Focus sur l’ACN

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Jean-Pierre QUÉMARD
Par Édouard JEANSON
Par Alban FÉRAUD
Par Alexis CAURETTE
Par François ESNOL-FEUGEAS
Par Jean-Luc GIBERNON (91)
Par Vincent BOUATOU
Par Nicolas BOUVATTIER

Con­fi­ance numérique, cyber­sécu­rité, iden­tité numérique, IA de con­fi­ance, sou­veraineté tech­nologique et économique… L’ensemble de ces sujets mobilisent l’Alliance pour la Con­fi­ance Numérique. Dans le cadre de ces entre­tiens, les mem­bres de cette organ­i­sa­tion pro­fes­sion­nelle nous livrent leur vision sur ces enjeux struc­turants pour la fil­ière numérique française et européenne. 

L’ACN : la voix de la filière de la confiance numérique française

Jean-Pierre Qué­mard, prési­dent d’honneur, et Édouard Jean­son, VP, nous présen­tent l’ACN, ses mis­sions et ses prin­ci­pales contributions.

Quelles sont les missions de l’ACN ?

Créée en 2011, l’Alliance pour la Con­fi­ance Numérique est l’organisation pro­fes­sion­nelle qui aujourd’hui réu­nit les entre­pris­es du secteur de la con­fi­ance numérique : la cyber­sécu­rité, l’identité numérique, et l’intelligence arti­fi­cielle de con­fi­ance. Aujourd’hui, le monde de l’industrie de con­fi­ance regroupe 2 100 entre­pris­es qui réalisent un chiffre d’affaires de 13,4 mil­liards d’euros. C’est un marché en forte crois­sance : plus de 8 % par an en moyenne. Aujourd’hui, l’ACN rassem­ble 90 entre­pris­es, dont les lead­ers du secteur, mais aus­si 85 % de start-ups, TPE PME et ETI. 

Quelles sont vos missions et votre vocation ?

Nous défendons les intérêts de la fil­ière en étant force de propo­si­tion auprès des pou­voirs publics (gou­verne­ment, ANSSI, DGE, Par­lement) aux niveaux français et européen afin notam­ment de les alert­er sur des sujets qui néces­si­tent une réflex­ion, mais aus­si pour pro­pos­er des évo­lu­tions sur de grands enjeux ou prob­lé­ma­tiques. Il y a quelques années, notre feuille de route ACN avait large­ment inspiré le Plan 33. Au niveau européen, nous avons poussé une posi­tion sur le Euro­pean Cyber­se­cu­ri­ty Act ain­si que sur le pro­jet européen d’identité numérique. En par­al­lèle, nous con­tribuons au débat pub­lic en appor­tant des éclairages sur nos sujets stratégiques. 

Quelles sont vos principales publications ? 

Nous ali­men­tons notre com­mu­nauté de réflex­ions sur des sujets tech­niques, sur l’état de l’art… L’idée est aus­si d’être vis­i­ble et de faire con­naître l’expertise française sur ces thé­ma­tiques à une échelle inter­na­tionale. Nos travaux sont, par ailleurs, en accès libre. Chaque année, nous pub­lions l’Observatoire ACN de la con­fi­ance numérique que nous dif­fu­sons à l’occasion du Paris Cyber Week. C’est un doc­u­ment struc­turant, car il per­met de dif­fuser des don­nées économiques fiables et suiv­ies sur notre fil­ière, qui n’existent pas dans les sta­tis­tiques officielles. 

À cela s’ajoutent des pris­es de posi­tions sur dif­férents textes et règle­men­ta­tions. Ces doc­u­ments détail­lent tous les aspects de ces textes, nos posi­tions, les grands enjeux, les points d’attention ou bien encore les mesures tech­niques que nous souhaitons voir mis­es à l’œuvre.

Nous pro­posons aus­si des doc­u­ments et des guides sur des sujets ciblés. Par exem­ple, pen­dant la pandémie, nous avons pub­lié un doc­u­ment trans­verse sur la prob­lé­ma­tique de la sécuri­sa­tion du télé­tra­vail. Nous avons souhaité apporter un éclairage sur ce sujet qui a con­cerné toutes les entre­pris­es et qui a éten­du la sur­face des cyber­at­taques, car tout le monde n’était pas for­cé­ment pré­paré pour ce bas­cule­ment inopiné et bru­tal. Nous avons notam­ment mis l’accent sur les out­ils per­me­t­tant de sécuris­er le télé­tra­vail et d’apporter de la con­fi­ance numérique. Nous édi­tons aus­si des doc­u­ments ancrés dans l’actualité poli­tique. Nous avons ain­si pub­lié un doc­u­ment de propo­si­tions pour la prési­dence française de l’Union européenne qui recense les dif­férents textes relat­ifs à la con­fi­ance numérique, l’autonomie stratégique et la sou­veraineté numérique européenne avec un focus sur nos posi­tions et l’avis de notre fil­ière, qui souligne la néces­sité d’accélérer vers un marché numérique de con­fi­ance et qui met en avant les moyens et leviers lég­is­lat­ifs qui peu­vent être action­nés sous la prési­dence française de l’Union européenne pour y par­venir plus rapidement.

