Marc Mossé, Microsoft Europe : "Il faut une hygiène de la sécurité informatique."
À 51 ans, Marc Mossé a déjà plusieurs vies derrière lui. Celui qui fut avocat et attaché parlementaire de Robert Badinter, et qui est aujourd’hui maître de conférences à Sciences Po, a déjà onze ans d’ancienneté chez Microsoft. Il est aujourd’hui en charge des affaires gouvernementales pour l’Europe, après avoir passé dix ans comme directeur juridique et affaires publiques pour la France. À ce poste, il est confronté quotidiennement aux enjeux de la révolution digitale et de la cybersécurité. Entretien.
Propos recueillis par Laurence Bekk-Day
Marc Mossé n’a pas sa langue dans sa poche. Lorsqu’il nous reçoit, chèche noué autour du cou (l’homme n’aime pas les cravates), il se remémore un échange qui lui a valu de se retrouver dans Closer comme sujet de la semaine. C’était à l’occasion d’une polémique lancée fin juillet 2015 par Marine Le Pen contre Windows 10, qui venait alors de sortir. Par tweet interposé, le directeur juridique de Microsoft France avait rétorqué : « Plus facile d’installer Windows 10 que de désinstaller Jean-Marie Le Pen. »
Une réponse à brûle-pourpoint. Mais Marc Mossé n’est pourtant pas un habitué des polémiques : volubile mais mesuré comme les juristes savent l’être, il avait malgré tout caressé le rêve, durant sa prime jeunesse, de devenir torero. Une envie venue tout naturellement alors qu’il passait ses vacances à Nîmes durant son enfance. Il avait même réussi à décrocher un contrat chez le célèbre manadier Jean Lafont ; cet éleveur de taureaux avait codirigé les arènes de Nîmes et ouvert la discothèque « La Churascaia », lieu camarguais mythique qui a vu passer, dit-on, Jackie Kennedy et Onassis, les Rita Mitsouko et Christian Lacroix. Mais la première représentation tauromachique de Marc Mossé se conclut par une « rouste mémorable » : l’occasion de faire « un point très rapide sur sa vie » et de renoncer à une carrière de toréador.
Deux DEA de droit et 30 ans plus tard, il ne regrette rien. Avant d’atterrir chez Microsoft, l’avocat était passé chez Philippe Morris, où il a œuvré pour faire prendre conscience à l’entreprise de sa responsabilité sociale singulière. Depuis onze ans, il évolue chez Microsoft dans un univers radicalement différent : l’un des produits phare de l’entreprise, Windows, est présent sur près de 90 % des ordinateurs personnels dans le monde. Avec une telle part de marché, une seule faille de sécurité peut potentiellement affecter des millions d’ordinateurs.
Comment Microsoft agit contre le phénomène de la cybercriminalité ?
Marc Mossé : La réponse à la cybercriminalité nécessite de croiser le droit, la technologie et la géopolitique. Nous avons 3 500 ingénieurs sur 120 000 employés qui travaillent uniquement sur la sécurité. Ils se chargent notamment de la mise en œuvre en continu de nouvelles fonctionnalités de sécurité sur l'ensemble de nos logiciels. Nous avons également créé une Digital Crime Unit (une unité spécialisée dans la lutte de la cybercriminalité, ndlr) : c’est une équipe qui rassemble des ingénieurs, des enquêteurs, et des juristes pour essayer de comprendre les phénomènes, les analyser, et lutter contre. On travaille en lien avec les entreprises et les gouvernements pour démanteler des réseaux de botnets, ces ordinateurs zombies dormants qui peuvent être activés pour prendre le contrôle ou attaquer des systèmes d’informations. Notre rôle est donc très actif.
Microsoft teste actuellement une fonction pour une future mise à jour de Windows, qui protégera les fichiers personnels d’un ordinateur pour éviter qu’ils puissent être pris en « otage » par un logiciel de rançon. La solution est-elle là ?
Effectivement, la fonction « Controlled Folder Access » (accès contrôlé aux dossiers, ndlr) permet de se protéger contre les logiciels de rançon en interdisant l’accès à des dossiers sensibles par des applications non autorisées. Elle est actuellement en test au sein du Windows Defender Antivirus. Cette nouvelle fonctionnalité sera normalement disponible dans la version de Windows 10 de septembre prochain.
Quel bilan tirer des dernières cyberattaques qui ont fait les unes de la presse, avec les logiciels de rançon WannaCry et Petya qui ont infecté des millions de machines ?
