L’EPITA, l’école d’ingénieurs en informatique, a organisé, le 25 mars dernier, une conférence pour évoquer l’aampleur qu’ont pris, aujourd’hui, les TIC et comprendre les risques qui y sont associés en termes d’enjeux et de conséquences pour l’avenir
Les récentes attaques contre Google en Chine, les photos de stars détournées, les cas de hacking et autres cyberattaques qui frappent régulièrement la Toile, attaquent les industries, déstabilisent les Etats, montrent la force des TIC et l’arme que celles-ci peuvent représenter dans le jeu des puissances mondiales. Ce qui, à l’origine, devait servir à accélérer et faciliter la communication, révèle aujourd’hui ses limites sécuritaires tant pour les citoyens que pour les entreprises et les Gouvernements.
 Détournées par des pirates, dans un premier temps des « Robins des Bois » du 21è siècle, les TIC sont devenues aujourd’hui un enjeu géopolitique majeur. Décrypter ce nouvel outil de pouvoir, qui peut se révéler aussi insaisissable que dangereux, tel a été l’objet du débat organisé par l’EPITA le 25 mars dernier et animé par Nicolas Arpagian (Rédacteur en Chef de la revue Prospective Stratégique).
Le colloque, ouvert par Joël Courtois (Directeur de l’EPITA), était articulé autour de deux tables rondes, consacrées respectivement aux forces en présence et à l’opportunité ou non de sécuriser Internet, et avait pour objectif d’envisager l’avenir des TIC dans un climat d’insécurité potentielle, de s’interroger sur les moyens de sécuriser Internet et enfin de mieux appréhender la place, toujours plus préoccupante, qu’occupent les TIC en géopolitique.
A cet effet, l’école a rassemblé un certain nombre d’acteurs impliqués au plus haut niveau dans la cybersécurité : Patrick Pailloux (Directeur Général ANSSI - Agence Nationale de la Sécurité des Systèmes d’Information) ; Sébastien Bombal (RSSI AREVA) ; Jean-Pierre Vuillerme (ADIT, ancien Directeur Sécurité de Michelin) ; Thierry Le Galloudec (Représentant OCLCTIC - Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication) ; Maître Etienne Drouard (Avocat Cabinet Morgan Lewis) ; Yves Mathian (Président YMC SAS) ; Michel Charron (Directeur Général AMESIS) ; Gérard Leymarie (RSSI ACCOR) ; Olivier Ricou (Directeur du LRDE – Laboratoire de Recherche et de Développement de l’EPITA).
Le débat a été ouvert par Patrick Pailloux (Directeur Général ANSSI) sur une présentation du panorama des risques et menaces présentes sur le territoire national avec une mise en perspectives d’évènements récents dans plusieurs autres pays.
Internet : espace sécurisé ou sentiment de sécurité ?
Loin de vouloir alarmer, cette première thématique avait pour but de faire réfléchir sur les limites d’Internet et de prévenir des dangers inhérents à son usage. Pour Maître Etienne Drouard, Avocat Cabinet Morgan Lewis, la sécurité est avant tout un sentiment, une perception. La Toile prendrait presque des allures de « zone de guerre ou de non droit » dans laquelle chacun est maître de l’information qu’il véhicule sur lui et de la confiance qu’il accorde dans la divulgation de ses données personnelles.
La tâche de sécuriser complètement le Web semble effectivement impossible à réaliser lorsque l’on sait qu’il est difficile de déterminer l’origine des attaques faites sur le Net. A ce problème de défense stratégique, s’ajoute le fait que, sur la Toile, la notion de territoire est imperceptible : il n’existe pas de frontière physique ce qui rend particulièrement ardue la localisation de l’origine et des auteurs des attaques.
Si, dans la réalité, les Etats ont la possibilité de contrôler les armes, la prolifération nucléaire et leurs ennemis, sur la Toile le fonctionnement n’est pas le même. Les forces en présence ne sont pas non plus les mêmes, les règles du jeu sont différentes. « Tous les pays sont ainsi susceptibles de subir une attaque », précise Patrick Pailloux, Directeur Général de l’ANSSI, avant d’ajouter « La société va de plus en plus s’interconnecter, et donc devenir de plus en plus dépendante du bon fonctionnement des systèmes d’information le problème se posera donc à court ou moyen terme. Il faut se préparer au pire pour pouvoir réagir rapidement et efficacement. »
Ce qui est valable à l’échelle étatique, l’est aussi au niveau de l’entreprise confrontée à des stratégies d’espionnage industriel et/ou des tactiques de nuisance informationnelle. Sébastien Bombal, RSSI Opérations d’AREVA l’a bien compris : Une entreprise, peu importe sa taille et son secteur d’activité, doit mettre en place une organisation structurée. La sécurité n’est pas qu’une affaire de coût. « Chez AREVA, nous sommes plus de 79 000 collaborateurs et nous avons une dimension internationale. Cette dimension internationale ajoutée à notre secteur d’activité nous met dans une position exposée. Nos différents partenariats et collaborations en France comme à l’étranger nous poussent à rechercher un système d’information modulaire, flexible et sécurisé, à la fois pour nous, pour nos clients et pour nos partenaires. »
Si les plus grandes entreprises sont formées, conseillées et ont les moyens de se protéger contre le cybercrime industriel, il y a encore beaucoup d’entreprises sous-informées et qui n’ont pas toujours conscience de la qualité des informations dont elles sont dépositaires, ni de leur capacité à attirer l’espionnage.
