. Regardez la place du ministre du numérique dans les gouvernements successifs : généralement entre le 22^e et le 30^e rang, parfois un simple secrétaire d’État qui ne siège même pas au Conseil des ministres. Et pas toujours un(e) spécialiste. Pour que le sujet devienne une priorité politique, il faut des chiffres. Or, en matière de cybercriminalité, les chiffres officiels sont très en deçà de la réalité. Ce qui signifie que pour le politique, il n’y a pas de problème visible. Et donc pas de moyens mis en face.
Snobisme, Europe et manque de courage
La souveraineté numérique est-elle un enjeu de sécurité ?
C’est même le cœur du problème. Nos systèmes d’information reposent sur des infrastructures qui n’appartiennent pas à des intérêts français. La DGSE a signé à nouveau avec Palantir (société américaine controversée pour ses pratiques et son usage de l’IA, NDLR) pour trois ans. Nos données sont hébergées dans des data centers américains sur lesquels pèse la menace du Cloud Act, qui contraint toute entreprise américaine à ouvrir ses données aux autorités américaines sur simple demande. Nous sommes dans une situation de colonisation numérique. Quant à l’administration Trump, elle aggrave la situation : les dirigeants de la tech américaine lui ont quasiment tous prêté allégeance, et Trump a clairement dit qu’il voulait nous appauvrir et nous isoler. Quand votre infrastructure numérique dépend d’acteurs qui font allégeance à quelqu’un qui veut vous nuire, vous avez un problème de sécurité nationale.
Comment en est-on arrivés là ?
Trois causes. Le snobisme, d’abord : ce qui est américain est tellement perçu comme supérieur. Pourtant, c’est la France qui a inventé le micro-ordinateur, la carte à puce, et c’est l’Europe qui a inventé le Web au CERN. Giscard a tué l’Internet français en 74 par tropisme pro-américain. Le manque de courage, ensuite : un directeur de la sécurité informatique qui choisit Google ne risque rien. S’il choisit une solution française inconnue, c’est sa responsabilité personnelle qui est engagée. Alors beaucoup préfèrent ne pas s’embêter. Et enfin l’Europe, qui a laissé se développer sur son dos tous les écosystèmes américains au nom de la concurrence, ce qui fait d’elle une passoire et non un rempart.
Peut-on reprendre la main ?
Oui, mais progressivement. Le thème du Forum à Lille cette année, c’est précisément : « On reprend la main. » Les Pays-Bas viennent de nommer un ministre de la Souveraineté numérique. Eux qui nous traitaient d’archaïques quand on parlait de souveraineté. L’administration Trump a paradoxalement accéléré la prise de conscience européenne. La première condition, c’est la commande publique. Le ministère de l’Éducation nationale utilise Microsoft plutôt que des solutions open source, comme le fait pourtant la gendarmerie. Tant que chaque administration ne prend pas de décisions souveraines à son niveau, le discours sur la souveraineté reste vain. L’addition de petites souverainetés gagnées aboutit à une grande souveraineté. Sur les data centers, il y a aussi une pression écologique qui va rebattre les cartes : aujourd’hui, ces data centers consomment plus d’électricité que la France entière. Des solutions de refroidissement sans eau, utilisant la chaleur pour chauffer des quartiers, ouvrent la voie à des data centers de proximité plus sobres. Le edge computing peut devenir une alternative réaliste aux grandes fermes de données américaines.
Propos recueillis par Antonin Amado
