Note d’actualité: L’horizon 2025 : un tournant majeur pour la sûreté des entreprises?

Par Lionel POMMARAT, le 16 septembre 2019

Les praticiens et théoriciens de la gestion de crise constatent la convergence et la concomitance de plusieurs phénomènes micro, macro et meso, ainsi que des travaux en phase d’élaboration qui semblent entériner pour les années à venir la prééminence des questions de sûreté des entreprises.

La sûreté des entreprises : des mutations récentes et un périmètre grandissant

La fonction sûreté des entreprises est le fruit de problématiques relativement récentes. Elle s’est naturellement développée prioritairement au sein des grandes entreprises internationales françaises, des industries et entreprises cotées en bourse. Pour bon nombre de structures de taille modeste et intermédiaires (Start-up, TPE, PME et ETI), qui représentent l’essentiel du tissu économique français[1], les problématiques de sûreté sont le plus souvent intégrées à la gouvernance de l’entreprise, et peuvent par conséquent être assumées directement par le ou les dirigeants de l’entité en question, éventuellement avec l’aide ponctuelle de consultants extérieurs spécialisés.

Sur cette typologie d’entreprises, les problématiques de sûreté peuvent de facto se voir plus ou moins occultées, en fonction de la sensibilité du dirigeant à cet aspect et de sa tolérance au risque, ou du degré global de disponibilité (ressources allouées, volume horaire consenti) accordé à ces questions.

Les attentes et exigences des clients et des diverses parties prenantes de l’entreprise[2], peuvent également exercer une certaine pression sur les dirigeants, les enjoignant ainsi à se saisir des problématiques de sûreté.

Par ailleurs, l’activité d’une entreprise, en ce qu’elle comporte comme risques intrinsèques et en fonction de sa portée géographique[3], ou de l’existence d’indicateurs de performances[4] sur de possibles pertes financières consécutives à des actes de malveillance, peuvent en outre être des paramètres incitatifs à se doter d’une organisation idoine.

Sur un plan « historique », on peut considérer que le sujet de la sûreté des entreprises françaises, est devenu une préoccupation plus concrète du fait de l’attentat de Karachi en 2002, et de l’établissement d’une jurisprudence éponyme avec obligation de résultat en 2004. Celle-ci alourdit la responsabilité de l’employeur en condamnant la Direction des Constructions navales pour faute inexcusable lors du décès de 11 de ses salariés des suites d’un attentat terroriste subi pendant un déplacement professionnel au Pakistan. La vague d’attentats terroristes de 2015, a en outre significativement contribué à accélérer le mouvement de création de « Directions sûreté » au sein des entreprises[5].

Cependant, ces aspects particuliers de la sûreté des collaborateurs à l’étranger que sont le « Duty of care »[6], et la protection des entreprises contre le terrorisme, sont loin d’être à eux seuls représentatifs des préoccupations actuelles d’une fonction sûreté d’entreprise.

Dans les faits, deux études récentes permettent de mieux appréhender certaines caractéristiques de la fonction sûreté. La première étude à laquelle nous nous référons est le « référentiel métiers de la sûreté sécurité corporate » du Club des Directeurs de Sécurité & de Sûreté des Entreprises (CDSE) paru le 8 mars 2019. Cette étude nous livre une cartographie qui dégage 14 grandes lignes de compétences illustrant le caractère désormais très hétérogène des métiers de la sûreté-sécurité :

La seconde étude à laquelle nous nous référons a été publiée en mai 2019 par le réseau d’experts de l’École de Guerre Économique, l’AEGE.

