Les défis de la cybersécurité
Hervé Guillou / Président, Conseil des Industries de Confiance et de Sécurité / April 25th, 2014
viaLes défis de la cybersécurité.
La cyber-menace est en voie de prendre des dimensions systémiques pour l’économie mondiale. L’inquiétude des acteurs monte, au point que l’on peut craindre une réaction globale contre la numérisation, avec un énorme impact économique. Pourtant, les avancées en matière de cloud computing et de Big data pourraient, selon McKinsey, créer entre 9600 et 21600 milliards de dollars de valeur pour l’économie mondiale. Si la sophistication des attaques submerge les capacités défensives des États et des organisations, on peut redouter des règlementations et des politiques qui ralentiraient l’innovation et la croissance.
ParisTech Review – La cyber-menace est-elle différente pour les Etats et pour les entreprises ?
Hervé Guillou – Pas vraiment. Dans le cybermonde, les frontières entre administration et industrie ne se déterminent ni par les chaînes actionnariales ni par les organigrammes. Elles sont poreuses, par le truchement des services. Les individus reçoivent des services de santé, l’armée a besoin d’une logistique, les entreprises contribuables paient l’impôt sur les sociétés au ministère des Finances.
Pour appréhender ce sujet, il faut bien définir le cyber-espace. C’est un pavé à neuf cases, c’est-à-dire trois couches traversant trois mondes.
Il y a tout d’abord la couche physique (les câbles, les fibres optiques, les réseaux sous marins, les liaisons radios, les liaisons satellites, l’interconnexion, les switchs, bref toute la couche de support de l’information.
Ensuite, la couche informatique, les ordinateurs, les robots, les serveurs, les protocoles, les logiciels directs comme Windows, les logiciels de pilotage des robots, ou l’informatique embarquée sur une voiture.
Il y a enfin la couche informationnelle et fonctionnelle, la plus visible et la plus souvent associée à la cyber-sécurité : il s’agit des données, des applications, de l’information transmise, traitée ou stockée, du traitement dans le cloud, de l’information en ligne, des paiements sécurisés.
Ces trois couches « horizontales » traversent trois mondes verticaux qui ont, historiquement, toujours été cloisonnés parce que les technologies avaient leurs racines dans des mondes normatifs et industriels différents. Ces trois mondes sont l’informatique générale (IBM, Atos, Bull), l’informatique industrielle (Catia, Siemens, Schneider) avec ses automates, sa robotique, ses outils de CAO 3D et de GPAO (gestion de la production assistée par ordinateur), les commandes de machines numériques, et enfin l’informatique embarquée (Honeywell, Thales) spécialisé dans l’ordinateur en temps réel pour la commande de pilotage d’un avion par exemple, tout ce qu’on appelait autrefois les calculateurs embarqués.
Comment circule la menace ?
Internet Protocol (IP) est en train de faire à la fois une pénétration verticale puisqu’on est en train de rendre virtuels les réseaux de télécom et les routeurs. Dans le même temps, IP est en train de connecter l’informatique générale avec le contrôle commande des usines (par l’intermédiaire, par exemple, d’un logiciel SAP qui surveille la production).
On a également connecté l’informatique embarquée avec l’informatique industrielle. La « valise » qui permet de réparer l’informatique embarquée dans une voiture envoie les informations au centre technique du constructeur, télécharge un patch logiciel pour réparer et commande des pièces de rechange. Autre exemple : un Airbus possède sept adresses IP qui se branchent au sol sur des services de e-catering, qui téléchargent leur plan de vol puis transmettent leurs données de vol. Vous voyez que toutes ces couches et tous ces mondes sont désormais étroitement liés.
On pense évidemment à un média qui s’appelle la mer. Un siècle après Christophe Colomb, ce qui était du petit cabotage a été mondialisé et on a commencé à y faire circuler des richesses colossales. Il s’y est développé des pirates, des corsaires et bien sûr des marines militaires. Et des virus, parfois mortels, ont commencé à se répandre.
Il se passe exactement la même chose sur le Web mais la dissymétrie entre les attaquants et les défenseurs est encore plus formidable. Pour les attaquants, cela ne coûte pas grand-chose de recruter 2000 Chinois, 500 Russes ou 300 Bulgares, qui seront tous d’excellents informaticiens. C’est beaucoup moins cher que de construire un missile balistique, un avion de combat ou un réacteur nucléaire. La construction des instruments d’attaque est très accessible techniquement et le coût d’entrée pour l’attaquant est pratiquement nul. En outre, ils ont un don d’ubiquité quasi total : louer un serveur coûte un demi-dollar. Pour un million de dollars, vous avez deux millions de serveurs. Qui peut trouver l’origine d’une attaque mettant en jeu deux millions de serveurs répartis partout dans le monde et utilisant quatorze pays leurres ? Enfin, l’impunité est presque totale car les organismes attaqués hésitent à aller en justice par crainte pour leur réputation.
