La prochaine crise sera cyber

« Pour ce qui est de l’avenir il ne s’agit pas de le prévoir mais de le rendre possible. » Ces quelques mots de Saint-Exupéry font parfaitement écho à l’amplification de la menace cyber, ses effets induits et la manière dont nous pouvons – et devons – nous en prémunir. En effet, la question n’est plus de savoir si une crise majeure cyber va avoir lieu mais quand elle va se produire. Pierre Bessé, PDG du cabinet de conseil en assurance du même nom, et Claire Juiff, experte « Fraud Prevention, Cyber Risks and Data Intelligence » dans un grand groupe bancaire, nous livrent leur analyse de ce risque systémique et nous donnent des clés utiles pour construire une société résiliente en matière de cyber, tant d’un point de vue individuel que collectif.

Par Sarah Pineau

Un risque systémique

Piratage massif de comptes twitter de personnalités le 16 juillet, incident informatique de grande ampleur chez l’assureur MMA quasiment le même jour, l’Australie victime d’une cyberattaque étatique en juin : ces trois exemples pris dans l’actualité récente imposent la menace cyber dans l’horizon aussi bien médiatique qu’économique ou géopolitique ; et nous en subissons les effets majeurs, faute de l’avoir correctement anticipée. « En cela une crise cyber a de fortes similarités avec la crise sanitaire que nous avons vécue » avance Pierre Bessé. « Le risque d’une pandémie était connu et identifié depuis longtemps mais nous avons été surpris par la Covid-19 car nous étions insuffisamment préparés, individuellement et collectivement. » Bien que fort éloignées en première approche, crise cyber et crise sanitaire ont pour point commun majeur leur caractère systémique. Aussi les conséquences de la seconde nous permettent d’envisager sans difficulté celles que pourrait avoir la première. « Le virus cyber a toutes les caractéristiques d’un virus sanitaire, que ce soit en terme de propagation ou d’impacts. Il se réplique vite, peut devenir hors de contrôle et paralyser du jour au lendemain toutes les activités dans le monde. Dans le cas d’une catastrophe classique type phénomène naturel, inondation, ouragan ou autre, c’est limité géographiquement et on peut toujours déporter l’activité. Dans le cas d’une pandémie cyber ou sanitaire, il n’y a aucun repli possible, ce d’autant plus que tous les niveaux sont touchés : les individus, les entreprises et les Etats. » ajoute Pierre Bessé.

De plus, la virulence d’un virus cyber est accentuée par le caractère opportuniste de ses auteurs note Claire Juiff : « Durant la crise sanitaire, on a observé une adaptation des vecteurs classiques d’attaques des hackers au contexte : en-têtes de l’OMS pour le phishing, fraude aux faux fournisseurs pour des commandes de masques, fraude au président en prétextant le rachat d’une entreprise en difficulté financière suite à la Covid-19… » En d’autres termes, l’attaquant a toujours une longueur d’avance sur le système de défense, raison pour laquelle il est difficile de le contrer.

Enfin, le caractère systémique de la menace cyber réside dans son extension au monde physique : le cyberespace n’est pas replié sur lui-même, « bien au contraire » tient à souligner Claire Juiff. « Le cyber ne se limite pas à l’informatique. Une crise cyber a des prolongements dans le monde réel : elle peut mettre à terre des Opérateurs d’Importance Vitale comme les centrales nucléaires et électriques ou engendrer des bouleversements politiques et idéologiques en manipulant les informations et les opinions. Le cyber peut être appréhendé comme un vecteur d’accélération des menaces classiques. »

Une résilience à construire

Une fois le constat posé, restent les solutions à trouver. Or, si la conscience du risque cyber semble présente, les actes pour le prendre en charge sont encore timides : selon la dernière étude sur le sujet, publiée par Bessé et l’IFOP en novembre 2019, seuls 32% des dirigeants d’ETI (Entreprises de Taille Intermédiaire) estimaient être « tout à fait préparés » à affronter une crise cyber¹. Pour remédier à cette situation, les cabinets de conseil et d’assurance s’efforcent d’être des « lanceurs d’alerte », tout en rappelant que chacun a un rôle à jouer dans la construction d’une résilience collective. Pierre Bessé indique ainsi que la « cyber assurance n’est qu’un maillon de la chaîne de valeur cyber. Elle n’a pas d’intérêt si le risque n’est pas prévu et gouverné par ailleurs ». Au-delà des entreprises qui doivent s’efforcer de sécuriser au maximum leur système d’information, les salariés sont une « ligne de défense » de première importance selon Claire Juiff. « Vous pouvez faire de votre système d’information un château fort, si les salariés ne sont pas sensibilisés au sujet, ils ouvriront tout grand le pont-levis aux hackers. » D’où la nécessité de faire œuvre de pédagogie, d’accompagner les salariés pour que les mesures de protection informatique ne soient plus vécues comme des contraintes mais comme des gestes barrières indispensables à l’hygiène informatique de tous, pour poursuivre la métaphore avec le domaine sanitaire. Pour ce faire, il faut communiquer de « manière positive » recommande Pierre Bessé. « Si on fait peur, personne n’agira car la peur est sidérante ».

