Newsletter

Chers Lectrices et Lecteurs,

Nous avons le plaisir de vous adresser notre 102^ème dV-News (11-2024) et leur sélection d’articles et liens.

«Mind the gap between the train and the platform» est une phrase bien connue des familiers du métro londonien. «Mind your co-pilot» est la mise en garde que tous devraient désormais maîtriser par rapport à notre infrastructure IT. Un avertissement né d’un incident vécu. Certains diront « on le savait» alors que d’autres se moqueront. Après on est toujours plus intelligent, c’est bien connu. Expérimenter personnellement un tel incident prend cependant une tout autre dimension. Croyez-nous !

Le 29 mai dernier, de retour d’un rendez-vous, une équipe de digiVolution fut dépassée sur l’autoroute par un automobiliste disons… indélicat. Dans notre véhicule, la réaction du conducteur (romand) fut une série de qualificatifs fleuris dont l’élégance n’était pas le souci premier. Notre voiture dit alors «que puis-je faire pour vous?». La réponse à fusé «toi, je ne t’ai rien demandé». Et la voiture de répondre, «très bien, je me tais».

Après un fou rire généralisé, nous avons pris la mesure de l’incident et sommes passés rapidement en mode «pas content du tout». Bien sûr que nous savions, notamment grâce aux travaux de la fondation Mozilla, que la voiture n’est plus un lieu privé. Mais tout de même. Les geeks nous diront «il suffit de désactiver la fonction». Admettons, après de fastidieuses recherches (car la solution n’est pas en page 1 du manuel), que l’on trouve l’option magique… quelle garantie a-t-on que le petit bouton va vraiment désactiver la fonction? Aucune! Souvenons-vous de la tempête Irma en Floride, lorsque Tesla a pu à distance augmenter l’autonomie des voitures pour que leurs propriétaires puissent fuir plus loin. Louable de la part de Tesla,  MAIS…! Cela signifiait pour la plupart qu’à leur insu il y avait quelqu’un sur le siège passager. Nos véhicules ne sont désormais plus que des ordinateurs roulants. Et cela a des conséquences.

Avec son service recall qui prendrait une image de notre écran chaque 5 secondes et permettrait ainsi à ceux qui se seraient égarés dans leurs activités de reconstituer leur parcours durant les 3 mois précédents, Microsoft a été contrainte au rétropédalage par une levée de boucliers. Le système n’est alors plus activé par défaut. Mais encore une fois, quelle garantie a l’utilisateur que le service est bel et bien inopérant? Un autre de ces œufs de Pâques ou fonctions cachées qui ne servent à rien. Sinon à créer des vulnérabilités supplémentaires?

À l’évidence, l’espace privé se réduit de manière dramatique. En tant qu’utilisateurs, nous sommes des spectateurs impuissants. Les plus documentés, malins ou paranoïaques tenteront de prendre des mesures de protection, mais du fait de l’ubiquité des TIC, qu’elle est leur réelle chance de garder le contrôle sur leur données? Londres: 80 caméras au km2. Et chez nous?

«Move fast and break things» disait en 2014 Mark Zuckerberg. Les géants de la tech nous ont complètement largués. Certes, ils nous offrent des services fascinants, mais à quel prix? Celui de notre liberté.

Alors reposons la question 100 fois adressée dans nos billets: voulons-nous nous donner les moyens de maîtriser nos données? Si oui, il va falloir une décision à haut niveau et des moyens. L’enjeu en vaut-il la chandelle? Est-ce rattrapable? Ce sont les premières réponses à apporter en tant que société.

Et si mon IA estime que je suis en train d’écrire ou de consulter des choses qui pourraient être de nature pénale, va-t-elle me dénoncer? Et si j’écris des billets critiques à son égard, va-t-elle refuser de me servir ou dire à ma voiture de m’envoyer dans un arbre? Souvenons-nous de «2001: odyssée de l’espace».

Merci de penser à soutenir notre travail.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

ACTUALITES

► Stalking – Ce délit sera enfin inscrit au code pénal. Le stalking, c’est cette pratique de harcèlement obsessionnel qui a poussé Morane à s’enlever la vie. Merci au Parlement d’avoir enfin pris cette décision… sauf qu’il aura fallu attendre 17 ans pour y arriver, la première motion datant de 2007. Et malgré les évidences, certains parlementaires estiment encore qu’il s’agit d’un phénomène négligeable? Deux évidences supplémentaires que la démocratie est dépassée par la mutation numérique. Ou coupablement paresseuse? Alors, comment protéger nos enfants? La France s’essaie à une approche avec un rapport intitulé «Enfants et écrans: À la recherche du Temps perdu». Ce texte oscille entre interdiction totale des écrans et nécessité de mieux former au numérique et suscite des réactions contrastées. Le remède portera-t-il ses fruits?

► Peur de la tech? – Ce sentiment nous accompagnera encore longtemps. Savoir si l’IA est un bienfait pour l’humanité ou son dernier requiem agitera encore longtemps les discussions de salons. Mais écoutons aussi les professionnels du secteur. Faisons abstraction des Musk, Altman ou Zuckerberg qui le font à des fins de tactique politique et de motifs financiers et écoutons ceux qui développent ces technologies. Eux aussi ont des craintes légitimes, mais leur problème est de ne pas pouvoir librement les exprimer sans risquer de perdre leur emploi. Qui pour les écouter alors que les États ne cessent de démontrer qu’ils ne disposent pas des compétences requises pour comprendre les enjeux et que manifestement il est hasardeux de laisser l’industrie faire ce qu’elle veut? Notre sécurité, notre espace privé semble être le dernier des soucis de ces gens et chez Open AI, Altman a récemment congédié son team de sécurité pour le remplacer par un autre qu’il conduit personnellement. Le conflit d’intérêts est choquant. Osons alors une solution qu’un état neutre comme la Suisse peut proposer: devenir le High Tech Ombudsman du monde, un endroit où tout lanceur d’alerte sera écouté, compris et protégé. Aussi une manière pour  gagner des talents?

► Mémoire de l’humanité – Voici un thème que nous avons abordé plusieurs fois et qu’un nouvel article vient éclairer sous un autre jour: en Chine, Internet est en train de disparaître. Un CD-Rom, en plastique, est vivant. Après quelques années il se dégrade, comme les fibres optiques dont la durée de vie est également beaucoup plus courte que ce qui est écrit sur l’emballage. Tout Internet et les TIC sont soumis aux aléas du temps. Alors que domine toujours l’illusion qu’Internet fera pénétrer la démocratie partout et imposera un modèle de développement durable, un nombre croissant d’évidences montre que la situation est moins poétique et qu’il y règne les mêmes règles que partout ailleurs, physiques, politiques, ou encore économiques. Nous recommandons vivement cet article sur l’Internet chinois qui devrait inspirer d’utiles réflexions quant à la pérennité du savoir et de la culture au travers des âges.

Voilà pour cette 102^ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré et vous souhaitons aussi une enrichissante découverte des articles et liens sélectionnés.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Nous avons le plaisir de vous adresser notre 101^ème dV-News (10-2024) et leur sélection d’articles et liens après une pause bienvenue.

Les enseignements de l’histoire de la ligne Maginot

La réflexion de cette 101^ème édition a été inspirée par la lecture d’un article sur la ligne Maginot. Construite dans les années 1930 par la France, cette ligne de fortifications était destinée à protéger le pays d’une invasion allemande. S’étendant sur environ 700 km de la frontière suisse à la frontière belge, elle comprenait toute une série de forts et d’obstacles destinés à dissuader tout agresseur et reflétait les leçons de la Première Guerre mondiale.

En 1940, la Wehrmacht a contourné cette ligne de défense en envahissant la Belgique et en traversant les Ardennes, une région que les stratèges français considéraient comme impraticable pour les blindés. Alors que la France pensait posséder la meilleure armée, elle capitula en 6 semaines. La ligne Maginot, symbole d’une stratégie statique, s’est avérée inutile.

Le chevalier en armure dans l’image ci-dessous reflète cette croyance persistante dans la solidité d’une forteresse protégée par un « Gardien de Fer ». Le livre de Cohen & Gooch, «Military Misfortunes – The Anatomy of Failure in War» rappelle quelques-uns des échecs les plus retentissants des stratégies de défense basées sur des concepts inadaptés et/ou dépassés. La ligne Maginot fut un désastre, amplifié par un Haut commandement français qui n’a pas voulu écouter les avertissements de ses services de renseignements qui avaient pourtant vu juste.

A chacun de nos billets nous rapportons des faits qui, mis bout à bout, montrent que nous allons dans le mur en matière de cybersécurité. C’est aussi le message que donnent de nombreux les experts de renom. Notre défense dans le cyberespace s’apparente à celle de la France en 1940: une ligne statique et un management qui persiste à ne pas écouter les avertissements alors que l’accélération des développements technologiques dus à l’IA va être encore exacerbée par l’informatique quantique. Et oui, cela va coûter.

Notre recommandation est simple: il faut sortir du «syndrome Maginot» et REPENSER LA SÉCURITÉ DE LA SOCIÉTÉ A L’ÈRE DE LA MUTATION NUMÉRIQUE.

Eu égard au nombre de variables entrant dans l’équation, cette réflexion doit s’établir prioritairement au niveau de la politique de sécurité de l’État et des entreprises, non de la technique qui est un moyen, non une fin en soi. Quand on parle de cyber, il ne faut plus penser «informatique», mais «business et systémique». Dans ce contexte, un concept comme le Cyber Dome israélien, est-il une réponse valable ou une tentative désespérée dans une logique d’attrition sans issue?

On peut apprécier ou pas Elon Musk, mais il est certainement l’une des personnes les plus informées sur ces sujets. Et quand il nous dit que l’IA pourrait devenir rapidement plus smart que les êtres humains, ne serait-il pas utile d’en étudier la portée?

