Dans le tranquille quartier général, les premiers rayons de soleil printaniers baignent le bureau de Benoît Poletti de la même lumière que celle dans laquelle se trouve «son» groupement d’intérêt économique. La réputation internationale de l’Incert n’est plus à faire, assure son CEO, qui prépare un nouveau positionnement.
Les experts vous connaissent assez bien, et les autres pas du tout. Qu’est-ce que l’Incert? À quoi sert-il?
Benoît Poletti. – «Nous gérons des projets qui ont des consonances ‘cyber’, des infrastructures qui sortent du classique dans un laps de temps relativement court. On nous a demandé de travailler en 2014 sur l’infrastructure de la nouvelle carte d’identité électronique. Nous avions six mois pour concevoir l’infrastructure, pour la déployer, pour la mettre en test. Dans des conditions normales, cela aurait pu se faire en un an. Il y avait les élections législatives, ce n’était pas vraiment la priorité, mais il y avait eu un règlement grand-ducal qui imposait cette date du 1er juillet. Cela sous-entend quelque part qu’on a une certaine agilité.
Quand l’État et la Chambre de commerce se réunissent pour donner naissance à ce groupement d’intérêt économique, qu’est-ce qu’ils visent?
«L’idée de départ était de mutualiser des infrastructures parce que la gestion électronique des documents de voyage est une spécialité à part entière. Il faut maîtriser des standards de l’Organisation de l’aviation civile internationale (OACI), ce qui n’est pas forcément évident: il y a à peu près 1.000 pages de spécifications. Si l’État n’avait pas fait ce choix, aujourd’hui, on se retrouverait avec une infrastructure pour les passeports au niveau du Bureau des passeports, une autre pour le Bureau de l’immigration et une pour le ministère de la Sécurité intérieure. Sachant qu’en moyenne, chaque infrastructure de ce type-là coûte 600.000 euros… Pour le même montant, avec une seule infrastructure, on gère plusieurs documents de voyage. On va potentiellement l’étendre à d’autres documents, comme les documents médicaux, ce qui permet de rationaliser les coûts.
Il y a eu ce besoin pour les documents de voyage. Et tout à coup, l’international…
«À l’époque, quand Raymond Faber, directeur de la Confiance numérique au ministère de l’Économie, est parti, il a été remplacé par . Quand il a vu ce que nous étions capables de faire, il nous a poussés à jouer un rôle plus actif. C’est ce que nous avons fait. Nous avons eu notre premier mandat pour la traçabilité des produits du tabac. Nous nous occupons d’émettre, depuis 2019, les identifiants uniques pour tous les paquets de tabac. Soit 300 millions d’identifiants au niveau luxembourgeois et 800 millions au niveau belge, parce que les douanes luxembourgeoises avaient convaincu leurs homologues belges de travailler avec nous.
Et la réussite se profile avec de nombreux engagements?
«Exact. Au niveau européen, nous pouvons tout à fait nous associer avec quelqu’un. Un Big Four est venu nous voir pour travailler sur un volet du carnet de vaccination électronique parce que, fin 2020, nous avons été mandatés par l’OMS pour travailler sur le nouveau carnet de vaccination digital. Nous contribuons aux spécifications techniques du smart vaccination certificate, ce qui, en soi, est aussi une belle reconnaissance. Si nous arrivons à développer des systèmes pour le compte de privés ou d’autres acteurs étatiques, nous allons pouvoir créer ce que nous appelons des digital assets, et l’État luxembourgeois pourra en bénéficier via notre agence. Nous créons de la valeur ajoutée. En 2020, nous avons connu notre premier succès au niveau international avec la signature d’un contrat avec Harman, l’équipementier automobile, qui nous offre une belle perspective. Il nous a fallu deux ans de négociations avec eux. Début avril, malgré la pandémie, nous avons accéléré négociations et développement parce qu’ils voulaient l’infrastructure rapidement. En quelques mois, nous l’avons fait.
Qu’est-ce qu’elle fait, cette infrastructure?
