Actualité web & High tech sur Usine Digitale

Souveraineté numérique et les enjeux des plateformes de Bug Bounty européennes

Twitter Facebook Linkedin Google + Email
×

Tribune Cette semaine, l'avocat Eric Caprioli revient sur le sujet de la Souveraineté numérique, préoccupation grandissante des pays membres de l'Union européenne.

Souveraineté numérique et les enjeux des plateformes de Bug Bounty européennes
Souveraineté numérique et les enjeux des plateformes de Bug Bounty européennes © dr

La souveraineté numérique est au centre des préoccupations en France ainsi que dans les institutions européennes. Une souveraineté forte permet de protéger les intérêts des Etats membres et des entreprises européennes contre toute ingérence extérieure (prise de contrôle de sociétés, intelligence économique, sabotage, …). Le Bug Bounty (externalisation de la détection des vulnérabilités en matière de cybersécurité) s’est trouvé au centre de cette problématique lorsque la Commission européenne a attribué à la société américaine HackerOne, le programme concernant le lecteur multimédia libre VLC.

 
La souveraineté numérique au centre des préoccupations
 

Un mouvement de prise de conscience de l’importance de la souveraineté numérique a débuté depuis un certain nombre d’années. En 2014, le décret "patriotisme économique" modifiait l’article R.153-2 du Code monétaire et financier afin de soumettre les investissements de groupes étrangers à autorisation préalable dans le domaine de la sécurité des réseaux et des services de communication électronique. On peut aussi prendre comme exemple la note d’information du 5 avril 2016 de la direction des collectivités territoriales et du service interministériel des Archives de France qui impose aux établissements publics qui veulent héberger leurs données dans le Cloud de passer par des fournisseurs souverains.

Plus récemment, l’affirmation de la souveraineté numérique européenne s’est exprimée dans le  projet Cybersecurity Act à travers la volonté de renforcer les pouvoirs de l’ENISA en matière d’expertise des produits de cybersécurité. On pourrait ajouter le règlement général sur la protection des données du 27 avril 2016, applicable à tous les services à destination des européens.

Ces dispositions ont pour but de faire face aux textes américains toujours plus protectionnistes et attentatoires à la vie privée comme le récent "Cloud Act" permettant aux autorités d’élargir leur possibilité d’accéder aux données (dont des données personnelles) des clients de prestataires américains sur le territoire américain et par delà les frontières.

 
Les faiblesses de l’Union européenne


Internet n’a pas de frontières. Cependant, le réseau est dominé par les entreprise extra-européennes et notamment américaines (GAFAM et NATU) qui rivalisent d’ingéniosité afin d’optimiser le développement de leurs activités. Elles s’installent notamment dans des Etats où la législation leur est la plus favorable (forum shopping). Il en est ainsi par exemple en matière de fiscalité ou concernant l’utilisation toujours plus importante des données personnelles (Big Data) de leurs utilisateurs.

Ces entreprises sont organisées afin d’écarter toute concurrence et sont dotées de services juridiques performants pour optimiser leur compétitivité, sans oublier un lobbying actif à tous les niveaux. Leurs conditions générales contiennent une clause "Droit applicable" qui soumet les utilisateurs "à la législation d’un Etat des USA" et autorise donc l’application extensive de la loi américaine hors de ses frontières, moins protectrices que les règles européennes en matière de protection des données. Les données représentent un enjeu stratégique fondamental de l’économie numérique (2.000 milliards de US$ de CA 2017 en data marketing pour Google et Facebook). Est-il utile de rappeler que la NSA surveille des dizaines de millions de personnes sur la planète) ?

