Avertissements sérieux du ministère du Numérique. Des lacunes importantes doivent être comblées.

• Le Conseil des affaires numériques est un organe consultatif auprès du ministère du Numérique. Au cours de ses deux années de mandat, il a formulé de nombreuses recommandations à l'intention des ministres, mais la plupart d'entre elles n'ont pas été mises en œuvre par l'administration.
• Le mandat qui vient de s'écouler ( le recrutement du nouveau Conseil a commencé aujourd'hui ) est résumé dans une interview avec WNP par Agnieszka Jankowska, cheffe du Conseil et en même temps directrice des affaires générales et des affaires publiques chez T-Mobile Polska.
• Exemples d'inertie ? Les applications bureautiques. « Il n'existe aucune norme de sécurisation, elles constituent donc souvent une faille pour les cybercriminels », explique Jankowska. C'est un problème majeur également du point de vue de la ZUS.
• Pourquoi faut-il autant de temps pour mettre en place le Système national de cybersécurité ? « Parce qu'il n'existe pas d'équipe unique au sein du gouvernement. » C'est tout simplement ce qu'évalue l'interlocuteur du WNP.

Le mandat du Conseil des affaires numériques du ministère du Numérique touche à sa fin. Quel bilan pouvons-nous tirer de ces deux années ?

Je suis heureux qu'il y ait des personnes, au sein de l'organisation et autour de celle-ci, issues de diverses institutions, qui comprennent les défis de la numérisation et souhaitent agir. C'est très encourageant. En revanche, j'ai le sentiment que peu des recommandations proposées ont été mises en œuvre.

Pourquoi le Conseil des affaires numériques fonctionne-t-il ?

Le Conseil numérique est-il une mince affaire ?

Je pense qu'un conseil bien composé est nécessaire. Nous avons proposé diverses solutions non seulement au ministère du Numérique, mais aussi à d'autres ministres du gouvernement, et nous avons adressé une lettre au Premier ministre.

Durant ce mandat, nous avons adopté le principe de ne pas avoir peur d'aborder des sujets difficiles ; notre rôle était de proposer des solutions utiles à la société. C'est pourquoi nous avons rédigé une position sur la cybersécurité dans le secteur médical ou dans le secteur scientifique et de la recherche.

Les ministres vous ont-ils écouté ?

Concernant notre position sur la cybersécurité dans le secteur médical, j'ai reçu une réponse très concrète du Centre de cybersanté, et concernant la position sur le Fonds pour la cybersécurité, le ministère des Finances a réagi. Les réponses étaient parfois efficaces, émanaient de personnes invitées à des réunions d'institutions, parfois présentées sous une forme officielle.

Et le ministre du Numérique ? La photo du président du Conseil a été publiée dans l'onglet « Direction et personnes clés » du site web du ministère.

Nous a-t-il écoutés ? Je le pense. À trois reprises, le vice-Premier ministre était même présent aux réunions. Mais je n'ai pas le sentiment que nos propos se soient traduits concrètement par une mise en œuvre de nos propositions. Au début, je n'ai transmis les positions du Conseil que sous forme de note, puis j'ai écrit des lettres officielles en demandant poliment d'y répondre.

Nous avons reçu une réponse du ministre de la Grammaire concernant la position du Conseil sur la lutte contre la désinformation concernant les propriétés du champ électromagnétique dans les télécommunications. Par ailleurs, nous avons accueilli le ministre Standerski à l'une des réunions concernant eIDAS 2.0.

Alors, qu’est-ce que cela signifiait que vous étiez une « personne clé » dans le ministère ?

- Honnêtement, je ne sais pas quel était l'essentiel de mon rôle, à part ce que je me suis proposé de faire, c'est-à-dire exercer la fonction de Présidente du Conseil le mieux et le plus efficacement possible.

Stratégie de numérisation ? Elle n'a pas encore été adoptée, malgré six mois de consultations.

Le Conseil est-il satisfait de la stratégie de numérisation présentée par le Ministère ?

Nous avons préparé une position détaillée dès sa création. Certaines de nos idées y ont été intégrées, d'autres non. C'est naturel. Nous avons ensuite soumis plusieurs commentaires sur le document déjà publié. Il m'est difficile de me prononcer maintenant, car je ne connais pas la version finale de cette stratégie.

C'est intéressant, car l'année dernière, nous étions très pressés par le temps, et le département de stratégie qui a travaillé sur ce projet a fait preuve d'un engagement fort et d'un effort considérable. En décembre, le comité directeur a annoncé des consultations. Aujourd'hui, nous sommes à la mi-juin et la version finale de la stratégie n'est toujours pas disponible.

La dynamique a décliné.

- Elle est tombée, exactement.

Cela ressemble un peu à une profession.

