Soutien IN.CRT: 

 

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

Tous droits réservés - IN.CRT 2020

 

1 2

AGORA CYBER: ALEXANDRE PAPAEMMANUEL

05/11/2020

AGORA CYBER: ALEXANDRE PAPAEMMANUEL

A la faveur de la connectivité une carte numérique se superpose désormais aux réalités géographiques. Les projets de « smart cities » ou de « ville des intelligences » se multiplient à Paris, Dijon, Marseille, Lyon, Chartes, Angers, Toulouse, Grenoble et Rennes. Avec elles, une utopie s’impose, la technologie peut être au service d’une ville plus responsable et efficace. Concept longtemps réservé aux plaquettes marketing, « la ville des intelligences » investit désormais notre réalité. 

 

L’extension de la superficie des villes et la densification de peuplement contribuent à la multiplication des données produites dans les centres urbains. Ces données sont par essence hétérogènes  mais aussi vivantes car issues de réseaux physiques connectés . Leur maîtrise est précieuse puisqu’elle apporte une meilleure connaissance de la réalité d’un territoire et des évolutions qu’il sera amené à connaître. Pourtant, ce capital informationnel local est encore trop peu exploité.

 

En effet, la donnée valorisée est aujourd’hui principalement statistique, mobilisée pour des évaluations a posteriori et ne permettant aucun ajustement dynamique des politiques publiques. Or le management territorial doit désormais s’appuyer sur des indicateurs objectifs et incontestés de performance des politiques locales. La technologie doit accompagner une politique ancrée dans le réel. Ainsi, la «Five Minutes City » de Vancouver, le « 20-Minute Neighbourhood » de Melbourne, la « 20-Minute Living » de Portland, comme la ville « quart d’heure » de Paris, impose le local comme échelon répondant aux préoccupations citoyennes sur l’habitat, les finances publiques, la sécurité, les conditions de travail, l’accès aux services publics (éducation, loisirs). Ce niveau de lecture local donne tout son sens à l’extrême granularité des données à disposition et oblige à un réel outillage de la donnée au service de la définition et de la conduite des politiques publiques locales.

 

Parfois dévoyée et perçue justement avec méfiance, la donnée ne serait-elle pas l’échelle d’un nouveau « pacte jacobin » au service d’une meilleure articulation entre les différents niveaux de l’action publique ?   

 

Il apparaît indispensable, non pas d’anticiper l’avenir, mais bien de se préparer au changement voire de participer à sa définition. Les écueils sont pourtant nombreux tant il est aisé de verser dans une forme de futurologie techno centrée (IoT, BigData, Blockchain, Machine Learning) qui finit par être déconnectée du réel, du cadre juridique et du marché. 

 

Une ambition : la donnée d’intérêt territorial (DiT)


Une réappropriation de la donnée locale, souvent confisquée par des opérateurs privés, est nécessaires pour réhabiliter la performance publique. Au-delà de la publication en open data des données issues des missions de service public, le rapport Belot suggère de « créer un statut des données d’intérêt territorial produites par les entreprises ou associations ».

Entre ouverture des données et protections des libertés, le cadre légal français depuis 1978 est exemplaire. Ce qui est faisable avec la donnée n’est pas forcement souhaitable. C’est pourquoi ce cadre pourrait être accompagné d’outils et d’instances pour une exploitation raisonnée de la DiT. Ainsi une doctrine de la DiT semble devoir être pensée car les sources de données, parfois très riches, encouragent souvent des analyses imprévues, dévoyées, voire abusives, lourdes de conséquences sur la confiance des citoyens en l’institution. La création d’un organe de gouvernance des DiT, collège d'experts garantissant un usage responsable des données sensibles, s’impose, afin de prévenir de potentiels abus. 
 
Cette stratégie « data volontariste » doit s’appuyer sur une organisation adaptée redonnant une marge de manœuvre aux collectivités territoriales (CT) face aux stratégies de désintermédiation portées par des acteurs privés, porteurs de la promesse d’un urbain fluide en contrepartie d’une exploitation massive des données personnelles.

 

Une organisation :  le hub territorial


Si l’idée est séduisante et dans l’air du temps, la donnée doit être couplée à une finalité concrète et à des moyens de mise en œuvre. Les CT doivent "réinternaliser" certaines compétences car le jugement et l’expertise humaine seront toujours indispensables. Datascientist, Data Protection Officer, Data Chiefs Officers sont autant de fonctions au service de l’intérêt général modifiant profondément le rapport entre les agents, services, directions, les élus et les citoyens. 

 

Dépassant la simple mise à disposition au plus grand nombre, la donnée peut alimenter la prise de décision procédant ainsi à une véritable recomposition des pouvoirs et des savoirs. Grâce à cette approche holistique par la donnée, chacun peut l’interroger et la croiser pour infléchir à son échelle, la définition ou la mise en œuvre de politiques publiques. Cette transformation redonne son sens à l’action des agents tout en l’inscrivant concrètement et techniquement dans une stratégie globale, maîtrisée par l’administration.