«Elle génère des paires de clés d’encryption et de chiffrement pour chaque voiture, au bénéfice des 18 constructeurs automobiles qui sont les clients finaux de chez Harman. Nous leur avons demandé quels étaient les éléments différenciateurs par rapport aux cinq offres concurrentes: notre compétence, notre agilité – parce que le but n’est pas seulement de proposer des solutions, mais de bien comprendre les attentes du client –, notre flexibilité et notre positionnement avec un actionnariat étatique. Chaque voiture a une durée de vie minimum de 15 ans. Ils voulaient être sûrs que la société avec laquelle ils allaient signer serait toujours là. Comme nous gérons des infrastructures avec les passeports et qu’ils ont une durée de vie de cinq ans en l’état actuel, c’est important. Le critère du prix est bien sûr arrivé dans la course. Nous sommes aussi très vigilants quant à la qualité du produit que nous délivrons, notre niveau d’exigence est assez élevé et cela fait aussi la différence.
Ces exigences sont d’autant plus exemplaires que vous n’êtes pas nombreux. À une vingtaine de personnes, par rapport à des bataillons d’ingénieurs ou de développeurs, ce n’est pas beaucoup…
«Nous sommes 27. C’est un problème. Nous sommes à flux tendu. Nous avons toujours du travail pour Harman. Nous avons signé un accord pour le prototype des fiches d’hébergement au Luxembourg, pour voir dans quelle mesure on peut digitaliser les fiches au niveau des hôtels, ce qui permettrait déjà de respecter la distanciation sociale. On peut faire de l’onboarding à distance pour les hôtels et avoir un meilleur suivi des personnes qui viennent dans ces derniers à des fins statistiques. L’idée est de capitaliser sur une plateforme que nous avons rachetée à Post, Idential Novento, une solution qui gère les événements sécurisés.
Actuellement, nous l’utilisons pour gérer d’ici la présidence portugaise de l’Union européenne, pour l’organisation des réunions, que ce soit en virtuel ou en présentiel, pour l’enregistrement des délégations, les demandes d’habilitation ou de port d’arme, toutes les escortes. Ça fait plusieurs milliers de personnes et un bon millier de réunions. Il faut avoir une plateforme qui soit robuste. Le digital onboarding, ça va venir. Si vous vous créez un portefeuille avec un token pour vous identifier à un service public ou privé, à partir d’un de vos documents de voyage ou d’identité, il n’y a plus qu’à vous promener avec votre téléphone et à montrer un QR code dynamique, qui va changer au fur et à mesure qu’il reçoit de nouvelles informations. La personne qui va le scanner va pouvoir vous authentifier. C’est quand même pratique.
Ce mythe-là de la traçabilité… On la vit au quotidien, même sans s’en rendre compte.
Ces technologies sont très «sensibles». Elles tracent chaque personne, qu’elle soit en règle avec la légalité ou pas…
«Ce mythe-là de la traçabilité… On la vit au quotidien, même sans s’en rendre compte, ne serait-ce que par l’utilisation de sa carte bancaire. Quand on utilise son passeport ou sa carte d’identité, c’est normalement un acte volontaire. Il faut s’imaginer qu’on est dans un aéroport, qu’il y a des caméras partout. De toute manière, on est obligés de passer par les comptoirs, de s’enregistrer… Oui, il y a une faisabilité théorique de tracer les gens. Dans un passeport, il y a différents mécanismes de sécurité pour protéger les données dans la puce. Il faut présenter son passeport pour que les données à l’intérieur soient lues. Il existe un protocole qui s’appelle ‘active authentication’, qui a été défini par l’OACI et qui permet à la puce de signer une demande afin de dire où tu te trouves et de dire ‘je suis là’. Ce protocole-là n’a jamais été actif dans un quelconque document européen, justement pour préserver la vie privée. Dans d’autres pays, oui, ça peut être actif, mais pas ici. C’est une préoccupation chez nous dans le sens où les technologies que nous voulons développer doivent être GDPR compliant. Un des plus grands dangers, ce serait une utilisation non éthique de l’intelligence artificielle, pas les technologies que nous utilisons.
Parce que l’UE se soucie davantage d’éthique?
«Le yin, c’est l’aspect RGPD, à l’échelon européen. Le yang, c’est que cela ne donne pas vraiment envie à des sociétés internationales de s’établir en Europe, à cause de ces contraintes. Au niveau européen, on essaie d’être vigilants au niveau des instances internationales. Le très bon exemple, ce sont les travaux qu’on a démarrés au niveau de l’OMS pour le smart vaccination certificate. Le directeur de l’innovation de l’OMS nous avait indiqué qu’il avait eu une présentation de technologie, de blockchain, de Visa et Mastercard, qui proposaient de mettre sur les cartes de crédit des certificats de santé. Comme ça, les gens auraient leur pass sanitaire avec eux…
Quand on veut voyager dans certains pays, on accepte de démontrer qu’on a été vacciné avant de partir… Pourquoi est-ce si compliqué d’imaginer un QR code sur un passeport physique pour voyager?
