Notre dépendance au numérique nous rend vulnérable à un cyber ouragan -- mais nous pouvons y remédier

*|MC:SUBJECT|*
Nous n'avons donc pas d'autres choix que de réfléchir à la question.
12.12.2018
Planet Partners
un contenu proposé avec...
 

 Association  à  but  non  lucratif,  l’Institut  Montaigne  est  l’un  des  principaux think tanks français  et  européens.  Depuis  2000,  il  élabore  des  propositions  concrètes  au  service  de  l’efficacité  de  l’action  publique,  du  renforcement  de  la  cohésion  sociale,  de  l’amélioration  de  la  compétitivité  et  de l'assainissement des finances publiques de la France. 

 Dans ce cadre, ils ont étudié l'interdépendance de nos systèmes informatiques, les risques d'un cyber-ouragan en France et les solutions pour y répondre. Voici leurs principaux enseignements. 
NOTRE DÉPENDANCE AU NUMÉRIQUE NOUS REND VULNÉRABLE À UN CYBER-OURAGAN -- MAIS NOUS POUVONS Y REMÉDIER

Ce que vous voyez au dessus sont des exemples de cyber-attaques récentes qui ont mis à mal nos systèmes informatiques contemporains. 

Elles sont à prendre au sérieux : en 2017, le rançongiciel Wannacry a touché 300 000 ordinateurs et s'est diffusé dans plus de 150 pays. Il a rendu les ordinateurs inutilisables en cryptant les données et a demandé une rançon en bitcoins pour le déchiffrement.

Parmi les victimes, Renault, les hôpitaux anglais, et potentiellement... tout le monde. 

HIGHLIGHT #1  
Notre système informatique global est fragile, by design

# Les marchés du cloud et des services numériques (comme les systèmes d'exploitation) sont dominés par un nombre très restreint d'acteurs. Une cyber-attaque qui conduirait à l'interruption d'un de ces services coûterait entre 4,6 et $53,1 milliards

Aussi, la structure même d’Internet repose sur un réseau d'infrastructures interconnectées (les fameux câbles sous-marins, là aussi aux mains d'un petit nombre d'acteurs) qui favorise le risque d’une crise systémique.

Exemple au Japon à l’été 2017 : la faille d'un protocole informatique a privé le pays d’Internet pendant quelques heures.

HIGHLIGHT #2  
Qui sont les potentiels attaquants ? 

# Le risque criminel est sans doute le plus sérieux. Le cybercrime a surpassé le crime traditionnel en nombre d’incidents reportés. Wannacry ou encore Notpetya, les deux cyber-attaques les plus nocives de l’année dernière, ont été pilotés par des groupes mafieux. 

Sur le Dark Web, les hackers vendent par exemple des “Zero Day”, des failles de sécurité repérées dans des logiciels que d'autres hackers pourront ensuite exploiter. 

# Le risque politique existe mais il est moins dangereux. Rappelez-vous les attaques visant la campagne d’Emmanuel Macron ou les hacks russes sur la boîte mail d'Hillary Clinton. 

Mais ces attaques sont par nature limitées : l’interdépendance économique des États ne donne aucune raison apparente de mener une attaque massive, tout le monde perdrait au change.

HIGHLIGHT #3  
Avec notre dépendance de plus en plus grande au numérique, ça ne va pas aller en s'améliorant... 

# Le déploiement massif des objets connectés va décupler le risque de hacking sur des secteurs sensibles comme la santé individuelle. Idem pour nos futures voitures autonomes.

# Avec l’avènement de la "4ème révolution industrielle", nos procédés industriels sont de plus en plus connectés. Un cyber-ouragan pourrait donc potentiellement interrompre la distribution d’eau ou les réseaux de transports en commun. 

# Et vous imaginez bien qu'une cyber-attaque de grande ampleur coûterait alors très cher à notre économie : 

pertes
HIGHLIGHT #4  
En cas d'attaque, qui est le plus vulnérable ?

# L’attaque Wannacry de 2017 ciblait des systèmes d’exploitation non mis à jour, comme ceux du National Health Service en Angleterre. Pourtant, quelques mesures de préventions simples auraient évité l’infection. 

# En France, les services d’état sont les cibles les plus médiatisées du cyber-espionnage : Bercy en 2011, et l’Elysée en 2012. 

# Pourtant, ce sont surtout les TPE/PME qui sont au centre des préoccupations. Elles représentent 73% des emplois français. Leur protection est donc stratégique.

Mounir Mahjoubi a d'ailleurs proposé cette année un MOOC de sensibilisation aux bonnes pratiques de cybersécurité à destination des TPE/PME. 

L'ŒIL DE L'INSTITUT MONTAIGNE
D'accord, mais comment s'y préparer en France ? Voici trois pistes concrètes : 

1/ Renforcer les effectifs de la réserve opérationnelle française de cyber-hackers
Depuis mai 2016, nous avons en France une réserve de cyberdéfense. Elle comprend 4000 personnes et a pour but de protéger nous protéger en cas de cyber-attaque. 

# Nouer un partenariat avec des universités et des écoles spécialisées qui pourrait alimenter ces équipes par des étudiants en formation. 

# Il serait aussi bénéfique que le milieu de la recherche académique rejoigne ce programme via un réseau de chercheurs volontaires. 

2/ Placer l’IA au coeur de la cyber-défense
Le rapport Villani de 2017 était formel : la France est à la traîne dans l’utilisation de l’IA pour la cyber-défense alors que la réputation de ses chercheurs n'est plus à faire.

# En cas de crise, le décloisonnement du monde académique, encore divisé entre chercheurs spécialisés en IA et ceux en cybersécurité, accélèrerait l’avancée de technologies de détection avancées et automatisées. 

Des investissements bien plus importants dans les technologies d’apprentissage automatique associées à la cybersécurité sont indispensables pour être en mesure de répondre à ces attaques. 

3/ Encourager le diagnostic des risques et la souscription de cyber-assurances pour les PME
100% des entreprises du CAC 40 ont souscrit à des cyber-assurances contre seulement 30% des ETI. Ces assurances permettent de couvrir la perte de données, le ralentissement de l’activité lié au hacking…

# Il faudrait donc imposer un diagnostic de cyber-sécurité chaque année aux entreprises pour évaluer la nécessité de souscrire à ce type d'assurance.

# Sur le long terme, la mise en place d'une notation des entreprises (comme pour leurs situations financières) pourrait être bénéfique : celles qui seront bien notées pourraient par exemple avoir des remise sur des cyber-assurances.

POINT FINAL
Ce qui est certain, c'est que nous devons nous préparer aux risques et inventer de nouveaux dispositifs pour y répondre. Dans notre étude, nous développons d'ailleurs 10 autres propositions qui, on l'espère... seront utiles !
Gérôme Billois
par...  
Gérôme Billois, Partner chez Wavestone et rapporteur de l'étude de l'Institut Montaigne Cybermenace : avis de tempête.

Twitter


 NOW PLAYING...Hurricane - Bob Dylan (1976). Bonne journée 🖖

VOUS AVEZ AIMÉ ? 

         
FORWARDEZ-NOUS 
Share
Tweet
Share
REJOIGNEZ NOTRE GROUPE PRIVÉ
INSCRIPTION       ARCHIVES 
Copyright © *|CURRENT_YEAR|* *|LIST:COMPANY|*, All rights reserved.
*|IFNOT:ARCHIVE_PAGE|* *|LIST:DESCRIPTION|* *|END:IF|*

Modifier ses préférences ou Se désinscrire