Cyberguerre : l’impréparation reste la norme
Pour Eric Filiol, qui dirige depuis deux ans le laboratoire de sécurité informatique l’ESIEA, la France est en retard. Alors que le numérique s’impose comme support technologique d’une part croissante d’activités de nos sociétés modernes, celles-ci manquent cruellement de spécialistes de la sécurité informatique. Mais il n’est pas le seul à s’alarmer. Début août, le vice amiral retraité Mike McConnell, ancien directeur de la NSA, notamment, soulignait crument l’impréparation des États-Unis.
Sur le blog du Club des Vigilants, Eric Filiol n’y va pas par quatre chemins. Pour lui, la situation est grave : «la société numérique est en marche et nul retour en arrière n’est possible ni même envisageable. La sécurité des infrastructures pose de ce fait un défi majeur.» Et cela vaut pour les États et leurs administrations comme pour les entreprises, indique-t-il, oubliant au passage les particuliers. Pour le dirigeant du laboratoire de sécurité informatique de l’ESIEA, le problème se résume essentiellement à un défaut de compétences : «les spécialistes en sécurité sont devenus une denrée rare et courtisée », en France, notamment. Mais voilà, selon lui, le retard du pays serait particulièrement grand. Et d’étayer son propos à l’aide d’un chiffre : «les besoins sont estimés à 250 ingénieurs par an pendant 5 ans rien que pour le ministère de la Défense et l’ANSSI. 1 250 spécialistes, c’est bien plus que la capacité actuellement de formation de l’ensemble des écoles d’informatique.» Pire encore, selon Eric Filiol, la situation a toutes les chances de s’aggraver, sous l’effet de la demande croissante d’autres administrations, comme le ministère de la Santé, et bien sûr des entreprises. Celles-ci devront en outre faire face à la concurrence pécuniaire des géants américains de l’IT, capables de formuler des propositions autrement plus alléchantes que les PME françaises.
Une situation plus répandue qu’on ne pense
Pour autant, les États-Unis ne semblent guère en meilleure posture. Au coeur de l’été, Mike McConnell, ancien directeur de la NSA et de la National Intelligence sous l’administration Bush, n’y est pas non plus allé par quatre chemins : «si la Nation était impliquée aujourd’hui dans une cyberguerre, elle la perdrait », a-t-il déclaré dans un entretien accordé à CNN. Les rapports réguliers des spécialistes de la sécurité sont loin d’être alarmistes : «ils ne présentent que la partie visible de l’iceberg. La réalité est bien pire.» Lui n’évoque pas le manque de ressources humaines mais il met en cause les pratiques, soulignant qu’une grande part de la menace pourrait être supprimée «si l’on faisait au moins quelques petites choses de base comme être prudent, changer de mots de passe, configurer nos systèmes correctement. Mais nous ne le faisons pas ». Et pour Mike McConnell, l’enjeu apparaît tout aussi grand que pour Eric Filiol : «cette nation souffre littéralement d’une hémorragie de son capital intellectuel et de son moteur d’innovation. Si cela perdure longtemps, nous perdrons un avantage économique significatif.» Et, bien sûr, il pense à la sécurité des infrastructures industrielles connectées, les SCADA : «un groupe terroriste avec des compétences informatiques pourrait attaquer les infrastructures critiques de ce pays et semer le chaos, tout particulièrement en pleine canicule ou pleine vague de froid. Il pourrait perturber le système bancaire, l’alimentation électrique.»
Mais les États-Unis n’ont pas l’air d’être isolés dans cette situation. Plusieurs sites d’administrations japonaises viennent tout juste d’être victimes de cybercriminels. Une vaste opération qui semble avoir visé son industrie de la Défense, Mitsubishi Heavy en tête. Il y a trois semaines, c’était Epson en Corée du Sud qui était victime d’une attaque informatique. Et le premier semestre 2011 n’a pas manqué d’exemples plus retentissants les uns que les autres.
Hackers, le temps de la réconciliation
Dans le cas particulier de la France, Eric Filiol propose une solution : celle de la réconciliation. Pour lui, il faut aller «chercher les ressources là où elles sont. Chez les hackers que l’on a tendance à diaboliser à l’excès ». Soulignant que ce terme «désigne toute personne capable d’analyser en profondeur un système», Eric Filiol dénonce «l’empilement» des textes législatifs ayant été utilisés pour répondre aux hackers, «tous aussi subtilement inappropriés». La faute notamment, selon lui, à la menace de l’article 323 du Code Pénal où sont définies les peines encourues pour l’attaque de systèmes informatiques. Des dispositions qui bloquent l’émergence de véritables conférences locales autour du hacking, indispensables à ces yeux : «depuis quatre ans, les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hacking.»
Bref, pour lui, la France relève encore d’un «monde d’anciens qui administrent mais ne comprennent rien à la technique et de jeunes hackers qui maîtrisent mais qui n’administrent pas ». Ce qu’il qualifie de «fracture» devenue «intenable ».
En complément:
- Opinion : piratage à Bercy, incident majeur ou effet d'aubaine ?
- Sony, l'exemple malheureux d'une impréparation ordinaire
- Cyberguerre : l'impréparation est plus généralisée qu'il n'y paraît