Un moyen : reprendre le contrôle de ses données 


La technologie est un outil et non une fin en soi, c’est pourquoi l’action des CT doit s’appuyer sur une plateforme éprouvée, permettant la convergence de systèmes hétérogènes et de données éparses. Lors de la crise sanitaire, les CT ont fait preuve de réactivité par leur proximité terrain, valorisant l’action locale et rendant plus que jamais criante la nécessité de s’appuyer sur une info structure solide. De grands acteurs industriels et régaliens français s’appuient déjà sur un système d’exploitation de la donnée robuste répondant à trois qualités essentielles leur permettant de se concentrer exclusivement sur leurs réorganisations internes et leurs performances : 

 

 - une couche d’intégration, de stockage, et de calcul, véritable armature au service d’une connexion immédiate à toutes les sources de données, quels que soient leurs volumes ou leurs structures. Les technologies actuelles permettent de déployer rapidement avec des résultats immédiats sans que cela ne soit coûteux ;
 - une couche de gestion donnant à la CT les moyens d’organiser et d’orchestrer en toute sécurité la totalité de son patrimoine de données ;
 - une couche d’analyse de la donnée apportant aux questions critiques, des réponses visuelles et aisément interprétable (taux de disponibilités des infrastructures locales, allocation des agents, gouvernance des politiques d’investissements, performance des réseaux de transport multimodaux, etc.). 

 

Un fondement : la cyber sécurité 


En dotant les CT de tableaux de bord sur-mesure et de rapports “vivant“, l’action publique gagne en performance tout en étant totalement synchronisée en interne (ville, quartier,..) et avec ses partenaires (agglomération, communauté de communes, etc.) animant ainsi une communauté éthique de la donnée territoriale. La CT est alors au centre du jeu, grâce à un pilotage stratégique et opérationnel au service des politiques municipales, la CT est alors au centre du jeu, gagnant en performance et en souveraineté. Cette valorisation doit s’accompagner de protection organise autour de trois principes : 


 - Granularité : les données doivent être sécurisées avec un très haut niveau de spécificité. Les permissions des utilisateurs peuvent être centrées sur des données individuelles ou des sets de données entiers. Il convient de pouvoir créer différents degrés d’accès pour différents groupes d’utilisateurs, par exemple par niveau hiérarchique ou fonction et ainsi définir ce que les acteurs territoriaux peuvent découvrir, lire, modifier et supprimer. 
 - Contrôles d’accès par rôle : Les administrateurs doivent être en mesure de définir les privilèges d’accès de manière flexible. 
 - Propagation automatique des politiques de sécurité : Les politiques de sécurité appliquées à une source de données doivent se propager automatiquement en aval à toutes les applications et les ensembles de données dérivés alimentés par cette source. 

 

Cette sécurisation est complémentaire d’une politique de gestion des droits et de traçabilité devant être garanties grâce à un système intégré d’authentification et d’autorisation qui s’étend à travers chaque couche, composant, application et service existant dans la plateforme. 

 

La donnée pour mieux appréhender les dynamiques territoriales


Les manageurs territoriaux font face à des situations se complexifiant, nécessitant de pouvoir enrichir leur action grâce à une valorisation des données de terrain. En effet, en apportant des réponses graphiques, visuelles et aisément interprétables, de nombreuses actions locales gagnent à être pilotée par la donnée : les mobilités, la prévention et la sécurité publique, la gestion des infrastructures et des réseaux publiques, l’urbanisme, le développement économique, la transition écologique, comme la fiscalité locale et la gestion budgétaire municipale.

A titre d’exemple, le projet économique local et la politique de la ville, outil de développement local peuvent bénéficier de cette représentation et catégorisation des données, nouvelle approche « ontologique » du « développement économique » faite :


 - des entreprises présentes (celles exportatrices, leurs fournisseurs locaux comme les services aux entreprises) ainsi que de leurs secteurs d’activités,
 - d’équipements (infrastructure industrielles et culturelles, disponibilité, accessibilité́...), 
 - de la main d’œuvre territoriale, 
 - du dynamisme culturel,
 - de flux logistique (énergie, transport).

 

Grâce à ce cockpit du « développement économique » fédérant des données auparavant éparses, la municipalité peut disposer : 


 - d’une visibilité sur l’ensemble de la chaîne logistique des fournisseurs contribuant aux opérations économiques locales,
 - d’une compréhension des dynamiques en termes d’emploi,
 - d’une capacité de prioriser les défis identifiés dans le « développement économique »,
 - de suivre les indicateurs de chaque territoire, quartier, zone dans le temps.

 

Sans être une simplification à outrance du complexe, une ontologie plus globale de la CT peut devenir possible à partir d’interrelations, d’interdépendances jusque-là ignorées. L’ontologie de la ville vivante fait fi des silos et s’émancipe des logiques propriétaires pour mettre en relations ce qui ne pouvait l’être, au service de l’émergence de nouvelles idées, approches et réalisations. Loin de la citation d’Alphaville sur les agents d’une ville nouvelle déclarant « Nous ne savons rien. Nous enregistrons, calculons et tirons des conclusions », désormais l’expert enrichit le généraliste, le local fertilise le central. Cette approche concrète par la donnée est au service du vivant, le sert, le met en évidence et le révèle.

 

 (1) âge, revenus, CSP, niveau de diplôme, type de logement, composition des ménages, etc.
 (2)- le transport, l’éclairage public, l’énergie, les déchets, etc.

