Pour son édition 2024, le Forum InCyber met l’IA au cœur de ses réflexions ! Durant trois jours, les experts du secteur ont pu se questionner sur ces bouleversements et ainsi tenter de tirer parti de l’intelligence artificielle pour renforcer la cybersécurité collective. SMART TECH était présent sur place pour un grand débrief avec Guillaume Tissier, le directeur du salon, Karine Bannelier, la directrice du Grenoble Alpes Cybersecurity Institute et Tariq Krim, le fondateur de cybernetica.fr.
Category
🗞
NewsTranscription
00:00 Alors mes débatteurs aujourd'hui pour ce débrief spécial Forum Insiber, je vous les présente tout de suite.
00:09 Guillaume Tissier, bonjour. Merci de nous accueillir.
00:12 Accueillir doublement parce que vous êtes le directeur général de ce forum.
00:15 Qu'il se passe bien ? Très bien. Il y a un monde incroyable sur cette édition.
00:18 Il y a effectivement un peu plus de monde que l'année dernière.
00:21 Tariq Krim est également avec nous, fondateur de Cybernetica. Bonjour Tariq.
00:25 Bonjour Delphine. Merci d'être régulièrement dans Smartech.
00:28 Et puis Karine Bannelier, très heureuse de vous recevoir Karine.
00:32 Vous êtes directrice du Grenoble Alpes Cybersecurity Institute, CyberAlpes pour faire court.
00:38 Bienvenue à vous. Vous allez nous parler en l'occurrence de cette question cruciale,
00:42 la coopération internationale dans le domaine de la cybersécurité.
00:45 Mais avant, je voulais qu'on revienne sur ces grands sujets qui font la cybersécurité
00:50 avec une année un peu particulière, électorale, les Jeux Olympiques qu'on attend sur Paris pour cet été.
00:56 Ça fait quand même beaucoup de défis à relever en matière de cybersécurité.
00:59 Je me demandais si ce n'était pas aussi une grosse pression pour l'écosystème.
01:03 Effectivement, à la fois le contexte géopolitique et les JO vont nous mettre à l'épreuve.
01:09 Clairement, on s'est préparés, mais ce qu'on peut dire, c'est qu'on a une concentration de facteurs de risque
01:16 liés à l'intensité en matière de communication, évidemment, sur cet événement,
01:20 liés à la multiplicité des systèmes et la diversité des technologies, à la multiplicité des acteurs concernés aussi.
01:25 Alors, comme je le disais, on s'est préparés, c'est à dire que ça fait quand même déjà plusieurs années que certains travaillent.
01:32 On a fait beaucoup d'analyse de risque en amont. Tout un dispositif a été mis en place avec des acteurs privés.
01:39 Des scénarios de risque ont été préparés. À quoi est ce qu'on sait? À quoi on doit s'attendre?
01:46 Alors, on s'est préparé par rapport à des scénarios. Maintenant, c'est souvent évidemment une combinaison de ces scénarios qui arrivent.
01:53 On s'est préparé à de l'activisme. C'est évident. On a eu des démonstrations d'ailleurs ces derniers jours avec des actions sans doute en déni de service.
02:02 On s'est préparé aussi à des actions plus graves qui peuvent être des actions de même de sabotage.
02:07 On a vu dans des JO précédents à Londres en 2012, par exemple, ce qui s'est pu se passer au deuxième jour, avec pendant 40 minutes,
02:15 une perturbation du système d'alimentation électrique. On a eu également de la cybercriminalité avec des sites de hamsonnage,
02:21 avec des ventes de faux jetons officiels, des choses comme ça. Donc, on a une large diversité de menaces qui appellent évidemment des actions de protection,
02:32 de prévention. Toute une gouvernance a été mise en place. Il y a un budget aussi sécurité. On en a parlé puisque le RSSI des JO était là ce matin.
02:43 Donc, il faut être vigilant. Alors, je pense que la peur n'est pas forcément bonne conseillère. Donc, il faut être vigilant. Je crois que c'est le terme.
02:50 Et puis, c'est un événement international. Donc, il n'y a pas uniquement la France qui va être mobilisée sur cette question.
02:56 Carine Badelier, ça pose des questions. Là aussi, c'est un peu un vrai ballon d'essai en matière de cybersécurité gérée au niveau international.
03:05 Oui, effectivement, on peut et on sait d'ailleurs qu'il y a une collaboration très forte actuellement entre les États pour la sécurisation des JO de Paris.
