- 05/05/2025
C’est une campagne de propagande d’un genre nouveau, alimentée par l’IA et pilotée depuis Moscou. En quelques mois seulement, la France a été inondée de fausses informations savamment mises en scène, diffusées plus de 55 millions de fois sur les réseaux sociaux. À l’origine : Storm-1516, une opération menée par un ex-shérif américain reconverti en propagandiste du Kremlin.
Catégorie
🗞
NewsTranscription
00:00Dans le grand rendez-vous sur la cybersécurité de Smartech, aujourd'hui nous avons Réna Stamboliska, bonjour.
00:09Vous êtes présidente de RS Stratégie, prospectiviste avec une spécialité sur les questions de cyberdiplomatie et de résilience.
00:18Et avec nous également, François de Ruti, bonjour.
00:20Bonjour.
00:21Vous êtes Chief Intelligence Officer chez Sequoia et puis un ancien de l'ANSI.
00:26Exactement.
00:26Alors on va commencer par ce sujet, le sabotage numérique, la guerre de l'ombre, avec ce tweet de Jean-Noël Barraud qui m'a interpellé.
00:34Il nous dit qu'alors que Paris réunit les grandes puissances pour l'appel à Russie, mène une guerre de l'ombre contre la nation.
00:41Sabotage numérique, infiltration médiatique, propagande ciblée, personne ne doit être dupe.
00:45Et il renvoie vers un lien, vers un article de NewsGuard qui détaille les campagnes de propagande russe qui ciblent la France avec des scandales générés par intelligence artificielle qui auraient généré 55 millions de vues sur les réseaux sociaux.
01:02Est-ce qu'on peut parler de cyberguerre aujourd'hui ?
01:06Cyberguerre, je ne sais pas si c'est le mot parce que cyberguerre, il y a toujours cette notion de le droit de la guerre c'est important, le droit numérique s'applique.
01:15Donc si on utilise le mot cyberguerre, ça aura des impacts qui sont un peu plus complexes que ce qu'on évoque.
01:21Mais en tout cas, une cyber influence, une espèce de lame de fond un peu régulière qui s'instille dans nos cerveaux, dans nos réseaux sociaux tous les jours, qui crée le doute.
01:31C'est surtout ça, c'est créer le doute. Ça c'est dangereux à long terme.
01:34Parce que l'OTAN a quand même qualifié les agissements d'actes de sabotage, de violence, cyber, perturbations électroniques, campagnes de désinformation, activités hybrides.
01:44C'est pour ça que je me permets d'employer le terme de cyberguerre parce que je me dis mais là on n'ose pas encore employer ce terme mais on n'y est pas.
01:50En fait, pour compléter ce que disait François, personnellement je suis assez précautionneuse dans l'utilisation de ce mot-là parce que l'aspect cyber, l'aspect numérique, c'est un outil, c'est un moyen, c'est un complément de force.
02:07Si vous voulez, dans le cas présent. Mais de la même manière qu'avant on avait de la cavalerie, on ne qualifiait pas ça de guerre hippique.
02:14C'est vrai.
02:15Donc là, en fait, pour moi ce qui est important de souligner c'est que c'est à quel moment ça survient et que ça, tout ce que vous venez de dénombrer des qualifications de l'OTAN,
02:27donc on peut parler de menaces hybrides, on peut parler en fait justement de cette lame de fond qui crée le doute et qui en fait nous place dans un entre-deux.
02:36On n'est pas en situation de paix, on n'est pas en situation de guerre ouverte de la même manière qu'on pourrait par exemple le voir en Ukraine,
02:46mais on est sur un entre-deux où il y a une tension qui est là et qu'on nourrit pour créer de la dissension, semer le doute, etc.
02:55Et ce qui est d'autant plus important c'est le moment, pourquoi maintenant, par exemple, on a cette intensification-là,
03:02parce que bon, on voit tout ce qui se passe aux États-Unis, on voit en fait aussi certaines convergences, certaines connivences entre la plus ancienne démocratie du monde et la Russie.
03:15Et aujourd'hui, le discours russe de propagande a changé parce que, et en fait dit que l'Europe c'est l'ennemi à abattre,
03:28puisque l'Europe, en ne souhaitant pas s'aligner avec Trump, avec l'administration de Trump dans un traité de paix,
03:35ou dans un cessez-le-feu, et je mets beaucoup de guillemets autour de ça, c'est en fait l'acteur aujourd'hui au monde qui cherche la guerre.
