Cybersecurity Edition suisse, N. 2 / 2017
C LU S IS Association Suisse de la Sécurité de l'Information
Trends
L’Intelligence Économique: rapport de la ´ conference du
CLUSIS VIP interview Gian Carlo CASELLI Arnaud VELTEN
Villes connectées: quels enjeux?
Journée stratégique 2017 – Résilience des infrastructures critiques
La journée stratégique 2017 organisée par le Clusis se déroulera le 29 septembre à Martigny – Valais en collaboration avec la foire du Valais. Le thème de cette journée est « La résilience des infrastructures critiques », et sera abordé sous quatre angles : « Défaillance majeure d’une ressource critique et ses conséquences », « Vivre dans le chaos, comment se préparer ? », « Principes de sortie de crise, retour à la normale » et « Gestion de la communication, information à la population ». Chacun de ses sujets sera soutenu par un conférencier expert dans son domaine, sous forme de retour d’expérience. Et une synthèse clôturera la journée.
Inscriptions sur www.clusis.ch
Cybersecurity Trends
2
Cyber sécurité pour Genève. Par Alexandre Vautravers, chargé de mission aux questions stratégiques du DSE - Genève
4
Un peu de cyber-culture dans un monde de brutes. Par Laurent Chrzanovski, rédacteur-en-chef
5
Des normatives en faveur d’une cyber-paix et d’une cyber-confiance. Par Marco Obiso, Coordinateur pour la Cyber-Sécurité, UIT
6
La conférence sur l’Intelligence Économique du CLUSIS (6 décembre 2016) : un rapport. Par Albert Rossier, Chargé de cours (Sécurité des Systèmes d’Information) à la HEG, avec des contributions d’Albert Pélissier, Alain Mermoud, Dimitri Percia David, Franck DeCloquement, Marie-Pierre Vidonne, Catherine Charroin
18
Le «cyber» au centre de l’intoxication médiatique d’une guerre 4.0 sans aucune morale. Par Laurent Chrzanovski, Professeur à l’Ecole doctorale et Postdoctorale de l’Université de Sibiu
26
La nouvelle doctrine informationnelle russe de décembre 2016. Par Yannick Harrel, chargé de Cours en Cyber-stratégie à l’ISEGStrasbourg
29
Des champs de blé au «cyberlaundering» : les agro-mafias s’attaquent à la sécurité des réseaux. Interview VIP à Gian Carlo Caselli, ancien Procureur Général de la République Italienne
32
Enjeux éthiques et juridiques des villes connectées. Par Pascal Verniory, Docteur en Philosophie et avocat. Responsable juridique de la DGSI - Genève
38
Savoir parler aux hommes d’affaires. Par Massimo Cappelli, Operations planning manager (Fondation GCSEC) et Directeur du CERT des Postes Italiennes
40
Sécurité, confidentialité, confiance … dans un cloud ? Par Eduard Bisceanu, CSO à l’Unicredit Bank Romania
42
L’importance de disposer d’une vue synthétique de la conformité de son SI. Par Sylvain Félix, Fondateur et CEO de Smartcockpit
45
Que doit-on mettre en ligne et que doit-on garder pour soi ? Interview VIP à Arnaud Velten, Expert en stratégies et tactiques digitales
47
Bibliographie commentée 1
ds Éditorial - Cybersecurity Tren
Cyber sécurité pour Genève Les risques liés à la protection, l’infiltration, la mauvaise utilisation, le vol ou le sabotage de données numériques ne sont plus virtuels. Il y a un peu plus d’un siècle, il a fallu défendre la Suisse, nos villes, contre une nouvelle menace: l’avion de bombardement. Aujourd’hui, il s’agit de mettre sur pied une stratégie, des outils et des moyens pour nous défendre dans une nouvelle sphère d’opération: celle de l’information ou du cyber.
