Twitter, Nintendo, Garmin, Ledger ou encore la plateforme de prise de rendez-vous médicaux Doctolib… Toutes ces firmes ont été victimes ces dernières semaines d’un piratage informatique, avec parfois des vols de données importants. Ces cyberattaques, qui ont tendance à se multiplier, rappellent que la sécurité informatique ne peut être garantie à 100 %. En principauté, l’Agence monégasque de sécurité numérique (AMSN) est chargée de détecter et de traiter toute attaque visant les systèmes d’informations de l’État. Un rôle ô combien important, à l’heure où le pays s’est lancé dans la dématérialisation progressive de ses services publics. Monaco Hebdo a rencontré en février 2020 son directeur, Dominique Riban.
Depuis le 1er janvier 2020, les employeurs de la principauté peuvent mettre en place la dématérialisation des bulletins de paie : comment ça marche ?
Le principe, c’est qu’au lieu d’envoyer un bulletin de paie papier, on envoie soit un lien, soit un document électronique. Et la personne retrouve son bulletin de paie habituel sous forme électronique. L’objectif étant que ces documents reçoivent normalement un cachet électronique.
À quoi sert ce cachet électronique ?
Ce cachet électronique permet de garantir que le bulletin de paie a bien été envoyé par l’employeur. Il donne une certaine authenticité au document. Ce qui ne veut pas dire qu’il est exact. Il dit simplement que c’est bien l’entreprise X, via son bureau RH [ressources humaines – N.D.L.R.], qui a envoyé le bulletin de paie.
Comment fonctionne ce cachet électronique ?
Un cachet électronique est un service délivré par des entreprises spécialisées. Il y a tout un processus de qualification. Elles délivrent un cachet électronique, qui correspond à un morceau de code informatique. Il est basé sur ce qu’on appelle un certificat, qui est aussi un morceau de code, qui permet de garantir le contenu du cachet électronique. C’est un peu comme à la Poste ou le cachet d’entreprise. Il y a besoin d’un certificat électronique qui est un morceau de code, qu’on associe à la forme électronique du document. Les deux sont enchevêtrés et permettent de garantir que le document émane bien de la source.
Une fois le document émis, où est-il stocké ?
Ça, c’est le problème de l’entreprise. Il existe plusieurs solutions. Soit elle lui envoie par email et après, c’est au destinataire de savoir ce qu’il en fait. Il l’imprime, il le range, le met dans un disque dur… Soit l’employeur peut le déverser dans un coffre-fort électronique dont aujourd’hui (1), la forme et les référentiels ne sont pas encore définis. Car le but d’un référentiel, c’est de garantir la fonctionnalité du coffre-fort. Aujourd’hui, ce n’est pas encore défini. Ça existe, mais ce n’est pas garanti par le gouvernement.
D’un point de vue sécurité, quelle est la mission de l’AMSN ?
L’AMSN n’intervient que sur l’admission du certificat et la qualification du prestataire qui va fournir le cachet. Pour faire la comparaison avec les timbres et les tampons humides, il y a un service qui garantit que l’entreprise existe bien avec un numéro SIRET, KBIS… C’est ce que je fais, moi, dans le certificat, en quelque sorte. Je vérifie aussi que celui qui appose le cachet est bien autorisé à le faire. On le confie à un prestataire de service de confiance qu’on appelle un PSCO. Ce sont les gens qui fournissent les cachets, les signatures, les horodatages…
Vous avez donc toute une liste de prestataires ?
Non, pas encore. On est en train de la bâtir. C’est un travail que l’on a entrepris depuis maintenant presque trois ans. Mais c’est très long à faire parce qu’il y a beaucoup de règles, il y a beaucoup de sécurité à y mettre, beaucoup de points à analyser. Il faut faire des référentiels, qualifier les entreprises, qualifier les matériels… Il y a donc toutes des vérifications à faire pour garantir in fine le sceau que l’on va apposer, soit sous forme de signature, soit sous forme de cachet, soit sous forme d’horodatage ou autres.
La sécurité est-elle garantie à 100 % avec les cachets électroniques ?
Aujourd’hui, on a tout le dispositif réglementaire qui nous permet de le faire. On est en train de mettre en place la plateforme qui va permettre de donner ces certificats, de définir les services de cachets, signatures… La plateforme est quasiment prête, mais pas encore totalement.
