Une vingtaine d’experts mondiaux de la cybersécurité m’ont fait l’honneur d’accepter d’être auditionnés au Sénat, le 3 juin dernier.
Cette rencontre d’exception a été possible grâce à Sébastien Garnault, fondateur de la Cyber Task Force et du Paris Cyber Summit, colloque auquel participaient tous ces experts à Paris.
Je remercie chaleureusement Philip Stupak, directeur adjoint au bureau du directeur national de la cybersécurité à la Maison Blanche, d’être revenu au sénat, un an après son audition pour la LPM et André Gattolin, ancien sénateur et co-président, comme moi, de la branche française de l’IPAC, l’Alliance interparlementaire sur la Chine, pour avoir brillamment co-animé les débats.
Cette audition grand format avait pour thème : « Menaces du groupe chinois APT : focus sur APT 31 et Storm 0558 ».
En effet, trois mois plus tôt, le ministère américain de la Justice avait dévoilé un acte d’accusation contre 7 ressortissants chinois appartenant au groupe de hackers APT31 qui dépend directement du ministère chinois de la Sécurité d’État. 116 parlementaires, issus de 15 pays, dont 7 Français, ont reçu en janvier 2021 des courriels de la part du groupe APT31 qui contenaient des images piégées (pixel attack), afin de collecter leurs informations. Les parlementaires ciblés, dont je fais partie avec André Gattolin, sont tous membres de l’IPAC.
Nous partageons une même volonté de s’opposer aux cyber-attaques lancées depuis Pékin, Moscou ou bien Téhéran, parce que nous défendons une vision commune de la démocratie et des droits de l’Homme.
Aussi, les responsables de l’administration américaine, canadienne et des plus grandes entreprises américaines ou européennes présentes ont partagé leurs propositions pour élever notre niveau de résilience face aux attaques.
Cyber-solidarité entre états
Il est ressorti des diverses prises de parole que, face à l’ampleur grandissante des cyber-menaces, aucun état, pas même les Etats-Unis, n’avait la « taille critique » pour se protéger seul.
Tous les avis ont convergé pour prôner une cyber-solidarité entre les états démocratiques. Je partage naturellement cette vision nouvelle et pertinente pour contrer la Chine qui agit sur nos réseaux et prépare visiblement une guerre sur la toile.
La cyber-solidarité est une relation de confiance à construire entre les démocraties. Le temps presse cependant et il faut trouver des voies de partage sans tarder. En pareil cas, il est toujours judicieux de s’inspirer de l’existant. Ainsi, un intervenant a fait mention du secteur nucléaire parce que ses acteurs ont pris l’habitude de partager leurs nouvelles expertises, comme leurs points de vulnérabilité.
Partenariat public-privé
Une autre réponse a été développée lors de cette rencontre au Sénat, comme une extension logique au principe de cyber-solidarité entre les états : approfondir la collaboration public-privé. Puisqu’on parle de « taille critique » des états pour défendre leur souveraineté, force est de constater qu’une entreprise des GAFAM est plus numériquement plus « puissante » qu’un état comme la Russie.
Justement, l’agression de la Russie contre l’Ukraine a opéré comme un déclencheur pour de nombreux pays et entreprises les conduisant à hausser leur niveau de protection.
Trois jours avant l’invasion russe, les députés ukrainiens avaient voté une loi pour autoriser la localisation des données nationales hors de leur pays, afin de garantir la continuité du fonctionnement de leur administration.
Du reste, Amazon Web Services, va proposer un « European safety cloud » aux entreprises, comme aux administrations, pour faire valoir une vision de la souveraineté numérique qui n’est pas fondée sur l’achat d’une solution nationale, mais sur celui d’un produit qui assure un maximum de sécurité (notamment via le cryptage qui rend les données inaccessibles même au prestataire), de contrôle de la part de l’utilisateur et de garantie juridique.
Dans ce domaine, nous avons récemment progressé au niveau européen avec le règlement européen sur les services numériques (DSA) qui a permis pour la première fois, de confier aux plateformes, en particulier celles des GAFAM, des responsabilités importantes dans la lutte contre la désinformation. Aussi, pour la première fois, des sanctions ont été prises à l’encontre des médias manipulés par le pouvoir russe à des fins de propagande, ce qui a conduit à l’interdiction de Russia Today.
La cyber-solidarité entre états, associée aux partenariats public-privé, doit fonctionner à large échelle dans une guerre d’ordre planétaire. « La désinformation est devenue une véritable arme de guerre », rappelait, quelques jours plus tôt, le ministre de l’Europe, Jean-Noël Barrot, devant une commission du Sénat.
Un point d’alerte soulevé est que chacun doit prendre conscience de son empreinte numérique car les proches des personnes ciblées par une sont également ciblées.
Il faut urgemment rassembler les pièces d’un puzzle géant et multiplier les relais de confiance. Face à l’évolution technologique ou la corruption des individus, rien ne sera jamais acquis, même avec la meilleure volonté du monde ou les meilleurs outils. Une nouvelle page de l’histoire de l’humanité s’est ouverte. On se préparait à la guerre des Etoiles, avec les attaques des services chinois, nous sommes confrontés à la guerre de la Toile.
PARTICIPANTS
Mr Barnaby Page, Vice President, IR & Cyber Risk at SentinelOne
Mr Brett DeWitt, Vice President, Global Cyber & Technology Policy at Mastercard
Ms Christine Bejerasco, CISO at WithSecure
Mr Dan Cimpean, Director of the National Directorate for Cyber Security – DNSC
Mr Daniel Le Coguic, President of the Alliance for Digital Trust
Mr Dara Murphy, Vice President of Rasmussen Global, Former Minister for Europe and Digital Affairs of Ireland
Mr David Lashway, Co-chair at Sidley Austin
Ms Eva Benn, Senior Security Program Manager (Offensive Security, AppSec) at Microsoft
Mr François Deruty, Chief Intelligence Officer at Sekoia
Mr Fred Géraud, Government Affairs & Public Policy at Google Cloud
Ms Heli Tiirmaa-Klaar, former Ambassador, Director of Digital Society Institute of ESMT, Chair of the Ukraine IT Coalition Steering Group
Mr Jonathan Luff, Chief of staff at Recorded Future
Ms Katherine Sutton, Chief Technology Advisor to the Commander and Director of Pentagon Operations at the U.S. Department of Defense
Mr Lionel Benatia, Director Government Affairs Senior at Microsoft France
Mr Marc Raimondi, Chief of Staff to the Executive Chairman at Silverado Policy Accelerator
Mr Max Peterson, Vice President, Sovereign Cloud at AWS
Mr Michael Lashlee, Chief Security Officer at Mastercard
Mr Nils Hansma, Principal Security Assurance Lead – France/Switzerland at AWS
Mr Olivier Esper, Government Affairs Manager at Google
Mr Phil Stupak, Assistant National Cyber Director, Office of the National Cyber Director, Executive Office of the President – The White House
Mr Philippe Luc, CEO of ANOZRWAY
Mr Sami Khoury, Head of the Canadian Centre for Cyber Security
Ms Sandra Joyce, Vice-President, Google Threat Intelligence at Google Cloud
Mr Sean Newell, Chief of the National Security Cyber Section at the U.S. Department of Justice
Mr Vincent Richir, Director of Public Policy for Western Europe at Mastercard
Ms Zoey Stambolliu, Director Global Cybersecurity & Technology Policy at Mastercard