500 millions de comptes Yahoo! piratés… Comment la prochaine directive européenne sur la communication des failles de sécurité par les entreprises risque de porter préjudice à l’économie des Etats-membres

Atlantico : Jeudi 22 septembre, Yahoo! a déclaré publiquement que les données de 500 millions de comptes avaient été volées en 2014. Une nouvelle législation européenne verra prochainement le jour, et obligera les entreprises à communiquer sur ce type de faille. De quoi s’agit-il concrètement ? Quelles en seront, selon vous, les conséquences ?

Fabrice Epelboin : Cette directive, qui sera mise en application d'ici à 2018 en France, imposera quelque chose de vraiment nouveau : elle obligera les entreprises à communiquer publiquement en cas de fuites de données personnelles. Si elles ne le font pas, les amendes prévues sont colossales, de l'ordre de plusieurs pourcents du chiffre d'affaires de l'entreprise ou quelques centaines de milliers d’euros pour les plus petites. 

Or la cybercriminalité voit son impact progresser d’année en année, et toutes les entreprises sans exception gèrent des données personnelles (ne serait-ce que les données de leurs salariés). Si cette directive ne changera donc rien à la progression de la cybercriminalité, les failles de sécurité seront de plus en plus visibles aux yeux du grand public. A partir de 2018, les affaires du type Yahoo! se retrouveront régulièrement dans la presse. Toutes les entreprises seront susceptibles d’avoir à annoncer ce type de nouvelles publiquement. Ainsi, leur réputation et la confiance que leur accorde leur clientèle va s’en ressentir.

Dans le meilleur des cas, la population se formera aux enjeux de sécurité et apprendra, par exemple, à ne pas ouvrir de pièces jointes d'un inconnu, et sera plus vigilante quant au phishing, ce qui est un bon début. Du côté des entreprises également, on peut espérer qu'elles améliorent leurs dispositifs de sécurité : lorsque qu’un particulier se fait pirater, c'est souvent parce qu'un prestataire s'est fait pirater et que des cybercriminels ont récupéré ses données personnelles.

Mais ce qui est vraisemblable, c'est qu'il y ait une impression psychologique d'explosion de la cybercriminalité - qui sera par ailleurs très difficile à nier. Et comme les médias sont généralement incultes en la matière, cette augmentation de la visibilité de la cybercriminalité enverra probablement de mauvais messages, et alimentera la psychose vis à vis des hackers, qui, il faut le rappeler, sont dans leur immense majorité au service de la sécurité.

Or l’Europe manque d'environ un million de hackers - qu’on appelle pudiquement “experts en sécurité informatique” - pour pouvoir, au contraire, renforcer la sécurité informatique de ses entreprises et de ses institutions. Cette psychose nous fait beaucoup de mal dans la cyberguerre mondiale qui est en cours et où les nations redoublent d’efficacité quand il s’agit d’aller voler les secrets industriels des entreprises et des institutions étrangères. Cette psychose tarie les vocations, et les hackers français s'exilent à l’étranger, où ils trouvent des rémunérations nettement plus importantes et un statut social à la hauteur de leurs compétences. Dans cette guerre, nous manquons cruellement de soldats, et nous allons nous retrouver fort démunis, et regretter amèrement cet amalgame fait continuellement par la presse entre hackers et cybercriminels. Le récent exemple d’une fausse alerte attentat déclenchée par des adolescents, qui se sont contentés d’utiliser une application assez basique pour changer leur identifiant d’appel et tromper la police, et qui ont été immédiatement qualifiés de hackers par la quasi totalité de la presse française, en est un parfait exemple. Les autorités et la presse sont responsables de cette psychose, lorsqu’ils véhiculent l’image du hacker pédophile et criminel ; il est urgent d’inverser cette tendance. 

Quelle est la réalité de la cybercriminalité aujourd'hui ?