 

Le programme de Bug Bounty sur le lecteur video VLC

La Commission européenne a retenu la société américaine Hackerone pour un programme de Bug Bounty sans se préoccuper de savoir si une telle entreprise ne servait pas des intérêts contraires à ceux de l’UE (rétention d’informations concernant les failles découvertes, introduction et modification des SI, etc.). Cela a été révélé le 29 novembre 2017 à propos d’un appel d’offre de juin 2017 concernant la recherche de failles de sécurité sur le logiciel open source VLC (60.000 €). Ce programme de Bug Bounty s’inscrit dans le projet EU FOSSA d’audit des logiciels libres et open source utilisés par l’institution. La Commission bénéficie à cette fin d’un budget alloué par le Parlement de 1,9 million d’euros afin de mener à bien des programmes de Bug Bounty. Les montants par failles découvertes pouvant aller de 100 à 3.000 euros.

Le projet Fossa a été lancé en 2014. Un programme de Bug Bounty pilote avait déjà été réalisé concernant le gestionnaire de mots de passe Keepass et le serveur Apache HTTP sans que ne soient cependant découvertes des vulnérabilités majeures. La problématique en l’espèce est que le logiciel VLC a déjà été la cible d’attaques de la CIA et de la NSA afin de répandre des malwares (révélé par Wikileaks). Et la question de l’impartialité de HackerOne dans le cadre du programme de Bug Bounty se pose aussi. Elle pourrait tout à fait servir des intérêts américains au détriment de ceux de l’UE, cette société ayant déjà été sous contrat avec des entités étatiques US.


 
L’image d’une Europe ouverte aux quatre vents

Le choix de Hackerone par la Commission a de quoi surprendre au regard de la souveraineté numérique. Il a bien sûr été fustigé par les plateformes de Bug Bounty européennes (françaises comme Yogosha et Bounty Factory, ou hollandaise Zerocopter) qui sont tout aussi compétentes que leur homologue d’outre atlantique. 

Bounty Factory avait postulé à l’appel d’offre. Mais ne disposant pas d’un contingent aussi étoffé de chercheurs de failles que HackerOne : quelques milliers contre 100.000 et le montant de sa prestation étant plus élevé, son offre n’a pas été refusée. Cette situation démontre que les entreprises américaines peuvent se permettre de pratiquer des prix défiants toute concurrence compte tenu de leur expérience et de leur position de leader sur tous les marchés du digital (cloud, moteurs de recherche, …) et de se constituer des références de renom pour entrer sur le marché européen.
Il serait pourtant tout à fait possible d’exclure des candidats non communautaires en ajoutant dans l’appel d’offre un critère fondé sur la rapidité d’intervention et la préférence locale en ce qui concerne la maintenance de la cybersécurité.
 

La préférence européenne est aussi légitime car nous sommes dans un domaine très sensible : la cybersécurité qui présente des intérêts stratégiques majeurs.
La question de la raison pour laquelle l’Europe se prive d’ajouter des critères de souveraineté se pose alors que le président des Etats Unis est le chantre de "l’America first " et que la Chine met en place sa "route de la soie numérique". Le marché européen est toujours ouvert alors que les autres grandes puissances ne cessent de fermer leur marché dans des domaines stratégiques comme la cybersécurité (appels d’offre réservés, ex. le programme de fin 2016, "hack the pentagone").

Dès lors, on peut de demander si la solution était de retenir le moins disant étranger au détriment de plateformes de Bug Bounty européennes ? Car au final, il existe un risque important de voir ce nouveau marché qu’est le Bug Bounty en Europe dominé par des … non européens ; l’Union européenne a-t-elle la volonté politique de mettre en œuvre la souveraineté numérique et de défendre ses intérêts économiques et stratégiques ? Quid des prochains appels d’offres en la matière en 2018 et 2019 ?

 

Eric A. CAPRIOLI, Avocat à la Cour, Docteur en droit, Membre de la délégation française aux Nations Unies, Vice-Président du CESIN,
Société d’avocats membre du réseau JurisDéfi.


 Les avis d'experts sont écrits sous l'entière responsabilité de leur auteur et n'engagent en rien la rédaction de L'Usine Digitale.   

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale