Cybersecurity Trends 1/2018 FR

Page 1

Cybersecurity Édition française N. 1/2018

Trends

7 raisons pour lesquelles les entreprises se font hacker VIP Interviews: Marc GERMAN Jean-Luc HABERMACHER

«Cybersecurity Switzerland», la sécurité vue à 360°



Cybersecurity Trends

2

Le mot de l’Union Internationale des Télécommunications, par Marco Obiso

3

Regards sur Porrentruy, par le G.al Marc Watin-Augouard

4

Éditorial : De la nécessité, en matière de sécurité, de publier des regards croisés et internationaux à l’usage du plus grand nombre, par Jean-Jacques Wagner et Laurent Chrzanovski

6

Le mot des partenaires, par Alain Seid et Jean-Luc Habermacher

8

“Cybersecurity-Switzerland” (Porrentruy, 7-8 décembre 2017) : un livre blanc, par Laurent Chrzanovski

28

Autorités : La criminalité informatique, le nouveau business du 21e siècle, par Adela Albu, Centre Cyberint du Service de Renseignement Intérieur de Roumanie

32

Vip interview avec Jean-Luc Habermacher : Cyber-sécurité : enjeux et menaces vus par les yeux d’un expert en gestion de risques. Propos recueillis par Laurent Chrzanovski

36

La Suisse, l’un des rares pays où le GDPR devient un véritable atout (payant) pour les citoyens, par Laurent Chrzanovski

39

Autorités : Recommandations pour se protéger contre les ransomware (virus à rançon), par Cătălin Pătrașcu, Centre National de Réponse aux Incidents de Sécurité Cybernétique de Roumanie

42

Vip interview avec Marc German : Les conséquences d’une cybersécurité mal comprise et mal gérée : un système prévaricateur voué à l’implosion ! Propos recueillis par Laurent Chrzanovski

45

Note relative aux risques cyber, par Christophe Madec

48

Les risques cachés des systèmes de téléphonie mobile, par Giancarlo Butti

50

7 raisons pour lesquelles les entreprises se font hacker, par Marco Essomba

52

Quand le sport peut devenir un problème de sécurité nationale, par Nicola Sotira

54

L’impact de la désinformation sur la valeur boursière d’un titre, par Massimo Cappelli

58

Défis et mauvaise compréhension des menaces intérieures : toujours sous-estimées, sous-rapportées et ignorées, par Vassilios Manoussos

62

Comptes rendus bibliographiques, par Laurent Chrzanovski

67

Perle de culture, par Laurent Chrzanovski 1


Autorités

- Cybersecurity Trends

Chers lecteurs,

Marco Obiso Cybersecurity Coordinator International Telecommunication Union (ITU)

2

Si en 2017, plusieurs cyber-attaques complexes et d’ampleur mondiale doublée ainsi que le phénomène des «fake news» ont fait presque chaque semaine les titres des médias généralistes, l’année 2018 a débuté avec un niveau encore plus élevé de danger avec la publication de diverses vulnérabilités qui concernent la partie la plus vitales de nos outils informatiques : les processeurs eux-mêmes. Plus que jamais, la prévention, la prise de conscience, l’éducation et la formation continue dans les domaines de la cyber-sécurité, de la résilience et de la défense sont les seules clés aptes à réaliser, pas à pas, un monde digital meilleur, plus sûr et plus plaisant. L’UIT poursuit sans relâche ses efforts dans tous les domaines, tout en impliquant ses membres, sur ce sujet, entre autres par la promotion de partenariats. Dans cette édition de la revue, vous découvrirez un exemple d’une réalisation positive et proactive dans le domaine de l’échange d’informations sur les dangers, mais aussi les solutions, avec des contributions d’acteurs majeurs de tous les secteurs : spécialistes du privé et du public mais aussi utilisateurs du privé comme du public. Nous ne pouvons que saluer la multiplication et l’adaptation, par la Swiss Webacademy et ses partenaires, du concept de plateforme de dialogue public-privé développée à Sibiu, pour l’Europe Centrale, depuis 2013.La naissance, en décembre dernier, de la plateforme annuelle dédiée à l’Europe Occidentale (à Porrentruy, Jura, i.e. «Cybersecurity-Switzerland») et, ce mois de mai, de sa contrepartie centrée sur l’écosystème méditerranéen (qui se tiendra à Noto, Sicile) sont autant d’évènements dont la société a grand besoin, en complément de tous ceux qui existent déjà. Il est aussi à souligner qu’à notre époque, de nombreux congrès, conférences ou tablesrondes se terminent avec la dernière présentation du dernier panel. C’est donc un fait aussi rare que louable de pouvoir lire le Livre Blanc du congrès «Cybersecurity-Switzerland», que ses organisateurs vous offrent ici, ainsi que dans un livret spécial en quatre langues. Ce travail permet à tous de comprendre la moelle substantifique de chaque présentation, apportant de nombreux éléments pour faire naître autant de réflexions nécessaires ainsi que toute une gamme d’idées parfois disruptives, à prendre en considération et ce d’autant plus que l’événement, soutenu par l’UIT, a su prendre en compte nombre d’éléments de sécurité qui ne sont pas exclusivement «cyber», mais qui ont un impact sur le monde digital ou en proviennent De surcroît, le jour précédent les congrès de Sibiu et de Porrentruy, la Swiss Webacademy, en bonne collaboration avec les départements spécialisés de Police, tant roumaine, que suisse, est parvenue à battre le record européen et le record suisse en matière de nombre d’enfants et d’adolescents présents lors des séances gratuites de prévention. Les élèves en sont ressortis plus forts, connaissant désormais les dangers majeurs qui les guettent dans leur vie digitale, mais aussi les meilleurs moyens de les prévenir. C’est ainsi que l’UIT a décidé de rejoindre la Swiss Webacademy dans ce domaine également, en devenant co-organisatrice de la journée de prévention, offerte aux enfants et aux adolescents siciliens, qui se déroulera à Noto, le 9 mai, en partenariat avec le Global Cyber Security Centre (Fondation des Postes Italiennes). L’éducation et la culture de cyber-sécurité sont une nécessité, dans un monde où nousmêmes, les humains, devenons jour après jour et de plus en plus l’anneau le plus faible de la ligne de défense digitale. Nous avons tous le devoir de travailler ensemble dans ce domaine et d’offrir à la jeunesse, mais aussi aux adultes, au moins l’information nécessaire leur permettant d’éviter les pièges et les dangers les plus courants.


Regards sur Porrentruy

Général d’armée (2S) WATIN-AUGOUARD Directeur du centre de recherche de l’EOGN, Fondateur du FIC

La première édition du colloque Cybersecurity Switzerland a connu un franc succès. Le lieu choisi par les organisateurs n’est pas dépourvu de tout lien avec cette réussite, tant le charme médiéval de la ville a fait alliance avec le futurisme de l’espace numérique. Mais comment analyser les causes d’une promesse tenue, d’un rendezvous ayant répondu aux attentes des participants ? Plusieurs raisons se sont conjuguées.

BIO Fondateur et Codirecteur, Forum international de la cybersecurité – FIC Directeur, Centre de Recherche de l’École des Officiers de la Gendarmerie Nationale (CREOGN) Ancien inspecteur général des armées-gendarmerie Général d’armée (2008) Général de corps d’armée (2007) Général de division (2006) Commandant, Gendarmerie pour la zone de défense Nord (2005 – 2008) Commandant, Région de gendarmerie du Nord-Pas-de-Calais Conseiller pour la gendarmerie, Cabinet de Dominique de Villepin (2004 – 2005) Général de brigade (2003) Conseiller pour la sécurité, Cabinet de Nicolas Sarkozy (2002 – 2004) Commandant de la légion de gendarmerie départementale de Champagne-Ardenne (2000 - 2002)

En premier lieu, citons le professionnalisme des organisateurs qui ont conçu une rencontre « small but beautiful ». Small n’est pas péjoratif mais souligne la taille humaine d’une manifestation favorisant les échanges, le partage d’expérience dans un cadre propice à la convivialité. Beautiful était le contenu des interventions par des experts qui avaient autant d’humilité que de compétence. L’humilité n’est pas la modestie mais la reconnaissance de ses propres limites : « tout ce que je sais, c’est que je ne sais rien », disait Socrate. Aucun de nous n’a la science infuse, mais tous ensemble nous pouvons croiser nos savoirs, mettre en perspective pour atteindre « La vérité ». C’est cette absence de morgue, de suffisance (masquant l’insuffisance) que l’on pouvait retenir de chaque intervention venant s’interconnecter avec les autres pour tisser la toile du savoir. Fondateur du Forum International de la Cybersécurité (FIC), j’ai été heureux de venir à Porrentruy pour participer à un événement très complémentaire. Voilà pourquoi, l’équipe FIC souhaite renforcer les échanges, chacune des deux manifestations conservant bien sûr son identité. Ensemble nous serons plus forts pour faire face à l’ampleur des enjeux. L’autre raison du succès tient à l’enracinement du colloque dans un territoire. La ville de Porrentruy s’est engagée pour cinq ans, ce qui est un gage de confiance. Mais c’est tout un écosystème qui se met en place avec une dimension transfrontalière. Le Jura Suisse et la Franche-Comté offrent un espace cohérent pour conduire une politique de cybersécurité s’appuyant sur les solidarités locales et régionales. Alors que certains croient gommer leur importance dans un cyberespace sans frontière, les territoires sont en réalité des terreaux pour l’innovation, la formation, la création de valeur s’appuyant sur les apports de la transformation numérique. Porrentruy a choisi d’en être le centre de gravité pendant cinq ans. Il y a fort à parier que nous nous y retrouverons encore dans dix ans ! Une ville qui a choisi la modernité sans renier son passé n’abandonne pas une telle ambition en chemin. Il nous appartient de mériter sa confiance en soutenant les organisateurs afin que chaque édition permette au colloque Cybersecurity Switzerland de renforcer sa réputation déjà assurée.

ENSEIGNEMENT Chargé de cours en droit, Universités Panthéon-Assas (Paris II), René Descartes (Paris V) et Aix-Marseille III-Méditerranée

3


ds Éditorial - Cybersecurity Tren

De la nécessité, en matière de sécurité, de publier des regards croisés et internationaux à l’usage du plus grand nombre Auteurs : Jean-Jacques Wagner et

Laurent Chrzanovski

Jean-Jacques Wagner

Laurent Chrzanovski

L’Association des Auditeurs de Franche-Comté de l’IHEDN (ci-après AR10) a le plaisir de vous souhaiter la bienvenue dans ce qui est pour elle un défi aussi particulier que vital : mettre à disposition de tous, tous les trois mois, une revue composée de textes clairs, agréables et bien illustrés, rédigés par des sommités internationales. Dans une période où médias, Etats et organisations de tous bords parlent quotidiennement ou presque de «cyber-sécurité», le résultat sur le terrain des démarches entreprises jusqu’ici est peu réjouissant. Outre une fragmentation exponentielle de l’information, on peut observer, disponibles en ligne ou imprimés, des dossiers trop techniques et des articles de niche rivalisant avec des textes de vulgarisation à outrance et des affirmations superficielles. Citoyens comme entrepreneurs sont perdus dans ce magma de données et finissent par ne s’y intéresser que peu ou plus. Par ailleurs, partout en Europe à quelques exceptions près, la prévention des adultes en matière de dangers digitaux n’est devenue une priorité que depuis quelques mois, les autorités de chaque nation

4

ayant longtemps consacré toutes les énergies disponibles à l’éducation des écoliers et des lycéens. De surcroît, dans une Union qui n’en est – et de loin – pas une en matière de sécurité digitale, chaque Etat européen a tendance à réinventer la roue, à élaborer ses propres contenus, à ne donner la parole qu’à ses propres experts et à ses propres institutions. Dans le secteur le plus globalisé, et le plus «sans foi ni loi» qu’est l’internet, le repli sur soi ne peut mener qu’à la stagnation, à l’incompréhension, puis à l’échec. Rompant avec ces habitudes trop diffuses, l’AR 10 a su constituer, depuis 2014, la plus importante délégation étrangère participant à la Plateforme internationale de dialogue sur l’Europe Centrale «Cybersecurity Romania», qui a lieu chaque année à Sibiu et dont la pérennisation matérielle n’est autre que la revue que vous lisez en ce moment, dans sa variante roumaine, née en janvier 2015. Créés et gérés par l’ONG Swiss Webacademy (Sibiu, Roumanie), congrès et revue ont été primés en 2015 comme «exemples de bonnes pratiques pour le continent européen» par la plus haute autorité globale du domaine, l’Union Internationale des Télécommunications (ONU-Genève), qui, depuis, en assure le soutien et la promotion, rédigeant notamment – un unicum – sa propre section dans chaque numéro de la revue. Après deux ans de succès, à la demande de l’UIT et avec l’appui de partenaires de prestige «Cybersecurity Trends» est publiée depuis 2017, en sus de son édition native, dans des versions adaptées aux publics italophones et anglophones, totalisant aujourd’hui plus de 400’000 lectures ou téléchargements tous pays confondus. En effet, conformément à sa vision sans but lucratif et d’utilité publique, la revue, dans toutes ses versions, est intégralement disponible en ligne sur la plus grande plateforme globale de journaux digitaux, à l’adresse: issuu.com/cybersecuritytrends. A souligner également que chaque


édition est référencée par les bibliothèques nationales, puisque dotée de son propre ISSL/N. En parallèle, soucieuse d’apporter sa pierre à l’édifice indispensable de la multiplication et l’adaptation des «bonnes pratiques», l’AR10 est devenue le partenaire et l’allié inconditionnel de la Swiss Webacademy dans le lancement des deux autres plateformes annuelles de dialogue continentales, constituant désormais le plus cohérent des triptyques : celle dédiée à l’Europe Occidentale, à Porrentruy (Jura, Suisse) et celle consacrée à l’écosystème méditerranéen, à Noto (Sicile, Italie). C’est ainsi tout naturellement que l’AR10 a décidé de s’associer à la revue «Cybersecurity Trends» et de prendre la charge de porter à la connaissance du plus grand nombre de lecteurs francophones les messages des autorités internationales et nationales, des interviews exclusives de spécialistes reconnus en la matière ainsi que des articles de tous horizons géographiques et thématiques, permettant de mieux cerner l’impact du monde digital sur notre vie physique et de réagir en conséquence. La pérennité de la revue est ainsi assurée, pour le plus grand bonheur des quelques 80’000 lecteurs qui ont téléchargé ses premiers numéros suisses (franco-italiens), édités par le CLUSIS, association pour laquelle l’exercice s’est révélé trop difficile et bien peu compatible avec les besoins locaux de ses membres. La rédaction de la revue, quant à elle, ne peut qu’exprimer ses plus vifs remerciements à l’AR10, confiante que cette publication se révélera être un partenariat d’excellence de plus dans la panoplie de projets élaborés désormais en commun.

C’est désormais, paradoxe et avantage de la globalisation, depuis la Transylvanie et la Franche Comté, que, de Québec à Genève, de Bruxelles à Yaoundé et, bien sûr, à Paris, vous pourrez lire au fil des numéros des textes d’auteurs de plus de 15 pays. Nous espérons que la clarté, le style et la forme des articles, rédigés sans concession sur le fond, sauront vous plaire. Chaque lecteur de plus est pour nous un honneur et un petit pas vers une société plus consciente des enjeux auxquels elle fait face trop souvent sans le savoir. En vous donnant rendez-vous tous les trois mois, nous vous souhaitons de passer un moment aussi agréable qu’enrichissant au fil des pages de cette «première».

Jean-Jacques Wagner, de l’AR-10, est Professeur à l’IUT Belfort-Montbéliard (Université de Bourgogne FrancheComté) est membre du trinôme académique et référent défense du Territoire de Belfort pour l’IHEDN. Laurent Chrzanovski, fondateur et rédacteur en chef de la revue, est Professeur à l’école doctorale de Sciences Humaines de Sibiu et membre du Groupe d’experts de l’UIT (ONU).

Le mot des Partenaires

5


Le mot des - Cybersecurity Trends Partenaires

L

Alain SEID Président de la CCi du Territoire de Belfort

a Chambre de Commerce et d’industrie du Territoire de Belfort représente, au travers des actions qu’elle mène, les intérêts du commerce, de l’industrie et des services auprès des pouvoirs publics et plus largement de l’ensemble des acteurs économiques. Nous nous efforçons au quotidien de contribuer au développement économique du Territoire de Belfort en remplissant en faveur des acteurs économiques des missions de service public, des missions d’intérêt général et, à son initiative, des missions d’intérêt collectif. Virtuel ou bien réel, l’échange entre acteurs est la base du développement économique d’une entreprise, voire d’un territoire. Force est de constater que nos modèles économiques volent en éclat sous l’influence de la digitalisation, de l’économie collaborative, de l’économie servicielle et autres concepts déstabilisants pour les entrepreneurs. Il est nécessaire d’anticiper ces changements. La hausse de qualification et de compétences, notamment en matière numérique, l’innovation, la recherche et développement, les services à forte valeur ajoutée… sont des priorités pour aborder le commerce de demain ou l’usine du futur, mais le chef d’entreprise ne doit pas omettre sa cyber-sécurité. C’est la raison pour laquelle, nous avons fait le choix d’être partenaire du premier congrès de cyber-sécurité organisé à Porrentruy. Cette petite ville Suisse frontalière de notre département est le lieu idéal pour organiser une telle manifestation et pour rassembler les plus grands experts internationaux et spécialistes de ce domaine. Les entreprises présentes ont pu prendre conscience de l’urgence et de l’intérêt pour eux de se préoccuper personnellement de cyber-sécurité, il en va non seulement du développement de leur activité mais bien évidemment de leur pérennité. C’est donc bien de notre mission que d’être présent mais aussi d’inciter les entreprises quelles qu’elles soient, grandes, petites ou moyennes, de commerce, de services ou industrielles, à se préoccuper ou simplement à écouter les messages que les spécialistes ont su ces jours transmettre à merveille. Rendez-vous l’année prochaine !

C Jean-Luc HABERMACHER Président de la Vallée de l’Energie Président du Cercle AGORA des Responsables de la sureté et de la sécurité pour le Grand Est de la France

6

e 1e congrès de Cyber Sécurité organisé à Porrentruy (Suisse) a été un évènement important dans le bassin économique et industriel du Grand EST de la France, sa dimension internationale sur une zone géographique transfrontalière qui dispose d’une très grande diversité d’entreprises avec des activités dans des secteurs touchant à l’Energie, l’Industrie Automobile, les Micromécaniques, la Chimie et la Pharmacie, les services bancaires et d’échanges de biens internationaux a permis d’aborder des sujets liés aux différentes problématiques des Cyber Risques dans ces contextes très spécifiques. L’analyse et les retours d’expériences des intervenants ont permis d’avoir des approches transverses et globales des risques Cyber dans l’entreprise. De plus, le fait qu’il ne s’agit pas d’un « congrès marchand » mais avant tout d’une plateforme d’échanges et de dialogues sans approches commerciales permet des relations plus ouvertes et donc plus enrichissantes entre les participants. Il est à noter que le charme et la dimension de cette petite ville, stratégiquement bien placée en la gare TGV de Belfort-Montbéliard et les aéroports de BASEL et ZURICH, a aussi permis de faire venir des personnalités et des experts internationaux tout en préservant des espaces et des moments d’échanges BtoB qui sont, à mon sens, essentiels dans ce type de congrès. Les échanges d’expériences, la bonne compréhension des problématiques tant spécifiques que globales et les analyses transverses qui ont pu en être faites, ont été les points forts que m’ont remontés les Responsables ou Représentants des entreprises présents. Nous avons tous pris conscience que le sujet n’est pas spécifiquement dédié aux Responsables SSI, mais qu’il faut mener une réelle analyse transverse au sein de l’entreprise pour bien identifier toutes les causes et les conséquences liées à un « Risque Cyber ». Les solutions seront naturellement spécifiques à chacun et les actions à mener ne doivent pas être que technologiques la pertinence des solutions devra nécessairement passer des échanges d’expériences dans des analyses transverse interdisciplinaires. Sur ce constat de nombreux participants, que je connais, se sont déjà donnés rendez-vous pour le prochain congrès afin de s’enrichir de ces échanges.


7


Trends Central Folder - Cybersecurity

8


Les partenaires Belfortains en nombre au Congrès !

Les membres de l’IHEDN AR-10 entourent l’invité d’honneur, le Général d’Armée (2S) Marc Watin-Augouard. Premier sur la gauche, Christian Arbez représente la CCI Belfort (dont il est le Directeur Général), tandis que premier depuis la droite, Jean-Luc Habermacher, lui-même auditeur de l’IHEDN représente la Vallée de l’Énergie (dont il est le Président fondateur)

9


Trends Central Folder - Cybersecurity JOUR «0» : 6 Décembre 2017

Journée de prévention pour adolescents et adultes

L

’un des axes fondateurs du congrès est de faire profiter la population locale d’une journée de prévention gratuite aux dangers du net et aux moyens de se protéger face aux menaces les plus répandues. Aussi, la matinée a été organisée en deux séances d’une heure et demie dont ont bénéficié 440 élèves et 32 enseignants (soit 18 classes de collégiens, constituant le record de Suisse en la matière !) La Police cantonale du Jura, représentée par l’adjudant Daniel Affolter, responsable communication et prévention, et par l’inspectrice Sylvie Allemann, chargée des problématiques IT à la Police judiciaire, a présenté les problématiques dans une brève allocution et est ensuite restée répondre aux questions des collégiens. Daniela Chrzanovski (Swiss Webacademy) a fait une présentation des risques majeurs présents sur le Net et a animé le jeu-concours, doté de prix offerts par UBS et UPC. L’invité spécial, Pierre-Alain Dard, chef de la Brigade des Mineurs de la Police cantonale de Genève, a expliqué les problématiques auxquelles la brigade se confronte et les lois en vigueur, avec une multitude d’exemples concrets. La soirée pour adultes et entrepreneurs a été organisée en une séance d’une heure et demie, suivie de plus de 45 minutes de questions montrant le vif intérêt suscité parmi les 115 adultes présents (27 entrepreneurs ; 28 administrateurs IT du secteur public et 60 citoyen(ne)s. Y ont pris la parole : Pierre-Arnauld Fueg, Maire de Porrentruy, qui, dans son allocution de Bienvenue, a souligné l’importance vitale pour les adultes d’être au fait des dangers du net afin de constituer une société solidaire et résiliente Francisco Arenas, Manager Solution Business Sales Romandie, UPC a insisté sur la nouvelle donne qui va permettre de différencier les prestations des fournisseurs d’internet : la cyber-sécurité du consommateur. Laurent Chrzanovski a ensuite traité des problématiques actuelles, des menaces et des moyens de les éviter, avant de présenter, à l’usage des PME, les incidents majeurs de 2017 (causes, effets, leçons à en tirer) ; il a ensuite souligné un nouveau privilège des citoyens Suisses et Luxembourgeois : celui de pouvoir s’assurer contre les «cyber-risques» à prix raisonnables, contrairement à la plupart de leurs voisins européens.

10


Le congrès : allocution de bienvenue

M. Pierre-Arnauld Fueg

Le congrès a été dument ouvert par le Maire de Porrentruy, M. Pierre-Arnauld Fueg, dont nous reportons le discours ci-dessous. «Mesdames et Messieurs, très chers hôtes, en tant que Maire et au nom de la Ville de Porrentruy, c’est un plaisir et un honneur que de m’adresser à vous aujourd’hui. Nous nous sentons ici comme dans le mythe qui a donné naissance aux armoiries de notre ville, attesté depuis le 13e siècle au moins par les sceaux officiels. Comme vous avez pu le lire dans la brochure du congrès, le sanglier, sympathiquement illustré sur les supports du congrès et le badge que vous avez reçu, porte à lui seul une légende entièrement liée à la sécurité. Selon cette dernière, « il était une fois, une bête singulière, courant à pleine vitesse, était capable de sauter au-dessus des murs de la ville, hauts de dix pieds, comme s’il ne s’agissait que d’une petite clôture insignifiante. Ce sanglier providentiel fut donc vu sans aucun doute possible comme un messager des esprits protecteurs de la ville, et le Conseil Municipal décida, durant une cérémonie solennelle, que l’animal deviendrait à jamais l’emblème de la noble cité de Porrentruy ». Cet épisode fit comprendre aux Conseillers que plusieurs portions de l’enceinte étaient trop basses pour pouvoir résister à l’assaut d’un ennemi, et ils décidèrent sur-le-champ de renforcer les segments en question. Les autorités et les Conseillers d’aujourd’hui sont de plus en plus conscients que l’enceinte digitale de notre ville, de notre administration, de notre réseau d’énergie et de la protection de nos citoyens doit être renforcée de façon régulière. Nous avons donc soif d’en apprendre plus sur les tendances globales

en matière de menaces devenues mutantes à un rythme quotidien, afin de pouvoir prendre les meilleures décisions, d’ajuster nos standards, de renforcer les mesures déjà prises secteur par secteur, dans le but de devenir aussi bons en résilience que nous sommes parvenus à l’être en termes de gestion de l’utilisation des énergies. C’est ainsi que durant les premiers jours de mai, la Municipalité de Porrentruy et la Swiss Webacademy ont commencé à constituer le dossier nécessaire à jeter les bases d’une plateforme macro-régionale de dialogue sur la cyber-sécurité, que notre ville puisse accueillir chaque année. Le 3 juillet, le Conseil de Ville a voté en faveur de l’initiative et la Municipalité est devenue co-organisatrice de l’événement, lui assurant un support logistique, humain et financier. Durant l’été, en tenant compte des délais extrêmement courts nous séparant de la naissance de la 1ère édition, ses organisateurs - dont le soussigné – l’ont surnommée «édition 0.0». Aujourd’hui, en voyant les orateurs qui nous ont rejoint, leurs talents et les postes qu’ils occupent, ce sont les «cerveaux 0.0 « des organisateurs qui peinent à croire que tout cela est bien réel. La Ville de Porrentruy est honorée – et c’est peu dire – de leur présence. Notre gratitude, en tant qu’autorité locale, s’étend aussi aux décideurs des PME et des entreprises du Canton du Jura et de France voisine qui ont accepté de participer à cette première. Nous sommes également profondément reconnaissants à l’Union Internationale des Télécommunications Union, qui a accordé son égide à l’événement, et aux institutions prestigieuses d’Italie, de France et de Suisse qui lui ont garanti leur partenariat et leur support. Mais bien plus que de la légitime fierté, c’est déjà le travail qui nous presse. Un travail déjà en cours pour mettre en adéquation l’audience de la prochaine édition à la hauteur du standard incroyablement élevé des hôtes qui marquent de leur présence cette première. Pour la réussite de ce congrès, comme pour les enjeux qui nous attendent pour les suivants, nous aimerions souligner l’implication constante et sans relâche de Mme Daniela Chrzanovski et de toute son équipe de la Swiss Webacademy, ainsi que de Mme Jasmine Greppin, d’Eureca’ Venture. Elles ont travaillé côte à côte, quotidiennement, avec l’équipe de la Mairie, constituée de Mmes Magali Voillat et Anaïs Cuenat. Nous leurs adressons à toutes nos plus vifs remerciements. Jour après jour, le responsable de l’événement, Laurent Chrzanovski, en trinôme avec Jean-Jacques Wagner et Luca Tenzi, ont mis à disposition leurs savoir-faire ; leurs réseaux internationaux se sont ajoutés à celui de la Ville, aboutissant à un résultat à dire peu impressionnant : Porrentruy accueille aujourd’hui des orateurs de huit pays et de sept organisations mondiales, couvrant véritablement la sécurité sous tous ses angles majeurs. Toute la Municipalité espère que le congrès et les charmes de notre ville bourgeonneront dans chacun d’entre vous à travers le savoir, les rencontres et les impressions personnelles qui vous auront marqués durant ces deux jours. Quant à nous, il ne nous reste qu’à vous donner la plus chaleureuse des bienvenues, et avec notre équipe se tenant à votre disposition, de vous souhaiter le plus réussis des congrès et le plus plaisant des séjours dans notre ville.»

11


Trends Central Folder - Cybersecurity JOUR 1 : 7 Décembre 2017 Dans sa présentation «Le mot du CEO : Être agile et capable de changer sa vision lorsque l’on parle de cybersécurité», Xavier van NUVEL, PDG et Fondateur de Digital Solutions et d’OpenOnline (Suisse) a apporté sa vision de l’innovation et surtout de la résilience d’une entreprise grâce au facteur humain et à sa capacité – ou non – de s’adapter à un environnement et à des menaces en constante mutation. Grâce aux trois maîtres-mots COOPÉRATION-INNOVATIONANTICIPATION, l’orateur a mis en évidence les vecteurs qui relèvent de l’agilité rationnelle (pédagogie, proactivité, synchronisation collégiale) et ceux qui dépendent de l’agilité émotionnelle (empathie, compréhension de la situation, «rébellion» constructive»).

Dans un monde de plus en plus structuré sur les données transmises ou échangées (data) quels que soient les outils technologiques utilisés, c’est ainsi au chef d’entreprise et à son CISO d’aider tous les collaborateurs de l’entreprise à développer leur faculté d’agilité, à synchroniser leurs actions en interagissant au mieux afin d’élaborer des idées utiles au groupe, y compris dans ce qui dépend de la nature émotionnelle de chacun. Avec une formation idoine et une responsabilisation de chaque collaborateur, les résultats pour l’entreprise – en matière de développement du business, d’identification puis de réaction aux attaques – peuvent ainsi bénéficier d’une croissance en exploitant les ressources humaines déjà à sa disposition avant d’envisager de recourir à des tiers pour tel ou tel besoin. Le premier speaker, le Col. Marc-André RYTER (Collaborateur pour la Doctrine au sein de l’état-major de l’Armée Suisse), a disséqué de façon claire et précise les enjeux et les menaces de la transformation digitales de «l’armée 4.0», vues dans leur ensemble puis, en particulier, depuis la Suisse en tenant compte de sa situation géopolitique, stratégique et des moyens mis à disposition.

12

La force du discours, accompagné de la projection d’images soigneusement choisies, a mis en évidence la difficulté du très long processus, pour les décideurs de l’armée, de choisir un élément connecté, du simple casque de soldat au véhicule semi-blindé ou au drone. Ce sont en effet les données réelles au moment de l’analyse préliminaire (finances, environnement, démographie et technologie) qui vont, à travers la doctrine et l’analyse des capacités nécessaires, donner naissance à l’élaboration des concepts de base servant à élaborer le cahier des charges (ou masterplan) impliquant toutes les mesures de développement humaines et techniques permettant de se lancer dans l’achat et l’adaptation de tous les éléments connectés des armes et équipements de dernière génération. La présentation a parfaitement démontré la difficulté et la véritable révolution du mode de pensée permettant de pouvoir évaluer les armes à forte connectivité par rapport à celle qui régissait jusqu’il y a une dizaine d’années les achats des dotations militaires plus «conventionnelles». L’équation finale s’avère particulièrement difficile, car si le monde du «4.0» ouvre un très grand nombre de perspectives positives (permettant d’utiliser au mieux les ressources disponibles avant, pendant et après l’action), chaque perspective est assortie d’autant de risques majeurs liés à la vulnérabilité et à la capacité maximale de chaque module interactif.

