L'effet Snowden a fait de la cybersécurité un défi collectif prioritaire

Les révélations d'Edward Snowden ont provoqué une accélération du marché mondial de la cybersécurité, ainsi que la création de nouveaux outils et de nouveaux métiers. Elles ont aussi dopé la demande des entrepreneurs, et l'implication de leurs collaborateurs.
Mike Janke, PDG et cofondateur de Silent Circle, présente le Blackphone, un smartphone chiffré conçu avec la start-up espagnole Geeksphone pour protéger les données personnelles des utilisateurs./ DR

« Il y a une prise de conscience grandissante. »

Cette formule revient dans les propos de la plupart des entrepreneurs du secteur, réunis fin janvier à Lille dans le cadre du 6e Forum international de la cybersécurité (FIC 2014). Depuis les révélations d'Edward Snowden, ils assistent à de grands changements au sein des entreprises avec lesquelles ils travaillent.

« Il y a cinq ans, je grossis à peine le trait, c'était le monde de techniciens, de responsables de la sécurité en entreprise qui savaient ce qu'ils avaient à faire, commente Luc-François Salvador, PDG du groupe Sogeti. Puis, avec le temps, à cause de la sophistication des attaques, la croissance des vulnérabilités, les Wikileaks, les Snowden, les attaques telles que Stuxnet [un virus informatique, ndlr], le monde a compris qu'il se passait quelque chose dans un espace où se rencontrent le consommateur, le citoyen, l'entreprise et les autorités. »

Fabrice Hatteville, responsable des lignes de produits sécurité mobile chez Thales, confirme :

« L'affaire Snowden a beaucoup aidé à la prise de conscience, à matérialiser ce dont on leur parlait depuis longtemps, mais il nous manquait des cas concrets dont on pouvait parler alors que maintenant, c'est dans le journal. »

Les dernières révélations de l'ancien informaticien de la NSA, publiées en décembre par le journal allemand Der Spiegel, mettaient l'accent sur le fait que la collecte d'informations n'avait pas lieu seulement sur le réseau, mais concernait aussi le hardware, comprenez les serveurs et les ordinateurs, qui pouvaient aussi être corrompus. Une aubaine pour les entrepreneurs du secteur.

Le jeune Erwan Keraudy, cofondateur de l'entreprise CybelAngel, qui a gagné le prix de la PME innovante lors du FIC 2014, rappelle toutefois qu'« Internet, ce n'est pas le mal, c'est juste un nouveau média. Vous y trouvez des gens bien et des gens moins bien, mais finalement, comme dans la vraie vie... ça appelle juste à de nouveaux besoins », et, dans un premier temps, la récolte et la revente de données privées, entraînant, bien entendu, la création de systèmes de protection de plus en plus performants.

Aux nouveaux besoins, les entrepreneurs associent aussi de nouveaux budgets, comme le constate Philippe Duluc, responsable de l'offre cybersécurité du groupe Bull :

« On assiste à une modification dans la perception des décideurs en matière de sécurité. Les RSSI, responsables de la sécurité des systèmes d'information, en étaient conscients mais n'avaient pas vraiment les moyens de répondre à ces menaces. »

Les budgets alloués à la sécurité des systèmes d'information ne cessent d'augmenter, à l'instar de la demande :

« Pour Sogeti, elle oscille entre 25 et 30 % suivant les années », avance Luc-François Salvador, alors que Philippe Duluc reste plus évasif :

« Snowden a permis cette prise de conscience par les dirigeants d'entreprise, pour dépenser un peu plus d'argent sur la sécurité. »

Comment se traduisent les nouveaux besoins exprimés ? Comment évolue le marché de la cybersécurité ? Quatre grandes tendances se dégagent.