- En tant que Conseil, nous avons été très impliqués dans la préparation de la stratégie dès le début, nous avons préparé un certain nombre de documents, tenu de nombreuses réunions, les délais étaient très serrés, c'est pourquoi je me sens insatisfait.

Y a-t-il beaucoup d’inertie dans l’administration ?

- Oui, c'est pourquoi le Conseil me semble important. Nous avons besoin d'un lieu où quelques « fous » positifs voudront simplement faire quelque chose pour la Pologne. Ils insisteront et suivront tel ou tel ministre, se le rappelleront mutuellement.

Il convient de souligner que, parmi les membres du Conseil, certains estiment qu'il s'agit d'un organe consultatif auprès du ministre, dont le rôle se limite à conseiller et à suggérer, et que la mise en œuvre de ces propositions par le ministre ne relève pas de notre compétence. Cependant, je pense qu'il est important de rechercher de bonnes propositions et de demander qu'elles soient au moins débattues.

Qui devrait siéger au Conseil Affaires numériques ? Aujourd'hui, on compte, entre autres, T-Mobile et Google.

La composition du Conseil facilite-t-elle cela ?

- Je modifierais le mode de recrutement du Conseil afin qu'il devienne un véritable groupe de réflexion, où les personnes soucieuses du changement et disposant de temps pour des missions complémentaires pourraient y participer. J'annoncerais sans hésiter un recrutement ouvert pour certains domaines thématiques.

Lors de la formulation d’une telle annonce, il faudrait toutefois souligner qu’il s’agit d’un travail intensif, peu rémunéré et qui demande du temps et de l’engagement.

Vous êtes lobbyiste pour une entreprise de télécommunications. Cette pratique a suscité des critiques de la part de certains acteurs du secteur.

J'avoue que les critiques ont été très difficiles à accepter, car à cette époque, je ne jouais ni pour moi-même ni pour ma propre compagnie. On peut le constater dans les procès-verbaux des réunions du Conseil, ainsi que dans les sujets des positions ; tous sont accessibles au public. Le seul, concernant le secteur des télécommunications, concerne la désinformation sur les propriétés du champ électromagnétique.

J'étais chargée d'organiser les travaux du Conseil, de leur donner rythme et efficacité. Tel était mon objectif depuis ma prise de fonction à la présidence.

Des représentants d’entreprises spécifiques devraient-ils siéger au Conseil ?

Il est nécessaire de créer un organisme réunissant des représentants, petits et grands, du secteur non gouvernemental et des collectivités locales – l'objectif étant une diversité maximale. En fin de compte, il s'agit d'un organe consultatif ; le ministre décide donc de la suite à donner aux recommandations.

Malheureusement, les décisions prises sont toujours soumises à ce filtre politique. Nous sommes tourmentés par le fait que les politiciens recherchent des solutions qui ne font que satisfaire les électeurs. De plus, chaque projet doit trouver un soutien politique. Obtenir ce soutien est une tâche difficile, car même avec une bonne idée et de bonnes intentions, il y aura rapidement des mécontents.

D’où viennent les problèmes du Système national de cybersécurité ?

En parlant de sujets politiques, que pense le Conseil du Système national de cybersécurité ? Pourquoi l'adoption de ce projet de loi tarde-t-elle autant ?

- Parce qu'il n'y a pas d'équipe unique au gouvernement. Tout simplement.

Le ministre Krzysztof Gawkowski nous a dit dans une interview que le problème venait des ministres .

Chacun a ses propres intérêts et perçoit des menaces différentes. Tout le monde ne sera jamais satisfait.

Depuis des mois, de nombreuses pressions sont exercées par divers groupes pour que la question des fournisseurs à haut risque soit retirée du projet.

- Oui, mais c’est un sujet que je ne voulais pas du tout aborder en tant que présidente du Conseil.

Parce qu’il était trop controversé ?

- Non, c'est simplement une décision politique. Il faut se réunir, discuter des préoccupations de toutes les parties et prendre une décision. Depuis combien d'années les consultations durent-elles ? Le Conseil préparait déjà une position sur cette question lors de la précédente législature. Que puis-je ajouter ? Il faut avoir le courage de prendre une décision.

Il est évident que tout le monde ne sera pas content. Et soyons clairs, je ne parle pas du vice-Premier ministre, mais des autres ministres.

Les applications bureautiques deviennent une porte d’entrée pour les cybercriminels

Quels seront les autres éléments les plus importants du point de vue de la numérisation jusqu’à la fin du semestre ?

L'enseignement supérieur et les sciences requièrent une attention particulière. Entre 2023 et 2024, le nombre d'incidents de cybersécurité dans les universités a presque doublé, et pourtant, aucune approche systématique n'est encore mise en œuvre pour améliorer la situation.

