Newsletter n°55 – décembre 2012
Quelques mots pour clore cette année d’interrogation, et nous projeter vers une année pleine de nouvelles opportunités.
À Forum ATENA, nous vous préparons de nombreuses initiatives, toujours très diversifiées, riches et profondes, sympathiques et conviviales.
Dans le court terme, notre prochaine conférence sur la confiance dans l’économie numérique, où trois tables rondes exploreront la problématique de la confiance sous de multiples facettes, sociétales, personnelles, juridiques, communautaires et économiques.
Réservez dès à présent votre après-midi du 16 janvier, les inscriptions sont ouvertes.
Dans l’actualité, les hésitations du régulateur des télécoms dans l’application des principes de la neutralité technologique. C’est toujours un peu curieux de voir une autorité s’interroger sur le bien-fondé de principes, quand bien même s’ils s’appliquent aux fréquences (utilisation des fréquences 1800 MHz pour la 4G). C’est un peu comme les principes de la libre concurrence, pas si faciles à vivre avec l’arrivée d’un quatrième opérateur.
C’est sans doute aussi une question de principe, quand la gouvernance internationale de l’Internet s’interroge sur la place d’un organisme supra national, l’ONU (et l’IUT), dans la régulation des échanges électroniques dans le monde.
Argumenter sur la défense des libertés pour maintenir la main mise d’un seul état sur tous les autres est par principe quelque chose qui heurte mes principes. Mais il est vrai, le dossier et beaucoup plus compliqué, et la défense des libertés sur le réseau mérite un débat appuyé sur un sérieux travail de fond.
Au moins ce premier round aura-t-il permis de prendre du recul, de marquer les dimensions du problème. Reste à franchir les étapes suivantes, une à une. Sans doute quelques années de débats, de bonne et mauvaise foi, de recul à prendre, où nous devrons nous arranger avec les principes.
Et en principe, à l’année prochaine ;-O
Philippe Recouppé, Président de Forum ATENA
Selon la Commission européenne, la France ne se place qu’en 24ème position, en Europe, en ce qui concerne l’usage des technologies de l’information et de la communication pour l’enseignement (TICE).
16 janvier – Terre de confiance, Taire la confiance, Tiers de confiance
Le monde bascule dans l’économie numérique. Qu’est-ce que signifie une prise de
conscience de la nécéssité de confiance digitale en terme d’économie numérique ? C’est une
volonté politique au niveau de l’Europe avec le projet de règlement européen des services
dans le marché intérieur ; c’est une stratégie au niveau de la Maison Blanche avec son Pilot
Grant Program « National Strategy for Trusted Identities ».
Quels sont les enjeux ? Comment renforcer les identités numériques, assurer le contrôle
exclusif des attributs de confiance, promouvoir les services de signatures, de correspondances,
de transactions et d’archivage légal en ligne, avec des prestataires qualifiés (ISO 27001-
27002), et avec des certifications et des niveaux d’interopérabilité indispensables entre les
particuliers, les entreprises en ce qui concerne leurs propres applications de gestion ?
La confiance digitale, est aussi un défi économique pour baisser les risques et les fraudes et
les coûts, qui en dépendent dans un monde de mobilité et d’échanges immatériels. C’est enfin
pour la France une réponse écologique (moindre consommation de papier consommation
égale à la forêt française tous les 30 ans, déficit de balance commerciale égal à 4 Milliards €
par an).
Eric-Blot Lefevre, Président de l’Atelier Economie Numérique Forum ATENA
Forum ATENA organise, le 16 janvier 2013 après-midi, de 14 à 19 h à Telecom Sud Paris à Évry, un colloque d’une demi-journée sur le thème :
Terre de confiance, Taire la confiance, Tiers de confiance
Quelles confiances construire dans l’économie numérique
Cette manifestation, outre sa dimension de réflexion intellectuelle sur les problématiques de
confiance en l’économie numérique dans leurs dimensions techniques (produits et services),
sociologiques et psychologiques, sera l’occasion de rencontres, d’échanges privilégiés
et de retours d’expérience à la tribune et dans la salle entre des entreprises hors secteur
informatique (grands comptes, pme/pmi, administrations), des entreprises moteurs de
l’économie numérique (intégrateurs, constructeurs, opérateurs, éditeurs), et des experts de
l’Internet (juristes, chercheurs, dirigeants de start-up).
