FIC 2015 : l’efficacité de la sécurité fait encore débat
Pour la seconde année consécutive, l’efficacité de la sécurité informatique animait le débat d’ouverture du Forum international de la cybersécurité. Mais cette fois-ci, l’utilisateur final apparaît moins oublié que précédemment.
La lutte contre les cybermenaces est-elle déjà un combat perdu ? C’était, peu ou prou, le sujet des échanges lors du débat d’ouverture de cette édition 2015 du Forum international de la cybersécurité, qui se déroule actuellement à Lille. Comme un écho au débat d’ouverture de l’édition précédente.
Pour Jean-Michel Orozco, président d’Airbus Defense & Space Cybersecurity, la réponse est clairement négative : « depuis trois ans, nous avons énormément progressé ». Sa source de satisfaction ? La prise de conscience : « il y a trois ans, la plupart des décideurs auxquels nous parlions découvraient le concept de cyberattaque. C’est rare, désormais ». S’il concède qu’il reste « encore beaucoup à faire », c’est parce que, selon lui, « nous n’en sommes qu’au début d’une histoire qui va durer longtemps. Ce sera une lutte sans fin », comme des menaces en constante évolution.
De la sensibilisation à l’action
La plupart des dirigeants français ne savent pas comment fonctionne un système informatiqueGérard Berry, Professeur au Collège de France
Mais d’autres s’avèrent moins positifs, à commencer par Franck Grèverie, vice-président corporate cybersécurité de Gapgemini. Pour lui, ces mêmes décideurs « ne passent pas à l’action lorsqu’ils sont sensibilisés, mais lorsqu’ils ont compris ». Et souvent, donc, après avoir été victimes d’une attaque : « cela fait une grosse différence ». Même son de cloche du côté de Gérard Berry, professeur Collège de France : « la plupart des dirigeants français ne savent pas comment fonctionne un système informatique ». Comprendre la menace apparaît donc difficile. Et la situation des parlementaires n’est guère meilleure : « ce sont des gens de très bonne volonté, mais leur culture de la sécurité informatique est proche de zéro ». Alors, pour Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), la question est alors, sinon surtout, « d’apporter le bon niveau de maîtrise à chacun », un niveau de compréhension du sujet adapté à son profil.
Une sécurité négligée dans les développements
Mais la responsabilité des fournisseurs technologiques n’est pas à minimiser. Selon Franck Grèverie, « 80 % des attaques touchent les applications, alors qu’on s’est concentré pendant des années sur la sécurité des centres de calcul ». Surtout, pour lui, « on s’aperçoit souvent que les règles de codage sécurisé ne sont pas respectées. Avant de parler des attaques les plus avancées, commençons par respecter les règles de base ». Un regard que partage Guillaume Poupard, pour qui « la sécurité doit se penser au départ ; l’ajouter ne surcouche ne fonctionne pas ».
80 % des attaques touchent les applications, alors qu’on s’est concentré pendant des années sur la sécurité des centres de calcul.Franck Grèverie, VP cybersécurité de Gapgemini
Guy-Philippe Goldstein, consultant, ne le contredira pas. Pour lui, « la qualité des logiciels est insuffisante. Les industriels du logiciel vont beaucoup trop vite », au point que la vulnérabilité des logiciels serait susceptible de constituer, à terme, « un risque systémique ». Un point qui apparaît d’autant plus clé, pour les participants, que se multiplient les appareils connectés, ouvrant la voie à la multiplication des attaques dites « cyberphysiques ».
Dans ce contexte, le test logiciel apparaît-il comme une solution ? Sa portée est limitée pour Gérard Berry, qui lui préfère les méthodes formelles : « la sécurité est testable jusqu’à un certain point. Lorsque l’on teste, on suppose toujours quelque chose. Et sur l’attaquant, on ne peut rien supposer ». Pour lui, « la science peut faire que l’infrastructure soit solide. Mais pour être honnête, ce n’est pas encore fait ».
Améliorer détection et réaction
Reste encore à graver la sécurité dans tous les esprits. Selon Franck Grèverie, « 60 % des appels d’offres ont des exigences de sécurité ». Ce qui signifie que les autres… « nous demandent de coder sans exigence de sécurité ». Mais au-delà de cela, c’est l’efficacité des processus de gestion de crise, de réaction à l’intrusion, qui est en cause. Comme l’a montré l’incident Target, relève Guy-Philippe Goldstein. La notification des incidents joue là aussi son rôle, une obligation légale pour les opérateurs d’importance vitale, souligne Guillaume Poupard. Mais les autres ? Pour Jean-Michel Orozco, le partage d’informations est d’autant plus important que « l’avenir de la cybersécurité, […] c’est bien connaître son ennemi, être capable d’appréhender les patterns d’attaque – le renseignement sur les menaces est fondamental pour combattre les gens qui sont par définition là pour nous surprendre ».
Et puis, face des opérations comme #OpFrance, il faut être vigilant : « les défacements ne sont rien que des graffitis sur un mur. Il ne faudrait que le bruit sur ces incidents masque des attaques plus graves ». Justement, le terme de cyberguerre prononcé à l’occasion de cette opération n’est-il pas trop fort ? Si, pour Guy-Philippe Goldstein : « avec une guerre, il y a un nombre significatif de morts, des destructions industrielles ». Même son de cloche du côté de l’Anssi : « je suis prudent sur les mots », explique Guillaume Poupard.