L'émergence de nouveaux métiers

Exit les informaticiens seuls responsables de tout le volet sécurité informatique, ce sont aujourd'hui les comités exécutifs qui traitent en direct avec les entreprises spécialisées dans la sécurité :

« À la protection est venue s'ajouter la gouvernance, cela veut dire que la sécurité doit intégrer un process, un système de management, ce n'est pas quelque chose que l'on fait une fois et que l'on oublie, ce doit être vérifié en permanence », commente Philippe Duluc (Bull).

Avis que partage Fabrice Hatteville (Thales) : « La sécurité n'est plus un sujet technique, cela concerne l'ensemble des fonctions puisqu'on est sur des projets de transformations qui touchent aux process des entreprises. »

Qui dit nouvelles habitudes et nouvelles responsabilités, dit aussi nouveaux services et nouveaux métiers. Plus politiques que techniques, ils vont de pair avec l'apparition de nouvelles filières d'études ou de recherches en cybersécurité, cryptographie, sécurité des systèmes... Selon L'ANSSI, 46 filières en cybersécurité sont actuellement reconnues en France. Elles forment les spécialistes de demain, dont les futurs métiers n'existent pas encore, ou alors sous une forme hybride :

« On voit de plus en plus les dossiers confiés aux services de gestion du risque des entreprises et on voit arriver des pays anglo-saxons, la notion de "trust & risk" management », indique Luc-François Salvador (Sogeti). Une position qui risque encore d'évoluer dans les années à venir.

Toutefois, le temps de dérouler ces process de sécurité peut parfois porter à s'inquiéter puisque, face à une menace, un vol de données qui peut prendre de quelques minutes à quelques heures, les réponses semblent encore fastidieuses :

« Les démarches sont soit de type appels d'offres, soit sur prescription de l'État qui organise une communauté des acteurs de confiance », explique LucFrançois Salvador, alors qu'il est parfois plus simple, et meilleur en termes de sécurité, de déconnecter simplement les machines corrompues du réseau.

« Les pirates n'ont pas de business process très long, ils n'ont pas non plus de comité exécutifqui va valider leur trojan... Il faut des gens qui soient très réactifs et très souples pour pouvoir les affronter ou, du moins, les détecter aussi vite que possible », souligne Adrien Duclos, responsable des analyses cybersécurité chez CybelAngel.

Les usages en mobilité, enjeu principal

Les téléphones chiffrés, qu'il s'agisse du Blackphone de Silent Circle et Geeksphone, du téléphone sécurisé de Cryptofrance, du Teorem de Thales ou du Hoox de Bull, font une discrète apparition sur le marché du mobile. Pourtant, la sécurité n'arrive aujourd'hui qu'au cinquième rang des préoccupations des détenteurs de smartphones, une vulnérabilité qui pourrait coûter cher à certaines compagnies tant les usages mobiles en entreprise se répandent :

« Aujourd'hui, les entreprises sont en train de se transformer en utilisant smartphones et tablettes, plus seulement pour les VIP ou pour les cadres, mais aussi pour les populations métier, la maintenance, les ateliers, l'énergie, etc., souligne Fabrice Hatteville. On les équipe avec des outils de ce genre. La sécurité des données de l'entreprise entre en jeu, mais il faut aussi ajouter les tiers tels que les fournisseurs, les clients, les usagers... »

Fabrice Hatteville plaide pour un transfert des habitudes de sécurité informatique vers les usages en mobilité plutôt que pour un suréquipement technologique qui ne donnerait qu'une illusion de sécurité :

« Aujourd'hui tout le monde a des solutions de sécurité sur son PC type antivirus ou pare-feu, voire chiffrement des données. Ces réflexes n'existent pas encore de la même façon sur les usages mobiles mais ça va venir progressivement. »

En termes de conseils, les basiques qui reviennent sont bien évidemment de ne pas télécharger n'importe quelle application, d'utiliser pare-feu et antivirus, et surtout de protéger ses données dans des dossiers chiffrés et « être prudent dans l'usage que l'on fait de l'outil mobile en étant conscient qu'on peut parfois divulguer des informations sur soi ou sur d'autres sans trop le savoir et sans forcément en anticiper les conséquences ».

