Gouvernance

Cybersécurité : comment prévenir les risques ?

La confiance. Le mot était sur toutes les lèvres lors du débat d’ouverture du 8ème Forum International de la Cybersécurité (FIC) qui se tenait à Lille les 25 et 26 janvier 2016. Révélations d’Edward Snowden sur les systèmes de surveillance, multiplication des intrusions au sein des systèmes d’informations de grandes entreprises, vol de données ou encore marchandisation des données personnelles… Depuis quelques années, la confiance des utilisateurs est mise à rude épreuve.

190 millions de données personnelles d’électeurs américains dans la nature. Nom(s) et prénom(s), genre, date de naissance, adresse, e-mail, numéro de téléphone, identifiant d’électeur, date d’inscription sur les listes électorales, affiliation politique à un parti, historique de vote… Fin décembre 2015, une base de données contenant des centaines de millions de données personnelles sensibles a été exposée pendant plusieurs jours avant de voir son accès finalement fermé. Un exemple parmi tant d’autres des menaces qui guettent les citoyens, les entreprises et les administrations.

« Une prise de conscience plus qu’une crise de confiance »

Intervenant dans le cadre du Forum International de la Cybersécurité (FIC) le 25 janvier 2016, Nicolas Arpagian, directeur de la stratégie et des affaires publiques d’Orange Cyberdéfense, dressait un constat sans ambages des enjeux actuels de la cybersécurité. « Avant, la confiance était une notion strictement technique. Aujourd’hui les utilisateurs s’interrogent et sont exigeants, les entreprises comme les particuliers nous confient leurs données. La cybersécurité devient une affaire politique dans les entreprises », souligne-t-il, comme pour mieux rappeler la prise de conscience progressive des enjeux de sécurité.

Un constat que rejoint Jean-Yves Latournerie, Préfet chargé de la lutte contre les cybermenaces, qui en appelle à « une prise de conscience plus qu’à une crise de confiance. » Prise de conscience qui passe notamment par la connaissance et l’éducation des utilisateurs selon Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d'information (ANSSI), et Jérémie Zimmermann, co-fondateur de La Quadrature du Net, association de défense des droits et libertés des citoyens sur Internet.

« Le seul message répressif est insuffisant »

« Les individus se sont saisis des usages faciles et ludiques des technologies, sans jamais se poser les questions politiques et juridiques », ajoute Nicolas Arpagian. Pour autant, il ne faut pas culpabiliser les utilisateurs, argumente Guillaume Poupard. Des questions de sensibilisation qui doivent, d’après lui, être intégrées aux cursus d’informatique et pourquoi pas débuter dès l’école primaire, au moment où les jeunes commencent à avoir affaire à Internet. 

Nicolas Arpagian rejoint le constat dressé par Guillaume Poupard, en relevant le manque de culture de la sécurité dans les cursus qui forment les informaticiens de demain. Or, d’après lui, « Il faut comprendre l’esprit d’un ordinateur et de l’économie numérique pour ne pas être un objet mais un sujet de la technologie. La sécurité est un sujet transverse. Le seul message répressif est donc insuffisant. Nous confions notre vie sentimentale, nos finances, notre fiscalité à nos machines. Il serait anormal que l’on ne s’en préoccupe pas si cela se déroulait dans la vie physique. Etant donné le temps que les gens consacrent aux technologies, il faut avoir une certaine exigence de compréhension des enjeux de sécurité. »

Les labels et la recherche pour garantir la confiance

Mais au delà des questions de compétences et d’éducation en matière de sécurité informatique, se pose la question de la confiance des prestataires de services, ces entreprises et intermédiaires qui hébergent et font usage des données. A ce propos, Guillaume Poupard rappelle le rôle ô combien crucial du régulateur - en l’occurrence l’Etat - pour garantir la confiance en instituant une démarche de qualification et de labellisation de ces mêmes prestataires de service. 

La cybersécurité nécessite de s’adapter sans cesse à de nouvelles menaces. Ce qui passe selon François Lavaste, directeur de l’entité CyberSecurity d’Airbus Defence and Space, outre les qualifications, par une réglementation claire pour les opérateurs d’importance vitale (OIV). 

Quid alors de la R&D ? Si, d’après le même François Lavaste, la France dispose de « très bons laboratoires de recherche », pour Nicolas Arpagian il est nécessaire de comprendre le cheminement de l’utilisateur puis de prendre le chemin inverse pour analyser le comportement du pirate. Ce qui passe par des investissements lourds en recherche et développement, une orientation que semble confirmer Guillaume Poupard, directeur de l’ANSSI.

Ajouter un commentaire

Pour suivre la discussion

Retrouvez chaque semaine, les rencontres et les réflexions qui animent le débat de l’équation de la confiance.