Elle nous livre une cartographie des métiers de l’Intelligence Économique[7], domaine fortement corrélé à la sûreté d’entreprise, et dresse un constat qui recoupe en partie la cartographie établie par le CDSE, puisque nous y retrouvons les 9 compétences suivantes (ou compétences connexes) sur les 14 compétences identifiées précédemment :

-Analyse des risques Sécurité-Sûreté (Prévention des risques)

-Intelligence et sécurité économique

-Déplacement professionnels et mobilité internationales (Risques pays)

-Prévention des fraudes (Audit, Due Diligence, Enquête financière)

-Protection de l’image et de la réputation

-Cybersécurité

-Protection de l’information (Contre-ingérence économique)

-Gestion de crise et continuité d’activité

-Déontologie et conformité (Enquête financière, Anti-corruption, Anti-blanchiment)

Par conséquent, nous constatons que la fonction sûreté devient prépondérante au sein des entreprises (enjeux de gouvernance et périmètre grandissant[8]), et qu’elle s’inscrit à ce titre dans une démarche de performance globale de l’entreprise[9]. Évoluant vers des problématiques de cybersécurité (protection de l’information et du patrimoine immatériel), elle réclame une approche pluridisciplinaire. Ceci résulte en partie de l’impact crée par la rapidité des évolutions technologiques et digitales.

Un contexte global qui interpelle

Nous vivons actuellement une période d’accélération technologique sans précédent. Souvent désignée comme une 4ème révolution industrielle[10] ou comme la « révolution numérique », celle-ci se caractérise par de multiples évolutions techniques telles que le Big data, le développement de l’intelligence artificielle, le Edge computing, l’internet des objets (Internet Of Things qui augmente la surface d’attaque des entreprises par la prolifération d’objets connectés au réseau. Ils sont souvent considérés comme mal sécurisés, ce qui représente un marché important[11]), la blockchain, et peut-être demain l’informatique quantique (qui en cas de concrétisation perturbera significativement la sécurisation de nos communications).

L’essor de ces nouvelles technologies entraîne une inévitable digitalisation et transformation numérique de l’ensemble de notre société, qui engage les entreprises françaises de toutes tailles et tous secteurs dans un processus inédit de création et d’adaptation de leurs activités. Ce phénomène de rupture peut,  parfois, inciter des dirigeants à décider dans une urgence relative[12] (pression du « time to market » ou délai opportun d’arrivée d’un produit ou d’un service sur le marché), et ainsi être un facteur déstabilisant pour les entreprises notamment sur le plan de leur sécurité[13].

Parallèlement à ce contexte, nous avons constaté qu’un certain nombre d’éléments sont susceptibles de produire des effets qui plaident pour une prise en charge effective de la fonction sûreté au sein des entreprises. En voici le détail ci-après :

– Un accroissement significatif de l’importance du patrimoine informationnel, celui-ci tend à devenir le centre de la valeur des entreprises[14]

-La domination technologique des États-Unis (Infrastructure de l’internet[15]), et de la Chine (composantes, réseau 5G[16]), dans un contexte patent de concurrence internationale exacerbée (usage récurrent de l’arme juridique extraterritoriale[17], Foreign Corrupt Practicies Act et Cloud Act au premier plan) et de déclin du multilatéralisme. Il en découle une forte incitation au protectionnisme économique.

– Subséquemment au point précédent, la souveraineté numérique française évoquée dans le Livre Blanc de 2013[18], est en cours d’élaboration (la commission d’enquête parlementaire « souveraineté numérique »[19] devrait rendre ses résultats en octobre 2019) ce qui confirme que notre approche nationale du sujet reste, à ce jour, encore perfectible.

– L’inéluctable généralisation du modèle de « Cyber reliance » des organisations (ou dépendance marquée de l’activité des entreprises à leur systèmes d’informations). Celui-ci fait de la cybersécurité la clef de voûte des entreprises contemporaines, et induit de facto la probabilité de survenance de crises « à caractère holistique et immédiat»[20] (R. De Vittoris). A l’instar du constat effectué lors de la prolifération mondiale des rançongiciels NotPetya et WannaCry, la prédominance du modèle de cyber reliance fait redouter des risques d’impact majeur et instantané sur l’ensemble d’un écosystème d’organisations.

– Globalement ce phénomène rejoint un constat plus ancien : celui de la progression et de la récurrence de chocs « hors cadre » qui « disloquent nos environnements et socles de référence »[21]. Au premier plan de ces chocs, on distingue la violence et le défi représenté par la gestion d’événements liés au dérèglement climatique, entraînant des conséquences en cascade.