La présentation fut si riche en informations qu’en faire un résumé synthétique relève de l’impossible, et ce d’autant plus que l’auteur a livré une grande partie des fruits de sa recherche dans un article publié dans le n.1/2017 de la Military Power Revue of the Swiss Armed Forces (pp. 50-62), que nous vous invitons à télécharger1. Venant compléter comme un gant – c’est bien le cas de le dire – la présentation du Colonel Ryter, ce fut au tour de Julien Provenzano (CEO de la start-up Pré-Ka-Ré) de présenter brièvement à l’auditoire le prototype de gant d’infanterie que sa société développe dans le but d’aider les soldats à effectuer des «ordres manuels adressés par


gant électronique». Après une présentation des avantages de cet équipement et une analyse SWOT du gant lui-même, dont la production en soi ne pose de défis majeurs que dans la taille et la consommation du microcontrôleur intégré, l’auteur a détaillé exhaustivement l’ensemble des risques et des problématiques (menaces) pesant sur un tel objet s’il venait à tomber en possession par l’ennemi - ou à être rendu indisponible / émettre de fausses données.

Le public a ainsi pu se rendre compte, concrètement, non pas de l’utilité incontestable d’un tel outil, mais de l’ensemble des paramètres à définir et à peaufiner pour résoudre l’équation de la sécurisation d’un nombre immense de détails qui pourraient devenir des points vulnérables et, donc, autant de mesures à élaborer, tester et appliquer pour que le gant franchisse positivement les impératifs et les exigences implacables de son destinataire. Cet exemple a ainsi, par les détails savamment livrés par l’auteur, rendu attentif chaque participant à la complexité et aux multiples vulnérabilités de tout objet connecté «civil» ou «industriel» ou les exigences de sécurité sont bien moindres, voire inexistantes. Venant idéalement compléter le panel «armée & cyber», le speech d’Alexandre Vautravers (Responsable du Programme en Sécurité Globale au Global Studies Institute de l’Université de Genève et Rédacteur de la Revue Militaire Suisse) s’est concentré sur la complexité du concept même des guerres d’aujourd’hui, menées aussi bien sur le terrain digital, non-militaire (glissement entre «soft power et smart power») que sur celui réel, avec sa cohorte de guerres hybrides. Un accent particulier a été porté sur les dimensions de la guerre d’aujourd’hui, qui couvre quatre dimensions : la population et l’économie ; les actions CIMIC (coopérations entre civils et militaires); les opérations tactiques et enfin toutes les actions stratégiques et opérationnelles.

Disséquant le système suisse tel qu’il a été validé en 2016, l’auteur a clairement démontré qu’aucune armée n’est plus à même de résoudre, seule, les conflits d’aujourd’hui, si elle n’est pas assurée d’avoir l’aide d’une architecture institutionnelle et privée couvrant presque tous les domaines du «law enforcement», des collaborations actives public-privé ainsi que des concertations régulières avec les élus et le monde politique. Mise en place progressivement, cette architecture multistakeholders, qui place la dimension «cyber» comme point central, avec répercussions dans toutes les formes traditionnelles de sécurité, se révèle très complexe à prime abord, mais commence à faire ses preuves et, surtout, se confirme comme étant la seule solution viable pour un pays neutre et fédéral à vocation consensuelle2.

La présentation de Marc German (Diplomate d’entreprise et expert en cyber-crime) a su faire la jonction entre le monde militaire, sécurisé «par devoir» et celui des affaires, en expliquant que l’Intelligence concurrentielle et la cybersécurité sont, en fait, à mener de front, et constituent les deux faces de la médaille de la pérennité de l’entreprise. Ses propos, incitant à adopter une posture défensive mais aussi offensive, ont été percutants, expliquant un milieu économique globalisé où les organisations se battent pour accroître leur compétitivité et optimiser leur rentabilité et que de nombreux

13


Trends Central Folder - Cybersecurity concurrents ne jouent pas en suivant les mêmes règles. Pour Marc German, «L’intelligence compétitive c’est maîtriser et exploiter l’information utile pour créer de la valeur durable dans une entreprise par la mise en œuvre d’actions coordonnées de recherche, d’analyse et d’exploitation de l’information utile aux décideurs. En d’autres mots, l’Intelligence compétitive c’est transformer l’information en renseignement et transformer la matière brute en matière grise».

Sans pour autant inciter à franchir les limites de la légalité en commandant des «black-ops» contre des compétiteurs, qui sont malheureusement monnaie courante, l’auteur insiste sur le fait que pour survivre, croître et gagner des compétitions, une entreprise se doit désormais de passer à l’offensive en cherchant et valorisant l’information qui lui donnera le coup d’avance. De façon concomitante, elle doit aussi protéger ses propres data, ses méthodes et son savoir-faire, c’est à dire son trésor, qui est l’objet de la convoitise de ses concurrents3. La seconde session, dédiée aux enjeux des technologies de dernier cri, a été magistralement ouverte par le keynote speech de Martin Lee (Directeur de la Recherche en Sécurité auprès de Cisco Talos, U.K.). Le chercheur a passé en revue les grandes attaques de 2017 et a permis d’en retracer un dénominateur commun, à savoir le point central de la superposition de quatre phénomènes connus mais en plein boom: l’évolution des ransomwares et de leur rentabilité (atteignant 34 milliards de dollars de recettes par année), d’où la «démocratisation

des menaces», les virus sans cible précise mais avec puissance pandémique de propagation (WannaCry, Nyetya…). Le quatrième phénomène est sans doute le plus grave et prendra bien du temps à évoluer, car il s’agit de la complaisance des entreprises à utiliser des outils perméables, mal programmés, vulnérables et facilement attaquables et, qui plus est, utilisés durant longtemps avec nonchalance par simple ignorance que ces outils ont été attaqués depuis des mois, voire des années. Dans ses conclusions, Martin Lee a insisté sur l’importance de l’architecture informatique des entreprises, qui devrait être reprise et examinée point-par-point, et surtout des règles minimales à adopter, proposant au public une version synthétique et moins aride du célèbre «NIST framework». Abondant dans ce sens, Roland-Iosif Moraru (Professeur et Vice-recteur à l’université de Petrosani, Roumanie) a plaidé pour l’acquisition d’une véritable culture de sécurité avant même de se spécialiser dans la mise en sûreté des systèmes propres l’un des deux grands secteurs de l’économie, car les exigences sont les mêmes, mais ne figurent pas dans le même ordre de priorité. Pour le monde des affaires, le «top 3» est constitué par la confidentialité suivie de l’intégrité et de la disponibilité, tandis que pour le monde industriel, la disponibilité vient en premier rang et la confidentialité en dernier. Pour assurer cette disponibilité au client et parer aux attaques, il s’agit de tester constamment tous ses systèmes, de prévoir des paliers de sécurité – et de segmenter le système de contrôle –, de renforcer régulièrement les composantes du système et, surtout, de posséder des procédures claires à mettre en application par chaque collaborateur dès qu’une intrusion est détectée.

La sécurité des humains comme des machines, la vigilance constante et la résilience basée sur la connaissance quotidienne d’incidents ou d’attaques portées à des entreprises au profil similaire sont les trois axiomes de base sans lesquels, selon l’auteur, aucune technologie ne pourra à elle seule résoudre des assauts qui deviennent de plus en plus perfectionnés, mutants et évolutifs. Christophe Réville (Co-fondateur du Sommet IE2S et spécialiste en intelligence stratégique) a quant à lui insisté sur les dangers d’introduire, sous la pression des revendeurs, des outils dotés

14


de la fonction «machine learning» sans en connaître tous les tenants et les aboutissants en matière de sécurité. Souvent présentés aux patrons comme la panacée en termes d’efficacité, de rentabilité et de réduction des marges d’erreur, ces outils peuvent se révéler être la nouvelle porte d’entrée de toutes les attaques d’envergure. Utilisant une métaphore simple, l’orateur a déclaré que l’Intelligence artificielle «est passée ces derniers quelques mois d’un fonctionnement raisonné et logique, ou «cerveau gauche», dans laquelle elle se complaisait depuis trente ans – data mining, algorithmes linéaires, etc. – à un paradigme qui intègre vision globale et processus intuitif – très «cerveau droit». Une révolution chaotique dans laquelle les comportements induits des machines dessinent d’improbables fractales…». Il a d’ailleurs livré un exemple inquiétant, celui d’un groupe d’ordinateurs connectés qui s’est affranchi de l’anglais (langue de communication entre les programmateurs et les machines) pour commencer à créer un langage unique, compréhensible d’eux seuls – jusqu’à ce qu’on les débranche. Serait-ce le début d’une lutte de machines contre machines échappant à tout contrôle humain ?

Les enjeux d’une telle possibilité ont poussé les cent seize patrons des plus grandes entreprises de robotique à adresser une lettre ouverte aux Nations Unies (le 20.08.2017) enjoignant la communauté mondiale à prendre les mesures nécessaires avant que la lutte entre les intelligences artificielles ne devienne un réel danger mortel pour l’homme en cas d’utilisation armée. Christophe Madec (expert en cybersécurité et Jean-Gabriel Gautraud (BESSÉ Conseil), ont expliqué les difficultés rencontrées par les risk managers lors de leurs rencontres de travail dans les

différentes entreprises, quel que soit leur secteur d’activité, dès lors qu’ils viennent à aborder le sujet de la cyber-sécurité. En effet, à la base, le risk manager n’est luimême pas un expert en cyber-sécurité et, même lorsqu’il a été formé à ce domaine, il se confronte, au sein de l’entreprise, non pas à un CISO, mais à un simple IT manager, d’où le problème de trouver un vocabulaire et un terrain commun pour mener une discussion constructive. Par manque de culture numérique, les entreprises – surtout celles des secteurs primaire et secondaire, mais aussi les PME de toutes sortes, définissent le risque comme une atteinte à leurs enjeux stratégiques et non à leurs infrastructures, déléguant au risk manager des tâches de vérification et d’assurance de ce que le management considère comme «critique»4.

Aussi, l’impact multiple d’une attaque cyber moderne, parfaitement illustrée par les auteurs, ciblant aussi bien la chaîne de production que les filières de vente ou d’approvisionnement, entraînant des préjudices internes et externes, reste incompris par le patronat. Dans ce «choc des cultures», sans responsables formés ni infrastructures sécurisées, impossible de s’assurer comme il faut, créant une inégalité à l’ampleur impressionnante, parfaitement illustrée par les auteurs, entre les entreprises selon leur taille. Aussi, en France, si 95% des entreprises du CAC40 sont désormais assurées contre les cyber-risques, seules 3% des entreprises de taille moyenne et 2% des PME ont souscrit à une telle assurance. Inaugurant la session sur les outils et stratégies de nouvelle génération, Bénédict Matthey (Cyber Security Executive à Darktrace et Hippolyte Fouque ont introduit, puis illustré avec des séquences filmées en situation réelle, les bénéfices majeurs que peuvent apporter des produits où l’Intelligence Artificielle est appliquée exclusivement à la cyber-sécurité. Face aux quantités de données en croissance exponentielle, à des employés aux tâches de plus en plus variées, il devient essentiel de

15


Trends Central Folder - Cybersecurity permettre à la vigilance et à l’expertise humaine de se concentrer sur des informations fondamentales et vérifiées et sur des anomalies issues aussi bien des comportements humains, que de systèmes dont le fonctionnement est anormal, ce qui peut signifier un simple dysfonctionnement ou le début d’une attaque en règle. Parmi la nouvelle génération d’objets connectés, on trouve bien sûr les automobiles, thème de la présentation de Yannick Harrel (Chef du département de stratégie auprès du groupe franco-allemand Technology & Strategy). Sujet de son dernier ouvrage, Automobiles 3.0 5, la technologie embarquée des véhicules actuels pose d’innombrables problèmes de sécurité causés par les vulnérabilités natives des systèmes et des modes de communication choisis – et compilés – par le constructeur pour un seul et même véhicule, ce qui fait que l’automobile d’aujourd’hui n’est plus uniquement le fruit du travail du constructeur (la marque) mais aussi mais aussi des équipementiers comme des géants du secteur IT&C. En insistant sur le fait que les failles ne sont pas toujours dues à l’inattention ou au refus de sécuriser de la part des fabricants et de leurs sous-traitants, l’orateur souligne que de très nombreuses brèches logicielles sont en réalité inconnues jusqu’à ce que des pirates les utilisent avec un Zero Day.

Ce n’est qu’ensuite que ces failles feront l’objet de correctifs. Deux facteurs se rejoignent pour rendre un véhicule peu sûr car trop équipé en électronique : la demande et l’habitude des consommateurs de disposer d’un ensemble de fonctionnalités au sein même de leur habitacle, qui rend impossible leur limitation technique, comme par exemple l’impossibilité de désactiver les aides électroniques servant à stabiliser le véhicule en toute situation, associée à l’inventivité des pirates, bénéficiaires de la multiplication des points d’accès aux véhicules modernes. Le speech de Yannick Harrel s’est conclu par un plaidoyer pour des automobiles autonomes ou semi-autonomes dont chaque composante connectée serait conçue selon la méthode du

16

«security by design» et son lot de cryptage des données ayant accès aux commandes sensibles. De retour sur l’Intelligence Artificielle (A.I.) et sur son rôle dans le domaine de la cyber-sécurité 4.0, Battista Cagnoni (Cyber Security Expert, Vectra) a longuement expliqué les raisons d’avoir un SOC (Security Operations Centre) rodé aussi bien dans ses moyens humains, ses processus que ses technologies avant d’appliquer des techniques d’A.I. à la sécurité. C’est alors seulement que les applications de sécurité de dernière génération – associant A.I. et Machine Learning – peuvent être d’un réel secours et fournir une véritable plus-value, permettant par exemple d’écarter bon nombre d’actions de triage humaines, longues et fastidieuses et de se concentrer sur les données qui indiquent des anomalies. Elles se révèlent particulièrement intuitives dans le domaine de l’anticipation des méthodes d’action possibles des criminels, et permettent à la grande majorité des membres du SOC de se concentrer sur la résilience, la défense lors d’une attaque, la remise en état des zones touchées et, ensuite, de se concentrer sur l’analyse forensique et sur l’investigation de l’incident.

Qui plus est, elles favorisent une homogénéité et une cohérence dans les actions des membres de l’équipe, permettant d’éviter au maximum des frictions lors de la gestion de la crise proprement dite. Mais Battista Cagnoni est prudent : selon lui, bien des processus de cyber-sécurité assistés par l’A.I. ne sont pas encore complètement au point, sortant tout juste de la phase théorique et archétypale à la phase de mise sur le marché. De plus, et c’est probablement l’un des points les plus importants, à notre avis, de cette présentation est la mise en évidence, de façon répétée, que les deux termes (A.I. et Machine Learning) deviennent – comme beaucoup trop de vocables utilisés dans le monde digital – de véritables «fourre-tout», induisant clients, utilisateurs et même spécialistes à devoir systématiquement vérifier de quoi il s’agit exactement. Le qualificatif «ésotérique» utilisé par l’orateur pour désigner les techniques de Supervised Machine Learning est parfaitement correct, puisque cette définition couvre des simples aspects heuristiques à ceux, bien plus complexes, des modèles les plus performants, souvent utilisés en concomitance.


Ouvrant le débat sur les nouvelles stratégies à adopter, Luca Tenzi (Spécialiste en Convergence) a souligné qu’à l’heure du 4.0, la simple convergence entre le domaine physique et celui du numérique n’a pas été comprise. Il en veut pour preuve une constatation récente de Scott Borg, Directeur of the U.S. Cyber Consequences Unit : «As long as organizations treat their physical and cyber domains as separate, there is little hope of securing either one. The convergence of cyber and physical security has already occurred at the technical level. It is long overdue at the organizational level.» Le plus grand problème de cette inadéquation, c’est qu’elle touche à la nature même des générations qui sont au pouvoir aujourd’hui, autant d’individus qui ne sont pas nés et n’ont pas grandi dans l’ère digitale. Aussi, le discours de Luca Tenzi, loin de ne s’adresser qu’aux corporations, est d’une grande utilité pour tout patron, le «4.0» faisant que nombre de vulnérabilités et de dangers, qui ne concernaient auparavant que de très grandes entreprises, sont désormais aussi celles des PME et des affaires de taille moyenne. Dressant un état de la question6 au moyen d’illustrations simples mais ô combien percutantes - comme celle illustrant le différents points vulnérables d’une imprimante-scanner wifi de bureau -, l’orateur enchaîne ensuite sur toutes les erreurs volontairement prolongées par faute de cohérence et de culture (caméras vidéo, réseaux d’air conditionné, alarmes reliées on ne sait comment à des serveurs et surveillées par les responsables de la sécurité physique) puis nous emmène dans le monde réel des objets «4.0» avec en premier lieu des graphiques impressionnants montrant la croissance exponentielle de la vente de drones (en particulier pour la surveillance d’infrastructures ou encore les livraisons de paquets) où – presque – seuls ceux destinés aux entités gouvernementales ont été munis de hardware où la sécurité se taille la part du lion.

Arthur Lazar (directeur adjoint du centre Cyberint du Service roumain de Renseignement Intérieur) a apporté un point de vue géostratégique global venant parfaitement compléter le discours précédent. Dans une longue recherche qu’il a menée – et publiée7 – sur la définition et le rôle du cyber-pouvoir, l’auteur montre que désormais, celui-ci englobe à toutes les autres formes de pouvoir traditionnelles. Si ce n’était que cela, ce ne serait qu’une adaptation du monde contemporain aux nouveaux moyens technologiques disponibles. Malheureusement, il n’en est rien. Certes, un véritable cyber-pouvoir étatique doit, pour durer, reposer sur une structure homogène constituée des quatre pouvoirs conventionnels, mais il devient aussi un pouvoir en soi, disponible pour des entités hybrides voire non-étatiques.

«Online and offline worlds will merge to such a degree that we will no longer be able to differentiate them»

En concluant sur la nécessité absolue de comprendre la sécurité comme un tout, la citation de conclusion – qui est valable aussi à l’envers – est impitoyable : «The lack of technical knowledge of physical security service providers on IP-based systems and IT platforms provides an ideal opportunity for cyber-attacks» (PSIM Video Surveillance Report 2017, v.6).

Pire encore, on assiste à une fusion désormais totale entre le monde online et le monde offline, au point que nous serons bientôt amenés à ne plus pouvoir clairement les différencier, ce qui exposera les moins résilients à des attaques tous azimuts, y compris dans les domaines traditionnellement considérés comme tenant de la sécurité «physique». Néanmoins dans un optimisme empreint de sobriété, Arthur Lazar réaffirme qu’au jour d’aujourd’hui, si des groupes criminels ou terroristes, des entités anonymes et des Etats faibles peuvent, certes, acquérir des capacités offensives et créer des dégâts parfois sévères, le véritable cyber-pouvoir reste aux mains des Etats les plus

17


Trends Central Folder - Cybersecurity puissants. Cet état de fait est dû, justement, à la présence des autres formes de pouvoir, permettant aux Etats d’agir de façon intelligente dans la défensive comme dans l’offensive. Pour cela, ils ont à leur disposition toutes les bases gouvernementales, économiques, militaires, sociales, légales et légitimes pour légiférer, réglementer, innover, contre-attaquer, renforcer leur résilience en optimisant la collaboration avec les citoyens et le secteur privé, injecter des sommes colossales en fonction des décisions politiques et des possibilités économiques, autant de domaines qu’un acteur non-gouvernemental ou qu’un Etat-pirate ne possède pas. La seule condition ? Avoir des Etats «smart», des élites politiques au courant des défis et des conseillers technocrates clairvoyants qui comprennent quels sont les enjeux à court, moyen et long terme afin d’investir régulièrement dans ce domaine et créer les dialogues nécessaires à une solidarité Etat-Entreprise-Citoyen et interétatique. La quatrième et dernière séance du premier jour, dédiée aux enjeux des échanges d’informations, a débuté avec une véritable première : en direct depuis le Regional Operations & Intelligence Center (ROIC) du New Jersey, Joe Billy Jr. en personne (ancien directeur adjoint du FBI) et le Lieutenant Jeremy P. Russ (New Jersey State Police) ont insisté sur l’importance d’une collaboration réelle et efficace entre le secteur privé et les différentes institutions publiques spécialisées dans la lutte contre la criminalité dans toutes ses formes. Grâce aux actions du Lt. Russ, responsable du Private Sector Advisory Group (PSAG) et à la mise en œuvre du Fusion Center, le New Jersey s’est doté d’un «one-stop-shop» pour les entreprises, qui collaborent activement à la sécurité (de la signalisation d’un simple individu potentiellement dangereux dans un magasin à la demande d’aide pour une attaque cybernétique en cours), tandis que le ROIC fournit formations, conseils, assistance et groupes de rencontre, apprenant à son tour quels sont les enjeux majeurs de l’écosystème économique et social de l’Etat en question. Joe Billy Jr., quant à lui, a rappelé le modèle que constituent les quelques ROIC existants aux Etats-Unis, dont celui du New Jersey est de loin le plus performant. Placés sous le contrôle de la Police de l’Etat concerné, ils concentrent des agents de presque toutes les agences gouvernementales américaines (FBI et Homeland Security en tête), ce qui a permis de raccourcir au minimum le temps de réponse aux alertes ainsi que le déploiement de telle ou telle force sur place en fonction du type d’incident. Il a aussi rappelé que le mode de financement (public-privé) incitait d’autant plus à une excellente et réciproque collaboration, puisque chacun donne et reçoit en même temps. L’idée même d’un tel fusion center, répondant en quelque

18

sorte aux questionnements sur la convergence, posés plus tôt par Luca Tenzi, est en tout point novatrice puisque les équipes sur place 24/365 s’occupent de tous les cas de sécurité, du simple crime à l’acte terroriste et du data hack à la cyber-attaque d’envergure, en passant par toutes les formes de désastres naturels ou humains pouvant avoir lieu dans leur rayon d’action. Le partage des renseignements sur les dangers cybernétiques – dans le but de protéger les informations sensibles – a été au cœur du discours de Chems-Eddine Zair (CISO de l’Union Internationale des Télécommunications – ONU/Genève). Il a expliqué la naissance, en 2014, puis la mise en œuvre de la STIP (Shared threat intelligence platform) commune à toutes les agences onusiennes afin de constituer un environnement sécurisé lui permettant, ainsi qu’à ses homologues d’autres agences, de travailler de concert et de renforcer leur résilience globale. Leur capacité de défense contre les menaces en cours, mais aussi leur faculté d’anticipation des menaces à venir s’en est retrouvée multipliée, puisque cette plateforme offre d’une part la possibilité de comprendre l’anatomie des attaques subies par d’autres agences, mais aussi, d’autre part, de mettre à jour régulièrement les procédures de résilience de chaque organisation, qui deviennent ainsi immunes si elles sont ciblées par les mêmes techniques utilisées lors d’une attaque qui a touché une agence consœur. L’échange d’informations est resté au cœur du débat, mais cette fois ci dans sa facette vulnérable. Le Dr. Stephen Foreman (Chef des métadonnées, de la gestion et de représentation des donnés à l’Organisation Mondiale de la Météorologie – WMO / ONU-Genève). Lorsqu’on est responsable des données dans une organisation aussi importante, a expliqué le Dr. Foreman, on peut être aussi bien la cible que la victime collatérale d’une attaque. La WMO recevant sans arrêt des bulletins des agences spécialisées de chacun des 185 Etats membres, mais aussi de différents satellites ainsi que d’une multitude de moyens de transport aériens ou maritimes connectés, elle doit désormais veiller d’une part à la véridicité de ces informations, mais aussi à leurs implications sur des tiers. Le défi n’est pas des moindres, puisqu’en quelques décennies, les mêmes rapports sont passés de 50 lignes baud (télex), puis de courts messages textes à des fichiers en représentation binaire or documents XML, atteignant désormais plusieurs gigabits, dans lesquelles on peut cacher logiciels malveillants. Dans le second registre, celui du «fournisseur d’informations vulnérabilisé», la WMO a dû travailler en étroite collaboration avec plusieurs agences gouvernementales et militaires, mais aussi les armateurs, les propriétaires et les locataires des cargos maritimes. En effet, il s’est révélé que la transmission des données météo que chaque navire de grand tonnage faisait à travers des fréquences


croissance exponentielle du nombre d’administrateurs par médecin dans les structures médicales américaines, atteignant une disparité de près de 200 contre 1 et une augmentation des coûts de 2300% en près de 40 ans… Du côté positif, mais non moins inégalitaire, le GDPR, dans des pays où le marché des assurances se porte bien, comme la Suisse ou le Luxembourg, a vu ces derniers mois se développer une offre destinée aux citoyens, qui choisissent désormais de façon implicative et proactive les données qu’ils souhaitent protéger et qui seront bien les seuls, grâce aux couvertures proposées à des prix minima, à pouvoir se permettre des procès aux Etats-Unis, la plupart des assureurs prenant en charge avocats et experts jusqu’à un million de francs suisses8.

conventionnelles était utilisée par les pirates pour repérer, puis prendre d’assaut ces mêmes bateaux. La journée s’est conclue par une short note conclusive de Laurent Chrzanovski (Manager du Congrès et Rédacteur-fondateur de la revue Cybersecurity Trends) sur les conséquences positives et négatives de la «conformité» (compliance). Au contact permanent des grandes entreprises, l’orateur a pu remarquer ces dernières années, in primis avec l’approche imminente de l’entrée en vigueur du GDPR, l’augmentation exponentielle de cadres et d’employés purement administratifs, aidés par nombre de juristes et de spécialistes en sécurité, dont la seule activité était de rédiger des rapports de compliance à usage interne puis à l’usage des institutions étatiques – ces mêmes institutions qui, au niveau de U.E., seront moins de 30% en moyenne à être «compliant» au GDPR en mai 2018… Au moment même où toutes les entreprises se plaignent du manque de spécialistes en sécurité, Laurent Chrzanovski juge dangereux que la plupart des conseils d’administration ne considèrent cette même sécurité, mal comprise, que par le biais des amendes encourues en cas de hack ou de non-conformité dans leurs méthodes de protection des données, comme si on pouvait isoler l’élément «données confidentielles» de l’ensemble de l’écosystème sécuritaire… Cela n’est pas sans rappeler la

L’événement conclusif du premier jour : le lancement par Marco Essomba, Norman Frankel et Laurent Chrzanovski de la 1ère édition de Cybersecurity Trends en langue allemande, la 5ème langue de la revue trimestrielle gratuite d’awareness.

L’équipe de la Swiss Webacademy : Andreea Mihet, Marius Amza et Daniela Chrzanovski.

19


Trends Central Folder - Cybersecurity

JOUR 2 : 8 Décembre 2017 L’allocution de Rosheen AwotarMauree (Union Internationale des Télécommunications, Programme Officer au Bureau Europe) a expliqué au public les raisons du soutien de l’Agence au congrès de Porrentruy, mais a surtout permis de faire comprendre le rôle de leader de cette institution dans le domaine de la Cybersécurité, une attribution conférée en 2007 par l’A.G. de l’ONU. Dans ce cadre, l’ITU a développé un framework pour aider les Etats membres à développer en continu leur capacité de résilience et dresse régulièrement le Gobal Cybersecurity Index, dont la dernière édition vient de paraître9.

Cet index, classant les Etats selon leur robustesse, est basé sur un ensemble de paramètres de sécurité digitale des pays, incluant non seulement les activités des acteurs publics, mais aussi les initiatives de partenariat public-privé, les formations et les capacités humaines et techniques. Le premier invité spécial, Christos Tsolkas (Vice-Président de Philip Morris International - PMI). Son discours a su parfaitement introduire le public dans le cœur même du sujet : la gestion humaine d’une crise majeure.

20

Brillant orateur, il a expliqué dans le détail les deux crises majeures qu’il a dû affronter, en tant que directeur de PMI Grèce lorsque la crise économique a éclaté, puis en tant que directeur de PMI Ucraine en plein Euromaidan avec ses corollaires de violences et des employés divisés sur le sujet. Passant en revue le nombre d’événements dramatiques de toutes sortes – en prenant l’exemple de 2014 – au niveau planétaire, il a démontré que nul n’est à l’abri et que la gestion d’une crise majeure n’a qu’une seule solution : construire de formidables équipes en offrant à chaque employé la possibilité de se développer sur le plan personnel et collectif. Mais pour réussir cela, il faut apprendre à construire son propos à l’intérieur du business model d’une entreprise. Un propos qui doit être une véritable raison d’être que l’on transmet à ses collaborateurs. Il faut désormais savoir innover de façon systématique, au-dessus et audelà des espaces existants, plaçant l’utilisateur à l’épicentre de sa réflexion (user-centered design). C’est dans ce paradigme que réside la meilleure possibilité de résister au pire et, mieux, de produire des retours aussi positifs qu’inattendus. L’invité suivant n’était autre que Costin Raiu (Directeur du Global Research and Analysis Team de Kaspersky Lab). Le célèbre chercheur a passé en revue les menaces persistantes (APT) de 2017 et leurs constantes mutations, mais aussi les vulnérabilités qui ont permis les «exploits» de l’année et les plus importantes «fuites». L’aspect le plus inquiétant révélé dans cette présentation est l’exploitation, de plus en plus polyvalente, de tous ces éléments, comme le révèle le cas «Lazarus», un groupe spécialisé dans le cyber-espionnage avancé et dans les techniques de cyber-sabotage, qui a lancé sa propre «filiale», «Bluenoroff», ciblée dans la fraude bancaire d’envergure et le cryptocurrency mining.


Les attaques se font de plus en plus sophistiquées, utilisent d’innombrables moyens de camouflage pour dissimuler leurs auteurs et, surtout, sont de plus en plus à l’image d’un caméléon : une attaque qui ressemble à une fraude bancaire peut en fait cacher un exploit réussi d’espionnage industriel ou encore une attaque de type crypto-ransomeware masque un véritable tsunami de malwares destiné à immobiliser des chaînes entières de production ou de distribution.

A cela s’ajoutent les groupes spécialisés dans la propagande et la contre-propagande spécialisée, incitant le monde politique et médiatique à se livrer à des attributions hâtives, souvent étatiques. L’intox et les «faux drapeaux» sont ainsi devenus l’un des buts majeurs de la cybercriminalité d’envergure, de même que la livraison «gratuite» de vulnérabilités ou l’utilisation de programmes open source, confondant encore plus les spécialistes dans leurs recherches des origines et des buts poursuivis par telle ou telle menace. La multiplication des acteurs, les ressources en possession des groupes les plus avancés, l’utilisation volontaire des leaks et l’espionnage mené dans le but de la disruption de systèmes financiers sont en pleine croissance, et il faut s’attendre à un renforcement de ces phénomènes dans l’année qui vient, a conclu Costin Raiu. Le dernier invité spécial fut le Général d’Armée (2S) Marc Watin-Augouard (Fondateur du Forum international de la Cybersécurité). Avec la verve qu’on lui connaît, le Général s’est livré à un véritable plaidoyer en faveur de la renaissance d’une Europe souveraine, en dévoilant l’aspect le plus méconnu du GDPR : une véritable arme diplomatique et commerciale que l’UE a enfin en ses mains, après une très longue gestation. En effet, désormais, pour pouvoir commercer avec les pays de l’Union, les pays tiers vont devoir harmoniser leurs propres lois afin que leurs entreprises respectent cette normative et garantissent les droits de leurs clients et de leurs fournisseurs si ceux-ci sont européens. Si l’Europe est forte, elle pourra se servir du GDPR pour aller beaucoup plus loin, comme imposer la localisation à l’intérieur de ses frontières des serveurs contenant des données encadrées par le règlement. Optimiste, le Général considère que le GDPR est le premier outil qui permet enfin à l’UE de négocier d’égal à égal y compris avec les grandes puissances, ayant enfin des normes précises et obligatoires pour quiconque veut faire des affaires avec ses membres.

