Focus sur l’ACN

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Jean-Pierre QUÉMARD
Par Édouard JEANSON
Par Alban FÉRAUD
Par Alexis CAURETTE
Par François ESNOL-FEUGEAS
Par Jean-Luc GIBERNON (91)
Par Vincent BOUATOU
Par Nicolas BOUVATTIER

Confiance numé­rique, cyber­sé­cu­ri­té, iden­ti­té numé­rique, IA de confiance, sou­ve­rai­ne­té tech­no­lo­gique et éco­no­mique… L’ensemble de ces sujets mobi­lisent l’Alliance pour la Confiance Numé­rique. Dans le cadre de ces entre­tiens, les membres de cette orga­ni­sa­tion pro­fes­sion­nelle nous livrent leur vision sur ces enjeux struc­tu­rants pour la filière numé­rique fran­çaise et européenne. 

L’ACN : la voix de la filière de la confiance numérique française

Jean-Pierre Qué­mard, pré­sident d’honneur, et Édouard Jean­son, VP, nous pré­sentent l’ACN, ses mis­sions et ses prin­ci­pales contributions.

Quelles sont les missions de l’ACN ?

Créée en 2011, l’Alliance pour la Confiance Numé­rique est l’organisation pro­fes­sion­nelle qui aujourd’hui réunit les entre­prises du sec­teur de la confiance numé­rique : la cyber­sé­cu­ri­té, l’identité numé­rique, et l’intelligence arti­fi­cielle de confiance. Aujourd’hui, le monde de l’industrie de confiance regroupe 2 100 entre­prises qui réa­lisent un chiffre d’affaires de 13,4 mil­liards d’euros. C’est un mar­ché en forte crois­sance : plus de 8 % par an en moyenne. Aujourd’hui, l’ACN ras­semble 90 entre­prises, dont les lea­ders du sec­teur, mais aus­si 85 % de start-ups, TPE PME et ETI. 

Quelles sont vos missions et votre vocation ?

Nous défen­dons les inté­rêts de la filière en étant force de pro­po­si­tion auprès des pou­voirs publics (gou­ver­ne­ment, ANSSI, DGE, Par­le­ment) aux niveaux fran­çais et euro­péen afin notam­ment de les aler­ter sur des sujets qui néces­sitent une réflexion, mais aus­si pour pro­po­ser des évo­lu­tions sur de grands enjeux ou pro­blé­ma­tiques. Il y a quelques années, notre feuille de route ACN avait lar­ge­ment ins­pi­ré le Plan 33. Au niveau euro­péen, nous avons pous­sé une posi­tion sur le Euro­pean Cyber­se­cu­ri­ty Act ain­si que sur le pro­jet euro­péen d’identité numé­rique. En paral­lèle, nous contri­buons au débat public en appor­tant des éclai­rages sur nos sujets stratégiques. 

Quelles sont vos principales publications ? 

Nous ali­men­tons notre com­mu­nau­té de réflexions sur des sujets tech­niques, sur l’état de l’art… L’idée est aus­si d’être visible et de faire connaître l’expertise fran­çaise sur ces thé­ma­tiques à une échelle inter­na­tio­nale. Nos tra­vaux sont, par ailleurs, en accès libre. Chaque année, nous publions l’Observatoire ACN de la confiance numé­rique que nous dif­fu­sons à l’occasion du Paris Cyber Week. C’est un docu­ment struc­tu­rant, car il per­met de dif­fu­ser des don­nées éco­no­miques fiables et sui­vies sur notre filière, qui n’existent pas dans les sta­tis­tiques officielles. 

À cela s’ajoutent des prises de posi­tions sur dif­fé­rents textes et règle­men­ta­tions. Ces docu­ments détaillent tous les aspects de ces textes, nos posi­tions, les grands enjeux, les points d’attention ou bien encore les mesures tech­niques que nous sou­hai­tons voir mises à l’œuvre.

