Cyberattaques : ce mal qui ronge la révolution numérique
Les cyberattaques n’ont de cesse de se multiplier, allant parfois jusqu’à paralyser des dizaines de milliers d’utilisateurs, entreprises ou institutions publiques. En parallèle de la naissance d’une « cyber-diplomatie », cette montée en puissance des agressions 2.0 engendre le développement d’un marché prometteur, lié à la vulnérabilité informatique.
« La cybercriminalité et les cyberattaques font partie de notre quotidien. En la matière, la France doit viser l’excellence. » Ce jeudi 15 juin, devant un parterre d’entrepreneurs et de professionnels du numérique réunis à l’occasion de VivaTech, Emmanuel Macron souligne l’importance d’intégrer, aux multiples transformations induites par le digital, celle de la sécurité. « Cette nouvelle grammaire, nous avons à la porter, à la penser », insiste le président de la République. Un enjeu incontournable en cela qu’il irrigue désormais tous les pans de notre économie. « Tout le monde est concerné : dès lors qu’une institution, une entreprise possède ne serait-ce qu’un fichier informatique, cela peut susciter un acte de malveillance », souligne David Martinon (promo 92), ambassadeur français pour la cyberdiplomatie et l’économie numérique, rattaché au ministère des Affaires étrangères.
Des conséquences qui peuvent être irréversibles.
De fait, les leaders industriels, comme les institutions publiques peuvent être visés par des cybercriminels : en mai dernier, quelque 200 000 utilisateurs, répartis dans 150 pays, ont été victimes de Wannacrypt, un « ransomware ». Comprenez : un logiciel ayant pour but d’infecter des systèmes informatiques. Parmi les cibles de cette cyberattaque : des hôpitaux britanniques et le constructeur Renault. Le temps d’un week-end, le géant de l’automobile a même été contraint de suspendre sa production sur certains sites afin de soumettre ses ordinateurs aux vérifications exigées en pareilles circonstances. A peine un mois et demi plus tard, le 27 juin, c’est au tour du virus Petrwrap de se répandre d’Ukraine jusqu’en Europe occidentale et aux Etats-Unis, perturbant les systèmes d’entreprises de premier plan : celui de la Maïf, de Saint-Gobain, du géant allemand de la cosmétique Beiersdorf ou encore du groupe pharmaceutique américain Merck.
Des offensives d’un nouveau genre qui, selon les experts, devraient continuer de proliférer. Avec des conséquences potentiellement dramatiques : « Si une cyberattaque cible un hôpital, le plonge dans le noir et paralyse ainsi les outils de traitements, des patients sont susceptibles de mourir », souligne Emmanuel Germain, directeur général adjoint de l’Agence nationale de la sécurité des systèmes d’information (Anssi), organisme gouvernemental en charge de coordonner la cyberdéfense de l’Hexagone.
Des risques 2.0, conséquences des nombreux bouleversements liés au numérique. « Nous étions, il y a encore peu de temps, dans un univers où devaient être protégées les grandes infrastructures physiques », ajoute Benoît Thieulin (promo 95), codoyen de l’École du management et de l’innovation de Sciences Po Paris. « En l’espace de vingt ans, nous avons basculé dans un monde où les infrastructures immatérielles sont devenues essentielles aux fonctionnements de nos vies », ajoute celui qui fut par ailleurs président de Conseil national du numérique (CNN). De son côté, David Martinon n’hésite pas à évoquer « une nouvelle forme de guerre », qui, à la différence des autres n’est ni interétatique, ni codifiée. « Le hacking n’est pas seulement l’apanage des nations », ajoute Benoît Thieulin, « mais peut également émaner d’individus isolés ou d’une entreprise voulant saboter les recherches industrielles d’une société concurrente ». Un paradigme qui, d’après lui, appelle à l’adoption de nouvelles règles. « Il faudrait décliner pour le monde numérique les lois pensées pour les guerres traditionnelles », explique-t-il. « Bombarder un hôpital est considéré comme un crime. Or, une cyberattaque d’ampleur contre un établissement de santé peut également avoir des conséquences irréversibles. »
La France et les autres : quels remparts contre la cybercriminalité ?
