Cette conférence a pour but de présenter les évolutions les plus marquantes de ces dernières années en lien avec l’expansion du cyber espace, et le développement de nombreuses problématiques qui s’y agrègent.
Merci à la participation de nos deux intervenants :
+ Alain Bouillé : ancien responsable de la sécurité des système d’information de la banque américaine JP Morgan Chase. Délégué général du CESIN pour développer, promouvoir et professionnaliser la fonction d’expert en sécurité de l’information et du numérique.
+ Thierry Berthier : enseignant en mathématiques à l’Université de Limoges, chercheur en cyberdéfense et cybersécurité. Codirecteur du groupe «Sécurité Intelligence Artificielle» de France IA. Cofondateur de plusieurs sites et d’une entreprise dans le domaine de la cybersécurité.
La France dans le cyberespace
Quel est l’intérêt d’intégrer la cybersécurité à une nouvelle stratégie de développement de l’entreprise, ainsi que l’intérêt de considérer le cyber espace dans les stratégies militaires d’État ?
Ces 10 dernières années il y a eu un important mouvement de digitalisation. Certains parlent même d’une informatisation à outrance : on a informatisé tout ce qu’on pouvait dans les entreprises pour les rendre plus performantes.
Ces 5 dernières années, les entreprises se sont révélées de plus
en plus dépendantes de ces systèmes informatiques, ne pouvant plus effectuer le
moindre acte de gestion, de management, sans informatique.
Ce qui pose le problème de l’efficacité de l’action de l’entreprise lors de
pannes informatiques à répétition, ou lors de cyber attaques évidement.
- Toute cette informatisation à outrance a entraîné pour le monde des cyberattaquants des portes d’entrées multiples.
Avant, le système d’information était concentré autour d’un data center avec quelques murailles, le métier de responsable sécurité était simple. Aujourd’hui on se retrouve face à un système d’information complètement éclaté, avec la subsistance de quelques résidus dans les data-centers, mais pour la plupart, les nouveaux système ont trouvé résidence dans les clouds.
On compte par centaines les fournisseurs de clouds dans une entreprise.
Les entreprises ont vu une exposition exacerbée de leurs données, dont le stockage et la gestion sont devenus des portes d‘entrée multiples pour les cyberattaquants.
La moindre cyber attaque aujourd’hui peut avoir des effet désastreux sur le fonctionnement de l’entreprise. Un malware peut avoir des conséquences dramatiques, comme la paralysie d’un réseau, ou même une atteinte à la vie privé des salariés, qui peut conduire au chômage voire au suicide dans certains cas.
Cette dépendance accrue à l’informatique et au dugutal s’accompagne d’une dépendance vis-à-vis des systèmes/logiciels américains. Les quelques fournisseurs utilisés communément par les entreprises se comptent sur les doigts d’une main : Google, Amazon, Microsoft.
- 90% de la ressource informatique des grandes entreprises mondiales viennent des GAFA.
Aujourd’hui nous sommes à la merci des cyberattaquants, qui sont de plus en plus nombreux et qui disposent d’une aire de jeu beaucoup plus importante qu’avant.
La question de la dépendance soulève évidemment des grands enjeux géopolitiques, économiques et de souveraineté.
Sur la question des cyber attaquants, on observe de plus en plus que les États ont une implication dans le cyberespace. Est-ce que vous pensez que l’État s’implique suffisamment dans l’information des entreprises et leur défense numérique face aux attaques extérieures?
Depuis 10 ans en France l’Etat s’est doté d’une agence, l’ANSSI
(Agence nationale de la sécurité des systèmes d’information) qui a pour mission
de protéger les cibles stratégiques civiles en France, les opérateurs et
organismes vitaux.
Cette agence fonctionne très bien, son rôle étant d’éviter les attaques et
faire de la prévention en aidant les grosses structures françaises à les
éviter.
On observe son efficacité par l’absence d’attaque en France, de manière
comparative par rapport à d’autres pays plus aisément touché par les cyber
attaques. La France réussi à protéger ses grandes entreprises, mais qu’en
est-il des PME, entreprises de taille moyenne. Elles ne sont que très peu
protégées, ce qui constitue aussi une amélioration à venir.
Sur le volet militaire il y a un commandement cyber très
efficace. Les entités militaires de protection sont très importantes,
elles disposent de leur propre système d’information, de leur propre sécurité.
l’Etat a relativement un bon retour sur investissement quant à la création de
l’ANSSI.
