En direct
Best of
Best of du 3 au 9 août
En direct
© Reuters
Des pirates ont fait irruption dans les systèmes informatiques de JPMorgan Chase.
/!\

Pourquoi 2015 sera l’année des failles de sécurité en ligne massives (et personne ne s’en préoccupe vraiment)

Publié le 13 octobre 2014
L'omniprésence de l'informatique, le développement exponentiel de la quantité de données et la dématérialisation de très nombreuses activités rend la sécurité des systèmes et de nos informations de plus en plus précaire. Une véritable révolution doit être menée, qui peine à démarrer.
Guillaume Tissier est directeur général de CEIS, une société de conseil en stratégie et en management des risques qui intervient notamment dans l'analyse des cyber risques (www.ceis.eu). CEIS est également l'un des organisateurs du Forum...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Guillaume Tissier
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Guillaume Tissier est directeur général de CEIS, une société de conseil en stratégie et en management des risques qui intervient notamment dans l'analyse des cyber risques (www.ceis.eu). CEIS est également l'un des organisateurs du Forum...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
L'omniprésence de l'informatique, le développement exponentiel de la quantité de données et la dématérialisation de très nombreuses activités rend la sécurité des systèmes et de nos informations de plus en plus précaire. Une véritable révolution doit être menée, qui peine à démarrer.

Atlantico : Des pirates ont fait irruption dans les systèmes informatiques de JPMorgan Chase et ont subtilisé noms et coordonnées de 83 millions de ménages, ainsi que de petites entreprises. Ce n'est pas là un cas isolé, puisque d'autres compagnies ont également été touchées (Home Depot et TJ Maxx, Target et Michaels). Quels ont été la nature et le volume des cyberattaques sur l'année 2014 ?

Guillaume Tissier : Le coût de la cybercriminalité, c'est à dire les pertes et le manque à gagner qu'elle entraîne, s'élève à environ 350 milliards par an selon une récente étude américaine. Et il ne s'agit que d'estimations très imparfaites. D'une part parce qu'elles recouvrent des attaques ayant des finalités très différentes : on peut distinguer les escroqueries, l'espionnage et le vol d'information, l'hacktivisme (qui consiste par exemple à "défacer" un site ou à le perturber par des attaques dites en déni de service), les sabotages. D'autre part, parce que l'on ne voit que la partie visible de l'iceberg. En effet, n'apparaissent dans ces statistiques que les attaques qui ont été détectées par les moyens de protection et de surveillance mis en place par les entreprises, ou, en l'absence de ceux-ci, quand les effets de l'attaque sont devenues visible au grand jour. Ainsi, une très large part des attaques, notamment celles ayant pour objectif le vol d'informations, restent méconnues, y compris de leur cibles. On a coutume de dire que pour une entreprise, la question n'est pas de savoir si elle a été attaquée mais quand elle l'a été ou quand elle le sera.

Une intensification et une diversification de ces dernières sont-elles à prévoir sur l'année 2015 ?

Les cyber attaques vont clairement continuer à progresser en 2015 et dans les années suivantes. Le phénomène est mécanique. Il est lié à quatre facteurs. Le premier, c'est l'omniprésence de l'informatique et le développement de l'Internet des objets. On devrait avoir 50 milliards d'objets connectés en 2020. Les voitures sont un bon exemple. On a déjà eu un cas en 2010 d'un employé d'une concession américaine qui a immobilisé une centaine de voitures en accédant à distance à un dispositif utilisé en cas de non paiement des mensualités par les propriétaires. Le second facteur, c'est le développement exponentiel de la quantité de données produites (big data) et potentiellement accessibles. On risque donc fort de voir se multiplier les vols d'information massifs. Le troisième, c'est la transformation numérique qui se traduit par la dématérialisation progressive de très nombreuses activités. Il s'agit d'une fantastique opportunité, mais cela génère de nouveaux risques. Prenez par exemple ce que l'on appelle les arnaques à la présidence qui se sont multipliées ces derniers mois. Ce sont des escroqueries basées sur du social engineering, c'est à dire qu'elles exploitent d'abord des vulnérabilités humaines ou organisationnelles. Une fausse demande de virement est envoyée à une entreprise qui s'exécute, croyant répondre à une demande urgente de son président. Mais ces arnaques ne sont souvent possibles qu'en raison du piratage du système d'information, voire du réseau téléphonique de l'entreprise. Le quatrième facteur, enfin, c'est l'attractivité de la cybercriminalité par rapport à des formes de criminalité plus classiques. Les risques encourus sont moindres à cause de l'anonymat que permet le cyberespace, du caractère transnational du réseau et de la nature distribuée des infractions : il ne s'agit plus de commettre un hold-up à un million d'euros mais de dérober un million de fois un euro. Pour la criminalité, c'est donc aussi "l'âge de la multitude", pour reprendre le titre d'un livre d'Henri Verdier et de Nicolas Colin qui annonce, après la révolution numérique, le troisième âge du capitalisme.