De même, dans le secteur de la santé, des applications sont créées dans des unités de soins individuelles, même privées. En l'absence de norme de sécurisation, elles constituent souvent une faille pour les cybercriminels. Ils les utilisent pour créer des ordonnances pour des personnes décédées ou fictives, ou pour influencer le dossier médical d'un patient, par exemple.

Nous avons eu une excellente réunion avec les représentants du ZUS à ce sujet. Ils ont souligné que le certificat du ZUS, initialement créé uniquement pour délivrer des congés maladie, est désormais largement utilisé à d'autres fins médicales, ce qui comporte un risque important d'abus et de fraude, et que l'institution n'exerce pas un contrôle total sur ce sujet.

Un autre problème intéressant est celui du temps électronique.

L'heure électronique ?

Avant le Conseil de la numérisation, j'ignorais totalement l'existence d'un tel système. Le système e-Czas, créé par une institution polonaise et financé par des fonds publics, permet un chronométrage précis des événements dans les systèmes informatiques. C'est essentiel pour automatiser les décisions et respecter les délais. Bien que gratuit, il reste peu utilisé par les institutions et les entreprises. Nous avons également publié une position à ce sujet.

Nous avons également pris des mesures pour protéger les mineurs contre les dangers sur le web. Cela pourrait bientôt se traduire par des actions concrètes.

Signification?

Le Conseil a élaboré une position sur les mesures nécessaires pour protéger les mineurs contre les abus sexuels sur Internet. Il s'agit du matériel pédopornographique (CSAM), un sujet totalement différent de la récente et célèbre question du visionnage de pornographie infantile. Le ministre Michał Gramatyka a promis de se pencher sur ce sujet ; nous avons donc préparé des hypothèses sur ce que devrait contenir une telle loi.

J'attends un signal de la direction pour savoir si le ministère prendra en charge cette question. J'espère que, dans un avenir proche, il sera possible de résoudre au moins ce problème. Jusqu'à présent, nous avons souvent entendu de différentes parties que rien ne pouvait être fait maintenant en raison des élections.

Comment résoudre le problème de la maltraitance des enfants sur Internet ?

Dans ce cas, certains soutiennent que la réglementation polonaise ne sera pas d’une grande aide, car ces matériaux constituent un problème mondial.

De nombreux pays européens ont déjà mis en place des mécanismes efficaces. Il est crucial de doter les services – police, parquet, tribunaux – d'outils spécifiques qui permettront d'identifier et de combattre plus rapidement les crimes sexuels contre les enfants sur Internet.

Les systèmes actuellement en fonctionnement, comme Dyżurnet dans NASK, ne réagissent qu’après un signalement – ​​nous voulons créer des outils qui permettront une réponse proactive , c’est-à-dire ici et maintenant, lorsque nous sommes confrontés à un tel crime.

Qu'est-ce que cela signifie exactement ?

À cette fin, vous pouvez créer une base de données de hachages, c'est-à-dire une collection d'empreintes digitales codées de fichiers (par exemple, des photos ou des films), permettant d'identifier rapidement et automatiquement les contenus illicites connus sans avoir à les visionner à nouveau. Bien entendu, une telle base de données doit être strictement contrôlée et son accès doit être limité. Il s'agit non seulement d'une question d'efficacité, mais aussi de protéger la santé mentale des experts ou des policiers qui analysent les contenus ; aujourd'hui, nombre d'entre eux doivent visionner le même contenu à plusieurs reprises. Grâce à la technologie, cela peut être automatisé, la réponse des services peut être accélérée et le nombre de victimes peut être réduit.

Et bien sûr, la liste ne s'arrête pas là. La numérisation comporte de nombreux autres enjeux.

Par exemple?

Les compétences numériques sont essentielles, tout comme la cybersécurité, notamment dans le secteur de l'énergie. Il en va de même pour la sécurité de l'information de l'État. À la fin des discussions du Conseil, la question de l'accès à l'information publique a été abordée, soulignant le risque lié à l'accès à des données sensibles pour la sécurité de l'État.

Les petites municipalités n’ont souvent pas les ressources ou les connaissances nécessaires pour protéger correctement les données ou les infrastructures sensibles, et elles fonctionnent sous de nombreuses réglementations et sont tenues de prendre de nombreuses mesures qui nécessitent de la transparence sur la base d’enquêtes dans le cadre de l’accès à l’information publique, de la publication de documents dans le Bulletin d’information publique, des médias sociaux ou des médias locaux.

Cela engendre des risques sérieux, tels que la divulgation involontaire de données personnelles, de secrets d'affaires, d'informations sur l'infrastructure informatique, comme la divulgation d'une adresse IP ou d'un contrat contenant des données sur les services et systèmes informatiques utilisés pour sécuriser le réseau informatique. Nous pourrons peut-être adresser une lettre au Comité de gestion à ce sujet d'ici la fin du trimestre.