En 10 ans, Benoît Poletti et Incert ont répondu aux challenges qui leur étaient posés: sécuriser les documents luxembourgeois les plus sensibles en dehors des données bancaires et de santé. (Photo: Romain Gamba/Maison Moderne)

En 10 ans, Benoît Poletti et Incert ont répondu aux challenges qui leur étaient posés: sécuriser les documents luxembourgeois les plus sensibles en dehors des données bancaires et de santé. (Photo: Romain Gamba/Maison Moderne)

Passeports, cartes d’identité, documents Covid, wallet national, sécurisation des réunions européennes, sécurisation des voitures connectées… en 10 ans, Incert s’est glissée dans les poches des citoyens. Sans qu’ils ne le réalisent vraiment, constate son CEO, Benoît Poletti.

«Il y a des entités qui travaillent sur des sujets d’aujourd’hui avec une vision du passé et d’autres, comme nous, qui ont compris que les sujets de demain sont déjà une réalité…» N’espérez pas que Benoît Poletti précise à qui il destine cette petite pique. Le CEO d’Incert depuis dix ans cultive tellement bien la discrétion de son agence que personne ne songe jamais à l’intégrer aux listes des «Tech à suivre» et des autres personnalités influentes.

Non, l’ancien consultant préfère dérouler son bilan avec la même précision que le calendrier de l’Avent d’un horloger suisse. «La mission et les objectifs qui nous ont été assignés sont remplis. Nous nous occupons de la digitalisation des documents d’identité, des passeports aux documents de voyage ou encore les visas qui sont émis par le Luxembourg pour les ressortissants hors UE avec une restitution d’un code QR. Derrière, c’est toujours la même infrastructure, le GOVPKI, qui à la fois s’occupe des documents physiques et des documents digitaux comme les certificats Covid.»

6,5 millions de certificats Covid

«Est-ce que vous saviez que nous avons émis 6,5 millions de certificats de vaccination ou de tests Covid ou de rétablissement sur une période d’un an et demi? Soit dix par citoyen. L’infrastructure n’a pas été techniquement sollicitée de manière intense. Par contre, on nous demandait d’un point de vue opérationnel un délai de réponse dans la demi-heure, 24 heures sur 24 et sept jours sur sept! C’est une infrastructure qui répond à des contraintes sociétales: elle a permis le déconfinement et de retrouver une vie quasi normale. Cela permettait une meilleure supervision des flux de circulation, quand vous entriez dans un restaurant, on savait que vous aviez été vacciné, que vous aviez un test PCR négatif ou que vous aviez récupéré du Covid», souligne-t-il, calé dans son fauteuil, la voix posée.

Lire aussi

«Ce projet est le reflet de notre expertise avec une capacité d’adaptation et de réactivité qui nous est propre», explique-t-il pour que son interlocuteur mesure la machine qui se trouve derrière la relative simplicité de nos vies retrouvées. «En trois mois et demi, il a fallu que 27 États membres se mettent d’accord sur les interactions, sur les modalités de l’infrastructure et sur le partage d’informations. Des formats ont été élaborés, papier mais aussi du code QR, avec des capacités de lecture de ce code QR au niveau des 27 pays, et derrière, il y avait aussi la capacité à garantir l’authenticité des informations, donc l’usage d’une signature électronique intégrée dans le code QR, vérifiable à tout moment et dans tous les pays européens. Il y a avait une volonté de trouver des consensus technologiques. Ça a été une réussite et c’est là que l’on voit la puissance de l’Europe. Derrière, au niveau national, on nous demandait une réactivité par rapport aux règles Covid, les fameux 2G, 2G+, 3 G. Il fallait mettre en place et modifier l’application CovidCheck de manière très rapide. Nous avons été le bras opérationnel des décisions politiques. L’infrastructure va fonctionner jusqu’à fin juin. Et après, sauf pandémie, ce sera décommissionné.»

