Collectif de journalistes et photographes
Rechercher :
Accueil / Articles / Medias

Cybersécurité : "Il faut arrêter de bricoler"

Publié le 09 avril 2013 par Gabriel Siméon | Médias  
Conseiller au centre d’analyse stratégique, Joël Hamelin estime que la France a pris du retard dans la protection des systèmes d’information.


Conseiller scientifique au Centre d’analyse stratégique (CAS), Joël Hamelin est coauteur d’un rapport sur la cybersécurité rendu public mardi dernier. Il recommande de donner les moyens aux entreprises de mieux se protéger et de renforcer les contrôles chez les opérateurs stratégiques.


La France et ses entreprises sont-elles particulièrement menacées par la cybercriminalité ?

Ce sont plutôt les Européens et Américains dans leur ensemble qui sont touchés par le cyberespionnage et la cybercriminalité. Il y a une montée en puissance des acteurs malveillants, qui se professionnalisent. Le phénomène grandit d’autant plus que les Etats se sont approprié le sujet et se servent de la vulnérabilité des systèmes pour leurs intérêts. Et le flou juridique dans ce domaine, comme la difficulté à identifier les attaques, les encouragent dans ce sens.

Les petites et moyennes entreprises doivent-elles s’inquiéter ?

Un certain nombre de PME ne sont pas averties, ou n’ont pas le temps et les ressources pour évaluer les risques afin de mettre en œuvre des parades. Le plombier du coin a évidemment peu de raisons de s’inquiéter. Mais une PME innovante, possédant une technologie particulière, est plus susceptible d’être la cible d’attaques qu’un grand groupe industriel qui a appris à gérer son système d’information.

Quelles sont les données ciblées ?

Tout dépend de l’objectif des pirates, mais ce sont souvent les mails que s’échange l’équipe dirigeante qui sont visés. Une recherche par mots-clés, comme «innovation» ou «recherche et développement», peut permettre de cerner ce qui fait la richesse de l’entreprise. Les rapports au sein de l’équipe et les données commerciales et financières sont aussi des informations monnayables. Pour se protéger, on peut choisir de s’isoler du reste du monde. Mais Internet est une source de richesse et d’échanges. Au sein d’une organisation, il faut donc définir ce qui peut rester ouvert, ce qui doit être contrôlé et ce qu’il faut isoler totalement. Seule une analyse au cas par cas permet d’apprécier le risque encouru.

Vous notez que les organisations sont peu sensibilisées aux risques…

Mais on ne dit pas qu’elles ne sont pas sensibilisées. Cela dépend de l’échelon hiérarchique considéré. Dans les grands groupes, le responsable des systèmes d’information a, en général, une idée des risques encourus. Mais contrairement à l’Angleterre et aux Etats-Unis, où les grandes entreprises sont incitées à renforcer leurs défenses, on a, en France, un personnel politique qui ne s’est pas encore tout à fait mis à l’heure du numérique. Aujourd’hui, il n’y a pas de contrôle extérieur sur les systèmes de sécurité mis en place par les opérateurs d’importance vitale [OIV : établissements opérant dans des secteurs stratégiques comme l’alimentation, l’énergie ou la finance, ndlr]. Il faut passer à l’étape supérieure. Les enjeux sont tels qu’on ne peut pas se permettre de faire du bricolage.

Quelles sont vos recommandations pour améliorer le niveau de cybersécurité ?

Nous formulons quatre propositions. La première : renforcer les exigences de sécurité imposées aux OIV en conférant un pouvoir de contrainte à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La deuxième : agir auprès des PME en leur donnant accès à des outils d’analyse du risque. Il faut aussi créer un canal de sensibilisation via l’ensemble des structures avec lesquelles elles dialoguent, comme les chambres de commerce et d’industrie. Il existe déjà un guide d’information, qui n’est pas assez diffusé et pris au sérieux. C’est là où le relais politique est absolument indispensable. Troisième proposition : demander à l’ANSSI de soutenir le développement d’une offre française ou européenne en matière de protection - logiciels antivirus, systèmes de détection des attaques - tout en aidant les PME du secteur sur le plan financier et technique. L’idée est d’avoir des outils alternatifs à ceux que proposent les Russes et les Américains. En France, nous avons les compétences, mais l’écosystème n’est pas assez structuré. Beaucoup de PME sont encore fragiles. Enfin, quatrième point : il faut revoir le cadre juridique de la cybercriminalité. Celui-ci n’est pas adapté et nous empêche de comprendre les mécanismes de piratage et de développer des parades.

Faut-il freiner le développement des nouveaux usages du numérique, le cloud computing par exemple ?

Le repli sur soi n’est pas la solution. Le cloud computing peut être un énorme facteur de réduction des coûts. Il a des inconvénients en matière de sécurité, mais qui dit que le système d’information local d’une PME est plus sécurisé que l’infrastructure qui gère le cloud ? Si on a des secrets à protéger, mieux vaut de toute façon ne pas les transférer dans des data centers à l’autre bout du monde. La démarche de gestion des risques doit être centrale dans la réflexion de chaque organisation : que faut-il protéger et comment ? Notre rapport témoigne aussi de la maturité à laquelle est arrivée cette nébuleuse qu’est Internet. Pendant vingt ans, on a bricolé des systèmes d’information. Aujourd’hui, il faut recréer de la cohérence.

Augmenter la cybersécurité, est-ce compatible avec les notions de transparence et de protection des données individuelles ?

C’est une négociation permanente. On ne peut pas laisser des entreprises développer des outils portant atteinte aux libertés. Il faut apprécier les systèmes d’information à l’aune de leur potentiel, mais aussi de leurs risques. Mais la Commission nationale de l’informatique et des libertés (CNIL) est vigilante sur ces questions. CV Joël Hamelin est conseiller scientifique au Centre d’analyse stratégique, une institution d’aide à la décision rattachée au Premier ministre. Avec Antton Achiary et Dominique Auverlot, il est l’auteur d’une note de recommandation en matière de cybersécurité. Depuis l’automne 2012, son équipe a auditionné une vingtaine d’experts sur la question.


Propos recueillis par Gabriel Siméon
Photo : Stéphane RemaeI

Entretien publié le 25 mars 2013 dans Libération



comments powered by Disqus

L'auteur : Gabriel Siméon


Gabriel Siméon Mes articles

Formation : Diplômé de Sciences Po Aix-en-Provence et du master 2 "Journalisme politique à l'international"

Participation à : Libération, Science & Vie, 01net (mag), Metronews, Les Inrockuptibles, L'Express, L'Expansion, L'Humanité-Dimanche, La Gazette des communes, Neon, Grazia, Atlantico, L'Usine nouvelle, La Provence, Le Dauphiné libéré, L'Eco, Technikart, Vice, Gonzaï, The Ground, La Gazette Drouot, Industrie & technologies, Maxisciences, Frankreich erleben, TV7 Provence, France Bleu Vaucluse

Médias : Presse écrite & web

Bio : Environnement, sciences, numérique, nouvelles technologies