03:44Donc en fait, il faut vraiment démontrer cette belligérance européenne qui est problématique, qui ne nous permet pas de mieux vivre, etc.
03:52Oui, tout un discours qui se déroule.
03:56Alors quand on regarde, vous parlez justement de la temporalité, quand on regarde, moi j'ai bien aimé l'infographie qui a été publiée par Newsgarde,
04:03justement sur la manière dont les campagnes de ce groupe Storm 15-16, je ne sais pas comment vous les appelez,
04:10suivent les déclarations de soutien de la France à l'Ukraine.
04:14Donc vous voyez l'échelle de temps, c'est vraiment presque, je ne sais pas, automatique.
04:20C'est-à-dire que dès qu'il y a une intention, une déclaration politique, il y a une action de désinformation qui est repérée.
04:27Alors là, on a le cas pendant la séquence avec le conflit russo-ukrainien, le fait d'accueillir des chefs d'État pour essayer de trouver une forme d'avancée dans cette situation.
04:37Mais si vous vous rappelez, on avait eu le même genre de moment pendant les Olimpiques.
04:40Donc régulièrement, c'est des groupes qui sont structurés, qui connaissent bien l'actualité géopolitique, pas qu'en France, de tous les pays européens,
04:47parce que justement, ils savent appuyer là où ça fait mal, quand ils attaquent l'Assemblée nationale en déni de service, en activisme,
04:52pendant la réforme des retraites, pendant les Jeux Olympiques, pendant les différentes élections, différents votes de loi.
04:58Ils sont toujours là pour appuyer sur ces sujets-là, propager des narratifs qui vont dans un sens ou dans l'autre, encore une fois, créer le chaos.
05:05Généralement, c'est les extrêmes qui l'emportent dans ces cas-là, donc c'est très dangereux pour des démocraties.
05:08Donc c'est vraiment leur objectif, c'est pas de pousser spécialement un côté plus qu'un autre, c'est de créer le doute et de créer de la dissension en interne d'une population.
05:15Quand on travaille dans la cybersécurité, aujourd'hui, cette partie désinformation, c'est un sujet qui est traité ?
05:22Exactement, ça donne du contexte.
05:24Parce qu'on n'est pas dans de la sécurité informatique, on est dans de la sécurité informationnelle.
05:28Exactement, mais comme ça a été dit, c'est un moyen. Aujourd'hui, pendant longtemps, on a cru que la cyber ou l'arme numérique, c'était une arme de dissuasion.
05:35C'est-à-dire qu'on avait des grosses capacités, mais qu'on voulait faire peur avec.
05:38Aujourd'hui, c'est une arme conventionnelle, comme la Guerrena, c'est utilisé comme un moyen, comme un autre.
05:44On pourrait avoir une guerre commerciale en ce moment sur le sujet des tarifs avec Trump, on pourrait l'appeler un peu comme ça.
05:48Mais c'est le même principe, c'est un moyen, comme un autre, utilisé pour appuyer une déstabilisation globale de la géopolitique mondiale.
05:54Une projection de force, si vous voulez, et tous les États-nations sont actifs sur le volet diplomatique,
06:02quels que soient, en fait, l'outil ou les outils qu'ils utilisent.
06:06Est-ce que nous, l'Europe, on est armé avec ce même genre d'armes ? Non. Enfin, on se l'interdit.
06:12Oui. Alors, pas de la même façon. Et puis, nous, on a plus tendance à revendiquer.
06:19C'est-à-dire qu'on assume. Les pays européens assument.
06:21Quand il y avait des campagnes de type Barkhane ou au Sahel, pendant la phase terroriste qu'on a connue il y a quelques années,
06:29il y avait aussi des tracts de soutien. La France passe des messages, pousse des positions.
06:34On peut discuter de l'égitimité de ces positions, mais on fait ça d'une autre façon.
06:38Et surtout, c'est assumé. C'est revendiqué par l'État lui-même.
06:40Donc, ça a moins de cette connotation d'être un peu caché, d'être un peu sournois.
06:44Oui. La garde de l'ombre.
06:46Et après, c'est la même... Enfin, c'est pas parce qu'on ne réagit pas de la même manière qu'on ne réagit pas.
06:54Oui.
06:54C'est... Est-ce que, en fait, nous, vous, moi, est-ce qu'on accepterait, en fait, des désordres informationnels créés, organisés,
07:03dont fait partie la désinformation, par le gouvernement français, par le gouvernement allemand, etc.,
07:10pour répondre à ce qu'on estime être une agression informationnelle ?
07:16Je suis franchement pas convaincue qu'on accepterait ça, que ce serait...