Mauro Vignati (Chef Cyber des Services de Renseignement de la Confédération) a brièvement expliqué sa mission. Sans livrer de nombreux détails, ce que son statut lui interdit, il a néanmoins pointé un argument-clé : avec des ressources humaines en accord avec la taille du pays, la coopération internationale est la seule solution, de même que les échanges automatiques d’informations avec les acteurs principaux du domaine privé. Sa priorité principale, en effet, est de défendre la Suisse et ses intérêts stratégiques in primis face aux menaces permanentes les plus dangereuses (APT et leurs mutations). Le lecteur avide de plus de détails trouvera un état de la question dans les rapports exhaustifs de MELANI10, dont le second rapport semestriel 2017 est attendu d’ici peu. Le col. Anton Rog (directeur du centre Cyberint du Service roumain de Renseignement Intérieur) a commencé par décrire le mode de fonctionnement de la structure qu’il dirige ainsi que ses priorités. Sous sa direction, le Cyberint a pris une nouvelle dimension, s’ouvrant à de nombreux partenariats afin de renforcer non seulement le niveau national de résilience, mais aussi de perfectionner les connaissances des membres de ses équipes. Le Cyberint a ainsi été l’un des piliers du Cydex, le premier exercice de crise national en matière de cyber-sécurité, réunissant non moins de 60 entités publiques et privées et analysant leur capacité de prévention, d’alerte, de réaction et de collaboration.

Le lancement d’un master en collaboration avec l’Université Polytechnique de Bucarest ainsi que l’organisation, avec plusieurs partenaires, du «Romania Cybersecurity Challenge» voyant s’affronter des équipes venues de toute l’Europe viennent elles aussi démontrer l’ouverture du Service vers les autres institutions publiques, vers le secteur privé et vers d’autres Etats, une composante renforcée par

21


Trends Central Folder - Cybersecurity 5 ans de collaboration du Cyberint (plus de 5’000 heures de travail par année) au sein de la Cyber Coalition de l’OTAN. Nicola Sotira (Directeur de la Fondation Global Cybersecurity Center, Rome) a dressé un tableau saisissant – et préoccupant à la fois – de la transformation digitale des entreprises vers les plateformes mobiles au service du client. Pris entre le marteau et l’enclume (les besoins du Marketing et la volonté de l’utilisateur de bénéficier d’interfaces simples pour smartphones), le CISO doit à la fois savoir être tolérant, adaptatif et en quelque sorte «sauver les meubles» afin qu’au minimum, sur un support aussi vulnérable, les applications fournies par l’entreprise qu’il défend soient les plus sécurisées possibles. Le discours, charismatique, de l’orateur – qui œuvre depuis vingt ans dans le secteur privé multinational et en particulier italien, n’offrent aucune autre interprétation plausible sur un futur des relations vendeur-client, à court terme déjà, presque totalement smartphone-oriented, avec une augmentation probablement exponentielle de ce moyen dès l’entrée en vigueur de la libéralisation totale des transactions bancaires (Normative PSD2) en juin 2018.

Les compétences des SOC, des CISO, des CSO vont devoir évoluer rapidement car tout l’écosystème de défense et de résilience devra être au fait des vulnérabilités et des points faibles de chaque smartphone, ce qui multiplie les risques à l’infini par rapport aux ceux que l’on connaît, affronte et combat de façon «traditionnelle» des laptops et des serveurs. Nicola Sotira conclut par une note d’optimisme qui n’est pas lié à l’écosystème numérique spécialisé mais bien… au citoyen, avec une question qui est bien loin de la rhétorique : «Do you trust the figures that appear on your mobile phone’s display as much as you trust the money you have in your wallet?»

22

L’individu lambda acceptera-t-il de ne se fier qu’aux chiffres qui apparaîtront sur son mobile, d’abandonner la monnaie et les cartes de débit, et de voir toutes sortes d’intrus venir lui proposer des financements aussi alléchants que dangereux dès qu’il fera une commande dont le montant dépasse ses moyens ? Un second regard prospectif et tout aussi inquiétant a été livré par Mika Lauhde (CEO, 65° Security, Finlande). Membre de tous les stakeholders groups qui comptent en UE (Enisa, Europol, EC etc.), l’orateur a voulu pondérer un certain nombre d’expressions de réjouissances continentales dont l’innocence est frappante. NIS, GDPR et autres normatives sont, certes, des pas en avant que l’auteur ne conteste pas – et auxquels il a contribué en tant que membre des organisations qui les ont proposées – mais il incite à ne pas mélanger le bon grain et l’ivraie. L’Europe, bien que renforcée juridiquement, a déjà perdu toutes les batailles technologiques, ce qui rend presque légitime le fait de se poser la question si le GDPR va pouvoir améliorer l’intimité de ses propres concitoyens. Mika Lauhde, en dressant un parallèle entre les forces en présence, constate simplement que face au GDPR de l’UE se trouve (au moins) une grande puissance qui cumule la maîtrise (et une mise en œuvre déjà effectuée depuis longtemps) de ses propres systèmes d’opération pour ordinateurs, de ses propres standards de systèmes d’opération en matière de smartphones, de ses propres standards en matière de cyber-sécurité, de ses propres certifications obligatoires, de ses propres manufactures de microprocesseurs, de ses propres applications de contrôle de smartphones et de ses propres systèmes de contrôle des réseaux sociaux. Autant d’éléments utilisés par tout citoyen européen mais exploitables par des multinationales et des gouvernements tiers sans aucune limite. Pire encore, l’orateur souligne un certain nombre de recherches de pointe européennes (en cryptage, transmissions, systèmes spécifiques) qui faute de débouchés cohérents ont été achetées et adoptées par les grandes puissances dans le domaine civil mais aussi jusqu’au domaine de l’aéronautique militaire d’avantgarde. Mika Lauhde ne peut que conclure que passée la phase «légiférante», l’UE doit désormais redevenir maîtresse d’un certain nombre d’outils de base des technologies utilisées par tout un chacun si elle veut survivre dans le monde de demain autrement que dans le rôle du consommateur passif. La matinée s’est conclue par un dernier élément, instable par nature et concernant pleinement la sécurité, qui doit désormais en tenir compte : le réchauffement climatique. La présentation de S.E. Abdallah Mokssit (Secrétaire Général du Panel Intergouvernemental sur le Changement Climatique - IPCC) appelé au dernier moment à se rendre à un sommet


à l’étranger, a été livrée par le Dr Stephen Foreman (WMO). Cette présentation a représenté le point culminant de l’élément de rupture désiré par les organisateurs du congrès. En effet, un réchauffement climatique qui se traduit par des phénomènes météorologiques d’une rare intensité – pour ne pas dire violence – sont un facteur perturbateur majeur dans un monde hyperconnecté, pouvant aussi bien interrompre des transmissions ou des réseaux énergétiques que détruire des infrastructures critiques. Les points mis en avant dans la présentation de S.E. Mokssit, une première après leur livraison lors de la dernière séance gouvernementale du COP, montent à la fois les conséquences directes des changements climatiques : problèmes de pauvreté et d’alimentation d’où intensification des migrations et risques majeurs d’inondations de zones de plus en plus vastes. Mais pire encore, c’est dans les études globales de l’IPCC que réside le problème sécuritaire : la perception de la responsabilité humaine de sa propre contribution au changement dramatique en cours est très variable.

Or, si la responsabilité de cette nouvelle donne sur les glaciers, les océans, les pluies commence à être intégrée et acceptée au niveau mondial, ce n’est de loin pas le cas en ce qui concerne l’impact de tous ces aspects météorologiques sur la santé, la qualité de vie et surtout… la sécurité. D’où la chute finale, sous forme affirmative, de la présentation de l’IPCC – aussi claire qu’exhaustive – «Oui, le changement climatique est aussi un danger majeur pour la cybersécurité». Un point de vue de plus – et quel point de vue ! – à ajouter à ceux d’Arthur Lazar et d’autres orateurs qui ont insisté sur le fait que nos vies (et nos sécurités) physiques et digitales sont désormais indissociables. Margherita Natali (Legal Support to the Division of Information Technologies, Infrastructure Service Section, International Atomic Energy Agency - IAEA) a introduit le public dans l’une des présentations les plus réalistes que nous ayons écouté à ce jour sur le thème de l’interception des communications des groupes de criminalité organisée. Quelles méthodes, quels résultats, quels responsables et surtout… quelle est légalité de telles démarches ?

L’approche pragmatique du monde d’aujourd’hui permet en effet le parler-vrai et de penser selon les objectifs à atteindre. Dans le cadre du cyber-pouvoir rejoignant et englobant les pouvoirs traditionnels, selon l’oratrice, la gouvernance remplace progressivement la souveraineté et les multinationales + les individus sont à même de rivaliser avec les Etats-Nations «acteurs du système westphalien». C’est ainsi qu’Etats, multinationales et criminels ont leurs propres outils professionnels d’intelligence sur le net, leurs propres moyens de communication, et que la compromission de ceux-ci génère à la fois des brèches à fort impact économiques que des réussites dans la lutte contre la criminalité. Dans ce cadre, nul ne devrait échapper à un devoir de contribuer, à son niveau, à la prévention et à la lutte contre les actions criminelles, grâce à une communication renforcée entre tous les acteurs. Pour expliquer concrètement son raisonnement, Margherita Natali a donné l’exemple des «Internet Relay Chat Channels» (IRC), qui ont tendance à supplanter les réseaux sociaux pour certains types de conversations. Or, ces réseaux se révèlent tantôt de belles escroqueries («anonymat» garanti puis revendu à des tiers), tantôt des moyens utiles pour faire perdre toute trace de soi, quel que soit le but – légal ou illégal recherché –. Or, dans ce milieu qui utilise le Deep Web (Tor en particulier) on retrouve de plus en plus de citoyens et d’acteurs économiques de poids, dont le rôle pourrait justement être celui de faire filtrer des communications «douteuses», les rendre publiques, afin de permettre ensuite de construire un deep web plus transparent. En effet, l’enjeu dans la lutte contre la criminalité est que ces IRC échappent à toute législation, peuvent être des instruments au

service de certaines formes d’anarchie et de corruption au détriment de tous les accords internationaux et des cadres nationaux. Ainsi, si les acteurs du web – des multinationales aux citoyens, des institutions onusiennes aux gouvernements – pouvaient parvenir à former un nouveau «système westphalien», celui-ci serait le seul

23


Trends Central Folder - Cybersecurity à présenter toutes les garanties de neutralité, d’équité et de légalité lui permettant de mettre en œuvre progressivement des projets destinés au bien commun. Marco Essomba (CEO, iCyberSecurity, Reading), dans son speech «Full Stack Cyber-security Defence» a insisté sur la nécessité de réfor-mer en profondeur l’organigramme et le mode de fonctionnement des grandes entreprises et des industries. Selon l’orateur – lauréat 2017 du prix UK Cyber Security Industry Personality of the Year – il y a aujourd’hui une segmentation dramatique du traitement des enjeux sécuritaires en sept domaines majeurs, sans que personne n’en maîtrise au moins deux, ce qui conduit même les entreprises les plus avancées dans leurs capacités cyber-sécuritaires à tomber dans des pièges ou à mal parer des attaques pour lesquelles elles sont pourtant parfaitement équipées en moyens humains et technologiques.

Selon l’orateur, seule une vision holistique du leadership, accompagné et conseillé en tout temps par un officier de sécurité à la large ouverture d’esprit, peut changer la donne. Cette vision se base surtout sur des entraînements conjoints et interdépartementaux, vitaux pour faire face à des attaques de plus en plus sophistiquées et qui visent tous les processus d’une entreprise, de la finance à l’outil de production, et où la composante humaine est la plus vulnérable de toutes. Il est ainsi vital, dans ces «7 niveaux» de la défense, d’avoir des équipes motivées par des directeurs d’une nouvelle génération, en particulier parmi les ingénieurs, maîtrisant chacun puis expliquant aux autres au moins 3 des 7 niveaux – ou couches –, faisant ainsi le pont nécessaire avec les spécialistes des autres niveaux et les professionnels de niche dont le seul objectif est d’être les meilleurs dans la couche qui leur est confiée. Olivier Kempf (Expert en sécurité, membre de l’IRIS et de la Chaire Saint-Cyr SOGETI Thalès de Cyberdéfense), a livré sa vision de deux éléments qui sont en train de bouleverser de fond en comble nos sociétés et qui, s’ils sont mal gérés, sont faits pour s’affronter : d’une part, la cyberdéfense, et d’autre part, l’accélération exponentielle de la transformation digitale.

24

La cyberdéfense est d’abord une affaire de protection des réseaux (cyber-sécurité). Elle emporte d’autres fonctions classiques, plus agressives (surveiller, influencer, saboter). Elle repose sur la maîtrise des réseaux, des données et des flux, ce qui passe souvent par un contingentement de ceux-ci et par des restrictions d’utilisation, qu’il s’agisse d’hygiène informatique ou de dispositifs plus sécurisés, durcis en fonction de l’information manipulée. Autrement dit, la cybersécurité a tendance à restreindre les usages.

De l’autre côté, selon l’orateur, on assiste à rebours à une révolution numérique, désignée souvent par la notion de transformation digitale. Celle-ci repose sur l’attention aux utilisateurs, une ultra mobilité, des usages décentralisés, des méthodes agiles de développement de produits. Au-delà de cette ultra mobilité, l’enjeu sous-jacent est celui de la donnée, dont le nombre déjà énorme va croître dans des proportions insoupçonnées, que ce soit par les nouveau usages ou par l’internet des objets. La donnée est l’énergie du XXI° siècle, la source de richesse et de puissance de demain. De l’infonuagique à la blockchain, des données massives (Big Data) à l’intelligence artificielle, on assiste à une sorte de course de vitesse qui constitue une nouvelle révolution informatique. Celle-ci repose sur une multiplication des flux et des échanges de données, et donc une libération des usages, dans les entreprises privées comme dans les organisations publiques. Les deux mouvements paraissent contradictoires (restriction ou libération ?). Pour Olivier Kempf, le premier est nécessaire, le second inéluctable. Il faudra donc mener les deux de front. Venant parfaitement illustrer les propos de l’orateur précédent, Pascal Buchner (Directeur ITS & CIO, International Air Transport Association - IATA) a décrit d’abord comment fonctionne l’un des écosystèmes les plus complexes possibles: le monde de l’aviation civile, travaillant en «silos» et vulnérable dans une multitude de points en fonction du niveau résilience d’une structure donnée et de la capacité offensive de l’agresseur.


processus complexe. L’orateur l’a souligné maintes fois, le framework défensif optimal proposé est simple mais doit être mis en œuvre avec constance et rigueur. Son pilier fondateur, qui doit accompagner tous les employés des entreprises du secteur, au long de leur carrière, est et reste la formation continue à la sécurité, un élément que viennent soutenir des contrôles humains et informatiques plus réguliers et systématiques utilisant les dernières technologies en la matière. Comme on a pu l’écouter au long du discours de Pascal Buchner, l’heure n’est pas à la dramatisation, mais à l’utilisation de tous

Comme l’a souligné l’orateur, même si idéalement, ce secteur pourrait avoir plus de moyens pour assurer sa sécurité, là où le bât blesse c’est, encore et toujours, dans le facteur humain, la complexité du processus décisionnel et, pire, dans les niches sectorielles ou territoriales dont la prédisposition à la collaboration n’est de loin pas acquise. Pour exemple, Pascal Buchner a donné les chiffres de l’Aviation SAC, une structure de cyber-sécurité ad hoc, créée par Boeing, GE et quelques compagnies américaines et rejointe en 2015 par la IATA, qui pousse ses membres à y adhérer. Elle dissémine en temps réel renseignements, vulnérabilités et bonnes pratiques : seules 46 compagnies aériennes y ont adhéré, rejointes par une vingtaine de centres OEM, plusieurs fournisseurs de services, aéroports et chaînes d’approvisionnement. C’est un bon socle, mais qui est de loin insuffisant de par la répartition géographique des centres (ultra-majoritairement situés en Amérique du Nord, Europe de l’Ouest, Australie et Asie du SudEst), le nombre de compagnies aériennes et d’aéroports présents à l’échelle planétaire et l’expansion constante du marché. Les priorités de la IATA, en plus d’amener rapidement le plus grand nombre d’acteurs à faire partie des centres de cyber-sécurité, est de créer des ponts entre les grandes régions géostratégiques et les différents secteurs n’ayant pas vocation à communiquer facilement entre elles, pour des raisons multiples. Il est également urgent de mettre fin à la naissance d’innombrables initiatives parallèles menées par divers régulateurs, et d’établir des standards permettant d’assurer la confidentialité des échanges de données sensibles, telles que les données de vol mais sans limiter l’échange à ces données de vol. Pour exemple, la IATA a développé un véritable «war game», une simulation de crise totale d’environ 1h45 qui peut être utilisé comme modèle pour tout membre qui le désire. Le scénario ? Le pire possible : un ennemi plus que talentueux a infiltré avec succès aussi bien les avions que leurs producteurs, impliquant un événement concernant l’ensemble des acteurs, demandant une coordination immédiate, des échanges et partages d’informations sans délais afin d’y remédier. Cette simulation s’est avérée excellente pour réfléchir a posteriori sur la fluidification des processus, les raisons des couacs de coopération ou de communication, et de définir pour l’avenir les rôles et les responsabilités de chacun en cas de crise. Le chemin vers une défense proactive est long à cause des réticences à la collaboration constante, et non pas à cause d’un

les moyens possibles permettant de faire comprendre à tous les acteurs, comme dans les autres secteurs, qu’une véritable collaboration, des échanges en temps réel, une véritable «union sacrée» trans-sectorielle et internationale est l’unique clé possible pour répondre efficacement à une attaque de pointe, le jour où celle-ci surviendra. Le Col. Xavier Guimard (directeur adjoint du STSISI - Service des technologies et des systèmes d’information de la sécurité intérieure à la Gendarmerie Nationale) a fait part de ses recherches sur les stratégies à adopter face à la criminalité informatique. En analysant il y a plus de 10 ans de cela les capacités humaines et le temps qu’avaient à disposition les criminels, le STISI a réussi à mettre en place ses propres systèmes informatiques, plus d’une centaine de milliers de téléphones mobiles cryptés, un API et un IAM autonomes et faits sur mesure.

25


Trends Central Folder - Cybersecurity Mais dans l’optique de l’orateur, las de l’utilisation tous azimuts du mot «stratégie» dans les communications d’aujourd’hui, un véritable stratège doit anticiper, construire, s’adapter avant même d’être menacé. C’est une science et non une théorie aboutissant à un carnet de route, une erreur que font de très nombreuses institutions. L’avantage d’une bonne stratégie est de réussir à sortir des carcans et à adopter des concepts disruptifs afin de mieux se défendre et contre-attaquer. Pour le Col. Guimard, la clé de voûte du système est son architecte, dont l’ouverture d’esprit lui permet de créer un ensemble défendable par des responsables techniques. Ainsi, plus besoin de «CISO» : tout officier est un CISO et aide en tout moment le CIO qui devient le responsable-en-chef de la sécurité. Avec un usage massif de l’open-source et du concept «all in the browser», des ingénieurs talentueux et un renforcement massif des aptitudes et des capacités humaines, la stratégie dont parle l’orateur, mise en place au niveau national par la Gendarmerie, n’est peut-être pas «vendable» à une entreprise concurrentielle mais a en tout cas fait ses preuves pour assurer la défense de l’Etat. Le speech du Col. Marc-André RYTER (Collaborateur pour la Doctrine au sein de l’état-major de l’Armée Suisse), est idéalement venu conclure le congrès. Après sa présentation de la première journée, dédiée à l’enjeu de la modernisation des forces armées à l’époque du «4.0», le Col. Ryter a dressé un portrait aussi saisissant que rare de la part d’un militaire : oui, les structures civiles et les armées sont exposées aux mêmes risques. Les deux secteurs collaborent, plusieurs systèmes et applications identiques y sont utilisées et de nombreuses avancées technologiques civiles ont aussi des débouchés militaires.

Le tout sur le fond du rythme effréné de l’innovation, les contraintes budgétaires et une compétition désormais globale. La répétition à des cadences, inédites jusqu’à ce jour, des cycles d’innovation, des sommes mises en jeu dans le domaine du développement technologique, les nouveaux champs d’application de technologies polyvalentes ou convergentes (comme l’A.I.), mais aussi l’environnement (social et météorologique) sont autant de facteurs qu’il est difficile et pourtant fondamental de prendre le temps d’appréhender.

26

A chaque nouvelle opportunité correspond au moins un nouveau risque ou tout du moins la croissance, parfois exponentielle, des vulnérabilités et des dangers existants. Enfin, dans le cyber-espace, les actions hostiles sont presque toutes hybrides : elles portent atteinte aussi bien au secteur civil qu’aux forces armée, souvent comme prélude ou comme accompagnement d’opérations conventionnelles de bien plus grande envergure. Dans ce cadre, des dommages à un système national ont des impacts pouvant mettre en danger tous les moyens existentiels d’approvisionnement de la population, avant même de causer des pertes ou des dommages critiques dans les rangs de l’armée. Cette présentation, bien au-delà des données exposées, vient montrer à quel point les deux mondes (civils et militaires) ne peuvent plus s’ignorer et doivent collaborer pour renforcer la résilience de l’écosystème commun. La doctrine et les tendances observées à la loupe par les forces armées peuvent, par exemple, être reprises et transposées comme méthode de pensée et de raisonnement au sein d’une entreprise, ce qui l’aidera grandement à accroître sa résilience, tandis que les résultats des tests sur des nouvelles technologies mises en œuvre dans le privé peuvent aider la réflexion de l’armée dans ses processus de définition d’une modernisation réussie et sécurisée. 1 texte original en français: http://www.vtg.admin.ch/en/media/publikationen/militarypower-revue.html ; traduit en exclusivité dans Cybersecurity Trends Editie Romana 3/2017 et Deutsche Ausgabe 1/2017, à venir dans Edizione italiana 2018/1) 2 cf. A. Vautravers, Cybersécurité pour Genève, in Cybersecurity Trends Edition Suisse 2017/2 3 Cf. The consequences of a poorly understood and poorly managed cybersecurity: a system that deviates from its own duties destined for implosion! VIP Interview with Marc German, Cybersecurity Trends Editie Romana 3/2017, English Edition 3/2017, Edizione Italiana 4/2017 4 cf. en complément : Challenges and threats in cybersecurity seen from a top risk manager’s point of view. VIP Interview with Jean-Luc HABERMACHER, in Cybersecurity Trends Editie Romana 3/2017, English Edition 2/2017, Edizione Italiana 4/2017, Deutsche Ausgabe 1/2017 5 Cf. du même auteur “Automobiles et IoT : liaisons dangereuses”, in Cybersecurity Trends Editie Romana 4/2016, Edition Suisse 2/2018, English Edition 2/2017, Edizione Italiana 1/2017, Deutsche Ausgabe 1/2017 6 Cf. Sicurezza, ma anche comunicazione, comprensione della tecnologia e possibili trends nel mondo corporate e nelle organizzazioni internazionali. Un’intervista esclusiva con Luca Tenzi, in Cybersecurity Trends, Editie Romana 2016/1, Edizione Italia 2017/1 7 Cf. A. Lazar, Cyberpower, a view into future powers, publié dans Cybersecurity Trends : Editie Romana 2/2017, English Edition 2/2017, Edizione Italiana 3/2017 8 cf. Switzerland, a country where Data Protection rules become a (paying) real asset for individuals, in Cybersecurity Trends Editie Romana 4/2017, English Edition 3/2017, Edizione Italiana 4/2017, Deutsche Ausgabe 1/2017 9 https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf 10 https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-sur-lasituation/rapport-semestriel-2017-1.html


Les co-organisateurs (Laurent Chrzanovski, Jean-Jacques Wagner, Luca Tenzi), dont l’émotion était palpable, ont ensuite conclu le congrès, prenant congé des orateurs et des public en les remerciant pour une première dont le nombre de thèmes abordés et les résultats en matière de réflexions à partir des contenus offerts par les speakers et les discussions informelles vont continuer à nourrir les réflexions de tous. Disclaimer : © Ce livre blanc a été rédigé par Laurent Chrzanovski et n’engage que son auteur.

27


ds Autorités - Cybersecurity Tren

La criminalité informatique, le nouveau business e du 21 siècle Auteur : Adela Albu, Centre Cyberint, Services de renseignement de Roumanie

En 2017, le nombre d’usagers du net a atteint 3,8 milliards d’individus, soit 51% de la population mondiale1. Nous vivons ainsi dans une société où tout, désormais, se déroule en ligne, à très grande vitesse et se mesure en bits. Cette dépendance des hommes face aux nouvelles technologies a engendré, en même temps que de multiples bénéfices, une panoplie de risques pesant sur la sécurité de notre vie quotidienne et se concrétisent de façon fréquente par des préjudices subis aussi bien, de façon directe, par de simples individus, que, de façon indirecte, par l’Etat, ciblé via ses propres Institutions. Sur cette toile de fond, la criminalité informatique a beaucoup évolué, parvenant à sa variante de «crimeas-a-service», un concept qui définit la tendance de nombreux agresseurs digitaux à développer des instruments sophistiqués qu’ils vont ensuite mettre en vente ou à la location, au service d’infracteurs qui ne possèdent pas de talents techniques et qui peuvent ainsi, simplement par l’achat d’un «kit», mener à leur tour une cyber-attaque. La monnaie d’échange, dans le cas de ce type de «prestations» est le plus souvent virtuelle, elle aussi. Le modèle du crime comme prestation est devenu très populaire au sein de la communauté des hackers et a contribué de façon significative à l’augmentation de la criminalité informatique. En pratique, presque tout un chacun, sans aucune connaissance technique et avec peu de ressources financières, peut désormais facilement effectuer une attaque. Les cyber-criminels ont de plus de leur côté de nombreuses facilités pour mener à bien une attaque. La criminalité informatique, en effet, offre plusieurs atouts à ses adeptes, puisqu’à la différence des autres types, conventionnels, d’infractions, elle est très difficile à prouver tandis qu’elle permet de réaliser des profits énormes en un temps record. De plus, les infracteurs n’ont pas besoin de disposer d’énormes ressources

28

financières pour agir, tandis que leur intégrité physique est protégée, puisqu’ils n’ont pas à être présents sur le lieu du crime, ce qui est le cas dans les délits de type classique. Sur un fond de crise économique et de manque de places de travail, pour beaucoup de jeunes ayant terminé leurs études, les avantages mentionnés ci-dessus en ont tenté plus d’un, et le phénomène a pris de l’ampleur durant ces dernières années, ce «métier» étant particulièrement alléchant pour tous ceux qui désirent obtenir un maximum de gains en un minimum de temps. Les infracteurs digitaux sont motivés par toute une série d’intérêts personnels, poursuivant souvent un profit purement matériel mais aussi, plus rarement, cherchant à obtenir de la notoriété ou de la reconnaissance en tant que programmateurs talentueux. La vitesse avec laquelle ils parviennent à réaliser des attaques, l’anonymat personnel qu’offre l’espace digital, ainsi que la facilité avec laquelle les malfaiteurs parviennent à rendre anonyme leur connexion au net, grâce à de nombreux programmes spécialisés, rend de plus en plus difficile


l’activité des institutions chargées de prévenir et de combattre ce type de criminalité. En parallèle des éléments caractéristiques à l’espace virtuel, on remarque un manque de culture de sécurité digitale parmi la population, un facteur déterminant car il rend la plupart des individus des proies faciles aux actions d’ingénierie sociale, aux campagnes d’hameçonnage (phishing), etc. En conséquence, ce sont bien les individus qui sont les plus exposés aux attaques de la criminalité informatique, dans un contexte où l’un des buts de cette dernière est de compiler et de réutiliser des données personnelles, en utilisant toutes les plateformes sociales en ligne où les citoyens exposent une partie de ces données, devenant des victimes potentielles d’actions comme l’exfiltration de données privées ou intimes dans le but de lancer ensuite une attaque. Le risque principal que nous courons aujourd’hui reste celui du vol de nos données d’identité, qui permettent ensuite aux criminels d’effectuer toutes sortes de tromperies en ligne ou de voler des sommes importantes des comptes des victimes. Au-dessus de cela, il y a toutes les attaques criminelles qui ne visent pas les individus, mais les entreprises et les institutions de l’Etat, et ce d’autant plus que les groupes criminels sont devenus de plus en plus spécialisés, certains étant impliqués dans des agressions témoignant d’un très haut degré d’expertise. Dans le cas d’une infection avec un maliciel, les agresseurs peuvent d’emblée avoir accès à des centaines d’ordinateurs, provoquant parfois des dommages sévères à leurs victimes.

La criminalité informatique est un business en plein développement, permettant à plusieurs de ses acteurs de réaliser chacun, annuellement, des vols de millions d’Euros. Indifféremment du niveau de sophistication des méthodes utilisées, ce phénomène présuppose ainsi des transactions de sommes importantes d’argent. Par ailleurs, plus les méthodes utilisées sont sophistiquées, plus les criminels sont organisés, et plus leur groupe devient difficile à pénétrer. D’après le «2017 Cybercrime Report», une étude publiée par l’entreprise Cybersecurity Ventures, la criminalité informatique va parvenir, d’ici à 2021, à engendrer des coûts pour l’économie globale estimés à 6 billions de dollars, ce qui représente une croissance spectaculaire, si l’on tient compte que l’on estime que, pour l’année 2015, la cybercriminalité a engendré des pertes totales d’environ 3 billions de dollars. Durant ce même arc de temps, selon les estimations du même rapport, les dépenses mondiales en produits et prestations de sécurité dépassera le billion de dollars2. De façon concomitante, les criminels vont continuer à se spécialiser, puisque des bases solides sont déjà accessibles à tout un chacun sur le net, avec des instructions très élaborées permettant de se préparer pour devenir un véritable hacker. Ainsi, si l’on jette un regard sur l’évolution du phénomène, on constate que jusque vers l’an 2000, les cas liés à des attaques informatiques étaient surtout le fait d’adolescents désirant devenir célèbres par leurs exploits, mais sans motivation particulière d’en tirer des bénéfices financiers. Aujourd’hui, les temps ont changé et durant les dernières années on a pu assister à une véritable professionnalisation des infracteurs ainsi que l’augmentation de leur niveau technologique. Les groupes de criminalité informatique détiennent les connaissances et ont les capacités nécessaires pour mener des infractions à large échelle. Ils ont su diversifier leurs méthodes et les moyens grâce auxquels ils déroulent leurs activités. Au vu de ce qui précède, il est évident que les types traditionnels d’infraction ont changé face à l’énorme diversité de cibles et aux caractéristiques offertes par le monde digital – anonymat, rapidité, gains rapides et faciles, coûts et risques mineurs. La criminalité informatique ne connaît aucune frontière, et n’est pas ciblée, la seule motivation des agresseurs n’étant en général que l’appât du gain. C’est ainsi que, de l’autre côté, combattre ce phénomène présuppose devoir mener des actions complexes, coordonnées et d’envergure, et ce au niveau international. Cette forme de criminalité couvre, de plus, une gamme très large de délits, pour lesquels la littérature

29


ds Autorités - Cybersecurity Tren anglo-saxonne nous offre une terminologie permettant d’en distinguer deux catégories majeures : les «cybеrdеpеndеnt crimеs» à savoir les infractions informatiques qui ne peuvent se dérouler que dans l’espace virtuel, comme la création et la gestion de réseaux de botnets ou d’applications malveillantes, et les «cybеr-еnablеd crimеs», à savoir les délits dont l’envergure nouvelle est due au milieu en ligne, comme le carding, skimming ou encore les fraudes qui concernent les plateformes de commerce en ligne3. Les manifestations majeures de la criminalité informatique sont les attaques proprement dites, les fraudes en ligne, mais aussi la vente de pédopornographie en ligne. Si l’on dissèque l’évolution du phénomène, on constate que l’échange de données a joué un rôle majeur : il existe aujourd’hui des plateformes dédiées, permettant aux criminels d’échanger des informations et des données dans des conditions d’anonymat total4. Ces plateformes, à n’en point douter, ont bel et bien été la pierre fondatrice de la naissance du concept de «crime-as-a-service».

