RSA Conference
Brad Smith, de Microsoft, s’inquiète des menaces liées aux États-nations
En ouverture de l’édition 2018 de RSA Conference, le président de Microsoft en charge des affaires juridiques, a appelé gouvernements et secteur privés à se mobiliser contre les menaces informatiques imputables à des États.
L’an dernier, lors de RSA Conference, le président de Microsoft en charge des affaires juridiques Brad Smith, jugeaitque la montée en puissance des menaces informatiques liées aux États-nation avait fondamentalement changé l'industrie. C’était avant les épisodes WannaCry et NotPetya. Pour le premier, les États-Unis ont accusé la Corée du Nord. Pour le second, la Russie est soupçonnée depuis le mois de juillet dernier.
Mais déjà, au même endroit, en 2014, celui qui était alors le directeur exécutif de RSA, Art Coviello, appelait à l’adoption de normes de comportement, de règles d’engagement, et même à un désarmement numérique, estimant l’humanité « à la croisée des chemins ». L’an dernier, dans un entretien exclusif avec la rédaction, il jugeait que la situation allait « définitivement de pire en pire ». Là encore, c’était avant les épisodes WannaCry et NotPetya.
Remontant sur la scène de RSA Conference cette année, Brad Smith a qualifié le 2017 de « coup de semonce ». Car pour lui, « nous avons vu des gouvernements attaquer des civils en temps de paix ».
Pour Brad Smith, il est facile de ne regarder WannaCry et NotPetya que comme deux épisodes qui affectent les ordinateurs. Mais non, « s’il y a un message que nous devons faire passer ensemble aux gouvernements du monde, c'est ceci : non, ce n'est pas seulement une attaque sur les machines. C'est une attaque qui met en danger la vie des gens ».
Et de diffuser une vidéo qui montre comment les rançongiciels affectent le fonctionnement d’hôpitaux et obligent les médecins à reporter des soins : « c'est pourquoi nous devons répondre à l'appel ». Pour Brad Smith, l'industrie des technologies de l’information et la communauté de la cybersécurité ont « une responsabilité envers le monde ».
Le responsable des affaires juridiques de Microsoft a alors souligné des projets du secteur privé comme le Defending Democracy Programou encore renvoyé à son appel lancé l’an passé à la création d’un consortium pour contrer les cybermenaces des États-nation. Et justement, cette année, « 34 entreprises de notre industrie ont fait exactement cela ; nous avons annoncé un nouvel accord sur la cybersécurité. C'est le genre de progrès que nous devons faire ».
Le Cybersecurity Tech Accord rassemble des entreprises comme Facebook, Cisco et Dell, qui se sont engagées à travailler ensemble « pour protéger et responsabiliser les civils en ligne et pour améliorer la sécurité, la stabilité et la résilience du cyberespace ».
Mais Brad Smith a également appelé les gouvernements du monde à faire plus, et en particulier à ratifier une « convention de Genève du numérique » qui interdirait les cyberattaques sur les réseaux électriques, les hôpitaux et autres infrastructures critiques qui pourraient entraîner la perte de vies humaines.
Pour mémoire en 2016, Microsoft avait déjà appelé à un tiers indépendant pour l’attributiondes cyberattaques, une première étape vers des normes de cybersécurité. Pour l’instant, il semble avoir largement prêché dans le désert. Et alors que le volet politique de l’attribution semble avoir largement pris le pas sur sa dimension technique, il semble peu probable qu’il soit plus entendu aujourd’hui.
Toutefois, d'autres à RSA Conference 2018 ont fait écho aux préoccupations de Brad Smith. Kenneth Geers, chercheur en chef chez Comodo Cybersecurity, relève ainsi que « les États-nations sont dépendants du cyberespionnage. Ne serait-ce que parce qu’il « est plus facile pour les gouvernements de lancer des cyberattaques que des opérations physiques ».
Avec nos confrères de SearchSecurity.com (groupe TechTarget).