Les failles système qui ont permis ces attaques avaient déjà été corrigées par Microsoft deux mois auparavant, mais un certain nombre d’entreprises n’avaient pas réalisé les mises à jour nécessaires pourtant communiquées. Si votre prestataire informatique vous indique la marche à suivre pour sécuriser votre réseau, et que vous ne la respectez pas, c’est comme de ne pas tenir compte du contrôle technique de votre voiture : vous vous exposez à des ennuis futurs. Ces attaques constituent un rappel urgent en direction des entreprises pour qu’elles installent systématiquement les correctifs de sécurité sur l’ensemble de leurs machines.
Ces derniers épisodes ont également révélé qu’un certain nombre de failles étaient connues de la NSA (la National Security Agency, organisme américain chargé du cyber-renseignement, ndlr), qui les a gardées pour elle. Ces failles ont été volées et utilisées par des malfaiteurs. Vous imaginez l’armée américaine se faisant voler des missiles par des criminels ? Il y a urgence à agir pour créer un cadre international dans lequel on pourra prévenir un certain nombre de comportements.
Dans cette optique, Brad Smith, président de Microsoft, a proposé en février dernier un projet : une « Digital Geneva Convention », pour réfléchir à une convention internationale sur ce que devraient être les pratiques des États en temps de paix en matière numérique. Les États devraient, à notre sens, adhérer dans le cyberespace aux mêmes règles que celles appliquées dans le monde physique et prendre conscience des dommages potentiels causés, les vulnérabilités de sécurité aux civils, aux entreprises et organisations. Il faut également des normes de cybersécurité harmonisées qui permettraient de définir un certain nombre de règles et de comportements pour prévenir les risques en matière de cybercriminalité et de cyberattaque.
L’enjeu est important, car il s’agit de créer de la confiance dans l’économie numérique. On ne peut pas dire que la quatrième révolution industrielle est en marche, et laisser prospérer des zones d’insécurité.
La difficulté est qu’il y a beaucoup d’acteurs qui doivent coopérer pour qu’une initiative soit réellement efficace…
Oui, mais on peut réussir à s’entendre : regardez le monde des télécoms, des transports, il y a eu des traités sur des sujets qui mobilisaient de nombreux acteurs.
La « Digital Geneva Convention » que nous proposons permettrait d’encadrer plus efficacement la coopération entre les différents acteurs : une charte entre États prévoyant des règles contraignantes couplée à un accord de coopération mondiale entre les industriels des nouvelles technologies. À cela pourrait s’ajouter la création d’une entité internationale indépendante chargée d’enquêter sur les responsables des attaques.
Le monde numérique offre également aux criminels des outils dont ils ne disposaient pas auparavant. Dans certains domaines qui touchent à la sécurité étatique, comme le terrorisme, les États sont amenés à demander de l’aide à des acteurs comme Google ou Microsoft. Comment gérez-vous cela ?
Il y a deux grands sujets à distinguer. Le premier, c’est celui des contenus : incitation à la haine, propagande en faveur du terrorisme… Le droit français a fixé des règles pour que les moteurs de recherche déréférencent ces contenus. Nous travaillons donc sur leur retrait dans le cadre de la loi.
Le second est l’accès à la preuve numérique. Nous avons pour politique de ne pas donner un accès généralisé aux données ni livrer les clés de chiffrement qui permettraient un accès à ces données, qu’elles qu’en soient les raisons. Or, les terroristes et les criminels utilisent les outils numériques, les messageries, le cloud, et leurs données peuvent être stockées sur nos serveurs. Comment donner à la justice un accès aux informations utiles à la prévention ou la répression du terrorisme, dans le respect du droit à la protection des données personnelles ? D’autant que, même si nous avons désormais des centres de données en France, l’architecture distribuée d’Internet peut conduire à ce que des données soient stockées ailleurs en Europe, à Dublin par exemple, voire aux États-Unis. À la suite de l’attaque qui a eu lieu contre Charlie Hebdo en janvier 2015, et alors que les terroristes étaient encore en fuite, Microsoft a eu des demandes sur des données stockées aux États-Unis. Grâce aux procédures d’entraide judiciaire et dans le cadre de la loi américaine, nous avons pu, en plein milieu de la nuit, y répondre en 45 minutes.
Au sein de l’Union européenne, la France est-elle bien lotie dans le domaine de la cybersécurité ?