Nous ne voyons aujourd'hui que la partie émergée de l'iceberg concernant la cybercriminalité, une réalité qui ne tient pas compte, qui plus est, de ce que font les différentes agences de renseignements de la planète, ainsi que leurs sous-traitants, qui sont très nombreux.  Cette directive européenne en montrera une ampleur plus réaliste. En termes financiers, les transferts de valeurs les plus importants de l’histoire de l’humanité ont sans doute eu lieu cette dernière décennie : c’est le corollaire de la société de surveillance dans laquelle nous sommes entrés, et qui concerne l’espionnage industriel. Les économies occidentales, ainsi que celles de nations comme la Chine, sont de plus en plus fondées sur de la propriété intellectuelle, laquelle se stocke de nos jours en 0 et en 1. Et des 0 et des 1, de nos jours, cela se vole. Si un industriel du secteur pharmaceutique dépense 10 milliards dans la mise au point d’une nouvelle molécule, avec un programme d'investissement sur huit ans, et qu’au bout de six ans et demi une agence de renseignement ou l’un de ses sous-traitants vole ces données pour le compte d’un autre industriel afin qu’il dépose un brevet avant le laboratoire qui a fait l’essentiel de la R&D, c’est une perte économique gigantesque au profit d’une autre nation. C’est de ce type de guerre que nous parlons.

Récemment, les plans de sous-marins construits par la Dcns ont été volés et ont été rendus publics (vraisemblablement par les services de renseignement britanniques, suite à la perte d’un marché au profit de la France), faisant perdre à l’économie nationale un marché de plusieurs milliards d’euros. Qui voudrait acheter un sous-marin dont les plans sont mis à la disposition de tous ? C’est un autre aspect de cette guerre économique en cours, et vous réalisez qu’au vu des sommes en jeu, on commence à parler en points de PIB pour ce qui est des pertes subies.

Le niveau de sécurité informatique des principaux acteurs économiques est-il si faible ?

Il faut comprendre deux choses importantes pour bien saisir le problème. D’une part, il n’existe pas de sécurité absolue, à 100%, il y a toujours des failles dans un système informatique. Ceux-ci sont de plus en plus complexes et il n’est pas humainement possible de ne pas introduire d’erreurs - de failles informatiques - lors de leur mise au point. Ensuite, un système informatique n’est pas figé, il est en constante évolution, et on y introduit constamment de nouvelles failles qui peuvent servir à un attaquant. La sécurité informatique doit être un processus continu, qui doit suivre le rythme de plus en plus frénétique de la production du code, qui est passé depuis des années en mode “agile”, un terme à la mode qui désigne un mode de développement qui consiste à mettre en production de nouvelles versions d’un système de façon très régulière, et donc d’y introduire de façon continue de nouvelles failles, qu’il faut également - du coup - corriger en continu. Là dessus, la sécurité informatique a du mal à s’adapter au rythme pris par le développement informatique ces derniers temps.

Certains acteurs économiques sont mieux sécurisés que d’autres, qui, eux, sont clairement défaillants, mais même pour les plus sérieux, le danger est réel. Vous imaginez bien qu’une entreprise comme Airbus est des plus sérieuses pour ce qui est de sa sécurité informatique, mais quand il s’agit de faire face à deux agences de renseignement - américaine et allemande - cela n’a pas suffit, et l’an dernier, une large quantité de propriété intellectuelle appartenant à Airbus a été dérobée par la Nsa. Les conséquences sont difficiles à estimer, mais cela se traduira inévitablement en termes d’emploi et de marchés, et de tels mastodontes économiques pèsent lourd dans la balance du commerce extérieur français.

Par ailleurs, il ne peut y avoir de cybersécurité sans main d’œuvre, tout comme, dans le monde réel, il ne peut y avoir de sécurité, particulièrement de nos jours, sans soldats et sans policiers. Or justement, nous avons un déficit critique de compétences, et les campagnes de presse négatives à l’encontre des hackers ne font qu’aggraver les choses.

Les particuliers souffriront-ils selon vous de cette situation ? Comment pourraient-ils s'en protéger ?

Les individus seront, eux, touchés par le vol de leurs données, de leurs mots de passe, de leur compte en banque en ligne ou de leur compte email, et de bien d’autres choses. Ils seront touchés au même titre que les entreprises, mais il y a fort à parier que les conséquences sur l’économie de cet espionnage industriel généralisé aura bien plus d'impact encore sur le citoyen ordinaire que le désagrément de voir l’un de ses comptes en ligne piratés. L’économie, l’emploi et la souveraineté du pays sont en jeu ; c’est, y compris à un niveau individuel, bien plus conséquent que le fait de se faire pirater son compte Facebook.