La cybersecurite est-elle vouee a lechec
Titre : La cybersécurité est-elle vouée à l'échec ?
Intervenants : Laure de la Raudière - Genma - Philippe Trouchaud - Antoine Genton
Lieu : Émission Du Grain à moudre, France Culture
Date : novembre 2018
Durée : 40 min 30
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription André - MO
Description
Alors que les cyberattaques se succèdent et ne se ressemblent pas, les particuliers, les entreprises et les États ne sont pas toujours conscients des risques qu'ils encourent. Pourtant les règles de l’hygiène numérique sont relativement simples. Comment agir efficacement pour la cybersécurité ?
Transcription
Antoine Genton : Bonsoir et bienvenus. Du Grain à moudre sur France Culture. Ce soir, la cybersécurité est-elle vouée à l’échec ?
Pas un jour ou presque sans une attaque informatique… Contre des particuliers, contre des entreprises, contre des États – le Gabon, par exemple, en début de semaine… Pas un mois ou presque, non plus, sans scandale retentissant : ce mois-ci, par exemple, une affaire d’attaque contre l’organisation pour l’interdiction des armes chimiques aux Pays-Bas…
Des assauts numériques, des données volées, des sociétés rançonnées… Bref, de graves et fréquents problèmes de sécurité… Près de 180 000 chaque jour dans le monde… Un chiffre qui ne cesse de croître… Et pourtant, le grand public n’est que peu sensibilisé sur ces questions, les entreprises sont rarement bien préparées, bien protégées et les responsables politiques semblent à la traîne, en dépit de quelques actions, de quelques manifestations – comme le mois européen de la cybersécurité – c’est en ce moment, jusqu’au 11 novembre… À la traîne, donc, face aux gigantesques enjeux de ce sujet… Partant, la cybersécurité est-elle vouée à l’échec ? C’est la question du Grain à moudre ce soir. Pour y répondre, trois invités : Laure de La Raudière, bonsoir.
Laure de La Raudière : Bonsoir.
Antoine Genton : Députée UDI Agir, coprésidente du groupe d’études cybersécurité et souveraineté numérique à l’Assemblée Nationale, vous êtes ingénieure des télécoms de formation.
Laure de La Raudière : Tout à fait.
Antoine Genton : Genma, bonsoir.
Genma : Bonsoir.
Antoine Genton : Un pseudonyme connu des spécialistes et d’une frange du public, car vous organisez des conférences et des ateliers pour tous. Vous militez pour la promotion de la sécurité informatique. Vous êtes aussi directeur des systèmes d’information dans une PME, Linagora. Philippe Trouchaud, bonsoir.
Philippe Trouchaud : Bonsoir.
Antoine Genton : Associé au sein du cabinet conseil PriceWaterhouseCoopers, en charge des activités de cybersécurité pour la France, vous conseillez de grands groupes internationaux, des entreprises du CAC 40, vous êtes l’auteur de La cybersécurité face au défi de la confiance, livre publié chez Odile Jacob.
Trois invités donc, trois profils complémentaires pour tenter de faire le tour de cette vaste question. On parlait des attaques, beaucoup d’attaques, je le disais, quasi quotidiennes, des attaques qui, d’ailleurs, prennent une multitude de formes, parfois difficiles à parer. Je voulais qu’on s’arrête d’abord sur ceux qui attaquent, sur les pirates, sur les hackers, ces gens-là, Genma, ont-ils un temps d’avance sur nous, utilisateurs, particuliers, entreprises ?
Genma : En fait il faut différencier, je pense, les attaques qu’on fait au niveau des entreprises des attaques qu’on fait au niveau du particulier, on va pas chercher les mêmes choses. Au niveau des entreprises ça va être surtout de l’espionnage industriel, ou utiliser des ressources machine pour faire d’autres attaques. Au niveau du particulier, ça va être plus, en fait, des racketiciels, des ransomware, comme on appelle, il y a tout le système de phishing, quoique, en fait, l’usager a été sensibilisé à toutes ces problématiques de mail où on a gagné au loto ; il y a quelques années ça marchait, maintenant ça ne marche plus, donc on a une sophistication qui se fait justement dans ces attaques-là.
Antoine Genton : Donc ça ce sont les modes d’action de ces hackers, Philippe Trouchaud, aujourd’hui ces pirates, ces assaillants, ont-ils un temps d’avance sur la sécurité, la cybersécurité, les entreprises qui travaillent sur le sujet ?
Philippe Trouchaud : On pourrait dire aussi que ceux qui sont victimes ont un temps de retard. La caractéristique des attaquants c’est qu’on voit aujourd’hui une parfaite translation de la délinquance physique vers le cybercrime. C’est beaucoup plus rentable, il y a pas de faits de violence, si vous avez le bon goût de diligenter vos attaques dans un pays où il n’y a pas de conventions juridiques, vous ne risquez pas grand-chose, et même si vous vous faites pincer, historiquement les tribunaux sont toujours extrêmement cléments vis-à-vis de ceux qu’ils considèrent comme des Robins des Bois.