Et pourtant, il faut se défendre.
Même si vous pouvez attribuer une attaque, vous n’avez pas les moyens juridiques de poursuivre car il n’existe quasiment pas de loi internationale applicable au web. Un des seuls traités internationaux concernant Internet est le traité de Budapest contre la pédophilie. Rien à voir avec l’arsenal juridique dont on dispose pour réguler l’aérien, l’espace ou la mer. Les victimes sont exactement dans la position des galions espagnols de jadis. Ils placent de plus en plus de valeur sur le web. Les individus y mettent leurs données bancaires. Les bureaux d’études y mettent leur production intellectuelle. Les industriels y placent leur outil de production puisque les usines sont connectées entre elles, les fournisseurs sont connectés par les e-supply chain et l’e-stockage, les clients par l’e-commerce, les ressources humaines par l’e-HR. En plus, la victime est statique et elle cherche à se faire connaître grâce à un portail web attirant ! Pour les attaquants, le nombre de portes d’entrée explose. En 2003, il y a avait 500 millions d’adresses IP. En 2014, elles sont treize milliards. En 2020, ce sera au moins 80 milliards à cause de tous les objets connectés et de l’informatique industrielle. Rien n’est plus facile que d’attaquer une entreprise par ses fournisseurs ou ses agents mobiles.
Que cherche l’attaquant ?
Certains veulent s’enrichir, par exemple en revendant des codes de cartes bleues volés. Il y a aussi du sabotage, du terrorisme d’État, des ONG qui veulent punir une entreprise, de l’espionnage pour voler des informations. Derrière tout cela, il n’y a plus seulement des Robins des Bois romantiques mais souvent le crime organisé, ce qu’on appelle désormais l’ « advanced persistent threat ». Vous pouvez acheter pour 20 euros une carte bleue avec un droit de tirage de 100 euros. Si on vous a dérobé des plans, il existe un marché secondaire de la propriété intellectuelle ils pourront être valorisés.
Combien coûte cette guerre ?
La valeur économique pillée par la cybercriminalité en 2013 représente 190 milliards d’euros. Et il ne s’agit là que des pertes directes. Sony s’est fait voler 1,5 million de données de cartes bleues. Le dommage direct : 150 millions. Mais Sony réclame à son assureur 1,3 milliard de dollars pour compenser l’arrêt complet de leur serveur pollué de e-commerce, c’est-à-dire de leurs ventes, la modification de leur système d’information et la campagne de communication qui a suivi. Quand les industriels de la défense et de l’énergie se font voler des plans, la perte économique ou stratégique est potentiellement considérable.
Pourquoi est-il aussi difficile de mettre la main sur ces hackers ?
On n’arrive déjà pas à arrêter les djihadistes qui partent se battre en Syrie, alors les hackers… Comment identifier un individu qui travaille à partir de sa chambre en utilisant une fausse adresse IP ? Des polices se construisent autour de cette recherche, Tracfin aide, les services de renseignement aussi. Il y a eu, en 2013, 26 millions de malwares (logiciels malveillants), 70 000 nouvelles menaces par jour. La moyenne mondiale d’infection d’un ordinateur est de 40 %. Le temps pendant lequel un ordinateur neuf reste vierge après sa première mise en route, c’est trois minutes. Au-delà, un petit « botnet » (virus dormant) est installé par un hacker qui le réveillera peut-être un jour pour mener une attaque à partir d’une adresse IP innocente.
Comment procède l’attaquant pour se dissimuler aussi bien ?
Le temps médian de découverte d’une attaque sophistiquée est de 416 jours. Au ministère français des Finances, les services de préparation du G20 ont été piratés. Il a fallu une équipe de cinquante personnes pendant quatre mois, jour et nuit, pour que le cancer soit éradiqué. Car une fois que l’attaquant est dans votre système, il attend un jour pour être dans la sauvegarde à un jour, puis un mois pour être dans la sauvegarde à un mois, puis à un an, etc. Il infecte des couches de plus en plus profondes de votre cyber-structure. Quand vous croyez lui fermer une porte, il utilise les clés de toutes les autres portes.
Bref, il est impossible de se défendre ?