03:16 Donc, sans doute une collaboration entre les autorités de police et de justice. Aussi, une collaboration entre les services de renseignement de différents
03:24 états pour s'assurer que cet événement se passe en mieux. Alors, Marie-Laure Denis est venue ici sur ce forum. Une cyber, la présidente de la CNIL, nous dire qu'il fallait
03:35 enfin appeler la cybersécurité comme une grande cause nationale. Vous la rejoignez sur ce point, Tariq Krim ?
03:44 Je pense que tous les experts de la cybersécurité savent depuis très longtemps que c'est un des sujets dominants. Mais ce qui est nouveau, et je pense que l'année 2024
03:54 sera peut-être l'année où on sort d'une certaine ambiguïté, c'est-à-dire que finalement, on avait la cybercriminalité, on avait les questions d'État.
04:02 Et ce que l'on voit aujourd'hui, c'est qu'on est passé de la dualité où le mode opératoire militaire et le mode opératoire d'attaque civile étaient séparés
04:11 à une hybridité où désormais, finalement, les mêmes réseaux, que ce soit les réseaux sociaux, que ce soit les plateformes Internet, que ce soit les sites,
04:19 se retrouvent à la fois, comme tu l'expliquais, face à des activistes, face à des opérations de politique intérieure, face à des criminels, mais également face à des États.
04:31 Et donc, on se retrouve avec une menace qui est très diversifiée, mais avec des canaux qui sont les mêmes. La désinformation, avec l'utilisation des deepfakes
04:40 peut-être utilisée à des fins civiles ou militaires. Ce sont les mêmes qui les utilisent. Et donc, il y a effectivement une nouvelle complexité.
04:49 C'est vrai que les spécialistes du domaine doivent désormais identifier quel type de menace, quel type d'acteur.
04:55 Parce qu'évidemment, on ne réfléchit pas de la même manière avec des acteurs de type étatique et de simples cybercriminels à la recherche de profit.
05:04 On a aussi Vincent Strubelle de l'ANSI qui nous dit que c'est un test inédit. Ça pèse lourd, j'imagine, sur les épaules de l'écosystème qui est là,
05:14 rassemblée aujourd'hui au forum Insider. Clairement, l'écosystème est mobilisé. Donc ça, c'est le côté positif. C'est-à-dire que je pense qu'avoir des moments
05:22 comme ça d'intensité, ça permet d'éprouver le dispositif. Il y a eu beaucoup d'entraînement en amont, ce qu'il faut dire.
05:30 Et je crois que l'entraînement est un sujet absolument essentiel quand on a une situation de crise à gérer. Évidemment, mieux vaut être préparé, mieux vaut avoir des procédures.
05:37 Et le point important, Vincent Strubelle le disait, c'est aussi la scalabilité du dispositif. C'est-à-dire que c'est toute la difficulté.
05:43 C'est de pouvoir monter le dispositif, escalader, comme on dit, de façon à pouvoir répondre finalement à un incident, à deux incidents.
05:51 Et puis peut-être on aura des pics avec beaucoup d'incidents. Et peut-être avec des fausses alertes. On a vu ce qui se passe, par exemple, dans les lycées,
05:57 avec quand même les espaces numériques de travail qui ont été piratés, des usurpations d'identité, des alertes, des fausses alertes, des vraies alertes, on ne sait pas.
06:06 Mais tout le temps, tout ce temps finalement où l'on se mobilise sur ces attaques.
06:10 C'est là qu'elle est la difficulté. On ne mobilise pas peut-être là où il faudrait. Il peut y avoir de la diversion. Oui, c'est ça.
06:16 Et clairement, le sujet, c'est d'arriver à trier. Et ça, c'est le travail formidable qui est fait au quotidien par notamment tous les gens qui font de la supervision,
06:26 de sécurité qui consiste à aiguiller, à recueillir les incidents et ensuite à détecter parmi ces incidents.
06:34 Alors on est aidé heureusement par l'IA de plus en plus, mais tout ne se fait pas automatiquement.
06:39 Et là, le sujet, ce sera effectivement de s'assurer qu'il n'y a pas dans tous ces incidents, l'incident qui aura les conséquences les plus importantes,
06:47 qui sera peut-être caché parmi d'autres volontairement d'ailleurs.
