Cybersécurité, l'enjeu industriel
05 juillet 2017
L'économie numérique a engendré son double maléfique, le monde sombre de la cyber criminalité. Les attaques se suivent. Et vont continuer. Cette situation n'est pas surprenante, elle est vieille comme l'humanité. Les compétences développées pour mettre en place en moins de trente ans une économie fluide, mondiale, fondée sur l'échange d'informations et de connaissance, sont aussi utilisées pour développer la criminalité et poursuivre par des moyens violents la compétition séculaire entre nations et groupes sociaux. La cyber criminalité s'est installée durablement comme une branche du crime organisé et des politiques d’intimidation entre états.
L'enjeu de la sécurité se joue donc sur deux plans distincts :
- celui des individus et des entreprises dont l'intégrité physique peut être engagée par des offensives criminelles opérées depuis internet
- celui des États, confrontés au traitement d'une nouvelle forme d'insécurité qui menace leurs intérêts vitaux et leur souveraineté, et où ils se retrouvent aussi bien prédateurs que proies.
Identifier en permanence les menaces, comprendre les faiblesses, se mettre en situation de réagir pour diminuer les dommages causés, puis organiser la riposte sont autant de techniques éprouvées dans l'histoire qui doivent aujourd’hui se déployer dans l'univers numérique. La puissance publique, garante de la sécurité des citoyens, et de la stabilité du cadre économique, ne peut durablement laisser le privilège de l'offensive aux forces de déstabilisation et de destruction de l’ordre. Comme pour chaque évolution technique, les forces criminelles savent capter l'innovation au service de leurs intérêts plus rapidement que la société ne se met en situation de gérer ces menaces nouvelles, tant par la réglementation que par la répression.
Mais l'ampleur des enjeux dans une économie mondialisée et sur le chemin d'une numérisation totale n'a plus rien à voir avec la menace que pouvait faire peser sur les banques à la fin de la guerre « la bande des tractions », gangsters technophiles, avec leurs Citroën traction avant plus rapides que les voitures de la police. La menace est omniprésente et protéiforme, l’ingéniosité des cyber attaquants sans limite. Ils n’ont pas de règles, de processus, de budgets à respecter. Leur agilité est totale, ce qui les rend totalement dangereux.
Il ne faut donc plus considérer la sécurité comme une activité marginale car elle s'insère désormais au cœur de la conception des systèmes et doit être présente dans chacun des usages. Tout étant désormais numérisé et connecté, tout devient vulnérable. Cette politique de sécurité change de nature. Elle sort du périmètre des organisations, limité à quelques règles simples gérées par des spécialistes. Elle est désormais centrale, systémique, cohérente et a pour objectif d'assurer une continuité totale des opérations tout au long de la chaîne de valeur. Elle implique chacun au quotidien tout en devenant une discipline à part entière, hautement technique.
Si tous les États s'équipent pour faire face à ces nouvelles menaces, l'Etat d'Israël, compte tenu de son histoire, de sa taille et de sa vulnérabilité a été un des premiers à mettre en place une organisation puissante dès 2002, la NISA, National Information Security Authority, couvrant aussi bien les acteurs privés que les autorités publiques. Mais, c’est dès 1952 que l’armée israélienne avait constitué une unité spécialisée dans le renseignement électronique, l’unité 8200, qui est considérée comme le creuset de toute la pensée de l’Etat israélien en matière de cyber défense. Ses membres ont essaimé dans toute l’industrie et constituent une élite aux postes de responsabilité publics comme privés.
Depuis 2011 la structure centrale, au cœur du système public et privé de défense contre la cybercriminalité, se nomme Cyber Bureau et dépend du Premier ministre.
