La dernière attitude, la plus rationnelle, est de regarder la menace en face. La prendre en compte et imaginer ce qu’il faut mettre en place aujourd’hui pour pouvoir y parer demain. L’objectif, est de montrer qu’en matière de cybersécurité « nous sommes, peut-être, le 10 septembre 2001 » et que le scénario imaginé par Enki Bilal dans sa BD est loin d’être irrationnel et improbable. Bien au contraire. Dans la façon dont il décrit la possibilité de l’apparition d’un bug général, il se base sur des scénarios qui sont d’ores et déjà connus ou qui sont étudiés par les autorités ou les entreprises. Oui, certaines banques ont déjà été attaquées et ont subi de réels moments de doute quant à leur capacité à remettre leur outil de travail en marche. Idem, lors de la fameuse attaque dite « WannaCry ». Que s’est-il passé ?

En mai 2017, ce logiciel malveillant est lancé. Il exploite une faille Windows que Microsoft avait annoncée plusieurs mois auparavant et qui avait été exploitée par la NSA et dérobée par des pirates nommés Shadow Brokers. Cette cyberattaque est considérée comme le plus grand piratage à rançon de l’histoire d’Internet, l’Office européen de police Europol la qualifiant d’« un niveau sans précédent ».

Parmi les plus importantes organisations touchées par cette attaque, on retrouve notamment les entreprises Vodafone, FedEx, Renault, Telefónica, le National Health Service, le ministère de l’Intérieur russe ou encore la Deutsche Bahn. Le procédé est assez simple. Le virus s’introduit dans le réseau local via des mails et des pièces jointes contaminées, chiffre l’ensemble des données du système et affiche une demande de rançon à l’utilisateur. Parmi les victimes, donc, des banques, des opérateurs de téléphonie, un ministère régalien d’un grand pays et un service de santé national. Pas si loin du scénario imaginé – du moins dans les cibles choisies – par Enki Bilal. Au final, que nous dit cette incursion romanesque ? Que le pire est possible, que les difficultés imaginées ne sont pas des vues de l’esprit et qu’il est crucial de se pencher sur les chemins d’avenir possibles. Commencer cet ouvrage en se projetant dans l’avenir et en faisant un peu de prospective est assurément un risque. Mais, à l’instar de l’historien philosophe, Yuval Noah Harari, nous croyons que « l’intérêt des prédictions et/ou des prophéties n’est pas réellement leur résultat. De fait, les prédictions sont surtout un moyen de débattre de nos choix présents ». Dans son dernier livre vertigineux, Homo Deus, Harari – nous l’avons dit – brosse des scénarios d’évolution, notamment sur notre rapport à la technologie. Comme si, pour lui, l’homme ne se situait plus au sommet de la chaîne puisque dépassé par les intelligences artificielles en tout genre. Dans son propos, ce n’est ni bien ni mal, c’est probable et envisageable. Et, en tendant ce miroir, il invite au débat.

Dans une moindre mesure, sur la question de la cybersécurité, les questionnements sont assez connexes. Quelques chiffres. En 2020, il y aura entre 100 et 200 milliards d’objets connectés dans le monde selon les différentes estimations. De la brosse à dents à la voiture connectée en passant par l’enceinte de maison connectée (Google, Amazon et Apple en commercialisent d’ores et déjà beaucoup), les objets intelligents vont inonder le marché dans les années à venir. Cela constitue une véritable révolution puisqu’une très grande partie des activités humaines sera reliée à un réseau connecté. Idem pour les entreprises. De nombreuses tâches pourront ainsi être réalisées sans intervention humaine et, surtout, quasiment toutes les données stratégiques des entreprises seront reliées à un réseau connecté. Évidemment, cette connexion toujours plus importante qu’il est impossible de contourner – ce n’est ni bien ni mal d’ailleurs, c’est ainsi – va engendrer de nouveaux enjeux. D’abord, la nécessité de choisir un écosystème de données adéquat. Les entreprises devront également faire le choix d’un monde fermé ou ouvert. Un environnement fermé leur permettrait, peut-être, de mieux protéger leurs données mais pourrait empêcher l’objet d’échanger avec des outils tiers, perdant ainsi l’un des avantages de l’objet connecté. De grands acteurs technologiques se sont déjà positionnés. IBM a investi dans l’IoT (Internet of things, l’Internet des objets) 3 milliards d’euros entre 2015 et 2017. Cisco 1 milliard de dollars dans la création d’une plateforme dite InterCloud. Les géants de l’Internet Google et Facebook sont certainement aussi les futurs agrégateurs de données de ce nouveau monde numérisé.