Mais la sécurité est-elle garantie à 100 % ?
Sur les certificats, oui. Mais le 100 % n’existe jamais. Il y a toujours des petits malins qui s’amusent à falsifier, moins facilement de façon électronique que de façon « papier ». Façon « papier », ce n’est pas très difficile. Aujourd’hui, avec les logiciels de photo, on modifie les trucs. Ce sera plutôt plus « secure », mais ce n’est jamais à 100 %. Il peut y avoir un défaut, une faille, une vulnérabilité dans le système… Mais ce qui est sûr, c’est que nos certificats sont faits ici [dans les bureaux de l’AMSN – N.D.L.R.]. Et vous avez pu constater qu’on n’y entre pas facilement. Le travail est fait selon des référentiels qui sont contrôlés, où les prestataires sont contrôlés également. S’ils ne font pas bien leur travail, ils perdent leur qualification, et donc leur travail.
Comment sont contrôlés ces prestataires ?
Pour pouvoir vendre leur signature, leur cachet… ils sont obligés de venir chez nous pour avoir l’autorisation de le faire. C’est un sujet qui est très compliqué. Les services électroniques sont très compliqués.
L’AMSN intervient-elle sur la dématérialisation des services ?
Elle n’intervient pas directement sur la dématérialisation des services. Elle intervient sur la sécurité de la dématérialisation des services, ce qui est un petit peu différent. C’est-à-dire que tout service, tout système d’information de l’État quel qu’il soit, qui entre au service, doit avoir une homologation.
En quoi consiste cette homologation ?
L’homologation, c’est une analyse de risques qui est présentée à l’autorité responsable. On lui dit : « Voilà les risques techniques, humains, physiques qu’il reste sur le système : est-ce que vous les acceptez ou pas ? ». S’il les accepte, il en devient responsable, il assume. S’il ne les accepte pas car le risque est trop important, le chef de projet doit reprendre son devoir et mieux sécuriser. Ensuite, on va regarder si c’est mieux sécurisé, on refait une analyse de risques pour les représenter à l’autorité. Après, l’investissement peut être important pour un gain très faible. Le but est de responsabiliser les responsables de téléservices en disant : « J’offre un téléservice à mes usagers, mais je sais quel risque je prends, et il n’est pas plus important que ce que j’avais quand il était par papier ». Il est même en général plutôt moindre.
Ne rend-on pas plus vulnérable une information en la dématérialisant ?
Vous croyez aujourd’hui qu’une information est très sécurisée, même sur papier ? Je vous retourne la question. Si vous recevez votre fiche de paie dans votre boîte aux lettres, et que votre boîte ferme mal ou s’ouvre simplement avec un trombone, est-ce que vous croyez que votre bulletin de paie est plus sécurisé que par voie électronique, qui peut vous être envoyé chiffré, dans un coffre-fort ? Vous allez le consulter dans votre coffre-fort directement. Au lieu de vous le mettre dans une boîte aux lettres, on va le déposer dans un coffre-fort. Et il n’y a que vous qui pouvez l’ouvrir.
Ne craignez-vous pas le piratage ?
Si c’est bien fait, non. Si c’est bien fait, bien contrôlé, bien sécurisé et contrôlé à vie. Vous pouvez avoir une porte avec des serrures, des clés super sécurisées avec plein de points d’ancrage… si vous ne la vérifiez pas régulièrement, si vous ne vérifiez pas que ça marche proprement, et quand vous tournez la clé, tous les pivots sortent dans la porte… ça ne sert à rien. Là, c’est pareil.
Monaco, où beaucoup de richesses circulent, n’est-elle pas une cible idéale pour les hackers ?
Je vous invite à lire la stratégie de la sécurité numérique de Monaco. C’est écrit noir sur blanc par le ministre d’État. Elle est sur notre site, vous pouvez aller la chercher, c’est écrit dedans. Objectif : faire de Monaco un coffre-fort numérique. Les vulnérabilités, elles ne viennent en général pas des services, quand c’est bien fait, bien contrôlé. Elles viennent des usagers.
