Intervention de Guillaume Vassault-Houlière

Notre rôle dans le lancement de l'application TousAntiCovid, particulièrement médiatisé du fait de l'exigence de transparence et de confiance qu'imposait la généralisation de cet outil, à l'origine, dans un premier temps, d'une certaine défiance, ne constitue qu'un exemple parmi d'autres.

En ce qui concerne l'application StopCovid, les autorités nous ont donné carte blanche pour transposer notre expertise et tout s'est très bien passé. Nous avons noué d'excellentes relations avec les équipes de l'ANSSI et de l'Institut national de recherche en informatique et en automatique (Inria), qui nous ont au final accordé leur confiance, après de nombreux débats sur la question complexe des tests auxquels nous souhaitions soumettre l'application. Ceci dit, cette collaboration ne nous a pas fourni l'opportunité de démontrer l'étendue de notre savoir-faire.

Suite à un incident de sécurité survenu avec la messagerie Tchap, nous avons soumis cet outil public à la communauté des 22 000 hackers de Yes We Hack afin de trouver une parade à ses vulnérabilités, de manière à rassurer ses utilisateurs. Nous avons également noué un partenariat avec l'état-major des armées (EMA), c'est-à-dire le commandement de la cyberdéfense. Mme la ministre a d'ailleurs divulgué, en 2019, son recours à des hackers éthiques, via notre plateforme, en vue de sécuriser différents périmètres du ministère. D'autres administrations encore font appel à notre communauté, forte de son opérationnalité.

En tant que pur produit de la communauté des hackers des années 2000, passionné par mon métier, je me rends bien compte, pour avoir travaillé avec des entités ministérielles de France et d'ailleurs, que nos concitoyens éprouvent le besoin d'outils fiables au fonctionnement transparent. Nous nous devons aussi de sécuriser les données, au volume sans cesse croissant. La France a joué un rôle précurseur à travers le commandant de la cyberdéfense, lorsqu'il a cherché comment animer et former les 400 réservistes à sa disposition, et comment élargir les tests de sécurité de ses outils numériques, jusque-là réalisés en interne via des audits planifiés. La perception du risque progresse à la vitesse à laquelle se développent les nouvelles technologies. Un besoin se fait jour de compétences adaptées rattachées à des métiers divers et variés.

Le stéréotype du méchant hacker ne prédomine plus du tout aujourd'hui comme c'était le cas dix ans plus tôt. Notre communauté incarne une philosophie et un art de vivre dépassant le simple cadre de l'informatique et impliquant la remise en cause perpétuelle de notre écosystème dans la volonté de l'améliorer.

L'article 47 de la loi pour une République numérique protège les lanceurs d'alerte s'adressant à l'ANSSI. Jusque-là, certains hackers ne voulaient plus courir le risque de signaler des vulnérabilités aux entreprises ou aux entités ministérielles par crainte de poursuites pénales. Leur action citoyenne n'était en effet pas comprise. Aujourd'hui, de plus en plus de pays cherchent un moyen de dénoncer les vulnérabilités via la création de canaux de communication de confiance avec les communautés de hackers.

Nous avons réussi avec d'autres experts mondiaux à transposer de telles initiatives dans une note d'un rapport de l'OCDE. L' European Union Agency for Cybersecurity (ENISA) se penche en ce moment même sur des changements à venir. La France a joué un rôle moteur précurseur avec les Néerlandais. L'accroissement des menaces pousse à se tourner vers des outils de plus en plus efficaces garantissant un retour sur investissement rapide. La plateforme Yes We Hack, parfaitement adaptée au monde actuel, a déjà prouvé son efficacité.

Tout le monde souhaite embaucher les meilleurs spécialistes de la cybersécurité. Je rappelle que quatre millions de postes demeurent à ce jour à pourvoir dans ce domaine, sur l'ensemble de la planète. La numérisation croissante de la société et des États génère un fort besoin de cybersécurité. Nous travaillons en ce moment sur des dispositifs de vote en ligne. Il n'est plus envisageable de s'en remettre à l'expertise d'une seule entreprise. Il convient au contraire de solliciter une communauté de passionnés, dans toute sa diversité. Nous savons tous que l'union fait la force. L'intelligence collective a démontré son efficacité dans beaucoup de domaines. Nous sommes très fiers que les acteurs étatiques aient compris notre démarche et fassent appel à nos services.

Œuvrer en partenariat avec le ministère des armées relevait d'un rêve d'enfant. Aux États-Unis, de nombreux hackers souhaitaient s'attaquer au Pentagone. Des initiatives américaines relatives à l' US Air Force ont vu le jour. Nous avons quant à nous réussi à mettre en avant, auprès du ministère des armées, notre modèle fondé sur des valeurs françaises et européennes et sur la confiance, pour œuvrer en bonne intelligence avec la communauté de l'EMA.

Nous préconisons que tout outil commercialisé au grand public, y compris les voitures, dispose d'un outil de signalement de ses vulnérabilités afin d'éviter toute utilisation malveillante. Nous prônons aussi de placer à l'abri des poursuites judiciaires tout citoyen révélant une faille de sécurité. On assiste en somme à un changement sociétal. Chaque État avance désormais, certes à sa vitesse, dans la bonne direction. La remarque est transposable aux ministères et à d'autres strates administratives encore. Nous nous efforçons depuis des années de montrer ce que peut apporter une collaboration avec des hackers de bonne volonté.