Quelle perception, quelle exigence de confiance dans l’économie numérique : craintes ou
naïveté, utopie ou réalité, protection et complexification ou ouverture …. ? La réponse est
plurielle.
Le concept de confiance doit trouver à s’exprimer tant au niveau des usages (communautaire,
open-libre, non lucratif) que des outils de protection des échanges, la dématérialisation,
l’identité numérique, les outils de chiffrement, le coffre fort électronique …
La question de la confiance dans l’économie numérique est elle en fait occultée ? La
technologie rassure t’elle ou inquiète t’elle exagérément ? Le bon sens dans la conception
ergonomique des outils de sécurité mis à la disposition du grand public, ne doit-il pas être un
point essentiel à prendre en compte ?
Trouve-t’on dans l’organisation de l’économie numérique l’espace de confiance favorable
aux échanges ? Les outils de sécurité, exigés par la confiance en l’économie numérique,
favorisent t’ils le développement de création de valeur, ou au contraire constituent-t’ils des
freins ? L’investissement dans la sécurité, source de confiance en principe, constitue t’il une
opportunité ou un simplement un coût ? La confiance dans le numérique n’est-elle pas la
condition primordiale de développement du cloud computing ?
La liberté individuelle des citoyens elle-t-elle préservée ? Les données individuelles sont-elles
protégées ou exploitées en dehors de leur contexte ? Et ce tant au niveau des acteurs du
marché, des communautés que des États ?
La sécurité est-elle vraiment assurée sur l’Internet ? Faut-il se taire et y croire aveuglément
parce que, faute de connaissances techniques et de compréhension des technologies, qui
concourent à établir la confiance, on veut être rassuré, et que de toute manière l’Internet est
devenu indispensable pour gérer ses affaires ? Ou faut-il encore sensibiliser le consommateur
aux technologies de l’information de la communication ? Une prise de conscience de
l’internaute est elle encore nécessaire ?
Le comité de programme s’est efforcé de faire intervenir dans les trois tables rondes
des analystes et praticiens d’horizons différents. Il a laissé à nos partenaires sponsors de
l’événement un temps d’intervention afin qu’ils présentent leurs solutions.
Dans l’esprit des quelques cinquante manifestations précédentes organisées par Forum
ATENA, ce colloque s’efforcera de contribuer à la réflexion et l’échange sur l’état de l’art et
la construction d’un modèle dans ce domaine.
Inscription gratuite (mais obligatoire), en ligne : cliquer ici.
Christophe Dubois-Damien, Président de l’Atelier Intelligence économique Forum ATENA
Certifications, diplômes et confiance en l’autre
La troisième facette de l’évènement de l’atelier Intelligence Economique de Forum ATENA, le mercredi
16 janvier 2013 après midi, "Terre de confiance, Taire la confiance, Tiers de confiance", portera donc
sur les Tiers de confiance. Quelle peut bien être la raison de l’existence de la certification d’un produit,
d’une organisation ou d’une personne, dans le domaine de la sécurité de l’information ?
La confiance que peut accorder une première entité à une deuxième entité qu’elle ne connait pas,
cette deuxième entité pouvant être un produit, une entreprise ou une personne, repose sur la preuve
apportée par une troisième entité, à laquelle la première fait confiance, que la deuxième entité est "de
confiance", au moins dans un certain périmètre, et parfois pour un temps limité.
C’est la même chose avec un diplôme, au moins en début de carrière. Le candidat (deuxième entité)
n’est pas connu du recruteur (première entité), mais l’école d’ingénieur, par exemple, qui lui a
décerné le diplôme (troisième entité) est garante du fait que le candidat a vu un certain nombre
de choses durant ses études, et a passé avec succès un certain nombre de contrôles qui lui ont fait
mériter son diplôme. Evidemment, pour être recevable, le diplôme doit être signé par la direction de
l’école, avec son cachet par-dessus, sinon ce ne serait qu’un papier sans valeur.
