Tahiti, le 29 août 2022 – Alain Bauer, professeur de criminologie internationalement reconnu pour son expertise, est actuellement au fenua, où il donnera en fin de semaine deux conférences au Cnam, à Punaauia. La première porte sur les cybermenaces, la seconde sur le management en temps de crise. Menaces, responsabilité des victimes, protection des données, gestion d'une crise, il évoque les deux sujets avec Tahiti Infos.
Vous donnez jeudi une conférence sur la cybersécurité. On a tendance à penser qu'en Polynésie française, par sa taille et sa situation géographique, on est épargné par la cybercriminalité. Est-ce le cas ou y a-t-il une menace en Polynésie ?
“La cyber, ce n'est pas seulement de la sécurité informatique, la cyber, c'est la complexité des réseaux utilisés pour la vie, que ce soit la vie économique, la vie sociale, la communication. Si vous perdez votre téléphone portable, si vous n'avez plus de réseau, si vous n'avez plus de GPS, que vous soyez en Polynésie, à Moscou ou à Paris, ça vous fait le même effet. Nous sommes tellement habitués à notre petit appareil qui permet de prendre des photos, d'envoyer des messages, notre addiction à ces outils informatiques est telle que la perte provisoire ou longue durée est insupportable. Donc il n'y a pas de lieu privilégié et c'est ni la taille ni l'isolement qui fait la différence, c'est l'utilisation des outils. Nous sommes tellement dépendants de ces outils, où que ce soit dans le monde, dès lors que l'on s'en sert, on est potentiellement une victime des effets courts, moyens ou longs termes. Si le centre hospitalier est hacké, qu'il soit à Papeete ou à Paris, c'est pareil.”
Mais la perte, ce n'est pas une menace extérieure ?
“Ah si, parce que qui crée la perte ? La perte, ce n'est pas seulement un incident informatique, un bug, ça peut être aussi une menace, un rançongiciel, une volonté de détruire et pas seulement de rançonner. D'ailleurs ceux qui paient des rançons ne récupèrent pas toujours toutes leurs données. Quand vous n'êtes plus capables d'organiser des hospitalisations, des interventions chirurgicales, que vous les décalez dans le temps, que vous ne contrôlez plus vos feux rouges, que vous ne contrôlez plus votre état civil, tout ce qui est informatisé, vous devenez une victime potentielle voire réelle, parce que ne pas opérer quelqu'un dans les temps, c'est prendre le risque de le faire mourir. Ne plus être en mesure de délivrer des éléments administratifs majeurs (passeports, cartes d'identité, RIB, fiches d'état civil…), c'est vous bloquer dans toute une série de démarches qui peuvent avoir des conséquences lourdes et à long terme. Le problème, c'est que les conséquences ne sont même plus mesurables tant l'interconnexion est considérable. Et il n'y a pas de frontière dans la cyberactivité et donc il n'y en a pas plus dans les cybermenaces.”
Est-ce qu'on a observé une évolution, en termes de cybermenaces, ces dernières années ?
“Oui, une forte dégradation et une forte accélération. Tous les relevés du premier semestre 2022 qui sont en train d'être publiés montrent qu'on double ou on triple le nombre d'attaques, leur violence, leur virulence et leur ingéniosité chaque semestre. 2022 est une année mauvaise et la pire qu'on ait eue depuis qu'on enregistre les cyberattaques.”
On peut les quantifier ?
“Non, c'est comme les interceptions de marchandises volées ou de stupéfiants, vous ne savez que ce que vous récupérez. Mais plus vous en récupérez, plus il y en a.”
À quels types de menaces la Polynésie française est-elle exposée ?