Nous pro­po­sons aus­si des docu­ments et des guides sur des sujets ciblés. Par exemple, pen­dant la pan­dé­mie, nous avons publié un docu­ment trans­verse sur la pro­blé­ma­tique de la sécu­ri­sa­tion du télé­tra­vail. Nous avons sou­hai­té appor­ter un éclai­rage sur ce sujet qui a concer­né toutes les entre­prises et qui a éten­du la sur­face des cybe­rat­taques, car tout le monde n’était pas for­cé­ment pré­pa­ré pour ce bas­cu­le­ment inopi­né et bru­tal. Nous avons notam­ment mis l’accent sur les outils per­met­tant de sécu­ri­ser le télé­tra­vail et d’apporter de la confiance numé­rique. Nous édi­tons aus­si des docu­ments ancrés dans l’actualité poli­tique. Nous avons ain­si publié un docu­ment de pro­po­si­tions pour la pré­si­dence fran­çaise de l’Union euro­péenne qui recense les dif­fé­rents textes rela­tifs à la confiance numé­rique, l’autonomie stra­té­gique et la sou­ve­rai­ne­té numé­rique euro­péenne avec un focus sur nos posi­tions et l’avis de notre filière, qui sou­ligne la néces­si­té d’accélérer vers un mar­ché numé­rique de confiance et qui met en avant les moyens et leviers légis­la­tifs qui peuvent être action­nés sous la pré­si­dence fran­çaise de l’Union euro­péenne pour y par­ve­nir plus rapidement.

L’identité numérique : enjeux et perspectives 

Alban Féraud, VP ACN, répond à nos ques­tions sur l’identité numé­rique qui est un pilier du déve­lop­pe­ment du numé­rique de confiance. Il revient notam­ment sur la mon­tée en puis­sance du sujet et les enjeux qu’elle soulève.

Pourquoi entend-on de plus en plus parler de l’identité numérique ?

L’identité numé­rique est une brique essen­tielle à la sou­ve­rai­ne­té numé­rique et tech­no­lo­gique. Elle est, en effet, une condi­tion néces­saire à un contrôle sou­ve­rain du monde numé­rique au niveau des États, mais aus­si des uti­li­sa­teurs qui ont besoin de pou­voir contrô­ler leurs don­nées, leurs actions et pro­té­ger leur iden­ti­té contre des fraudes. Plus récem­ment, la crise de la Covid avec le télé­tra­vail et l’accélération de la déma­té­ria­li­sa­tion a ren­for­cé ce besoin de pou­voir s’identifier à dis­tance en toute confiance. 

En France, l’État a beau­coup avan­cé sur ce sujet avec la mise en place d’un titre réga­lien doté d’une puce : la carte d’identité numé­rique. Chaque citoyen voit ain­si son iden­ti­té légale se pro­lon­ger dans le monde numé­rique de manière déma­té­ria­li­sée. En Europe, de nom­breuses ini­tia­tives ont aus­si été prises en ce sens. Le règle­ment eIDAS a mis en place un pre­mier cadre de recon­nais­sance et d’interopérabilité pour les iden­ti­tés numé­riques en Europe. En juin der­nier, le texte a été mis en révi­sion avec des ambi­tions très éle­vées. Il intro­duit notam­ment le concept assez nova­teur de por­te­feuille d’identités numé­riques. La Com­mis­sion euro­péenne sou­haite ain­si don­ner un cadre et une défi­ni­tion légale à des élé­ments rele­vant des domaines tech­niques et tech­no­lo­giques. L’idée est d’ailleurs de géné­ra­li­ser le déploie­ment de ces por­te­feuilles dans tous les États membres : il est donc essen­tiel de s’assurer qu’ils répondent à un haut niveau d’exigence en termes de sécu­ri­té. Un autre sujet qu’on peut citer est celui de la véri­fi­ca­tion d’identité à dis­tance. Pour le régu­la­teur, il s’agit de poser les exi­gences tech­niques adé­quates pour garan­tir le bon niveau de sécu­ri­té pour la véri­fi­ca­tion d’identité à distance. 

