La Tribune

Cyber-espionnage : "l'enjeu n'est pas d'empêcher 100% des attaques, mais de limiter leur impact"

DR
DR (Crédits : DR)
Propos recueillis par Nabil Bourassi  |   -  1095  mots
Depuis le début de l'année, une série d'attaques informatiques visant des entreprises stratégiques occidentales ont été constatées. La cyber-guerre est subitement sortie des livres de science-fiction pour devenir une menace tangible. Pour Nicolas Arpagian, directeur de recherche à l'Institut national des hautes de la sécurité et de la justice (INHESJ, un organisme rattaché au Premier ministre), il y a effectivement une prise de conscience, mais le monde de l'entreprise doit encore mener une réflexion de fond pour adopter de bonnes pratiques tandis que le dispositif de coordination nationale gagnerait à être élargi. Il est l'auteur de La cybersécurité, dans la collection Que sais-je (éditions PUF).

Le week-end dernier, le magazine allemand Der Spiegel révélait qu'EADS avait subi des cyber-attaques en 2012. Cette annonce survient après de nombreuses affaires de cyber-attaques notamment aux Etats-Unis. A-t-on trop longtemps sous-estimé la réalité de cette menace ?

Lorsqu'en 2010 j'ai créé à l'INHESJ le cursus de formation consacré à la sécurité numérique, j'ai insisté pour parler de cyber-sécurité. D'après moi, le terme de cyber-guerre n'était pas opportun en ce qu'il invoquait un imaginaire de gravité et d'intensité extrême, qui semble limiter le sujet aux seuls militaires. Or, la menace est globale et vise également des intérêts civils, comme les entreprises et les administrations d'Etat. Les frontières entre les mondes civil, militaire et économique n'ont plus de sens dans le cyberespace où l'enjeu majeur est l'information. A ce titre, il est utile que l'Etat admette qu'il est lui aussi victime de cyber-attaques afin de montrer que ce n'est pas une maladie honteuse. Il s'agit d'encourager les entreprises qui en sont également victimes à en informer l'Etat, afin que celui-ci puisse décortiquer les attaques et élaborer des dispositifs de protection utiles aux autres sociétés et institutions.

Quels sont les dispositifs en place ?

En France, l'ANSSI (Agence nationale de sécurité des systèmes d'information, NDLR) dispose d'un arsenal juridique qui contraint un certain nombre d'entités publiques, d'entreprises dites vitales, à lui communiquer toutes les informations relatives à des cyber-attaques. Cette information, qui n'a pas vocation à être rendue publique, va néanmoins servir à identifier les différents modes opératoires, le type d'information récolté par les attaquants, à établir une cartographie des attaques. Une meilleure prévention de ces entreprises et organismes publics passe par ce travail de renseignement. Mais, le problème c'est que ces entreprises ne divulguent pas toutes les informations pour de multiples raisons. A mon sens, il faudrait que la déclaration soit un réflexe dans toutes les entreprises, et pour des questions pratiques, il serait nécessaire de formaliser un process de transmission des modes d'intrusion constatés aux autorités.

EADS est une entreprise classée stratégique, elle est donc contrainte de renseigner l'ANSSI, mais qu'en est-il de ses sous-traitants ?

Ses sous-traitants sont souvent des PME-PMI moins bien dotées pour assurer une protection efficace et permanente de leurs systèmes d'information. Lorsque les plans du F-35 américain se sont retrouvés sur Internet, ce n'est pas le consortium de grands groupes aéronautiques qui a été attaqué, mais un sous-traitant. Les attaquants cherchent le maillon faible. Le sous-traitant est une cible de choix soit parce qu'il n'a pas la culture de la sécurité informatique, soit parce qu'il estime que son apport à l'édifice n'est pas si exposé. Or, il est une porte d'entrée, car à un moment ou à un autre, il délivrera des informations à son client par voie électronique.

La sécurité informatique coûte de plus en plus cher...

Oui, et à l'inverse, l'offre de solutions d'attaque s'est "démocratisée" et des prestataires offrent leurs services à bas prix. Pour les entreprises, le poste "sécurité" a toujours été une charge qui apparemment ne rapporte rien. La vraie question est de déterminer si on a plus à perdre ou à gagner. Des entreprises ont tout intérêt à protéger un savoir-faire qui est un élément différenciant sur leur marché. Mais, ce n'est pas qu'une affaire de logiciels. Il faut aussi un management efficace et adapté car l'activité humaine est l'autre grand maillon faible des entreprises en termes de sécurité informatique. Il suffit pour exposer l'entreprise à des intrusions d'un badge ou d'une clé USB perdus ou de périmètres d'accès inadaptés à certains salariés. Si on prend l'exemple de la cyberattaque qui a visé l'Elysée au printemps 2012, on peut s'inquiéter de voir qu'un collaborateur du Président a accès sur le même ordinateur à l'intranet de l'Elysée et à son compte Facebook.

Peut-on réellement se protéger à 100% contre les cyber-attaques ? 

