Atlantico, c'est qui? c'est quoi ?
Jeudi 28 Juillet 2016 | Créer un compte | Connexion
Extra

Pourquoi 2015 sera l’année des failles de sécurité en ligne massives (et personne ne s’en préoccupe vraiment)

L'omniprésence de l'informatique, le développement exponentiel de la quantité de données et la dématérialisation de très nombreuses activités rend la sécurité des systèmes et de nos informations de plus en plus précaire. Une véritable révolution doit être menée, qui peine à démarrer.

/!\

Publié le
Pourquoi 2015 sera l’année des failles de sécurité en ligne massives (et personne ne s’en préoccupe vraiment)

Des pirates ont fait irruption dans les systèmes informatiques de JPMorgan Chase. Crédit Reuters

Atlantico : Des pirates ont fait irruption dans les systèmes informatiques de JPMorgan Chase et ont subtilisé noms et coordonnées de 83 millions de ménages, ainsi que de petites entreprises. Ce n'est pas là un cas isolé, puisque d'autres compagnies ont également été touchées (Home Depot et TJ Maxx, Target et Michaels). Quels ont été la nature et le volume des cyberattaques sur l'année 2014 ?

Guillaume Tissier : Le coût de la cybercriminalité, c'est à dire les pertes et le manque à gagner qu'elle entraîne, s'élève à environ 350 milliards par an selon une récente étude américaine.

Et il ne s'agit que d'estimations très imparfaites. D'une part parce qu'elles recouvrent des attaques ayant des finalités très différentes : on peut distinguer les escroqueries, l'espionnage et le vol d'information, l'hacktivisme (qui consiste par exemple à "défacer" un site ou à le perturber par des attaques dites en déni de service), les sabotages. D'autre part, parce que l'on ne voit que la partie visible de l'iceberg. En effet, n'apparaissent dans ces statistiques que les attaques qui ont été détectées par les moyens de protection et de surveillance mis en place par les entreprises, ou, en l'absence de ceux-ci, quand les effets de l'attaque sont devenues visible au grand jour. Ainsi, une très large part des attaques, notamment celles ayant pour objectif le vol d'informations, restent méconnues, y compris de leur cibles. On a coutume de dire que pour une entreprise, la question n'est pas de savoir si elle a été attaquée mais quand elle l'a été ou quand elle le sera.

Une intensification et une diversification de ces dernières sont-elles à prévoir sur l'année 2015 ?

Les cyber attaques vont clairement continuer à progresser en 2015 et dans les années suivantes. Le phénomène est mécanique. Il est lié à quatre facteurs. Le premier, c'est l'omniprésence de l'informatique et le développement de l'Internet des objets. On devrait avoir 50 milliards d'objets connectés en 2020. Les voitures sont un bon exemple. On a déjà eu un cas en 2010 d'un employé d'une concession américaine qui a immobilisé une centaine de voitures en accédant à distance à un dispositif utilisé en cas de non paiement des mensualités par les propriétaires. Le second facteur, c'est le développement exponentiel de la quantité de données produites (big data) et potentiellement accessibles. On risque donc fort de voir se multiplier les vols d'information massifs. Le troisième, c'est la transformation numérique qui se traduit par la dématérialisation progressive de très nombreuses activités. Il s'agit d'une fantastique opportunité, mais cela génère de nouveaux risques. Prenez par exemple ce que l'on appelle les arnaques à la présidence qui se sont multipliées ces derniers mois. Ce sont des escroqueries basées sur du social engineering, c'est à dire qu'elles exploitent d'abord des vulnérabilités humaines ou organisationnelles. Une fausse demande de virement est envoyée à une entreprise qui s'exécute, croyant répondre à une demande urgente de son président. Mais ces arnaques ne sont souvent possibles qu'en raison du piratage du système d'information, voire du réseau téléphonique de l'entreprise. Le quatrième facteur, enfin, c'est l'attractivité de la cybercriminalité par rapport à des formes de criminalité plus classiques. Les risques encourus sont moindres à cause de l'anonymat que permet le cyberespace, du caractère transnational du réseau et de la nature distribuée des infractions : il ne s'agit plus de commettre un hold-up à un million d'euros mais de dérober un million de fois un euro. Pour la criminalité, c'est donc aussi "l'âge de la multitude", pour reprendre le titre d'un livre d'Henri Verdier et de Nicolas Colin qui annonce, après la révolution numérique, le troisième âge du capitalisme.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par daerlnaxe - 13/10/2014 - 18:53 - Signaler un abus super creux l'article.

    super creux l'article. On n'évoque même pas qu'une raison massive est l'émergence de certains pays contre lesquels l'arsenal juridique est inexistant puisque ces pays n'ont strictement aucune loi et se foutent royalement d'ailleurs de ce qui pourrait déranger l'occident. Quand à l'exemple des voitures, le cas est particulier aux usa car c'est un véritable filon... le systeme américain permet en cas de retard d'une traite de saisir une voiture, mais surtout de ne pas rendre l'argent payé par le client. Donc les dossiers de crédits sont montés à l'arrache, accordé à des gens que l'on sait insolvables pour pouvoir faire un véritable buiseness dessus. Ca risque d'etre avec les prêts étudiants une nouvelle crise là bas ! Donc cette backdoor innommable implanté dans les véhicules a été mise en avant par une panne globale , et bien tant mieux ! c'était nécessaire que cela fasse scandale ! Ce qu'oublie l'article bien partial c'est que beaucoup d'attaques ont aussi pour but, comme un sport, pour les hackers de pénétrer un systeme et d'éprouver les sécurités, la réalité c'est que c'est un bonus pour les entreprises car eux n'abiment rien !

