net-économie Face au défi des cybermenaces Alain Juillet Président de l académie d Intelligence économique Olivier Hassid Directeur de la revue Sécurité & Stratégie L avènement du numérique est bien évidemment une chance pour ceux qui savent la saisir. Cette source d innovation sans pareille offre à la fois la possibilité d un renforcement spectaculaire de la connaissance, de la maîtrise des paramètres de la globalisation, d une accélération des capacités de recherche et, enfin, d une possibilité d enrichissement. Mais l innovation est aussi source de nouvelles vulnérabilités. Comme l explique d une manière provocatrice Paul Vacca dans un ouvrage récent, nous sommes rentrés dans une nouvelle société dans laquelle la pratique très risquée et le plus souvent violente du hold-up à l ancienne s est muée en hold-up postmoderne, où en lieu et place du sac de billets, c est l information qui est braquée 1. La bande à Bonnot a laissé la place à des hackers anonymes qui s infiltrent dans les systèmes d information en silence et sans effusion de sang. Le hacker, nouvelle incarnation de la criminalité Certes, il ne faut pas pour autant rejeter les mutations en cours. Mais elles nécessitent une adaptation comportementale et une vigilance accrue car leur usage malsain est à la portée des individus mal intentionnés. À l échelle numérique, la notion de vie privée devient plus floue, les secrets les mieux protégés se révèlent extrêmement vulnérables. 1. Paul Vacca, La Société du hold-up, le nouveau récit du capitalisme, Paris, Mille et une nuits, 2012. 122 Sociétal n 79
Face au défi des cybermenaces Une fois entrés par effraction dans les systèmes, les malfaiteurs peuvent s adonner à leurs jeux favoris et, sans que les victimes concernées ne s en rendent compte, voler, piller, s introduire dans leur vie, connaître des secrets de fabrication, divulguer des informations confidentielles, voire révéler des secrets d État à l opinion publique. Paré des plumes de la vertu, comme on l a vu avec l affaire WikiLeaks, ils justifient les piratages et les détournements au nom d une morale libertaire de transparence totale qui refuse d assumer les conséquences de leurs actes. Plus prosaïquement, d autres s attachent à faire fortune par ce moyen délictueux qui présente un risque pénal réduit du fait de l inadaptation de nombre de nos lois à cette problématique nouvelle. Force est de constater qu en dépit du peu de temps écoulé depuis l apparition de l Internet, du smartphone, de Facebook, de Google, ou du cloud computing, peu d entre nous seraient d accord pour revenir à la période précédente dont nous avons du mal à nous souvenir. Au-delà des problèmes de fond, l ère numérique nous a rendus dépendants et fait entrer dans une nouvelle ère sans retour. C est pourquoi il est impératif d en souligner les risques inhérents et les défis colossaux qui posent selon nous quatre grandes questions. Une fois entrés par effraction dans les systèmes, les malfaiteurs peuvent voler, piller, s introduire dans leur vie, divulguer des informations confidentielles, voire révéler des secrets d État à l opinion publique Les enjeux de l ère numérique Internet, un monde de défiance? Comment trouver sa place et se sentir en confiance dans ce monde nouveau encore en construction? Nous avons des efforts considérables de recherche à entreprendre pour mieux appréhender l écosystème numérique et les logiques associées à chacun des acteurs y participant. Dans cette perspective, Benoît Dupont démontre de façon très convaincante dans un article récent que les réseaux de hackers, dont on ne cesse de nous vanter le mode de fonctionnement non hiérarchique et collaboratif, sont gangrenés par une méfiance mutuelle telle qu au final ils les en viennent à se menacer de mort 2. En prolongeant la réflexion sur un plan à la fois plus philosophique 2. Benoît Dupont, «Nouvelles technologies et crime désorganisé : incursion au cœur d un réseau de pirates informatiques», Sécurité & Stratégie, décembre 2012-février 2013, n o 11, pp. 25-38. 1 er trimestre 2013 123
Net-économie Les réseaux de hackers, dont on ne cesse de nous vanter le mode de fonctionnement non hiérarchique et collaboratif, sont gangrenés par une méfiance mutuelle et plus général, on est en droit de se demander si l avènement d Internet n est pas en train de créer une société de la défiance? Le coût de la cybersécurité Peut-on éviter la hausse des coûts liée à la cybercriminalité et à la nécessité d organiser la cybersécurité? Le risque est élevé que le coût des cybermenaces aille en s accroissant selon une courbe parallèle à celle des innovations réalisées en matière de virus. Chacun sait que l imagination des malveillants est sans limite. Il suffit pour s en convaincre de regarder le développement des virus-rançons. Selon l éditeur de logiciels McAfee, le nombre de ces ransomware 3 aurait été multiplié par quatre entre le deuxième trimestre 2011 et le deuxième trimestre 2012! Aujourd hui, d après une enquête Ponemon et sur la base d un échantillon de soixante grandes entreprises américaines, japonaises et allemandes, le coût de la cybercriminalité serait pour chacune d elles de 9 millions de dollars en moyenne par an, ce coût pouvant atteindre pour certaines parmi les plus exposées 40 millions 4 ce qui, à notre sens, est encore peu. La croissance du haut débit à partir Pour une grande entreprise américaine, japonaise ou allemande le coût de la cybercriminalité serait en moyenne de 9 millions de dollars par an des années 2000 5, couplée avec le développement de nouvelles formes d usage des outils numériques (le BYOD Bring your own device, «apportez vos propres terminaux», mais pas seulement), aura eu pour conséquence d accroître à la fois la vulnérabilité des systèmes d information et les attaques en tout genre. Autrement dit, il est désormais indispensable de prendre en compte le haut débit mobile pour penser la sécurité de demain. 3. Source : http://blogs.mcafee.com/mcafee-labs/police-ransomware-preys-on-guilty-consciences. 4. Source : www.ponemon.org. 5. Source : http://www.oecd-ilibrary.org/science-and-technology/terms-of-reference-for-the-review-of-the-oecdguidelines-for-the-security-of-information-systems-and-networks_5k8zq92zhqhl-en. 124 Sociétal n 79
Face au défi des cybermenaces Graphique 1. Nombre d abonnements au haut débit pour 100 habitants en 2001 et en 201 40 35 2011 (June) 2001 30 25 20 15 10 5 0 Source : OCDE Le risque de la crise en réseau Avec une population de 2 milliards d internautes, le cyberespace est devenu une formidable source d enrichissement et d échanges pour les pays, les entreprises et les particuliers. Mais au-delà du développement de la connaissance et de la mise en relation, il a introduit une sensibilité accrue aux défaillances accidentelles. Ainsi, comme le souligne Paul Virilio, la mise en réseau du monde ne porterait-elle pas en germe les prémices de l accident intégral? En effet, à l accident ancien qui restait local, nous sommes en train de voir se substituer le risque de l accident intégral qui ne se déroule pas seulement dans l espace réel, mais dans le temps réel, celui de l immédiateté 6. Pour aller plus loin, on peut dès maintenant avoir la certitude que ce type d accident déclenchera par des réactions en chaîne d autres accidents, allant jusqu à causer un choc systémique. A l accident ancien qui restait local, nous sommes en train de voir se substituer le risque de l accident intégral Par conséquent, il est de notre devoir d anticiper l occurrence de ces crises majeures d une ampleur potentielle mondiale dans le domaine du numérique. Il est urgent de 6. Paul Virilio, L Université du désastre, Paris, Galilée, 2007. 1 er trimestre 2013 125
Net-économie commencer à imaginer les réponses à ces crises encore inconnues. Sait-on comment nos gouvernements, nos institutions, nos entreprises réagiraient devant un virus type Stuxnet (N.D.L.R. : programme développé conjointement par les États-Unis et Israël pour s attaquer à des systèmes iraniens) dans une version plus solide, plus puissante et plus évoluée venant infecter les réseaux de nos entreprises de hautes technologies, les secteurs d importance vitale de nos États, ou paralyser nos chaînes de production? A l heure de la cyberdéfense Le cyberespace n est-il pas source de nouveaux conflits? Conflits entre États d une part, conflits entre États et entreprises d autre part. Il est indiscutable qu Internet introduit de nouveaux risques en devenant dans certains cas un outil de destruction ou de piratage à grande échelle. Il n y a pas que Stuxnet ou Flame (N.D.L.R. : programmes de cyber espionnage) qui peuvent faire des ravages. La création par les principales armées du monde de directions ou de services spécialisés montre que ces capacités sont prises en compte et que certains travaillent à les développer. De nombreux rapports officiels américains font état depuis Internet introduit de nouveaux risques en devenant dans certains cas un outil de destruction ou de piratage à grande échelle dix ans du déploiement par la Chine de cyberunités militaires (dont la récente blue army). Les États-Unis ont eux aussi structuré leurs forces armées en y intégrant des unités dédiées aux opérations d information, à la guerre de l information, puis à la cyberdéfense. À ce titre, en décembre 2011, l US Army annonçait disposer d une cyberunité opérationnelle 7. Vers la guerre cybernétique Fort heureusement cela fait cinquante ans que notre pays n est plus en guerre, mais la conquête ou la défense du cyberespace va très certainement conduire les peuples à découvrir de nouvelles formes de conflits. Comme le rappelle Solange Ghernaouti- Hélie, il va falloir nous préparer à des guerres informatiques à but offensif, d intimidation ou de rétorsion 8. 7. Daniel Ventre, «Le cyberguerrier : nouvelle figure combattante au service de la cyberdéfense», Sécurité & Stratégie, décembre 2012-février 2013, no 11, pp. 39-48. 8. Solange Ghernaouti-Hélie, La Cybercriminalité, le visible et l invisible, PPUR, 2009. 126 Sociétal n 79
