Si l’édition 2022 avait été marquée sous le sceau du sport (en anticipant les grands évènements que sont la Coupe du monde de Rugby de 2023 et les Jeux Olympique et Paralympiques de 2024), le millésime 2023 des universités d’été de Hexatrust est revenu sur les défis et les réalisations de l’équipe de France de la cybersécurité.

Des vents puissants contre SecNumCloud en Europe

Une occasion pour les têtes d’affiche d’intervenir et de mobiliser les troupes. C’est le cas de Vincent Strubel, directeur général de l’Anssi qui a évoqué plusieurs thèmes dont les JO « qui vont nous permettre de nous entraîner en situation de saturation », mais aussi de la directive NIS 2 sur laquelle « les discussions informelles ont commencé ». Il a insisté sur le fait que « cette réglementation va dans le bons sens » et qu’il faudrait faire preuve de pédagogie, car « elle va concerner des milliers d’entreprises ».

Placé sous le signe du cloud de confiance, l’intervention du ministre en charge du numérique, Jean-Noël Barrot était attendue. Il a rappelé à ce sujet l’importance des négociations à Bruxelles sur le schéma de certification pour les services cloud européens (EUCS) pour les données les plus sensibles. La France propose que le niveau adopté soit proche du SecNumCloud (exigeant notamment une immunité sur l’extraterritorialité des lois étrangères), mais rencontre « des vents puissants » et « les négociations sont extrêmement serrées, malgré un commando d’élite », observe le ministre. La France est « accusée d’avoir une pulsion hégémonique et de vouloir imposer SecNumCloud à toute l’Europe », selon lui. Une raison de ne pas attiser cette impression lors de la discussion en cours de la loi SREN (sécuriser et réguler l’espace numérique) avec des amendements qui pourraient « donner des arguments à nos adversaires », rapporte le ministre.

Jean-Noël Barrot, ministre en charge du numérique et des télécommunications a alerté sur des négociations très serrées à Bruxelles concernant le schéma de certification EUCS pour les donnés sensibles. (Crédit Photo : JC)

Une équipe qui continue à se structurer

Parmi les autres intervenants, il y a bien sûr les comités stratégiques de filières (CSF) qui ont vocation à coordonner et de fédérer les acteurs dans un domaine particulier. En matière de sécurité, la France compte un CSF dédié aux industries de sécurité dirigé par Marc Darmon. Ce dernier a évoqué la signature prochaine d’un contrat avec l’ensemble des acteurs de la filière et notamment la DGE (direction générale des entreprises). L’autre CSF, plus jeune, est relatif au numérique de confiance, présidé par Michel Paulin, directeur général d’OVHCloud et regroupant 200 organisations. « La feuille de route est en cours de finalisation et devrait présenté prochainement », a assuré le dirigeant lors de la plénière d’ouverture.

Michel Paulin, président du comité stratégique de filière numérique de confiance finalise la feuille de route du CSF. (Crédit Photo: JC)

Autre co-équipier incontournable, le Campus Cyber. Représenté par Yann Bonnet, directeur général délégué, il a souligné la montée en puissance de ce lieu totem de la cybersécurité en France, qui « impressionne les visiteurs étrangers, y compris les américains ». Concernant les travaux des groupes de travail, il précise que « prochainement une plateforme IA de cybersécurité sera dévoilée en octobre prochain ».

Un renfort nommé Schrems

Invité de marque pour cette neuvième édition des Universités d’été, Max Schrems, avocat et fondateur de l’association Noyb est intervenu sur son domaine de prédilection la protection des données personnelles et en particulier des accords de transfert de données entre l’Europe et les Etats-Unis. Tombeur du Safe Harbor et du Privacy Shield, il compte bien aussi faire invalider le dernier accord, le Data Privacy Framework. Il soulève plusieurs problèmes dans ce texte à commencer par l’executive order signé par le président Biden, « qui n’est pas une loi » et ressemble peu ou prou à un autre texte signé sous la présidence de Barack Obama. La différence réside dans l’usage du terme « appropriate » dans le FISA 702 (une loi qui prévoit la surveillance de masse avec l’assistance imposée des fournisseurs de communications électroniques) qui selon l’avocat « n’a pas la même interprétation aux Etats-Unis et en Europe ».

Max Schrems a donné ses arguments contre le Data Privacy Framework. (Crédit Photo: JC)

Il ajoute que la création d’un recours via la Data Protection Review Court pose problème. En effet, cette instance n’est pas une juridiction « au sens juridique normal de l'article 47 de la Charte ou de la Constitution américaine, mais un organe relevant du pouvoir exécutif du gouvernement américain ». Face à ces différents points, Max Schrems a décidé de contester le DPF auprès de la Cour de justice de l’Union européenne. Il regardera avec attention la plainte déposée à titre personnelle par le député Philippe Latombe au Tribunal de l’Union européenne contre le DPF. « Plus il y a de gens mobilisés sur le sujet et mieux c’est », conclut l’avocat.