Enfin, je dirai qu’il faut aus­si démys­ti­fier le recours à la bio­mé­trie faciale qui est une tech­no­lo­gie qui per­met de véri­fier la concor­dance entre un visage et une per­sonne. Les craintes rela­tives à une uti­li­sa­tion abu­sive de cette tech­no­lo­gie dans notre pays n’ont pas lieu d’être.

L’identité numérique est un enjeu majeur de la transition numérique et un axe stratégique en termes de cybersécurité. Pourquoi ?

La rela­tion avec la cyber­sé­cu­ri­té est duale. L’identité numé­rique est un moyen au ser­vice de la cyber­sé­cu­ri­té. On ne peut pas garan­tir la sécu­ri­té dans le monde numé­rique si on n’est pas en capa­ci­té de contrô­ler l’identité des per­sonnes qui y accèdent. Mais elle est aus­si un enjeu de cyber­sé­cu­ri­té. L’identité numé­rique et ses infra­struc­tures peuvent être la cible de cybe­rat­taques. Elles se doivent donc d’être rési­lientes face à la menace. C’est un enjeu de taille, car l’identité numé­rique de confiance est une condi­tion sine qua non pour un monde numé­rique sécu­ri­sé fonc­tion­nel. Il est impé­ra­tif de s’assurer que les sys­tèmes sont pro­té­gés contre les cybe­rat­taques et de garan­tir un haut niveau de confiance. La cer­ti­fi­ca­tion de sécu­ri­té de ces iden­ti­tés numé­riques est, d’ailleurs, une posi­tion por­tée par l’ACN. Se pose éga­le­ment la ques­tion des sys­tèmes d’identité qui doivent être per­for­mants pour que l’identité numé­rique soit cor­rec­te­ment reliée aux iden­ti­tés légales. Il faut garan­tir une conti­nui­té du droit dans le monde numé­rique pour que les per­sonnes qui agissent sous leur iden­ti­té numé­rique puissent être tra­cées et tenues res­pon­sables de leurs actes en cas de pro­blème. À cela s’ajoute la pro­tec­tion des don­nées pour évi­ter la consti­tu­tion de bases de don­nées qui pour­raient être exploi­tées de manière malveillante.

Quels sont les enjeux relatifs au développement de l’identité numérique ?

Le pre­mier point est celui de l’acceptation sociale. Il y a un tra­vail de péda­go­gie et de sen­si­bi­li­sa­tion qui doit être mené pour expli­quer cette notion et faire com­prendre que le sujet ne pose pas de risques et qu’il est sous contrôle. Cela implique de dis­po­ser d’un cadre juri­dique clair et adap­té pour ras­su­rer les citoyens et garan­tir que des moyens sont déployés pour pro­té­ger leurs don­nées, garan­tir un contrôle sur les utilisations…

Un second point tourne autour de la notion de sou­ve­rai­ne­té numé­rique. L’enjeu est d’avoir une iden­ti­té numé­rique de niveau de sécu­ri­té éle­vé, sou­ve­raine sous le contrôle des États membres. Il s’agit aus­si de garan­tir ce même cadre pour l’exploitation des don­nées rat­ta­chées à cette iden­ti­té. Si cette démarche per­met notam­ment d’éviter que les don­nées euro­péennes soient uti­li­sées à des fins mal­veillantes, c’est aus­si la garan­tie que les don­nées pro­fes­sion­nelles ne soient pas exploi­tées par des indus­triels étran­gers et qu’elles servent bien l’industrie et les entre­prises tech­no­lo­giques euro­péennes. Et dans ce contexte d’accélération du déve­lop­pe­ment de l’IA, c’est un véri­table enjeu. L’identité numé­rique sou­ve­raine doit béné­fi­cier aux entre­prises et start-up euro­péennes dans le cadre d’un contrôle démo­cra­tique européen. 

Quelles pistes de réflexion pourriez-vous partager avec nos lecteurs dans ce cadre ?