– La complexité croissante des crises, notamment dues à des problématiques d’interdépendance entre des entités qui évaluent et pilotent la gestion de crise dans des temporalités multiples (distribution aléatoire des événements, perception par les acteurs et temps de latence inhérent au feedback de leurs actions, temps de référence associé à la stratégie de multiples parties prenantes[22] (Thomas Meszaros). Ce paramètre perturbe significativement le processus décisionnel des organes confrontés au management de crise[23] (Thomas Meszaros).

– Une tendance à la disparition[24] (Raphael De Vittoris), ou au contraire la surabondance[25] (Alain Juillet) des « signaux faibles » qui permettaient auparavant le décèlement précoce, et parfois l’évitement ou la résolution rapide de risques et de crises.

– Un projet de norme ISO relatif au management de la sûreté des entreprises, porté par l’Institut National des Hautes Études de la Sécurité et de la Justice[26] (INHESJ) est en cours d’élaboration. Ce projet cherche à appréhender la mise en œuvre d’un système de management de la sûreté dans des

entités aux caractéristiques, sensibilités et moyens extrêmement diversifiés (Start-up, TPE, PME, ETI, Multinationales). Il pourrait préfigurer l’établissement d’une législation spécifique pour les entreprises.

– Par ailleurs, le modèle traditionnel de sécurité périmétrique semble, sans pour autant être caduc, avoir cependant démontré ces dernières années certaines limites dans le monde physique (apparition de la notion « d’espaces indéfendables » pour le terrorisme depuis 2015[27]), comme dans la sphère numérique (développement des « Security Operations Center »[28] et apparition du paradigme de « zéro trust »[29]).

Ainsi, il semble désormais pertinent de mettre en œuvre un modèle de sécurité considérant l’intrus comme d’ores et déjà présent dans les murs, et sur les réseaux (vulnérabilité intrinsèque de l’individu et infiltration). En conséquence, il faudrait donc s’attacher à développer une politique de sécurité plus dynamique, en évoluant vers des modèles centrés sur l’identité, et sur l’emploi de systèmes d’analyse comportementale. Les principe de zones physiques d’accès privilégiés ou de gestion des accès privilégiés en SSI conservent néanmoins leur pertinence.

Tous ces éléments contribuent à complexifier considérablement l’environnement des entreprises, tout en produisant un accroissement significatif de sa dangerosité.

La « cyber reliance » : risques et opportunités

Le modèle de « cyber reliance », qui indique le fait de faire reposer un part conséquente des activités d’une entreprise sur la disponibilité de ses systèmes d’informations, est devenu indispensable à la performance des entreprises contemporaines. Semblant impossible à limiter, la « cyber reliance » implique pourtant une vulnérabilité accrue aux cyberattaques, et soulève donc inévitablement la question du degré de résilience souhaitable de nos organisations (Raphael De Vittoris).

Devons-nous (et pouvons-nous?) intégrer des systèmes de fonctionnement plus rudimentaires ou « low tech » (R. De Vittoris), afin de préserver les entreprises d’une dépendance excessive à leurs systèmes d’informations au motif de la vulnérabilité ainsi générée[30]? La question revêt un intérêt certain en matière de prévention de crises futures.

Au delà de cette interrogation, l’intelligence artificielle porte en elle la promesse de progrès considérables pour l’humanité (santé, science, environnement, transports…), qu’il n’est probablement pas souhaitable de chercher à ralentir. La démarche de prise en compte de ses potentiels effets néfastes par la communauté scientifique paraît déjà par ailleurs assez bien engagée (émergence et prévalence de l’approche par le concept de « Human In Command »[31] et de phases d’apprentissages contrôlées et supervisées par l’homme : « Human In The Loop », « Human On The Loop »).

En attendant que notre espace informationnel mondial soit effectivement réglementé[32] et contrôlé, et en l’absence de législation spécifique (Infrastructure critiques, Opérateur d’Importance Vitale, Opérateur de Services Essentiels), chaque entité reste donc relativement libre de déterminer un niveau de sécurité

qu’elle jugera satisfaisant, en cohérence avec sa propre perception des bénéfices et dangers que représente le contexte de digitalisation et d’innovation technologique actuel.