“Il n'y a pas de spécificité locale. Évidemment, si vous avez une centrale nucléaire, je vous dirais que c'est une menace supplémentaire, mais un pays quel qu'il soit, ayant des infrastructures modernes et une connexion forte aux réseaux, a pour menaces essentiellement des rançongiciels (je prends le contrôle de votre ordinateur, je le crypte et vous le redonne qu'après versement d'une rançon), du fishing (par exemple, je me fais passer pour quelqu'un d'autre et vous demande votre code de carte bancaire ou je suis une vieille veuve et je veux vous donner 20 000 euros…). Si vous répondez, vous êtes une victime mais vous avez participé à votre propre victimisation. En général, on vous vole beaucoup d'argent. On prend le contrôle de votre carte bancaire ou on arrive à contourner vos dispositifs de sécurité, si vous en avez, ce qui est assez rare. Évidemment, il faut arrêter de mettre votre date de naissance ou le nom du chien ! 99% des attaques nécessitent votre propre participation. Et vous avez 1% de choses beaucoup plus sophistiquées, qui ne se voient pas, et qui vous coûtent beaucoup plus d'argent. En général, ce sont des attaques d'industries, des grands services publiques ou privés pour demander une rançon qui se chiffre en centaines de milliers ou millions d'euros.”
Justement, qui sont les cibles ? Les entreprises, les gouvernements, les particuliers ?
“Il y a de tout. Il y a le ‘phishing au chalut’, c'est-à-dire que vous récupérez n'importe quoi, des pneus, des dauphins, des thons ou vous devez faire le tri… Vous ne savez pas ce que vous allez récupérer mais comme tout est bon à prendre, vous variez votre capacité d'intervention en fonction des revenus de celui dont vous découvrez qui il est. Et puis il y a le ‘phishing à la ligne’, qui est beaucoup plus ciblé. Vous savez qui vous ciblez, vous avez fait une enquête préalable, et là, les pertes sont beaucoup plus considérables. Vous savez qui vous cherchez et vous savez ce que vous cherchez. Mais les deux se cumulent. Souvent les gens découvrent après qu'ils ont attaqué un ministère ou l'hôpital. Soit ils ont un minimum de reste de conscience et ils disent ‘désolé’, soit ils vous font un rabais en demandant moins, soit ils savent très bien ce qu'ils veulent et y vont à fond !”
Vous le disiez, nous sommes addicts aux nouvelles technologies. Est-ce que la 5G, les paiements sans contact ou avec le téléphone augmentent les risques ?
“Oui, parce que ça élargit la facilité d'usage, la quantité d'usage, et donc l'étendue des risques qu'on crée soi-même. Quand le téléphone servait juste à téléphoner, le pire qu'il pouvait vous arriver était d'être écouté, intercepté ou coupé. Maintenant que le téléphone sert à tout, il y a des photos dedans, des messages, des paiements, vous augmentez massivement le risque. Du coup, il faut augmenter massivement la sécurisation. Or la sécurité, c'est un élément qui vous casse les pieds. L'humain est extraordinairement rétif aux contraintes et même aux contraintes pour sa propre sécurité. Un élément qui est encore plus dangereux que les autres, c'est les réseaux sociaux. Parce qu'on y raconte des éléments intimes et personnels qui sont extrêmement intrusifs et qui peuvent être totalement détournés si on veut en faire un mauvais usage. On est plus dans le chantage, mais cela fait partie des cybermenaces.”
Quels sont les réflexes à adopter pour se prémunir des menaces ?
“Ceinture de sécurité, feux rouges… il faut un code de la route de la cyber ! C'est ennuyeux, contraignant, mais une fois qu'on s'y est fait, c'est bon. Ça n'évite pas toujours les accidents, mais ça permet d'y survivre. Le problème du code de la route, c'est qu'il faut qu'il soit dialogué, pédagogique, expliqué… Une des premières choses à comprendre, c'est qu'en matière de cyber, rien n'est gratuit. Les données personnelles, par exemple, restent un bien intime qui doit être préservé et pas donné en pâture par les victimes elles-mêmes à des agresseurs malveillants qui s'en servent soit pour leur faire payer des données qu'ils récupèrent gratuitement, soit pour permettre des opérations beaucoup plus dangereuses qui sont des dépossessions soit de la propriété personnelle, soit de la trollisation, c'est-à-dire la capacité par l'anonymat à subir des agressions qui amènent parfois au suicide ou à la dépression, et qui devrait être puni. Mais le réflexe de protection, c'est vous qui devez l'avoir. Donc c'est un sujet pédagogique, ce n'est pas un sujet répressif ni seulement technologique.”