Auteur : Alexandre Vautravers Photo © Frédéric Penseyres
Le 15 mars, le conseiller d’Etat Pierre Maudet, en charge du Département de la Sécurité et de l’Economie (DSE), a dévoilé la stratégie sécuritaire du canton de Genève. Ce document s’articule autour de trois idéesforces: l’anticipation, la coopération et l’interopérabilité. Pour anticiper, il faut savoir lever le nez du guidon. Cette stratégie a été réalisée dans le cadre du Conseil consultatif de sécurité, créé avec la mise en œuvre de la nouvelle Loi sur la police, le 1er juin 2016. Elle a pour horizon 2030 car les réalités politiques et budgétaires, les temps d’acquisition et de formation sont des conditions cadres essentielles pour fixer des objectifs réalistes. Anticiper nécessite également une gestion des risques étroitement intégrée dans les processus de décision, ainsi qu’une réelle culture de l’échange et du traitement de l’information, de recherche du renseignement. La coopération est essentielle car aucun canton ne dispose de tous les moyens ou des outils pour lutter contre l’ensemble des risques actuels. Le canton de
BIO Alexandre Vautravers est chargé de mission aux questions stratégiques du DSE, secrétaire du Conseil consultatif de sécurité (CCS). Il est également le coordinateur du CAS/MAS de l’Université de Genève en «sécurité globale» et rédacteur en chef de la Revue militaire suisse (RMS).
2
Genève est en effet confronté à l’ensemble des risques détaillés dans le Rapport sur la politique de sécurité de la Confédération (RAPOLSEC 2016). Le canton peut jouer un rôle moteur dans le développement de certains moyens ou compétences, à l’instar de la lutte contre la criminalité informatique, la sécurité de conférences internationales. Il bénéficie également de concordats et d’appuis de la confédération dans de nombreux autres domaines : c’est ce que l’on appelle le Réseau national de sécurité (RNS), qui a consacré sa 3e conférence le 4 mai dernier au thème des cyber risques. Enfin, comme le canton ne dispose pas de l’ensemble des moyens sécuritaires – à l’instar des pompiers de la ville de Genève, du Pouvoir judiciaire indépendant ou des gardes-frontières qui dépendent du Département fédéral des Finances –, il s’agit de coordonner ceux-ci et de garantir que tous soient en mesure de coopérer de manière efficace. Cela est possible par la mise sur pied d’un Etat-major cantonal de conduite (EMCC) permanent, par la réforme de l’organisation en cas de catastrophes (ORCA), par l’organisation d’exercices réguliers et réalistes. Un des objectifs de la stratégie sécuritaire est de «renforcer la cybersécurité en collaboration avec les secteurs privés et académiques.» Cet objectif est critique au maintien et au renforcement du tissu économique et de la réputation de Genève. Il vise à assurer que les citoyens et l’économie conservent un niveau de confiance élevé dans le domaine cyber en prévenant les vulnérabilités et en alliant efficacité, bonnes pratiques, mais aussi la protection des données publiques et personnelles sensibles.
Plusieurs mesures de cette stratégie sont déjà en cours de réalisation: L’investissement cantonal dans la lutte contre la cybercriminalité, à l’instar du financement récemment approuvé (Loi d’investissement pour la lutte contre la cybercriminalité d’un montant de 1,2 million de francs) au bénéfice de la Brigade de criminalité informatique (BCI) de la Police cantonale permet de réduire le délai de traitement des affaires, d’activer l’expertise des agents dans un plus large rayon de missions et d’utiliser les ressources de manière plus flexible;
La création d’un réservoir de savoir-faire au moyen de formations académiques et continues, reconnues et à la pointe. Un CAS/MAS est en cours de développement, en coopération avec le Global Studies Institute de l’Université de Genève; Le soutien d’une justice proactive et impliquée dans la lutte contre la cybercriminalité, actuellement identifiée comme axe prioritaire de Politique criminelle commune (PCC).
De plus, Genève souhaite le développement de centres de compétences cyber régionaux, voire nationaux, dans le canton. Il s’agira également de soutenir le renforcement des bases légales augmentant encore l’efficacité et la rapidité d’action de la justice et garantissant aux entreprises ou aux individus un soutien étatique en cas d’attaque ou de vol de données. Enfin, il s’agit de promouvoir les règles de cyberhygiène et la sensibilisation aux stratégies d’influence, primordiales afin de maintenir la confiance de la population dans les services en ligne. L’Administration cantonale joue, en tant que plus grand employeur du canton, également un rôle capital: il doit montrer l’exemple et par l’exemple.
