Conférence nationale sur la cybersécurité

Les réseaux étatiques et d’entreprises sont confrontés à une menace croissante de la part d’acteurs aux profils et motivations variés. La nature des attaques est à la fois ancienne et nouvelle, par leur qualité et leur ampleur. En parallèle, l’utilisation d’appareils connectés ne cesse d’augmenter, tout comme le trafic de données ; ce sont autant de ressources à protéger. Les pays considérés comme technologiquement avancés se retrouvent de fait face à une menace de nature et d’intensité comparables.

 

C’est dans ce contexte qu’a eu lieu le 4 juin 2013 à Potsdam une conférence nationale sur la cybersécurité, organisée conjointement par deux instituts de recherche, l’Institut Hasso Plattner (HPI) et l’Institut brandebourgeois pour la société et la sécurité (BIGS), dans le but de mettre en relation les mondes économique, politique et scientifique sur cette thématique.

 

Quelques repères sur ce phénomène :
Un ordinateur sans antivirus présente un risque cinq fois plus élevé d’être victime d’une attaque. 65% des entreprises allemandes pensent pouvoir être victimes d’une attaque informatique, pourtant 1 entreprise sur 2 n’a pas de politique de sécurité informatique claire (source : BKA). Il faut en moyenne 416 jours pour détecter une intrusion longue dans un système, et on estime que 2/3 de la technologie américaine sont sujets à espionnage (chiffres CASSIDIAN). Les faiblesses principales proviennent des navigateurs internet et des fichiers joints, notamment de type PDF.

 

Selon Christoph Meinel, directeur de l’Institut Hasso Plattner, trois axes de travail sont à suivre en priorité, que ce soit de la part de l’industrie ou bien de l’administration :
– la sensibilisation des personnes sur ces sujets ;
– la sécurité des réseaux et d’internet (le point clé étant la détection en temps réel des attaques avec des « capteurs de sécurité ») ;
– la sécurité du cloud (par des logiciels).

 

A l’occasion de la conférence a été lancée une plateforme [1] ouverte à tous et gérée par le HPI. Elle fournit une base de données complète et mise à jour automatiquement des vulnérabilités logicielles connues, les sources étant les fabricants de logiciels et les sites spécialisés. Y ont été recensées au 31 mai 2013 environ 55.000 faiblesses concernant 140.000 logiciels.

 

Le Ministre de l’Intérieur du Land de Brandebourg, Dietmar Woidke, est d’avis que « l’internet n’est pas une zone de non-droit » ; il incite donc les utilisateurs à s’adresser à la police le cas échéant. Selon lui, une coopération forte doit s’établir sur ce sujet à deux niveaux : entre la politique, l’administration et l’économie d’une part, entre les acteurs de différents pays d’autre part.

 

De son côté, l’Académie des technologies acatech, dont le rôle est de conseiller les politiques, de favoriser le transfert de connaissances et de tisser des liens entre les milieux politique, économique et la société, considère trois secteurs dans lesquels une vigilance accrue doit s’opérer :
– le respect de la vie privée sur le net (principalement les réseaux sociaux, l’eCommerce) ;
– le cloud computing ;
– le big data.

 

L’intervention de Deutsche Telekom s’est focalisée sur le réseau sur le plan technique. Son représentant Thomas Kremer a mis en avant la nécessite d’une transparence sur les attaques, d’une coopération internationale qui n’existe guère aujourd’hui. Dans cette logique, l’entreprise allemande a mis en place un réseau d’environ 100 ordinateurs volontairement vulnérables, appelés « honeypots », pour attirer, piéger les hackers et ainsi cerner leurs profils. Les attaques sont recensées en temps réel sur un portail en ligne [2] et font partie du système d’alerte préventif de Deutsche Telekom. Tous types d’attaques confondus, ce sont 450.000 agressions quotidiennes qui sont enregistrées sur ces pièges. A la fin de l’année 2013, 180 pièges devraient être opérationnels.

 

Différents intervenants d’entreprises du secteur IT ont insisté sur le fait que la cybersécurité en entreprise n’est pas uniquement une question technique, mais aussi et surtout de gestion à tous les niveaux. Il est nécessaire de briser le « mur du silence » : prendre conscience des menaces existantes et minimiser les faiblesses humaines et techniques, avec un budget prévu et adapté. Un intervenant de Microsoft a mis en avant le problème actuel des entreprises allemandes, notamment les PME, à trouver un partenaire de confiance lorsqu’elles sont victimes d’attaques.

 

Une proposition de directive du Parlement européen souhaite l’instauration d’une obligation de déclaration des incidents informatiques à une autorité nationale, qui concernerait à la fois les opérateurs de télécommunications, l’administration publique et les entreprises de certains secteurs jugés stratégiques, comme les banques, la santé, l’énergie et les transports.

 

Cette mesure est saluée par les politiques et les entreprises du secteur IT. Toutefois les entreprises peuvent être réticentes à révéler ces informations, mettant en avant la question de l’image. L’Office fédéral de police criminelle (BKA) s’est prononcé pour un partenariat public-privé permettant à la fois un bon échange d’informations et l’adoption d’une ligne commune contre les attaques. Il est à noter que les réseaux du gouvernement allemand font face en moyenne à 1.000 attaques sérieuses par an. Selon l’Office fédéral de sécurité intérieure (BfV), la coopération à deux niveaux mentionnée ci-dessus (national et au-delà des frontières nationales) permettrait de mieux comprendre les motivations des agresseurs. Le problème est cependant d’aboutir au final à une personne physique, et bien souvent même de cerner la nature étatique ou privée de l’attaque.

De son côté, Bernhard Gerwert de l’entreprise Cassidian, voit dans ce secteur une opportunité de marché. Les entreprises consacrent en moyenne 2 à 5% de leur budget IT à la cybersécurité. L’avantage concurrentiel d’un développement de solutions fiables serait double : d’une part disposer des meilleurs produits et d’autre part la possibilité de les vendre. Dans ce cadre, l’échange de données serait nécessaire pour l’industrie. Le public ne serait pas suffisamment sensibilisé, or Bernhard Gerwert est convaincu que « la majorité des attaques sont dues à la maladresse des employés ».

Selon le Ministère fédéral de l’économie et de la technologie (BMWi), un retard se fait sentir en termes de sécurisation des systèmes et doit être rattrapé. Ce retard est essentiellement d’ordre organisationnel, et pourrait notamment être comblé par la mise en place de plans d’urgence informatique et d’entraînement.

Selon le président du BIGS, un dialogue est fondamental entre les scientifiques et le monde économique. La sécurité doit être une thématique gérable et mesurable au sein des entreprises.

 

 

Pour en savoir plus, contacts :

– [1] Plateforme gérée par le HPI et recensant les insécurités logicielles : http://www.hpi-vdb.de
– [2] Portail en ligne recensant en temps réel les attaques détectées par Deutsche Telekom : http://www.sicherheitstacho.eu/
– Site de l’Institut Hasso Plattner de Potsdam, co-organisateur de l’évènement : http://www.hpi.uni-potsdam.de/
– Site de l’Institut brandebourgeois pour la société et la sécurité (BIGS), co-organisateur de l’évènement : http://www.bigs-potsdam.org/

 

Sources :

Participation du rédacteur à la conférence – 04/06/2013

 

Rédacteurs :

Aurélien Filiali, aurelien.filiali@diplomatie.gouv.fr – https://www.science-allemagne.fr