DS Avocats : société d’avocats d’affaires spécialisés

 

manta accueil

Manta Consulting: L'expertise des risques numériques.

 

 

Normand Yves Consulting

 

 

 

Normand Yves Consulting: cabinet de conseil et de formation 

 

arnaud-tessalonikos-2015Le Monde du Droit a interrogé Arnaud Tessalonikos, Président de l'Association Francophone de Prévention des Risques Numériques.

Pourquoi avez-vous décidé de créer l’Association Francophone de Prévention des Risques Numériques ?

 

L’AFPRN est née de l’idée selon laquelle il est bon de s’approprier les sujets de société important et de s’inscrire dans l’anticipation, c'est-à-dire la maîtrise, plutôt que de subir les changements en étant contraints par les technologies. En effet, en 20 ans d’expérience, j’ai vu l’informatique évoluer profondément, rapidement, silencieusement. J’ai aussi vu mon métier évoluer profondément du fait de l’informatique. Les technologies numériques (convergence de la téléphonie fixe - mobile, tout connecté, réalité et humains augmentés, intelligence artificielle) font évoluer très rapidement notre environnement (économie, habitat, déplacements, mode de consommation, gestion des énergies, etc.) et nos comportements.

Une personne connectée à Internet aujourd’hui, peut accéder en un temps extrêmement bref à la quasi-totalité des connaissances de l’espèce humaine et peut communiquer avec un nombre considérable d’autres humains et objets, quasi-instantanément et à partir de n’importe où dans le monde (tant qu’il reste de la batterie…).

 

Ceci n’est jamais arrivé dans l’histoire de l’humanité. C’est une grande chance, autant qu’un grand risque.

 

Pour certains, il y a là des véritables opportunités et pour d’autres une situation particulièrement anxiogène. Il convient de faire preuve, pour suivre cette évolution, d’une forte adaptabilité, quasi- permanente.

 

Evoluer sans cesse ou disparaître ?

 

En ce qui me concerne, je pense qu’il faut modérer la vision du phénomène, sécurise les biens et les personnes dans un monde numérique où émergent l’intelligence artificielle et la robotique. Je pense aussi qu’il est nécessaire de se rebeller contre la tyrannie de l’instantanéité permanente. Pour que le numérique demeure une chance et une source d’opportunités, un discours rationnel, accessible et réaliste doit s’imposer : inutile de jargonner, inutile d’agiter les peurs. Ce n’est cependant pas toujours facile, car la sécurité numérique n’est pas simple dans le fond (multi-composants, multi- sites, multi-technologies, multiformes, etc). S’il convient de le simplifier, il convient également de se garder d’être simpliste. L’AFPRN est ainsi née de cette réflexion.

 

Pouvez-vous présenter l’AFPRN ?

 

Première association loi 1901 de ce type, l’Association Francophone de Prévention des Risques Numériques (AFPRN) a, tout d’abord, pour originalité de rassembler en son sein trois domaines de compétences, transversales et indispensables à la prévention des risques numériques : le juridique, le technique et les assurances. Il ne peut y avoir de réponse appropriée à la question des risques numérique sans une démarche capable d’aller au-delà des clivages et des « jargons » propres à ces trois disciplines.

 

Ensuite, les objectifs de l’AFPRN ne sont pas la promotion d’une solution donnée ou d’une réponse sécuritaire en particulier. A l’instar de la prévention routière ou aérienne, il convient d’admettre que le risque zéro n’existe pas. En conséquence, il n’existe pas de solution miracle ou universelle, tout repose sur la bonne gestion des différents facteurs de sécurité : comportements, appropriation et bon fonctionnement des outils (techniques, juridiques, assurances), définition et respect des process, bon sens, etc.

 

Nous aidons nos membres à tendre vers une meilleure maîtrise des risques, par la sensibilisation et la prévention, voire l’identification des bons comportements à adopter face aux risques numériques.

 

Une approche scientifique et citoyenne sera privilégiée.

 

L’axe international de l’Association s’appuie sur les implantations de DS Avocats au Canada, en Afrique, et en Asie, et ce, en collaboration avec les 6 bureaux asiatiques du cabinet.

 

L’objectif poursuivi par la création de cette association est d’offrir un lieu de rencontre, de débat, de réflexion, d’information, de formation, de lobbying et de publication en matière de prévention des risques numériques auprès des pouvoirs publics, des entreprises, des collectivités et de tous les citoyens.

 

L’Association met à disposition de ses adhérents le premier outil pluridisciplinaire d’auto-évaluation des risques numériques auxquels ils sont exposés, et ce, à des fins pédagogiques et d’information.