Vous avez le crime organisé, c’est une activité très lucrative, vous avez des États que ça intéresse parce que c’est un nouveau moyen d’espionnage. Effectivement les entreprises et particuliers sont un peu dans le syndrome de la citadelle assiégée, c’est-à-dire qu’ils se défendent avec les moyens qui sont les leurs, et il y a peu de collaboration entre entreprises, encore moins entre entreprises et particuliers, et même entre les réseaux universitaires et les agences étatiques, le niveau de collaboration est assez faible. En fait, on a toujours un temps de retard parce qu’on n’anticipe pas les nouvelles menaces et même on ne capitalise pas sur la résolution des incidents. C’est ça qui explique finalement le temps d’avance ou le temps de retard suivant le point de vue qu’on prend.
Antoine Genton : L’anticipation, la collaboration, la coopération, on va en parler, on aura l’occasion d’en parler un peu plus tard dans cette émission. Laure de La Raudière, sur ces assaillants, là encore, est-ce qu’ils ont un temps d’avance sur ce qu’on essaie de faire pour les contrer ?
Laure de La Raudière : Oui, les assaillants ont un temps d’avance, parce que, comme vous l’avez très bien dit, nous avons une prise de conscience très tardive et les menaces augmentent très rapidement. Or la prise de conscience c’est de la pédagogie de tous les citoyens, de toutes les entreprises ; c’est long à décliner. Donc la plupart des entreprises, particulièrement les PME et la plupart des citoyens sont relativement désarmés, désemparés. Pour autant, le gouvernement a mis en place un outil qui s’appelle cybermalveillance.gouv.fr., où vous pouvez à la fois recueillir des conseils mais aussi signaler toutes les attaques que vous subissez.
Il y a, aujourd’hui, peu de prise de conscience dans le grand public, peu de prise de conscience dans les chefs d’entreprises de l’importance de ces menaces, de la permanence de ces menaces, quotidiennement, parce qu’on n’a pas été formés à ça. Quand vous avez un enfant et que vous lui faites traverser la rue les premières fois quand il est seul, vous lui apprenez à le faire. Et à l’école on apprend aussi à se protéger de certains risques. On est informés d’une autre prise ??? Pour la cybersécurité, c’est pas le cas. Personne n’en parle, et les Français n’en sont pas conscients. Si vous demandez aux citoyens, dans la rue, s’ils ont déjà subi une cyberattaque, ils vont vous dire « non », mais le jour où ça va arriver, ils vont être démunis pour pouvoir se prémunir du ransomware qui viendra capter leurs données et qui demandera une rançon, souvent des rançons de 200 euros, 250 euros, 300 euros.
Antoine Genton : Antoine : Pas très élevées, non ?
Laure de La Raudière : Pas très élevées, c’est très lucratif pour le malfrat qui est derrière, parce qu’en général les gens paient pour récupérer leurs données. Et quelquefois ils n’arrivent pas à récupérer leurs données. C’est-à-dire qu’l y a deux types de malfrats : il y a les malfrats qui rendent les données et puis les malfrats qui ne les rendent pas. Donc je voudrais aussi dire aux citoyens, si jamais ça vous arrive, la première chose c’est de signaler ceci plutôt que de payer.
Antoine Genton : Avant de parler de pédagogie, Genma comment sait-on qu’on a été attaqué, piraté, comme vient de le dire Laure de La Raudière ?
Genma :Si l’attaque est bien faite, on ne sait pas, en fait. Pendant longtemps, ça a été, on va mettre en avant, justement, pour avoir des rançons, etc., ou c’est de l’argent facile. Maintenant il y a d’autres aspects où on va utiliser les PC aux dépens de l’utilisateur justement sans qu’il le sache, parce que si on bloque l’ordinateur c’est visible, on a de l’argent tout de suite. Tandis que si on ne bloque pas l’ordinateur, mais on l’utilise pendant des temps d’inactivité de l’ordinateur, quand l’ordinateur tourne en continu, ça permet de créer des réseaux de ce qu’on appelle des botnets : les PC qui sont sous le contrôle d’un attaquant. Il y a un marché noir, justement, de ces botnets-là où on va vendre des ressources de puissance machine qui vont permettre de faire des attaques ciblées de masse pendant un temps donné sur un système industriel ou un système informatique quelconque et justement, tant que c’est pas détecté, la machine est utilisable.
Antoine Genton : On voit là, Philippe Trouchaud, que dans certains cas en tout cas, on se dit que face à une attaque informatique c’est trop compliqué, qu’on n’arrivera jamais vraiment à se protéger, qu’on ne comprend pas très bien non plus ce qui se passe, et être à la merci des hackers, finalement, est-ce que c’est une fatalité ?
