Voir l`interview - Speakers Academy

ACADEMY NEWS - NOVEMBRE 2015-1
NICOLAS ARPAGIAN
CYBERSECURITE : SOMMES-NOUS TOUS MENACES ?
NICOLAS ARPAGIAN EST DIRECTEUR SCIENTIFIQUE DU CYCLE «
SÉCURITÉ NUMÉRIQUE » À L’INSTITUT NATIONAL DES HAUTES ETUDES
DE LA SÉCURITÉ ET DE LA JUSTICE (INHESJ). IL NOUS DONNE LES CLÉS
POUR SAISIR LES ENJEUX DE LA CYBERSÉCURITÉ AUJOURD’HUI ET
QUELQUES CONSEILS POUR SE PROTÉGER DES CYBERMENACES.
En 2015, en quoi consiste la cybersécurité ?
La cybersécurité représente la protection des
informations numérisées, tant dans le domaine
personnel ou professionnel. Et cela concerne
également les infrastructures permettant de stocker,
de transférer, de consulter, modifier ou supprimer ces
informations. Il ne peut y avoir de cybersécurité si tous
les utilisateurs de technologies que nous sommes
avec nos smartphones, tablettes et autres ordinateurs
de bureau ne prenons pas conscience de l’ampleur
des risques numériques auxquels nous sommes
confrontés quotidiennement. Souvent à notre insu.
Qu’il s’agisse de nos données personnelles, de nos
ressources financières, de la confidentialité de nos
correspondances ou des informations que nous confie
notre employeur nous
avons tous quelque chose
à perdre dans la sphère
numérique. Cela peut avoir
un impact majeur sur notre
patrimoine personnel,
sur la compétitivité de
l’entreprise où on travaille
voire affecter les entités
privées ou publiques avec
lesquelles nous sommes
tous en contact.
C’est en étant conscient
de ce que l’on peut perdre
que l’on est en mesure d’envisager sa sécurité. Il faut
commencer par appliquer des règles de bon sens
d’hygiène informatique : mettre à jour ses logiciels,
disposer d’un antivirus, ne pas cliquer sur des
pièces jointes sur lesquelles on a des doutes, ne pas
disposer de mots de passe robustes… Il s’agit avant
tout de réduire son exposition au risque, la sécurité
totale étant inenvisageable dans l’univers numérique.
Cette modestie vis-à-vis des modes d’attaque nous
rappelle que n’importe quel ordinateur sans distinction
d’appartenance hiérarchique peut être utilisé pour
pénétrer l’informatique d’une organisation pour y voler
des informations ou de l’argent. La cybersécurité revient
donc désormais à empêcher les tentatives d’attaques
les moins élaborées et à identifier dès que possible les
effets d’un assaut numérique qui n’aurait pu être contré,
afin de limiter son impact et favoriser un retour à la
normal.
Quels en sont les acteurs ?
On trouve aujourd’hui sur Internet pour quelques
euros des logiciels d’espionnage de smartphones
désactivables à distance. Un particulier peu scrupuleux
peut donc disposer facilement d’outils d’interception
longtemps réservés aux seuls professionnels du
renseignement. Les attaquants peuvent donc être
des voisins de palier comme des organisations
internationales, ainsi que des Etats. Et comme le réseau
des réseaux se joue des distances, le terrain de jeu est
souvent planétaire.
Ces caractéristiques démultiplient d’autant la nature
et le nombre des acteurs de la cybersécurité.
Des individus isolés peuvent viser des institutions
puissantes. Et des Etats se mettre à espionner des
alliés politiques mais concurrents économiques.
Enfin, on est dans un contexte où se mêlent les
dimensions militaires, technologiques, industrielles,
financières le tout avec des équipements numériques
qui sont également très utilisés dans le grand public.
L’information accessible via les réseaux sociaux
constitue un vivier privilégié pour conduire des
opérations d’usurpation d’identité ou rédiger des
messages qui pourront leurrer leurs destinataires et
l’inciter à cliquer sur des pièces jointes contaminées.
La nouvelle loi française sur le renseignement vat-elle faire bouger les lignes ?
Il est toujours souhaitable qu’un texte de loi vienne
définir des pratiques qui pouvaient survenir jusqu’alors
sans réel cadre juridique. Cela consolide en outre
les éventuelles procédures judiciaires qui pourraient
découler des investigations des différents services
d’enquête. Dès lors qu’une réglementation existe elle
peut être discutée, aménagée, révisée… et donc au
final améliorée.
Le Droit ne doit pas s’appuyer sur des technologies
mais sur des principes fondamentaux. Car sinon il
risque de devenir caduc au fur à mesure que des
solutions techniques seront délaissées ou que des
nouvelles versions apparaîtront. Ce fut le cas lorsque la
Haute Autorité (HADOPI) a été chargée de lutter contre
le téléchargement de fichiers comme la musique. Alors
que la hausse des débits et les abonnements en illimité
poussaient les internautes vers une consommation en
continu (« streaming ») qui se trouve hors du champ
de compétence de ladite Hadopi. Il s’agit désormais
que le contrôle de l’application stricte de cette loi sur
le renseignement soit une réalité, de manière à assurer
la protection des droits auxquels chaque citoyen peut
prétendre.
Quels sont les nouveaux enjeux auxquels les
autorités doivent faire face ?
C’est une matière en constante évolution avec des
sauts technologiques fréquents. Les innovations sont
agnostiques, ce ne sont que les usages qu’on en fait
qui les rendent ou non problématiques. Par exemple,
les techniques de chiffrement peuvent servir à protéger
la confidentialité des correspondances de personnes
honnêtes mais également bénéficier à des organisations
criminelles ou terroristes.
Les outils logiciels sont des matières vivantes et les
solutions pertinentes connaissent des succès fulgurants
auprès des communautés d’utilisateurs. Ainsi les
techniques d’anonymisation vont se généraliser. Idem
pour le recours aux pseudonymes et au chiffrement.
Rendant plus compliquée la tâche des services de
police pour conduire leur mission sur la Toile. Il faut
également obtenir une coopération encore plus effective
de la part des grandes plateformes internationales de
l’économie numérique : Facebook, Google, Twitter…
Elles sont aujourd’hui les piliers de l’activité de la grande
majorité des internautes sur la Toile.
Est-il possible de prévoir les prochains défis
auxquels devront faire face les Etats et les
individus en termes de cybersécurité ?
Il faut faire en sorte que chacun, quel que soit son
âge, sa formation ou son métier ait une conscience
claire de ce que représente la cybermenace. Il s’agit
de devenir moins passif face à ces outils numériques
afin de comprendre leur mode de fonctionnement. Et
que chacun mène une réflexion sur ce qu’il est prêt à
rendre public, sur ce qui constitue sa vie privée et sur
les risques qu’il prend en négligeant les aspects de la
cybersécurité.
La numérisation de notre environnement va s’accentuer
rapidement avec le déploiement des objets connectés
et l’avènement des véhicules et équipements
autonomes. Il nous faut réfléchir à ce ne nouveau cadre
de vie. Avec des déclinaisons tous azimuts comme la
montré le récent débat sur l’utilisation de robots tueurs
sur des champs de bataille. C’est un projet de société à
part entière.
Nicolas Arpagian, auteur de La Cybersécurtité,
paru en 2015 dans la collection Que sais-je ?
(Presses Universitaires de France)
© Speakers Academy®
T +33 (0)1 53 45 10 62
E [email protected]