  • Par daerlnaxe - 13/10/2014 - 18:57 - Signaler un abus Aussi, aborder la question du

    Aussi, aborder la question du législatif c'est faire preuve une nouvelle fois de stupidité sur la question puisque les indélicats eux seront certainement hors d'atteinte des moyens européens, et finalement les sanctions ne tomberont que sur des gens qui n'ont pour but que de mettre en avant la négligence de sociétés qui engrangent des données sans les sécuriser et mettent en péril la vie ... car se retrouver ruiné, ou avec un vol d'identité c'est un drame... de leurs clients. Maintenant si une boite n'arrive pas à penser à mettre en place un systeme de cryptage performant à l'heure ou l'on fait des clés de cryptage colossales grave à la puissance des machines, et en prime se doter d'un vpn... que dire... de plus c'est pas comme s'il n'existait pas des solutions performantes pour les grosses structures pour sécuriser les ordres. j'ai bossé pour ikea, je ne donnerai pas par principe les informations relatives à leur sécurité, mais étant en maintenance, entre autre informatique, c'est assez fiable avec une zone qui permettra autant l'isolement du réseau que du physique ce que beaucoup de boitent ne pensent pas à faire.. le premier indélicat est souvent un employé.

  • Par daerlnaxe - 13/10/2014 - 19:02 - Signaler un abus Après ce que l'article ne dit

    Après ce que l'article ne dit pas, c'est qu'a part le hacker du dimanche, vraiment à la ramasse, on n'attaque pas les petites structures qui par ailleurs n'auront pas de pdg. Après elles grossissent par contre bien les chiffres des zones attaquées, tout comme les facs qui sont de vrais gruyères, car on emploi des gens qui connaissent la maintenance informatique se limitant à cliquer sur "installer windows", et sur "résoudre les problèmes". Des mecs qui de toute facon ne sont pas passionnés d'informatique, n'évoluent pas... Or l'informatique est un secteur qui bouge sans cesse. A coté, j'ai une formation en électrotechnique, le secteur est bien figé et bien rasoir en comparaison. Et je vais conclure, ayant été pirate jusqu'il y a 10 ans, je n'ai jamais abimé une seule machine, je n'ai pas évolué sur le piratage puisque j'ai cessé si ce n'est en revanche sur la sécurité par contre. Et même si le logiciel a une faille actuellement, a l'époque truecrypt était une référence, surtout pour planquer totalement une partition, et quand vous débarquiez dans un service maintenant pour postuler, personne ne connaissait....

  • Par daerlnaxe - 13/10/2014 - 19:08 - Signaler un abus et lorsque je piratais je

    et lorsque je piratais je prenais 10% de la bande passante sur des réseaux d'un débit 1Gbps. et je gérais tout le parc informatique que le sysop était pas capable de gérer lui même dégageant tous les parasites qui venaient. Virant les labyrinthes de fichier, les virus et cie au point que parfois repéré par des sysop on me laissait, comme on laissait mes copains car je faisais tout le travail contre une petite place sur les disques dur et un peu de bande passante. Alors la France a du retard sur internet, ca se sent après un tel article, elle est en train de faire les erreurs que les américains ont fait avec leurs pirates. Il y a plus à gagner à embaucher un hacker bien souvent qu'a le poursuivre, tout dépend de son comportement, s'il a fait preuve de déontologie ou pas. Et a l'heure actuelle, ceux qui font le boulot au niveau mondial, ce sont pas les entités dont vous parlez mais les électrons libres qui composent les anonymous et qui ont leurs propres teams. Même le FBI et la NSA n'arrivent pas à faire aussi bien car il y a une réelle guerre qui se mène contre d'autres groupes nocifs en provenance d'arabie saoudite, chine etc.

  • Par daerlnaxe - 13/10/2014 - 19:13 - Signaler un abus Et je me souviens d'un ami

    Et je me souviens d'un ami dont le pc fut hacké sous xp... mon pote tétu avait levé toutes les sécurités que j'avais mis (toujours le même problème, l'utilisateur) ... le gars lui a juste donné la manipulation à faire, à savoir remettre un mot de passe, remettre un firewall, un controleur d'installation, anti malware, antivirus etc etc.. (et oui il avait tout levé) , dans un fichier txt qu'il avait mis sur son bureau. Quand je lis ce type d'articles je me demande surtout si on ne gonfle pas les chiffes pour inclure les évolutions pour sécuriser, ce qui n'est pas un cout mais un investissement ! C'est comme une banque qui en achetant un coffre fort estimait que c'était un cout... Je doute qu'on différencie le cout lié aux attaques nocives des attaques pour montrer les failles.

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Guillaume Tissier

Guillaume Tissier est directeur général de CEIS, une société de conseil en stratégie et en management des risques qui intervient notamment dans l'analyse des cyber risques (www.ceis.eu). CEIS est également l'un des organisateurs du Forum International de la Cybersécurité (FIC) dont la 7ème édition, placée sous le haut patronage du Président de la République, aura lieu les 20 et 21 janvier 2015 à Lille (www.forum-fic.com).

Voir la bio en entier

Je m'abonne
à partir de 4,90€