Télécharger l`article - Institut de l`entreprise

net-économie
Face au défi des cybermenaces
Alain Juillet
Président de l’académie d’Intelligence économique
Olivier Hassid
Directeur de la revue Sécurité & Stratégie
L’avènement du numérique est bien évidemment une chance pour ceux qui savent
la saisir. Cette source d’innovation sans pareille offre à la fois la possibilité d’un
renforcement spectaculaire de la connaissance, de la maîtrise des paramètres de la
globalisation, d’une accélération des capacités de recherche et, enfin, d’une possibilité
d’enrichissement. Mais l’innovation est aussi source de nouvelles vulnérabilités.
C
omme l’explique d’une manière provocatrice Paul Vacca dans un ouvrage
récent, nous sommes rentrés dans une nouvelle société dans laquelle la
pratique très risquée et le plus souvent violente du hold-up à l’ancienne
s’est muée en hold-up postmoderne, où en lieu et place du sac de billets,
c’est l’information qui est braquée 1. La bande à Bonnot a laissé la place à des hackers
anonymes qui s’infiltrent dans les systèmes d’information en silence et sans effusion
de sang.
Le hacker, nouvelle incarnation de la criminalité
Certes, il ne faut pas pour autant rejeter les mutations en cours. Mais elles nécessitent
une adaptation comportementale et une vigilance accrue car leur usage malsain est à
la portée des individus mal intentionnés. À l’échelle numérique, la notion de vie privée
devient plus floue, les secrets les mieux protégés se révèlent extrêmement vulnérables.
1. Paul Vacca, La Société du hold-up, le nouveau récit du capitalisme, Paris, Mille et une nuits, 2012.
122 • Sociétal n°79
1-Societal 79_interieur.indd 122
16/01/13 16:37
Face au défi des cybermenaces
Une fois entrés par effraction dans les systèmes, les malfaiteurs peuvent s’adonner à
leurs jeux favoris et, sans que les victimes concernées ne s’en rendent compte, voler,
piller, s’introduire dans leur vie, connaître des secrets de fabrication, divulguer des
informations confidentielles, voire révéler des secrets d’État à l’opinion publique.
Paré des plumes de la vertu, comme on l’a vu avec l’affaire WikiLeaks, ils justifient
les piratages et les détournements au nom d’une morale libertaire de transparence
totale qui refuse d’assumer les conséquences de leurs actes. Plus prosaïquement,
d’autres s’attachent à faire fortune par ce moyen délictueux qui présente un risque
pénal réduit du fait de l’inadaptation de nombre de nos lois à cette problématique
nouvelle.
Force est de constater qu’en dépit du peu de temps
écoulé depuis l’apparition de l’Internet, du smartphone, de Facebook, de Google, ou du cloud computing, peu d’entre nous seraient d’accord pour
revenir à la période précédente dont nous avons
du mal à nous souvenir. Au-delà des problèmes de
fond, l’ère numérique nous a rendus dépendants et
fait entrer dans une nouvelle ère sans retour. C’est
pourquoi il est impératif d’en souligner les risques
inhérents et les défis colossaux qui posent selon
nous quatre grandes questions.
Une fois entrés
par effraction
dans les systèmes,
les malfaiteurs
peuvent voler, piller,
s’introduire dans
leur vie, divulguer
des informations
confidentielles,
voire révéler des
secrets d’État à
l’opinion publique
Les enjeux de l’ère numérique
• Internet, un monde de défiance ?
Comment trouver sa place et se sentir en confiance dans ce monde nouveau encore
en construction ? Nous avons des efforts considérables de recherche à entreprendre
pour mieux appréhender l’écosystème numérique et les logiques associées à chacun
des acteurs y participant. Dans cette perspective, Benoît Dupont démontre de façon
très convaincante dans un article récent que les réseaux de hackers, dont on ne cesse
de nous vanter le mode de fonctionnement non hiérarchique et collaboratif, sont
gangrenés par une méfiance mutuelle telle qu’au final ils les en viennent à se menacer de mort 2. En prolongeant la réflexion sur un plan à la fois plus philosophique
2. Benoît Dupont, « Nouvelles technologies et crime désorganisé : incursion au cœur d’un réseau de pirates informatiques », Sécurité & Stratégie, décembre 2012-février 2013, no 11, pp. 25-38.
1
1-Societal 79_interieur.indd 123
er
trimestre
2013
• 123
16/01/13 16:37
Net-économie
Les réseaux de
hackers, dont on
ne cesse de nous
vanter le mode de
fonctionnement non
hiérarchique et
collaboratif, sont
gangrenés par une
méfiance mutuelle
et plus général, on est en droit de se demander si
l’avènement d’Internet n’est pas en train de créer
une société de la défiance ?
