La cyberattaque dont a été victime le service d’enregistrement de noms de domaine monégasque Namebay fin septembre 2024 a fait remonter à la surface la question de la sécurité informatique. Chargée de recherche CNRS, directrice du Centre Internet et Société (CIS), et chercheuse associée aux Mines Paris, Francesca Musiani évoque pour Monaco Hebdo la problématique de la numérisation d’un Etat de la taille de la principauté.
En février 2018, le gouvernement monégasque a décidé d’accélérer la numérisation de la principauté, en nommant notamment un délégué interministériel à la transition numérique : il était impossible pour un micro-Etat comme Monaco de rester à l’écart de ce mouvement mondial ?
Je ne connais pas dans les détails l’histoire de Monaco, mais il me semble assez clair que, en tant que micro-État, c’était très important pour Monaco d’inscrire dans ses institutions la numérisation de l’Etat pour maintenir sa compétitivité et sa capacité à attirer des investisseurs. La numérisation est un enjeu majeur aussi pour un État de petite taille comme Monaco parce qu’elle est censée toucher tous les secteurs : économie, administration publique, santé, éducation, et ce qui est très important : la sécurité. Monaco est réputé pour sa capacité à se positionner sur des niches de prestige comme le luxe et la finance, où une plus grande intégration du numérique peut être semée d’embûches, si elle n’est pas bien faite. Mais cela est nécessaire pour optimiser ses services, diversifier son économie et répondre aux attentes croissantes de connexion. Il est aussi question d’améliorer la résilience de certains services, avec le numérique « dans la ville » par exemple, ce que l’on a pu appeler la « smart city ».
Le 30 septembre 2021, Monaco a officiellement lancé son cloud souverain : il y avait nécessité à le faire pour un Etat comme la principauté ?
Je vois plusieurs raisons pour laquelle un cloud souverain monégasque peut faire sens. Aussi, et peut-être d’autant plus, pour un micro-État comme Monaco, avoir une stratégie souveraineté numérique est essentielle. Un cloud souverain permet de faire un certain nombre de choses à cet égard : stocker les données sensibles de l’État, des citoyens et des entreprises sur un territoire, sous des juridictions et des règles précises et qui conviennent à l’Etat. Ce qui limite la dépendance aux acteurs étrangers et réduit les risques liés aux conflits de lois. En investissant dans ses propres infrastructures cloud, Monaco s’émancipe des grands acteurs internationaux comme AWS, Microsoft Azure ou Google Cloud. Cette indépendance renforce sa capacité à gérer ses données en fonction de ses propres priorités stratégiques, sans dépendre des règles commerciales ou géopolitiques extérieures.
« Parmi les raisons qui rendent l’écologie numérique un objectif nécessaire, on peut citer, par exemple, la place croissante du numérique dans la consommation d’énergie. En effet, le numérique est responsable d’environ 3 à 4 % des émissions mondiales de gaz à effet de serre, un chiffre qui pourrait doubler d’ici 2025 »
D’autres arguments justifient le lancement d’un cloud souverain en principauté ?
Il y a aussi des questions liées à la sécurité des données. Avec un cloud souverain, Monaco peut, en principe, offrir un environnement hautement sécurisé et conforme aux normes internationales, tout en se protégeant contre les cyberattaques ou les fuites de données, ce qui est spécialement important pour les secteurs dans lesquels Monaco excelle comme la finance et certains autres secteurs cruciaux, comme les données de santé, par exemple. L’hébergement local et sécurisé des données est aussi un facteur d’attractivité vis-à-vis des entreprises. Et, bien sûr, un appui à la stratégie plus large de transformation numérique de Monaco, avec le soutien au développement des services numériques, comme l’administration électronique, les initiatives de “smart city”, ou encore l’intelligence artificielle.
En 2021, le directeur de Monaco Cloud, Pierre Puchois, a dit viser « la neutralité carbone dès l’ouverture et le zéro carbone à l’horizon 2025 » : l’écologie numérique est un objectif atteignable et nécessaire ?
