Atlantico, c'est qui? c'est quoi ?
Lundi 22 Octobre 2018 | Créer un compte | Connexion
Extra

Mega-failles informatiques chez les géants du web : est-il temps que l'Etat fasse de la cyber-sécurité une mission régalienne essentielle ?

Alors que selon la direction de Yahoo!, certains de ses employés étaient au courant dès 2014 de l'énorme faille de sécurité de l'entreprise américaine révélée ces derniers mois, le rôle et les possibilités d'actions de l'Etat dans la protection des données des utilisateurs restent encore largement à définir aujourd'hui.

Cyber-sécurité

Publié le - Mis à jour le 18 Novembre 2016
Mega-failles informatiques chez les géants du web : est-il temps que l'Etat fasse de la cyber-sécurité une mission régalienne essentielle ?

Pour ce qui est des Etats, le simple fait de confier ses données personnelles à des entreprises américaines fait qu’elles sont pour ainsi dire de facto dans les mains de la NSA et de ses alliés.  Crédit Pixabay

Atlantico : Ces dernières semaines, le monde prenait conscience d'une gigantesque faille de sécurité au sein de l'entreprise Yahoo!, concernant les données de près de 500 millions d'utilisateurs. Or, il semblerait que certains employés (au moins) de Yahoo! étaient au courant de cette brèche dès 2014. Pour ce qui est du cas français, et notamment des entreprises qui fournissent des services aux Français (Facebook, Google, etc.), quel état des lieux peut-on faire de leur sécurité ? Sommes-nous vraiment protégés ?

Fabrice Epelboin : Pour ce qui est de la sécurité des données personnelles des français, qui pour la plupart les confient à des entreprises américaines comme les GAFA, il faut distinguer deux types de menaces : les Etats, et les cybercriminels.

>>>> À lire aussi : Le site de rencontres AdultFriendFinder visé par un piratage massif, plus de 412 millions d'utilisateurs exposés

Pour ce qui est des Etats, le simple fait de confier ses données personnelles à des entreprises américaines fait qu’elles sont pour ainsi dire de facto dans les mains de la NSA et de ses alliés. D’autres Etats peuvent pirater une entreprise américaine pour accéder aux données des Français, et plus vraisemblement de leurs ressortissants ou de personnes ciblées précisément, les “usual suspects” dans ce genre de cas sont la Chine, l’Iran et la Russie, car la plupart des autres Etats, comme la France - capables de telles attaques informatiques - sont dans une alliance plus ou moins étroite avec les Etats Unis, qui leur permettrait d’accéder à ces données en le demandant gentiment.

Pour ce qui est des cybercriminels, c’est aussi un risque, mais même les cybermafias les plus aguerries n’ont pas la capacité des Etats précités, et la sécurité de la plupart des “grands” de la Silicon Valley est tout de même de haut niveau. Peu de chance qu’une cybermafia dérobe les données des utilisateurs de Google.

La sécurité informatique ne s’arrête bien sûr pas là, car en dehors de ce que font Yahoo ou Google pour vous sécuriser, il y a tout un tas d’éléments à prendre en compte et de réflexes à acquérir afin d’adopter une démarche sécure sur internet, tout comme c’est le cas avant de pouvoir conduire une voiture de façon sécurisée. Cela demande un apprentissage, c’est sanctionné par un examen : tout cela reste à faire avec internet.

Si d’ici à cinq ans ont pouvait mettre en place un tel “permis de conduire sur internet” - quelque chose qu’il faudrait repasser régulièrement car la technologie évolue sans cesse - on ferait de grands progrès en matière de cybersécurité pour les français. Ca ne me choquerait pas du tout qu’une entreprise exige un tel permis avant de laisser ses employés utiliser internet au bureau, et l’Etat pourrait parfaitement fournir un mooc gratuit et le personnel enseignant qui va avec, ce qui permettrait de former en masse les français au B-A BA de la cybersécurité.

