Cycle de conférence 2022/2023 – SOUVERAINETÉ EUROPÉENNE ET CYBERSÉCURITÉ

Cédric SYLVESTRE

Co-fondateur d’Olvide, Merili Soosalu, Chef de projet européen Cyber4Dev et membre de l’autorité estonienne de systèmes d’information

SOUVERAINETÉ EUROPÉENNE ET CYBERSÉCURITÉ

Animation : Eric CAMPION, Bérénice ROUPSARD

Propos introductifs par Éric CAMPION, Président de PanEurope France

Intervention de Cédric Sylvestre, Co-fondateur d’Olvide

Lors de son intervention, Cédric Sylvestre a rappelé les enjeux liés à la cybersécurité :

  • Maîtriser les identités numériques
  • Sécuriser les communications internes et externes
  • Poursuivre les communications en cas de crise cyber
  • S’affranchir de solutions étrangères soumises à des lois extra-territoriales
  • Respecter le RGPD
  • Lutter contre le shadow IT
  • Simplifier les usages pour ne plus se tromper

Aujourd’hui, on part du principe que tout système peut se faire pirater. La centralisation des données est d’autant plus attractive pour les hackers.

Se dire que ce n’est pas grave que nos données ne sont pas sécurisées et protégés sous prétexte que « l’on a rien à cacher » est une fausse solution. En réalité, il s’agit plutôt de se demander si l’on souhaite que des conversations privées puissent devenir publiques. C’est une question d’intimité dans les relations.

Et l’Europe dans tout ça ?

Le marché de la cybersécurité s’est construit autour de grands acteurs : Russie, États-Unis, Chine, Israël. On observe aujourd’hui l’émergence d’acteurs européens. Le marché européen de la cybersécurité est un marché verticalisé par pays. Il faudrait que l’on arrive avec des technologies sur lesquelles tous les pays de l’UE s’accordent. Cela mettrait alors fin à la question : « Est-ce que j’achète français ou allemand ? ».

En résumé, Cédric Sylvestre insiste sur l’enjeu de la sensibilisation des citoyens, des entreprises et des pouvoir publics à la question de la cybersécurité. Ce n’est jamais anodin d’avoir des outils à l’étranger. Aussi, il est nécessaire de construire une souveraineté européenne. Pour cela, il faut des technologies car il ne suffit pas de décréter la souveraineté européenne pour qu’elle soit effective.

Intervention de Merili Soosalu, Chef de projet européen Cyber4Dev,
Autorité estonienne de systèmes d’information (RIA)   

L’intervention de Merili Soosalu a permis d’aborder la question de la numérisation et de la cybersécurité du point de vue étatique en se basant sur l’exemple estonien. Le fil rouge de cette intervention était le suivant : Comment la numérisation est-elle devenue générale en Estonie ? De quels risques cette numérisation s’est-elle accompagnée ?

  1. Tour d’horizon de la situation actuelle concernant la numérisation et la cybersécurité

L’Estonie est très bien classée au niveau mondiale en matière de numérisation et de cybersécurité. Elle occupe notamment la 2e place au FREEDOM HOUSE, un classement international relatif à la liberté sur internet. En 2019, elle était également numéro 1 du classement de la Fondation Bertelsmann concernant l’indice de santé numérique.

Le développement du numérique en Estonie est fondamentalement lié à son histoire mais aussi à sa culture. Ainsi, la numérisation a été un moyen de rattraper le retard pris sur les pays Scandinaves durant la période d’occupation russe de l’après-guerre.

  • L’Estonie, un e-state

En Estonie, la numérisation des démarches (e-state) est définie par défaut. Aujourd’hui, 99 % des démarches se font en ligne. Le dernier pourcentage restant concerne les procédures de mariage et de divorce qui nécessitent encore une signature physique.

Cette numérisation des démarches administratives est guidée par les principes suivants :

  • ✔   axé sur le citoyen : il faut toujours prendre en compte les besoins des utilisateurs ;
  • ✔   partenariat public–privé
  • ✔   accès internet pour tous : l’accès à Internet est un droit social qui est inscrit dans la loi. Ainsi, plus de 95 % du territoire estonien a une couverture 4G.
  • ✔   chaque personne est propriétaire de ses données personnelles : les autorités gouvernementales doivent demander expressément l’utilisation des données des citoyens.

Par ailleurs, on peut noter qu’un principe du « once only » est appliqué, c’est-à-dire que la donnée est demandée une seule fois au citoyen.

En pratique, cette numérisation de la société est basée sur l’identité numérique qui se décline en plusieurs formats :

  • une carte d’identité contenant une puce ;
  • une « mobile ID » qui se présente sous la forme d’une carte SIM pouvant être insérée dans n’importe quel téléphone ;
  • une smart ID qui est une application disponible sous n’importe quel smartphone
  • QSE (assure les services numériques en ligne de manière sécurisée).

Aujourd’hui, l’identité électronique est obligatoire.