Des attaques ciblées sur des sites à risque (centrale nucléaire, barrage, etc.) sont-elles possibles ? Un cyber-chantage à l'Etat est-il envisageable ?

La sécurité des systèmes de contrôle et de supervision (appelés systèmes SCADA) qui contrôlent de très nombreux automatismes, notamment chez les opérateurs d'infrastructures vitales (énergie, transport...), est une priorité absolue. Ces outils sont en effet de plus en plus connectés, ce qui les rend vulnérables. Rappelons nous de Stuxnet et de l'infection par un malware des centrifugeuses iraniennes, a priori via une simple clé USB. Quant au chantage, c'est effectivement une tendance lourde en matière d'attaques informatiques.  Un pirate crypte vos données avec un ransomware ou vous bloque l'accès à celles-ci et vous demande ensuite de l'argent pour vous les restituer. On ne peut donc écarter dans l'absolu des attaques visant à perturber ou à paralyser des infrastructures sensibles, ou des cyber-chantages à un État. A la fois parce que certains groupes peuvent en avoir la volonté et parce que les capacités techniques existent. C'est la rencontre des deux qui crée le risque. On voit d'ailleurs se développer aujourd'hui de véritables offres de "Crimeware as a service", grâce auxquelles des groupes terroristes ou mafieux "traditionnels" pourraient acheter des capacités d'attaque sur étagère.

Quelles sont les mesures engagées pour remédier aux failles de sécurité informatique ?

Si la menace progresse, la réponse s'organise progressivement aux plans juridique, technique, humain et organisationnel. Le point essentiel, c'est de poursuivre inlassablement cet effort car ce sera toujours une course entre attaquants et défenseurs. Au plan gouvernemental, la France a considérablement renforcé ses moyens de lutte. Dans la lignée des deux livres blancs sur la sécurité et la défense nationale, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a vu ses capacités renforcées avec la Loi de Programmation Militaire 2014-2019. Grâce aux décrets d'application en cours de préparation, elle pourra désormais, au nom du Premier ministre, imposer aux opérateurs d'infrastructures vitales des mesures de sécurité. Ceux-ci devront par ailleurs déclarer les incidents constatés sur leurs systèmes d'information. Côté privé, les entreprises progressent également dans la prise en compte du phénomène, notamment en mutualisant leur sécurité et en recourant aux services d'acteurs spécialisés. L'essor du cloud computing et de réseaux d'entreprises constitués d'une part d'ordinateurs qui s'apparentent de plus en plus à des terminaux et, d'autre part, de grosses fermes informatiques peuvent, de ce point de vue, constituer une opportunité puisqu'ils permettent en théorie de professionnaliser la sécurité et de transférer le risque chez un spécialiste. En revanche, au-delà des aspects purement techniques, la question de la confiance, notion subjective, n'en devient que plus essentielle. Il ne s'agit plus de chiffrement, de mot de passe ou de sauvegarde, mais de clauses contractuelles, de transparence dans la chaîne des prestataires utilisés et... de souveraineté numérique.

Est-il en définitive possible de lutter contre ces cyberattaques ?

Oui. Il n'y a pas de fatalité, et le pire serait que le développement de nouveaux usages soit durablement freiné par des problèmes de sécurité. Mais il est vital pour cela de faire de évoluer notre modèle de sécurité. La protection par l'anti-virus ou le firewall ne suffit plus. Il faut intégrer le fait que les attaques sont le lot quotidien de tout système d'information, et donc surveiller en permanence les réseaux pour détecter les attaques et réagir en temps quasi-réel. En amont, il est aussi essentiel de construire des systèmes intrinsèquement résilients, c'est à dire capables d'encaisser les chocs et de s'adapter en permanence aux attaques. C'est la sécurité "by design". C'est aussi le "secure coding" qui permet aux développeurs, grâce à des outils de programmation intégrant la vérification de l'intégrité du code informatique produit, de limiter les failles de sécurité dès la conception. D'où l'importance des travaux de Gérard Berry, professeur au Collège de France et médaille d'or du CNRS en 2014. N'oublions pas que les erreurs humaines demeurent les premières causes d'incident informatique...

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Crise de foie, 5 fruits et légumes : petit inventaire de ces fausses idées reçues en nutrition

02.

Jean-Bernard Lévy, celui qui doit faire d’EDF le champion du monde de l’énergie propre et renouvelable après un siècle d’histoire

03.

Manger du pain fait grossir : petit inventaire de ces contre-vérités en médecine et santé

04.

Un été tranquille ? Pourquoi Emmanuel Macron ne devrait pas se fier à ce (relatif) calme apparent

05.

Comme Richard Ferrand, nous appelons à un « sursaut collectif contre la violence ». Oui, mais contre toutes les violences !