L’identité numérique : enjeux et perspectives 

Alban Féraud, VP ACN, répond à nos ques­tions sur l’identité numérique qui est un pili­er du développe­ment du numérique de con­fi­ance. Il revient notam­ment sur la mon­tée en puis­sance du sujet et les enjeux qu’elle soulève.

Pourquoi entend-on de plus en plus parler de l’identité numérique ?

L’identité numérique est une brique essen­tielle à la sou­veraineté numérique et tech­nologique. Elle est, en effet, une con­di­tion néces­saire à un con­trôle sou­verain du monde numérique au niveau des États, mais aus­si des util­isa­teurs qui ont besoin de pou­voir con­trôler leurs don­nées, leurs actions et pro­téger leur iden­tité con­tre des fraudes. Plus récem­ment, la crise de la Covid avec le télé­tra­vail et l’accélération de la dématéri­al­i­sa­tion a ren­for­cé ce besoin de pou­voir s’identifier à dis­tance en toute confiance. 

En France, l’État a beau­coup avancé sur ce sujet avec la mise en place d’un titre régalien doté d’une puce : la carte d’identité numérique. Chaque citoyen voit ain­si son iden­tité légale se pro­longer dans le monde numérique de manière dématéri­al­isée. En Europe, de nom­breuses ini­tia­tives ont aus­si été pris­es en ce sens. Le règle­ment eIDAS a mis en place un pre­mier cadre de recon­nais­sance et d’interopérabilité pour les iden­tités numériques en Europe. En juin dernier, le texte a été mis en révi­sion avec des ambi­tions très élevées. Il intro­duit notam­ment le con­cept assez nova­teur de porte­feuille d’identités numériques. La Com­mis­sion européenne souhaite ain­si don­ner un cadre et une déf­i­ni­tion légale à des élé­ments rel­e­vant des domaines tech­niques et tech­nologiques. L’idée est d’ailleurs de généralis­er le déploiement de ces porte­feuilles dans tous les États mem­bres : il est donc essen­tiel de s’assurer qu’ils répon­dent à un haut niveau d’exigence en ter­mes de sécu­rité. Un autre sujet qu’on peut citer est celui de la véri­fi­ca­tion d’identité à dis­tance. Pour le régu­la­teur, il s’agit de pos­er les exi­gences tech­niques adéquates pour garan­tir le bon niveau de sécu­rité pour la véri­fi­ca­tion d’identité à distance. 

Enfin, je dirai qu’il faut aus­si démys­ti­fi­er le recours à la bio­métrie faciale qui est une tech­nolo­gie qui per­met de véri­fi­er la con­cor­dance entre un vis­age et une per­son­ne. Les craintes rel­a­tives à une util­i­sa­tion abu­sive de cette tech­nolo­gie dans notre pays n’ont pas lieu d’être.

L’identité numérique est un enjeu majeur de la transition numérique et un axe stratégique en termes de cybersécurité. Pourquoi ?

La rela­tion avec la cyber­sécu­rité est duale. L’identité numérique est un moyen au ser­vice de la cyber­sécu­rité. On ne peut pas garan­tir la sécu­rité dans le monde numérique si on n’est pas en capac­ité de con­trôler l’identité des per­son­nes qui y accè­dent. Mais elle est aus­si un enjeu de cyber­sécu­rité. L’identité numérique et ses infra­struc­tures peu­vent être la cible de cyber­at­taques. Elles se doivent donc d’être résilientes face à la men­ace. C’est un enjeu de taille, car l’identité numérique de con­fi­ance est une con­di­tion sine qua non pour un monde numérique sécurisé fonc­tion­nel. Il est impératif de s’assurer que les sys­tèmes sont pro­tégés con­tre les cyber­at­taques et de garan­tir un haut niveau de con­fi­ance. La cer­ti­fi­ca­tion de sécu­rité de ces iden­tités numériques est, d’ailleurs, une posi­tion portée par l’ACN. Se pose égale­ment la ques­tion des sys­tèmes d’identité qui doivent être per­for­mants pour que l’identité numérique soit cor­recte­ment reliée aux iden­tités légales. Il faut garan­tir une con­ti­nu­ité du droit dans le monde numérique pour que les per­son­nes qui agis­sent sous leur iden­tité numérique puis­sent être tracées et tenues respon­s­ables de leurs actes en cas de prob­lème. À cela s’ajoute la pro­tec­tion des don­nées pour éviter la con­sti­tu­tion de bases de don­nées qui pour­raient être exploitées de manière malveillante.