06:50 Alors on va parler justement de cybersécurité et d'intelligence artificielle. Pourquoi on parle d'IA ici? Parce que c'est le mot à la mode en ce moment
06:56 ou vraiment, c'est un nouveau défi qui s'impose parce que l'IA dans la cybersécurité, ça fait quand même plusieurs années qu'on en parle,
07:03 mais il s'est passé des choses quand même nouvelles, mais il y a générative, une grosse accélération dans les usages.
07:09 Qu'est ce que ça pose comme nouvelle question en matière de cybersécurité?
07:16 En matière de cybersécurité et en matière généralement de plus général, ce qui est intéressant avec l'IA générative, c'est qu'on amplifie le travail des développeurs.
07:25 Désormais, on peut écrire du code aidé par une IA. On peut trouver des vulnérabilités aidées par une IA.
07:31 Donc il y a cette amplification du savoir. Il y a les deepfakes, il y a un ensemble de choses qui font que finalement, l'état de la menace est beaucoup plus important
07:41 puisque désormais, un petit groupe de gens aider des bonnes technologies peut avoir autant d'effets que des gens mieux financés, plus nombreux il y a quelques années.
07:51 Donc il y a un vrai sujet. Ce qui est vrai dans la productivité en général est aussi vrai dans la productivité en termes de cybercriminalité.
07:59 Donc, effectivement, c'est un risque. Ça veut dire aussi. C'est l'espoir que de l'autre côté, on aura du côté des gens qui défendent ces plateformes.
08:08 L'idée, c'est que cette technologie puisse les aider, évidemment, à naviguer à travers un nombre de plus en plus important d'attaques avec le risque qui était soulevé.
08:18 Guillaume, qui est les trous dans la raquette qui peuvent être effectivement très dommageables.
08:22 Est-ce que ça veut dire qu'il faut réinventer des choses en matière de cyber?
08:26 L'arrivée de cette utilisation, finalement, massive de l'IA est très simple entre les mains de tout le monde.
08:32 Il faut que les experts de chaque côté fassent un pas l'un vers l'autre. On a peut-être des communautés qui sont encore un peu.
08:37 On se parle pas beaucoup entre cyber et la cyber et expert d'intelligence artificielle.
08:42 Il y a déjà de l'IA, comme on le disait, dans la cyber sécurité depuis assez longtemps. C'est clair que l'IA générative, c'est encore une vague supplémentaire.
08:50 Aujourd'hui, on observe effectivement un début de prise de conscience, je pense, sur le fait que ces usages de l'IA générative, si on n'a pas et si on n'intègre pas de la sécurité,
09:01 à un moment ou à un autre, il y aura un problème de confiance. On a vu ce matin, par exemple, le témoignage de Metril Security,
09:07 qui est justement est là pour fournir des IA sécurisés, garantissant notamment la sécurité des données qui sont injectées dans les IA.
09:17 Et donc, ce mariage, je pense, est assez indispensable.
09:20 Quand on est dans une course à l'innovation, on n'a pas forcément envie tout de suite de se freiner avec les nouvelles contraintes, notamment cyber.
09:28 C'est certes, mais en même temps, ce n'est pas une option, je pense, parce que la confiance sera à ce prix là et on a besoin de confiance.
09:35 Donc ensuite, c'est la technologie toujours de façon alliée et ennemie alliée parce que l'IA permet d'automatiser, d'améliorer la détection, de faire plein de choses.
09:44 Et puis, s'il y a potentiellement ennemie au sens où d'une part, il y a le shadow qui s'installe petit à petit dans les entreprises,
09:51 ce qui peut, s'il n'est pas maîtrisé, faire porter des vrais risques.
09:56 On a des exemples de fuite de données générées par des déploiements d'IA individuels, quelque part mal maîtrisés.
10:03 Tout un chacun qui utilise le chat GPT dans son contexte professionnel peut faire porter des risques, notamment s'il exporte des données à l'extérieur.
10:10 Et puis après, c'est effectivement l'IA utilisée par les attaquants.
10:13 C'est les attaquants visant spécifiquement les IA.
10:16 Donc, c'est effectivement très ambivalent.
10:19 Tariq, vous voulez y réagir ?
10:21 Plus généralement, on a beaucoup parlé de souveraineté numérique.
10:25 Et aujourd'hui, un des nouveaux sujets qui va émerger, c'est la question de l'autonomie cognitive.
10:29 C'est à dire que finalement, si on déporte une partie de notre capacité à réfléchir sur les machines, qui les produit ?
10:35 C'est toujours la même question.
