Publicité

Assises de la sécurité 2019. (Photo @Les Assises).

Soleil (et nuage) aux Assises de la sécurité

Cybersécurité. Grande messe des responsables de la sécurité des systèmes d’information (RSSI), les Assises de la sécurité qui se tenaient du 9 au 12 octobre 2019 à Monaco, étaient l’occasion une fois de plus de vérifier la vitalité d’un secteur – la protection du numérique – qui a gagné tous les pans de l’économie.

Y a-t-il encore des secteurs d’activités qui ne dépendent pas du numérique, sachant que la plupart des utilités, eau, électricité, gaz… sont commandées à un stade ou à un autre par des algorithmes ?

S’il y a toujours quelques plaisantins pour jouer avec les défenses d’un serveur ou d’un ordinateur, la menace s’est considérablement musclée. Elle est plus insidieuse, dormante dans certains cas, et prête à être actionnée lorsque nécessaire. C’est une arme. Et comme toutes les armes, les plus dangereuses sont entre les mains des États ou de groupes qui lui sont affiliés.

Il faut voir les attaques massives de ces dernières années comme la traduction de conflits internationaux. Tout cela n’est pas vraiment nouveau puisqu’en 2010 déjà, le ver Stuxnet avait endommagé le programme nucléaire iranien en faisant littéralement exploser les centrifugeuses de l’usine d’enrichissement de Natanz. Les Iraniens avaient répliqué avec le ver Shamoon qui avait complètement détruit les installations informatiques de la compagnie pétrolière saoudienne Aramco, celle-là même qui a été frappée par des tirs de missiles et/ou de drones à la mi-septembre 2019.

L’arme est aussi économique

Lors de la prise de nouvelles sanctions contre la Corée du Nord à la fin de l’année 2014, une vague de ransomwares, ces logiciels qui cryptent les disques et serveurs et réclament des rançons en Bitcoin, avait opportunément frappé les pays occidentaux. Pour certains analystes, il s’agissait pour le despote coréen d’accumuler de l’argent, à travers une monnaie qui échappe aux embargos.

La valeur d’une donnée ne tient pas seulement à sa disponibilité mais aussi à sa confidentialité. Si bien que certaines données stratégiques pour le pays ou pour leurs entreprises peuvent être copiées ou dérobées. La fuite par le groupe Shadow Brokers de certains outils appartenant à la NSA en 2016 a ouvert la boîte de Pandore. En 2017, son contenu s’est répandu à travers une série de hacking massifs. Elle a aussi révélé l’étendue de la surveillance étatique organisée par les États-Unis.

Le règlement européen sur la protection des données personnelles, le RGPD, a introduit les concepts de privacy by design et de security by design dans la loi pour éviter les fuites de données. Les Américains ont répliqué par le Cloud Act, ce texte qui permet à n’importe quel juge d’exiger qu’une compagnie américaine lui fournisse la copie des données d’un de ses clients, quels que soient le type, la nationalité ou la localisation des données – sans d’ailleurs prévenir son propriétaire. Une arme législative extraordinairement puissante, qui peut être actionnée pour des raisons économiques.

Une France à la traîne

La France est démunie car elle ne possède rien dans le domaine : pas de système d’exploitation, aucun matériel numérique – ni PC, ni smartphone, ni routeur ou antenne. Elle est même en retard sur la plupart des sujets comme la 5G. Pourtant, elle souhaite garder une certaine souveraineté dans le domaine numérique.

L’initiative Hexatrust, qui rassemble des PME françaises dans le domaine, était largement présente sur le salon. Aussi louable soit-elle, la détermination de quelques-uns suffit-elle si elle n’est pas portée et accompagnée par l’État ?

En ce sens, l’Anssi (Agence nationale de la sécurité des systèmes d’information) a annoncé la création d’un campus, sur le modèle israélien, pour accompagner une filière cyber d’excellence. La France se verrait bien championne et pourquoi pas leader en Europe sur le domaine.

En Europe de l’Est, nombreu