«C’est un peu l’objectif du passeport vert. Il faut que son déploiement aille de pair avec la généralisation de la campagne de vaccination. En soi, cela perturbe des gens dans leur liberté et dans la préservation de leur liberté parce qu’ils estiment que le Covid a déjà entravé nos facultés de circulation. Le passeport sanitaire est justement un des moyens de retrouver cette liberté. On pourra circuler, avec un QR code. Ceux qui ne veulent pas être vaccinés devront démontrer qu’ils ont un test PCR en cours de validité ou qu’ils ont été infectés et qu’ils ont un dosage d’anticorps suffisant. Ça prouve que l’on va devoir vivre avec le Covid au moins un an, un an et demi, avant que ça devienne éventuellement quelque chose de saisonnier.
Est-ce que, pour les gens, ce n’est pas abstrait, tout cela?
«Complètement. Quand vous regardez à l’international, ces sujets-là sont des sujets du quotidien. Quand vous observez ce qui se passe en Europe et ce qui se passe aux États-Unis, la notion de cybersécurité est prise différemment, ils y sont plus sensibles. Il suffit de s’intéresser au nombre de recrutements dans la cybersécurité aux États-Unis ou en Asie. La différence est effarante.
Comment cela s’explique-t-il?
«On en revient au fait d’avoir un champion digital européen. Si on pouvait avoir une société qui ait la capacité de se battre au niveau international, ça aiderait et ça fédérerait. Atos est une belle société. Comme Airbus. Mais quand on les compare à d’autres sociétés internationales… Cela pose problème. Au niveau des standards, chaque pays pèse le même poids au niveau du vote. Le Luxembourg pèse aussi lourd que les États-Unis ou la Chine, chaque voix est entendue.
Quand on a la possibilité de débattre avec d’autres experts à l’international sur des thématiques comme la standardisation et la réglementation, on se rend compte qu’on a non seulement de bonnes idées, mais qu’on sait aussi correctement les exprimer. La France a mis en place une école de cyberdéfense. C’est ça qu’il faut, accentuer l’attrait pour les formations, pour nourrir les besoins avec de hauts potentiels, capables de rivaliser avec les autres.
La cybersécurité, c’est utiliser correctement les technologies existantes.
Est-ce qu’on peut partir de zéro? Il y a des pays qui ont mis en place des politiques de formation à grande échelle de mathématiciens et d’informaticiens pour avoir un vivier dont ils peuvent extraire ensuite des experts de plus haut niveau…
«La cybersécurité, ce n’est pas s’orienter vers de nouvelles technologies, mais utiliser correctement les technologies existantes. Le relationnel que nous avons à l’international joue beaucoup. Nous avons par exemple un contact à Singapour. Un Indien qui travaille pour l’immigration singapourienne et qui était responsable d’un projet digital pour la banque d’Inde avec 750 personnes sous ses ordres pour ce projet. Il a essayé de déterminer les personnes-clés sur lesquelles il pouvait compter ou qui ont réellement contribué de manière active au projet.
En réalité, 35 personnes ont apporté une contribution significative à celui-ci. C’est une affaire de personnes, pas de nombre. Il gère toute la partie sur la lecture des passeports à l’aéroport de Singapour. À six personnes, ils arrivent à être en mesure de gérer le côté applicatif et les vérifications des 30 millions de personnes qui passent par cet aéroport, 24 heures sur 24. Un des challenges était que leur application pouvait lire et authentifier les données dans une puce en 12 secondes, et le gouvernement pensait que c’était trop lent! Ils ont réussi à passer à 8 secondes, ce qui leur a permis d’augmenter le trafic de 20% en ne modifiant aucune infrastructure, mais parce que les flux de migration étaient accélérés. Si vous développez votre agilité, il y a une place.
Est-ce frustrant de ne travailler qu’avec une vingtaine de personnes?
«Le corollaire est qu’il faut aussi recruter les bonnes personnes, sinon, les ennuis peuvent s’accentuer. Si nous parvenons à atteindre une taille de 30-35 personnes, je pense qu’on sera bien. Nous sommes sollicités toutes les semaines.
