International

Apocalypse now - Cybersécurité : l’urgence d’agir

Pour les grands leaders mondiaux, la numérisation de l’économie n’en est qu’à ses balbutiements. La prochaine vague numérique aura un impact systémique sans précédent dans l’histoire de l’humanité, prévient-on. Le déploiement de la capacité 5G est à nos portes, appelant à la convergence des univers physique, biologique et virtuel sous le thème de l’intelligence artificielle, des ordinateurs quantiques et de l’« Internetisation » tous azimuts. Ce futur immédiat place l’Homme, ses infrastructures et ses objets dans un monde toujours plus interconnecté, élevant la protection des systèmes, des données et de la vie privée au rang des principales priorités mondiales. Petite réflexion sur les enjeux liés à la cybersécurité en dix questions posées à Thierry Dassault, directeur général délégué du Groupe Dassault et fondateur de TDH (Thierry Dassault Holding), structure d’investissement personnelle dans les technologies émergentes.

Entrevue avec Thierry Dassault, directeur général délégué du Groupe Dassault et fondateur de Thierry Dassault Holding

Au Forum de Davos, les décideurs ont fait de l’expansion numérique le thème de la quatrième révolution industrielle. Avec l’avènement des « nuages », du téléphone intelligent, des mégadonnées, on multiplie les potentialités, mais aussi les portes d’entrée et, donc, les vulnérabilités. Pavons-nous la voie à l’Apocalypse ?

L’Apocalypse, peut-être pas. Mais il est évident qu’avec l’accélération du développement informatique et des objets connectés, nous devons nous protéger. S’il est aujourd’hui possible de bloquer les feux de carrefours ou les systèmes de régulation des trains, de modifier des coordonnées GPS, de pirater les voitures automobiles ou les messageries personnelles des responsables de la sécurité américaine, de saturer les réseaux d’opérateurs téléphoniques, de bloquer les serveurs de TV5, ou de s’emparer des identités des personnes inscrites sur le site de rencontre Ashley Madison, alors, il est plus que temps de comprendre qu’il est nécessaire de mettre en place une véritable protection, quel qu’en soit le coût. Il faut accepter d’engager des dépenses dans la protection plutôt que de risquer de tout perdre en tardant à prendre les mesures de sécurité qui s’imposent.

Les attaques se raffinent plus rapidement que les moyens mis en place pour les contrer. Sommes-nous en train de perdre la guerre ?

Non, surtout pas. Il faut être optimiste. Toutefois, les « hackers » ont souvent un temps d’avance. Les logiciels de protection perdent de leur efficacité au fil des jours et ne restent jamais très longtemps inviolables. Les antivirus doivent ainsi être réactualisés systématiquement au quotidien. Il est important aussi de vérifier régulièrement son disque dur pour voir si un virus ne s’y est pas introduit à l’ouverture d’une pièce jointe à un courriel. Si on raisonnait, il y a quelques années, uniquement en fonction des ordinateurs de bureau et des pc portables, les attaques s’étendent désormais aussi aux téléphones intelligents et aux tablettes.

Quelles sont l’étendue et la croissance du phénomène ?

Selon le journal Les Échos du 3 février 2016, le poids de ce que l’on appelle la perte de service, qui comprend vol de données et chantage, est passé de 26 % en 2012 à 39 % en 2014. Quant à l’infection par virus à l’insu de l’entreprise, il est passé de 23 à 30 %.

Autre élément intéressant : l’origine des attaques. Elles viennent surtout d’organisations criminelles (59 %), des employés (56 %) – sans qu’ils en soient forcément conscients – et des activistes (54 %). Il faut sensibiliser particulièrement les salariés et le public, notamment en prônant l’utilisation de mots de passe sophistiqués (minuscules, majuscules, chiffres et symboles).

Les répondants à l’enquête CPA Canada sur la fraude 2016 redoutent également les cyberattaques. Près des trois quarts (73 %) craignent que la protection de leurs renseignements personnels ne soit menacée, parce qu’ils estiment que les entreprises canadiennes, par exemple les banques ou les services de soins de santé, sont vulnérables aux cyberattaques.

Ces chiffres sont impressionnants…

En effet, selon les conclusions d’une étude menée par Degroof Petercam sur l’ampleur réelle du phénomène, chaque année, les entreprises font l’objet de 80 à 90 millions de cyberattaques, dont près de 70 % ne sont pas détectées immédiatement. Tous les secteurs sont concernés : la finance, l’assurance, mais aussi les technologies de l’information, l’industrie et la vente de détail. Le coût engendré par ces attaques peut être considérable. À l’échelle mondiale, le cybercrime coûte jusqu’à 575 milliards de dollars américains par an. Et l’on prévoit plus de 3 000 milliards dans un avenir proche, en raison de la multiplication constante des interconnexions entre les entreprises et les consommateurs.

Le cybercrime touche le commerce, la compétitivité et l’innovation, violant notamment la propriété intellectuelle. Si les grandes entreprises en sont les premières victimes, les PME sont de plus en plus visées. Elles sont d’autant plus vulnérables qu’elles se croient encore à l’abri d’attaques informatiques et n’ont souvent prévu aucun budget pour la cybersécurité.

Nos gouvernements, nos entreprises, voire les citoyens en général, sont-ils inconscients, ou apathiques, face à cette réalité ?