3
Le mot de la - Cybersecurity Trends rédaction
Auteur : Laurent Chrzanovski Fondateur et rédacteur de la revue
Les «breaking news» de la presse généraliste des derniers mois n’ont rien de rassurant : «cyber-guerre», «attaques globales», «systèmes compromis»… A priori, à la lecture de ces titres, le premier effet pourrait être celui de démobiliser le citoyen et l’entrepreneur, puisque ces faits, tels qu’ils sont décrits, laissent suggérer que l’individu n’est plus concerné, dans cette sorte de nouvelle «Guerre des étoiles». Et pourtant. Il aura fallu «WannaCry» et l’audacieuse prise de position du Président et responsable des Affaires Juridiques de Microsoft, Brad Smith, pour dire tout haut ce qu’aucun gouvernant n’avait exprimé à ce jour : soit nous optons enfin pour acquérir une véritable culture et des règles internationales en matière de cyber-sécurité, à tous les niveaux, soit nous courons à notre perte. D’autres, tel que le Président d’IBM, ont ajouté qu’il y a au monde deux catégories d’entreprises : celles qui ont été piratées et celles qui vont l’être. Ce qui sous-entend qu’il n’y a pas de honte à pâtir d’une attaque du moment où, humainement et technologiquement, on a tout fait pour la contrecarrer, pour en réduire au minimum les dégâts, pour bien gérer la crise ainsi que l’après-crise. Mais pour cela, il faut avoir été formé. Comme l’explique Massimo Cappelli, récemment nommé à la tête du CERT des Postes Italiennes, savoir parler aux hommes d’affaires – et, ajouteronsnous, aux citoyens – est le devoir des spécialistes. En un mot, rendre compréhensible ce qui paraît compliqué, utiliser un style, une forme qui n’ôte rien
4
Un peu de cyberculture dans un monde de brutes au fond mais qui fait qu’un article soit à la fois plaisant à découvrir et instructif : c’est d’ailleurs la seule raison d’être de notre revue. L’éditorial d’Alexandre Vautravers vient nous démontrer que nos autorités sont parfaitement conscientes des dangers. Pour y faire face, il faut des réseaux complexes et transversaux de spécialistes et de technologies, mais aussi un degré d’éducation soutenu par l’Etat (appelé «règles de cyberhygiène») permettant aux citoyens de ne plus être le maillon faible de l’écosystème. Grâce au CLUSIS, ce numéro vous emmènera bien loin des soi-disant «cyber-guerres» pour vous porter, au fil de plusieurs textes inédits, dans l’un des éléments-clé de votre quotidien actuel et futur : l’information, vos informations, personnelles mais aussi économiques, objet du dossier central du volume. Comment les informations seront-elles traitées dans le cadre d’une «smart city», comment sont-elles archivées et maîtrisées dans un environnement complexe ; sont-elles stockées correctement par l’entreprise que vous payez pour gérer votre infrastructure «cloud», ou encore devez-vous – en particulier – vous abstenir de mettre en ligne certaines informations de quelque façon que ce soit ? Voilà autant de questions pour quelles nos auteurs proposent une gamme de réponses utiles. A l’international, on se passionnera à lire, comme un polar, les sauts qualitatifs faits par l’une des plus pauvres des mafias, celle du monde agricole, de la bouche même de l’ancien Procureur Général de la République Italienne. Les différences culturelles et donc stratégiques fondamentales entre la vision de la Fédération de Russie et celle des pays anglo-saxons en matière de gestion de l’espace informationnel sont là, quant à elles, pour montrer qu’un même monde digital peut être approché selon de nombreux angles. Qu’on le veuille ou non, presque tout se joue désormais en (très) grande partie dans le monde digital… l’info, l’intox, les crimes comme les actions les plus nobles et, surtout, le futur que nous allons léguer aux générations en cours de scolarisation. Un futur fait d’IoT et de Cloud qu’il va s’agir de comprendre et de sécuriser avant de pouvoir y travailler en toute confiance.