UE: 216 réunions pour 40.000 participants

Cet énorme chantier a sollicité de nombreuses ressources en interne mais les autres chantiers n’ont pas été mis entre parenthèses pour autant. «Notre solution qui permet de sécuriser les réunions au niveau international a été précieuse pour les présidences tournantes du Conseil de l’Union européenne. Nous avons eu la présidence portugaise, la présidence française cette année et nous nous occuperons de la présidence suédoise l’an prochain. La présidence française s’est traduite par 216 réunions formelles, organisées, physiquement ou virtuellement, pour 43.000 inscrits. Ça a permis de consolider et d’améliorer la solution avec les fonctionnalités qui nous sont demandées. Derrière, c’est un cercle vertueux: comme nous enrichissons la solution, nous mettons ces améliorations au service de l’État luxembourgeois. C’est le concept de digital assets, une des raisons pour laquelle notre agence existe.»

Aujourd’hui, à la demande de la direction générale du Tourisme, Incert travaille à la digitalisation des fiches d’identification des voyageurs – les fiches d’hébergement – et sur la digitalisation des licences des pilotes, des personnels navigants et des personnels au sol pour l’Organisation internationale de l’aviation civile. L’agence prête aussi son expertise, comme la Banque mondiale le lui a demandé, à l’Éthiopie pour l’assister dans la mise en place une infrastructure de gestion des documents d’identité de ses 110 millions de ressortissants, ou comme l’OACI l’a invité à apporter son expertise à la Mongolie. Mais surtout, une partie de l’équipe qu’il a réunie autour de lui est impliquée dans l’énorme chantier du wallet national.

Le wallet, un enjeu national et européen

«L’objectif est très clair», explique le CEO d’Incert. «Ce n’est pas de faire disparaître le document papier mais de permettre à toute personne de disposer d’une copie authentique (ou attestation) sous forme numérique. Et donc d’utiliser cette attestation comme moyen d’identification ou d’authentification, dans des cas d’usage qui pourraient être les vols dans un pays ou dans la zone Schengen. On vous propose de disposer d’une attestation. Mais cette attestation reste sous votre contrôle exclusif: elle sera sur votre smartphone.» Et donc pas dans le cloud, sauf si le particulier y expédie lui-même certains des documents qui sont dans le wallet. 

Il faut s’assurer de l’inclusion digitale. Tout le monde n’a pas le même niveau de connaissance ou accès à l’informatique.
Benoît Poletti

Benoît PolettiCEOIncert

«À terme, d’autres documents d’identité pourraient être stockés, comme ceux de vos enfants. Quand vous voyagez avec vos enfants, c’est plus facile de montrer la copie depuis votre wallet qu’une copie des passeports… Le permis de conduire sera dedans – mais dans le wallet national, il y a le mot “national”. Ce qu’il faut comprendre, c’est que le concept de wallet se développe au niveau européen. Les spécifications en cours d’élaboration ne sont pas finalisées, mais le Luxembourg a fait le pari d’aller de l’avant et de commencer à travailler sur l’établissement d’un wallet national pour justement, s’il le faut, être en mesure d’adapter plus facilement la solution qui sera validée au niveau européen. Les développements que nous faisons sont quand même en ligne avec l’Europe. Le Luxembourg sera un pionnier dans ce domaine. Nous amenons un confort de digitalisation au citoyen. Qui se promène toujours avec son passeport ou son permis de conduire. Mais la règlementation portant sur l’utilisation de ce permis de conduire ne sera faite qu’au Luxembourg et seuls les policiers pourront vérifier les données qui seront dans le wallet. Les cas d’utilisation se décident au niveau politique et c’est extrêmement règlementé.»

Petit à petit, au gré des décisions politiques, le wallet pourra s’enrichir du stockage de nouveaux documents administratifs. Pour ceux qui ont envie de l’utiliser en tout cas. «Il faut s’assurer de l’inclusion digitale. Tout le monde n’a pas le même niveau de connaissance ou l’accès à l’informatique», souligne d’ailleurs Benoît Poletti. «J’aime bien parce qu’on ne peut pas laisser des gens de côté. Chaque projet peut accentuer une fracture digitale. Il faut avancer certains pions au fur et à mesure.»