La plupart de ces fora sont organisés de façon hiérarchique, leur accès n’étant permis que sur la base d’un certain nombre de critères – qu’il s’agisse de l’acquittement d’une taxe, de bénéficier de la recommandation d’un membre ou sur la base de sa propre réputation –. De la même façon, les membres y sont répartis en plusieurs catégories, tenant compte de leur ancienneté dans le groupe, de leur niveau d’expertise ou de leur notoriété. Dans le cadre des fora de criminalité informatique, les agresseurs digitaux s’échangent des expertises, achètent et revendent des instruments, des malwares et d’autres outils nécessaires au bon déroulement d’une attaque. Durant ces dernières années, les attaques de type ransomware (rançons) ont connu une évolution en pleine ascension, menées à bien par des groupes criminels détenant la capacité de distribuer des malwares à des millions d’ordinateurs de façon simultanée. Une

30

fois infectées, les données contenues par les ordinateurs des victimes sont cryptées par un algorithme sophistiqué, impossible à décrypter. Or, écarter les fichiers malveillants d’un poste infecté ne réduit pas les dommages subis, puisque les fichiers restent inaccessibles à l’utilisateur légitime, à moins que celui-ci ait eu le bon sens d’effectuer des sauvegardes régulières de celles-ci. Le but du crime est ainsi d’encaisser une rançon en échange de laquelle la victime recevra la clé de décryptage, mais on a observé fréquemment qu’il existe le risque que, même après le paiement de la rançon, souvent demandée en Bitcoin, cette clé ne soit pas fournie et que la victime reste à jamais dans l’incapacité de récupérer ses données. L’évolution rapide des attaques de type ransomware s’explique elle aussi par l’adoption du modèle de ransomware-as-a-service, grâce à laquelle des criminels aux faibles connaissances techniques ont pu reprendre à leur compte des outils et des services développés par des programmateurs de malware afin de dérouler leurs propres attaques de type ransomware5. Les développeurs de ransomware publient les codes de leurs applications par l’intermédiaire de sites dédiés, où les infracteurs peuvent acheter facilement le malware. De nombreux «kits» de ransomware sont même disponibles gratuitement, ce qui implique qu’au moment où la rançon a été payée directement aux développeurs, ceux-ci en redirigeront une partie vers les «utilisateurs» ou les «acquéreurs» du paquet. Par exemple, le ransomware Cerber a été l’un des paquets les plus répandus, dans la catégorie du ransomware-as-a-service. A lui seul, il a généré pour les criminels un revenu de 2,3 millions de dollars de par année6. Ce ransomware était facile d’usage et bon marché à l’achat, deux raisons pour lesquelles il a connu une grande popularité. D’après le rapport annuel publié par l’entreprise SonicWall, les attaques avec rançon sont passées d’un bénéfice de 167 millions de dollars en 2015 à 638 millions en 20167. Les applications de ce type les plus récentes incorporent des méthodes novatrices permettant d’éluder les systèmes de protection antivirus, ce qui accroit la possibilité que ces ransomware ne soient ni détectés, ni éliminés à temps. De même, les dernières variantes de ransomware incluent de nombreuses autres fonctions de base, en sus du cryptage des fichiers, comme le vol des données bancaires ou des données personnelles de leur victime. Le vecteur d’infection le plus utilisé est la propagation de ransomware à travers de vastes campagnes de spam ciblant des millions d’adresses de courriel (comme c’est le cas, par exemple, des tristement célèbres TeslaCrypt et Locky). Le spam utilisé pour la distribution du malware est caractérisé par le fait qu’il prétend être un message important provenant d’une structure connue des usagers (comme par exemple une facture concernant diverses formes de biens ou de services). Une protection optimale contre ce genre de vecteurs d’infections informatiques se doit de passer par l’adoption de solutions alternatives, comme l’éducation des utilisateurs, l’adoption d’un guide de bonnes pratiques ou encore la mise en œuvre de services spéciaux de scan des courriels. Par ailleurs, un autre mode d’infection est représenté par l’utilisation de «kits d’exploits», installés dans le cadre d’applications web dont le rôle est d’infecter les outils informatiques de la victime simplement lorsqu’elle


visite une page internet. Par exemple, c’est le kit d’exploits Neutrino qui a permis de distribuer le ransomware Locky. Cette technique est facilitée par l’existence de vulnérabilités nichées dans les applications installées dans les ordinateurs des victimes (p. ex. dans les anciennes versions d’Adobe Flash Player). En règle générale, les kits d’exploits s’installent sur les serveurs, l’agresseur cherchant à y diriger ses victimes à travers des liens distribués par courriel ou en redirigeant le trafic web en usurpant des liens publicitaires de pages de sites très fréquentés. Un autre phénomène qui a pris de l’envergure est celui de l’expansion des dispositifs intelligents connectés au net (Internet of Things / IoT), créant une nouvelle zone vers laquelle les criminels se sont dirigés afin d’y développer de nouvelles applications malveillantes, capables de dérouler des attaques de type DDoS (déni de service distribué), en utilisant les vulnérabilités de nombre de dispositifs IoT. Ces mêmes dispositifs peuvent être également utilisés pour exfiltrer des informations confidentielles auxquelles ils ont accès ou qu’ils contiennent. Grâce à la popularité de l’IoT, on assiste à une croissance nette des attaques de type DDoS A ce propos, le plus récent botnet, créé justement sur une plateforme IoT, Hide ‘n Seek, découvert au début de cette année par l’entreprise Bitdefender, présente un très haut niveau de complexité et une vaste panoplie de capacités, parmi lesquelles on soulignera le vol de données pouvant être utilisées pour l’espionnage, allant ainsi bien au-delà des initiatives antérieures menées sur le même terrain par d’autres groupes de criminalité informatique.

Ce botnet est du type peer-to-peer, et au 26 janvier 2018, il contrôlait déjà 32.312 systèmes IoT, avec une répartition à l’échelle globale. Ce botnet, outre à exfiltrer des données, exécute des codes et crée des interférences au sein des activités que doivent mener les différents outils informatiques d’une entreprise8. L’application malveillante par l’intermédiaire de laquelle le réseau de «bots» se répand est, quant à elle, optimisée régulièrement. Selon l’équipe de Bitdefender, cette application possède des capacités de se répandre semblables à celle d’un ver, utilisant un programme de tests automatiques ciblant des adresses IP au hasard afin d’identifier de nouvelles victimes. Dans les derniers 50 ans, de nombreuses solutions ont été adoptées dans tous les pays afin de répondre aux défis posés par les usages des

technologies de la part de la criminalité, mais le seul élément qu’on retiendra, c’est que la technologie ellemême est en développement perpétuel, poussant chaque Etat à s’adapter en même temps. Ces tendances imposent le besoin d’éduquer, de perfectionner et d’adapter constamment et à un rythme assidu l’ensemble de la société aux stratégies et aux tactiques nécessaires à réagir à une cyber-attaque.

Bibliographie et sources Comprehensive Study on Cybercrime, United Nations Ofifice on Drugs and Crime, Vienna, United Nations Publishing Department, New York 2013 Cyber Security Maturity Model, Global Cyber Security Capacity Center, University of Oxford Derek S. Reveron, Cyberspace and National Security. Threats, Opportunities and Power in a Virtual World, Georgetown University Press, Washington DC, 2012 McAfee North America, Criminology Report, Organized crime and the Internet, 2007 labs.bitdefender.com www.bbc.com https://blog.sonicwall.com https://blog.barkly.com https://www.cisco.com https://cybersecurityventures.com https://www.csoonline.com https://www.gov.uk http://intelligence.sri.ro https://krebsonsecurity.com https://www.stickman.com.au https://securityintelligence.com

1 https://www.csoonline.com/article/3153707/security/top-5-cybersecurity-facts-figures-and-statistics. html, accesat la data de 31.01.2018 2 https://cybersecurityventures.com/2015-wp/wp-content/uploads/2017/10/2017-Cybercrime-Report. pdf, accesat la data de 30.01.2018 3 https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/248621/horr75chap2.pdf, accesat la data de 30.01.2018; 4 http://www.bbc.com/news/technology-40671091, accesat la 28.01.2018; 5 https://securityintelligence.com/whats-behind-the-rising-tide-of-ransomware/, accesat la data de 31.01.2018 6 https://blog.barkly.com/how-ransomware-as-a-service-works, accesat la data de 31.01.2018 7 https://blog.sonicwall.com/2017/02/sonicwall-threat-report-reveals-cybersecurity-arms-race/, accesat la data de 31.01.2018 8 labs.bitdefender.com/2018/01/new-hide-n-seek-iot-botnet-using-custom-built-peer-to-peercommunication-spotted-in-the-wild/ accesat la data de 01.02.2018

31


Trends VIP Interview - Cybersecurity

Cyber-sécurité : enjeux et menaces vus par les yeux d’un expert en gestion de risques VIP Interview avec Jean-Luc HABERMACHER Auteur: Laurent Chrzanovski

Jean-Luc Habermacher

Laurent Chrzanovski : Décrivez-nous votre parcours. Jean-Luc Habermacher : Cadre dans de grands groupes industriels internationaux depuis une trentaine d’années, j’ai œuvré à différents niveaux de fonctions et notamment comme Risk Manager et Officier de Sécurité Central.

BIO Fondateur et Président de la Vallée de l’Énergie – le premier cluster européen de l’énergie de puissance, le Dr. Jean-Luc Habermacher est un risk manager reconnu, s’appuyant sur une expérience de plus de trente ans auprès de différentes entreprises de très grande taille (CEGELEC, ALSTOM, CONVERTEAM, GENERAL ELECTRIC). Il est Vice-Président Régional de l’Association des Auditeurs de Franche-Comté de IHEDN, Président du cercle AGORA des Responsables de la Sûreté et de la Sécurité des Entreprises pour le Grand Est de la France et Lieutenant-Colonel de Gendarmerie (RC). Il est également responsable de projets de développement d’intelligence économique pour le compte de plusieurs entreprises privées.

32

Formé à l’Institut des Hautes Etudes de la Défense Nationale, j’ai aussi pris en charge le développement des actions de l’Intelligence Economique auprès des entreprises et j’apporte également mon soutien à la prévention des risques et des cyber risques via une mission comme Lieutenant-Colonel (R) dans la Gendarmerie. Soucieux de la nécessité de créer une culture de la gestion des risques en entreprise, je suis également enseignants dans plusieurs composantes universitaires et membre de l’Association nationale pour le Management des Risques et des Assurances de l’Entreprise. Je participe également activement aux travaux de plusieurs comités nationaux sur les différents sujets de la sûreté. J’ai créé il y a une dizaine d’année le 1e cluster français des industries de l’Energie de Puissance baptisé la Vallée de l’Energie et j’en suis le Président. Nous œuvrons pour promouvoir et développer les industries de la filière ENERGIE en France. J’ai eu l’opportunité de porter un mandat de parlementaire ce qui m’a permis, et me permet encore, de pouvoir travailler étroitement sur certains sujets législatifs liés à la sûreté. Laurent Chrzanovski : Comment êtes-vous arrivé à vous intéresser à la cyber-sécurité. Jean-Luc Habermacher : Depuis plusieurs années, de par mes différentes activités auprès des entreprises et des acteurs économiques et avec ma culture de Risk Manager, je me suis intéressé à essayer de comprendre comment ces derniers analysaient leurs risques et leurs expositions et ce dans la cadre d’une vision globale. Très vite je me suis rendu compte que la numérisation des technologies au sein même des entreprises n’était pas appréhendée avec la perception des « risques cyber » dans leurs réelles dimensions. Lors de mes discussions avec des Responsables d’entreprises, et sans être systématiquement « parano », lorsque j’abordais avec eux le sujet de leur perception de leur exposition aux différents risques, la composante numérique n’était analysée que d’une façon technologique sans en percevoir les composantes de stratégies globales économiques.


Il y avait là, à mon sens, un réel déni de la prise en compte des risques économiques liés à la numérisation industrielle. Ma formation en « Intelligence Economique » m’a fait prendre conscience de la nécessité de sensibiliser et d’interpeler les milieux économiques de cette lacune importante dans l’approche de l’analyse des risques des entreprises. Laurent Chrzanovski : Quels aspects du monde «cyber» vous préoccupent aujourd’hui ? Jean-Luc Habermacher : La dépendance technologique des entreprises vis-à-vis des outils et des systèmes numériques est telle qu’une mauvaise analyse de son exposition peut lui être fatale. Pendant de nombreuses années, les responsables d’entreprise se focalisaient sur les pertes de données développant ainsi des stratégies de backup, multipliant ainsi l’inter connectivité des outils et des systèmes. L’Usine 4.0 n’a pas été suffisamment analysée avec sa composante de vulnérabilité des machines et des systèmes connectés. Les derniers exemples de cyber attaques ont fait prendre conscience des failles importantes dans les outils de production ou de supervision. C’est aujourd’hui une grande partie des architectures globales des systèmes connectés au sein des entreprises qu’il va falloir repenser et reprendre. Les enjeux de géo stratégie économique ne sont malheureusement pas perçu par les responsables des petites et moyennes entreprises, et il est évident que des « intérêts Supérieurs » sont derrières les nombreuses attaques cyber qui touchent les réseaux économiques et les entreprises. Les cyber attaques sont le reflet de la version moderne de la guerre économique qui est menée par les grandes puissances qu’elles soient étatiques ou privées. L’interconnexion des outils et des systèmes entraine une interdépendance qui ouvre des vulnérabilités très importantes. Les positions dominantes de certains acteurs technologiques créent à terme des schémas de dépendance structurelles extrêmement critique. Nous sommes entré dans la « 3e guerre mondiale » et les enjeux sont économiques surtout géo politiques. Il serait irresponsable de ne pas vouloir le comprendre sous cet angle. Laurent Chrzanovski : Comment jugez-vous l’état de prise de concience dans les entreprises où vous êtes actif ? Jean-Luc Habermacher : Les grands groupes industriels ont intégré depuis plusieurs années que leurs systèmes d’informations pourraient être des cibles pour des attaques de déstabilisation et des processus de sécurisation ont été mis en place. Les plateformes et la connectivité des outils de production avaient en grande partie échappé à l’analyse des risques et les derniers évènements viennent d’activer une prise de conscience de ces nouveaux points de vulnérabilité. Il faut aussi sécuriser les liens avec les prestataires pour l’entretien et la maintenance des équipements se sont des sources d’introduction qui n’ont toujours été bien sécurisées.

Les politiques sécuritaires des grandes entreprises se sont sérieusement renforcées ces trois dernières années, et les comportements à risques des collaborateurs sont traqués. Les PC et matériels connectés sont contenu dans des formats très réglementés et systématiquement contrôlés. A mon sens, les Datacenter externalisés utilisés par de nombreuses entreprises demeurent de réels points

de faiblesse, je ne serais pas surpris d’apprendre d’ici quelques temps que nous découvrions par ce biais des fuites d’informations ou des attaques. Laurent Chrzanovski : Et au sein du cluster Vallée de l’Energie ? Jean-Luc Habermacher : Le cluster de la Vallée de l’Energie regroupe les industriels et les acteurs de la filière énergie en France, et en tant que Président, je mène des actions pour sensibiliser et à bien informer mes membres notamment sur les risques auxquels ils pourraient être confrontés dans leurs activités. Les technologies du numérique touchent l’ensemble de la chaine de fabrication des composants, mais aussi les concepteurs de logiciels de contrôle/commande qui supervisent les unités de production et de distribution de l’énergie. Les conséquences sont donc différentes dans chacun de ces deux contextes. La réelle appréhension des vulnérabilités de l’Usine Connectée est très récente au sein des responsables de Petites et Moyennes entreprises, il est donc nécessaire de déployer des formations dans ce domaine et éventuellement d’aider les entreprises à réaliser des audits globaux. L’autre secteur très délicat concerne le pilotage des systèmes de production, d’exploitation et de distribution de l’énergie. Sur ce point, il est évident qu’il a des risques majeurs car les plateformes et les softs qui pilotent et gèrent les équipements ne sont malheureusement pas suffisamment sécurisé à ce jour. Il est donc essentiel de travailler en coordination avec les entreprises qui fabriquent et développent les systèmes d’exploitation pour intégrer correctement

33


Trends VIP Interview - Cybersecurity les protections nécessaires et mettre en place des processus d’intervention contrôlables, cette prise en compte nécessite aussi de changer la culture actuelle des différents acteurs.

Il me semble important de diffuser des messages dans ce sens et de les relayer via différentes revues spécialisées avec le soutien des structures Chambre de Commerce et d’Industrie, Comités Industriels, syndicats professionnels … Nous devons également travailler à mettre en place des formations spécifiques sur l’analyse et la gestion des cyber risques au sein des Universités et Ecoles d’Ingénieurs car nos entreprises ont besoin de support sur ces sujets. Nous travaillons en étroite relation avec les services de l’Etat (Police et Gendarmerie) pour diffuser à nos membres les alertes et éventuellement les accompagner dans leurs démarches administratives en cas d’attaques. Laurent Chrzanovski : Quels domaines sécurité du monde digital vous paraissent-ils particulièrement sous-estimés par rapport aux comportements physiques ? Jean-Luc Habermacher : Comme je l’ai exposé précédemment la connectivité des systèmes, tant interne qu’externes à l’entreprise, est devenu une nécessité sociétale avec laquelle nous allons devoir composer. Les cloisonnements technologiques seront difficiles à mettre en œuvre d’autant plus, que par nature, les comportements humains essaieront de les détourner. La multiplication des données collectées dans l’environnement immédiat des individus et les exploitations croisées qui pourront en être faites sont perçus comme d’énormes enjeux économiques à venir. De ce fait, de nombreux acteurs souhaitent s’inscrire dans cette chaine des collectes directes ou indirectes de données. Pour ce faire, nous voyons se déployer une multitude d’applications qui de façon sournoises vont collecter et ensuite transférer des données tant individuelles que collectives, ces dernières échappant bien évidement au contrôle de chacun d’entre nous, mais pourraient à termes nous être opposables. La volonté d’associer les technologies numériques à de nombreuses activités quotidiennes doit se faire avec une réelle prise de conscience des dépendances

34

techniques qu’elles engendrent mais aussi des conséquences sociétales qui en découlent. Laurent Chrzanovski : Qui devrait assumer la culture de défense digitale dans les entreprises et sous quelle forme à votre avis ? Jean-Luc Habermacher : Aujourd’hui, dans beaucoup de structures la stratégie de défense digital est portée par des Responsable des Systèmes d’Informations, ce qu’ils font avec une approche et une culture très « technicienne ». Comme je l’ai dit, les enjeux sont de plus en plus économiques et l’entreprise doit être en mesure d’analyser sa vulnérabilité au travers de facette. La technologie, ou plus exactement les outils technologiques numériques deviennent les vecteurs ou les armes d’attaques qui seront utilisé contre l’entreprise. De ce fait il est essentiel d’avoir une vision avec une vraie analyse à 360°. Pour cela, il faut développer une culture du risque différente, en commençant par bien identifier les raisons pour ensuite essayer d’anticiper les mécanismes qui pourraient être déployer contre l’entreprise, mais aussi de bien appréhender l’ensemble des conséquences auxquelles l’entreprise serait confrontée dans les différents scénarii.

Jean-Luc Habermacher and the French Delegation at the CybersecurityRomania congress Dans ce contexte, je ne suis pas certain que le profil « Technicien Systèmes d’Informations » soit le plus pertinent pour mener à bien cette réflexion et développer la culture du risque dans l’entreprise. Les Dirigeants d’entreprises (DG, Administrateurs, …) doivent être informer et s’intéresser aux vulnérabilités stratégiques auxquelles leurs entreprises pourrait être exposées et prendre conscience que les réponses aux parades ne sont pas que technologiques. Les composantes humaines, culturelles, sociétales et voir même géopolitiques doivent être prisent en compte. La mise en place des outils de couvertures des risques doit nécessairement intégrer cette dimension, certes il faut prévoir de couvrir les dommages matériels mais il est aussi essentiel de prévoir la couverture ou la prise en charge des dommages immatériels. Le profil du gestionnaire de risque devra donc intégrer toutes ces composantes. Laurent Chrzanovski : Pourquoi, selon vous l’Europe, a trop longtemps ignoré notre transition au numérique et les enjeux sécuritaires nouveaux par rapport aux grandes puissances ?


The EU Commission «Berlaymont» building © EU Parliament Magazine Jean-Luc Habermacher : Je ne sais pas si l’Europe a réellement ignoré les enjeux sécuritaires liés aux mutations numériques, mais ce qui est certains, c’est que le déploiement des nouvelles technologies n’a pas toujours été perçu dans le cadre d’une analyse globale. L’intérêt immédiat pour certains outils, ou certaines applications a en quelque sorte occulter les conséquences indirectes qu’elles pourraient engendrer à termes. D’autre part, nous n’avons peut-être pas suffisamment anticiper les conséquences des dépendances technologiques que les grands acteurs incontournables des logiciels d’exploitation, des réseaux et gestionnaires de réseaux d’informations numériques allaient nous mettre en œuvre. Les convergences économiques, au travers de ses différents acteurs, n’ont peut-être pas non plus été suffisamment appréhendées pour permettre de préparer des parades aux dépendances technologiques qu’elles engendreraient. Les cadres législatifs internationaux ne sont pas non plus adaptés pour permettre d’éviter ses situations critiques. De plus les intérêts économiques des Etats prévalent sur l’intérêt collectif européen. L’Europe est une grande maison où chacun des locataires voudrait pouvoir utiliser et gérer selon ses propres intérêts l’ouverture des portes des fenêtres, le réseau électrique ou de chauffage, l’intérêt communautaire s’arrêtant en quelque sorte à la porte de chaque appartement … Donner et imposer des règles communautaires c’est aussi s’imposer des contraintes à son propre développement. Le consensus étant la règle de gouvernance, les actes et les décisions prisent seront toujours « à minima ». Certains projets comme GALILEO vont dans le sens de la mise en place de certaines indépendances technologiques mais comme on a pu le voir leur mise en œuvre est très compliquées et surtout très longue. L’évolution des technologies et des structures numériques nécessitent des temps de réactivités très court qui malheureusement sont en grande partie incompatible avec les lourdeurs de la gouvernance administratives des institutions européennes. Laurent Chrzanovski : Est-il encore possible dans un continent en paix depuis 1945 de réinstaurer un esprit de vigilance sans se faire traiter de big brother ou de va-t’en guerre ?

Jean-Luc Habermacher : Les actes de terrorisme qui touchent plusieurs pays européens depuis plusieurs années a réactivé un certain esprit de vigilance et tend aussi à réactiver une conscience citoyenne. Malheureusement les cybers attaques n’ont pas la même visibilité que les attaques et les attentats de rue, même si d’une certaine manière leurs conséquences peuvent être similaires en matière d’impacts économique et sociétal. Les supports technologiques sur lesquels s’appuient les acteurs des cyber attaques sont à la fois individuels et collectifs, les comportements humains sont aussi des vecteurs de transmission de leurs armes d’attaques. Essayer de réglementer certaines pratiques nous amènera à impacter les comportements individuels et à aborder à la fois les notions de liberté et d’ingérence. La course aux technologies du numérique et la multiplicité des applications de services auxquels adhère spontanément une grande partie des populations rend aussi très difficile les actions de régulation. La prise de conscience « politique » n’est pas encore suffisamment mature pour être un levier d’influence pour engendrer de réelles mesures de vigilances collectives et citoyennes. Il faudrait aussi essayer de renforcer le cadre législatif pour permettre des actions d’investigations beaucoup plus larges et pouvoir aussi sanctionner plus sévèrement, mais pour cela il faudra faire accepter à nos concitoyens que leur sécurité passe peut-être par quelques restrictions sur leurs « libertés individuelles ». Laurent Chrzanovski : Pourquoi est-on si peu sensibles aux bonnes pratiques de nos voisins au sein de l’UE lorsque celles-ci font leurs preuves et réinventet-on la roue dans chaque pays ? Jean-Luc Habermacher : Il me semble qu’il est dans l’esprit de beaucoup d’entre nous, et notamment de nos gouvernants, de vouloir systématiquement personnaliser les processus et les actions. Quand il s’agit de reconduire une « bonne pratique », il y a toujours prétexte à la reconsidérer pour essayer de la personnaliser pour peut-être mieux l’adapter à notre contexte, et l’esprit nationaliste reste très présent chez nos politiques. Les syndicats ou les fédérations professionnels dans nos domaines d’expertises sont pratiquement inexistant et ne peuvent donc pas jouer leur rôle de levier d’influence pour fédérer des actions au niveau européen. Il y a là un vrai plan d’action à mettre en place. Il faudrait donc créer des instances professionnelles représentatives de nos domaines de compétences qui pourraient ainsi travailler de façon transverse pour promouvoir les travaux réalisés et les capitaliser.

35


Trends - Cybersecurity Trends

La Suisse, l’un des rares pays où le GDPR devient un véritable atout (payant) pour les citoyens Toute l’Europe en parle, les entreprises s’affolent pour être prêtes à temps, et pour cause, le GDPR, ou Règlement Général sur la Protection des Données entrera en vigueur fin mai.

Auteur : Laurent Chrzanovski

Adoptant – et même renforçant par endroits – le cadre normatif européen, la Suisse a adapté et amélioré sa propre loi fédérale sur la protection des données. Si, dans la plupart des pays européens, la conformité avec le GDPR est devenue l’une des obsessions des entreprises qui manipulent des données personnelles, c’est à cause des amendes encourues en cas de perte ou de vol de celles-ci, des montants pouvant aller jusqu’à 4% de leur chiffre d’affaires annuel. Mais pour le citoyen lambda, le GDPR ressemble plus à un parachute «postcrash» en cas de violation de sa vie privée avec, en fonction de chaque pays, quelques maigres possibilités de recevoir des indemnités de la part de l’entreprise coupable ou de pouvoir déposer une plainte pénale. A l’inverse, la Suisse –outre à adopter les mêmes amendes et sanctions, en cas de perte ou de vol, à l’encontre des possesseurs de données – propose à tout citoyen ou résident, désirant anticiper une attaque et renforcer la protection de ses données, un système proactif basé sur une plateforme gérée en partenariat public-privé, via la Swiss Internet Security Alliance.

36

C’est ainsi que toute une gamme de services gratuits sont désormais proposés citoyen, comme des numéros verts pour obtenir de l’aide et des prestations en cas de hameçonnage, vol ou usurpation d’identité, cryptage contre rançon, etc. Mais l’effet le plus visible et intéressant de la (r)évolution de ces six derniers mois a été d’assister à la naissance d’innombrables contrats d’assurances de «protection internet individuelle/familiale», aussi bon marché que bien conçus, proposés en complément des services conventionnels proposés par les compagnies. Ainsi, une personne résidant en Suisse peut ajouter à l’une de ses assurances obligatoires (Responsabilité civile, Soins de Santé, Assurance maison et même véhicule) cette extension de «Protection Internet», avec des primes annuelles démarrant dès 4 CHF (3.2 EUR) et atteignant un maximum de 100 CHF (85 EUR) par année en fonction de la couverture désirée par le client. L’originalité du système suisse est qu’il se base sur l’inscription individuelle et obligatoire sur le site IDprotect.ch, un service créé par I-surance.ch et financé par les primes d’assurances. Sur cette plateforme, chacun – et non son assurance – choisit ensuite quelles données il/elle désire protéger – photographies personnelles/intimes, textes, numéros de passeport, de carte d’identité, de cartes bancaires ou de crédit etc. Le rôle d’IDprotect.ch, placé sous le contrôle de normatives fédérales extrêmement sévères portant sur la confidentialité des données qui lui sont confiées, est de scanner 24h/365j le «deep web» à la recherche de ces mêmes données. S’il les retrouve, cela veut dire qu’elles ont été compromises. Le client en question (= le propriétaire légitime) est alors immédiatement contacté et conseillé sur les procédures à suivre et sur l’attitude à adopter. Mais puisque tout, sur le net, est une question de temps, l’équipe d’IDprotect.ch elle-même commencera, en parallèle, à affronter les aspects techniques et juridiques les plus importants (fraude, usurpation ou vol de l’identité du client, assistance à la récupération des données en cas de


cryptage par des criminels, assistance médicale immédiate dans le cas où un mineur de la famille est victime de grooming/bullying, etc.).

Un élément qui laisse bouche bée, si l’on tient compte que les primes moyennes et même celles supérieures ne dépassent pas une centaine d’Euros par an, est la couverture offerte à l’assuré, dont nous reprenons ici les éléments principaux : 1. Couverture mondiale 2. Aide et assistance active dans l’élimination de toutes les données compromises 3. Jusqu’à 5000 CHF de remboursement immédiat en cas d’appareils endommagés 4. Jusqu’à 1000 CHF de remboursement immédiat en cas de non-livraison de marchandises commandées en ligne (valeur minimum de celles-ci : 200 CHF) 5. Jusqu’à un million de CHF (850’000 EUR) pour les frais de justice – avec libre choix de l’avocat– y inclus les frais fixes et l’enquête forensique* 6. Indemnités élevées pour des pertes financières directes (pour professionnels indépendants) et les dommages à la réputation. 7. Couverture illimitée pour 5 ans des coûts médicaux dans le cas de conséquences psychologiques sévères 8. 300’000 CHF d’indemnités (en sus des prestations de l’Assurance Invalidité obligatoire) dans le cas d’une invalidité partielle causée par une attaque (chantage, etc.) 9. 150’000 CHF d’indemnités versés à la famille en cas de décès (suicide)

BIO Docteur en Archéologie, diplômé d’Etudes postdoctorales en histoire et sociologie, Habilité à Diriger des Recherches, Laurent Chrzanovski est Professeur HDR titulaire à l’Ecole doctorale et Postdoctorale de Sciences Humaines de l’Université de Sibiu (Roumanie) et Professeur HDR invité dans plusieurs Ecoles doctorales européennes. Fort de son multilinguisme et de son expérience de travail dans 12 pays d’Europe et du Sud de la Méditerranée, il a étendu depuis 2010 ses domaines de recherches à la cyber-sécurité, dans ses aspects sociaux, comportementaux, culturels et géopolitiques. A ce titre, il est membre du groupe d’experts en cyber-sécurité de l’UIT (ONU-Genève) et consultant contractuel pour cette même institution. Il a fondé en 2013 –et dirige depuis– la plateforme macro-régionale annuelle de dialogue public-privé sur l’Europe Centrale „Cybersecurity - Romania” (www.cybersecurityromania.ro), puis, dès 2017, des plateformes similaires sur l’Europe Occidentale „Cybersecurity - Switzerland” (www.cybersecurity-switzerland.ch), et sur la Méditerranée (www.cybersecurity-mediterranean.it). Dans ce même esprit, il a co-fondé en 2015 et est rédacteur en chef de l’une des rares revues trimestrielles gratuites de cyber-prévention (en PPP) destinée au grand public, Cybersecurity Trends. Congrès et revue sont promus et soutenus par l’UIT depuis 2015 comme « Exemple de bonnes pratiques pour le Continent Européen ».

