Scandale Prism : la France réagit... enfin ?

Des détails de communications par millions. Le Monde vient de révéler que la NSA a, en seulement 30 jours, entre décembre 2012 et janvier 2013, collecté plus de 70 millions de données téléphoniques de citoyens français. Mais l’argument sécuritaire ne tient pas. Toujours selon nos confrères, l’agence américaine du renseignement extérieur s’est notamment particulièrement intéressée aux communications électroniques relevant des domaines wanadoo.fr et alcatel-lucent.com. A des fins d’intelligence économique ? Politique ? Officiellement, pas de réponse. Néanmoins, il apparaît naïf d’imaginer le contraire. Mi-janvier dernier, comme le rappelle Le Monde, Fleur Pellerin, ministère déléguée de l’Economique numérique, avait souligné le caractère «stratégique» de l’activité câbles optiques sous-marins de l’équipementier franco-américain, en particulier pour la «cybersurveillance» et la sécurité nationale. Au ministère de la Défense, une source de nos confrères évoque «une grave maladresse» en se référant à ces propos. L’exécutif français, d’un silence jusqu’ici assourdissant, a réagi à ces dernières révélations, notamment à travers la convocation de l’ambassadeur américain au Quai d’Orsay. Il semble ainsi prendre la mesure de la situation, enfin. Mais comment cela se traduira-t-il concrètement?

Des clients peu concernés

Mi-septembre, la rédaction avait interrogé deux acteurs des communications sécurisées et de la sauvegarde en ligne américains, à l’occasion de leur rencontre dans la région de Boston. A les entendre, les réactions des entreprises et même des gouvernements étaient assez limitées. Ennio Carboni, président de la division Administration de réseaux d’Ipswitch, avait ainsi souligné que son entreprise compte, parmi ses clients, les ministères de la défense «de pays occidentaux majeurs» mais que ceux-ci s’étaient moins inquiétés du scandale Prism que... ses clients du secteur bancaire. Mac Campbell, directeur stratégie d’Unitrends, avait quant à lui relevé ne pas avoir eu beaucoup de questions de la part de ses clients à la suite du scandale Prism, des clients déjà échaudés par le Patriot Act.

Une forte intertie

Aux Assises de la Sécurité, qui se déroulaient début octobre à Monaco, la tonalité n’était guère différente. Deux consultants en sécurité interrogés anonymement sur le sujet, estiment que les entreprises sont aujourd’hui «un peu plus regardantes» quant à la provenance de leurs solutions IT. Mais pour l’un d’eux, «la réalité est que les opérateurs d’importance vitale étaient déjà regardants avant Prism. Les clients qui évoluent dans les milieux à risques, stratégiques, étaient déjà méfiants avant ». Toutefois, certains comportements changent. L’un de ces deux consultants évoque ainsi un groupe du secteur de l’agro-alimentaire, «avec un spectre international» : «ils s’inquiètent maintenant de l’espionnage américain. C’est la première fois que l’on nous demande le même niveau de protection qu’une entreprise qui évoluerait dans le nucléaire. On commence actuellement le travail chez notre client qui pourtant n’est pas sur un secteur sensible.»

 

Pascal Colin, Directeur général du Français OpenTrust, relevait également une inflexion, avec des entreprises qui «commencent à poser quelques questions ». Pas au point de constater un impact commercial immédiat, mais il «pense qu’à terme, cela va avoir un impact ». Et d’étayer son propos en soulignant que «nos clients sont plutôt des grands groupes» qui «fonctionnent avec des budgets» pré-établis pour l’année. Las, «Prism est survenu en milieu d’année ». Pas question, donc, d’attendre du scandale un effet sur les budgets 2013, mais «peut-être sur les budgets 2014. Peut-être, je ne suis pas sûr ». Il serait donc trop tôt, même si le scandale contribue «à une sensibilisation» et pourrait s’avérer profitable aux solutions d’acteurs hexagonaux indépendants.

Un non-événement pour l’Anssi

L’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi) a brillé, jusqu’ici, par son mutisme sur le sujet, ne donnant d’ailleurs pas suite à une demande d’entretien adressée par la rédaction à la fin de l’été. Un point presse organisé avec Patrick Pailloux, patron de l’agence, sur les Assises de la Sécurité, aura été l’occasion d’en apprendre plus sur les raisons de ce silence : «ça n’a strictement rien changé du tout. J’exagère un peu. Mais au plan technique, il n’y a rien là que l’on n’ait imaginé qu’il soit possible de faire.» Un non-événement, en somme. Parce que Patrick Pailloux décrit la mission de son agence comme consistant «à imaginer quelles sont les vulnérabilités, les attaques possibles ». Et pour les informations «très sensibles, on estime que c’est à nous de faire», faisant notamment référence au téléphone sécurisé Teorem de Thales. Et si Prism «aide à la sensibilisation», il n’a donc «strictement rien changé dans notre approche de la menace ». D’ailleurs, selon le patron de l’Anssi, «il y a longtemps que nous disposons de nos propres algorithmes de génération d’aléas », faisant référence à celui du Nist soupçonné d’avoir été miné par la NSA.