Inconscience est le mot. Il faut leur ouvrir les yeux. Les gouvernements croient qu’ils sont généralement bien protégés, qu’ils ne risquent rien. Ou encore l’entreprise va croire que le produit qu’elle fabrique n’est pas particulièrement stratégique. Or, tout est monnayable. Donc, forcément, s’il y a un concurrent qui peut obtenir des informations confidentielles, des conséquences sont à craindre. Même à l’échelle des particuliers, l’hameçonnage existe et représente une menace réelle de tentatives d’escroquerie.

Quel est le portrait-robot du cyberattaquant ?

Le profil type de ces jeunes extrêmement brillants, qui s’amusaient il y a quelques années à tenter de s’introduire dans les services informatiques de la NASA ou même de la CIA, a beaucoup évolué. Il comprend aujourd’hui des États à la recherche de renseignements très précis, notamment lors de sommets internationaux, et qui sont capables de procéder à des attaques parfaitement ciblées. Autre exemple : le virus Stuxnet, introduit dans les centrifugeuses iraniennes pour modifier leurs axes de rotation de façon imperceptible, et qui a réussi à les mettre hors service. Et, plus récemment, l’exemple de l’attaque contre un hôpital californien dont les données ont été cryptées par des cryptolockers (ou rançongiciels), les pirates exigeant ensuite une rançon contre le déchiffrement des informations.

On peut associer la cybercriminalité au terrorisme, et même à la défense, mais il y a aussi une récupération militaire de la révolution numérique. Les dérapages par rapport à l’éthique sont une réalité.

Nous avons parlé d’applications civiles, mais on sait aussi que les systèmes de guidage de missiles, et même déjà ceux des drones, pourraient être piratés au moyen de la modification de leurs coordonnées GPS. Rappelons-nous le drone américain RQ170 Sentinel capturé de cette manière par les Iraniens. Tous les secteurs sont visés de toute façon. Personne n’est à l’abri. Et maintenant, avec le développement des objets connectés, il y aura de plus en plus d’intelligence technologique nécessitant toujours davantage de protection. Je reviens à ces grandes entreprises qui, ayant tout mis en œuvre pour une protection maximale, ne subiront effectivement pas d’attaque de façon directe : étant donné qu’elles sont reliées informatiquement à leurs sous-traitants, ceux-ci pourront être utilisés comme voie d’introduction dans leurs serveurs.

Pourquoi ressentez-vous le besoin de sensibiliser la population à la cybersécurité ?

Comme vous le voyez, la cybersécurité concerne malheureusement tout le monde. Il faut redoubler de vigilance. En ce qui concerne les réseaux mafieux, souvent installés dans les pays d’Europe de l’Est, leur but est d’obtenir des rançons contre la restitution des données stratégiques ou personnelles qu’ils ont réussi à voler. Tout se monnaye, généralement en Bitcoins – cette monnaie virtuelle et intraçable –, sur ce qu’on appelle le « Darknet » (Web caché).

Vous êtes à la tête d’un groupe aux activités diversifiées. Comment s’est développé cet intérêt particulier et pointu pour la cybersécurité ?

À mon initiative, le Groupe Dassault avait investi en 1995 dans la société Gemplus, une entreprise française de fabrication de cartes à puce. En 2000, une société américaine s’est invitée dans le capital de l’entreprise pour essayer d’en prendre le contrôle. C’est le concept « NIH » : « Not invented here », qui a failli mettre en péril les activités de Gemplus. C’est alors que les autorités françaises m’ont fait part de leur inquiétude, car elles ont réalisé que la « PKI », ou Public Key Infrastructure (infrastructure à clés publiques), était alors dominée par une technologie exclusivement américaine.

La PKI permet de signer et d’authentifier des documents sur Internet et dans la vie réelle. Elle s’étend à tout ce qui concerne les documents d’identité. À titre d’exemple, tous les passeports sont ou seront équipés de puces permettant à la fois de lire et de confronter les informations écrites et les photos. J’ai donc soutenu activement en 2004 la création d’une structure purement française nommée Keynectis, éditeur spécialisé dans la sécurité des échanges numériques. Cette société, dont je suis le président depuis l’origine, est devenue OpenTrust en 2013, puis IDnomic en février 2016.

Je ne me suis pas arrêté là. Il y a quatre ans maintenant, j’ai été mis en relation avec les fondateurs de la société Wallix, spécialisée dans les logiciels de détection d’intrusions informatiques non sollicitées. C’est un éditeur de solutions logicielles qui aident les entreprises et les organisations publiques à gérer l’accès des utilisateurs à privilèges, à garantir la traçabilité de leurs sessions et à assurer leur conformité légale et réglementaire. Hameçonnage, cheval de Troie… La menace est partout. Et ces attaques ne consistent pas seulement à entraver ou bloquer le bon fonctionnement des services. Les serveurs peuvent aussi être eux-mêmes gravement endommagés.

Sur l’échelle des risques auxquels nous sommes confrontés, où situez-vous la cybersécurité ?

Les experts américains ont placé la cybercriminalité au deuxième rang dans la hiérarchie des risques. Pour ma part, je mettrais ce risque au premier rang. Tout est en voie d’être connecté dans les années qui viennent. Je pense à une série américaine tournée il y a un an seulement et qui montrait une scène où une poupée parlante demandait à l’enfant de laisser la fenêtre ouverte avant de quitter la maison, permettant ainsi à un voleur de s’y introduire.

On se dit : « Non, mais ça, c’est de la science-fiction ! » Mais en fait, cela pourrait arriver, car les attaques sournoises et cachées représentent le problème principal de la cybersécurité, qui doit mobiliser aujourd’hui toutes nos énergies. 

Partagez cet article




commentaires

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.