10:36 Qui les produit ? Comment ? Est-ce qu'on n'est pas dans des enfermements cognitifs ?
10:40 Est-ce qu'on n'est pas dans la désinformation de masse ?
10:42 Et donc, énormément de sujets.
10:44 C'est vrai qu'on a cette période très bizarre, ambivalente où on est à la fois au cœur d'une nouvelle révolution,
10:50 comme l'a été le cloud, comme l'a été le Web.
10:53 Et en même temps, on est au cœur d'une crise géopolitique majeure.
10:56 Et on se pose à chaque fois la question.
10:59 Vous vous rappelez quand le Web a démarré, c'était que du positif.
11:03 Et aujourd'hui, l'IA n'a à peine commencé.
11:05 L'IA génératif, son début de chemin que pour l'instant, on ne parle d'extinction de l'humanité, de désinformation, de deepfake.
11:12 Donc, il y a un narratif.
11:14 Depuis le début de l'intelligence artificielle, presque, j'ai envie de dire, c'est peut-être du fait du nom qu'on lui a donné aussi à cette.
11:21 Il y a ça, mais il y a aussi un contexte, c'est-à-dire que technologique.
11:24 Des années après, on l'a dit, la moitié de la planète va voter.
11:28 Donc, des années après les élections américaines, le Brexit et l'utilisation de technologies,
11:33 finalement, beaucoup plus sommaire que celle dont on a à sa disposition.
11:38 Quand vous regardez Sora, les capacités de générer des vidéos deepfake en haute résolution, de la propagande haute fidélité en temps réel,
11:45 on se pose beaucoup de questions.
11:47 Je pense que les gens ont raison de se les poser.
11:49 Maintenant, il faut voir effectivement qu'elles seront les.
11:52 Il faut éduquer les gens et je crois qu'on le disait tout à l'heure.
11:54 Ce qui est critique, c'est que des acteurs qui, jusqu'à maintenant, ne se parlaient pas,
11:58 que ce soit le monde militaire, le monde de l'entreprise, le monde de la cyber, le monde de l'IA, doivent évidemment collaborer.
12:05 Et le monde politique aussi. Thierry Breton a ouvert ce forum et il nous dit que finalement,
12:11 aujourd'hui, en Europe, on a des armes pour répondre à cette révolution qui est l'intelligence artificielle,
12:18 notamment les supercalculateurs et l'AIACT, le règlement européen, qui doit nous protéger.
12:26 Karine Vanhoenacker.
12:27 En effet, et l'Union européenne, finalement, les Européens sont finalement connus sur la scène internationale
12:32 pour leur capacité à encadrer, à réguler les nouvelles technologies.
12:36 C'est ce que nous avons fait déjà sur la protection des données personnelles,
12:39 ce qui était un levier extraordinaire sur la scène internationale pour la montée en puissance de l'Union européenne
12:45 comme un modèle dans ce domaine-là.
12:47 Nous l'avons fait ensuite à travers la protection des infrastructures critiques,
12:51 notamment dans le domaine de la cybersécurité avec NIS et puis NIS2,
12:56 la directive NIS2 qui va être implémentée en France au mois d'octobre 2024.
13:00 Et derrière, on a AIACT.
13:02 Donc, on a un cercle qui peut sembler vertueux en Europe de régulation,
13:06 d'encadrement de ces technologies, cybersécurité, données et intelligence artificielle.
13:12 Vous nous dites qui peut sembler.
13:13 Qui peut sembler, puisqu'on connaît aussi les détracteurs qui pensent peut-être que l'Europe régule trop,
13:21 qu'elle encadre trop et qu'il y a peut-être ici un frein à la compétitivité, à l'innovation.
13:26 Et donc, il y a un équilibre à trouver entre nécessité de régulation et puis compétition et innovation.
13:34 C'est peut-être pour ça que Thierry Breton a parlé aussi de la puissance de calcul,
13:38 pas seulement des règlements.
13:40 Oui, il a effectivement parlé de ce qui compose la puissance à l'ère de l'IA.
13:47 Et on sait que l'IA, il y a quand même des facteurs de concentration.
13:51 La disponibilité des GPU, 80% du marché pour NVIDIA, il faut le dire.
13:55 Il y a l'accès à tout cela.
13:58 Il y a évidemment aussi la partie infrastructure.
14:01 Il ne suffit pas d'avoir des très bons moteurs.
14:05 Il faut aussi pouvoir les héberger sur des infrastructures.