Restons cependant justes avec la Suisse, car elle travaille à ces questions. Mais par rapport aux défis de la mutation numérique (voir la rubrique FOCUS), nous sommes trop lents et les ressources attribuées insuffisantes.

Musk dit par ailleurs que si les progrès de l’IA étaient auparavant limités par la disponibilité des puces, la principale limite sera celle de l’électricité. La stratégie énergétique suisse 2050 a-t-elle anticipé la voracité de l’IA?

Tout cela suggéré par des murs de béton érigés il y a bientôt 100 ans !

Merci de penser à soutenir notre travail.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

ACTUALITES

► XPLAIN – Voilà… les rapports ont été publiés. Passons à autre chose. Vraiment? Le plus grand risque est désormais de classer l’affaire alors que les faits sont graves et inquiétants et concernent potentiellement toutes les organisations et les entreprises: les manquements ont trait aux processus, à la technique et à aux personnes. Le rapport met en évidence combien la notion de «sécurité de la chaîne d’approvisionnement» est incomprise, combien les menaces ont été sous-estimées, ainsi que l’insuffisance généralisée des moyens de sécurité. Et la confiance aveugle n’est pas une stratégie de cybersécurité.

► OFCS (Office fédéral de la cybersécurité) – Chers Lectrices et lecteurs, merci de lire le chapitre introductif de la nouvelle stratégie de l’OFCS. Le constat est sans appel: la cybersécurité dans le pays est CATASTROPHIQUE. Merci à l’OFCS de sa franchise. Comme le montrent ses chiffres semestriels, la situation se détériore même continuellement. • Notre (État, entreprises, individus) capacité d’adaptation à l’évolution technologique est inférieure à celle des cybermalfaisants. • Comme démontré dans le cas XPLAIN la Suisse balance entre «insouciance» et «incompétence». • Alors que le cyberespace représente avec l’approvisionnement électrique les deux éléments vitaux de notre société numérique, les ressources pour les protéger restent totalement insuffisantes (à l’OFCS aussi ; voir notre billet 94). Quel niveau de dégât faut-il attendre pour que la Suisse prenne la mesure des enjeux?

► Morane – Comme l’écrivait Sébastien Fanti «Être bouleversé. Hurler. Écumer. Contre les auteurs. Contre ceux qui ne font rien. Ou si peu».  Comment a-t-on pu en arriver là, avec une jeune femme qui s’enlève la vie à cause du harcèlement subit? Simplement par négligence, car notre société ne veut pas intervenir avec assez de force pour faire cesser de tels actes. Oui le harcèlement tue et Romane n’est pas la seule! Un exemple de plus qui démontre le décalage entre les pratiques criminelles et les réponses de la société. Protégeons nos enfants et soutenons l’association Morane!

► O sole mio ! – Dans l’approche holistique et systémique suivie par digiVolution, les risques liés aux tempêtes solaires sont régulièrement thématisés. Après s’être émerveillés face au spectacle des aurores boréales, il est plus que temps de parler des risques liés à ce phénomène. Heureusement, les médias ont commencé. Mais après ? Car les conséquences pourraient être dévastatrices pour notre civilisation dépendante de ses infrastructures IT et de l’électricité. On prend des mesures?  Lesquelles ? Où ?

Aurora borealis, Mont Vully, 11.05.2024 – Courtesy Isabel Streit – https://isasastroatelier.ch/

C’est tout pour cette 101^ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré. Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés (une longue liste pour tout un mois écoulé) et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs

La fondation digiVolution est née le 4 décembre 2020. Le 4 janvier 2021 était publié le billet nr. 0 pour annoncer sa naissance et le 8 janvier le billet nr. 1, dans un monde sidéré par l’assaut du Capitole à Washington. Le 1^er avril 2021 commençait l’activité concrète. A partir du billet nr. 27, le rythme fou du début est devenu bihebdomadaire. Et ce 26 avril 2024, nous fêtons déjà les 100^ème dV-News (09-2024) et leur sélection d’articles et liens.

Chaque édition nécessite près de 4 jours de travail, y compris la publication sur le site web, LinkedIn et dVPedia. Environ 900 messages sont régulièrement analysés, chacun donnant lieu à plusieurs dizaines d’informations, d’articles, de rapports et de livres. Depuis l’automne 2022, la rubrique dVTopics de notre cybersuite dVPedia – qui scanne en temps réel toutes les sources ouvertes sélectionnées – est également mise à contribution en tant que source.

L’ensemble des médias regorge d’informations de qualité sur des cyberattaques, des vulnérabilités, etc. Notre ambition n’est pas de les concurrencer, mais de contribuer à ce que les décideurs qui nous suivent deviennent des acteurs (plus) éclairés en matière de mutation numérique et à cet effet d’élargir le périmètre d’observation et d’analyse [link]. Une approche holistique est en effet impérative et notre niveau d’ambition est – comme représenté dans la pyramide de l’information ci-dessous – de contribuer à la connaissance avec une compréhension systémique des défis de la mutation numérique.

Notre newsletter est le fruit d’un processus rigoureux, inscrit dans la durée et dont le but est de comprendre, d’interroger et d’attirer l’attention sur des développements significatifs, de produire une image stratégique, non de se limiter aux incidents techniques / tactiques du quotidien.

Avons-nous réussi notre pari? Oui si l’on en juge les nombreux commentaires positifs reçus. Non si l’on considère que malgré tout ce travail suivi désormais par plusieurs milliers de personnes, nous devons toujours et encore répéter les mêmes choses. Oui à la lumière de la qualité de notre apport qui ne cesse de progresser et jouit désormais d’un lectorat international (raison de sa traduction en anglais). Non car les défis sont loin d’être maîtrisés.

Parmi les centaines de messages que nous traitons, un bon nombre est reçu de personnes qui se sentent solidaires de notre travail et nous font part de leur trouvailles et de leurs réflexions. En particulier notre Beirat. Sans son réseau d’amis et d’experts, digiVolution serait bien seule…! Un grand MERCI à eux et à nos quatre donateurs historiques – qui souhaitent rester dans l’ombre – sans lesquels rien de tout cela n’aurait été possible.

Pour digiVolution la phase 1.0 est derrière. Désormais il s’agir de passer à la 2.0, alors permettez-nous d’en appeler à votre généreux soutien.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

► Mémoire de l’humanité – Les technologies de stockage – disquettes, disques ZIP, clés USB, CD-Rom, etc. – vivent entre 5 et 10 ans. Et après ? Ils s’altèrent, se démagnétisent et surtout sont rapidement remplacés par d’autres standards, d’autres technologies En clair : ils sont juste bons à jeter et leur contenus avec, car la compatibilité avec les versions précédentes est souvent aléatoire. Pour les cas désespérés, il y a bien le musée Bolo de l’EPFL, mais lui-même combien de temps survivra-t-il ? Le métier d’archéologue risque de devenir frustrant quand il n’y aura plus d’écrits…! En devenant pour la première fois le dépositaire officiel de l’histoire d’une nation entière, Aruba, une île des Caraïbes, l’Internet Archive étend son rôle déjà immense dans la préservation du monde numérique pour la postérité. L’UNESCO demande depuis longtemps une solution à la préservation de la mémoire de l’humanité. Cet exemple d’Aruba est ainsi une bonne piqûre de rappel.

► Réseaux européens de distribution de l’énergie – Depuis les débuts de digiVolution, un thème revient régulièrement : l’équation «NO POWER – NO CYBER». Toutefois, quand on parle de besoin en puissance électrique un élément clé est souvent oublié, son transport. En matière d’électricité, le réseau de transport à haute tension (entre 110 et 400 kV) est un élément clé qui nécessitera des renforcements très substantiels, car selon le dernier rapport de EMBER, un think tank dédié à l’accélération de la transition énergétique, le réseau européen à haute tension pourrait bien être sous-dimensionné pour incorporer la puissance supplémentaire produite par le vent et le solaire. Comme tout le réseau européen est relié et qu’il ne comprend pas que de bons élèves, les risques de panne sont loin d’être négligeables.

► AI Index Report de l’université de Stanford – L’édition 2024, septième opus, arrive à un moment charnière alors que l’influence de l’IA sur la société n’a jamais été aussi prononcée. Nous avons résumé ses 10 conclusions clés.

1. L’IA surpasse l’homme pour certaines tâches, mais elle est à la traîne pour les plus complexes, notamment dès qu’il faut raisonner et planifier.
2. L’industrie domine la recherche avec 51 modèles d’apprentissage automatique produits en 2023, alors que le monde académique n’en a produit que 15.
3. Les modèles pionniers deviennent beaucoup plus coûteux. L’entraînement de GPT-4 seul a coûté 78 millions de dollars et Gemini Ultra de Google 191 millions.
4. Les États-Unis devancent la Chine, l’UE et le Royaume-Uni. En 2023, 61 modèles avancés d’IA proviennent des USA, 21 de l’UE et 15 de Chine.
5. Les évaluations robustes et normalisées pour la responsabilité des LLM font défaut, ce qui complique la comparaison des risques et des limites entre les modèles d’IA.
6. L’investissement dans l’IA générative explose (25.2 milliards de dollars, soit 8 fois les chiffres de 2022) malgré une baisse de l’ensemble des investissements dans l’IA.
7. Selon plusieurs études, l’IA rend les travailleurs plus productifs. Ces études ont montré que l’IA permet de combler le fossé entre les travailleurs peu et très qualifiés, mais d’autres études relèvent un fort besoin de supervision.
8. Les progrès scientifiques s’accélèrent encore, grâce à l’IA et 2023 a vu le lancement d’applications d’IA liées à la science encore plus importantes, par exemple dans les sciences des matériaux.
9. Le nombre de réglementations liées à l’IA aux USA augmente rapidement. En 2023, il y en avait 25 contre une seule en 2016.
10. Partout dans le monde, les gens sont plus conscients de l’impact potentiel de l’IA. Aux USA, 52 % des Américains se disent plus inquiets qu’enthousiastes à l’égard de l’IA, contre 37 % en 2022.

