La cybersecurite est-elle vouee a lechec
Titre : La cybersécurité est-elle vouée à l'échec ?
Intervenants : Laure de la Raudière - Genma - Philippe Trouchaud - Antoine Genton
Lieu : Émission Du Grain à moudre, France Culture
Date : novembre 2018
Durée : 40 min 30
Licence de la transcription : Verbatim
Illustration :
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription André - MO
Description
Alors que les cyberattaques se succèdent et ne se ressemblent pas, les particuliers, les entreprises et les États ne sont pas toujours conscients des risques qu'ils encourent. Pourtant les règles de l’hygiène numérique sont relativement simples. Comment agir efficacement pour la cybersécurité ?
Transcription
Antoine Genton : Bonsoir et bienvenus. Du Grain à moudre sur France Culture. Ce soir, la cybersécurité est-elle vouée à l’échec ?
Pas un jour ou presque sans une attaque informatique… Contre des particuliers, contre des entreprises, contre des États – le Gabon, par exemple, en début de semaine… Pas un mois ou presque, non plus, sans scandale retentissant : ce mois-ci, par exemple, une affaire d’attaque contre l’organisation pour l’interdiction des armes chimiques aux Pays-Bas…
Des assauts numériques, des données volées, des sociétés rançonnées… Bref, de graves et fréquents problèmes de sécurité… Près de 180 000 chaque jour dans le monde… Un chiffre qui ne cesse de croître… Et pourtant, le grand public n’est que peu sensibilisé sur ces questions, les entreprises sont rarement bien préparées, bien protégées et les responsables politiques semblent à la traîne, en dépit de quelques actions, de quelques manifestations – comme le mois européen de la cybersécurité – c’est en ce moment, jusqu’au 11 novembre… À la traîne, donc, face aux gigantesques enjeux de ce sujet… Partant, la cybersécurité est-elle vouée à l’échec ? C’est la question du Grain à moudre ce soir. Pour y répondre, trois invités : Laure de La Raudière, bonsoir.
Laure de La Raudière : Bonsoir.
Antoine Genton : Députée UDI Agir, coprésidente du groupe d’études cybersécurité et souveraineté numérique à l’Assemblée Nationale, vous êtes ingénieure des télécoms de formation.
Laure de La Raudière : Tout à fait.
Antoine Genton : Genma, bonsoir.
Genma : Bonsoir.
Antoine Genton : Un pseudonyme connu des spécialistes et d’une frange du public, car vous organisez des conférences et des ateliers pour tous. Vous militez pour la promotion de la sécurité informatique. Vous êtes aussi directeur des systèmes d’information dans une PME, Linagora. Philippe Trouchaud, bonsoir.
Philippe Trouchaud : Bonsoir.
Antoine Genton : Associé au sein du cabinet conseil PriceWaterhouseCoopers, en charge des activités de cybersécurité pour la France, vous conseillez de grands groupes internationaux, des entreprises du CAC 40, vous êtes l’auteur de La cybersécurité face au défi de la confiance, livre publié chez Odile Jacob.
Trois invités donc, trois profils complémentaires pour tenter de faire le tour de cette vaste question. On parlait des attaques, beaucoup d’attaques, je le disais, quasi quotidiennes, des attaques qui, d’ailleurs, prennent une multitude de formes, parfois difficiles à parer. Je voulais qu’on s’arrête d’abord sur ceux qui attaquent, sur les pirates, sur les hackers, ces gens-là, Genma, ont-ils un temps d’avance sur nous, utilisateurs, particuliers, entreprises ?
Genma : En fait il faut différencier, je pense, les attaques qu’on fait au niveau des entreprises des attaques qu’on fait au niveau du particulier, on va pas chercher les mêmes choses. Au niveau des entreprises ça va être surtout de l’espionnage industriel, ou utiliser des ressources machine pour faire d’autres attaques. Au niveau du particulier, ça va être plus, en fait, des racketiciels, des ransomware, comme on appelle, il y a tout le système de phishing, quoique, en fait, l’usager a été sensibilisé à toutes ces problématiques de mail où on a gagné au loto ; il y a quelques années ça marchait, maintenant ça ne marche plus, donc on a une sophistication qui se fait justement dans ces attaques-là.
