La cybersécurité est-elle vouée à l'échec - Du grain à moudre

Cyber-security

Titre : La cybersécurité est-elle vouée à l'échec ?
Intervenant·e·s : Laure de la Raudière - Genma - Philippe Trouchaud - Antoine Genton
Lieu : Émission Du Grain à moudre, France Culture
Date : novembre 2018
Durée : 40 min 30
Présentation de l'émission et podcast
Licence de la transcription : Verbatim
Illustration : Cyber-security-Retina1 - Licence CC BY
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Logo France Culture

Description

Alors que les cyberattaques se succèdent et ne se ressemblent pas, les particuliers, les entreprises et les États ne sont pas toujours conscients des risques qu'ils encourent. Pourtant les règles de l’hygiène numérique sont relativement simples. Comment agir efficacement pour la cybersécurité ?

Transcription

Antoine Genton : Bonsoir et bienvenus. Du Grain à moudre sur France Culture. Ce soir, la cybersécurité est-elle vouée à l’échec ?

Pas un jour ou presque sans une attaque informatique… Contre des particuliers, contre des entreprises, contre des États – le Gabon, par exemple, en début de semaine… Pas un mois ou presque, non plus, sans scandale retentissant : ce mois-ci, par exemple, une affaire d’attaque contre l’organisation pour l’interdiction des armes chimiques aux Pays-Bas…
Des assauts numériques, des données volées, des sociétés rançonnées… Bref, de graves et fréquents problèmes de sécurité… Près de 180 000 chaque jour dans le monde… Un chiffre qui ne cesse de croître… Et pourtant, le grand public n’est que peu sensibilisé sur ces questions, les entreprises sont rarement bien préparées, bien protégées et les responsables politiques semblent à la traîne, en dépit de quelques actions, de quelques manifestations – comme le mois européen de la cybersécurité – c’est en ce moment, jusqu’au 11 novembre… À la traîne, donc, face aux gigantesques enjeux de ce sujet… « La cybersécurité est-elle vouée à l’échec ? » C’est la question du Grain à moudre ce soir. Pour y répondre, trois invités : Laure de La Raudière, bonsoir.

Laure de La Raudière : Bonsoir.

Antoine Genton : Députée UDI Agir, coprésidente du groupe d’études cybersécurité et souveraineté numérique à l’Assemblée nationale, vous êtes ingénieure des télécoms de formation.

Laure de La Raudière : Tout à fait.

Antoine Genton : Genma, bonsoir.

Genma : Bonsoir.

Antoine Genton : Un pseudonyme connu des spécialistes et d’une frange du public, car vous organisez des conférences et des ateliers pour tous. Vous militez pour la promotion de la sécurité informatique. Vous êtes aussi directeur des systèmes d’information dans une PME, Linagora.
Philippe Trouchaud, bonsoir.

Philippe Trouchaud : Bonsoir.

Antoine Genton : Associé au sein du cabinet conseil PriceWaterhouseCoopers, en charge des activités de cybersécurité pour la France, vous conseillez de grands groupes internationaux, des entreprises du CAC 40, vous êtes l’auteur de La cybersécurité face au défi de la confiance, livre publié chez Odile Jacob.
Trois invités donc, trois profils complémentaires pour tenter de faire le tour de cette vaste question. On parlait des attaques, beaucoup d’attaques, je le disais, quasi quotidiennes, des attaques qui, d’ailleurs, prennent une multitude de formes, parfois difficiles à parer. Je voudrais qu’on s’arrête d’abord sur ceux qui attaquent, sur les pirates, sur les hackers, ces gens-là, Genma, ont-ils un temps d’avance sur nous, utilisateurs, particuliers, entreprises ?

Genma : En fait il faut différencier, je pense, les attaques qu’on fait au niveau des entreprises des attaques qu’on fait au niveau des particuliers, on ne va pas chercher les mêmes choses. Au niveau des entreprises ça va être surtout de l’espionnage industriel ou utiliser des ressources machine pour faire d’autres attaques. Au niveau du particulier, ça va être plus, en fait, des racketiciels, des ransomwares, comme on les appelle, il y a tout le système de phishing, quoique, en fait, l’usager a été sensibilisé à toutes ces problématiques de mail où on a gagné au loto ; il y a quelques années ça marchait, maintenant ça ne marche plus, donc on a une sophistication qui se fait justement dans ces attaques-là.

Antoine Genton : Donc ça ce sont les modes d’action de ces hackers. Philippe Trouchaud, aujourd’hui ces pirates, ces assaillants, ont-ils un temps d’avance sur la sécurité, la cybersécurité, les entreprises qui travaillent sur le sujet ?

Philippe Trouchaud : On pourrait dire aussi que ceux qui sont victimes ont un temps de retard. La caractéristique des attaquants c’est qu’on voit aujourd’hui une parfaite translation de la délinquance physique vers le cybercrime. C’est beaucoup plus rentable, il n'y a pas de faits de violence, si vous avez le bon goût de diligenter vos attaques dans un pays où il n’y a pas de conventions juridiques, vous ne risquez pas grand-chose, et même si vous vous faites pincer, historiquement les tribunaux sont toujours extrêmement cléments vis-à-vis de ceux qu’ils considèrent comme des Robins des Bois.
Vous avez le crime organisé, c’est une activité très lucrative. Vous avez des États que ça intéresse parce que c’est un nouveau moyen d’espionnage. Effectivement, les entreprises ou les particuliers sont un peu dans le syndrome de la citadelle assiégée, c’est-à-dire qu’ils se défendent avec les moyens qui sont les leurs, et il y a peu de collaboration entre entreprises, encore moins entre entreprises et particuliers, et même entre les réseaux universitaires et les agences étatiques, le niveau de collaboration est assez faible. En fait, on a toujours un temps de retard parce qu’on n’anticipe pas les nouvelles menaces et même, on ne capitalise pas sur la résolution des incidents. C’est ça qui explique finalement le temps d’avance ou le temps de retard suivant le point de vue qu’on prend.