 

Quelques mots sur l'auteur de ces lignes: 

 

Directeur des affaires publiques dans le secteur industriel et le numérique, Alexandre Papaemmanuel est titulaire du cours "Cyber : émergence d'une nouvelle dimension de la sécurité et de la défense" ainsi que de l’enseignement "L'industrie de défense: s'équiper, se financer, s'exporter" de l'École d'Affaires publiques de Sciences Po.


Auteur de plusieurs ouvrages et articles relatifs aux enjeux de défense nationale, de sécurité et de renseignement, il intervient régulièrement pour apporter un éclairage sur les questions de cyber sécurité et, plus largement, sur l'industrie de défense.


Alexandre est, enfin, auditeur de l’IHEDN, Co-président de la 68ème session Politique de Défense de l’IHEDN, Président de la Commission Digital Défense de l’AA-IHEDN et dirige le Pôle défense de l’Hétairie.

 

  • Expérience
    • Directeur, Palantir France
    • Directeur Grand Compte, Renseignement et Sécurité Intérieure, Sopra Steria
    • Directeur Grand Compte, Renseignement et Inter Armée, Airbus Defense & Space
    • Sales Manager, Geo-Int / NATO, EADS
    • MOSS (Joint-Venture SCCOA)          

 

  • Publications
    Livres
    • "Les Espions de l’Élysée", Édition Taillandier, 2019
    • "Rendre le renseignement plus efficace dans la lutte contre le terrorisme", Ouvrage collectif, Edition Harmattan, 2018
    Articles & Tribunes
    • "La guerre économique, nouveau terrain de jeu des espions français", Challenges, 13 mars 2020
    • "Et si le luxe c’était l’espace militaire", La Tribune, juillet 2019
    • "La révolution cyber et les services de renseignement: la collusion de deux mondes", l’Usine Nouvelle, 2019
    • "Dépasser les préventions du secteur financier à l’égard d’un "dirty" business? Le nécessaire soutien à l’industrie de défense", 9 mars 2018, La Tribune
    • "Programmation militaire: quelle marge de manœuvre pour investir les nouveaux espaces d’affrontement et de coopération?", La revue Défense IHEDN, n° 195
    • "LPM: une occasion de repenser en profondeur l’action du ministère des Armées", 5 février 2018, Ligne de Défense
    • "Les Forces Spéciales: mal nécessaire ou impérieuse obligation?", 23 mars 2018, La Tribune
    • "Une culture du renseignement pour faire face au tsunami de la donnée", La Tribune, 2 juin 2017

 

AGORA CYBER: CYRIL BRAS

01/11/2020

AGORA CYBER: CYRIL BRAS

Monsieur BRAS, vous êtes RSSI d’un EPCI (Métropole de Grenoble) Auditeur de la 2eme Session nationale "Souveraineté numérique et cybersécurité" de l’IHEDN, Intervenant au CNFPT et à la tête d’un réseau d’une centaine de RSSI d’EPCI, pouvez-vous nous décrire votre fonction au quotidien et ses particularités au sein d’un grand EPCI ? 


Cela fait deux ans et demi que j’occupe ce poste au sein de Grenoble-Alpes Métropole ainsi que la ville et le CCAS de Grenoble. J’assure au quotidien la mise en œuvre des mesures de protection de notre système d’information mais aussi la détection des actions potentiellement malveillantes et enfin la sensibilisation de nos utilisateurs à la Cybersécurité. Cette sensibilisation est indispensable pour transformer l’utilisateur en le faisant passer du statut de victime potentielle à acteur au quotidien de la Cybersécurité de la collectivité [1].
Avant d’intégrer le monde des collectivités territoriales, j’ai passé 10 ans en tant qu’ingénieur au CNRS. Cette partie de ma carrière professionnelle a fait que le partage de connaissances et de compétences est devenu pour moi indispensable. Je me suis alors rapproché du CNFPT pour proposer des conférences ou des ateliers en lien avec la Cybersécurité auprès des différents personnels de collectivités.


Cette volonté de partage m’a aussi conduit à constituer, il y a environ un an, un réseau de RSSI de collectivités afin que nous partagions nos expériences et difficultés. Ce réseau a pris naissance lors du FIC de 2020 grâce à l’aide logistique apportée par le Général Watin-Augouard mais aussi en s’appuyant sur une initiative du RSSI du département de l’Isère. Il avait, quelques mois auparavant, commencé à fédérer les RSSI de conseils départementaux au travers d’une liste de diffusion. Une autre de mes motivations à voir émerger ce réseau de RSSI était que pour moi il était insupportable de découvrir dans la presse qu’une collectivité voisine avait été piratée et que cette attaque aurait pu être évitée ne serait-ce qu’en partageant des informations. 

 

Qu’est qui pousse un homme de votre expérience à rejoindre un Institut tel que l’INCRT au sein de son conseil scientifique ? 

 

L’envie de faire bouger les lignes. La Cybersécurité dans les EPCI doit devenir une préoccupation majeure des élus et des équipes dirigeantes mais également l’écosystème de solutions logicielles à destination des collectivités. Il convient également d’améliorer les capacités de détection et de réaction sur incident. J’ai également à cœur de partager mon expérience sur ce sujet que j’ai pu conforter grâce d’une part grâce aux échanges avec mes homologues et d’autre part les actions que j’ai pu mener pour le CNFPT auprès d’autres collectivités à Grenoble, Lyon et Clermont Ferrand.
Je souhaite aussi améliorer la reconnaissance du métier de RSSI dans les EPCI qui a énormément évolué au cours des dernières années mais qui reste encore trop souvent perçu comme un poste purement technique.