 

A destination de qui est l’AFPRN ? Pourquoi ?

 

L’AFPRN s’adresse aux TPE, aux PME, aux ETI et aux collectivités qui expriment un besoin de sécurité, et qui ne peuvent pas nécessairement le formuler de manière optimum compte tenu de la complexité du sujet. Ces entités veulent avoir accès à un discours et à des informations ciblés, rationnels et responsables.

 

C’est en cela que nous décrivons notre approche comme s’efforçant d’être, autant qu’il est possible pour des praticiens, « scientifique » ou encore, et plus simplement, « rationnelle ». Ceci, par opposition aux approches destinées à effrayer.

 

Nous souhaitons également que notre approche soit citoyenne, dans le sens ou des messages de prévention seront élaborés, à destination de tous, et notamment à destination des populations plus jeunes.

 

Vous l’aurez compris, la prévention est logiquement un axe de travail essentiel de l’AFPRN.

 

Que pensez-vous de l’état actuel des connaissances des entreprises françaises en matière de risques numériques ? Pourquoi ?

 

Tout d’abord, il faut distinguer au sein des entreprises privées ou des établissements publics, ceux qui ont déjà subi un sinistre sérieux, de ceux qui n’en ont pas encore subi.

 

Dans le premier cas, le niveau d’information est devenu, par la force des choses, assez élevé. Les victimes ont pris conscience de la dangerosité du numérique et sont marquées par leur expérience douloureuse ; c’est le syndrome du « plus jamais ça ! ».

 

Dans le second cas, les entreprises privées et les établissements publics en ont une vision plutôt théorique. Ils connaissent l’existence de la problématique et des risques numériques, et même, ils s’efforcent de s’y intéresser. Cependant, ils ne mesurent pas réellement l’importance de leur exposition à ce risque (probabilité de survenance d’un sinistre, conséquences dommageables d’un sinistre, reproductibilité d’un sinistre déjà rencontré). Cependant, et cela vaut a fortiori pour les TPE et PME, les dirigeants ne peuvent pas être omniprésents et omniscients, de sorte que les entreprises françaises ont tendance à sous-estimer le risque numérique…et parfois très largement !

 

Entre le silence des victimes, qui conduit les cibles des attaques à ne pas mentionner les évènements auxquels ils ont été confrontés, à ne pas saisir les services de répression de la criminalité informatique (seulement 10 % des faits donnent lieux à des plaintes), et la complexité intrinsèque du sujet. Tout laisse à penser que de sérieuses difficultés peuvent encore se produire.

 

Quelle est, selon vous, la meilleure solution pour lutter en amont contre les potentiels risques numériques ?

 

Un ensemble de dispositifs (logiciels, matériels, organisationnels, humains, etc) concourent à une meilleure sécurité, parmi lesquels se trouvent nos propres comportements. Cela revient à se demander quelle serait la meilleure solution pour ne pas prendre de risque pour sa santé : sauf à vivre dans un caisson hermétique, une bonne santé est le fruit d’un ensemble d’actions sur son alimentation, son sommeil, son hygiène de vie, etc.

 

Bien entendu, le bon sens nous indique qu’il est préférable d’utiliser un antivirus, de crypter ses données, d’installer et de bien paramétrer un firewall... Toutefois, une typologie de mesures doit être prise pour concourir à l’atteinte d’un objectif de sécurité, qui doit être exprimé avec une précision suffisante. A défaut, cet objectif de sécurité ne sera pas opérant car il sera difficile de repérer sa progression vers cet objectif.

 

Il est donc nécessaire, et même indispensable, de procéder tout d’abord à une évaluation de sa situation du point de vue des risques numériques, telles que la vulnérabilité, la criticité de ses informations, la dépendance à son système informatique, ses solutions de replis, de back-up, etc.

 

Les réponses sont ensuite de trois ordres :

 

1. Juridiques

 

2. Techniques

 

3. Assurantiel.

 

En substance, la meilleure solution en amont, est d’adhérer à l’AFPRN afin d’accéder à l’outil d’auto évaluation de l’association, qui permet de faciliter grandement cette première étape de prise de conscience.

 

Quels sont vos objectifs en tant que Président de l’AFPRN ?

 

Mes objectifs consistent à faire de l’AFPRN une association de référence dans le monde francophone, qui puisse être un relai pour des messages constructifs et efficaces à destination des entreprises, des collectivités publiques et des citoyens. Participer plutôt que subir.

 

L’AFPRN est également un lieu de réflexion, de proposition et d’aide à la décision, par la qualité des ses travaux.

 

Propos recueillis par Arnaud Dumourier (@adumourier)