Face au défi des cybermenaces Face à ces différents défis, dont certains sont inquiétants, nos institutions européennes et internationales font un travail important depuis des années. L OCDE a rédigé dès 2002 des lignes directrices régissant la sécurité des systèmes et des réseaux d information. Europol et la Commission européenne viennent de créer un Centre européen de lutte contre la cybercriminalité en mai 2012. Au plan national également, l Agence nationale de la sécurité des systèmes d information (Anssi) a été créée le 7 juillet 2009 (décret 2009-834), avec pour vocation, en plus de la sécurité des systèmes d information de l État, une mission de conseil et de soutien aux administrations et aux opérateurs d importance vitale, ainsi que celle de contribuer à la sécurité de la société de l information, notamment en participant à la recherche et au développement de technologies de sécurité et à leur promotion. il va falloir nous préparer à des guerres informatiques à but offensif, d intimidation ou de rétorsion On ne peut que se réjouir de ces avancées, mais tout cela n est pas suffisant face à la concurrence internationale. Devant une menace qui s annonce systémique et aux facettes multidimensionnelles, il est nécessaire que les gouvernements, les entreprises et les institutions transnationales ne se limitent plus à multiplier les annonces, à faire du saupoudrage de moyens. Compte tenu de l environnement, ils doivent évaluer en profondeur l efficacité des dispositifs de prévention en place et la pertinence des organes actuels. Qui sait aujourd hui ce que fait l Enisa qui est pourtant l agence européenne de cybersécurité? Pourtant, nos États et nos entreprises investissement des sommes faramineuses en matière de cybersécurité. Jeremiah Grossman, à la conférence Shakacon 2012, indiquait que nous dépensons collectivement à travers le monde 8,5 milliards de dollars par an en antivirus et firewall, et ce sans que l on sache mesurer l efficacité relative de ces différents outils face aux 26 millions de badwares qui sont sur le marché et ont généré 290 milliards de dollars de pertes cumulées au niveau planétaire 9. Aussi, est-il nécessaire de se demander quels sont les outils technologiques de prévention qui seront en mesure d éviter dans le futur les crises majeures potentielles que l on vient d énoncer? 9. Jonathan Brossard, «Sécurité : 15 ans d échec», Sécurité & Stratégie, décembre 2012-février 2013, no 11, pp. 6-14. 1 er trimestre 2013 127
Net-économie C est par la coproduction de la sécurité, c est par l intersubjectivité entre nos organisations que nous parviendrons à mieux appréhender et mieux répondre aux incertitudes du futur Soyons clairs. Les défis comme les enjeux sont énormes et les solutions encore à découvrir. La prévention des crises implique une sensibilisation du plus grand nombre et dès le plus jeune âge. Il faut imaginer des sauts créatifs en sortant des sentiers battus comme l Estonie qui a introduit la programmation en langage C et en Python dans les programmes éducatifs dès l école primaire. Il faut repenser les dépenses en matière de cybersécurité à partir d une évaluation fine des moyens actuels mis en œuvre. Sur ce point l Anssi a certainement un important travail à réaliser pour prolonger et compléter ce qu elle a déjà entrepris. Enfin, cela suppose de renforcer les outils de réflexion commune entre les États et les entreprises. C est par la coproduction de la sécurité, c est par l intersubjectivité entre nos organisations que nous parviendrons à mieux appréhender et mieux répondre aux incertitudes du futur. Pour conclure, il nous paraît indispensable que l État, par l intermédiaire de tous ses services concernés, en commençant par l Anssi, et les entreprises, à travers des associations de RSSI ou de directeurs de sécurité (CDSE, Clusif, Cigref, Gf2i ), mettent en œuvre un observatoire conjoint de veille et d analyse en matière de cybermenaces et de cybersécurité. Ce n est qu ensemble et par un travail collectif que nous parviendrons à garantir la sécurité numérique nécessaire pour le développement harmonieux de nos activités. L actualité est là pour nous le rappeler : citoyens, entreprises, États, nous sommes tous confrontés aux mêmes menaces. 128 Sociétal n 79