07:22Que moi, en tout cas, je n'accepterais pas que mes impôts servent à ça.
07:25Voilà. Et en fait, toute la difficulté, si vous voulez, elle est là.
07:28C'est que, quelle que soit la réponse, elle demande des efforts.
07:33C'est... Ne rien faire demande des efforts, puisque, après, ça va être plus difficile pour nous.
07:37Mais aussi, faire des choses demande des efforts différents.
07:40Et donc, la question, c'est à quel moment, en tant que nous, en tant que société, avec des valeurs, etc.,
07:47à quel moment, justement, on se met un ordre de marche...
07:50Parce que là, on est dans une démarche défensive, Réna, aujourd'hui.
07:54Oui et non. On est... En fait, quand vous promouvez, ou quand vous vous attachez, en fait,
07:59à faire valoir vos principes démocratiques, les libertés fondamentales, etc.,
08:05ce n'est pas de la défense, ce n'est pas une réaction à.
08:09C'est aussi, j'affirme, ce, en fait, ce qui crée ma valeur,
08:13ce qui fait, en fait, que nous continuons à vivre dans un pays plutôt libre, etc., etc.
08:20Parce que dit François, en fait, on revendique les valeurs européennes.
08:22Oui, puis on a créé la culture, Vigilum, qui est une culture qui a été créée par l'État
08:26pour modéliser, caractériser, pousser des désignations au niveau européen
08:29pour avoir, collectivement, je ne sais pas si c'est une forme de sanction,
08:33mais en tout cas, pointer le doigt sur ce genre de manœuvre, c'est déjà une forme de défense.
08:36Oui. Et pour compléter juste sur ça, cet aspect sanction est très important
08:43parce que, en fait, nous, ce qu'on veut, en tant qu'Européens, en tant que démocrates,
08:49ce qu'on veut, c'est continuer à utiliser les outils à notre disposition,
08:53qui sont les outils juridiques.
08:55Or, pour les utiliser, on ne peut pas, en fait, juste un matin se lever et dire
08:58« Ah ben, en fait, toi, je n'aime pas ta face, donc je vais te taper sur les doigts. »
09:02Non, il faut, en fait, des preuves.
09:04Et pour pouvoir prendre ces actions-là en tant qu'union,
09:09donc un simple de vente de cet pays,
09:11encore une fois, on ne peut pas, en fait, faire n'importe quoi.
09:14Donc, il faut ce travail de fond, de qualification, d'enquête,
09:19de collecte de preuves, de coordination avec nos alliés, avec les autres États.
09:25C'est un décalage temporaire, là, pour le coup.
09:28Oui. Ce qui, voilà, après, la question, c'est est-ce que, sur le moyen et long terme,
09:34ce décalage, en fait, arrive à se résorber de par ses effets ?
09:38C'est aussi ça, le sujet.
09:41C'est qu'on n'est pas toujours obligé, en fait, de réagir au quart de tour
09:45et de sauter comme des cabris, comme disait le...
09:48Exact. Alors, je propose qu'on enchaîne avec notre autre sujet,
09:52la question de l'autonomie stratégique.
09:54On l'aborde dans plein de domaines.
09:55Mais alors, qu'en est-il dans la cyber ?
09:57Alors, gros enjeu du moment.
09:59Alors, ça a toujours été un enjeu.
10:01Déjà, j'apprécie que vous utilisiez le terme d'autonomie stratégique
10:03par rapport à souveraineté, parce qu'il y a quand même des différences
10:05qui sont importantes.
10:07Ça a toujours été un enjeu de reprendre en main ses outils,
10:10sa maîtrise de ses données, d'avoir le choix de solution,
10:14on va dire, de confiance.
10:15Et en même temps, là, il y a un moment, effectivement,
10:17avec la géopolitique actuelle où, je veux dire,
10:21ça redevient presque sexy de reprendre des solutions européennes,
10:23ce qui n'a pas toujours été le cas.
10:24Donc là, c'est un moment dont les utilisateurs doivent se saisir
10:29pour justement changer leur façon d'acheter,
10:31leur façon de s'outiller, leur façon de se défendre.
10:33Et les fournisseurs comme nous doivent se saisir de ça aussi
10:35pour justement appuyer et montrer cette confiance-là,
10:38et montrer qu'on existe et qu'il y a d'autres alternatives possibles.
10:41Utiliser des technologies sur lesquelles vous avez la main,
10:44vraiment, de bout en bout.