Quels sont les enjeux relatifs au développement de l’identité numérique ?

Le pre­mier point est celui de l’acceptation sociale. Il y a un tra­vail de péd­a­gogie et de sen­si­bil­i­sa­tion qui doit être mené pour expli­quer cette notion et faire com­pren­dre que le sujet ne pose pas de risques et qu’il est sous con­trôle. Cela implique de dis­pos­er d’un cadre juridique clair et adap­té pour ras­sur­er les citoyens et garan­tir que des moyens sont déployés pour pro­téger leurs don­nées, garan­tir un con­trôle sur les utilisations…

Un sec­ond point tourne autour de la notion de sou­veraineté numérique. L’enjeu est d’avoir une iden­tité numérique de niveau de sécu­rité élevé, sou­veraine sous le con­trôle des États mem­bres. Il s’agit aus­si de garan­tir ce même cadre pour l’exploitation des don­nées rat­tachées à cette iden­tité. Si cette démarche per­met notam­ment d’éviter que les don­nées européennes soient util­isées à des fins malveil­lantes, c’est aus­si la garantie que les don­nées pro­fes­sion­nelles ne soient pas exploitées par des indus­triels étrangers et qu’elles ser­vent bien l’industrie et les entre­pris­es tech­nologiques européennes. Et dans ce con­texte d’accélération du développe­ment de l’IA, c’est un véri­ta­ble enjeu. L’identité numérique sou­veraine doit béné­fici­er aux entre­pris­es et start-up européennes dans le cadre d’un con­trôle démoc­ra­tique européen. 

Quelles pistes de réflexion pourriez-vous partager avec nos lecteurs dans ce cadre ?

L’ACN a pro­duit une posi­tion sur ce règle­ment eIDAS 2 qui va être fon­da­teur pour l’identité numérique en Europe. Nous salu­ons bien évidem­ment cette ini­tia­tive et l’ambition de déploy­er des porte­feuilles d’identité numérique util­is­ables partout en Europe. Pour autant, garan­tir un niveau de sécu­rité élevé de ces iden­tités est cru­cial. En par­al­lèle, pour que ce texte aboutisse, il est impor­tant d’associer l’industrie dans cette démarche pour dévelop­per des mod­èles d’affaires en con­for­mité avec le cadre juridique et légal.

La cybersécurité : un enjeu incontournable

Regards croisés de Édouard Jean­son VP, Alex­is Cau­rette et François Esnol-Feugeas, mem­bres du bureau ACN, sur la cybersécurité.

Depuis quelques années, la filière cybersécurité est de plus en plus dynamique. Qu’avez-vous pu observer au sein de l’ACN ?

La fil­ière cyber­sécu­rité con­naît une très forte dynamique économique et tech­nologique avec une crois­sance annuelle moyenne de 8,1% entre 2015 à 2020. Face à l’évolution de la men­ace, la fil­ière doit s’inscrire dans une démarche con­tin­ue d’innovation et d’adaptation. Cette cyber­me­n­ace est notam­ment liée à des enjeux géopoli­tiques. On assiste à un ciblage fréquent des opéra­teurs d’importance vitale et de ser­vices essen­tiels. Des pays comme la Chine, la Russie et les États-Unis sont assez explicites sur le développe­ment de leur capac­ité cyberof­fen­sive. Depuis peu, la France a égale­ment ren­du publique sa doc­trine dans ce domaine. À cela s’ajoutent des enjeux mafieux avec des cyber­at­taquants qui se pro­fes­sion­nalisent et se struc­turent. Il y a en effet aujourd’hui, une véri­ta­ble infra­struc­ture mafieuse avec des acteurs qui sont spé­cial­isés dans la mise à dis­po­si­tion d’outils d’attaque comme les mal­wares et les ran­somwares ; la col­lecte et la vente d’information ; l’intrusion ini­tiale dans les sys­tèmes… En réponse, l’offre tech­nologique se sophis­tique notam­ment avec le recours à l’IA (solu­tions EDR, XDR…) et per­met un meilleur équipement des entre­pris­es les plus vul­nérables ou qui ne se sont pas encore dotées des bons out­ils. Per­son­ne n’est à l’abri. Les cibles sont de plus en plus divers­es : étab­lisse­ments de san­té, col­lec­tiv­ités ter­ri­to­ri­ales, four­nisseurs de ser­vices numériques, grandes entre­pris­es… Entre 2019 et 2020, l’ANSSI a recen­sé une aug­men­ta­tion de plus de 255 % de sig­nale­ments d’attaque. Toutes les entre­pris­es ne com­mu­niquent pas for­cé­ment quand elles sont vic­times d’une cyber-attaque. On estime que 71 % des attaques ran­somware réussies ne sont pas ren­dues publiques, ni par les entre­pris­es ni par les tiers. 

