Cyber-espionnage : "l'enjeu n'est pas d'empêcher 100% des attaques, mais de limiter leur impact"

Le week-end dernier, le magazine allemand Der Spiegel révélait qu'EADS avait subi des cyber-attaques en 2012. Cette annonce survient après de nombreuses affaires de cyber-attaques notamment aux Etats-Unis. A-t-on trop longtemps sous-estimé la réalité de cette menace ?

Lorsqu'en 2010 j'ai créé à l'INHESJ le cursus de formation consacré à la sécurité numérique, j'ai insisté pour parler de cyber-sécurité. D'après moi, le terme de cyber-guerre n'était pas opportun en ce qu'il invoquait un imaginaire de gravité et d'intensité extrême, qui semble limiter le sujet aux seuls militaires. Or, la menace est globale et vise également des intérêts civils, comme les entreprises et les administrations d'Etat. Les frontières entre les mondes civil, militaire et économique n'ont plus de sens dans le cyberespace où l'enjeu majeur est l'information. A ce titre, il est utile que l'Etat admette qu'il est lui aussi victime de cyber-attaques afin de montrer que ce n'est pas une maladie honteuse. Il s'agit d'encourager les entreprises qui en sont également victimes à en informer l'Etat, afin que celui-ci puisse décortiquer les attaques et élaborer des dispositifs de protection utiles aux autres sociétés et institutions.

Quels sont les dispositifs en place ?

En France, l'ANSSI (Agence nationale de sécurité des systèmes d'information, NDLR) dispose d'un arsenal juridique qui contraint un certain nombre d'entités publiques, d'entreprises dites vitales, à lui communiquer toutes les informations relatives à des cyber-attaques. Cette information, qui n'a pas vocation à être rendue publique, va néanmoins servir à identifier les différents modes opératoires, le type d'information récolté par les attaquants, à établir une cartographie des attaques. Une meilleure prévention de ces entreprises et organismes publics passe par ce travail de renseignement. Mais, le problème c'est que ces entreprises ne divulguent pas toutes les informations pour de multiples raisons. A mon sens, il faudrait que la déclaration soit un réflexe dans toutes les entreprises, et pour des questions pratiques, il serait nécessaire de formaliser un process de transmission des modes d'intrusion constatés aux autorités.

EADS est une entreprise classée stratégique, elle est donc contrainte de renseigner l'ANSSI, mais qu'en est-il de ses sous-traitants ?

Ses sous-traitants sont souvent des PME-PMI moins bien dotées pour assurer une protection efficace et permanente de leurs systèmes d'information. Lorsque les plans du F-35 américain se sont retrouvés sur Internet, ce n'est pas le consortium de grands groupes aéronautiques qui a été attaqué, mais un sous-traitant. Les attaquants cherchent le maillon faible. Le sous-traitant est une cible de choix soit parce qu'il n'a pas la culture de la sécurité informatique, soit parce qu'il estime que son apport à l'édifice n'est pas si exposé. Or, il est une porte d'entrée, car à un moment ou à un autre, il délivrera des informations à son client par voie électronique.

La sécurité informatique coûte de plus en plus cher...

Oui, et à l'inverse, l'offre de solutions d'attaque s'est "démocratisée" et des prestataires offrent leurs services à bas prix. Pour les entreprises, le poste "sécurité" a toujours été une charge qui apparemment ne rapporte rien. La vraie question est de déterminer si on a plus à perdre ou à gagner. Des entreprises ont tout intérêt à protéger un savoir-faire qui est un élément différenciant sur leur marché. Mais, ce n'est pas qu'une affaire de logiciels. Il faut aussi un management efficace et adapté car l'activité humaine est l'autre grand maillon faible des entreprises en termes de sécurité informatique. Il suffit pour exposer l'entreprise à des intrusions d'un badge ou d'une clé USB perdus ou de périmètres d'accès inadaptés à certains salariés. Si on prend l'exemple de la cyberattaque qui a visé l'Elysée au printemps 2012, on peut s'inquiéter de voir qu'un collaborateur du Président a accès sur le même ordinateur à l'intranet de l'Elysée et à son compte Facebook.

Peut-on réellement se protéger à 100% contre les cyber-attaques ?

La menace est évolutive. L'enjeu aujourd'hui n'est pas d'empêcher 100% des attaques, mais d'en limiter l'impact, et la nuisance pour le fonctionnement et les intérêts de l'entreprise. Pour cela, elle doit évidemment avoir mis en place des systèmes de protection, mais également une capacité d'audit afin de pouvoir identifier rapidement les intrusions indésirables. Il faut savoir qu'un attaquant peut pénétrer un système et s'y installer pendant plusieurs mois voire des années sans que cela ne soit perceptible par l'entreprise. Cela s'est vu pour Areva par exemple. Ensuite, il s'agit d'être réactif afin de relativiser l'impact de l'attaque en ayant identifié sans tarder quel type d'informations a pu être récolté par les assaillants.

La Chine est souvent montrée du doigt. Un rapport d'une société privée américaine a même désigné le gouvernement chinois comme le maître d'?uvre d'une stratégie d'intelligence économique à grande échelle. Y a-t-il une réalité tangible derrière ces accusations, ou la Chine sert-elle de bouc-émissaire ?

A la question de savoir si la Chine a les moyens humains de mener ces attaques, la réponse est oui. A la question de savoir si la Chine en a la capacité technique, la réponse est oui. Si elle a un intérêt stratégique à le faire, la réponse est encore oui. En revanche, à la question de savoir si elle le fait, il est impossible de répondre catégoriquement. Il y a un fait : il existe sur Internet une relative impunité juridique du fait de l'impossibilité de la détermination certaine de la preuve. Et cela tient au fait qu'il n'y a pas de régulation d'Internet au niveau global aujourd'hui. Pour mettre en place une telle régulation, il faudrait une coopération effective de tous les États du monde. Or, les gouvernants n'ont pas intérêt à une telle régulation car ils semblent - au-delà des discours incantatoires et des déclarations d'intention - préférer qu'Internet reste globalement un espace d'impunité.

Vous voulez dire que tous les pays se servent d'Internet pour mener des actions d'intelligence économique ou de sabotage ?

Les États ne veulent pas se priver d'un outil qui permette de porter des coups à leur adversaire économique, qui peut être par ailleurs un allié politique, dans une relative impunité. Dans la compétition inter-étatiques, tous les coups sont permis. Surtout quand le vol de données ou la paralysie de systèmes d'information permettent de prendre l'avantage.