E. Macron

Plus encore sans doute que celles de sécurité classique, les questions de cybersécurité sont délicates et ne peuvent se résoudre aisément. Prétendre avoir des solutions simples, efficaces et faciles à mettre en oeuvre serait une imposture. Il faut également avoir le courage d’affirmer qu’un désir de cybersécurité et une volonté de respecter la vie privée, tous les deux légitimes, peuvent être antinomiques. Une démocratie doit veiller à trouver le bon équilibre entre les deux.
Il convient donc de bien peser les services rendus et les risques potentiels des solutions de protection mises en place. Par exemple, personne ne devrait se satisfaire d’un système de protection qui remettrait en cause les droits individuels des citoyens. Le fichier TES (“titres électroniques sécurisés”) a récemment illustré cet équilibre à rechercher. Si la solution proposée permet le nécessaire contrôle de l’attribution et l’utilisation des cartes d’identité et des passeports, elle présente aussi des risques de piratage pointés par les experts. Ces risques auraient été moindres, voir nuls, si on avait pris le temps d’étudier d’autres solutions, techniquement plus élaborées.
De plus, dans le cas de la cybersécurité, il n’y a le plus souvent pas grand sens à imaginer des solutions purement locales alors que l’internet est mondial et que les pirates informatiques peuvent être physiquement à des milliers de kilomètres des sites informatiques qu’ils attaquent. Il faut donc veiller à ne pas promouvoir des solutions qui s’inscriraient dans une logique purement française, et qui seraient donc en pratique inapplicables ou sans effet majeur. C’est le plus souvent au niveau mondial, ou a minima au niveau européen, que la réflexion doit être conduite.
Ce préambule étant fait, des mesures sont possibles et nécessaires.

1. Sensibilisation
Un important effort de sensibilisation doit être conduit, tant auprès des particuliers que des entreprises, grandes et petites. La simple gestion des mots de passe, ou la protection des données, l’accès aux réseaux, machines ou serveurs, ou encore les systèmes de sauvegarde sont encore souvent gérés avec beaucoup de méconnaissance et de désinvolture, sans prise en compte des risques encourus. Pour prendre un exemple simple et concret, est-il normal que beaucoup de personnes physiques ou morales acceptent sans aucune difficulté que le contenu de tous leurs courriers électroniques appartienne à la société gérant leurs comptes ? Cette sensibilisation n’est évidemment pas une fin en soi, mais elle est sans nul doute nécessaire.

2. Accompagnement des entreprises
Les entreprises, en particulier les startups, proposant des solutions relatives à la cybersécurité, mais aussi la cybercriminalité, doivent être aidées et encouragées. Cet accompagnement passe aussi par une action de l’Etat qui doit privilégier, dans le respect des législations en vigueur, le recours à des entreprises françaises lorsque des questions de souveraineté sont posées.

3. Promotion du logiciel libre
L’utilisation des logiciels libres, dont le code source est accessible à tous, doit être une priorité, dès qu’elle est possible. L’Etat se doit en particulier de donner le bon exemple, en particulier dans le cadre de la mise
en place des dispositions de la récente loi pour une république numérique. Si le logiciel libre n’offre pas une garantie absolue d’absence de faille de sécurité (être capable d’analyser un fichier source de plusieurs milliers, voire centaines de milliers, de lignes de code requiert des spécialistes et des techniques toujours plus élaborées), il permet par définition une étude du code source, impossible à faire dans le cas de logiciels propriétaires dont le code source n’est connu que de ses auteurs.

4. Développement d’une recherche amont et duale
Le traitement de la cybersécurité posent de nombreuses questions de recherche. Dans le milieu académique, la compétition est constante et permanente entre les équipes cherchant à « casser » les systèmes informatiques et celles cherchant à les protéger. Et cette compétition est positive car elle permet d’augmenter la qualité des systèmes de protection. La France est bien positionnée sur les sujets de cryptologie, de vérification, de réseaux… Ces équipes doivent être sollicitées pour produire des logiciels et des techniques plus efficaces et plus sûres permettant de construire des solutions performantes. Une partie de cet effort doit être conduit en relation étroite avec les problématiques de cyberdéfense, qui posent souvent des questions scientifiques et techniques très voisines.