Justement, quel est le niveau de maturité des entreprises ? Quels sont les freins qui persistent ? 

Il est très hétérogène. Par­mi les acteurs très matures, on retrou­ve toutes les entre­pris­es qui opèrent dans des secteurs cri­tiques ou régulés : la défense, la banque… Les PME et les ETI ont un niveau de matu­rité beau­coup plus faible. Cela s’explique par une moin­dre com­préhen­sion des enjeux et une réelle dif­fi­culté à exprimer leurs besoins. Elles savent qu’elles sont exposées au risque cyber, mais le perçoivent comme un coût et un prob­lème sup­plé­men­taire à gér­er. Elles sont aus­si face à une offre de solu­tions divers­es et com­plex­es. En effet, il faut une exper­tise avérée pour orchestr­er l’ensemble des ser­vices et solu­tions qu’il faut déploy­er pour sécuris­er un envi­ron­nement. Dans ce cadre, la fil­ière s’emploie à amen­er une réponse cohérente et com­préhen­si­ble adap­tée aux PME et ETI. À cela s’ajoute la néces­sité de men­er un tra­vail de fond pour met­tre à leur dis­po­si­tion des solu­tions unifiées, interopérables et faciles à utilis­er et à déploy­er pour cou­vrir leur besoin dans son ensemble.

Et quels sont les enjeux pour les acteurs de la filière ? 

Nous avons en France et en Europe une très forte capac­ité d’innovation en matière de cyber­sécu­rité. Nos experts sont recher­chés dans le monde entier et notre exper­tise est recon­nue mon­di­ale­ment. Pour­tant, nous avons du mal à accom­pa­g­n­er le développe­ment de nos entre­pris­es, à les aider à grandir pour en faire des licornes et à les garder dans notre giron. Le finance­ment de la fil­ière cyber­sécu­rité est ain­si un véri­ta­ble prob­lème de fond. S’il y a de belles lev­ées de fonds, le scal­ing-up n’est pas encore au niveau atten­du et les moyens déployés en ce sens restent rel­a­tive­ment faibles. Se pose égale­ment la ques­tion de la sou­veraineté des solu­tions, des tech­nolo­gies ain­si que la sou­veraineté économique. En effet, pro­téger ses entre­pris­es et ses indus­tries est avant tout une ques­tion de souveraineté !

Au-delà des défis et enjeux techniques, il y a également un enjeu humain et de compétences. Qu’en est-il ? 

C’est un sujet qui nous tient par­ti­c­ulière­ment à cœur. Nous avons tra­vail­lé avec l’ANSSI sur les pre­mières car­togra­phies des métiers de la cyber, mais aus­si sur le label de for­ma­tion Sec­NumE­du. Nous avons noué un parte­nar­i­at avec l’École 2600 de cyber­sécu­rité qui s’adresse à des per­son­nes qui ont déjà une pre­mière expéri­ence pro­fes­sion­nelle et qui souhait­ent se recon­ver­tir dans ce domaine. Nous avons par­ticipé au lance­ment des bach­e­lors de l’EPITA, de l’ESIEA… Nous encour­a­geons la fémin­i­sa­tion de ce domaine en col­lab­o­rant avec des asso­ci­a­tions comme Women4Cyber qui font décou­vrir ces métiers aux lycéennes et col­légi­en­nes. Nous sommes mobil­isés sur le sujet de la for­ma­tion pour le CSF (comité stratégique de fil­ière) indus­tries de sécu­rité. En tant que mem­bre fon­da­teur du Cam­pus Cyber, nous con­tribuons au volet dédié à la for­ma­tion. Aujourd’hui, tous les acteurs sont con­scients qu’il y a urgence à for­mer, recon­ver­tir et faire mon­ter en com­pé­tences des hommes et des femmes pour faire face à ce risque cyber.

