Tribune. Pour qui en doutait encore, l’année 2018 a une nouvelle fois montré que la menace numérique n’est pas éthérée et que les défis pour la sécurité numérique restent immenses. Plus sophistiquées, mieux élaborées, plus destructrices et touchant désormais toute la société, du citoyen à la grande entreprise jusqu’à nos institutions démocratiques, les attaques informatiques sont entrées dans une dimension nouvelle.

Premier constat : les attaquants exploitent de plus en plus les relations de confiance établies entre les entreprises et leurs partenaires pour accéder aux données et informations sensibles. Pour contourner les dispositifs de détection des entreprises ciblées, ils s’attaquent en effet à leurs prestataires ou leurs fournisseurs, généralement moins bien sécurisés. Le second constat est encore plus préoccupant : qu’il s’agisse d’Etats ou d’organisations criminelles, les attaquants s’attachent aujourd’hui à préparer les conflits de demain. De nombreuses intrusions dans des infrastructures numériques critiques semblent en effet avoir pour but de préparer des attaques futures. Energie, transports, santé… Tous les secteurs sont concernés et la menace va croissant à mesure de la numérisation de la société.

Lire aussi: IA, des banques de données sous haute surveillance

Tous connectés, tous impliqués, tous responsables : voilà l’approche fondamentale que nous devons porter. D’abord car la sécurité numérique doit sortir de son domaine réservé pour associer l’ensemble des architectes de la société numérique. Si l’on pense à l’intelligence artificielle, à la santé connectée ou aux voitures autonomes, les formidables usages rendus possibles par le numérique ne pourront en effet être durables que s’ils recueillent la confiance des utilisateurs. Ensuite parce que la sécurité numérique ne se limite pas à une question technologique. Elle draine des enjeux économiques, politiques et sociétaux majeurs qui nous concernent tous.

La France et l’Europe ont un rôle historique à jouer pour prévenir le surgissement d’un Far West numérique. L’Appel de Paris pour la confiance et la sécurité dans le cyberespace, lancé en novembre par le président de la République, permet de tracer une voie crédible en ce sens.

Il faut sans cesse se rappeler que la révolution numérique est avant tout affaire de choix. Ces choix, qui doivent associer les concepteurs de produits et de solutions numériques comme les artisans du droit et des politiques publiques, ne peuvent plus se faire au détriment de la sécurité.

Le débat sur le chiffrement des données illustre bien cette nécessité. La question revient régulièrement sur la table, parfois à l’occasion d’affaires retentissantes – on se souvient notamment du bras de fer médiatique entre Apple et le FBI sur l’accès à un téléphone chiffré. Elle est souvent présentée comme une opposition entre les services de sécurité et les défenseurs des droits et libertés ; une opposition entre sécurité et libertés en réalité très réductrice. Pour cause : il faut mesurer l’importance du chiffrement dans la sécurisation de nos données, celles de nos entreprises et de nos administrations, si bien qu’il serait plus juste de parler d’une opposition entre sécurité… et sécurité.

Une proposition, régulièrement avancée pour contourner le chiffrement, serait de contraindre les constructeurs et fournisseurs de services et d’applications numériques à introduire délibérément dans leurs systèmes des backdoors. Ces «portes dérobées» permettraient ainsi à des autorités légitimes d’accéder aux données intéressant les enquêtes. Las ! Si cette idée peut sembler frappée au coin du bon sens, son application s’avérerait nécessairement dramatique. Car une «porte dérobée» correspond en réalité à une faille de sécurité et il est impossible de s’assurer qu’un tel accès ne soit disponible qu’aux personnes autorisées. Avec la prise en compte des exigences de sécurité, on le voit, le débat sur le chiffrement ne se pose plus tout à fait dans les mêmes termes. La question revient dès lors à savoir comment répondre aux besoins légitimes des services d’enquête et de renseignement sans pour autant sacrifier la sécurité globale des solutions numérique.

Dans ce débat comme sur les autres sujets qui peuvent mettre en tension l’efficacité à court terme avec la sécurité globale à long terme, il faut savoir se garder des excès autant que des solutions simplistes. La recherche d’équilibre est par nature complexe, subtile et – on peut facilement le comprendre – source de frustration pour certains services de sécurité. Elle est néanmoins indispensable. Plus encore, elle conditionne le développement d’un numérique de confiance. D’où l’urgence de diffuser cette culture de la sécurité à tous les niveaux. La formation des décideurs, des acteurs économiques, des agents publics et des citoyens constitue en ce sens un chantier majeur de ces prochaines années. La sécurité numérique doit ainsi faire son entrée dans les manuels scolaires et la formation professionnelle, pour faire de chacun un acteur engagé de la société numérique de demain.