Pour se défendre contre les cyberattaques et savoir les anticiper, les entreprises privées, notamment à données stratégiques, et les services français (ANSSI, DCRI) ont compris qu’il valit mieux s’allier. C’est l’objectif du colloque organisé par le CDSE (Club des directeurs de sécurité des entreprises), qui se déroule à l’OCDE.
Face à la cybercriminalité, public et privé se baladent main dans la main… Le CDSE est une petite fédération regroupant des responsables de la sécurité et de la sûreté et des risk managers des plus grandes entreprises françaises, privées et publiques. Il réunit un grand nombre de sociétés du CAC 40, notamment celles qui, comme Total ou Air France, doivent faire face à des problématiques de sécurité à l’international. Autant dire que tout le gratin « de la sécu » est réuni, pour ce colloque qui vise à rapprocher public et privé dans le domaine de la cyberdéfense. Parmi les intervenants aux différents débats organisés, on pourra croiser Gilles Afchain, par exemple, responsable de la protection des informations d’Areva ; Pascal Andréi, directeur de la sûreté aérienne d’Airbus ; Maître Christiane Feral-Schuhl, bâtonnier de l’Ordre des Avocats de Paris et grande spécialiste de ces questions ; ou encore un représentant de la DCRI (Direction Centrale du Renseignement Intérieur) qui réalisera une démonstration technique des capacités « grand public » de captation de données à distance.
Ce colloque, qui se déroule à l’OCDE, intervient dans un contexte où la sécurité est désormais prise en compte de manière globale : l’idée a fait son bonhomme de chemin et plus personne ne semble aujourd’hui contester le fait que sécuriser une entreprise (le siège sociale, par exemple, ou uniquement les antennes françaises) sans sécuriser l’ensemble du dispositif stratégique de l’institution, n’a aucun sens… Cet évènement est donc une caisse de résonance des difficultés rencontrées par les entreprises au cours de l’année qui s’achève. Un retour d’expérience indispensable, car comme le souligne Christian Aghroum, ancien haut fonctionnaire de défense du Ministère de l’Intérieur et actuel président de la commission sécurité au CDSE : « Quand une entreprise est victime d’une attaque, en général, elle ne communique pas. En réalité, les faits sont remontés aux RSSI, pour éviter toute autre attaque sournoise. Ces dernières années, les attaques de Stuxnet, Flame et Duqu à l’encontre des systèmes SCADA (lire à ce propos l’interview d’Adrien Gévaudan dans 42mag.fr, ndlr) prouvent bien que l’informatique opérationnelle est aussi concernée que l’informatique bureaucratique. Il n’y a pas que des attaques DDoS… »
La mutation du hacking
La typologie de la menace a évolué au cours de ces dernières années. En effet, des années 1990 à 2000, la menace était portée sur des acteurs isolés, et ne représentait pas de grands risques. Entre 2000 et 2008, les hackers se sont rassemblés en cellules, afin de trouver les failles techniques, leur permettant de récolter des fonds de leurs attaques : le hacker est ici passé de « je pirate pour la gloire » à « je pirate pour l’argent ». Depuis 2008, les États sont de plus en plus impliqués dans le domaine numérique, la sophistication de la menace a largement augmenté, et les inquiétudes avec. Mais les attaques sont désormais plus discrètes, aussi, comme le ver Stuxnet qui a été découvert des années après son introduction dans le système… La question reste à savoir : comment détecter une attaque silencieuse ? Une problématique complexe, qui demande des budgets conséquents, des compétences précises. Ainsi l’État, qui est de plus en plus souvent la cible d’attaques, et des institutions et entreprises stratégiques ont scellé leur alliance en matière de cyberdéfense.
