Cybersécurité : quels sont les enjeux techniques et juridiques ?

Cybersécurité : quels sont les enjeux techniques et juridiques ?
École Hexagone
 - 
10/6/2021
6.10.21

« Les cyber-risques continuent à prendre de l’importance dans le classement des risques menaçant l’équilibre de notre planète » (Rapport Global Risk Report 2021 du World Economic Forum).

C’est fort de ce constat que l’École Hexagone a souhaité faire le point sur les enjeux de la cybersécurité en 2021. On se sent fort et à la fois assez faible face à ce rapport ! L’idée sous-jacente n’est pas d’être alarmiste. Nous nous sentons juste investis d’un devoir de sensibilisation parce que nous formons les ingénieurs informatiques de demain. Ce sont effectivement nos futurs diplômés qui seront en première ligne confrontés aux enjeux de la cybersécurité. Cela allait sans être dit mais cela va mieux en le disant ! Il y a donc nécessité à comprendre que c’est aujourd’hui un enjeu crucial pour la survie des PME. Elles étaient déjà en 2015 contre toute attente la cible de 43% des cyberattaques. Elles seront demain et dans le futur nécessairement les cibles d’attaques multiples et difficiles à démanteler. Les hackers emploient effectivement des méthodes toujours plus sophistiquées et la généralisation du télétravail rend les entreprises plus que jamais fragiles.

Les risques de cyberattaques doivent donc être pris au sérieux. L’urgence est de sensibiliser les citoyens et les acteurs de l’économie sur ce point et de mettre en place des dispositifs de protection efficaces, sur le plan technique et juridique. Explications.

1. Un état des lieux alarmant :

De manière très pratique, on constate que les tentatives de phishing sont toujours plus innovantes et elles ont été multipliées par 4 depuis mars 2020 ! De même, s’agissant des randsomware. Guillaume Poupart – directeur de l’ANSSI  – a récemment été auditionné par la Commission des affaires européennes du Sénat.

Pour ainsi sensibiliser la Commission au phénomène, il a listé les enjeux en matière de cybersécurité auxquels la France doit faire face et a ainsi identifié trois sortes de menaces :

-       La grande criminalité (exemple classique des attaques faites aux hôpitaux) ;

-       L’espionnage ;

-       Les menaces de nature quasi-militaires.

Il met ainsi en lumière que « par le biais des attaques informatiques, on peut obtenir des effets militaires de destruction, qui peuvent créer le chaos, le blocage d’une nation toute entière (…) on peut couper le courant, empoisonner l’eau, couper les transports ». Cette réalité du risque et du terrain de la toile a heureusement été prise en compte par le Gouvernement qui a annoncé la création d’un plan d’un milliard d’euros pour lutter contre la cybercriminalité. Il est la preuve de la vulnérabilité des réseaux informatiques des entreprises françaises et de l’importance des enjeux économiques liés. Parallèlement à ce constat, les entreprises pour faire face à la pandémie n’ont jamais été autant ouvertes sur le monde, elles s’en trouvent nécessairement fragilisées.

Elles ne sont pourtant clairement ni armées ni sensibilisées pour y faire face correctement.

2. Une nécessaire prise de conscience sur le plan technique :

Ainsi exposé, le contexte de la pandémie laisse apparaître un contexte particulier de fragilisation des entreprises. Les nouveaux défis sont réels et mériteraient un point d’attention accrue.

Force est pourtant de constater que la sécurité informatique des entreprises est trop souvent reléguée au second plan. L’entreprise se réinvente mais ne pense pas à se protéger de manière proactive. Elle doit pourtant sans cesse tester sa vulnérabilité, les enjeux sont cruciaux. Le référentiel de sécurité doit ainsi tester les potentielles attaques via des simulations pour vérifier la robustesse de leur cybersécurité. Les chefs d’entreprise doivent concevoir le phénomène de cybersécurité sous un angle nouveau. C’est en un certain sens une opportunité de développement. Elle est d’ailleurs le gage de garantie du niveau de compétitivité constant auquel les entreprises doivent se plier. Il nécessite plus qu’une souplesse d’organisation. Il demande une proactivité. En effet, le risque opérationnel n’est ni temporaire ni figé. Il est constant et mutant tel une épée de Damoclès.

On pense ainsi que pour ainsi limiter les risques liés au travail à distance, les entreprises doivent mettre en place une architecture en maillage permettant de déployer et d’étendre la cybersécurité là où c’est le plus nécessaire. Les techniques de PEC (Privacy-Enhancing-Computation) émergent afin de protéger les données pendant leur utilisation, et non uniquement au repos ou pendant le transfert. De cette façon, les données demeurent en sécurité et cela même au sein d’environnements à risque.  

