"Tous les Etats ont besoin d'accéder aux communications électroniques", assure Manuel Valls

A lire sur:  http://www.usine-digitale.fr/article/tous-les-etats-ont-besoin-d-acceder-aux-communications-electroniques-assure-manuel-valls.N200925#xtor=EREC-1

Par Thibaut De Jaegher - Publié le lundi 8 juillet 2013

Manuel Valls inaugurera le forum © DR

Exclusif ! Manuel Valls, le ministre de l’Intérieur a accordé un entretien à L’Usine Nouvelle et L’Usine Digitale sur les questions de cybersécurité à l'occasion du colloque "technology against crime". Il livre pour la première fois son analyse de l’affaire "Prism" et plaide pour que la France, l’Europe et les industriels se mettent à niveau en matière de cyberdéfense... et de cyberattaques.

L'Usine Nouvelle : Vous parrainez le colloque "technology against crime" réunissant 600 acteurs de la sécurité à Lyon les 8 et 9 juillet, dans le contexte particulier de l’affaire "Prism". La menace en matière de cybersécurité a-t-elle été sous-estimée en France et en Europe ?
Manuel Valls : C’est une menace en très forte croissance car elle est liée au développement inévitable des réseaux numériques aussi bien au sein des entreprises que des organisations étatiques. Ces réseaux numériques présentent une vulnérabilité face aux interceptions sauvages de communications privées – notamment du fait du cloud computing mal maîtrisé ou mal sécurisé – et aux stratégies d’intrusion très offensives dans les réseaux, soit depuis l’extérieur, soit par des dispositifs de captation de données implantés à l’intérieur des entreprises ou organisations. Les fonctions de sécurité informatique sont donc aujourd’hui vitales.
Souhaitez-vous mettre en œuvre une politique française en matière de cybersécurité sous l’égide du ministère de l’Intérieur ?
Le terme de "cybersécurité" est une notion très générale, qui recouvre principalement trois aspects : la protection des systèmes d’information, la lutte contre la cybercriminalité et la cyberdéfense. Les deux premiers aspects concernent aussi bien les pouvoirs publics que les citoyens ou les entreprises. Dans ce cadre, j’ai proposé, à l’issue du débat sur la loi antiterroriste, qu’une réflexion approfondie s’engage au sein du gouvernement sur les outils juridiques, technologiques, sur les organisations et les stratégies à mettre en œuvre. Un travail interministériel entre les ministères de la Justice, de l’Intérieur, des Finances et de l’Économie numérique est en cours et doit aboutir en novembre 2013. Les ministères de l’Intérieur et de la Défense sont les principaux acteurs de la cybersécurité étatique. Très concrètement, les services du ministère de l’Intérieur interviennent, je le disais à l’instant, pour sensibiliser et conseiller les entreprises, mais aussi pour produire du renseignement sur les menaces informatiques, enquêter judiciairement sur les attaques informatiques et réagir à une éventuelle attaque informatique d’origine terroriste sur les systèmes informatiques d’importance vitale.
On a l’impression d’une grande naïveté des Européens face au projet "Prism" : nous semblons être singulièrement en retard pour traiter ces menaces…
Parler de "naïveté" ou de "retard" voudrait dire qu’il faut aller dans le sens de Prism. Ce n’est pas le cas ! Même si nous ne disposons pas encore des éléments d’explication et d’information sollicitées auprès des États-Unis, les révélations relatives à Prism concernent un accès direct aux données de contenu des géants de l’internet, presque tous Américains, ce qui pose un sérieux problème de confiance pour les usagers de ces services. Il faut cependant être lucide : pour protéger leur population, tous les États ont besoin d’accéder à certaines communications électroniques, aussi bien en matière de renseignement que de poursuites judiciaires.

"L’accès aux données doit s’opérer par ciblage des individus ou groupes qui présentent une menace réelle"