• Le coût de la cybersécurité
Peut-on éviter la hausse des coûts liée à la cybercriminalité et à la nécessité d’organiser la cybersécurité ? Le risque est élevé que le coût des
cybermenaces aille en s’accroissant selon une
courbe parallèle à celle des innovations réalisées en
matière de virus. Chacun sait que l’imagination des
malveillants est sans limite. Il suffit pour s’en convaincre de regarder le développement des virus-rançons. Selon l’éditeur de logiciels McAfee, le nombre de ces
ransomware 3 aurait été multiplié par quatre entre le deuxième trimestre 2011 et le
deuxième trimestre 2012 ! Aujourd’hui, d’après une enquête Ponemon et sur la base
d’un échantillon de soixante grandes entreprises américaines, japonaises et allemandes, le coût de la cybercriminalité serait pour chacune d’elles de 9 millions de
dollars en moyenne par an, ce coût pouvant atteindre pour certaines parmi les plus
exposées 40 millions 4 – ce qui, à notre sens, est
encore peu. La croissance du haut débit à partir
des années 2000 5, couplée avec le développement
Pour une grande
de nouvelles formes d’usage des outils numériques
entreprise
américaine, japonaise
(le BYOD – Bring your own device, « apportez vos
ou allemande
propres terminaux » –, mais pas seulement), aura
le coût de la
eu pour conséquence d’accroître à la fois la vulnécybercriminalité
serait en moyenne de
rabilité des systèmes d’information et les attaques
9 millions de dollars
en tout genre. Autrement dit, il est désormais
par an
indispensable de prendre en compte le haut débit
mobile pour penser la sécurité de demain.
3. Source : http://blogs.mcafee.com/mcafee-labs/police-ransomware-preys-on-guilty-consciences.
4. Source : www.ponemon.org.
5. Source : http://www.oecd-ilibrary.org/science-and-technology/terms-of-reference-for-the-review-of-the-oecdguidelines-for-the-security-of-information-systems-and-networks_5k8zq92zhqhl-en.
124 • Sociétal n°79
1-Societal 79_interieur.indd 124
16/01/13 16:37
Face au défi des cybermenaces
Graphique 1. Nombre d’abonnements au haut débit
pour 100 habitants en 2001 et en 201
40
35
2011 (June)
2001
30
25
20
15
10
5
0
Source : OCDE
• Le risque de la crise en réseau
Avec une population de 2 milliards d’internautes, le cyberespace est devenu une
formidable source d’enrichissement et d’échanges pour les pays, les entreprises et les
particuliers. Mais au-delà du développement de la connaissance et de la mise en
relation, il a introduit une sensibilité accrue aux défaillances accidentelles. Ainsi,
comme le souligne Paul Virilio, la mise en réseau du monde ne porterait-elle pas en
germe les prémices de l’accident intégral ? En effet,
à l’accident ancien qui restait local, nous sommes
en train de voir se substituer le risque de l’accident
A l’accident ancien
qui restait local,
intégral qui ne se déroule pas seulement dans l’esnous
sommes en train
pace réel, mais dans le temps réel, celui de l’imméde voir se substituer
6
diateté . Pour aller plus loin, on peut dès
le risque de
l’accident intégral
maintenant avoir la certitude que ce type d’accident déclenchera par des réactions en chaîne
d’autres accidents, allant jusqu’à causer un choc
systémique.
Par conséquent, il est de notre devoir d’anticiper l’occurrence de ces crises majeures
d’une ampleur potentielle mondiale dans le domaine du numérique. Il est urgent de
6. Paul Virilio, L’Université du désastre, Paris, Galilée, 2007.
1
1-Societal 79_interieur.indd 125
er
trimestre
2013
• 125
16/01/13 16:37
Net-économie
commencer à imaginer les réponses à ces crises encore inconnues. Sait-on comment
nos gouvernements, nos institutions, nos entreprises réagiraient devant un virus type
Stuxnet (N.D.L.R. : programme développé conjointement par les États-Unis et Israël
pour s’attaquer à des systèmes iraniens) dans une version plus solide, plus puissante
et plus évoluée venant infecter les réseaux de nos entreprises de hautes technologies,
les secteurs d’importance vitale de nos États, ou paralyser nos chaînes de production ?
• A l’heure de la cyberdéfense
Le cyberespace n’est-il pas source de nouveaux conflits ? Conflits entre États d’une
part, conflits entre États et entreprises d’autre part. Il est indiscutable qu’Internet
introduit de nouveaux risques en devenant dans certains cas un outil de destruction
ou de piratage à grande échelle. Il n’y a pas que Stuxnet ou Flame (N.D.L.R. :
programmes de cyber espionnage) qui peuvent faire des ravages. La création par les
principales armées du monde de directions ou de services spécialisés montre que ces
capacités sont prises en compte et que certains travaillent à les développer. De nombreux rapports officiels américains font état depuis
dix ans du déploiement par la Chine de cyberunités militaires (dont la récente blue army). Les
Internet introduit
de nouveaux risques
États-Unis ont eux aussi structuré leurs forces
en devenant dans
armées en y intégrant des unités dédiées aux opécertains cas un outil
rations d’information, à la guerre de l’information,
de destruction ou
de piratage à grande
puis à la cyberdéfense. À ce titre, en décembre 2011,
échelle
l’US Army annonçait disposer d’une cyberunité
opérationnelle 7.