C’est difficile mais c’est impératif. Il y va de notre survie, au sens propre, car le Web est maintenant présent dans tous les systèmes vitaux : dans les salles d’opération des hôpitaux, dans les voitures, dans les feux de circulation, dans le compteur électrique, dans le réseau d’eau. Et au sens figuré car le web conditionne désormais la résilience économique d’un pays, le fonctionnement de ses banques par exemple, l’approvisionnement énergétique. Souvenez vous de l’Estonie, un des pays les plus technologiquement modernes du monde à l’époque, que des hackers russes ont mis à genoux économiquement pendant quatre jour en avril 2007.
Peut-on se protéger à un coût acceptable ?
L’hygiène informatique de base est essentielle, car elle permet de triompher de 90 % de la petite criminalité. 75000 PC ont été volés dans le métro de Londres en 2013, 70 % des entreprises du monde entier ont été attaquées. Il faut faire attention à ses affaires. Si vous élevez une petite barrière, vous dissuadez beaucoup de petits cyber-criminels qui cherchent la facilité. Surtout, il faut instaurer d’urgence une identité numérique régalienne, qui soit basée sur trois facteurs d’authentification : qui je suis (Iris, trait morphologique, battement du cœur), ce que j’ai (badge ou carte) et ce que je sais (code secret). Si au lieu de multiplier les mots de passe médiocres et qui sont si nombreux que vous êtes obligé d’en faire une liste elle-même vulnérable, on pouvait accéder au réseau grâce à son passeport numérique, par exemple, nous serions bien moins vulnérables. Attention au smartphone, à mi-chemin entre informatique générale et informatique embarquée, et qui illustre à quel point les mondes autrefois cloisonnés sont en train de se connecter.
Les Etats et les grands groupes n’ont-ils pas intérêt à mettre en place leurs propres moyens de sauvegarde, et à interdire l’utilisation du « cloud » proposé par un fournisseur ?
Bien sûr, les États et les grands groupes doivent se prendre en charge et déployer leurs propres moyens de protection. En revanche, il faut que ces moyens soient homogènes sur l’ensemble de leur réseau et de leur système d’information, et proportionné aux dommages à prévenir : on ne se protège pas de la même façon selon ce que l’on craint espionnage, déni de service ou vol. Mais il me paraît illusoire d’interdire l’utilisation du « cloud ». Il est trop tard, la pression économique est trop forte. Il faut donc s’organiser pour vivre avec, en n’y mettant pas n’importe quoi, et en protégeant ce qui doit l’être avec un bon cryptage et une maîtrise professionnelle de l’identité et des transactions sécurisées.
Peut-on aujourd’hui garantir l’inviolabilité absolue d’un intranet ?
Absolument pas : même s’il est techniquement et physiquement isolé du reste du monde, tant qu’il est accessible aux hommes, ils seront le maillon faible : indiscipline, erreur humaine, usurpation d’identité…
Le danger ne vient pas que des hackers criminels. Qu’en est-il des Etats ?
Les Etats doivent être impliqués tant du côté offensif que du côté défensif. Un des documents révélés par Edward Snowden montrent en toutes lettres que la consacre des ressources importantes à l’espionnage économique et en particulier à infecter, dès leur conception ou leur fabrication, des ordinateurs et des routeurs produits hors des Etats-Unis pour s’y garantir des portes d’entrée. En même temps, les Etats-Unis instaurent une meilleure protection réglementaire et législative pour obliger les ménages et les entreprises à s’assurer contre le cyber-risque. Washington veut obliger les entreprises cotées à chiffrer dans leur rapport annuel l’état du cyber-risque au même titre que les autres risques. La mobilisation des États est cruciale. En France, la loi de programmation militaire 2014, consacre plusieurs articles à la cyber-sécurité. Les organismes d’importance vitale seront tenus de se faire auditer par des experts. En 2013, le gouvernement britannique a convoqué l’un après l’autre des PDG et des membres de comex des entreprises du FTSE 100 pour les mettre en garde. Il faut que les formations suivent, avec des ingénieurs, des docteurs et des filières consacrées à la cyber-sécurité.
Et les entreprises ?
La prise en compte du risque cybernétique dans la gouvernance est essentielle. En général, le responsable de la cyber-sécurité est sous les ordres du directeur informatique, ce qui est la pire des configurations. La cyber-sécurité est en effet un concurrent budgétaire direct de l’informatique et le directeur informatique est en danger si l’on découvre des failles. En outre, le directeur informatique (CIO) est responsable de l’informatique générale, mais le plus souvent ni de l’informatique industrielle, ni de l’informatique opérationnelle. Bref, deux tiers du sujet lui échappent. Ce qui doit être du ressort de la DRH et qui est essentiel à la maîtrise des accès, lui échappe également. Le CIO est poussé par sa hiérarchie à chercher les effets de volume et à baisser les coûts. Il n’est pas en position d’autorité pour arbitrer le « cost quality trade off » entre la valeur économique du cyber-risque et le coût de la protection. Il faut que le Comex soit totalement mobilisé. Chez un grand constructeur automobile français, c’est le directeur des opérations, également directeur de l’ingénierie qui danime la cyber-sécurité. C’est une bonne configuration car cet homme a une bonne idée de l’informatique embarquée puisqu’il la conçoit et de l’informatique générale dont il est utilisateur.
