Illustration : Kenishirotie/Bigstock
Le Liban a connu, courant 2018, un florilège sans précédent d’affaires liées au cyberespionnage et à la cybersécurité. En janvier, éclate d’abord l’affaire « Dark Caracal », dans laquelle la Sûreté générale au Liban – un ou plusieurs de ses éléments – est soupçonnée d’avoir installé des logiciels malveillants dans les téléphones portables de milliers de personnes dans 21 pays, des logiciels acquis auprès de sociétés étrangères et visiblement pas très bien maîtrisés. S’ensuit, en mars, l’affaire « Ziad Itani », où Suzanne el-Hajj, ex-chef du bureau de lutte contre la cybercriminalité et de protection de la propriété intellectuelle au sein des Forces de sécurité intérieure, est soupçonnée d’avoir missionné, par vengeance personnelle, un pirate pour fabriquer de fausses preuves à l’encontre du dramaturge Ziad Itani. Enfin, en juillet, éclate au grand jour l’affaire « Khalil Sehnaoui », dans le cadre de laquelle un professionnel connu dans le milieu de la cybersécurité au Liban et à travers le monde est suspecté d’avoir orchestré un vol massif de données d’institutions sécuritaires, commerciales et financières, dans une opération qualifiée par le journal al-Akhbar de « plus grand piratage informatique de l’histoire du Liban ».
Si les responsabilités restent à établir par la justice dans ces différents dossiers – dont les protagonistes bénéficient de la présomption d’innocence – et que le Liban est loin d’être un cas à part – il suffit de songer au scandale Cambridge Analytica –, ces affaires soulèvent d’emblée un certain nombre de questions. À commencer par celle de la confiance que peuvent placer les Libanais dans les différents responsables sécuritaires et professionnels justement chargés de les préserver des menaces qui pullulent dans un univers encore mal apprivoisé par beaucoup d’entre eux.
Crimes et « approximations »
De fait, la cybersécurité est une discipline encore relativement jeune, et si dans certains pays, et pour certains secteurs dits « sensibles », des qualifications et des certifications « techniques » sont parfois obligatoires pour certains prestataires de services, l’exercice de ces métiers ne fait encore nulle part dans le monde l’objet d’une réglementation spécifique ou d’un code de déontologie semblable à ceux qui régissent ordinairement certaines professions (avocats, architectes, professionnels de sûreté, médecins, etc.).
Or, en l’absence de cadre ou d’ordre un tant soit peu universel, celles et ceux qui, dans le numérique, imaginent, conçoivent, développent, implémentent, évaluent, conseillent des individus et organisations de toutes tailles et de tous secteurs se trouvent de facto en proie à toutes sortes d’immixtions de caractère politique, économique, psychologique ou social. Évoluant depuis près de 20 ans dans cet écosystème, j’ai pu constater à quel point cette situation favorise et augmente les risques d’« approximations », voire de crimes dans ce secteur.
Qui ne voit pas les risques que fait peser à ses clients un professionnel qui raisonnerait ainsi : « Le concurrent a mis sur le marché un objet connecté, on va l’imiter au plus vite, fût-ce aux dépens d’un niveau minimal d’hygiène numérique » ? De même, comment prétendre être légitimement au service de ses clients lorsque l’on collecte indûment leurs données personnelles et qu’on les stocke dans des serveurs extraterritoriaux sans aucune protection ? Combien de prestataires ont pu céder à la tentation de pirater un client potentiel, puis de lui présenter « les preuves » de l’agression pour lui forcer la main? Comment avoir confiance lorsque même ceux qui sont en première ligne pour défendre la sécurité économique ou nationale de leur pays – ou protéger les droits de leurs concitoyens – sont en mesure de fabriquer des preuves à charge contre tel ou tel individu « posant problème » (d’ordre politique, social ou personnel) pour l’incriminer ?
Prestation de serment
Autant de questions légitimes que les pouvoirs publics, les citoyens et, surtout nous, les professionnels de la cybersécurité, ne pouvons plus nous permettre d’ignorer : pour permettre à la confiance de s’imposer comme clé de voûte de l’ensemble de l’écosystème, il est plus que jamais nécessaire de donner des garanties. Dans cette perspective, j’ai songé au serment d’Hippocrate, auquel doit se soumettre toute personne exerçant en médecine, et imaginé des commandements qui nous engageraient de la même manière. Des commandements tels que : « Je dirigerai le régime des cybervictimes à leur avantage, suivant mes forces et mon jugement, et je m’abstiendrai de tout mal et de toute injustice. Je ne remettrai à personne des logiciels malfaisants, si on m’en demande, ni ne prendrai l’initiative d’une pareille suggestion » ; « Dans quelque système d’information que j’entre, j’y entrerai pour l’utilité des cybervictimes potentielles ou avérées, me préservant de tout méfait volontaire et corrupteur » ; « Quoi que je voie ou entende dans la société pendant, ou même hors de l’exercice de ma profession, je tairai ce qui n’a jamais besoin d’être divulgué, regardant la discrétion comme un devoir en pareil cas » ; etc.
Cet acte symbolique pourrait ensuite servir de socle fondateur à l’élaboration d’un véritable code de déontologie définissant un certain nombre de règles et d’obligations propres aux professionnels du secteur. J’appelle donc de mes vœux la création d’une agence nationale libanaise de sécurité numérique, agence intergouvernementale rattachée aux services du Premier ministre, en charge de définir et de faire appliquer ce code de déontologie, en certifiant et en labellisant toute personne physique ou morale amenée à traiter des sujets de cybersécurité et de risques numériques.
En effet, pourquoi le Liban, qui a pu afficher aussi bien son ambition de s’imposer comme un « hub » numérique régional que l’étendue de certaines de ses fragilités dans ce domaine, ne saisirait-il pas ainsi l’occasion d’être, une fois n’est pas coutume, à la pointe de ce combat en imaginant un permis d’exercer en toute sécurité numérique ?
* Fondateur et PDG de Sekimia, une société de conseil en cybersécurité, et cofondateur du chapitre français de l’ISSA (Information Systems Security Association).
Lire aussi
Cybersécurité : coupable insouciance libanaise
commentaires (0)
Commenter