Comment, dès lors, se protéger un minimum contre ces agressions ? Sur ce front, la France semble plutôt bien placée par rapport à ses voisins, à en croire David Martinon. « Pour ce qui relève de notre capacité à nous prémunir contre les dangers du cyberespace international, nous sommes dans le peloton de tête des pays les mieux préparés au monde, même si les États-Unis ont encore une grande avance liée à la performance et à l'ancienneté de leurs industries numériques. » Puis, souligne-t-il, depuis quelques années, la France s’attache à renforcer sa protection en la matière. « L’écosystème de la cybersécurité est très vibrant dans notre pays. Ces problématiques sont d’autant plus prises en compte depuis la refonte de notre stratégie nationale de sécurité du numérique, définie en octobre 2015. » Cette dernière a été voulue par le gouvernement pour répondre aux enjeux des nouveaux usages. « Par ailleurs, le ministère des Affaires étrangères français a été le premier au monde à nommer un ambassadeur pour la cyberdiplomatie et l'économie numérique, négociateur en chef et coordinateur pour tous les sujets cyber », détaille-t-il. « Enfin, l’Anssi, lancée en 2009, est montée en puissance et est désormais forte d’une équipe étoffée.»
La prévention : la meilleure protection ?
Nommé directeur général adjoint de cette agence en début d’année, Emmanuel Germain pointe néanmoins, de son côté, une « certaine vulnérabilité de la France » face aux dangers du digital. Une fragilité toutefois relative car, assure-t-il, « près de 80 % des cyberattaques pourraient être évitées si un certain nombre de bonnes pratiques étaient mises en œuvre, et si les usagers se rendaient réellement compte des risques encourus ». Les entreprises notamment. « Elles devraient consacrer 5 à 10 % de leur budget informatique aux questions de cybersécurité. » Si la prise de conscience commence à infuser auprès de certaines PME ou TPE, elle reste néanmoins trop timide. « Elle progresse bien trop lentement au regard de l’ampleur du danger, de même que la numérisation en général des entreprises sur notre territoire demeure encore un enjeu », regrette Benoît Thieulin. « Un patron doit comprendre qu’une seule cyberattaque peut suffire à lui faire tout perdre, un peu comme un tremblement de terre », renchérit Emmanuel Germain. « Sauf qu’à la différence d’une catastrophe naturelle, une attaque numérique peut statistiquement vous arriver une fois par an ! »
Yuliya Morenets (promo 2006) ne dit pas autre chose. Cette chercheuse de formation, passée par le Conseil de l’Europe, est la cofondatrice de Together against cybercrime international (TaC), une organisation citoyenne à but non lucratif visant à sensibiliser différents acteurs aux enjeux liés à la cybersécurité. « En cas de problème, les grandes entreprises disposent en général de ressources internes suffisantes pour réagir. Contrairement aux plus petites qui, lorsqu’elles sont victimes d’une attaque numérique, ne savent pas vers qui se tourner. Cela constitue autant d’enquêtes qui ne sont pas menées », analyse cette experte. « Il faudrait mettre en place une sorte de guichet unique auquel les sociétés victimes de cyberattaques pourraient s’adresser », prône-t-elle. Yuliya Morenets appelle à la mise en place d’un « plan de formation à destination des dirigeants de PME et TPE ». Une sensibilisation qu’elle souhaiterait même plus globale, y compris auprès des particuliers. « Beaucoup ont tendance à choisir un mot de passe commun à plusieurs plateformes, de surcroît facile à deviner. Je ne parle pas des pièces jointes qui sont ouvertes même lorsque l’on ne sait pas d’où vient le courriel, ou des clés USB étrangères que l’on branche sur nos appareils », énumère-t-elle. « Nous devons à tout prix faire prendre conscience des implications potentielles de ces comportements à risque. »
Une analyse recoupant celle de Benoît Thieulin. « De plus, ajoute-t-il, avec les smartphones, nous faisons nos courses, commandons des médicaments : bref, nous relions des aspects entiers de nos vies personnelle et professionnelle à des outils numériques. » Et de souligner ce qu’un hacker mal attentionné pourrait tirer de l’ensemble de ses données que nous contribuons à mettre sur le net : « Prenons l’exemple de votre santé. Un fin connaisseur du web est capable de récupérer les données indiquant où vous avez voyagé ces dernières années, de déterminer combien de temps vous avez été exposé au soleil, et en déduire vos risques, par exemple, de développer un cancer de la peau », développe-t-il. « De votre côté, vous pouvez penser que les données concernant vos billets d’avion sont secondaires, qu’elles n’ont rien à voir avec votre santé. Or, le recoupage de l’ensemble des data permet de dégager des informations sensibles. » Conséquence : un espion, un expert en big data peut en savoir bien plus sur votre vie… que vous-même. « D’ailleurs, les pires dictateurs du XXe siècle n’avaient pas accès à autant d’informations sur leurs compatriotes que les dirigeants d’aujourd’hui », s’amuse à souligner cet expert du digital. « Le potentiel d’espionnage a décuplé, tant au niveau individuel, qu’industriel. »
