Archive pour le Tag 'risques'

Présidentielles : Les promesses de Valérie Pécresse

Présidentielles  : Les promesses de Valérie Pécresse 

 

Pour résumer un programme qui tente d’articuler libéralisme, action régalienne et rigueur de gestion.

 

ECONOMIE et  SOCIAL 

- Hausse « de 10% des salaires nets jusqu’à 2,2 Smic », par un transfert aux entreprises des cotisations sociales vieillesse

- Relance « dès le printemps 2022″ de la réforme des retraites: départ à 65 ans, pension d’ »au moins un Smic » si on a travaillé toute sa vie

- Hausse des pensions de réversion, cumul emploi-retraite possible

- Renforcement de la dégressivité des allocations chômage après six mois

- « Droit au logement prioritaire » pour les travailleurs de première ligne

- Suppression de 200.000 postes de fonctionnaires mais création de 50.000 pour « protéger, éduquer, soigner »

- « Comité de la hache » de simplification administrative

- Fin des 35 heures de travail hebdomadaire

 

CLIMAT, ENERGIE

- Taxe carbone aux frontières de l’Europe

- Objectif de neutralité carbone « en 2050″: Livret Vert, aucun véhicule neuf à énergie thermique « en 2040″

- Lancement de 6 EPR, zones d’ »interdiction d’implantation des éoliennes »

ECOLE

- Deux heures de français et une de maths en plus en primaire

- Examen d’entrée en 6e avec « classes de remise à niveau » en cas d’échec

- Création d’une « réserve éducative nationale » avec des profs à la retraite

- Autonomie renforcée des écoles et universités

- Revalorisation des carrières des enseignants, poursuites de « tous les faits » d’outrage ou agression

FAMILLE, SANTE, CULTURE

- Prime à la natalité de « 900 euros par an » dès le premier enfant, hausse des allocations familiales

- Défiscalisation des pensions alimentaires des parents seuls

- Don défiscalisé aux descendants possible « tous les six ans »

- Recrutement de 25.000 soignants à l’hôpital

- Déconjugalisation de l’allocation adulte handicapé

- Création d’une journée nationale des héros français

IMMIGRATION

- Quotas annuels votés par le Parlement

- Fin des visas si les pays ne reprennent pas leurs ressortissants expulsés, « intensification » des charters

- Dépôt des demandes d’asile depuis les ambassades à l’étranger

- Prestations sociales conditionnées à « cinq ans de résidence régulière »

- Durcissement du regroupement familial

LAICITE, INTEGRATION

- Serment de « respect de la laïcité » pour les fonctionnaires, licenciement possible en cas de radicalisation

- Maintien en rétention des « terroristes radicalisés » après leur peine

- Interdiction du « port forcé » du voile ainsi que pour les accompagnatrices scolaires

- 30% maximum de logements sociaux par quartier

SECURITE, JUSTICE

- « 5 milliards » d’euros pour équiper les forces de l’ordre et « 9 milliards par an » pour les tribunaux

- Armement des polices municipales

- Jugements en « moins de six mois » pour les délits du quotidien et « 15 jours » pour les violences conjugales

- Construction de « 20.000 places de prison », ouverture de centres fermés pour les courtes peines

- Retenues sur salaires « contre les amendes impayées »

- Majorité pénale à 16 ans

- « Circonstance aggravante » pour certaines infractions commises « dans 72 zones de reconquête républicaine »

- Reconnaissance faciale dans les transports en commun

Risques d’une inflation durable…..en cas de bouclage salaire- prix

Risques d’une inflation durable…..en cas de bouclage salaire- prix

  •  L’analyse de deux économistes,  Frédéric Pretet, co-directeur de la recherche macroéconomique chez BNP et na Boata, directrice de la recherche économique chez Euler Hermes qui repose essentiellement sur l’hypothèse qu’il il n’y aura pas de bouclage salaire prix. (L’opinion).

«Mieux vaut garder son sang froid s ur ce sujet très sensible de l’inflation, temporisait le ministre de l’Economie Bruno Le Maire la semaine dernière au Sénat. Mieux vaut une analyse lucide que d’exagérer la gravité de la situation.» + 6,2 % en octobre aux Etats-Unis, + 4,5 % en Allemagne, + 4,1 % dans la zone euro, + 2,6 % en France… Annoncées comme temporaires, ces hausses de prix pourraient s’installer dans la durée. «Nous considérons que l’inflation mérite toute notre vigilance», assurait encore Bruno Le Maire le 16 novembre à l’Assemblée.

«On était dans une phase de très forte dépression ou en tout cas de contraction de l’activité l’an dernier puisqu’on a fait – 3 % de croissance au niveau mondial», rappelle Frédéric Pretet, co-directeur de la recherche macroéconomique chez BNP Paribas Exane. «Et puis on a vu une reprise qui est beaucoup plus forte qu’attendue parce qu’on a mis énormément de stimulations pour rebondir. La stimulation monétaire avec des taux d’intérêt qui ont fortement baissé, la stimulation budgétaire avec des plans de soutien à l’économie, que ce soit aux Etats-Unis ou en Europe, qui ont été massifs et sans précédent. Donc on a rebondi beaucoup plus fort que ce qu’on anticipait avec des prévisions qui, celles du FMI dernièrement, montrent des croissances mondiales autour de 6 %. Ce sont quand même des chiffres qui sont assez impressionnants, qui se poursuivent, autour de 5 % encore l’année prochaine.»

«Donc dès qu’on a une reprise cyclique, on a déjà des tensions sur tout ce qui est prix des matières premières. Dans la hausse de l’inflation qu’on voit dans l’ensemble des économies, il y a quand même une grosse composante prix des matières premières, prix des matières énergétiques (prix du baril, etc.) qui pèsent pour beaucoup dans cette hausse de l’inflation.»

Ce retour de l’inflation qui reflète le dynamisme de l’économie est plutôt une bonne nouvelle. «Quelque part c’est naturel et c’est une bonne nouvelle d’avoir une accélération d’inflation après une longue période où on avait des craintes de déflation», complète Ana Boata, directrice de la recherche économique chez Euler Hermes.

Une bonne nouvelle, mais pas que… «La mauvaise c’est qu’on a un choc d’offre qu’on ne peut pas tout à fait régler tout de suite», ajoute ana Boata. «Il y a une partie aussi mauvaise nouvelle qui est celle d’une accélération assez rapide», ajoute Frédéric Pretet. «Et puis, il y a une partie de cette inflation qui vient de cette hausse des prix de l’énergie. Et nous, en tant que pays consommateur, ce n’est jamais une très bonne nouvelle de ce côté-ci puisque ça veut dire qu’on vient attaquer notre pouvoir d’achat de façon un peu subie. Et là-dessus, on peut dire que c’est la partie inflationniste qui est plutôt la mauvaise nouvelle qui rend la situation un peu plus périlleuse.»

«Notre évaluation est que l’inflation est temporaire», affirmait le ministre de l’Économie, Bruno Le Maire, en présentant au Sénat le projet de budget pour 2022 le 18 novembre. C’est également ce qu’anticipent ces deux spécialistes : «L’inflation, certes, va encore accélérer, le pire n’est pas derrière nous», selon Ana Boata. «Mais on voit qu’en fait on est dans une dynamique, en sortie de crise, avec cette conjonction de facteurs qui fait que l’accélération est certes plus élevée qu’attendue mais encore une fois, elle devrait ralentir fin 2022 pour se rapprocher de la cible de 2 %. On pourra rester encore légèrement au-dessus de 2 %. Mais en tout cas on n’aura pas un phénomène d’hyperinflation.»

Pour Frédéric Pretet, «on est plutôt dans une situation conjoncturelle. Mais c’est vrai qu’on a quand même le sentiment que l’inflation s’est installée sur un sentier de croissance qui est sans doute un petit peu plus élevé que ce qu’on avait eu l’habitude de connaître sur les dix dernières années». «Effectivement il peut y avoir un côté structurel si, par exemple, on voit une boucle prix-salaires qui s’installe. Ce qui n’est pas vraiment notre scénario», nuance Ana Boata.

A quelques mois de l’élection présidentielle, le gouvernement craint que l’inflation ampute le pouvoir d’achat. Bruno Le Maire assure prendre «la question de la hausse des prix, avec le Premier ministre, très au sérieux». Car en s’installant durablement, ces augmentations pourraient conduire à un cercle vicieux qui peut nourrir lui-même l’inflation.

«Si cette inflation devient trop rapide, trop forte, trop longtemps, ça peut créer un déplacement dans les anticipations d’inflation et donc du coup des revendications salariales qui s’amplifient de plus en plus, qui viennent perturber, je dirais, le bon fonctionnement des entreprises, leur visibilité sur leurs coûts et donc du coup sur leurs investissements», prévient Frédéric Pretet. «Et donc ça peut créer un choc qui perdure et qui vient attaquer de façon durable aussi la reprise à moyen, long terme. Par rapport à ça, ça voudrait dire qu’on a des banques centrales qui sont quand même, bien sûr, sensibles au risque inflationniste, qui pourraient remonter les taux. Et donc si on remonte les taux, on rajoute aussi au coût pour les entreprises, pour les ménages, pour consommer, pour investir, et c’est là où l’inflation deviendrait une mauvaise nouvelle si ça devait durer trop longtemps et ça entraînerait cette réaction en chaîne de la part des autres agents économiques.»

Si cette hypothèse n’est pas à l’ordre du jour, une éventuelle hausse des taux d’intérêt viendrait tuer dans l’oeuf la reprise économique. «Un resserrement excessif des conditions de financement n’est pas souhaitable et constituerait un obstacle injustifié à la reprise», a déclaré le 15 novembre la présidente de la BCE, Christine Lagarde.

«Venir attaquer, par une hausse des taux d’intérêt, à un moment donné où le cycle de reprise reste quand même sur des niveaux qui sont en-dessous ou pas encore au niveau de ce qu’on avait il y a deux ans, c’est peut-être venir briser, je dirais, le cycle de reprise beaucoup trop tôt», analyse l’économiste Frédéric Pretet.

Une éventuelle hausse des taux viendrait également fragiliser les Etats les plus endettés comme l’Italie, la Grèce ou la France. «Tant que les taux d’intérêt restent bas et que la croissance reste supérieure à ces taux d’intérêt, on est bons, parce que les marchés savent qu’on est dans un scénario de soutenabilité de la dette qui est assurée», temporise Ana Boata.

«Une hausse des taux d’intérêt, bien sûr, c’est un frein pour la politique budgétaire, pour les arbitrages, pour l’investissement», estime par ailleurs Frédéric Pretet. «Le coût de la dette augmente avec la hausse des taux d’intérêt. Si vous avez une hausse des taux d’intérêt aujourd’hui, ça ne se traduirait pas directement tout de suite par une hausse de la charge de la dette à porter puisque, par exemple, pour un pays comme la France, la maturité de la dette est autour de sept ans. Donc, en gros, avant d’avoir un impact significatif de la hausse des taux d’intérêt, il faut laisser presque sept ans s’écouler avant d’avoir cet impact-là sur les finances publiques. Mais il n’empêche, c’est quand même un signal qui est envoyé. Ça veut dire qu’il faut quand même se préparer à une situation qui sera sans doute beaucoup plus compliquée sur le moyen terme. Et donc du coup, pour les politiques budgétaires, même si ça ne vient pas forcément freiner tout de suite les gouvernements, ça leur met quand même une espèce de «warning» je dirais, un avertissement. Et donc du coup ça peut un petit peu les gêner pour mettre en place certaines politiques qu’ils jugent comme importantes.»

 

Risques d’une inflation durable

Risques d’une inflation durable

  •  L’analyse de deux économistes,  Frédéric Pretet, co-directeur de la recherche macroéconomique chez BNP et na Boata, directrice de la recherche économique chez Euler Hermes qui repose essentiellement sur l’hypothèse qu’il il n’y aura pas de bouclage salaire prix. (L’opinion).

«Mieux vaut garder son sang froid s ur ce sujet très sensible de l’inflation, temporisait le ministre de l’Economie Bruno Le Maire la semaine dernière au Sénat. Mieux vaut une analyse lucide que d’exagérer la gravité de la situation.» + 6,2 % en octobre aux Etats-Unis, + 4,5 % en Allemagne, + 4,1 % dans la zone euro, + 2,6 % en France… Annoncées comme temporaires, ces hausses de prix pourraient s’installer dans la durée. «Nous considérons que l’inflation mérite toute notre vigilance», assurait encore Bruno Le Maire le 16 novembre à l’Assemblée.