14:08 Et donc, on pense quand même pour rejoindre le sujet que Thierry abordait sur la souveraineté.
14:13 A l'ère de l'IA, clairement, on a des risques supplémentaires et une dépendance accrue de ce fait là.
14:23 Parik ?
14:25 Sur ces questions, il y a deux questions à se poser.
14:27 La première, c'est quels sont les business models sur lesquels on peut se positionner ?
14:31 Aujourd'hui, la question des puces, c'est un vrai sujet.
14:34 La fabrication, c'est le premier problème.
14:36 La deuxième, c'est l'accès à ces puces.
14:38 Les dernières puces de toute dernière génération qui ont été annoncées il y a quelques semaines
14:42 sont déjà chez Amazon, chez Google, chez les grands groupes.
14:45 On a deux acteurs, on a SAP, je crois, en Europe.
14:48 Mais ça va être très difficile de se procurer ces puces.
14:51 L'autre avantage aussi important, c'est que l'IA générative ne s'appuie pas sur des données,
14:56 mais sur de la culture, sur des éléments culturels.
14:58 L'Europe est un paradis culturel d'une certaine manière.
15:01 Il va falloir trouver une manière de transformer toute cette valeur économique et culturelle grâce à l'IA
15:10 et ne pas être simplement un fournisseur de matières premières à des plateformes
15:14 qui vont faire des profits ailleurs parce qu'elles auront finalement l'ensemble de la...
15:19 Qu'est-ce qu'on pourrait mettre en place ?
15:21 Il y a déjà des initiatives en Europe, notamment pour remplacer les droits d'auteur
15:26 avec des outils d'IA qui respectent le droit d'auteur, qui sont en train de être mis en place.
15:31 Il y a aussi l'accès à des puissances de calcul, parce que c'est vrai qu'une entreprise comme Microsoft
15:37 peut investir énormément d'argent pour avoir toutes les puces,
15:40 et nous, ça ne peut se faire qu'au niveau européen.
15:42 Mais attention, il faut faire attention aussi que cette puissance de calcul soit offerte aussi
15:46 à tous les innovateurs et qu'on ne se retrouve pas qu'avec toujours les mêmes qui ont accès à ces choses.
15:51 Ce qui est intéressant dans l'IA, c'est que dès qu'on a accès aux données, à la puissance de calcul,
15:56 on peut inventer des nouvelles choses.
15:58 Et là, c'est vrai que pour l'instant, en Europe, ce n'est pas tellement une question de compétence,
16:02 mais plutôt d'accès aux ressources qui nous bloquent.
16:05 Karine, vous vous intéressez à cette question de la coopération internationale,
16:10 mais qu'en est-il déjà de la coopération européenne entre les États membres ?
16:14 On pourrait dire quand même que la coopération européenne semble réussie,
16:18 puisque nous avons été capables en Europe d'adopter ces directives,
16:23 ce règlement sur la protection des données, ces directives NIS 1 et NIS 2, maintenant l'IACT.
16:30 Donc il y a une réelle coopération entre les États européens, avec sans doute, je pense, des leaders,
16:36 et notamment la France, qui est manifestement un leader en matière de cybersécurité et de régulation,
16:42 mais avec aussi cette capacité, parce que je pense que c'est ça la difficulté,
16:46 c'est qu'il y a quand même des niveaux de capacité entre les États européens qui sont quand même très différents.
16:52 Et donc, il faut arriver à entraîner ces pays sur le meilleur niveau de régulation.
16:58 Et ça, je pense que c'est quelque chose qui est extrêmement complexe,
17:01 mais que la France est arrivée, je trouve, à faire à travers notamment NIS 2.
17:05 Et alors, si on passe vraiment à l'échelle internationale, c'est l'autre sujet que je voulais qu'on aborde ensemble.
17:10 Comment ça s'organise aujourd'hui entre les services de police, les autorités judiciaires,
17:15 pour qu'on arrive à combattre le cybercrime à l'échelle à laquelle il est, en fait, à l'échelle mondiale ?
17:22 Là, ça devient extrêmement difficile et très politique.
17:27 Alors, on peut le faire dans un cadre régional, lorsque les États ont finalement des fondements communs.
17:33 Et c'est ce qu'on réussit très bien à faire dans le cadre de la Convention de Budapest,
17:37 de la Convention du Conseil de l'Europe, où tous les États européens sont partis à cette convention contre la cybercriminalité,
17:43 mais aussi d'autres États occidentaux, les États-Unis, le Japon, l'Australie, le Canada,
17:48 mais avec des bases communes. Et là, il y a une formidable coopération et aussi d'Europole.
