Big Data et cybersécurité : la France n’est pas prête

Malgré la digitalisation croissante des services et des activités, notre législation trop lourde et trop peu suivie d’effets place la France dans une situation particulière de fragilité.

Par Yann-Mael Larher

Le Big Data désigne les mégadonnées collectées par les entreprises de toutes les industries, analysées afin d’en dégager de précieuses informations. Loin d’être un simple effet de mode, les analyses des données ouvrent des perspectives nouvelles pour les entreprises, mais également pour les administrations. Tout d’abord, elles permettent de mieux écouter les utilisateurs, de mieux comprendre leurs comportements, d’affiner les offres qui leur sont destinées, et de créer de nouveaux produits. En France, l’usage des données à caractère personnel est réglementé par la loi Informatique et Libertés.

Or, compte tenu des possibilités de croisement des données permises par l’analyse des big data, cette anonymisation est quasiment impossible à obtenir. Toutes les données doivent-elles pour autant être considérées comme personnelles ? La loi précise également que les données personnelles doivent être collectées et traitées pour des finalités déterminées, explicites et légitimes. Seules les données pertinentes pour un usage défini peuvent donc être collectées. Leur durée de conservation ne doit pas excéder le temps nécessaire à l’atteinte des objectifs pour lesquels elles sont collectées (passé ce délai, prévaut le droit à l’oubli ou l’obligation de leur destruction).

LA CONFIANCE EST LA CLÉ

Face à des techniques de récupération multiples et de plus en plus développées, allant du piratage informatique aux actions de manipulation, notre arsenal législatif apparaît paradoxalement trop lourd pour être suivi d’effet.

L’enjeu est d’élaborer le cadre normatif le plus attractif pour le développement de l’économie numérique tout en assurant la sécurité qu’attendent légitimement les individus en tant que créateurs de données. Avec l’analyse des big data, il est difficile d’anticiper quel usage il en sera fait.

La collecte ciblée et le principe de suppression entrent par ailleurs en contradiction avec la nécessité d’un volume de données le plus important possible. L’analyse des big data nécessite d’instaurer une culture de la donnée qui fait encore défaut en France. À côté de nos peurs liées au traitement des données, les progrès importants pouvant en résulter dans l’intérêt général doivent être mis dans la balance. En revanche, la valeur de données est encore sous-estimée.

PENSER AS A PLATEFORM

Dans ce monde où la pression concurrentielle est forte, l’information constitue un capital précieux. La menace qui plane le plus sur les entreprises françaises et européennes n’est pas que juridique, elle est aussi et surtout économique. En privilégiant une approche basée sur la protection de la vie personnelle, le RGPD fait l’impasse sur la valeur économique de nos données.

Qu’elle soit matérielle ou immatérielle, économique, financière, technique, juridique, scientifique, marketing, ou encore commerciale, toute information constitue un capital précieux que chaque organisation se doit de protéger pour sa sécurité, mais aussi pour ses clients, ses salariés ou ses partenaires commerciaux. Les entreprises sont devenues des plateformes, leur objectif primordial devrait être de garder la main sur leurs données. La faiblesse des barrières à l’entrée entraîne des dégâts considérables et renforce notre vulnérabilité face à des attaquants chinois ou russes.

Car il ne faut pas être naïfs, des sociétés et des États profitent déjà des failles de nos systèmes informatiques. Vols de données, blocages de systèmes, voire prises de contrôle de réseaux, les attaques sont de plus en plus nombreuses avec des conséquences fortes et parfois très graves pour le fonctionnement des entreprises, mais aussi pour la sécurité des approvisionnements et des services essentiels de notre pays.

Un défaut de protection peut avoir des impacts économiques, médiatiques, juridiques et humains. À l’image des acteurs de la santé (hôpitaux, cliniques, laboratoires…), un grand nombre d’entreprises françaises auraient été victimes ces dernières années de l’espionnage informatique. Or, en dehors de quelques grands acteurs, on constate un manque d’implication des directions, une sensibilisation et une formation insuffisante des personnels, une absence de stratégie en matière de protection des systèmes d’information, et des lacunes en matière d’identification pertinente des systèmes ou des données sensibles et enfin, une insuffisance des budgets dédiés à la sécurité des systèmes d’information.

L’EUROPE EST TROP NAÏVE 

Le renforcement de la protection et de la défense des systèmes d’information devrait faire l’objet d’une plus forte mobilisation en France, mais aussi en Europe. De nombreux pays à l’image des États-Unis ou d’Israël ont fait de la protection des infrastructures d’importance vitale une priorité nationale.

Nous ne sommes pas à la hauteur des cybermenaces qui pèsent sur nos intérêts commerciaux, démocratiques et stratégiques. Il est crucial de créer des liens plus forts entre les différents pays européens pour permettre l’émergence d’acteurs d’envergure qui nous protègent. C’est un enjeu de croissance économique, mais aussi et surtout de souveraineté. Alors que l’Europe réfléchit à une nouvelle réglementation sur l’IA intrinsèquement liée à l’exploitation de nos données, il est urgent de mettre fin à notre attentisme coupable.

Il est crucial d’encourager partout la formation des acteurs publics et privés, de soutenir la recherche et d’accentuer la sensibilisation du grand public à ces enjeux encore trop souvent méconnus. Nous devrions aussi déjà avoir élaboré une plateforme fiable d’IA française ou européenne. Nous pourrions également utiliser la blockchain pour sécuriser les flux de données (en open notamment), garantir la neutralité des IA, et faciliter le réseau de réputation. Surtout il apparaît indispensable d’augmenter significativement dans les prochaines années les ressources humaines et financières consacrées à la cyberdéfense.

Les retombées en termes d’emploi et de création de richesse à partir des données créées et collectées en France et en Europe sont conditionnées à la révision de notre droit, mais aussi à notre capacité à protéger effectivement nos données des attaques de plus en plus nombreuses.

Yann-Mael Larher

Avocat, cofondateur de legalbrain-avocats.fr et okaydoc.fr, expert de l’Institut Sapiens.