Antoine Genton : Donc ça ce sont les modes d’action de ces hackers, Philippe Trouchaud, aujourd’hui ces pirates, ces assaillants, ont-ils un temps d’avance sur la sécurité, la cybersécurité, les entreprises qui travaillent sur le sujet ?
Philippe Trouchaud : On pourrait dire aussi que ceux qui sont victimes ont un temps de retard. La caractéristique des attaquants c’est qu’on voit aujourd’hui une parfaite translation de la délinquance physique vers le cybercrime. C’est beaucoup plus rentable, il y a pas de faits de violence, si vous avez le bon goût de diligenter vos attaques dans un pays où il n’y a pas de conventions juridiques, vous ne risquez pas grand-chose, et même si vous vous faites pincer, historiquement les tribunaux sont toujours extrêmement cléments vis-à-vis de ceux qu’ils considèrent comme des Robins des Bois.
Vous avez le crime organisé, c’est une activité très lucrative, vous avez des États que ça intéresse parce que c’est un nouveau moyen d’espionnage. Effectivement les entreprises et particuliers sont un peu dans le syndrome de la citadelle assiégée, c’est-à-dire qu’ils se défendent avec les moyens qui sont les leurs, et il y a peu de collaboration entre entreprises, encore moins entre entreprises et particuliers, et même entre les réseaux universitaires et les agences étatiques, le niveau de collaboration est assez faible. En fait, on a toujours un temps de retard parce qu’on n’anticipe pas les nouvelles menaces et même on ne capitalise pas sur la résolution des incidents. C’est ça qui explique finalement le temps d’avance ou le temps de retard suivant le point de vue qu’on prend.
Antoine Genton : L’anticipation, la collaboration, la coopération, on va en parler, on aura l’occasion d’en parler un peu plus tard dans cette émission. Laure de La Raudière, sur ces assaillants, là encore, est-ce qu’ils ont un temps d’avance sur ce qu’on essaie de faire pour les contrer ?
Laure de La Raudière : Oui, les assaillants ont un temps d’avance, parce que, comme vous l’avez très bien dit, nous avons une prise de conscience très tardive et les menaces augmentent très rapidement. Or la prise de conscience c’est de la pédagogie de tous les citoyens, de toutes les entreprises ; c’est long à décliner. Donc la plupart des entreprises, particulièrement les PME et la plupart des citoyens sont relativement désarmés, désemparés. Pour autant, le gouvernement a mis en place un outil qui s’appelle cybermalveillance.gouv.fr., où vous pouvez à la fois recueillir des conseils mais aussi signaler toutes les attaques que vous subissez.
Il y a, aujourd’hui, peu de prise de conscience dans le grand public, peu de prise de conscience dans les chefs d’entreprises de l’importance de ces menaces, de la permanence de ces menaces, quotidiennement, parce qu’on n’a pas été formés à ça. Quand vous avez un enfant et que vous lui faites traverser la rue les premières fois quand il est seul, vous lui apprenez à le faire. Et à l’école on apprend aussi à se protéger de certains risques. On est informés d’une autre prise ??? Pour la cybersécurité, c’est pas le cas. Personne n’en parle, et les Français n’en sont pas conscients. Si vous demandez aux citoyens, dans la rue, s’ils ont déjà subi une cyberattaque, ils vont vous dire « non », mais le jour où ça va arriver, ils vont être démunis pour pouvoir se prémunir du ransomware qui viendra capter leurs données et qui demandera une rançon, souvent des rançons de 200 euros, 250 euros, 300 euros.
Antoine Genton : Antoine : Pas très élevées, non ?
Laure de La Raudière : Pas très élevées, c’est très lucratif pour le malfrat qui est derrière, parce qu’en général les gens paient pour récupérer leurs données. Et quelquefois ils n’arrivent pas à récupérer leurs données. C’est-à-dire qu’l y a deux types de malfrats : il y a les malfrats qui rendent les données et puis les malfrats qui ne les rendent pas. Donc je voudrais aussi dire aux citoyens, si jamais ça vous arrive, la première chose c’est de signaler ceci plutôt que de payer.
