FIC : la cybersécurité considérée comme un échec

Pour près de 70 % des participants à la plénière d’ouverture du Forum International de la Cybersécurité (FIC), qui se déroule actuellement à Lille, cela ne fait aucun doute : la cybersécurité est un échec. Toutefois, certains intervenants n’ont pas manqué de relativiser le constat. Pour le général Marc Watin-Augouard, il convient plutôt de « parler de construction », laborieuse, peut-être, mais « dans une logique de progrès ». Pour lui, « l’échec est la mère du succès » et, la cybersécurité est ainsi « la fille des échecs successifs, des attaques, des difficultés rencontrées ». Traçant un parallèle avec le monde de la médecine, Patrick Pailloux, patron de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), a lancé, un brin provocateur comme à son habitude : « bienvenu dans le monde réel ! » Une façon, peut-être, de relativiser certains… échecs. Mais se voulant également positif, Jean-Michel Orozco, Pdg de Cassidian CyberSecurity estime, un peu à la manière du général Marc Watin-Augouard, que l’on en est « au début de l’histoire ». Avec un point positif : « la prise de conscience est là. » Tonalité comparable pour Bernard Barbier, Conseiller spécial du président de Sogeti pour la Cybersécurité et la Cyberdéfense, et ancien de la DGSE, qui se refuse à voir un échec, lui préférant le terme de « défi », d’enjeu « technique et scientifique important » pour des sociétés modernes « qui ne reviendront pas en arrière ».

Oui, un échec

Mais pour David Lacey, d’IOActive, la situation est tout autre, et il convient bien de parler d’échec : « oui, c’est un échec, à tous les niveaux. » Une situation qu’il attribue en premier lieu à un défaut dans l’approche. Pour lui, personne ne fait de sécurité ; organismes publics et entreprises se cantonnent à une « conformité réglementaire » qui « n’encourage pas l’excellence » en permettant aux acteurs d’aller au moins cher… L’audience, saisie par un discours si tranché n’a pas manqué d’applaudir spontanément et vigoureusement des propos pour le moins poil à gratter.

Jérémie Zimmermann, porte-parole de la Quadrature du Net, a rebondi dans la même direction, dénonçant un échec qu’il attribue, quant à lui, à un oubli : « le citoyen, on a oublié de le mettre au coeur de la sécurité. » Pour lui, le citoyen s’est laissé « exproprier de ses données, de ses communications, par des systèmes d’exploitation fermés et des architectures centralisées ». Une référence directe à Apple, Facebook et autres Google. Les états ne sont pas oubliés : « on a pensé cyberguerre mais jamais à mettre le citoyen au coeur de l’équation. Il faut promouvoir non pas les technologies de contrôle du citoyen mais celles de sa liberté ; construire une cyberpaix. » Une réflexion qui a également suscité les applaudissements de la salle.

Une utopie ? Presque, semblait penser le général Marc Watin-Augouard, relevant que « tout espace conquis, créé par l’homme, voit arriver un jour les prédateurs ». Et répondant aux critiques visant la récente loi de programmation militaire, il a assuré que « si vous n’êtes pas un terroriste, vous n’avez rien à craindre de la LPM » et de ses dispositions les plus critiquées. Un discours qui n’a pas manqué de faire grincer quelques dents, tant dans l’audience que sur Twitter.

Des perspectives sombres

Reste que, à entendre les intervenants, la cybersécurité semble encore bien loin de rencontrer le succès… Pour Jean-Michel Orozco, « la réussite viendra de la capacité à anticiper le type des attaques ». Une réflexion qui renvoie sans peine au discours que tenait Art Coviello, de RSA, en ouverture de l’édition 2013 de la RSA Conference, appelant à des systèmes capables non seulement d’appréhender un inconnu prévisible, mais également des menaces totalement innovantes et imprévisibles.

Pour David Lacey, il faut s’attendre, cette année, à « quelques attaques spectaculaires, pour peu qu’elles soient détectées. Et certaines sont probablement déjà là », mais indétectées… Surtout, pour améliorer la situation, il appelle à « sortir de la monoculture de la sécurité ; on utilise tous les mêmes produits ! » Et la gestion des compétences n’aide pas : « les compétences les plus pointues ne se fabriquent pas. Elles se trient. » En outre, il convient pour lui de faire une croix sur les pratiques dites de référence : « elles créent la monoculture, un monde dans lequel tout le monde copie tout le monde. »

Rebondissant sur les propos de David Lacey, Patrick Pailloux a de son côté appelé à « ne plus voir la conformité comme une liste de cases à cocher ». Soulignant que toutes les entreprises récemment victimes de vastes piratages étaient certifiées ISO 27001, il a estimé qu’il « faut imposer un certain nombre de normes qui sont très techniques ».

Sensibiliser et éduquer

Pour Jean-Michel Orozco, le cyberterrorisme est sur le point de se concrétiser. Et la vitesse de réaction à l’attaque est un point clé. Mais pour Bernard Barbier, l’une des difficultés tient au déséquilibre des forces : « la dissymétrie est totale entre l’attaquant qui utilise une faille, et le défenseur qui doit se protéger de tout. » Pour Jérémie Zimmermann, l’une des clés tient à la transparence et à l’ouverture, en évitant de reconstruire des services centralisés et fermés tels que ceux de Google et de Facebook.

Mais l’éducation apparaît essentielle. Pour Jean-Michel Orozco, il faut sensibiliser les dirigeants… là où c’est douloureux, à savoir le portefeuille. Et Patrick Pailloux de miser également sur un travail d’éducation encore limité, au moins en France. Pour Jérémie Zimmermann, il faut surtout que « les citoyens s’approprient la technologie et en reprennent le contrôle ».

Replacer donc le citoyen - qui devient utilisateur une fois en entreprise - au coeur de la problématique de la sécurité. Un enjeu qui semble avoir été bien compris outre-Atlantique, losqu'on observe notamment le lancement d’importantes campagnes de sensibilisation du grand public. Mais en France, alors que le citoyen apparaissait comme le grand oublié des débats lors de la précédente édition du FIC, le permis Internet destiné aux élèves de CM2 semble difficilement capable de répondre à l’ampleur de la tâche.