17:54 Ensuite, si on veut monter sur le niveau universel, là, les choses deviennent extrêmement complexes,
17:58 puisque nous avons la Russie, nous avons la Chine,
18:01 qui veulent combattre le modèle de protection des droits de l'homme européen
18:06 et qui peuvent essayer d'utiliser cette lutte contre la criminalité internationale
18:12 pour essayer d'avancer d'autres modèles qui ne sont pas compatibles avec nos propres protections des droits de l'homme.
18:17 Guillaume Tissier ?
18:18 On peut citer un exemple de coopération réussie très récente.
18:21 C'est l'opération Kronos en février.
18:23 Europole, une dizaine de services de police et de gendarmerie à travers le monde.
18:27 Il y a eu deux arrestations, 34 serveurs saisis,
18:31 et des serveurs importants, notamment le mur où le groupe Lockbit publiait tous ces méfaits.
18:39 200 portefeuilles de crypto-monnaies saisies.
18:43 Donc ça, c'est une réussite vraiment très, très, comment dire, récente
18:50 et qui montre bien que la coopération, lorsqu'elle fonctionne,
18:54 permet de compenser quelque part la symétrie dont on parle toujours entre l'attaquant et le défenseur.
18:58 Le défenseur qui connaît des frontières, qui a des règles juridiques,
19:02 avec des cloisonnements évidemment entre les pays,
19:06 et un attaquant qui, lui, ne connaît pas les frontières, coopère facilement,
19:09 ne s'embarrasse d'aucune règle.
19:11 Et donc la seule solution pour finalement compenser cette asymétrie, c'est la coopération.
19:15 Alors effectivement, c'est Jean-Philippe Lecouvre qui est venu sur le forum
19:18 parler de cette opération réussie notamment.
19:21 Il y en a une autre, moi, que j'avais relevée,
19:23 c'est cette réussite aussi du côté plus anglo-saxon.
19:27 C'est les Etats-Unis, la Grande-Bretagne et la Nouvelle-Zélande
19:30 qui ont fait un front commun pour accuser la Chine,
19:33 et en l'occurrence les groupes APT31 et APT40,
19:37 sur la prolifération de cyberattaques visant à faire de l'espionnage,
19:44 de l'espionnage économique, géopolitique.
19:48 Pourquoi on retrouve ces trois Etats ensemble sur ce sujet ?
19:52 Pourquoi l'Europe n'y figure pas ?
19:55 Des réponses, Karine ?
19:57 Alors il y a déjà la problématique des "Five Eyes",
20:00 donc deux pays qui ont des services communs en termes de partage de renseignements.
20:07 Et donc attribuer des cyberattaques, même s'il s'agit d'espionnage,
20:12 il faut vraiment avoir une communauté et un désir commun à ce moment-là de faire l'attribution.
20:18 Donc il y a vraiment sur le plan politique, il faut être extrêmement bien aligné
20:22 et avoir une grande confiance sur les preuves qui ont pu être apportées.
20:27 Donc ça c'est un point, mais ceci étant dit, ça ne signifie pas que le reste des Etats européens
20:31 ne partagent pas ces attributions de façon informelle.
20:35 Et effectivement, nous avons ici un énorme enjeu avec la Chine et la question du cyberespionnage.
20:42 T'as un crime ?
20:43 Oui, comme je le disais l'année dernière ici dans ce forum,
20:46 l'Internet est en train de se fragmenter, avec d'un côté un espace de démocratie libérale,
20:54 avec les Etats-Unis qui chapotent tout cela,
20:58 et de l'autre côté un nouvel Internet des dictateurs avec la Russie, la Chine, la Corée du Nord, l'Iran,
21:04 et la liste va sûrement s'allonger.
21:07 Avec cette protection qui est faite, vous savez qu'aucune des grandes entreprises
21:14 américaines ou européennes n'a accès au marché chinois, alors que Tic-Tac, Tému,
21:19 qui est l'équivalent maintenant de Tic-Tac, mais avec en utilisant le e-commerce
21:22 plutôt que les vidéos, ont accès et donc travaillent cognitivement ces populations.
21:28 Et c'est également le cas sur les attaques cyber, l'espionnage.
21:32 C'est d'une certaine manière, on veut garder un Internet ouvert
21:35 puisque l'Internet a été créé pour ça.
