Construire aujourd’hui la réponse à l’inconnu du risque cyber 2049

Security officer watching cloud blocks forming face in sky

Publié par SDmagazine 9 octobre 2019

Par Adèle Cibo

La menace cyber est changeante et protéiforme. Elle l’est depuis ses débuts et le restera demain. Les cyber-attaquants développent régulièrement de nouvelles techniques pour continuer à frapper, fort, administrations et entreprises. Cela s’est encore vérifié l’année dernière. Selon l’étude X-Force Threat Intelligence Index 2019, les attaques aux rançongiciels ont eu tendance à diminuer (-45 % sur l’année) tandis qu’une nouvelle menace a émergé : le cryptojacking. Avec une augmentation de +450 %, cette attaque qui consiste à faire miner des cryptomonnaies à l’insu des systèmes informatiques ciblés, a affecté de nombreuses organisations. Face à la transformation permanente du risque, la prise de conscience des dirigeants s’effectue progressivement. Mais demain, plus qu’une prise de conscience, toute structure devra se doter d’une réponse technologique appropriée et d’une culture organisationnelle pour affronter un risque dont personne ne peut prétendre connaître les contours.

« Les techniques et objectifs d’attaques n’ont pas changé en 2018. Cependant, on note un déplacement de l’attention vers de nouvelles plateformes, comme le Cloud », confie Alex Pinto, Directeur de Verizon Security Research. Selon lui, « il est très difficile de prédire comment va évoluer la menace parce qu’en cybersécurité tous les deux ans quelque chose de nouveau émerge et vient tout bousculer. De plus, même lorsqu’un nouvel élément d’attaque concentre toutes les attentions, on réalise finalement qu’il est basé sur les techniques fondamentales et connues de la menace cyber. »

Une menace plus rapide et massive

Cependant, s’il est un aspect qu’il est aisé de voir venir quant aux risques cyber de demain, c’est la vitesse accrue de leur propagation. Dans quelques années, lorsque le réseau 5G aura été déployé sur une grande partie de la surface du globe, et que la transmission de données, en masse, ne sera plus l’affaire que de quelques centièmes de seconde, les attaques simultanées feront des dégâts monumentaux.

De plus, d’aucuns parlent de cyber-attaques bientôt assistées par l’intelligence artificielle et le machine learning, bien que ses implications restent, pour le moment, peu étudiées. Il est toutefois facile d’imaginer le développement d’une IA capable par la reconnaissance de texte d’émettre des courriels identiques à ceux que pourrait avoir écrit le PDG de l’entreprise. Ces techniques de phishing nouvelle génération auront dès lors un potentiel de dommages considérable.

Technologie et culture pour la cybersécurité de demain

« Ce qu’il faut réussir, c’est à inverser l’ordre des choses : faire en sorte que cela devienne plus facile pour nous de nous défendre que pour les criminels d’attaquer », estime Alex Pinto. Utopie ou voeu pieu, il s’agit là d’un combat remontant à la nuit des temps. Mais qu’à cela ne tienne, les acteurs français et européens entendent bien mener la vie dure aux cybercriminels.

Parmi eux, les fondateurs d’EGERIE – société française spécialiste de l’analyse de risques cyber – misent sur deux angles fondamentaux : nouvelles technologies et techniques, mais aussi valeur humaine. « Il est essentiel d’investir dans l’innovation continuellement pour trouver dès aujourd’hui des clés qui nous permettront d’être plus efficaces contre le risque futur. Innover dans notre domaine, c’est avoir un temps d’avance. Nous devons, plus que des solutions, proposer de véritables processus qui permettent de mettre en place une stratégie globale de cyber. La notion d’outillage est essentielle.» explique Jean Larroumets, président et co-fondateur d’EGERIE. « Le futur se prépare aujourd’hui, c’est certain. Il s’agit donc d’investir en R&D, bien sûr, mais intelligemment ; rien ne sert de développer des gadgets attirants s’ils n’apportent aucune valeur ajoutée à ce que nous savons déjà faire ! Il faut donc réussir à se projeter tout en restant à l’écoute des besoins et des évolutions du quotidien, tout cela dans un contexte porté par une complexité exacerbée. La gestion et la réévaluation cyberdynamique du risque sont le futur de la cybersécurité. Réactivité et puissance de calcul seront les clés de la gestion des risques cyber, demain. » ajoute le Président d’EGERIE.