C’est tout pour cette 100^ème édition. Nous espérons qu’elle vous a à nouveau inspiré. Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs

Voici les dV-News 08-2024 et leur sélection d’articles et liens. Dans cette édition nous voulons sonner une fois encore l’alarme. Deux faits récents motivent notre cri: les statistiques de la cybercriminalité en Suisse et le cas xz Utils. Ces deux sujets structurent ce 99ème billet et illustrent l’urgence pour la Suisse de disposer d’une «vision pour une société sûre, résiliente et souveraine au temps de la mutation numérique». Cette proposition, chaque jour plus impérative, était déjà au cœur de notre commentaire sur le RAPOLSEC 21. Il n’a pas été entendu.

La Suisse doit élever le débat du numérique et se doter d’un solide et durable avantage stratégique. Cessons de n’être que des suiveurs !

Notre travail vous est utile? Il vous inspire? Merci de le soutenir par un DON.

Depuis 2020 seulement, la Suisse dispose d’une statistique policière sur les cyberdélits. Lors de la première publication, l’Office fédéral de la statistique faisait état de 24’400 cas annoncés. En 2023, ce sont désormais 43’839 cas qui ont été rapportés par les forces de l’ordre, soit une augmentation de 80% en 4 ans. Entre 2022 et 2023, la progression a été de 31%. La plupart des délits sont de nature économique, avec 40’496 cas recensés, en hausse de 36,5% pour 2023. En cause, principalement l’escalade du phishing (+70%), l’utilisation frauduleuse de systèmes de paiement ou d’identités pour des escroqueries (+66%) et les arnaques liées aux petites annonces, où les objets payés ne sont pas livrés (+23,1%).

Prenons le risque de projeter une augmentation annuelle des cyberdélits de +5%. En 2030, la progression annuelle sera alors de +65% avec un total de près de 740’000 cyberdélits. Si cette progression se confirme, alors les chiffres qui seront publiés dans un an pour 2024 seront de 59’000 cas et de 83’000 pour 2025.

Exagéré? Alarmiste? Peut-être. En France, la progression depuis 2020 est de 400%. Selon Statista, la facture mondiale de la cybercriminalité atteindra 13’820 milliards $ en 2028, soit plus de 10% du PIB mondial. Et ce sont les pays riches qui seront le plus touchés. Selon le Bitkom, en 2022 ce sont 3.8% du PIB de l’Allemagne qui sont partis en fumée, soit 206 milliards €.  Rapporté à la Suisse, c’est comme si nous avions en 2022 jeté par la fenêtre 5 fois le budget de l’armée. Quelle est la part due uniquement à la criminalité et celle due aux frictions géopolitiques et au cyber in war? Difficile à dire, mais les tensions mondiales croissantes ne vont pas réduire les risques.

Que traduisent ces chiffres? Une augmentation du nombre de cyberdélits ou du nombre d’annonces? Le reporting aux autorités pénales s’améliore, mais ces chiffres montrent sans aucun doute une augmentation des cyberdélits. Et ce n’est là que la pointe de l’iceberg, car la zone grise est importante. Il y a les cas non détectés et surtout les cas non annoncés. Selon le Département US de justice, seul un cas sur sept est annoncé aux autorités de poursuite pénale. Au moins 85% de la cybercriminalité reste ainsi cachée.

Ceux que ces chiffres dérangent trouveront toujours des excuses pour les relativiser et repousser les mesures qui s’imposent à plus tard, mais la conclusion qui s’impose est que les cyberdéfenseurs sont en passe de perdre la bataille. Facture salée en vue! Surtout avec l’accélération due à l’IA et à l’informatique quantique.

Depuis la création de digiVolution nous ne cessons d’alerter sur cette réalité, en insistant sur le besoin d’une approche holistique et systémique. En effet, les problèmes de sécurité de la société numérique ne sont pas que d’ordre technologique. Ils sont tout aussi largement provoqués par des problèmes politiques, de ressources humaines, matérielles ou énergétiques notamment.

Qu’est-ce qui est vraiment entrepris pour maîtriser cette situation qui porte tous les symptômes d’une catastrophe annoncée? Que faut-il faire pour que la Suisse se mette enfin à investir massivement dans de véritables solutions pour sa sécurité à l’ère numérique? Nous avons besoin de beaucoup plus de nouvelles idées.

La confiance, la résilience et la souveraineté numériques ne se construiront pas à coup de slogans, mais d’actions concrètes. digiVolution répète depuis sa création que ce sont là des sujets STRATÉGIQUES, VITAUX et URGENTS. Et de nombreuses propositions ont été formulées. L’Occident craint le déferlement de hordes de blindés russes. Dans quelques années peut-être, mais c’est maintenant que notre société est attaquée et de manière croissante là où elle est la plus faible, dans ses dépendances et vulnérabilités informationnelles et numériques. Il serait temps de se réveiller, de regarder les problèmes en face et de mettre de véritables priorités.

To prevent global catastrophe, governments must first admit there’s a problem [link]

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

Open Source – Who is responsible?

Nous avons souvent évoqué le thème de la souveraineté, c’est-à-dire la capacité d’une entité (individu, organisation, entreprise, État) à décider et à agir en toute autonomie, donc aussi à assumer la pleine responsabilité de ses actes. Le quasi-incident récent xz Utils nous a incité à nous intéresser à la question des logiciels open source.

Vous pensiez que derrière chaque ligne de code se trouve une entité juridiquement responsable? Oubliez! Diverses communautés mettent certes du temps et des compétences à disposition pour élaborer du code mis ensuite gracieusement à disposition du public… MAIS!

Lorsque des bénévoles vont nettoyer des ruisseaux envahis de déchets, s’ils oublient quelques emballages ou bouteilles en plastique, ce n’est certes pas propre, mais c’est sans conséquence systémique. Lorsqu’en revanche des bénévoles développent du code que personne ne contrôle vraiment et que ces briques technologiques se retrouvent partout, jusqu’au cœur de notre vie et à notre insu durant des décennies, qui endosse quelle responsabilité en cas de dysfonctionnement?Pourtant les conséquences peuvent être énormes.

Les passionnés de l’open Source argumentent volontiers que la communauté veille au grain et s’autocontrôle. Mais qui se cache derrière ce terme. Un chevalier blanc? Un génie-zéro-défaut? Il peut aussi s’agir de loups déguisés en brebis nourrissant l’ambition de glisser quelques lignes malveillantes dans des briques logicielles essentielles à Internet et que seuls connaissent quelques individus. C’est ce qui est arrivé dans le cas xz Utils.

Les géants de la tech emploient des centaines de milliers de personnes pour développer leurs produits. Ils consacrent des efforts croissants pour produire du code exempt de failles. Malgré cela leurs produits sont perclus de fautes et la situation ne semble pas s’améliorer dès lors que l’IA s’en mêle. Surtout si les géants de la tech eux-mêmes sont négligents en matière de sécurité. Mais au moins sont-ils juridiquement responsables pour leurs produits.

Les vulnérabilités sont (en principe) corrigées par les éditeurs au fur et à mesure des trouvailles. Beaucoup découvertes par nous, les utilisateurs (payants) / bêta-testeurs. Lorsqu’un patch est publié, il est impératif de le déployer au plus vite dans sa propre infrastructure, car les malveillants lisent aussi les publications sur les vulnérabilités et leurs correctifs ; ils savent donc en même temps que nous quand notre sécurité est compromise. Malheureusement il est courant qu’entreprises comme particuliers mettent des jours, des mois, parfois même des années avant de réagir. Et pendant ce temps, les vilains se baladent !

Et dans le monde de l’open source, cela se passe comment? Quels sont les processus? Qui est responsable? Il est fort probable qu’il n’y ait personne au bout du fil. Et est-ce que la communauté produit moins de bugs que l’industrie? Comme le démontre le cas xz Utils, une collection de librairies sous Linux et de nombreux systèmes Unix pour compresser les données, l’open source n’est pas immunisé contre les bugs et ceux-ci peuvent être fortuits, mais aussi intentionnels.

Le hasard a voulu qu’un programmeur découvre une porte dérobée installée par une main probablement étatique dans une de ces briques logicielles ignorées du grand public, mais déployées à l’échelle mondiale pour la maintenance des serveurs. Ce logiciel produit par quelques bénévoles a été manipulé et s’est trouvé à un cheveu d’être distribué avec des fonctions malveillantes. Les concepteurs de cette faille auraient pu ensuite, sans opposition, accéder à un nombre incalculable de systèmes, dans le monde entier.

Qui est responsable de la qualité de ces logiciels libres? Savez-vous qu’en surfant sur le net avec vos processus les plus vitaux, ceux-ci dépendent d’un socle dont vous ne savez rien, pour lequel personne n’est officiellement en charge, contrôlé et comptable en cas d’incident ?

S’exprimant sur ce cas xz Utils le «pape» de la cybersécurité, Bruce Schneier, parle de chance que cette porte dérobée ait pu être découverte à temps. Mais il écrit également qu’il ne s’agit certainement pas d’un cas isolé. Mais peut-on subordonner la sécurité de nos processus vitaux à des amateurs, à la chance ou à la roulette?

Finissons sur un peu d’humour: en informatique on connaissait les Easter eggs. Maintenant il y a les cyberpoissons d’avril.

