Tahiti le 5 novembre 2024 - Suite à cette alerte communiquée ces dernières semaines, Eugène Sandford, chef de service à la DGEN (Direction générale de l’économie numérique), nous a reçu pour parler des mesures mises en place depuis et surtout aborder l’avenir du numérique et de la cybersécurité en Polynésie française.
En Polynésie française, qui gère les noms de domaine en .pf ?
“Le gestionnaire du nom de domaine, c’est le Pays, puis cela a été transféré à l’OPT. On est en train de régulariser les choses, mais on va s’inspirer de ce que l’on fait en France afin de régulariser la chose à l’horizon 2025 et que le Pays récupère cette compétence.”
Cette faille révélée par une entreprise du Fenua, comment l’avez-vous traitée ?
“La partie faille, elle nous est effectivement remontée. On a eu des réunions avec l’OPT sur le sujet et le problème a été corrigé. A l’époque, on a sorti la plateforme de production pour passer en manuel le temps de corriger les failles, et ensuite, on a remis la plateforme en production. Comme je suis responsable de la cybersécurité du Pays, je tenais à ce que les choses soient faites de manières assez carrées. Il y a encore des choses à faire mais ce sont des choses courantes. Une mise à jour sera faite prochainement dans une version beaucoup plus sûre. L’idée est d’avoir un logiciel bon en termes de cybersécurité.”
La révélation de cette faille était connue du monde de l’informatique en Polynésie française semble-t-il, mais ni les abonnés, ni les entreprises n’ont été mises au courant de son existence et du règlement du problème…
“Cette faille, je ne sais pas combien de temps elle est restée active. Le service reconnaît l’absence de communication sur le sujet. Mais il s’agissait-là de possibles failles. Nous ne communiquons que lors de violations et d’incidents. Nous avons agi en amont plutôt qu’a posteriori. La communication à la CNIL [la Commission Nationale de l'informatique et des libertés, NDLR] et aux clients ne s’est pas faite puisqu’il n’y avait pas besoin. Nous étions là dans la potentialité d’exploitation de données. Aucun client ne s’en est plaint.”
Les Jeux olympiques ont-ils fonctionné comme un révélateur ou une prise de conscience des travaux à faire ?
“Depuis les Jeux, nous nous sommes attelés à faire monter en gamme la cybersécurité du Pays avec le haut-commissariat et l’Anssi [l’Agence nationale de la sécurité des systèmes d'information, NDLR]. La première chose que nous avons faite, c’est de faire prendre conscience à tout le monde que nous n’étions pas bons, vulnérables. Nous étions au fin fond d’internet, avec un câble, voire rien avant, et nous nous sentions protégés par la faiblesse du débit. Maintenant, nous avons deux câbles, et il y en a cinq qui arrivent. Il est nécessaire de monter la sécurité. Nous avons fait un forum de la cybersécurité pour préparer ces JO. [février 2024].”
Désormais, avec l’arrivée de Google, l’heure est à la sécurisation donc.
“Tout à fait, et pour cela, nous avons un plan, que j’ai proposé au président en trois axes. Le premier, c’est de se mettre en conformité avec des lois européennes qui doivent être appliquées ici. La NIS V.2 [Network and Information Security] qui va donner plus d’obligations de sécurité aux entreprises qui n’en avaient pas, avec des amendes pouvant aller jusqu’à 2% du chiffre d’affaires global du groupe. Cela s’adresse aussi bien aux OIV, aux Organismes d’importances vitales, [une administration, une entreprise publique ou privée dont l'État a jugé le fonctionnement indispensable à la vie de la nation comme l’Énergie, le transport, la santé, les télécommunications, NDLR] qui ont déjà une obligation de cybersécurité plus forte, qu’aux autres sociétés. L’article 32 du RGPD (règlement général de protection des données) indique que l’organisme, ou l’entreprise, doit mettre en place des mesures organisationnelle pour protéger son système d’information. Il nous faut aussi nous rapprocher de la CNIL et mettre en place des passerelles avec l’Anssi en France car nous sommes, malgré le statut d’autonomie, sous sa juridiction. Nous sommes en train de travailler pour regarder l’ensemble des lois qui permettraient de pouvoir augmenter la cybersécurité ici.”
La cybersécurité, c’est l’affaire du public, mais aussi du privé donc.
“Oui, et nous devons étendre les relations avec l’Anssi pour cela. La DGEN est le référent de proximité. C’est notre deuxième axe. On essaye grâce à ce biais de mettre en garde les sociétés du Fenua, de faire des exercices de sécurité avec elles. Il faut savoir que la sécurité est une des demandes premières de Google pour son implantation en Polynésie. Cybersécurité, mais aussi sécurité physique des câbles. Les débits seront 50 fois supérieurs à celui d’aujourd’hui. On va tellement ouvrir les tuyaux qu’il faut vraiment qu’on s’occupe de la cyber sécurité ici.”
L’économie numérique en Polynésie française est dépendante de cette sécurité ?
“Il nous faut augmenter le niveau moyen de sécurité des entreprises. On va demander aux organismes du Pays de faire des études de maturité technique et ensuite des plans sur plusieurs années pour augmenter leur cybersécurité. Cela va générer un écosystème qui va inspirer le privé et potentiellement favoriser l’arrivée de prestataires de cybersécurité. Cela fait partie du développement de l’économie numérique. Il faut des spécialistes de la sécurité sur le territoire. L’Anssi a un système de notation de la cybersécurité. Tant que nous ne sommes pas à B+ ou B-, nous ne sommes pas bon. Et si la Polynésie devient suffisamment bonne, nous pourrons créer du PIB supplémentaire. Aujourd’hui, le PIB du numérique, c’est 3%. Si le président veut faire 25%, on ne pourra pas le faire sans s’étendre. Il faut que le privé puisse sortir son épingle du jeu.”