 

Quelles sont les actions que vous souhaitez voir l’INCRT déployer et porter dans les 24 prochains mois ? Pour vous, RSSI, quelle doivent être les deux grandes priorités de cet Institut pour soutenir les territoires et pour soutenir leurs RSSI ?


L’institut pourrait nous aider à « officialiser » le réseau de RSSI à travers la France. Il est évident que nous avons besoin de partager de l’information mais cet échange doit pouvoir se faire dans un environnement de confiance en lien avec les instances officielles (ANSSI, CNIL, Gendarmerie Nationale…).


Nous avons également besoin d’une structure capable de gérer les incidents Cyber qui sont de plus en plus nombreux et surtout de pouvoir capitaliser sur l’expérience malheureuse des victimes. En effet, les collectivités utilisent bien souvent les mêmes outils qu’ils soient matériels ou logiciels. Il convient également d’apporter une aide à la détection des incidents surtout pour les plus petites collectivités. Dans l’idéal un CERT dédié aux collectivités et un SOC pourrait permettre ces améliorations.


Pour répondre à la seconde question, il est indispensable de faire ressortir la Cybersécurité comme étant stratégique et non plus simplement technique. Ce qui passe par une revalorisation de la fonction RSSI dans les organigrammes et globalement par la création d’une filière d’emploi cyber distincte de l’informatique. Actuellement le RSSI quand il existe, est souvent positionné dans la DSI ou à un niveau qui ne lui permet pas d’être audible des élus et dirigeants. Cette prise en considération passe nécessairement par une acculturation des élus et dirigeants de collectivités mais aussi par la promotion de l’existence des acteurs de la Cybersécurité. 


La Cybersécurité ne doit plus être perçue comme un centre coût et un frein au développement du numérique mais au contraire comme le gage de confiance dans l’usage des services numériques mis en place par les collectivités.

 

Selon vous, qu’est ce qui explique le retard pris par les territoires et leurs composantes dans la prise conscience de la cybercriminalité et la mise en place de mesure et d’outils de Cybersécurité ?

 

Comme évoqué dans mes réponses précédentes, la gestion de la Cybersécurité s’est limitée (et se limite parfois encore) à la sécurité informatique donc perçu comme étant du ressort de la DSI (Direction des Systèmes d’Information). Jusqu’à présent, la priorité a été donnée au maintien en condition opérationnel (MCO) des applications mises en œuvre ; la sécurité étant perçue comme un frein à la mise en production. Là encore, le positionnement du RSSI (quand il n’est pas également DSI [Directeur des Systèmes d’Information]), le place dans une position de juge et partie qui est difficile à tenir. 


Autre élément à considérer, les fournisseurs de solutions logicielles spécifiques pour les collectivités. Beaucoup n’ont pas pris le virage de la Cybersécurité car n’étant pas challengés sur cette question. Ils se contentent de faire vivre leurs applications à minima ; toute évolution étant facturée (ex : passage en https d’applications…) quand elles ne sont pas refusées. 
Les collectivités ne se sont pas senties concernées par les cyberattaques ; étant persuadées de ne pas avoir de données intéressantes. L’année 2020 a été suffisamment riche en incidents frappant les collectivités pour aider à la prise en compte. Plus personne n’est épargné, les cibles étant à la fois des grandes métropoles (Aix-Marseille [2]), des régions (Grand-Est [3]) mais aussi de petites communes (Crêtes en Belledonne en Isère).


Enfin, si nous regardons l’étude sur la Cybersécurité des collectivités réalisées par le CLUSIF (MIPS 2020 [4]), nous pouvons constater que le budget alloué par les collectivités à la SSI n’est pas (lorsqu’il existe) pérenne d’une année sur l’autre et fait plutôt office de variable d’ajustement des budgets des DSI.

 

 Vous êtes à la tête d’un réseau d’une centaine de RSSI d’EPCI, vous enseignez au sein du CNFPT, selon vous quelles doivent-elles être le rôle du RSSI dans le futur (positionnement, compétences, responsabilités, formation ?) et comment un outil comme l’IN.CRT peut vous y accompagner ? 


Le RSSI ne doit plus être perçu comme « le gars qui configure le pare-feu et l’antivirus » ! Son positionnement doit être proche des décideurs afin qu’il apporte son expertise sur un sujet complexe mais aussi stratégique pour le développement numérique des collectivités et les projets d’envergure associés (Smartcity, IOT….). Suivant la taille des collectivités des postes de directeur de la Cybersécurité devraient être créés en y associant les niveaux de responsabilités adéquats. Les fiches de postes doivent évoluer en s’appuyant sur le travail réalisé par l’ANSSI [5]. Qu’il s’agisse d’un DSSI ou d’un RSSI, les compétences techniques sont indispensables pour comprendre les menaces et adapter les lignes de défense. Il est bien évident qu’il faut également disposer de capacités d’organisation mais aussi de vulgarisation du sujet. Il doit également disposer d’une certaine indépendance et dans l’idéal d’un réel statut un peu à l’image de celui de DPO. 


