Cybersécurité : une situation meilleure qu’on ne le dit ?
Pour le CIGI, le chercheur Eric Jardine prend du recul par rapport aux chiffres habituellement présentés par les fournisseurs de solutions de sécurité. Et du coup, pour lui, la sécurité sur Internet s’améliore.
C’était en octobre 2012, à l’occasion de l’édition européenne de RSA Conference. Art Coviello, alors patron de la division sécurité d’EMC, affirmait « prendre toujours les chiffres de la cybercriminalité avec prudence ». Des chiffres publiés à l’envi, rapport après rapport, tous les trimestres, ou deux fois par an, ou encore annuellement, selon les fournisseurs de solutions de sécurité. Mais des chiffres marqués par une constante : à leur lecture, la conclusion semble s’imposer ; la situation de la sécurité sur Internet se dégrade constamment.
Pas surprenant, dès lors, que beaucoup considèrent que la cybersécurité a échoué, et continue d’échouer, à l’instar d’une large majorité des participants à l’édition 2014 du Forum International de la Cybersécurité, à Lille.
Dans son rapport rédigé pour le CIGI canadien, le chercheur Eric Jardine, souligne en effet que les chiffres présentés ainsi souffrent d’un biais naturel : il s’agit soit de valeurs absolues – nombre d’attaques observées sur la période étudiée –, soit de pourcentages d’évolution sur un an.
Une représentation biaisée
Dès lors, pour lui, ces représentations sont bien loin de fournir un réel « paysage de la menace », comme en affichent fréquemment l’ambition. Selon Eric Jardine, « pour obtenir une image précise de la sécurité dans le cyberespace, les statistiques de la cybercriminalité doivent être exprimées comme une proportion d’un Internet à la taille croissante (comme pour la pratique routinière d’expression de la criminalité comme une proportion de la population, avec par exemple 15 meurtres pour 1000 personnes par an).
En procédant ainsi, Eric Jardine obtient une représentation très différente de l’image qu’inspirent les valeurs absolues et la médiatisation croissante de certains incidents. Pour lui, lorsque les valeurs absolues montre une dégradation de la situation, les valeurs normalisées montre une amélioration. Lorsque les deux montrent une amélioration, les secondes montrent une amélioration plus rapide. Enfin, lorsque les deux montrent une dégradation, les valeurs normalisées montre une dégradation plus lente que les autres.
En définitive, pour le chercheur, « le cyberespace est global plus sûr que l’on ne le pense généralement ».
Le CIGI canadien et la britannique Chatham House supportent conjointement ce rapport, en tant que partenaires de la Global Commission on Internet Governance, un think tank établi en janvier 2014 « pour articuler et proposer une vision stratégique de la gouvernance du futur pour Internet ».
Le risque de la sous-estimation
Si l’analyse avancée par Eric Jardine paraîtra de pur bon sens à n’importe quel statisticien, beaucoup risquent de s’étrangler à la lecture de ses conclusions. Ainsi, pour lui, la représentation en valeurs absolues de la cybercriminalité « a généré une perception sévèrement négative de la sécurité dans le cyberespace, et conduit les gouvernements, entreprises et citoyens individuels à prendre des mesures supplémentaires pour se protéger en ligne ».
La tournure de phrase laisse poindre un reproche. Mais l’approche statistique d’Eric Jardine omet de tenir compte de nombreux facteurs, tels que la vétusté de certains systèmes, ou encore l’ampleur des dégâts potentiellement causés par des attaques réussies très ciblées. Et l’on pense notamment aux récents incidents dont a été victime le bureau fédéral américain de gestion du personnel, l’OPM.
Quoique, pour le coût des attaques réussies, Eric Jardine lisse encore une fois les valeurs absolues, en les rapportant à la taille de la contribution d’Internet à l’économie mondiale. Là encore, ces chiffres nouvellement moyennés invitent à la relativisation. Avec le risque, pour un lecteur patron d’entreprise ou directeur financier, d’être tenté de sous-estimer l’impact pour son organisation d’une éventuelle attaque réussie. Alors qu’il est généralement connu pour sa propension à s’imaginer que cela n’arrive qu’aux autres.
L’intention est toutefois louable : « une compréhension réaliste du niveau de sécurité dans le cyberespace est important parce qu’une image négative de la situation, au-delà du nécessaire, peut conduire à réponses politique radicales aisément susceptibles de faire plus de mal que de bien ». Certes, mais les politiques ont bien d’autres arguments pour proposer des législations régulant les activités en ligne aux effets secondaires potentiellement désastreux. Ils en ont régulièrement fait la démonstration au cours de la dernière décennie.
Des recommandations prudentes
Questionnable par endroit, et dressant un portrait de la cybersécurité à priori rassurant, le rapport d’Eric Jardine ne verse toutefois pas dans l’angélisme. Il recommande ainsi de centrer les politiques sur les individus : « le point faible de la plupart des systèmes de sécurité informatique est souvent l’utilisateur individuel, et non pas le système technique en lui-même ». En outre, l’auteur suggère de « détecter et contrer les nouvelles vulnérabilités plus vite en s’appuyant sur le logiciel libre là où c’est possible », mais également de « réduire la possibilité pour les agences de sécurité nationales de conserver des exploits inédits à des fins de sécurité ou de renseignement en exigeant qu’elles soient rendues publiques dans un délai raisonnable ».
Mais Eric Jardine va plus loin, appelant au développement d’accords internationaux sur le pourriel, le hameçonnage, et les attaques basées sur le Web. Surtout, il invite à la recherche de moyens – « via les mécanismes du marché ou l’intervention de l’Etat, voire les deux » - pour distribuer le coût de la cybercriminalité.
Selon lui, les entreprises du secteur privé « dont les activités s’appuient sur Internet doivent faire mieux pour se protéger », tant en travaillant sur leurs moyens humains, sur la sensibilisation de leurs effectifs, ou encore sur leurs ressources techniques – « parfois avec le soutien financier de gouvernements dans le cas de PME ».
Quant aux spécialistes des solutions de sécurité… sans surprise, le chercheur les invite à publier des données normalisées.
Pour approfondir sur Cyberdélinquance
-
Microsoft : l’activité cyber des États-nations se confond de plus en plus avec la cybercriminalité
-
Guerre en Ukraine : les entreprises appelées à renforcer leur cybersécurité
-
Machine learning : la différence entre une corrélation et une régression linéaire
-
Cybercriminalité : une coopération internationale limitée… même en Europe