Transformation numérique et cybersécurité

Dans ce cadre, le « Edge computing », qui consiste à traiter les données d’une entité dans sa périphérie directe en réduisant les temps de latence et les problématique de bande passante, constitue une importante mutation, qui pourrait également apparaître comme une opportunité de se réapproprier les données numériques nationales. Ce point reste néanmoins conditionné par le développement d’un label de sécurité des objets connectés.

Les technologies de la « Blockchain », aux propriétés décentralisatrices, sont en outre susceptibles de faire gagner nos entreprises en autonomie de traitement des données, en se substituant à des organes « de type régaliens »[33] et en limitant ainsi les flux de communications vers diverses autorités centrales.[34]

Ainsi, un état idéal viserait à tendre à terme vers un confinement de nos données numériques et à se défaire de l’emprise néfaste que constitue le modèle architectural du « Cloud », actuellement opportunément dominé par les GAFAM.

Mais conformément aux travaux actuels des pouvoirs publics sur la souveraineté numérique, un traitement plus autonome de nos données impliquerait de parvenir à maîtriser l’intégralité de la chaîne des technologies numériques, ainsi que d’en imposer l’emploi aux entreprises nationales (couches techniques et sémantique[35] : composantes, matériels, logiciels, flux de communications, données, cryptographie…). Mais dans la pratique, nos entreprises peuvent-elles réellement contourner des solutions matérielles et logicielles telles que Cisco ou Microsoft par exemple ?

Dans l’absolu, cet axiome pourrait supposer de chercher à établir une ambitieuse stratégie nationale de partenariat public/privé, à même d’intégrer en outre, toute la complexité des entreprises de notre économie mondialisée[36] (G.longuet) (entreprises internationales, multinationales).

On pourrait également envisager de chercher à établir une « politique de puissance »[37] pragmatique, visant à renouveler l’adhésion nationale de nos entreprises, et à maximiser l’utilisation des Institutions Européennes dans des logiques d’intérêts convergents (Christian Harbulot).

Face à ce constat, la France est loin de se trouver en situation d’infériorité. Dans le domaine des technologies de pointe, nous possédons notamment un certain nombre de fleurons à l’avant-garde du domaine des supercalculateurs et des systèmes d’identification et d’authentification par exemple[38].

Les structures et initiatives gouvernementales qui incitent au partenariat public/privé et à la promotion de la sécurité, sont opérationnelles, et réunissent efficacement les entreprises en particulier pour les secteurs stratégiques.

Cependant, force est de constater que, comme l’indique la dernière stratégie nationale en matière de renseignement, la France cumule à la fois un secteur R&D attractif et un manque de culture en matière de sécurité[39]. Ceci contribue à faire de nos entreprises des cibles privilégiées pour des puissances étrangères, comme pour une multitude d’acteurs malveillants (organisations criminelles transnationales, hackers et « hacktivistes »).

Or, en attendant une meilleure prise en charge étatique de cette menace, et un arsenal juridique approprié, il demeure deux problématiques fondamentales en matière de Sécurité des Systèmes d’Informations qui s’imposent à toute structure, et que des dirigeants d’entreprises ne peuvent ignorer : l’avantage de l’attaquant et la problématique de la détection.

L’avantage de l’attaquant[40] est un phénomène inaltérable qui consacre l’avantage octroyé par l’effet de surprise, le libre choix du mode opératoire et de la nature de l’offensive portée par un attaquant. Le défenseur (responsable de la SSI), se trouve de facto dans l’obligation de devoir parvenir à contrer tout un ensemble d’attaques variées, alors que le succès d’une seule d’entre elles suffirait à le mettre en échec. Dans un nombre significatif de cas, cette asymétrie serait en outre exacerbée par un écart qualitatif mesurable entre la stratégie de cyberdéfense telle que conçue par l’équipe dirigeante d’une entité, et sa mise en œuvre réelle par les équipes chargées de son déploiement[41].