 Il est indispensable de faire progresser les RSSI en les accompagnants par des programmes de formations adaptés mais aussi favoriser la reconversion de certains profils vers cette fonction lorsqu’elle n’existe pas dans la collectivité. Il convient aussi  d’établir des liens avec le CNFPT mais aussi les universités afin que des programmes adaptés soient créés. La pénurie de main d’œuvre dans le domaine n’est pas à la faveur des administrations en général. Une piste pour y attirer des profils pourraient être le financement de la formation (des contrats d’apprentissage) avec en contrepartie un engagement contractuel dans la durée afin que la collectivité valorise son investissement.

 

Nous avions évoqué cette idée dans nos travaux à l’IHEDN [6].


L’IN.CRT pourrait permettre la mutualisation de moyens pour les collectivités n’ayant ni les moyens ni la taille critique pour se doter de personnels dédiés à la Cybersécurité. L’institut pourrait être le relais d’initiatives locales en les rendant visibles et applicables à l’ensemble du territoire. 


Travaux cités

 

[1]  C. Bras, Interviewee, Interview vidéo Cyril Bras, RSSI Grenoble-Alpes Métropole. [Interview]. 08 Juillet 2019.
[2]  J. Saint-Marc, «Marseille : « Les dégâts sont assez lourds » après une attaque informatique contre la mairie et la métropole,» 17 Mars 2020. [En ligne]. Available: https://www.20minutes.fr/societe/2741875-20200317-marseille-degats-assez-lourds-apres-attaque-informatique-contre-mairie-metropole. [Accès le 18 Mars 2020].
[3]  L'Est Républicain, «Le réseau informatique de la Région Grand Est hacké, l'administration paralysée,» 20 Février 2020. [En ligne]. Available: https://www.estrepublicain.fr/faits-divers-justice/2020/02/20/le-site-internet-de-la-region-grand-est-hacke-l-administration-paralysee.
[4]  CLUSIF, «Études Menaces informatiques et pratiques de sécurité - Collectivités territoriales - Édition 2020 (MIPS 2020),» 30 Juin 2020. [En ligne]. Available: https://clusif.fr/publications/etudes-menaces-informatiques-et-pratiques-de-securite-collectivites-territoriales-edition-2020-mips-2020/.
[5]  ANSSI, «Panorama des métiers de la cybersécurité,» 2020. [En ligne]. Available: https://www.ssi.gouv.fr/uploads/2015/07/anssi-panorama_metiers_cybersecurite-2020.pdf.
[6]  C. Bras, R. de Gouvion Saint-Cyr, L. Haye, B. Le Jossec et D. Lestrade, «Le partenariat public/privé : intérêts et limites,» Session nationale Souveraineté numérique & Cybersécurité, IHEDN/INHESJ, Paris, 2020.

AGORA CYBER: OLIVIER KEMPF

27/10/2020

AGORA CYBER: OLIVIER KEMPF

Mon Général, vous avez publié votre premier livre sur la cybersécurité en 2011, vous dirigez la collection cyberstratégie chez Economica, vous êtes chercheur associé à la FRS et membre du Conseil scientifique du FIC: Qu’est-ce qui pousse un homme de votre expérience à créer et vice-présider un Institut consacré à la cybersécurité et la résilience des Territoires ? 


Une observation et une expérience.
L’observation que le dispositif français de cybersécurité s’est mis en place au niveau national depuis une dizaine d’années : création de l’ANSSI, renforcement des moyens au travers des diverses LPM, création de l’OG Cyber, mise en place du Pôle d’Excellence cyber, développement du FIC, croissance d’entreprises de toutes tailles qui bénéficient d’un marché lui-même en forte croissance… Tout ceci est parfait mais encore très centralisé, très parisien, très « grands comptes ». De même, l’UE s’est saisie du problème (Directive SRI, RGPD, définition des OSE). Mais là encore, on ne s’adresse qu’aux gros.


Ici vient l’expérience, qui est double. Les aléas de la vie m’ont conduit à plus pratiquer la « province », ce mot qu’on ose à peine prononcer mais auquel je trouve encore beaucoup de charme. Je l’ai fait pour des raisons privées mais aussi professionnelles. Aussi n’ai-je pas trop été surpris quand la pandémie est survenue et que tout le monde a dû passer d’un coup au télétravail. La Covid a plus fait pour la transformation numérique que toutes les initiatives que j’avais pu lancer dans mes précédentes fonctions. Tant mieux, mais ce faisant les territoires ont énormément augmenté leur surface de risque, d’autant plus qu’ils ont le plus souvent une culture très réduite de la cybersécurité. Aussi m’a-t-il paru nécessaire de m’intéresser à ces territoires, en partant du bas, du terrain : de ce point de vue, le pragmatisme militaire qui fait partie de ma culture m’y aide beaucoup.

 

Quels sont les objectifs qu’un homme de votre expérience assigne à ce nouvel outil au service des territoires, quelles sont les valeurs que vous voulez y voir appliquées ?

Le premier principe est de partir du terrain, des besoins. Trop souvent, des vendeurs de solutions viennent et débitent leur argumentaire, sans vraiment écouter ce que leurs interlocuteurs ont à dire. Or, chaque territoire est particulier. Une ville moyenne qui s’est spécialisée dans le tourisme n’aura pas le même besoin qu’une autre dans une région viticole ou une troisième qui a encore un gros tissu industriel menacé par la crise économique. Si la cybersécurité est une, s’il y a forcément des points communs, les besoins sont différents et il faut donc d’abord écouter et dresser des diagnostics ensemble, au vu des forces et faiblesses du territoire, avant de proposer des actions.


