Publicité

Assises de la sécurité 2019. (Photo @Les Assises).

Soleil (et nuage) aux Assises de la sécurité

Cybersécurité. Grande messe des responsables de la sécurité des systèmes d’information (RSSI), les Assises de la sécurité qui se tenaient du 9 au 12 octobre 2019 à Monaco, étaient l’occasion une fois de plus de vérifier la vitalité d’un secteur – la protection du numérique – qui a gagné tous les pans de l’économie.

Y a-t-il encore des secteurs d’activités qui ne dépendent pas du numérique, sachant que la plupart des utilités, eau, électricité, gaz… sont commandées à un stade ou à un autre par des algorithmes ?

S’il y a toujours quelques plaisantins pour jouer avec les défenses d’un serveur ou d’un ordinateur, la menace s’est considérablement musclée. Elle est plus insidieuse, dormante dans certains cas, et prête à être actionnée lorsque nécessaire. C’est une arme. Et comme toutes les armes, les plus dangereuses sont entre les mains des États ou de groupes qui lui sont affiliés.

Il faut voir les attaques massives de ces dernières années comme la traduction de conflits internationaux. Tout cela n’est pas vraiment nouveau puisqu’en 2010 déjà, le ver Stuxnet avait endommagé le programme nucléaire iranien en faisant littéralement exploser les centrifugeuses de l’usine d’enrichissement de Natanz. Les Iraniens avaient répliqué avec le ver Shamoon qui avait complètement détruit les installations informatiques de la compagnie pétrolière saoudienne Aramco, celle-là même qui a été frappée par des tirs de missiles et/ou de drones à la mi-septembre 2019.

L’arme est aussi économique

Lors de la prise de nouvelles sanctions contre la Corée du Nord à la fin de l’année 2014, une vague de ransomwares, ces logiciels qui cryptent les disques et serveurs et réclament des rançons en Bitcoin, avait opportunément frappé les pays occidentaux. Pour certains analystes, il s’agissait pour le despote coréen d’accumuler de l’argent, à travers une monnaie qui échappe aux embargos.

La valeur d’une donnée ne tient pas seulement à sa disponibilité mais aussi à sa confidentialité. Si bien que certaines données stratégiques pour le pays ou pour leurs entreprises peuvent être copiées ou dérobées. La fuite par le groupe Shadow Brokers de certains outils appartenant à la NSA en 2016 a ouvert la boîte de Pandore. En 2017, son contenu s’est répandu à travers une série de hacking massifs. Elle a aussi révélé l’étendue de la surveillance étatique organisée par les États-Unis.

Le règlement européen sur la protection des données personnelles, le RGPD, a introduit les concepts de privacy by design et de security by design dans la loi pour éviter les fuites de données. Les Américains ont répliqué par le Cloud Act, ce texte qui permet à n’importe quel juge d’exiger qu’une compagnie américaine lui fournisse la copie des données d’un de ses clients, quels que soient le type, la nationalité ou la localisation des données – sans d’ailleurs prévenir son propriétaire. Une arme législative extraordinairement puissante, qui peut être actionnée pour des raisons économiques.

Une France à la traîne

La France est démunie car elle ne possède rien dans le domaine : pas de système d’exploitation, aucun matériel numérique – ni PC, ni smartphone, ni routeur ou antenne. Elle est même en retard sur la plupart des sujets comme la 5G. Pourtant, elle souhaite garder une certaine souveraineté dans le domaine numérique.

L’initiative Hexatrust, qui rassemble des PME françaises dans le domaine, était largement présente sur le salon. Aussi louable soit-elle, la détermination de quelques-uns suffit-elle si elle n’est pas portée et accompagnée par l’État ?

En ce sens, l’Anssi (Agence nationale de la sécurité des systèmes d’information) a annoncé la création d’un campus, sur le modèle israélien, pour accompagner une filière cyber d’excellence. La France se verrait bien championne et pourquoi pas leader en Europe sur le domaine.

En Europe de l’Est, nombreuses sont les entreprises qui ont déjà commencé et acquis une réputation solide. Malgré son nom, ITrust est une entreprise française, originaire de Toulouse, qui propose des scans de vulnérabilité ainsi que la collecte et le suivi d’information sur la base d’intelligence artificielle. Beaucoup en parlent sur le salon mais tous n’en font pas.

Le logiciel proposé par ITrust s’appuie sur du machine learning. Pour le mettre en place et le configurer, il faut plusieurs semaines pour que le moteur de comportement s’imprègne des règles métiers et établisse des corrélations qui seront ensuite confirmées ou infirmées par le RSSI ou le DSI. Il s’agit ainsi de réduire le bruit de fond et d’éviter les faux positifs. L’objectif est d’offrir un tableau de bord clair et concis qui permette d’afficher « 5 menaces plutôt que 500 alertes ».

Un discours axé sur la confiance

Guillaume Poupard, le directeur général de l’Anssi a rappelé dans son discours d’ouverture qu’il était temps, après la période où il fallait faire peur, d’inspirer la confiance, de se réunir et d’aborder la thématique de manière ouverte et positive. Un discours qui, sans nier l’importance de la « guerre » en cours, se veut à rebours des précédentes ouvertures du salon.

Comme pour lui faire écho, les différents ateliers étaient l’occasion de se rendre compte que la co-construction de la sécurité est bien en marche : le Clusif présentait ainsi sa cartographie des risques Office365 quant à la nouvelle association CIX-A, dont le lancement