L’affaire Pegasus montre une dérive de notre système numérique international, entre manque de réglementation globale, responsabilité des créateurs de technologies, et utilisation massive de nos données personnelles. Interview de Jean-Noël de Galzain, président d’Hexatrust, groupement d’entreprises en cybersécurité, et CEO de Wallix.
“Avez-vous lu le dernier livre de Marc Levy “Le Crépuscule des fauves” ?, interroge Jean-Noël de Galzain. Vous y verrez l’affaire Pegasus : une bande de neuf hackers qui se regroupent- ils ont d’autres métiers – pour devenir des lanceurs d’alerte, et même des Robins des bois. Ils collaborent pour démontrer qu’une élite exploite les données massivement pour pouvoir déstabiliser des démocraties ou des organisations. Le parallèle avec l’affaire Pegasus est saisissant. »
Pour Jean-Noël de Galzain, une des problématiques posées par Pegasus est celle de la classification de certains logiciels qui peuvent devenir des armes cyber. “Nous sommes astreints aux “biens à double usage » (usages civil et militaire). Quand on utilise de la crypto à l’intérieur de nos produits de cybersécurité, nous sommes obligés quand on exporte de les déclarer au ministère de l’économie. Où ont été déclarées les ventes à l’exportation des logiciels de NSO ? », demande le dirigeant. Les cyberarmes sont comme des missiles qui, s’ils tombent dans de mauvaises mains, peuvent devenir des armes de destruction massive. “Comment éviter que de telles innovations soient mises au service de régimes antidémocratiques ? ». Et de faire allusion à l’affaire Snowden et au logiciel de surveillance Prism…
Jean-Noël de Galzain s’attaque plus largement à la question des données personnelles, qui peuvent être “récupérées » avec une “facilité déconcertante à l’insu des autres en permanence ». C’est tout un système, basé sur la captation massive des données, sans protection suffisante, qui permet aujourd’hui l’arrivée de telles situations, et qu’il faut donc revoir.
Une réglementation internationale et une protection cyber à mettre en place
Le problème doit se régler au niveau international, argumente-t-il. “On oscille entre des réglementations nationales existantes, ou non existantes, sur les produits numériques et l’utilisation des données, et des réglementations supranationales, internationales, extraterritoriales qui font que l’on ne sait plus ce qui est autorisé ou pas dans tel ou tel pays.” Et de développer l’idée de la mise en place d’une protection internationale au niveau des données personnelles et des droits des personnes dans un numérique mondial.
D’un point de vue technologique, des mesures sont à prendre également. Jean-Noël de Galzain évoque diverses pistes : “plus de chiffrement », la possibilité pour l’utilisateur d’avoir “plus de contrôle » pour limiter la captation de ses données, et “le déploiement plus rapide » de solutions de cybersécurité, “car la disparité est trop grande entre des experts hyperéquipés et une large majorité de personnes qui ne sont pas sensibilisées aujourd’hui aux risques cyber et de fuites de données. »
Si la France a une stratégie de cybersécurité, “il en faudra une européenne pour aller plus vite”. C’est-à-dire pousser la recherche et l’innovation, “nous équiper de notre propre bras industriel pour protéger à bonne échelle l’ensemble de nos entreprises, de nos organisations gouvernementales, de nos hôpitaux, etc.”
“Nous n’en sommes qu’aux balbutiements », affirme-t-il. Et de conclure que “le numérique, qu’il soit pour des usages professionnels ou personnels, doit être éthique et responsable afin de vivre une transformation numérique sociétale sécurisée et respectueuse des libertés individuelles. Confidentialité, respect de la vie privée… La protection des données personnelles doit aujourd’hui devenir la norme et le contrôle de chacun sur celles-ci un droit. Il est encore temps aujourd’hui de choisir la société de demain et d’utiliser les richesses de la technologie pour l’améliorer. »