L'expérience utilisateur devient donc très importante comme facteur de la sécurité par l'acceptation de bonnes pratiques au quotidien : « La sécurité, c'est avant tout une histoire d'hygiène », conclut Luc-François Salvador.

Pourtant, ce n'est pas tout de suite que le grand public pourra avoir accès à de nouveaux téléphones sécurisés, trop chers à produire, dixit Philippe Duluc :

« Aujourd'hui, pour le grand public, il faut que les coûts soient extrêmement faibles. Il est vraiment difficile de dire qu'on va pouvoir sortir un équipement qui soit sécurisé, avec un très haut niveau de sécurité, à bas prix. »

Ce à quoi les défenseurs des logiciels libres répondent par la technologie ouverte, comme Jérémie Zimmermann, cofondateur et porte-parole de la Quadrature du Net :

« Il faut remettre l'humain au coeur de ces problématiques de sécurité en les rendant accessibles à tous. »

Il milite contre une protection à deux vitesses, accessible seulement à une partie de la population, selon qu'elle soit riche ou misérable, protégée ou écoutée, encore une fois sur la base des révélations d'Edward Snowden vis-à-vis de l'espionnage de la NSA.

Un avis auquel Philippe Duluc répond par l'importance de la chaîne de confiance :

« Dans le logiciel libre, il faut quand même que quelqu'un s'occupe de l'intégrer dans votre système, s'occupe de le compiler, etc., et il faut que cet acteur-là soit aussi de confiance. »

Et de donner un exemple : « Si vous prenez un logiciel libre qu'il soit installé par Microsoft, par exemple, ou par une autre compagnie américaine, vous n'avez pas forcément le même niveau de confiance, il faut faire attention à ne pas intégrer de nouveaux risques de sécurité. »

Pourtant, le fait d'avoir un code ouvert permet justement d'auditer le produit, de découvrir et de réparer de nouvelles failles, ce que Philippe Duluc ne réfute pas :

« Le logiciel libre, ça peut réduire les risques de sécurité, mais encore faut-il faire attention à savoir qui l'intègre, qui le met en place chez vous et qui le maintient en condition, qui fait les releases, ce n'est pas quelque chose que vous pouvez faire vous-même. Ça dépend toujours de quelqu'un qui est là pour suivre et faire des éditions. »

L'armée, un cyber acteur

Aujourd'hui, 250 experts cyber travaillent à la Direction générale de l'armement (DGA) à la protection des équipements de chiffrement à la détection d'intrusions en passant par l'élaboration de solutions de protection des systèmes du ministère de la Défense. La loi de programmation militaire (LPM) prévoit le triplement du budget recherche et développement (R&D) de ce pôle cybersécurité de la DGA, une augmentation qui ne semble pas de trop lorsqu'on sait que son travail ne s'arrête pas à son ministère de tutelle :

« La LPM va nous donner les outils pour mieux suivre ce qu'il se passe en dehors du périmètre étatique chez les opérateurs d'importance vitale (OIV), une soixantaine d'opérateurs privés dont la sécurité impacte directement celle de la nation. Elle leur impose aussi de se sécuriser », rappelle Guillaume Poupard, responsable sécurité des SI au sein de la DGA.

« On observe depuis dix ans une menace de plus en plus stratégique, d'États ou de grosses organisations capables de mettre des moyens considérables pour toucher à des choses très sensibles. »

L'espionnage industriel, notamment vis-àvis de ces OIV, reste aujourd'hui un des principaux fléaux :

« Malheureusement, j'ai peur que le ver ne soit dans le fruit depuis longtemps. Certains pays se sont fait une spécialité de l'espionnage économique, on pense tous aux mêmes, il faut apporter une véritable réponse en sécurisant nos entreprises. »

L'information, nerf de la guerre

« Le gagnant sera celui qui possédera le plus de données », rappelait mi-décembre Tim O'Reilly, l'un des initiateurs du premier sommet de l'Open Source, dans le New York Times.

