Cybersécurité : les États doivent affronter de nouvelles menaces. Entretien avec Guillaume Tissier
Le numérique présente de nouvelles menaces que les entreprises et les États doivent anticiper et affronter. Dans un monde globalisé, il est difficile d’être indépendant, ce qui n’empêche pas de défendre sa souveraineté numérique. Entretien avec Guillaume Tissier, directeur du Forum international de la cybersécurité (FIC), qui s’est tenu à Lille en avril.
Entretien avec Guillaume Tissier, directeur du Forum international de la cybersécurité (FIC). Propos recueillis par Jean-Baptiste Noé.
Depuis la première session du FIC en 2007, le monde de la cybersécurité a connu de nombreuses évolutions. Sans remonter à ces débuts, quelles les grandes évolutions rencontrées au cours de ces dernières années en termes de menace et de défense ?
Tout d’abord, notre surface d’exposition au risque a explosé car le numérique imprègne aujourd’hui toutes les facettes des activités humaines. On compte ainsi 12 milliards d’objets connectés dans le monde et leur nombre ne fait que croître. Dans un tel contexte, il est logique que les acteurs malveillants se déplacent dans l’espace numérique et cherchent à profiter de cette situation. La menace s’est donc sophistiquée et diversifiée. Les attaquants ont trois motivations essentielles : le gain financier, l’espionnage et la déstabilisation. La difficulté est que ces motivations se confondent parfois, ce qui rend la caractérisation de ces attaques et l’identification de leurs auteurs encore plus difficiles. En outre, il existe de nombreux groupes cybercriminels qui sont récupérés et instrumentalisés par les États. La Russie abrite ainsi certains groupes spécialisés en rançongiciels. C’était également le cas de l’Ukraine avant le conflit. Chainanalysis, une société qui trace les mouvements de fonds en crypto-monnaies, constate ainsi que 75% des flux financiers liés aux attaques en rançongiciels pointent aujourd’hui vers la Russie. Ces mêmes groupes peuvent aussi pratiquer la déstabilisation et l’espionnage. Nombre de campagnes d’espionnage -au moins pour celles qui ont été détectées- pointent ainsi vers la Chine. De façon globale, l’espace numérique est donc devenu un terrain d’affrontement qui voit des groupes privés et des Etats s’affronter. Heureusement, face à cela, les solutions ont aussi progressé au plan opérationnel, qu’il s’agisse de prévention, de détection, de protection ou de réponse à incident, pour sécuriser les entreprises et les citoyens, même si beaucoup reste à faire. Et à un niveau plus stratégique, des discussions internationales ont été engagées pour tenter d’assurer la stabilité de cet espace.
Qu’est-ce que cela change pour les entreprises ?
Le modèle du « château fort » qui protégeait nos systèmes d’information et les données qu’ils abritent a vécu. A l’époque du télétravail et de « l’entreprise étendue », les organisations sont comme des aéroports avec de multiples flux qui rentrent et sortent sans arrêt, en particulier vers des clouds. Ainsi, l’enjeu n’est plus de construire des « remparts » étanches, mais bien de protéger chaque flux avec des architectures dites « zero trust », de détecter les menaces et de réagir au plus tôt grâce à des systèmes EDR (Endpoint Detection and Response) et NDR (Network Detection and Response). Grâce à tout cela, le niveau de sécurité des grandes organisations a fait de gros progrès ces dernières années, mais il reste malheureusement de nombreux angles morts. La cybercriminalité s’est ainsi déplacée vers des acteurs moins matures comme les collectivités territoriales, les hôpitaux, les PME ou TPE, qui n’ont pas les moyens d’avoir des équipes ou des solutions de cybersécurité sophistiquées. Ce qu’il faut pour ces organisations, c’est une sécurité « packagée » et intégrée dans les services numériques qu’elles utilisent, qu’il s’agisse de la « box » internet ou des services de cloud public, et des équipes mutualisées pour gérer la supervision. Même chose pour les collectivités. Le Gouvernement a ainsi décidé de créer des centres régionaux de réponse à incident qui permettront de gérer cette sécurité du « premier kilomètre ». Comme l’a dit Vincent Strubel, le directeur général de l’ANSSI lors du FIC 2023, la cybersécurité doit « passer de la haute couture au prêt-à-porter » pour toucher le plus de monde possible.