Enfin, à un échelon inférieur, les citoyens ont aussi un rôle à jouer dans la lutte contre la cybercriminalité en prenant tout d’abord conscience de la différence entre la sphère privée et la sphère publique. Avec le boom des réseaux sociaux et autres sites communautaires, les individus semblent avoir oublié la notion de confidentialité et de vie privée. Or, sur la Toile, comme partout, la menace existe. Maître Etienne Drouard, Avocat Cabinet Morgan Lewis, rappelle que la notion de confiance qui peut exister dans la vie réelle entre deux individus, existe aussi sur le Net. Il faut, dès lors, savoir à qui l’on s’adresse pour éviter les arnaques et se prémunir contre toute attaque par des solutions techniques simples (hébergeurs propres, limiter les images…).
Que l’on soit donc un citoyen, une entreprise ou un Etat, l’enjeu sécuritaire concerne tout le monde, car tous peuvent être une victime potentielle de la cybercriminalité. En d’autres termes : personne n’est véritablement à l’abri.
Peut-on véritablement sécuriser Internet ?
Cette question se révèle bien délicate puisque la cybercriminalité pose un énorme problème d’attribution d’une intrusion ou d’une offensive et est donc très difficile à stopper. Partant de là, est-il vraiment possible de sécuriser le Web ?
Il existe plusieurs solutions pour lutter activement contre l’essor de la cybercriminalité sous toutes ses formes : prise de conscience individuelle, règlementation nationale, coopération internationale, etc. S’il reste évident qu’une sécurisation totale est vaine et même utopique, ces éléments de réponses restent néanmoins un minimum nécessaire.
De plus, tous les intervenants s’accordent à dire qu’il est indispensable que la lutte contre la cybercriminalité devienne l’affaire de tous. A chaque niveau (citoyens, entreprises ou Etats), sa responsabilité :
- la société civile doit tendre vers une réelle prise de conscience du danger que représente Internet. Ne pas oublier que, face à Internet, nous somme tous vulnérables. Protéger sa vie privée, c’est avoir conscience qu’on ne maîtrise pas les informations véhiculées sur le Net. De même si des moyens judiciaires se mettent en place progressivement pour protéger particuliers et entreprises, ils ne suffisent pas à enrayer le phénomène. La procédure judiciaire, par exemple, reste longue et compliquée. Thierry Le Galloudec, Représentant de l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), prône ainsi une collaboration plus poussée avec les entreprises privées et étrangères (hébergeurs, Etats, opérateurs…). Ce qui aurait l’avantage supplémentaire de pouvoir contrôler les entreprises qui stockent les données personnelles.
- les Etats doivent enfin continuer de développer les outils de sécurisation du Net et encourager les efforts dans cette direction, c’est-à-dire ne pas laisser son contrôle à des forces étrangères (logiciels, hébergeurs, portails, etc.). De même, s’il existe au niveau national des instances et un environnement juridique, Internet, en tant que centre d’enjeux stratégiques, dépasse la seule solution nationale. Des solutions au niveau international pourraient être imaginées en matière de sureté du Web. Cette coopération interétatique poussée pourrait prendre la forme d’une instance mondiale chargée du contrôle et de la régulation d’Internet entre les pays partenaires.
Prospective
Au terme de ce débat, nous pouvons donc retenir que la sécurité du Web dépend essentiellement de chacun. Les Internautes ont entre leurs mains le pouvoir de contrôler et de gérer la sécurité de leurs données personnelles ; les entreprises doivent s’organiser ; et les Etats rester proactifs et vigilants. De manière générale, on pourrait envisager la mise en place de nouveaux protocoles voire de faire un Internet par pays ou par continent ou encore de créer une police internationale dédiée à la cybersécurité.
Gardons enfin à l’esprit qu’à l’horizon de 2015, Internet, phénomène planétaire, va continuer de se développer : le nombre d’internautes va croître. Et, la question de la sécurité se posera d’autant plus que dans certains pays, comme la Chine, ce nombre va décupler.
|
