Les cybermenaces encore sous-estimées
Le CDSE a tenu son colloque annuel le 6 décembre 2012 à Paris. Son thème était cette année : « Les entreprises et l'Etat face aux Cybermenaces ».
« La Bande à Bonnot a laissé la place à des bandes de hackers anonymes qui volent les informations au lieu de sacs de billets » a rappelé Alain Juillet, président du CDSE (Club des Directeurs de Sécurité des Entreprises) (en photo), en ouverture du colloque annuel de ce club.
Consacré au thème « Les entreprises et l'Etat face aux cybermenaces », ce colloque se déroulait le 6 décembre 2012 dans les locaux de l'OCDE à Paris en partenariat avec Europol, l'organisation policière européenne.
Selon les orateurs de la journée, le constat est clair : les cybermenaces ne sont actuellement pas assez prises au sérieux . La lutte contre ces nouvelles menaces implique en effet de nouvelles attitudes qui tardent à être prises. Le risque pénal semble notamment limité pour des criminels qui, pourtant, peuvent tirer un grand parti de pratiques mal réprimées à cause de lois inadaptées. Alain Juillet a dénoncé un saupoudrage -dispendieux- de moyens sans qu'aucune mesure d'efficacité de tel outil ou telle action ne soit faite.
A quand des Brigades du Tigre Numériques ?
L'image de la Bande à Bonnot était tout à fait pertinente puisque cette bande, mélangeant revendications anarchistes et crimes de droit commun, avait innové dans le hold-up en y introduisant l'usage de l'automobile. La police, qui était à cheval ou en bicyclettes, avait alors réagi, sous la conduite de Georges Clémenceau, en créant ses propres brigades motorisées.
De la même façon, la société numérique apporte un nouveau contexte technologique dont les criminels profitent sans, pour l'heure, que la réponse soit à la hauteur. Encore une fois, une idéologie libertaire se mêle à une criminalité à but lucratif sans que les limites entre les deux soient toujours bien claires. Selon Alain Juillet, l'innovation est en elle-même une source de menaces car elle implique des changements de comportement.
« Un point sur la situation face aux menaces dans la société numérique s'est imposé » a déduit le président du CDSE. Cinq défis majeurs seraient selon lui à relever.
Le premier est la reconquête et la maîtrise des chaînes de confiance. Selon un article de Benoît Dupont dans le dernier numéro de la revue du CDSE, Sécurité & Stratégie, le fonctionnement collaboratif et non-hiérarchique des réseaux de hackers est en fait parfois gangrené par une méfiance qui nuit à la pérennité du réseau. Dans les entreprises, la collaboration ne peut de la même manière pas fonctionner sans confiance.
La maîtrise des coûts impliqués par les actes cybercriminels (...)
La maîtrise des coûts impliqués par les actes cybercriminels est également un défi à relever. Selon une enquête du Ponemon Institut auprès de 60 entreprises américaines, japonaises et allemandes, le coût de la cybercriminalité atteindrait de 9 à 40 millions de dollars par an.
Autre défi : la constante évolution des menaces. Les virus bloquant des ordinateurs jusqu'au paiement d'une rançon se multiplient actuellement. Et le BYOD (Bring Your Own Device), dans un contexte de haut débit mobile, comme le Cloud Computing modifient considérablement la nature des menaces auxquelles doivent faire face les entreprises.
Une crise majeure possible
En quatrième position, Alain Juillet place la prévention de l'accident intégral. Cauchemar des responsables du management du risque, cette apocalypse se définit par la mise hors service de l'ensemble des systèmes informatiques à cause d'une défaillance ponctuelle qui se propage, par exemple un vrius de type Stuxnet paralysant des systèmes de coeur de réseau.
Bien que la comparaison n'ait pas été faite par le président du CDSE, ce type de menace serait l'équivalent informatique de la crise financière des subprimes. Et rien ne semble fait pour réagir au début d'une telle crise afin de l'endiguer à temps.
Enfin, il ne faut pas oublier le risque des cyber-conflits. Ces nouvelles guerres peuvent voir s'affronter des Etats mais aussi d'un côté des Etats et de l'autre des organisations privées, y compris des entreprises.