La cybersécurité, elle aussi, devra miser sur IA et big data. « Le futur de l’analyse de risques doit être de plus en plus automatisé. Face aux flux de données colossaux, l’humain ne pourra pas tout analyser mais il restera le pilier central des schémas d’avenir. Le seul moyen d’assurer une prise de décision éclairée et rapide est de se faire assister par un outil d’intelligence artificielle, qui améliorerait le processus complet de l’analyse de risques », souligne Pierre Oger, Vice-président d’EGERIE et d’ajouter « L’automatisation est donc primordiale. La prochaine étape de l’analyse de risques se situe autour de sa modélisation. Il faut l’automatiser davantage pour parvenir à construire des arbres d’attaques plus sophistiqués, plus fins, plus précis et répondants chaque fois aux besoins évolutifs des utilisateurs finaux ».

Cependant, il ne s’agirait de perdre la valeur humaine au profit de la technologie. « Le risque cyber de demain ne pourra être combattu qu’à la force d’humains prêts à collaborer avec d’autres et à explorer de nouvelles pistes de recherche en bonne intelligence », appuie Pierre Oger. Cela passe, notamment, par la diffusion d’une culture de l’intégration du risque dans les organisations (grands groupes, PME, OIV, secteur public, etc.) à tous les niveaux de gouvernance, aux postes stratégiques comme opérationnels. « Sans oublier la formation ! » s’exclame Jean Larroumets, lui-même intervenant auprès des futurs acteurs de la cybersécurité à Telecom Paris et ISEN Toulon car « plus que d’experts en cybersécurité – bien que ce soit important – nous avons besoin d’une société formée à la cyber ! »

Souveraineté numérique : scénarios divers

Alors que la « souveraineté numérique » imprègne tous les discours, il devient clair que cet enjeu déterminera également les contours du risque cyber de demain. Le Center for Long-Term Cybersecurity de l’université de Berkeley (CLTC) a imaginé plusieurs scénarios pour la cyber à l’horizon 2025.1 L’un deux, “Barlow’s revenge”, imagine un monde coupé en deux. D’un côté, Etats européens et Etats-Unis abandonneront l’idée de contrôler leurs données numériques et laisseront les plateformes gérer l’intégrité de l’espace. Derrière cet imaginaire 2025, l’échec du RGPD auprès des populations européennes : « En 2025, dans l’Union européenne, le concept de vie privée est entièrement défini par les firmes, et non les gouvernements », visualise le CLTC.

De l’autre côté, en revanche, les entreprises chinoises et indiennes seront complètement sous l’emprise de la volonté et de la stratégie politique. Alors qu’il est aisé d’imaginer cet avenir pour Pékin, les chercheurs du CLTC insistent sur le scénario prêté à l’Inde : « sa politique économique, extrêmement étendue vers le monde numérique, semblait incontrôlable et destinée à donner le plein pouvoir aux entreprises… jusqu’à ce qu’une cyberattaque majeure ait lieu sur le réseau électrique du pays en 2021, causant l’arrêt de plusieurs systèmes pendant des jours et des milliers de morts. Cet événement changeait radicalement la tournure du débat », extrapole le CLTC.

Pierre Oger, vice-président d’EGERIE soulève enfin : « Le cloisonnement physique n’existe plus. Il faut donc développer des fonctions cryptographiques. L’accès à l’information et sa protection vont donc devenir, peu à peu, primordiales. De plus, seuls ceux qui détiendront la donnée auront le pouvoir de la protéger. » Un scénario différent se dessine alors. « Pour compter dans le cyberespace et contrer la menace, il faudra se rendre utiles et fournir des outils de confiance aux autres.. Or, les GAFAM et BATX, une fois une taille démesurée atteinte, n’auront peut-être plus l’agilité nécessaire à l’innovation. S’ils ne savent pas protéger leurs clients, ils disparaitront au profit de plus petits acteurs, qu’ils soient étatiques ou privés », détaille-t-il. « Dans un monde de réseau, ce sera donc l’influence, la confiance et la co-construction qui devraient ériger notre futur. Le monde de la cyber appelle à un nouveau modèle de compétences et l’humain en sera l’acteur clé ! L’ouverture, l’échange et le partage doivent à présent guider les actions européennes si nous ne voulons pas rester en marge d’un monde apolaire. Le processus est long et nous n’avons plus le temps d’attendre ! Il est urgent de réagir ! » en appelle enfin Pierre Oger.

1CYBERSECURITY FUTURES 2025: INSIGHTS AND FINDINGS, Center for Long-Term Cybersecurity UC Berkeley, Février 2019 [en ligne] https://cltc.berkeley.edu/wp-content/uploads/2019/02/Cybersecurity-Futures-2025-Insights-and-Findings.pdf

PARTAGER TWEETER EPINGLER PARTAGER PARTAGER