Antoine Genton : L’anticipation, la collaboration, la coopération, on va en parler, on aura l’occasion d’en parler un peu plus tard dans cette émission. Laure de La Raudière, sur ces assaillants, là encore, est-ce qu’ils ont un temps d’avance sur ce qu’on essaye de faire pour les contrer ?

Laure de La Raudière : Oui, les assaillants ont un temps d’avance, parce que, comme vous l’avez très bien dit, nous avons une prise de conscience très tardive et les menaces augmentent très rapidement. Or la prise de conscience, c’est de la pédagogie de tous les citoyens, de toutes les entreprises, c’est long à décliner. Donc la plupart des entreprises, particulièrement les PME, et la plupart des citoyens sont relativement désarmés, désemparés. Pour autant, le gouvernement a mis en place un outil qui s’appelle cybermalveillance.gouv.fr1, où vous pouvez à la fois recueillir des conseils mais aussi signaler toutes les attaques que vous subissez.
Il y a, aujourd’hui, peu de prise de conscience par le grand public, peu de prise de conscience par les chefs d’entreprises de l’importance de ces menaces, de la permanence de ces menaces, quotidiennement, parce qu’on n’a pas été formés à ça. Quand vous avez un enfant et que vous lui faites traverser la rue, les premières fois, quand il est seul, vous lui apprenez à le faire. À l’école on apprend aussi à se protéger de certains risques. On est informé pour nos usages. Pour la cybersécurité, ce n’est pas le cas. Personne n’en parle, et les Français n’en sont pas conscients. Si vous demandez aux citoyens, dans la rue, s’ils ont déjà subi une cyberattaque, ils vont vous dire « non », mais le jour où ça va arriver, ils vont être démunis pour pouvoir se prémunir du ransomware qui viendra capter leurs données et qui demandera une rançon, souvent des rançons de 200, 250, 300 euros.

Antoine Genton : Pas très élevées !

Laure de La Raudière : Pas très élevées, c’est très lucratif pour le malfrat qui est derrière, parce qu’en général les gens paient pour récupérer leurs données. Et quelquefois ils n’arrivent pas à les récupérer. C’est-à-dire qu’il y a deux types de malfrats : il y a les malfrats qui rendent les données et puis les malfrats qui ne les rendent pas. Donc je voudrais aussi dire aux citoyens, si jamais ça vous arrive, la première chose c’est de signaler ceci plutôt que de payer.

Antoine Genton : Avant de parler de pédagogie, Genma comment sait-on qu’on a été attaqué, piraté, comme vient de le dire Laure de La Raudière ?

Genma :Si l’attaque est bien faite, en fait, on ne le sait pas. Pendant longtemps ça a été, justement, pour avoir des rançons, etc.; c’est de l’argent facile. Maintenant il y a d’autres aspects où on va utiliser les PC aux dépens de l’utilisateur justement sans qu’il le sache, parce que si on bloque l’ordinateur c’est visible, on a de l’argent tout de suite. Tandis que si on ne bloque pas l’ordinateur mais qu'on l’utilise pendant des temps d’inactivité, quand l’ordinateur tourne en continu, ça va permettre de créer des réseaux de ce qu’on appelle des botnets : des PC sont sous le contrôle d’un attaquant. Il y a un marché noir, justement, de ces botnets-là où on va vendre des ressources de puissance machine qui vont permettre de faire des attaques ciblées de masse pendant un temps donné sur un système industriel ou un système informatique quelconque et justement, tant que ce n’est pas détecté, la machine est utilisable.

Antoine Genton : On voit là, Philippe Trouchaud, que dans certains cas en tout cas, on se dit que face à une attaque informatique c’est trop compliqué, qu’on n’arrivera jamais vraiment à se protéger, qu’on ne comprend pas très bien non plus ce qui se passe, et être à la merci des hackers, finalement, est-ce que c’est une fatalité ?

Philippe Trouchaud : Non, pas du tout. Comme ça a déjà été dit, en réalité on est peu formés, pas informés et, en fait, les mécanismes de base de protection ne sont pas en place. Les systèmes ne sont pas à jour, ce sont les fameux patchs, mises à jour logicielles. On a un défaut structurel, finalement, c’est qu’on utilise des logiciels de mauvaise qualité, c’est un problème endémique. Heureusement que l’industrie automobile ne fabrique pas ses voitures comme on fabrique des logiciels, parce qu’on découvre des nouvelles vulnérabilités tous les jours. Si on ne met pas à jour son smartphone, par exemple, il peut être sécurisé aujourd’hui, il ne le sera pas demain, donc cette problématique de mise à jour c’est la première, et il y a une hygiène en matière de cybersécurité, comme le fait d’avoir des mots de passe robustes, d’avoir des sauvegardes de ses données, qui n’est pas en place. Donc les incidents de cybersécurité n’arrivent pas par hasard et ils arrivent toujours parce qu’on a quelques malveillances. Et par ailleurs, il faut quand même avoir en tête quand on parle des entreprises, qu’on sort d’une ère post-crise. Depuis 2008, dans toutes les entreprises, on a fait beaucoup de plans de réduction de coûts, et l’informatique a souvent été la variable d’ajustement de ces plans de réduction de coûts. Donc ce qui était en place il y a dix ans ne l’est pas forcément ; on trouve encore des entreprises qui n’ont pas de sauvegardes de leurs données.

Antoine Genton : Laure de La Raudière.

Laure de La Raudière : En fait, il y a eu une prise de conscience cette année dans les grandes entreprises, suite aux deux grandes attaques virales, WannaCry2 et Petya3, c’était à la fin du printemps. Ça ne visait pas particulièrement les entreprises françaises. WannaCry, je crois que c’était plutôt centré sur l’Ukraine. Donc on voit que du malfrat informatique, il peut aussi y avoir quelquefois des États qui ont un intérêt à déstabiliser d’autres États par des attaques de cette ampleur. Mais certaines entreprises françaises, des très grandes, ont été touchées. Suite à ça, il y a eu des communications dans la presse grand public, les entreprises ont mis en place des procédures beaucoup plus strictes pour se protéger face aux risques cyber. Je vais donner un exemple : je crois que c’est Saint-Gobain qui, maintenant, ne délivre plus le service informatique à ses utilisateurs s’ils n’ont pas fait leur mise à jour de patchs de sécurité. Avant, dans une grande entreprise vous faisiez ça, mais toutes les directions métiers hurlaient, parce que plus aucune direction métier ne pouvait plus fonctionner s’ils n’ont pas leur informatique. Donc, finalement, les services d’information pliaient et n’obligeaient pas les mises à jour des patchs de sécurité. Aujourd’hui, dans les grandes entreprises françaises, il y a eu une prise de conscience des risques cyber ; il y a beaucoup plus de facilités à obtenir le budget nécessaire lié aux investissements cybernécessaires, mais ça c’est uniquement dans les grandes entreprises, ou alors dans les organismes où il y a des infrastructures vitales. Mais après, il y a tout le tissu des PME et tout le tissu des citoyens qui ne sont absolument pas sensibilisés.