« Conserver les données à Monaco permet de rester sous juridiction monégasque. S’il y a un problème, juridiquement ce sont les tribunaux de Monaco qui peuvent traiter »
Dominique Riban. Directeur de l’Agence monégasque de sécurité numérique (AMSN)
C’est-à-dire ?
Vous avez un téléphone portable, vous allez sur Internet, sur Yahoo, sur Facebook, sur Twitter… ces trucs-là, c’est pourri. Et pourtant, dans votre téléphone, vous avez plein de choses, vous avez toute votre vie. Vous avez vos photos de famille, des documents, les adresses et numéros de téléphone de vos copains et copines, de vos maîtresses… Il n’y a rien de plus pourri qu’un téléphone. La faute, elle vient de vous. Si vous ne mettez pas de choses sensibles dans votre téléphone, on ne vous les piquera pas. Moi, les numéros de téléphone sensibles ne sont pas dans mon téléphone personnel, mais dans mon téléphone crypté. Je n’ai pas Facebook, ni Twitter… parce que je sais que ce n’est pas sûr.
L’erreur vient donc des usagers ?
En général, l’erreur vient de l’usager, elle ne vient pas du service. Vous ouvrez votre bulletin de solde, vous le laissez sur votre bureau. Il fait chaud, vous ouvrez la fenêtre, un courant d’air, la feuille s’envole, elle fout le camp. Elle tombe dans la rue, n’importe qui peut la ramasser.
Il est pourtant très facile et rapide de récupérer un tas de données sur une clé USB ?
Le risque est le même quand vous allez dans un service de l’État ou d’une entreprise, où vous trouvez la pile de bulletins de solde en attente d’être postés. Quelqu’un vient, les plie et les met dans une enveloppe. Est-ce que c’est plus sécurisé ça ?
L’information autour des risques du numérique est-elle suffisante ?
On diffuse des choses, des conférences. Je fais des interventions à la télévision monégasque, aux radios. On essaie. On n’est pas vieux, l’AMSN a trois ans d’existence. Quand je suis arrivé ici, il n’y avait rien. Les tables, les chaises… point à la ligne. Il n’y avait pas de stylo, pas une feuille de papier, pas un ordinateur. On fait monter, on sensibilise de plus en plus. C’est vrai qu’ici [à Monaco — N.D.L.R.], je le reconnais, c’était un peu « Bisounours ». Les gens n’imaginaient pas le risque qu’il pouvait y avoir. Notre rôle, c’est d’expliquer les règles… mais le monde ne s’est pas fait en un jour. Sur l’informatique, qui est tout neuf, il va falloir aussi du temps pour faire comprendre aux gens.
Quelles sont les missions de l’AMSN ?
Je vous renvoie à l’ordonnance souveraine qui crée l’agence monégasque. Elle est sur notre site et elle définit toutes les missions. Notre mission, c’est de faire de la veille, de l’alerte. C’est faire de la réponse à incident, du conseil. C’est ce que l’on fait tous les jours.
Concrètement, quels dispositifs ont été mis en place en cas d’attaque ?
On a plein d’informations qui viennent de nos partenaires étrangers, de tous les coins du monde. On fait partie de ce que l’on appelle le Forum of Incident Response of Security Team (FIRST), qui est un forum international d’entités qui traitent les incidents et les réponses à incident. Il y en a 483 dans le monde, on en fait partie. On échange des tas de données, d’informations de tout ce que les uns peuvent voir qui peuvent intéresser les autres.
Conserver les données à Monaco, c’est aussi un choix pour garantir la sécurité ?
Ça contribue à la sécurité. Il n’y a pas que ça, mais le fait que ce soit sur Monaco nous permet un, de savoir comment c’est fait puisqu’on peut aller le voir, le contrôler… et deux, de rester sous juridiction monégasque. S’il y a un problème, juridiquement, ce sont les tribunaux de Monaco qui peuvent traiter. C’est donc plus facile. Quand c’est à l’étranger, c’est plus compliqué. Vous êtes obligés de passer dans des relations internationales, vous êtes obligés de passer par des coopérations judiciaires d’autres pays qui coopèrent ou pas. Pour certains pays, vous pouvez leur demander tout ce que vous voulez, de toute façon vous n’avez jamais de réponse.
