Entretien avec Ariane MALZAC, membre du CEPS, à la tête de Publisecure, structure de conseil en gestion de crise, lobbying et intelligence économique

CYBER : l’Homme ne doit pas céder sa place
Ariane, vous avez travaillé 20 ans dans des groupes tels que la Lyonnaise des Eaux, Suez, EADS ou Brink’s  et par ce fait vous avez été confrontée à des crises très variées. Est-ce que le développement de l’espace numérique menace aujourd’hui, plus que jamais nos intérêts vitaux ?
 
Smart cities, digitalisation des entreprises, dématérialisation des flux financiers, voitures autonomes…formidable essor des technologies dans le cybersespace ! Toutes les entreprises ont à cœur de prendre le fameux virage qui les rendra disruptives,  compétitives, en un mot modernes….
 
De pair avec la fluidité et la transversalité des nouveaux modes d’organisation, le Cloud répond au désir d’échange, de partage, de mise en commun, toutes fonctionnalités présentées comme vitales sous peine de ringardise : la 3eme révolution industrielle est largement entamée, le 4e révolution se profile, pas question de passer à côté.
 
Les récentes attaques fort médiatisées rappellent que cyberattaques et cyberguerre ne sont pas vaines menaces, mais bien réalités quotidiennes : dès 2009, Nicolas Arpagian nous éveillait au sujet…autant dire il y a un siècle au vu de l’accélération du processus.  Depuis, le club Etat d’alerte du CEPS nous permet de comprendre enjeux et progrès, et l’amiral Coustillère nous rappelle régulièrement, sans langue de bois, à une dure réalité qui contraste parfois avec l’enthousiasme légitime des inventeurs de notre futur.  Du côté de l’industrie, Hervé Guillou, du temps d’EADS Defence Services, portait déjà le discours de la vigilance et du refus de l’angélisme….mais avec quel impact ?
 
Car les perspectives économiques induites par le cyber au sens large a rendu les entreprises – et leur dirigeants – accros au digital. Qui n’a pas sa convention « Transformation digitale des organisations » ? Les DSI sont sortis du bois des fournisseurs de services en interne pour apparaître dans la pleine lumière des porteurs de l’avenir de l’entreprise. De l’autre côté du cyber-gué, les RSSI sont nés pour tenter de tempérer, sécuriser, en un mot contenir les ardeurs de la dématérialisation à tout va.
 
Compte tenu que le virage de la modernité est pris, quel est votre niveau de certitude concernant l’aspiration d’atteindre  une « sécurité protectrice » de nos systèmes et finalement de notre environnement connecté ?
 
Personnellement, je ne suis pas rassurée du tout : je suis persuadée que 
 
1. Aucun système n’est sûr et sécurisable : l’ingéniosité malveillante de l’homme est sans limite, de même que l’imprudence des utilisateurs (avez-vous TOUS installé le fameux patch de Windows ??)
 
2.  Le premier cybermort est à venir : la prise de contrôle potentielle de la centrale EDF de Daoulas (2 morts de froid dans la maison de retraite) ou de l’aiguillage d’Argenton sur Creuse (15 morts dans la collision de deux TER) promet un impact anxiogène dans le public bien plus grand que le versement d’une rançon en bitcoin.
 
3/ L’image du hacker à capuche est l’arbre qui cache la forêt : la mise en péril économique d’une entreprise permet des réactions en chaîne qui dépasse le bidouillage du geek, fût-il instrumentalisé par une organisation structurée. Déni de service ou arrêt des échanges informatiques, sur des durées qui s’allongent au fil de la complexité des virus, signifient mise au chômage technique, alerte sur les résultats, impossibilité de satisfaire les revendications salariales, troubles sociaux, etc….sans parler de la dégradation de l’image. Plus viral que les fusillades de terrasses, plus en phase avec la stratégie de nos ennemis qui est de déstabiliser nos fragiles équilibres pour nous amener à la guerre civile.
 
Comment réconcilier l’extraordinaire progrès des technologies, l’intelligence (pas artificielle) de l’Homme qui en est à l’origine, avec la nécessité de diminuer notre vulnérabilité ? Comment faire cohabiter la liberté d’invention et la conviction que sa mise en œuvre peut porter en elle des germes de destruction de nos intérêts vitaux ?
 
Je ne crois pas à la redondance cyber, autrement dit aux contrefeux conçus pour remplacer ou restaurer un système attaqué : ils seront à leur tour pénétrés et neutralisés. Je ne crois qu’en L’Homme et à sa capacité de réaction, d’inventivité et de résilience : c’est lui qui doit être le back-up, physique, tangible et matériel.
 
Prenons une usine, surveillée par des robots, dont les données convergent vers un PC unique pour toutes les usines du groupe, PC lui-même situé dans un pays où la main d’œuvre est économiquement intéressante. Une cyberattaque rendra le système aveugle avec des risques industriels en prime si les robots surveillaient non seulement les intrusions mais aussi, par exemple, la température des cuves de composants chimiques de la production industrielle de l’usine.
 
Ce ne sont pas les forces conjuguées de la DSI, du RSSI, des intégrateurs, installateurs et autres câbleurs qui suffiront à résoudre la crise : une force supplétive d’intervention rapide, positionnée à proximité, capable de remettre en marche manuellement les opérations permettra un fonctionnement, même en mode dégradé, le temps que la maîtrise digitale soit restaurée.
 
L’Homme au cœur du système pour toujours ?
 
Je suis convaincue que l’homme doit être intégré comme élément de solution dès la conception des processus de résolution des crises.  C’est cette composante humaine qu’il faut prévoir « by design », à l’heure du tout digital : l’homme ne peut, ne doit pas laisser la main à la machine. Le danger ne vient pas des terreurs orwelliennes d’un temps à venir où les robots dirigeraient les hommes, mais bien de la guerre que nos ennemis nous livrent en détruisant ou affaiblissant notre économie.  
 
L’émergence de nouveaux métiers, pour certains encore inconnus, ne doit pas nous faire oublier que tous ne deviendront pas des experts digitaux : il faut qu’il y ait de la place pour d’autres profils, personnel de sécurité et de maintenance hors numérique qui seront néanmoins acteurs de la 3eme puis de la 4e révolution, pour garantir leur essor et leur pérennité.
 
 
Membre du CEPS, Ariane MALZAC est aujourd’hui à la tête de PUBLISECURE, structure de conseil en gestion de crise, lobbying et intelligence économique, elle est aussi Colonel de réserve opérationnelle de l’armée de l’air. Au carrefour du privé et du régalien, elle a à cœur d’installer des passerelles efficaces et collaboratives entre ces deux mondes.