C’est un objectif nécessaire et atteignable, pas seulement pour Monaco, mais pour de nombreux Etats, indépendamment de leur taille. Parmi les raisons qui rendent l’écologie numérique un objectif nécessaire, on peut citer, par exemple, la place croissante du numérique dans la consommation d’énergie. En effet, le numérique est responsable d’environ 3 à 4 % des émissions mondiales de gaz à effet de serre, un chiffre qui pourrait doubler d’ici 2025. Les datacenters, qui sont essentiels pour les services de cloud, consomment énormément d’énergie. Et puis, il y a aussi l’insertion dans la transition écologique à un niveau plus global, alors que Monaco s’est engagé à atteindre la neutralité carbone d’ici 2050. Enfin, l’attraction de partenaires économiques en quête d’un hébergement éthique et responsable pour leurs données pèse aussi.
« Aucun État, ni aucune entreprise, ne sont totalement à l’abri d’une cyberattaque, quelle que soit leur taille, leur secteur d’activité, ou leur niveau de préparation. Les cyberattaques se sont généralisées à une telle échelle que tout acteur numérique peut devenir une cible, soit par opportunisme des pirates, soit pour des raisons stratégiques ou idéologiques »
Comment atteindre cette neutralité carbone ?
Pour atteindre cet objectif, plusieurs mesures sont possibles. Par exemple, en s’appuyant sur des sources d’énergie renouvelables pour alimenter les datacenters, en déployant des technologies d’efficacité énergétique, comme le refroidissement liquide, en utilisant des systèmes de ventilation naturelle ou en utilisant l’intelligence artificielle pour gérer la consommation énergétique. Il est aussi possible de miser sur l’intégration de composants recyclés ou recyclables dans les infrastructures matérielles du cloud et de faire appel au développement de logiciels et de services numériques conçus pour minimiser la consommation de ressources.
A l’échelle de Monaco, est-il envisageable de disposer d’une véritable « souveraineté numérique » ?
À l’échelle de Monaco, l’idée d’une véritable souveraineté numérique est ambitieuse, mais pas impossible. Il y a plusieurs défis structurels et stratégiques. Si on définit la souveraineté numérique comme la capacité d’un État à contrôler ses infrastructures, ses données, ses technologies, sans dépendre totalement d’acteurs étrangers, pour Monaco, cela signifie héberger ses données sensibles sur son territoire ou sous des juridictions contrôlées, mais aussi protéger les infrastructures numériques critiques contre les cybermenaces, et développer une autonomie technologique, même partielle, dans certains secteurs clés. Cependant, à l’échelle d’un micro-État avec une population limitée, cette souveraineté doit être adaptée aux réalités locales et reposer sur des collaborations stratégiques.
Le fait que Monaco soit un micro-Etat pèse de quelle manière sur cette question ?
La petite taille de Monaco peut être un atout pour mettre en place rapidement des infrastructures modernes et adaptées, sans les contraintes d’un grand territoire. De plus, Monaco dispose de ressources financières importantes qu’il peut consacrer, en partie, à ses infrastructures technologiques, comme il l’a fait pour le lancement de son cloud souverain. Viser une autonomie totale semble impossible et peu souhaitable, mais Monaco peut s’appuyer sur des partenariats avec des entreprises technologiques de confiance, souvent européennes. Monaco peut aussi adopter rapidement des réglementations spécifiques en matière de données et de cybersécurité. Mais même avec tout ça, Monaco reste dépendant de technologies étrangères, souvent dominées par des géants comme les États-Unis ou la Chine.
Cette dépendance à des technologies étrangères débouche sur quelles conséquences pour la principauté ?
Cette dépendance rend difficile une souveraineté numérique complète, et l’Etat devient une cible potentielle pour des cyberattaques. Monaco peut viser une souveraineté numérique sur des domaines spécifiques, comme le contrôle des données sensibles, avec le cloud souverain comme pilier central. Il peut aussi se positionner comme un laboratoire de la souveraineté numérique à petite échelle, et attirer des entreprises technologiques et des startups grâce à un cadre de confiance spécifique.
« La Principauté devra continuer d’investir dans ses infrastructures technologiques et dans ses capacités de réponse, renforcer sa collaboration internationale pour surmonter les obstacles juridiques transfrontaliers, et adopter des mesures encore plus strictes contre le blanchiment d’argent via les cryptomonnaies »
On a le sentiment que le nombre de cyberattaques se multiplie ces dernières années : aucun Etat, ni aucune entreprise, ne sont à l’abri d’une cyberattaque ?