Quel rôle pour la puissance publique ?

Dans cette résilience collective, l’Etat a également un rôle à jouer, et Pierre Bessé salue la manière dont le sujet est traité au plus haut niveau : « La puissance publique conduit aujourd’hui un travail extraordinaire d’anticipation tout en faisant la promotion de l’intérêt d’agir de manière coordonnée, notamment au niveau européen. » Et de citer pour preuve la feuille de route de l’ANSSI pour les dix prochaines années². La structuration de l’écosystème de la cybersécurité est sans doute la mission principale qui revient à l’Etat. Si les entreprises doivent disposer en interne de capacités de détection des attaques cyber et de moyens de s’en prémunir, pour autant il est de la responsabilité de l’Etat de « donner des lignes directrices » estime Claire Juiff et, plus encore, de « coordonner la riposte ». En effet, en collectant les attaques cyber, l’ANSSI peut immédiatement diffuser l’information et les messages de prévention aux entreprises, et ainsi éviter une propagation massive.

Pour finir, quid de la souveraineté nationale numérique que certains appellent de leurs vœux, cf. la lettre ouverte adressée à Cédric O, Secrétaire d’Etat au Numérique par une cinquantaine de personnalités politiques et de l’économie numérique le 28 juillet³ ? Pierre Bessé comme Claire Juiff adhèrent à l’idée, tout en émettant des réserves sur le temps que prendra une telle initiative : « Faire avancer un Etat et s’attaquer à la régulation d’un système est long » indique ainsi Pierre Bessé. Long sans doute mais nécessaire pour Claire Juiff, tant les entreprises françaises sont aujourd’hui dépendantes, dans leur volet numérique, d’offreurs de solutions extra européens qui pourraient, en cas de crise cyber majeure, traiter de manière non équitable les entreprises en fonction de leur nationalité, comme on a pu l’observer sur le versant sanitaire avec la fourniture de masques…

On a coutume de le répéter, la France n’a pas de pétrole mais elle a des idées. Pour ce qui est du numérique et particulièrement de la sécurité, la priorité est sans doute de sensibiliser l’ensemble de la population en faisant de l’éducation au numérique une matière fondamentale dès l’école primaire comme l’indique le rapport Eurydice sur l’éducation au numérique dans 43 pays européens⁴. Une discipline d’avenir qui devrait être valorisée dans le cadre d’une formation continue afin de s’assurer que notre matière grise ne soit pas confrontée à une pénurie de ressources lorsque la crise surviendra. L’humain sera la clef pour répondre à la crise cyber de demain…

Légendes

– Pierre Bessé, PDG du cabinet de conseil en assurance Bessé Conseil

– Claire Juiff, Experte « Fraud Prevention, Cyber Risks and Data Intelligence »

1^ Enquête Ifop pour Bessé « Les dirigeants d’ETI face à la menace cyber : point de situation », novembre 2019, [En ligne], URL : https://www.besse.fr/fr/les-dirigeants-deti-face-la-menace-cyber-point-de-situation

2^ Agence Nationale de la Sécurité des Systèmes d’Information, « Pour l’écosystème de la cybersécurité », janvier 2020, [En ligne], URL : https://www.ssi.gouv.fr/uploads/2020/01/anssi-manifeste-2020.pdf

3^ Collectif, « Ne laissons plus les GAFA s’emparer des données européennes », 28.07.2020, La Tribune, [En ligne], URL : https://www.latribune.fr/opinions/tribunes/ne-laissons-plus-les-gafa-s-emparer-des-donnees-europeennes-853782.html

4^ https://www.educavox.fr/formation/analyse/rapport-eurydice-l-education-numerique-dans-43-pays-europeens)