L’ACN a pro­duit une posi­tion sur ce règle­ment eIDAS 2 qui va être fon­da­teur pour l’identité numé­rique en Europe. Nous saluons bien évi­dem­ment cette ini­tia­tive et l’ambition de déployer des por­te­feuilles d’identité numé­rique uti­li­sables par­tout en Europe. Pour autant, garan­tir un niveau de sécu­ri­té éle­vé de ces iden­ti­tés est cru­cial. En paral­lèle, pour que ce texte abou­tisse, il est impor­tant d’associer l’industrie dans cette démarche pour déve­lop­per des modèles d’affaires en confor­mi­té avec le cadre juri­dique et légal.

La cybersécurité : un enjeu incontournable

Regards croi­sés de Édouard Jean­son VP, Alexis Cau­rette et Fran­çois Esnol-Feu­geas, membres du bureau ACN, sur la cybersécurité.

Depuis quelques années, la filière cybersécurité est de plus en plus dynamique. Qu’avez-vous pu observer au sein de l’ACN ?

La filière cyber­sé­cu­ri­té connaît une très forte dyna­mique éco­no­mique et tech­no­lo­gique avec une crois­sance annuelle moyenne de 8,1% entre 2015 à 2020. Face à l’évolution de la menace, la filière doit s’inscrire dans une démarche conti­nue d’innovation et d’adaptation. Cette cyber­me­nace est notam­ment liée à des enjeux géo­po­li­tiques. On assiste à un ciblage fré­quent des opé­ra­teurs d’importance vitale et de ser­vices essen­tiels. Des pays comme la Chine, la Rus­sie et les États-Unis sont assez expli­cites sur le déve­lop­pe­ment de leur capa­ci­té cybe­rof­fen­sive. Depuis peu, la France a éga­le­ment ren­du publique sa doc­trine dans ce domaine. À cela s’ajoutent des enjeux mafieux avec des cybe­rat­ta­quants qui se pro­fes­sion­na­lisent et se struc­turent. Il y a en effet aujourd’hui, une véri­table infra­struc­ture mafieuse avec des acteurs qui sont spé­cia­li­sés dans la mise à dis­po­si­tion d’outils d’attaque comme les mal­wares et les ran­som­wares ; la col­lecte et la vente d’information ; l’intrusion ini­tiale dans les sys­tèmes… En réponse, l’offre tech­no­lo­gique se sophis­tique notam­ment avec le recours à l’IA (solu­tions EDR, XDR…) et per­met un meilleur équi­pe­ment des entre­prises les plus vul­né­rables ou qui ne se sont pas encore dotées des bons outils. Per­sonne n’est à l’abri. Les cibles sont de plus en plus diverses : éta­blis­se­ments de san­té, col­lec­ti­vi­tés ter­ri­to­riales, four­nis­seurs de ser­vices numé­riques, grandes entre­prises… Entre 2019 et 2020, l’ANSSI a recen­sé une aug­men­ta­tion de plus de 255 % de signa­le­ments d’attaque. Toutes les entre­prises ne com­mu­niquent pas for­cé­ment quand elles sont vic­times d’une cyber-attaque. On estime que 71 % des attaques ran­som­ware réus­sies ne sont pas ren­dues publiques, ni par les entre­prises ni par les tiers. 

Justement, quel est le niveau de maturité des entreprises ? Quels sont les freins qui persistent ? 