  • 64 % utilisent régulièrement la carte d’identité électronique
  • 19 % des personnes utilisent mobile–ID
  • •      44 % utilisent Smart–ID
  • •      Plus de 90 000 e–résidents

Toutes ces informations sont filtrées et transférées via X-Road, une couche d’échange de données gratuite et en opensource. Il s’agit d’une solution d’échange de données modulaire,
facile à utiliser. Le réseau est décentralisé et distribuéIl est géré par une communauté de plus d’un millier d’experts provenant de plus de 60 pays. Cette solution est d’ailleurs en train de s’exporter dans d’autres pays. Elle est opérationnelle en Azerbaïdjan, Argentine,
Cambodge, Colombie, El Salvador, Estonie, Îles Féroé, Finlande, Allemagne, Islande, Japon, Kyrgyzstan, Palestine, Vietnam.

L’XTee, l’écosystème XRoad estonien depuis 2001 permet d’économiser 3 millions d’heures de travail par an,  plus de 3 000 services différents, plus de 1,3 milliard de transactions par an.

Finalement, ce système fonctionne grâce à la combinaison de 3 piliers : la confidentialité des données, la disponibilité des données et l’intégrité des données.

  • La cybersécurité et les politiques européennes

L’Estonie a été victime des cyber-attaques les plus importantes contre un État en 2007. Aussi, le gouvernement estonien est bien conscient de la menace. Il dispose d’une ligue de cyberdéfense et d’un cybercommandement. L’Estonie est également un membre actif de l’Union Européenne dans ce domaine.

A ce propos, l’UE a établi une stratégie de cybersécurité de l’UE depuis 2020. L’Agence de l’UE pour la cybersécurité estun acteur clé dans le domaine. En ce moment, l’UE travaille sur la révision de la directive de 2016 relative à la sécurité des réseaux et des systèmes d’information pour prendre en compte l’évolution des menaces. Le champs d’application des règles devrait s’élargir. La législation européenne sur le sujet s’étoffe. Le besoin de coopération pour prévenir les attaques est clair. Une loi sur la cyber-résilience est également en projet.  

Pour conclure son intervention, Merili Soosalu a remarqué que la voix européenne dans ce domaine s’entend bien à l’étranger.  Le projet Cyber4Dev est un exemple. Il s’agit du premier projet global de l’UE pour le renforcement des capacités en cybersécurité. Il vise à soutenir les politiques et les stratégies de cybersécurité, former et développer et favoriser les réseaux régionaux et internationaux de cyber expertise et de coopération.

Ce projet concerne essentiellement l’Afrique, les caraïbes et l’Amérique du Sud avec un accompagnement sur la politique de cybersécurité. En soutenant les politiques de cybersécurité dans d’autres pays, non seulement l’UE répand ses valeurs mais surtout, elle se protège de facto car le monde numérique n’a pas de frontières.

Session de Questions-Réponses   

  • Quid de la formation ?

En Estonie, il y a trois grandes universités publiques. Ce sont des Master qui ne sont pas forcément destinés exclusivement à des profils techniques. En France, on observe effectivement une pénurie des talents en cybersécurité. Pour faire de la cybersécurité il faut des informaticiens et des développeurs. La formation est le nerf de la guerre. Il faudrait enseigner la cybersécurité dès la primaire. Il faut créer un système de certification au niveau européen. Cela permet de faire monter en compétence.

  • Quel budget et investissements consacrez-vous à la cybersécurité ?

Ce que l’on dit toujours en Estonie, c’est que cela coûte toujours moins d’investir dans la défense que de faire face aux dégâts. On estime qu’1 % du PIB est dédié à la cybersécurité.

Cédric Sylvestre ajoute que les experts estiment que 12 % du chiffre d’affaire des entreprises devraient être dédiés à la cybersécurité.

  • Si la numérisation des services administratifs en Estonie, comme la carte d’identité électronique, est un vrai progrès, cela ne risque-t-il pas de conduire à un système de surveillance du citoyen par l’Etat (Big Brother) et cela ne menace-t-il pas les libertés individuelles ?

C’est un débat qui a animé la scène politique estonienne. La réalité, c’est que c’est un travail basé sur la confiance des citoyens envers l’État. Il y a des vrais experts qui peuvent expliquer que l’on ne peut pas manipuler les données. C’est une question de confiance. La digitalisation amène de la transparence et donc aussi moins de corruption.

Un des meilleurs moyens pour se prémunir de ces craintes est d’être en open source, pour que chacun puisse avoir un droit de regard. Certains États pourraient basculer dans du populisme et devenir malveillants. Il faut se prémunir des États malveillants. Pour rappel, les premiers attaquants sont les États (via des espions, des virus).  La plupart sont des attaques passives qui ne sont d’ailleurs pas détectées.

  • Ne faudrait-il pas un Cloud Act européen ?

Je n’ai pas l’impression que l’on en parle réellement. Cela tient à la difficulté de définir la frontière dans le monde de l’internet. On essaie de réfléchir nos plans d’action sur un plan territorial alors que l’internet n’a pas de frontière.

  • Existe-t-il un catalogue européen des outils ?

Il faut aller voir les lignes directrices données par l’agence européenne. Ce qui serait intéressant serait de créer des certifications européennes.

  • Est il prévu d’agrandir la « Defense League » estonienne à l’Europe pour organiser un réseau de volontaires (~réservistes) en cas de cyberattaque ? Quelle protection pour éviter l’identification des volontaires par les attaquants et des représailles ?

Il y a des exercices au niveau régional et européen.

Laisser un commentaire

Retour en haut