C’est tout pour cette édition. Nous espérons qu’elle vous a plu. Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs

Voici les dV-News 07-2024 et leur sélection d’articles et liens. La réflexion de cette édition est inspirée par la commémoration du 22 mars 2024 – superbement organisée par le Divisionnaire Tüscher, commandant de la division territoriale 1 – pour le 150ème anniversaire de la naissance du général Guisan, notre Commandant en chef durant la Seconde Guerre mondiale.

Qu’aurait dit Guisan?

De tous les discours – tous remarquables – de cette commémoration à Verte Rive, l’ancienne propriété du Général à Pully, nous avons choisi de retenir deux éléments principaux: l’importance pour Guisan de l’humain et ses efforts acharnés pour préparer la Suisse à affronter la catastrophe qu’il entrevoyait en 1934 déjà. Guisan n’a eu qu’une boussole pour guider son action: le bien supérieur de la Patrie.

Ce qui devrait cependant ce 22 mars 2024 avoir logiquement marqué l’assistance, c’est la modernité des propos qu’a tenus le Général, jusque dans son rapport final. Il suffit en effet, près de 80 plus tard, de ne changer que quelques dates et mots pour constater combien ses principes et lignes directrices n’ont quasiment pas pris une ride.

La question qui se pose à nous est quel serait le message du Général aujourd’hui face aux menaces pesant sur la Suisse de 2024 en raison des développements et dépendances technologiques. Ce jeu d’esprit sera peut-être qualifié d’arrogant ou au moins d’audacieux, mais il nous est paru opportun, alors que la guerre est de retour en Europe et menace chaque jour de s’aggraver, de tenter d’adapter aux contingences du moment ce que le Général, fort de son expérience de commandant en chef, aurait pu nous recommander.

Voilà ce que le Général 2.0 nous dirait:

« Dans notre monde globalisé par les données et les technologies, j’attends de chacun(e), selon ses compétences et ses responsabilités qu’il/elle mette tout en œuvre pour…

…comprendre la situation – Le savoir est clé et il importe que chaque acteur dispose, sans aucune concession, des faits (également historiques) précis, libérés de tout filtre (technique aussi) dogme ou manipulation, car il/elle en a besoin pour analyser les risques et les opportunités et ainsi prendre de bonnes décisions.

…être prêt en toute circonstance – Toutes les mesures techniques, organisationnelles et opérationnelles requises doivent être priorisées et réalisées et le personnel doit y être instruit et entraîné, et à toute question doit correspondre une réponse ou au moins une planification prévisionnelle.

…être en mesure de durer – C’est certainement la chose la plus difficile, car toute période prolongée de facilité ramollit les esprits les plus déterminés et tend à réduire les efforts et les réserves, alors que – l’histoire le prouve – ce sont les périodes d’adversité et de compétition qui sont le cas normal et que c’est là que se mesure la performance et se forge le succès.

…rester innovant – La technologie avance rapidement et les pratiques et tactiques avec elles, imposant de donner à chacun de la liberté d’action (Auftragstaktik) et de promouvoir l‘esprit d’innovation à tous les niveaux, tout en maintenant un cadre qui garantit la cohérence de l’ensemble.

…agir en profondeur – L’État est responsable d’organiser la société, mais il ne peut pas tout pour elle. Il incombe à chaque maillon – entreprise, organisation et individu – de comprendre et d’assumer sa position et ses responsabilités au sein de l’ensemble. »

Ce qui est intéressant dans ces cinq points, c’est leur capacité à s’appliquer non seulement au niveau du pays, mais aussi à celui de toute organisation privée.

Pourquoi est-il pertinent de tenter de transposer l’enseignement du Général à l’instant présent? Parce que la situation géopolitique prend un tour inquiétant et que sur le plan du cyber et de tous les facteurs dont celui-ci dépend, la situation n’est pas meilleure, comme nous le rappelons souvent.

La sécurité, ce n’est pas si compliqué, mais elle a un prix et celui de l’insécurité est plus grand encore. La Suisse l’a-t-elle oublié?

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les deux dernières semaines. Et sur dVPedia, la rubrique dVLibrary  avec son tout nouveau look and feel comprend déjà une centaine de titres avec leurs références et un résumé.

News significatives de la quinzaine

► TORNADO – Sous la direction de l’excellent Maxime Girod a eu lieu le 14 mars à Morges la 4^ème édition du Forum Venoge sur les conséquences des catastrophes naturelles. Un thème d’actualité alors que l’UE elle-même commence à douter de son état de préparation en la matière et que l’Agence européenne de l’Environnement exhorte l’Europe à faire davantage contre la crise climatique pour éviter des conséquences «catastrophiques». Significatif pour le cyber? Sans aucun doute, car les infrastructures techniques ont notamment besoin de refroidissement, d’énergie ou encore de sols stables. Trois sujets déjà problématiques, en Suisse aussi. Pour 2025, la date du prochain forum est fixée au 20 mars et le thème sera celui de l’IA. À vos agendas!

Merci de soutenir notre travail au profit de la sécurité, de la résilience et de la souveraineté de la Suisse par un DON.

► Les petits hommes verts ne sont pas parmi nous? – C’est ce qu’affirme un rapport du Pentagone. Ses auteurs n’ont en effet trouvé aucune preuve de visites d’extraterrestres ou de vaisseaux spatiaux cachés. Les enquêteurs estiment que les affirmations relatives à des programmes gouvernementaux secrets de rétro-ingénierie de la technologie extraterrestre sont basées sur des «rapports circulaires» et des ouï-dire. Les conclusions de l’étude sont sans équivoque: il n’y a aucune preuve de l’existence d’une technologie extraterrestre représentée. N’en déplaise aux rêveurs, cela signifie qu’il n’existe pas de technologie magique capable de jouer les game changers. Vrai? Le mythe de la zone 51 est menacé 😊.

► Utilisation militaire responsable de l’intelligence artificielle – Encore une initiative où la Suisse brille par son absence? Si cela devait être le cas,  serait-ce en raison d’une interprétation restrictive de la neutralité? Pourtant la liste des participants indique que l’initiative est très ouverte. Et sur le fond, il semblerait judicieux de participer à la maîtrise des technologies disposant d’un potentiel élevé de dérapage. La Suisse participe bien depuis 2019 au Centre d’excellence de Tallinn sur la cyberdéfense. N’attendons pas que se matérialisent des scénarii à la «Terminator» avant de réfléchir. Certains militaires n’attendront pas 

► L’ère des données – Le dernier bulletin de l’asut – l’association suisse des entreprises de télécommunications – vaut le détour, en particulier son édito. Le président de l’asut Peter Grütter expose la société de la donnée et les immenses opportunités qu’offre un usage bien ordonné de ce carburant. La donnée recèle certes une grande valeur intrinsèque, mais à la condition d’être valorisée. Regardant l’autre face de la médaille, Peter Grütter rappelle cependant l’existence d’une face sombre qu’il convient de ne pas laisser nous dépasser. Et Peter Grütter de conclure : «Nous vivons à l’ère des données : Tirons-en le meilleur parti». D’ailleurs le père du Web, Tim Berners-Lee, après le constat des multiples dérives de son invention qui fête ses 35 ans, mais qui n’en est selon lui qu’à ses débuts, délivre aussi un message empreint d’optimisme.

► eCyAd – Le projet lancé par la Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP) et le Réseau national de sécurité (RNS) a franchi un cap important. Ce programme de formation, auquel contribue également digiVolution et qui sera complété et régulièrement mis à jour, est disponible pour tout le monde. Toute organisation peut ainsi créer un groupe et ensuite obtenir pour chaque participant un certificat démontrant que le programme a été accompli.

C’est tout pour cette édition. Nous espérons qu’elle vous a plu. Nous vous souhaitons également une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Chers Lectrices et Lecteurs

Voici les dV-News 06-2024 et leur sélection d’articles et liens. Un drôle de titre, inspiré d’un article de PublicCitizen, lui-même clin d’œil à la série des G.I. Joe – un groupe militaire international œuvrant pour la paix et disposant de puissantes technologies – et un autre titre de film culte dont nous avons détourné le nom du personnage central. Tout ça pour introduire un sujet important: l’usage de l’IA comme moyen de guerre.

La mutation numérique des armées ne s’est pas faite en un jour. Cependant, depuis le début du conflit en Ukraine, jamais la présence et l’influence des technologies de l’information et de la communication (TIC) n’ont été aussi prégnantes. Mais c’est aussi une guerre pleine de paradoxes avec du very high tech d’un côté et de l’autre des images que l’on pensait à jamais appartenir au passé: les tranchées boueuses que les soldats doivent se disputer avec des rats.

Les TIC sont partout. Le smartphone remplace désormais la lettre manuscrite rédigée entre les salves d’artillerie pour maintenir un semblant de lien avec les familles. Mais ce lien peut aussi se transformer en piège et permettre à l’ennemi de découvrir et de bombarder la position du soldat retranché. Les drones remplacent certes les jumelles et permettent, sans devoir risquer sa vie en patrouilles de reconnaissance, d’aller voir derrière les obstacles, de franchir les champs de mines ou d’explorer des bâtiments. Mais comme le faucon fondant sur le lapin imprudemment sorti de son terrier, un autre drone – une munition rôdeuse – peut à tout instant apporter silencieusement la mort depuis le ciel.

Les TIC sont partout. Les images en provenance d’Ukraine ont souvent montré d’ingénieux bricolages, mais de plus en plus il s’agit de systèmes sophistiqués dotés par leurs concepteurs de la plus grande efficacité et/ou létalité possible. Quoi de plus légitime quand il s’agit de gagner face à un ennemi qui ne fera pas de quartier?  Depuis février 2022, l’innovation fait donc rage à tous les niveaux, comme lors de chaque conflit et de nombreux États sont passés en mode économie de guerre ou sont sur ce chemin. Dans une récente allocution, la Secrétaire adjointe à la Défense US, Kathleen Hicks, a en plus affirmé que le Pentagone avait mis en place les bases nécessaires pour «une armée basée sur les données et dotée de l’intelligence artificielle». Une accélération est ainsi en marche et tout le monde y contribue. Car au combat cela peut être vital.