Autorités
Chers lecteurs, Auteur : Marco Obiso Coordinateur pour la Cybersécurité, Union Internationale des Télécommunications, Genève
1 Disponible gratuitement en version française sur: https://www.itu.int/dms_pub/itu-s/opb/gen/ S-GEN-WFS.01-1-2011-PDF-F.pdf 2 Disponible gratuitement en version française sur: https://www.itu.int/dms_pub/itu-s/opb/gen/ S-GEN-WFS.02-1-2014-PDF-F.pdf
Ces temps-ci plus que jamais, la cyber-sécurité est au centre de toutes les attentions. Je ne fais aucune référence ici aux «breaking news» des derniers mois; bien au contraire, j’aimerais mettre en évidence un certain nombre de normatives européennes qui auront un impact positif sur nos affaires et nos vies digitales. Qu’il s’agisse de la directive NIS ou du GDPR, dont la mise en œuvre aura des conséquences bien au-delà des pays membres de l’U.E., l’intention est clairement de fournir une meilleure sécurité aux Etats, aux entreprises et aux citoyens, dont la protection de la vie privée et de la sphère intime sont clairement définies comme étant des priorités, en particulier si l’on parcourt le texte du GDPR. Il y a peu, nous avons pu voir sortir de presse le Manuel de Tallinn 2.0, un volume de référence qui vient consacrer l’effort collectif d’un think tank d’auteurs de prestige et qui est destiné à proposer aux policy-makers une meilleure compréhension des cyberopérations et de leurs contextes normatifs. Depuis de nombreuses années, l’UIT s’est lancée dans une démarche similaire, basée sur l’acquisition et la dissémination de compétences, à travers le développement de bonnes pratiques et de programmes d’assistance, tout cela dans le cadre de la Global Cybersecurity Agenda, venant ainsi couvrir des domaines hautement prioritaires comme ceux qui concernent les mesures législatives, techniques et procédurales, les structures organisationnelles, l’acquisition de compétences et la collaboration internationale. Dans la droite ligne des titres de deux publications de l’UIT, si nous sommes «en quête de la cyberpaix»1 et que nous désirons voir tous les citoyens vivre leurs expériences journalières en ligne d’une façon de plus en plus sereine, dans leur «quête de la cyberconfiance»2, nous nous devons de partager les connaissances nécessaires au plus grand nombre. L’acquisition de compétences commence en s’informant régulièrement sur la situation, sur les risques et sur les solutions possibles pour s’en défendre et se protéger efficacement. Cette règle que nous appliquons dans notre vie «physique» s’applique à l’identique dans le monde digital: les cyber-dangers peuvent être contrés par la connaissance du phénomène et l’usage des nombreux outils techniques disponibles. La prise de conscience des adultes est ainsi devenue un enjeu majeur qui est loin d’être plus simple ou moins important que celle des enfants. En ce sens, nous observons une multiplication des efforts sur le plan continental – nous citerons l’APP du CERT-EU, bien pensée et facile d’usage – qui viennent répondre à la demande des citoyens d’être mieux informés, et plus rapidement, sur les dangers existants et les nouvelles menaces, ainsi que sur la manière dont ils peuvent s’en protéger. Un autre effort que je considère digne d’intérêt est l’initiative, menée dans plusieurs pays, de «Coordinated Vulnerability Disclosure», qui s’inscrit dans le contexte de l’échange d’informations, un aspect qui est en train de devenir une priorité dans de nombreux Etats de notre continent. Cette initiative implique un partenariat public-privé conséquent, et nous espérons la voir aboutir rapidement.
5
ds Cover Story - Cybersecurity Tren
La conférence sur l’Intelligence Économique du CLUSIS (6 décembre 2016) : un rapport Ce rapport présente une restitution de la conférence sur l’Intelligence Economique du 6 décembre 2016 à la Fédération des Entreprises Romandes [FER] organisée par l’Association suisse de la sécurité de l’information [CLUSIS].
Auteur : Albert Rossier1
Résumé La «guerre économique» actuelle devient de plus en plus une guerre cyber. L’intelligence économique (IE) met en évidence les liens, la porosité, qu’il y a entre les sphères étatiques, militaires et civiles. Elle promeut la coopération entre les pouvoir publics et privés. L’IE tire son origine du renseignement militaire qui se met de plus en plus au service du renseignement privé. L’objectif pour une entreprise ou un état est de conserver sa souveraineté numérique et dans le futur proche, le défi de l’IE sera de devoir gérer l’agrégation, l’augmentation et l’analyse pertinente de ces «big data».
