Ce message est également disponible en : Anglais
Ce décryptage constitue une synthèse de la table ronde “Cybersécurité et gestion du risque” qui fut tenue lors de la Matinale Kramer Levin du Numérique le vendredi 17 juin sur le thème Privacy/Cybersecurity : un dialogue transatlantique.
Le monde est complètement différent d’il y a 15 ans. Les nouvelles technologies ont révolutionné tous les domaines de l’économie (notamment avec l’effet des Big Data). Le coût de l’information pour les entreprises a baissé d’environ 70 %. Le danger est de dessiner un futur que nous ne pouvons pas connaître actuellement mais dont il est cependant nécessaire d’entrevoir les possibilités. La prospective joue ici un rôle crucial. Il existe par exemple des études sur ce que peut faire Facebook : beaucoup disent que cette entreprise peut jouer un rôle majeur en tant que compagnie d’assurance dans la mesure où elle coûterait moins cher et aurait déjà toutes les informations. Il existe actuellement 20 trillions d’échanges internet par an, ce qui pose des problèmes de sécurité. Les open source sont de plus en plus exploitées pour diminuer les coûts. Le problème consiste en ce qu’ils sont moins sécurisés que les softwares comme Microsoft par exemple. Quelle politique publique peut être envisageable dans ce contexte? Il faut certifier les produits avant qu’ils soient sur le marché. Par exemple, cela a été fait avec les télécommunications, en matière de téléphonie. Avec internet l’opération est bien sûr plus complexe. Le problème des certifications consiste en ce que cela prend du temps de mettre en place ces standards et que ça ralentit l’innovation. Le problème aussi c’est que ma menace en cybersécurité change beaucoup et est très sophistiqué. La protection doit aussi s’adapter à l’objet : un pacemaker doit évidemment être mieux protégé qu’un frigo.
L’avantage des Etats-Unis sur l’Europe c’est qu’ils sont unis en ce qui concerne la politique publique de la cybersécurité. Cependant, l’Europe, avec sa culture de la privacy, est en avance sur les Etats-Unis qui pour une fois se sont alignés sur les mesures d’avant-garde européennes, notamment les arrêts de la Cour de justice de l’Union européenne rendus en 2014 et 2015[1].
Nous retrouvons ainsi des directives insistant sur la sécurité des paiements dans le cadre du commerce électronique. En Europe, des banques expérimentent ainsi des cartes dotées de cryptogrammes dynamiques se renouvelant toutes les 20 minutes. D’autre part, ce n’est que récemment que les E.U se sont dotés d’un organisme équivalent à la CNIL, appelé Federal Trade Commission (FTC) et dont le but est de sanctionner les entreprises qui manquent à leurs obligations de protéger les données de leur clientèle ou de leur personnel.
Le problème désormais c’est que de plus en plus de produits sont connectés, ce qui augmente leur vulnérabilité vis-à-vis des attaques des hackers. Le problème est qu’un grand nombre de software a de grands nombres de bugs qui sont exploités par les hackers. Il s’agit alors de produire des softwares qui approchent du zéro bug. Le hacking devient une industrie. Les hackers s’échangent des informations, sont connectés. Leur capacité d’attaque est sans doute plus forte que les capacités de défense. C’est donc un véritable problème, d’autant plus si l’on songe à la capacité de nuisance des groupes terroristes. Une voiture par exemple a de nombreux points de vulnérabilité et peut être facilement hackée. Ce qui est important et problématique, c’est qu’une fois la technologie acquise pour hacker est maîtrisée, il est très facile et cela coûte très peu cher de répéter l’attaque.
La plupart des attaques informatiques ont lieu désormais pour des raisons économiques (pour la plupart elles ont lieu dans le contexte de l’e-commerce fraud : par exemple piratage de cartes bleues, copies de données bancaires,…). On peut constater qu’avec très peu d’infrastructure des individus peuvent avoir une activité illégale très importante. Ils ne procèdent pas à des attaques en tant que telles: ce qui est plus ambigu c’est qu’ils jouent d’une certaines manière le rôle d’intermédiaires (notamment via l’hébergement de services illégaux par des sites internets comme ce fut le cas du site Silk Road qui était une plateforme du darknet proposant des produits illicites comme des stupéfiants). Les solutions sont multiples et peuvent se décliner en plusieurs étapes : Détecter, reporter les incidents, agir et réagir rapidement, il faut pouvoir accéder aux données, coopérer avec les entreprises, les gouvernements.
Il faudrait tout d’abord une analyse de sécurité en amont pour bien cibler les produits qui présentent des risques et qui doivent être protégés. D’autre part, dans les prochaines années, il serait nécessaire que les entreprises qui fabriquent des produits de sécurité reçoivent l’aide de régulateurs pour pouvoir appliquer des standards uniformes.
[1] Voir l’article de Noëlle Lenoir, « Protection des données : Le match Europe/Etats-Unis », in Politique internationale n°151, printemps 2016, p.87-93.