Vers la guerre cybernétique
Fort heureusement cela fait cinquante ans que notre pays n’est plus en guerre, mais
la conquête ou la défense du cyberespace va très certainement conduire les peuples à
découvrir de nouvelles formes de conflits. Comme le rappelle Solange GhernaoutiHélie, il va falloir nous préparer à des guerres informatiques à but offensif, d’intimidation ou de rétorsion 8.
7. Daniel Ventre, « Le cyberguerrier : nouvelle figure combattante au service de la cyberdéfense », Sécurité &
Stratégie, décembre 2012-février 2013, no 11, pp. 39-48.
8. Solange Ghernaouti-Hélie, La Cybercriminalité, le visible et l’invisible, PPUR, 2009.
126 • Sociétal n°79
1-Societal 79_interieur.indd 126
16/01/13 16:37
Face au défi des cybermenaces
Face à ces différents défis, dont certains sont inquiétants, nos institutions européennes et internationales font un travail important depuis des années. L’OCDE a
rédigé dès 2002 des lignes directrices régissant la sécurité des systèmes et des réseaux
d’information. Europol et la Commission européenne viennent de créer un Centre
européen de lutte contre la cybercriminalité en mai 2012. Au plan national également, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a
été créée le 7 juillet 2009 (décret 2009-834), avec pour vocation, en plus de la sécurité des systèmes d’information de l’État, une mission de conseil et de soutien aux administrations et
aux opérateurs d’importance vitale, ainsi que celle
il va falloir
nous
préparer
de contribuer à la sécurité de la société de l’inforà des guerres
mation, notamment en participant à la recherche
informatiques
et au développement de technologies de sécurité et
à but offensif,
d’intimidation ou de
à leur promotion.
rétorsion
On ne peut que se réjouir de ces avancées, mais
tout cela n’est pas suffisant face à la concurrence
internationale. Devant une menace qui s’annonce
systémique et aux facettes multidimensionnelles, il est nécessaire que les gouvernements, les entreprises et les institutions transnationales ne se limitent plus à
multiplier les annonces, à faire du saupoudrage de moyens. Compte tenu de l’environnement, ils doivent évaluer en profondeur l’efficacité des dispositifs de prévention
en place et la pertinence des organes actuels. Qui sait aujourd’hui ce que fait l’Enisa
qui est pourtant l’agence européenne de cybersécurité ?
Pourtant, nos États et nos entreprises investissement des sommes faramineuses en
matière de cybersécurité. Jeremiah Grossman, à la conférence Shakacon 2012, indiquait que nous dépensons collectivement à travers le monde 8,5 milliards de dollars
par an en antivirus et firewall, et ce sans que l’on sache mesurer l’efficacité relative
de ces différents outils face aux 26 millions de badwares qui sont sur le marché et
ont généré 290 milliards de dollars de pertes cumulées au niveau planétaire 9. Aussi,
est-il nécessaire de se demander quels sont les outils technologiques de prévention
qui seront en mesure d’éviter dans le futur les crises majeures potentielles que l’on
vient d’énoncer ?
9. Jonathan Brossard, « Sécurité : 15 ans d’échec », Sécurité & Stratégie, décembre 2012-février 2013, no 11, pp. 6-14.
1
1-Societal 79_interieur.indd 127
er
trimestre
2013
• 127
16/01/13 16:37
Net-économie
Soyons clairs. Les défis comme les enjeux sont
énormes et les solutions encore à découvrir. La
prévention des crises implique une sensibilisation
C’est par la
coproduction de la
du plus grand nombre et dès le plus jeune âge. Il
sécurité, c’est par
faut imaginer des sauts créatifs en sortant des senl’intersubjectivité
tiers battus comme l’Estonie qui a introduit la proentre nos
grammation en langage C et en Python dans les
organisations que
nous parviendrons à
programmes éducatifs dès l’école primaire. Il faut
mieux appréhender
repenser les dépenses en matière de cybersécurité à
et mieux répondre
partir d’une évaluation fine des moyens actuels mis
aux incertitudes du
futur
en œuvre. Sur ce point l’Anssi a certainement un
important travail à réaliser pour prolonger et compléter ce qu’elle a déjà entrepris. Enfin, cela suppose de renforcer les outils de réflexion commune
entre les États et les entreprises. C’est par la coproduction de la sécurité, c’est par
l’intersubjectivité entre nos organisations que nous parviendrons à mieux appréhender et mieux répondre aux incertitudes du futur.
Pour conclure, il nous paraît indispensable que l’État, par l’intermédiaire de tous
ses services concernés, en commençant par l’Anssi, et les entreprises, à travers des
associations de RSSI ou de directeurs de sécurité (CDSE, Clusif, Cigref, Gf2i…),
mettent en œuvre un observatoire conjoint de veille et d’analyse en matière de
cybermenaces et de cybersécurité. Ce n’est qu’ensemble et par un travail collectif que
nous parviendrons à garantir la sécurité numérique nécessaire pour le développement harmonieux de nos activités. L’actualité est là pour nous le rappeler : citoyens,
entreprises, États, nous sommes tous confrontés aux mêmes menaces.
128 • Sociétal n°79
1-Societal 79_interieur.indd 128
16/01/13 16:37