Contribution de Nicolas Arpagian, Directeur scientifique du cycle « Sécurité numérique », créé en partenariat avec le CIGREF à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ), et auteur de « La Cybersécurité » (Coll. Que Sais-Je ?, Presses Universitaires de France).
Subir une cyberattaque n’est pas a priori une situation honteuse !
D’une part, parce que l’on peut être atteint à l’occasion d’une campagne de piratage de grande ampleur. Au même titre que des dizaines de milliers d’ordinateurs, le vôtre sera contaminé par un logiciel malveillant disséminé en masse. Sans que son émetteur n’ait établi avec précision la liste de ses victimes. Il cherchait par exemple, à s’approprier à grande échelle des données personnelles ou bancaires, voire à prendre le contrôle à distance de la puissance de calcul de quantités de machines afin de mener ultérieurement des opérations de déni de service. « Nothing personal » dirait-on outre-Manche. Et vous voilà alors rendu au statut de victime collatérale de cette cyberguerre qui s’annonce.
Votre responsabilité ne pourra être engagée que si vous n’aviez manifestement pas pris les mesures essentielles à la sécurisation de votre patrimoine informatique. Qu’il s’agisse d’une cartographie préalable des données afin de doser la protection à apporter en fonction de l’importance de ce que l’on souhaite préserver. De dispositifs de back-up rendant possibles une restauration rapide des éléments dont l’intégrité serait devenue douteuse ou de systèmes informatiques de secours pour prendre le relais en cas de défaillance des équipements de base. La faute ne viendrait pas tant de la capacité à ne pas se faire attaquer, que dans l’absence de préparation pour limiter les effets de ladite attaque.
Une bonne santé informatique…
A l’instar des maladies vénériennes que l’on peut se transmettre de manière insidieuse, une bonne santé informatique exige une plus grande transparence. Ainsi, lorsqu’en mars 2011, l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) prend l’initiative de communiquer au sujet des cyberattaques qui viennent de frapper le Ministère français de l’Economie, elle fait œuvre utile. Puisqu’elle participe alors à dédramatiser le phénomène et à le faire connaître. A l’instar du porteur d’une maladie vénérienne qui accepte d’en parler et de se faire soigner. C’est tout l’enjeu pour les responsables de la santé publique : être informé de l’existence de la pathologie et de ses caractéristiques principales afin de pouvoir bâtir une riposte ad hoc. C’est le fondement même de la prophylaxie, qui peut par la suite bénéficier au plus grand nombre. Sans qu’un quelconque jugement moral de la part de l’Etat vienne accabler l’individu concerné. Cela relève d’autres parties prenantes du corps social. Pour revenir à la sphère informatique on conclura donc qu’il est impératif d’informer systématiquement les services de l’Etat lors d’une cyberattaque. Afin que les autorités puissent relayer les modalités de l’agression et ainsi participer à la préservation des autres acteurs institutionnels ou économiques. Soit une forme de santé publique adaptée aux intervenants actifs sur le réseau des réseaux.
D’autre part, par ce que les attaques informatiques ciblées – c’est-à-dire avec une conscience claire de la cible visée et de ce que l’on souhaite lui faire – ne relèvent plus du roman d’espionnage. Et que la taille d’une entreprise, sa localisation géographique ou son secteur d’activité ne constituent plus des protections suffisantes. Vue la modicité des prix pour exploiter des réseaux d’ordinateurs-zombies (botnets) le temps d’un raid informatique éclair et la relative impunité judiciaire, il y a toutes les raisons de croire que l’emploi de ces pratiques déloyales va se démocratiser. Ce n’est plus aujourd’hui, et sera encore moins à l’avenir, l’apanage des multinationales ou des services de renseignement.
Ces usages offensifs des technologies de l’information n’en sont qu’à leur début. Il convient donc aux opinions publiques de s’en préoccuper dès à présent. Pour parfaire la protection de leur patrimoine informationnel et de leur outil de production. Mais également pour mieux appréhender les éventuels contrôles que les autorités – pouvoirs publics ou entreprises commerciales désireuses d’installer des dispositifs de surveillance- ne manqueront pas de proposer en écho à la montée en puissance de ces cybermenaces. C’est alors un devoir civique, sinon économique, de connaître les enjeux de ce que l’on souhaite protéger pour être à même d’accepter ou de contester la mise en coupe réglée de nos existences numériques. Participer à l’élaboration de la sécurité numérique en en connaissant les tenants et les aboutissants devrait permettre de mieux exercer notre statut de citoyen-électeur-consommateur-salarié. Un apprentissage qui vaut la peine, non ?
Dossier d’inscription pour le cycle de spécialisation « Sécurité numérique »
La cyber sécurité devient une préoccupation sérieuse au niveau des Etats. La Grande-Bretagne vient de demander un renforcement des lois internationales. Tout le monde : Etats, entreprises grandes ou petites, peut être la cible directe d’attaques, ou victimes collatérales… Les entreprises doivent effectivement apprendre à mieux se protéger !