Vous allez également donner une conférence sur le management en temps de crise. De quel type de crise parle-t-on ?
“Une crise, c'est un événement imprévu. Anticiper ou pas n'est pas le sujet, au moment où il arrive, il provoque de la stupéfaction, de la sidération, du chaos et en fonction des événements et des individus, une capacité à la réaction. En général, quand vous faites une simulation de crise (par exemple l'intrusion dans la pièce d'un individu cagoulé), il y a ceux qui ne vont rien faire parce qu'ils sont gelés par la crise, il y a celui qui va prendre une chaise et qui va attaquer l'agresseur au risque de se faire tuer, il y a ceux qui vont se cacher sous la table… Il y a toute une série de modèles qui sont ceux de l'humain. En général, quand on est dans une entreprise ou une institution, on prépare un plan de gestion de crise, et il y a ceux qui vont se précipiter pour lire le plan de gestion de crise en cherchant désespéramment une réponse qui évidemment n'y est pas, et ceux qui vont chercher à communiquer sans savoir ce qu'il se passe, et il y a les tétanisés. Donc il faut gérer ces trois catégories de personnes. Une fois que vous savez ça, vous pouvez préparer les gens. Donc on donne des modèles de simulation de crise qui permettent de déterminer des stratégies de gestion de crise. Quelle que soit la crise (typhon, tremblement de terre, invasion…), cela fonctionne toujours de la même manière, elle provoque toujours les mêmes réactions chez les mêmes gens. À partir du moment où vous ne vous posez plus le problème de savoir quelle va être la crise, mais plutôt quelles sont les règles de réaction et de management face à la crise, ça devient beaucoup plus simple. On se prépare à normaliser un événement anormal. Au lieu d'en faire une réaction, on en fait une règle fonctionnelle. L'important n'est pas de savoir de quelle crise on parle, c'est de savoir que la crise est possible et que c'est un élément d'exploitation normal et ordinaire de la même manière que n'importe quoi d'autre.”
Quelles sont les clés pour un management de crise ?
“D'abord, c'est justement savoir que c'est possible. Les Français sont des gens assez étranges par rapport à la crise. Si vous parlez à des chefs d'entreprise ou des responsables administratifs en France, la crise n'est pas possible, elle ne va pas arriver. Et d'ailleurs, on ne va pas se préparer parce que si on se préparait, la crise pourrait nous voir alors que si on ne se prépare pas, on va y échapper ! Alors que si vous considérez la crise comme un événement normal, vous neutralisez cet effet terrible de la crise. Et en préparant et simulant la crise, vous mettez les gens face à leur propre réaction et ils apprennent beaucoup plus. Le dernier élément, c'est la communication sur la crise. Plus on en parle, plus on crée les conditions d'une acceptation de la crise.”
L'une des grandes crises à laquelle tout le monde, sans exception, a fait face, c'est le Covid. Est-ce qu'on voit que des enseignements ont-été tirés ?
“C'est un peu tôt, parce que les enseignements, c'est toujours un processus long. Mais on apprend surtout qu'on a tout oublié ! La première crise du modèle du coronavirus, c'est la grippe espagnole. Tout s'est passé de la même manière avec 100 ans de différence, mais on n'a rien appris de ce qui s'était passé entre 1918 et 1921. On a tout refait pareil comme si de rien n'était, or rarement une pandémie n'a été aussi étudiée que celle de la grippe espagnole. Ce qu'on apprend, on l'oublie trop vite et notre vrai problème est plus l'amnésie que la pédagogie.”
Vous donnez jeudi une conférence sur la cybersécurité. On a tendance à penser qu'en Polynésie française, par sa taille et sa situation géographique, on est épargné par la cybercriminalité. Est-ce le cas ou y a-t-il une menace en Polynésie ?
