Le général Marc Watin-Augouard est le créateur du forum FIC sur la cybersécurité qui se tient à Lille les 20 et 21 Janvier. Il insiste sur la nécessité de la solidarité entre les différents acteurs afin de réussir la cybersécurité. Quant à un Patriot Act à la française, il propose que le législateur s’assure d’abord que l’on dispose des moyens d’appliquer les textes actuels dont l’arsenal est suffisant.
Question : les récents événements tragiques en France avec les assassinats de Charlie Hebdo et de l’épicerie cacher vont-ils impacter le sens du forum FIC cette année ?
Général Watin-Augouard : depuis la création du forum, nous avons toujours consacré une partie des débats au cyber-terrorisme qui peut toucher les états et les entreprises. Cette année, les politiques qui interviennent [NDLR : le ministre de l’intérieur, le ministre de la défense et la secrétaire d’état au numérique] insisteront probablement sur ces sujets là. On parlera ainsi de propagande et de sites Web effacés par exemple.
Question : devant la gravité des faits, certains parlent de mettre en place un Patriot Act à la française, qu’en pensez-vous ?
Général Watin-Augouard : il ne faut pas tomber dans l’excès. Les Américains sont allés un peu loin après le 11 septembre 2001. On voit toutes les conséquences négatives que le Patriot Act a entraîné pour les Etats Unis.
Mais comme il n’y a pas de liberté sans sécurité, il faut trouver des mesures consensuelles et qu’elles ne créent pas plus de problèmes qu’elles n’en résolvent.
Question : faudrait-il des textes supplémentaires ?
Général Watin-Augouard : L’arsenal législatif en France est important avec la loi Godfrain de 1998, la loi de programmation militaire du 18 décembre 2013, et les textes du 13 novembre 2014. On n’est pas dans une situation d’insuffisance de ce point de vue. En revanche, il faut mettre en œuvre ce qui a été voté, et donc disposer des moyens pour le faire. Inutile de publier des textes de loi qui n’apporteraient pas grand-chose. Le législateur doit vérifier que ce qui a déjà été voté bénéficie des moyens pour être mis en œuvre. Le tout en sachant que le Conseil constitutionnel est très vigilant sur la proportionnalité, entre les moyens et les causes. En résumé, appliquons la loi telle qu’elle existe, nous avons un arsenal très riche.
Question : quels sont les axes forts du FIC cette année ?
Général Watin-Augouard : nous mettons l’accent sur la transformation numérique. On constate la multiplication du nombre de machines connectées. Ce n’est pas une révolution, c’est une métamorphose. Et nous regardons toutes les incidences que cela a sur la société. Comment doit-on agir dans l’industriel, dans les relations sociales, les entreprises, la gouvernance, l’éducation, etc.
L’esprit du FIC, c’est le décloisonnement. Le public parle au privé, les petites entreprises parlent aux grandes, les Français parlent aux étrangers. On ne pourra pas réussir la cybersécurité sans le partage d’informations, la confiance et la solidarité des acteurs. Il faut une solidarité digitale et une solidarité des territoires.
Question : quels sont les secteurs pour lesquels la sécurité est la plus critique ?
Général Watin-Augouard : il s’agit des opérateurs d’importance vitale. C’est au cœur de la loi de programmation militaire de 2013. Cela concerne l’industrie, les transports, l’énergie, la santé. Ce sont les piliers de la société. Ils font l’objet de toute l’attention afin que l’on ne porte pas atteinte à la continuité de l’état.
Question : quelles sont les protections prévues ?
Général Watin-Augouard : il y aura une intervention plus directive de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’information). Les décrets d’application sont attendus pour mars prochain. Les entreprises, les opérateurs d’importance vitale, seront soumises à des audits de l’ANSSI et elles devront corriger les anomalies ou les failles détectées.
Question : quel est le principal risque pour une entreprise ?
Général Watin-Augouard : c’est l’attaque sur les données. Les données sont vitales pour les entreprises. Regardez les exemples de Target aux Etats Unis, ou de Sony qui s’est fait dérober 11 To de production intellectuelle et les données personnelles de 47 000 personnes. On peut s’en remettre mais on en sort très affaibli. C’est un risque majeur.
Question : est-ce que la formation doit être revue ?
Général Watin-Augouard : il y a eu de gros progrès accomplis, avec des masters, des formations spécialisées, mais le rythme est insuffisant. Et il y a un risque d’évasion des compétences. Un responsable sécurité est mieux pays aux Etats Unis. Il faut valoriser ces compétences. Il faut également valoriser les carrières scientifiques car elles seront de plus en plus nécessaires dans la sécurité. Enfin, il faut intégrer également la cyber-sécurité dans toutes les formations en les adaptant au métier que l’on va exercer.
Par exemple, un médecin doit être formé sur la protection des données médicales, car l’hôpital va être de plus en plus connecté. Idem pour les administrateurs des collectivités territoriales. Dans les mairies, les conseils généraux, ils vont devoir gérer les données d’état civil par exemple. Au final, ce n’est pas une affaire de spécialistes, mais de société. Chacun doit intégrer la cybersécurité pour l’exercice de son activité.