L’une des particularités du FIC est d’accueillir aussi bien des entreprises privées que des collectivités locales. Alors que plusieurs communes ont été gravement attaquées ces derniers mois, existe-t-il des solutions pour protéger leurs données ?
Les besoins des collectivités en matière de numérique et de cybersécurité sont énormes. Nous n’avions d’ailleurs jamais accueilli au FIC autant de représentants de collectivités -plus de 400 cette année- ce qui témoigne de l’ampleur du défi. Et même s’il existe des différences entre les grandes agglomérations et les petites collectivités, il y a des points communs : des systèmes d’information très hétérogènes pour soutenir de multiples « métiers » (la voirie, la gestion des cantines, l’état-civil etc.) et un niveau de sécurité relativement faible. Pour les plus petites collectivités, l’urgence est de proposer des solutions numériques sécurisées « prêtes à l’emploi ». Le ministre du numérique a ainsi annoncé il y a quelque mois le lancement d’une plateforme de services permettant aux collectivités de disposer d’un nom de domaine internet, d’un site web, d’une messagerie internet… Le Gouvernement a aussi lancé en 2021 des « parcours de cybersécurité » avec l’aide de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour accompagner les collectivités et développer un réseau de professionnels compétents sur tout le territoire pour cela. Ce maillon territorial est absolument essentiel.
Le commissaire européen chargé du Marché intérieur Thierry Breton, présent au salon, a annoncé la création d’un « bouclier cyber européen ». De quoi s’agit-il plus précisément ?
Cette annonce n’est pas la seule du commissaire européen. Thierry Breton a aussi évoqué la directive NIS 2, déjà en vigueur mais non encore transposée, qui va imposer un certain niveau de sécurité à de nombreuses entreprises ou organisations considérées comme « importantes » ou « essentielles », et le « Cyber Resilience Act », dont la première mouture a été présenté par la Commission en septembre dernier et qui définira des exigences minimales de cybersécurité pour tous les produits et services, européens ou non, qui intègrent du numérique et sont commercialisés sur le marché intérieur. Sont en particulier visés les objets connectés dont le niveau de sécurité est souvent très faible. Concernant le « bouclier cyber » européen annoncé par le Commissaire, l’objectif est de déployer un réseau de 5 ou 6 centres de sécurité sur tout le territoire européen pour détecter les menaces et réagir au plus tôt face à des attaques à grande échelle. Ce dispositif sera coiffé par un nouveau texte, le Cyber Solidary Act qui permettra aux entités attaquées de s’appuyer sur un réseau de prestataires de confiance. Au-delà de ces dispositions, les enjeux sont doubles : faire progresser de façon homogène le niveau de sécurité dans les Etats-membres et renforcer la coopération, notamment en termes d’échange d’information, voire imaginer, à terme, une véritable coordination européenne, ce qui n’est évidemment pas simple…
Il y a désormais un FIC organisé à Montréal, sur le continent américain. Quelle est la finalité de ce salon ? S’agit-il d’influencer les Américains sur des solutions numériques européennes ou bien d’établir des partenariats entre entreprises américaines et françaises ?
Même si l’Europe a de nombreuses choses à présenter, et notamment une approche unique en matière de protection des données personnelles qui commence à faire des émules, il serait prétentieux de vouloir influencer les Canadiens ou les Américains du Nord sur un sujet dont ils se sont emparés depuis longtemps… Notre objectif à Montréal, et bientôt à San Antonio (Texas), est surtout de créer des ponts entre les écosystèmes en reprenant les recettes qui ont fait le succès du FIC : rassembler acteurs publics et privés, offreurs, utilisateurs finaux, monde de la recherche, sphère académique en un même lieu autour d’un forum, d’un salon et d’un sommet. Et comme à chaque fois, s’appuyer sur les associations, les autorités, les entreprises locales. Chaque FIC est donc très différent ! Mais à chaque fois, nous en profitons bien sûr pour présenter l’excellence de la filière française et européenne. Le FIC, devenu depuis cette année le Forum InCyber pour répondre à cet enjeu d’internationalisation, est en effet l’un des outils du contrat stratégique de filière (CSF) des industries de sécurité, co-signé par le Gouvernement et les industriels. Toute filière d’excellence doit avoir un outil de rayonnement : c’est l’objectif assigné au FIC en mobilisant acteurs privés et publics autour d’un modèle innovant et inspirant.
Le renseignement en sources ouvertes (OSINT) a pris une nouvelle dimension avec le développement du web. Il est enseigné dans certaines écoles et de nombreuses conférences sont organisées sur le sujet. Quelle est selon vous la relation entre l’OSINT et les questions numériques ?
