Un peu plus d'un mois après son inauguration, le Campus Cyber présentait jeudi dernier son tout premier livre blanc, Horizon Cyber 2030 — Perspectives et défis. Une sortie qui tombe à point nommé, alors que le conflit entre la Russie et l'Ukraine se déroule aussi sur la toile.
« L'objectif du campus est de fédérer l'écosystème pour mieux protéger notre société et faire rayonner l'excellence française », explique Yann Bonnet, le directeur général délégué du Campus Cyber. Dans cette optique, le campus a lancé une série de groupes de travail, dont le premier, consacré à la cybersécurité, vient donc de rendre sa copie, fruit de nombreuses interviews menées avec des experts et de trois ateliers rassemblant plus de 60 participants, chercheurs, fournisseurs de solutions de cybersécurité et bénéficiaires de ces solutions (parmi lesquels des entreprises du CAC 40, mais aussi des PME).
Quatre futurs possibles
L'idée : anticiper les évolutions de la cybersécurité au cours des cinq à dix années à venir, avec pour objectif de « dessiner un futur proche, en identifiant les priorités et les futurs défis de notre secteur et en extrapolant les tendances observées aujourd'hui », comme l'affirme le préambule du livre blanc.
Les auteurs de l'étude ont ainsi dressé quatre scenarii possibles dans lesquels s'inscriront les problématiques de cybersécurité à court terme, en sachant que la vérité « se situera sans doute quelque part entre ces quatre visions », note Gérôme Billois, partner cybersécurité chez Wavestone et également coordinateur du livre blanc.
Décloisonnement ou balkanisation ?
Le premier scénario est celui d'une société ultra-connectée, avec des standards d'interopérabilité entre les acteurs du numérique, une accélération des échanges de données et de leur vitesse, avec à la clef des évolutions sociétales profondes comme le vote en ligne et le métavers. Ce scénario offre de nombreux bénéfices économiques et sociaux, mais constitue aussi une opportunité pour les hackers, qui profitent de l'amélioration des technologies et de l'abolition des frontières sur la toile. Avec, à la clef, des cyberattaques plus massives et une circulation accélérée des fausses informations.
Le second est en quelque sorte le miroir inversé du premier, puisqu'il imagine au contraire une balkanisation du web, où les gouvernements mettent au pas les géants du numérique, suite à une multiplication des scandales autour des données personnelles, et réinstaurent des frontières sur la toile. « Un scénario mis au point avant le déclenchement de la guerre en Ukraine, mais qui résonne beaucoup avec celle-ci, puisqu'elle a entraîné l'isolement et la fermeture de l'espace numérique russe », note Gérôme Billois. Dans celui-ci, chaque pays se referme sur lui-même, augmente la traçabilité des activités numériques et la surveillance.
S'il porte un coup à la mondialisation et pose de grosses difficultés aux multinationales, un tel scénario handicape également les cybercriminels, que la surveillance accrue du web permet de repérer et condamner plus facilement. En revanche, les cyberattaques entre États explosent, chaque gouvernement mettant à son service des groupes de hackers qu'ils dotent de meilleures capacités offensives, et d'une impunité dans leur propre espace souverain. Attaques sous faux drapeau, rançongiciels menés dans un objectif de gain financier et de déstabilisation, espionnage numérique, voire destruction de certains câbles sous-marins et satellites... Les cyberattaques interétatiques deviennent plus pernicieuses et destructrices.
De la société verte à la société ultra-réglementée
Troisième scénario étudié par le Campus Cyber : celui d'un monde numérique soumis à des pressions croissantes pour réduire son empreinte carbone, dans un contexte d'urgence climatique. Quotas de pollution individuels dans le numérique, limitant le nombre de mails que l'on peut envoyer et la quantité de données que l'on peut stocker dans le cloud, avancées technologiques priorisant la diminution de l'impact écologique, transformation environnementale accélérée des entreprises... Le numérique se met au vert.
Dans ce contexte, les cybercriminels se muent en hacktivistes ciblant les systèmes trop énergivores (cryptomonnaies & cryptoactifs, centres de données...) et les détruisant en faisant la promotion des messages pour l'avènement de la sobriété numérique. D'autres piratent et revendent les quotas de CO2 numériques à des acteurs peu scrupuleux, soucieux d'obtenir davantage de puissance informatique.
Le quatrième et dernier scénario fait le pari d'une régulation croissante du net par les États, avec une mise en place de réglementations plus strictes pour protéger la vie privée. Dans ce contexte, deux philosophies s'affrontent, l'une en faveur d'une monétisation des données contrôlées par l'utilisateur et l'autre percevant ces dernières comme un bien commun à protéger. Cet affrontement conduit à des débats houleux à l'intérieur des États, tandis que chaque grande puissance met en place ses propres réglementations donnant plus ou moins de contrôle et d'obligations aux utilisateurs et offreurs de services numériques.
Les cybercriminels profitent de la multiplicité des régulations pour entreprendre du cyberchantage, menaçant de dénoncer leurs victimes aux régulateurs pour non-conformité, ou proposant de faux services de régularisation. Davantage d'investissements sont consacrés à la mise en conformité réglementaire, au détriment de la cybersécurité, ce qui ouvre des opportunités aux hackers.