«On était dans une phase de très forte dépression ou en tout cas de contraction de l’activité l’an dernier puisqu’on a fait – 3 % de croissance au niveau mondial», rappelle Frédéric Pretet, co-directeur de la recherche macroéconomique chez BNP Paribas Exane. «Et puis on a vu une reprise qui est beaucoup plus forte qu’attendue parce qu’on a mis énormément de stimulations pour rebondir. La stimulation monétaire avec des taux d’intérêt qui ont fortement baissé, la stimulation budgétaire avec des plans de soutien à l’économie, que ce soit aux Etats-Unis ou en Europe, qui ont été massifs et sans précédent. Donc on a rebondi beaucoup plus fort que ce qu’on anticipait avec des prévisions qui, celles du FMI dernièrement, montrent des croissances mondiales autour de 6 %. Ce sont quand même des chiffres qui sont assez impressionnants, qui se poursuivent, autour de 5 % encore l’année prochaine.»

«Donc dès qu’on a une reprise cyclique, on a déjà des tensions sur tout ce qui est prix des matières premières. Dans la hausse de l’inflation qu’on voit dans l’ensemble des économies, il y a quand même une grosse composante prix des matières premières, prix des matières énergétiques (prix du baril, etc.) qui pèsent pour beaucoup dans cette hausse de l’inflation.»

Ce retour de l’inflation qui reflète le dynamisme de l’économie est plutôt une bonne nouvelle. «Quelque part c’est naturel et c’est une bonne nouvelle d’avoir une accélération d’inflation après une longue période où on avait des craintes de déflation», complète Ana Boata, directrice de la recherche économique chez Euler Hermes.

Une bonne nouvelle, mais pas que… «La mauvaise c’est qu’on a un choc d’offre qu’on ne peut pas tout à fait régler tout de suite», ajoute ana Boata. «Il y a une partie aussi mauvaise nouvelle qui est celle d’une accélération assez rapide», ajoute Frédéric Pretet. «Et puis, il y a une partie de cette inflation qui vient de cette hausse des prix de l’énergie. Et nous, en tant que pays consommateur, ce n’est jamais une très bonne nouvelle de ce côté-ci puisque ça veut dire qu’on vient attaquer notre pouvoir d’achat de façon un peu subie. Et là-dessus, on peut dire que c’est la partie inflationniste qui est plutôt la mauvaise nouvelle qui rend la situation un peu plus périlleuse.»

«Notre évaluation est que l’inflation est temporaire», affirmait le ministre de l’Économie, Bruno Le Maire, en présentant au Sénat le projet de budget pour 2022 le 18 novembre. C’est également ce qu’anticipent ces deux spécialistes : «L’inflation, certes, va encore accélérer, le pire n’est pas derrière nous», selon Ana Boata. «Mais on voit qu’en fait on est dans une dynamique, en sortie de crise, avec cette conjonction de facteurs qui fait que l’accélération est certes plus élevée qu’attendue mais encore une fois, elle devrait ralentir fin 2022 pour se rapprocher de la cible de 2 %. On pourra rester encore légèrement au-dessus de 2 %. Mais en tout cas on n’aura pas un phénomène d’hyperinflation.»

Pour Frédéric Pretet, «on est plutôt dans une situation conjoncturelle. Mais c’est vrai qu’on a quand même le sentiment que l’inflation s’est installée sur un sentier de croissance qui est sans doute un petit peu plus élevé que ce qu’on avait eu l’habitude de connaître sur les dix dernières années». «Effectivement il peut y avoir un côté structurel si, par exemple, on voit une boucle prix-salaires qui s’installe. Ce qui n’est pas vraiment notre scénario», nuance Ana Boata.

A quelques mois de l’élection présidentielle, le gouvernement craint que l’inflation ampute le pouvoir d’achat. Bruno Le Maire assure prendre «la question de la hausse des prix, avec le Premier ministre, très au sérieux». Car en s’installant durablement, ces augmentations pourraient conduire à un cercle vicieux qui peut nourrir lui-même l’inflation.

«Si cette inflation devient trop rapide, trop forte, trop longtemps, ça peut créer un déplacement dans les anticipations d’inflation et donc du coup des revendications salariales qui s’amplifient de plus en plus, qui viennent perturber, je dirais, le bon fonctionnement des entreprises, leur visibilité sur leurs coûts et donc du coup sur leurs investissements», prévient Frédéric Pretet. «Et donc ça peut créer un choc qui perdure et qui vient attaquer de façon durable aussi la reprise à moyen, long terme. Par rapport à ça, ça voudrait dire qu’on a des banques centrales qui sont quand même, bien sûr, sensibles au risque inflationniste, qui pourraient remonter les taux. Et donc si on remonte les taux, on rajoute aussi au coût pour les entreprises, pour les ménages, pour consommer, pour investir, et c’est là où l’inflation deviendrait une mauvaise nouvelle si ça devait durer trop longtemps et ça entraînerait cette réaction en chaîne de la part des autres agents économiques.»

Si cette hypothèse n’est pas à l’ordre du jour, une éventuelle hausse des taux d’intérêt viendrait tuer dans l’oeuf la reprise économique. «Un resserrement excessif des conditions de financement n’est pas souhaitable et constituerait un obstacle injustifié à la reprise», a déclaré le 15 novembre la présidente de la BCE, Christine Lagarde.

«Venir attaquer, par une hausse des taux d’intérêt, à un moment donné où le cycle de reprise reste quand même sur des niveaux qui sont en-dessous ou pas encore au niveau de ce qu’on avait il y a deux ans, c’est peut-être venir briser, je dirais, le cycle de reprise beaucoup trop tôt», analyse l’économiste Frédéric Pretet.

Une éventuelle hausse des taux viendrait également fragiliser les Etats les plus endettés comme l’Italie, la Grèce ou la France. «Tant que les taux d’intérêt restent bas et que la croissance reste supérieure à ces taux d’intérêt, on est bons, parce que les marchés savent qu’on est dans un scénario de soutenabilité de la dette qui est assurée», temporise Ana Boata.

«Une hausse des taux d’intérêt, bien sûr, c’est un frein pour la politique budgétaire, pour les arbitrages, pour l’investissement», estime par ailleurs Frédéric Pretet. «Le coût de la dette augmente avec la hausse des taux d’intérêt. Si vous avez une hausse des taux d’intérêt aujourd’hui, ça ne se traduirait pas directement tout de suite par une hausse de la charge de la dette à porter puisque, par exemple, pour un pays comme la France, la maturité de la dette est autour de sept ans. Donc, en gros, avant d’avoir un impact significatif de la hausse des taux d’intérêt, il faut laisser presque sept ans s’écouler avant d’avoir cet impact-là sur les finances publiques. Mais il n’empêche, c’est quand même un signal qui est envoyé. Ça veut dire qu’il faut quand même se préparer à une situation qui sera sans doute beaucoup plus compliquée sur le moyen terme. Et donc du coup, pour les politiques budgétaires, même si ça ne vient pas forcément freiner tout de suite les gouvernements, ça leur met quand même une espèce de «warning» je dirais, un avertissement. Et donc du coup ça peut un petit peu les gêner pour mettre en place certaines politiques qu’ils jugent comme importantes.»

Risques de l’excès de la digitalisation et du cloud

Risques  de l’excès de la digitalisation et du cloud

 

. Les initiatives gouvernementales du cloud souverain sous-estiment considérablement l’impact du SaaS, qui crée pourtant une digitalisation souterraine dans les entreprises, augmentant considérablement la surface d’exposition aux cyberattaques. Par Andréa Jacquemin, fondateur et CEO de Beamy

Selon l’étude de KPMG réalisée en mai dernier dans le cadre de l’initiative gouvernementale du cloud souverain, le marché du cloud européen pourrait décupler et atteindre 560 milliards d’euros d’ici à 2030. Il concentre à part égale, 230 milliards d’euros, des besoins d’infrastructure – le IaaS et le PaaS – et les besoins d’applications : le SaaS. Mais si le cloud d’Infrastructure a été au cœur des débats de souveraineté ces derniers mois avec l’initiative européenne Gaia-X, ou la défense des acteurs français OVH, Orange ou Scaleway face aux mastodontes américains Amazon, Google ou Microsoft, rien ou trop peu n’a été dit sur son pendant applicatif : le SaaS.

Et pourtant, à l’insu des DSI et des directions générales, le SaaS explose jusqu’à créer une véritable digitalisation souterraine, aux mépris de tous les enjeux sécuritaires (RGPD) ou de souveraineté numérique.

Ainsi, dans les sociétés du Cac 40, et plus largement dans les grandes entreprises, le SaaS est devenu le vecteur clé de la digitalisation des métiers. Couramment appelé Shadow IT, l’écosystème SaaS se construit via l’usage massif d’outils disponibles sur internet, hyper-spécifiques et payables par abonnements. Déployés  à l’insu des lourds process de gouvernance d’entreprise, ces outils passent majoritairement sous les radars de l’entreprise car « à moins de 100.000 euros, le groupe ne regarde pas« , et cela même s’ils représentent des millions d’euros de coûts annuels cumulés. Externalisée, cette informatique est souvent celle de l’usage débridé des données personnelles (plus de 40% des SaaS utilisés sont américains), présentant potentiellement une multitude de failles de sécurité et de conformité à venir.

C’est une véritable digitalisation souterraine qui s’opère avec, en moyenne, plus de 190 éditeurs cloud différents pour une entreprise de plus de 1.000 collaborateurs. Sur ce nombre, seuls 60 de ces éditeurs sont maîtrisés par la DSI, 44 par le DPO et 36 par la sécurité. Et si, comme le prévoit KPMG, la croissance du cloud se poursuit, ce sont alors plus d’un millier d’éditeurs SaaS différents qui seront utilisés par chaque entreprise en 2030. La capacité de structurer un cadre de gouvernance clair sur le cloud d’application sera donc vital tant cela cristallise des enjeux de souveraineté numérique, de cyberdéfense ou de performance digitale de nos entreprises.

La transformation digitale étant l’affaire de tous, et surtout des métiers, il est normal qu’ils s’en saisissent. Notamment ceux de la nouvelle génération, celle du smartphone et ses applications qu’ils installent et désinstallent à la vitesse d’un clic. Génération du zapping, elle attend de l’entreprise le meilleur de la technologie que ce soit sur la vitesse d’exécution, l’interface des solutions et l’impact des outils sur la simplification et la performance de leurs activités professionnelles. Or, c’est un euphémisme de dire que cela ne fait pas encore partie des solutions proposées par les grandes entreprises

 

Pourtant, les meilleures technologies existent sur le marché mondial – près de 100.000 SaaS – dont les investissements réalisés par le capital risque se comptent en centaines de milliards d’euros. Ces solutions, parmi lesquelles figurent les plus puissantes, rapides et les mieux adaptées à la digitalisation des différents processus, sont aussi celles qui stockent et consomment le plus de données personnelles à l’étranger. Il s’agit donc de construire un véritable App Store de l’entreprise, pour permettre aux métiers de choisir eux-mêmes les meilleures applications tout en les guidant dans la bonne manière de sélectionner, utiliser et dé-risquer ces outils sur le­ long terme.

Le DSI tient une place stratégique sur ce sujet : celle de fournir ainsi à l’entreprise le cadre de décentralisation de la digitalisation. Celle de s’assurer que, malgré l’inflation technologique portée par les métiers, le cadre réglementaire est respecté, les données personnelles sous-traitées par ces outils sont bien protégées et les failles de sécurité externalisées sont réduites au minimum. Dans ce contexte, le DSI agît comme chef d’orchestre de l’écosystème digital, assurant l’optimisation des applications SaaS et leurs synergies au fur et à mesure que les métiers les ajoutent.

Le cloud souverain restera une initiative vaine si le cloud d’application, qui en résulte pour moitié, est toujours considéré au second plan. Au sein des entreprises, c’est à la direction générale d’impulser la construction d’une gouvernance digitale décentralisée, la seule à même de réussir à structurer cette part explosive du cloud. Une stratégie qui nécessite de mobiliser, avec le DSI, l’ensemble du comité exécutif, toutes les directions étant concernées par les enjeux de la transformation digitale.

L’urgence reste pourtant bien de faire l’état des lieux de la digitalisation souterraine existante !

Croissance: les trois risques qui pèsent sur la France

 

Croissance: les trois risques qui pèsent sur la France

 

 

D’après un important rapport de l’OCDE, la France s’en est pas trop mal sortie vis-à-vis de la quatrième vague de la pandémie. Ceci étant,  la forte croissance de 2021 n’est qu’une compensation de la baisse enregistrée en 2020. Pour l’avenir plusieurs inquiétudes sont à prendre en compte des 2022.  « Trois risques pèsent sur la croissance française. Le premier est le retour de la pandémie. Le second risque est le manque de main d’œuvre. Le troisième risque est l’inflation »

Le pays est également critiqué pour sa politique environnementale. La France se situe encore en deçà de ses objectifs de réduction d’émissions de gaz à effet de serre et polluants atmosphériques, d’augmentation de la sobriété énergétique, de diversification de son mix électrique, et de meilleure préservation de la biodiversité«  indique l’OCDE.