Et pour les entreprises qui souhaiteraient héberger leurs données ailleurs, sur des serveurs étrangers, comment ça se passe ?
D’abord, on leur conseille de ne pas le faire, mais plutôt de le faire à Monaco. Et s’ils veulent le faire à l’étranger, je n’ai pas de pouvoir pour les en empêcher. S’ils le font, on leur donne des conseils pour le faire le plus intelligemment possible. Sachant que ça tombe sous juridiction étrangère.
Pourquoi avoir choisi de dupliquer le cloud souverain au Luxembourg ?
Ce n’est pas au Luxembourg, c’est dans l’ambassade de Monaco au Luxembourg, dans la e-ambassade de Monaco au Luxembourg. C’est un territoire monégasque.
Mais dans un pays étranger ?
La juridiction est monégasque. C’est un accord gouvernemental entre les deux gouvernements. C’est voté par le parlement luxembourgeois. Il y a quand même un certain nombre de garanties derrière. Et les Luxembourgeois ne sont pas nos ennemis. On n’irait peut-être pas le faire dans d’autres pays.
Vous aurez quand même un contrôle là-bas ?
Bien sûr. De toute façon, dans le local, il n’y a que l’AMSN et les responsables informatiques qui rentreront. Personne d’autre.
On vante beaucoup les économies de papier, et donc les bienfaits environnementaux de la dématérialisation : mais qu’est-ce que cela génère en termes énergétique ?
Je ne sais pas répondre à ça. Aujourd’hui, je ne sais pas répondre pour plusieurs raisons. Ce qu’il faut comprendre, c’est qu’aujourd’hui, avant d’imprimer, on l’a déjà sur informatique. Donc vous avez une double peine. Vous avez à la fois le côté énergétique et à la fois le côté papier. Le jour où vous dématérialisez, ça va peut-être augmenter un petit peu le côté énergétique, parce qu’il va vous falloir, peut-être, un serveur de plus. Mais c’est « que dalle » un serveur aujourd’hui. Intuitivement, je pense que le gain est quand même très positif.
Les serveurs tournent pourtant 24 heures sur 24, 7 jours sur 7 ?
Oui, mais aujourd’hui, les serveurs ne consomment plus énormément. Ce qui consomme beaucoup, c’est le calcul. Les serveurs qui font du calcul consomment beaucoup. Mais les serveurs qui stockent de la donnée, ça ne consomme pas beaucoup. Et de toute façon, aujourd’hui cette donnée est déjà stockée. Vous pouvez demander à la direction des ressources humaines (DRH) du gouvernement, ils ont déjà tous les bulletins de paie sur informatique. Il y a juste l’envoi, la dépose dans un coffre-fort. Quand on voit le nombre de mails par jour qu’on peut recevoir et envoyer, c’est dérisoire. Je pense que le gain est positif, oui. Après, le valoriser c’est difficile. Autant on sait ce que l’on va économiser comme papier, c’est facile, autant on le saura que quand on l’aura complètement fait et on verra s’il y a une dépense énergétique supplémentaire. Mais à mon avis, elle ne va pas être énorme.
N’aurait-il pas fallu faire cette évaluation avant de lancer la dématérialisation ?
Non. Parce que c’est vraiment dérisoire.
On parle pourtant de plus en plus de pollution numérique ?
Ça, c’est autre chose. Ce n’est pas le même sujet.
C’est-à-dire ?
La pollution numérique, c’est quand on vous envoie tout et n’importe quoi : les spams, les « pubs »… Combien de fois par an vous consultez vos bulletins de salaire, à part quand vous le recevez pour vérifier que tout est bon ? Combien de fois par an vous allez rechercher votre bulletin de salaire ?
On parle aussi de pollution numérique pour le fonctionnement des serveurs, avec notamment le poids de leur consommation énergétique ?
Ça, vous l’avez déjà aujourd’hui. Donc la dématérialisation n’apporte pas grand-chose de plus. [Les serveurs] C’est quasiment une lampe électrique, une 100 watts. Les serveurs de stockage existent déjà. Le serveur qui va servir à envoyer tourne déjà, puisque c’est votre serveur email. Il existe déjà, il tourne déjà « H24 », donc que vous l’utilisiez un poil de plus ou un poil de moins, ça ne va pas changer grand-chose.