Instaurer la cybersécurité par défaut
Face à ces perspectives d'évolutions futures, les auteurs du livre blanc dressent un certain nombre de recommandations en matière de cybersécurité, qui auront selon eux des retombées positives, quel que soit le tour pris par les événements. « Il y a trois invariants avec lesquels il faudra composer dans tous les cas », précise Gérôme Billois.
« D'abord, la nécessité d'améliorer la sobriété du numérique, y compris dans la cybersécurité, en accroissant notamment l'efficacité des techniques de chiffrement ou encore celle de technologies comme la blockchain. Ensuite, la nécessité de stimuler la coopération entre tous les types d'acteurs, à la fois publics, privés, entre communautés de recherche, d'industriels, d'innovation et de startups. Enfin, la nécessité de raisonner à l'échelle européenne pour établir une stratégie. »
Fort de ce constat, le Campus Cyber propose plusieurs pistes d'évolution. Il est d'abord nécessaire que les autorités instaurent la sécurité par défaut dans tous les systèmes numériques à coup de régulations. « Quand vous achetiez une voiture dans les années 1960, elle n'avait pas de ceintures de sécurité ni d'airbags. Il en va aujourd'hui de même dans le numérique, et ça doit changer », résume Gérôme Billois.
Améliorer l'efficacité du chiffrement
Pour les co-auteurs du livre blanc, l'État et les différents acteurs du numérique doivent également donner davantage de contrôle à chacun sur son existence virtuelle, et ce à travers trois leviers principaux. « Chacun doit pouvoir bénéficier d'une identité numérique forte et stable dans le temps, qui permette de profiter en sécurité d'usages avancés dans le monde de demain, comme le vote en ligne. Nous devons également tous pouvoir exercer un contrôle sur nos données à caractère personnel, savoir qui peut y avoir accès, quand et sous quelles conditions.
Enfin, il faut accélérer le déploiement du chiffrement, de manière sobre et efficace, ce qui implique notamment d'arrêter de chiffrer plusieurs fois les mêmes données, les mêmes échanges. Aujourd'hui, quand je participe à une visioconférence depuis mon téléphone, il y a un premier canal chiffré entre la vidéo et mon téléphone, puis le logiciel de visioconférence va chiffrer à son tour la communication, et l'appareil de chaque interlocuteur va ensuite encore réaliser son propre chiffrement... Il y a donc une certaine redondance, due au fait qu'on a mis en place le chiffrement au fil du temps par couches superposées. Tous ces chiffrements ont du sens individuellement, mais les empiler ainsi n'en a pas. »
Surveiller et punir
Troisième axe d'amélioration : augmenter nos capacités de résilience aux cyberattaques. « Aujourd'hui, quand une entreprise est attaquée, il faut en moyenne trois semaines pour récupérer. Demain, il faudra développer une capacité à reconstruire quasi automatiquement et instantanément un système pris d'assaut. Ce sera possible à l'aide d'intelligences artificielles capables de s'autodéfendre et de s'autoreconstruire », prédit Gérôme Billois.
Si mieux résister aux cyberattaques est capital, le fait de pouvoir sévir contre les cybercriminels l'est tout autant. Un autre axe d'amélioration pour les années à venir consistera donc à combattre la relative impunité dont jouissent aujourd'hui de nombreux cybercriminels. « Il faut parfois un délai de deux ans pour identifier l'auteur d'une attaque après qu'elle a eu lieu, ce qui demande en outre des moyens conséquents et ne peut donc pas être mis en place sur des volumes importants. Il faut donc parvenir à raccourcir ce délai et à passer à l'échelle, par exemple en retraçant immédiatement où a atterri le paiement réalisé après qu'une entreprise a été victime d'un rançongiciel ou encore en automatisant la saisie des cryptoactifs. L'usage d'algorithmes d'apprentissage machine peut nous y aider. »
Gérôme Billois insiste également sur la nécessité de développer l'attractivité de la filière. « 15.000 postes autour de la cybersécurité sont aujourd'hui ouverts en France, et la dynamique n'est pas près de s'enrayer. Nous prévoyons que les entreprises vont devoir quasiment doubler leurs effectifs dans ce domaine au cours des dix années à venir. Or, aujourd'hui, on ne forme pas suffisamment de talents, et on ne va pas assez chercher les personnes qui ont les bonnes compétences et pourraient s'épanouir dans ce domaine. » La filière peine notamment à attirer les talents féminins : la France ne compte ainsi que 11% de femmes dans la cybersécurité. Un autre axe de progression important pour la filière.
Menaces et opportunités du quantique
L'équipe s'est enfin penchée sur les opportunités et menaces ouvertes par la technologie quantique. Si celle-ci sera encore bourgeonnante en 2030, elle pourrait à plus long terme générer un véritable bouleversement au sein de la filière. Le chiffrement asymétrique, en particulier, sera cassé beaucoup plus facilement par les ordinateurs quantiques, ce qui impliquera de basculer sur des algorithmes de chiffrement post-quantiques, auxquels travaille dès aujourd'hui la jeune pousse française CryptoNext.
Mais le quantique constituera aussi une opportunité, selon Yann Bonnet. « La technologie permettra par exemple, à terme, de savoir immédiatement si une conversation est écoutée. Il y a déjà des expérimentations en la matière, avec transmission de clef de chiffrement par technologie quantique, mais on ne s'attend pas à ce que cette technologie soit à maturité avant 2040, voire 2050. »
Economie de guerre : Nexter se dit capable de fabriquer 12 canons Caesar par mois
Sujets les + commentés