Le deuxième principe est celui de la bienveillance : trop souvent, les victimes voient venir des spécialistes qui leur disent « mais vous n’auriez jamais dû faire ceci ou cela, ce n’est pas bien ». De fait, souvent on blâme la victime, comme si c’était sa faute. Je pense au contraire qu’il faut accompagner les victimes et les futures victimes pour les aider à progresser. 
Le dernier principe va de soi mais il convient de le rappeler : il s’agit d’œuvrer pour le bien commun et la cohésion nationale et territoriale. Une fois encore, il faut compléter par le bas ce qui se fait bien au niveau central.


Selon vous, qu’est ce qui explique le retard pris par les territoires et leurs composantes dans la prise conscience de la cybercriminalité et la mise en place de mesure et d’outils de Cybersécurité ?

Le sentiment qu’ils sont trop petits pour être visés (sentiment partagé aussi bien par les CT que par les PME PMI). Accessoirement, une question de ressources disponibles : il y a tellement de besoins par rapport à des moyens limités qu’on ne prend pas les mesures minimales de cybersécurité. On « prend le risque » car on estime qu’il y a d’autres urgences. Celles-ci sont bien sûr légitimes mais il faut désormais faire une petite place à la cybersécurité. On ne peut plus la négliger. Le problème, c’est que désormais, tout le monde est visé, la cybermenace ne vise plus seulement les gros. On a connu une vague incroyable de fraudes au président ces dernières années, puis de rançonnages contre des collectivités publiques au cours des 15 derniers mois. Elle dure encore et ne cesse d’enfler. Accessoirement, la pandémie a forcé tout le monde à passer au télétravail, ce qui a ouvert de gigantesques portes aux agresseurs…


La cyber menace ne peut plus être ignorée. Y répondre fait partie désormais des facteurs d’attractivité d’un territoire.

 

Que propose l’INCRT pour accompagner les territoires dans ce défi, désormais presque quotidien ?


Tout d’abord, une veille et un éveil. Il convient de parler aux territoires mais aussi de les écouter. De ce point de vue, l’institut sera une plateforme qui permettra à chacun de suivre et de rencontrer. Ensuite, nous irons dans les territoires à la demande des CT afin de présenter et sensibiliser, mais aussi de montrer que des solutions simples existent. Nous agirons bien sûr avec nos partenaires comme cybermalveillance ou Declic et les RSSI des territoires eux-mêmes. 


Enfin, s’il y a des demandes plus précises, nous voulons aussi être un « do tank » et mobiliserons notre réseau d’experts pour répondre aux besoins exprimés.

AGORA CYBER: PROFESSEUR JEAN PEETERS

06/10/2020

AGORA CYBER: PROFESSEUR JEAN PEETERS

Professeur, vous êtes le Responsable de la chaire cyber de l’IHEDN après avoir été le Président de l’Université de Bretagne Sud (UBS), dont la cybersécurité est un des domaines d’excellence. Qu’est-ce qui pousse un universitaire de votre expérience à fonder un Institut consacré à la cybersécurité et la résilience des territoires ? 

Quand j’ai pris mes fonctions de président d’université en 2012, j’ai découvert la question de la cybersécurité parce qu’il fallait prendre des décisions importantes quant à une formation en cyberdéfense qui allait devenait la vitrine de notre savoir-faire. À l’intérêt pour un sujet que je ne connaissais pas du tout s’est greffée la prise de conscience que la menace cyber est un risque majeur pour notre pays. C’est la raison pour laquelle j’ai œuvré pendant plus de 8 ans à développer une offre de formation en cyber (5 diplômes et plus de 300 étudiants actuellement) et à recruter des profils recherche en cyber, ainsi que des ingénieurs et des enseignants permanents et d’autres temporaires avec des profils « intéressants » (expérience cyber dans le privé, dans les armées, dans les services de l’État, etc.). Je me suis aussi rendu compte que ce sont tous les secteurs et toutes les sphères de notre société qui constituent des cibles. Si les grandes entreprises, dont certaines sont classées parmi les OIV (« opérateurs d’importance vitale ») ou les OSE (« opérateurs de services essentiels »), sont bien armées, les petites et moyennes entreprises dans les territoires ainsi que les collectivités de taille moyenne sont relativement peu au fait du risque et peu équipées.

 

C’est tout l’enjeu de l’ICRT que de s’adresser à ce type de public. 

 

Selon vous quel doit être le lien entre l’Institut et le monde universitaire ? Que peut apporter ce nouvel outil a un écosystème universitaire cyber déjà très organisé ?

L’Institut a choisi de s’implanter dans un territoire, le Morbihan, et plus largement la Bretagne, où existent de vraies compétences cyber tant en formation qu’en recherche. Par ailleurs, pour ne mentionner que mon établissement, l’Université Bretagne Sud, les diplômes en cyber ont été conçus en étroite collaboration avec les donneurs d’ordres privés et publics et les prescripteurs de règles. Je sais que c’est aussi le cas pour les autres universités et écoles d’ingénieurs bretonnes. Il y a donc déjà une expérience réussie de coopération entre le monde universitaire et les écoles d’ingénieurs, d’une part, et leur écosystème, d’autre part. Les échanges n’en seront donc que plus faciles entre l’Institut et le monde universitaire. Et puis, personnellement, je m’engagerai pour faire ce lien.