Avec le projet Manhattan qui a conduit à la destruction d’Hiroshima et de Nagasaki, l’humanité a inventé le moyen de destruction ultime. Même si la bombe est omniprésente depuis lors, l’humanité a eu la sagesse d’éviter sa prolifération généralisée et son usage. Et heureusement, fabriquer une arme nucléaire n’est pas à la portée du premier venu.

Mais qu’en est-il de l’IA? Son prix d’entrée est infiniment plus faible, au point qu’une simple équipe peut développer des algorithmes dotés de puissantes cybercapacités destructrices ou de contourner les mesures de protection des LLM, avant de les intégrer dans une robotique en rapide essor. Quid alors d’États et/ou de grandes organisations disposant de moyens conséquents et bien décidés à gagner leurs guerres? Hésiteront-ils à développer et à utiliser des systèmes capables de décider eux-mêmes des cibles à détruire et de le faire en pleine autonomie? Hésiteront-ils à laisser l’IA lancer des missiles, même nucléaires comme le craint le Secrétaire général de l’ONU? À la guerre, le gagnant est souvent celui qui est le plus malin, le plus rapide et le plus précis. Et aussi celui qui raconte le mieux les histoires.

L’IA offre ces quatre qualités. Quels attaquants ou défenseurs renonceraient à disposer de la meilleure arme? Il est donc douteux que des signatures soient respectées par tous: États, individus, criminels, ou des entreprises mettant le profit au-dessus de tout, comme le montrent trop souvent les géants de la tech eux-mêmes. Il est également douteux que des principes comme ceux d’Asimov, très contestés et inapplicables, conduisent à des règles universellement et durablement respectées. L’IA a le potentiel, et elle le fait déjà, pour faire le bien, mais l’humanité saura-t-elle sauver le soldat rAIan?

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les deux dernières semaines. Et sur dVPedia, la rubrique dVLibrary  avec son tout nouveau look and feel comprend déjà une centaine de titres avec leurs références et un résumé.

News significatives de la quinzaine

► Géopolitique – Pendant qu’en Europe, notre attention se focalise sur l’Ukraine et le Moyen-Orient, la situation en Asie échappe généralement à notre vigilance. Pourtant la situation ne cesse de se dégrader entre les deux Corées, du côté de Taiwan et en mer de Chine méridionale. Un potentiel de conflit croissant dans une région qui est ni plus ni moins l’atelier mondial du numérique. Nombreux sont toutefois encore les commentateurs qui qualifient ce risque, que nous rappelons régulièrement, d’improbable. Pour s’assurer que l’enjeu est identifié par tout le monde, nous vous invitons, chers Lectrices et Lecteurs à montrer largement autour de vous la figure ci-dessous. On y voit que l’impact d’une crise augmente en raison de la dépendance croissante de l’Occident par rapport à l’Asie en produits de l’écosystème numérique. Certes d’importantes décisions ont été prises pour relocaliser les productions de biens essentiels aux USA (l’Europe restant ainsi dépendante), mais leur construction ralentit. En effet, les pénuries de la période COVID se sont entre-temps résorbées et leur force d’incitation avec elles. On lit également dans cette figure – en raison des tensions dans la région – l’effet de la probabilité croissante de l’explosion de conflits ouverts. Ainsi, en termes de risque, on passe du point orange au point rouge. Quelles seraient les conséquences d’une interruption de la chaîne d’approvisionnement des produits du numérique? Comment le reste du monde pourrait-il y répondre? Existe-t-il des réponses satisfaisantes?

► L’intelligence artificielle générale (IAG) arrive – Que cela plaise ou non, rien ne pourra l’empêcher. Pour le pire ou pour le meilleur? La responsabilité que la seconde option s’impose incombe à l’humanité. La question qui occupe tous les esprits est «que restera-t-il à l’être humain quand l’IAG sera arrivée?». Nombreux sont celles et ceux qui estiment que tout ce qui est lié à la création et aux émotions restera l’apanage des seuls êtres humains. Vraiment? Les progrès observés depuis novembre 2022 et l’arrivée en trombe de ChatGPT devraient au contraire nous rendre humbles, tellement de choses qualifiées il y a peu encore d’impossibles le sont devenues dans l’intervalle. De tels énoncés, tout comme leur contraire ne sont donc que des hypothèses infondées, du wishful thinking comme disent les Anglo-saxons. Et avec les moyens de locomotion et de préhension adéquats, qu’est-ce qui empêchera un être synthétique dopé à l’IAG de faire tout ce que les humains font? En mieux!

► Mon auto et ma grue m’espionnent – Le 6 septembre 2023, la fondation Mozilla révélait l’ampleur de la captation de données par les voitures. L’information n’a déclenché pour ainsi dire aucune réaction dans les chancelleries, mais le sujet revient sur le devant de la scène avec des inquiétudes non seulement sur les voitures produites en Chine, mais également sur les grues portuaires. Le Président Biden vient d’ordonner à ce que les données des citoyens américains ne soient plus vendues aux entreprises russes et chinoises. À la lumière des tensions croissantes entre ces nations, on s’étonnera toujours du nombre de situations où malgré tous les embargos et les mises en garde, les entreprises et même les fonds de pension américains continuent à commercer étroitement avec elles. Paranoïa ou réalité? La question se pose aussi avec la Tesla utilisée par les Conseillères fédérales Leuthard et Sommaruga. La réponse d’armasuisse que le « mode gardien » de la voiture empêchait que tout soit enregistré dans et hors du véhicule et pour le moins courageuse.

► Suite de l’affaire Xplain – L’OFCS / NCSC a publié un rapport sur l’analyse des données divulguées par les attaquants. Parmi la masse de documents exposés sur le darknet l’analyse a fait apparaître environ 5’200 documents de l’administration fédérale avec des contenus sensibles (données personnelles, informations techniques, informations classifiées, mots de passe). Pourquoi des documents comprenant des informations sensibles n’étaient-ils pas chiffrés lorsqu’ils sont statiques? Toutes les informations sensibles étaient-elles correctement classifiées? Le résultat de l’enquête de la task force mise en place pour comprendre ce qui s’est passé et quelles sont les responsabilités est attendu pour fin mars. Peut-être y verra-t-on plus clair. Car il est important que les fautes commises dans cette affaire permettent à d’autres de s’améliorer. En parallèle, près de 7’000 contrats de fournisseurs informatiques de la Confédération ont été étudiés et 600 devront encore être examinés de plus près. Espérons que les enseignements permettront de faire progresser les pratiques et qu’ainsi la supply chain de la Confédération sera renforcée. La dernière phrase du rapport laisse toutefois craindre que nous en soyons éloignés, alors qu’un rapport de la révision interne du DDPS pointe des lacunes dans la cybersécurité de ce département. L’administration fédérale parviendra-t-elle un jour à devenir exemplaire? La redistribution récente des responsabilités au détriment de l’OFCS était-elle adéquate?

C’est tout pour cette édition. Nous espérons qu’elle vous a plu. Nous vous souhaitons également une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Merci également de soutenir par vos DONS notre travail au profit de la sécurité, de la résilience et de la souveraineté de la Suisse.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Voici les dV-News 05-2024 et leur sélection d’articles et liens. L’événement le plus significatif de cette dernière quinzaine aura été sans conteste le démantèlement par les forces de sécurité de plusieurs pays du gang de cybercriminels LockBit, un des principaux acteurs de la scène de ransomware. Un succès qui appartient déjà au passé…!

Strategic vs. tactic

Avec ce 96^ème billet, notre ambition a été d’éclaircir cette question. Chemin faisant, nous sommes une fois encore arrivés à la conclusion qu’il est impératif que chacun comprenne l’importance de la dimension stratégique des défis de la mutation numérique et des cybermenaces. Se limiter à une compréhension technique et tactique de ces phénomènes ne suffit pas, tout comme il est vain de ne se poser les questions qu’une fois les incidents constatés alors que guette le tsunami des menaces à venir dopées par l’IA et l’informatique quantique.

Comprendre les cyberphénomènes n’est cependant pas donné à chacun, car rares sont les exemples disponibles et compréhensibles. Grâce toutefois à la NZZ qui a décidé, par la plume de Lukas Mäder, d’expliquer en détail la cyberattaque subie le 24 mars 2023,  chacun peut se plonger dans les heures, jours et semaines difficiles vécues par l’entreprise et mesurer les séquelles subsistant un an plus tard.

Même si l’article est en allemand (il existe plein de solutions pour le traduire…), nous recommandons à toutes les entreprises et organisations sa lecture attentive, car pour beaucoup d’autres, une telle attaque aurait été fatale. Alors, permettez-nous de poser la question à ceux qui n’ont toujours pas fait le nécessaire: «Êtes-vous prêt à assumer une faillite et à expliquer ses causes à vos collaborateurs et à vos clients» ?

Et pour ceux qui sont prêts, pourquoi n’iriez-vous pas expliquer aux récalcitrants qu’être prêt n’est ni impossible ni ruineux et que cela peut les sauver? Et que signifie «être prêt»? Quelques mesures techniques et un peu de sensibilisation ne suffisent pas. Ce sont bien entendu des pas nécessaires, mais la cyberattaque contre la NZZ montre combien l’organisation, la formation du personnel, la communication, les processus et les aspects juridiques font partie du dispositif, auxquels il faut ajouter la gestion des risques et le suivi de situation comme pour tous les autres domaines.

Il faut inlassablement répéter que l’infrastructure IT de l’entreprise n’est pas une simple commodité technique. Les interdépendances sont telles, qu’une panne peut devenir rapidement systémique et donc une menace pour toute l’organisation et ses partenaires. D’ailleurs les attaquants le savent bien, qui prennent souvent le temps de cibler d’autres rouages essentiels, comme d’aller jusqu’à saboter les sauvegardes et ainsi de détruire également la capacité de résilience de leurs victimes.

Si la pensée tactique ne suffit pas, le mot stratégique ne signifie pas non plus stratosphérique ou étatique . Le Larousse est clair: c’est «l’art de coordonner des actions, de manœuvrer habilement pour atteindre un but». C’est donc à la portée de tout le monde et permet à toute organisation de prendre de bonnes décisions et d’éviter des issues funestes. Même au sein d’une PME ou d’une petite commune il faut penser et agir stratégiquement.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les deux dernières semaines. Et sur dVPedia, la rubrique dVLibrary  avec son tout nouveau look and feel comprend déjà une centaine de titres avec leurs références et un résumé.

News significatives de la quinzaine

► LockBit down! – Comme introduit plus haut, l’action contre ce groupe de criminels russophones qui a fait plus de 2300 victimes en moins de 3 ans, dont 30 établissements de santé entre août 2023 et février 2024 est une bonne nouvelle. Le fruit de mois de travail des forces de l’ordre de renseignement, y inclus la Suisse. Quelle suite espérer? La masse d’informations gagnée et de saisies opérées aurait dû empêcher une rapide renaissance du groupe. Toutefois l’exemple de ALPHV/BLACKCAT, soi-disant démantelé en décembre par le FBI et qui déclarait annuler les limites qu’il s’était imposé de ne pas attaquer les hôpitaux et les centrales nucléaires, aurait dû rendre tout le monde prudent. En effet, LockBit semble être déjà de retour. De quelle manière le groupe fera-t-il payer la communication inutilement victorieuse et contre-productive de certains? Voilà donc un succès tactique, mais sous l’angle stratégique, la situation reste inchangée et l’avenir sombre. Les espoirs soulevés par cette action sont déjà douchés.

► ChatGPT est-il devenu fou? – Oui, selon ChatGPT lui-même qui le 21 février s’est mis à diffuser des résultats qualifiés par ses utilisateurs de «hallucinated garbage». Interrogé, ChatGPT a répondu plus tard: «La panne majeure de ChatGPT a été causée par un problème au niveau du serveur backend qui a entraîné l’indisponibilité du service pendant environ 40 minutes». Espérons que l’appel de Gary Marcus, qui écrivait le 7 février «Please, developers and military personnel, don’t let your chatbots grow up to generals» sera entendu. La tentation de faire de l’IA un avantage stratégique conduira immanquablement certains à ne pas entendre ces mises en garde. En termes de risques, il s’agira de ne pas oublier de laisser un KILL SWITCH humain au centre. Qui se préoccupe de cet aspect stratégique en Suisse?

► Souveraineté numérique – Tout indique que cette bataille est loin, très loin même d’être gagnée. En Suisse, les pessimistes la qualifient même de largement perdue suite notamment aux récentes annonces de l’armée qui utilise désormais Microsoft 365 pour la planification des cours de répétition et les tâches hors service et alors que la migration des unités administratives de la Confédération bat son plein. Chez digiVolution nous ne baisserons pas les bras et nous reviendrons sur cette question clé. Dans l’intervalle, nous attirons votre attention sur une publication à venir de Heidi News: «Razia sur nos données», à mettre en miroir (voir la rubrique Books & Reports) avec l’ouvrage de Jean Christophe Schwaab «Pour une souveraineté numérique».

Source: https://www.heidi.news/explorations/razzia-sur-vos-data/razzia-sur-nos-data-comment-nos-entreprises-servent-la-soupe-a-google-et-facebook

► Super année électorale et IA – À l’exemple de SORA de OpenAI, l’IA fait des progrès quotidiens en matière de génération de contenus, spectaculaire dans ce cas. Voilà de quoi inquiéter l’industrie audiovisuelle ainsi que tous ceux qui craignent pour les processus démocratiques de cette année 2024 chargée en scrutins divers et donc une cible privilégiée pour la désinformation.

Le 15 février, OpenAI a dévoilé Sora, un modèle d’IA générative capable de créer des séquences vidéo réalistes à partir d’instructions textuelles.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Merci également de soutenir par vos DONS notre travail au profit de la sécurité, de la résilience et de la souveraineté de la Suisse.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Chers Lectrices et Lecteurs

Voici les dV-News 04-2024 et leur sélection d’articles et liens.

Les soubresauts géopolitiques n’épargnent pas la Suisse et les questions de défense sont revenues au cœur de débats, parfois dans la douleur, comme celui du « trou de financement » rapporté récemment par les médias. Pour cette 95^ème édition, nous avons donc choisi de parler également de défense, en lien avec le projet de révision de la loi militaire en cours de consultation.

Aux (cyber)armes citoyens ?

Quand la nation est attaquée, elle se dresse comme un seul homme (et femme) avec tous ses moyens face à l’ennemi. Et dans le cyber aussi? « Oui, mais », car comme dans de nombreux autres domaines, les pénuries menacent ou sont déjà des réalités. Pénurie de personnel, de matériel, d’énergie, etc. L’armée n’est pas épargnée, mais pour régler ses cyberpénuries, elle entend recourir à la réquisition. Le projet de loi en révision prévoit ainsi, à son article 95, de permettre à l’armée de se servir, si nécessaire, et si le Conseil fédéral l’approuve, des ressources informatiques d’institutions et d’entreprises civiles.

Sur le fond, quoi de plus légitime que l’on donne à l’armée les moyens de remplir sa mission de défendre le pays si les « barbares » sont à nos frontières? À ce moment, tous les moyens devront être mobilisés. Bien, mais que cache cette réalité et cette idée est-elle réalisable? Les obstacles sont légion et nous en avons identifié trois majeurs :

Sur le plan organisationnel et technique, il faudra tout d’abord savoir ce qui est disponible ou pas, et donc à cet effet cartographier les actifs des organisations et des entreprises. Qui tient à jour son inventaire? L’expérience de terrain dont dispose digiVolution montre que seule une petite minorité d’entités le fait. L’imposer engendrera des travaux conséquents. Et chez qui? Il faudra en effet que l’armée indique ce qui l’intéresse pour remplir sa mission. Comment cette information stratégique sera-t-elle protégée? Car il s’agit là du cœur de notre économie et des secrets d’affaires. Et comment cette base de données sera-t-elle maintenue à jour sachant qu’il s’agit d’un domaine dynamique qui change au quotidien? Réquisitionner des chevaux, des machines de chantier ou des camions, c’était facile il y a encore seulement 40 ans, mais comment faire pour des infrastructures de haute technologie? Pas simple!

Et dès lors que l’on parle d’infrastructures, il faut le personnel pour l’exploiter. L’étude de ICT Formation Professionnelle de 2022 montre que l’armée devra aller pêcher dans un réservoir volatile et en cours d’assèchement. Parmi les quelque 250’000 personnes actives dans le domaine ICT en Suisse, 66’000 partiront à la retraite ou changeront d’orientation d’ici 2030, alors que la mutation numérique entraînera d’ici là un besoin supplémentaire d’environ 54’000 personnes. Jusqu’en 2030, ce sont donc près de 120’000 personnes qu’il faudra remplacer, soit près de 40% de l’effectif national de spécialistes ICT. Dans ce grand brassage, 1/3 sera composé de jeunes diplômés (avec quelle expérience dans la défense?), 1/3 devra être gagné à l’étranger (qui pourront travailler pour l’armée?) et 1/3… s’appellera « Monsieur et Madame Vacant »! Et combien de ces hommes et femmes seront déjà mobilisés en uniforme? Et tou(te)s les Suisses(se) informaticien(ne)s incorporé(e)s seront engagés dans leur compétence professionnelle? Le veulent-ils? Et s’ils y sont obligés, quand est-ce que cette question sera réglée? Dès le recrutement? Et ensuite s’ils changent de métier? Et pour tous les professionnel(le)s non mobilisables dans l’armée, combien avec le passeport suisse, combien avec un niveau de sécurité vérifié et donc combien tout simplement engageables? Et les civilistes? Pas plus simple!

Certes, la guerre en Ukraine a montré qu’un formidable mouvement de solidarité pouvait se dresser face à un agresseur. Mais dans ce cas, un troisième problème se présentera, celui du statut de combattant de toutes ces personnes et des infrastructures impliquées qui deviendront alors – si elles sont engagées au profit de la défense militaire – des buts légitimes de guerre pour l’ennemi. Et pour ceux qui deviendront des cybercombattants, le CICR a déjà rendu attentif sur les difficultés et proposé des règles qu’il faudra observer. Et encore pas plus simple!

Le projet de loi a-t-il considéré ces frictions? Et c’est sans compter les objections que l’économie formulera quand elle comprendra les conséquences de cette intention. Car alors comment feront-elles fonctionner le pays ? Pas simple. Un concept détaillé et une analyse systémique s’imposent.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les deux dernières semaines. Et sur dVPedia, la rubrique dVLibrary est désormais disponible avec déjà une centaine de titres avec leurs références et un résumé.

