Nature des menaces de cybersécurité

Paiement en ligne, consultation des mails, internet sécurisé… en 20 ans, le monde du numérique a connu d’importantes évolutions technologiques qui ont multiplié les usages… en même temps que la découverte de failles de sécurité et les attaques qui en découlent. De nombreuses corrections sont constamment développées pour faire face à ces menaces, mais les vulnérabilités subsistent. La croissance exponentielle des usages, des réseaux, du nombre des équipements connectés, celle des couches logicielles et applicatives, certaines en "open source", tout cela amplifie le potentiel de cyberattaques. Et si la prise de conscience de ces risques progresse, d’importants efforts restent à produire pour garantir une sécurité optimale aux utilisateurs. Eric Labouré (ECL 1996) Cyber Security Services Program Manager chez Nokia rappelle ainsi qu’il y a encore 2 ans, il fallait en moyenne 100 jours pour qu’un opérateur télécom s’aperçoive que son réseau était compromis par une ou plusieurs attaques ! Une telle inertie participe à fragiliser la sécurité des systèmes.

Ce constat que confirme Cédric Gourio (ECL 1998) Chief Security Officer chez Worldwine, s’est encore amplifié avec la crise de la Covid et le besoin d’interconnexion permanente des entreprises et de leurs collaborateurs en télétravail. Ces opportunités sont saisies par les acteurs de la cybercriminalité qui ont fait évoluer leurs attaques et en tirent le maximum de profits financiers (ransomware, kits de piratages vendus en ligne etc.). Cette menace ne touche plus seulement les banques ou les grands groupes industriels comme il y a encore quelques années, mais également, les PME, les hôpitaux et les services de l’État aujourd’hui également exposés aux risques d’attaques.

Cette menace, Vincent Desroches (ECL 1999) expert en cybersécurité auprès du Secrétariat Général de la Défense et de la Sécurité Nationale, la connaît bien. Chaque année, l’Administration subit jusqu’à 900 attaques, dont une trentaine visant les systèmes régaliens de l’État. Leurs buts sont multiples : espionnage économique, industriel ou étatique, sabotage de systèmes, logique de déstabilisation... la cybercriminalité produit ainsi une manne financière qui rapporte jusqu’à 1500 milliards d'euros par an, soit environ 2 % du PIB mondial !

Quels leviers de défense mettre en place ?

Éric Labouré souligne l’importance d’une réponse collective face à la cybercriminalité. Celle-ci passe par une coopération internationale renforcée partout dans le monde à même de faciliter les retours d’expérience et par la normalisation des standards qui définissent les interactions logicielles et applicatives (ex : mise en place du https, norme 5G plus sécurisée que la 4G etc.). Un cadre légal maintenu par les États lui semble indispensable afin de garantir le respect des normes définies et l'assurance d’une sécurité globale optimale.

Au sein des entreprises, Éric Labouré insiste sur la mise en place d’une stratégie de défense par couches, à commencer par la formation des employés aux règles de cybersécurité. Une étape indispensable à la fois pour identifier les menaces potentielles, mais aussi pour gagner en réactivité en cas d’attaque. Ce renforcement de la sécurité est conditionné également par une approche métier des questions liées la cybersécurité avec des compétences techniques fortes.

Cédric Gourio confirme que la stratégie de défense en cybersécurité au sein des entreprises doit être organisationnelle, avec des équipes dédiées, capables de détecter des signaux faibles et de se préparer au pire. Les équipes doivent être proches des utilisateurs, afin de définir les bonnes pratiques en fonction des réalités métier rencontrées, mais aussi pour veiller au bon respect des mesures disponibles. Des simulations d’attaques ou d’intrusion permettent également de maintenir le niveau de sécurité à jour. Les entreprises doivent avoir pour objectifs d’être en capacité de détecter rapidement les menaces de cybersécurité et de réagir le cas échéant. A minima, il considère qu’une entreprise doit allouer 10 % de son budget informatique à la cybersécurité.

Vincent Desroches étend cette vision stratégique de la cybersécurité au niveau européen avec la directive Network and Information System Security (NIS) qui vise depuis 2016 à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d'information au sein de l’Union.

Cybersécurité : quels enjeux pour demain ?

Toujours plus rapides, plus connectées, les innovations technologiques à venir ne vont que renforcer les besoins en sécurité. Avec par exemple, le développement de la 5G et l’explosion du nombre d’applicatifs, la densité des attaques avec des latences très courtes va augmenter considérablement. Les outils connectés quant à eux, vont, grâce à l’IA, accélérer l’automatisation des détections des problèmes de sécurité, réduisant le rôle des administrateurs et leur capacité d’intervention. Selon Eric Labouré, ces avancées doivent s’accompagner d’investissements conséquents en matière de R&D.

Eric Labouré souligne également que 30% des attaques de sécurité subies par les entreprises proviennent d’une faille chez un de leurs fournisseurs. Aussi doivent-elles être en mesure d’intégrer autant que possible tout leur éco système dans leur stratégie de cybersécurité.

Cédric Gourio rappelle quant à lui l’importance de viser l’efficacité opérationnelle face aux menaces auxquelles sont exposées les entreprises. Les directions doivent se sentir accompagnées avec des solutions pérennes et évolutives.

Pour l’État enfin, les enjeux sont multiples. Il lui faut former davantage d’experts en cybersécurité ainsi qu’en R&D autour de l’IA. Pacifier et réguler le cyber espace sans entraver les libertés : un champ des possibles où Vincent Desroches le rappelle, les ingénieurs ont toute leur place.