* La liste des cas couverts est impressionnante : Utilisation abusive d’identité Utilisation abusive de carte bancaire ou de crédit Victime de hameçonnage Victime de hacking Victime de chantage ou de menace à l’individu / à ses proches Victime de sexting, grooming, bullying Victime de vol de propriété virtuelle : propriété intellectuelle, droits d’auteur, marques déposées et noms placés sous copyright, vol ou usage non autorisé d’images privées et de textes confidentiels. L’aspect le plus important de ces nouveaux services proposés en Suisse est qu’ils ont été conçus pour couvrir les assurés avec une protection qui est adaptée aux dommages subis, ce qui est un enjeu permanent pour

37


Trends - Cybersecurity Trends les compagnies d’assurances (à l’exception des USA et de quelques rares pays d’Asie). Par exemple, une assurance de “cyber-sécurité” proposée à une entreprise basée en France ou en Italie va encore se baser sur le chiffre d’affaires annuel brut du client. Elle se révèle souvent chère et ne rembourse que quelques millions d’Euros par attaque ce qui est souvent bien loin des conséquences réelles, comme par exemple dans le cas d’une entreprise comme Saint-Gobain, qui a perdu 250 millions suite à Wannacry. La raison de ce système “aveugle” est que ni les assurances, ni les entreprises n’ont de standards stricts et homogènes pour évaluer la résilience de leurs infrastructures, les capacités de leurs employés en matière de sécurité de base et la réelle performance du département du CISO/CSO, voire du SOC lorsque l’entreprise possède un tel centre de sécurité propre. Le manque de prévention aux risques et de culture “cyber” de base de la majorité des conseils de direction est ainsi l’un des éléments venant expliquer cette sous-évaluation constante des dommages. Tant que le degré de sécurité est jugé, dans son ensemble, comme immature, les compagnies nationales d’assurances ne peuvent récompenser par des remboursements à la hauteur des pertes les entreprises qui sont performantes (par exemples celles qui respectent scrupuleusement tous les standards du cadre NIST). Souvent, ces entreprises sont ainsi obligées de se tourner vers des assureurs étranger, in primis ceux d’outre-Manche et d’outre-Atlantique. Aussi, comment ce nouveau-né helvétique est-il, d’après l’analyse des spécialistes, promis à un futur radieux ? Il y a pour cela plusieurs raisons simples, qui, combinées entre elles, permettent de créer un écosystème dans lequel une compagnie d’assurance peut se lancer, avec des primes parfaitement accessibles et des remboursements gigantesques, à aborder la plus difficile des clientèles : les citoyens. Toutes sont réunies dans le pays aux 26 cantons. Les citoyens suisses font souvent l’objet d’ironies sur le fait qu’ils sont «sur-assurés», une observation qui a sa part de vérité, mais dont l’origine provient non pas

1

38

de la peur mais bien de la connaissance des risques encourus en cas de problèmes de diverse nature. De plus, la responsabilité civile, l’assurance maladie, l’assurance ménage, l’assurance véhicule et bien d’autres encore sont exclusivement privées. Parmi celles-ci, l’assurance maladie est revenue au domaine privé – placée néanmoins sous la supervision de la Confédération, qui en établit annuellement les primes depuis le référendum de 1996. L’Etat n’y gère plus, en gros, que le fonds de pension de base (à compléter par les deux autres piliers, privés), l’assurance invalidité, l’assurance chômage. La première conséquence du «tous assurés» et d’une mentalité générale de se considérer collectivement responsables de l’honnêteté envers les assurances est que les entreprises de ce secteur sont plus que bénéficiaires, se permettant ainsi de proposer à leurs clients plusieurs bonus qui n’existent presque nulle part ailleurs. On citera par exemple le remboursement complet des bris de glace pour les véhicules, quelle qu’en soit la cause et sans avoir besoin d’une assurance casco complète ni de subir un malus suite au dégât. Un autre exemple pourrait être, pour moins de deux cents euros par année, l’assurance complète des bagages à main et de leur contenu (argent liquide excepté) où que se trouve le client (rue, voiture, bus, train, avion, etc.) dans le monde entier. Par exemple, nous avons été nous-même volé une fois : l’assurance nous a remboursé en moins d’une semaine aussi bien le bagage que l’appareil photo et le disque dur externe qui s’y trouvaient, au prix du neuf ! Les «assurances internet» objet de notre article ont ainsi été proposées à des prix très abordables comme un «plus» à une assurance déjà contractée, in primis celles obligatoires (responsabilité civile, santé, ménage). Contractée et active en un simple clic sur le site de l’assureur, la «cyberassurance» a ainsi bénéficié, en termes de marketing, d’une clientèle captive (entre autres par les bonus) avec laquelle elle entretient une relation sur le long terme. Avec la connaissance et le libre choix, pour l’assuré, des données à protéger, la confiance entre le client et l’assureur est totale. Cela d’autant plus que la plateforme des assurances, grâce à ses ressources et son scan permanent du net, peut se concentrer sur des éléments très précis, réduisant au maximum le coût de ses opérations, maximisant ses capacités de repérer au plus vite les données des clients volées ou compromises, réduisant ainsi, par des actions précises, la possibilité de duplication de ces mêmes données. Sans être naïf, bien des services offerts sont déjà inclus dans les assurances obligatoires (maladie, invalidité, décès) ou encore, en des termes financiers, dans la plupart des contrats de prestations des banques suisses (couverture complète des sommes volées suite à l’usurpation ou du vol d’une carte de crédit, franchise limitée au minimum lors du vol d’une carte de débit associée avec son NIP, etc.). Cependant, ces nouvelles assurances auront un effet bénéfique pour la société dans son ensemble, indiquant aux compagnies indélicates (on citera certains sites de e-commerce très agressifs) d’être très attentifs lorsqu’elles entreront en possession de données suisses de provenance inconnue ou encore acquises sur le marché gris. La possibilité de bénéficier de frais de justice, d’avocats et d’experts, jusqu’à un million de francs donne ainsi aux citoyens et aux résidents de la Confédération la possibilité unique de porter plainte contre une compagnie auprès d’une instance des Etats-Unis, une procédure dont les coûts hors de portée de plus de 98% des citoyens européens.

2

3 4

5


Autorités

Recommandations pour se protéger contre les ransomware (virus à rançon)

Auteur : Cătălin Pătrașcu

Petit à petit, le ransomware est devenu l’une des formes de maliciel les plus fréquentes, et les plus énervantes, et ce d’autant plus qu’il peut créer des dommages ou au moins des inconvénients à presque tous les types d’utilisateurs. La plupart d’entre nous possèdent, archivées sur nos dispositifs, du PC au smartphone, au moins quelques informations auxquelles nous tenons beaucoup et pour lesquelles nous serions disposés à faire des efforts, même financiers, pour pouvoir les récupérer en cas de malheur. C’est justement sur cette «faiblesse» que nous avons tous que s’appuient les criminels qui organisent création et distribution des ransomware, une pratique qui selon les statistiques internationales, s’est révélée être parmi les plus rentables au niveau des gains qu’elle procure. Ci-dessous, nous vous proposons une série de mesures et de recommandations pour vous aider à prévenir d’éventuelles infections de vos systèmes, mais aussi pour en diminuer les dégâts suite à une

BIO Cătălin Pătrașcu est le chef du service Computer Security and Monitoring auprès du CERT-RO, le Centre National de Réponse aux Incidents de Sécurité Cybernétique de Roumanie (homologue roumain de l’ANSSI en France)

Depuis quelques années, citoyens comme entreprises et institutions sont confrontés à une menace informatique connue sous le nom de «ransomware» mais qui n’est autre qu’un maliciel dont le but est d’empêcher ses victimes d’accéder à leurs documents ou même à l’intégralité du système informatique infecté, et ce jusqu’au paiement d’une somme d’argent en guise de rançon («ransom»).

contamination. Les mesures ci-dessous ont été adaptées du guide, élaboré par un collectif d’auteurs dont nous avons fait partie, et qui a été récemment mis à disposition du public roumain par le Centre National de Réponse aux Incidents de Sécurité Cybernétique (CERT-RO).

Mesures de prévention

1

Être prudents - Cette recommandation, peut-être banale, est à la base de toute augmentation de la résilience des systèmes informatiques que vous utilisez ou que vous administrez. Il est désormais bien connu que l’utilisateur est réellement l’anneau le plus faible de tout l’écosystème de la cyber-sécurité. En tant que tel, c’est bien sur la composante humaine que pèsent la plupart des attaques (ingénierie sociale, hameçonnage, spear phishing, pourriels, etc.). Nous vous recommandons de ne pas accéder à des liens ou ouvrir des attachements reçus via des courriels suspects avant d’avoir vérifié soigneusement la légitimité de l’expéditeur. Un raisonnement identique doit aussi se poser sur tout site web que vous visitez et encore plus sur les ressources en ligne que vous utilisez pour télécharger ou mettre à jour vos applications et vos logiciels. Effectuez des sauvegardes de sécurité de vos données (backup) - La méthode la plus efficace pour combattre les menaces de type ransomware est de réaliser périodiquement des sauvegardes de toutes les données archivées ou même simplement traitées par vos systèmes informatiques. Ce faisant, même si un ransomware vient à vous bloquer l’accès direct à vos données, vous pourrez rapidement les récupérer et les dommages subis seront minimes. IMPORTANT ! Pour la sauvegarde, utilisez un système d’archivage externe qui ne soit pas connecté en permanence au réseau, sinon vous courez le risque d’être touchés par une forme avancée de ransomware

2

39


Autorités - Cybersecurity Trends qui crypte aussi les dossiers de l’ensemble de l’écosystème connecté, y compris ceux des disques durs – et clouds – externes. Activez les options du type «System Restore» - Dans le cas des systèmes d’opération Windows, nous vous recommandons d’activer les options «System Restore» pour toutes les composantes d’archivage. Dans le cas d’une infection ou de la compromission de certaines données (y compris celles du système lui-même), ces données peuvent être rapidement récupérées en ramenant le système à son état antérieur à l’attaque. ATTENTION ! Ne vous basez pas uniquement sur cette possibilité, puisque plusieurs variantes récentes de ransomware parviennent à éliminer même les données du «System Restore». Mettez en œuvre des mécanismes du type «Application Whitelisting» - L’«Application Whitelisting» présuppose la création et la mise en œuvre d’un mécanisme qui vous assure que l’ensemble du système informatique ne puisse utiliser que des logiciels autorisés et connus. Le concept en soi n’est pas nouveau, puisqu’il provient en fait d’une amplification de l’approche dite de «refus par défaut», utilisée depuis longtemps par les solutions de défense du type firewall. Aujourd’hui, l’«Application Whitelisting» est considérée comme l’une des stratégies les plus importantes dans la lutte contre les menaces de type malware et il existe une panoplie de solutions techniques venant en aide à qui désire mettre en œuvre ce concept, y compris pour des utilisateurs privés. Par exemple, dans le cadre des systèmes Windows, on peut simplement activer l’application en utilisant des outils existants dans le système, comme le SRP (Software Restriction Policies) ou encore AppLocker (ce dernier étant recommandé à partir du système Windows 7, ayant le même but et le même usage que le SRP du Policy Group). Désactivez de vos répertoires la possibilité d’exécution de programmes comme %AppData% ou %Temp% - Une solution alternative aux mécanismes du type «Application Whitelisting» (qui augmente elle aussi le niveau de sécurité mais n’est cependant pas aussi efficace que ces derniers) consiste à bloquer l’exécution à partir des répertoires de programmes comme %AppData% e %Temp%, grâce aux mesures de sécurité existantes (GPO – Group Policy Object) ou en utilisant une solution IPS (Intrusion Prevention Software). Activez toujours l’affichage des extensions des documents - De nombreux ransomware sont livrés sous la forme d’un document avec une extension connue (.doc, .docx, .xls, .xlsx, .txt etc.) mais à laquelle

3

4

5

6

40

on ajoute l’extension «.exe», le signe d’un élément exécutable – on obtient ainsi des doubles extensions du type «.docx.exe», «.txt.exe» etc. L’affichage des extensions vous facilitera grandement le repérage d’éléments suspects ou dangereux. Nous vous recommandons tout de même de ne jamais ouvrir des éléments exécutables reçus par courriel. Mettez à jour en permanence vos systèmes d’opération et vos logiciels - La mise à jour des logiciels et des programmes utilisés est une mesure obligatoire pour assurer à votre outil informatique un niveau de sécurité adéquat. Dans la plupart des cas, un logiciel qui n’est pas mis à jour est l’équivalent d’une porte ouverte aux pirates informatiques. En effet, les producteurs de logiciels publient de façon régulière des mises à jour pour les systèmes opératifs et les applications, l’utilisateur pouvant opter pour une installation automatique de celles-ci. Nous vous recommandons d’activer cette modalité là où vous le pouvez et de vous renseigner sur les façons les plus efficaces pour mettre à jour tous vos autres programmes (vérifiez régulièrement quelles sont les dernières versions publiées sur le site du producteur). ATTENTION ! Souvent, les programmes du type malware se présentent comme des mises à jour de logiciels : vérifiez attentivement sur quel site on vous propose de télécharger ces mises à jour. Utilisez des solutions de sécurité efficaces et à jour - Une mesure absolument nécessaire pour se protéger des maliciels est d’utiliser une ou plusieurs solutions de sécurité (logiciels) efficaces, actualisées et qui possèdent les fonctions suivantes : antivirus, antimalware, antispyware, antispam, firewall etc. Depuis peu, de nombreux produits antimalware proposent aussi une protection spécialisée contre les ransomware. Utilisez des logiciels pour surveiller vos documents - L’utilisation de logiciels permettant de surveiller ses propres documents (accès, modification, élimination etc.) vous aidera à reconnaître rapidement des comportements suspects de votre système ou du réseau. Soyez toujours attentifs si vous accédez aux publicités sur internet (ads) - Les plus récentes versions de ransomware ont été injectées à travers des publicités malveillantes (malvertising) qui étaient affichées sur des sites internet très populaires (médias, commerces en ligne etc.). Nous vous recommandons d’éviter autant que possible d’accéder à ces publicités et, mieux, d’utiliser des logiciels du type «add block», spécialement conçus pour bloquer la visibilité des publicités et interdire l’ouverture automatique de nouvelles pages internet («pop-up»).

7

8 9

10

Mesures pour éradiquer l’infection et en limiter les effets

1

Déconnecter les systèmes d’archivage externes - Déconnectez en toute urgence tous les outils externes connectés au PC (clé USB, carte mémoire, disque dur externe, etc.), déconnectez le câble internet et toutes les connections au réseau (WiFi, 3G, 4G etc.). Vous pourrez ainsi limiter l’infection des dossiers archivés sur des éléments externes et aussi sur ceux accessibles en ligne (partage de réseau, archivage cloud, etc). [En option]. Réaliser une capture de mémoire (RAM) - Si vous désirez qu’un spécialiste puisse mener une investigation sur l’incident et, éventuellement, éradiquer de la mémoire les clés de cryptage utilisées par le ransomware, réalisez au plus vite une capture de mémoire (RAM), avant d’éteindre le PC, en utilisant une solution spécialisée.

2


ATTENTION ! Le risque existe que, d’ici la fin du processus de réalisation de la capture de mémoire, bon nombre de données supplémentaires soient infectées et cryptées – dans certains cas le malware peut même réussir à toucher l’intégralité du contenu. La décision d’éteindre de suite le PC ou de réaliser, auparavant, une capture de mémoire, doit être prise en fonction de vos priorités individuelles ou d’entreprise. Est-ce plus important pour vous de sauver vos données ou au contraire d’avoir la possibilité d’effectuer des enquêtes ultérieures ? Par exemple, si vous avez des sauvegardes de l’ensemble des données archivées sur le PC ou que les données qu’il contient ne sont pas importantes, vous pouvez décider de faire une capture de mémoire. Éteignez votre PC - Si vous suspectez qu’un PC a été contaminé par un ransomware et que vous décidez de ne pas faire une capture de mémoire, nous vous recommandons d’éteindre immédiatement le PC afin de limiter au maximum le nombre d’éléments cyrptés par le malware. [En optional] Réalisez une copie (image) du disque dur interne (HDD) - Si vous désirez qu’un spécialiste mène une enquête ultérieure sur l’accident et tente de récupérer une partie des données contaminées avec des instruments de type «Data Recovery», réalisez une copie du type «bit per bit» (image) du disque infecté par le malware, et ce grâce à un logiciel spécial. Réalisez une sauvegarde «hors ligne» des dossiers - Rallumez le PC (boot) en utilisant un système opératif situé dans une mémoire externe (CD, DVD, clé USB etc.), comme le permettent presque tous les PC modernes, et ce surtout si vous utilisez linux. Copiez alors sur un second support tous les dossiers dont vous avez besoin, y compris ceux qui sont compromis (cryptés). Restaurez les dossiers compromis - La méthode la plus rapide de récupérer les dossiers contaminés par un ransomware est de les remettre en place depuis une copie de sauvegarde (backup). Si vous n’avez pas une telle copie, nous vous recommandons de récupérer les dossiers grâce à la fonction «System Restore» ou encore en utilisant des logiciels spécialisés dans la récupération des données (du type «Data Recovery»). ATTENTION ! Nous vous recommandons d’essayer de récupérer toutes vos données avec des logiciels du type «Data Recovery» en vous conformant aux images (copies) du HDD (réalisées selon le point 4), sinon vous courez le risque de compromettre la possibilité de succès d’une procédure plus complexe, celle qui voit la récupération des données s’effectuer directement depuis une mémoire externe. Il existe de nombreuses solutions pour tenter de récupérer les données directement

3 4 5

6

depuis les différentes mémoires, mais celles-ci exigent un degré avancé d’expertise informatique et la possession de technologies idoines. Désinfectez les systèmes informatiques contaminés - La méthode la plus fiable pour vous assurer que votre système informatique ne contient plus aucun malware (ni des composantes de ce dernier) est de réinstaller complètement le système d’opération, en reformatant tous les disques durs internes et en premier lieu leurs multiples composantes. Au cas où cette opération s’avérerait impossible (par exemple si vous désirez récupérer des données directement depuis le disque interne contaminé), nous vous recommandons d’utiliser une ou plusieurs solutions de sécurité du type antivirus/antimalware/antispyware pour faire un scan du système et ensuite le désinfecter. ATTENTION ! Si vous désirez récupérer vos données directement depuis les disques internes contaminés, comme nous l’avons expliqué au point 6, nous vous recommandons de ne pas essayer de les désinfecter mais d’utiliser d’autres supports de mémoire pour réinstaller le système opératif. En dernière instance, si vos dossiers ont été compromis et qu’aucune tentative de les récupérer n’a réussi, vous devez rester très prudent sur la possibilité de les racheter en payant la rançon demandée dans le message du ransomeware. Accepter de payer, cela ne veut pas seulement dire encourager les criminels qui s’occupent de ce «business», mais surtout cela ne vous offre aucune garantie que vous pourrez récupérer vos données une fois la somme transférée. Bien au contraire, de nombreuses statistiques montrent une nette augmentation du nombre de criminels qui encaissent les rançons sans pour autant envoyer en réponse la clé de décryptage.

7

Bibliographie [1]. https://www.us-cert.gov/ncas/alerts/TA14-295A [2]. h t t p : / / w w w. s y m a n t e c. c o m / c o n n e c t / b l o g s / ransomware-how-stay-safe

L’IHEDN, c’est une raison d’être, transmise à ses déclinaisons régionales. Maintenir et favoriser le lien entre la nation française et son armée. Les Associations Régionales sont donc le lieu de rencontre. Société civile, défense, chacun découvre et transmet les différentes facettes de la sécurité nationale. La diffusion auprès de la société se fait par le biais des membres, ou lors de conférences. Plus d’informations sur : www.ar10ihedn.fr/

41


Trends VIP Interview - Cybersecurity

Les conséquences d’une cyber-sécurité mal comprise et mal gérée: un système prévaricateur voué à l’implosion ! VIP Interview avec Marc German, diplomate d’entreprise et expert en crimes économiques Auteur: Laurent Chrzanovski

Marc German

Laurent Chrzanovski : Décrivez- nous votre parcours Marc German : J’ai débuté ma carrière internationale, il y a 30 ans, dans le cadre des marchés de compensation. Ayant effectué de nombreuses missions à l’Étranger dans des contrées n’ayant pas de relations normalisées avec l’Occident comme l’Urss… Conseiller de sociétés françaises intéressé très tôt par ce que l’on n’appelait pas encore l’intelligence compétitive, j’ai initié de nombreux partenariats industriels et commerciaux, dans le cadre des opportunités consécutives à la chute du Mur de Berlin. Plus récemment, en 2008, dans une démarche prospectiviste, j’ai fondé un groupe de réflexion stratégique «Reflextrat», dédié notamment à la réussite et au rayonnement des entreprises innovantes sur les marchés émergents tout en œuvrant à l’éradication des mauvaises pratiques aux seins des entreprises et des institutions.

42

Laurent Chrzanovski : Comment en êtes-vous arrivé à vous intéresser à la cyber-sécurité. Marc German : Puisqu’aujourd’hui tout est informatisé et passe par internet, conscient des nouveaux enjeux liés à la sécurité des projets informatiques de plus en plus complexes, alors auditeur de la Chaire de Criminologie au CNAM, je me suis focalisé sur la lutte contre la cybercriminalité. Laurent Chrzanovski : Quels aspects de la cyber-sécurité vous préoccupent aujourd’hui. Marc German : La qualité du code source est le premier niveau de sécurité informatique. En effet, une erreur dans le code qui provoque un


dysfonctionnement de l’application s’appelle un bug, c’est une erreur qui se voit et que l’on peut corriger, c’est juste couteux ; En revanche, une erreur dans le code qui ne provoque pas de dysfonctionnement ne se voit pas et s’appelle une faille, c’est là le cauchemar des entreprises et des administrations car cela peut couter beaucoup plus cher encore… Mais ce n’est ici que la partie technique de la cyber-sécurité qui appelle une réponse technique, il y a également des enjeux comportementaux qui eux sont plus compliqués car, comme toujours, en matière de sureté et de sécurité le comportement humain est le maillon faible, il est donc impératif d’éradiquer les mauvaises pratiques. Laurent Chrzanovski : Comment jugez-vous l’état de prise de conscience dans les entreprises où vous avez été / êtes actif ? Marc German : Les entreprises et les administrations comprennent aujourd’hui qu’elles doivent sortir de leur dépendance des grands éditeurs - Microsoft, Oracle et SAP - qui produisent des outils auxquels elles doivent

s’adapter qui sont peu performants, peu fiables et très couteux. Aujourd’hui certaines technologies de ruptures éprouvées permettent de créer de façon agile des outils spécifiques répondant à de nouveaux modèles économiques permettant, par exemple, à l’informatique des entreprises de ne plus être exclusivement un facteur de coûts mais une source de profits. Laurent Chrzanovski : … et dans le domaine dans lequel vous évoluez en général ? Marc German : Le manque «d’hygiène comportementale» des utilisateurs finaux persiste de façon dramatique. Vous pouvez utiliser un logiciel sur un terminal et un réseau hautement sécurisés, si l’utilisateur y recharge son téléphone personnel ou sa tablette, il fragilise de facto l’ensemble en créant un point d’accès… La mode du BYOD (Bring Your Own Device) est un phénomène aggravant. Laurent Chrzanovski : quels sont selon vous les enjeux de résilience du 4.0. Marc German : La capacité des entreprises et des administrations à se prémunir des diktats des principaux éditeurs de soft et d’ERP en tous genres relayés par des sociétés de services dont 70% du Chiffre d’Affaires est constitué par la maintenance. Les premiers fournissent des solutions qui n’en sont pas, car les besoins fonctionnels spécifiques des entreprises

BIO Diplomate d’entreprise et prospectiviste, Marc German anime de nombreux réseaux internationaux dans le cadre de partenariats industriels, spécialiste du risque pénal et des résolutions de crises, Marc German a fondé en 2008, un groupe de réflexion stratégique «Reflextrat», dédié notamment à la réussite et au rayonnement des entreprises innovantes sur les marchés émergents. Ce think tank a développé des outils performants dans le prolongement des travaux de l’École Française de Prospective du CNAM qui est internationalement reconnue pour sa capacité à décrypter la complexité pour mieux façonner l’avenir. Depuis 30 ans, pionnier de l’intelligence compétitive, Marc German a mené sur le terrain des missions en France et à l’Étranger avec une constante obligation de résultats. Au cours de cette carrière internationale, il a également participé à la création, au lancement et au développement de sociétés à succès dans des secteurs variés (Aéronautique, Défense, Énergie, Internet...). Après avoir été conseiller de sociétés françaises dans le cadre des opportunités consécutives à la chute du Mur de Berlin, il a initié de nombreux partenariats industriels et commerciaux, en assurant la coordination entre les acteurs institutionnels, les entreprises et les personnalités scientifiques, politiques et médiatiques. Précurseur de la Diplomatie d’Entreprise, créatif reconnu comme un fournisseur de solutions, il intervient à toutes les étapes clefs des marchés en fonction des besoins spécifiques exprimés par ses commanditaires gouvernementaux ou privés (partenariats contre-intuitifs, financement innovants, conduite d’opérations complexes, offsets, solutions asymétriques...), tout en œuvrant à l’éradication des mauvaises pratiques aux seins des entreprises et des institutions. Auditeur de la Chaire de Criminologie au CNAM, il milite pour l’ajout de la notion de «crime économique» dans le code pénal couvrant un champ plus étendu que l’Article 432-10 allant jusqu’à la défense des petits actionnaires... Depuis 2010, Marc GERMAN est Trésorier de l’Association France MoyenOrient de la Légion d’Honneur. En 2014, conscient des nouveaux enjeux européens liés à la sécurité et la sureté de projets informatiques de plus en plus complexes, Marc German entreprend la création d’une Entreprise de Services du Numérique innovante capable d’utiliser des technologies de rupture agiles en matière de création de logiciels au plus haut standard de qualité au profit des grands comptes et des administrations.

43


Trends VIP Interview - Cybersecurity ne sont pas intégralement couverts et ce sont alors les utilisateurs finaux qui doivent s’adapter à des outils inadaptés à leur métier. Les seconds ayant un modèle économique fondé sur la vente de «jour/homme» se satisfont crassement des insuffisances des premiers puisque leur fortune est assurée par la livraison de softs inopérants, moins ça fonctionne plus ils engrangent des fortunes en maintenance. Le pire c’est que ni les administrations, ni les entreprises ne sont finalement propriétaires de ces outils informatiques poreux, inadaptés et dispendieux. L’enjeux principal de résilience du 4.0, c’est la promotion des technologies de rupture qui permettent de produire de façon agile des outils spécifiques totalement adaptés aux métiers. Ces technologies existent, non seulement elles permettent de sortir du funeste modèle économique «jour/homme» pour des prestations vertueuses « au forfait » qui, elles, permettent aux utilisateurs d’avoir une informatique au service de leur métier et pas l’inverse. En matière de comportement, il s’agit de mettre l’accent sur des formations adaptées et surtout de responsabiliser les utilisateurs finaux… Vaste programme!

Laurent Chrzanovski : quels domaines de sécurité du monde digital vous paraissent-ils particulièrement sous-estimés par rapport aux comportements physiques ? Marc German : En matière de comportement physique, le problème est d’abord endogène, «l’ennemi» est d’abord à l’intérieur ! Laurent Chrzanovski : qui devrait assumer la culture de défense digitale dans les entreprises et sous quelle forme à votre avis ? Marc German : C’est une responsabilité transversale, sous l’égide du « patron », car il s’agit d’une menace sur les processus vitaux de l’administration ou de l’entreprise. Laurent Chrzanovski : pourquoi selon vous l’Europe à trop longtemps ignoré notre transition au numérique et les enjeux sécuritaires nouveaux par rapport aux grandes puissances ?

44

Marc German : Les européens manquent de vision et de pensée stratégique et ont du mal à définir de façon appropriée le mal auquel ils sont confrontés, ce qui est vraiment en matière de terrorisme l’est tout autant en matière de cyber-sécurité. Les glissements sémantiques ou l’inversion du sens des mots pervertissent la pensée. Sans en être la réplique, le cyber est la transposition informatique du monde réel. Ainsi la cybercriminalité n’est pas une nouvelle forme de

criminalité c’est la transposition de la criminalité classique au cyber, les criminels adaptent tout simplement leur mode d’action à ce qui est à la fois un nouvel outil, un nouveau vecteur et un nouveau terrain de jeu. Laurent Chrzanovski : est-il encore possible, dans un continent en paix depuis 1945, de réinstaurer un esprit de vigilance sans pour autant se faire traiter de «big brother» ou de va-t-en-guerre ? Marc German : Il ne s’agit pas d’adopter une posture politique opportuniste en réponse à une mode, la capacité de résilience est un véritable enjeu stratégique. Laurent Chrzanovski : pourquoi est-on si peu sensibles aux bonnes pratiques de nos voisins au sein de l’UE lorsque celles-ci font leurs preuves et réinvente-t-on la roue dans chaque pays ? Manque de connaissances? Ego politique ? Marc German : L’ensemble des acteurs du monde de l’informatique considère la cyber-sécurité avant tout comme un nouveau marché porteur de croissance économique et de gains financiers, ils se sont tous engouffrés dans ce qu’ils considèrent comme un nouvel Eldorado… Or, comme je l’ai affirmé précédemment : moins ça fonctionne, plus les problèmes perdurent et plus ils se goinfrent. En France, plus qu’ailleurs le système est vérolé autant que verrouillé… Les carrières types des cadres supérieurs de l’informatique les voient passer indifféremment du monde de l’édition ou du service à la DSI des grands groupes, c’est le royaume du conflit d’intérêt, de la cooptation éhontée et du grand partage entre amis… Il s’agit d’un véritable crime économique, voici donc la face cachée de la cybercriminalité, la forme de délit la plus dangereuse et surtout la plus onéreuse, car ce sont les administrations, les entreprises et finalement les contribuables qui paient la facture. Ce système prévaricateur est voué à l’implosion !