Certains secteurs de l’économie sont-ils mieux protégés ?
Les entreprises les plus en avance sont les banques car, pour elles, l’informatique industrielle et l’informatique générale, c’est la même chose. En revanche, certains secteurs sont laxistes. Des usines livrées clés en main sont parfois dénuées de toute cyber-sécurité. Nous avons démontré à l’opérateur d’une raffinerie au Moyen Orient, la plus grande du monde, qu’elle pouvait être paralysée à distance en moins de dix heures. Il suffisait de pirater l’adresse IP d’un écran de contrôle, de modifier l’image à l’écran et de pousser les techniciens à prendre des mesures correctrices qui provoquent des accidents. Il faut savoir investir à bon escient. Quand une équipe mobile d’une Major pétrolière s’est fait voler tous ses dossiers d’exploration, perdant du même coup des atouts précieux pour une négociation de droits, la compagnie a sûrement regretté de n’avoir pas acheté des téléphones cryptés.
Quelle est la meilleure défense ?
L’essentiel, c’est la question du temps réel. Pour réduire les dommages, il faut d’abord réduire le temps qui s’écoule avant la découverte de l’attaque. Mettre des sondes. Les attaquants de haut vol passeront, mais les autres laisseront des signaux faibles : un poste qui a été activé à une heure indue, un flux de données passé avec un protocole inhabituel. Quand on a un soupçon, ou trouve. Deuxième impératif : être sélectif car on ne peut pas tout protéger. Le système d’information doit être bien ségrégé (composé de segments étanches) et les droits d’accès gérés professionnellement.
Comment construire une offre forte en matière de cyber-sécurité ?
Le monde de la haute sécurité (« high grade ») est très confidentiel et économiquement étroit. C’est celui, par exemple, des communications militaires au sein des installations nucléaires. Le marché du grand public, lui, est complètement occupé par les Américains. Ils ont tout racheté et construit des groupes de plusieurs milliards qui se verticalisent par exemple autour de Intel, Microsoft ou Cisco. Pour le « mid grade », c’est-à-dire la défense des opérateurs industriels d’importance vitale, il n’y pas vraiment d’offre en Europe car le sujet a longtemps été ignoré. Plus de 95 % des entreprises qui proposent des solutions pèsent moins de 5 millions d’euros. Ce sont des startups le plus souvent sous-capitalisées, avec une gamme limitée, une R&D fragile et qui peinent à croître, notamment à l’export. Les grands industriels hésitent à leur confier leur cyber-sécurité, de peur de rencontrer des problèmes de déploiement et de renouvèlement. Aux Etats-Unis, le Department of Homeland Security, qui a la cotutelle de la NSA, brasse 50 milliards de dollars et investit chaque année 3 milliards dans la cyber-sécurité, avec 80 000 emplois industriels à la clé. Il est donc nécessaire de consolider ce secteur. En France, le lancement du pacte défense/ cyber, du plan 33 de la nouvelle France industrielle, qui s’inscrivent dans le cadre de la création récente d’une filière sécurité française sont des bonnes nouvelles.
La CNIL et ses homologues étrangers focalisent leur activité sur la protection des individus. Peut-on mettre en place des institutions similaires pour la protection des entreprises ?
La CNIL, en protégeant les individus contre l’usage potentiellement abusif des données, s’intéresse aussi à eux quand ils sont dans leur entreprise. Elle y est donc très présente. Mais la CNIL n’est pas en charge de la protection des biens et des données de l’entreprise. C’est le problème de l’entreprise, éventuellement conseillée et supportée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ou des sociétés de cyber-sécurité de confiance qui se développent en ce moment. Le vrai sujet aujourd’hui, c’est que ces sociétés sont trop petites. Ce secteur de la cyber-défense doit s’organiser et se consolider rapidement.
Est-il possible d’imaginer une autorité mondiale de régulation susceptible de garantir les systèmes et échanges d’information contre les hackers ?
Certains y travaillent mais aujourd’hui, ces tentatives sont encore très embryonnaires. Tous les États n’ont pas les mêmes objectifs ni la même conception des libertés publiques et privées !