Antoine Genton : Avant de parler de pédagogie, Genma comment sait-on qu’on a été attaqué, piraté, comme vient de le dire Laure de La Raudière ?
Genma :Si l’attaque est bien faite, on ne sait pas, en fait. Pendant longtemps, ça a été, on va mettre en avant, justement, pour avoir des rançons, etc., ou c’est de l’argent facile. Maintenant il y a d’autres aspects où on va utiliser les PC aux dépens de l’utilisateur justement sans qu’il le sache, parce que si on bloque l’ordinateur c’est visible, on a de l’argent tout de suite. Tandis que si on ne bloque pas l’ordinateur, mais on l’utilise pendant des temps d’inactivité de l’ordinateur, quand l’ordinateur tourne en continu, ça permet de créer des réseaux de ce qu’on appelle des botnets : les PC qui sont sous le contrôle d’un attaquant. Il y a un marché noir, justement, de ces botnets-là où on va vendre des ressources de puissance machine qui vont permettre de faire des attaques ciblées de masse pendant un temps donné sur un système industriel ou un système informatique quelconque et justement, tant que c’est pas détecté, la machine est utilisable.
Antoine Genton : On voit là, Philippe Trouchaud, que dans certains cas en tout cas, on se dit que face à une attaque informatique c’est trop compliqué, qu’on n’arrivera jamais vraiment à se protéger, qu’on ne comprend pas très bien non plus ce qui se passe, et être à la merci des hackers, finalement, est-ce que c’est une fatalité ?
Philippe Trouchaud : Non, pas du tout. Comme ça a déjà été dit, en réalité on est peu formés, pas informés et, en fait, les mécanismes de base de protection ne sont pas en place. Les systèmes ne sont pas à jour, ce sont les fameux patchs, mises à jour logicielles. On a un défaut structurel, finalement, c’est qu’on utilise des logiciels de mauvaise qualité.. C’est un problème endémique. Heureusement que l’industrie automobile ne fabrique pas ses voitures comme on fabrique des logiciels, parce qu’on découvre de nouvelles vulnérabilités tous les jours. Donc si on ne met pas à jour son smartphone, par exemple, il peut être sécurisé aujourd’hui, il ne le sera pas demain, donc cette problématique de mise à jour c’est la première, et il y a une hygiène en matière de cybersécurité, comme le fait d’avoir des mots de passe robustes, d’avoir des sauvegardes de ses données, qui n’est pas en place. Donc les incidents de cybersécurité n’arrivent pas par hasard et ils arrivent toujours parce qu’on a quelques malveillances. Et par ailleurs il faut quand même avoir en tête que quand on parle des entreprises qu’on sort d’une ère post-crise. Depuis 2008, dans toutes les entreprises, on a fait beaucoup de plans de réduction de coûts, et l’informatique a souvent été la variable d’ajustement de ces plans de réduction de coûts. Donc ce qui a été en place il y a dix ans ne l’est pas forcément ; on trouve encore des entreprises qui n’ont pas de sauvegarde de leurs données.
Antoine Genton : Laure de La Raudière
Laure de La Raudière : En fait, il y a eu une prise de conscience cette année dans les grandes entreprises, suite aux deux grandes attaques virales, WannaCry et Petya, c’était à la fin du printemps. Ça ne visait pas particulièrement les entreprises françaises. WannaCry je crois que c’était plutôt centré sur l’Ukraine. Donc on voit que du malfrat informatique, il peut aussi y avoir quelquefois des États qui ont un intérêt à déstabiliser d’autres États par des attaques de cette ampleur. Mais certaines entreprises françaises, des très grandes, ont été touchées. Suite à ça, il y a eu des communications dans la presse grand public, les entreprises ont mis en place des procédures beaucoup plus strictes, pour protéger, en fait, face aux risques cyber. Je vais donner un exemple : je crois que c’est Saint-Gobain qui maintenant ne délivre plus le service informatique à ses utilisateurs s’ils n’ont pas fait leur mise à jour de patch de sécurité. Avant, dans une entreprise, dans une grande entreprise, vous faisiez ça, mais toutes les directions métiers hurlaient, parce que plus aucune direction métier ne pouvait plus fonctionner s’ils n’ont pas leur informatique. Donc, finalement, les services d’information pliaient, et n’obligeaient pas les mises à jour des patchs de sécurité. Aujourd’hui, dans les grandes entreprises françaises, il y a eu une prise de conscience des risques cyber ; il y a beaucoup plus de facilité à obtenir le budget nécessaire lié aux investissements cyber, mais ça c’est uniquement dans les grandes entreprises, ou alors dans les organismes où il y a des infrastructures vitales. Mais, après, il y a tout le tissu des PME et tout le tissu des citoyens, qui ne sont absolument pas sensibilisés.