La France a fait des efforts en matière de gouvernance sur la transition écologique. Malgré tous ses efforts, l’écart entre les objectifs et les résultats montre un retard de la France.. Trois secteurs représentent 60% des émissions. Il s’agit des transports, le bâtiment et l’agriculture » a expliqué l’économiste de l’OCDE Priscilla Fialho lors d’une réunion organisée par France Stratégie ce jeudi après-midi.  Les auteurs de l’étude de plus de 150 pages remise à Bercy insistent en particulier sur le rythme de réduction des émissions carbone jugé « insuffisant » pour atteindre les objectifs européens en 2030 et en 2050. A cela s’ajoute la hausse de l’empreinte carbone de l’Hexagone qui prend en compte les émissions de dioxyde de carbone importées.

« Il faut renforcer les instruments de marché et la fiscalité environnementale pour modifier les comportements des ménages et des entreprises. Même si la fiscalité du carbone peut avoir des effets régressifs, elle fait preuve d’efficacité. Il y a beaucoup d’exonérations fiscale sur le gazole non routier par exemple. La fiscalité environnementale est très peu acceptée. Il faut donc utiliser les autres instruments comme les normes ou les aides à l’achat » a indiqué Priscilla Fialho.

Enfin, la reprise économique est loin d’avoir mis fin au chômage des jeunes et des seniors en France. « Le taux d’emploi des jeunes et des plus âgés est plus faible en France que dans la moyenne des pays de l’OCDE » a rappelé l’économiste Antoine Goujard.

5G: Les risques de la technologie

5G: Les risques de la technologie

 

Si la 5G devrait apporter des avantages et améliorer la vitesse de nos communications, il ne faut pas oublier de penser à toutes les problématiques que pose cette nouvelle technologie. Par Serge Abiteboul, Inria et Gérard Berry, Collège de France ( La tribune, extrait)

 

Le numérique, de manière générale, questionne les défenseurs de l’environnement. Par plein de côtés, il a des effets positifs sur l’environnement. Par exemple, il permet des études fines du climat, la gestion intelligente de l’énergie dans des smart grids, celle des moteurs de tous types, de l’automobile à l’aviation, des économies de transports avec le travail à distance. Par contre, il participe à la course en avant vers toujours plus de productivité et de consommation. Cet aspect très général du débat sera ignoré ici, où nous nous focaliserons sur la 5G.

Du côté positif, la 5G a été conçue dès le départ pour être énergétiquement sobre. Sachant que les chiffres ne sont pas stabilisés, elle devrait diviser fortement la consommation d’électricité pour le transport d’un Gigaoctet de données ; on parle de division par 10 et à terme par 20 par rapport à la 4G. Même si ces prévisions sont peut-être trop optimistes, il faut noter qu’elles vont dans le sens de l’histoire, qui a effectivement vu de pareilles améliorations de la 2G à la 3G à la 4G. Et on pourrait citer aussi les économies du passage du fil de cuivre à la fibre, ou des « vieux » data centers aux plus modernes. Le numérique sait aussi aller vers plus de sobriété, ce qui lui a permis d’absorber une grande partie de l’explosion des données transférées sur le réseau depuis vingt ans.

Une partie de cette explosion, oui, mais une partie seulement, car il faut tenir compte de l’effet rebond. D’une manière très générale, l’effet rebond, encore appelé paradoxe de Jevons, observe que des économies (monétaire ou autres) prévues du fait d’une amélioration de la technologie peuvent être perdues à la suite d’une adaptation du comportement de la société. Avec les améliorations des techniques qui ont permis le transport de plus en plus de données, on a vu cette quantité de données transportées augmenter violemment, en gros, doubler tous les dix-huit mois. Si les récents confinements dus à la pandémie n’ont pas mis à genoux la 4G, c’est grâce à l’année d’avance que sont obligés de prendre les opérateurs pour absorber cette croissance, entièrement due aux utilisateurs d’ailleurs.

L’introduction de la 5G va permettre que cet accroissement se poursuive, ce qui résulterait selon certains en une augmentation de l’impact négatif des réseaux sur l’environnement.

Bien sûr, on doit s’interroger pour savoir si cela aurait été mieux en refusant la 5G. Sans 5G, les réseaux télécoms de centre-ville auraient vite été saturés ce qui aurait conduit à densifier le réseaux de stations 4G. On aurait sans doute assisté à un même impact négatif pour un réseau qui aurait alors fini massivement par dysfonctionner, car la 4G supporte mal la saturation pour des raisons intrinsèques à sa technologie. Ne pas déployer la 5G n’aurait réglé aucun problème, le vrai sujet est celui de la sobriété.

Dans le cadre du déploiement en cours, une vraie question est celle des coûts environnementaux de fabrication des éléments de réseaux comme les stations radio, et surtout des téléphones. Il faut savoir que la fabrication d’un téléphone portable émet beaucoup plus de gaz à effet de serre (GES) que son utilisation. Si tous les Français se précipitent et changent leur téléphone pour avoir accès à la 5G, on arrive à un coût énorme en émission de GES. Il faudrait les convaincre que ça ne sert à rien et qu’on peut se contenter du renouvellement « normal » des téléphones. Il est important d’insister ici sur « normal » : les Français changent de téléphone tous les 18 mois, ce qui n’est pas normal du tout. Même si ça a été effectivement nécessaire quand les téléphones étaient loin de leur puissance de calcul actuelle, ça ne l’est plus maintenant. Et produire tous ces téléphones engendre une gabegie de ressources, d’énergie et d’émission de GES. Au-delà du sujet de la 5G, que faisons-nous pour ralentir ces remplacements ? Que faisons-nous pour qu’ils ne s’accélèrent pas à l’appel des sirènes de l’industrie des smartphones ?

Il faudrait aussi questionner les usages. Le visionnage d’une vidéo sur un smartphone consomme plusieurs fois l’électricité nécessaire au visionnage de la même vidéo après téléchargement par la fibre. Mais la situation est tout sauf simple. Comment comparer le visionnage d’un cours en 4G par un élève ne disposant pas d’autre connexion Internet au visionnage d’une vidéo (qu’on aurait pu télécharger à l’avance) dans le métro parisien ? Il ne s’agit pas ici de décider pour le citoyen ce qu’il peut visionner suivant le contexte, mais juste de le sensibiliser à la question du coût environnemental de ses choix numériques et de lui donner les moyens, s’il le souhaite, d’avoir des comportements plus sobres.

Dans ces dimensions, les effets sont contrastés.

Pour la cybersécurité, la 5G procure des moyens d’être plus exigeants, par exemple, en chiffrant les échanges de bout en bout. Par contre, en augmentant la surface des points névralgiques, on accroît les risques en matière de sécurité. En particulier, la virtualisation des réseaux qu’elle introduit ouvre la porte à des attaques logicielles. L’internet des objets, potentiellement boosté par la 5G, questionne également quand on voit la faiblesse de la sécurité des objets connectés, des plus simples comme les capteurs à basse énergie jusqu’aux plus critiques comme les pacemakers. Le risque lié à la cybersécurité venant de l’internet des objets est accru par la fragmentation de ce marché qui rend difficile de converger sur un cadre et des exigences communes.

Pour ce qui est de la surveillance, les effets sont également contrastés. Les pouvoirs publics s’inquiètent de ne pouvoir que plus difficilement intercepter les communications des escrocs, des terroristes, etc. Des citoyens s’inquiètent de la mise en place de surveillance vidéo massive. La 4G permet déjà une telle surveillance, mais la 5G, en augmentant les débits disponibles la facilite. On peut réaliser les rêves des dictateurs en couvrant le pays de caméra dont les flux sont analysés par des logiciels d’intelligence artificielle. Le cauchemar. Mais la 5G ne peut être tenue seule pour responsable ; si cela arrive, cela tiendra aussi du manque de vigilance des citoyens et de leurs élus.

C’est un vieux sujet. Comme ces ondes sont très utilisées (télécoms, wifi, four à micro-ondes, radars, etc.) et qu’elles sont invisibles, elles inquiètent depuis longtemps. Leurs effets sur la santé ont été intensément étudiés sans véritablement permettre de conclure à une quelconque nocivité dans un usage raisonné. Une grande majorité des spécialistes pensent qu’il n’y a pas de risque sanitaire à condition de bien suivre les seuils de recommandation de l’OMS, qui ajoute déjà des marges importantes au-delà des seuils où on pense qu’il existe un risque. On notera que certains pays comme la France vont encore au-delà des recommandations de l’OMS.

Pourtant, d’autres spécialistes pensent que des risques sanitaires existent. Et on s’accorde généralement pour poursuivre les études pour toujours mieux comprendre les effets biologiques des ondes, en fonction des fréquences utilisées, de la puissance et de la durée d’exposition. Avec le temps, on soulève de nouvelles questions comme l’accumulation des effets de différentes ondes, et après avoir focalisé sur les énergies absorbées et les effets thermiques, on s’attaque aux effets non thermiques.

La controverse se cristallise autour de « l’hypersensibilité aux ondes électromagnétiques ». C’est une pathologie reconnue dans de nombreux pays, qui se manifeste par des maux de tête, des douleurs musculaires, des troubles du sommeil, etc. Malgré son nom, les recherches médicales n’ont montré aucun lien avec l’exposition aux ondes. Ses causes restent mystérieuses.

Venons-en à la question plus spécifique de la 5G. La 5G mobilise différentes nouvelles gammes de fréquences, autour de 3,5 GHz et autour de 26 GHz. Avec la 3.5 GHz, on est très proche de fréquences déjà utilisées, par exemple par le wifi, et de fréquences dont les effets ont été très étudiés. Pour la 26 GHz, si l’utilisation dans un cadre grand public de telles ondes est nouvelle, on dispose déjà d’études sur de telles fréquences élevées. Pourtant, l’utilisation nouvelle de ces fréquences spécifiques légitime le fait que de nouvelles études soient entreprises pour elles, ce qui est déjà le cas.

Un aspect de la 5G conduit naturellement aussi à de nouvelles études : les antennes MIMO dont nous avons parlé. Elles permettent de focaliser l’émission sur l’utilisateur. Cela évite de balancer des ondes dans tout l’espace. Par contre, l’utilisateur sera potentiellement exposé à moins d’ondes au total, mais à des puissances plus importantes. Le contexte de l’exposition changeant aussi radicalement conduit à redéfinir la notion d’exposition aux ondes, et peut-être à de nouvelles normes d’exposition. Cela conduit donc à repenser même les notions de mesure.

Nous concluons cette section en mentionnant un autre effet sur la santé qui va bien au-delà de la 5G pour interpeller tout le numérique : la vitesse de développement de ces technologies. Le numérique met au service des personnes des moyens pour améliorer leurs vies. C’est souvent le cas et, en tant qu’informaticiens, nous aimons souligner cette dimension. Mais, le numérique impose aussi son rythme et son instantanéité à des individus, quelquefois (souvent ?) à leur détriment. C’est particulièrement vrai dans un contexte professionnel. Dans le même temps où il nous décharge de tâches pénibles, il peut imposer des cadences inhumaines. Voici évidemment des usages qu’il faut repousser. Il faut notamment être vigilant pour éviter que la 5G ne participe à une déshumanisation du travail.

On peut difficilement évaluer les retombées économiques de la 5G, mais les analystes avancent qu’elle va bouleverser de nombreux secteurs, par exemple, la fabrication en usine et les entrepôts. On s’attend à ce qu’elle conduise aussi à de nouvelles gammes de services grand public et à la transformation des services de l’État. On entend donc : Le monde de demain sera différent avec la 5G, et ceux qui n’auront pas pris le tournant 5G seront dépassés. C’est une des réponses avancées aux détracteurs de la 5G, la raison économique. On rejouerait un peu ce qui s’est passé avec les plates-formes d’internet : on est parti trop tard et du coup on rame à rattraper ce retard. Sans la 5G, l’économie nationale perdrait en compétitivité et nous basculerions dans le tiers monde.

Il est difficile de valider ou réfuter une telle affirmation. N’abandonnerions-nous la 5G que pour un temps ou indéfiniment ? Est-ce que ce serait pour adopter une autre technologie ? Nous pouvons poser par contre la question de notre place dans cette technique particulière, celle de la France et celle de l’Europe.

Pour ce qui est du développement de la technologie, contrairement à d’autres domaines, l’Europe est bien placée avec deux entreprises européennes sur les trois qui dominent le marché, Nokia et Ericsson. On peut même dire que Nokia est « un peu » française puisqu’elle inclut Alcatel. La dernière entreprise dominante est chinoise, Huawei, que les États-Unis et d’autres essaient de tenir à l’écart parce qu’elle est plus ou moins sous le contrôle du parti communiste chinois. La France essaie d’éviter que des communications d’acteurs sensibles ne puissent passer par les matériels Huawei ce qui revient de fait à l’exclure en grande partie du réseau français.