10:46– Exactement. – Aussi, pour les acteurs de la cyber,
10:48ce n'est pas toujours le cas.
10:49– Ce n'est pas toujours le cas, non ?
10:50C'est loin d'être le cas, même.
10:51– Exactement.
10:52– Et ce qui est important ici,
10:55donc je remets ma petite casquette de pro-européenne convaincue,
10:59c'est de se rendre compte que, justement,
11:02si on veut non seulement assurer que les acteurs économiques
11:07utilisent des solutions de qualité
11:09et faites, en fait, par des organisations qu'on connaît
11:13et qui n'ont pas d'intérêt caché,
11:15qui ne sont pas des vassaux à quelqu'un
11:17qui, en fait, a des intérêts potentiellement contraires au nôtre,
11:22c'est aussi important de se saisir des outils
11:24que commence à fournir l'Union européenne.
11:27Et là, je parle typiquement de choses telles que
11:30un schéma de certification européen,
11:32qui est l'UCC,
11:34CICI, donc pour critères communs,
11:36qui, en fait, pour l'instant,
11:39peine un peu à se faire connaître,
11:42mais qui aussi est adaptée aux PME,
11:46parce qu'en Europe, le tissu économique,
11:48c'est 99% des PME.
11:50– Absolument.
11:51– Voilà.
11:52– Qui permet aussi d'avoir une entrée plus aisée
11:57sur le marché européen
11:59et qui permet aussi de démontrer
12:01que non seulement on s'attache
12:04à faire un travail de qualité,
12:06mais en plus, cette qualité,
12:09elle est en fait confirmée par des tiers indépendants.
12:13Et ça, cet aspect-là n'a pas de prix,
12:15dans le sens où, oui, parfois,
12:17ça va nous changer un peu.
12:18– De l'isibilité, en fait.
12:19– C'est ça.
12:19Et surtout de reconnaissance de notre travail,
12:22mais aussi d'attachement et de garantie,
12:25en quelque sorte, de ce qu'on fournit aux clients.
12:28Parce qu'aujourd'hui, quand vous achetez
12:31des solutions qui sont off the shelf,
12:33qui sont des solutions génériques,
12:35en fait, ce que vous payez aussi,
12:38par votre temps, par vos retours, etc.,
12:40c'est que vous améliorez des outils
12:42qui, en fait, ne vous appartiennent pas,
12:45sur lesquels vous n'avez pas de maîtrise.
12:47Et pourquoi on continue à accepter de faire ça
12:50pour des acteurs non européens,
12:53mais on n'accepte pas de soutenir
12:55et de nourrir des acteurs européens
12:57avec lesquels on est beaucoup plus proche ?
12:59– Est-ce que l'approche Zero Trust,
13:01elle s'inscrit là-dedans,
13:02dans cette recherche d'autonomie stratégique ?
13:06– Oui, tout à fait.
13:07Il y a une forme de...
13:08On a souvent cette discussion sur
13:09est-ce que l'infrastructure derrière
13:11est fournie par Microsoft, Google, Amazon,
13:14peu importe.
13:15Donc, effectivement, ça a l'air comme ça.
13:17On se dit, on a des solutions des gens d'Europe
13:18pour remplacer ça.
13:19Je vais commencer par ça.
13:20On a des OVH, des Hot Scale,
13:22des Scaleway qui sont capables de faire la même chose.
13:23– Ou des solutions open source aussi.
13:25– Ou open source.
13:26Mais il ne faut pas oublier que si on veut aussi
13:27des acteurs ou des éditeurs industriels européens,
13:32ce n'est pas que pour l'Europe.
13:33Ils viennent chasser chez nous,
13:34il faut qu'on aille chasser chez eux.
13:35Et donc, c'est des groupes,
13:37les Orange Cyberdéfense, les Thalès, les Capgemini,
13:39ils sont multinationaux.
13:40Et donc, ils ont aussi des souverainetés
13:41d'autres pays à gérer.
13:43Donc, le fait d'avoir un socle,
13:45c'est l'architecture qu'on va mettre au-dessus,
13:46les services qu'on va mettre au-dessus
13:47qui doivent être souverains, maîtrisés,
13:49européens en fonction des clients à qui ils s'adressent.
13:51Donc, si on veut à un moment avoir ces acteurs-là
13:55qui sont importants et qui peuvent concurrencer
13:57les anglo-saxons, il faut aussi penser que ces acteurs,
13:59ils ont aussi la souveraineté d'autres pays à gérer.
14:01On ne peut pas trouver une architecture avec tout français
14:03qui va marcher en Amérique du Sud, en Australie.