Autour de ce rôle fédérateur de l'Etat, s'est développé un écosystème complet qui est reconnu pour sa créativité et joue un rôle de leader dans le monde. On estime que 25% des dépenses de R&D mondiales consacrées à la cyber sécurité sont effectués en Israël. Et les sociétés israéliennes, dans le secteur militaire comme dans le civil ont atteint un haut degré de performance et sont actives dans le monde entier, et principalement aux Etats-Unis avec lesquels se sont tissés des liens étroits. La plupart des grands entreprises mondiales du secteur disposent d'un centre de recherche en Israël dédié à la cybersécurité. L’Etat a encouragé la création d’un pôle spécialisé dans la cybersécurité dans le désert du Néguev à Beer’Sheva.
La sécurité prend une dimension nouvelle avec le déploiement du contrôle numérique des infrastructures et des installations industrielles. Même isolés du réseau internet, ces équipements dépendent aujourd'hui d'un fonctionnement numérique. 80 % des systèmes industriels sont de fait connectés à internet par l'intermédiaire de certains de leurs composants. Les grandes infrastructures vitales, comme les réseaux ferrés, les aéroports, la distribution électrique, les systèmes d’approvisionnement, dépendant pour leurs performances de logiciels et d’outils informatisés. Leur sécurité de fonctionnement dépend de multiples facteurs qu’il faut inventorier et monitorer sans relâche. Ce sont précisément ces fonctions que les nouveaux outils de cyberdéfense instrumentent. Dans le domaine grand public, les produits connectés, conçus aujourd'hui, sont eux la plupart du temps connectés directement au réseau IP par Wi-Fi. Cette facilité d’usage présente aussi une grande vulnérabilité.
Les bénéfices clients de cette connexion sont devenus vitaux. L'Internet des objets est fondé sur les avantages que donne la connexion de tous les composants d’un système, permettant la collecte des données et l'intervention à distance, tissant un système dont les bénéfices ne sont liés qu'à l’interopérabilité et au traitement des données connectées. Les futurs réseaux intelligents, avec les véhicules autonomes, ne pourront livrer leurs promesses qu’au prix d’une sécurité sans aucune faille.
Ce besoin de connectivité bilatérale, fiable, impose de conférer au traitement des problèmes de vulnérabilité des réseaux connectés une place centrale. Le premier facteur de protection est de connaître les composants de ces nouveaux ensembles, en identifiant leurs propriétés, c’est-à-dire les paramètres de leur fonctionnement nominal, mais également leurs vulnérabilités. Mettre en place des outils de traitement des seules vulnérabilités aux frontières de l’entreprise - comme la gestion des identifiants et des pare-feux - ne suffit plus. Il faut identifier les composants du système global et mettre en œuvre les règles de sécurité adaptées à chaque composant. Il n'est plus possible d'additionner des outils dans des architectures de plus en plus complexes sans les connaître et les comprendre.
Le seul moyen de gérer cet ensemble composite est de développer l’automatisation en confiant à des robots et à des logiciels de soin de gérer les tâches quotidiennes d’authentification, de suivi, de mesure et d’analyse des flux pour en tirer une vision dynamique et identifier les situations anormales. L’accent est désormais mis dans la recherche de l’anticipation des attaques en comprenant les comportements de leurs auteurs, en anticipant les cheminements des logiciels infectants, en multipliant les pièges pour les traquer avant qu’ils ne deviennent actifs. Les spécialistes de sécurité ont en charge, dans ce modèle, l’architecture générale de la cybersécurité, l’analyse des comportements, l’anticipation et la veille technique. Ils ont également un grand rôle de sensibilisation et de formation. Les opérationnels doivent désormais intégrer dans leurs missions la responsabilité du suivi en temps réel du système.
De fait, la montée de l’insécurité numérique oblige à considérer que si qu'internet a été conçu de façon brillante, il est sorti depuis longtemps de son objet initial. C'est un outil qui se trouve désormais au cœur de l'économie mondiale et attire toutes les convoitises. Il doit subir un sérieux lifting et être enrichi pour intégrer la sécurité "by design". A court terme, il est impératif de donner aux professionnels de la cybersécurité les outils et les moyens nécessaires, et développer massivement la formation. Pour fixer le niveau d’effort, il faut mentionner que, dans les administrations israéliennes, le budget de cybersécurité doit être fixé à 8% du budget informatique…