Pour ce qui est des usages, les industriels français semblent s’y intéresser enfin. Les milieux scientifiques européens et les entreprises technologiques européennes ne sont pas (trop) à la traîne même si on peut s’inquiéter des dominations américaines et chinoises dans des secteurs comme les composants électroniques ou les logiciels, et des investissements véritablement massif des États-Unis et de la Chine dans les technologies numériques bien plus grands qu’en Europe. On peut donc s’inquiéter de voir l’économie et l’industrie européenne prendre du retard. Il est vrai que la 5G ne sera pleinement présente que dans deux ou trois ans. On peut espérer que ce délai sera utilisé pour mieux nous lancer peut-être quand on aura mieux compris les enjeux, en espérant que ce ne sera pas trop tard, qu’en arrivant avec un temps de retard, on n’aura pas laissé les premiers arrivants rafler la mise (« winner-take-all »).

Comme nous l’avons vu, certains questionnements sur la 5G méritent qu’on s’y arrête, qu’on poursuive des recherches, qu’on infléchisse nos usages des technologies cellulaires. La 5G est au tout début de son déploiement. Les sujets traversés interpellent le citoyen. Nous voulons mettre cette technologie à notre service, par exemple, éviter qu’elle ne conduise à de la surveillance de masse ou imposer des rythmes de travail inhumains. Nous avons l’obligation de la mettre au service de l’écologie par exemple en évitant des changements de smartphones trop fréquents ou des téléchargements intempestifs de vidéos en mobilité. C’est bien pourquoi les citoyens doivent se familiariser avec ces sujets pour choisir ce qu’ils veulent que la 5G soit. Décider sans comprendre est rarement la bonne solution.

__________

Risques et excès de la digitalisation et du cloud

Risques et excès  de la digitalisation et du cloud

 

Les initiatives gouvernementales du cloud souverain sous-estiment considérablement l’impact du SaaS, qui crée pourtant une digitalisation souterraine dans les entreprises, augmentant considérablement la surface d’exposition aux cyberattaques. Par Andréa Jacquemin, fondateur et CEO de Beamy

Selon l’étude de KPMG réalisée en mai dernier dans le cadre de l’initiative gouvernementale du cloud souverain, le marché du cloud européen pourrait décupler et atteindre 560 milliards d’euros d’ici à 2030. Il concentre à part égale, 230 milliards d’euros, des besoins d’infrastructure – le IaaS et le PaaS – et les besoins d’applications : le SaaS. Mais si le cloud d’Infrastructure a été au cœur des débats de souveraineté ces derniers mois avec l’initiative européenne Gaia-X, ou la défense des acteurs français OVH, Orange ou Scaleway face aux mastodontes américains Amazon, Google ou Microsoft, rien ou trop peu n’a été dit sur son pendant applicatif : le SaaS.

Et pourtant, à l’insu des DSI et des directions générales, le SaaS explose jusqu’à créer une véritable digitalisation souterraine, aux mépris de tous les enjeux sécuritaires (RGPD) ou de souveraineté numérique.

Ainsi, dans les sociétés du Cac 40, et plus largement dans les grandes entreprises, le SaaS est devenu le vecteur clé de la digitalisation des métiers. Couramment appelé Shadow IT, l’écosystème SaaS se construit via l’usage massif d’outils disponibles sur internet, hyper-spécifiques et payables par abonnements. Déployés  à l’insu des lourds process de gouvernance d’entreprise, ces outils passent majoritairement sous les radars de l’entreprise car « à moins de 100.000 euros, le groupe ne regarde pas« , et cela même s’ils représentent des millions d’euros de coûts annuels cumulés. Externalisée, cette informatique est souvent celle de l’usage débridé des données personnelles (plus de 40% des SaaS utilisés sont américains), présentant potentiellement une multitude de failles de sécurité et de conformité à venir.

C’est une véritable digitalisation souterraine qui s’opère avec, en moyenne, plus de 190 éditeurs cloud différents pour une entreprise de plus de 1.000 collaborateurs. Sur ce nombre, seuls 60 de ces éditeurs sont maîtrisés par la DSI, 44 par le DPO et 36 par la sécurité. Et si, comme le prévoit KPMG, la croissance du cloud se poursuit, ce sont alors plus d’un millier d’éditeurs SaaS différents qui seront utilisés par chaque entreprise en 2030. La capacité de structurer un cadre de gouvernance clair sur le cloud d’application sera donc vital tant cela cristallise des enjeux de souveraineté numérique, de cyberdéfense ou de performance digitale de nos entreprises.

La transformation digitale étant l’affaire de tous, et surtout des métiers, il est normal qu’ils s’en saisissent. Notamment ceux de la nouvelle génération, celle du smartphone et ses applications qu’ils installent et désinstallent à la vitesse d’un clic. Génération du zapping, elle attend de l’entreprise le meilleur de la technologie que ce soit sur la vitesse d’exécution, l’interface des solutions et l’impact des outils sur la simplification et la performance de leurs activités professionnelles. Or, c’est un euphémisme de dire que cela ne fait pas encore partie des solutions proposées par les grandes entreprises.

Pourtant, les meilleures technologies existent sur le marché mondial – près de 100.000 SaaS – dont les investissements réalisés par le capital risque se comptent en centaines de milliards d’euros. Ces solutions, parmi lesquelles figurent les plus puissantes, rapides et les mieux adaptées à la digitalisation des différents processus, sont aussi celles qui stockent et consomment le plus de données personnelles à l’étranger. Il s’agit donc de construire un véritable App Store de l’entreprise, pour permettre aux métiers de choisir eux-mêmes les meilleures applications tout en les guidant dans la bonne manière de sélectionner, utiliser et dé-risquer ces outils sur le­ long terme.

Le DSI tient une place stratégique sur ce sujet : celle de fournir ainsi à l’entreprise le cadre de décentralisation de la digitalisation. Celle de s’assurer que, malgré l’inflation technologique portée par les métiers, le cadre réglementaire est respecté, les données personnelles sous-traitées par ces outils sont bien protégées et les failles de sécurité externalisées sont réduites au minimum. Dans ce contexte, le DSI agît comme chef d’orchestre de l’écosystème digital, assurant l’optimisation des applications SaaS et leurs synergies au fur et à mesure que les métiers les ajoutent.

Le cloud souverain restera une initiative vaine si le cloud d’application, qui en résulte pour moitié, est toujours considéré au second plan. Au sein des entreprises, c’est à la direction générale d’impulser la construction d’une gouvernance digitale décentralisée, la seule à même de réussir à structurer cette part explosive du cloud. Une stratégie qui nécessite de mobiliser, avec le DSI, l’ensemble du comité exécutif, toutes les directions étant concernées par les enjeux de la transformation digitale.

L’urgence reste pourtant bien de faire l’état des lieux de la digitalisation souterraine existante !

0 Réponses à “Nouvelles t

Nouvelles technologies– risques et excès de la digitalisation et du cloud

Nouvelles technologies– risques et excès  de la digitalisation et du cloud

 

Les initiatives gouvernementales du cloud souverain sous-estiment considérablement l’impact du SaaS, qui crée pourtant une digitalisation souterraine dans les entreprises, augmentant considérablement la surface d’exposition aux cyberattaques. Par Andréa Jacquemin, fondateur et CEO de Beamy

Selon l’étude de KPMG réalisée en mai dernier dans le cadre de l’initiative gouvernementale du cloud souverain, le marché du cloud européen pourrait décupler et atteindre 560 milliards d’euros d’ici à 2030. Il concentre à part égale, 230 milliards d’euros, des besoins d’infrastructure – le IaaS et le PaaS – et les besoins d’applications : le SaaS. Mais si le cloud d’Infrastructure a été au cœur des débats de souveraineté ces derniers mois avec l’initiative européenne Gaia-X, ou la défense des acteurs français OVH, Orange ou Scaleway face aux mastodontes américains Amazon, Google ou Microsoft, rien ou trop peu n’a été dit sur son pendant applicatif : le SaaS.

Et pourtant, à l’insu des DSI et des directions générales, le SaaS explose jusqu’à créer une véritable digitalisation souterraine, aux mépris de tous les enjeux sécuritaires (RGPD) ou de souveraineté numérique.

Ainsi, dans les sociétés du Cac 40, et plus largement dans les grandes entreprises, le SaaS est devenu le vecteur clé de la digitalisation des métiers. Couramment appelé Shadow IT, l’écosystème SaaS se construit via l’usage massif d’outils disponibles sur internet, hyper-spécifiques et payables par abonnements. Déployés  à l’insu des lourds process de gouvernance d’entreprise, ces outils passent majoritairement sous les radars de l’entreprise car « à moins de 100.000 euros, le groupe ne regarde pas« , et cela même s’ils représentent des millions d’euros de coûts annuels cumulés. Externalisée, cette informatique est souvent celle de l’usage débridé des données personnelles (plus de 40% des SaaS utilisés sont américains), présentant potentiellement une multitude de failles de sécurité et de conformité à venir.

C’est une véritable digitalisation souterraine qui s’opère avec, en moyenne, plus de 190 éditeurs cloud différents pour une entreprise de plus de 1.000 collaborateurs. Sur ce nombre, seuls 60 de ces éditeurs sont maîtrisés par la DSI, 44 par le DPO et 36 par la sécurité. Et si, comme le prévoit KPMG, la croissance du cloud se poursuit, ce sont alors plus d’un millier d’éditeurs SaaS différents qui seront utilisés par chaque entreprise en 2030. La capacité de structurer un cadre de gouvernance clair sur le cloud d’application sera donc vital tant cela cristallise des enjeux de souveraineté numérique, de cyberdéfense ou de performance digitale de nos entreprises.

La transformation digitale étant l’affaire de tous, et surtout des métiers, il est normal qu’ils s’en saisissent. Notamment ceux de la nouvelle génération, celle du smartphone et ses applications qu’ils installent et désinstallent à la vitesse d’un clic. Génération du zapping, elle attend de l’entreprise le meilleur de la technologie que ce soit sur la vitesse d’exécution, l’interface des solutions et l’impact des outils sur la simplification et la performance de leurs activités professionnelles. Or, c’est un euphémisme de dire que cela ne fait pas encore partie des solutions proposées par les grandes entreprises.

Pourtant, les meilleures technologies existent sur le marché mondial – près de 100.000 SaaS – dont les investissements réalisés par le capital risque se comptent en centaines de milliards d’euros. Ces solutions, parmi lesquelles figurent les plus puissantes, rapides et les mieux adaptées à la digitalisation des différents processus, sont aussi celles qui stockent et consomment le plus de données personnelles à l’étranger. Il s’agit donc de construire un véritable App Store de l’entreprise, pour permettre aux métiers de choisir eux-mêmes les meilleures applications tout en les guidant dans la bonne manière de sélectionner, utiliser et dé-risquer ces outils sur le­ long terme.

Le DSI tient une place stratégique sur ce sujet : celle de fournir ainsi à l’entreprise le cadre de décentralisation de la digitalisation. Celle de s’assurer que, malgré l’inflation technologique portée par les métiers, le cadre réglementaire est respecté, les données personnelles sous-traitées par ces outils sont bien protégées et les failles de sécurité externalisées sont réduites au minimum. Dans ce contexte, le DSI agît comme chef d’orchestre de l’écosystème digital, assurant l’optimisation des applications SaaS et leurs synergies au fur et à mesure que les métiers les ajoutent.

Le cloud souverain restera une initiative vaine si le cloud d’application, qui en résulte pour moitié, est toujours considéré au second plan. Au sein des entreprises, c’est à la direction générale d’impulser la construction d’une gouvernance digitale décentralisée, la seule à même de réussir à structurer cette part explosive du cloud. Une stratégie qui nécessite de mobiliser, avec le DSI, l’ensemble du comité exécutif, toutes les directions étant concernées par les enjeux de la transformation digitale.

L’urgence reste pourtant bien de faire l’état des lieux de la digitalisation souterraine existante !

Tech-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Tech-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Société-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Société-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

0 Réponses à “Les risqus cyber catastrop

Les risqus cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Les risqus  cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

13 novembre 2015: Les risques du procès

13 novembre 2015: Les risques  du procès

Alain Bauer, Criminologue, explique les enjeux du procès dans l’Opinion. Des risques confirmés après les premières déclarations provocatrices du principal accusén (extrait),

 

 

Tribune

Un procès, devant une juridiction spécialisée dans les affaires de terrorisme, n’est jamais une affaire ordinaire.

Du 8 septembre 2021 à la fin mai 2022, si tout se passe selon le calendrier initialement établi, vingt accusés devront répondre de leur implication présumée dans l’organisation, la préparation, la commission, le support organisationnel des attentats du Stade de France, du Bataclan et des terrasses de café parisiens en 2015.