14:05Et pourtant, on veut qu'ils se développent.
14:07Il faut trouver des compromis là-dedans.
14:08D'où le fait d'autonomie stratégique,
14:09plus que de souveraineté.
14:10– Je voulais qu'on termine avec la commission d'enquête
14:14sur les effets psychologiques de TikTok sur les mineurs,
14:16puisque vous avez été auditionnée, Réna.
14:18– Oui. Alors, qu'est-ce que vous pensez de cette démarche ?
14:21– Comme je l'ai dit pendant l'audition
14:24qui est disponible sur le site de l'Assemblée,
14:27je salue la démarche.
14:29On a besoin, en fait, à ce que le législateur
14:33se saisisse de sujets de société
14:35et notamment fasse appel à des personnes
14:40comme moi, mais pas seulement,
14:42qui, en fait, avons des expertises particulières
14:45dans des domaines particuliers.
14:46parce que, en fait, et c'est là où, si vous voulez,
14:49je fais un appel à notre écosystème,
14:53parce qu'on a beaucoup de gens, en fait,
14:55qui sont des acteurs économiques présents,
14:58significatifs et signifiants,
15:00et qu'on ne voit pas, en fait,
15:02une interaction ni avec les pouvoirs publics en France,
15:05et encore moins avec les pouvoirs publics européens.
15:08Or, c'est important, on ne peut pas, en fait,
15:09s'atteindre à ce que le législateur soit expert, est-ce tout,
15:13surtout avec des sujets tels que la cyber
15:17où l'aspect opérationnel est extrêmement fort.
15:22Je veux dire, je ne suis pas complètement démuni
15:24face au sujet que traite François.
15:26En revanche, son expertise sur ces sujets-là,
15:29vu que c'est son quotidien,
15:30est largement supérieure à la mienne
15:32et inversement sur d'autres sujets.
15:34Et vous avez le sentiment qu'aujourd'hui,
15:35il y a davantage d'ouverture des parlementaires
15:38vers cet écosystème d'experts ?
15:40Ça commence, mais en fait, ce que je déplore,
15:46c'est l'inverse, c'est cette espèce de passéisme,
15:49timidité pour être sympa,
15:51mais vers, ah, ouais, non, c'est compliqué,
15:55on n'est pas assez important, je ne sais quoi.
15:58Alors que ce sont littéralement les règles,
16:00vous prenez la transposition de la directive NIS2,
16:03sujet chaud qui donne la nausée à certains,
16:05maintenant, mais ce sont les règles
16:09que vous et moi, on doit appliquer demain
16:11dans notre travail.
16:13Et je ne comprends pas
16:14comment on ne se saisit pas de ces moments-là
16:17pour interagir,
16:19comment on ne s'en saisit pas pour être plus,
16:21pour donner plus de voix, en fait,
16:24de la part de gens qui, encore une fois,
16:26devront appliquer ces règles
16:27dans 6 mois, dans 8 mois, etc.
16:29Donc cet aspect-là me paraît extrêmement important.
16:32Et donc c'est pour ça, j'insiste, en fait,
16:34et je vous remercie aussi
16:35pour ce moment d'échange là-dessus,
16:38à ce que notre écosystème
16:40devienne encore plus proactif,
16:44que ce soit sur TikTok.
16:46– On a une réaction là-dessus ?
16:47– On en parlait juste avant de monter sur le plateau,
16:49mais c'est notre rôle de faire de la pédagogie aussi,
16:51c'est notre rôle de participer
16:52au plus des missions possibles,
16:54d'aller dans les écoles,
16:55ça commence à tout âge, tout temps,
16:57donc on doit former des parlementaires,
16:59on doit former dans les lycées,
17:00on doit former dans les collèges,
17:02et ça, si l'écosystème ne se prend pas aussi par la main,
17:04ce n'est pas les autres qui vont nous apprendre,
17:06donc il faut qu'on y aille.
17:07– Merci beaucoup d'avoir fait ce travail ici,
17:09dans Smartech, avec moi, François Doruti,
17:11je rappelle que vous êtes le
17:12Chief Intelligence Officer chez Sequoia,
17:15et Renna Samboliesca,
17:16présidente de RS Stratégie.
17:18Merci beaucoup, on enchaîne avec,
17:19on va parler IA,
17:20des informations avec la Chine,
17:23qui se protège.
17:24– Sous-titrage Société Radio-Canada
Recommandations
11:34
4:51
2:28
8:04
18:52
11:15
1:36
3:03