La nouvelle laisse pantois. La DGSI, premier service de renseignement en France, est incapable de gérer elle même les données récoltées. La solution trouvée ? Faire appel à... une entreprise aux États-Unis créée par la CIA.
« Submergée par les données informatiques liées au terrorisme, la DGSI vient de signer un contrat déléguant leur traitement à une société américaine, créée par la CIA. Une décision nécessaire dans un souci d'efficacité mais qui donne des informations secrètes aux services de renseignements américains et pose une question de souveraineté nationale. » (Paris Match)
Et voici une perle :
Guillaume Poupard, directeur général de L'Agence nationale de la sécurité des systèmes d'information (ANSSI, le bras armé de l’État en matière de cyberdéfense) déclarait : « Nous sommes pour une coopération internationale intelligente et non naïve ».
Des sous-entendus
Difficile de dire ce qu'il en est réellement mais il semble bien que la DGSI envoie ou met ses données brutes (ou faiblement traitées) à disposition des américains.
Quoiqu'il en soit, ce n'est pas sans soulever de sérieuses questions.
Des questions sans réponses
Les questions à se poser sont naturellement :
- le périmètre exact des données confiées,
- la durée pour laquelle cette sous-traitance est prévue,
- et quelle est la politique menée par la DGSI.
Le périmètre
Dès lors que l'on confie le traitement de données, on confie les données. Il existe des solutions pour s'assurer de conserver l'intégrité des données lues. Bien sûr, lorsqu'il est question de données collectées par un service de renseignement, ce n'est pas le premier enjeux.
Voici pourquoi ça nous concerne tous :
- Quelles sont les données ainsi mises à disposition ?
- Comment les données sont-elles récoltées ?
- Les citoyens vivants en France sont-ils concernés ?
...Et au-delà des intentions, sans doute louables :
- Ces données sont-elles pré-traitées ?
- Ces données sont-elles filtrées ?
- Existe-t-il un process de contrôle de ce qui est mis à disposition ? Si oui, est-il algoritmique ou humain ?
- Qui décide du périmètre ? Les politiques ?
- Le périmètre peut-il être amené à être modifié ?
...Car ça devient délicat :
- A-t-on prévu et pensé à tous les détournements possibles de l'utilisation de ces données ?
- Quid de l'espionnage industriel ? Du respect de la vie privée ?
- Quels impacts pour les détournements possibles ?
- Quels sont les aspects menant à cette décision qui ont été mal-estimés (car il y en a toujours, qu'on le veuille ou non) ? À quel degré ?
La politique
Les services de renseignement sont visiblement réactifs. Ils récoltent des données d'espionnage. Au passage, on se demande s'ils sont également pro-actifs.
La réactivité, c'est agir en réponse (dans un temps correct).
Être pro-actif, c'est anticiper les questions et leurs réponses.
La DGSI a un sérieux train de retard. Le Big Data, ça fait quelques dizaines d'années que cela existe. Pourtant, elle apparaît inapte dans ce domaine et s'avoue dépassée par la quantité de données à traiter.
Il ne va pas sans dire que c'est surprenant quand on sait qu'on est mondialement parmis les leaders dans ce domaine d'expertise.
- La sous-traitance est-elle utilisée comme moyen de contourner des Lois jugées trop restrictives ?
- Doit-on donner à un groupe restreint de fonctionnaires (ou assimilés) le pouvoir de mettre à dispositions une grande quantité de données jugées sensibles ?
- Peut-on laisser une administration mettre notre indépendance et notre démocratie dans la banlance ?
Qui contrôle cette politique ? Comment ?
Des inquiétudes légitimes
Une des raisons pour lesquelles cette pratique est dangereuse est justement le fait qu'il s'agit visiblement de grandes quantités de données. Trop grandes pour les moyens de la DGSI. Dès lors, il est logique de penser que les données partagées sont brutes ou, au mieux, qu'elles sont exposées après un traitement très faible.
Or, si ces données sont grandes et sans filtrage, c'est très probablement parce qu'elles sont massivement récoltées. Il est évident que de telles quantités de données peuvent alors aisément être détournées et utilisées à d'autres fin que celles prévues.
Dès lors, il convient de sérieusement questionner la compétence des décideurs.
Par ailleurs, que font la DGSI et le gouvernement pour éviter d'avoir recours à de telles pratiques dans un avenir proche ?