Oui, c’est exact, c’est ce que montrent plusieurs données. Les attaques sont devenues non seulement plus fréquentes, mais également plus sophistiquées et plus variées. Il y a une diversification des attaquants, et les cyberattaques sont désormais une arme géopolitique à part entière. Aucun État, ni aucune entreprise, ne sont totalement à l’abri d’une cyberattaque, quelle que soit leur taille, leur secteur d’activité, ou leur niveau de préparation. Les cyberattaques se sont généralisées à une telle échelle que tout acteur numérique peut devenir une cible, soit par opportunisme des pirates, soit pour des raisons stratégiques ou idéologiques.
Que faire face à ce constat ?
Cela ne signifie pas qu’il faille accepter la fatalité, mais plutôt reconnaître l’importance de la préparation, de la collaboration et de la proactivité pour minimiser les risques et limiter les impacts. La cybersécurité doit être vue comme un processus continu d’amélioration et de soins, plutôt qu’un objectif à atteindre une fois pour toutes, dans un conflit ouvert et frontal.
Pour les hackeurs, le déploiement de l’intelligence artificielle a-t-il changé la nature de leurs attaques ?
Le déploiement de l’intelligence artificielle a profondément modifié la nature des cyberattaques, rendant les hackeurs plus efficaces, plus rapides, et plus difficiles à détecter. Si les technologies d’intelligence artificielle offrent des outils puissants pour renforcer la cybersécurité, elles sont également exploitées par les cybercriminels pour concevoir des attaques plus sophistiquées. Plusieurs types de cyberattaques sont facilités par l’intelligence artificielle. Par exemple, les “ransomwares” [un « rançongiciel » est un logiciel informatique malveillant qui chiffre et bloque les fichiers contenus sur un ordinateur et demande une rançon en échange de la clé permettant de les déchiffrer — NDLR] exploitant l’intelligence artificielle sont capables de localiser les données critiques d’une organisation et de les chiffrer avec une précision redoutable. Ils peuvent également analyser les probabilités de paiement de la rançon, et ajuster les demandes en fonction de la taille de l’entreprise ou de son secteur.
L’intelligence artificielle ouvre quelles autres possibilités pour les hackeurs ?
L’intelligence artificielle permet de collecter et d’analyser des données massives sur des cibles spécifiques, comme des dirigeants d’entreprises. Ces attaques ultra-ciblées, appelées “spear phishing”, sont beaucoup plus convaincantes et difficiles à repérer. Les attaques par déni de service distribué (DDoS) sont aussi renforcées par l’intelligence artificielle, tout comme le cyberespionnage où l’intelligence artificielle est utilisée pour analyser de grandes quantités de données volées à des organisations ou à des gouvernements, afin d’en extraire rapidement des informations sensibles. Ces menaces nécessitent une réponse sophistiquée, qui, idéalement, combinerait technologies avancées, formation et collaboration internationale.
« Les ordinateurs quantiques assez puissants pour briser la cryptographie classique n’existent pas encore, mais les chercheurs estiment qu’ils pourraient arriver dans une dizaine ou dans une vingtaine d’années. Cependant, les attaques possibles sur les systèmes existants sont déjà un sujet de recherche pour anticiper cette évolution »
Qu’est-ce qui peut intéresser les hackeurs dans un micro-Etat comme Monaco ?
Malgré sa petite taille, Monaco présente plusieurs éléments susceptibles d’intéresser les hackeurs, notamment sa richesse, son rayonnement international et sa position stratégique. Ce qui intéresse les hackeurs à Monaco varie des données financières et économiques sensibles aux données personnelles des résidents. La principauté dispose d’une population riche et influente, composée de célébrités, de dirigeants d’entreprise, de membres de familles royales… Il y a un autre sujet, qui est moins spécifique à Monaco, mais qui est bien présent aussi, c’est la question des données de santé. De plus, en tant que centre mondialement connu, Monaco peut être une cible pour des attaques visant à perturber ses infrastructures critiques comme les transports, l’énergie, et la communication, surtout lors d’événements majeurs comme le Grand Prix de Formule 1 (F1), d’autres événements sportifs, ou pendant des forums économiques, par exemple. En raison de son positionnement diplomatique et économique, Monaco est un lieu où se croisent des intérêts internationaux. Les communications diplomatiques ou les relations commerciales sont également des cibles.
Avec un tel profil, quels risques pèsent plus particulièrement sur Monaco ?