3. Garantir à tout prix la souveraineté numérique :

Il y a lieu là d’aborder le concept de cyberdéfense qui se distingue de la lutte contre la cybercriminalité mais aussi de la numérisation des armées et des théâtres d’opération. Elle couvre la politique mise en place par l’État pour protéger activement des réseaux et des systèmes d’information essentiels à la vie et à la souveraineté du pays.

Si les cyberattaques sont importantes, nombreuses et constatées depuis plus d’une décennie, la mise en place de la cyberdéfense française a été progressive. En effet, la garantie de la souveraineté numérique de la France est un défi nouveau et la cyberdéfense en est nécessairement garante.

Le concept de souveraineté numérique désigne le fait pour un État, une entreprise de détenir la pleine gouvernance de ses données et de ne dépendre économiquement, technologiquement et juridiquement d’aucun autre État ni entreprise pour le stockage, la captation, la protection et l’exploitation des données produites sur son territoire.

Liée à la protection des données – puisqu’elle permet au producteur de données d’en avoir la pleine maîtrise et d’éviter toute captation indue par un tiers – la souveraineté numérique est pourtant rarement intégrée aux concepts de cybersécurité et de cyberdéfense. Elle est d’ailleurs trop souvent traitée distinctement de la cyberdéfense. Le tort est de croire qu’il n’y a aucun lien de dépendance entre eux !

Les fuites de données sont trop malheureusement perçues comme une fatalité par les experts. Il s’agit pourtant de maîtriser précisément les données d’un territoire. Les représentants d’une démocratie ont d’ailleurs la responsabilité de protéger les données du peuple. C’est un contrat social qui doit être garanti. La cybersécurité et la cyberdéfense doivent donc s’ériger en véritables piliers de notre démocratie.

Le Clarifying Lawful Overseas Use of Data Act ou « Cloud Act » (H.R 4943) illustre parfaitement la corrélation entre les deux notions ! C’est une loi sécuritaire des États-Unis qui a fait couler de l’encre en ce qu’elle a inquiété les autorités, les entreprises et les citoyens de l’Union Européenne. Promulguée au nom de la sécurité publique, ce texte modifie principalement le chapitre 121 du Titre 18 du United States Code, dénommé Stored Communication Act, en permettant aux forces de l’ordre ou aux agences de renseignement américaines d’obtenir des opérateurs télécoms et des fournisseurs de services de Cloud computing des informations stockées sur leurs serveurs, que ces données soient localisées aux États-Unis ou à l’étranger. Un second pan du Cloud Act permet à l’exécutif américain de signer avec des gouvernements étrangers, à moins que ledit Congrès ne s’y oppose, des accords bilatéraux. Ces derniers permettront aux autorités respectives des pays signataires d’obtenir des informations de la part des fournisseurs de services, sans recourir à des procédures juridiques longues comme les traités d’entraides judiciaires ou les commissions rogatoires internationales. Il y a là à craindre un droit d’ingérence entre les pays. Certains y voient aussi un laisser-passer en matière d’espionnage industriel. Pour autant, on note deux garde-fous utiles, nécessaires même ! En premier lieu, le Cloud Act contraint les forces de l’ordre américaines qui l’invoqueraient au nom de la sécurité publique à l’obtention d’un mandat officiel par le biais de processus juridiques prédéfinis, y compris l’examen et l’approbation par un juge indépendant. En second lieu, on note que le texte ne fait pas mention du possible cryptage des données et n’impose pas aux sociétés qui y sont soumises de fournir la clé du chiffrement, puisque seules les données stockées, « détenues, contrôlées ou possédées » par le fournisseur de services peuvent faire l’objet d’une demande de communication ! Un point intéressant qui pointe les limites du texte, non ?

Il est malgré tout important – voire capital – pour les entreprises françaises de faire héberger leurs données corporate ou personnelles par des prestataires de droit français, qui obéissent à la seule loi française et européenne et stockent les données exclusivement sur le territoire de l’Union Européenne.

La pandémie a donc mis en exergue notre dépendance à l’écosystème numérique, créant ainsi des opportunités vertigineuses pour la cybercriminalité. Au-delà des enjeux propres à chaque entreprise, il est nécessaire de raisonner plus globalement. Il faut comprendre que ce fléau doit être appréhendé à une échelle nationale et une autre, plus locale.

C’est ainsi que l’École Hexagone répond à l’appel des nouveaux défis qu’elle engendre ! Les ingénieurs en informatique sont effectivement de plus en plus demandés. Le nombre d’offres d’emploi devrait augmenter de 37% par an selon le Bureau of Labor Statistics des États-Unis. Parmi les métiers les plus recherchés, on peut citer le CISO (Chief Information Security Officer), le développeur de logiciel de sécurité, l’analyste en sécurité, l’ingénieur en sécurité, l’architecte réseau, le cryptographe, le testeur d’intrusion ou encore le DEVCOPS.