Antoine Genton : Un chiffre pour aller dans votre sens, Laure de La Raudière, que vous donnez, Philippe Trouchaud, et votre cabinet, PriceWaterhouseCoopers : 29 % des entreprises interrogées par votre cabinet, 29 % seulement, perçoivent la sécurité comme un enjeu prioritaire. Trois entreprises sur dix, c’est tout ! Avant de combattre un problème, il faut aussi reconnaître ce problème, dire qu’il existe, ce problème !

Philippe Trouchaud : Absolument. C’est un sondage qui portait surtout sur des entreprises dites de taille intermédiaire. C’est vrai que quand on regarde les entreprises du CAC 40, pour le coup, elles font maintenant de la cybersécurité le premier risque encouru par leur groupe. Donc les grandes entreprises ont compris. Un petit bémol, quand même, en matière de cybersécurité il ne suffit pas de faire des chèques et d'avoir des budgets, il faut d’abord avoir des talents. On est quand même là dans une guerre mondiale des talents, il manque aujourd’hui un million de professionnels sur le marché. Très vite, dès 2020, avec l’explosion des besoins et notamment de l’IOT [Internet of Things], on sera dans un manque de deux millions. La Commission européenne est encore plus alarmiste, elle parle de trois millions de professionnels manquants. Donc on voit même les grandes entreprises échouer parfois, pas parce qu’elles n’ont pas de moyens financiers mais simplement parce qu’elles n’ont pas les talents.

Antoine Genton : Et ça, c’est un problème de formation ?

Philippe Trouchaud : Absolument.

Antoine Genton : Ou un autre problème ?

Laure de La Raudière : Les formations existent, il y a une cinquantaine de master 2 de cybersécurité, en France. Donc ça a été mis en place. En revanche, ces formations ne font pas le plein. Donc il y a de la publicité à faire pour que les jeunes rejoignent d’urgence ces formations. D’abord, en France, on est excellents dans cette matière, donc on a un savoir-faire en informatique qui est bon et, deuxièmement, il y a de l’emploi derrière, il y a des emplois intéressants pour des personnes qui aiment l’informatique.

Antoine Genton : Philippe Trouchaud.

Philippe Trouchaud : Je pense qu’une des problématiques c’est qu’il faut que ces carrières soient attractives. Elles ne le sont pas aujourd’hui parce qu’on a toujours du mal à applaudir les trains qui arrivent à l’heure et finalement c’est ce qu’on demande à un responsable sécurité.
Le deuxième point c’est qu’effectivement il y a des formations, mais il n’y a pas de volonté encore très forte politiquement. C’est dommage parce que, comme vous l’avez dit, on est un territoire d’écoles d’ingénieurs, les plus prestigieuses sont issues d’écoles de guerre. On a probablement la meilleure école mathématique dans le monde. On a d’ores et déjà des champions industriels qui rayonnent dans le monde entier. On pourrait se donner un dessein mondial sur la cybersécurité, on manque, excusez de le dire devant vous. Je pense qu’on pourrait avoir beaucoup plus de volonté politique pour, justement, rendre ces carrières attractives. Ces talents-là ne seront jamais dans une seule entreprise, ce sont des talents mondiaux, ils sont intéressés par les défis, par des filières et par des expositions mondiales. Donc il faudra à l’avenir, je pense, qu’on raisonne beaucoup plus, au moins a minima, sur un plan européen que sur un plan local.

Antoine Genton : Laure de La Raudière.

Laure de La Raudière : On a une véritable carte à jouer en France, en fait, pour lancer et consolider une filière industrielle de la cybersécurité, puisque nous avons à la fois des PME qui maîtrisent des technos extrêmement puissantes et des grands groupes qui sont aussi, comme Thalès ou d’autres, sur ces enjeux de cybersécurité. Et on doit porter en fait, dans une ambition de souveraineté au niveau européen, cette filière industrielle. Il y va naturellement de la sécurité de l’État français, des infrastructures vitales pour notre pays, mais aussi un enjeu économique majeur. Donc c’est la raison, je dirais, de la constitution du groupe d’étude cybersécurité et souveraineté numérique à l’Assemblée nationale, c’est pour porter cette ambition pour notre pays, à la fois d’un point de vue de protection mais aussi d’un point de vue de conquête industrielle.

Antoine Genton : La France a énormément de talents. Genma, vous qui êtes au cœur au système, qui êtes passé peut-être aussi par cette filière et cette formation française, comment expliquez-vous qu’on manque aujourd’hui de talents dans ce domaine de la cybersécurité ?

Genma : Je pense, déjà, que la filiale informatique c’est très vaste et très large et la cybersécurité c’est vraiment une spécialisation de ce domaine-là. Comme on a dit, l’image qu’on a de la cybersécurité, c’est casser du code, faire des mathématiques, faire beaucoup de théorisation – ce qui est nécessaire, effectivement, pour créer, en fait, des systèmes de chiffrement complexes –, mais, dans l’opérationnel au quotidien, c’est de la maîtrise de logiciels, on n’a pas forcément besoin de connaître les algorithmes par cœur, il faut juste savoir que c’est tel algorithme qu’on va utiliser qui est l’état de l’art à l’heure actuelle. Et ça c’est toujours pareil, c’est de la communication pour donner de l’attractivité, dire que dans la cybersécurité il y a deux filiales, on va dire : la filiale théorique où ce sera plus des gens orientés mathématique, scientifique, qui vont construire, en fait, la sécurité de demain et la sécurité quotidienne, au jour le jour, avec justement mettre en place les logiciels. Il y a différents niveaux. Un technicien de base devrait, à l’heure actuelle, avoir une formation sur des principes de base d’hygiène numérique.