La menace est évolutive. L'enjeu aujourd'hui n'est pas d'empêcher 100% des attaques, mais d'en limiter l'impact, et la nuisance pour le fonctionnement et les intérêts de l'entreprise. Pour cela, elle doit évidemment avoir mis en place des systèmes de protection, mais également une capacité d'audit afin de pouvoir identifier rapidement les intrusions indésirables. Il faut savoir qu'un attaquant peut pénétrer un système et s'y installer pendant plusieurs mois voire des années sans que cela ne soit perceptible par l'entreprise. Cela s'est vu pour Areva par exemple. Ensuite, il s'agit d'être réactif afin de relativiser l'impact de l'attaque en ayant identifié sans tarder quel type d'informations a pu être récolté par les assaillants.

La Chine est souvent montrée du doigt. Un rapport d'une société privée américaine a même désigné le gouvernement chinois comme le maître d'?uvre d'une stratégie d'intelligence économique à grande échelle. Y a-t-il une réalité tangible derrière ces accusations, ou la Chine sert-elle de bouc-émissaire ?

A la question de savoir si la Chine a les moyens humains de mener ces attaques, la réponse est oui. A la question de savoir si la Chine en a la capacité technique, la réponse est oui. Si elle a un intérêt stratégique à le faire, la réponse est encore oui. En revanche, à la question de savoir si elle le fait, il est impossible de répondre catégoriquement. Il y a un fait : il existe sur Internet une relative impunité juridique du fait de l'impossibilité de la détermination certaine de la preuve. Et cela tient au fait qu'il n'y a pas de régulation d'Internet au niveau global aujourd'hui. Pour mettre en place une telle régulation, il faudrait une coopération effective de tous les États du monde. Or, les gouvernants n'ont pas intérêt à une telle régulation car ils semblent - au-delà des discours incantatoires et des déclarations d'intention - préférer qu'Internet reste globalement un espace d'impunité.

Vous voulez dire que tous les pays se servent d'Internet pour mener des actions d'intelligence économique ou de sabotage ? 

Les États ne veulent pas se priver d'un outil qui permette de porter des coups à leur adversaire économique, qui peut être par ailleurs un allié politique, dans une relative impunité. Dans la compétition inter-étatiques, tous les coups sont permis. Surtout quand le vol de données ou la paralysie de systèmes d'information permettent de prendre l'avantage.

Réagir

Commentaires

newsoftpclab  a écrit le 16/06/2013 à 11:59 :

Comment se protéger du cyber-espionnage?L'espionnage industriel est partout sur la planète.Si vous avez un ordinateur. Vous risquez vous aussi de vous faire espionner.Pour réduire les risques il convient de savoir ce qu'il faut protéger.Il y a certaines informations stratégiques à sauvegarder d'autres non.

OlivierJ  a écrit le 21/03/2013 à 20:47 :

Je n'en ai pas vu mention, mais la plupart des attaques concernent Windows, et ce n'est presque jamais dit.
La diversité informatique est un bon moyen de résister aux attaques. En particulier, en utilisant plus Linux et des variantes comme BSD, on éviterait pas mal de problèmes.

Photoscope  a écrit le 01/03/2013 à 14:37 :

"l'enjeu n'est pas d'empêcher 100% des attaques, mais de limiter leur impact" : vous devriez transmettre çà à ceux qui essaient d'imposer le paiement sans contact via les smartphones, ils vont être contents !!

phil  a écrit le 01/03/2013 à 9:14 :

Bonjour

ce monsieur n'y connait rien du tout (iul n'a jamais vu la moindre ligne de code d'un virus de sa vie) mais comme il présente bien et qu'il parle bien, les journalistes l'appellent.

Ah oui, j'oubliais, il sait aussi très bien recopier ceux que lui disent des experts sans les citer ;-))))

xavier-marc  a écrit le 28/02/2013 à 13:48 :

On se rapproche de la Virologie, et nous mêmes, avons tous pleins de microbes et de virus en permanence, mais notre système immunitaire les combat, la protection d'un Internet mondial( ou chaque ordinateur ou est tel une cellule) va forcément devenir à terme la copie du système immunitaire humain, on ne fait jamais mieux que la nature.

CRC32  a répondu le 28/02/2013 à 18:06:

Les handicapés congénitaux vont apprécier votre beau discours.

GE92  a écrit le 28/02/2013 à 10:59 :

Quand on sait qui fabrique les équipements de réseau, et les logiciels qui vont avec, par où passe toute l'information, on peut imaginer, ou constater que la guerre est beaucoup plus étendue que les piratages plus ou moins industrialisés qui sortent à la lumière. Les "écoutes" de ce qui passe sur ces réseaux est beaucoup plus organisée et industrialisée que les "attaques". Ses résultats sont systématiquement exploités. Et peut-être qu'on en parle moins car le plus gros acteur et de loin, dans ce domaine sont les USA. L'Europe et la Chine sont à la suite. Mais attaques, pirates et guerre ça excite plus l'imagination qu'écoute, analyse, infiltration, destruction.

Malade...  a écrit le 28/02/2013 à 9:30 :

Plus on se protège et plus on risque l'attaque virale donc le meilleur moyen de ne pas se faire subtiliser ce qui est vital c'est de ne pas le transformer en numérique!