Cybersécurité : coupable insouciance libanaise

Depuis quelques années, s’installe dangereusement à travers le monde une « fatigue » induite par la répétition des actualités de fuites de données, sous forme de péridurale qui accompagne la mise au monde d’une pléthore de services numériques dans un climat de défiance, lié notamment aux questions qu’elles soulèvent en matière de préservation de la vie privée et de principes élémentaires de respect des droits et libertés fondamentaux des citoyens. Et le Liban n’est pas en reste : en 2012, alors que le pays du Cèdre avait subi des attaques virales de grande ampleur – notamment celle connue sous le nom de Gauss, conçue pour espionner les banques libanaises –, un doux mélange de communication hasardeuse et de faux sentiment de sécurité flottait dans l’air à l’époque. Une impression similaire semble se dégager depuis les révélations faites par le journal al-Akhbar, dans son édition du 6 juillet, sur le piratage récent de données informatiques d’un fournisseur local d’accès à internet de grande envergure. On y dévoile, sans trop de détails, qu’Ogero, véritable épine dorsale de l’internet au Liban, a aussi été piraté ; et qu’à travers cet ancrage « vital », les assaillants se sont propagés dans d’autres systèmes d’information, dans le public – y compris au sein des forces de l’ordre ! – comme dans le privé – des établissements bancaires (à l’identité non révélée) ayant notamment été atteints. 

Sécurité par la transparence
Face à ce scandale, force est de constater que plusieurs questions restent pour l’instant sans réponse. La plus évidente – « À qui profite le crime ? » – nécessite d’attendre que soient dévoilées les conclusions de l’enquête du juge d’instruction de Beyrouth. Mais il en est une autre, soulevée d’emblée par l’absence de réaction publique officielle ou d’indignation citoyenne face à une attaque pourtant qualifiée comme étant « la plus large de l’histoire du Liban » : assiste-t-on à une énième démonstration de la résilience libanaise ou à une insouciance coupable ? 

Ce serait bien surprenant, pour un pays encore soumis à un semblant de « secret bancaire », qui fait face à des menaces terroristes persistantes, et se vante d’avoir contribué à la rédaction de la Déclaration universelle des droits de l’homme, qui stipule notamment que « nul ne sera l’objet d’immixtions arbitraires dans sa vie privée (…) ou sa correspondance, ni d’atteintes à son honneur et à sa réputation » et que « toute personne a droit à la protection de la loi contre (…) de telles atteintes » (art. 12).

Ce genre d’affaire, telle que relatée et traitée par les parties prenantes, est symptomatique du mal de ce siècle. Je suis d’ailleurs de ceux qui croient foncièrement en la sécurité par la transparence et la pédagogie et non par l’obscurité ou le sensationnalisme. D’où l’importance, pour les médias et les pouvoirs publics, d’aborder avec beaucoup d’égard ces sujets très virtuels et peu tangibles pour le commun des mortels. Notamment en posant les bonnes questions. Par exemple : l’information la plus pertinente est-elle la quantité de données subtilisées ou l’impact réel de cette exfiltration sur la compétitivité des entreprises touchées et la vie privée des citoyens ? 

Autre question légitime : le Liban a-t-il vraiment fait le choix de protéger ses « secteurs d’importance vitale », pour reprendre la définition en vigueur en France ? C’est-à-dire des secteurs constitués d’activités qui « ont trait à la production et la distribution de biens ou de services indispensables comme la satisfaction des besoins essentiels pour la vie des populations ; l’exercice de l’autorité de l’État ; le fonctionnement de l’économie ; le maintien du potentiel de défense ; ou la sécurité de la nation » ; ou qui « peuvent présenter un danger grave pour la population ».

Doctrine de cyberdéfense
L’enjeu est de taille : dans une économie mondialisée, les start-up libanaises du numérique, par exemple, ne pourront pas se développer à l’international sans respecter les réglementations sur la vie privée, à l’instar du règlement européen sur la protection des données (RGPD), dont l’application est extraterritoriale. Les banques libanaises ne pourront pas se développer hors de nos frontières sans respecter un paquet réglementaire et normatif de plus en plus dense. Les services de sécurité ne pourront plus se partager des informations « fiables » sur la menace, principalement terroriste, si leurs systèmes d’information sont compromis et leurs données souillées, etc.

La confiance est la clé de voûte d’une économie solide et d’un État « fort ». La confiance est le fondement d’une transformation numérique durable des secteurs public et privé. Nous sommes nombreux à tenter d’éduquer, de réguler, d’assainir les usages numériques, justement pour préserver cette confiance en ce monde numérique de plus en plus quotidien et « vital », et pour éviter l’amorce d’une défiance dans le numérique. 

Il est grand temps pour le Liban de se doter d’une stratégie de sécurité dans le numérique et d’une doctrine de cyberdéfense. Les bonnes volontés et les compétences sont là. Il faut les mobiliser et les orchestrer sous une gouvernance éclairée, non seulement pour préserver l’économie et la sécurité de la nation, mais aussi pour protéger dès la conception les prochains secteurs d’importance vitale que sont ceux du pétrole et du gaz, qui promettent tant pour le Liban. Cette stratégie triennale devrait donner naissance à une agence nationale de sécurité du numérique, instance interministérielle rattachée au Premier ministre. Elle devrait identifier les secteurs et les opérateurs libanais d’importance vitale et leur imposer des règles rigoureuses de sécurité, régulièrement contrôlées par des instances indépendantes et optimisées dans un cycle d’amélioration continue.

En 1997, le pape Jean-Paul II qualifiait le Liban de « pays-message », en référence notamment à son pluralisme religieux. Il reste désormais à prendre conscience que la préservation et le développement de la capacité du Liban à incarner ce message passe aussi par la protection de son épine dorsale numérique. 

Fondateur et PDG de Sekimia, une société de conseil en cybersécurité, et cofondateur du chapitre français de l’ISSA (Information Systems Security Association).