Le cœur du sujet traité par le FIC est bien sûr la cybersécurité, mais nous nous ouvrons à d’autres thématiques, qu’il s’agisse d’approfondir des verticales sectorielles, comme la cybersécurité industrielle, ou d’élargir nos réflexions aux multiples facettes de la « confiance numérique » : identité numérique, web 3, lutte contre les contenus illicites, ou bien encore l’OSINT. L’anticipation des menaces est en effet essentielle. Ainsi, pour anticiper, surveiller et détecter les menaces, le renseignement sur sources ouvertes est essentiel. Il s’agit par exemple d’exploiter les réseaux sociaux ou bien encore les deep et dark web, souvent utilisés par les attaquants pour revendre le produit de leurs forfaits ou revendiquer leurs actions. La lutte contre les contenus illicites, violents, haineux, mais aussi la protection contre le harcèlement en ligne sont également des priorités. Ces engagements correspondent à la ligne éditoriale du FIC qui a toujours défendu une vision globale et équilibrée de la cybersécurité, qui ne se résume pas à des mesures de sécurité et de surveillance, mais aussi à la défense des libertés en ligne et à la protection des citoyens. Le FIC n’est donc pas seulement un endroit où l’on réfléchit à des solutions opérationnelles, mais où l’on s’intéresse aussi aux aspects éthiques et où l’on débat des différentes politiques publiques qui concourent à faire du cyberespace un espace de liberté. N’oublions pas que 70% des internautes dans le monde vivent dans des zones où ils ne peuvent pas poster ce qu’ils veulent sur internet… Nous avons donc, nous, Européens, une chance inouïe, mais aussi une exigence.
Les questions de cybersécurité jonglent entre dimension technologique et politique, voire philosophique, concernant la protection des libertés individuelles, la liberté d’expression, la lutte contre des contenus illicites ou encore la protection de la vie privée. Comment articuler ces différents éléments afin de protéger au mieux la vie des individus ?
Notre objectif est de contribuer au débat public sur ces questions. Concernant les technologies, il est important de noter que ces dernières ne sont jamais ambivalentes, une technologie n’est jamais bonne ou mauvaise en tant que telle. Tout dépend de l’usage que l’on en fait, des limites que l’on se donne et bien sûr de la formation et de l’éducation des utilisateurs. Ce qui compte avant tout, c’est de construire un numérique au service de l’Humain. Il faut donc à la fois lutter contre le totalitarisme numérique qui se développe dans certains pays, mais aussi contre une marchandisation extrême des données personnelles qui toutes deux aboutissent à un asservissement de l’individu par le numérique et débouchent sur des dérives orwelliennes. Même si nous n’en n’avons pas forcément conscience, l’Europe a en la matière une longueur d’avance, grâce notamment au RGPD. Il importe de la garder et de promouvoir la souveraineté numérique européenne. Nous avons en effet besoin d’un espace numérique qui soit non seulement conforme à nos valeurs mais aussi à nos intérêts. Et nous avons aujourd’hui deux opportunités à ne pas manquer. La première concerne les négociations entre l’Europe et les Etats-Unis concernant le futur Privacy Data Framework qui succèdera au Privacy Shield invalidé par la Cour de justice de l’Union européenne. Les Etats-Unis doivent impérativement revoir leur dispositif de protection des données personnelles et leur législation de surveillance, en particulier la section 702 du célèbre Foreign Intelligence Surveillance Act (FISA), faute de quoi l’Europe ne doit pas reconnaitre l’adéquation du pays avec les exigences du RGPD. La seconde concerne le futur schéma européen de certification de sécurité pour les offres de cloud. Alors que 70% des données européennes sont stockées chez les hyperscalers américains, il est essentiel que les données les plus sensibles soient hébergées et traitées dans des cloud totalement immunisés aux effets des lois étrangères ayant une portée extraterritoriale. Et pour cela, la simple localisation de ces données en France ne suffit pas… Ainsi, l’enjeu de la cybersécurité est double. Il concerne autant la sécurité au sens technique qui consiste à lutter contre les menaces que la maîtrise des données qui est un sujet davantage politique et juridique. Bien sûr, cette souveraineté numérique n’est pas absolue et est partagée, mais il s’agit de maîtriser certains points clés, en particulier pour les données et processus les plus sensibles.