Bénédicte PILLIET, directeur du CyberCercle, revient sur les Rencontres Parlementaires de la Cybersécurité (RPCyber) du 21 octobre dernier avec un entretien accordé au Blogzine EchoRadar.
Bénédicte Pilliet est directeur du CyberCercle, groupe de réflexion sur la cybersécurité placé sous double dynamique institutionnelle et parlementaire, qu’elle a fondé en 2011. Egalement co-directrice et fondatrice de Défense & Stratégie – Cercle Stratégia, think tank participatif sur les questions de défense et de sécurité nationale, elle est depuis 2007 réserviste citoyenne de l’armée de Terre et a rejoint, à sa création courant 2012, le réseau de la Réserve Citoyenne Cyberdéfense dont elle est Adjointe Rayonnement auprès du Coordonnateur National. Organisatrice des Rencontres Parlementaires de la Cybersécurité dont EchoRadar est partenaire, la tenue aujourd’hui de la troisième édition nous a donné l’occasion de ce nouvel Echo du mois pour lequel Bénédicte nous a fait preuve de sa confiance et de son amitié.
Les rencontres parlementaires de la cybersécurité que vous organisez en sont déjà à leur troisième édition. Quelles en sont les spécificités et quels sont les ingrédients de son succès ?
Avec les Rencontres Parlementaires de le Cybersécurité, nous avons souhaité créer un événement original sur la cybersécurité, placée sous une double dynamique institutionnelle et parlementaire. Elles associent ainsi dans une seule journée, débats, démonstrations, ateliers, cadre d’échanges convivial et aspects opérationnels, avec une vocation pédagogique et institutionnelle assumée. Leur objectif est d’être à la fois un cadre privilégié d’accès à une expertise de haut niveau, réunissant notamment les représentants de l’ensemble des institutions publiques françaises en charge de la sécurité numérique, et un endroit convivial permettant aux auditeurs de rencontrer de façon accessible ceux qui, au sein de l’Etat, sont en charge de ces questions. Elles s’adressent par ailleurs, au-delà ce que l’on appelle la Communauté Cyber, à tous ceux qui, dans l’ensemble de la sphère économique et administrative, doivent aujourd’hui mieux appréhender ce sujet. Cette journée permet enfin de faire émerger des sujets sur lesquels les parlementaires pourront ensuite travailler dans le cadre de leur mandat.
Alors que le livre blanc de la défense et de la sécurité nationale identifiait dès 2008 le cyberespace comme un élément stratégique, Pensez-vous que les parlementaires ont mis plus de temps à en percevoir les enjeux ? Quelles en seraient les raisons ?
En 2008, bien peu de responsables en France avaient conscience des enjeux du cyberespace, et es parlementaires ont fait partie de ceux chez qui cette prise de conscience a été relativement rapide. Dès la législature précédente, des femmes comme Laure de la Raudière, Corinne Erhel, Catherine Morin-Desailly qui travaillaient déjà sur les questions du numérique, des hommes comme Jean-Marie Bockel, Gwendal Rouillard, Jean-Jacques Urvoas, Francis Hillmeyer, Gilbert Le Bris, Christophe Guilloteau ou Philippe Vitel, mais d’autres aussi, ont compris l’importance de ces questions et sont venus travailler avec nous alors que ce sujet n’occupait pas comme aujourd’hui le devant des médias. Ils ont été rejoints en 2012 par Eduardo Rihan Cypel, Lionel Tardy, Axelle Lemaire – qui a animé une table ronde sur la lutte contre la cybercriminalité dès la première édition de nos Rencontres – et là encore plusieurs autres. Il suffit de lire des débats sur les « aspects cyber » de la LPM de 2013, regarder la liste de ceux qui viennent présider des petits déjeuners du CyberCercle pour constater qu’au Parlement la prise de conscience a été étonnement rapide sur une problématique qui, pour ainsi dire, était encore confidentielle il y a moins de dix ans.
Les parlementaires mesurent-ils l’importance de l’esprit “club” qui présidait à la création de l’académie du renseignement et qui est nécessaire pour diffuser une telle culture ? Concernant les rencontres parlementaires de la cybersécurité, y-a-t’il un après sous forme d’invitations lancées à des personnes rencontrées, des bloggueurs, des auteurs, etc. à venir rencontrer les parlementaires à leurs bureaux pour poursuivre le dialogue ?
