Invest in Cyber, un éclairage à 360° sur la cybersécurité

Invest in Cyber, un éclairage à 360° sur la cybersécurité

20 Oct 2015

Automobiles, smart grids, systèmes industriels, médias, banques, objets connectés…. Les journées Invest in Cyber, de rencontre entre investisseurs et acteurs de la cybersécurité, faisaient un tour d’horizon des impacts et enjeux d’un sujet de plus en plus brûlant. En voici quelques points saillants.

« Rendez-vous à l’année prochaine ! ». C’est sur ce souhait que s’est achevée la convention d’affaires Invest in Cyber tant le thème de la cybersécurité semble inépuisable. Elle se tenait les 14 et 15 octobre à l’Inria Rennes, dans le cadre des Opportunités Digitales, à l’initiative d’Images & Réseaux et avec la collaboration du pôle d’excellence Cyber et ses partenaires. Deux journées très denses, structurées autour de neuf conférences et tables rondes multipliant les points de vue sur un sujet qui traverse toute la société numérique. Le condensé qui suit pioche dans cet ensemble pour en extraire quelques réflexions apparues souvent de façon récurrente au cours des débats.

Les menaces se précisent

La cybercriminalité fait l’actualité. Il ne se passe plus de jour sans que l’on évoque ici la prise de contrôle momentanée d’un équipement, là un vol de données. Mais pour la plupart des experts présents à Rennes, le tournant date de 2010, année de la découverte du ver informatique Stuxnet capable d’espionner et de reprogrammer un système industriel. Il a été mis au point, vraisemblablement par une équipe israélo-américaine, pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium. Ainsi pour Marc Lagouardat, d’ERDF, Stuxnet a été « un révélateur de ce qu’il est possible de faire, dès l’instant où l’on dispose d’une équipe déterminée et outillée ». Au point que l’attaque a eu des « effets de bord » sur la façon de penser les outils de conduite du distributeur français d’électricité.

Les menaces sont multiformes : vol, fraude, espionnage, déstabilisation, sabotage… Elles concernent tout le monde : particuliers, institutions et entreprises. Et elles sont devenues le lot quotidien des responsables des systèmes d’information. Fabrice Bazard, qui représentait Ouest-France dans la table ronde consacrée à la sécurité des médias donne cet exemple d’un site quasi homonyme de celui du journal créé dans l’intention de « détourner les contenus » à son profit.

Les fragilités sont partout

C’est l’un des enseignements de ces deux jours qui balayaient des domaines aussi divers que les systèmes de contrôle industriels, les médias ou les banques : il existe des failles partout. Et ce d’autant que « la surface d’attaque », comme on dit dans le jargon de la sécurité numérique, augmente avec l’interconnexion de systèmes d’information de plus en plus ouverts. Par exemple, Gérard Chevalier, du groupe Cybel, constate à propos de la voiture connectée que « la probabilité de sécuriser un véhicule baisse avec le nombre de calculateurs embarqués ». Et par conséquent : « Plus on va vers l’autonomie du véhicule, plus on augmente les possibilités d’attaque ».

Constat identique de la part de Didier Giarratano, de Schneider Electric, pour le secteur de l’énergie. Il prévient : « Même quand on met en place une porte blindée, la question est : combien de temps elle va durer. » Mais les plus alarmistes restent les professionnels du test et de l’audit de sécurité. Yann Allain, d’Opale Security, déplore que dans de grandes organisations comme les banques : « Ce ne sont pas des faiblesses que l’on découvre. Ce sont des manquements ! » Et de citer l’exemple d’une banque anglaise « piégée par une simple pièce jointe malveillante » qui lui aura coûté 20 millions de livres.