Antoine Genton : Un chiffre pour aller dans votre sens, Laure de La Raudière, que vous donnez, Philippe Trouchaud, et votre cabinet, PriceWaterhouseCoopers : 29 % des entreprises interrogées par votre cabinet, 29 % seulement, perçoivent la sécurité comme un enjeu prioritaire. Trois entreprises sur dix, c’est tout ! Avant de combattre un problème, il faut aussi reconnaître ce problème, dire qu’il existe, ce problème !
Philippe Trouchaud : Absolument. C’est un sondage qui portait surtout sur des entreprises dites de taille intermédiaire. C’est vrai que quand on regarde les entreprises du CAC 40, pour le coup, elles font maintenant de la cybersécurité, le premier risque encouru par leur groupe. Donc les grandes entreprises ont compris. Un petit bémol, quand même, en matière de cybersécurité, il ne suffit pas de faire des chèques et avoir des budgets, il faut d’abord avoir des talents. Et on est quand même là dans une guerre mondiale des talents, il manque aujourd’hui un million de professionnels sur le marché. Très vite, dès 2020, avec l’explosion des besoins et notamment à l’IOT on sera dans un manque de deux millions. La Commission européenne est encore plus alarmiste, elle parle de trois millions de professionnels manquants. Donc on voit quand même que les grandes entreprises échouent parfois, pas parce qu’elles n’ont pas de moyens financiers, mais simplement parce qu’elles n’ont pas les talents.
Antoine Genton : Et ça, c’est un problème de formation ?
Philippe Trouchaud : Absolument.
Antoine Genton : Ou un autre problème ?
Laure de La Raudière : Les formations existent, il y a une cinquantaine de master 2 de cybersécurité, en France. Donc ça a été mis en place. En revanche, ces formations ne font pas le plein. Donc il y a de la publicité à faire pour que les jeunes rejoignent d’urgence ces formations. D’abord, en France, on est excellents dans cette matière, donc on a un savoir-faire en informatique qui est bon et, deuxièmement, il y a de l’emploi derrière, il y a des emplois intéressants, pour des personnes qui aiment l’informatique.
Antoine Genton : Philippe Trouchaud.
12’ 13
Philippe Trouchaud : Je pense qu’une des problématiques c’est qu’il faut que ces carrières soient attractives. Elles ne le sont pas aujourd’hui parce qu’on a toujours du mal à applaudir les trains qui arrivent à l’heure et finalement c’est ce qu’on demande à un responsable sécurité.
Le deuxième point c’est qu’effectivement il y a des formations, mais il n’y a pas de volonté encore très forte politiquement. C’est dommage parce que, comme vous l’avez dit, on est un territoire d’écoles d’ingénieurs, les plus prestigieuses sont issues d’écoles de guerre. On a probablement la meilleure école mathématique dans le monde. On a d’ores et déjà des champions industriels qui rayonnent dans le monde entier. On pourrait se donner un dessein mondial sur la cybersécurité, on manque, excusez de le dire devant vous. Je pense qu’on pourrait avoir beaucoup plus de volonté politique pour, justement, rendre ces carrières attractives. Elles ne seront jamais dans une seule entreprise. Ces talents-là sont des talents mondiaux ; ils sont intéressés par des défis et par des filières et par des expositions mondiales. Donc il faudra, à l’avenir je pense, qu’on raisonne beaucoup plus au moins a minima sur un plan européen que sur un plan local.
Antoine Genton : Laure de La Raudière.