Ils doivent pouvoir le faire en fonction de ce qu’est aujourd’hui la réalité technique de l’internet. Mais l’exploitation des métadonnées ou des contenus n’est légitime que si elle se rapporte à des finalités de sécurité bien circonscrites : lutte contre le terrorisme et la criminalité organisée ou encore protection des intérêts fondamentaux des États. Et l’accès aux données doit s’opérer par ciblage des individus ou groupes qui présentent une menace réelle, sous le contrôle d’une instance indépendante garantissant le respect de ces finalités et de ce ciblage. La position ferme de François Hollande sur ce dossier semble peu suivie, notamment par l’Allemagne, est-ce que cela vous choque ?
L’Union européenne, c’est maintenant, avec l’adhésion de la Croatie, 28 voix qui doivent s’accorder. Ce n’est pas toujours simple. Mais l’Union européenne a un accord depuis vendredi, d’ailleurs très largement dans la ligne de la solution proposée par la France. Dès lundi, la Commission européenne, accompagnée d’experts des États membres, dont un français, se rendra à Washington pour échanger avec les Américains, dans le but de "rétablir la confiance". Dans la discussion à Bruxelles, la France et l’Allemagne ont adopté la même position, celle adoptée par le président de République et la Chancelière allemande à Berlin le 3 juillet.
Sera-t-il plus facile d’atteindre une Europe de la cyberdéfense alors qu’une "Europe de la Défense" semble difficilement atteignable ?
Le jugement sur l’Europe de la Défense vous appartient. Europe de la Défense et de la cyberdéfense constituent deux priorités et deux ambitions.
Quelles sont les exigences que la France et l’Europe peuvent désormais avoir vis-à-vis des États-Unis ? Faut-il suspendre les négociations de l’accord de libre-échange avant d’avoir des explications et des assurances ?
À Bruxelles, vendredi, l’Union européenne a décidé un principe de simultanéité : les négociations de l’accord de libre-échange se tiendront en même temps que les réunions des groupes de travail consacrées aux questions ouvertes par les révélations de ces dernières semaines.
Sur ces cybermenaces, quelles leçons pour les industriels ?
Nos industriels doivent fortement miser sur la prévention et la sensibilisation de leurs personnels aux questions de sécurité des systèmes d’information. L’Agence nationale de sécurité des systèmes d’information, organisme qui dépend du Premier ministre, publie régulièrement des recommandations. Mises en œuvre efficacement, elles permettent de réduire considérablement le risque d’attaque informatique.

"Nos industriels doivent fortement miser sur la prévention et la sensibilisation de leurs personnels aux questions de sécurité des systèmes d’information."

Mais il faut aller plus loin et les entreprises doivent développer, en interne, une culture de la sécurité informatique. Certains services de l’État peuvent les accompagner dans cette démarche. La DGSI anime notamment chaque année près de 1 500 conférences de sensibilisation portant sur les questions de sécurité économique, destinées à de publics très larges des secteurs publics et privés. Plus globalement, dans quels domaines technologiques devons-nous nous renforcer ? Quel message voulez-vous faire passer aux industriels présents à cette rencontre européenne ?
Un message simple : les technologies sont, et seront demain, un de nos principaux leviers d’amélioration de la performance des forces de sécurité. Non pas parce qu’elles pourraient remplacer l’humain… Au contraire, les technologies n’ont d’efficacité que si elles sont utilisées intelligemment et avec discernement par les policiers et les gendarmes. Nous ne pouvons pas rester dans le cloisonnement actuel entre les pouvoirs publics, les industriels, les chercheurs, les innovateurs. La France a la chance de disposer de forces de l’ordre dont la compétence et le professionnalisme sont reconnus bien au-delà de nos frontières. Elle a aussi la chance de disposer d’un tissu industriel dynamique et à la pointe de l’innovation dans le domaine des industries de sécurité. Enfin, elle a fait le choix de soutenir la recherche et l’innovation. Elle dispose donc des atouts indispensables pour réaliser un mariage harmonieux entre l’innovation technologique et la sécurité.
Nous avons en France quelques champions dans le domaine de la sécurité (Morpho, EADS, Safran…), comment soutenir l’émergence d’une filière industrielle dans ce domaine ?
Nous avons de grandes entreprises très bien identifiées et puissantes à l’export. Mais nous ne devons pas oublier le tissu important de PME, souvent très innovantes. Le Livre Blanc pour la Sécurité et la Défense nationale a souligné la nécessité de mettre en place un comité de filière. Le Premier ministre l’installera très prochainement. Au-delà de l’enceinte de dialogue entre tous les acteurs – pouvoirs publics, industriels, organismes de recherche – que constituera ce comité de filière, je souhaite vivement qu’il puisse travailler très vite sur des projets concrets pour lesquels des financements liés aux investissements d’avenir pourraient être mobilisés. Les défis sont immenses, notamment pour le ministère de l’Intérieur. Pour accroître son efficacité et faire face aux nouvelles menaces, il doit pouvoir s’appuyer sur les technologies les plus innovantes.
Le Monde a révélé une affaire "Prism" à la française. Confirmez-vous cette affaire de surveillance à grande échelle des communications électroniques de nos concitoyens ?
Ne mélangeons pas tout ! Le Premier ministre et le ministre de la Défense se sont déjà exprimés à ce sujet, ainsi que sur le cadre juridique prévu par la loi de 1991. Jean-Jacques Urvoas, président de la Commission des lois de l’Assemblée nationale et qui, à ce titre, siège dans toutes les instances de contrôle parlementaire des services de renseignement, a également fait part de ses commentaires. Dans un récent rapport sur ces questions, il suggère des pistes intéressantes pour que notre démocratie envisage les enjeux du renseignement avec lucidité et en nous adaptant aux menaces d’aujourd’hui.
Propos recueillis par Thibaut de Jaegher