Antoine Genton : On va revenir à la formation, à la pédagogie. Juste un mot avant avec vous, Laure de la Raudière, sur les moyens alloués à la cybersécurité. Je pense notamment à l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information qui est l’organisme gouvernemental chargé de mettre en place la politique nationale de cybersécurité. 80 millions d’euros de budget l’an dernier. C’est moins que le budget de l’Élysée, est-ce que ce budget sera en hausse l’an prochain pour l’Agence ?

Laure de La Raudière : L’ANSSI a été créée en 2008.

Antoine Genton : C’est récent.

Laure de La Raudière : C’est assez récent, mais on n’est pas en retard par rapport aux autres pays européens et, d’une cinquantaine d’emplois à l’ANSSI en 2010, aujourd’hui ils sont 260-280. On a auditionné le directeur de l’ANSSI récemment.

Antoine Genton : Qui dit, lui aussi, qu’il a du mal à recruter des talents.

Laure de La Raudière : Il a du mal à recruter. C’est plus un problème, pour lui, de recruter des personnes formées à la cybersécurité qu’un problème budgétaire. C’est une des rares personne de l’État qui doit dire ça. Il dit aussi qu’il faut qu’il reste suffisamment souple, donc il n’a pas du tout envie de devenir une agence à 500 ou 600, parce qu’il veut être très opérationnel, être capable d’être très réactif par rapport aux sujets de cyber, donc il veut rester une agence à taille humaine pour avoir cette réactivité-là.

Antoine Genton : L’un des sénateurs Les Républicains, Ladislas Poniatowski, disait lors de cette audition, lors d’une audition en tout cas, c’était début octobre, avec ce directeur de l’ANSSI, que l’ANSSI pâtit d’un problème de ressources : « des talents très jeunes mais qui ne restent pas, débauchés par d’autres. La France ne joue pas dans la même catégorie que les États-Unis, la Russie et la Chine, nous avons un long chemin à parcourir pour rattraper notre retard », dit-il.

Laure de La Raudière : Ce n’est pas la même chose. Les États-Unis ont la NSA et ça regroupe à la fois les services de renseignement et les services de cybersécurité. L’ANSSI c’est dédié à la cybersécurité, ça ne fait pas de renseignement et c’est une bonne chose à mon avis, vis-à-vis des citoyens, de séparer les deux. Globalement ils ne sont pas là pour vous espionner, ils sont là pour vous protéger. Il y en d’autres qui sont là pour vous espionner, enfin certains citoyens, pas tous les citoyens, mais c’est très différent de la NSA ; c’est fondamentalement différent de la Russie aussi. Et je pense qu’on a cette spécificité, en fait, d’une agence qui est là pour protéger les citoyens français, protéger les infrastructures vitales, porter l’État des attaques cyber et des attaques cyber qui peuvent provenir de pays étrangers. C’est Patrick Pailloux lui-même, le directeur de l’ANSSI, qui dit : « Finalement, moi je suis content d’avoir quelque chose d’hyper-réactif ». Oui, il a un problème parce que, je dirais, il forme des jeunes qui vont après servir dans l’industrie, mais finalement ça rejoint l’ambition qu’on peut avoir de développer une filière de cybersécurité en France.

Antoine Genton : Et une collaboration.

Laure de La Raudière : Tout ça est sain si, à la base, il y a suffisamment de jeunes qui s’engagent dans les métiers de cybersécurité, que ça soit des formations de techniciens, des formations d’ingénieurs ou de master 2. C’est vraiment un appel que je fais aujourd’hui : allez-y, c’est un métier intéressant, c’est un métier en développement. Vous n’aurez aucun problème d’emploi et vous serez bien payé.

Antoine Genton : Philippe Trouchaud.

Philippe Trouchaud : Je voulais réagir parce que pour moi ça relève aussi du Frech bashing systématique. Quand vous voyagez dans le monde, il n’y a pas un cadre législatif comme on en a France et il n’y a pas l’ANSSI dans beaucoup de pays. Je ne vais pas citer de noms pour ne pas faire de peine à nos voisins, mais regardez à côté de nous, il n’y a pas cet arsenal législatif, il n’y a pas ces compétences-là.
Après, d’ailleurs c’est probablement ce qui a été cité devant votre commission, je ne suis pas persuadé personnellement que l’ANSSI ait vocation à employer des milliers de personnes, parce que la collaboration, comme on l’a dit, avec les industriels est précieuse, elle se fait d’ailleurs très fortement dans les pays anglo-saxons, justement, il faut veiller à ne pas être dans le réglementaire ou la normalisation. Il faut d’abord créer des modes de collaboration qui créent des modèles économiques. Parce que les acteurs de la cybersécurité, en France aussi et notamment à travers des schémas de certification, manquent de modèles économiques. C’est très bien d’avoir des règlements, de normaliser le marché quoiqu’on pourrait en débattre, mais en tout cas tous ces industriels qui ont le talent, qui ont le capital humain, ont besoin d’avoir des débouchés économiques. C’est ça leur première préoccupation.

Antoine Genton : La cybersécurité est-celle vouée à l’échec ? Question posée ce soir dans Le Grain à moudre. Nous en parlons avec Philippe Trouchaud, associé au sein du cabinet PriceWaterhouseCoopers, en charge des activités de cybersécurité ; Laure de la Raudière, députée UDI, ingénieur Télécoms ; Genma, blogueur, directeur des systèmes de sécurité dans une PME, Linagora.
Je me tourne vers vous, Genma, pour revenir sur ce sujet de la formation, de la pédagogie puisque vous en faites, vous, de la pédagogie lors de conférences, d’ateliers organisés avec des citoyens, des particuliers. Vous parlez d’hygiène numérique, une hygiène nécessaire à tous. Qu’est-ce que cela veut dire précisément ?