Le risque d’un procès public, filmé, malgré les précautions d’usage et les pouvoirs discrétionnaires dont est doté le président de la cour d’assises, reste celui du détournement. Le grand avocat Jacques Vergès le rappelait souvent, comme dans son ouvrage De la stratégie judiciaire, publié en 1968. Certes, il n’en fut pas l’inventeur, reprenant un style judiciaire et de plaidoirie inventés par l’avocat communiste Marcel Willard qui dans son livre La Défense accuse, publié en 1938, soulignait la consigne donnée par Lénine dès 1905, à tous les bolcheviques traduits en justice : « Défendre sa cause et non sa personne, assurer soi-même sa défense politique, attaquer le régime accusateur, s’adresser aux masses par-dessus la tête du juge… »

Jacques Vergès résumait ainsi son dispositif de défense : « Le but de la défense n’est pas tant de faire acquitter l’accusé que de mettre en lumière ses idées ». « La rupture bouleverse toute la structure du procès ; au premier plan apparaît soudain la contestation brutale de l’ordre public ! » Resté dans les limites de la loi, se refusant à passer la ligne jaune malgré ses provocations orales, ses engagements militants et révolutionnaires, Jacques Vergès sut rejoindre le petit cercle de celles et ceux qui font honneur au barreau et à leur serment. Avocat, il ne se rendit pas complice. Mais il instillera la possibilité de ne pas chercher la clémence par la connivence et le respect strict des usages.

Le récent changement d’équipe de défense de Salah Abdeslam, sur fond de désaccord stratégique, semble indiquer que ce procès pourrait se transformer en épreuve à la fois technique, procédurale et « politique ». Comme le rappelle la nouvelle responsable de son équipe de défense, Me Olivia Ronen, citant son mentor disparu, maître Thierry Levy : « Plus les faits sont graves, plus la défense doit être totale, sans concessions ».

C’est tout le risque pour l’Etat et le Parquet de ce procès-fleuve, ouvert en plein chaos afghan, entre variant Delta et Gilets Jaunes, qui voudrait que la bulle sécurisée de l’ancien Palais de Justice de Paris reste hors du temps comme elle se trouve déjà hors de l’espace commun à tous points de vue.

Salah Abdeslam n’a rien dit durant ces années de détention. Mais il n’est pas un comparse. Son profil a montré une évolution comparable à celle de Mohammed Merah, capable de poursuivre une activité criminelle ordinaire en parallèle et en même temps qu’un processus de jihadisation (dans ce cas familial) sans que cela ne semble poser problème.

Depuis Khaled Kelkal, la question des hybrides, des « gangsterroristes », délinquants ou criminels choisissant une rédemption dont l’Etat islamique assure fièrement la promotion, seule organisation politique et eschatologique à assumer l’intégration dans ses rangs de purs produits du droit commun alors que toutes les autres ont tout fait pour que « politiques » et « criminels » ne se mélangent pas plus en prison que dans l’action.

L’enjeu de ce procès, au-delà d’une étape dans le processus de deuils des victimes et de leurs proches, est donc double : identifier un des seuls points inconnus du dossier par la localisation de la dernière cible, celle justement du principal accusé. Identifier le processus de passage d’un groupe de jeunes, souvent délinquants, peu connaisseurs de la religion et du respect de ses règles, vers le Jihad suicidaire, devenant des inghimasi prêt à mourir pour donner la mort.

Se servir enfin des ressources immenses de la recherche pour étudier, analyser et comprendre, ce qui est l’essence même de la criminologie appliquée : les modalités du passage à l’acte, la mise en place d’outils de prévention, de dissuasion, de punition mais aussi de réinsertion et de lutte contre la récidive.

Le risque de ce procès reste immense : donner au principal accusé une exceptionnelle tribune de propagande, tant la rareté organisée de sa parole lui confère un poids exceptionnel. Ce procès sera-t-il tribune, spectacle ou expiation ? En tout état de cause, il faudra profiter de sa durée pour entamer enfin une pédagogie des mots quant à l’usage médiatique qui en est fait et profiter de ce moment pour enfin comprendre les racines, les causes et les mutations des terrorismes contemporains afin de prévenir les attentats à venir. Et surtout permettre que justice soit rendue.

Alain Bauer est professeur de criminologie au Conservatoire National des Arts et Métiers.

Assurance-vie : bénéfices et risques

Assurance-vie : bénéfices et risques

 

Cyrille Chartier-Kastler, fondateur du site Good Value for Money, spécialisé sur l’assurance. Explique les bénéfices et risques de l’assurance-vie.

 

Point n°1. Si les assureurs privilégiaient hier leurs clients fortunés en servant de meilleurs taux sur les fonds en euros des contrats de gestion privée (ainsi qu’en gestion de patrimoine), les politiques de taux servis sur les fonds en euros ont totalement évolué depuis et sont désormais totalement concentrées sur le taux d’unités de compte dans les encours. En 2020, l’écart de taux entre la gestion privée et l’épargne grand public n’a été que de 15 centimes (1,18% versus 1,03%) contre 38 centimes en 2017 (1,91% versus 1,53%).

Point n° 2. La bonification du taux servi sur le fonds en euros en fonction du pourcentage d’unités de compte dans les encours du contrat n’est pas « un cadeau » de l’assureur. C’est une simple restitution par l’assureur d’une partie du gain de marge de solvabilité procuré par les unités de compte et des revenus additionnels générés par ces mêmes unités de compte. Le taux moyen de rétrocession sur les unités de compte est en effet de 0,8% au profit de l’assureur et de ses distributeurs.

Point n° 3. Les normes Solvabilité II ont « torpillé » les fonds en euros en limitant leur capacité à prendre des risques à l’actif. Avec les fonds de retraite professionnelle supplémentaire (FRPS), les assureurs retrouvent une marge de manœuvre pour la gestion de leurs fonds en euros. D’où les demandes croissantes d’agrément par le secteur : Allianz, Aviva, Axa, CNP, Malakoff Humanis… Le mouvement est loin d’être terminé ; il devient une évidence pour les assureurs et les assurés.

Point n° 4. Arrivés plus tardivement sur le marché, les contrats de retraire (PERP, Retraite Madelin, PER…) ont longtemps servi des taux inférieurs à ceux de l’assurance-vie. La donne s’est logiquement inversée depuis ces dernières années. Désormais, le différentiel de taux servi s’élève à 20 centimes (0,20 %) en 2020 en faveur des fonds en euros de contrats de retraite. Cet écart devrait se creuser dans le temps sous l’effet d’une plus grande duration de placement des fonds en euros de contrats de retraite et de la montée en puissance des FRPS.

Point n° 5. L’empilement des coûts sur les unités de compte conduit à une charge annuelle globale située entre 2,50 % et 3,00 % par an sur ces supports pour les clients. Si la forte hausse des marchés financiers, notamment des marchés actions, a permis de « masquer » la facture totale sur les unités de compte au cours des dix dernières années, cela n’apparaît pas tenable dans le temps.

Point n° 6. Parmi les 5 opérateurs ayant servi les meilleurs taux du marché en 2020 sur leurs fonds en euros, on trouve trois associations d’épargnants : Gaipare (à 1,90 %), Asac Fapes (à 1,85 %), Afer (à 1,70 %) et deux acteurs mutualistes : Garance (à 2,75 %) et Mutavie (à 1,85 %).

 

Point n° 7. Parmi les 5 opérateurs ayant servi des taux en dessous de 0,5% en 2020, on trouve 4 bancassureurs significatifs du marché. Les promesses d’hier ne sont plus toujours celles d’aujourd’hui.

Point n° 8. Depuis 2018, le rendement moyen des fonds en euros classiques de contrats d’assurance-vie (hors contrats de retraite comme le PER Individuel notamment) se situe entre 0,15 % et 0,20 % au-dessus du rendement moyen d’un portefeuille glissant d’OAT sur 10 ans. C’est cohérent avec la composition des fonds en euros classiques qui intègrent 80 % d’obligations en moyenne.

Point n° 9. Un épargnant qui paie 3 % de frais à l’entrée sur ses versements en assurance-vie va désormais devoir attendre 4 à 5 années avant de « rentrer dans ses frais » en investissant dans un fonds en euros, compte tenu d’un taux moyen servi de 1% et des prélèvements sociaux (17,2%). D’où l’importance que doit attacher l’épargnant sur le niveau des commissions sur les versements. D’autant plus que ceux-ci ne sont pas déductibles de la plus-value réalisée ou des revenus perçus.

Point n° 10. L’avenir de l’assurance-vie pour les prochaines années se situera au carrefour de trois défis. Pour les fonds en euros, il se fonde sur une bascule croissante en faveur des FRPS pour les contrats de retraite (PER), une réduction de la garantie annuelle en capital (nette de frais) et la poursuite d’une superformance des taux servis par les contrats de « vraies » associations d’épargnants et de mutuelles. Pour les unités de compte, il s’agira de remettre en cause les gestions financières trop prudentes qui ne rapportent rien, une fois les frais déduits, à l’assuré alors qu’il assume une part du risque, aussi minime soit-elle.

L’avenir passera également par une intégration croissante de supports indiciels (ETF) dans les gammes d’unités de compte et une bascule par certains opérateurs de supports « classiques » vers des supports « clean share », sans rétrocessions. Enfin, l’assurance-vie doit revoir sa politique de frais, non seulement les frais d’entrée, bien trop élevés dans un contexte de taux bas, mais aussi sur l’empilement des frais de la gestion pilotée et sur les frais annuels de gestion sur les encours en unités de compte.

Risques incendies estivaux : nouveaux dangers mondiaux

Risques incendies estivaux :  nouveaux dangers mondiaux

Comme l’a constaté le GIEC, les températures vont continuer de progresser de manière irréversible au-delà des es objectifs fixés. Le réchauffement va malheureusement dépasser les 1,5° centigrades ou même 2°. Une tendance structurelle qui va se traduire par de plus grandes sécheresses et mécaniquement par la montée du risque incendie. L’année 2021 l’illustre déjà. Le mois de juillet a en effet été le plus chaud jamais enregistré dans le monde d’après l’agence nationale océanique et atmosphérique de l’ONU. D’immenses incendies ont affecté le Canada, les États-Unis mais aussi l’Europe y compris la France

Comme pour les autres risques environnementaux, les politiques de prévention sont à la traîne. -La visite du président de la république dans le Var qui pour toute politique relativise en considérant que la France était moins affectée que d’autres ! La question des incendies devient un enjeu majeur non seulement pour ses conséquences environnementales mais aussi pour la sécurité. On peut s’étonner qu’aucun débat n’ait été encore programmé au Parlement pour examiner ce nouveau risque et  envisager  la politique de prévention correspondante. Par parenthèse, il conviendrait sans doute de revoir le rôle et la présence des sapeurs-pompiers volontaires locaux. La concentration de ce moyen dans le seul chef-lieu de département ou presque constituant une hérésie. Mais le problème des moyens de prévention et de traitement est évidemment plus large.

 

Les risques du monde, Edgar Morin (100 ans)

Les risques du monde, Edgar Morin (100 ans)

A 100 ans, , le scientifique et philosophe Edgar Morin évoque les risques du monde dans une interview à France Info.(extrait)

 

 

On fait souvent le parallèle entre la France d’aujourd’hui et celle des années 30, avec cette montée de la violence, et ce repli sur soi. Faites-vous aussi ce parallèle ?

C’est un parallèle que je fais, sur un certain plan. C’était une époque de dangers qui montaient sans cesse et que l’on vivait presque en somnambule, sans nous en rendre compte. Mais le type de danger aujourd’hui n’est pas du tout le même. A l’époque, c’était l’Allemagne envoûtée par Hitler et par une conception de la supériorité aryenne qui projetait de dominer, avec son espace vital, toute l’Europe, et d’esclavagiser le monde slave. C’était la menace de l’Allemagne nazie qui était le danger principal. Aujourd’hui, il y a plus de dangers. Ils sont multiples. Vous avez le danger nucléaire. Vous avez le danger économique, celui de la domination de l’argent un peu partout. Vous avez les crises de la démocratie, comme il y en a eu à l’époque, et qui aujourd’hui sont aussi graves. Donc, il y a des traits semblables, mais aussi des traits très différents. Surtout, il y a l’absence de conscience lucide que l’on marche vers l’abîme. Ce que je dis n’est pas fataliste. Je cite souvent la parole du poète Hölderlin qui dit que « là où croît le péril croît aussi ce qui sauve ». Donc, je pense quand même qu’il y a encore espoir.

Vous qui êtes le chantre du concept philosophique de la pensée complexe. Vous ne trouvez pas qu’il y a parfois des raccourcis qui peuvent être faits, comme par exemple, quand on entend qu’on est en dictature aujourd’hui en France ? Vous n’avez pas l’impression qu’une certaine partie du pays va trop loin, fait des raccourcis ?

« Cette pandémie est une sorte de répétition générale de ce que pourrait être un État, tel qu’il existe déjà en Chine, de la surveillance et de la soumission généralisée. »

 

Nous n’en sommes pas là, mais nous voyons que nous en subissons la menace. Là aussi, c’est à venir. Même à quelques années, ne serait-ce qu’avec cette élection présidentielle, personne ne sait ce qui va se passer. On est dans une incertitude totale.