La problématique de la détection met quant à elle en relief le fait que les modes opératoires d’attaques informatiques les plus furtifs et les plus sophistiqués sont tout à fait susceptibles de ne jamais être détectés par une entreprise. Par ailleurs, et même dans l’éventualité de détection d’une intrusion, son attribution et la préservation des preuves juridiques s’y rapportant reste un exercice techniquement complexe et aléatoire.

En tout état de cause, en 2017 en Europe, une intrusion informatique était détectée en moyenne 175 jours[42] après avoir été effectuée. Ce délai est plus que suffisant pour extraire l’intégralité des données stratégiques d’une entreprise.

Par conséquent, nous entrons dans une période indéterminée de bouleversements technologiques qui offre certaines opportunités, tout en renouvelant l’exposition potentielle des entreprises à la prédation par des concurrents et aux attaques protéiformes multiples.

« Ignorance is bliss » ?

Un échec entrepreneurial peut très bien ne jamais s’expliquer. Il peut parfois être interprété à posteriori, sans que l’on puisse réellement obtenir la certitude que les circonstances désignées sont bel et bien celles qui ont conduit à la fermeture d’une structure.

Mais un échec entrepreneurial peut également être le fait d’une mauvaise appréciation, d’une méconnaissance, ou d’un défaut d’appétence de dirigeants en matière de sûreté. Nous ne les blâmeront pas : la réussite commerciale est déjà à elle seule un emploi à temps complet. Cependant, mal évaluer la portée de chaque modification technique, chaque décision organisationnelle et numérique au prisme du paramètre sécuritaire dans le contexte des 5 prochaines années, risque de s’avérer particulièrement dommageable.

Le cabinet de conseil américain Gartner désignait en avril dernier la « notation de la posture de sécurité des entreprises» comme faisant partie du top 10 des préoccupations du secteur de la sécurité pour l’année 2019[43].

Compte-tenu de la propension des attaquants à rechercher le chemin de moindre résistance, celui du « tiers de confiance » qui permet ensuite par rebond d’attaquer la véritable cible d’intérêt, mieux vaut-il anticiper les menaces en bâtissant dès à présent une organisation dans laquelle la sûreté sera prise en compte à chaque étape.

Ainsi, on pourra conserver -ou acquérir- la qualité de partenaire commercial crédible par le souci apporté à la sécurité de son entreprise.

Mettre en œuvre une « stratégie de développement sécurisé »

Étant donné le contexte particulier que nous venons d’évoquer, il pourrait donc s’opérer à terme un écart significatif entre les entreprises qui auront -et celles qui n’auront pas, ou mal- intégré la dimension sécuritaire dans les fondations de leur structure organisationnelle.

Tous ces éléments expliquent pourquoi les concepts de « security by design » et de « privacy by design » se transfèrent progressivement des objets et des applications, aux organisations elles-même (CDSE). Appliqués aux entreprises, ces principes pourraient également être qualifiés de « stratégie de développement sécurisé ».

Par conséquent, les investissements réalisés (capitaux affectés, recrutement de personnels qualifiés, matériels applications et logiciels sélectionnés, procédures, mesures organisationnelles…), et les choix de gouvernance des entités privées dans les années à venir, vont probablement s’avérer déterminants.

In fine, ils réserveront des répercussions potentielles sur la position de la France au plan international.

A défaut d’octroyer un avantage concurrentiel, la prise en charge effective de la sûreté des entreprises devrait s’imposer comme une condition sine qua non afin de tenter de pérenniser des activités sur le long terme, dans un monde qui tend à devenir de plus en plus compétitif, complexe et crisogène.

lp


[1]INSEE, Tableaux de l’économie française, Paris, Collection Insee références, 2019., p. 148.

[2]Entretien avec Monsieur Alexandre Fousse Consultant de l’activité “Security4business” chez Magellan consulting, 10 juillet 2019.