Des menaces génératrices d’opportunités professionnelles
Des bouleversements tels qu’ils requièrent de nouveaux besoins humains. « Au sein du master innovation et transformation numérique que nous créons cette année à Sciences Po Paris, nous avons établi un partenariat avec Paritech », explique Benoît Thieulin. « Nous devons faire rentrer des ingénieurs dans notre institution afin de rapprocher les sciences sociales des sciences dures. C’est pour cela que nous allons proposer des cours autour du darknet [l’internet caché, NDLR], du hacking… » Des formations adaptées donc pour répondre à toute une nouvelle gamme de métiers en gestation, à destination y compris de profils non-scientifiques. « Une fois qu’un développeur recueille une information, il faut savoir la traiter. Cela peut relever par exemple du travail de sociologue », expose le codoyen de l’école du management et de l’innovation. « Nous étions hier dans un monde cloisonné. Aujourd’hui, le contexte est à l’imperméabilité des fonctions. »
Des métiers émergeants pour une filière qui s’annonce porteuse tant la cybersécurité semble avoir de beaux jours devant elle. Selon le cabinet d’études américain Gartner, ce marché a augmenté de 7,9 % entre 2015 et 2016, dépassant les 81 milliards de dollars. Un chiffre qui pourrait croître exponentiellement : les dépenses liées à la cybersécurité devraient culminer à 1 000 milliards de dollars d’ici 2021, à en croire les calculs d’une autre cabinet, CyberSecurity Ventures.
Quelles pistes pour encourager l’innovation dans ce secteur ?
Un marché économique en gestation appelé donc à faire des émules. « Jusqu’ici, l’internet des objets s’est surtout développé autour de la notion d’échange, d’ouverture, sans intégrer la notion sécuritaire », commente Emmanuel Germain. « Les systèmes informatiques ont fait irruption dans notre quotidien, dans nos villes, régissant des aspects entiers de notre vie. » La porte ouverte à toutes sortes de cyberattaques, du piratage de sites de mairies ou d’associations, à d’autres aux conséquences plus lourdes.
De quoi appeler les pouvoirs publics à renforcer leurs collaborations avec les entreprises innovantes. C’est dans ce contexte que le Boston Consulting Group (BCG) a récemment publié une étude intitulée « Technologie et coopération : des clés pour des villes intelligentes et connectées ». « La smart city, la ville connectée, a émergé en France autour d’une vision très positive, très inclusive », commente Agnès Audier (promo 90), directrice associée au bureau parisien du BCG et coauteure de l’étude. « Les professionnels de la sécurité sont même parfois effrayés par cette approche. Il faut bien entendu garder cette positivité tout en restant réaliste, et en alerte, sur les risques induits par la connectivité. » Parmi les constats du cabinet de conseil : les efforts de bons nombres de mégalopoles de premier plan pour mettre en place des infrastructures de pointe ont accru leur exposition au cyberterrorisme. Sur la base de ce constat, le BCG a émis des recommandations. En particulier, la définition de priorités stratégiques claires qui permettraient aux startups d’innover plus efficacement. « De multiples acteurs sont impliqués dans la sécurité d’une ville : forces de polices nationales et locales, entreprises de sécurité ou non, entreprises de transport, hôpitaux… », poursuit Agnès Audier, « cela suppose une réflexion collective permettant de définir un cap en fonction des menaces ». Une impulsion commune passant notamment par une clarification des normes techniques. « Les collectivités territoriales doivent pouvoir dire, par exemple, “on veut tel système de sécurité” », complète-t-elle.
D’autre part, si le marché des technologies sécuritaires est défini par beaucoup comme un secteur d’avenir, il n’en reste pas moins fragmenté « entre beaucoup d’acteurs différents, comme les collectivités territoriales, les institutions. Ces dernières ne sont pas à la base, des clients de technologie », souligne Agnès Audier. Conséquence : le marché peine à gagner en attractivité et la R&D à se développer.
Des mutations restent nécessaires donc pour accompagner l’éclosion du secteur de la cybersécurité. « Il faut une plus grande visibilité sur ce marché. Actuellement, de nombreux fonds rechignent logiquement à investir sur des innovations de sécurité publique car les cycles de vente, couplés aux processus décisionnels administratifs, restent trop longs », constate Agnès Audier. Et ce alors que la sécurité offre, d’ores et déjà, des perspectives de croissance plutôt rares dans le contexte actuel : au Royaume-Uni par exemple, elle connaît, depuis 2010, une croissance cinq fois plus rapide que les autres secteurs économiques.