Alain Bouillé (CESIN) : « la géopolitique est aujourd’hui un critère dans les choix technologiques »

Pouvez-vous nous rappeler ce qu’est le CESIN et la place du Congrès annuel ?

Le Club des Experts de la Sécurité de l’Information et du Numérique est une association principalement de RSSI. Aujourd’hui, nous avons 825 membres actifs, ayant réalisé une adhésion individuelle, auxquels s’ajoutent des membres associés comme la Gendarmerie, l’ANSSI, etc.

Nous organisons, chaque année, en plus de nos activités régulières, trois grands événements : l’Assemblée Générale en juin, l’Université d’Eté fin Août et le Congrès en décembre. L’Université d’Eté sert à préparer le programme de travail de la saison, de septembre à septembre, tandis que le Congrès traite de sujets plus prospectifs.

Nous limitons l’accès au Congrès à un nombre limité de participants, moins de 150, afin de faciliter les échanges et de garder des ateliers à taille raisonnable, mais devant la demande, nous sommes montés à 180 cette année. En effet, nous avons fêté les dix ans de l’association en juin dernier, à Paris, et c’était là le dixième Congrès.

Cette année, les 6 et 7 décembre à Reims, le thème était : « quelle cybersécurité à l’horizon 2025 ? ».

Pourquoi 2025 ? Parler de cyber dans deux-trois ans, est-ce vraiment prospectif ?

Cela peut, en effet, sembler bien prudent. Mais entre les prévisions pour 2023 que l’on commence à voir fleurir et le Campus Cyber qui réfléchit plutôt à l’horizon 2030…on s’est positionné au milieu !

En effet, si l’on regarde tout ce qui est arrivé depuis dix ans (Wanacry, Log4J…), rien n’avait été prévu et rien, d’ailleurs, sans doute, n’était prévisible. Donc, en fait, s’intéresser à 2025 me semble déjà bien présomptueux…

Quel a été le contenu du Congrès ?

Comme toujours, il y a eu sept ateliers avec un peu plus d’une vingtaine de participants chacun, des membres du CESIN et des partenaires, autour de sujets très opérationnels (gestion des identités, organisation de la cyberdéfense…). Et, en plénières, plusieurs intervenants successifs nous ont aidé à appréhender le sujet du moment. Ainsi, nous avons pu écouter Alix Desforges (une chercheuse en géopolitique de la datasphère), un membre du commandement de la Gendarmerie dans le cyber-espace, Luigi Rebuffi (secrétaire général de l’ECSO), deux CISO de très grands groupes privés parmi nos membres et Rémi Géraud (chercheur à l’Ecole Normale Supérieure).

Commençons par Alix Desforges. Que vous a-t-elle appris ?

Elle est intervenue sur la géopolitique. C’est un sujet, reconnaissons-le, qui préoccupait peu les RSSI jusqu’à une époque récente. Depuis le conflit Russie Ukraine, on ne s’est jamais autant interrogé sur les conséquences d’achats de produits étrangers comme Kaspersky par exemple.

De fait, actuellement, la géopolitique s’est installée dans l’agenda du RSSI. Les choix opérés dans le digital ou la cybersécurité ont de fortes résonances géopolitiques.

La géopolitique est donc aujourd’hui un critère de plus dans les choix technologiques.

Mais, pour elle, plutôt que de parler de souveraineté, il vaut mieux étudier les dépendances. Et il faut se poser des questions quand on achète russe, américain ou chinois.

Et le membre du commandement de la Gendarmerie dans le cyber-espace ?

Il est intervenu sur l’utilisation des sources ouvertes (OSINT) pour tirer des enseignements de celles-ci. Les entreprises n’en ont pas l’habitude et ne savent pas comment s’y prendre. Il nous a donner quelques pistes intéressantes.

Vous avez aussi mentionné une intervention de l’ECSO. De quoi s’agit-il ?

L’European Cybersecurity Organisation est une association européenne dont le CESIN est membre. Elle fédère des acteurs des 27 pays membres de l’Union Européenne pour échanger sur les bonnes pratiques mais aussi jouer un rôle d’influenceur auprès des instances européennes. Son secrétaire général est intervenu sur le panorama des réglementations en cours et à venir comme le Cyber-resilience Act, toujours en discussion, ou NIS2, dont nous attendons les transpositions nationales.

Et les autres intervenants ?

L’une des interventions a porté sur l’Internet régionalisé : Internet n’est pas tout à fait le même en Occident, en Chine ou en Russie. La Chine s’est coupée du reste du monde depuis longtemps, la Russie avait opéré des tests en 2019 mais est nettement moins avancée. Du coup, quand on s’implante en Chine ou certains autre pays, il faut stocker les données sur place avec, souvent, une écoute gouvernementale très probable. Il pourrait donc arriver que, à terme, Internet soit en fait cloisonné pour bloquer les accès à des contenus dérangeants à partir du pays et empêcher que des étrangers puissent regarder ce qui se passe dans le pays. Quand on travaille dans des entreprises transnationales, les conséquences sur l’IT amènent des complexités nouvelles.

Nous avons également réfléchi à l’avenir de la fonction SSI. Et, pour terminer, Rémi Géraud nous a expliqué quoi attendre de l’informatique quantique et, surtout quoi ne pas en attendre.