Dès l’introduction à la table ronde sur la cybersécurité organisée le 24 septembre, à l’hôtel d’Iéna, à Paris, Emmanuel Germain, directeur général adjoint de l’Agence nationale de la sécurité des systèmes d’information (Anssi), pointe : «La menace est sous-évaluée. Nous avons hérité d’un Internet originellement conçu pour être très ouvert. Pas pour être sécurisé.» Cette faiblesse de la sous-évaluation se traduit par une vigilance insuffisante et par des moyens humains et financiers qui ne sont pas à la hauteur des enjeux. «La cybersécurité doit représenter de 5 % à 10 % du budget total de la direction des systèmes d’information. En France, nous n’avons pas trouvé d’entreprise qui soit au-dessus de 4 % ! Il faut investir à la fois en qualitatif et en quantitatif», poursuit-il.
Les menaces sont, elles, toujours plus nombreuses et sophistiquées. Leur impact est d’autant plus fort que les activités humaines reposent de plus en plus sur les systèmes d’information. «Un “hacker” performant, insiste Emmanuel Germain, avec de bons outils — facilement accessibles sur le marché — peut entrer presque n’importe où.» Une cyberattaque peut provoquer des dégâts au-delà de sa cible initiale. Des entreprises ukrainiennes ont été les premières touchées par le ver NotPetya en 2017, qui s’est propagé en Allemagne, au Danemark, en Russie et en France. «Sur le terrain, souligne Gérôme Billois, du cabinet de conseil Wavestone, on observe de nombreuses attaques. Les agressions majeures, elles, se raréfient, car les cyberattaquants ont remarqué qu’en agissant ainsi, ils focalisent sur eux l’attention des services de sécurité du monde entier.»
Identifier les zones de risques avec l’œil du cybercriminel
Le tableau que dressent les professionnels est assez noir. Pourtant, des défenses existent, comme la mise en place de systèmes de détection des comportements malveillants ou d’analyse des courriels. On peut contre-attaquer en cernant d’abord les motivations des pirates. L’argent arrive en premier, dans tous les secteurs d’activité. «Il ne faut pas payer les rançons, conseille Gérôme Billois. En cas d’attaque par un rançongiciel(1), la plupart du temps, la clé qui permet d’accéder à nouveau à l’ordinateur n’est jamais récupérée. Face à un maître chanteur, il faut se tourner immédiatement vers les forces de l’ordre, qui savent gérer la situation avec discrétion et sont spécialisées dans les négociations.» Les autres motivations sont idéologiques ou à des fins d’espionnage. Pour se préparer, il faut se demander qui aurait des raisons d’attaquer, considérer l’entreprise avec l’œil du cybercriminel, découvrir ce qui serait le plus facile et le plus rémunérateur. «Ce changement de point de vue, remarque Gérôme Billois, permet d’identifier des zones de risques oubliées ou ignorées.» L’intelligence artificielle aura un rôle à jouer pour améliorer l’efficacité de la défense et répondre de manière automatisée et beaucoup plus rapidement que des hommes. «Dans quelques années, précise-t-il, des ordinateurs seront capables de s’autodéfendre tout en restant sous contrôle humain.»
Mettre l’assureur dans la boucle
Les compagnies d’assurances aident aussi leurs clients à renforcer leurs défenses. «L’entreprise a besoin de comprendre son risque et de le faire valider par un sachant», analyse Patrick Pouillot, responsable du pilotage de la stratégie de souscription cyberrisque chez le réassureur Munich Re(2). Avec un spécialiste de la cybersécurité, l’assureur commencera par analyser la manière dont l’entreprise appréhende ses risques : «Il sait apprécier si le chef d’orchestre dirige correctement et si la musique est bien jouée», image Patrick Pouillot. Ensuite, il déterminera si, en cas d’attaque, l’entreprise est en mesure de réparer, de relancer son activité et de la maintenir — bref, de restreindre l’impact. Des méthodologies existent pour mener une étude rationnelle sur l’organisation de l’entreprise face aux risques, comme les référentiels internationaux Iso 27001, le référentiel cybersécurité du National Institute of Standards and Technology, le CIS20. Une bonne protection amoindrira le risque, donc le coût de la prime d’assurance.
En conclusion, Emmanuel Germain a insisté sur le rapprochement des trois piliers de la transformation numérique : intelligence artificielle, gestion des gros volumes de données («big data») et cybersécurité. Les uns ne peuvent pas fonctionner sans les autres. Le paysage industriel change et va provoquer un déplacement du centre de gravité de la sécurité.
 Vigilance requise sur le réseau électriqueL’interruption de la fourniture d’énergie constitue le risque principal sur le réseau électrique, sur de vastes zones ou dans des installations critiques. «Il s’agit de tirer les conséquences des attaques subies, insiste Jean-Claude Laroche, DSI d’Enedis (ex-ERDF). Nous devons réfléchir en amont à des choses aussi basiques que le fonctionnement des réseaux, la possibilité de recourir à des solutions de secours, la capacité de rassembler en peu de temps toutes les compétences.» Concernant Linky, Jean-Claude Laroche se veut rassurant. Le compteur en lui-même bénéficie de nombreuses certifications de sécurité. Ses systèmes de communication et son informatique centrale font l’objet d’audits fréquents par l’Agence nationale de la sécurité des systèmes d’information (Anssi). «Nous détecterions très rapidement une attaque par déni de service sur les compteurs et pourrions la traiter — je ne suis pas inquiet.» En revanche, le développement des réseaux dits «intelligents» («smart grids») engendre de nouvelles préoccupations. Gérer un tel réseau, c’est être capable de connaître les flexibilités, pouvoir réaliser des opérations de prévision et d’optimisation. «Au moment de l’activation de ces flexibilités, il y aura forcément une interface avec un système industriel. Il faudra avoir à ce moment un très haut degré d’attention.» |
(1) «Ransomware» en anglais, logiciel malveillant qui rend illisibles les données personnelles, puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.
(2)Le réassureur est l’assureur des compagnies d’assurance et mutuelles. Le contrat de réassurance permettant à l’assureur de céder à un autre assureur (le réassureur ou cessionnaire) une partie du risque que lui-même a pris en charge.
Cet article fait suite à la table ronde intitulée «Cybersécurité et infrastructures majeures — électricité, eau, gaz et pétrole» organisée le 24 septembre à l’hôtel d’Iéna par le groupe professionnel énergie d’Arts et Métiers Alumni.