Laure de La Raudière : On a une véritable carte à jouer en France, en fait, pour lancer et consolider une filière industrielle de la cybersécurité, puisque nous avons à la fois des PME qui maîtrisent des technos extrêmement puissantes et des grands groupes qui sont aussi, Thalès ou d’autres, sur ces enjeux de cybersécurité. Et on doit porter, en fait, une ambition de souveraineté au niveau européen, cette filière industrielle. Il y a va naturellement de la sécurité de l’État français, des infrastructures vitales pour notre pays, mais aussi un enjeu économique majeur donc c’est la raison, je dirais, de la constitution du groupe d’étude cybersécurité et souveraineté numérique à l’Assemblée nationale, c’est pour porter cette ambition pour notre pays, à la fois d’un point de vue protection mais aussi d’un point de vue conquête industrielle.
Antoine Genton : Donc la France a énormément de talents Genma. Comment expliquez-vous, vous qui êtes au cœur au système, qui êtes passé peut-être aussi par cette filière et cette formation française, comment expliquez-vous qu’on manque aujourd’hui de talents dans ce domaine de la cybersécurité ?
Genma : Je pense, déjà, que la filiale informatique c’est très vaste et très large et la cybersécurité c’est vraiment une spécialisation de ce domaine-là. Comme on a dit, l’image qu’on a de la cybersécurité, c’est casser du code, faire des mathématiques, faire beaucoup de théorisation – ce qui est nécessaire, effectivement, pour créer, en fait, des systèmes de chiffrement complexes –, mais dans l’opérationnel au quotidien c’est la maîtrise de logiciels, on n’a pas forcément besoin de connaître les algorithmes par cœur, il faut juste savoir que c’est tel algorithme qu’on va utiliser qui est l’état de l’art à l’heure actuelle. Et ça c’est toujours pareil, c’est de la communication pour donner de l’attractivité, dire que dans la cybersécurité il y a deux filiales, on va dire : la filiale théorique où ce sera plus des orientés mathématique, scientifique, qui vont construire, en fait, la sécurité de demain et la sécurité quotidienne, au jour le jour, avec justement mettre en place des logiciels. Il y a différents niveaux. Un technicien de base devrait, à l’heure actuelle, avoir une formation sur des principes de base d’hygiène numérique.
Antoine Genton : On va revenir à la formation, à la pédagogie. Juste un mot avant, avec vous avec Laure de la Raudière, sur les moyens alloués à la cybersécurité. Je pense notamment à l’ANSSI, l’Agende nationale de la sécurité des systèmes d’information, qui est l’organisme gouvernemental chargé de mettre en place la politique nationale de cybersécurité. 80 millions d’euros de budget l’an dernier. C’est moins que le budget de l’Élysée, est-ce que ce budget sera en hausse l’an prochain pour l’Agence ?
Laure de La Raudière : L’ANSSI a été créée en 2008.
Antoine Genton : C’est récent.
Laure de La Raudière : C’est assez récent, mais on n’est pas en retard par rapport aux autres pays européens et d’une cinquantaine d’emplois à l’ANSSI en 2010, aujourd’hui ils sont 260-280. On a auditionné le directeur de l’ANSSI récemment.
Antoine Genton : Qui dit, lui aussi, qu’il a du mal à recruter des talents.
Laure de La Raudière : Il a du mal à recruter. C’est plus un problème, pour lui, de recruter des personnes formées à la cybersécurité qu’un problème budgétaire. C’est une des rares personne de l’État qui doit dire ça. Il dit aussi qu’il faut qu’il reste suffisamment souple, donc il n’a pas du tout envie de devenir une agence à 500 ou 600, parce qu’il veut être très opérationnel, être capable d’être très réactif par rapport aux sujets de cyber, donc il veut rester agence à taille humaine pour avoir cette réactivité-là.
Antoine Genton : L’un des sénateurs Les Républicains, Ladislas Poniatowski, disait lors de cette audition, lors d’une audition en tout cas, c’était début octobre, avec ce directeur de l’ANSSI, que l’ANSSI pâtit d’un problème de ressources : des talents très jeunes mais qui ne restent pas, débauchés par d’autres. « La France ne joue pas dans la même cour que les États-Unis, la Russie et la Chine, nous avons un long chemin à parcourir pour rattraper notre retard », dit-il.