Trends

Note relative aux risques cyber Auteur : Christophe Madec

Face à la multiplication des risques Cyber, quelles solutions le marché de l’Assurance peut-il apporter ? L’Assurance est un bon moyen aujourd’hui de se prémunir des conséquences d’un risque Cyber. Ce risque à ceci de particulier qu’il peut avoir des conséquences multiformes. Une attaque aura des répercussions sur le niveau d’activité et donc des conséquences en termes de perte de marge brute, à ceci s’ajoute des postes de frais supplémentaires qui peuvent être considérables tels que les frais d’investigation et de reconstruction numérique afin de rétablir le bon fonctionnement des systèmes d’information. La possibilité pour l’entreprise d’exercer ses activités induit également un risque de mise en cause de la part de ses partenaires, clients ou fournisseurs. L’entreprise se verra ainsi exposée aux paiements de dommages et intérêts plus ou moins importants et à prendre en charge des frais de procédure coûteux. Ce risque de mise en

BIO Senior Client Executive, Fraud & Cyberrisks Consultant, BESSÉ Industrie & Services, Christophe Madec a rejoint BESSÉ en 2011. Avec plus de 20 ans d’expérience dans le domaine, au servoce de diverses compagnies d’assurance et de brokers de pointe, il est un expert reconnu dans le domaine des risques dans les secteurs des finances et des transferts. En sus de ses fonctions de Conseiller aux clients , il est en charge des solutions novatrices pour combattre les fraudes et les risques cyber.

cause prend une dimension particulière avec l’entrée en vigueur à compter de 2018 du règlement sur la protection des données personnelles où désormais chaque entreprise se voit dans l’obligation d’avoir à notifier toute fuite de données et de communiquer directement vis-à-vis des personnes concernées. Face à ces enjeux et à la montée en puissance de ces nouveaux risques, le marché de l’Assurance est organisé pour construire des solutions spécifiques traitées au sein de départements spécialisés à la couverture des risques Cyber. Ces couvertures viennent compléter le dispositif assurance existant au sein de l’entreprise dans la mesure où les couvertures traditionnelles Dommages Aux Biens ou Responsabilité Civile s’avèrent inadaptées pour garantir correctement les conséquences financières d’un sinistre Cyber. Ceci est d’autant plus vrai que pour favoriser le développement d’un véritable

marché pour la couverture des risques Cyber, les assureurs envisagent de restreindre au travers d’exclusions spécifiques les risques Cyber des polices Dommages ou RC. L’intérêt d’une police Cyber ne se limite néanmoins pas seulement à la prise en charge des conséquences financières d’une attaque au système d’information. En effet, au jour du sinistre l’entreprise disposera également de véritables accompagnements pour la gestion de la crise en trouvant un support auprès d’experts et de prestataires qualifiés. Le transfert à l’assurance présente en fait un double avantage. Le premier consistant à prendre en charge les conséquences financières d’un sinistre, ce qui est le rôle traditionnel de l’Assurance. Le deuxième, certainement tout aussi important sur cette matière, de pouvoir être présent aux côtés de l’entreprise et notamment de la Direction des Systèmes d’Information et de la Direction Générale pour gérer au mieux les conséquences d’un incident Cyber dont les conséquences peuvent être multiples comme exposé précédemment.

45


Trends - Cybersecurity Trends Comment voyez-vous le marché de l’Assurance Cyber aujourd’hui ? La situation du marché de l’Assurance est en fait assez contrastée et voire même plutôt surprenante. En effet et au moins concernant le marché français, tous les assureurs sans exception, soit plus d’une quinzaine d’acteurs, se sont tous organisés pour construire et proposer des polices d’Assurance pour couvrir les Cyber Risks. L’offre est donc variée et crée par nature une véritable compétition sur ce marché. Ceci étant, au niveau de la demande, si celle-ci s’est véritablement exprimée au niveau des grands groupes internationaux et en particulier au niveau des sociétés cotées, elle reste extrêmement timide voire même inexistante sur le marché des TPE et PME. Pour en revenir aux assureurs, les assureurs anglo-saxons qui bénéficient de l’expérience du marché américain pour lequel des produits d’Assurance spécifiques sont développés depuis plus de dix ans, ont été précurseurs sur le marché Européen. Les grands assureurs continentaux ont depuis développé leurs propres offres. Pour donner quelques chiffres, le volume de primes mondial dédié à l’Assurance des risques Cyber est estimé à 3,5 MDS € dont environ 250 M € sur l’Europe. Pour ce qui concerne le marché français, le volume de primes aujourd’hui est estimé à 40 M € et se concentre essentiellement sur le marché des grands risques. Chaque compagnie d’Assurance dispose d’une capacité de souscription de l’ordre de 25 M €, ce qui

46

permet au global de pouvoir monopoliser une capacité totale de plus de 300 M € aujourd’hui sur un même programme. A la suite des évènements Wannacry et Petya de Juin 2017, nous constatons cependant des politiques de souscription peu prudentes qui conduisent les assureurs à limiter leurs engagements en fonction de la qualité des dossiers qui leur sont présentés. Les assureurs deviennent plus exigeants en matière d’information de souscription et ne s’engagent pleinement que lorsque les informations qui leur sont apportées sont jugées satisfaisantes. Concernant les tarifications, les assureurs disposent malheureusement de peu d’expérience et notamment d’aucune donnée significative leur permettant une modélisation actuarielle de ce risque afin d’établir des tarifications qui soient pertinentes au regard du risque. De fait les approches tarifaires sont assez empiriques, ce qui amène à de grandes disparités à la fois entre les différents marchés à savoir la France, l’Allemagne, l’Angleterre par exemple, ainsi qu’entre chacun des acteurs. Au niveau du marché français, les niveaux de primes varient fortement entre assureurs en fonction des activités et de la taille des entreprises. Sur le marché des TPE, les tarifications sont rendues accessibles pour favoriser la demande. Les assureurs sont très clairement en phase d’acquisition de parts de marché et cherchent à équiper un maximum de clients pour ensuite les accompagner et faire évoluer leur portefeuille en fonction de l’évolution de ce risque et de la sinistralité attendue. Au-delà des aspects tarifaires et capacités, il est également intéressant de noter que les polices d’Assurance sont généralement complexes à appréhender vu la multiplicité des offres disponibles. Surtout, les conditions présentées restent encore très hétérogènes entre assureurs dans un marché non structuré qui manque encore de référentiel et de retour d’expérience pour consolider les aspects contractuels.


Comment se positionnent les entreprises vis-à-vis de l’Assurance Cyber ? Là encore, la situation est contrastée. Il y a d’un côté le monde des grands risques, à savoir les grandes entreprises internationales, les multinationales et surtout les sociétés cotées. De l’autre côté, les ETI et les TPE/PME. Au niveau des sociétés cotées, celles-ci sont quasiment toutes équipées de couvertures d’Assurance Cyber souscrites au cours des deux dernières années. Sous la pression des investisseurs notamment et également des agences de notation, elles ne peuvent négliger ce facteur de risques, donc elles se doivent aujourd’hui d’être transparentes sur les politiques qu’elles conduisent en matière de Cyber sécurité ; ces politiques intégrant généralement l’Assurance dans leur dispositif. La situation est différente au niveau des ETI, TPE et des PME. Si ces structures sont aujourd’hui sensibilisées aux risques Cyber compte tenu d’une actualité médiatique très riche et quotidienne sur le sujet, la principale difficulté tient au fait qu’elles ont du mal à visualiser leur niveau de vulnérabilité et donc à identifier de manière précise les impacts possibles, notamment d’un point de vue financier. Le sujet reste aussi trop souvent entre les mains de la DSI ou du Responsable Informatique qui ont essentiellement une vision technique de ce risque. L’appréhension des risques Cyber doit être transverse afin d’impliquer l’entreprise à tous les niveaux. La démarche que nous conduisons consiste à favoriser des échanges entre plusieurs fonctions en particulier entre les responsables informatique, la Direction Financière, le Service Audit, la Direction Générale, afin qu’un dialogue s’installe sur la gestion des risques Cyber et ses conséquences potentiels pour in fine permettre une bonne prise en compte du sujet. Le principe d’une cartographie des risques constitue l’approche optimum. Elle est cependant souvent complexe à mettre en œuvre notamment lorsqu’elle nécessite également intégrer la mise en place d’un plan de

continuité d’activité ou d’un plan de reprise d’activité afin de traiter correctement l’ensemble des problématiques amont et aval. Cette approche, nécessaire, peut néanmoins être simplifiée en adoptant une démarche très pragmatique et plus simple qui consiste à identifier en priorité les applicatifs les plus critiques au niveau de la gestion des activités et de scénariser d’un point de vue financier les conséquences de leur indisponibilité. Ce premier travail permet aussi de conforter la décision d’un transfert à l’assurance et d’élaborer un schéma de garantie et donc une police d’Assurance Cyber adaptée à la fois aux problématiques identifiées et s’inscrivant aussi de manière pertinente avec les plans d’Assurance existants. Dans cette configuration et en cas de sinistre, l’entreprise aura tout le bénéfice d’un transfert à l’Assurance. Il n’en demeure pas moins que compte tenu des évolutions de l’organisation des SI et de la nature des menaces, ce travail et ces réflexions doivent s’inscrire dans la durée pour adapter si besoin les solutions retenues pour la gestion de ce risque.

47


Trends - Cybersecurity Trends

Les risques cachés des systèmes de téléphonie mobile Auteur :

Giancarlo Butti

Pour la sécurité, l’utilisation des systèmes mobiles peut comporter de nombreux risques qui, le plus souvent, ne sont pas perçus comme tels par les entreprises. Les connaître est en revanche indispensable pour pouvoir mettre en œuvre les mesures de prévention adéquates et limiter ainsi, pour autant que faire se peut, les dommages. Lorsque l’on pense au risque intrinsèque de l’usage d’un dispositif mobile, comme un smartphone, nous sommes naturellement portés à penser à la possible interception des communications entre les protagonistes d’une conversation. En réalité, la complexité de ces dispositifs et la richesse des fonctionnalités qu’ils offrent à leur détenteur les rendent particulièrement insidieux, au point qu’il faut désormais étudier l’autorisation de leur utilisation par les employés et les visiteurs d’une structure, surtout dans les zones où se déroulent des activités qui requièrent un niveau adéquat de protection et / ou de confidentialité. Une précaution qui est en contraste total avec l’actualité que nous vivons. Ces dispositifs, qu’ils soient propriété de l’entreprise ou privés, sont omniprésents, et ce dans les moments les plus importants de la vie d’une entreprise, comme les réunions concernant les décisions stratégiques ou les séances du conseil d’administration.

Dispositifs d’enregistrement Chaque dispositif mobile est aujourd’hui doté de nombreux instruments qui permettent d’enregistrer toute la zone à proximité de l’objet : Caméra vidéo (souvent même 2), grâce à laquelle on peut effectuer des reprises avec bande sonore, ou effectuer des photographies – y compris en haute résolution – de lieux, personnes, documents ou affichages d’écran. Micros, grâce auxquels on peut faire des enregistrements audio sans que les personnes présentes ne s’en aperçoivent.

48

Dispositifs de contrôle d’espace Le contrôle d’un espace avec un portable peut advenir lorsque celui-ci a été placé sur un bureau (un fait considéré comme absolument normal) ou durant l’enregistrement audio dans cet espace, ou encore par l’activation d’un appel vers un dispositif à distance grâce auquel l’enregistrement sera effectué. L’activation de l’enregistrement peut être l’œuvre du propriétaire du dispositif, mais, sur ce sujet, il faut aussi prendre en compte la possibilité que la surveillance de l’espace à travers le dispositif mobile soit activée par une tierce partie, via un logiciel espion, sans que le propriétaire légitime de l’objet ne le sache. L’utilisation des “capteurs” informatiques, en réalité des applications installées à l’insu de la victime, permet à celui qui en détient l’usage d’activer le micro et les caméras vidéo afin d’enregistrer des conversations ou, de façon générale, de surveiller l’espace environnant. De tels logiciels permettent en réalité de posséder, parfois, le contrôle intégral du dispositif, et donc d’accéder aussi aux courriels, aux agendas et à tout document présent dans le dispositif lui-même. Récemment, le Code Pénal italien, mais d’autres aussi, ont été modifiés pour permettre l’utilisation de tels instruments de la part des forces de l’ordre, bien que, dans ce cas, les limites de leur usage et du périmètre de contrôle soient limitées. En conséquence, la bonne foi ou la fiabilité des collaborateurs – et ce à tous les niveaux – de même que des visiteurs, clients ou fournisseurs qui accèdent à l’entreprise ne comptent plus. Lorsqu’il y a des sujets importants ou confidentiels à traiter, la meilleure précaution serait de n’avoir aucun dispositif mobile à proximité, afin d’éviter des fuites d’information.

Dispositifs d’archivage Un smartphone peut être utilisé comme un disque dur externe. Pour cela, il suffit de le connecter par un câble, ou via le wi-fi, à un PC ou à un autre dispositif pour en extraire une grande quantité de données, qui passent ainsi du réseau de l’entreprise au dispositif privé. Un tel transfert peut être observé en temps réel si l’entreprise a mis sur pied des systèmes de traçabilité, ou peut aussi être interdit si les prises USB sont inutilisables et que les utilisateurs n’ont pas les privilèges d’accès leur permettant d’activer les connexions wi-fi sur l’ordinateur de travail. Néanmoins, le transfert et l’exfiltration de données peut aussi se dérouler grâce à d’autres systèmes, qui ne sont pas traçables et qui ne peuvent être confinés à priori, comme l’enregistrement de vidéoconférences via la caméra vidéo du smartphone. Même si une telle pratique n’est pas aisée, elle n’en reste pas moins possible et lorsqu’il s’agit d’informations vitales dont l’exfiltration est très importante pour la tierce partie, la mise en jeu dans la phase d’acquisition des données voire de leur décodage est nettement justifiée.


Il est inutile de rappeler ici que tout ce qui est enregistré sur un dispositif, que ce soit de façon licite ou illicite, n’en est pas moins sujet à tous les risques qui dérivent d’une possible perte ou vol du dispositif ou de l’accès illégal à ses contenus grâce, par exemple, à une gestion non surveillée des connexions wi-fi et USB du dispositif lui-même. Il est néanmoins évident que, dans le cas d’une exfiltration illégale d’informations, il est plus que rare que celui qui a utilisé le dispositif en cause n’ait pas pris toutes les précautions nécessaires pour qu’une telle bévue ne lui arrive pas.

Dispositifs comme les routeurs WI-FI Une autre utilisation possible du dispositif mobile est celui de devenir un routeur wi-fi, par lequel on connectera tous les dispositifs de l’entreprise mal protégés, et ce simplement via le réseau internet. Si les dispositifs de l’entreprise sont connectés en même temps au réseau interne, on peut ainsi créer une faille dans la sécurité du périmètre, en ce sens que la nouvelle connexion ne sera pas filtrée par le firewall ni par les autres instruments de protection contre le milieu extérieur. Pour cette raison, en plus d’éviter l’exfiltration de documents à travers les connexions wi-fi, il faudrait débrancher la possibilité même d’effectuer de telles connexions sur les dispositifs de l’entreprise.

BYOD (Bring your own device) Même si un nombre croissant d’entreprises permet d’utiliser des instruments personnels dans des buts professionnels, il n’en reste pas moins qu’une telle habitude comporte des risques parfois très importants pour l’entreprise elle-même. Les problèmes de sécurité du dispositif peuvent se répercuter sur la confidentialité des informations de l’entreprise et ce malgré des règlement, même complets et bien articulés, qui établissent les conditions de telles pratiques. Même la simple possibilité d’accéder aux courriels de l’entreprise sur le dispositif mobile, évitant ainsi un accès direct au réseau, ce qui est risqué, est une pratique tout sauf sûre. Accéder au courriel implique en règle générale de pouvoir télécharger des attachements en plus des messages proprement dits, autant de pièces qui viendraient ainsi se loger dans le dispositif mobile, dont le niveau de sécurité ne peut en aucun cas être défendu de façon adéquate par l’entreprise. De plus, il pourrait y avoir des difficultés objectives, pour l’entreprise, d’effectuer des contrôles sur le dispositif d’un employé. Dans ce sens, les entreprises devraient se doter également d’instruments capables de reconnaître un dispositif qui tente de se connecter à distance, en l’identifiant comme entrepreneurial ou privé et, dans le second cas, en refusant la connexion.

Occupation du temps dans l’entreprise Il peut paraître banal de rappeler ici que la disponibilité d’un dispositif mobile, qui garde actifs ses multiples canaux de communication (vocal, sms, mms, whatsapp…), rend à elle seule possible le fait que même durant les heures de travail normales, une partie du temps est consacrée aux relations au sein de son réseau personnel. Cela n’a pas nécessairement une connotation négative puisque la conciliation entre travail et vie privée est désormais au centre de l’attention aussi bien des entreprises que du législateur, exactement comme cela a été mis en évidence dans la nouvelle normative italienne en matière d’agilité du travail.

BIO Giancarlo Butti, titulaire d’un master en Gestion d’entreprise et développement de leur organisation auprès de l’Institut Polytechnique de Milan, est un passionné des TIC, de leur organisation et des normatives qui doivent être mises en œuvre, autant de thèmes dont il s’occupe depuis le début des années 1980. Il a ainsi occupé plusieurs rôles au sein de grandes institutions bancaires (security manager, project manager et auditeur) avant de devenir consultant en sécurité et confidentialité pour de nombreuses entreprises de différentes tailles et secteurs d’activité. À côté de son activité professionnelle, il aime divulguer ses connaissances, à travers articles, livres, livres blancs, manuels techniques, cours, séminaires ou encore congrès. Il enseigne régulièrement dans les domaines de la confidentialité, de l’audit et de la conformité des TIC au sein de ABI Formation, mais aussi pour CETIF, ITER, INFORMA BANCA, CONVENIA, CLUSIT, IKN, ou encore l’Université de Milan. Auteur de plus de 700 articles et de collaborations ponctuelles avec plus de dix médias en ligne et plus de vingt publications traditionnelles, il a publié 21 livres / livres blancs dont certains sont aujourd’hui utilisés comme manuels universitaires ; de même, il a participé à la rédaction de neuf ouvrages collectifs dans le cadre de ABI LAB, Oracle Community for Security, Rapport du CLUSIT… Il est membre et proboviro de l’AIEA, membre du CLUSIT et de la BCI. Il participe aux groupes de travail de l’ABI LAB sur la Business Continuity, le Risque informatique et le GDPR, tandis qu’il est actif dans les groupes de l’ISACA-AIEA consacrés à Privacy EU et 263, de ceux d’Oracle Community pour la sécurité et les fraudes, l’eidas, la sécurité des transactions, les SOCs, d’UNINFO sur la confidentialité des profils professionnels, d’ASSOGESTIONI sur le GDPR… Il est membre de la Faculté d’ABI Formation, du Comité d’experts pour l’innovation de OMAT360 et figure parmi les coordinateurs de www.europrivacy.info. Il possède en outre les certificats LA BS7799, LA ISO/ IEC27001, CRISC, ISM, DPO, CBCI, AMCBI.

Il est donc opportun que les politiques d’entreprise ne soient pas construites autour de l’empêchement d’accès, ce qui ne serait pas en concordance avec les tendances actuelles. Ce que les entreprises doivent faire, en revanche, c’est de réglementer l’usage des dispositifs mobiles partout où il existe des risques effectifs pesant sur sa propre sécurité.

49


Trends - Cybersecurity Trends

7

raisons pour lesquelles les entreprises se font hacker En tant que consultant en sécurité et architecte de solutions venant en aide à des clients de toute le continent européen, les accompagnant dans la mise en œuvre des solutions de sécurité destinées à protéger les infrastructures et les réseaux critiques, je me suis souvent demandé – et me demande souvent – comment les entreprises se faisaient hacker.

Auteur: Marco Essomba

Cette question peut sembler triviale mais elle est profondément enracinée dans le simple fait que nous sommes tous humains et comme tels, nous commettons des erreurs, ce qui fait de nous le maillon le plus faible de l’ensemble complexe des systèmes de sécurité. Si vous êtes un professionnel de la sécurité ou un passionné de sécurité, cet article vous est dédié. J’essaierai d’y couvrir, les sept raisons principales pour

BIO Fondateur, iCyber-Security Group (U.K.) | Marco Essomba est un expert en cyber-sécurité et en Certified Application Delivery Networking. Il est le fondateur d’iCyber-Security, une société basée au Royaume-Uni et spécialisée dans la création de solutions permettant de sauvegarder ses atouts digitaux, des services sur mesure pour les secteurs des banques, des technologies des finances, de la santé, du commerce et des assurances. Reconnu pour son leadership, il est le lauréat 2017 du prix UK CyberSecurity Industry Personality of the Year. Suivez Marco sur twitter (@marcoessomba) et sur LinkedIn: https://www.linkedin.com/in/ marcoessomba

50

lesquelles les entreprises se font hacker, d’après mon expérience basée sur le travail avec des clients dans de nombreux secteurs cruciaux tels que les banques, la santé, les assurances, l’énergie etc. La question qui se pose n’est pas de savoir si votre compagnie sera hackée mais quand. Planifier et se préparer à chaque instant est la meilleure protection possible contre les attaques cyber.

1. Les humains sont le maillon le plus faible Les humains sont “programmés” pour commettre des erreurs. C’est comme cela qu’ils apprennent. C’est comme cela qu’ils ont évolué biologiquement. Regardez par exemple SpaceX : l’équipe a fait une multitude d’erreurs jusqu’à parvenir à maîtriser des fusées de dernière génération et des technologies spatiales. Même avec une équipe d’experts, il leur arrive encore souvent de voir leurs fusées exploser avant de s’ancrer avec succès à la Station Spatiale Internationale. C’est le même phénomène qui s’applique à la cybers-sécurité. Des erreurs seront commises ; pas «si», mais «quand». Et quand cela arrive, une fenêtre d’attaque s’ouvre. Un hacker peut frapper durant cet instant. Même dans les réseaux les plus strictement contrôlés, les humains font des erreurs. C’est inévitable, et c’est pourquoi la meilleure des défenses est de mettre en œuvre des mesures robustes de sécurité, mais aussi de planifier et de se préparer pour remédier rapidement à une erreur.

2. En cyber-sécurité, la technologie est très forte, mais l’expertise est bien faible Lorsqu’on entend toutes les nouvelles concernant d’innombrables entreprises, petites ou énormes, s’étant fait attaquer, on peut naïvement se demander pourquoi ces structures ne se sont pas simplement équipées des solutions de sécurité les plus robustes et avancées, pour être à l’abri. Les choses, en vérité, ne sont pas si simples. D’un côté, les systèmes de sécurité sont conçus, mis en œuvre et gérés par des humains. Tant que cela sera le cas, un engrenage de la chaîne pourra


toujours devenir défectueux. Et pourtant, la technologie concernant la cyber-sécurité est extrêmement robuste, et nous serons souvent surpris par des produits entièrement novateurs qui vont apparaître dans ce domaine. Mais il suffit d’observer les nombreuses entreprises proposant des solutions avancées de cyber-sécurité, garantissant une défense solide de différentes façons possibles. Cependant, pour configurer ces systèmes de sécurité, très sophistiqués, afin qu’ils fonctionnent à plein rendement et au maximum de leur capacité, il faut une expertise, que l’on ne trouve que très rarement et qui reste un métier de niche. Les cyber-criminels sont bien conscients de ce décalage et l’exploitent ainsi à leur avantage.

3. Les cyber-criminels ont largement l’avantage Les cyber-criminels agissent pour l’amusement, pour l’argent, pour des causes politiques ou encore au service de l’espionnage industriel ou

aucun étonnement donc à avoir que cela soit bien ce domaine qui soit devenu le refuge "le plus sûr" pour les criminels traditionnels.

5. Les humains s’endorment sur le champ de bataille Les responsables de sécurité, soumis à des journées interminables, peuvent s’endormir dans le «cyberchamp de bataille». Lorsque cela arrive, un criminel peut frapper. Si des processus ne sont pas mis en œuvre pour réviser constamment le bon fonctionnement des systèmes de sécurité, les améliorer, apprendre de ses propres échecs, et assurer constamment des cours de perfectionnement aux administrateurs et aux différentes équipes, les cyber-défenses de toute structure resteront bien faibles face à la nouvelle génération d’APT (Advanced Persistent Threats ou Dangers sophistiqués et persistants).

6. La technologie dans son ensemble bouge très vite et le rythme ne connaît pas de pause

gouvernemental, etc. Qu’ils ne repèrent qu’UNE SEULE brèche dans le système – technologique ou sociale – et les responsables de sécurité vont devoir s’échiner à essayer de combler TOUTES les brèches possibles. Ce n’est même plus un combat ! Avec suffisamment de patience et de volonté, même le plus sûr des systèmes peut être compromis par l’abnégation de quelques cybercriminels à la grande expertise. Ce qui compte vraiment, c’est à quelle vitesse une entreprise saura réagir, combler les brèches, répondre aux attaques, se former en continu et, régulièrement, renforcer les mesures de sécurité ainsi que tous les processus à suivre en cas de cyber-attaques.

4. Le crime paie d’avantage Les criminels se déplacent vers «le champ de bataille digital». C’est sensé, puisque le cyber-crime apparaît comme transparent, moins risqué et les chances d’être arrêté sont bien maigres par rapport à n’importe quelle autre typologie de crime. Il suffit d’observer les cyber-attaques les plus récentes dans le domaine bancaire, celles qui ont exploité le système d’identification SWIFT, avec des pertes qui se comptent en milliards de dollars, dans ce qui semble être à ce jour le plus grand "vol digital" jamais commis. Le crime en ligne est indétectable, il est virtuel et ne laisse le plus souvent aucune trace. Il n’y a

Avec la technologie avançant à la vitesse de la lumière, il n’est pas étonnant que les humains ne puissent plus suivre le rythme des cyber-attaques. Peutêtre devrions-nous confier à des ‘machines’ douées d’Intelligence Artificielle l’administration des systèmes et le renforcement de la sécurité – et en écarter les humains ? C’est une question volontairement poussée à l’extrême, bien sûr, mais qui n’est pas irréaliste. En effet, les machines peuvent suivre des règles sans faille et tenir le pas des cyber-attaques, de même qu’elles savent s’adapter bien plus rapidement qu’un humain ne le pourrait. Elles ne s’endorment jamais et pourraient s’avérer moins négligentes que les humains dans la maintenance des standards et des processus de sécurité. Mais il y a encore un long chemin à parcourir avant que ‘Skynet’ ne puisse défendre automatiquement des organisations contre des cyber-criminels sans aucune intervention humaine.

7. Dans le cyber-espace, vous êtes ce que vous savez L’enjeu majeur du domaine digital est que, comme des fantômes, la plupart des transactions se déroulent plus rapidement que ce qu’un humain ne peut affronter. Ce qui se passe réellement dans votre réseau pourrait bien être un mystère. Néanmoins, grâce aux outils de sécurité analytique, savoir ce que vous devez savoir est bien. Mais savoir ce que vous ne savez pas est mieux.

51


Trends - Cybersecurity Trends

Quand le sport peut devenir un problème de sécurité nationale L’histoire semble se répéter sans que nous n’en retenions jamais les leçons. Rappelez-vous : en 2010 déjà, le service Foursquare invitait ses utilisateurs à faire leur «check-in» dans des lieux à la mode, avant de rendre publiques ces données, par une erreur de manipulation.

Auteur : Nicola Sotira

Vous n’êtes toujours pas convaincu ? Essayer d’ouvrir Google Maps et, dans le menu, choisissez «Timeline» ; à moins que vous n’ayez refusé à Google l’accès à vos données de géolocalisation, vous y découvrirez un atlas précis de tous vos mouvements, que vous pouvez même classer chronologiquement en activant temporairement leur vue sur le calendrier. Il nous faut penser que les données représentent l’intégralité du «business model» de ces corporations, et

BIO Nicola Sotira est Directeur Général du Global Cyber Security Center et Responsable de la Sécurité de l’Information au sein du Groupe Poste Italiane. Il travaille dans le domaine de la sécurité de l’information depuis plus de vingt ans, fort d’une expérience menée au sein de différentes entreprises internationales. Avant de rejoindre le Groupe Poste Italiane, Nicola Sotira a été Directeur des Ventes auprès d’UC&C & Security Practices au sein du Groupe Westcon Italy et VP Sales Italy pour Clavister AB. Professeur au sein du Master en Sécurité des Réseaux à l’Université La Sapienza (Rome), Membre de l’Association for Computing Machinery, Nicola Sotira est un fervent promoteur de l’innovation technologique et a été membre de nombreuses start-ups, en Italie comme à l’étranger.

52

qu’il leur est donc bien difficile de trouver une bonne raison de mettre fin à la récolte de celles-ci. Peut-être vous demanderez-vous pourquoi nous parlons encore de cet argument, pourquoi un énième article sur les échanges de données ? La raison en est simple : une ligne de plus a été franchie, toute la presse transatlantique faisant ses titres sur Strava. Il s’agit d’une app servant à enregistrer et analyser ses propres activités athlétiques ; grâce à un mécanisme complexe, Strava peut gérer dans le moindre détail les données des coureurs et des cyclistes. Tout commence, comme d’habitude, avec votre smartphone, puisque l’app de Strava est gratuite et disponible aussi bien pour iOS que pour Androïd. Notre smartphone va donc, avec notre acceptation, enregistrer le parcours GPS de notre course à pied ou de notre course cycliste. L’app nous fera savoir nos


chronomètres, nos tracés, le nombre de miles/kilomètres parcourus et nous pouvons même transformer cet effort solitaire en un défi viral. Passons aux chiffres : en décembre 2016, Strava a annoncé que plus de 300 millions d’activités sportives avaient été enregistrées ; parmi celles-ci, 26.90% se sont déroulées au sein de groupes virtuels, recueillant plus d’1.3 milliards de «Kudos» –les «Kudos» étant sur Strava l’équivalent des «Likes» sur Facebook. Que s’est-il passé ensuite ? En novembre 2016, Strava a publié les plans de toutes activités sportives enregistrées, rejoignant un total de 27 milliards de kilomètres parcourus par ses utilisateurs. Le problème est que certains des utilisateurs de cette app travaillent pour des armées ou des agences de renseignements. C’est alors que plusieurs experts en sécurité ont commencé à connecter les points GPS, les tracés et à créer une relation entre les bases militaires américaines / les immeubles opérationnels des services de renseignements. Ce début d’investigation a été accéléré par la recherche de Nathan Ruser, un étudiant inscrit au département d’Études de Sécurité Internationale de l’Université Nationale d’Australie. Ce dernier a commencé à poster sur Twitter une série d’images qui montraient le lien potentiel entre les activités des utilisateurs de Strava et les bases militaires américaines en Afghanistan, les patrouilles militaires turques en Syrie et bien plus encore.

À Washington, le Déparetment de la Défense a immédiatement annoncé la révision de tous ses appareils connctés (IoT et wearable) et qu’il encourage tout le personnel des forces armées à limiter leur présence publique sur le net. Bien entendu, les règles sont bien plus strictes pour les troupes présentes dans des terrains d’opérations sensibles. Comme nous l’avons écrit de façon répétée, la prise de conscience des dangers potentiels lors de l’utilisation de ce type d’applications joue un rôle fondamental, et nous avons besoin de bien plus de culture de sécurité pour créer une génération d’utilisateurs utilisant le monde digital en pleine connaissance de cause. Certes, la plus grande marge d’amélioration est celle qui pourra naître d’une collaboration active entre les producteurs, les compagnies de services et les associations de consommateurs. Mais, last but not least, ce sont bien des programmes obligatoires dans les écoles qui serviront le plus à offrir aux mineurs, dès le plus jeune âge, les bases d’une éducation solide en cyber-sécurité.

53


Trends - Cybersecurity Trends

L’impact de la désinformation sur la valeur boursière d’un titre Cet article a pour but de proposer une réflexion et, plus que d’apporter des réponses, de susciter un ensemble de questions que toute personne soucieuse de sécurité devra se poser à court, moyen et long terme.

Auteur : Massimo Cappelli

La sécurité de l’information est définie comme un ensemble de processus et de méthodologies créés et mis en œuvre afin de protéger des informations qu’elles soient d’ordre privé, confidentiel ou sensible, et qu’elles soient digitales, imprimées ou de toute autre nature. Le but est d’empêcher tout accès non autorisé, tout usage inapproprié, afin de rendre impossible leur divulgation, destruction, modification et altération. Souvent, la sécurité de l’information est assimilée avec la sécurité informatique, bien que cette dernière

BIO Massimo est Operations Planning Manager au Global Cybersecurity Center (GCSEC). Il est coordinateur de la recherche et des activités éducatives de la Fondation. Depuis 2017, il est à la tête du CERT et du département de Cyber-sécurité des Postes Italiennes, au sein du Département de la protection de l’Information. Après des études en économie, il a obtenu un doctorat en «Géo-économie, géopolitique et géohistoire des régions frontalières” centré sur le Programme de Protection des Infrastructures Critiques, ainsi qu’un Master en «Etudes en Sécurité et Renseignement». Avant de rejoindre le GCSEC et les Postes Italiennes, il a été Associé et Expert en Résilience au Risque auprès de Booz & Company et de Booz Allen Hamilton.

