Cyber-espionnage : "l'enjeu n'est pas d'empêcher 100% des attaques, mais de limiter leur impact"

Depuis le début de l'année, une série d'attaques informatiques visant des entreprises stratégiques occidentales ont été constatées. La cyber-guerre est subitement sortie des livres de science-fiction pour devenir une menace tangible. Pour Nicolas Arpagian, directeur de recherche à l'Institut national des hautes de la sécurité et de la justice (INHESJ, un organisme rattaché au Premier ministre), il y a effectivement une prise de conscience, mais le monde de l'entreprise doit encore mener une réflexion de fond pour adopter de bonnes pratiques tandis que le dispositif de coordination nationale gagnerait à être élargi. Il est l'auteur de La cybersécurité, dans la collection Que sais-je (éditions PUF).
DR

Le week-end dernier, le magazine allemand Der Spiegel révélait qu'EADS avait subi des cyber-attaques en 2012. Cette annonce survient après de nombreuses affaires de cyber-attaques notamment aux Etats-Unis. A-t-on trop longtemps sous-estimé la réalité de cette menace ?

Lorsqu'en 2010 j'ai créé à l'INHESJ le cursus de formation consacré à la sécurité numérique, j'ai insisté pour parler de cyber-sécurité. D'après moi, le terme de cyber-guerre n'était pas opportun en ce qu'il invoquait un imaginaire de gravité et d'intensité extrême, qui semble limiter le sujet aux seuls militaires. Or, la menace est globale et vise également des intérêts civils, comme les entreprises et les administrations d'Etat. Les frontières entre les mondes civil, militaire et économique n'ont plus de sens dans le cyberespace où l'enjeu majeur est l'information. A ce titre, il est utile que l'Etat admette qu'il est lui aussi victime de cyber-attaques afin de montrer que ce n'est pas une maladie honteuse. Il s'agit d'encourager les entreprises qui en sont également victimes à en informer l'Etat, afin que celui-ci puisse décortiquer les attaques et élaborer des dispositifs de protection utiles aux autres sociétés et institutions.

Quels sont les dispositifs en place ?

En France, l'ANSSI (Agence nationale de sécurité des systèmes d'information, NDLR) dispose d'un arsenal juridique qui contraint un certain nombre d'entités publiques, d'entreprises dites vitales, à lui communiquer toutes les informations relatives à des cyber-attaques. Cette information, qui n'a pas vocation à être rendue publique, va néanmoins servir à identifier les différents modes opératoires, le type d'information récolté par les attaquants, à établir une cartographie des attaques. Une meilleure prévention de ces entreprises et organismes publics passe par ce travail de renseignement. Mais, le problème c'est que ces entreprises ne divulguent pas toutes les informations pour de multiples raisons. A mon sens, il faudrait que la déclaration soit un réflexe dans toutes les entreprises, et pour des questions pratiques, il serait nécessaire de formaliser un process de transmission des modes d'intrusion constatés aux autorités.

EADS est une entreprise classée stratégique, elle est donc contrainte de renseigner l'ANSSI, mais qu'en est-il de ses sous-traitants ?

Ses sous-traitants sont souvent des PME-PMI moins bien dotées pour assurer une protection efficace et permanente de leurs systèmes d'information. Lorsque les plans du F-35 américain se sont retrouvés sur Internet, ce n'est pas le consortium de grands groupes aéronautiques qui a été attaqué, mais un sous-traitant. Les attaquants cherchent le maillon faible. Le sous-traitant est une cible de choix soit parce qu'il n'a pas la culture de la sécurité informatique, soit parce qu'il estime que son apport à l'édifice n'est pas si exposé. Or, il est une porte d'entrée, car à un moment ou à un autre, il délivrera des informations à son client par voie électronique.

La sécurité informatique coûte de plus en plus cher...

Oui, et à l'inverse, l'offre de solutions d'attaque s'est "démocratisée" et des prestataires offrent leurs services à bas prix. Pour les entreprises, le poste "sécurité" a toujours été une charge qui apparemment ne rapporte rien. La vraie question est de déterminer si on a plus à perdre ou à gagner. Des entreprises ont tout intérêt à protéger un savoir-faire qui est un élément différenciant sur leur marché. Mais, ce n'est pas qu'une affaire de logiciels. Il faut aussi un management efficace et adapté car l'activité humaine est l'autre grand maillon faible des entreprises en termes de sécurité informatique. Il suffit pour exposer l'entreprise à des intrusions d'un badge ou d'une clé USB perdus ou de périmètres d'accès inadaptés à certains salariés. Si on prend l'exemple de la cyberattaque qui a visé l'Elysée au printemps 2012, on peut s'inquiéter de voir qu'un collaborateur du Président a accès sur le même ordinateur à l'intranet de l'Elysée et à son compte Facebook.