Deux nouvelles technologies de chiffrement

 Ses pions, Incert les avance dans le domaine de l’identity management et notamment sur les problématiques de sécurisation des flux de communication pour l’industrie 4.0 ou l’internet of everything. «Il faut protéger ces évolutions technologiques avec de la cryptographie pour favoriser l’adoption par le citoyen. Les drones ou les caméras ont besoin d’être sécurisés. Tout ce qui est connecté a besoin d’être sécurisé et cela ne l’est pas forcément.»

Dans ce cadre, Incert travaille à généraliser une solution technologique développée pour Harmann International et deux technologies de privacy end-to-end: le chiffrement homomorphique et le zero-knowledge proof. Le premier permet de traiter et de réaliser des traitements sur des données chiffrées.

«Par exemple, dans le domaine médical, vous mettez vos données dans un cloud, qui va les chiffrer. Le centre de recherche ne va pas fournir vos données en clair mais de manière chiffrée et l’équipe de recherche va demander au jeu de données de rechercher tous les patients qui ont tel et tel critère et il n’aura que les retours en clair et pas à toutes les données. C’est une révolution, parce que nous sommes dans un contexte de privacy by design, même au niveau algo. De gros acteurs comme IBM ou Meta se sont lancés dans ce chiffrement et y investissent des sommes astronomiques.»

La cybersécurité n’est pas un sprint, mais un marathon. Et au marathon, il faut chercher à s’améliorer en permanence.
Benoît Poletti

Benoît PolettiCEOIncert

Le second permet de montrer que vous êtes en règle sans avoir à partager vos informations. «Vous voulez prouver votre âge à un vendeur de tabac sans avoir à montrer vos informations. Cela vous permet cela. De vous assurer de l’authenticité d’une information sans qu’elle ait besoin d’être divulguée», explique le CEO d’Incert. «Selon Gartner, d’ici 2025, 60% des grandes entreprises utiliseront ce type de technologie. Nous faisons aujourd’hui le pari des technologies de demain. La cybersécurité fait partie de notre ADN. Forcément, nous travaillons dessus.  La cybersécurité n’est pas un sprint mais un marathon. Et au marathon, il faut chercher à s’améliorer en permanence. Le temps de la simple installation de l’antivirus pour se considérer “protégé” est révolu. C’est une évidence. En complément des nouvelles technologies, il faut aussi se préoccuper en permanence de la sensibilisation de l’humain avec des processus pragmatiques de gouvernance cyber et digitaux. Il y a heureusement aujourd’hui une prise de conscience qui amène les gens à capitaliser sur ce facteur humain. On ne voit pas une hausse globale des attaques mais une augmentation des cyberattaques en Europe et un ciblage du domaine de la santé. Quand vous avez Microsoft qui a plusieurs dizaines de milliers de personnes dans la cybersécurité, ils ont une force de frappe importante. En Europe, on est très bon dans la gestion des données personnelles mais on n’a pas de players européens similaires. Airbus ou Thales heureusement sont déjà présents.»

À ce rythme-là, à parcourir une cinquantaine de pays pour apporter aussi l’expertise luxembourgeoise à des gouvernements, forcément, «les dix ans sont très vite passés. Le bilan que je tire comme directeur général est qu’on est amené à faire des choix tous les jours. Il n’est pas possible d’identifier systématiquement tous les impacts de ces choix avant que ces derniers ne soient pris. C’est l’intuition, mais aussi probablement notre niveau de maturité technologique, qui permettent de diriger et d’aller de l’avant en prenant des risques mesurés.»

Cet article est issu de la newsletter hebdomadaire Paperjam Tech, le rendez-vous pour suivre l’actualité de l’innovation et des nouvelles technologies. Vous pouvez vous y abonner 

Articles Associés