Apprendre à vivre avec et se préparer

Pour autant, il n’est pas question de vivre barricadé. Selon Stéphane Meynet de l’ANSSI, « nous vivons dans un monde numérique et c’est comme ça ». Il estime que, notamment à l’échelle d’une PME, « la sécurité commence par des éléments simples » qui sont de l’ordre de « l’hygiène informatique » et de « bonnes pratiques », que l’on peut d’ailleurs consulter aisément sur le site de l’agence. Il conseille d’adapter la réponse en fonction des besoins et des risques, en commençant par se prémunir de la malveillance : « Se protéger d’une attaque étatique ou maffieuse est d’un autre niveau. Il faut procéder par étapes. »

Jean-Michel Brun, de Schneider Electric, intervenait dans la table ronde consacrée aux systèmes de contrôle industriel. Il met l’accent sur l’anticipation : « La question n’est pas de savoir s’il y aura attaque ou pas ; le problème arrivera. Ce qu’il faut, c’est mettre en place la réponse. » D’où la nécessité de détecter les attaques pour pouvoir réagir. Frédéric Cuppens, chercheur à Télécom Bretagne, va encore plus loin, en parlant de résilience : « Il faut faire l’hypothèse que l’attaque réussit et que le système est capable de continuer à fonctionner. La survivabilité du système est un vrai sujet, dont il faut se saisir. »

Une exigence : la vue d’ensemble

Pour sécuriser, que faire ? Eric Singer, de Akka Technologies, insiste d’abord sur la nécessité d’intégrer la sécurité « dès la conception » quel que soit l’objet visé. Puis il prévient que la solution ne peut pas être uniquement technologique : « La sécurité est aussi une question de méthodologie et de process. » C’est aussi l’avis de Frédéric Cuppens quand il affirme : « Il faut travailler la sécurité de chacune des briques dans une vision systémique. »

Cette vision globale, selon Guillaume Prigent, se heurte parfois aux réalités industrielles qui mêlent des équipements hétérogènes. Pour le fondateur de Diateam, il existe deux mondes : celui de l’information (IT), « relativement maîtrisé » et dont le cycle de mises à jour est court, et celui de l’opérationnel (OT), « où il faut tenir compte de l’existant », qui peut être très ancien.

Mettre de l’humain dans la boucle

Le problème de mondes qui se côtoient sans véritablement dialoguer semble être une constante. Le cas est notamment évoqué par Jérôme de Labriffe, de Calao Finance, à propos du secteur bancaire. « Il faut rapprocher l’expert sécurité de l’expert métier. C’est ce dernier qui peut dire ce qui est critique pour lui. » Également par Yann Allain à propos des objets connectés : « Les ingénieurs électroniques ne savent rien de la sécurité, et inversement l’expert sécurité n’a pas de notions d’électronique. »

D’où l’urgence de créer des ponts, notamment au travers de la formation : pour sortir de nouveaux experts en cybersécurité, pour enseigner la sécurité aux ingénieurs et aux experts-métiers, et pour sensibiliser les utilisateurs finaux. Car il faut considérer « toute la chaîne » et s’entrainer à réagir « sans attendre que le problème arrive », avertit Guillaume Prigent.

Y voir une source d’opportunités

La sécurité est une contrainte qui s’impose à tous. Mais pour Thierry Rouquet, président de la commission cybersécurité de L’AFDEL, elle peut aussi devenir un atout. « Depuis deux ou trois ans, la cybersécurité passe du statut de Mal nécessaire à celui de Business enabler… Intégrer la sécurité dans ses produits et services est devenu un argument concurrentiel. »

Le marché de la cybersécurité, dominé par les États-Unis et Israël, est en forte croissance au plan mondial avec +10% par an pour atteindre 170 Md$ en 2020. C’est un marché « encore immature » et « hyper-segmenté ». En France, il est essentiellement animé par des startups « de petite taille » qui ont peu de poids à l’international. Thierry Rouquet compte sur l’inventivité des startups et une « ambition collective » pour convaincre des investisseurs trop frileux à son goût. « Il nous faut des champions ! C’est ce qui permettra d’accélérer la structuration de l’écosystème. »

C’était précisément l’objectif de cette convention Invest in Cyber que de contribuer à la construction d’un écosystème français autour de la cybersécurité et avec les investisseurs. Des journées très productives qui en appellent d’autres. Peut-être l’an prochain ?

Plus

Ecoutez les interviews réalisées au cours de la convention par la Radio des entreprises. « Thierry Rouquet : les enjeux de la cyber-sécurité » et « Éric Singer : la voiture connectée future cible des hackers« . Sur la radio du pôle Images & Réseaux.

Billets similaires :