News significatives de la quinzaine

► Réseaux sociaux et politique – C’est un exercice courant au Congrès américain qui passe en général inaperçu en Europe, mais inviter les barons de la tech devant une commission sénatoriale pour les rouer publiquement de coups semble être un sport populaire pour certains politiciens. Chez digiVolution nous nous interrogeons régulièrement au sujet l’entreprise de M. Zuckerberg, mais nous ne pouvons nous satisfaire de la manière dont il a été poussé à un acte de contrition publique après avoir été notamment accusé, comme ses collègues, d’avoir « du sang sur les mains ». Que les géants de la tech portent des responsabilités est indiscutable, mais il a aussi fallu 15 ans à ces élus avant de commencer à s’emparer des problèmes y relatifs et beaucoup ont été jusqu’ici plus prompts à crier à la censure et à la chasse aux sorcières lorsque les réseaux sociaux tentaient de limiter les appels à la haine raciale des supporters de leurs champions. Face à l’IA, de mêmes questions sont à l’ordre du jour et il faut espérer que les solutions viendront plus vite et seront suivies d’actes concrets.

► No Power… – Nous l’avons souvent rapporté dans nos billets, sans énergie, pas de cyber. Voilà un sujet qui a miraculeusement disparu des discussions, la faute à des hivers qui jusqu’ici démentent les pronostiques du Conseiller fédéral Parmelin en 2022. Avait-il tort? Probablement pas et le problème est loin d’être réglé, car en admettant que l’initiative « stop au blackout »  soit approuvée par le peuple, des effets tangibles ne seront mesurables que dans de nombreuses années et certainement trop tard. Dans l’intervalle la consommation électrique augmente et trois éléments sont à considérer:  la forte domination chinoise sur les terres rares et de nombreux autres métaux stratégiques, ces éléments indispensables à la production de la quasi-totalité des biens high tech utilisés dans la production électrique ;  les risques croissants que la Chine prenne  le contrôle de Taiwan par la force et que cela entraîne une rupture dans la production de semi-conducteurs au cœur de notre vie et de la régulation énergétique ;  la disparition imminente de la production européenne de panneaux solaires sous les coups de boutoir d’une industrie chinoise dopée aux subventions étatiques. Que restera-t-il d’une illusion de souveraineté en Europe? 

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous. Et n’oubliez pas: maintenant il y a dVLibrary.

Merci également de soutenir par vos DONS notre travail au profit de la sécurité, de la résilience et de la souveraineté de la Suisse.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Chers Lectrices et Lecteurs

Voici les dV-News 03-2024 et leur sélection d’articles et liens.

Chaque année, le Bulletin of the Atomic Scientists évalue le temps séparant l’humanité de la catastrophe ultime. L’organisation, a été fondée par Albert Einstein et d’anciens du projet Manhattan en 1945 après les bombardements d’Hiroshima et de Nagasaki. Elle est la gardienne de l’horloge symbolique de la fin du monde, la Doomsday Clock, dont l’heure est annoncée chaque mois de janvier depuis 1947. En 2023, le Bulletin indiquait 90 seconde avant minuit, le délai le plus court jamais atteint. Il est inchangé en 2024.

Pour digiVolution, cette «horloge» qui considère dans son calcul les risques nucléaires, le changement climatique, les menaces biologiques et les technologies disruptives est particulièrement pertinente dans son approche systémique. Lecture recommandée!

Le fossé de la littératie numérique

Le titre de ce billet est on ne peut plus clair. Un fossé se creuse. Les deux lettres, I (intelligence) et A (artificielle) sont la tendance du moment. Ne pas en parler au bureau, à Davos, au bistrot ou encore en famille est un critère d’exclusion sociale. «Quoi tu ne sais pas ce qu’est ChatGPT?» qualifierait le pauvre ignare aux gémonies perpétuelles ! Et pourtant, qui comprend vraiment ce que sont ces technologies qui rythment et accompagnent chaque minute de notre existence, d’où elles proviennent, ce qu’elles font ou ne font pas, quelles sont nos responsabilités et droits individuels? Une infime minorité. Beaucoup se vantent et parlent fort, mais dans les faits l’ignorance quant au fait numérique domine. Quel sera le thème des salons en 2025?

Pourquoi la numérisation n’est-elle pas considérée comme une compétence clé, au même titre que lire, écrire ou calculer?  Pourquoi faut-il un permis de conduire pour une mobylette qui fait à peine du 40 km/h et pas pour l’usage d’appareils qui donnent l’accès à nos données les plus intimes et à notre compte en banque? Pourquoi exige-t-on de chaque chef(fe) d’entreprise qu’il/elle maîtrise les fondamentaux de la gestion financière et du personnel et pas de sa numérisation alors qu’une cyberpanne peut entraîner la faillite? Pourquoi n’y a-t-il pas d’équivalent numérique à l’obligation de porter un casque à moto ou la ceinture de sécurité en voiture? En Suisse, ce n’est que depuis 2023 que la négligence dans le traitement des données a commencé timidement à entraîner des suites pénales dans certains domaines et que l’usurpation d’identité est enfin considérée comme un délit?

Être aujourd’hui chef, parent, ou simple citoyen dans une société en mutation numérique devrait entraîner de nouvelles exigences en termes de compétences. Pourtant il n’en est rien et l’écrasante majorité des Suisses ne sont que des consommateurs non éclairés que les fournisseurs de services et de matériels (souvent aussi des vendeurs dont les compétences sont limitées) assomment avec une avalanche de conditions générales et techniques que très peu de personnes lisent et encore moins comprennent. Et ces dispositions exigeant le consentement pour utiliser nos données, qui protègent-elles vraiment et de quoi? Et ce n’est là qu’en extrait des questions auxquelles nous devrions répondre. Car sur quoi fondons-nous finalement la confiance, la résilience et la souveraineté de chaque entité, de l’individu à l’Etat en passant par les entreprises?

Le modèle sociétal dans lequel nous avons grandi et prospéré n’est-il pas largement dépassé par des inventions technologiques que nous ne maîtrisons pas (assez) et les intérêts d’une poignée d’entreprises? Le risque sociétal est-il considéré à sa juste valeur?

Pour digiVolution, cette réalité exige un effort conséquent d’éducation de la population. Il ne s’agit pas de se contenter de distribuer des tablettes dans les écoles et de faire écrire aux enfants quelques lignes de code (ChatGPT le fait…). Une littératie numérique doit être atteinte et continûment développée, à tous les étages de responsabilité et à tous les âges. Complexe, exigeant? Oui. Mais impératif, car ceux qui ont compris et utilisent le potentiel de l’IA creusent toujours plus l’écart.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les deux dernières semaines. Et sur dVPedia Pro, la rubrique dVLibrary est désormais disponible avec déjà une centaine de titres avec leurs références et un résumé.

News significatives de la quinzaine

► La nLPD reçoit son sésame d’équivalence – Le suspens est terminé. L’UE indique dans son rapport du 15 janvier 2024 que le droit suisse en matière de protection des données répond aux standards européens. Les données personnelles pourront donc continuer à circuler de l’UE et de l’EEE vers la Suisse sans garantie supplémentaire. Le 26 janvier s’est toutefois tenue à l’université de Lausanne une conférence sur le thème «Protection des données et vulnérabilité», où un collaborateur du Préposé fédéral à la protection des données et à la transparence a prononcé la phrase suivante rapportée par Le Temps:

La Suisse a progressé avec la nLPD, mais ne nous méprenons pas, car une loi ne protège rien ; elle fixe le cadre et n’est qu’une étape.

A chacun donc de faire sa part dans un environnement résolument complexe à l’exemple de Microsoft qui déclare désormais – et c’est très bien – stocker les données uniquement sur territoire européen pendant que des reproches lui sont adressés en raison des 772 partenaires avec lesquels la firme partage des données utilisateurs. L’énoncé du collaborateur du PFPDT est d’autant plus compréhensible que très prochainement viendront se greffer encore dans l’écosystème les directives relatives à l’IA en cours de finalisation.

► Moyens helvétiques de cybersécurité – La publication de l’agenda politique de la législature 2023 à 2027du Conseil fédéral permet de lever un coin de voile sur les moyens mis en œuvre en matière de cybersécurité par la Confédération (budget,  pages 315 et 337). Ce que nous avions déjà rapporté est vérifié: le NCSC est bien devenu un office fédéral, mais avec un budget en 2025 de 14.5 millions CHF (dont 11.7 pour le personnel), puis de 14.8 millions CHF pour les années suivantes, il ne faut pas attendre de miracles. Toutes les statistiques indiquent un doublement des dégâts dus à la cybercriminalité d’ici 2028, une explosion des cas grâce à l’IA, une aggravation de la situation géopolitique, mais à Berne… c’est «courant normal» alors qu’il faudrait doter l’OFCS de moyens conséquents.  S’agissant du commandement cyber de l’armée et des capacités du SEPOS au profit de l’administration fédérale, il faudra d’abord mesurer les effets réels de ce qui a été  annoncé à fin novembre 2023.

► Quid de la résilience d’une société sans Internet? – Les avis divergent quant à la résistance d’Internet, mais l’éventualité d’un défaut majeur (par exemple en raison d’une tempête solaire) ne peut en aucun cas être écarté. Une faible probabilité d’occurrence ne saurait servir d’argument pour écarter ce cas de figure.  Qui resterait-il de fonctionnel de notre société hyperconnectée sans Internet ? «OFF», le livre de Solange Ghernaouti, a brillamment montré ce qu’il adviendrait et trois éléments récents aideront à réfléchir: au Pakistan, des interruptions bien pratiques d’Internet semblent être intervenues durant le processus électoral ; car l’Internet dépend étroitement de la volonté politique. Depuis l’enclave de Kaliningrad, la Russie brouille les signaux GPS, [carte] une action qui montre combien cette infrastructure spatiale est fragile alors qu’elle est cruciale pour desservir des régions éloignées. Et deux rappels en image : «10 vor 10» et ZDF.