Quand un gendarme vous arrête au bord d’une route, il ne vous connaît pas (*), mais votre permis de
conduire, qu’il demande à voir, atteste que vous avez passé et réussi les épreuves du permis et que
vous avez connu, au moins quand vous avez passé le permis, le code de la route, ceci étant validé
par le tampon d’une préfecture. La présentation de votre permis atteste aussi que vous n’avez pas fait
trop de bourdes sur la route dans un passé récent, puisque vous l’avez toujours, ce permis.
Un diplôme, un permis de conduire sont-t-ils des éléments fiables et suffisants pour que la confiance
puisse s’établir ? En tout cas, s’ils ne comportaient pas le cachet de l’école ou de la préfecture et
une signature, le recruteur ou le gendarme seraient en droit ne n’attacher aucune importance à ce
document. Même chose pour les papiers d’identité, la carte vitale et bien d’autres documents. On
ne vous connait pas personnellement mais on connait l’organisme qui vous connait et auquel on fait
confiance, et donc on vous fait confiance.
C’est pareil pour la certification d’une solution de sécurité qui protège votre Information. De
nombreuses certifications existent dans ce domaine. Citons la certification "Critères Communs"
(ou ISO15408) reconnue dans de nombreux pays, même si elle a été obtenue dans un autre, et
la certification de sécurité de premier niveau (CSPN) de l’ANSSI, moins lourde, moins coûteuse à
obtenir mais qui n’est reconnue qu’en France. Bien sûr, ce n’est pas l’ensemble des fonctionnalités du
produit, et dans toutes ses versions, qui est certifié, mais pour les Critères Communs, un minimum
incompressible de fonctionnalités (les profils de protection), doivent faire partie de la cible à certifier.
Et il y a sept niveaux de certification, donc sept niveaux de confiance. Il faut savoir lire le diplôme,
mais avec ça deux produits de même nature peuvent être comparés, côté confiance, sans les
connaître pour autant…
C’est pareil avec une organisation, pour le sérieux qu’elle met à gérer son propre système de
management de la sécurité de son Information. Il existe pour cela des normes internationales, celles
de la famille ISO270xx par exemple. Vous feriez confiance, vous, à un prestataire, pour gérer la
sécurité de votre Information, s’il faisait n’importe quoi avec son propre système ?
Moi non plus.
C’est pareil aussi pour les bonhommes. Une personne certifiée ISO27001 Lead Auditor, ou ISO27001
Lead Implementer, on sait ce qu’elle peut vous apporter côté gestion de la sécurité. On est en droit de
penser qu’un "Risk Manager ISO27005" sait gérer les risques informatiques auxquels une organisation
fait face. Un CISA, on sait que ce n’est pas un ignare côté sécurité de l’Information.
Et quand on parle de Tiers de confiance, on évoque inévitablement la signature électronique et la
gestion des certificats numériques qui attestent qu’une clé publique est bien celle du détenteur de
la clé privée mathématiquement liée à cette clé publique, pour que quand on chiffre avec l’une, on
déchiffre avec l’autre. N’entrons pas dans les arcanes du chiffrement asymétrique, mais retenons que
la confiance, ici, repose sur la réputation et la signature électronique du Tiers de confiance. C’est la
base même de l’économie numérique.
Alors la confiance induite par un Tiers de confiance, est-ce la panacée ? Est-ce de l’arnaque ? Le 16
janvier à Télécom SudParis, l’évènement de Forum ATENA tentera d’apporter des réponses, ou au
moins d’initialiser un débat. Moi je pense qu’on n’a pas trouvé mieux, et c’est beaucoup mieux que
rien.
La confiance se mérite, la confiance se prouve et se montre et pour cela il y a les certifications et les
diplômes.
Et avec ça, … on y croit !
