Citoyens, salariés et consommateurs exigent la transparence sur l'utilisation et la gestion de leurs données à caractère personnel. Ainsi que des systèmes d’information fiables et sécurisés. On en est loin. Pourtant, quantités d’efforts sont accomplis pour construire la confiance numérique. Bref, le sujet reste critique.
À l’heure où certains États-nations ainsi que des dizaines de milliers de cyber-pirates mènent des cyberattaques en tout genre, les utilisateurs finaux des systèmes d’information (SI) exigent la transparence sur l’utilisation et la gestion de leurs données à caractère personnel (DCP). C’est le minimum pour établir la confiance numérique envers les citoyens, les salariés et les consommateurs dans un monde de plus en plus digitalisé. Selon l’étude The State of Digital Trust 2022 de l’ISACA, l’association professionnelle internationale pour l’amélioration de la gouvernance des SI, un faible niveau de confiance numérique présente moult risques : dégradation de la réputation (66 %) de l’organisation mise en cause, hausse des atteintes à la vie privée (56 %), perte de clientèle (54 %) et atteintes à la fiabilité des données (47 %), etc. Or, si les entreprises comprennent l’intérêt d’une solide confiance numérique, leur démarche est souvent freinée par un manque de compétences et de formation internes (53 %), un manque d’alignement avec les objectifs de l’entreprise (42 %), un manque d’adhésion des dirigeants à cette notion (37 %), un déficit de budget (37 %) et un manque de ressources technologiques (30 %).
Un sujet toujours critique
Une chose est sûre : la confiance numérique reste un sujet toujours plus critique. « L’économie numérique repose sur l’échange des DCP contre la gratuité des services sur Internet. Pas étonnant que ces données soient captées par les services numériques, les réseaux sociaux, les moteurs de recherche, les Web Services et, demain, les objets connectés (IoT) pour en tirer des revenus », constate Jean-Noël de Galzain, PDG de Wallix, un éditeur français de logiciels de sécurité informatique fondé en 2003, spécialisé dans la sécurisation des systèmes d’information et la gestion des infrastructures informatiques critiques, notamment celle des comptes à privilèges.
« Dans l’affaire d’agression sur la joueuse de football française Kheira Hamraoui incriminant sa coéquipière Aminata Diallo, on apprend que les requêtes de cette dernière sur les moteurs de recherche avaient été analysées par les forces de l’ordre. Lesquelles ne se cantonnent donc plus au bornage des téléphones portables, aux SMS et aux photos, reprend Jean-Noël de Galzain qui est également président d’Hexatrust, une association qui rassemble une cinquantaine de membres de l’écosystème cyber français, représentant plus de 2 500 experts. De même, on a appris cet été que le fisc utilisait Google Maps pour vérifier la conformité (ou la non-conformité) des déclarations fiscales effectuées par les propriétaires de piscines… » Autrement dit, on est encore plus surveillés que ce que l’on croyait ! « La confiance numérique et la protection des DCP posent la question du délicat équilibre entre justice, contrôle, sécurité et libertés individuelles fondamentales. Autre question : avons-nous vraiment envie que nos DCP soient analysées par des géants du numérique. A fortiori dans par ceux des pays qui n’obéissent pas à nos règles ni à nos valeurs fondamentales ? », interroge Jean-Noël de Galzain.
Création du Campus Cyber
Autre certitude : l’État français nourrit l’ambition d’être une nation leader du numérique et notamment de la cybersécurité. En témoignent l’Agence nationale de la sécurité des systèmes d’information (ANSSI), créée en 2009, le site Cybermalveillance.gouv.fr, lancé en 2017, et, en février dernier, l’ouverture du Campus Cyber à Paris-La Défense, qui réunira à terme jusqu’à 1 700 personnes sur 26 000 m² répartis en treize étages. Inspiré des sites Beer-Sheva (Israël) et Skolkovo (Silicon Valley russe), le Campus Cyber rassemble au même endroit, des représentants d’entreprises de cybersécurité, des services de l’État (ministères de l’Intérieur et des Armées, ANSSI, DGSI, police, gendarmerie…), des instituts de recherche comme Inria et des écoles spécialisées. « Ce campus va servir aux Français pour qu’ils puissent avoir une vie numérique paisible, à créer une société numérique de confiance », expliquait au micro de France Inter Michel Van Den Berghe, le président du Campus Cyber lors de l’inauguration. Reste que cette structure ne viendra pas concurrencer les actuels centres de pilotage des opérations de cyberdéfense. L’intérêt du Campus Cyber consiste à susciter la création de nouveaux services, de nouvelles activités ainsi que des formations. Sans oublier l’échange d’information, notamment en cas de crises cyber de grande ampleur. À terme, le gouvernement souhaite tripler le chiffre d’affaires de la filière française de cybersécurité à 25 milliards d’euros, doubler le nombre d’emplois et faire émerger trois ‘‘licornes’’ (société valant plus d’un milliard d’euros) dans le secteur.
Multiplication des réglementations européennes
Sur le terrain réglementaire, l’Europe fait figure de proue de la confiance numérique avec le Règlement général pour la protection des données à caractère personnel (RGPD) entré en vigueur en 2018, de la révision de la directive Network Internet Security (NIS 2), validée en juin dernier par le Comité des représentants permanents (Coreper) ainsi que le Digital Service Act (DSA) et le Digital Markets Act (DMA) tous deux votés en juillet dernier par le Parlement européen pour entrer en vigueur en 2024. En cas de violation de ces textes, les organisations sont passibles d’amendes pouvant atteindre 6 % de leur chiffre d’affaires annuel pour le DMA et 10 % pour le DSA (contre 4 % pour le RGPD). La semaine dernière, le jeudi 15 septembre, la Commission européenne a proposé le Cyber Resilience Act qui compte imposer plusieurs règles aux fabricants et éditeurs de produits connectés en matière de sécurité des données.