Franck Decloquement : À l’image de cette valeur fondatrice dans le domaine de l’économie, le sujet de la cybersécurité est indissociablement lié au principe de "confiance". Les donneurs d’alertes peuvent dans certains cas jouer un rôle majeur dans la détection précoce des failles technologiques, ou humaines. Dans "l’affaire Yahoo", il semble bien que des employés de la firme avaient eu connaissance de cette brèche. Et cela dès 2014. Dans un rapport de la SEC déposé mercredi dernier, Yahoo a déclaré en substance que la société avait identifié qu'un acteur - vraisemblablement "parrainé" par un État - a eu accès au réseau de la société à la fin de 2014, compte tenu de la nature assez sophistiquée de l’attaque. Pourtant, il apparaît difficile pour l’heure de savoir qui était réellement au courant de cette violation initiale en interne, lorsque Yahoo a découvert l'étendue du hack cet été. Mais le rapport de la SEC a également indiqué que la réponse à ces deux questions était actuellement à l'étude... 

Les investissements technologiques et la puissance financière ne peuvent pas tout en matière de protection technologique. La formation des hommes et des femmes au contact - et plus globalement la culture interne des entreprises - jouent un rôle majeur dans la sécurité des systèmes d’information, car une très grande majorité des failles cyber reposent en définitive sur les vulnérabilités humaines. Cette question de "la confiance" est centrale et pourrait-être aussi  étendue à l’ensemble de l’écosystème de l’internet lui-même.

En France désormais, toutes les entreprises sont tenues d’appliquer un "minimum légal" en matière de cybersécurité. Et ceci, en déclarant par exemple sans délai, l’ampleur des attaques dont elles font l’objet à l’ANSSI (Agence nationale de la sécurité des systèmes d'information), au risque de commettre ; dans le cas contraire ; une très grave faute de gestion… Le monde de l’assurance est également en ébullition sur ces sujets complexes et se mobilise aussi pour savoir en définitive qu’exiger en la matière, comment et qui devra payer "les pots cassés", en cas de négligence  informatique majeure. Avec la digitalisation massive des services en ligne, la sécurisation des données est primordiale pour le développement de toute activité commerciale. Quand vous êtes une mutuelle, une assurance ou un opérateur bancaire, et que vous avez subi des attaques informatiques récurrentes, le fait de le crier sur tous les toits va forcément vous faire passer pour un établissement vulnérable en matière de sécurité, et très peu fiable aux yeux de ses clients. Ceci pouvant déstabiliser durablement votre business digital dans son ensemble. Le récent scandale de l’affaire Ashley Madison que nous avions traité ici même, dans les colonnes d’Atlantico (où un groupe de hackers avait piraté les serveurs informatiques de la société et dévoilé au grand jour les noms de tous les utilisateurs du site "de rencontres en ligne) est un exemple type. A cet effet, il reste encore dans toutes les mémoires… Cet évènement s’inscrit malheureusement, dans cette très longue liste d’actions cybercriminelles (TV5 Monde, arnaques au faux Présidents, le vol des données des agences fédérales américaines, le piratage des données personnelles des consommateurs de l’entreprise Hello Kitty, ou encore les intrusions répétées par des hackers se revendiquant de l’Etat islamique (EI), sur les sites de certaines institutions françaises, etc...), qui mettent en exergue la vulnérabilité manifeste des systèmes d’information dans leur composante humaine. 

Dans le cas de l’attaque historique qu’a subit Yahoo, de nouvelles révélations se font jour très régulièrement dans les médias. Ce que révèlent aussi certaines investigations menées en profondeur dans les arcanes du "Darknet", ce lieu privilégié d’échanges frauduleux entre pirates de haut vol et criminels informatiques de tous poils. Dans un avenir très proche, certaines compétences spécifiques seront indispensables quant à la maîtrise de la gouvernance de la sécurité en entreprise. C’est-à-dire de la connaissance des processus de réponses aux incidents cybers. Il s’agira d’être en capacité d’instaurer les méthodes normées de gestions fines, au profit de la sécurité globale dans l’entreprise. Cela ayant en outre pour finalité immédiate de contrecarrer efficacement les failles humaines, cette composante prioritairement exploitée par les hackers dans la mise en œuvre de leurs actions délictueuses. Avec l’émergence des solutions d’authentification par biométrie et cryptogramme dynamique, l’expert en cybersécurité devra également maitriser en continue les évolutions de la règlementation et des normes - mais aussi l’émergence des nouvelles technologies - en se formant non-stop. Cela ayant aussi pour objectif final recherché de lever l’un des freins majeurs en matière de croissance de l’e-commerce, car l’usurpation d’identité et la fraude sous toutes ses formes, insécurise indéniablement le développement du volume des transactions numériques à l’échelle globale. La confiance générale des internautes pouvant être très vite échaudée, compte tenu de la déferlante des affaires de piratages dans les médias.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par Olivier K. - 14/11/2016 - 08:02 - Signaler un abus Hardware

