Sur le front numérique
Telecom Valley

Comment se positionne Telecom Valley sur ces questions de gestion de risques numériques et quels services/conseils sont proposés aux membres ?

Il faut savoir que les risques sont multiformes et pas seulement numériques. Ils sont éthiques, sociaux, sanitaires… Il n’y a pas au sein de Telecom Valley une communauté qui s'occupe spécifiquement des risques. Et c'est tant mieux parce que c'est quelque chose de transverse. On a une communauté IA, on a une communauté cybersécurité, on a une communauté CHIC pour tout ce qui touche au capital humain et à l’intelligence collective car il ne faut pas oublier que le cœur d’une entreprise numérique reste l’humain. Ces communautés de pair à pair se réunissent régulièrement et produisent des livres blancs et des conférences. Il peut parfois arriver que certains membres sollicitent le réseau pour échanger sur des problématiques particulières. Partager de l’information et des expériences, travailler sur des projets collectifs dans un objectif de fertilisation croisée, c’est toute la force et l’ADN de Telecom Valley.

Quels principaux enjeux voyez-vous aujourd’hui en matière de sécurité numérique, et si l’on se projette à cinq ans ? Si vous deviez prioriser trois de ces enjeux, quel serait votre classement et est-ce que ce top 3 varierait par activité ou par taille d’entreprise ?

Je vois trois principaux enjeux actuels. D’abord, les cyberattaques. On en entend parler tous les jours même s’il faut souligner que les entreprises numériques sont un peu moins concernées.

Un deuxième enjeu relève de la gestion des données personnelles. Sur ce volet, on a des contraintes légales fortes qui sont éminemment complexes à mettre en œuvre. Les interprétations de la loi sont souvent multiples. Je vous donne un exemple très concret. Légalement, vous n’avez pas le droit de noter et de conserver le nom des personnes. Or si vous êtes fournisseur d’un logiciel à un tiers, on ne sait pas à quel usage va servir le logiciel. Imaginons que je sois Microsoft et que je fournisse un tableur qui s’appelle Excel à une société qui s’amuse à entrer les noms, prénoms et adresse de ses salariés. Même si c’est interdit par la loi française, c’est un cas d’usage très courant. Quand on fournit une base de données comme outil, les utilisateurs mettent ce qu’ils veulent ensuite dedans. Il y a beaucoup d’enjeux éthiques autour de ces pratiques.

Un troisième point dont on parle encore peu mais qui est très important concerne la cybersécurité des objets connectés. Je ne vous parle même pas d’un téléphone mobile qui est déjà un petit ordinateur. Je vous parle de votre frigo, de votre machine à laver... Tout étant connecté maintenant, potentiellement, ce sont de grosses passoires de sécurité. Un objet connecté qui n’a pas d’interface est très difficile à sécuriser et à maintenir en sécurité et beaucoup d’attaques aujourd’hui passent par ces IoT. Les attaques ne servent pas à accéder aux données de ces objets. Par contre, ça leur sert de bot pour lancer des attaques massives de déni de service. C’est ce que l’on appelle le DDoS, c’est-a-dire un type de cyberattaque où le hacker submerge un site web ou un serveur avec du trafic malveillant. Des centaines de milliers de requêtes sont faites en même temps en utilisant plusieurs centaines de milliers d’objets connectés, le serveur plante et n’est plus accessible. Et quand c’est une activité critique, cela peut avoir des conséquences graves. La meilleure parade ici, c’est d’adopter une approche assez classique dans le monde des développeurs logiciels qui est la notion de Security by design. Concrètement, cela veut dire que dès la phase de conception de l’objet connecté, la notion de risque et de sécurité va être centrale au développement de produit.

Si l’on se projette à cinq ans, ce sont les IA et les technologies quantiques qui vont guider les réflexions et actions en matière de sécurité numérique. Aujourd’hui, les pirates utilisent des IA pour bâtir leurs attaques et pour les gérer, d’une manière qui devient de plus en plus sophistiquée. En face, ceux qui travaillent dans la cybersécurité font pareil. C’est une course en avant effrénée entre les deux et très souvent, ces interactions se font de robot à robot. Le virage au quantique est aussi en train de se faire et n’importe quelle clé de chiffrement va pouvoir se casser en quelques secondes dans quelques années. Il va falloir s’adapter.

Vous êtes à la tête de la société Janua qui a développé le logiciel Jaguards et qui a fait de la gestion opérationnelle de crise son activité principale. Pouvez-vous nous expliquer votre approche ?

Jaguards est un vieil outil que nous avions développé en parallèle d’un logiciel de gestion des identités en open source. En 2016, nous avons décidé de le réécrire de manière substantielle. Aujourd’hui, ce logiciel de gestion de crise représente 95 % de ce que nous commercialisons et occupe 99 % du temps de mes douze salariés. Nous continuons de fournir de l'expertise sur des produits open source en gestion d'identité mais cela reste à la marge par rapport à Jaguards. Pour ce logiciel, notre clientèle comprend des centres de commandement, des PC de sécurité, des cellules de crise, des centres de maintenance industrielle, des collectivités. Montpellier est la première ville avec laquelle nous avons commencé. Ils ont des problématiques d’inondations récurrentes avec des routes coupées, des ordres de travaux en urgence à réaliser, une logistique de pelleteuses à caler pour déblayer…

En gestion de risque, ce n’est pas le jour J, quand le risque se matérialise, que l’on se prépare. C’est avant que ça se passe. Il faut compter un à deux ans minimum pour déployer un logiciel, pour le contextualiser à son environnement, pour former les utilisateurs à son utilisation, pour que les gens se l’approprient. Ce n’est pas le jour où il faut évacuer 50 000 personnes, reloger plusieurs centaines de sinistrés ou trier une centaine de blessés graves que l’on commence à mettre en place l’organisation. Tout cela s’anticipe. Le logiciel que nous avons conçu permet un suivi horodaté des actions et fonctionne en inter-institutionnel. Il peut être utile dans la fourniture de preuve légale. Tout est traçable et infalsifiable, du journal d’appels téléphoniques aux communications radio jusqu’au déclenchement des alarmes. En région lyonnaise par exemple, notre logiciel a été interfacé pour connecter la métropole, les pompiers, les villes et la préfecture, et Jaguards est interopérable en interinstitutionnel, bien que les institutions n’aient pas toutes les mêmes systèmes d’information interne.

Le risque zéro n’existe pas. Même chez les Latins. En cette période de transition numérique intense, prioriser les menaces et réfléchir à une organisation opérationnelle efficace de crise relève du bon sens. Reste à affecter les ressources humaines et financières nécessaires pour calibrer les meilleures parades. Au-delà des technicalités. Et c’est souvent le plus gros défi.