Vous écrivez d’ailleurs dans une tribune publiée dans le journal Le Monde : « Nous devons comprendre que tout ce qui émancipe techniquement et matériellement peut en même temps asservir ». Vous parlez du premier outil qui est tout de suite devenu une arme. Vous parlez des dangers de la technologie moderne et notamment de la vidéosurveillance, des algorithmes. Ce sont des dangers immédiats ?

C’est un des dangers dans cette société, appelons-la néo-totalitaire, qui pourrait s’installer. Mais il ne faut pas oublier la biosphère qui va aggraver tout ça si la crise climatique continue. Il ne faut pas oublier que les fanatismes se déchaînent un peu partout. Ce qui me frappe beaucoup, c’est que nous sommes à un moment où nous avons, tous les humains, une communauté de destin – et la pandémie en est la preuve, on a tous subi la même chose de la Nouvelle-Zélande à la Chine et à l’Europe. On a subi les mêmes dangers physiques, personnels, sociaux, politiques.

« Nous avons une communauté de destin. Mais on est dans une telle angoisse qu’au lieu de prendre conscience de cette communauté, on se referme sur sa propre identité, ethnique, religieuse, ou nationale. »

 

Moi, je ne suis pas contre la nation, au contraire. Mon idée de Terre patrie, c’est qu’elle englobe les patries et les nations sans les dissoudre. Mais cette conscience n’est pas là. Elle peut venir, elle peut se développer. Mais elle n’est pas là. 

Comment avez-vous vécu, sur le plan intellectuel, le confinement, cette idée de confiner sa population ? Est-ce que pour vous le confinement, c’est la santé qui a primé sur l’économie ? Ou est-ce qu’au contraire, vous retenez qu’on a confiné au détriment des libertés ?

La complexité, c’est de voir l’ambivalence des choses. Je vois très bien une volonté d’une politique sanitaire mais qui, peut-être, n’était pas totalement adéquate à la situation. Le confinement, c’est une chose qui a provoqué aussi bien des réflexions salutaires chez certains que des tragédies chez d’autres. C’est profondément ambivalent. Mais ce que je crois, c’est qu’on n’a pas bien pensé ce virus. On continue à être dans une aventure inconnue et dangereuse et je pense qu’il y a une grande repensée politique et sanitaire à faire aujourd’hui.

Vous avez 100 ans. Forcément, à cet âge-là, on commence à penser à la fin. Axel Kahn, qui nous a quittés mardi 6 juillet, a presque chroniqué la fin de sa vie. Est-ce que vous aussi, vous vous y êtes préparé ? 

Il y a une grande différence avec Axel Kahn, qui se savait atteint d’un cancer fatal. Jusqu’à présent, je n’ai pas d’atteintes, je ne peux pas avoir la même attitude qu’Axel Kahn. Je dispose encore, du moins cérébralement, des forces de vie qui me donnent des envies, des projets, des désirs, des plaisirs. Je vis bien entendu d’une façon beaucoup plus restreinte que dans le passé. Mon audition a faibli. Mes yeux ne lisent plus les choses microscopiques. Mes jambes ne peuvent plus cavaler.

« Moi qui adore la musique, maintenant les sons m’arrivent déformés, j’ai beaucoup de choses qui sont rétrécies. Mais même dans ce rétrécissement, je continue à participer à la vie de la nation et à la vie du monde. »

 

Donc, si vous voulez, je sais que la mort peut arriver d’un moment à l’autre, je sais que je peux m’endormir un soir et ne pas me réveiller. Mais ça, c’est le destin humain.

Axel Kahn s’est beaucoup battu pour la fin de vie dans la dignité. C’est aussi un combat que vous portez ? 

Je comprends très bien ce besoin d’éviter les souffrances les plus atroces à des gens qui se sentent condamnés. Mais les médecins sont devant une contradiction éthique. D’un côté le serment d’Hippocrate, qui leur dit de prolonger la vie au maximum, et de l’autre, une part d’humanité qui leur dit : arrêtons les souffrances de cette pauvre personne. Je suis pour ce point de vue, mais je sais qu’il y a des cas rares où des malheureux dans un coma qui semblait irrémédiable, au bout de quelques années, se réveillent soudain.

Vous diriez qu’il faut changer la loi sur la bioéthique ?

Il faut réfléchir sur les contradictions de la bioéthique. On voit que la génétique permet des manipulations qui peuvent être dangereuses, et en même temps des interventions qui peuvent être très salutaires. Il faut penser que dans ce domaine-là, nous avons affaire souvent à des devoirs contradictoires. Donc, il faut surtout faire une loi selon la complexité des choses, et pas d’une façon simplifiée.

C’est toujours cette ambivalence et la « pensée complexe ». On l’a peut être vue également avec l’affaire Mila, concernant la liberté d’expression cette fois-ci. J’imagine que vous êtes d’accord pour dire qu’il faut défendre la liberté d’expression. 

Ce n’est pas un accord, c’est une cause permanente qu’il faut défendre !

Mais jusqu’où ? Est-ce qu’une lycéenne peut insulter une religion en ligne ? Et est-ce qu’en réponse des personnes peuvent appeler à son meurtre ? Est-ce que la justice a eu raison de condamner les harceleurs de Mila à 4 à 6 mois de prison ?

Je pense que, là aussi, nous avons affaire à une contradiction éthique. Je suis pour la liberté d’expression totale, mais bien entendu, je pense aussi que sur la fameuse histoire des caricatures, non seulement elles pouvaient être considérées comme immondes par des jihadistes, mais pouvaient même offenser des pieux musulmans. Donc, je n’étais pas pour la censure, mais je suis pour que les journalistes aient le sens de la complexité et de la responsabilité. C’est de ça dont il faut tenir compte. C’est aux journalistes de savoir à quel moment éviter quelque chose d’offensant. Un exemple, pour éviter toute comparaison avec des choses actuelles, l’islam ou le christianisme. Quand en Amérique, des Blancs vont dans les forêts sacrées des Indiens, des forêts qui, pour eux, sont plus que sacrées puisque c’est là où il y a leurs ancêtres, je pense qu’il faut condamner ce qui est un sacrilège pour les Indiens. Il faut dans chaque cas réfléchir et ne pas avoir des idées abstraites générales.

On a beaucoup évoqué des choses sombres dans l’actualité ou dans le passé. Est-ce que vous avez une note d’espoir à donner du haut de vos 100 ans ? Est-ce que vous voyez un ciel bleu possible dans l’avenir ? 

D’abord, je sais que rien n’est irrémédiable. Malheureusement, la démocratie n’est pas une chose irréversible, mais une dictature non plus n’est pas irréversible. On a vécu des périodes sombres comme l’Occupation où pendant des années, il n’y avait pas d’espoir, jusqu’à ce qu’arrive le miracle de la défense de Moscou et de l’entrée en guerre des États-Unis. Donc l’improbable arrive dans l’histoire. Des évènements heureux arrivent. Parfois, ils n’ont qu’un sens limité, mais quand même important. Prenez le pape François. C’est le premier pape depuis des siècles qui soit retourné aux principes de l’Évangile et ait pris conscience des périls qui menacent la Terre, de la pauvreté et de la misère humaine. C’était imprévu que ce pape succède à un autre pape qui était si fermé, si réactionnaire.

« L’imprévu peut arriver, en bien ou en mal. Et moi, je compte donc sur l’improbable. L’Histoire n’est jamais écrite d’avance. »

 

Dans le fond, il y a toujours la lutte entre ce qu’on peut appeler les forces d’union, d’association, d’amitié, Eros, et les forces contraires de destruction et de mort, Thanatos. C’est le conflit depuis l’origine de l’univers où les atomes s’associent et où les étoiles se détruisent, se font bouffer par les trous noirs. Vous avez partout l’union et la mort. Vous l’avez dans la nature physique, vous l’avez dans le monde humain. Moi, je dis aux gens, aux jeunes : prenez parti pour les forces positives, les forces d’union, d’association, d’amour, et luttez contre toutes les forces de destruction, de haine et de mépris.

Des risques de guerre d’ici 2030 (Général Lecointre)

Des risques de guerre d’ici 2030 (Général Lecointre)

 

 

Dans le Figaro le général. Chef d’État major fait l’hypothèse que des conflits de niveau supérieur risquent de se produire d’ici 2030. Un pronostic probable compte tenu des tensions géopolitiques dans nombre de régions du monde. Le général insiste sur le risque provenant du monde arabe au musulman.

 

Pour autant, le général n’attire pas les conséquences sur l’évolution de l’armée. En effet, les conflits seront caractérisés par de véritables guerres mais aussi par le développement du terrorisme. Ne  compter que sur une armée technologique sera largement insuffisant pour battre ce terrorisme. Preuve en est par exemple en Israël.

 

La question du service militaire obligatoire devrait ce reposer car il faudra bien davantage de militaires pour lutter en France comme à l’étranger contre le terrorisme. Pour preuve, les insuffisances de la force Barkhane qui doit combattre un ennemi avec 5000 hommes sur un territoire cinq fois grand comme la France. Autre exemple la participation encore de 7000 soldats de l’armée à l’opération sentinelle. L’un des problèmes c’est que le corporatisme militaire freine aussi le retour du service militaire obligatoire.

 

Interview dans le Figaro

 

François LECOINTRE.-

 

Les tensions seront encore plus fortes qu’aujourd’hui avec des risques de dérapages supérieurs. À la fin de la guerre froide, certains ont cru naïvement à la «fin de l’histoire» et qu’il n’y aurait plus de conflits majeurs. Mais il y avait déjà là les germes d’une frustration interne d’une partie des pays en développement, et en particulier du monde arabo-musulman. Elle s’est aussi exprimée contre un monde occidental, perçu comme dominateur et hégémonique. Cette frustration a engendré une volonté de revanche. Nous en avons vu les conséquences au début des années 2000 puis avec les attentats en France. Nous les verrons longtemps encore. Ce danger est immédiatement perceptible pour nos sociétés parce qu’il s’exprime sous la forme du terrorisme. Des acteurs régionaux fondent aussi une partie de leurs revendications sur un nationalisme exacerbé. À ces menaces s’ajoutent d’autres phénomènes en Afrique notamment. 

Pour une réforme de la gestion des risques en agriculture

Pour une réforme de la gestion des risques en agriculture

Pour une réforme de la gestion des risques en agriculture par Jean-Yves Dagès est président de Groupama Assurances Mutuelles.

Tribune

A situation exceptionnelle, décision exceptionnelle ! Le 17 avril dernier, à la suite d’épisodes de gel catastrophiques, le Premier ministre a décidé d’ouvrir le régime des calamités agricoles à la viticulture qui en était jusqu’alors exclue, car assurable.

Cette décision est très importante. D’un côté, elle permet la mise en œuvre de la solidarité nationale au profit des viticulteurs non assurés, de l’autre, elle tourne définitivement la page d’une doctrine définie en 2005 lors de l’introduction de l’assurance récoltes en France. Elle fragilise, si rien n’est fait, l’assurance qui peine à se développer au-delà de 30 % de surfaces pour la vigne et les grandes cultures.

La réforme de la gestion des risques en agriculture, tant promise et toujours ajournée, doit donc être réalisée ! Le rapport publié récemment par le député Frédéric Descrozaille propose à ce titre des pistes prometteuses. Groupama soutient plus particulièrement trois propositions reprises par le député.

Pool de coréassurance. Tout d’abord, la possibilité de subventionner l’assurance récolte avec une franchise à 20 %, contre 30 % aujourd’hui. Cette baisse répond en effet à une attente des agriculteurs pour une meilleure couverture de leurs pertes. Cela est d’ailleurs conforme à ce que nous observons, puisque deux tiers de nos assurés contre le gel sur vigne ont souscrit des franchises inférieures ou égales à 15 %.

Puis, la réduction de la volatilité des risques en créant un pool de coréassurance qui associera tous les assureurs diffusant l’assurance récoltes subventionnée, ainsi que la Caisse centrale de réassurance en tant que tiers de confiance. S’inspirant du modèle espagnol en place depuis 40 ans, cette mutualisation améliorera la connaissance des risques et permettra une tarification plus adéquate, tout en favorisant les mesures de prévention.

Enfin, comme le souligne le député, la gestion des risques ne sera possible que dans le cadre d’une gouvernance renouvelée entre le monde agricole, celui de l’assurance et l’Etat, dont le soutien est essentiel. Un soutien qualifié aujourd’hui de « solidarité nationale », mais qui est en fait un investissement stratégique au profit de notre souveraineté alimentaire ! Dans de nombreux pays, l’assurance récoltes est un outil de politique agricole. Il n’y a aucune raison qu’elle ne le soit pas aussi en France. Sachons, enfin, créer le partenariat public-privé dont les agriculteurs de notre pays ont tant besoin !

Jean-Yves Dagès est président de Groupama Assurances Mutuelles.