Pour toutes ces raisons, l’usurpation d’identité est une menace particulièrement préoccupante pour Monaco, en raison de son statut qu’on pourrait appeler de « microcosme élitiste ». Les résidents de Monaco, souvent très riches, représentent des cibles idéales pour des escroqueries sophistiquées. Une fois qu’une identité est usurpée, les hackeurs peuvent ensuite l’exploiter pour accéder à des cercles plus larges, des amis aux relations professionnelles, entre autres, créant un effet domino. Ces menaces appellent une vigilance constante et des mesures de cybersécurité renforcées, adaptées aux spécificités de Monaco.
La législation monégasque, française et européenne est-elle suffisante pour lutter contre les cyberattaques et punir les responsables ?
Monaco, en tant que micro-État doté d’une forte concentration de résidents fortunés, de banques privées et d’infrastructures stratégiques, doit adopter une approche robuste pour se protéger des cyberattaques. La législation monégasque, française et européenne offre déjà des cadres solides pour lutter contre la cybercriminalité, mais des ajustements pourraient être nécessaires. Monaco a ratifié la Convention de Budapest sur la cybercriminalité, qui constitue le premier traité international contraignant en matière de cybersécurité. Aussi, il dispose de lois spécifiques visant à protéger les données personnelles, alignées sur le règlement général de protection des données (RGPD) européen.
Et la France ?
La France possède un cadre légal avancé pour la cybersécurité, avec des institutions comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Le code pénal français prévoit des peines pour les cyberattaques : vol de données, piratage, diffusion de malwares, etc.
Quelle est la situation au niveau européen ?
Au niveau européen, le RGPD impose des normes strictes pour la protection des données personnelles. La directive Network and information systems (NIS) oblige les États membres à garantir un haut niveau de sécurité pour les infrastructures critiques. Et l’Union européenne (UE) a récemment adopté le règlement Digital operational resilience act (Dora), visant à renforcer la résilience numérique des entités financières. Mais ce cadre législatif a des limites, comme une application transfrontalière problématique. Certains États où opèrent des hackeurs, notamment la Russie ou la Corée du Nord, n’y participent pas, compliquant la poursuite des cybercriminels. Aussi, les peines prévues ne sont pas toujours dissuasives, surtout pour les pirates opérant dans des pays où ils bénéficient d’une forme de protection. Il faut noter aussi le problème, de longue date, lié au fait que les technologies avancent rapidement, rendant les cadres légaux parfois obsolètes.
Dans un tel contexte, quel positionnement peut adopter Monaco ?
Pour rester autant que possible à l’abri des cyberattaques ou de ses conséquences néfastes, Monaco devra continuer d’investir dans ses infrastructures technologiques et dans ses capacités de réponse, renforcer sa collaboration internationale pour surmonter les obstacles juridiques transfrontaliers, et adopter des mesures encore plus strictes contre le blanchiment d’argent via les cryptomonnaies.
« Les résidents de Monaco, souvent très riches, représentent des cibles idéales pour des escroqueries sophistiquées »
L’informatique quantique sera-t-elle une nouvelle menace ou une chance pour la cybersécurité ?
Les deux. Les ordinateurs quantiques assez puissants pour briser la cryptographie classique n’existent pas encore, mais les chercheurs estiment qu’ils pourraient arriver dans une dizaine ou dans une vingtaine d’années. Cependant, les attaques possibles sur les systèmes existants sont déjà un sujet de recherche pour anticiper cette évolution. Les systèmes de cryptographie classiques, qui protègent une grande partie des données et des communications dans le monde aujourd’hui, sont effectivement vulnérables face aux ordinateurs quantiques qui pourraient être, dans le futur, capables de résoudre des problèmes complexes en un temps record. Cette vulnérabilité pourrait exposer des données sensibles et perturber les systèmes financiers, politiques et commerciaux au niveau global.
L’informatique quantique peut aussi venir en aide à la cybersécurité ?
L’informatique quantique offre également des solutions pour renforcer la cybersécurité, comme le développement de nouveaux algorithmes de cryptographie post-quantique, la mise en place de réseaux de communication quantiques inviolables grâce à la distribution de clés quantiques, ou l’optimisation de la détection des cyberattaques, grâce à l’intelligence artificielle quantique.
Pour revenir au début de notre dossier « Monaco face au péril des cyberattaques », cliquez ici.