L’intelligence artificielle (IA) de confiance : le défi des prochaines années

Jean-Luc Giber­non, Vin­cent Boua­tou et Nico­las Bou­vat­ti­er revi­en­nent sur le sujet de l’IA de con­fi­ance et son impor­tance pour le développe­ment de la con­fi­ance numérique.

Nous entendons de plus en plus parler d’IA de confiance. De quoi s’agit-il ?

L’IA est un ensem­ble de tech­nolo­gies qui vise à simuler des proces­sus de l’intelligence humaine par des machines et des sys­tèmes infor­ma­tiques. La notion de con­fi­ance dans l’IA est liée à la grande com­plex­ité de ce domaine et la néces­sité de s’assurer de sa fia­bil­ité. À par­tir de là, le sujet de la con­fi­ance dans l’IA pose qua­tre enjeux : l’explicabilité, la préven­tion des biais, la résis­tance aux agres­sions et l’éthique dans le numérique. Au-delà comme pour toute tech­nologique cri­tique se pose aus­si la ques­tion de la sou­veraineté puisque son développe­ment néces­site des investisse­ments mas­sifs. Nous sommes, en effet, face à une course à l’IA entre les États-Unis et Chine, alors que l’Europe doit pou­voir se posi­tion­ner comme un four­nisseur de tech­nolo­gies et une puis­sance autonome. 

En matière de cybersécurité, quelles sont les perspectives qu’elle offre ? 

L’IA peut apporter beau­coup à la cyber­sécu­rité. Le prin­ci­pal apport est celui de la détec­tion des attaques. Elle a la capac­ité d’adresser des choses plus fine­ment et à détecter un com­porte­ment anor­mal que l’œil humain ne pour­rait pas ou dif­fi­cile­ment iden­ti­fi­er. L’idée n’est pas que l’IA rem­place l’humain, mais apporte plutôt un sou­tien aux opéra­teurs en charge de ce volet. La prochaine étape serait, dans cette con­ti­nu­ité, de cap­i­talis­er sur l’IA non seule­ment pour détecter les attaques, mais égale­ment com­pren­dre ce que font les cyber­at­taquants, décor­ti­quer les attaques afin de les caté­goris­er et réa­gir automa­tique­ment en fonc­tion de l’attaque.

Quelles sont également les problématiques qu’elle soulève ? 

Elles dépassent large­ment le cadre de la cyber­sécu­rité. Il y a d’abord la capac­ité à met­tre à dis­po­si­tion des capac­ités de cal­cul très impor­tantes pour l’apprentissage et des don­nées pour le développe­ment des algo­rithmes d’IA. Au-delà, la présence de biais dans des jeux d’apprentissage peut impacter la capac­ité du sys­tème à pren­dre des décisions. 

Les prin­ci­paux débats sur l’IA con­cer­nent aus­si l’éthique. C’est d’ailleurs un sujet qui mobilise le Par­lement européen. On com­mence à voir des pris­es de posi­tion de cer­tains États mem­bres visant à cadr­er le recours à l’IA. L’objectif est de réaf­firmer les valeurs fon­da­men­tales de l’Union européenne, de désign­er les pra­tiques inac­cept­a­bles telles que le social scor­ing ou la sur­veil­lance de masse, tout en veil­lant à bien dis­tinguer les autres usages de l’IA et les risques qui leur sont asso­ciés. Une réflex­ion de fond doit être menée pour ne pas entraver l’innovation et le développe­ment des acteurs européens dans ce domaine et afin de per­me­t­tre à l’Europe de dis­pos­er de cet out­il tech­nologique indis­pens­able à la maîtrise de notre avenir numérique.

Comment abordez-vous ce sujet au sein de l’ACN ?

Dans ce cadre, le rôle d’une organ­i­sa­tion comme l’ACN est d’éclairer le débat pour impos­er la notion de con­fi­ance, aider à définir les critères qui la car­ac­térisent et à dis­tinguer les dif­férents usages de l’IA. Il s’agit aus­si d’attirer l’attention des lég­is­la­teurs, des pou­voirs publics et autres décideurs sur des mesures trop larges qui pour­raient entraver l’innovation, dimin­uer la com­péti­tiv­ité de l’Europe et, in fine, s’avérer con­tre-pro­duc­tives au regard de l’objectif de pro­tec­tion de nos valeurs fonda­men­tales.

Poster un commentaire