‘UN VIRUS PEUT EN CACHER UN AUTRE’
Une certitude : les entreprises ont tendance à minorer le risque de thrombose consécutif par exemple à une déconnexion d’avec les opérateurs de télécommunications, qui peut les priver d’un seul coup de l’accès à leur messagerie, à leurs comptes bancaires, à leur GPS.”
“Un virus peut cacher un autre : Covid-19 et Cybermenaces”. y À l’occasion des prochaines Assises de la recherche stratégique 2020, le professeur de criminologie Alain Bauer dresse un parallèle inquiétant entre le virus de la Covid et le prochain virus cyber.
Les dixièmes Assises de la recherche stratégique 2020, placées désormais sous l’égide de la Chaire de criminologie du Cnam (Conservatoire national des arts et métiers), auront lieu jeudi 17 septembre en visioconférence. Elles seront retransmises en direct et en ligne sur la chaîne Youtube du Cnam et auront pour thème “Un virus peut en cacher un autre – Covid 19 et Cybermenaces”. De nombreux experts universitaires et personnalités qualifiées débattront des difficultés méthodologiques à anticiper les risques, du bon niveau d’intervention à l’échelle européenne, des problématiques de gestion de l’ordre public en temps de crise, etc. Sont attendues des interventions de Jean-Yves Le Drian, ministre des Affaires étrangères, de Stéphane Bouillon, secrétaire général de la
Défense et de la Sécurité nationales, ainsi que de Laurent Nunez, coordinateur national du renseignement et de la lutte antiterroriste. Alain Bauer, titulaire de la chaire de criminologie au Cnam, dresse ici en avant-première pour Le nouvel Economiste un parallèle, plutôt inquiétant, entre la gestion de la crise de la Covid et les risques liés aux cybermenaces.
Alors que le virus de la Covid continue de sévir, vous annoncez que le prochain virus sera cyber. Un parallèle entre ces deux fléaux est-il possible ?
Alain Bauer. Il y a le virus que l’on voit, et le virus que l’on ne voit pas. Depuis vingt ans, nous passons notre temps à ne pas traiter les sujets que l’on connaît mais qu’on ne veut pas regarder. En 2000, lors du débat Bush-Gore des élections présidentielles américaines, il n’y avait pas eu une seule question ni remarque sur le risque terroriste. C’est pareil, et même en pire, avec le risque sanitaire puisqu’après l’avoir anticipé et s’y être préparé en 2009-2010, on a déconstruit ce dispositif patiemment mis en place, considérant que puisque le H1N1 n’avait pas eu lieu cette fois, il n’arriverait jamais. Quant au troisième virus qui s’est développé de façon exponentielle depuis la fin 2019, à savoir le risque cyber, c’est, il faut bien le constater, le même aveuglement. Les spécialistes ne cessent pas de tirer la sonnette d’alarme mais les États ont perdu tout sens de la perspective, se contentant de réagir au dernier tweet. Le rôle de ces Assises est imperturbablement depuis dix ans de rétablir le sens du temps et des mots pour anticiper les phénomènes plutôt que de les subir.
Face à la pandémie de la Covid, nous nous sommes trouvés fort démunis pour nous protéger. En est-il de même vis-à-vis du risque cyber ?