Il est très hété­ro­gène. Par­mi les acteurs très matures, on retrouve toutes les entre­prises qui opèrent dans des sec­teurs cri­tiques ou régu­lés : la défense, la banque… Les PME et les ETI ont un niveau de matu­ri­té beau­coup plus faible. Cela s’explique par une moindre com­pré­hen­sion des enjeux et une réelle dif­fi­cul­té à expri­mer leurs besoins. Elles savent qu’elles sont expo­sées au risque cyber, mais le per­çoivent comme un coût et un pro­blème sup­plé­men­taire à gérer. Elles sont aus­si face à une offre de solu­tions diverses et com­plexes. En effet, il faut une exper­tise avé­rée pour orches­trer l’ensemble des ser­vices et solu­tions qu’il faut déployer pour sécu­ri­ser un envi­ron­ne­ment. Dans ce cadre, la filière s’emploie à ame­ner une réponse cohé­rente et com­pré­hen­sible adap­tée aux PME et ETI. À cela s’ajoute la néces­si­té de mener un tra­vail de fond pour mettre à leur dis­po­si­tion des solu­tions uni­fiées, inter­opé­rables et faciles à uti­li­ser et à déployer pour cou­vrir leur besoin dans son ensemble.

Et quels sont les enjeux pour les acteurs de la filière ? 

Nous avons en France et en Europe une très forte capa­ci­té d’innovation en matière de cyber­sé­cu­ri­té. Nos experts sont recher­chés dans le monde entier et notre exper­tise est recon­nue mon­dia­le­ment. Pour­tant, nous avons du mal à accom­pa­gner le déve­lop­pe­ment de nos entre­prises, à les aider à gran­dir pour en faire des licornes et à les gar­der dans notre giron. Le finan­ce­ment de la filière cyber­sé­cu­ri­té est ain­si un véri­table pro­blème de fond. S’il y a de belles levées de fonds, le sca­ling-up n’est pas encore au niveau atten­du et les moyens déployés en ce sens res­tent rela­ti­ve­ment faibles. Se pose éga­le­ment la ques­tion de la sou­ve­rai­ne­té des solu­tions, des tech­no­lo­gies ain­si que la sou­ve­rai­ne­té éco­no­mique. En effet, pro­té­ger ses entre­prises et ses indus­tries est avant tout une ques­tion de souveraineté !

Au-delà des défis et enjeux techniques, il y a également un enjeu humain et de compétences. Qu’en est-il ? 

C’est un sujet qui nous tient par­ti­cu­liè­re­ment à cœur. Nous avons tra­vaillé avec l’ANSSI sur les pre­mières car­to­gra­phies des métiers de la cyber, mais aus­si sur le label de for­ma­tion Sec­Nu­mE­du. Nous avons noué un par­te­na­riat avec l’École 2600 de cyber­sé­cu­ri­té qui s’adresse à des per­sonnes qui ont déjà une pre­mière expé­rience pro­fes­sion­nelle et qui sou­haitent se recon­ver­tir dans ce domaine. Nous avons par­ti­ci­pé au lan­ce­ment des bache­lors de l’EPITA, de l’ESIEA… Nous encou­ra­geons la fémi­ni­sa­tion de ce domaine en col­la­bo­rant avec des asso­cia­tions comme Women4Cyber qui font décou­vrir ces métiers aux lycéennes et col­lé­giennes. Nous sommes mobi­li­sés sur le sujet de la for­ma­tion pour le CSF (comi­té stra­té­gique de filière) indus­tries de sécu­ri­té. En tant que membre fon­da­teur du Cam­pus Cyber, nous contri­buons au volet dédié à la for­ma­tion. Aujourd’hui, tous les acteurs sont conscients qu’il y a urgence à for­mer, recon­ver­tir et faire mon­ter en com­pé­tences des hommes et des femmes pour faire face à ce risque cyber.

L’intelligence artificielle (IA) de confiance : le défi des prochaines années

Jean-Luc Giber­non, Vincent Boua­tou et Nico­las Bou­vat­tier reviennent sur le sujet de l’IA de confiance et son impor­tance pour le déve­lop­pe­ment de la confiance numérique.

Nous entendons de plus en plus parler d’IA de confiance. De quoi s’agit-il ?