Comme je ne suis pas porte-parole des parlementaires sur ce sujet, je peux difficilement vous répondre sur ce premier point. Cependant, je crois très important de ne pas réduire le renseignement à ses seuls aspects cyber, ni même d’ailleurs à sa seule dimension technologique. De la même façon, la cybersécurité ne doit surtout pas être assimilée à une branche du renseignement. Concernant les suites des Rencontres en revanche, je peux vous dire que beaucoup de ceux qui y participent viennent ensuite nous rejoindre au sein du CyberCercle lors des petits-déjeuners-débats que nous organisons chaque mois sous présidence parlementaire, où ils peuvent facilement s’entretenir avec les élus, et, éventuellement les revoir par la suite dans d’autres cadres, avec des degrés de confidentialité différents. Cet esprit de club dont vous parlez, nous l’entretenons au CyberCercle tout au long de l’année.
La prise de conscience des enjeux en lien avec le cyberespace semble enfin dépasser les seuls responsables de la sphère “défense et sécurité” : quels cénacles ou cercles vous paraissent ils encore à convaincre ?
Je ne pense pas qu’il y ait encore des publics à « convaincre » des enjeux globaux. En revanche il y a encore certains publics qui doivent prendre conscience qu’ils sont eux-mêmes concernés par la cybersécurité. Je ne serai pas très originale en vous disant que les PME-PMI constituent un de ces publics à qui il faut démontrer que leur avenir passent par la mise en oeuvre d’une politique de cybersécurité cohérente associant technique, ressources humaines, management, formation… Elles sont encore trop nombreuses à penser qu’elles n’ont rien à protéger, qu’elles ne sont pas suffisamment « stratégiques » et donc qu’elles ne peuvent être les cibles d’attaques. Un autre secteur à « évangéliser » : les collectivités locales, qui sont de plus en plus « numériques », avec des tendances comme le e-citoyen, les smart-cities ou l’open-data, et qui détiennent de nombreuses données, tant globales que personnelles. Au-delà de ces exemples, c’est la sphère des dirigeants, de ceux qui ont le pouvoir de prendre les décisions, d’engager des budgets, de donner l’impulsion au sein de leurs organisations, qu’elles qu’elles soient, que l’on doit aujourd’hui convaincre d’agir.
Si la prise de conscience que nous venons d’évoquer est une première étape encourageante, elle n’est évidemment pas suffisante. Quelles actions concrètes à court et moyen terme suggérez vous de développer pour accompagner cette dynamique ?
Je pense que toutes les bonnes volontés sont à prendre, qu’il n’existe pas une seule solution, un seul vecteur de référence, et que de nombreux acteurs oeuvrent aujourd’hui pour diffuser cette culture nationale de cybersécurité qui seule permettra de lever le niveau global de sécurité de notre Nation. L’Etat a un rôle majeur à jouer : je crois à la nécessité de faire de la cybersécurité ou sécurité numérique une grande cause nationale qui se déclinerait tant au niveau de la communication grand public nationale, à travers notamment une campagne d’information via l’ensemble des médias, avec des messages déterminés en fonction des publics à atteindre, que des actions concrètes coordonnées sur le terrain, dans les régions, via les structures de la vie quotidienne des Français, comme les écoles, en fédérant l’ensemble des acteurs autour de cette dimension indispensable de la sécurité nationale, mais aussi de la vie privée de chacun d’entre nous.
Alors que le législateur français a été novateur en 1978 avec la loi « informatique et libertés », depuis plusieurs années il ne fait plus preuve du même esprit d’anticipation. Quelles en sont les raisons et quels pourraient être les remèdes ?
C’est quelque peu injuste comme affirmation. Au cours de toutes ces années le législateur français a été au contraire très actif. Quelques exemples : la loi dite « loi Godfrain » de 1988 portant sur la répression de la criminalité informatique qui a été tellement bien écrite que, près de trente ans plus tard elle n’a pas pris une ride et est toujours une référence ; la loi sur la confiance dans l’économie numérique de 2004 ; la LPM de 2013 dont les articles consacrés à la cybersécurité des OIV ont été très novateurs. Je citerai enfin les 100 propositions de la commission de réflexion sur le droit et les libertés à l’âge du numérique constituée au sein de l’Assemblée Nationale, et le projet de Loi sur la République Numérique porté par la Secrétaire d’Etat Axelle Lemaire, qui aborde aussi la notion de sécurité. J’ajoute par ailleurs que nous ne sommes pas forcément dans un domaine où la multiplication de textes législatifs soit une bonne chose.
La question de la propriété des données est centrale mais encore floue. Est-il prévu de remédier à cet état de fait, et selon quelle orientation ?