A.B. Il n’y a pas de fatalité : un pays comme Taïwan a su très vite trouver la parade visà-vis de la pandémie. Cela dit, force est de constater que face à ces phénomènes émergents – qu’il s’agisse d’une épidémie, du risque cyber, etc. – le processus mental passe par plusieurs étapes toujours identiques : d’abord la négation – “ce n’est pas vrai” –, ensuite la minoration – “c’est moins grave qu’on ne le dit” – et enfin l’éjection – “ce n’est pas ma faute”. Avec en France une dimension particulière tenant au fait que notre pays étant le seul véritable État nation de la planète, la tendance est de se retourner vers l’État responsable de tout, et par conséquent supposé compétent sur tout. D’où le ressentiment actuel vis-à-vis de l’État dont l’opinion considère qu’il a failli dans la gestion de la crise sanitaire. En matière de prévention du risque cyber, l’État a beau développer des outils pour le contrer, les acteurs continuent imperturbablement à numériser sans mettre en place les instruments de sécurité. C’est comme dans le transport aérien : on ne peut pas en même temps augmenter le trafic et le nombre des liaisons tout en maintenant un niveau de sécurité à 100 %, parce que cela exige bien trop de temps pour contrôler efficacement passagers, fret et bagages. La politique des flux est incompatible avec la politique de sécurité. Zoom est un produit formidable d’un point de vue qualitatif mais il est insécure, les gens l’utilisant faute de mieux. L’outil souverain français de visioconférence sécurisée n’existe toujours pas ! Pour ce qui concerne les messages cryptés, la France, qui a été un inventeur du procédé, a perdu la main sur le sujet. Notre problème est que nous, Français, avons une capacité d’invention formidable associée à une capacité de commercialisation et de business faibles. On perçoit le risque mais nous ne sommes toujours pas en mesure d’imposer les normes protectrices, par exemple des transactions sur Internet. Résultat : le virus cyber qui permet au crime organisé de gagner beaucoup d’argent se déploie sans grands risques de sanctions réelles. Les Français prennent en compte la créativité, les flux, les services, mais peu la sécurité ou la résilience. Un dispositif politique conséquent se devrait d’anticiper les risques, de les simuler, et d’y répondre. En médecine, cela s’appelle diagnostic, pronostic, thérapeutique. Or nous ne faisons pas cela : nous n’avons pas de diagnostic partagé. Nous ne faisons pas vraiment de pronostic et nous adorons l’affrontement dans le thérapeutique. Le premier document analysant la criminalisation d’Internet a été écrit en 1973. Il a fallu attendre le début des années 2000 pour avoir une Agence nationale de sécurité des systèmes d’information. Pourtant, Internet est né d’un outil militaire pour qui la sécurité est primordiale. On comprend bien que la rapidité du business oublie les process de sécurité, qui reviennent à notre bon souvenir à un moment donné, mais il est alors trop tard
Où en sont les entreprises françaises face à ce risque ?
A.B. C’est comme Taïwan et le reste du monde. Certaines sont très en avance et ont complètement compris le problème. Certaines restent dans le déni complet tandis que d’autres remettent la question à plus tard. Une gamme de situations à l’image de la société. Une certitude : les entreprises ont tendance à minorer le risque de thrombose consécutif par exemple à une déconnexion d’avec les opérateurs de télécommunications, qui peut les priver d’un seul coup de l’accès à leur messagerie, à leurs comptes bancaires, à leur GPS. Nous ne disposons pas en France d’outils permettant au réseau de fonctionner en mode dégradé, contrairement aux Américains, aux Russes, aux Chinois et aux Iraniens ou aux Coréens du Nord. Le web mondial peut s’effondrer, eux pourront continuer à avoir accès à une partie des services car ils ont la maîtrise des tuyaux ou d’un ensemble spécifique. La prise de conscience ne s’est pas encore opérée alors que les attaques se multiplient en quantité comme en intensité. Nous n’avons érigé que tardivement des barrières de sécurité, après avoir longtemps cru que nous vivions dans un monde gentil et aimable. L’anonymisation des utilisateurs de la toile a permis les trolls, les manipulations et les hackers. On s’ingénie à faciliter la vie de ces derniers. Comme si pour faciliter la circulation, on avait supprimé le code de la route. Pour sécuriser le cyber, il faut des règles basiques dont notamment l’obligation d’avoir une identité numérique, vérifiée régulièrement via un certificat. Une démarche simple et pratique, comme lorsqu’on attache sa ceinture de sécurité ou qu’on s’arrête au feu rouge.
Même si cela ne peut handicaper les contestations dans les espaces autoritaires, ça permettrait de préserver les démocraties. Ce sont celles qui ont subi les plus vives attaques ces dernières années… En tout état de cause, ces Assises en mode virtuel seront une nouvelle fois le lieu du débat