Au niveau du développement de ces institutions pour protéger ce nouvel espace, est-qu’il y a une bonne connexion entre le monde privé et l’entité publique au niveau des initiatives?
Pour tout ce qui touche au domaine de l’armement militaire il y
a une bonne coordination entre les acteurs privés et publics. Un grand pôle
cyber a été créé en Bretagne, capitale française de tout ce qui touche à la
cyber défense.
Les grands acteurs industriels comme Thalès ou Airbus sont partie
prenante dans la création d’écosystèmes qui vont les relier à des startups et
des pôles de recherches.
Un important chantier est en cour : celui du cyber campus.
C’est un projet qui sera proche de Paris et qui aura pour but de reproduire un
pôle cyber comme en Bretagne, mais aussi en suivant le modèle israélien de
cyber sécurité. L’idée est d’avoir une zone de regroupement de startups,
d’universités, de grandes entreprises et d’investisseurs tous au même endroit.
Ce cyber campus devrait voir le jour début 2021.
Pour prévenir du nombre d’attaques grandissant lié au développement de notre dépendance informatique, une stratégie militaire efficace doit être mise en place : c’est à l’armée, la gendarmerie et aux services de police que revient le soin de protéger les entreprises.
Avec le corps cyber, on a quasiment un corps militaire supplémentaire : le cyber se rajoute aux armées de terre, mer et air.
Sur cette question de l’implication de la gendarmerie et de la traque des cyber attaquants, est-ce que le fait que les VPN, messageries cryptées, éléments qui permettent de protéger l’identité et l’anonymat, se répandent de plus en plus, pourrait poser un problème à la gendarmerie ?
La première cyberattaque est apparue en France avec le début de l’informatique dans les années 60. Le nombre d’attaques s’est démultiplié en suivant l’augmentation du niveau technologique. C’est une véritable course aux armements entre l’attaquant et l’attaqué.
L’avantage revient parfois à l’attaquant car le défenseur doit protéger son infrastructure, doit déployer beaucoup de force par rapport à l’attaquant qui dispose d’une dissémination des outils d’attaque, d’armement cyber, d’outils d’intrusion.
Les outils de privacy sont fait pour conserver son anonymat en ligne et sont utilisés par la cybercriminalité. L’IA est également en train de multiplier par 10 les risques, elle représente un saut de puissance apparu très récemment sans que tous les pays ne puissent s’y préparer de la même manière.
Intelligence artificielle : on sait que globalement le monde prend conscience qu’elle se développe et représente un tournant important. Est-ce que ce développement est bien considéré en France? Avons-nous une vision trop craintive par rapport à d’autres pays ? Est-ce que l’IA ne représente pas un risque pour l’emploi en remplaçant des postes d’ingénieurs et techniciens par des postes cyber ?
Le fantasme que l’IA va tuer tous les emplois en cyber est à balayer. Aujourd’hui, on a une pénurie mondiale de talents en cyber, il manque environ 200 000 ingénieurs dans les pays européens. C’est un secteur qui recrute beaucoup aujourd’hui.
Toutes les solutions de supervision réseau, modernes, développées par des sociétés françaises, ont besoin de l’apprentissage statistique pour pouvoir détecter des menaces en amont et prévoir plutôt que guérir.
Quand on observe une entreprise par l’approche sécuritaire on remarque qu’elle doit faire de la prévention, des actions en amont. Mais cette prévention n’est pas suffisante en elle-même, il faut faire de la protection en temps de d’attaque également du système d’information.
Les attaques qui surviennent ont réussi à passer ces barrières de prévention, on rentre alors dans une problématique de détection.
L’entreprise doit être capable de détecter à temps, qu’un attaquant est en train de récupérer les informations. L’informatisation des système d’aujourd’hui nécessite une plus grande surveillance de ce que font les utilisateurs avec leurs navigateurs.
- Le triptyque prévention, protection, détection est nécessaire et doit être de mieux en mieux assumé par les services de protection cyber nationaux.
Question des câbles sous-marins : de base, ils étaient produits par Numericable submarine français ils ont été ensuite rachetés sous pavillon américain. Est-ce qu’il y a eu une réaction des autorités françaises pour limiter ce type de rachat ?