Philippe Trouchaud : Non, pas du tout. Comme ça a déjà été dit, en réalité on est peu formés, pas informés et, en fait, les mécanismes de base de protection ne sont pas en place. Les systèmes ne sont pas à jour, ce sont les fameux patchs, mises à jour logicielles. On a un défaut structurel, finalement, c’est qu’on utilise des logiciels de mauvaise qualité.. C’est un problème endémique. Heureusement que l’industrie automobile ne fabrique pas ses voitures comme on fabrique des logiciels, parce qu’on découvre de nouvelles vulnérabilités tous les jours. Donc si on ne met pas à jour son smartphone, par exemple, il peut être sécurisé aujourd’hui, il ne le sera pas demain, donc cette problématique de mise à jour c’est la première, et il y a une hygiène en matière de cybersécurité, comme le fait d’avoir des mots de passe robustes, d’avoir des sauvegardes de ses données, qui n’est pas en place. Donc les incidents de cybersécurité n’arrivent pas par hasard et ils arrivent toujours parce qu’on a quelques malveillances. Et par ailleurs il faut quand même avoir en tête que quand on parle des entreprises qu’on sort d’une ère post-crise. Depuis 2008, dans toutes les entreprises, on a fait beaucoup de plans de réduction de coûts, et l’informatique a souvent été la variable d’ajustement de ces plans de réduction de coûts. Donc ce qui a été en place il y a dix ans ne l’est pas forcément ; on trouve encore des entreprises qui n’ont pas de sauvegarde de leurs données.
Antoine Genton : Laure de La Raudière
Laure de La Raudière : En fait, il y a eu une prise de conscience cette année dans les grandes entreprises, suite aux deux grandes attaques virales, WannaCry et Petya, c’était à la fin du printemps. Ça ne visait pas particulièrement les entreprises françaises. WannaCry je crois que c’était plutôt centré sur l’Ukraine. Donc on voit que du malfrat informatique, il peut aussi y avoir quelquefois des États qui ont un intérêt à déstabiliser d’autres États par des attaques de cette ampleur. Mais certaines entreprises françaises, des très grandes, ont été touchées. Suite à ça, il y a eu des communications dans la presse grand public, les entreprises ont mis en place des procédures beaucoup plus strictes, pour protéger, en fait, face aux risques cyber. Je vais donner un exemple : je crois que c’est Saint-Gobain qui maintenant ne délivre plus le service informatique à ses utilisateurs s’ils n’ont pas fait leur mise à jour de patch de sécurité. Avant, dans une entreprise, dans une grande entreprise, vous faisiez ça, mais toutes les directions métiers hurlaient, parce que plus aucune direction métier ne pouvait plus fonctionner s’ils n’ont pas leur informatique. Donc, finalement, les services d’information pliaient, et n’obligeaient pas les mises à jour des patchs de sécurité. Aujourd’hui, dans les grandes entreprises françaises, il y a eu une prise de conscience des risques cyber ; il y a beaucoup plus de facilité à obtenir le budget nécessaire lié aux investissements cyber, mais ça c’est uniquement dans les grandes entreprises, ou alors dans les organismes où il y a des infrastructures vitales. Mais, après, il y a tout le tissu des PME et tout le tissu des citoyens, qui ne sont absolument pas sensibilisés.
Antoine Genton : Un chiffre pour aller dans votre sens, Laure de La Raudière, que vous donnez, Philippe Trouchaud, et votre cabinet, PriceWaterhouseCoopers : 29 % des entreprises interrogées par votre cabinet, 29 % seulement, perçoivent la sécurité comme un enjeu prioritaire. Trois entreprises sur dix, c’est tout ! Avant de combattre un problème, il faut aussi reconnaître ce problème, dire qu’il existe, ce problème !
Philippe Trouchaud : Absolument. C’est un sondage qui portait surtout sur des entreprises dites de taille intermédiaire. C’est vrai que quand on regarde les entreprises du CAC 40, pour le coup, elles font maintenant de la cybersécurité, le premier risque encouru par leur groupe. Donc les grandes entreprises ont compris. Un petit bémol, quand même, en matière de cybersécurité, il ne suffit pas de faire des chèques et avoir des budgets, il faut d’abord avoir des talents. Et on est quand même là dans une guerre mondiale des talents, il manque aujourd’hui un million de professionnels sur le marché. Très vite, dès 2020, avec l’explosion des besoins et notamment à l’IOT on sera dans un manque de deux millions. La Commission européenne est encore plus alarmiste, elle parle de trois millions de professionnels manquants. Donc on voit quand même que les grandes entreprises échouent parfois, pas parce qu’elles n’ont pas de moyens financiers, mais simplement parce qu’elles n’ont pas les talents.
Antoine Genton : Et ça, c’est un problème de formation ?
Philippe Trouchaud : Absolument.
Antoine Genton : Ou un autre problème ?
Laure de La Raudière : Les formations existent, il y a une cinquantaine de master 2 de cybersécurité, en France. Donc ça a été mis en place. En revanche, ces formations ne font pas le plein. Donc il y a de la publicité à faire pour que les jeunes rejoignent d’urgence ces formations. D’abord, en France, on est excellents dans cette matière, donc on a un savoir-faire en informatique qui est bon et, deuxièmement, il y a de l’emploi derrière, il y a des emplois intéressants, pour des personnes qui aiment l’informatique.
Antoine Genton : Philippe Trouchaud.
12’ 13
Philippe Trouchaud : Je pense qu’une des problématiques