Depuis plusieurs années la peur du cyber-gendarme européen, incarné en France par la Commission nationale Informatique et libertés (CNIL), a conduit associations professionnelles, syndicats et organismes publics à venir en aide aux entreprises sous la forme de guide et autres recueils de bonnes pratiques pour mettre en œuvre une stratégie de confiance numérique. Citons, entre autres, le Guide d’hygiène informatique de l’ANSSI, le Guide RGPD : passez à l’action de Bpifrance, ou encore le Manifeste pour une nouvelle ambition numérique des universités d’été d’Hexatrust.
Sécuriser les API
Parmi les multiples technologies qui entrent dans la mise en œuvre de la cyberprotection, l’une d’elle semble particulièrement critique : la sécurisation des interfaces programmables d’application (API). En effet, c’est toute l’économie numérique ainsi que la transformation digitale qui reposent sur les API puisque tous les SI, toutes les applications Web ainsi que les apps mobiles s’en servent pour s’interconnecter les uns aux autres. À cet égard, le grand cabinet américain d’analyse Gartner prévoit que, dès cette année, « les attaques d’interfaces d’API deviendront le vecteur d’attaque le plus fréquent, provoquant des violations de données pour les applications web des entreprises. » Un signe : Gartner a créé l’année dernière une nouvelle catégorie : les API Security.
« Le problème, c’est qu’il y a un décalage entre la maturité des API développées chez les clients et les solutions de cybersécurité sensées les protéger », souligne Elimane Prud’hom, directeur commercial pour la France de Salt Security, qui propose une infrastructure de service pour sécuriser les API. Salt Security propose une infrastructure de service pour sécuriser les API, complémentaire aux solutions d’API Management et s’intégrant aux solutions Axway, Google, Kong, IBM, Microsoft, Mulesoft, Software AG. « Les initiatives de développement des API en Security by Design n’ont pas été efficaces car la nature des attaques d’API a évolué : les pirates se noient dans la masse des milliers ou millions d’appel d’API », poursuit Elimane Prud’hom. Sans injecter de code malveillant – à la différence des rançongiciels – les pirates agissent en sous-marin sur un temps long. Ils peuvent ainsi exfiltrer d’énormes quantités d’information ou utiliser les comptes bancaires d’autrui sans être repérés. Il faut donc faire appel à des technologies combinant intelligence artificielle et bases de données de graphes relationnels pour détecter les signaux faibles des comportements anormaux des délinquants et les bloquer. Initialement réservée aux grands comptes, ces technologies devraient bientôt se démocratiser auprès des PME et TPE en s’intégrant aux packages de sociétés de services en cybersécurité sous forme d’abonnement.
Erick Haehnsen
« La cybersécurité doit se résoudre de manière pluridisciplinaire et non en ordre dispersé »
Trois questions à Pascal Antonini, vice-président du chapitre français de l’ISACA, l’association professionnelle internationale pour l’amélioration de la gouvernance des systèmes d’information.
Comment avoir confiance dans le numérique alors que la majorité des logiciels et développements sont truffés de vulnérabilités ?
D’où l’importance de la qualité en conception des logiciels et développements. Les développeurs ne sont pas toujours bien formés. À la différence des industries aéronautique ou pharmaceutique, il n’existe pas de réglementation contraignante sur les produits et services. Sauf, à terme avec Cyber Resilience Act par lequel la Commission européenne eut contraint fabricants et éditeurs de produits connectés à respecter des règles en matière de sécurité des données.
Pourquoi le niveau de protection des systèmes d’information est-il si bas ?
En tant que consultant, je constate une pénurie de talents en cyber et en développement. Par ailleurs, ce n’est pas que les développeurs ne soient pas formés à la sécurité en conception, notamment avec l’approche DevSecOps, mais ils ne le sont pas suffisamment. Car on voit encore trop de failles de sécurité dans les développements. La formation devrait être dispensée non seulement aux étudiants mais aussi à l’ensemble des développeurs déjà en poste. Tout prend du temps. De plus, il y a un énorme turnover qui ne facilite pas les choses. Ensuite les sachants en cybersécurité sont rares.
Que pensez-vous du prix parfois exorbitant des solutions de cybersécurité ?
La technologie ne fait pas tout. Je conseille notamment aux TPE et aux PME, d’adopter les mesures préconisées dans le Guide d’hygiène informatique de l’ANSSI. Cela fait partie des référentiels que l’ISACA propose lors de ses formations. Mais il faut penser aussi à la sensibilisation des utilisateurs, à utiliser des mots de passe forts et l’authentification multi-facteur. Il y a donc des solutions fiables et peu onéreuses mais il faut organiser l’ensemble. L’idée du programme Digital Trust de l’ISACA,c’est de faire collaborer des équipes multidisciplinaires (audit interne, développement, cybersécurité…) autour d’un référentiel commun afin de se fertiliser les uns les autres. La cybersécurité doit se résoudre de manière pluridisciplinaire et non en ordre dispersé.
Propos recueillis par Erick Haehnsen
Commentez