Intervention de Anne-Yvonne Le Dain

Ce schéma de l'éléphant est une métaphore de l'humain croyant voir le tout parce qu'il est énorme et juste devant lui, alors qu'il n'en saisit qu'un des éléments constitutif ; c'est ce qui nous arrive aujourd'hui avec Internet.

Un autre schéma représente le réseau global d'Internet en Ile-de-France, Renater, mis en place dans les années 90 pour les chercheurs et scientifiques, et dont le coeur est sous la Défense. Il est d'une puissance colossale et fonctionne parfaitement, de façon très sécurisée. Imaginons un instant que cette technologie rentre dans le monde de l'entreprise et de la libre circulation des données ! Un spécialiste nous a indiqué que, à cet endroit, une frontière numérique séparerait l'Inde de l'Europe du point de vue de la gestion des réseaux numériques, ce qui ne tombe pas sous le sens.

Il est plus facile d'installer un réseau quand on n'en possède pas que d'en rénover un. Nous avons des difficultés techniques et financières, en France, à substituer un réseau fibre au réseau cuivre. La Corée est, elle, passée directement au très haut débit.

Un autre schéma représente les ramifications numériques d'une entreprise avec son centre de gestion, ses activités de production, ses contacts avec l'extérieur et, évoluant au coeur de tout cela, les multiples connexions, par nature très imprévisibles, de ses employés. Il est évident que des liens entre tous ces éléments, de leur continuité, de leur intégrité, dépendent, dans un premier temps, la sécurité numérique, et, bien sûr ensuite, la protection contre de mauvaises surprises.

À cet égard, une des propositions de recommandations que vos rapporteurs ont imaginées consiste à couper totalement les SCADA - c'est-à-dire les systèmes numériques commandant la production - de l'Internet. Cette préconisation peut, à première vue, sembler très exagérée à beaucoup d'organisations qui croient fonctionner parfaitement actuellement.

Cependant, pour vous convaincre en un instant de l'utilité de cette recommandation, j'évoquerai simplement l'anecdote rapportée par une personne entendue, à savoir la pénétration du système des SCADA d'un hôpital nord-américain par un adolescent de seize ans qui avait réussi à bloquer la climatisation de cet établissement et exigeait ensuite le paiement d'une rançon pour rétablir le bon fonctionnement de cet hôpital.

Par ailleurs, quand on sait que des logiciels d'attaques informatiques sont maintenant disponibles dans le commerce, le rapprochement de ces deux faits peut conduire à réfléchir. D'autant que, même si notre rapport a souhaité disséquer, pour ainsi dire, la complexité de la sécurité numérique d'une entreprise, un des constats auxquels vos rapporteurs sont parvenus, et figurant dans le préambule du rapport, est le suivant : au-delà des failles technologiques, les failles humaines entraînent les plus graves vulnérabilités.

D'où l'effort d'éducation que j'ai déjà évoqué et, plus généralement, une action de sensibilisation à mener dont la petite projection du début de notre réunion a montré la nécessité. En effet, ce film réalisé par le CIGREF, réseau de grandes entreprises, à la demande d'une quarantaine d'entreprises internationales, est destiné à être diffusé accompagné du jeu sérieux (serious game) qu'il annonce à tous les employés desdites sociétés avec, évidemment, l'espoir que cette sensibilisation gagne leurs familles et d'autres entreprises, ainsi que les administrations, voire les politiques eux-mêmes.

En outre, figure en annexe du tome premier du rapport un petit questionnaire, imaginé par le même CIGREF, recensant certaines situations quotidiennes liées au numérique et proposant plusieurs réactions possibles traduisant la nécessité d'acquérir les réflexes d'une hygiène numérique. Il a été remis à chacun d'entre vous les quelques pages de ce jeu-questionnaire et, tout en écoutant avec attention notre présentation à deux voix, vous avez peut-être déjà tenté de déterminer ce qu'aurait été votre attitude numériquement responsable dans tel ou tel cas.

Quand on parcourt l'ensemble de ce questionnaire, chacun ne peut que s'étonner des erreurs qu'il commet en réponse ou même des hésitations apparues et qui auraient constitué des failles de sécurité dans la vie quotidienne. Cela illustre qu'il ne faudrait plus jamais concevoir quelque avancée du numérique que ce soit sans qu'une analyse approfondie ait pu proposer, dans le même temps, des instruments de sécurité. Une sécurité par conception comme disent les spécialistes. À noter au passage qu'une telle sécurité est très généralement absente de la conception des objets connectés.

Ce qui suppose aussi de faire preuve de davantage de cohérence dans la prise au sérieux du concept même de sécurité numérique. Et cela commence par les organigrammes des entreprises où l'empêcheur de tourner en rond que constitue souvent le responsable de la sécurité n'est pas situé au bon niveau pour que ses conseils puissent être entendus et acceptés à temps par les dirigeants.

Croyez bien que ces affirmations ne sont pas excessives car des exemples quotidiens montrent que les entreprises n'ont pas encore tiré les conséquences des impératifs que devraient leur dicter la sécurisation numérique de leurs activités. C'est ainsi que, dans de trop nombreuses entreprises, et au mépris total de la sécurité numérique, les employés utilisent indifféremment leurs matériels numériques personnels ou professionnels. Les accès Internet sont multiples, les personnes séjournant temporairement dans l'entreprise pas assez contrôlées, etc.

Des exemples récents montrent que des pirates ou attaquants ont bien compris que les failles du numérique peuvent être d'autant mieux exploités qu'elles sont élargies par les défaillances humaines. Évidemment, les pirates informatiques tablent sur ces défaillances pour élaborer leurs attaques. C'est ce que les spécialistes du numérique appellent l'ingénierie sociale associée aux attaques techniques. Tel est, par exemple, le cas avec l'attaque connue sous le nom d'« arnaque au président » où, après une étude poussée des habitudes numériques et des caractéristiques de chacun des protagonistes par les pirates, un appel téléphonique du supposé président d'une société est adressé, le vendredi soir, à un comptable de cette entreprise pour lui demander d'expédier d'urgence, de la part du président, une somme importante qui permettra d'assurer in extremis, au cours de la fin de semaine, la conclusion d'une négociation déjà bien avancée.

Ce procédé peut vous paraître enfantin voire grossier, mais, à la fin de l'année 2014, l'entreprise Michelin a versé, et perdu, 1,6 million d'euros sur cette base. De nombreux dirigeants d'opérateurs d'importance vitale ont été sollicités de la même manière et tous n'ont pas eu la chance d'avoir des personnels assez sensibilisés au risque numérique pour ne pas tomber dans de tels traquenards. Parfois, même si l'attaque n'est pas identifiée immédiatement, il est encore possible d'interrompre les rebonds successifs de pays en pays de l'argent ainsi naïvement remis mais à condition d'opérer extrêmement rapidement.