Genma : L’hygiène numérique ce sont quelques règles de base que tout un chacun doit s’approprier. À l’heure actuelle on utilise tous les jours un ordinateur, même si on n’en a pas on en a un, ça s’appelle un smartphone, c’est un ordinateur de poche. En fait, il y a des règles de base qui sont des règles d’hygiène. L’exemple que je donne souvent lors des conférences, c’est que quand on est petit on nous explique qu’il faut se laver avant de passer à table, eh bien l’hygiène numérique c’est comment éviter la gastro informatique. C’est un terme que j’utilise depuis quelques années maintenant, qui s’est vite démocratisé, qui passe très bien auprès du grand public, justement ce terme, cette appropriation d’hygiène numérique. L’ANSSI l’utilise aussi, maintenant, et fait des très bons guides. D’ailleurs on peut saluer tout le travail qui est fait par l’ANSSI aussi bien au niveau du grand public avec des guides très bien faits sur comment voyager à l’étranger, etc. ; des professionnels, en fait plus de collaborateurs qui n’ont pas forcément vocation à travailler dans l’informatique, mais qui vont utiliser des outils informatiques avec : « vous partez à l’étranger, quelles sont les règles de base pour sécuriser son PC et ne pas avoir des données qui vont fuiter ». Il y a un travail plus complexe avec, justement, des règles sur comment sécuriser un système d’information avec des règles très poussées de sécurité.

Antoine Genton : Laure de la Raudière, je vous voyais réagir à ce que vient de dire Genma.

Laure de La Raudière : Oui. Vous prenez l’exemple de vous laver les mains avant de passer à table, moi j’ai pris l’exemple de comment traverser la rue et c’est exactement ça : c’est tout ce qu’on a appris enfant par automatismes, eh bien il faut que les adultes réapprennent un automatisme de culture numérique. Vous appelez ça hygiène numérique, moi j’appelle ça plus largement culture numérique qui n’a pas été au cœur de notre éducation en tant qu’enfant.

Antoine Genton : Par quoi ça passe ?

Laure de La Raudière : Qui n’est même pas au cœur de l’éducation des enfants d’aujourd’hui !

Antoine Genton : Justement par quoi ça passe ? Par quoi elle passe cette éducation ? Par l’école ?

Laure de La Raudière : Moi je prône depuis quelques années le fait qu’au collège on transforme le cours de Techno en un cours de culture numérique où on mettrait un peu de code – apprendre à coder, qu'un logiciel n’arrive pas par le saint esprit, ce sont des lignes de code,comment c’est fait ; deuxièmement on mettrait comment bien se comporter sur les réseaux sociaux et la citoyenneté numérique ; troisièmement on mettrait comment bien se protéger en matière de cybersécurité ; quatrièmement on ferait aussi découvrir les différents métiers du numérique qui sont en tension, on parle de la sécurité aujourd’hui, mais ils sont tous en tension alors qu’on voit certains enfants qui continuent à faire des études supérieures dans des filières qui sont bouchées, c’est quand même dommage ! Il faut peut-être leur faire découvrir ces métiers. On n’a pas les moyens à l’Éducation nationale de tout faire, je suis d’accord. Donc moi je propose des choix : la priorité c’est le numérique au sens large, donc il faut transformer ce cours de Techno en cours de culture numérique.
Après, dans les entreprises je propose, à l’instar de ce qu’ont fait certaines entreprises – je voudrais citer Bouygues Telecom – c’est qu’il y ait une mise en parce d’une petite formation, finalement délivrer un petit brevet, une formation obligatoire à tous les salariés avec un petit brevet à la clef de culture numérique aussi, avec l’appréhension des enjeux de cybersécurité.
Ils ont fait ça par un tutoriel en ligne BT et puis vous aviez, vous deviez atteindre un certain niveau de compréhension des enjeux du numérique et des enjeux de cyber. Ça n’a pas pris énormément de temps, ça n’a pas coûté très cher à l’entreprise, mais au moins ça a permis de former tous les salariés de cette entreprise. On peut très bien imaginer décliner ça et ça pourrait, d’ailleurs, être une brique de logiciels fournie par l’État, en tutoriels en ligne qu’on diffuserait dans les entreprises. Voilà ce que je propose.

Antoine Genton : Avant de parole à Philippe Trouchaud, vous faites ça Genma, dans votre entreprise ? Des tutoriels, de la formation continue pour vos salariés ?

Genma : Tout à fait. Tout nouvel arrivant reçoit un livret d’accueil dans lequel il y a les dix règles de sécurité de base que nous avons mises en place chez Linagora. Ça va être : utiliser un coffre numérique pour l’usage des mots de passe. Monsieur Trouchaud parlait tout à l’heure de la complexité des mots de passe, on parle de coffre-fort numérique. Chiffrement du poste. Il y a une sensibilisation à la responsabilité qu’on a par rapport aux mails qu’on peut envoyer ou recevoir, parce qu’il y a toutes les techniques de hameçonnage, etc. On a eu aussi la problématique sur les réseaux sociaux aussi, sur Linkedin, où il y a des faux profils qui ont demandé, en fait, des collaborateurs. Donc là on a une sensibilisation avec « non, telle personne n’a pas été embauchée chez nous, donc elle n’est pas du tout légitime à entrer en contact avec vous ».
Je me permets juste une petite parenthèse. J’aime beaucoup le terme de « culture numérique » et je vous approuve tout à fait, Madame de la Raudière, parce que c’est vraiment ça en fait. Et dans cette culture numérique, on peut rajouter justement aussi l’éducation, donc dans l’éducation au numérique l’éducation à l’image. On parle souvent des bulles de filtre, des problématiques des réseaux sociaux, etc. En fait c’est un tout et ça touche aussi de très près l’hygiène numérique parce qu’il y a aussi comment se comporter. Ça rejoint un article que je me permets de citer, c’est « Hygiène et écologisme numérique » qui a été publié par l’ami Clochix sur le Framablog4, un ensemble du réseau de Framasoft. Lui va plus loin que l’hygiène numérique, en fait il parle « d’intimité numérique ». L’intimité c’est « qu’est-ce que je veux protéger » et l’hygiène c’est « comment je veux le protéger ». Et j’ai beaucoup aimé ce terme parce qu’on a beaucoup parlé de « qu’est-ce qu’il faut faire », mais avant de « qu’est-ce qu’il faut faire », c’est « qu’est-ce que je veux protéger ? »

Antoine Genton : Dans les entreprises, Philippe Trouchaud, la formation, on vient de l’entendre, est essentielle. Est-ce que là aussi on ouvre plus largement à la culture numérique ou est-ce qu’on se concentre sur les besoins précis d’une entreprise ?