(*) A moins que vous ne soyez recherché :)
Gérard Peliks, Président de l’Atelier Sécurité Forum ATENA
Mythes et légendes sur la confiance numérique
Voici un extrait du livre "Mythes et légendes des TIC" tome 2 en rapport avec le thème général de cette newsletter. Le tome 1 et l’état actuel du tome 2 du livre collectif "Mythes et légendes des TIC" peuvent être téléchargé librement en PDF sur http://www.forumatena.org/?q=node/358.
La version papier du tome 1 peut être commandée sur http://www.forumatena.org/?q=node/361
Mythe no 1 : le certificat inscrit sur ma carte à puce ne peut être utilisé que si je fournis mon code PIN
Vrai et faux
La carte à puce que j’utilise m’a été fournie par un organisme : mon entreprise, ma banque, un tiers, … peu importe, et mon certificat a été inscrit sur cette carte.
Deux cas sont possibles :
- la clé privée liée au certificat a été générée par la carte,
- elle a été générée centralement par l’organisme et inscrite sur la carte.
Dans le cas 1), on a la certitude que si le certificat est utilisé, le code PIN a été fourni à la carte. Encore faut-il que le certificat ait été utilisé APRÈS que la carte a été remise à son titulaire. D’où la nécessité d’horodater les transactions.
Dans le cas 2), il est techniquement possible de dupliquer le certificat et sa clé privée, et de l’inscrire sur tout support, matériel ou logiciel. Et donc de l’utiliser.
En conclusion, pour être sûr que, si le certificat inscrit sur ma carte à puce n’a pu être utilisé qu’après que j’ai fourni le code PIN, il faut :
- que je fasse confiance au système d’horodatage (qui permettra de savoir à quel moment exactement la transaction a eu lieu)
- que je fasse confiance à l’organisme pour prouver à quel moment la carte m’a été remise
- que je fasse confiance à l’organisme pour que ce soit la carte à puce qui génère la clé privée du certificat
- que je fasse confiance à la carte à puce, qui ne doit pas être capable d’exporter une clé privée
On le voit, la confiance dans l’utilisation de certificat sur carte à puce est le résultat de plusieurs éléments.
Note : certaines cartes à puce peuvent indiquer si la clé privée d’un certificat a été générée par la puce, ou extérieurement. Si l’indicateur « générée par la puce » est positionné, je peux avoir confiance dans le point c)… si je fais confiance à la carte à puce.
Mythe no 2 : je peux avoir confiance en une transaction signée avec un certificat qui émane d’une société ayant pignon sur rue (Verisign, Certinomis, …)
Vrai… sous réserve
Sous réserve que l’usage de la clé privée liée au certificat n’est pas usurpé au moment de la transaction, et que le certificat est bien valide. Donc sous réserve que j’ai bien vérifié qu’il n’est pas révoqué. Et encore…
- il faut qu’en cas de vol, le titulaire l’ait signalé au service compétent
- que le service compétent ait mis à jour la liste des certificats révoqués
- que la liste à jour des certificats révoqués soit disponible au moment de la transaction
Ces actions doivent être décrites dans des procédures qui résultent de la politique de sécurité de l’organisme qui gère le certificat, et ces procédures doivent être appliquées.
Conclusion : si le certificat est volé, mais que le vol n’est pas déclaré, ou bien s’il y a du retard dans la mise à jour de la liste des certificats révoqués, ou si la liste mise à jour n’est pas encore disponible, votre confiance peut être mal placée. C’est peu probable, mais c’est possible.
C’est pour cela que certains organismes prennent des assurances sur les transactions : en cas de vol, la transaction n’est pas révocable tant que le vol n’a pas été déclaré, le titulaire reste responsable.
Jean-Baptiste Fahy, jb.fahy (at) free.fr
Une nouveauté de l’atelier d’écriture de Forum ATENA
C’est nouveau !!!! Editez vos propres livres blancs sur le site de Forum Atena.
Vous appréciez nos livres blancs, le nombre de téléchargements en témoigne.
