Avant de débuter mon article, je formule une interrogation et deux hommages. L’interrogation est d’avoir grandement hésité à écrire cyberresilience tout attaché mais visuellement peu « digeste » et donc d’avoir opté pour un cyber-résilience plus prudent [1]. Les hommages, ensuite. Le premier concerne bien évidemment les attaques lâches et sanglantes sur nos concitoyens ce funeste 13 novembre 2015. Je tiens à témoigner, sans doute de manière bien dérisoire, toute ma compassion aux familles des victimes, morts et blessés [2], et mon soutien sans faille aux forces de défense et de sécurité.
Ces événements ont masqué un autre événement, plus personnel, puisque trois jours avant, voilà deux années que le ciel rappelait à lui Cédric « Sid » Blancher. Je souhaite donc lui rendre hommage et vous invite, de temps à autre, à aller farfouiller sur sa « petite parcelle d’Internet » devenue une « petite parcelle » d’Eternité.
Passons maintenant aux rencontres C&ESAR 2015 qui viennent de se dérouler à Rennes du 23 au 25 novembre 2015. Le thème de cette édition 2015 était consacré à la résilience des systèmes numériques [3]. Si tout ou partie des intervenants y sont allés de leur définition de la résilience, ma préférence demeure sur la notion « d’impacts sur un système le conduisant à fonctionner en mode dégradé pour continuer à délivrer un certain nombre de fonctionnalités ». Si j’ai été enthousiasmé par certaines interventions, d’autres me laissent sur ma faim voire prêtent le flanc aux critiques pour non-maîtrise des fondamentaux [4] ! Mais passons et concentrons-nous sur les bonnes nouvelles et les tendances observées et à encourager.
Premièrement, il est indéniable que la volonté politique de développer un pôle d’excellence cyber (PEC) sur l’Ouest [5] de la France repose sur une réalité tangible : une filière « Défense » fortement représentée, des laboratoires de recherche et des universités dont l’excellence est reconnue. Enfin, un écosystème de startups et d’entreprises innovantes dynamique, ambitieux et créatif. Cela est ressorti au cours de ces trois jours, essentiellement de manière implicite, et au travers de nombreux signaux plus ou moins faibles.
Deuxièmement, la recherche fondamentale ou d’un niveau de TRL [6] embryonnaire n’est jamais aussi prometteuse que lorsqu’elle s’appuie sur de la matière opérationnelle et les personnes qui y sont impliquées, institutionnels et/ou privés. Ces rencontres m’ont donné l’impression que les chercheurs avaient enfin mis le nez hors de leurs cénacles et laboratoires. Et puisque l’un des maître-mots de cette édition était le partage des expériences et de l’information, dans l’air du temps, saluons cette bonne surprise.
Troisièmement, et l’avenir dira si c’est un moindre mal / un mal / une bénédiction, le partage et les travaux duals, c’est à dire du secteur de la Défense vers celui du civil/privé est un marqueur régional mais aussi, et sans doute, un axe à envisager sur le plan national voire européen. Si l’on connait la DGA-MI et surtout l’ANSSI comme stimulateurs de travaux multi-sectoriels et transversaux, il n’est pas dit qu’ils soient les plus en pointe sur cette nécessité de décloisonnement. Il y a bien sûr nécessité à protéger vigoureusement travaux et résultats sensibles, mais de façon smart. S’inspirer de ce que savent (bien) faire sur ce sujet les Anglo-saxons et les Israéliens, par exemple, ne nous conduira pas à renier nos particularismes, pour certains positifs.
Quatrièmement, et même si de mon point de vue c’est encore trop timide, plusieurs intervenants ont souligné l’importance voire l’incunable des aspects humains et psychologiques en matière de résilience et, plus généralement, de cybersécurité. Traiter et discourir de résilience en ne se focalisant que sur les systèmes, les outils et les logiciels serait comme vouloir faire la guerre en étant doté du QI d’Einstein tout en étant frappé d’hémiplégie ! Martelons-le de nouveau et en chœur : résilience = technique + processus + humain (+ psy + cognitif). Pour qui me lit : tout prochain colloque, séminaire ou conférence sur la résilience qui ne convierait par l’un des quelques experts des « sciences molles » (anthropologie, psychologie, sociologie) que nous avons la chance d’avoir en France, sera privé d’invitation aux prochaines Assises de la Sécurité à Monaco [7] ! Au passage, ces dernières seraient bien inspirées d’introduire quelques rump-sessions de celles entendues à C&ESAR : techniques et pointues donc au-delà du business et des propos souvent convenus.
Cinquièmement, et pour en terminer, les participants ont pu noter la sous-représentation féminine de l’auditoire. L’espoir réside dans les présentations de plusieurs intervenantes, jeunes mais indubitablement brillantes. Pour des raisons essentiellement pratiques et opérationnelles, « injecter » plus de jeunes et notamment de femmes dans la communauté cyber ne pourra qu’être un progrès qualitatif. Je lance donc un appel aux entreprises, grands groupes et PME, pour s’interroger comment ils pourraient inciter à créer ce mouvement ? La promotion des effets bénéfiques du cyber (ingénierie des comportements et haute-technologie, sécurité des sociétés et des systèmes industriels, gains économiques et emploi, par exemple) devrait être encouragée dès le collège afin de donner l’envie aux plus jeunes d’apporter talents, énergie et idées à une filière d’avenir.
Pour conclure, cette 22ème édition des rencontres C&ESAR constitue une bonne surprise tant par la qualité des présentations que des échanges. L’organisation sans faille et attentive est à saluer tandis que l’avenir de la cybersécurité et de la cyberdéfense en France semble promis à de beaux jours. Les volontés sont présentes, les pôles d’intérêt se constituent et l’animation de cet écosystème se structure. La passion étant au rendez-vous, arguons que ces rencontres tiennent une place de choix entre les Assises de Monaco et le FIC de Lille qui se tiendra dans moins de deux mois. Autant d’événements d’envergure qui soulignent le dynamisme français dans le cyber et les raisons pour lesquelles il faut croire en des jours meilleurs.
Note : le choix de la photo pour illustrer cet article n’est pas anodin et souhaite saluer l’énorme énergie qu’il a fallu aux deux auteurs / co-directeurs de l’ouvrage francophone de référence « Cybersécurité des systèmes industriels » que j’encourage à acquérir puis à lire.
[1] Si quelqu’un peut m’éclairer, ce blog lui est ouvert…
[2] Physiquement et/ou psychologiquement
[3] parler de « systèmes numériques » est-ce franchir le Rubicon des systèmes d’information (SI) ?
[4] Il ne s’agit pas pour moi de dénoncer tel ou telle. Simplement signaler qu’il est sans doute préférable d’explorer un domaine en y progressant avec de la mesure voire une certaine humilité. Tout « docteur » que l’on soit !
[5] et même le grand Ouest si l’on considère le rayonnement de Rennes à Brest en passant par Lannion, Lorient et Vannes qui pourrait/devrait se prolonger, évidemment, vers Nantes mais aussi la Normandie, les Pays de la Loire, Vendée, Charentes et Gironde !
[7] il s’agit ici d’une blague, l’auteur de ce blog n’ayant absolument aucune prise sur les Assises…
]]>