Le projet de Loi pour une République Numérique propose de modifier l’article 1 de la loi Informatique et Libertés afin de renforcer le droit, pour toute personne, « de décider des usages qui sont faits de ses données à caractère personnel et de les contrôler ». On peut donc voir ici le souci du législateur de permettre à chacun de mieux connaître l’utilisation qui est faite de ses données, de mieux les maitriser, grâce notamment au renforcement des exigences de réponses pour les demandes de droit d’accès, et la création d’un nouveau droit de « portabilité » pour chacun de ses données pour pouvoir, par exemple, transférer ses données d’un opérateur à un autre. On retrouve cet état d’esprit dans le « droit à l’oubli pour les mineurs » de leurs données en ligne et les dispositions relatives au statut des données personnelles des personnes décédées. Cette tendance de fond de redonner à la personne la propriété de ses données, ou du moins la maitrise de l’usage qui en sera fait, se retrouve également dans le projet de directive européenne, dite NIS. Mais il faut aussi avouer que dans les faits, la mise en œuvre ne sera pas simple…
Le système des droits de la propriété intellectuelle d’aujourd’hui est construit sur des concepts de protection anciens et traditionnels, conçus pour l’époque d’avant la révolution technologique. Les droits d’auteur classiques ne peuvent pas être maintenus dans ce monde moderne du numérique et l’approche unique des règles relatives aux brevets n’est plus viable étant donné les complexités inter-industries du nouveau développement des technologies.” (déclaration du représentant du Saint-Siège lors de la 55e série de réunions des Assemblées de l’Organisation mondiale de la Propriété Intellectuelle, à Genève, le 5 octobre 2015). Le législateur français envisage-t-il une modification des droits d’auteur, et dans quel sens ?
Je ne suis ni juriste spécialisée dans la propriété intellectuelle, ni parlementaire, et je n’ai pas eu à travailler sur ce sujet, donc vous ne m’en voudrez pas de l’imprécision de ma réponse sur un sujet que je ne maîtrise pas. La déclaration que vous citez est très juste : à l’heure du numérique, du « grand partage via la toile » mais aussi de la toute puissance des géants du net, quelle protection assurer aux auteurs, qui, par ailleurs, ont également intérêt à ce que leurs œuvres circulent… C’est un débat complexe, que l’on peut analyser sous la forme d’un combat entre « les anciens et les modernes », avec des arguments prônant d’un côté l’accès à la connaissance, à la culture, au beau et de l’autre la nécessaire rémunération de la création originale – mais se pose aussi la question de à qui va cette rémunération ?… Une chose est pour moi sure : l’un des endroits où les choses devront se faire sera l’Union européenne.
Le financement participatif bat des records d’année en année au travers de ses trois branches (prêts, actions et dons). Ne peut-on y voir une évolution symptomatique du recul si ce n’est le retrait de l’État dans ses modalités de financement des entreprises innovantes en dépit du lancement de la French Tech ?
Je ne pense pas. L’Etat s’est doté de dispositifs multiples de soutien aux entreprises innovantes, notamment en matière de R&D, que ce soit à travers le plan 33 de la nouvelle France industrielle, du dispositif RAPID mis en place par la DGA, des actions menées par la délégation ministérielle aux industries de sécurité du ministère de l’Intérieur ou par la direction générale des entreprises au ministère de l’Economie, de l’Industrie et du Numérique, la création de la BPI et de la Commission Innovation 2030 présidée par Anne Lauvergeon. Mais l’Etat ne peut tout faire, ne doit d’ailleurs pas tout faire, et les financements participatifs sont une preuve de la foi des organisations privées, des individus dans l’innovation et dans l’avenir. Là où en revanche l’Etat doit renforcer son action, où son rôle est majeur, c’est dans le domaine de la consolidation capitalistique des sociétés innovantes françaises : c’est un véritable enjeu économique et de souveraineté qui relève du politique.
Que vous inspire EchoRadar et que voulez-vous nous souhaiter ?
Comme vous le savez, EchoRadar est pour moi une référence pour la réflexion sur les sujets de sécurité, de défense, de géopolitique et de cybersécurité. J’étais présente sur ses fonds baptismaux, j’ai la chance de connaître plusieurs de ses membres et j’apprécie la manière originale et de grande qualité dont sont traités les sujets abordés… même si je ne suis pas toujours d’accord ! Mais ils font partie des tribunes que je relaie via notre site ou les réseaux sociaux, car je sais qu’ils apportent matière à réflexion et enrichissent les lecteurs.
Je vous souhaite de toujours garder cette indépendance d’esprit qui vous fait traiter de sujets inédits ou de sujets « classiques » mais sous un angle à part, et de continuer à associer de nouveaux venus d’aussi grande qualité, animés du même état d’esprit qui fait votre identité – je crois que vous venez d’ailleurs d’accueillir plusieurs nouveaux membres…