21:37 Et on a des pays qui non seulement ont fermé leur Internet aux autres,
21:41 mais utilisent évidemment à mauvais escient cette ouverture.
21:45 Et donc, la vraie question qui se pose, c'est on le voit avec le débat aux Etats-Unis
21:49 sur la potentielle, pas faire mentir le Tic-Tac, mais en tout cas,
21:53 on parle d'être un rachat, un rachat.
21:55 Se pose vraiment la question ensuite de savoir quels sont les acteurs.
21:59 Il va falloir aussi sortir de la naïveté quand des acteurs sont présents.
22:04 Ils le sont pour du commerce, souvent pour l'espionnage et évidemment aussi
22:08 pour les opérations politiques.
22:11 Et donc, malheureusement, l'Internet tel qu'on l'a connu n'existe plus.
22:15 Et la question qu'on doit se poser, qui est la seule question qu'on doit se poser,
22:18 c'est comment protéger notre Internet ouvert public, notre démocratie libérale,
22:23 sans utiliser, sans devenir les gens que l'on critique,
22:27 qui ont tout fermé ou la liberté n'existe plus, les droits de l'homme, etc.
22:31 Donc, c'est un vrai sujet.
22:33 Et là, trouver les bonnes réponses, elles ne sont pas que réglementaires.
22:36 C'est vrai qu'on a ce tropisme en Europe.
22:38 Ça va être un enjeu important de la décennie qui vient.
22:41 Alors, on est sur le sujet de la maîtrise technologique,
22:46 de ce qu'on appelle la souveraineté numérique européenne en matière de cyber sécurité.
22:51 Elle existe un petit peu, cette souveraineté européenne.
22:55 On a quand même une filière, je pense, d'excellence.
23:00 Et le salon le montre bien. C'est un salon qui est ouvert.
23:03 Donc, il y a beaucoup d'entreprises aussi, évidemment, d'autres pays européens,
23:07 voire Europe. Mais on voit quand même la présence à travers, par exemple,
23:12 le groupement Exatrust et toutes les startups qui sont également là
23:16 dans le pavillon d'innovation. Un dynamisme important.
23:19 Et je pense que c'est essentiel.
23:21 C'est deux sujets différents, sécurité et souveraineté.
23:24 C'est à dire qu'il y a bien d'un côté à la fois l'urgence opérationnelle
23:26 liée à la sécurité et puis de l'autre, cette aspiration à une souveraineté,
23:32 mais qui, en revanche, est nécessairement partagée, je pense.
23:35 C'est à dire qu'on voit très bien qu'à un moment ou à un autre,
23:37 il y a des limites liées au marché. On en a parlé, mais le marché européen
23:40 reste un marché très fragmenté au plan économique.
23:43 Typiquement, un éditeur de cybersécurité française lorsqu'il va exporter en Allemagne
23:49 va devoir repasser des certifications. Ça, c'est une barrière.
23:53 On avait pourtant mis en place et l'Europe avait travaillé sur quelque chose,
23:57 mais qui, a priori, ne fonctionne pas. En tout cas, c'est le retour que nous avons.
24:00 Donc, il y a un vrai travail sur le marché déjà à structurer.
24:05 Et ensuite, je pense que cet écosystème est aussi limité par le fait
24:11 que dès qu'on parle de cloud computing, on a évidemment une domination très forte
24:16 de la part des hyperscalers. Or, aujourd'hui, la sécurité doit s'appliquer
24:21 et s'applique beaucoup sur le cloud, forcément. Et là, on est dépendant.
24:26 Je crois que le problème est toujours le même. On a beaucoup de petites startups.
24:31 On a aussi des acteurs de taille moyenne. Comment les faire passer à l'échelle?
24:34 C'est-à-dire comment faire pour qu'elles deviennent ces fameuses licornes?
24:38 En tout cas, ces grandes entreprises. Peut-être qu'on va voir un marché
24:42 davantage se consolider déjà. C'est possible. Mais une des choses
24:46 qui est importante, c'est qu'il y a plusieurs actions. La première, l'État doit participer,
24:51 donc investir la commande publique. Ensuite, il faut un système qui permette
24:56 à ces entreprises de passer à l'échelle au niveau européen. Et puis ensuite,
25:00 sur un sujet qui est quand même un sujet assez touchy, pouvoir travailler
25:03 avec les États-Unis où le marché est très gros, ou le reste du monde.