Tout connecté vraiment ?, peut-on se demander. Une question : connaissez-vous Jarvis ? C’est le nom de l’intelligence artificielle qui pilote la maison californienne de Mark Zuckerberg, fondateur de Facebook. Jarvis est malin. Il sait si la personne qui sonne à la porte est habilitée à entrer grâce à un logiciel de reconnaissance faciale. Jarvis sait également gérer la température ambiante, mais aussi préparer les toasts ou jouer la musique préférée de Zuckerberg. Pas mal !

Évidemment, ce type d’équipements n’étonne pas vraiment dans la maison d’un milliardaire geek. Toutefois, ce smart home n’existe pas qu’en Californie. Récemment, un immeuble d’habitation neuf sans aucun signe distinctif à l’œil nu vient de sortir de terre à Issy-les-Moulineaux, dans la banlieue parisienne. Tous les appartements y sont connectés. Les équipements (luminaires, chauffage, télévision, réfrigérateur, porte d’entrée, volets, etc.) sont contrôlés par la voix ou à distance grâce à l’application « Maison » d’Apple. Mieux, si l’habitant peut parler à ses équipements, eux aussi peuvent lui parler et lui signifier par exemple que la porte du frigo est restée ouverte. Bref, tout connecté. Partout. Tout le temps. Et tous les objets seront connectés. Du babyphone, à la voiture, la pompe à insuline, le pacemaker, en passant par les avions, le compteur électrique ou la caméra de surveillance.

Cette connexion toujours plus grande devient donc une réalité dans nos usages quotidiens et domestiques. Mais pas seulement. Elle sera dans les deux prochaines années une donnée majeure de l’entreprise. En effet, le mouvement vers une robotisation et surtout vers la mise en place d’intelligences artificielles connectées dans les entreprises est engagé. Ainsi, d’ici quelques années, la part des IA qui régiront les chaînes de montage, une grande partie des hôpitaux, et même de l’agriculture, sera toujours plus grande. Rien que pour les grands constructeurs automobiles, par exemple, il est prévu que d’ici deux ans il y ait dans les lignes de montage plus d’un million d’objets connectés. Un mouvement qui est, plus qu’une nouvelle donne, un outil puissant de disruption sur la façon de gérer les entreprises, le processus industriel, mais, au-delà, la façon de vivre dans l’entreprise. Ce mouvement gagnera aussi les services. Des IA viendront compléter les savoir-faire des avocats et des médecins par exemple.

Le propos ici n’est pas de déplorer cet état de fait technologique. Mais de le constater. Comme l’écrivait Jacques Ellul, « la technologie n’est ni bonne ni mauvaise en soi, elle est ». Reste ensuite à savoir ce que l’on en fait. Reste aussi à s’assurer ce que les enjeux de cette nouvelle donne du tout-connecté font émerger. Si désormais, nous actons le fait que la mise en réseau connecté de quasiment toutes les activités humaines des particuliers ou des entreprises sera une réalité tangible, l’enjeu majeur et crucial des années à venir est bel est bien celui de la cybersécurité de ces nouveaux univers. La multiplication des objets connectés agrandit la surface d’attaque pour les cybercriminels. 80% des objets connectés présentent de potentielles failles de sécurité. Le chiffre est encore plus conséquent pour les robots. Beaucoup de ces objets sont conçus par de petites entreprises qui privilégient la mise sur le marché rapide à la cybersécurité. Ils sont vulnérables au détournement d’informations et d’utilisation. Les démonstrations de prise de contrôle de véhicules Jeep à distance montrent tout le risque de cette surconnectivité… Dans ce monde d’aujourd’hui et de demain, nous n’avons pas encore pris réellement conscience que les États et les entreprises sont surexposés.