06.

Pourquoi le ralentissement économique occidental n'a que peu de liens avec la guerre commerciale sino-américaine

07.

Au Yémen, les Emirats Arabes Unis défendent leurs intérêts... au détriment des Saoudiens

01.

« La France a une part d’Afrique en elle » a dit Macron. Non, Monsieur le Président, la France est la France, et c'est tout !

02.

​Présidentielles 2022 : une Arabe à la tête de la France, ça aurait de la gueule, non ?

03.

Crise de foie, 5 fruits et légumes : petit inventaire de ces fausses idées reçues en nutrition

04.

La saga du Club Med : comment le Club Med résiste à la crise chinoise

05.

Manger du pain fait grossir : petit inventaire de ces contre-vérités en médecine et santé

06.

Comment se fait-il qu'un pays aussi beau que la Pologne ait un gouvernement de m... ?

01.

Ces quatre pièges qui pourraient bien perturber la rentrée d'Emmanuel Macron (et la botte secrète du Président)

02.

"Une part d'Afrique en elle" : petit voyage dans les méandres de la conception macronienne de la nation

03.

« La France a une part d’Afrique en elle » a dit Macron. Non, Monsieur le Président, la France est la France, et c'est tout !

04.

​Présidentielles 2022 : une Arabe à la tête de la France, ça aurait de la gueule, non ?

05.

Quand le moisi (Jean-Michel Ribes) s'en prend à la pourriture (Matteo Salvini)

06.

Italie : quelles leçons pour la droite française ?

Commentaires (5)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
daerlnaxe
- 13/10/2014 - 19:13
Et je me souviens d'un ami
Et je me souviens d'un ami dont le pc fut hacké sous xp... mon pote tétu avait levé toutes les sécurités que j'avais mis (toujours le même problème, l'utilisateur) ... le gars lui a juste donné la manipulation à faire, à savoir remettre un mot de passe, remettre un firewall, un controleur d'installation, anti malware, antivirus etc etc.. (et oui il avait tout levé) , dans un fichier txt qu'il avait mis sur son bureau.
Quand je lis ce type d'articles je me demande surtout si on ne gonfle pas les chiffes pour inclure les évolutions pour sécuriser, ce qui n'est pas un cout mais un investissement ! C'est comme une banque qui en achetant un coffre fort estimait que c'était un cout... Je doute qu'on différencie le cout lié aux attaques nocives des attaques pour montrer les failles.
daerlnaxe
- 13/10/2014 - 19:08
et lorsque je piratais je
et lorsque je piratais je prenais 10% de la bande passante sur des réseaux d'un débit 1Gbps. et je gérais tout le parc informatique que le sysop était pas capable de gérer lui même dégageant tous les parasites qui venaient. Virant les labyrinthes de fichier, les virus et cie au point que parfois repéré par des sysop on me laissait, comme on laissait mes copains car je faisais tout le travail contre une petite place sur les disques dur et un peu de bande passante.
Alors la France a du retard sur internet, ca se sent après un tel article, elle est en train de faire les erreurs que les américains ont fait avec leurs pirates. Il y a plus à gagner à embaucher un hacker bien souvent qu'a le poursuivre, tout dépend de son comportement, s'il a fait preuve de déontologie ou pas.
Et a l'heure actuelle, ceux qui font le boulot au niveau mondial, ce sont pas les entités dont vous parlez mais les électrons libres qui composent les anonymous et qui ont leurs propres teams. Même le FBI et la NSA n'arrivent pas à faire aussi bien car il y a une réelle guerre qui se mène contre d'autres groupes nocifs en provenance d'arabie saoudite, chine etc.
daerlnaxe
- 13/10/2014 - 19:02
Après ce que l'article ne dit
Après ce que l'article ne dit pas, c'est qu'a part le hacker du dimanche, vraiment à la ramasse, on n'attaque pas les petites structures qui par ailleurs n'auront pas de pdg. Après elles grossissent par contre bien les chiffres des zones attaquées, tout comme les facs qui sont de vrais gruyères, car on emploi des gens qui connaissent la maintenance informatique se limitant à cliquer sur "installer windows", et sur "résoudre les problèmes". Des mecs qui de toute facon ne sont pas passionnés d'informatique, n'évoluent pas... Or l'informatique est un secteur qui bouge sans cesse. A coté, j'ai une formation en électrotechnique, le secteur est bien figé et bien rasoir en comparaison.
Et je vais conclure, ayant été pirate jusqu'il y a 10 ans, je n'ai jamais abimé une seule machine, je n'ai pas évolué sur le piratage puisque j'ai cessé si ce n'est en revanche sur la sécurité par contre. Et même si le logiciel a une faille actuellement, a l'époque truecrypt était une référence, surtout pour planquer totalement une partition, et quand vous débarquiez dans un service maintenant pour postuler, personne ne connaissait....