Par ailleurs, je crois que si le monde académique peut contribuer beaucoup à l’essor de l’Institut, l’Institut peut aussi lui apporter grandement : sujets cyber pas forcément traités par les universitaires, meilleur lien avec les territoires, intégration des problématiques territoriales dans les stratégies des universités et écoles, financement de travaux de recherche, mise en place de formations, etc.

 

Vous avez été président de l’UBS dont le diplôme d’ingénieurs en cyberdéfense de l’ENSIBS est désormais unanimement reconnu. Quel regard  portez-vous sur le manque de capacité des territoires à attirer ces profils dans leur écosystème et en quoi l’INCRT peut répondre à cette problématique ?

Je crois qu’à la faible prise de conscience des risques cyber, il faille ajouter, selon les territoires, un tissu économique qui n’est pas encore mature pour attirer ou voir se développer des entreprises offrant des services et des produits en cybersécurité. Et puis, si l’on considère les petites et moyennes communes, elles n’ont tout simplement pas les moyens de s’offrir des experts recrutés à prix d’or par les grands groupes français. Il y a donc tout un enjeu à accompagner les territoires dans la prise de conscience du risques cyber, dans la constitution de groupements d’employeurs pour recruter de bons profils et offrir des perspectives de carrière et, enfin, pour mettre en place des formations à l’intention de leurs agents en place afin qu’ils montent en compétences. 


La cybersécurité est aujourd’hui considérée essentiellement comme un centre de coûts. C’est compréhensible. Mais les citoyens voudront s’assurer que leur service public fonctionne, que leurs données ne seront pas volées, qu’ils ne courent aucun risque en se rendant sur les services en ligne de leur commune. 


En faisant un parallèle, on comprend assez aisément que la cybersécurité est aussi nécessaire aux entreprises et aux collectivités que l’est la certification des comptes. De même que la certification des comptes garantit des transactions économiques fiables et une assurance que les comptes de sa commune soient ceux qu’elles annoncent, de même la cybersécurité des infrastructures et des services garantit pour les entreprises et les collectivités, selon le cas, qu’on peut avoir confiance en elles, qu’elles ne mettront pas la clé sous la porte du jour au lendemain, qu’elles agissent sans danger de perdre des données, qu’on est bien inscrit sur les listes électorales, que le calcul des taxes locales n’a pas été faussé, ou encore que la continuité du service public n’est pas menacée.

 

Quel message voudriez-vous faire passer aux élus et aux administrateurs des agglomérations de taille moyenne, des communautés de communes, qui pourraient avoir comme ambition d’implanter, ou d’attirer, des établissements formant aux métiers de la Cybersécurité sur leur territoire ? 

Je dirais simplement : « Demain sera trop tard. N’attendez pas. Si vous n’avez pas déjà été attaqués, vous le serez. Et si vous l’avez été, vous le serez très probablement encore. Prenez la mesure de l’enjeu. Protégez-vous et pensez développement économique dans un secteur en pleine croissance. » 

 

Professeur, vous êtes également le Président du Festival Interceltique de Lorient (FIL). À l’heure de la numérisation et de la dématérialisation, en quoi la cybersécurité est-elle importante pour une organisation comme celle du FIL ?

J’ai, en effet, l’immense honneur et l’immense plaisir de présider l’un des plus grands festivals de France (800 000 visiteurs, 10 jours en août, 24M€ de retombées dans l’économie locale). Comme de nombreux festivals, le modèle est associatif et la prise de conscience du risque cyber est loin d’avoir fait son chemin, encore moins que dans les collectivités des territoires. La sécurité physique des personnes, en raison du plan Vigipirate, a pris une place et un coût très importants et grèvent des budgets souvent tendus.

 

La cybersécurité ne s’est pas encore imposée dans les pratiques. C’est un message que je porte au Festival Interceltique de Lorient et nous avons, par exemple, répondu, avec des acteurs français et européens, à un appel à projets sur la sécurité des espaces publics en y incluant une dimension cyber. Mais nous avons encore du chemin à parcourir.

AGORA CYBER: MARC WATIN-AUGOUARD

15/09/2020

AGORA CYBER: MARC WATIN-AUGOUARD

Mon Général, vous êtes une des figures majeures de la cybersécurité en France. Vous avez créé le FIC, supervisez la cession Souveraineté numérique et Cybersécurité de l’IHEDN, dirigez le CREOGN, donnez régulièrement des conférences sur la cybercriminalité…. Qu’est-ce qui pousse un homme de votre expérience à créer et présider un Institut consacré à la cybersécurité et la résilience des Territoires ? 

