Le CICR confronté à la «géopolitisation» des infrastructures IT
Les Applied Machine Learning Days consacraient lundi dernier un track à la sécurisation des systèmes IA dans l’action humanitaire. Outre les présentations de spécialistes sur les innovations dans l’informatique confidentielle, le responsable digital du CICR a expliqué le défi croissant de s’appuyer sur une infrastructure IT neutre que toutes les parties jugent digne de confiance.
Après l’équipementier chinois Huawei, l’éditeur de cybersécurité russe Kaspersky a rejoint il y a quelques jours la liste noire des logiciels «représentant une menace sécuritaire» du gouvernement américain. Avec la guerre en Ukraine, les logiciels open source eux-mêmes se muent en «protestware», des mises à jour piégées étant savamment développées pour créer des soucis aux utilisateurs localisés en Russie ou en Biélorussie. Et tout récemment un responsable du renseignement anglais s’inquiétait de l’influence grandissante de la Chine dans les standard technologiques.
Infrastructures partisanes
Bref, comme les mots, les systèmes et infrastructures IT sont de moins en moins considérés comme neutres, de sorte que leur emploi risque de s’apparenter à un geste partisan. Le CICR en fait directement les frais, a expliqué Balthasar Staehelin, en charge de la digitalisation de l’organisation humanitaire, lors des Applied Machine Learning Days, qui se sont tenus à l’EPFL. Pour le CICR, la neutralité et la confiance ne sont pas de vains slogans, mais conditionnent son action, a souligné le responsable. Notamment lorsqu’il s’agit de négocier une solution avec des parties en conflit. L’organisation craint ainsi qu’à l’avenir le fait de choisir tel ou tel fournisseur dans son stack technologique devienne un motif de défiance de la part de ses interlocuteurs, notamment lorsque des informations sensibles sont stockées dans son environnement. Un vrai casse-tête.
Une opportunité pour la Suisse?
Répondant à une question d’un participant à la conférence, Edouard Bugnion, professeur à l’EPFL et membre de l’Assemblée du CICR, a estimé que le sujet pourrait être une opportunité pour la Suisse de profiter de son statut de pays neutre et de sa réputation pour mettre une infrastructure de confiance à disposition des organisations internationales. Tout en ajoutant que le développement d’une telle infrastructure nécessiterait que la Confédération monte en compétences au niveau IT par rapport à ce qu’elle a montré durant la pandémie. Comme dans le débat sur le cloud souverain, on peut ajouter qu’il serait difficile de proposer un stack matériel et logiciel entièrement Swiss made.
En tout cas, le seul fait d’être localisé en Suisse ne semble pas suffire à instaurer (ou restaurer) la confiance. C’était le pari de la société Kaspersky en ouvrant un centre de transparence à Zurich en 2018 et en y stockant les données de ses clients américains un an plus tard. Et cela ne l’empêche pas d’être encore aujourd’hui l’objet de soupçons.
Informatique confidentielle
Le track des Applied Machine Learning Days consacré à la sécurisation des systèmes IA dans l’action humanitaire, a aussi proposé des solutions techniques de nature à répondre au défi de la confidentialité des données sensibles aux mains des organisations humanitaires. Shweta Shinde, professeure assistante à l’EPFZ, et Cédric Fournet, responsable de recherche chez Microsoft, ont notamment présenté des innovations récentes permettant de préserver la confidentialité des données en traitement, à différents niveaux. Edouard Bugnion soulignant quant à lui l’apport des approches décentralisées.
Plusieurs intervenants ont cependant reconnu que, si sophistiquées soient-elles, les solutions technologiques peinent à se passer de la confiance dans une organisation en ultime ressort.
Sur le sujet:
> Confiance et numérique, des rapports compliqués
> L’informatique confidentielle se dévoile
> Les maillons faibles de la blockchain