[3]CDSE Commission Carrière, Emploi & Formation, « Etude sur la filière Sécurité-Sûreté Corporate », sur Club des Directeurs de Sécurité & de Sûreté Des Entreprises, https://www.cdse.fr/la-commission-carriere-emploi, s. d., p. 8

[4]Olivier Hassid et Jean-David Benassouli, « PWC : Les indicateurs et tableaux de bord en matière de sûreté », PWC, 2017. En ligne: https://www.pwc.fr/fr/assets/files/pdf/2017/06/etude_indicateurs_surete_juin2017.pdf

[5]Olivier Hassid dans Protection Sécurité Magazine, no 250, décembre 2018, p. 28

[6] Staffcorpguard, « DUTY OF CARE : La protection des collaborateurs en déplacement », sur CORPGUARD Intelligence, https://www.corpguard.com/duty-of-care-la-protection-des-collaborateurs-avant-leur-depart-a-letranger-une-obligation-de-resultat-de-lentreprise/, 14 mars 2019

[7]Ecole de Guerre Economique, « Cartographie des métiers de l’intelligence économique », https://www.aege.fr/global/gene/link.php?news_link=2019214827_cartofull-metiersie-v8-003.pdf&fg=1, mai 2019

[8]CDSE Commission Carrière, Emploi & Formation, « Etude sur la filière Sécurité-Sûreté Corporate », op. cit., p. 4

[9]Ibid., p. 3

[10]Institut National des Sciences Appliquées de Lyon, « CHRONIQUE D’UNE IA ANNONCÉE », s. d., p. 4

[11]C. Market, « Tata Communications and Thales partner to develop a secure global IoT connectivity solution », Business Standard India, 12 juillet 2019

[12]Entretien avec Monsieur Alexandre Fousse Consultant de l’activité “Security4business” chez Magellan consulting, 10 juillet 2019.

[13]Secrétariat Général de La Défense et la Sécurité Nationale, Chocs futurs – Etude prospective à l’horizon 2030, 2017, p. 60

[14]CDSE Commission Carrière, Emploi & Formation, « Etude sur la filière Sécurité-Sûreté Corporate », op. cit., p. 8

[15]Laurent Bloch, « L’hégémonie des Etats-Unis sur l’Internet. L’Internet vecteur de puissance des Etats-Unis, sur Diploweb », sur Diploweb, https://www.diploweb.com/1-Hegemonie-des-Etats-Unis-sur-l-Internet.html, 23 mars 2017

[16]Catherine Procaccia, Préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles, Rapport, n°631, Sénat, 2019. En ligne: https://www.senat.fr/rap/l18-631/l18-631.html

[17]Karine Berger et Pierre Lellouche, – Rapport d’information de Mme Karine Berger déposé en application de l’article 145 du règlement en conclusion des travaux de la mission d’information commune sur l’extraterritorialité de la législation américaine, Assemblée Nationale, 2016

[18]François Hollande (éd.), Défense et sécurité nationale 2013: livre blanc, Paris, Documentation française, 2013, p. 19; 20; 44; 45

[19]« Sénat – Compte-rendu de la Commission d’Enquête Souveraineté numérique : compte rendu de l’audition de Monsieur Thierry Breton », http://www.senat.fr/compte-rendu-commissions/20190527/ce_souverainete.html#toc2, 27 mai 2019

[20]Raphael De Vittoris, « Temporalité des crises, besoins d’échanges entre praticiens et chercheurs », Préventique, « Le nouveau paysage de la crise », Mai 2019, p. 45.

[21]Patrick Lagadec, « La grande decision », p. 10, en ligne: http://www.patricklagadec.net/fr/pdf/La_grande_decision.pdf

[22]Thomas Meszaros, « Comment décider et agir dans les bons intervalles temporels », Préventique, « Le nouveau paysage de la crise », Mai 2019, p. 43.

[23]Thomas Meszaros, “Penser les temporalités des crises” », journée d’étude ISGC-IEC-IES, « Les temporalités de la crise », Hôtel de ville de Lyon, 30 janvier 2019

[24] Raphael De Vittoris, « Temporalité des crises, besoins d’échanges entre praticiens et chercheurs », Préventique, « Le nouveau paysage de la crise », Mai 2019, p. 45.