“La cyber, ce n'est pas seulement de la sécurité informatique, la cyber, c'est la complexité des réseaux utilisés pour la vie, que ce soit la vie économique, la vie sociale, la communication. Si vous perdez votre téléphone portable, si vous n'avez plus de réseau, si vous n'avez plus de GPS, que vous soyez en Polynésie, à Moscou ou à Paris, ça vous fait le même effet. Nous sommes tellement habitués à notre petit appareil qui permet de prendre des photos, d'envoyer des messages, notre addiction à ces outils informatiques est telle que la perte provisoire ou longue durée est insupportable. Donc il n'y a pas de lieu privilégié et c'est ni la taille ni l'isolement qui fait la différence, c'est l'utilisation des outils. Nous sommes tellement dépendants de ces outils, où que ce soit dans le monde, dès lors que l'on s'en sert, on est potentiellement une victime des effets courts, moyens ou longs termes. Si le centre hospitalier est hacké, qu'il soit à Papeete ou à Paris, c'est pareil.”
Mais la perte, ce n'est pas une menace extérieure ?
“Ah si, parce que qui crée la perte ? La perte, ce n'est pas seulement un incident informatique, un bug, ça peut être aussi une menace, un rançongiciel, une volonté de détruire et pas seulement de rançonner. D'ailleurs ceux qui paient des rançons ne récupèrent pas toujours toutes leurs données. Quand vous n'êtes plus capables d'organiser des hospitalisations, des interventions chirurgicales, que vous les décalez dans le temps, que vous ne contrôlez plus vos feux rouges, que vous ne contrôlez plus votre état civil, tout ce qui est informatisé, vous devenez une victime potentielle voire réelle, parce que ne pas opérer quelqu'un dans les temps, c'est prendre le risque de le faire mourir. Ne plus être en mesure de délivrer des éléments administratifs majeurs (passeports, cartes d'identité, RIB, fiches d'état civil…), c'est vous bloquer dans toute une série de démarches qui peuvent avoir des conséquences lourdes et à long terme. Le problème, c'est que les conséquences ne sont même plus mesurables tant l'interconnexion est considérable. Et il n'y a pas de frontière dans la cyberactivité et donc il n'y en a pas plus dans les cybermenaces.”
Est-ce qu'on a observé une évolution, en termes de cybermenaces, ces dernières années ?
“Oui, une forte dégradation et une forte accélération. Tous les relevés du premier semestre 2022 qui sont en train d'être publiés montrent qu'on double ou on triple le nombre d'attaques, leur violence, leur virulence et leur ingéniosité chaque semestre. 2022 est une année mauvaise et la pire qu'on ait eue depuis qu'on enregistre les cyberattaques.”
On peut les quantifier ?
“Non, c'est comme les interceptions de marchandises volées ou de stupéfiants, vous ne savez que ce que vous récupérez. Mais plus vous en récupérez, plus il y en a.”
À quels types de menaces la Polynésie française est-elle exposée ?
“Il n'y a pas de spécificité locale. Évidemment, si vous avez une centrale nucléaire, je vous dirais que c'est une menace supplémentaire, mais un pays quel qu'il soit, ayant des infrastructures modernes et une connexion forte aux réseaux, a pour menaces essentiellement des rançongiciels (je prends le contrôle de votre ordinateur, je le crypte et vous le redonne qu'après versement d'une rançon), du fishing (par exemple, je me fais passer pour quelqu'un d'autre et vous demande votre code de carte bancaire ou je suis une vieille veuve et je veux vous donner 20 000 euros…). Si vous répondez, vous êtes une victime mais vous avez participé à votre propre victimisation. En général, on vous vole beaucoup d'argent. On prend le contrôle de votre carte bancaire ou on arrive à contourner vos dispositifs de sécurité, si vous en avez, ce qui est assez rare. Évidemment, il faut arrêter de mettre votre date de naissance ou le nom du chien ! 99% des attaques nécessitent votre propre participation. Et vous avez 1% de choses beaucoup plus sophistiquées, qui ne se voient pas, et qui vous coûtent beaucoup plus d'argent. En général, ce sont des attaques d'industries, des grands services publiques ou privés pour demander une rançon qui se chiffre en centaines de milliers ou millions d'euros.”