BIO Albert Rossier est chargé de cours à la Haute Ecole de Gestion de Genève (HEG – HES-SO) en Sécurité des Systèmes d’Information, directeur du programme de formation continue en Management de la Sécurité des Systèmes d’information (MAS-MSSI) et consultant indépendant en Sécurité des Systèmes d’Information.
6
Pour pouvoir «gagner» cette cyberguerre, il faudra se mettre à utiliser les outils d’influence tels que Wikipedia et l’intelligence collective qui permet d’avoir une interaction positive et il faudra également se réapproprier le capital humain de l’entreprise et de l’Etat.
Accueil Monsieur Raoul Diez, Directeur de la sécurité et membre du comité du Clusis, nous accueille dans la magnifique salle de conférence de la Fédération des Entreprises Romandes (FER) et profite de l’audience qui lui est donnée pour louer la qualité du travail effectué par le Clusis. Il souhaite le meilleur au Clusis et désire la valoriser car il s’agit d’une des rares associations de Suisse romande qui a des ramifications dans les trois régions linguistiques. Il prend la liberté de comparer le Clusis à un virus car il se répand, mais par contre il n’est pas numérique, il est réel et son principe même est de se retrouver face-à-face et de faire du réseautage. Il rappelle que le Clusis a mis sur pied en cette année 2016, dix événements. Maintenant, le Clusis est devenu suisse à part entière, il y a des événements à Neuchâtel, à Lugano, à Genève, à Fribourg, à Zürich et Yverdon et on peut même noter qu’en ce mois de décembre, il y a eu deux événements à trois jours d’écart. Selon Monsieur Diez, le Clusis est un programme bienveillant, développé dans le but de toucher tout système d’information suisse se propageant en exploitant une faiblesse humaine, le réseau réel. Il est polymorphe, il a une très grande capacité d’adaptation et se transforme avant chaque nouvelle apparition. Il touche principalement
des spécialistes dans la sécurité des systèmes d’information, mais il devrait évoluer en direction des entreprises et des endusers en 2017. En essayant d’analyser le fonctionnement interne du comité du Clusis, il semble que ce soit sans fin, et on repart sans cesse vers un nouvel événement. Il remercie le président pour le dynamisme qu’il insuffle à son comité et passe la parole à Madame Sylvie Perrinjaquet, ex-conseillère nationale et présidente d’honneur du Clusis, très impliquée dans la sensibilisation à la sécurité des systèmes d’information. Madame Sylvie Perrinjaquet note la volonté d’élargir la présence du Clusis géographiquement et confirme le désir du Clusis de se rapprocher des managers. La conférence de ce soir va dans ce sens de vouloir toucher plus de responsables d’entreprises. Il semble que ces managers parlent volontiers de guerre économique mais se sentent moins concernés lorsqu’on leur parle de la guerre informatique qui l’accompagne. 2017 et les années à venir nous dirigent vers un certain flou et une instabilité politique. La force actuelle de la Suisse est sa matière grise et certains Etats pourraient nous envier et essayer de nous déstabiliser via nos systèmes d’information. Elle répète toujours que le pire ennemi de l’homme c’est l’homme par la mise en place de systèmes de communication sans s’assurer que ceux-ci soient sécurisés. Pour le plus grand nombre, le terme de sécurité s’arrête à la sécurité physique. Nous ne sommes plus dans un monde de «Bisounours». Elle termine son allocution en remerciant le Président et le comité du Clusis pour les efforts d’organisation effectués cette année et donne rendezvous en 2017 après avoir souhaité de très belles fêtes de fin d’année. Le Président du Clusis, Monsieur Enrico Viganò remercie Madame Perrinjaquet et Monsieur Diez pour leurs introductions. Il remercie son comité pour l’organisation des différents événements et plus particulièrement Catherine Charoin et Albert Pelissier qui ont porté l’organisation de cette soirée. Il remercie également Madame Elsa Floret, journaliste à l’Agefi, pour la structuration et l’aide promotionnelle faite à cette conférence. Il salue Madame Emanuelle Germond du parti Pirate du canton de Vaud. Il insiste sur la nécessité de ce thème de l’Intelligence Economique et souhaite une bonne conférence.