Philippe Trouchaud : Pour répondre au début de votre question c’est absolument essentiel. Souvent on n’a pas de stratégie en matière de cybersécurité, on ne sait pas forcément ce qu’on a à protéger, c’est ce qui vient d’être dit, et on a des mauvaises tactiques parce qu’on cherche à se protéger uniquement de l’extérieur alors que 70 % des incidents viennent des employés et des sous-traitants. Donc si on doit faire porter un effort là-dessus c’est d’abord sur la sensibilisation, la compréhension, et le mode répressif n’est pas utile en matière de cybersécurité.
Toutes les chaînes de valeur, quels que soient les secteurs d’activité, sont de plus en plus éclatées. On a un recours de plus en plus accru à la sous-traitance. On le disait, on n’a jamais autant investi dans la technologie. On investit 4 000 milliards de dollars dans le monde entier chaque année dans la technologie parce qu’il y a des nouveaux entrants dans toutes les chaînes de valeur et on essaye de les contrer et on sous-traite massivement à des sous-traitants. Donc beaucoup d’incidents qui ont été cités, implicitement ou explicitement, même quand ils étaient dans des CAC 40, ne venaient pas de l’entreprise elle-même, ils venaient plutôt de sous-traitants ou de partenariats. Évidemment il faut sensibiliser les salariés, mais il faut aussi faire peser des exigences et vérifier ce qui est fait par les sous-traitants ; ça peut être un transporteur, ça peut être quelqu’un qui travaille sur la R&D puisque c’est là qu’on crée la majorité des sources de problèmes en matière de cybersécurité.

Antoine Genton : C’est un sujet que vous abordez dans votre livre, Philippe Trouchaud, La cybersécurité face au défi de la confiance chez Odile Jacob.
Autre sujet intéressant, c’est qu’il faut savoir adapter sa défense au sein d’une entreprise. Vous parlez de défense périmétrique, c’est-à-dire celle qu’on peut avoir sur nos postes quand on arrive dans une entreprise, quand on est salarié on a des mots de passe, etc., ce qui n’est pas forcément la meilleure défense à adopter. Vous parlez, vous, de défense en profondeur.

Philippe Trouchaud : On va peut-être éviter tous les concepts de défense.

Antoine Genton : En tout cas la stratégie est intéressante parce qu’il faut savoir adapter sa défense.

Philippe Trouchaud : Les concepts de sécurité périmétrique c’est finalement issu une culture à la Vauban. C’est-à-dire qu'on met des murs, on adore ça en France, éventuellement c’est joli dans un paysage, mais ça ne correspond plus à la réalité du système d’information d’une entreprise. La réalité du système d’information d’une entreprise c’est qu’il est éclaté et il n’est pas présent physiquement dans l’entreprise, en fait la plupart des données sont même à l’extérieur de l’entreprise. Donc sécuriser ça avec l’image d’un mur où on met des serveurs ou des ordinateurs, ça ne correspond plus à la réalité. Comme j’essayais de le dire tout à l’heure, il y a tout un tas d’intervenants qui ne sont pas des intervenants au sein de l’entreprise ; ça peut être des prestataires informatiques et les données sont évidemment dans le fameux nuage donc, là aussi, il y a besoin d’avoir des exigences de sécurité.
On a inconsciemment, dans notre culture française, des mécanismes très périmétriques en fait. C’est même inscrit dans notre paysage et il faut un peu casser ces dogmes culturels parce que, encore fois, ça ne correspond à la réalité du système d’information des entreprises.

Antoine Genton : Genma.

Genma : Oui. C’est vrai que là on pense souvent sécurité, on parle de technique, de mots de passe, etc. Tout à l’heure, pour préparer l’émission, j’ai regardé les réseaux sociaux, il y a une petite vidéo qui tourne, c’est une interview radio dans la rue, on demande à quelqu’un : est-ce que vous avez un chien ? Comment il s’appelle ? Vous avez fait quelle école ? Etc., un certain nombre de questions qui sont les questions typiques qu’on aura sur un réseau social quand on a oublié son mot de passe. En fait, c’est ce qu’on appelle du social engineering, de l’ingénierie sociale. Ça c’est quelque chose auquel il faut aussi sensibiliser les collaborateurs, parce que, comme disait monsieur, les systèmes informatiques vont être éclatés. On est dans une entreprise dans laquelle on a un prestataire extérieur. Il y a quelqu’un qui peut vous appeler : « Écoutez, je dois intervenir sur votre poste, donnez-moi l’adresse de votre ordinateur, donnez-moi le mot de passe pour que je puisse me connecter et vérifier qu’on a bien fait les mises à jour. — Ah ! On me dit qu’on va faire les mises à jour, j’ai été sensibilisé lors de la formation, donc c’est important. » Sauf que c’est quelqu’un qui vient pirater votre ordinateur !
En fait, au-delà de la sécurité physique du poste, il y a vraiment une sensibilisation. Il faut penser un peu à tous les cas, et vraiment penser à ça aussi. Ou ça peut être quelqu’un qui va être en déplacement dans un pays un peu sensible, qui a des données confidentielles sur son ordinateur, eh bien il ne faut pas accepter le verre d’une ou d’un inconnu. Vraiment ça va au-delà, comme disait monsieur, de la simple sécurisation physique avec des murs on va dire informatiques.

Antoine Genton : Certains essayent donc de se prémunir contre les attaques avec une culture numérique, avec plus d’hygiène, avec des logiciels, et puis d’autres, finalement, renoncent à ça en se disant « pour moi c’est trop compliqué » et ils se tournent plus facilement vers les assurances, des entreprises qui sont au courant, en majorité, de ces offres d’assurance. Est-ce que ça vous semble là, Laure de la Raudière, une bonne approche du sujet ?