À ce propos, c'est une jeune entreprise, créée en février 2013, collectant et analysant des données, CybelAngel, qui a gagné le prix de la PME innovante en 2014.

Ces jeunes entrepreneurs, dont la moyenne d'âge ne dépasse pas 29 ans, ont créé un algorithme d'analyse à haute fréquence de canaux de communication ouverts :

« On scanne plus d'un million de documents par semaine », explique Erwan Keraudy, cofondateur de la société qui travaille notamment pour « un gros groupe bancaire français ».

Et qu'y trouvent-ils ?

« La préparation ou réalisation de DDoS [attaques par déni de service, "distributed denial ofservice attack", ndlr], des reventes de failles, des échanges de comptes administrateurs, des scans de ports, des contrats et dossiers volés et revendus ou échangés sur le marché secondaire. On apporte au client un rapport d'un paquet de failles, de serveurs ouverts aux quatre vents chez eux ou chez leurs fournisseurs. »

Encore une fois, l'ombre d'Edward Snowden et de ses révélations concernant la surveillance plane sur les nouvelles tendances en matière de sécurité. Quelles informations circulent sur mon entreprise ? Quelles sont celles qui ont été volées ? Celles qui sont revendues ? C'est sur cette approche de confidentialité que CybelAngel a construit son modèle économique :

« On dit aux gens que s'ils sont piratés, s'ils sont attaqués, il y a des signaux. C'est intéressant de les écouter », conclut Adrien Duclos, responsable des analyses cybersécurité.

10% de croissance par an, pour un chiffre d'affaires en France de 5 milliards d'euros (et autant à l'export) : le marché de la cybersécurité est en plein boom, selon une étude réalisée par l'Alliance pour une confiance numérique (ACN), un regroupement d'acteurs des nouvelles technologies.

Sujets les + lus

|

Sujets les + commentés

Commentaires 7
à écrit le 17/02/2014 à 15:38
Signaler
La cybersécurité est un leurre, en revanche ceux qui bossent dessus sont bien réels et se font les choux gras ! Pis encore, depuis qu'on a découvert que Panda Software était en fait une filiale de la Scientologie, on est en droit de se demander qui d...

à écrit le 17/02/2014 à 14:17
Signaler
A part les Us via NSA , quels autres pays nous espionnent . Connaitre ses adversaires est très important...

à écrit le 17/02/2014 à 13:07
Signaler
Bref, c'est les hommes de l'état contre les citoyens. Pas envie d'une NSA à la française. Je retiens avec effroi ce que dit Snowden de la NSA : "ils ne supportent pas que vous leur échappez plus de 15 minutes". Leur but n'est pas de lutter contre le...

à écrit le 17/02/2014 à 11:16
Signaler
« La France ne le sait pas, mais nous sommes en guerre avec l’Amérique. Oui, une guerre permanente, une guerre vitale, une guerre économique, une guerre sans mort…apparemment. Oui, ils sont très durs les Américains, ils sont voraces, ils veulent un p...

à écrit le 17/02/2014 à 10:50
Signaler
C'est toujours intéressant de savoir qui nous espionne, que ce soit au niveau d'une entreprise comme au niveau individuel... un certain reclus dans une ambassade à Londres a dit que la seule solution pour le citoyen de protéger sa liberté individuell...

à écrit le 17/02/2014 à 2:41
Signaler
C'est simple, on met les ordinateurs et les téléphones à la poubelle.

le 17/02/2014 à 10:53
Signaler
Peut-être... à moins de les truffer d'informations qui n'ont ni queue ni tête... rappelons qu'un bon désordre n'est mathématiquement pas algorithmique...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.