S’armer et se défendre face à l’hyper connexion

En 2020, deux tiers du trafic web global sera généré par les appareils mobiles et les connexions wifi, mais aussi par les objets connectés qui seront trois fois plus nombreux que la population mondiale. Stimulant ou inquiétant ? Connectés en permanence, individus et machines communiquent sans cesse. Certes, le progrès lié à ces nouveaux usages est indéniable, mais comment le système peut-il faire face aux conséquences d’une attaque ou d’une défaillance sur l’un des maillons de la chaîne ? C’est dans une démarche de questionnement et d’échanges que se positionne l’édition 2018 du FIC, le Forum international de la cybersécurité. 11 000 m² d’expositions répartis sur trois halls avec plusieurs espaces dédiés : le FIC innovation village avec 30 start-up et PME innovantes, le challenge FIC «forensic» pour confronter les meilleurs experts techniques, l’espace carrières, le village recherche, l’espace solutions, les espaces de coworking… «Notre fil conducteur ? L’hyper connexion et la capacité à se parer contre les cyberattaques», détaille le général d’armée Marc Watin-Augouard, à l’initiative de la création du forum, pour poursuivre : «À quelques mois de l’entrée en vigueur du règlement européen sur les données (le GDPR, «General Data Protection Regulation», voir encadré), les entreprises et administrations vont devoir faire face à des règles nouvelles, contraignantes et opportunes. Chaque entité qui traite des données devra demander l’autorisation au consommateur. Peu de gens sont prêts. Ce sujet sera dans toutes les conversations cette année.»

«Une partie de la sécurité repose sur le bon sens»

Nouveauté cette année : un escape game

Lors de cet «Escape Challenge», organisé par Sopra Steria, acteur de la transformation numérique, et l’Ecole nationale supérieure d’ingénieurs de Bretagne-Sud (ENSIBS), 16 équipes réunies en bureau d’entreprise devront participer à des épreuves technologiques et de social engineering¹ par sessions d’une heure (le 23 janvier de 9h à 19h, puis en nocturne de 20h à 1h, inscriptions ouvertes aux étudiants et aux professionnels, remise des prix le 24 janvier de 10h à 10h30). S’il est important de sensibiliser dès la formation initiale, c’est parce qu’un mot d’ordre semble prédominer face aux cyberattaques : la prévention. «La cybersécurité entre désormais dans la formation des masters de droit. Ce ne sont que 40 heures, mais c’est déjà un début. L’idée serait que l’on ne puisse plus délivrer un diplôme de ce niveau sans acculturation à la cybersécurité», prône le général Watin-Augouard. Une sensibilisation qui doit aussi aller au-delà des sphères juridiques et s’étendre par exemple aux domaines de la santé, de plus en plus connectée elle aussi.

Le dark web ou le marché noir des données

«Les moyens ont évolué. La cybercriminalité n’est plus un sport mais une activité lucrative. On note clairement une augmentation des occurrences d’attaques. Il faut arrêter de penser qu’une petite entreprise ne peut pas être touchée. Une ‘fraude au président’ est directement rentable pour des cyberattaquants», explique Alexandre Fayeulle, PDG de la société lilloise Advens, 160 salariés en France pour 15 millions d’euros de chiffre d’affaires. L’entreprise définit une feuille de route, identifie les risques et fournit des mesures de protection des systèmes d’information auprès de structures publiques et privées. «Une partie de la sécurité repose sur le bon sens, c’est un peu comme le réflexe de mettre sa ceinture de sécurité. On ne le répétera jamais assez : il ne faut pas ouvrir la pièce jointe d’un e-mail bizarre ! Il faut aussi toujours mettre des clauses de sécurité quand on signe des contrats», conseille Alexandre Fayeulle, présent sur le FIC depuis plusieurs années. Selon des statistiques réalisées par Advens, sur 350 tests d’intrusion menés, 100% des cas relèvent d’une faille de sécurité et 72% des cas, des phénomènes «inquiétants» à prendre très au sérieux.

«La cybercriminalité n’est plus un sport mais une activité lucrative»

Les objets connectés, menace ou révolution ?

En France, 1,2 million d’objets connectés se sont vendus en 2015 pour un chiffre d’affaires de plus de 215 millions d’euros. C’est trois fois plus qu’en 2013. Dans les cinq prochaines années, deux milliards de nouveaux objets connectés seront vendus en France. 33% des Français détiennent au moins un objet connecté : montre, traqueur de santé, TV, thermostat, ampoules… Une évolution indéniable que l’on ne peut pas renier mais à laquelle il faut se préparer… et se prémunir : «La sécurité ne doit pas être un frein. Certes les objets connectés apportent de nouvelles fonctionnalités, mais, par défaut, la sécurité n’est pas intégrée», ajoute le PDG d’Advens qui vient de développer une expertise spécifique au sein des services de l’entreprise. Pour le général Marc Watin-Augouard, il s’agit surtout d’«anticiper le phénomène et de ne pas en être victime». Et d’évoquer aussi la cyberconflictualité entre deux pays. «On ne parle pas encore de cyberguerre, mais la tension entre deux pays peut se manifester de manière indirecte par le cyberespace. C’est un jeu auquel jouent certains États de manière plus ou moins discrète, la plus grande difficulté étant d’apporter des preuves !» Mais partant de ce constat, comment réprimer ? «Les pays devraient se mettre d’accord sur des règles de droit, de procédure ou de coopération diplomatique. D’un côté, il y a les Etats-Unis et la Chine où les données à caractère personnel ne sont pas protégées. Et au milieu, l’Europe qui peut avoir une chance de proposer un autre modèle. Un effet moteur est en train d’arriver avec, par exemple, la Tunisie qui vient de s’aligner à la législation européenne ou, plus globalement, l’Afrique qui va prendre une importance considérable grâce au numérique.» L’arrivée de parlementaires et de sénateurs nouveaux, plus «digitale natives», devrait permettre aussi d’accélérer les choses, comme l’espère le fondateur du FIC : «Il faut aller vite. Si, à la fin du quinquennat, nous n’avons pas fait d’accélération massive, on sera dépassé par les événements. La peur permet d’être en vigilance. Le monde est hyper connecté, on ne reviendra pas au monde précédent. Il faut vivre avec pour le meilleur et pour éviter le pire.»

1. L’ingénierie sociale fait référence à des pratiques de manipulation psychologique à des fins d’escroquerie.

Le GDPR en quelques mots

Le General Data Protection Regulation, décidé en 2015, s’appliquera en mai 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Le GDPR concerne aussi bien les entreprises que les associations, administrations, collectivités locales et syndicats entreprises. Ils seront tenus en principe de s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données. Leur accès, leur modification, leur restitution et leur effacement, sur la demande des individus concernés, devront être garantis. Les sanctions pourront aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros. Un règlement qui impose donc aux entreprises d’intégrer la sécurité au cœur de leurs traitements de données, notamment par une analyse précise des incidents de sécurité.