Laure de La Raudière : Ce n’est pas la même chose. Les États-Unis ont a NSA et ça regroupe à la fois les services de renseignement et les services de cybersécurité. L’ANSSI c’est dédié à la cybersécurité, ça ne fait pas de renseignement et c’est une bonne chose à mon avis, vis-à-vis des citoyens, de séparer les deux. Globalement ils ne sont pas là pour vous espionner ils sont là pour vous protéger. Il y en d’autres qui sont là pour vous espionner, enfin certains citoyens, pas tous les citoyens, mais c’est très différent de la NSA ; c’est fondamentalement différent de la Russie aussi. Et je pense qu’on a cette spécificité, en fait, d’une agence qui est là pour protéger les citoyens français, protéger les infrastructures vitales, porter l’État des attaques cyber et des attaques peuvent provenir de pays étranger. C’est Patrick Pailloux lui-même, le directeur de l’ANSSI, qui dit : « Finalement, moi je suis content d’avoir quelque chose d’hyper-réactif ». Oui, il a un problème parce que, je dirais, il forme des jeunes qui vont après servir dans l’industrie, mais finalement ça rejoint l’ambition qu’on peut avoir de développer une filière de cybersécurité en France.
Philippe Trouchaud : Et une collaboration.
Laure de La Raudière : Tout ça est simple si, à la base, il y a suffisamment de jeunes qui s’engagent dans les métiers de cybersécurité, que ça soit des formations de techniciens ou des formations d’ingénieurs ou de master 2. C’est vraiment un appel que je fais aujourd’hui : allez-y, c’est un métier intéressant, c’est un métier en développement. Vous n’aurez aucun problème d’emploi et vous serez bien payé.
Antoine Genton : Philippe Trouchaud.
Philippe Trouchaud : Je voulais réagir parce que pour moi ça relève aussi du Frech bashing systématique. Quand vous voyagez dans le monde, il n’y a pas un cadre législatif comme on en a France et il n’y a pas l’ANSSI dans beaucoup de pays. Je ne vais pas citer de noms pour ne pas faire de peine à nos voisins, mais regardez à côté de nous, mais il n’y a pas cet arsenal législatif, il n’y a pas ces compétences-là.
Après, je pense, d’ailleurs c’est probablement ce qui a été cité devant votre commission, je ne suis pas persuadé personnellement que l’ANSSI ait vocation à employer des milliers de personnes, parce que la collaboration, comme on l’a dit, avec les industriels est précieuse, elle se fait d’ailleurs très fortement dans les pays anglo-saxons. Justement, il faut veiller à ne pas être dans le réglementaire ou la normalisation. Il faut d’abord créer des modes de collaboration qui créent des modèles économiques. Parce que les acteurs de la cybersécurité en France aussi et notamment à travers des schémas de certification, manquent de modèles économiques. C’est très bien d’avoir des règlements, de normaliser le marché, quoiqu’on pourrait en débattre, mais en tout cas tous ces industriels qui ont le talent, qui ont le capital humain, ont besoin d’avoir des débouchés économiques. C’est ça leur première préoccupation.
Antoine Genton : La cybersécurité est-celle vouée à l’échec ? Question posée ce soir dans Le Grain à moudre. Nous en parlons avec Philippe Trouchaud, associé au sein du cabinet PriceWaterhouseCoopers, en charge des activités de cybersécurité ; Laure de la Raudière députée UDI, ingénieur Télécoms ; Genma, blogueur, directeur des systèmes de sécurité dans une PME, Linagora. Je me tourne vers vous, Genma, pour revenir sur ce sujet de la formation, de la pédagogie puisque vous en faites, vous, de la pédagogie lors de conférences, d’ateliers organisés avec des citoyens, des particuliers. Vous parlez d’hygiène numérique, une hygiène nécessaire à tous. Qu’est-ce que cela veut dire précisément ?