Justement, qui sont les cibles ? Les entreprises, les gouvernements, les particuliers ?
“Il y a de tout. Il y a le ‘phishing au chalut’, c'est-à-dire que vous récupérez n'importe quoi, des pneus, des dauphins, des thons ou vous devez faire le tri… Vous ne savez pas ce que vous allez récupérer mais comme tout est bon à prendre, vous variez votre capacité d'intervention en fonction des revenus de celui dont vous découvrez qui il est. Et puis il y a le ‘phishing à la ligne’, qui est beaucoup plus ciblé. Vous savez qui vous ciblez, vous avez fait une enquête préalable, et là, les pertes sont beaucoup plus considérables. Vous savez qui vous cherchez et vous savez ce que vous cherchez. Mais les deux se cumulent. Souvent les gens découvrent après qu'ils ont attaqué un ministère ou l'hôpital. Soit ils ont un minimum de reste de conscience et ils disent ‘désolé’, soit ils vous font un rabais en demandant moins, soit ils savent très bien ce qu'ils veulent et y vont à fond !”
Vous le disiez, nous sommes addicts aux nouvelles technologies. Est-ce que la 5G, les paiements sans contact ou avec le téléphone augmentent les risques ?
“Oui, parce que ça élargit la facilité d'usage, la quantité d'usage, et donc l'étendue des risques qu'on crée soi-même. Quand le téléphone servait juste à téléphoner, le pire qu'il pouvait vous arriver était d'être écouté, intercepté ou coupé. Maintenant que le téléphone sert à tout, il y a des photos dedans, des messages, des paiements, vous augmentez massivement le risque. Du coup, il faut augmenter massivement la sécurisation. Or la sécurité, c'est un élément qui vous casse les pieds. L'humain est extraordinairement rétif aux contraintes et même aux contraintes pour sa propre sécurité. Un élément qui est encore plus dangereux que les autres, c'est les réseaux sociaux. Parce qu'on y raconte des éléments intimes et personnels qui sont extrêmement intrusifs et qui peuvent être totalement détournés si on veut en faire un mauvais usage. On est plus dans le chantage, mais cela fait partie des cybermenaces.”
Quels sont les réflexes à adopter pour se prémunir des menaces ?
“Ceinture de sécurité, feux rouges… il faut un code de la route de la cyber ! C'est ennuyeux, contraignant, mais une fois qu'on s'y est fait, c'est bon. Ça n'évite pas toujours les accidents, mais ça permet d'y survivre. Le problème du code de la route, c'est qu'il faut qu'il soit dialogué, pédagogique, expliqué… Une des premières choses à comprendre, c'est qu'en matière de cyber, rien n'est gratuit. Les données personnelles, par exemple, restent un bien intime qui doit être préservé et pas donné en pâture par les victimes elles-mêmes à des agresseurs malveillants qui s'en servent soit pour leur faire payer des données qu'ils récupèrent gratuitement, soit pour permettre des opérations beaucoup plus dangereuses qui sont des dépossessions soit de la propriété personnelle, soit de la trollisation, c'est-à-dire la capacité par l'anonymat à subir des agressions qui amènent parfois au suicide ou à la dépression, et qui devrait être puni. Mais le réflexe de protection, c'est vous qui devez l'avoir. Donc c'est un sujet pédagogique, ce n'est pas un sujet répressif ni seulement technologique.”
Vous allez également donner une conférence sur le management en temps de crise. De quel type de crise parle-t-on ?