Aujourd’hui par d’autres personnes ou entités pour nos compétences rédactionnelles dans les standards, parce qu’ils comprennent que, pour pouvoir se positionner et assurer la promotion de ce sur quoi ils travaillent, ils doivent pousser un standard au niveau ISO pour que tout le monde y adhère. Rédiger un standard est compliqué, alors ils nous consultent. Je discute avec une société basée au Sénégal, qui nous avait contactés pour une assistance.
Mon problème va plutôt être de gérer toutes les demandes. De dire non ou de recruter. Et chez nous, cela ne se fait que si nous avons généré assez de chiffre d’affaires pour recruter. Nous développons notre savoir-faire et nous le mettons à disposition de l’État. Créer une SA, cela pourrait mettre en péril nos missions historiques. Les certificats électroniques utilisés, comme ceux du tabac, c’est parce que nous sommes reconnus en tant qu’administration que nous avons eu ce contrat. Si nous devenons une SA, nous ne sommes plus éligibles à ce contrat. Autre élément, le fait que nous soyons un GIE ne nous donne pas accès aux fonds FNR, ce qui est embêtant pour nous. C’est un peu dommage. Je le sais, et je le comprends. Mais quand vous voyez un laboratoire de recherche qui tourne avec deux ressources et ce qu’il arrive à produire, vous aimeriez le passer à quatre ou cinq personnes, ce qui n’est pas délirant. Ça permettrait d’avoir un peu plus de caractère d’innovation.
Aujourd’hui, nous avons pas mal de succès: nous gérons les infrastructures gouvernementales pour tout ce qui est signature électronique et vérifications, nous représentons le Luxembourg auprès de la Commission européenne, de l’OACI et de l’Iata pour tout ce qui est documents de voyage, auprès de l’Unece pour tout ce qui est coopération économique, mais nous avons les infrastructures de traçabilité des produits du tabac, on a Harman, Novento avec la présidence portugaise, et d’autres présidences et sollicitations, comme le G7 ou le G8, notre pôle R & D a travaillé sur le chiffrement post-quantique avec des projets LuxQCI et EuroQCI.
Sans parler d’évoluer vers davantage de prospective, non?
«Nous commençons à faire cela pour quitter notre mode opportuniste et aller vers un mode solution, pour ‘packager’ nos solutions et aller au-devant du marché. Nous voulons accélérer le volet véhicules connectés avec l’automobile et la partie de la gestion de l’identité, mais il faut avoir des ressources… qui sont accaparées par des projets. Aujourd’hui, on a aussi un contrat avec l’Office international pour les migrations, nous, une entité d’un niveau national! Eux, avec 12.000 salariés, 2 milliards de dollars de projets par an! Ils nous donnent des projets et on les aide; comme au Nigéria, pays émergent qui a des besoins d’expertise dans le domaine de la sécurité des postes-frontières, des flux migratoires, qui a aussi besoin d’un registre national parce que 80% des citoyens n’ont pas d’identité et donc pas accès à des soins. Pourquoi nous? Le Luxembourg est neutre, on ne représente pas un secteur ou une société, mais on a un niveau d’expertise similaire à celui de la France ou de l’Allemagne pour tout ce qui est documents de voyage. Nous avons aussi été sollicités pour la crise migratoire au Vénézuéla. Aujourd’hui, les Vénézuéliens partent dans les pays voisins, qui n’ont pas de moyens pour les identifier. L’OIM nous a demandé une solution.
Nous sommes en train de travailler sur une infrastructure PKI qu’on pourrait projeter et qui fonctionnerait de manière autonome, mais qui va pouvoir générer des documents d’identité pour être enregistrés dans les pays dans lesquels ils vivent, et ensuite pouvoir bénéficier de services publics. Si nous arrivions à aller au bout de ce projet-là, nous pourrions améliorer la vie d’un certain nombre de personnes. Ce qui me fait plaisir, à titre personnel, c’est que l’essentiel des projets cyber sur lesquels nous travaillons ont une portée humaine. C’est concret.»
Cet article a été rédigé pour l’édition magazine de qui est parue le 29 avril 2021.
Le contenu du magazine est produit en exclusivité pour le magazine, il est publié sur le site pour contribuer aux archives complètes de Paperjam.
Votre entreprise est membre du Paperjam Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via