Genma : L’hygiène numérique ce sont quelques règles de base que tout un chacun doit s’approprier. À l’heure actuelle on utilise tous les jours un ordinateur, même si on n’en a pas on en a un, ça s’appelle un smartphone, c’est un ordinateur de poche. En fait il y a des règles de base qui sont des règles d’hygiène. L’exemple que je donne souvent lors des conférences, c’est que quand on est petit on nous explique qu’il faut se laver avant de passer à table, eh bien l’hygiène numérique c’est comment éviter la gastro informatique. C’est un terme que j’utilise depuis quelques années maintenant, qui s’est vite démocratisé, qui passe très bien auprès du grand public, justement ce terme, cette appropriation d’hygiène numérique. L’ANSSI l’utilise aussi, maintenant, et fait des très bons guides. D’ailleurs on peut saluer tout le travail qui est fait par l’ANSSI aussi bien au niveau du grand public avec des guides très bien faits sur comment voyager à l’étranger, etc. Des professionnels, en fait plus de collaborateurs qui n’ont pas forcément vocation à travailler dans l’informatique, mais qui vont utiliser l’informatique avec : « vous partez à l’étranger, quelles sont les règles de base pour sécuriser son PC et ne pas avoir des données qui vont fuiter ». Il y a un travail plus complexe avec justement des règles sur comment sécuriser un système d’information avec des règles très poussées de sécurité.
Antoine Genton : Laure de la Raudière, je vous voyais réagir à ce que vient de dire Genma.
Laure de La Raudière : Oui. Vous prenez l’exemple de vous laver les mains avant de passer à table, moi j’ai pris l’exemple de comment traverser la rue et c’est exactement ça : c’est tout ce qu’on a appris par automatismes enfant, eh bien il faut que les adultes réapprennent un automatisme de culture numérique. Vous appelez ça hygiène numérique, moi j’appelle ça plus largement culture numérique qui n’a pas été au cœur de notre éducation en tant qu’enfant.
Antoine Genton : Par quoi ça passe ?
Laure de La Raudière : Qui n’est même pas au cœur de l’éducation des enfants d’aujourd’hui ?
Antoine Genton : Justement par quoi ça passe ? Par quoi elle passe cette éducation ? Par l’école ?
Laure de La Raudière : Justement, moi je prône depuis quelques années le fait qu’au collège on transforme le cours de Techno en un cours de culture numérique où on mettrait un peu de code – apprendre à coder, comment un logiciel ce n’est pas par le saint esprit que ça arrive, les lignes de code comment c’est fait ; deuxièmement on mettrait comment bien se comporter sur les réseaux sociaux et la citoyenneté numérique ; troisièmement on mettrait comment bien se protéger en matière de cybersécurité ; troisièmement [quatrièmement, NdT] on ferait aussi découvrir les différents métiers du numérique qui sont en tension ; on parle de la sécurité aujourd’hui, mais ils sont tous en tension alors qu’on voit certains enfants qui continuent à faire des études supérieures dans des filières qui sont bouchées, c’est quand même dommage ! Il faut peut-être leur faire découvrir ces métiers. On n’a pas les moyens à l’Éducation nationale de tout faire. Je suis d’accord, donc moi je propose des choix ; la priorité c’est le numérique au sens large, donc il faut transformer ce cours de Techno en cours de culture numérique.
Après, je propose dans les entreprises à l’instar de ce qu’ont fait certaines entreprises – je voudrais citer Bouygues Telecom – c’est qu’il y ait une mise en parce d’une petite formation avec, finalement, délivrer un petit brevet, une formation obligatoire à tous les salariés avec un petit brevet à la clef, de culture numérique aussi, avec l’appréhension des enjeux cybersécurité.
Ils ont fait ça par un tutoriel en ligne ??? et puis vous aviez, vous deviez atteindre un certain niveau de compréhension des enjeux du numérique et des enjeux de cyber. Ça n’a pas pris énormément de temps, ça n’a pas coûté très cher à l’entreprise, mais au moins ça a permis de former tous les salariés de cette entreprise. On peut très bien imaginer décliner ça et ça pourrait, d’ailleurs, être une brique de logiciels fournie par l’État, en tutoriels en ligne qu’on diffuserait dans les entreprises. Voilà ce que je propose.