Forum ATENA vous donne à présent la possibilité de diffuser vos écrits auprès de son large auditoire. Si vous avez un texte, libre de droits bien sûr, que vous désirez faire connaître via Forum ATENA, soumettez-le nous. Il suffit de vous rendre sur la page "Livres – Nos livres blancs" puis "Proposer un texte", ou bien suivre le lien http://www.forumatena.org/?q=node/403 puis suivre les instructions données sur cette page. Vous verrez, c’est très simple.
Le texte doit, bien sûr, entrer dans le cadre des sujets abordés par Forum Atena, mais peut être de toute nature : technique, prospective, économique, juridique, etc.
Après approbation par notre comité de relecture, il sera ajouté à la collection des livres blancs de Forum ATENA.
Vous trouverez des indications complémentaires à la page de l’atelier d’écriture http://www.forumatena.org/?q=node/195
A vos plumes !
Michèle Germain, Atelier d’écriture de Forum ATENA
Du téléphone au smartphone à l’usage des débutants
Communiqué de l’atelier d’écriture … ou plus précisément de sa présidente
J’ai le plaisir de vous annoncer la parution de mon second livre "Du téléphone au smartphone à l’usage des débutants" aux éditions du Puits Fleuri.
Ce livre a pour ambition de répondre clairement aux questions que l’on peut se poser avant de s’équiper en téléphone fixe ou mobile. Qu’est-ce que l’ADSL ? Que signifient 2G/3G ? Un smartphone, pourquoi faire ? Quelles sont les différentes formules d’abonnement et comment trouver celle qui convient ?
http://www.puitsfleuri.com/fiche.php?id=383
D’autre part, une seconde édition de mon premier livre "Informatique et numérique à l’usage des Seniors" vient également de paraître. Ce livre, largement illustré et très concret, est destiné aux Seniors et aux non Seniors qui désirent se lancer dans la grande aventure de l’informatique et de l’Internet. Cette seconde édition prend en compte les nouveautés de Wondows 8.
http://www.puitsfleuri.com/fiche.php?id=382
Pensez-y pour vos cadeaux de Noël ! En vente dans toutes les bonnes librairies et sur Internet !
Michèle Germain, Atelier d’écriture de Forum ATENA
NON ! Transporter des millions de millions de millions d’information chaque minute dans le monde ne nécessiterait pas d’infrastructure ?
OUI ! Plus la quantité d’information est importante, plus le transport nécessite d’investissement
OUI ! Plus les distances sont importantes, plus les investissements dans des fibres optiques transcontinentales le sont également.
NON ! Le monde ne va pas retourner au modèle économique du téléphone, facturé à la seconde et fonction de la distance.
OUI ! Il faut rééquilibrer le modèle économique entre consommateurs, opérateurs / FAI et fournisseur de contenu, il faut y réintégrer un échange de valeur.
Un accès ADSL défaillant à 512 kbit/s ne consomme pas les mêmes ressources qu’un accès à 20 Mbit/s, ou à 100 Mbit/s ; le prix de vente ne devrait pas être le même, comme c’est le cas dans de très nombreux pays.
Un consommateur qui consomme des dizaines de Gbit/s chaque mois doit-il payer comme celui qui n’en consomme qu’un ? L’électricité, le gaz, l’eau, les transports publics sont des services essentiel, dit "publics", et pourtant ils ne sont pas gratuits, ni facturés au forfait !
Internet n’est pas un espace d’échange gratuit, sans contrainte, à prix unique ? Mais il DOIT rester un espace d’échange libre, équitable, pour le consommateur comme pour l’ensemble des acteurs de la chaine de valeur.
La France et son modèle 29,90€ (aujourd’hui 35) ne voit pas d’augmentation de ces débits (source Akamai) contrairement à la plupart des pays développé ! Pourquoi ? Les opérateurs FAI n’aurait aucune motivation à améliorer les réseaux ! Une impasse ?
Philippe Recouppé – Président de Forum ATENA – DG COGICOM
Altaïr think tank fait 7 propositions à la mission Lescure
Dès sa création, Altaïr Think Tank a placé le numérique au coeur de ses réflexions sur la culture.
Pour lui, le numérique, notamment à travers Internet, est devenu incontournable et indispensable à tous.