“Une crise, c'est un événement imprévu. Anticiper ou pas n'est pas le sujet, au moment où il arrive, il provoque de la stupéfaction, de la sidération, du chaos et en fonction des événements et des individus, une capacité à la réaction. En général, quand vous faites une simulation de crise (par exemple l'intrusion dans la pièce d'un individu cagoulé), il y a ceux qui ne vont rien faire parce qu'ils sont gelés par la crise, il y a celui qui va prendre une chaise et qui va attaquer l'agresseur au risque de se faire tuer, il y a ceux qui vont se cacher sous la table… Il y a toute une série de modèles qui sont ceux de l'humain. En général, quand on est dans une entreprise ou une institution, on prépare un plan de gestion de crise, et il y a ceux qui vont se précipiter pour lire le plan de gestion de crise en cherchant désespéramment une réponse qui évidemment n'y est pas, et ceux qui vont chercher à communiquer sans savoir ce qu'il se passe, et il y a les tétanisés. Donc il faut gérer ces trois catégories de personnes. Une fois que vous savez ça, vous pouvez préparer les gens. Donc on donne des modèles de simulation de crise qui permettent de déterminer des stratégies de gestion de crise. Quelle que soit la crise (typhon, tremblement de terre, invasion…), cela fonctionne toujours de la même manière, elle provoque toujours les mêmes réactions chez les mêmes gens. À partir du moment où vous ne vous posez plus le problème de savoir quelle va être la crise, mais plutôt quelles sont les règles de réaction et de management face à la crise, ça devient beaucoup plus simple. On se prépare à normaliser un événement anormal. Au lieu d'en faire une réaction, on en fait une règle fonctionnelle. L'important n'est pas de savoir de quelle crise on parle, c'est de savoir que la crise est possible et que c'est un élément d'exploitation normal et ordinaire de la même manière que n'importe quoi d'autre.”
Quelles sont les clés pour un management de crise ?
“D'abord, c'est justement savoir que c'est possible. Les Français sont des gens assez étranges par rapport à la crise. Si vous parlez à des chefs d'entreprise ou des responsables administratifs en France, la crise n'est pas possible, elle ne va pas arriver. Et d'ailleurs, on ne va pas se préparer parce que si on se préparait, la crise pourrait nous voir alors que si on ne se prépare pas, on va y échapper ! Alors que si vous considérez la crise comme un événement normal, vous neutralisez cet effet terrible de la crise. Et en préparant et simulant la crise, vous mettez les gens face à leur propre réaction et ils apprennent beaucoup plus. Le dernier élément, c'est la communication sur la crise. Plus on en parle, plus on crée les conditions d'une acceptation de la crise.”
L'une des grandes crises à laquelle tout le monde, sans exception, a fait face, c'est le Covid. Est-ce qu'on voit que des enseignements ont-été tirés ?
“C'est un peu tôt, parce que les enseignements, c'est toujours un processus long. Mais on apprend surtout qu'on a tout oublié ! La première crise du modèle du coronavirus, c'est la grippe espagnole. Tout s'est passé de la même manière avec 100 ans de différence, mais on n'a rien appris de ce qui s'était passé entre 1918 et 1921. On a tout refait pareil comme si de rien n'était, or rarement une pandémie n'a été aussi étudiée que celle de la grippe espagnole. Ce qu'on apprend, on l'oublie trop vite et notre vrai problème est plus l'amnésie que la pédagogie.”
Deux conférences
Internationalement reconnu pour son expertise, Alain Bauer est conseiller de la police de New York, de la sûreté du Québec et du Los Angeles Sheriff Department. Cet ancien conseiller de Michel Rocard est également consultant des présidents de la République française sur le terrorisme et la sécurité. Il donnera deux conférences à Tahiti :
- Jeudi 1er septembre, à 17h, au Cnam : Cybersécurité, cybermenaces et cyberattaques : les enjeux. Ouverte à tous et gratuite.
- Vendredi 2 septembre : Management en temps de crise dans la sphère publique. À destination du gouvernement (ministres, directeurs de cabinet et chefs de service).
Formation sur la cybersécurité
Le Cnam propose un certificat de spécialisation “Cybersécurité et analyse des menace”. La formation se déroulera du 12 septembre au 13 décembre, à raison d'une séance de trois heures par semaine avec un thème par semaine. Prérequis : bac+3 ou expérience professionnelle. Coût de la formation : 289 000 Fcfp. Il reste encore des places. Pour déposer une candidature, envoyez votre CV et une lettre de motivation à [email protected].