Il faudra tout de même de plus en plus de serveurs pour stocker les données dématérialisées, non ?
Non, parce qu’ils existent déjà. Quand vous avez un serveur email, si vous envoyez un email par jour ou 300 emails par jour, c’est la même chose. Votre serveur, il tourne.
Mais il tourne beaucoup plus avec 300 emails par jour ?
Faux. Ce n’est pas le fait d’envoyer le truc, c’est le fait qu’il tourne. C’est le ventilateur qui bouffe [de l’énergie — N.D.L.R.]. La partie électronique, elle tourne de toute façon, et ce n’est pas ça qui consomme. Ce qui consomme, c’est le ventilateur. Le ventilateur tourne « H24 », sinon votre serveur, il fume. Je vous dis, vous envoyez un email ou vous en envoyez 100, c’est transparent.
1) Cette interview a été réalisée le lundi 3 février 2020.
Protection des données Pour la CCIN, « la sécurité à 100 % n’existe pas »
À Monaco, un autre organisme joue un rôle majeur dans la sécurité numérique et la protection des données. Il s’agit de la commission de contrôle des informations nominatives (CCIN). Elle est chargée de contrôler et de vérifier le respect des dispositions législatives et réglementaires en matière de protection des données par les responsables de traitements. Indépendante, la CCIN vérifie notamment que les outils mis à disposition des usagers dans le cadre du développement du numérique sont totalement sécurisés. Même si, comme l’indique sa secrétaire générale, Agnès Lepaulmier, « on ne peut pas garantir hélas une sécurité à 100 %. Même sur un réseau extrêmement sécurisé, qui reste en interne à une entité, les risques existent ». Administrateur juridique de la CCIN, Florian Menini abonde dans son sens : « La sécurité 100 %, ça n’existe pas. […] Du moment qu’il y a de l’information disponible, un accès qui ne serait pas légitime peut autant se faire informatiquement. Le spectre des personnes étant beaucoup plus grand si c’est accessible sur Internet ». Pour autant, pas question de « se couper complètement du numérique », qui présente bien des avantages, notamment en termes d’accès à l’information. « Les gens veulent que leurs informations soient disponibles où qu’ils soient. Pour ça, le numérique est un outil fabuleux, sous réserve bien sûr que les informations soient protégées, où qu’elles soient », note Agnès Lepaulmier. Et à Florian Menini d’ajouter : « Avoir peur du numérique, ce n’est pas forcément comme ça qu’il faut présenter les choses. Mais avoir conscience des dangers du numérique, oui ». L’une des missions de la CCIN est d’ailleurs de sensibiliser la population aux risques de l’usage du numérique à travers différentes actions (interventions dans les associations et organismes professionnels, bulletins d’informations…). Car comme l’explique l’administrateur juridique, « la sécurité commence aussi dans le comportement des utilisateurs : protection des mots de passe, ce qu’on divulgue de nous-mêmes sur les réseaux… ». Concernant les risques de piratage, le texte de loi n°1.482 du 17 décembre 2019 pour une principauté numérique prévoit dans son article 25.1 que les prestataires de service de confiance notifient à l’AMSN et à la CCIN « toute atteinte à la sécurité dans les 24 heures ». Un devoir d’information et de signalement qui devrait être renforcé par la prochaine révision de la loi n°1 165 relative à la protection des informations nominatives. Datant de 1993, aux prémices d’Internet, celle-ci devrait subir « une refonte pratiquement totale pour introduire en droit interne le principe du règlement général sur la protection des données (RGPD) ». Car aujourd’hui, le RGPD n’est pas encore consacré dans le droit monégasque. « Le RGPD a toute une partie extraterritoriale. C’est-à-dire qu’il s’applique, sous certaines conditions, à des entreprises qui ne sont pas situées en Union européenne. Le RGPD a un impact à Monaco, même s’il ne s’applique pas d’une manière directe en droit interne », souligne la secrétaire générale de la CCIN, Agnès Lepaulmier. Le gouvernement princier envisageait initialement le dépôt d’un projet de loi au printemps 2020, pour un vote, après examen du Conseil national, en fin d’année 2020. La crise du Covid-19 a depuis quelque peu bouleversé ce calendrier.