XXIe siècle : le temps d’une nouvelle gestion des risques

XXIe siècle : le temps d’une nouvelle gestion des risques

Dans un long entretien accordé à La Tribune, Denis Kessler, PDG du groupe de réassurance SCOR revient sur la séquence de la pandémie, son impact sur les métiers de la (ré)assurance et les enseignements qu’il conviendrait de tirer de cette crise sanitaire exceptionnelle. Il dénonce l’impréparation des pouvoirs publics face à un risque pourtant identifié de longue date. Il assure ne pas craindre l’inflation dont il attend pourtant le retour, car Scor est bien armé face au risque de hausse des taux, affirme-il.

 

 

LA TRIBUNE – Les assureurs et les réassureurs n’ont-ils pas été pris en défaut en ne prévoyant pas l’aléa de la pandémie ?

DENIS KESSLER- La propagation de maladies infectieuses figurait en bonne place dans la cartographie des risques identifiés, étudiés et modélisés par les assureurs et réassureurs bien avant la pandémie de Covid-19. SCOR a développé son propre modèle de quantification du risque pandémique dès 2007.

Durant les dernières années, la réglementation prudentielle a aussi contribué au développement de la connaissance et de la modélisation de ce risque par les (ré)assureurs. Ceux-ci doivent ainsi, selon les règles prudentielles en vigueur en Europe depuis 2016, chiffrer le coût d’une pandémie bicentenaire – c’est-à-dire dont la « période de retour » probabiliste est de 200 ans – et démontrer qu’ils peuvent absorber cette charge : c’est l’un des tests de solvabilité. SCOR a d’ailleurs procédé, en 2013, à l’émission d’une obligation catastrophe pour se couvrir contre une hausse importante de la mortalité aux États-Unis (« mortality bond » ou « pandemic bond »). Et nous avons organisé avec l’Institut Pasteur un colloque international sur le risque de pandémie en… juin 2018 ! En résumé, le suivi et la gestion du risque pandémique faisaient déjà partie intégrante de notre gestion des risques lorsque l’épidémie de Covid-19 s’est déclarée.

Les (ré)assureurs n’ont donc pas été pris « par surprise » par la survenance du choc pandémique, qui était bien dans « l’espace » des scénarios qu’ils étudient et modélisent, et dont le risque était quantifié tant en termes de probabilité que de gravité. En revanche, les (ré)assureurs avaient sous-estimé l’ampleur de l’impact des décisions prises par les pouvoirs publics – confinements, couvre-feux, fermetures administratives… – pour enrayer la diffusion du virus.

Ces mesures, qui in fine ont limité ou arrêté l’activité économique et entraîné des pertes d’exploitation considérables pour les entreprises, ont très fortement impacté l’exposition des assureurs et réassureurs à la crise de la Covid-19. Conséquence : à ce jour, près de 90% du coût de la pandémie concerne la (ré)assurance de dommages et de responsabilité, quand seulement 10% de ce coût concerne la (ré)assurance de personnes… C’est une situation quasi symétrique à celle qui était anticipée et modélisée jusqu’à présent ! Les décisions prises par les pouvoirs publics ont de facto profondément transformé la nature du risque pour les (ré)assureurs.

Vous me permettrez de souligner que s’il y a eu un acteur pris totalement par surprise, ce sont bien les pouvoirs publics : rien n’était prêt ! Comment voulez-vous dans ce cas que l’on puisse nous même anticiper ce qu’ils allaient mettre en œuvre ?

Cette intervention des États n’était-elle pas prévisible ?

Comment voulez-vous modéliser les décisions politiques ? Vous me permettrez de souligner que s’il y a eu un acteur pris totalement par surprise, ce sont bien les pouvoirs publics : rien n’était prêt ! Comment voulez-vous dans ce cas que l’on puisse nous même anticiper ce qu’ils allaient mettre en œuvre ?

Contrairement aux catastrophes naturelles, ces décisions n’obéissent pas à des « lois de la nature ». Elles sont stochastiques, un peu aléatoires, évolutives, beaucoup de tâtonnements … Au demeurant, le fait que les mesures prises face à la pandémie de Covid-19 sont très différentes d’un pays à l’autre – alors que ces derniers sont confrontés à des situations très similaires – en atteste !

Rappelons ici que certains pays n’ont mis en place aucun confinement… Même dans l’Europe des 27, il y a eu 27 façons différentes de gérer la crise ! Et au sein d’un pays donné, une alternance politique peut complètement modifier les mesures mises en œuvre. Comment pouvait-on par exemple modéliser le résultat des élections présidentielles aux États-Unis, et quantifier ex ante ses conséquences sur la mise en œuvre de la campagne de vaccination outre-Atlantique ? La modélisation des décisions administratives et politiques lato sensu est strictement impossible car celles-ci comportent une part d’incertitude radicale et irréductible.

Quelles leçons tirez-vous, en tant que (ré)assureur, de cette crise ?

En tant que réassureur, la plus grande leçon tirée de cette crise tient au fait que la sinistralité du choc de la pandémie de Covid-19 est bien plus concentrée sur la (ré)assurance des biens et de responsabilité que sur la (ré)assurance de personnes.

Une autre « surprise » tient au fait que les (ré)assureurs ont été voués aux gémonies par de nombreux commentateurs et responsables politiques parce qu’ils ne proposent pas de protection contre les conséquences économiques de la pandémie, notamment les pertes d’exploitation des entreprises consécutives aux fermetures administratives et au confinement de la population.

Si le marché de l’assurance ne propose pas de telle protection, c’est évidemment pour des raisons de fond, qui tiennent à la nature même de ce risque. De fait, celui-ci est intrinsèquement non assurable, pour trois raisons principales.

D’abord, il est « sériel ». Quasiment tous les agents économiques sont touchés concomitamment, ce qui crée un problème manifeste de mutualisation des risques, alors même qu’il s’agit du principe cardinal de l’assurance. Le corollaire de ce caractère sériel est que la taille du risque est colossale. Comment voulez-vous « assurer » un pourcentage significatif du PIB d’un pays ?

Ensuite, ce risque comporte une composante endogène très forte, dans la mesure où il est très dépendant de décisions politiques. Son ampleur est déterminée par une myriade de variables directement contrôlées par les pouvoirs publics : la mise en œuvre ou non d’un confinement ; le cas échéant pour quelle durée ; le choix des commerces et entreprises qui peuvent continuer à exercer leur activité, totalement ou partiellement, et de ceux dont l’activité doit être entièrement mise à l’arrêt ; la nature et l’étendue des amortisseurs de la crise – tels le chômage technique ou partiel – mis en place pour éviter le déchirement du tissu économique, etc.

Le problème réside dans le fait que ces décisions politiques ne sont intrinsèquement ni anticipables ni modélisables… ce qui rend l’évaluation du risque et le calcul éventuel de la prime d’assurance impossibles.

Enfin, la dernière raison, plus technique, de non-assurabilité de ce risque tient à de possibles phénomènes d’antisélection et d’aléa moral. L’antisélection est l’effet par lequel seuls les agents économiques les plus exposés s’assurent, ce qui réduit l’effet de mutualisation. En l’espèce, seules les entreprises des secteurs les plus touchés – hôtellerie, restauration, tourisme… – achèteraient une protection (sauf à ce qu’elle soit obligatoire, ce qui poserait des questions d’acceptabilité). Celles appartenant à un secteur épargné – par exemple l’e-commerce – n’auraient aucun intérêt à s’assurer.

L’aléa moral est l’effet par lequel le risque est augmenté par une modification du comportement des agents économiques dès lors qu’une assurance joue le rôle de filet de protection. En l’espèce, la couverture du coût du confinement par des tiers (les assureurs) créerait un problème d’aléa moral manifeste au niveau des pouvoirs publics, qui n’assumeraient plus le coût économique des décisions qu’ils prennent alors même qu’ils décident des voies et moyens pour faire face à la crise sanitaire et qu’ils sont in fine responsables de sa gestion ! Une telle situation pourrait de fait inciter les pouvoirs publics à mettre en œuvre des mesures plus coûteuses économiquement dont la charge insupportable incomberait aux assureurs et aux réassureurs.

Bercy et les assureurs ont pourtant imaginé un dispositif permettant une mutualisation des risques, mais qui a fait long feu face à la cotisation obligatoire…

Aucun pays au monde n’est arrivé à ce jour à mettre au point un mécanisme de prise en charge par l’assurance des pertes d’exploitation en cas de pandémie. Ce n’est pas surprenant. Il ne s’agit pas de « mauvaise volonté » de la part des assureurs, mais d’impossibilité technique et économique. Le risque des conséquences économiques d’une pandémie est sériel – tant dans l’espace que dans le temps -, endogène, non modélisable et sujet à l’aléa moral et à l’antisélection. Conséquence : il n’est pas assurable. Je l’ai écrit au début de cette crise – il y a plus d’un an – et je n’ai encore trouvé personne pour démontrer le contraire.

Le risque cyber présente-t-il des points communs avec le risque de pandémie ?

Ces deux risques présentent effectivement de nombreux points communs. Ce n’est d’ailleurs pas un hasard si l’on recourt aussi au terme de « virus » en informatique ! Le risque cyber est lui aussi sériel, notamment du fait de l’essor des objets connectés. A l’instar du risque pandémique, c’est un risque quasi-impossible à territorialiser. Et le risque cyber présente également un caractère endogène : sa nature peut être profondément modifiée par les mesures de prévention mises en œuvre (ou pas) par les assurés… Enfin, même s’il n’est pas à proprement parler non modélisable, le risque cyber est difficile à quantifier et à modéliser, non seulement en raison de ce caractère endogène mais aussi, plus fondamentalement, en raison du manque de données et de sa nature très évolutive, qui limite notre capacité à l’évaluer prospectivement à partir de la seule observation de la sinistralité passée.

Que répondez-vous aux assureurs qui dénoncent une plus grande frilosité des réassureurs face à la montée des risques ?

Il convient ici de rappeler une évidence : c’est en (ré)assurant que les (ré)assureurs créent de la valeur… De ce point de vue, accuser les (ré)assureurs de ne pas vouloir assurer des risques par « frilosité » ou par « mauvaise volonté » est aussi ubuesque que d’accuser un boulanger de ne pas vouloir vendre plus de pain !

Si le marché de la (ré)assurance ne propose pas de protection pour un risque donné, c’est simplement que les conditions d’assurabilité de ce risque ne sont pas réunies.

La volonté – et vocation – du (ré)assureur est de déplacer la frontière de l’assurabilité. Il faut toutefois insister sur le fait que l’expansion de la sphère des risques assurables ne relève pas de la seule responsabilité de ce dernier. Les assurés – et les risk managers - ont notamment un rôle essentiel à jouer pour la collecte et le partage d’informations, l’échange d’expertise, la quantification du dommage, mais aussi la mise en œuvre active de mesures de prévention et de contrôle, afin de réduire la probabilité de survenance du risque et en maîtriser la gravité en cas de survenance.

A défaut, l’offre de (ré)assurance ne peut structurellement qu’être inférieure à la demande de (ré)assurance. Ce déséquilibre se traduit donc par une situation sous-optimale, où la (ré)assurance est très onéreuse – avec des conditions de couverture restrictives – sinon même indisponible. Réunir les conditions d’assurabilité face aux risques modernes requiert donc une sorte de cogestion du risque entre ses porteurs – les (ré)assureurs – et ceux qui y font face.

Ce partage de responsabilités est la condition sine qua non pour déplacer positivement la frontière de l’assurabilité et donc réduire le déficit de couverture assurantielle – le protection gap - qui est toujours considérable à l’échelle mondiale.

Le XXIe siècle sera celui du risk management… ou ne sera pas.

Le XXIe siècle sera-t-il le siècle des catastrophes ?

L’univers des risques est de facto à la fois en expansion et en mutation. Il croît et se transforme de façon permanente, avec, d’une part, l’innovation technologique et le progrès scientifique ; et, d’autre part, la globalisation et le développement des activités humaines, qui entraînent notamment l’apparition d’interdépendances de plus en plus complexes. L’univers des risques doit donc être appréhendé et analysé de manière holistique. Les risques sont de plus en plus sériels, globaux. Beaucoup de risques ne sont plus circonscrits dans le temps et dans l’espace comme cela était traditionnellement le cas.

Mais attention à ne pas sombrer pour autant dans le catastrophisme ! Il faut garder confiance en la capacité de l’intelligence humaine à gérer les risques et à relever les défis afférents.

Je suis fondamentalement positiviste, je dirais même comtiste. Nous traversons une période extraordinaire et très féconde sur les plans scientifique et technologique : informatique quantique, intelligence artificielle, big datamachine learning, robots, blockchain, nanotechnologies, recherche génétique… Même s’ils multiplient aussi les risques auxquels nos sociétés doivent faire face, tous ces développements sont intrinsèquement très positifs.

J’insiste sur le fait que le principe de prévention est plus important que le principe de précaution. Si ce dernier signifie qu’il faut s’abstenir de développer des technologies dès lors qu’il existe une incertitude sur leurs conséquences, alors le principe de précaution est lui-même dangereux, dans la mesure où il pourrait ralentir le progrès scientifique et l’innovation !