Laure de la Raudière : Dès qu’il y a un risque il y a toujours une assurance qui peut se développer.

Antoine Genton : Au moins complémentaire.

Laure de la Raudière : Voilà. L’un ne va pas sans l’autre. C’est-à-dire que je trouve assez intelligent d’être assuré contre un risque de perte d’exploitation si on vous prend vos données par exemple, pour autant c’est quand même un traumatisme pour l’entreprise. Ce n’est pas parce que vous êtes assuré que vous ne devez rien faire pour vous protéger du risque. Perdre ses données, quand ça arrive, c’est quelque chose de dramatique, ça va empêcher l’entreprise de fonctionner pendant un certain nombre de temps, c’est un traumatisme très fort. Donc, à mon avis, il n’y a pas beaucoup d’entreprises qui choisissent de prendre une assurance sans se prémunir du risque.
Je dirais même, quand une entreprise prend conscience qu’elle doit prendre une assurance, on a déjà fait un grand pas, parce que ça veut dire qu’elle a pris conscience du risque, donc elle va à la fois souscrire une assurance et, en même temps, réfléchir à se protéger. C’est déjà très bien. Mais aujourd’hui quel est le pourcentage d’entreprises qui prennent conscience du risque cyber ? C’est très peu ! Quel est le pourcentage des citoyens qui prennent conscience du risque cyber ? C’est infinitésimal ! Moi je vous félicite de faire cette émission sur France Culture qui est quand même un média grand public ; c’est une première, il faudrait qu’il y en ait beaucoup plus.

Antoine Genton : Philippe Trouchaud.

Philippe Trouchaud : L’assurance est un fait assez marquant parce que les entreprises qui s’assurent, effectivement, sont beaucoup plus matures que les autres en matière de cybersécurité. On écoute beaucoup plus la parole de l’assureur que celle du management, du régulateur, du parlementaire, pourquoi pas. L’assurance est un cercle vertueux, on le voit bien dans d’autres types de risques. L’assurance fait quand même progresser un marché parce qu’elle exerce un certain nombre de contraintes. Comme vous avez payé pour être assuré, vous n’avez pas envie qu’on vous dise que n’ayant pas ayant mis en place tel et tel process vous n’êtes pas éligible, finalement, à avoir une prime. Évidemment, il vaut mieux prémunir le risque avant d’aller voir l’assureur, mais l’assurance apportera un cercle vertueux dans la cybersécurité.

Antoine Genton : Il y a un mot que vous avez tous cité, en particulier beaucoup Philippe Trouchaux, c’est la collaboration, la confiance. C’est l’un des éléments clefs de la cybersécurité, c’est l’objet, je le rappelle encore une fois, de votre livre. Quand on est une entreprise, Genma vous qui travaillez au cœur d’une entreprise, qui travaillez sur ces systèmes de sécurité, comment la créer cette confiance ? Est-ce que vous êtes d’accord avec l’analyse de Philippe Trouchaud qui dit que c’est la clef, encore une fois, de ce combat ?

Genma : C’est vraiment ça. Parce qu’on aura beau mettre en place tout ce qu’on veut, s’il n’y a pas la confiance et l’implication des collaborateurs, ça ne sert à rien. Justement, en fait, tous les outils de sécurité qu’on va mettre en place sont des contraintes. Et les contraintes, souvent, on va tout faire pour les limiter, pour les réduire. Donc il faut expliquer pour impliquer. C’est comme du management au quotidien dans une équipe : on va expliquer pour que le collaborateur s’implique et comprenne pourquoi on lui demande ça, pourquoi on a ce niveau d’exigence pour répondre à un besoin client. On a la même pédagogie pour expliquer pourquoi on a ce niveau d’exigence au niveau sécuritaire. Quelqu’un qui a compris pourquoi il faut le faire, le fera. Quelqu’un qui ne comprend pas va dire « mais non, c’est contraignant, ça ne sert à rien » et l’incident arrive.

Antoine Genton : Philippe Trouchaud.

Philippe Trouchaud : La confiance on peut l’envisager sur deux axes. D’abord il y a quand même le coût de la cybersécurité au plan mondial : ça coûte aujourd’hui à peu près 600 milliards de dollars et ça sera à peu près mille milliards de dollars d’ici 2020. Ça veut dire que si je multiplie par trois, la cybersécurité nous coûte tous les trois ans l’équivalent de la crise des subprimes ; c’est ça, quand même, l’ordre de grandeur. Et surtout, au-delà de ça, on détruit la confiance des utilisateurs. Il y a un rapport qui est très bien fait qui est le rapport du CRÉDOC [Centre de Recherche pour l'Étude et l'Observation des Conditions de Vie] qui montre ça en 2017.

Antoine Genton : Parce que la confiance vaut aussi au sein même d’une entreprise.

Philippe Trouchaud : Oui. Voilà. Il y a la confiance des entreprises.

Antoine Genton : Mais il y a aussi la relation de confiance entre les utilisateurs, les consommateurs et les entreprises.

Philippe Trouchaud : Et quand vous regardez le rapport du CRÉDOC qui, encore une fois, est un document qui est très bien fait, il montre qu’aujourd’hui vous avez plus de deux tiers des Français qui n’ont plus confiance dans le numérique et qui, notamment, ne souhaitent plus payer. Si vous allez dans des verticaux comme la santé, il y a seulement 16 % des Français qui seraient volontaires pour partager quelques informations de base type un numéro de sécurité sociale ou une information de groupe sanguin. Ces statistiques-là ne font plaisir à personne donc elles ne sont pas très médiatisées, mais elles veulent dire une chose c’est que nos rêves numériques ne sont pas forcément, aujourd’hui, complètement ancrés dans les usages et toutes les ères de prospérité économique, c’est finalement l’histoire de la Renaissance, il y avait un capital de confiance qui était exceptionnel ; vous le retrouvez avec l’ouverture des voies maritimes. Aujourd’hui, cette confiance dans le numérique n’est pas réunie. Et on voit des phénomènes induits. Il y a des gens qui commencent, d’ailleurs ils sont entendus par un certain nombre de parlementaires, à réfuter les compteurs intelligents alors qu’on nous expliquait il y a quelques années que ça permettait d’économiser beaucoup de tranches nucléaires. Moi je suis dans une petite commune de l’Ouest parisien il y a des artistes qui ont fait voter…

Antoine Genton : Vous pensez au compteur Linky c’est ça ? Entre autres.