► Minority Report – Génial pour les uns, terrifiant pour les autres… l’IA a été mise à profit pour faire des prédictions générales sur les détails et le cours de la vie des personnes, telles que des prévisions liées à la mort, aux déménagements internationaux et aux traits de personnalité. L’étude a révélé que le nouveau modèle était précis à plus de 78 % pour prédire la mortalité dans la population étudiée sur une période de quatre ans, et qu’il surpassait considérablement les autres méthodes prédictives. Doit-on s’appesantir sur les multiples cas d’usage de nos données personnelles et de telles prévisions? Un bon moyen pour faire comprendre aux gens la valeur de leurs données. S’ils n’ont pas déjà tout donné…!

Permettez-nous de vous inviter à souscrire à dVPedia Pro et ainsi de soutenir son développement au profit de tous, conformément à la mission que s’est donnée digiVolution. Et comme indiqué plus haut, un nouveau service est disponible: dVLibrary.

Merci également de soutenir notre travail au profit de la sécurité, de la résilience et de la souveraineté de la Suisse.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Voici les dV-News 02-2024 et leur sélection d’articles et liens et le plaisir d’annoncer une naissance.

digiVolution s’est donnée pour mission d’observer, de comprendre la mutation numérique et ses défis, principalement sous l’angle de la sécurité, et de transmettre ce savoir aux décideurs. Peu après ses débuts, s’est imposée la nécessité de réaliser aussi des projets concrets et, finalement, que digiVolution avait besoin pour cela d’un bras opérationnel séparé. Ainsi a été créé en août 2023 la société dVCyberGroup SA avec un nom et un slogan qui ne laissent aucun doute sur ses buts et l’idéal qui est poursuivi.

Vous en apprendrez plus sur son site Internet https://dvcybergroup.ch dès la semaine prochaine. Il fallait ensuite un patron à dVCyberGroup et nous avons le grand plaisir d’annoncer que M. Haris Stucki  en assure la direction depuis le 1^er janvier 2024.

Pendant que le digiVolution produira de nouveaux savoirs et de nouvelles idées pour maîtriser les défis de la mutation numérique, dVCyberGroup produira des prestations au niveau stratégique dans les domaines du conseil, du soutien opérationnel et de la formation. Ce tandem de think tank et de do tank aura fort à faire pour fournir aux décideurs de solides bases décisionnelles.

Et quoi de plus difficile lorsque l’on songe aux incertitudes de l’IA? La plus grande enquête du genre vient en effet de demander à 2’778 chercheurs ayant publié dans des revues d’IA de premier plan leurs prévisions sur le rythme des progrès de l’IA et leur impact.

50 % attendent des progrès très significatifs d’ici 2028 déjà. Si le rythme se maintien, 10% estiment probable que des machines autonomes surpassent les humains dans toutes les tâches possibles d’ici à 2027. 50 % d’ici à 2047, soit 13 ans plus tôt que la précédente enquête de 2022. La probabilité que toutes les professions humaines deviennent entièrement automatisables devrait atteindre 10 % en 2037 et 50 % en 2116. 68,3 % des personnes interrogées pensent qu’une IA « surhumaine » a plus de chances de produire de bons résultats que de mauvais.

Sous un angle plus dystopique, 38 % à 51 % des personnes interrogées estiment à au moins 10 % la probabilité que l’IA conduise à l’extinction de l’humanité. Plus de la moitié ont formulé des inquiétudes « importantes » ou « extrêmes » dans six scénarii, dont la désinformation, le contrôle autoritaire et les inégalités.

En bref, le principe de précaution devra s’imposer dans tous nos progrès liés à l’IA ces prochaines années. En espérant que tout le monde joue avec les mêmes règles.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les deux dernières semaines. La rubrique dVLibrary sera prochainement à disposition des abonnés de dVPedia Pro.

News significatives de la quinzaine

► Les Forces aériennes (FA) suisses indirectement touchées par une cyberattaque – Les attaques contre Xplain puis contre Concevis en 2023 avaient montré les conséquences d’une attaque contre la chaîne d’approvisionnement. Avec l’attaque du groupe criminel Alphv contre la société américaine Ultra Intelligence & Communications, ce sont cette fois nos FA qui sont touchées et il faudra attendre les résultats d’analyse pour mesurer la réelle gravité de la situation. La question sur toutes les lèvres c’est « comment sécuriser durablement des informations le long de toute une chaîne d’approvisionnement par nature hétérogène? ». Et la question que personne ne veut poser c’est « et comment corriger le passé? », car ces exemples ne sont que la pointe d’un immense iceberg. Alors sommes-nous condamnés à subir un cas après l’autre? Les autorités américaines avaient annoncé avoir neutralisé ce groupe criminel… et il est revenu quelques jour plus tard en jurant vouloir désormais tirer sur tout ce qui bouge, hôpitaux compris. Bonne année !

► Global Risks Report et Global Cybersecurity Outlook 2023 du WEF – Les amateurs de vin attendent le Beaujolais nouveau. Chaque année en janvier, les experts en sécurité attendent le dernier Global Risks Perception Survey (GRPS). Nous en avons extrait une phrase qui dit tout:  « Le développement et le déploiement rapides de nouvelles technologies, souvent accompagnés uniquement de protocoles limités pour régir leur utilisation, posent leur propre risques. L’imbrication croissante des technologies dans le fonctionnement essentiel des sociétés expose les populations à des menaces intérieures directes, y compris celles qui cherchent à briser le fonctionnement de la société. Parallèlement à l’augmentation de la cybercriminalité, les tentatives visant à perturber les ressources et les services critiques basés sur les technologies deviendront plus courantes, avec des attaques anticipées contre l’agriculture et l’eau, les systèmes financiers, la sécurité publique, les transports, l’énergie et les infrastructures de communication nationales, spatiales et sous-marines ».

► Sous l’angle spécifique de la cybersécurité, le Global Cybersecurity Outlook 2023 du WEF relève des progrès substantiels par rapport à sa précédente édition en matière de collaboration entre les dirigeants des entreprises interrogées et leur responsables de la cybersécurité. Il révèle toutefois qu’un travail colossal reste à faire pour qu’ils se comprennent, pour exprimer clairement le risque que les cyberproblèmes représentent pour leur entreprise et pour traduire ce risque en mesures de gestion et de réduction effectives. Il pointe aussi le manque de temps restant aux organisations pour développer une cyberrésilience systémique à long terme dans un paysage numérique qui ne cesse de se complexifier. Il insiste sur la priorité qui doit être donnée à l’anticipation plutôt qu’à la réaction et à l’approche stratégique plutôt qu’à la défense tactique. Exactement les messages que nous martelons chez digiVolution. Les PME suisses (95% de nos entreprises) sont-elles plus ou moins vertueuses que celles qui ont répondu aux auteurs de ce rapport?

Global Cybersecurity Outlook 2023 – Chapter 1

► Les grandes oreilles helvétiques? – L’article de Republik (premier d’une salve de trois) dénonce un Etat fouineur qui n’aurait tenu aucune de ses promesses de ne pas s’adonner à la surveillance de masse avec la loi sur le renseignement adoptée en 2015. Le procès d’intention fait aux hommes et aux femmes qui, au quotidien, tentent de prévenir les actes criminels et terroristes dirigés contre la Suisse – et aussi de l’intérieur de celle-ci – est pénible à entendre. Il en va de même pour la rhétorique de cet article et de ceux qui lui ont unilatéralement emboîté le pas et qui ne cessent de parler de « services secrets », suggérant par là leur côté soi-disant malsain. Et que dire de l’accusation à peine voilée que nos services violeraient allégrement les délais d’effacement des données fixés dans l’ordonnance en vigueur depuis 2017 et qui s’attaque ainsi également injustement au personnel de l’Autorité de surveillance indépendante et indirectement au Parlement. Un peu d’objectivité et de respect svp!

► Elections à Taiwan – Malgré le feu roulant de désinformation les visant,  les Taïwanais n’ont pas cédé sous la pression persistante de la Chine et élu ce week-end un président défavorable aux exigences chinoises. Tout s’est jusqu’ici passé apparemment sans heurts majeurs. Les Taïwanais ont-ils été plus résilients qu’anticipé? Et ensuite? Les analyses qui suivront fourniront d’utiles piste de réflexions aux Européens et aux Américains pour maîtriser leur propre année électorale. D’autant plus important pour les USA dont la démocratie a été fortement abîmée le 6 janvier 2021. Une longue année en perspective où la fondation DISARM pourrait apporter un début de solution en matière de lutte contre la désinformation.

► Responsabilité des réseaux sociaux – Il y a quelques mois, nous relevions combien le comportement de certains providers était problématique. Il y a eu l’ingérence de Starlink dans la guerre en Ukraine, celle de Facebook dans les incendies de forêt au Canada et les multiples revirements de M. Altman de OpenAI. Un nouveau cas concerne X. Dans le cadre du séisme au Japon, les autorités n’ont pas pu transmettre l’alerte car elles avaient dépassé la quantité de messages gratuits autorisés. Les services japonais n’étaient pas enregistrés en tant que service public ! Combien de personnes ont été mises en danger pour une sombre affaire d’abonnement? Force est de constater que la dépendance de la société face à des services qui ne cessent de changer leurs règles et ne se soucient aucunement de leur responsabilité sociale est incompatible avec la sécurité publique. Conseil à tous les décideurs: avant de confier votre destin et le nôtre à quelqu’un assurez-vous qu’en cas de coup dur vous ne perdiez pas votre souveraineté sur vos fonctions vitales.

Anticipons sur une tradition chez digiVolution, la communication de l’horloge de l’apocalypse / la Doomsday Clock. Ce sera le 23 janvier et vous pourrez le suivre en direct avec ce lien.

Permettez-nous de vous inviter à souscrire à dVPedia Pro et ainsi de soutenir son développement au profit de tous, conformément à la mission que s’est donnée digiVolution.

Merci également de soutenir notre travail au profit de la sécurité, de la résilience et de la souveraineté de la Suisse.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.