L’IA est un ensemble de tech­no­lo­gies qui vise à simu­ler des pro­ces­sus de l’intelligence humaine par des machines et des sys­tèmes infor­ma­tiques. La notion de confiance dans l’IA est liée à la grande com­plexi­té de ce domaine et la néces­si­té de s’assurer de sa fia­bi­li­té. À par­tir de là, le sujet de la confiance dans l’IA pose quatre enjeux : l’explicabilité, la pré­ven­tion des biais, la résis­tance aux agres­sions et l’éthique dans le numé­rique. Au-delà comme pour toute tech­no­lo­gique cri­tique se pose aus­si la ques­tion de la sou­ve­rai­ne­té puisque son déve­lop­pe­ment néces­site des inves­tis­se­ments mas­sifs. Nous sommes, en effet, face à une course à l’IA entre les États-Unis et Chine, alors que l’Europe doit pou­voir se posi­tion­ner comme un four­nis­seur de tech­no­lo­gies et une puis­sance autonome. 

En matière de cybersécurité, quelles sont les perspectives qu’elle offre ? 

L’IA peut appor­ter beau­coup à la cyber­sé­cu­ri­té. Le prin­ci­pal apport est celui de la détec­tion des attaques. Elle a la capa­ci­té d’adresser des choses plus fine­ment et à détec­ter un com­por­te­ment anor­mal que l’œil humain ne pour­rait pas ou dif­fi­ci­le­ment iden­ti­fier. L’idée n’est pas que l’IA rem­place l’humain, mais apporte plu­tôt un sou­tien aux opé­ra­teurs en charge de ce volet. La pro­chaine étape serait, dans cette conti­nui­té, de capi­ta­li­ser sur l’IA non seule­ment pour détec­ter les attaques, mais éga­le­ment com­prendre ce que font les cybe­rat­ta­quants, décor­ti­quer les attaques afin de les caté­go­ri­ser et réagir auto­ma­ti­que­ment en fonc­tion de l’attaque.

Quelles sont également les problématiques qu’elle soulève ? 

Elles dépassent lar­ge­ment le cadre de la cyber­sé­cu­ri­té. Il y a d’abord la capa­ci­té à mettre à dis­po­si­tion des capa­ci­tés de cal­cul très impor­tantes pour l’apprentissage et des don­nées pour le déve­lop­pe­ment des algo­rithmes d’IA. Au-delà, la pré­sence de biais dans des jeux d’apprentissage peut impac­ter la capa­ci­té du sys­tème à prendre des décisions. 

Les prin­ci­paux débats sur l’IA concernent aus­si l’éthique. C’est d’ailleurs un sujet qui mobi­lise le Par­le­ment euro­péen. On com­mence à voir des prises de posi­tion de cer­tains États membres visant à cadrer le recours à l’IA. L’objectif est de réaf­fir­mer les valeurs fon­da­men­tales de l’Union euro­péenne, de dési­gner les pra­tiques inac­cep­tables telles que le social sco­ring ou la sur­veillance de masse, tout en veillant à bien dis­tin­guer les autres usages de l’IA et les risques qui leur sont asso­ciés. Une réflexion de fond doit être menée pour ne pas entra­ver l’innovation et le déve­lop­pe­ment des acteurs euro­péens dans ce domaine et afin de per­mettre à l’Europe de dis­po­ser de cet outil tech­no­lo­gique indis­pen­sable à la maî­trise de notre ave­nir numérique.

Comment abordez-vous ce sujet au sein de l’ACN ?

Dans ce cadre, le rôle d’une orga­ni­sa­tion comme l’ACN est d’éclairer le débat pour impo­ser la notion de confiance, aider à défi­nir les cri­tères qui la carac­té­risent et à dis­tin­guer les dif­fé­rents usages de l’IA. Il s’agit aus­si d’attirer l’attention des légis­la­teurs, des pou­voirs publics et autres déci­deurs sur des mesures trop larges qui pour­raient entra­ver l’innovation, dimi­nuer la com­pé­ti­ti­vi­té de l’Europe et, in fine, s’avérer contre-pro­duc­tives au regard de l’objectif de pro­tec­tion de nos valeurs fonda­men­tales.

Poster un commentaire