[25]Thomas Meszaros, « Introduction », journée d’étude ISGC-IEC-IES, « De l’IA et des hommes : L’intelligence artificielle et les futurs métiers de l’intelligence stratégique et de la gestion de crise  », Université Lyon 3, 16 mai 2019.

[26]Institut national des hautes études de la sécurité et de la justice, « Le projet de norme internationale ISO sur le management de la sûreté porté par l’INHESJ approuvé | », https://inhesj.fr/evenements/tous-les-actualites/le-projet-de-norme-internationale-iso-sur-le-management-de-la-surete, 2018

[27]Alain Bauer, « Undefensible Space, Terrorisme : sanctuariser les lieux ou protéger les personnes ? – GeoStrategia », https://www.geostrategia.fr/undefensible-space-terrorisme-sanctuariser-les-lieux-ou-proteger-les-personnes/, 9 mai 2018

[28]« Le SOC, un dispositif stratégique pour la sécurité des systèmes d’information », sur Global Security Mag Online, http://www.globalsecuritymag.fr/Le-SOC-un-dispositif-strategique,20170130,68639.html, s. d.

[29]Louis Columbus, « Forbes : Why AI Is The Future Of Cybersecurity », 14 juillet 2019, p. 14 : « Identities are the new security perimeter, and they require a Zero Trust Security framework to be secure »

[30]« Conférence Master 2 ISGC Lyon 3 “La temporalité des crises” », op. cit.

[31]European Commission – Expert Group on AI, « Ethics guidelines for trustworthy AI », https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai, 8 avril 2019

[32]« Sénat – Compte-rendu de la Commission d’Enquête Souveraineté numérique : compte rendu de l’audition de Monsieur Thierry Breton », op. cit.

[33]Comité de la Filière Industrielle de Sécurité, « Livre Bleu du COFIS anticiper les ruptures technologiques », http://www.sgdsn.gouv.fr/uploads/2018/10/livrebleucofisfinal2corr-150dpi.pdf, 24 septembre 2018, p. 28

[34]On notera cependant que les entreprises, en développant des blockchains privées, vont réduire le nombre d’utilisateurs et de « mineurs/valideurs » des modèles de chaînes constituées. Or, ceci affaibli mécaniquement la sécurité des blockchains, voir à ce sujet le type des « attaques des 51 % »« Crypto-monnaies : 219 500 ETC volés via une attaque des 51% », sur Tom’s Hardware : actualités matériels et jeux vidéo, https://www.tomshardware.fr/crypto-monnaies-219-500-etc-voles-via-une-attaque-des-51/, 11 janvier 2019

[35]« Audition plénière – Commission d’enquête sur la souveraineté numérique », sur videos.senat.fr, http://videos.senat.fr/video.1165258_5ce47b1deeb1b.audition-pleniere—commission-d-enquete-sur-la-souverainete-numerique, s. d.

[36]Ibid.

[37]Ibid.

[38]« Sénat – Compte-rendu de la Commission d’Enquête Souveraineté numérique : compte rendu de l’audition de Monsieur Thierry Breton », op. cit.

[39]Présidence de la République – Coordination nationale du Renseignement et de la lutte contre le Terrorisme, « La stratégie nationale du renseignement », 2019, p. 7

[40]Secrétariat Général de La Défense et la Sécurité Nationale, Chocs futurs – Etude prospective à l’horizon 2030, op. cit., p. 59

[41]V. Marchive, « Cybersécurité : une motivation plus grande côté attaque que défense », sur LeMagIT, https://www.lemagit.fr/actualites/450414292/Cybersecurite-une-motivation-plus-grande-cote-attaque-que-defense, 3 mars 2017

[42]Ariane Beky, « Sécurité : 175 jours pour détecter une cyberattaque en Europe », sur Silicon, https://www.silicon.fr/securite-175-jours-detecter-cyberattaque-europe-205461.html, 5 avril 2018

[43]Alex Campanelli, « Gartner Names Security Ratings a Top 10 Security Project for 2019 », sur BitSight, https://www.bitsight.com/blog/gartner-names-security-ratings-top-10-security-project-for-2019, 5 avril 2019