« Sécurité informatique : anticiper les crises, plus que de le gérer. »
Cette journée sera l’occasion de rendre publique une enquête menée auprès d’une vingtaine de directeurs de la sécurité (RSSI, responsables de la sécurité des système d’information) de grands groupes français industriels, gestionnaires de réseaux ou fournisseurs de service. Il en ressort une prise de conscience générale : il faut anticiper les menaces, pour ne plus avoir à y faire face. Au cœur de ces systèmes d’information, la première source de vulnérabilité reste l’humain (« la pire faille d’une entreprise, c’est la faille humaine », dicton sur lequel repose les techniques de l’ingénierie sociale), et en même temps, c’est aussi souvent l’humain, qui, le premier, détecte les intrusions. D’autre part, la problématique de sécurité varie en fonction des entreprises : la protection des données des clients, chez France Telecom ne pose les mêmes questions que la protection des données sensibles d’Areva, par exemple. Est-ce que le groupe est ouvert sur l’international ? Quel est son niveau de maturité en matière de sécurité ? Les réponses sont à trouver au cas par cas, en fonction des spécificités du groupe à protéger.
Les retardataires
Le manque d’anticipation est le talon d’Achille de la France. En effet, aux États-Unis, cela fait de nombreuses années que la questions de la sécurité informatique des entreprises est réfléchie et étudiée dans les universités, fournissant ainsi des bases de réflexions académiques. En France, au niveau du gouvernement, par exemple, l’ANSSI (l’Agence Nationale de la sécurité des systèmes d’information) commence enfin à recruter (en masse, du coup, pour rattraper le « retard français ») des ingénieurs et autres spécialistes. On peut imaginer que les professionnels les plus doués en la matière, auront plutôt tendance à aller dans le secteur privé, plus rémunérateur, que de travailler pour le gouvernement français, même si ce dernier espère pouvoir changer la tendance.
Peu à peu, l’ANSSI a aussi pris conscience qu’elle devait recruter peut-être des profils hors norme, des « hackers autodidactes », en quelques sorte. Pour Alain Juillet, grand spécialiste du renseignement (ancien Directeur du renseignement à la DGSE, ancien haut responsable de l’intelligence économique auprès du Premier ministre) et nouveau président du CDSE, les entreprises ne recrutent pas que des profils « classiques » : « Nous avons besoin de ces self-made hackers. J’en ai appris bien plus avec le fils de ma concierge en une heure, sur le piratage des entreprises, qu’avec tous les spécialistes autour de moi », dit-il à moitié sur le ton de la plaisanterie. Christian Aghroum émet cependant un bémol : pour lui, ce genre de profil « a des difficultés à s’adapter au monde de l’entreprise ». Certaines firmes américaines l’ont d’ailleurs bien compris puisque certaines d’entre elles permettent à leurs employés de travailler chez eux, sans horaires fixes. La seule contrainte étant celle du résultat. Une prise de conscience qui n’a pas encore fait tout à fait son chemin en France…
“J’en ai appris bien plus avec le fils de ma concierge en une heure, sur le piratage des entreprises, qu’avec tous les spécialistes autour de moi”, Alain Juillet
Alain Juillet explique que les mentalités doivent changer : « Il faut essayer de comprendre et avoir de bons réflexes. On ne peut pas tout protéger dans une entreprise. Et dans certains domaines, il faut admettre qu’il y ait des risques. » En cas d’attaque d’une entreprise, certains observateurs ont souligné le manque de réactivité de l’ANSSI : « L’État ne peut pas intervenir dans la seconde, c’est pas Darty. », rétorque Alain Juillet. Dans l’étude qui sera remise aujourd’hui à tous ces professionnels, une majorité des personnes interviewées notent une « amélioration de la capacité de l’ANSSI à intervenir dans les dossiers d’actualité ou encore à diffuser les alertes critiques. » Selon le rapport, « ils attribuent ces améliorations aux efforts de l’agence pour renforcer ses équipes et sortir du cadre imposé précédemment par son statut de direction centrale ».
Une question qui sera sûrement débattue, si ce n’est dans les conférences inscrites au planning, au moins en bruit de fond de ce colloque.