54

ne constitue qu’une petite partie des activités qu’elle doit mener à bien, puisque l’information circule à travers différents canaux et pas seulement par les réseaux informatiques. L’évaluation du risque pesant sur l’information ne doit se pas baser sur des considérations purement «électroniques», mais doit être un véritable processus qui évalue tous les aspects possibles, même ceux qui regardent les lieux et les personnes. Ce phénomène est parfaitement illustré par Kevin D. Mitnick dans “L’art de la supercherie”, publié en 2001. Dans son ouvrage, il présente une série de cas où il a été possible de récupérer des informations utiles à ses propres buts, et ce simplement en discutant avec des personnes et en recueillant des portions d’informations qui, mises bout à bout, viennent à créer une base solide de références grâce auxquelles l’on pourra ensuite accéder à bien d’autres informations. Pour cela, dans certains domaines, on parle de Protection des Informations, surtout pour indiquer les processus et les méthodologies, prévues dans l’Information Security, qui possèdent un rayon d’action bien plus vaste que simplement celui de la sécurité informatique. Dans la plupart des cas, les informations protégées sont celles d’une entreprise. Le regard est donc avant tout tourné vers ‘intérieur : informations sur les clients, les contrats, les stratégies, les brevets et ainsi de suite. La première interrogation à se poser concerne le périmètre de compétence : est-il suffisant de superviser l’utilisation et la bonne garde des informations internes ? Probablement, la réponse est négative Puisque, pour protéger une entreprise il faut aussi regarder vers l’extérieur, vers toutes ces menaces qui, de toute façon, peuvent porter atteinte à la réputation marque ou de des affaires là. Parmi de nombreux exemples, on peut citer les sites de hameçonnage superviser l’utilisation ou les profils de faux consultants qui prétendent être des employés de l’entreprise Dans, la réponse est négative pour glaner des informations ou de la plupart des cas, les informations protégées sont celles d’une entreprise. Le regard est donc avant tout tourné vers l’intérieur : informations sur des clients, des contrats, des stratégies, des brevets et ainsi de suite. La des informations internes ? première interrogation à se poser concerne le périmètre de compétence : est-il suffisant de et la


bonne garde Probablement les références auprès des clients. Toutes les institutions financières veillent sur le web afin de signaler et dénoncer sites de hameçonnage : elles regardent donc au-delà du périmètre afin de bloquer des informations qui peuvent nuire à l’entreprise. Mais est-ce suffisant de surveiller et de vérifier seulement l’usage impropre ou frauduleux de sa marque ? Ou y a-t’il d’autres aspects à prendre en compte ? Durant les dernières années, les médias ont été inondés d’articles, de débats et de déclarations sur le phénomène des fake news, un terme utilisé en matière de désinformation à but principalement politique ou économique. Le soutien du Pape François à Donald Trump a ainsi été partagé et commenté à plus de 960.000 reprises sur Facebook. A-t’il un impact sur l’élection du candidat ? Il est arrivé à chacun d’entre nous de tomber sur un ami ou un collègue qui nous a relayés une fausse nouvelle. De même, il est fort probable que chacun d’entre nous ayons été les vecteurs inconscients d’une fausse nouvelle, lue sur les réseaux sociaux, rapidement, entre un croissant et un café. La désinformation peut se manifester à travers une représentation incomplète, fausse ou encore manipulée d’un fait. L’objectif de l’agent de désinformation est de pousser le plus possible la diffusion de cette nouvelle sur le plus grand nombre de canaux de communication possibles, induisant le lecteur à adopter une véritable conviction.

La désinformation a un objectif simple : celui de mener le lecteur à prendre une position déterminée, qu’elle soit en faveur ou contre un argument. Elle est créée pour susciter un sentiment d’empathie ou d’aversion. Ce sentiment, à son tour, peut porter à des réactions comme protestations, manifestations, boycotts ou défilés publics. Si l’on reste sur le sujet des dernières élections aux U.S.A., on peut prendre l’exemple d’une célèbre boisson américaine sans alcool. Mi-novembre 2016, un blog des conservateurs relate une interview au PDG de l’entreprise produisant ladite boisson, qui aurait déclaré (au conditionnel, évidemment) : “CEO Tells Trump Supporters to Take Their Business Elsewhere”. Cette nouvelle avait été tellement biaisée par sa source et par ceux qui l’ont relayée, mais son impact semble avoir eu une répercussion claire sur l’entreprise en ce qui concerne l’appréciation de sa clientèle et de la valeur de son action. Cela pourrait évidemment être le fruit d’un hasard, mais le jour même de l’apparition de la nouvelle, le niveau d’appréciation (sentiment) pour l’entreprise s’est effondré de 35% tandis que le prix de l’action a chuté de 3,75%, continuant à perdre du terrain durant toute la fin du mois, arrivant au 30 novembre, avec une valeur à la baisse de plus de 5%. Pour les analystes de réputation des marques et de communication, c’est un cas d’étude amplement débattu aujourd’hui. En sortant du contexte électoral, un autre cas qui est entré dans l’histoire et celui d’une entreprise pharmaceutique, que nous nommerons XY. En janvier 2012, un article paru sur Seeking Alpha, un site spécialisé dans la finance, déclarait que l’entreprise XY, cotée à Wall Street, était en train de développer un traitement spécial pour lutter contre le cancer, plus économique et compétitif que celui de ses concurrents. L’action de l’entreprise, en moins de cinq mois, ont vu une montée de leur valeur de 263%, plus que vraisemblablement

55


Trends - Cybersecurity Trends un effet direct de cette nouvelle. Ce n’est que deux ans plus tard que, devant le rapport sur le nouveau traitement, on découvrit qu’en réalité, les résultats étaient décevants. En parallèle, la SEC (Security & Exchange Commission) elle-même découvrit que l’article avait été rédigé sur demande par l’entreprise pharmaceutique XY en personne et réglé à travers une commission indirecte. Le résultat final a été une plongée aux abysses de la valeur de l’action. Cette technique, dans le passé, était connue comme «Pump & Dump», littéralement «pompe et jette». L’action est pompée grâce à de fausses nouvelles qui laissent entrevoir de vastes augmentations de sa valeur, puis est jetée (vendue) dès que la valeur désirée a été atteinte. C’est un exemple de fraude financière où les personnes mal informées subissent l’ensemble des conséquences. Un autre cas, en 2013, a provoqué un impact systémique. Il s’agit du tweet publié dans deux comptes de l’Associated Press (AP) selon lequel un attentat avait frappé la Maison Blanche et que le Président Obama était blessé, avec pour conséquence plus de 120 milliards de dollars «flambés» en bourse en quelques minutes. Les comptes d’AP venaient de se faire pirater… Aussi, prenons comme hypothèse que nous soyons l’entreprise Beta, appétissante sur le marché car présente dans différentes zones géographiques, dotée d’infrastructures robustes et bénéficiant d’accords commerciaux solides ainsi que d’une position monopolistique sur le marché. La valeur de l’action est haute et de potentielles secousses coûteraient cher au porteur, au vu cet état actuel. Si l’entreprise Alpha était intéressée par Beta, tout en étant sans scrupules dans sa soif d’acheter une cote part de nos actions pour influencer notre stratégie et consolider sa présence à l’intérieur de Beta, pourrait-elle utiliser la désinformation pour faire baisser la valeur des actions et en acquérir plus aisément ? Les activités de désinformations peuvent être menées à courte ou à longue durée. Probablement, si nous discutions avec les responsables de deux entreprises, la première anglo-saxonne et la seconde, asiatique, ils pourraient tous deux poser des interrogations sur la signification même de court et de long terme. Première option : si j’étais l’entreprise Alpha, je pourrai faire publier par plusieurs sources une fausse déclaration du PDG de l’entreprise Beta, comme cela a été le cas pour l’entreprises productrice de la boisson mentionnée auparavant. Cette initiative pourrait conduire à faire baisser la valeur de l’action de l’entreprise Beta. L’entreprise Alpha pourrait ainsi en profiter pour acheter une cote part, à un prix 5% inférieur, par des acquisitions indirectes et fragmentées dans le temps.

56

Seconde option : si j’étais toujours la même entreprise Alpha, je pourrais tout aussi bien faire publier des informations sur l’entreprise Beta sur le modèle de celles de l’entreprise pharmaceutique donnée en exemple. Dans ce cas, l’objectif final serait toujours l’acquisition des actions, mais à travers un processus de discréditation de l’entreprise-cible. On pourrait faire perdre confiance aux investisseurs en faisant paraître des fausses nouvelles sur les stratégies gagnantes de l’entreprise pour les démentir par la suite, faisant ainsi exploser la bulle spéculative. Il y a certes les contrôles des différentes commissions de surveillance, mais on peut parier qu’avec les précautions nécessaires et une bonne planification, les manières d’acquérir, même indirectement, les cotes désirées sans se faire démasquer existent, et ce d’autant plus si nous bénéficions d’aides gouvernementales en ce sens. Troisième option : cette même activité de désinformation pourrait être effectuée sur le long terme, en se basant sur de faux profils. Supposons que nous puissions avoir à disposition un nombre considérable de faux profils dans les réseaux sociaux et supposons que ceux-ci commencent à diffuser, chacun, des informations bien peu agréables pour l’entreprise Beta : dysfonctionnements, qualité médiocre des produits, manque de fiabilité des employés, scandales dans le management. Ces fausses informations, comme autant de petites gouttes d’eau, viendraient peu à peu se déverser dans une mer d’information, la polluant petit à petit. Ces informations sont difficiles à trier : il suffit de penser à l’analyse émotionnelle (sentiment analysis) qui pourrait résulter des fausses nouvelles, faisant s’écrouler la confiance et les ventes des produits. Les produits vendus sur les sites de commerce électronique doivent tous passer l’épreuve des «évaluations» des clients. Nous défions quiconque à ne pas remettre en question son achat du moment où il voit apparaître deux comptes rendus positifs et un négatif ou l’inverse. L’évaluation négative influencera nettement plus la Psiché par rapport à celles positives. Et si au lieu entreprise se trouvait, en fait, un Etat ? Un Etat qui, du point de vue logistique, pourrait être une tête de pont pour lancer des initiatives économiques ou pour le passage d’importantes infrastructures internationales. Jeter le discrédit sur la fiabilité du pays et de ses gouvernants pourrait se faire via des campagnes de désinformation sur les politiques fiscales, sur un tourisme de mauvaise qualité, sur tous les indicateurs qui pourraient mener à déstabiliser le pays lui-même ou à l’appauvrir, permettant un «pillage» des ressources ou des infrastructures visées. Le PIB chuterait à cause du manque à gagner enregistré par la


chute du tourisme ou de celle du capital investi, à l’intérieur, dans les activités de production. La baisse du PIB porte à une baisse des taxes encaissées, qui portent à leur tour à un manque de couverture pour assurer la manutention des infrastructures. Pour remédier à ce manque de couverture et maintenir en état les infrastructures, le pays devra en vendre une partie, voire la totalité, ou opter pour s’endetter plus encore. Bien sûr, ce ne sont que des hypothèses. Le marché financier est soumis aux informations qu’il reçoit, et qu’il tente de transformer en valeur ajoutée. N’oublions pas non plus les systèmes de High Frequency Trading (systèmes de transactions à haute fréquence sur les marchés, utilisant des algorithmes mathématiques). Certains de ces systèmes sont dotés de capacités d’analyses quantitatives du Big Data, mais aussi d’un news parsing system, qui supervise en temps réel les nouvelles et ajuste les valeurs à échanger, et ce aussi sur la base d’informations puisées à l’extérieur de celles purement ciblées sur l’analyse financière. La présence d’innombrables informations dont la fiabilité n’est pas vérifiée et dont la source n’est pas classée en fonction de sa crédibilité peut porter, dans le futur, à des distorsions des marchés boursiers de plus en

plus amples, de même qu’à des politiques d’expansion géoéconomiques qui se feront par l’utilisation de la désinformation. Les systèmes de High Frequency Trading seront de plus en plus puissants et confieront de plus en plus leurs analyses propres aux données extraites du Big Data. Si nous ajoutons que dans un futur proche, on assistera aussi à l’augmentation des possibilités offertes aux investisseurs individuels d’échanger avec des fréquences de plus en plus hautes, nul ne peut nier l’importance et le rôle vital que l’information jouera sur les marchés. Comment se protéger ? C’est la dernière question que nous nous poserons ici. Certainement, chacun d’entre nous devrait jouer un rôle dans la protection du système financier. Culpabiliser et poursuivre ceux qui publient des «fake news» est une activité certes louable, mais elle requiert des délais qui ne sont pas en symbiose avec la volatilité des marchés. Certainement il serait possible d’imposer des règles sur la sélection des sources, à l’intérieur des systèmes de transactions rapides, à travers une certification de fiabilité basée sur la crédibilité des informations publiées à terme. On éviterait ainsi le risque de sources

polluantes mais on ne résoudrait pas le problème des compte compromis comme ce fut le cas pour ceux de l’Associated Press. Du côté de l’entreprise, une règle fondamentale à se rappeler est celle de «communiquer en premier». C’est la règle de base pour gérer les crises, mais dans une société fortement perméable et inondée par l’information, elle doit devenir une activité quotidienne. Dans son essai «Deception – Disinformazione e propaganda nelle moderne società di massa», Giuseppe Galliano explique que «la vitesse est un élément essentiel, puisque ce qui compte, c’est la première affirmation : les démentis n’ont plus aucune efficacité». Il semble donc que le moment est venu pour que les entreprises commencent à se doter de structures capables de superviser les informations qu’elles publient et de surveiller les réseaux sociaux, d’y analyser les informations publiées et d’en vérifier l’impact potentiel sur l’entreprise, afin de pouvoir agir de façon proactive par le biais de communiqués de presse capables de définir clairement la position de l’entreprise. Surveiller les réseaux sociaux, cela ne veut pas dire seulement les réseaux classiques. L’analyse doit être menée à un niveau multidimensionnel, en vérifiant qu’il n’y ait pas des fils d’Ariane qui reconduisent au même bout d’écheveau, c’est à dire la source première d’une attaque de désinformation. Il ne faudrait pas poursuivre une nouvelle pour la marginaliser, la démentir ou la corriger. Une information mal gérée peut rapidement se transformer en une Hydre de Lerne. Une position claire et officielle de l’entreprise, bien structurée et largement diffusée peut effacer les doutes et réduire les incertitudes des actionnaires. Pour ce faire, il faut mettre en œuvre un système capillaire de communication qui soit capable de rejoindre toutes les couches de stakeholders. La communication doit être simple, linéaire et facile à comprendre, avec néanmoins des niveaux de détail stratifiés en fonction des stakeholders que l’on veut toucher : analystes financiers, grands actionnaires, associations de consommateurs et consommateurs eux-mêmes, institutions de surveillance et ainsi de suite. A l’ère de l’information, c’est bien l’information qui reste la meilleure des armes à disposition. C’est ainsi que le périmètre de la protection des informations, pour les entreprises, pourrait s’étendre et de façon importante. Il pourrait demander des efforts supplémentaires et des compétences toujours plus transversales avec des équipes rapides capables de livrer non seulement des réponses techniques, mais aussi de communication et aptes à assister les responsables de presse et de communication dans leurs opérations d’information pour vaincre la désinformation.

57


ds Trends - Cybersecurity Tren

Défis et mauvaise compréhension des menaces intérieures : toujours sous-estimées, sous-rapportées et ignorées

Auteur : Vassilios Manoussos

Les fuites de données dans les médias Fuites de données, cyber-attaques, cyber-interférences sponsorisées par des États mais aussi menace d’une cyberguerre sont autant de termes devenus une constante dans les médias pour le grand public. Les citoyens entendent

BIO Vassilios Manoussos est consultant en forensique digitale, propriétaire de Strathclyde Forensics et conseiller au sein du Security Circle de Glasgow. Il est également professeur associé à l’Université Napier d’Edinbourg et à la Cyber Academy. Il a une vaste expérience en investigations de forensique digitale, audit de rapports de police et conseil en cyber-sécurité. Il est un invité régulier des grandes conférences internationales, mais aussi des colloques britanniques et des universités. M. Manoussos peut être joint à l’adresse : vassilis@ForensicsExperts.co.uk

58

et lisent de plus en plus de nouvelles sur ce sujet, mais qu’apprennent-ils réellement? Les cas qui «font» les nouvelles sont toujours les grandes brèches, celles de la taille de Talk-Talk, SONY ou encore Yahoo. Ce sont les grands nombres qui attirent l’attention, ce à quoi l’on s’attendait s’agissant de reportages à large diffusion. Mais ces cas ne sont que l’extrême pointe de l’iceberg : ils sont trop énormes pour être cachés, souvent bien trop amples pour être gérés et contenus sur-le-champ. Ce sont les cas qui nous choquent purement et simplement par la hauteur des chiffres. Yahoo! a eu 1 milliard de comptes email compromis. Talk-Talk a perdu 157’000 données d’utilisateurs détaillées – bancaires et confidentielles –. La BUPA (une entreprise de l’industrie de la santé, le secteur devenu la plus grande source de vols de données au monde) a perdu 500’000 dossiers médicaux. La NHS, des universités, la Tesco Bank ou Three Mobile ne sont que quelques-uns de ces exemples Le problème, le vrai, est que les cas mentionnés sont des entreprises colossales qui opèrent dans des environnements et des secteurs sévèrement réglementés (i.e. les télécoms, la finance et la santé), là où même les lois, de même que les statuts et les normatives déjà en vigueur avant le GDPR exigeaient la publication immédiate de brèches et fuites de données ainsi que leur notification directe à toute personne affectée. Ces chiffres ne prennent pas en compte les cas de vols, fuites et autres hacks aux dimensions plus modestes. La vérité, c’est que les grandes compagnies seront toujours de grandes cibles, tandis que les petites entreprises pourraient ne pas l’être forcément. Mais ces dernières ont la tendance à perdre leurs propres données, parce qu’elles n’ont pas mis en place des processus basiques de sécurité et ne forment pas leurs équipes dans ce domaine. Les PME et les microentreprises ignorent même souvent où sont stockées leurs données, et, la plupart du temps, elles ne sont même pas au courant de leurs propres failles ou fuites jusqu’au moment où elles sont directement touchées, c’est à dire lorsque quelqu’un utilisera ces informations pour soustraire de l’argent à l’entreprise, via des modèles connus de hameçonnage ou d’ingénierie sociale. Trop souvent, les PME perdent leurs données à cause d’une tierce partie : un vendeur, un client ou même une agence gouvernementale. La nature des failles peut ainsi conduire à des pertes de données allant de minimes à extrêmement critiques. Dans leur forme la plus simple, une faille peut résulter du skimming des courriels contenus dans le carnet d’adresses de l’entreprise. J’ai personnellement un certain nombre de courriels professionnels, pour différents usages, car, habitué à communiquer avec mes clients, existants ou potentiels, j’ai eu la désagréable expérience de voir mon adresse recevoir un


nombre toujours plus élevé de pourriels, tout en sachant pertinemment que je n’avais jamais enregistré l’adresse en question sur le moindre site web, que mes firewalls et mon logiciel de sécurité étaient en place. De plus, parmi les quelques 30 autres adresses de courriel que j’avais configurées dans les domaines que je détiens, aucune autre ne recevait de pourriels, pas un seul. L’adresse qui s’est retrouvée inondée de ces faux messages a donc dû être repérée dans les ordinateurs de personnes qui n’avaient aucune sécurité installée ou qui en avaient une bien trop faible. Ainsi, mon adresse a fini par nourrir de nombreuses listes de spam, qui s’échangent au niveau global, au point que même mes filtres antipourriels ne faisaient plus face. J’ai donc déconnecté le compte de courriel en question et en ai ouvert un autre pour le remplacer. C’est exactement le type de fuite indirecte que les individus comme les entreprises pâtissent bien trop souvent. C’est bien sûr l’échelon le plus bas de tout le spectre des menaces et c’était devenu pour moi une source d’énervement bien plus qu’un risque réel. Mais, de la même manière, l’outil contaminé d’un contractant ou d’un consultant peut finir par faire fuir des informations bien plus sensibles, faisant, celles-ci, courir le risque de pertes financières directes.

depuis l’extérieur3. Cependant, un pourcentage significatif de 28% est attribué à des personnes de l’intérieur et à des pertes accidentelles : ces deux éléments représentent un double danger intérieur pour toute entreprise.

Ce que disent les chiffres Les statistiques sur les fuites de données varient selon les sources consultées, mais les tendances semblent être les mêmes. Le système de santé et les institutions publiques sont les deux plus grandes sources de fuites et sont les deux plus grandes cibles des attaques. Selon Gemalto et son site BreachLevelIndex1, en 2016 nous avons connu un nombre record de 1,378,509,261 fichiers2 compromis par 1,792 failles. La bonne nouvelle est qu’au moins 4.2% des données exfiltrées étaient cryptées, ce qui les a rendues pratiquement sans valeur pour leurs nouveaux «propriétaires». La mauvaise nouvelle est que seulement 4.2% des données exfiltrées étaient cryptées... et que dans 52.2% des cas de fuites le nombre exact de fichiers compromis est classé comme «inconnu».

Image 1. Les fuites de donnée selon leur origine (source : breachlevelindex.com) Si nous en venons aux grandes organisations, le risque provient le plus souvent de l’extérieur de leur périmètre de sécurité. Comme nous pouvons l’observer dans la première image, un peu plus des deux tiers des fuites ont été orchestrées

Image 2. Les fuites de donnée selon type (source : breachlevelindex.com) La majorité des fuites de données sont celles liées au vol d’identité, le risque le plus sévère qu’encourent les organisations et leurs clients. Sans surprise, on observe les fichiers des organismes et entreprises du secteur de la santé figurer en tête de liste parmi les cibles des criminels.

La menace de l’intérieur Avec une estimation de 28% des fuites et failles provenant de l’intérieur du périmètre des organisations touchées, il n’est pas incongru d’insister que les entreprises et leurs CISOs devraient commencer leur stratégie de défense en réduisant ce segment de la menace. Selon Info Security Magazine, on estime que 63% des entreprises ont été touchées par une fuite de données de «la vieille école» : l’imprimante. Entre 10 et 18% des fuites de l’intérieur sont le résultat de documents imprimés quittant l’entreprise dans les mains d’un employé ou d’un collaborateur. Et ce risque comprend même des documents qui ont été soumis de façon obligatoire aux institutions compétentes (autorité fiscales, administration locale, institutions en charge de l’environnement) et qui n’ont pas été, comme l’exige la loi, dûment broyés et détruits après avoir été traités. Ce pourcentage est d’autant plus inquiétant qu’il faut tenir compte qu’il concerne des environnements corporatistes où les imprimantes en ligne nécessitent d’introduire des autorisations d’utilisateur pour pouvoir imprimer, ce qui permet de retracer toute leur activité. Dans de plus petits environnements d’affaires, où une imprimante partagée ne demande aucun mot de passe pour

59


ds Trends - Cybersecurity Tren qu’un utilisateur puisse l’utiliser et en tirer une page imprimée, la seule solution est d’enquêter sur une possible «fuite par impression» est d’effectuer une investigation forensique digitale systématique, qui est souvent disruptive et onéreuse. Ce qui place les PME en première ligne sur le front de la «fuite par impression».

Est-ce que la taille compte ? Même si la réponse à cette question est souvent affirmative, s’il s’agit de sécurité des données notre réponse est assurément «NON !». Aucune importance qu’une structure soit grande ou petite : ses atouts sont inestimables pour tous ses stakeholders. La majorité des petites entreprises, de même que les entreprises familiales, ne possèdent pas de sécurité systémique mise en place pour protéger leurs atouts numériques. Elles sont convaincues qu’une fuite de données ne leur arrivera pas, simplement parce qu’elles ne constituent pas une cible financière ou industrielle suffisamment alléchante, selon elles. En réalité, c’est tout le contraire : ce sont bien les petites entreprises qui souffrent de plus en plus, chaque jour, de la criminalité informatique, aidée par des fuites internes ou par des employés déloyaux. En juin 2013, le «leak» des documents de la NSA par Edward Snowden a fait les titres de tous les médias. Mais Snowden a simplement contourné des protocoles de sécurité dépassés et a utilisé son accès hautement privilégié pour copier des documents gouvernementaux confidentiels sur un disque dur de type « flash drive». Pire, lorsqu’il était à Honolulu, donc à plusieurs fuseaux horaires de différence des «fermes de serveurs» de la NSA à Fort Meade, il est parvenu à perforer la sécurité américaine en suivant quelques étapes très simples. A travers cet exemple, la question à se poser, pour les petites entreprises, n’en est que plus facile : si la NSA peut être piratée par un simple employé, que pensez-vous qu’il puisse vous arriver ?

La réelle menace... L’expérience prouve que dans le cas des petites entreprises qui ne sont pas les cibles d’une cyber-attaque complète à large échelle, la menace provient soit d’un collaborateur, soit d’un externe qui a su utiliser à son profit les techniques d’ingénierie sociale. La majorité des affaires que nous avons traité récemment avaient à faire avec des personnes étant tombées dans la trappe du paiement de factures après avoir renvoyé à des criminels les «nouvelles coordonnées bancaires» demandées surtout via des pourriels. Ce type de menace peut reconduire à des éléments aussi bien intérieurs qu’extérieurs en même temps. La menace intérieure est évidente : il s’agit d’un employé qui désire gagner rapidement de l’argent ou encore un

60

collaborateur déloyal ou encore très mécontent. Il y a aussi une menace intérieure au moins pour moitié : les responsables IT. La plupart des entreprises, lorsqu’elles sont en croissance et ont besoin d’installer un réseau, optent pour la solution de confier à un fournisseur de services IT le soin de gérer leur infrastructure. C’est dans les règles, et dans cette gamme de fournisseurs il existe une multitude d’entreprises dont la réputation et la confiance sont parfaitement légitimes. Néanmoins, la situation peut se gâter à l’intérieur de ce partenaire tiers, ce qui va affecter directement les clients. Dans une investigation récente qui nous a été confiée, une compagnie de maintenance TIC de Glasgow a vu quelques employés donner leur démission, mais personne n’a pris la peine de changer les accès et les mots de passe que ceux-ci possédaient dans les serveurs mêmes des entreprises clientes, afin de prévenir une possible intrusion de la part de ces anciens collaborateurs. Même si aucune mauvaise intention n’a été rapportée, il s’agit d’un sévère manque de professionnalisme et un manque flagrant de bonne conduite de la part de l’entreprise de services.

C’était un accident... Les accidents arrivent, mais il est vital d’être préparés à y faire face. Le plus grand problème de l’usage des TIC est que tout un chacun est autorisé à y avoir recours. Il serait légitime d’attendre qu’un professionnel (par exemple un docteur ou un avocat) sache ce qu’il fait. Juste ? Et bien… non. La majorité des professionnels du monde juridique, par exemple, n’ont aucune formation dans l’usage des ordinateurs, du cloud, ni même sur les méthodes à adopter pour sécuriser leur PC. Ils ont pu bénéficier d’une formation de niche sur un logiciel spécifique – comme la gestion des cas – et d’une expérience pratique dans l’écriture des documents en Microsoft Word puis de leur envoi par courriel, simple ou crypté. Mais en aucun cas cela veut dire qu’ils aient la moindre idée de comment fonctionne un ordinateur, des documents Word ou des courriels. On est là à la source du problème. Vous n’aurez jamais quelqu’un sans formation adéquate pour vous opérer, mais vous faites confiance à un professionnel sans aucun entraînement pour gérer vos données personnelles et sensibles, de même que celles de votre famille et de votre entreprise. Le 16 mars 2016, l’ICO (Information Commissionaire’s Office du Royaume-Uni) a puni un avocat avec une amende de 1,000£4 pour la fuite de documents sensibles. L’avocat travaillait alors depuis son domicile sur les documents sensibles d’un client. Elle a utilisé un ordinateur à l’accès partagé (accessible aussi par son mari) et a omis de crypter les documents comme l’exigent les normatives en vigueur. Il n’y a eu aucune preuve que le mari ait lu ces documents, ni qu’il y ait accédé. Néanmoins, un jour, celui-ci a décidé d’effectuer une mise à jour de tous les logiciels du PC. Il a pensé qu’il serait prudent de sauvegarder tous les documents de son épouse dans le cloud, sur une plateforme qui malheureusement est connue pour permettre l’indexation de ses contenus par les moteurs de recherche, et qui de plus est accessible sans mot de passe. Sur les 725 documents qui y ont été sauvegardés, seuls 15 ont été indexés, mais 6 d’entre eux contenaient des informations hautement sensibles appartenant à la Cour de Protection des Individus et à la Cour des Familles. Aussi, la fuite de seulement six documents a porté atteinte directement ou indirectement à environ 200 à 250 personnes, y inclus des enfants et des adultes vulnérables. Cette fuite était certes une erreur, et personne n’a insinué qu’elle ait été provoquée avec une quelconque intention, d’où le très petit montant de l’amende. Néanmoins, l’avocat aurait dû être mieux au courant des risques digitaux, car il y a déjà, depuis des années, des lignes-guide mise en place aussi bien par le Barreau que par les Cours, et elle les a ignorées.


Le GDPR arrive... La nouvelle réglementation générale de protection des données de l’UE (GDPR) va être appliquée dès le mois de mai, donc il ne reste que quelques mois avant son entrée en vigueur. Les recherches de fin 2016 (en particulier celles menées par la Freedom of Information Request) ont démontré qu’un nombre significatif d’entreprises et d’institutions gouvernementales n’arriveront jamais à remplir à temps les obligations nécessaires. Selon la prestigieuse the Law Society (Angleterre) seules 54% des entreprises sont convaincues de parvenir à mettre en œuvre les mesures obligatoires dans les délais, ce qui veut dire que presque la moitié des entreprises ne seront pas prêtes. Pire, près de 24% des entreprises, fin 2016, n’avaient même pas commencé à planifier les mesures nécessaires. La situation est encore bien plus préoccupante si l’on se penche sur les administrations locales Voici ce que nous livre l’ICO5: Les résultats6 sur l’état de préparation des autorités locales est préoccupant, et ce encore plus pour la raison qu’elles gèrent une quantité impressionnante de données personnelles sur tout un chacun qui habite, travaille ou possède une propriété ou une entreprise dans le périmètre géographique qui tombe sous leur juridiction. Le GDPR sera une étape unique pour la confidentialité et Image 3. Les résultats de la recherche de l’ICO la sécurité des données sur les administrations locales et le GDPR entrepreneuriales, avec sa (source : iconewsblog.org.uk) nouvelle caractéristique majeure, celle de la “privacy by design”. Les entreprises doivent réellement prendre conscience qu’elles sont obligées de s’assurer d’avoir fait tout ce qu’il est proportionnellement possible, en fonction de leur taille et de leurs possibilités économiques, pour assurer l’intégrité des données personnelles qu’elles possèdent, l’honnêteté de leur usage et de leur disponibilité lorsque celle-ci est requise. En un mot, les entreprises doivent apprendre à faire acte de diligence, et c’est obligatoire. La nouvelle législation a prévu de très lourdes amendes et les experts du domaine industriels spéculent sur le fait que les premières grandes entreprises qui manqueront à leur devoir de conformité pourraient être données en exemple en étant amendées aux maxima prévus. Cependant, si elles ont fait preuve de la diligence requise, qu’elles ont des processus en place, des audits réguliers et une cyber-assurance, tous ces éléments viendront réduire la proportion de leur responsabilité si elles sont reconnues coupables d›avoir fauté en la matière.