Les câbles sous-marins sont des actifs stratégiques, la marine nationale les surveille. Toutes les marines mondiales surveillent les câbles posés dans chaque pays, et quand un sous-marin s’approche d’un câble il y a une menace qu’il faut immédiatement détecter. Ces attaques restent cependant assez marginales, elles relèvent évidement de la compétence des autorités militaires à échelle nationale dans chaque pays du monde.
Questions de cybersécurité
Question de l’utilisation des données par les grandes
entreprises, par les Gafa et les États.
Est-ce que les données sont protégées des entreprises ou des États ennemis ?
Est-ce que le RGPD européen fonctionne?
Le RGPD constitue une avancée indéniable qui a montré sous l’angle législatif que l’Europe pouvait être active sur ces sujets-là. Les 28 Etats membres l’ont mis en place en même temps mais il a fallu 10 ans de travaux pour que cela aboutisse définitivement.
On reste plus mitigé sur la question de la protection des données à caractère personnel. L’utilisateur lambda aujourd’hui, quand on lui pose la question de la préservation de sa vie privée, pour la grande majorité de citoyen, il va répondre que c’est très important. Mais l’utilisateur ne va voir aucun inconvénient à mettre toutes ses informations en ligne, à répondre par la positive à toutes les questions qu’on lui pose quand il va vouloir installer une application.
L’utilisateur est aujourd’hui plus attiré par l’application et le service qu’elle propose, qu’embêté par l’inconvénient et des conséquences du partage de données.
C’est un paradoxe presque schizophrénique.
Concernant l’actualité et le débat sur l’application Stopcovid, elle n’a pas encore vu le jour. Si on arrive à convaincre les gens qu’en installant cette application qui va les suivre et garder leurs données, ils vont éviter de se faire contaminer les gens vont choisir santé avant liberté. Ils vont surement faire preuve de ce même arbitrage paradoxal coûts/avantages qu’ils opèrent avec le reste des applications en général.
Ces questions de protection des données personnelles constituent un débat loin d’être clos. Quand on se rend sur les réseaux sociaux, les gens étalent leur vie, laissent toutes leurs données aux sites sans y voir de problèmes majeures.
Ce problème de protection des données personnelles / entreprises est un problème purement européen, car les américains par exemple détiennent les infrastructures nécessaires et se retrouvent moins concernés par ce genre de risques.
Les chinois ne sont plus réellement concernés non plus car ils se sont défaits de toute dépendance vis à vis des produits américains, ils ont désormais leurs propres outils.
L’embargo américain qui empêchait la vente de processeurs sensibles aux chinois a finalement bénéficié à la Chine qui a su développer des processeurs aussi puissants que ceux américains, voire plus.
Par problème purement européen, on entend des pays coincés entre les technologies américaines et chinoises. L’affaire de la 5G en est un bon exemple.
L’Europe se retrouve dans une position inconfortable entre les deux grands pôles technologiques mondiaux qui occupent tous les développements technologiques du moment : la cybersécurité, le cloud, l’IA, la robotique…
Nos failles européennes révèlent
notre difficulté à s’accorder sur une stratégie commune.
La solution de ces problèmes informatiques rencontrés par les pays européens serait
de repenser au niveau national une souveraineté par pays, il faudrait faire nos
propres outils, construire nos propres infrastructures.
Si l’on fait une fois de plus un parallèle avec la crise
sanitaire, on s’est rendu compte que l’on a fermé une des usines Françaises qui
fabriquait nos masques français, il y a quelques années, et aujourd’hui on s’en
mord les doigts.
Les politiques savent maintenant qu’il va falloir rééquilibrer ces différentes production
et réindustrialiser la France. Cette crise va faire prendre conscience qu’à un
moment donné il faudra rapatrier des productions qui n’avaient déjà plus
beaucoup d’intérêt à être délocalisées aussi loin à cause de l’augmentation
prix des transports actuels.
Comment prendre cette conscience au niveau du numérique ? Faut-il attendre une crise technologique pour commencer à repenser la souveraineté française dans ce domaine, ou serait-il plus judicieux de prendre les devants ? Aujourd’hui nous allons volontiers vers la solution de facilité et les entreprises ne se posent pas la question de souveraineté française, du moins elles commencent juste à en prendre conscience. Il y a aujourd’hui toute une industrie qui est en train de s’organiser sur la cybersécurité et sur le monde digital.