25:07 Évidemment, ça demande beaucoup d'habileté de la part des entrepreneurs.
25:11 Et c'est vrai que c'est un sujet qu'on va tester, puisqu'on a de nombreuses entreprises
25:14 qui sont à la limite de la taille et qui leur permettraient de dire
25:18 est-ce que je deviens un acteur global? Comment je deviens un acteur global
25:21 de la sécurité dans le monde de 2024? Parce que c'est vrai que maintenant,
25:26 on est dans un monde très fragmenté. On doit choisir son camp.
25:29 Et ça veut dire travailler avec un nombre d'acteurs plus petits,
25:34 plus éthiques probablement aussi. Et donc ce sont des questions qui se sont posées
25:38 pour le cloud, qui se sont posées pour la cyber et qui se posent aussi
25:42 aujourd'hui pour l'intelligence artificielle, avec tous les grands succès
25:45 qu'on connaît dans le domaine en France.
25:48 Je voulais qu'on termine, parce qu'on arrive déjà pratiquement à la fin de cette édition,
25:51 sur cette question des discussions à l'ONU sur la Convention sur la cybercriminalité.
25:56 Alors c'est un vaste sujet.
25:58 Elles avancent.
26:00 Alors elles avancent. Depuis 2019, il y a une volonté des Nations Unies
26:05 d'adopter une Convention contre la cybercriminalité.
26:08 Depuis lors, nous avons eu sept sessions de négociations,
26:11 des centaines d'heures de négociations.
26:13 Une convention devait être adoptée en février de cette année,
26:17 et là il y a eu un échec. Il y a eu une suspension des négociations.
26:20 Les États n'ont pas trouvé un consensus sur cette convention,
26:24 notamment parce qu'il y a la Chine et les États-Unis qui essaient d'inclure
26:28 dans cette convention un certain nombre de cybercrimes
26:32 qui viseraient fondamentalement à poursuivre leur opposition,
26:36 à limiter la liberté d'expression.
26:39 Donc là on se trouve aujourd'hui dans une situation qui est extrêmement délicate
26:42 pour les Européens parce que d'un côté il y a un besoin de la communauté internationale,
26:46 des États qui ne sont pas partis à la Convention de Budapest,
26:49 d'avoir un cadre de coopération internationale dans la lutte contre la cybercriminalité.
26:53 Et puis d'un autre côté, il ne faut pas amoindrir ou atténuer
26:59 nos protections en matière de droits de l'homme.
27:01 Et donc il faut rester très clair sur nos lignes rouges à cet égard.
27:05 Mais alors comme Tariq Reem disait, on voit un Internet qui se fracture,
27:09 on pourrait avoir une cybersécurité finalement fracturée en restant à cet état-là ?
27:14 C'est vraiment l'enjeu immense et c'était sans doute la volonté de la Russie,
27:18 c'est de fracturer la lutte contre la cybercriminalité en développant deux modèles,
27:22 en essayant fondamentalement de porter atteinte à la Convention de Budapest,
27:26 qui est portée par les États de l'Ouest, et de développer une contre-convention.
27:31 Et c'est là l'enjeu aujourd'hui des négociations.
27:34 Oui, Tariq Reem ?
27:35 Non, j'allais dire une sorte de sud global de la cybersécurité.
27:39 Mais le véritable enjeu est là, c'est qu'on a pensé que l'Internet
27:43 était une zone neutre, globale, très utopique, même si on nous l'a vendue comme cela.
27:51 Et aujourd'hui, on se rend compte qu'on est dans un monde fragmenté.
27:54 Et ce qu'on découvre, c'est que le droit se fragmente,
27:57 l'Internet se fragmente et évidemment la cybersécurité se fragmente.
28:00 Merci beaucoup Tariq Reem de Cybernetica.
28:02 Merci aussi Guillaume de nous avoir accueillis.
28:04 Je voulais vous donner le mot de la fin, mais on n'a plus le temps.
28:06 Non, c'était juste pour rebondir sur ce sujet, c'était le zéro trust.
28:09 C'est-à-dire, c'est en fait le constat que l'Internet n'est pas sûr.
28:12 Et du coup, c'est l'essor de toutes les technologies et l'identification.
28:16 Ce sera le sujet de l'année prochaine.
28:17 Très bien, rendez-vous est pris.
28:19 Merci Guillaume Tissier du Forum in Cyber et Karine Bannelier de CyberAlps.
28:22 Merci beaucoup.