Par Georges Malek Etudiant en MBA Management du Risque ILV Institut Léonard De Vinci georges.malek44@gmail.com 1- DEFINITION DES TERMES Tout d abord pour mieux comprendre les enjeux, il est intéressant de voir les définitions des principaux termes. Interrogeons-nous sur la liberté, qu est-ce donc? La possibilité d agir selon ses propres choix, sans avoir à en référer à une autorité quelconque (définition Larousse). Autre définition «La liberté ne connaît aucune chaîne, aucune limite, aucune restriction» : si on veut la limiter, on prend le risque de la perdre. Ou encore la bien célèbre phrase "la liberté des uns s'arrête là où commence celle des autres." La liberté a un sens très large, la perdre représente par conséquence un enjeu majeur. De son côté, la cyber-sécurité peut se définir dans une approche de système d information qui est un ensemble de techniques et de non techniques de protection permettant à un système d information de résister à des évènements susceptibles de 1
compromettre la disponibilité, l intégrité ou la confidentialité des données stockées, traitées ou transmises (définition SI par la SSI). Pour aller plus loin, la sécurité peut toujours être considérée comme le compromis entre un besoin de protection et un besoin opérationnel, l arrivée de nouvelles technologies et les ressources financières/ limitations techniques. On retrouve un peu la loi de l offre et de la demande, on assure sa sécurité en fonction de ses moyens. La sécurité est un mot bien large, par sécurité on entend : la disponibilité des informations, des SI, l Intégrité : que l information n ait pas été corrompue, pas modifiée et toujours valable, la confidentialité est aussi un élément important, certaines informations n ont de valeur que si elles sont limitées dans un périmètre restreint et enfin la preuve. La sécurité est un processus continu, elle doit faire face et s adapter à l arrivée de nouvelles technologies qui évoluent et aux conditions du réel, en gardant l équilibre entre mesures de sécurité et fonctionnalités permises. Sans aller trop loin voici les briques de base de la cyber-sécurité : on y retrouve les antimalwares, l authentification forte, les firewalls, les IPS (Intrusion Prevention Systems), le chiffrement, les réseaux privés virtuels, la surveillance de l accès au Web, la destruction de fichier et la sauvegarde. 2- LES ENJEUX Il est aussi important de s intéresser aux enjeux. Que risque-t-on de perdre quand on parle de liberté par rapport à la cyber-sécurité? On peut potentiellement perdre des informations personnelles et professionnelles, des données confidentielles qui seront librement accessibles et une fusion entre vie publique et vie privée. Qu elles visent les utilisateurs publics ou privés d'internet, les cybers attaques coûtent aujourd'hui 380 milliards d'euros par an et pourraient représenter 2 200 milliards d'euros de pertes pour l'économie mondiale d'ici 2020 (La Dépêche.fr Le 10/04/2015). Face à ces énormes enjeux, la cybersécurité est désormais une priorité, non seulement pour les états, mais également dans un sens plus large, toute personne naviguant sur internet ou travaillant avec des outils connectés On peut définir une échelle de gravité en fonction de l impact de 1 à 4. - Le niveau 1 : limité, non détectable par le client et sans conséquences graves, seulement des perturbations faibles. - Niveau 2 : Important, est lui détectable par le client a des impacts financiers, sur l image et des conséquences juridiques limitées. 2
- Niveau 3 : Grave, implique une désorganisation de l activité, forte atteinte à l image, à des conséquences financières et juridiques très fortes et insupportables. - Niveau 4 : Critique, ne permet plus de remplir le processus, plus aucune satisfaction pour le client, atteinte à la crédibilité de l organisme. 3- INSERTION DE LA QUESTION DE LA CYBER-SECURITE DANS NOTRE SOCIETE Ces questions de cyber-sécurité sont nouvelles, liées à notre génération et aux évolutions de la technologie. Auparavant nos systèmes d information n étaient pas aussi performants qu ils ne le sont aujourd hui, l apparition de différents moyens de communication change notre manière de vivre, la façon dont nous interagissons entre nous, de communiquer, de vivre en société, de faire de la guerre et de l intelligence économique. Même si on sacrifiait un peu de notre liberté, ça ne réglerait pas tous nos problèmes, la sécurité d aujourd hui n est pas celle de demain. L imprimerie, la radio, la TV, les pc, internet, les objets connectés, les réseaux sociaux, le potentiel innovation en matière de communication bougent sans cesse et repoussent toujours plus loin les limites de ce qu on croyait impossible. Je suis sûr qu à l apparition de chacune des précédentes inventions citées, on avait peur de l impact que cela aurait sur notre liberté, vie privée et vie au sens large. A l heure actuelle on peut même se demander à quelle vitesse disparaît notre liberté due à notre vie online (avec les réseaux sociaux et Facebook en 1 er lieu), obligatoire pour vivre et s intégrer aux communautés. On a déjà abandonné une partie de notre liberté : abandon de notre vie privée pour une vie publique. On peut se demander à quoi ressemblera le web 3.0, avec le développement du tout connecté (TV, Voiture, montre, Réfrigérateur, etc ), le développement du Cloud, l arrivée de la 5G pour supporter tout ce réseau. Autant de choses qui amélioreront l accessibilité, la mobilité et l universalité. 4- LES CONSEQUENCES POSSIBLES : HYPOTHESES Prenons l hypothèse où nous acceptons de perdre un peu de liberté pour plus de sécurité. Cela ne serait valable que pour un temps, nous n avons aucun moyen de garantir notre cyber-sécurité éternellement, juste momentanément. Alors que si on sacrifie notre liberté, on peut presque être sûr de la perdre définitivement. Et en ce sens la citation est 3