Antoine Genton : Avant de parole à Philippe Trouchaud, vous faites ça vous, Genma, dans votre entreprise des tutoriels, de la formation continue pour vos salariés ?
Genma : Tout à fait. Tout nouvel arrivant reçoit un livret d’accueil dans lequel il y a les dix règles de sécurité de base que nous avons mis en place chez Linagora. Ça va être : utiliser un coffre numérique pour l’usage des mots de passe. Monsieur Trouchaud disait tout à l’heure pour la confidentialité des mots de passe on parle de coffre-fort numérique. Chiffrement du poste. Il y a une sensibilisation à la responsabilité qu’on a par rapport aux mails qu’on peut envoyer ou recevoir, parce qu’il y a toutes les techniques de hameçonnage, etc. On a eu aussi la problématique sur les réseaux sociaux aussi, sur Linkedin où il y a des faux profils qui ont demandé, en fait, des collaborateurs. Donc là on a une sensibilisation avec « non cette personne n’a pas été embauchée chez nous, donc elle n’est pas du tout légitime à entrer en contact avec vous ».
Je me permets juste une petite parenthèse. J’aime beaucoup le terme de « culture numérique » et je vous approuve tout à fait, Madame de la Raudière, parce que c’est vraiment ça en fait. Et dans cette culture numérique, on peut rajouter justement aussi l’éducation, donc sur l’éducation au numérique l’éducation à l’image. On parle souvent des bulles de filtre, des problématiques des réseaux sociaux, etc. En fait c’est un tout et ça touche de très près aussi l’hygiène numérique parce qu’il y a aussi comment se comporter. Ça rejoint un article que je me permets de citer c’est « Hygiène et écologisme numérique » qui a été publié par l’ami Clochix sur le Framablog, un ensemble du réseau de Framasoft. Lui va plus loin que l’hygiène numérique, en fait il parle « d’intimité numérique ». L’intimité c’est « qu’est-ce que je veux protéger » et l’hygiène c’est « comment je veux le protéger ». Et j’ai beaucoup aimé ce terme parce qu’on a beaucoup parlé de qu’est-ce qu’il faut faire, mais avant de qu’est-ce qu’il faut faire, c’est qu’est-ce que je veux protéger.
Antoine Genton : Dans les entreprises, Philippe Trouchaud, la formation, on vient de l’entendre, est essentielle. Est-ce que là aussi on ouvre plus largement à la culture numérique ou est-ce qu’on se concentre sur les besoins précis d’une entreprise ?
Philippe Trouchaud : Pour répondre au début de votre question c’est absolument essentiel. Souvent on n’a pas de stratégie en matière de cybersécurité, on ne sait pas forcément ce qu’on a à protéger, c’est ce qui vient d’être dit, et on a des mauvaises tactiques parce qu’on cherche à se protéger uniquement de l’extérieur alors que 70 % des incidents viennent des employés et des sous-traitants. Donc si on doit faire porter un effort là-dessus c’est d’abord sur la sensibilisation, la compréhension, et le mode répressif n’est pas utile en matière de cybersécurité.
Toutes les chaînes de valeurs, quels que soient les secteurs d’activité, sont de plus en plus éclatées. On a un recours de plus en plus accru à la sous-traitance. On le disait, on n’a jamais autant investi dans la technologie. On investit 4 000 milliards de dollars dans le monde entier chaque année dans la technologie parce qu’il y a des nouveaux entrants dans toutes les chaînes de valeur ; on essaye de les contrer et on sous-traite massivement à des sous-traitants. Donc beaucoup d’incidents qui ont été cités, implicitement ou explicitement, même quand ils étaient dans des CAC 40, ne venaient pas de l’entreprise elle-même ; ils venaient plutôt de sous-traitants ou de partenariat. Évidemment il faut sensibiliser les salariés, mais il faut aussi faire peser des exigences et vérifier ce qui est fait par les sous-traitants ; ça peut être un transporteur, ça peut être quelqu’un qui travaille sur la R&D puisque c’est là qu’on crée la majorité des sources de problèmes en matière de cybersécurité.
26’ 35
Antoine Genton : C’est un sujet que vous abordez