Si l’on voulait utiliser un parallèle historique, en matière de cybersécurité, nous sommes actuellement soit face à la préhistoire, soit face au Moyen Âge, soit face à la Renaissance. Chacune de ces trois ambiances historiques peut s’imposer. Chacune de ces trois ambiances peut constituer notre avenir. Tout dépendra des décisions que nous prendrons dans les prochains mois, ou dans les prochaines années. Au fond, ce qui est à la fois rassurant et inquiétant, c’est qu’il suffit de pas grand-chose pour passer de l’un à l’autre des scénarios. Ricaner devant le dessin d’Enki Bilal et se dire que l’on a le temps peut, par exemple, très vite nous conduire vers le chaos préhistorique. Concrètement, que se passerait-il ? Quand les dinosaures ont été décimés par les chutes de météorites, ils n’avaient clairement pas les moyens d’anticiper, et encore moins ceux de se défendre réellement. Ils étaient submergés par la puissance de l’attaque. Sur le plan du cyberrisque, les choses sont peu ou prou similaires. Dans ce scénario préhistorique, les entreprises, les États et les particuliers, conscients du risque, mais ne voulant pas réellement l’affronter, laissent les choses couler. Pis, chacun se défend à l’aide de sa petite milice – d’une ou deux personnes – pour faire face à une menace globale. Parfois, quelques décisions se prennent sous le coup d’un pic d’émotion. Toutefois, l’attaquant a l’avantage et surtout, il a tellement d’avance en termes de savoir-faire, qu’il peut frapper quand il veut où il veut. La menace est totalement asymétrique. Résultat, comme dans le scénario d’Enki Bilal, le cyberespace s’effondre sous le poids de la menace et accepte la domination cybercriminelle. Dans cette hypothèse, les attaquants ont l’avantage, la collaboration et l’échange d’information entre les défenseurs sont quasi inexistants. Clairement, à force de chercher seules à se défendre, les entreprises sont en échec, oublient d’investir dans de la recherche et cela impacte leur croissance. Dans ce scénario, la confiance des gens dans le cyberespace ne fait que diminuer. Jusqu’au retrait total ? Au fond, ce scénario préhistorique n’est pas sans rappeler plutôt que le sort des dinosaures, qui eux ne savaient pas que l’attaque de météorites aurait lieu, l’histoire de la civilisation de l’île de Pâques.

Dans son livre Effondrement, le biologiste et géographe américain Jared Diamond raconte qu’une compétition de prestige aurait poussé les tribus insulaires de Pâques à produire les statues les plus grandes et les plus lourdes possible. Il raconte que ces colosses de pierre ont été transportés jusqu’aux côtes en position horizontale grâce à des rondins de bois. Ainsi, de plus en plus de bois a été nécessaire, ce qui a conduit à la déforestation totale du territoire rapa nui. L’érosion des sols s’accéléra avec la disparition des arbres, réduisant encore le faible rendement des récoltes. Selon lui, l’abondance de moaïs (nom des statues de l’île de Pâques) est la preuve que les Pascuans se seraient retrouvés en surnombre dans l’île. Ils auraient alors connu la faim, la guerre, le cannibalisme et leur civilisation se serait effondrée des suites d’un véritable « écocide ». Effondrement d’une civilisation en pleine conscience en quelque sorte.

Le scénario préhistorique de la cybersécurité ressemble un peu à cela. Pour paraphraser l’ancien président de la République, Jacques Chirac, qui parlait alors du climat, « la maison brûle et nous regardons ailleurs ». Oui, la maison peut aujourd’hui brûler. Il y a déjà des étincelles et des foyers départs de feu. Mais rien n’est encore perdu. À condition que les États et les entreprises comprennent réellement qu’ils ont un rôle individuel et collectif à jouer. Cela implique de prendre vraiment la mesure de l’importance des enjeux. Puisse ce livre y contribuer en alliant à l’instar du philosophe italien Antonio Gramsci « le pessimisme de la raison et l’optimisme de la volonté ».

Nous l’avons dit, cette hypothèse est noire. Mais elle est probable. Au moment où ces lignes sont écrites, nous serions plutôt dans le scénario du Moyen Âge cybernumérique. Comme dans la célèbre série de HBO, Game of Thrones, certains se défendent avec la science de la diplomatie comme le fait le roi de Westeros ; d’autres en répandant la peur, comme les Marcheurs blancs du Mur ; les derniers, enfin appliquent des techniques de guerre spéciales à l’instar des habitants des Terres d...