Il existe en France l’Agence nationale de la sécurité des systèmes d’information, qui rapporte au Premier ministre. Cette agence, avec laquelle l’ensemble du secteur travaille, a connu une croissance importante en termes de moyens et de ressources. Elle est très en pointe, et constitue un acteur central dans l’idée de diffuser une culture de la sécurité des systèmes d’information.
L’arsenal législatif français en matière de cybersécurité est particulièrement avancé. La loi de programmation militaire, notamment, impose un certain nombre de règles de sécurité aux opérateurs d’importance vitale dont la vulnérabilité aux cyberattaques pourrait impacter la sécurité du pays. Mais être en pointe dans l’organisation étatique, c’est une chose ; s’assurer que tout le monde – individus compris – soit attentif en est une autre.
Justement, les utilisateurs sont rarement sensibilisés aux questions de cybersécurité. Avons-nous tous un rôle à jouer ?
Il y a de nouvelles habitudes à prendre. On me demande souvent comment les mots de passe sont volés : dans la plupart des cas, c'est parce que les gens griffonnent leur mot de passe sur un post-it collé sous leur ordinateur ! La cybersécurité est l'affaire de tous : il faut une hygiène de la sécurité. C'est un enjeu citoyen et de souveraineté.
Aujourd’hui, les logiciels de rançon font la une des journaux : demain, cela sera un réflexe de mettre à jour ses ordinateurs, de ne pas cliquer sur n’importe quel lien que l’on reçoit, d’avoir un mot de passe réellement sécurisé ; d’être attentif, en somme. Nous avons aujourd’hui pour réflexe de regarder avant de traverser une rue. Mais cela n’a rien d’inné ! J’ai souvenance, étant jeune, d’une campagne de sensibilisation à ce sujet : on avait des autocollants ronds avec un jeune garçon, pouce levé et bras en avant, qui disait « pouce, je passe ! » L’éducation, ça marche. On a des habitudes de sécurité dans plein de domaines dans notre vie physique ; des habitudes similaires dans notre vie numérique doivent couler de source, quelle que soit la génération.
Mais même ceux qui sont nés « une souris à la main » ne sont pas toujours mieux formés sur la cybersécurité…
Cela dépasse en réalité la cybersécurité. Il n’y a pas de génération spontanée pour la compréhension du numérique. De même que vous apprenez la grammaire, il devient essentiel d’enseigner comment fonctionne un algorithme, un code – tout le monde n’a pas vocation à devenir développeur, mais il est important de ne pas être dans un rapport de sujétion et d’incompréhension face à la machine. Un regard beaucoup plus serein vis-à-vis de la machine est possible : il faut apprendre à discipliner l’outil pour ne pas que l’outil vous domine.
Les cinq conseils sécurité de Marc Mossé
- Sauvegarder ses données. Réalisez des sauvegardes de vos données dans le cloud pour limiter votre préjudice en cas d’attaque.
- Garder ses mots de passe secrets. Évitez les post-it collés sur l'écran de l’ordinateur. Mieux : utilisez un gestionnaire de mots de passe pour vous faciliter la vie.
- Effectuer les mises à jour de sécurité. Ne cliquez pas sur « Plus tard » ad vitam aeternam, vous vous exposez à des failles de sécurité ! Ces mises à jour de sécurité sont gratuites et indispensables. Le logiciel de rançon WannaCry, par exemple, est inopérant sur les ordinateurs dont le système Windows est mis à jour.
- Sécuriser son smartphone. Activez le verrouillage par empreinte plutôt que par code. Ce verrouillage est plus difficile à contourner : de quoi vous éviter bien des soucis en cas de vol.
- Faire preuve de bon sens. Ne cliquez pas sur des liens suspects, n’ouvrez pas de pièces jointes douteuses, ne répondez pas à des requêtes étranges (Microsoft ne vous demandera jamais votre mot de passe par e-mail, par exemple), et méfiez-vous lorsque vous voyez une fenêtre surgir en plein surf.
Dates-clés
1989 : DEA de droit public, Paris V
1990 : DEA de droit européen, Paris I
1995-2000 : Attaché parlementaire auprès de Robert Badinter
2003-2006 : Philippe Morris, directeur des affaires publiques et de la communication
2006-2016 : Microsoft France, directeur des affaires juridiques et publiques, membre du Comité de Direction
Depuis 2016 : Microsoft Europe, Senior Director Government Affairs, Associate General Counsel