Épilogue Les entreprises doivent comprendre que leurs atouts digitaux et les données sensibles qu’elles possèdent ne sont pas importants que lors des opérations commerciales. Ils sont importants pour tous les stakeholders et ceux qui leur sont

associés, et aussi à tous ceux qui pourraient être lésés dans le cas de la fuite et de la publication de la fuite de n’importe laquelle de ces données sensibles. Les entreprises doivent se débarrasser de la mentalité qui leur fait dire “cela ne m’arrivera pas, à moi” ou “nous sommes une trop petite entreprise pour qu’un pirate s’ennuie à s’occuper de nous”. Les pertes et vols de données examinés à ce jour ont frappé des plus grandes aux plus petites des entités, des propriétaires individuels et des travailleurs indépendants aux grandes ONG et aux multinationales. Les entreprises doivent commencer à planifier en même temps leur cyber-sécurité et leur conformité avec le GDPR, car ce ne sont pas deux tâches isolées : elles sont directement reliées, et si elles sont menées à bien et en contemporanéité, le résultat final n’en sera que plus efficace, plus fonctionnel et donnera une plus-value à l’entreprise Nous énumérerons ici quelques-unes des problématiques qui devraient être au cœur de l’attention des entreprises et des organisations de toutes tailles et de tous secteurs : Investissements constants dans des logiciels de base de cyber-sécurité (anti-malware et firewalls); Investissements constants (là où cela s’impose) dans la prévention de pertes de données et dans les logiciels de détection des pertes de données; Investissements constants dans les formations des équipes à la sécurité de base des données, à ses principes et à ses processus; Mise en œuvre de processus de sécurité des données et de confidentialité by design; Mener des audits réguliers des règlements internes régissant la conformité des TIC, des logiciels et des composantes hardware; Préparation à être en conformité avec tous les points du GDPR; Préparation d’un plan de réponse aux incidents; Préparation d’un plan de Disaster Recovery; Entraînements réguliers et simulations d’attaques pour l’équipe chargée de la réponse; Design d’un plan de contrôle des dommages (avec un avocat et un communicateur); Contracter une entreprise ou un professionnel de forensique digitale qui soit à disposition et commence son investigation à l’instant même où un incident, même mineur, est découvert. Prévenir est toujours bien meilleur marché que de nettoyer la casse après un désastre.

1 http://breachlevelindex.com 2 http://breachlevelindex.com/assets/Breach-Level-Index-Report-2016-Gemalto.pdf 3 http://breachlevelindex.com/assets/Breach-Level-Index-Infographic-2016-Gemalto-1500.jpg 4 https://ico.org.uk/media/action-weve-taken/mpns/2013678/mpn-data-breachbarrister-20170316.pdf 5 https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/03/ico-surveyshows-many-councils-have-work-to-do-to-prepare-for-new-data-protection-law/ 6 https://iconewsblog.org.uk/2017/03/20/information-governance-survey/

61


ds Bibliographie - Cybersecurity Tren

Ferri Abolhassan (ed.), Cyber Security. Simply. Make it Happen. Leveraging Digitization Through IT Security, Cham 2017 (Springer), 136 pp. Ce volume, publié et promu par Telekom Deutschland, constitue sans aucun doute l’un des meilleurs vademecum pour décideurs que nous ayons pu lire à ce jour. En moins de 140 pages, ses auteurs parviennent à guider le lecteur à travers tous les grands sujets de bases de la cyber-sécurité. Ils offrent ainsi, à l’usage de tout décideur ou de tout membre non-technique d’un conseil d’administration, un outil fondamental non seulement pour comprendre la situation actuelle, mais aussi pour réfléchir sur ses propres responsabilités ainsi que celles de la structure qu’il dirige. Cela lui permet ainsi à renforcer sa propre résilience personnelle et à prendre les bonnes décisions pour augmenter le degré de sécurité de l’entier écosystème dont il est à la tête. Le texte, rédigé dans un style clair et agréable, suit un fil d’Ariane bien défini, où chaque argument n’est pas seulement mis en regard avec ceux qui précèdent : il est aussi parfaitement illustré avec des exemples réels, compréhensibles pour tout un chacun. Un argument de poids, répété comme un leitmotiv à de nombreuses reprises, viendra certes conquérir la bienveillance des décideurs : une bonne sécurité n’est ni nécessairement coûteuse, ni, encore moins, un frein à la qualité et à la rapidité des prestations et du rendement de la structure. Il suffit de jeter un œil sur l’index du volume pour se rendre compte qu’il a été conçu de façon exemplaire exactement pour tous ceux qui n’ont que peu de temps : tous les arguments qui «parlent» à un manager sont condensés et résumés dans les 26 premières pages. Il s’agit principalement des aspects de sécurité liés à la transition au cloud, à la protection des données et aux lois et normatives européennes en vigueur. Ces sujets et bien d’autres encore sont ensuite détaillés, avec une insistance particulière sur deux aspects : la confiance nécessaire qu’il faut avoir en tout produit acheté et encore plus en tout prestataire externe (ainsi que les clés nécessaires pour évaluer si ces derniers méritent ou non cette confiance) ainsi que le désormais «sempiternel» besoin de renforcer au plus vite la capacité de résilience du facteur humain, en mettant en place des cursus modulables, offerts à tous les employés et déclinés en fonction de leurs besoins, ce qui va des présentations de prévention de base à des cours de formation avancée. A ce propos, nous avons trouvé très pertinent le chapitre qui explique comment réussir à motiver les employés à suivre de telles formations et comment rendre celles-ci réellement agréables (du gaming au team-building aux jeux de rôle dans les simulations

62

de crise), sans oublier bien sûr l’expertise minimale que tout décideur devrait aujourd’hui posséder. Viennent ensuite les explications synthétisées avec brio pour faire comprendre en peu de mots quels sont les grands enjeux d’aujourd’hui : qu’est-ce que le traité Safe Harbour, quelles sont les lois et les règlements en vigueur en Europe et quelles en sont les conséquences. Le dernier quart du livre insiste, dans un style parfaitement «business oriented» sur les critères nécessaires pour comprendre, dans le vaste périmètre que couvre aujourd’hui la cyber-sécurité, ce qu’une structure peut confier à des tiers (outsourcing), à quel moment une telle décision est avantageuse et quels sont les conditions de confiance à remplir. A l’opposé, la liste de tout ce que l’on ne devrait jamais externaliser est exemplaire. Dans sa partie conclusive, le volume explique quelles sont les potentielles faiblesses de tout écosystème professionnel et les plus communes des portes à entrouvertes permettant à des criminels de s’infiltrer dans une entreprise, une partie vitale pour mieux comprendre le sujet précédent. Outsourcing, plug and play security, pourquoi pas, mais à la condition sine qua non (et non pour éluder cette nécessité!) d’avoir un CSO et une équipe de sécurité bien rodés à l’intérieur de l’entreprise. Les dernières pages viennent dévoiler les tendances observées dans le domaine des menaces en ligne et dans la capacité technique grandissante des pirates. Ce bréviaire sur ce qui nous attend permet ainsi de rappeler qu’il n’est absolument pas difficile ni de comprendre les bases de la cyber-sécurité, ni de la mettre de façon efficace sans porter atteinte ni budget ni au bon fonctionnement de l’entreprise. Pour cela, il suffit que la mise en œuvre soit progressive, constante et concerne le champ technique aussi bien que le domaine humain. Magistralement, les dernières pages viennent à démontrer les coûts en matière d’image et de finances, de quelques incidents récents ayant frappé de plein fouet des entreprises, des coûts auxquels il faudra désormais ajouter, dans toute l’Europe, amendes salées et longs procès si les attaques ont causé des fuites et que les autorités ont révélé une absence de compliance…

Internet Infrastructure Security Guidelines for Africa. A joint initiative of the Internet Society and the Commission of the African Union, 30 May 2017, 30 pp. https://www.internetsociety. org/sites/default/files/ AfricanInternetInfrastructureSecurityGuidelines_May2017.pdf Ces lignes guide et, en particulier, la façon dont elles ont été pensées, constituent de notre point de vue un chef-d’œuvre qui devrait être adopté globalement – et surtout en Europe – si l’on


désire réellement parvenir à créer les bases d’un corpus de bonnes pratiques destinées à renforcer l’écosystème numérique d’un Etat. Contrairement à de nombreux documents équivalents, doctrines, stratégies et autres directives récemment publiées dans les pays les plus développés, l’Union Africaine (UA) indique certes les bonnes pratiques existantes (NIST, ENISA, OECD), mais commence son opuscule par une prise de position radicalement différente, en parfaite harmonie avec la réalité digitale d’aujourd’hui: «it is difficult to clearly differentiate between Internet infrastructure security, and network security and traditional information assurance practices». Sur ce point, le deuxième chapitre, et en particulier le point 3, dédié aux décideurs responsables de l’élaboration des stratégies, publiques comme privées, de cyber-sécurité, est limpide. Diamétralement opposé à l’une des doxas des textes occidentaux, qui insistent encore bien trop lourdement sur les capacités technologiques – et aux investissements nécessaires pour les acquérir – permettant de résoudre une partie significative de la problématique, l’ordre des priorités de l’UA confère à l’humain le rôle central dans la lutte contre l’insécurité. C’est ainsi que les quatre principes sur lesquels le volume vient à s’articuler ne sont autres que prévention, prise de responsabilité, coopération et, enfin, droits et propriétés fondamentaux à protéger dans le monde digital. La prévention, qui inclut de façon exhaustive l’éducation, les formations continues, les évaluations régulières, est le point de départ du volume. C’est certainement le plus grand pas à faire vers un futur plus sûr, si on le compare à la cohorte de documents officiels qui ne mentionnent la prévention que dans leurs dernières pages, comme une mesure presque collatérale à prendre, dernière citée dans l’ordre d’urgence des processus de défense à mettre en action. La prise de responsabilité est considérée comme une obligation pour tout CISO/CSO, de tous les domaines (public comme privé). Il s’agit de prendre en compte «the potential impacts of one’s actions or inactions on other stakeholders before taking action», tandis que la coopération montre du doigt l’un des principaux éléments de fragilité des États modernes, y compris les plus avancés d’entre eux: la propension plus que minime à accepter de travailler en groupe et à assumer une «collective responsibility among all stakeholders, not just the government and a selected number of stakeholders». L’explication du principe des droits et propriétés fondamentaux à protéger dans le monde digital est, elle aussi, très explicite : «voluntary collaboration, open standards, reusable technological building blocks, integrity, permission-free innovation, and global reach». Comme nous pouvons l’observer, avec le choix de mener le débat sur l’infrastructure dans un second temps, la Commission de l’UA offre à tous ses membres, et ce indifféremment de leur niveau de richesse, la possibilité d’améliorer rapidement leur résilience en s’investissant dans la préparation du facteur humain et dans la collaboration. Il ne reste qu’à souhaiter que ce texte fondateur puisse donner rapidement naissance à des stratégies nationales élaborées dans le

même esprit, tout en espérant qu’il soit massivement lu en Europe, par les décideurs publics tout comme les responsables privés, puisqu’en seulement trente pages il parvient à encadrer parfaitement l’ensemble des risques existants et surtout à apporter des solutions réelles, faciles et rapides à mettre en œuvre, exactement sur le point que tous les spécialistes s’évertuent à appeler «l’anneau le plus faible de tout le système» – c’est-à-dire l’humain, sans véritablement obtenir de réactions concrètes et à la hauteur du problème de la part des administrations gouvernementales.

Thomas J. Holt, Olga Smirnova, YiTing Chua, Data Thieves in Action. Examining the International Market for Stolen Personal Information, New York 2016 (Palgrave Macmillan), 164 pp. Cette recherche scientifique, munie de nombre de références bibliographiques, offre l’avantage d’offrir au lecteur averti l’une des toutes premières études approfondies et exhaustives dédiée à ceux d’entre nous qui désirent savoir où terminent les données dérobées et pourquoi – surtout celles à caractère économique ou médical – sont-elles devenues si attractives pour la criminalité. Il propose même une gamme précise des «prix» sur le marché, s’appuyant sur des données réelles puisées dans le deep/dark web sur la valeur exacte de différents types de données en fonction des victimes et des pays. L’analyse sur la «liste des prix» de tous les types possibles de données (de la simple carte crédit, en fonction du pays et de la banque émettrice, au fullx qui inclut le code NIP, jusqu’aux exploits complexes touchant les systèmes de transferts de fonds). On réalise d’emblée l’incroyable rentabilité et les recettes des criminels ayant opté pour ce secteur. Par la suite, sont analysés les coûts économiques et les risques que chaque acteur doit affronter. Amendes et opprobre pour l’entreprise victime d’une perte de données tandis que, de l’autre côté, les revendeurs de ces mêmes données opèrent dans un marché quasiment dépourvu de risques et gagnent jusqu’à plusieurs milliers de dollars par opérations. En revanche, ce sont, dans ce camp, les acquéreurs de données volées qui jouent gros: ils peuvent en retirer des millions ou devenir, à leur tour, les victimes d’une tromperie. L’avantage de ce volume réside dans sa capacité à nous faire comprendre que cette activité, même si hautement illégale et complexe, dépend d’un système de business archi-classique où les facteurs déterminants sont la confiance entre le vendeur et le client, les variations fréquentes des prix et donc des possibles

63


Trends Bibliographie - Cybersecurity bénéfices en fonction des langues, des États, de la macroéconomie et de bien d’autres paramètres encore. Poussant plus loin la recherche, les auteurs expliquent l’organisation sociale très complexe de l’écosystème du marché illégal des données. En résumé, ce volume s’impose comme référence. Même sans réussir l’impossible, c’est-à-dire fournir une estimation crédible des pertes annuelles, pour l’économie réelle, générées directement par le vol de données, il permet une immersion totale dans ce secteur de la criminalité, nous faisant comprendre son fonctionnement, ses modèles d’interaction et la nature des rapports entre les différents acteurs qui l’animent.

George Lucas, Ethics and Cyber Warfare : The Quest for Responsible Security in the Age of Digital Warfare, Oxford 2016 Une année après la publication, en tant qu’éditeur-rédacteur, du fondamental Routledge Handbook of Military Ethics (2015), George Lucas revient sur les devants de la scène, nous offrant un panorama complet du rapport entre éthique et réalité dans le monde digital. Le texte est rédigé d’une telle façon qu’il donne soif au lecteur de ne pas s’interrompre dans ses découvertes. L’auteur sait en effet combiner avec brio un style à peu dire hors normes et des affirmations-choc doublées de nombreux commentaires au cynisme bienvenu. Le concept de base de Lucas est celui selon lequel, exactement comme les armées doivent désormais combattre presque exclusivement des ennemis non conventionnels et donc choisir des règles de guerre adaptées – ou parfois même renoncer à toute règle –, le domaine du «cyber» est un autre champ d’action où États et agences de renseignements mais aussi individus doivent tous revoir leurs propres convictions morales. Après avoir tracé un cadre des menaces principales dont les meilleurs utilisateurs de cyber warfare savent faire usage, le texte nous incite à apprendre à distinguer les activités purement criminelles de celles liés au warfare et pose sans ironie la question de savoir s’il existe encore un rôle à jouer, dans ce monde-là, pour l’éthique et pour la loi, surtout dans le cadre d’un cyber-conflit déclaré. Nous découvrons ensuite quelles sont les diverses formes d’éthique qui régissent la pensée anglo-saxonne, et qui s’affrontent entre elles : la «Folk Morality», les cadres législatifs et normatifs et, enfin, la théorie du «Just war». Cette description nous est utile pour situer le débat et revenir à la base fondatrice de toute éthique, quelle qu’elle soit, à savoir

64

une morale qui soit commune à tous. Avec un cynisme voulu, il fait un clin d’œil à la philosophie grecque dans le chapitre «If Aristotle Waged Cyberwar: How Norms Emerge from Practice», pour rappeler que sans un concept, même minime, de morale commune régissant déjà nos comportements quotidiens, il est impossible de parvenir à un consensus sur l’éthique. Par la suite, il insiste sur la forma mentis erronée que beaucoup ont adopté aujourd’hui, celle de considérer sur un même plan aussi bien les lois que les normatives. Il pointe du doigt, en particulier, le monde des affaires, où règne une confusion énorme en fonction des secteurs d’activité et où, trop souvent, les règlements sont considérés, à tort, comme des lois. Lucas insiste sur le fait que tout au long de l’histoire humaine, il y a eu des motivations bien précise, en termes de gouvernance publique, pour choisir d’insérer telle ou telle obligation dans le texte d’une loi, d’un règlement ou encore d’une directive. Le dernier tiers du volume nous immerge dans le dilemme moral causé par le désir d’anonymat qui est à l’opposé de celui de vie privée. Les problématiques liées à chacun de ces concepts sont ainsi faites, dans le domaine de la cyber-sécurité, qu’anonymat et vie privée sont devenus de véritables antagonistes, contrairement à une croyance diffuse des opinions publiques. A la fin du volume, écrite de façon volontairement polémique dans le but de susciter réactions et débats, l’auteur nous incite à une réflexion sur l’éthique, une quête que chacun de nous devra faire. Il analyse la morale et l’éthique aussi bien des «whistleblowers» que de la NSA et d’autres agences de renseignement. Lucas nous explique que si nous voulions donner de la conséquence à nos raisonnements, nous devrions considérer les deux catégories comme immorales, même si chacune se situe dans sa propre recherche d’une «moralité», ce qu’il souligne par une affirmation sans appel : «And so—like all those who wage war, use deadly force against other human beings, lie, cheat, and steal—Mr. Snowden must be called to account for his actions». Ce livre est tout simplement un «must» pour toute personne intéressée à comprendre les besoins vitaux pour mettre au point au moins une dose ad minimam de morale et d’éthique dans le domaine digital. Comme il le souligne, cette réflexion est d’autant plus vitale pour nous autres, les Européens. Nous voulons continuer à être les custodes de la démocratie ? Alors il nous faut savoir qu’un système qui implique des droits et des devoirs aussi bien pour l’État que pour ses citoyens puise sa naissance – et ne peut fonctionner – que sur une base morale et éthique solidement établie et connue de tous. L’auteur termine en nous offrant un décalogue des points-clé qui permettent de réussir à conclure par l’affirmative à cette question, tout en soulignant que ni les «policy makers», ni personne d’entre nous autres citoyens n’aura à perdre si un nouveau cadre éthique devait voir le jour. Au contraire, celuici pourrait bien devenir une véritable arme supplémentaire dans notre quête de défense dans le cadre global de la cyber-guerre et du cyber-warfare.


65


Trends Bibliographie - Cybersecurity A. Nagurney, S. Shukla, Multifirm models of cybersecurity investment competition vs. cooperation and network vulnerability, in European Journal of Operational Research 260 (2017) 588–600 L’analyse mathématique et détaillée proposée par les auteurs vient à point nommé pour nous offrir la première démonstration réelle et non contestable que l’échange d’informations sur les vulnérabilités, même entre compétiteurs, est bien l’arme la plus efficace dans la croissance de la résilience, permettant même d’économiser des sommes importantes, souvent dépensées de façon erronées – ce qu’il faut comprendre comme le désir de se munir d’un «security competitive advantage» – et qui pourraient être mises au service de buts bien plus utiles. Même en faisant abstraction des algorithmes et autres diagrammes destinés aux spécialistes de niche, l’article brille par ses résumés graphiques, qui parlent d’eux-mêmes. Ceuxci démontrent, sans équivoque possible, à travers la simulation de situation réelles subies par des entreprises réelles, que les vulnérabilités digitales sont nettement réduites si les entreprises décident d’adopter un système de type «Nash Bargaining» (NB) – à savoir l’échange régulier des informations qui ne portent atteinte ni à leur propre sécurité, ni à l’avantage qu’elles ont éventuellement acquis si elles avaient adopté auparavant le système dit «Nash Equilibrium» (NE) – où les échanges d’informations sont nuls ou très réduits. Une troisième voie est elle aussi examinée, celle du «system-optimization» (S-O), où toutes les cyber-capacités «idéales» d’une entreprise sont poussées à leur maximum, ce qui entraîne un usage massif de ressources. Dans ce scénario, et c’est le point-clé de l’article, les résultats sont bien inférieurs que ceux qui sont obtenus par l’adoption d’un système d’échange d’informations, équitable pour tous ses protagonistes (idéalement via un partenariat publicprivé).

A la fin du texte, nous observons les économies réalisées grâce à l’adoption d’une formule coopérative. Si elles ne semblent pas énormes à première vue, une fois associées à une résilience grandement augmentée, elles constituent un point de plus en faveur de l’axiome selon lequel non seulement le scénario collaboratif fonctionne, mais qu’il produit même des bénéfices

66

financiers : «An increase as high as 1.24 million in expected utility was observed for Target and 1.25 million for Home Depot if NB was employed instead of NE (…) Increases as high as 2.61 million for JPMC, 2.24 million for Citibank, and 4.25 million for HSBC in expected utility were observed if NB was adopted in place of NE». Il n’y a donc pas de doute que ce texte, à condition d’être connu et diffusé, puisse devenir l’un des arguments les plus solides en faveur de tous les promoteurs de la «vulnerability disclosure» en Europe.

Syed Taha Ali, Patrick McCorry, Peter Hyun-Jeen Lee, Feng Hao, ZombieCoin 2.0: managing next-generation botnets using Bitcoin, in International Journal of Information Security (2017), pp. 1-12 Adeptes des monnaies virtuelles ? Attention ! Mi-2017, les chercheurs ont découvert une menace de dernière génération, certes encore rare mais qui pourrait devenir une véritable pandémie dans un futur proche. En 2016, un laboratoire avait déjà révélé que même les logiciels antivirus, au moment de leur mise à jour, pouvaient à leur tour devenir des vecteurs… de virus. Ici, la recherche démontre qu’il existe un phénomène naissant – anticipé par les analystes les plus attentifs – : celui de l’utilisation de «zombiecoins». L’article démontre comment fonctionne un botnet doté d’un mécanisme de command-and-control se s’il est injecté dans le réseau Bitcoin. Ces mêmes chercheurs sont parvenus à injecter des «ZombieCoin bots» et à les diffuser sur le réseau Bitcoin. Le problème majeur que l’article vient à souligner est celui de la confiance totale que les utilisateurs ont à l’égard du système Bitcoin, un élémentclé qui rend le système tout entier extrêmement attrayant pour les criminels, bien qu’il reste très difficile à attaquer. Le mérite de cette recherche, assurément, est de sonner à temps l’alarme concernant une menace encore latente bien que déjà détectée, et qui pourrait devenir un enjeu sécuritaire majeur. En effet, une telle infiltration s’est révélée être très polyvalente, et les exemples de vulnérabilités découverts dans le modus operandi des Bitcoins pourraient être utilisés contre d’autres systèmes similaires. C’est d’ailleurs pour cela que les principales autorités gouvernementales se sont déjà mises à observer ce phénomène de très près : «Interpol researchers at the Black- Hat Asia conference recently demonstrated a malware which downloads specific coded strings from the Bitcoin blockchain (where they are stored as transaction outputs) and stitches them together into one command and executes it».

Les compte rendus sont rédigés par Laurent Chrzanovski et n’expriment pas nécessairement le point de vue de la revue et de ses éditeurs.


Trends

Perle de culture Aujourd’hui, nous aurions tous pu communiquer en pied bot. Pour cela, il aurait simplement fallu que ce soit un consortium d’industriels indiens et soviétiques qui adopte pour un usage commercial l’étalement de spectre par saut de fréquence, breveté en 1941 sous le nom de Secret Communication System et conçu pour équiper les torpilles de la marine.

Auteur : Laurent Chrzanovski

La statue géante de Tamerlan érigée dans sa ville natale de Shakriziabz (Ouzbékistan)

Le baptème d’Harald Gormsson par le moine Poppus, plaque en or de l’église de Tamdrup, env. 1100

Logiquement, dans la recherche d’un nom simple lié à un grand personnage historique fédérateur, ce consortium aurait opté pour Tamerlan, le conquérant qui nous a légué, entre autres, Samarcande, Boukhara, Khiva, mais aussi, par sa progéniture qui a conquis une partie de l’Inde, le Taj Mahal. Son nom, Timur-i-lang, signifie Timour le boiteux ou Timourau pied bot, conséquence d’une lourde chute de cheval dans sa jeunesse. Mais le destin en a décidé autrement. En 1998, à la recherche d’un moyen de connecter différents équipements entre eux et sans fil, ce fut un consortium scandinave fondé par Ericsson et Nokia qui a créé un SpecialInterest Group (SIG) dans ce but, rejoint parles géants américains IBM et Intel ainsi que le japonais Toshiba. Dans une séance technique, après avoir finalisé les détails opérationnels et avant la mise sur le marché de cette technologie, se déroula une longue conversation portant sur le nom public à donner à cette forme de connexion. Ce fut alors qu’un ingénieur d’Intel, Jim Kardach, passionné d’histoire, a suggéré d’utiliser dent bleue (Blåtand). Ce surnom, posthume1, est celui d’Harald Gormsson, le premier roi Viking converti au Christianisme ayant réussi à fédérer, par cette nouvelle religion2, les tribus du Danemark, exactement comme la nouvelle connectivité permettra de fédérer les différents outils informatiques déjà dotés d’émetteurs-récepteurs wifi. Ce ne fut qu’une proposition au sein du SIG, en attendant que les équipes de marketing trouvent quelque chose de plus séduisant. Au contraire, celles-ci se sont intéressées à Harald, et sont parvenues à créer rapidement un logo. Pour cela, elles ont fusionné, dans un ovale bleu rappelant la couleur de la dent, les initiales runiques H (de Harald) et B (de Blåtand).

Avec aujourd’hui plus de 2.5 milliards d’objets TIC équipés de cette fonction, Bluetooth est promis à un brillant avenir3. Mais est-ce pour autant sûr d’utiliser cette technologie ? Comme pour tout outil très populaire, la réponse est oui, mais avec la plus grande attention. Créé pour une utilisation libre, Bluetooth n’est pas conçu pour être d’une robustesse particulière, mais pour sa vitesse

67


Trends - Cybersecurity Trends de réaction et sa fiabilité fonctionnelle. De nombreuses façons de pirater un outil TIC via Bluetooth nous sont connues, de même que les contremesures à prendre4. Mi-2017, le Cert US5 ainsi que de nombreux médias spécialisés mettaient en garde sur une nouvelle faille, utilisée par un intrus – nommé «Dubbed Blueborne»6 – se substituant à la connexion et permettant ainsi d’infiltrer PC, smartphones et tablettes via leur fonction Bluetooth, et ce tous systèmes confondus (PC, iOS, Androïd, Linux-Kernel). Apple et Microsoft ayant livré les patches nécessaires, les utilisateurs de systèmes iOS10 et Microsoft, mis à jour, sont à l’abri, mais pas les smartphones et autres outils Androïd. Ainsi, la première précaution fondamentale à prendre, comme simple utilisateur, est d’éteindre systématiquement les connexions Bluetooth lorsqu’on ne les utilise pas, comme l’a souligné le sous-titre même de l’article révélant au public cette nouvelle attaque : «A good reason to turn off Bluetooth when you’re not usingit». Comme d’autres exploits avant lui, Dubbed Blueborne ne pouvait en effet dérober ses victimes que lorsqu’elles se trouvaient dans le périmètre de réception/émission de l’outil du pirate et que leur propre dispositif avait la fonction Bluetooth activée. En revanche, si vous êtes actif dans la sécurité d’entreprise, en revanche, il y a plusieurs mesures supplémentaires à mettre en œuvre ainsi que des périmètres de sécurité à établir. Pour cela, le National Institute of Standards and Technologies (NIST) a publié en 2016 un manuel complet, le «Guide to Bluetooth Security», aujourd’hui à sa deuxième édition consultative. Cet ouvrage, destiné aux CISO, CSO et CIO mais aussi aux Risk Managers, est un «must» à télécharger et à lire pour prendre ensuite les bonnes décisions en fonction de chaque zone de l’écosystème à défendre7. En complément – ou en alternative –, le support du séminaire «Bluetooth Security» du Prof. Antan Giousouf du Département de Sécurité des Communications de l’Université de la Ruhr8, clair et limpide en plus d’être abondamment illustré, permet de se faire rapidement une idée holistique de la problématique et de prendre les mesures idoines, en bénéficiant d’un support à la lecture moins aride que celle du guide du NIST.

Une publication get to know!

et

Avec

Note copyright: Copyright © 2018 Pear Media SRL, Swiss WebAcademy et AR10-IHEDN. Tous droits réservés. Le matériel original imprimé dans ce volume appartient à Pear Media SRL, à Swiss WebAcademy et AR10-IHEDN. Rédaction: Laurent Chrzanovski et Romulus Maier (toutes éditions) Pour l’édition française : Jean-Jacques Wagner, AR10-IHEDN ISSN 2559 - 1789 ISSN-L 2559 - 1789

1 Ce surnom n’apparaît que dans des sources datées d’une trentaine d’années après la mort du roi. Aucune attestation de ne figure dans les documents contemporains, comme par exemple la pierre sacrée runique que le souverain a fait placer dans le sanctuaire de Jelling : cf. A. Pedersen, Monumenterne i Jelling Fornyet tradition påtærsklentil en nytid (The Jelling Monuments – Expressions of tradition on the threshold of a new era), in M. Manøe Bjerregaard, M. Runge (eds.) At være i centrum Magtogminde – højstatusbegravelser i udvalgte centre 950-1450. Rapport fra tværfagligtseminarafholdt i Odense, 10. februar 2016, vol. 1, Odense 2017, pp. 5-22. Sur Harald, voir l’excellente brochure du Prof. Sven Rosborn de Malmö (A unique objectfrom Harald Bluetooth’stime?, Malmö 2016) ainsi que l’ouvrage collectif J. Langer, M. Lutfe Ayoub (eds.), Unraveling the Vikings : Studies of MedievalNorse Culture (Desvendando os vikings: estudos de cultura nórdica medieval), Pessoa 2016 2 Cf. H. Janson, Vikingar och kristendom. Någrahuvudlinjer i ochkring den kyrkopolitisk aut vecklingen i Nordenca. 800-1100, in Historieforum : Tidskriftförhistoriskdebatt, nr 2 (2009), pp. 58-88 3 Informations tirées de “A short history of Bluetooth”, article publié par le géant Nordic Semiconductor à l’adresse : https://www.nordicsemi.com/eng/News/ULP-Wireless-Update/A-shorthistory-of-Bluetooth (consulté le 1er mars 2018) 4 cf. K. Haataja, K. Hyppönen, S. Pasanen, P. Toivanen, Bluetooth Security Attacks. Comparative Analysis Attacks and Countermeasures, Cham 2013 (Springer ed.), 88 pp. 5 Fiche technique de Dubbed Blueborne et de ses fonctionnalités : https://www.kb.cert.org/vuls/ id/240311 6 https://www.theverge.com/2017/9/12/16294904/bluetooth-hack-exploit-android-linux-blueborne 7 https://csrc.nist.gov/publications/drafts/800-121/sp800_121_r2_draft.pdf 8 https://www.emsec.rub.de/media/crypto/attachments/files/2011/04/seminar_giousof_bluetooth.pdf

68

Adresse: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, secteur 4, 040243 Bucharest, Roumanie Tel.: 021-3309282; Fax 021-3309285 www.ar10ihedn.fr www.cybersecuritytrends.ro www.agora.ro www.swissacademy.eu