vraie si on est prêt à sacrifier notre liberté pour plus de sécurité, on risque de perdre les deux. Donc, la logique serait de ne pas transiger, car si on est prêt à faire des sacrifices, on est prêt à abandonner notre liberté! C est par conséquent un aveu de faiblesse. Si on s autorise à perdre de la liberté, où est la limite? Où nous arrêterons-nous? C est une pente glissante que de suivre ce chemin, à l issue bien incertaine. La sécurité ne sera jamais totale ni existante, elle sera toujours partielle : il faut donc savoir ce que l on veut protéger, ce qui nécessite de la cyber- sécurité. Vouloir une sécurité absolue est un objectif idéaliste et inatteignable. Notre vision et notre volonté d avoir plus de sécurité et de cyber-sécurité a évolué avec le temps. Les mentalités ont changé, notre perception du risque et nos peurs également. Les processus de judiciarisation, l éclatement de certains tabous, font que notre seuil de tolérance avec les menaces potentielles diminue, nous avons des acquis et nous voulons les protéger, c est pourquoi il y a ce débat autour de plus de cyber-sécurité. Mais nous Français, nous voulons des résultats, et des résultats immédiats! Suite aux récentes attaques qui ont frappé Paris avec l affaire Charlie Hebdo, les Français sont favorables à plus de répressions pour moins de libertés (selon une enquête Ipsos/Sopra- Steria pour Le Monde et Europe 1 du 22/01/15) sans entrer dans les détails de l enquête. Le monde ne restera pas figé et la règlementation évolue déjà, les OIV (218 Opérateurs d Importance Vitale : entreprises dont l activité est jugée stratégique pour la nation) doivent déjà par décret répondre à de nouvelles obligations en matière de cyber-sécurité. Les OIV devront mettre en place des systèmes de détection des intrusions dont ils font l objet et procéder à des audits en faisant appel soit à l'agence Nationale de la Sécurité des Systèmes d information (ANSSI), soit à des prestataires labellisés comme Thales. De plus, ils devront communiquer sur les intrusions dont ils sont victimes, chose que les OIV sont très réticentes à effectuer. 5- SOMMES-NOUS PRETS? Un des termes de cette citation intéressant à analyser, c est le «mérite» : nous considérons nos privilèges et libertés comme acquis, dans notre mentalité, il est inimaginable de perdre et notre liberté et notre cyber-sécurité. Mais sommes-nous prêts à plus de cyber-sécurité pour moins de liberté? Cela me rappelle une citation de Blaise Pascal «La justice sans la force est impuissante, la force sans 4
la justice est tyrannique.» ce qui démontre bien que la frontière est toujours très fine et mince entre liberté et sécurité, la question primordiale est alors comment établir un juste équilibre entre justice et force, la force étant plus de sécurité. Est-ce seulement possible d avoir la liberté et la cyber-sécurité? Un proverbe chinois dit «En établissant des lois il faut être sévère ; en les appliquant, il faut user de clémence», dans un monde virtuel, peut-on appliquer cette idéologie? Avec les autorités de contrôle? Imaginons un instant les conséquences de notre perte de liberté sur le développement de notre société, «Si un arbre est sorti de terre sous un baobab, il meurt arbrisseau» ce proverbe africain souligne bien que si une personne n a pas assez de liberté pour grandir, elle finit par étouffer et ne plus pouvoir vivre. Une société qui se développe sur un système qui mène sa population à la dépression, aux manques d alternatives et de choix mènerait sûrement au chaos, au développement des marchés noirs, ou à l esclavagisme. Par conséquent : non! Nous ne devons pas sacrifier notre liberté (même un peu) pour plus de cyber-sécurité, le risque et les enjeux sont bien trop grands! Et comme le dit Jean-Paul Sartre «Etre libre, c'est savoir dire non.». 6- CONCLUSION D un point de vue plus neutre, on peut se poser la question de savoir si on n a jamais été vraiment libre? Dans certaines mesures, je dirais que non, nous suivons un ensemble de règles de bonnes conduites. Pour bien vivre en société, nous obéissons aux lois et au Droit. Nous sommes libres de nos choix, mais nos choix sont fortement influencés, donc d une certaine manière nous avons déjà perdu notre liberté. Et même si nous voulons plus de cyber-sécurité ce n est qu un mirage illusoire «Inutile de tirer votre épée pour couper de l eau ; elle continuera de couler» (Proverbe chinois), tout finira par s autoréguler. On améliorera sans cesse notre cyber-sécurité, mais les intrus trouveront toujours une faille par laquelle passer, comme un cercle infini. Par conséquent, il faut essayer de trouver les meilleurs compromis pour garder notre liberté et maintenir un minimum de cybersécurité vitale au développement. Tel est le challenge de ce 21 ème siècle. Georges Malek 5