Un certain équilibre va peut-être être trouvé dans les années qui viennent.
Dans cette période de pandémie, qui a nécessité le déploiement du télétravail pour les entreprises/ Institutions, la France est-elle prête à assurer une protection cyber suffisante dans un tel contexte ?
Un document très complet a été mis en ligne sur le site du CESIN, sur les risques et défis liés au développement soudain et massif du télétravail.
Il y a des entreprises qui en avaient l’habitude et qui
commençaient déjà à le mettre en place, il a simplement suffi pour elles d’en élargir
le spectre.
Pour les entreprises moins attirées par le télétravail ou pour lesquelles ce
n’était pas du tout possible, la transition a été particulièrement compliquée.
La gestion du télétravail pose plusieurs problèmes en matière de sécurité. Un problème
lié à l’utilisateur, et notamment pour les télétravailleurs débutants. Ils ne
sont pas formés au télétravail (aux gestes protecteurs).
La mise à jour des postes de travail est elle aussi compliquée. On a pu
observer une multiplication des problèmes dans les entreprises au début de la
crise, mais de manière générale, nous observons aussi que le télétravail
fonctionne très bien en France, et même peut-être trop bien.
Peut-être que les employeurs vont s’y habituer et se dire que cela coûte moins cher qu’un louage de bureaux/entretiens de locaux. L’après-crise va être porteuse de vraies réflexions sur le monde du travail. Le travail à distance va se développer à grand pas et v poser à nouveau la question de la cybersécurité. Quand on est au bureau, on a déjà passé un sas de sécurité physique, alors qu’on ne l’a pas au domicile.
- Télétravail = démultiplication des outils de sécurité.
Depuis 5 semaines on enregistre une élévation importante du taux d’attaques et de tentatives de fraudes. Les entreprises françaises de cybersécurité sont très actives en ce moment. Beaucoup d’hôpitaux sont attaqués. On parle d’un Hacking opportuniste.
Les noms de domaines déposés avec le nom Covid-19 ont été multipliés, par des cyber attaquant souhaitent multiplier les arnaques fructueuses. On voit bien qu’aujourd’hui dans notre monde hyper connecté, n’importe quelle crise peut avoir des répercussions importantes surtout sur le monde digital et numérique.
Question de la dépendance vis-à-vis de l’international. Qu’est ce qui nous manque pour retrouver cette souveraineté numérique ? Nous avons les talents, arrivons-nous à les conserver ?
On a de bonnes formations en France, de plus en plus de Masters. La question est de savoir s’ils sont attractifs. La cybersécurité n’est pas encore attractive pour les meilleurs éléments. Il y a des déséquilibres entre les effectifs de filles et de garçons dans les formations cyber, – de 10% sont des femmes.
Mais nous avons de nouvelles formations, de nouvelles écoles qui se créent qui n’attirent pas encore assez de monde nous devons travailler sur notre attractivité.
Est-ce que l’Europe et la France sont prêtes à mettre l’argent nécessaire et à offrir les infrastructures pour favoriser l’implantation et le développement de ces entreprises?
Quand on regarde le tissu français des sciences de la cybersécurité, on voit que nous avons un beau patrimoine. Nous avons un tissu de startups intéressant, mais il manque encore des carnets de commandes et des volontés politiques fortes. Le code des marchés publiques en constitue une entrave. Beaucoup de réglementations en France bloquent les avancées, tout cela favorise l’achat à l’étranger.
La sécurité devait être agile, or quand on se lance dans des projets de sécurité, ils durent trop longtemps, ils sont trop compliqués aujourd’hui. Nous ne sommes pas encore suffisamment agiles en matière de sécurité.
Conclusion sur le cyberespace
- En France : de nombreuses institutions qui recrutent, civils comme militaires pour les jeunes intéressés. Milieu qui reste très ouvert du point de vue des compétences, il y a des gros besoins.
- Beaucoup de reconversion dans le cyber
aujourd’hui. C’est un métier passionnant, nous sommes dans les sphères les plus
hautes de l’entreprise.
On fait plusieurs métiers différents dans une même journée.
N’oublions pas qu’il y a aussi un espace sur les sujets réglementaires/ juridiques du cyber.
- Consultez le site du CESIN pour plus d’infos sur les métiers du cyber !