Avant même les échéances électorales de 2012, Altaïr Think Tank est passé à l’acte, en organisant, au début de l’année, la première concertation Culture et Numérique qui a réuni pour la première fois durant deux journées de travail en commun une centaine d’acteurs et de personnalités issues de toutes les filières culturelles, des start-up, des représentants associatifs et des utilisateurs.
Cette concertation, soutenue par Forum ATENA, élaborée via des méthodes innovantes issues des Barcamps a permis d’aboutir à 27 propositions pour un New Deal Culture et Numérique. Fort de cette expérience qui s’est poursuivie durant les six derniers mois autour d’une plateforme collaborative en ligne, Altaïr Think Tank a exprimé, à la mission Lescure, 7 propositions offensives et d’avant-garde pour qu’enfin l’alliance entre la Culture et le Numérique constitue un pôle de croissance dans les années à venir en France, et en Europe.
Proposition 1 : passer à une méthode de concertation innovante et trans-secteurs, seule manière d’élaborer des idées nouvelles à la mesure des enjeux de compétitivité internationale, de création et de revitalisation du lien social. Réintégrer dans la concertation l’ensemble des acteurs de l’écosystème y compris les associations d’utilisateurs et les internautes, seul moyen de donner force et légitimité à la concertation. Provoquer la création d’une Assemblée constituante Culture et Numérique qui appelle à une loi triennale révisable.
Proposition 2 : une régulation souple par une puissance publique réinvestie qui anime et arbitre le dialogue plutôt que de contraindre les acteurs. Un outil indispensable à créer : l’Agence Nationale du Numérique (ANN), un véritable « CNC » de la Culture et du Numérique.
Proposition 3 : l’expérimentation graduée, un « laboratoire » du numérique à ciel ouvert
L’ANN pourra lancer une série d’expérimentations d’envergure (internet à 5€, plate-forme publique, « cloud » culture, streaming durable,…) qui permettront, comme le font tous les innovateurs du numérique, de « tester pour trouver » en fondant ses décisions sur des données fiables et en investissant progressivement au fur et à mesure des succès.
Proposition 4 : l’accès à un service public minimum du Numérique à 5€ : un FAI public, socialement responsable, et qui permette à tout citoyen l’accès à l’information et à la diffusion du savoir au travers d’internet. Accélérer le déploiement du très haut débit en France tout en garantissant les libertés publiques numériques.
Proposition 5 : faciliter l’accès au contenu culturel par la création d’un « cloud » public : accompagner la distribution de contenu et la diffusion de la culture en France via une plate-forme publique pour valoriser de nouveaux talents et via un soutien aux plates-formes légales à travers une politique de labellisation. Reconnaissance du secteur non marchand.
Proposition 6 : financement et supports : financement croisé des acteurs publics, privés et des utilisateurs (business angels, crowd funding, fonds d’investissement publics). Contributions financières équitables des grands acteurs industriels du web avec des mécanismes de non-répercussion vers les utilisateurs.
Proposition 7 : l’éducation au numérique dans l’enseignement scolaire, associée à l’éducation artistique et culturelle et, en amont, dans la formation des enseignants et professeurs. Le système éducatif a un rôle majeur à jouer dans la lutte contre l’inégalité numérique.
Les querelles entre les industries créatives et le monde du numérique sont sans issue. Nous vivons une crise de civilisation dans laquelle la culture a un rôle central à jouer. Altaïr est convaincu que seule la convergence culture et numérique est à même de construire un avenir qui relève les défis du XXIème siècle.
Premier laboratoire d’idées français consacré à la culture et aux Médias, Altaïr est un think tank indépendant dont l’objectif est d’être une force de propositions d’intérêt général.
Altaïr think tank (06 20 34 86 40) / www.altair-thinktank.com / contact@altair-thinktank.com
 |
Mercredi 16 janvier Organisé par Forum Atena Terre de confiance, Taire la confiance, Tiers de confiance |
Jeudi 17 janvier
Maison de la Chimie, Paris 7e
4èmes Assises des Technologies Numériques de Santé
Pour soutenir Forum ATENA