Peut-on réellement se protéger à 100% contre les cyber-attaques ? 

La menace est évolutive. L'enjeu aujourd'hui n'est pas d'empêcher 100% des attaques, mais d'en limiter l'impact, et la nuisance pour le fonctionnement et les intérêts de l'entreprise. Pour cela, elle doit évidemment avoir mis en place des systèmes de protection, mais également une capacité d'audit afin de pouvoir identifier rapidement les intrusions indésirables. Il faut savoir qu'un attaquant peut pénétrer un système et s'y installer pendant plusieurs mois voire des années sans que cela ne soit perceptible par l'entreprise. Cela s'est vu pour Areva par exemple. Ensuite, il s'agit d'être réactif afin de relativiser l'impact de l'attaque en ayant identifié sans tarder quel type d'informations a pu être récolté par les assaillants.

La Chine est souvent montrée du doigt. Un rapport d'une société privée américaine a même désigné le gouvernement chinois comme le maître d'?uvre d'une stratégie d'intelligence économique à grande échelle. Y a-t-il une réalité tangible derrière ces accusations, ou la Chine sert-elle de bouc-émissaire ?

A la question de savoir si la Chine a les moyens humains de mener ces attaques, la réponse est oui. A la question de savoir si la Chine en a la capacité technique, la réponse est oui. Si elle a un intérêt stratégique à le faire, la réponse est encore oui. En revanche, à la question de savoir si elle le fait, il est impossible de répondre catégoriquement. Il y a un fait : il existe sur Internet une relative impunité juridique du fait de l'impossibilité de la détermination certaine de la preuve. Et cela tient au fait qu'il n'y a pas de régulation d'Internet au niveau global aujourd'hui. Pour mettre en place une telle régulation, il faudrait une coopération effective de tous les États du monde. Or, les gouvernants n'ont pas intérêt à une telle régulation car ils semblent - au-delà des discours incantatoires et des déclarations d'intention - préférer qu'Internet reste globalement un espace d'impunité.

Vous voulez dire que tous les pays se servent d'Internet pour mener des actions d'intelligence économique ou de sabotage ? 

Les États ne veulent pas se priver d'un outil qui permette de porter des coups à leur adversaire économique, qui peut être par ailleurs un allié politique, dans une relative impunité. Dans la compétition inter-étatiques, tous les coups sont permis. Surtout quand le vol de données ou la paralysie de systèmes d'information permettent de prendre l'avantage.

Sujets les + lus

|

Sujets les + commentés

Commentaires 8
à écrit le 16/06/2013 à 11:59
Signaler
Comment se protéger du cyber-espionnage?L'espionnage industriel est partout sur la planète.Si vous avez un ordinateur. Vous risquez vous aussi de vous faire espionner.Pour réduire les risques il convient de savoir ce qu'il faut protéger.Il y a certai...

à écrit le 21/03/2013 à 20:47
Signaler
Je n'en ai pas vu mention, mais la plupart des attaques concernent Windows, et ce n'est presque jamais dit. La diversité informatique est un bon moyen de résister aux attaques. En particulier, en utilisant plus Linux et des variantes comme BSD, on év...

à écrit le 01/03/2013 à 14:37
Signaler
"l'enjeu n'est pas d'empêcher 100% des attaques, mais de limiter leur impact" : vous devriez transmettre çà à ceux qui essaient d'imposer le paiement sans contact via les smartphones, ils vont être contents !!

à écrit le 01/03/2013 à 9:14
Signaler
Bonjour ce monsieur n'y connait rien du tout (iul n'a jamais vu la moindre ligne de code d'un virus de sa vie) mais comme il présente bien et qu'il parle bien, les journalistes l'appellent. Ah oui, j'oubliais, il sait aussi très bien recopier ceux ...

à écrit le 28/02/2013 à 13:48
Signaler
On se rapproche de la Virologie, et nous mêmes, avons tous pleins de microbes et de virus en permanence, mais notre système immunitaire les combat, la protection d'un Internet mondial( ou chaque ordinateur ou est tel une cellule) va forcément devenir...

le 28/02/2013 à 18:06
Signaler
Les handicapés congénitaux vont apprécier votre beau discours.

à écrit le 28/02/2013 à 10:59
Signaler
Quand on sait qui fabrique les équipements de réseau, et les logiciels qui vont avec, par où passe toute l'information, on peut imaginer, ou constater que la guerre est beaucoup plus étendue que les piratages plus ou moins industrialisés qui sortent ...

à écrit le 28/02/2013 à 9:30
Signaler
Plus on se protège et plus on risque l'attaque virale donc le meilleur moyen de ne pas se faire subtiliser ce qui est vital c'est de ne pas le transformer en numérique!

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.