    De toute façons, tant que le hardware reseau sera fabriqué en chine ou aux EU ou qu'on utilisera des systèmes d exploitation americains (mac os, windows, linux y compris puisqu'il est activement développé par l'US air force!) pas la peine de vous prendre la tête, vos concurents americains ont un accès direct et illimité à toutes vos données!! Vous ne pourrez rien y faire sauf à totalement deconnecter physiquement votre reseau interne d'internet!! , 1.5 milliins de specualiste ne servent à rien. Mieux vaudrait 5000 gars pour developper un systeme d exploitation ouvert et surveillé basé sur noyau linux une fois nettoyé et 1000 autres sur le devellopement d'infrastructures reseau dont evidement toutes les chips seront fabriqués en France dans des usines ultra protegers. Tant qu'on fait pas cela, pas la peine de se casser la tête. Le pseudo specialiste qui prétend pouvoir protéger votre reseau est mal instruit! (il s'est instruit en lisant des manuels en anglais evidement!)

  • Par zouk - 14/11/2016 - 10:51 - Signaler un abus Cyber sécurité

    Oui, il est nécessaire que l'Etat prenne la direction des opérations, en laissant hurler les habituels refuzniks au nom du risque de la connaissance par l'Etat des détails de notre vie privée. Et excellente est l'idée d'un mooc gratuit que nous devrions vite prendre l'habitude de consulter régulièrement.Le phishing et même très grossier se répand, combien s'y laissent prendre? Je me demande en quoi un Internet basé sur Linux serait plus fiable.

  • Par slv - 14/11/2016 - 23:28 - Signaler un abus Welcome Big Brother

    Personne ne vous oblige à utiliser Internet, quand vous utilisez un service Internet, vous signez un contrat privé en vous et une compagnie, l'État n'a rien à faire dans cette affaire. Si vous n'avez pas confiance dans une entreprise, vous ne signez pas. Si l'entreprise vous trompe sur un point du contrat, vous n'avez qu'à l'attaquer en justice. Si vous n'êtes pas content, vous changez d'entreprise. Seul l'État a une police et une justice qui peut interférer de force dans votre vie privée. Moins d'État, plus de liberté.

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio en entier

Franck DeCloquement

Franck DeCloquement est praticien et expert en intelligence économique et stratégique (IES). Membre fondateur du Cercle K2 et ancien de l’Ecole de Guerre Economique de Paris (EGE), il est en outre professeur à l'IRIS (Institut de Relations internationales et stratégiques) en "Géo-économie et intelligence stratégique". Il enseigne également la "Géopolitique des médias" en Master 2 recherche "Médias et Mondialisation", à l'IFP (Institut français de presse) de l'université de Paris II Panthéon-Assas. 

Franck DeCloquement est aussi spécialiste sur les menaces Cyber-émergentes liées aux actions d'espionnage économique et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu pour la SCIA (Swiss Competitive Intelligence Association) à Genève, aux assises de la FNCDS (Fédération Nationale des Cadres Dirigeants et Supérieurs), à la FER (Fédération des Entreprises Romandes à Genève) à l’occasion de débats organisés par le CLUSIS - l'association d’experts helvétiques dédiée à la sécurité de l'information - autour des réalités des actions de contre-ingérence économique et des menaces dans la sphère digitale. 

Voir la bio en entier

Je m'abonne
à partir de 4,90€