CryptoLocker, Petya, Locky, WannaCry... Ces noms vous parlent ? S’ils sont loin d’être les premiers, la presse les a largement médiatisés, faisant de 2016, selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI) l’année de la « prise de conscience ». Prise de conscience large, en effet, de nos vulnérabilités face aux cyberattaques.
Certaines sont nouvelles – et les « rançongiciels » listés au démarrage de cet article en font partie – mais d’autres sont déjà traditionnelles, et, malheureusement, bien connues. Mais longtemps la sécurité informatique a été considérée comme un sujet de spécialistes. Mais aujourd’hui, les choses sont claires : la cybersécurité est devenue l’affaire de tous !
Pourquoi ? D’abord, parce que nous vivons dans un monde de plus en plus connecté : smartphones, objets connectés..., nous entourent – nous cernent ? Les estimations du cabinet Gartner évoquent 8,4 milliards d’objets connectés en circulation en 2017, et, probablement, plus de 20 milliards à l’horizon 2020. Le chiffre est impressionnant, mais plus encore lorsqu’on le croise avec un autre, celui annoncé par l’éditeur de sécurité ForeScout, selon lequel il suffit de 3’ pour pirater un nouvel objet connecté...
Ensuite, parce que tous les experts le disent : dans les systèmes d’information, le maillon faible est souvent humain : soit du côté du concepteur, qui laisse des bugs, des failles de sécurité, des backdoors ; soit du côté de l’utilisateur, qui ne met pas à jour son système, qui laisse traîner son mot de passe, qui se laisse piéger par l’ingénierie sociale de l’attaquant...
La question, pour les entreprises, n’est aujourd’hui plus de savoir si elles seront l’objet d’attaques, mais uniquement de savoir quand cela se produira. On distingue quatre principaux types d’attaques : les désormais célèbres rançongiciels (ransomware), les attaques DoS (un flot de connexions sur un serveur pour le surcharger et le faire tomber), les malware (code malveillant) et l’hameçonnage (ou phishing, qui consiste, en général par de l’ingénierie sociale, à pénétrer un système).
Cela se traduit par des piratages dont certains sont tout simplement colossaux. Les chiffres annoncés par le cabinet américain Kaufman, Rossin & Co font état de 1,5 millions de personnes ciblées chaque jour dans le monde par une tentative de piratage. Cela fait presque relativiser les plus grosses opérations en la matière, comme l’agence américaine de crédit Equifax qui a annoncé s’être fait pirater, en 2017, 145 millions de compte. Le record en la matière demeure à Yahoo, qui, en 2013, se serait fait pirater ses 3 milliards de comptes.
Ainsi, l’un des enjeux est économique : les estimations du coût direct de ces attaques varient de 450 à 800 milliards de dollars, des chiffres en constante augmentation ; le marché de la cybersécurité, pour sa part, représente désormais un marché de l’ordre de 100 milliards de dollars par an, là aussi en progression rapide.
L’enjeu, du coup, est également législatif. Depuis la création en 2009 de l’ANSSI en France, ou de l’agence européenne de cybersécurité (ENISA) en 2004, plusieurs textes, recommandations ou règlements ont été mis en place. Le dernier en date, le Règlement général sur la protection des données entre en vigueur en mai prochain, créant de nouvelles obligations pour l’ensemble des entreprises. La recherche est également mobilisée. S’il est inimaginable de revenir en arrière vers un monde qui ne serait plus dans l’hyper-connexion, plusieurs pistes sont explorées dans les laboratoires et les entreprises : rendre plus robustes les objets connectés, accélérer l’identification des menaces, améliorer les modalités de traitement.
Les différents aspects de la question seront abordés le 1er février prochain, à l’occasion d’un Brunch animé par Jean-Yves MARION, directeur du Laboratoire lorrain de recherche en informatique et ses applications (Loria), en présence de Sandrine BECKER - Capitaine à la DGSI, Lucie CLUZEL - Professeur de droit public, Michel ROCHELET -Référent Grand-Est de l’ANSSI et Laurent WERNER -Président de Cyber Detect, start-up issue du Loria.
Cet interlude, labellisé par le programme Lorraine Université d’Excellence, est organisé par la Direction des Partenariats de l’Université de Lorraine et le Laboratoire lorrain de recherche en informatique et ses applications (CNRS, Inria et Université de Lorraine).