La bonne attitude est de gérer activement les risques à tous les niveaux : favoriser une culture des risques ; généraliser le « risk management » tant au niveau individuel qu’au niveau collectif ; investir dans la compréhension des risques ; développer la prévention pour diminuer la probabilité de survenance et la gravité des risques ; et favoriser le partage des risques, y compris via des partenariats public-privé. Le XXIe siècle sera celui du risk management… ou ne sera pas.

Quel est votre scénario pour 2021 ?

La crise de la Covid-19 est toujours en cours, et il est impossible de prédire avec certitude son évolution future. SCOR a développé un modèle épidémiologique compartimental permettant de modéliser le développement de la mortalité liée à la Covid-19 en fonction de plusieurs hypothèses – comme par exemple la durée des confinements, le degré de rigueur dans l’application de la distanciation sociale, la rapidité de mise en œuvre des campagnes de vaccination, ou encore l’efficacité desdits vaccins – et de mesurer l’impact de ces différents paramètres sur la gravité et la durée du phénomène pandémique dans les différentes régions du monde.

Sur la base de ce modèle que nous avons constamment amélioré depuis maintenant plus d’un an, et en nous appuyant sur une fourchette plausible pour les différents paramètres, nous prévoyons une réduction très sensible du nombre de décès liés à la pandémie d’ici la fin du troisième trimestre 2021. La véridicité de cette projection dépend toutefois très largement de la mise en œuvre des campagnes de vaccination et leur acceptation par la population, qui sont encore sujettes à de nombreuses inconnues, ainsi que l’apparition éventuelle de nouveaux variants.

Personne n’est en mesure de prédire si une accélération de l’inflation, et des taux d’intérêt, va se produire. Ce qui est clair, c’est que la probabilité d’un tel scénario a augmenté sensiblement durant les derniers mois

Sur un plan plus économique, craignez-vous un retour de l’inflation ?

Personne n’est en mesure de prédire si une accélération de l’inflation, et des taux d’intérêt, va se produire. Ce qui est clair, c’est que la probabilité d’un tel scénario a augmenté sensiblement durant les derniers mois, particulièrement aux États-Unis. Nous ne craignons pas ce scénario à SCOR, pour une raison simple : le Groupe y est pleinement préparé !

A l’actif, nous poursuivons une stratégie d’investissement prudente, caractérisée par une appétence limitée aux risques de marché. Notre portefeuille obligataire, qui constitue l’essentiel des placements du Groupe, est de très bonne qualité, avec une note de crédit moyenne de A+, et bénéficie d’une duration courte. Ainsi, notre portefeuille de placements est très liquide, avec 8,4 milliards d’euros de cash-flows financiers attendus au cours des 24 prochains mois, qui pourraient être réinvestis à des conditions de marché plus avantageuses si l’inflation, et partant, les taux, venaient à monter.

Au passif, nous ne sommes que très faiblement exposés au risque d’inflation. Nos engagements en matière de réassurance vie, qui sont concentrés sur la couverture des risques dits « biométriques » ‒ mortalité, longévité, dépendance, santé, etc. ‒, ne sont pas affectés. Pour ce qui est de nos engagements en matière de (ré)assurance de dommages et de responsabilité, ils seraient certes impactés par une accélération de l’inflation, mais de manière contenue dans la mesure où notre portefeuille de risques est essentiellement constitué de lignes à développement court, et non de lignes à développement long.

Au global, la remontée des taux d’intérêt serait une bonne nouvelle pour le groupe SCOR, qui verrait tant sa solvabilité que sa rentabilité s’élever.

J’ajoute que, dans un scénario de remontée brutale de l’inflation et des taux d’intérêt, le passif de SCOR serait exposé à un risque de liquidité quasi nul. Pour ce qui est de notre activité de (ré)assurance de dommages et de responsabilité, il y a deux raisons à cela.

D’une part, cette activité est structurellement en situation de cash-flow positif, car elle bénéficie d’un cycle inversé de production : les primes sont encaissées avant paiement des sinistres éventuels. D’autre part, le passif correspondant qui figure à notre bilan se caractérise par une grande « viscosité » : il ne peut être « retiré » que si nos clients (ré)assurés subissent un dommage leur donnant droit à une indemnisation. L’activité de (ré)assurance de dommages et de responsabilité n’est donc pas associée à un risque de « course aux guichets » (bank run) ‒ c’est-à-dire de retrait massif et soudain des passifs ‒, pouvant générer une crise de liquidité. De même, pour ce qui est de notre activité de réassurance vie, nous ne sommes pas exposés à un risque de liquidité du fait de notre concentration exclusive sur les risques biométriques.

Alors que le gouvernement vient de décider de prolonger les mesures de restrictions pour le mois d’avril, que pensez-vous de la réaction des pouvoirs publics, qui a privilégié la vie à l’économie ?

La décision des pouvoirs publics de privilégier le « tout-sanitaire » à l’économie est manifeste, et attestée par le désormais célèbre « quoi qu’il en coûte »… D’autres pays ont fait un arbitrage plus équilibré et plus judicieux.

Ce qui me frappe, je le répète, c’est d’une part l’impréparation et d’autre part le manque flagrant d’efficacité des pouvoirs publics pour gérer la crise sanitaire.

La pandémie a pris de court toutes les institutions concernées en France : les hôpitaux n’étaient pas préparés, les capacités de dépistage sont restées longtemps quasi inexistantes, les masques sont restés longtemps indisponibles, les modalités du confinement n’avaient pas été prévues… Et aujourd’hui, nous faisons face à une pénurie de vaccins !

Le « risk management » public a été à l’évidence défaillant. Nous en avions déjà la démonstration avant la crise sanitaire, comme en atteste la situation chronique de déficit public dans laquelle le pays se trouve depuis plus de 40 ans. L’Etat se borne depuis trop longtemps à un rôle principalement curatif, réactif. Et, de fait, il semble toujours agir dans l’urgence.

Il doit désormais impérativement donner la priorité à la prévention et à la protection. Il est pleinement légitime pour organiser la prévention, pour garantir la sécurité des citoyens. Cela relève d’ailleurs de sa responsabilité régalienne. A l’avenir, l’Etat devra davantage recourir à la technologie pour être efficace.

Le monde a-t-il changé avec cette crise ?

La violence de ce choc et son universalité, tant par son caractère global que par la multi-dimensionalité de ses conséquences – sanitaires, sociales, économiques, financières, géopolitiques – auront à l’évidence une grande résonance dans de multiples domaines.

J’ai écrit il y a un an que ce choc pourrait déplacer significativement et durablement « l’axe » autour duquel la Terre tournait jusqu’à présent. Ma conviction n’a pas changé, elle a même été renforcée : le cours de l’Histoire sera substantiellement modifié par cette crise globale, qui remet en cause nombre de nos convictions et appelle l’élaboration de solutions originales dans de nombreux domaines. Il va falloir réinventer le monde !

Risques inflationnistes aux États-Unis ?

Risques inflationnistes aux États-Unis ?

 

Le financier Karl Eychenne estime, dans une tribune au « Monde », que les craintes de surchauffe reposent sur des hypothèses et des modèles qui ne sont plus compatibles avec l’évolution des politiques monétaire et budgétaire. (Une appréciation qui peut se discuter NDLR)

Tribune. 

 

Le plan de relance américain est-il surdimensionné ? Oui, d’après Lawrence Summers et Olivier Blanchard, deux experts dont la voix porte et qui craignent une surchauffe économique. Dans un tel scénario, l’inflation menacerait d’accélérer de manière incontrôlable, obligeant la Réserve fédérale américaine (Fed) à mettre fin à sa politique monétaire ultra-accommodante.

On imagine alors les marchés d’actions et d’obligations connaître une violente correction, pris en étau entre la hausse des taux et la baisse de l’appétit pour le risque. Ce scénario du pire est possible, mais il est loin d’être certain. « Tout peut arriver dans la vie, et surtout rien », disait Michel Houellebecq.

Au plus fort de la crise due au Covid-19, le produit intérieur brut (PIB) américain a chuté lourdement. Depuis, il a repris des couleurs, mais accuserait toujours un retard de près de 4 % par rapport à son niveau potentiel, d’après les estimations du Congressional Budget Office, du Fonds monétaire international et de l’Organisation de coopération et de développement économiques.

Or, les montants promis par le plan de relance de Joe Biden permettraient non seulement de rattraper ce retard, mais aussi, potentiellement, de le dépasser de près de 5 %, du jamais-vu depuis la seconde guerre mondiale – d’où les craintes de surchauffe, accentuées encore par l’éventualité des 3 000 milliards de dollars aujourd’hui discutés, qui s’ajouteraient, dans l’année, aux 1 900 milliards tout juste votés et aux 900 votés fin 2020…

Mais trois bémols doivent être apportés. D’une part, les montants engagés ne seront pas forcément tous dépensés. Une partie sera épargnée, et même une grande partie si les ménages restent frileux. Tout dépendra du « multiplicateur », un concept qui divise les économistes : un multiplicateur de 1 signifierait que toute la relance se retrouve dans le PIB. Mais l’incertitude est grande autour de sa valeur, et il n’est pas exclu que le multiplicateur soit juste suffisant pour que le PIB rattrape seulement son retard.

D’autre part, le retard du PIB serait peut-être sous-estimé. En effet, les 4 % sont une moyenne, mais certains organismes vont jusqu’à 6 %, la différence se jouant dans la méthode d’estimation du PIB potentiel. Avec un tel retard du PIB, le plan de relance serait alors tout juste suffisant.

Quant aux 3 000 milliards, il s’agirait d’investissements dans les infrastructures du pays, qui doperont donc parallèlement le PIB réel et le PIB potentiel, sans grand risque donc d’accroître un écart d’où jaillirait une surchauffe de l’économie.

 

Risques inflationnistes aux États-Unis ?

Risques inflationnistes aux États-Unis ?

 

Le financier Karl Eychenne estime, dans une tribune au « Monde », que les craintes de surchauffe reposent sur des hypothèses et des modèles qui ne sont plus compatibles avec l’évolution des politiques monétaire et budgétaire. (Une appréciation qui peut se discuter NDLR)

Tribune. 

 

Le plan de relance américain est-il surdimensionné ? Oui, d’après Lawrence Summers et Olivier Blanchard, deux experts dont la voix porte et qui craignent une surchauffe économique. Dans un tel scénario, l’inflation menacerait d’accélérer de manière incontrôlable, obligeant la Réserve fédérale américaine (Fed) à mettre fin à sa politique monétaire ultra-accommodante.

On imagine alors les marchés d’actions et d’obligations connaître une violente correction, pris en étau entre la hausse des taux et la baisse de l’appétit pour le risque. Ce scénario du pire est possible, mais il est loin d’être certain. « Tout peut arriver dans la vie, et surtout rien », disait Michel Houellebecq.

Au plus fort de la crise due au Covid-19, le produit intérieur brut (PIB) américain a chuté lourdement. Depuis, il a repris des couleurs, mais accuserait toujours un retard de près de 4 % par rapport à son niveau potentiel, d’après les estimations du Congressional Budget Office, du Fonds monétaire international et de l’Organisation de coopération et de développement économiques.

Or, les montants promis par le plan de relance de Joe Biden permettraient non seulement de rattraper ce retard, mais aussi, potentiellement, de le dépasser de près de 5 %, du jamais-vu depuis la seconde guerre mondiale – d’où les craintes de surchauffe, accentuées encore par l’éventualité des 3 000 milliards de dollars aujourd’hui discutés, qui s’ajouteraient, dans l’année, aux 1 900 milliards tout juste votés et aux 900 votés fin 2020…

Mais trois bémols doivent être apportés. D’une part, les montants engagés ne seront pas forcément tous dépensés. Une partie sera épargnée, et même une grande partie si les ménages restent frileux. Tout dépendra du « multiplicateur », un concept qui divise les économistes : un multiplicateur de 1 signifierait que toute la relance se retrouve dans le PIB. Mais l’incertitude est grande autour de sa valeur, et il n’est pas exclu que le multiplicateur soit juste suffisant pour que le PIB rattrape seulement son retard.

D’autre part, le retard du PIB serait peut-être sous-estimé. En effet, les 4 % sont une moyenne, mais certains organismes vont jusqu’à 6 %, la différence se jouant dans la méthode d’estimation du PIB potentiel. Avec un tel retard du PIB, le plan de relance serait alors tout juste suffisant.

Quant aux 3 000 milliards, il s’agirait d’investissements dans les infrastructures du pays, qui doperont donc parallèlement le PIB réel et le PIB potentiel, sans grand risque donc d’accroître un écart d’où jaillirait une surchauffe de l’économie.

 

12345



L'actu écologique |
bessay |
Mr. Sandro's Blog |
Unblog.fr | Annuaire | Signaler un abus | astucesquotidiennes
| MIEUX-ETRE
| louis crusol