Sécurité et Stratégie est une publication du CDSE

Edito

Nous sommes au début d’un nouveau monde : un monde totalement interconnecté.
Aujourd’hui encore, certains systèmes d’information fonctionnent de manière
autonome. Des systèmes d’information d’infrastructures vitales ne sont pas interconnectés.

De même, encore peu d’objets sont reliés. Pensons par exemple aux stimulateurs cardiaques qui pour un grand nombre ne sont toujours pas reliés
à des ordinateurs. Or, ce monde de « l’indépendance » ou de la non intelligence (ne dit-on pas d’un système relié qu’il est intelligent) est amené à disparaître, ce qui va
poser des questions de sécurité redoutables. Avec la croissance exponentielle du nombre d’objets connectés dans les années à venir, qui ont été élaborés, pour une grande partie, sans préoccupations de sécurité, de nouveaux risques vont en
effet émerger.

Pensons en tout premier lieu aux données personnelles qui pourront être capturées et transmises. On voit déjà que de nombreux objets portatifs comme les montres intelligentes, les « fitbits », les thermostats ou encore les véhicules qui enregistrent et transmettent des informations sur leur propriétaire (leur santé, leurs déplacements,
leurs habitudes de vie) posent des problèmes au niveau de la protection de la vie privée dans la mesure où ces objets connectés sont mal protégés et même systématiquement exposés à des vulnérabilités que l’on retrouve depuis fort
longtemps sur des ordinateurs traditionnels. C’est un nouveau secteur industriel qui découvre les joies de la sécurité informatique, et qui sousestime les précautions à prendre.

Au-delà des données personnelles, ces objets connectés seront asservis par des pirates qui pourront aisément en prendre le contrôle pour monter des attaques distribuées par déni de service. On constate déjà que des réfrigérateurs et
autres objets connectés participent à des botnets. Leur valeur ne réside pas ici dans les données qu’ils stockent mais dans leur connectivité et leur capacité de nuisance pouvant être mobilisée à grande échelle par des acteurs malveillants. Il est
plus difficile de protéger ces objets car leurs interfaces sont peu ergonomiques et ne se prêtent pas vraiment à des mises à jour aussi faciles que les ordinateurs plus classiques (mais ne nous y trompons pas, ce sont des ordinateurs avant d’être
des objets). Un grand nombre de ces objets et capteurs vont d’ailleurs se trouver dans des centrales électriques, nucléaires, dans des banques, des
hôpitaux, sur la route…

Des attaquants seront en mesure d’en prendre le contrôle afin de dégrader
l’information dont dépendent leurs opérateurs ou d’interférer avec leur bon fonctionnement. L’armée chinoise aurait ainsi déjà envisagé d’exploiter l’hyper-connectivité de la chaîne logistique de l’armée américaine pour en désorganiser
le fonctionnement en cas de conflit. Il ne s’agit pas forcément de détruire, mais de ralentir et désorganiser. En fonction des objectifs recherchés, cela peut être suffisant dans certains cas.

Loin de se limiter aux objets, l’interconnectivité s’étend aux villes elles-mêmes. Les villes intelligentes (les smart cities) vont accélérer la prolifération de milliards de capteurs connectés dans les espaces ouverts dont les interactions aux
conséquences mal maîtrisées risquent d’affecter la sécurité publique.

Cette croissance des appareils connectés va générer des flux de données dont la sécurité dépendra de leur analyse à très grande échelle. Cela constituera l’avènement du Big Data et des techniques d’analyse basées sur des intelligences artificielles ou des algorithmes capables de détecter des tendances ou des comportements
anormaux. Cette automatisation de la cyber sécurité s’accompagnera probablement d’une évolution similaire du côté des attaquants, et le risque est grand de voir apparaître dans un avenir pas si éloigné des configurations où les attaques
et les stratégies de défense seront pilotées par des machines avec des interventions humaines limitées, en raison de la trop grande urgence des décisions à prendre. L’autonomie laissée aux machines et la difficulté à apporter des contrôles satisfaisants nous préparent à des questionnements redoutables.

Du côté des usagers et consommateurs, les solutions de prévention et de protection purement techniques ont d’ores et déjà montré leurs limites. Les attaquants ont bien identifié la dimension humaine comme étant le maillon faible permettant de contourner les fortifications numériques édifiées à grands frais pour protéger des systèmes
de plus en plus connectés. Dans ce nouveau monde qui semble se dessiner, il va donc falloir repenser nos systèmes de défense. A ce titre, il est certainement temps de prendre en compte les enseignements de l’économie comportementale
et de la psychologie sociale pour essayer d’imaginer comment il serait possible d’influencer à grande échelle les comportements des usagers afin de les convaincre d’adopter des modèles mentaux et de bonnes habitudes numériques favorisant des réductions significatives de la victimation. Il y a certainement nombre de leçons
à tirer d’expériences prometteuses menées en santé publique, en sciences de l’environnement et en développement qui pourraient être adaptées à la cybersécurité.

De même, il conviendrait de redoubler d’ingéniosité en matière de régulation. L’urgence s’impose pour les Etats de dresser un bilan des outils législatifs et réglementaires à leur disposition, et d’en tirer des leçons pour améliorer la cybersécurité des entreprises et des individus. Qu’il s’agisse de mesures fiscales incitatives comme les crédits d’impôts, d’une collaboration avec le marché via les compagnies d’assurance ou d’approches plus coercitives favorisant la conformité
à des règles plus strictes en matière de cybersécurité, les moyens sont nombreux mais les expérimentations restent assez rares et conventionnelles.

Enfin, ces évolutions tehnologiques susceptibles de se produire dans un avenir proche vont nécessiter la formation de milliers de spécialistes
capables d’opérer à la convergence des disciplines mentionnées plus haut. On ne peut pas dire que les universités ou les institutions d’enseignement soient très en pointe dans cette évolution, et les Nations qui vont tirer leur épingle du jeu seront
celles qui auront trouvé le moyen de former ces perles rares. Israël s’est doté d’un modèle intéressant et les États-Unis déploient aussi beaucoup d’efforts dans le domaine, mais chaque pays va devoir trouver un modèle qui lui est propre et qui
exigera très certainement des investissements conséquents.

Les transformations à venir vont être brutales, porteuses de progrès inouïs mais aussi de nouvelles menaces auxquelles aujourd’hui nos sociétés sont incapables de répondre. Au lieu de vivre ces évolutions avec crainte et pessimisme, voyons dans ces défis la possibilité pour de nombreuses Nations, dont fait partie la France, de
définir de nouveaux débouchés, de nouvelles sources de richesse et de création d’emplois.Voyons aussi pour les sciences sociales un terrain en friche qu’il convient urgemment d’explorer.

  • De l’utilité des indices de cybersécurité
  • (In)sécurité numérique et PME : transformer les défis en atouts
  • Espionnage, attaques subversives et cyber sécurité : de l’impact des actions de « social engineering » et des vulnérabilités humaines sur la sécurité globale des entreprises
  • Peut-on sécuriser l’Internet des Objets ?
  • Réglementation : Le ministère de la Défense et la protection des industries du secteur d’activité d’importance vitale « activités industrielles de l’armement
  • International : L’otage , un choix délicat entre protection et sacrifice
  • Retex : Voyages d’affaire et hôtellerie : la sûreté au cœur de la relation commerciale
  • Edito

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE