Accueil Cybersécurité De la sécurité informatique à l’informatique sécurisée

De la sécurité informatique à l’informatique sécurisée

Guillaume Tissier
Guillaume Tissier, DG de CEIS

Alors que le Forum International de la Cybersécurité (FIC) va ouvrir ses portes les 24 et 25 janvier à Lilles, Guillaume Tissier, directeur général de CEIS, co-organisateur du forum, se livre à un exercice de prospective sur la cybersécurité et montre le changement d’échelle que nous allons vivre.

Un exercice de prospective sur la cybersécurité peut sembler décalé tant la situation actuelle appelle une réponse urgente. Pourtant, et en raison même de l’importance des enjeux, il est indispensable de lever les yeux vers un horizon proche pour anticiper un changement d’échelle. Avec plus de 4 milliards d’internautes, plus de 20 milliards d’objets connectés en 2020 (selon les estimations du Gartner) et une interpénétration croissante du réel et du virtuel, la cybersécurité ne sera plus une simple source d’inquiétude. Ce sera la condition sine qua non d’une transformation numérique heureuse et surtout une exigence vitale.

Cette exigence transparait nettement des 5 scénarios élaborés par l’Université de Berkeley dans son étude « cyber security 2020 » publiée en avril 2016 [1]. Dans le sécnario « new normal », le cyberespace devient ainsi un nouveau Far West, faute de coopération entre les Etats. Les scénarios “Omega”, où les data scientists et leurs algorithmes deviennent tout-puissants, et « bubble 3.0 », qui voit le modèle publicitaire des grandes plateformes web s’effondrer et la montée en puissance d’organisations criminelles qui s’approprient des milliards de données ne sont guère plus optimistes. Le scénario « Intentional IoT » souligne lui l’omniprésence des objets connectés et des « smart technologies ». Conséquence : le préfixe « cyber » devient inutile, voire ringard… Tout est « cyber » : la cybersécurité devient la sécurité tout court, tout comme le cybercriminel devient un criminel tout court. Même chose dans le scénario “Sensorium” où des capteurs traquent en permanence notre état émotionnel, ce qui rend possible toutes les manipulations mentales et exige là aussi une vision extensive de la cybersécurité. Bien sûr ces scénarios peuvent paraître simplistes. Ils ont au moins une vertu pédagogique : ils montrent l’accélération très nette de la transformation numérique et le changement d’échelle que nous allons vivre. Comme le disait Antoine de Saint-Exupéry, il ne s’agit pas de prévoir le futur, mais de le rendre possible…

Intégrer la sécurité dès les phases de conception et de développement

Pour répondre aux défis sécuritaires de ce monde hyper-connecté, il faut donc changer de paradigme et passer de la sécurité informatique à l’informatique sécurisée. Bien sûr, nous aurons toujours besoin de compétences et de technologies spécifiques (chiffrement, détection, réaction, gestion des identités…). Mais il s’agira aussi et surtout d’intégrer la sécurité dès les phases de conception et de développement. Bref de faire du « by design » au plan technique mais aussi juridique.

Même si la pression du time to market n’a jamais été aussi forte, l’inventeur de la “fourchette connectée” ne pourra plus considérer la sécurité, au mieux comme une option intéressante, au pire comme un luxe coûteux et inutile. Tout simplement parce qu’elle est devenue un argument de vente. Les utilisateurs commencent en effet à comprendre que les données générées par la fourchette en question pourraient bien être utilisées un jour par un assureur pour relever leur prime en cas de comportements alimentaires à risque… En d’autres termes, que l’objet connecté le plus anodin représente une menace potentielle en termes de sécurité. Au-delà de l’argument marketing, les éditeurs et fabricants devront donc montrer patte blanche et prouver qu’ils ont intégré de façon native de la sécurité dans leurs produits pour convaincre leurs clients. Et comme nombre de ces objets (véhicules, pacemaker…) tiendront nos vies entre leurs processeurs, sécurité numérique rimera aussi avec sûreté de fonctionnement et protection des vies humaines.

La route vers l’informatique sécurisée reste cependant longue. Si les technologies de sécurité ont fait des progrès, la révolution de l’IoT et la croissance exponentielle des données rebattent les cartes. La sécurité des données devient la nouvelle frontière. Quant aux objets connectés, nombre d’observateurs considèrent qu’il s’agit en matière de sécurité d’un retour en arrière aux années 90 lorsque les virus faisaient régner la terreur… Leur niveau de sécurité est en effet catastrophique et oblige à reprendre le problème à la base. En témoignent l’infection de plusieurs centaines de milliers d’objets connectés par le malware Mirai et les attaques DDoS récentes qui ont suivi. Priorité, donc, à la formation des développeurs et à la propagation de bonnes pratiques, première étape vers la définition, encore lointaine, de standards communs. Le développement de l’hygiène numérique reste enfin une nécessité absolue. Même si l’intelligence artificielle contribuera de plus en plus à la sécurité et à la résilience de nos réseaux et systèmes d’information, l’Homme est et restera (heureusement) au cœur des technologies. Et il est imparfait…

[1] https://cltc.berkeley.edu/scenarios/