Une conviction qui a été à l’origine de la création du FIC. L’apparente universalité d’internet que l’on dit sans frontière est une illusion d’optique. Elle fait oublier l’importance des territoires dans la transformation numérique. Les exemples de la Silicon Valley ou de la Bretagne soulignent l’influence des écosystèmes sur le développement numérique. Si l’on peut être solidaires pour favoriser l’essor d’un territoire, on peut l’être aussi pour y créer un réseau de solidarité, une « trame de résilience ». Le maillage du territoire repose notamment sur des institutions très déconcentrées – je pense à la gendarmerie nationale, aux réseaux bancaires, aux fournisseurs de fluides, etc. – mais aussi et surtout sur les collectivités territoriales qui, avec leurs domaines de compétences respectifs, sont des acteurs incontournables de la transformation numérique. 
Sur un territoire, il importe de créer le « réseau des réseaux ». Nul ne peut revendiquer la mission, mais l’Institut me semble apporter une contribution originale permettant de favoriser la création de réseaux territoriaux, d’espaces d’échange, de conseil et de dialogue.
L’Institut répond, selon moi, à un besoin qui s’exprimera sans doute encore davantage dans les années à venir, tant l’hyperconnexion de la société, de nos activités, de nos territoires va impacter nos modes de vie.    

 

Quels sont les objectifs qu’un homme de votre expérience assigne à ce nouvel outil au service des territoires, quelles sont les valeurs que vous voulez y voir appliquées ?

L’objectif principal est de créer un réseau humain solidaire. La solidarité ne saurait se limiter à des pétitions de principe, un discours où le verbe n’est pas suivi d’action. Il faut donc offrir une capacité de conseil, de mise en relation des acteurs, de formation ou d’information. Il importe aussi de favoriser l’activité économique en valorisant les entreprises « pépites » qui se développent dans les territoires, en leur donnant une visibilité au travers de manifestations (colloques, salons, etc.)  La liste des tâches à accomplir est plus longue encore, car chacun imagine la multiplicité des composantes de la cyber résilience. L’INCRT doit être une force de proposition et d’action pour accompagner les territoires dans leur transformation numérique.
Le mot « valeur » me paraît essentiel, car on oublie trop souvent que les systèmes sont au service de l’humain. L’Institut doit promouvoir la confiance, la loyauté, la responsabilité, la solidarité, valeurs sans lesquelles l’espace numérique risque d’être un espace d’asservissement.   

 

Selon vous, qu’est ce qui explique le retard pris par les territoires et leurs composantes dans la prise conscience de la cybercriminalité et la mise en place de mesure et d’outils de Cybersécurité ?

Contrairement aux menaces qui se manifestent dans le monde physique, les cyber menaces sont peu visibles, parfois invisibles. Il est plus difficile de sensibiliser des décideurs qui n’ont pas toujours une acculturation au numérique à la hauteur des enjeux. Face aux cyberattaques, la tentation est grande de se replier sur soi-même, comme si on avait honte. Depuis peu, les esprits s’adaptent au nouvel environnement. Si la cybersécurité devient une ambition partagée, encore faut-il un catalyseur pour fédérer les initiatives, rapprocher les attentes, susciter les synergies. Je crois que les partenariats public-privé ont du sens, à l’heure où les clivages n’ont plus de raison de persister. Depuis la création du FIC en 2007, je constate que les régions se mobilisent, certaines comme la Bretagne étant des fers de lance.  

 

Vous, qui avez été un des premiers gendarmes de France, quel lien voyez-vous entre le travail quotidien de la Gendarmerie et de l’ANSSI et les travaux de l’INCRT ? 

La crise de la Covid a souligné combien il était nécessaire d’interconnecter les acteurs publics et privés, étatiques et décentralisés et d’avoir une approche globale. En matière de cybersécurité il en est de même. Chacun a un rôle à jouer, ce qui exclut toute confusion. Mais tous nous savons que la réussite de notre « mission » est tributaire des autres. L’INCRT peut aider la gendarmerie à « Répondre présent », pour mieux agir en prévention ou auprès de victimes souvent désemparées. C’est ce qui justifie qu’un partenariat soit établi. Nous avons beaucoup de raisons d’échanger. 

 

Quel message voudriez-vous faire passer aux élus et aux administrateurs des agglomérations moyenne, les communautés de communes, les communes rurales qui sont face à ces défis ?

L’union fait la force ! Chacun est responsable de tous, tous nous sommes responsables de chacun. Cette affirmation peut sembler surprenante, mais on comprendra dans la décennie qui s’ouvre combien cela a du sens. Être solidaires et non solitaires, c’est la première réponse à l’insécurité dans l’espace numérique.


Je crois à la puissance des réseaux. Metcalfe, un des pionniers d’internet, a énoncé une loi empirique : la valeur d’un réseau est proportionnelle au carré du nombre de membres qui le composent. Si je suis seul, je vaux 1, si nous sommes deux, nous valons 4, trois 9, quatre 16, etc. Tout nouvel arrivant fait croître le réseau dans des proportions incomparables avec ce qu’il apporte in personam. C’est à mon avis un argument pour convaincre ceux qui nous lisent ou nous écoutent. Plus nous serons nombreux, plus notre force s’imposera. 


S’agissant des communes rurales, auxquelles je suis particulièrement attaché, je suis certain de leur avenir si elles conjuguent tradition et modernité, si elles savent entrer dans le monde numérique en sauvegardant l’esprit des terroirs et en épousant le siècle. Le rééquilibrage au sein des territoires est un enjeu essentiel. Le numérique nous permet aujourd’hui de leur redonner un élan, une dynamique. Seules, elles ne peuvent pas garantir la cybersécurité de leur essor. Dans la cadre de l’intercommunalité et avec en complément le soutien de notre Institut, elles peuvent trouver les voies du succès.