En Polynésie française, qui gère les noms de domaine en .pf ?
“Le gestionnaire du nom de domaine, c’est le Pays, puis cela a été transféré à l’OPT. On est en train de régulariser les choses, mais on va s’inspirer de ce que l’on fait en France afin de régulariser la chose à l’horizon 2025 et que le Pays récupère cette compétence.”
Cette faille révélée par une entreprise du Fenua, comment l’avez-vous traitée ?
“La partie faille, elle nous est effectivement remontée. On a eu des réunions avec l’OPT sur le sujet et le problème a été corrigé. A l’époque, on a sorti la plateforme de production pour passer en manuel le temps de corriger les failles, et ensuite, on a remis la plateforme en production. Comme je suis responsable de la cybersécurité du Pays, je tenais à ce que les choses soient faites de manières assez carrées. Il y a encore des choses à faire mais ce sont des choses courantes. Une mise à jour sera faite prochainement dans une version beaucoup plus sûre. L’idée est d’avoir un logiciel bon en termes de cybersécurité.”
La révélation de cette faille était connue du monde de l’informatique en Polynésie française semble-t-il, mais ni les abonnés, ni les entreprises n’ont été mises au courant de son existence et du règlement du problème…
“Cette faille, je ne sais pas combien de temps elle est restée active. Le service reconnaît l’absence de communication sur le sujet. Mais il s’agissait-là de possibles failles. Nous ne communiquons que lors de violations et d’incidents. Nous avons agi en amont plutôt qu’a posteriori. La communication à la CNIL [la Commission Nationale de l'informatique et des libertés, NDLR] et aux clients ne s’est pas faite puisqu’il n’y avait pas besoin. Nous étions là dans la potentialité d’exploitation de données. Aucun client ne s’en est plaint.”
Les Jeux olympiques ont-ils fonctionné comme un révélateur ou une prise de conscience des travaux à faire ?
“Depuis les Jeux, nous nous sommes attelés à faire monter en gamme la cybersécurité du Pays avec le haut-commissariat et l’Anssi [l’Agence nationale de la sécurité des systèmes d'information, NDLR]. La première chose que nous avons faite, c’est de faire prendre conscience à tout le monde que nous n’étions pas bons, vulnérables. Nous étions au fin fond d’internet, avec un câble, voire rien avant, et nous nous sentions protégés par la faiblesse du débit. Maintenant, nous avons deux câbles, et il y en a cinq qui arrivent. Il est nécessaire de monter la sécurité. Nous avons fait un forum de la cybersécurité pour préparer ces JO. [février 2024].”
Désormais, avec l’arrivée de Google, l’heure est à la sécurisation donc.
“Tout à fait, et pour cela, nous avons un plan, que j’ai proposé au président en trois axes. Le premier, c’est de se mettre en conformité avec des lois européennes qui doivent être appliquées ici. La NIS V.2 [Network and Information Security] qui va donner plus d’obligations de sécurité aux entreprises qui n’en avaient pas, avec des amendes pouvant aller jusqu’à 2% du chiffre d’affaires global du groupe. Cela s’adresse aussi bien aux OIV, aux Organismes d’importances vitales, [une administration, une entreprise publique ou privée dont l'État a jugé le fonctionnement indispensable à la vie de la nation comme l’Énergie, le transport, la santé, les télécommunications, NDLR] qui ont déjà une obligation de cybersécurité plus forte, qu’aux autres sociétés. L’article 32 du RGPD (règlement général de protection des données) indique que l’organisme, ou l’entreprise, doit mettre en place des mesures organisationnelle pour protéger son système d’information. Il nous faut aussi nous rapprocher de la CNIL et mettre en place des passerelles avec l’Anssi en France car nous sommes, malgré le statut d’autonomie, sous sa juridiction. Nous sommes en train de travailler pour regarder l’ensemble des lois qui permettraient de pouvoir augmenter la cybersécurité ici.”
La cybersécurité, c’est l’affaire du public, mais aussi du privé donc.
“Oui, et nous devons étendre les relations avec l’Anssi pour cela. La DGEN est le référent de proximité. C’est notre deuxième axe. On essaye grâce à ce biais de mettre en garde les sociétés du Fenua, de faire des exercices de sécurité avec elles. Il faut savoir que la sécurité est une des demandes premières de Google pour son implantation en Polynésie. Cybersécurité, mais aussi sécurité physique des câbles. Les débits seront 50 fois supérieurs à celui d’aujourd’hui. On va tellement ouvrir les tuyaux qu’il faut vraiment qu’on s’occupe de la cyber sécurité ici.”
L’économie numérique en Polynésie française est dépendante de cette sécurité ?
“Il nous faut augmenter le niveau moyen de sécurité des entreprises. On va demander aux organismes du Pays de faire des études de maturité technique et ensuite des plans sur plusieurs années pour augmenter leur cybersécurité. Cela va générer un écosystème qui va inspirer le privé et potentiellement favoriser l’arrivée de prestataires de cybersécurité. Cela fait partie du développement de l’économie numérique. Il faut des spécialistes de la sécurité sur le territoire. L’Anssi a un système de notation de la cybersécurité. Tant que nous ne sommes pas à B+ ou B-, nous ne sommes pas bon. Et si la Polynésie devient suffisamment bonne, nous pourrons créer du PIB supplémentaire. Aujourd’hui, le PIB du numérique, c’est 3%. Si le président veut faire 25%, on ne pourra pas le faire sans s’étendre. Il faut que le privé puisse sortir son épingle du jeu.”
