Forum International de la Cybersécurité : la sécurité au temps de Snowden
Confrontés à la sophistication des attaques et au climat créé par les révélations d’Edward Snowden sur les écoutes de la NSA, fournisseurs et services de l’Etat tentent d’adapter leurs réponses. Objectif : faire de la cybersécurité autre chose qu’un échec.
Plus de 3 000 personnes sont attendues dans les allées et conférences du FIC 2014, qui se tient le 22 et 23 janvier à Lille. L’affluence de cette sixième édition du Forum International de la Cybersécurité témoigne de la montée en puissance de cette thématique, portée par les régulières révélations distillées par Edward Snowden sur les écoutes de la NSA et la multiplication des attaques ciblées visant entreprises et administrations publiques.
Pas moins de deux ministres ont fait le déplacement ce mardi au Grand Palais de la Capitale des Flandres : Manuel Valls (Intérieur, notre photo ci-dessous) et Jean-Yves Le Drian (Défense). Ce dernier dévoilant, à l’occasion du FIC, son Pacte Défense Cyber (lire La France met 1 milliard d’euros de mieux sur l’arme cyberdéfense).
Le ministre de l’Intérieur, lui, s’est réjoui de voir la France en passe de « disposer d’un arsenal juridique complet ». Une référence à l’article 20 de la Loi de Programmation Militaire (LPM), tant décrié par les acteurs d’Internet et les défenseurs des libertés publiques, et au projet de loi sur la géolocalisation, en discussion actuellement au Parlement.
Un indicateur français de la cybercriminalité
Au-delà de cet aspect législatif, le ministre souligne « que les attentes les plus importantes vis-à-vis de l’Etat émanent aujourd’hui des entreprises. Les 1 100 faits d’atteinte à la sécurité des SI signalés en 2011 sont très loin de la réalité qu’elles vivent au quotidien ». Une façon de dire que les attaques et menaces auxquelles elles font face dépassent – et de très loin – les ordres de grandeur qu’évoque ce chiffre. Le ministre, « convaincu que le niveau de sensibilisation aux questions de cybersécurité reste insuffisant », rappelle que son administration va produire un indicateur spécifique de la cybercriminalité. Et précise attendre des conclusions et préconisations sur la stratégie de la France en matière de lutte contre les cybermenaces, préconisations émanant tant d’un groupe de travail interministériel (Finances, Défense, Intérieur et Economie numérique) que des directeurs généraux de la police et de la gendarmerie. « Il s’agit aussi d’identifier ce qui nous manque », assure Manuel Valls.
Et, en la matière, si on se fie au public sondé (RSSI, fournisseurs, services de l’Etat) lors de la matinée inaugurale de ce FIC 2014, beaucoup reste à faire. A la question « La cybersécurité est-elle un échec ? », deux-tiers des personnes qui se sont exprimées répondent par l’affirmative. « J’ai envie de dire : bienvenue dans le monde réel », commente Patrick Pailloux, le directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information), en référence évidemment à la prise de conscience du public suite aux révélations d’Edward Snowden. « La cybersécurité est un échec à tous les niveaux, martèle David Lacey, consultant de IOActive, une société de services présente aux Etats-Unis et en Grande-Bretagne. Le problème sous-jacent, c’est que la réalité des pratiques des RSSI se limite à la conformité réglementaire. Les bonnes pratiques sont une autre partie du problème, car elles créent une mono-culture. » Autrement dit des réflexes que les assaillants peuvent anticiper.
« Google et Microsoft nous ont exproprié »
Pour le général d’armée Marc Watin-Augouard, « la cybersécurité va se construire sur les échecs, à condition de tenir à distance deux pôles opposés : les libertaires d’un côté et les tenants de la cybersécurité absolue, porteuse de risques économiques, politiques et sociaux ». Un point sur lequel insiste Jérémie Zimmerman, co-fondateur et porte-parole de l’association de défense des libertés la Quadrature du Net. « On s’est engagé dans la mauvaise direction car on a oublié le citoyen. Arrêtons de préparer la cyberguerre – ce que font aujourd’hui les pouvoirs publics -, pour construire la cyberpaix », dit-il. Ce qui passe, selon lui, par une restauration de la confiance dans la technologie, « rompue par les révélations de Snowden. Nous avons confié notre vie numérique à des Google, Microsoft, Facebook ou Apple et ils ont changé la serrure de notre maison et nous ont exproprié », lance le co-fondateur de l’association, qui prône l’émergence de solutions décentralisées et basées sur des logiciels libres.
Car, s’il y a bien un effet Snowden, comme en atteste Philippe Duluc, directeur de la division sécurité de Bull, qui espère pour le premier semestre 2014 seul plusieurs dizaines de clients pour son smartphone sécurisé Hoox (disponible mi-février), il est encore trop tôt pour assister à une réelle inflexion sur les budgets consacrés à la cybersécurité. D’autant que, comme l’expliquent plusieurs interlocuteurs croisés sur le FIC 2014, si les révélations du plus célèbre lanceur d’alertes de la planète ont certes réveillé les consciences, elles risquent aussi de produire un effet inverse : face aux capacités multiples de la NSA américaine, les dirigeants des entreprises pourraient aussi être tentés par l’immobilisme… estimant que la cybersécurité est définitivement un échec.
En complément :