Philippe Trouchaud : Entre autres. Mais il y a un rejet de la technologie. Il y a des villes dans lesquelles on fait voter des arrêtés anti-ville intelligente. Il y a un énorme bémol à faire ça, c’est que les incidents arrivent, il ne faut pas croire qu’ils ne concernent que l’entreprise, ils effondrent la confiance des clients. Vous avez le même phénomène dans les pays anglo-saxons ; à deux tiers de clients qui n’ont pas confiance, il n’y a pas de business modèle valable.

Antoine Genton : Laure de la Raudière.

Laure de la Raudière : Moi, sur la confiance, il y a des crises de confiance en matière de numérique en fait à chaque fois qu’il y a des grandes plates-formes qui se font hacker les données personnelles des utilisateurs. Ça a été le cas récemment avec Facebook. On a vu une mise en cause de Facebook et certains utilisateurs quitter le réseau social parce qu’on a eu l’impression que Facebook faisait — ce n’est pas qu’on avait l’impression, c’est que Facebook faisait — avec les données des utilisateurs des actions qu’elle disait ne pas faire. Et ça c’est dramatique. Il faut absolument, si on veut développer une confiance dans le numérique chez les utilisateurs, qu’il y ait une grande transparence de ce qui est fait des données personnelles des utilisateurs par les entreprises et que ça ne soit jamais mis à mal d’un point de vue démocratique. La confiance se mérite en matière de numérique.

Antoine Genton : Il nous reste deux minutes. La transparence pour plus de confiance, c’est comme ça que se pose l’enjeu Genma ?

Genma : Tout à fait. En termes de transparence et de confiance, moi je travaille dans une société qui fait ce qu’on appelle du logiciel libre, de l’open source où le prérequis c’est : on donne les recettes de cuisine des logiciels qu’on utilise, donc tout un chacun est libre de regarder ce qu’il y a dedans. C’est un pendant que j’utilise souvent dans les conférences d’hygiène numérique en disant « voilà, on vous donne la recette de cuisine informatique, vous pouvez regarder ce qu’il y a dedans. Vous savez qu’il n’y a pas d’allergènes et, en plus, vous pouvez cuisiner ce plat avec des ingrédients bio ». On rejoint quelque chose qui est justement souvent utilisé « mangez bio, c’est meilleur pour la santé ». Souvent on compare les grands groupes du numérique, les fameux GAFAM, à du McDo de l’informatique, de la malbouffe, etc. Il y a justement cette défiance par rapport au numérique. Il y a un milliard trois cent mille utilisateurs de Gmail à l’heure actuelle et on leur dit « Gmail c’est le mal, etc. », et qu’est-ce qu’il y a d’autre ? Il y a des alternatives mais c’est un peu plus compliqué et, du coup, c’est « je n’utilise plus ou je n’utilise pas parce que je me méfie ».

Antoine Genton : En tout cas encore une elle image : le bio de l’informatique, on va le retenir. Philippe Trouchaud, il y a une question qu’on n’a pas posée : est-ce qu’on peut se défendre en attaquant ceux qui nous attaquent ? Est-ce que c’est efficace ?

Philippe Trouchaud : Il y a des courants de pensée aux États-Unis, il y a des débats très vifs sur le sujet parce que quand vous êtes une entreprise que vous dépensez des centaines de millions de dollars pour vous défendre et que, finalement, on arrive quand même à connaître qui vous attaque, la tentation – et je ne dis pas que ce n’est pas un raccourci intellectuel – c’est de dire « finalement on pourrait avoir des sortes de drones logiques qui nous débarrassent de ces gens-là ». On ne va pas trancher la question aujourd’hui, je pense que ça relève de beaucoup de débats d’éthique et de sujets de société. En tout cas cette tentation, ce débat viendra, j’en suis certain.

Antoine Genton : Ça viendra dans les entreprises. Pour les États, les relations entre les États ça existe déjà. ?

Laure de la Raudière : Bien sûr. Il faut toujours montrer aux autres qu’on est capable de les attaquer. Il ne s’agit forcément de le faire, mais il faut montrer qu’on est bien armé, mieux armé qu'eux et que, s’ils vont dans cette voie-là, on saura se défendre et au besoin attaquer. Ça c’est la guerre !

Antoine Genton : Rapidement Genma.

Genma : Justement, maintenant on a un quatrième corps d’armée qui est le cyber. Pour revenir à la défiance, rien que le terme de cyber, en fait, a un côté un peu fantasmagorique, c’est du numérique, c’est du virtuel, etc., du coup, le commun des mortels on va dire, qui n’est pas du tout technophile, va dire « c’est du cyber », comme à un moment on avait la réalité virtuelle, ce sont des fantasmes technologiques qu’on ne sait pas à quoi raccrocher.

Antoine Genton : On ne sait pas le comprendre, on ne sait pas le lire.

Genma : On ne sait pas le comprendre. Je préfère parler de vie numérique versus la vie non numérique. Et là on s’approprie mieux en fait : ce n’est pas une vie virtuelle, c’est numérique.

Antoine Genton : D’où l’importance de plus de pédagogie, de plus d’éducation, sujet que nous avons abordé. On a retenu notamment vos propositions, Laure de la Raudière.
C’est la fin de cette émission merci à tous les trois, Laure de la Raudière, députée UDI, coprésidente du groupe d’étude Cybersécurité et souveraineté numérique à l’Assemblée nationale. Genma, blogueur, militant pour une meilleure information du grand public sur la cybersécurité. Philippe Trouchaud, associé au sein du cabinet de conseil PriceWaterhouseCoopers, en charge de la cybersécurité et auteur, je le rappelle, de La cybersécurité face au défi de la confiance chez Odile Jacob.

Un grand merci à l’équipe du Du Grain à moudre