Le contexte
Auteur : Albert Péissier, Président, Pélissier & Partners2 Albert Pélissier remercie tout particulièrement Catherine Charoin pour l’organisation de cette conférence. Il cite Goethe : «Qui ne sait tirer les leçons de 3000 ans d’histoire, vit au jour le jour». L’Intelligence Economique (IE) c’est savoir appréhender ce qui se fait, de voir, de le savoir de le récolter puis d’acquérir de la connaissance.
Nous devons, faire face à des Etats stratèges qui utilisent depuis longtemps les nouvelles technologies de l’information en y associant une porosité entre les différentes sphères de l’Etat. Maîtriser certaines technologies, pour protéger des secteurs dits de souveraineté d’une prise de contrôle Industrielle, financière étrangère, est un nouvel enjeu économique. L’IE est aujourd’hui structurée en véritable stratégie de compétitivité et de sécurité économique par de nombreux Etats. L’IE est une réponse à ce climat d’hypercompétition entre les Etats et d’hyper-concurrence entre les entreprises. L’IE, est un poste de pilotage stratégique consistant en un dispositif de veille pour acquérir de la connaissance, de la sureté, de la protection contre les malveillances, et à contrer les attaques informationnelles et médiatiques. L’IE vise au développement d’acteurs industriels ou de services qui le met en œuvre. l’IE se résume encore beaucoup trop à la sureté, à la protection des données informationnelles et aux malveillances et ne prend guère en compte le renseignement et le volet de l’influence. Hélas à ce jour les PME ne la considèrent pas encore comme un instrument de construction de la stratégie de leur organisation. Il apparait donc clairement que l’histoire de l’IE débute à peine en Suisse.
Service de renseignement de la Confédération (SRC) - Programme de sensibilisation et de prévention Prophylax Le SRC3 a le mandat légal de détecter et combattre le terrorisme, l’extrémisme violent, l’espionnage, la propagation d’armes de destruction massive et leurs vecteurs (prolifération), ainsi que les cyberattaques visant les infrastructures critiques en Suisse. Le SRC ne traite que les actes d’espionnage où des informations secrètes en rapport avec la Suisse sont recherchées en Suisse au profit d’un acteur étranger (Etat, parti politique, groupe, entreprise). L’espionnage entre deux sociétés suisses ne concerne pas les activités du SRC mais tombe dans la juridiction cantonale. Le mandat du SRC comprend également la prise de mesures de prévention, dont le programme Prophylax4 qui est un programme de prévention et de sensibilisation dans le cadre de la lutte contre l’espionnage économique et la prolifération d’armes de destruction massive. Ce programme existe depuis 2004 et a pour but de sensibiliser les entreprises suisses, les hautes écoles ainsi que les instituts de recherche aux risques et menaces qui émanent de l’espionnage économique et de la prolifération. Ces organisations sont aussi informées sur les mesures de protection leur permettant d’éviter des fuites de données involontaires et une atteinte à leur
7
ds Cover Story - Cybersecurity Tren réputation. Le programme comprend des entretiens personnels et confidentiels avec les représentants des entreprises et des organisations ainsi que la participation à des manifestations consacrées à des thèmes ayant trait à la sécurité. Le programme Prophylax a révélé que, dans le domaine de l’espionnage économique, il existe un nombre considérable de tentatives non-identifiées ou non-signalées. Afin d’augmenter la visibilité et l’efficacité du programme, le SRC a produit le court métrage «En ligne de mire»5. Il s’agit d’une histoire fictive, mais les moyens mis en œuvre sont réellement utilisés par des acteurs étatiques tels que des services de renseignement étrangers ou d’autres acteurs privés afin d’accéder à des informations confidentielles ou secrètes. Quelles méthodes peuvent être utilisées pour accéder à des informations confidentielles ? Il peut par exemple s’agir de visites de délégations étrangères auprès des entreprises, d’offres de services ou encore d’acquisitions de technologies ou achats de sociétés afin de pouvoir placer ses propres employés dans l’entreprise, ou alors de contacter des employés actuels ou anciens afin d’accéder à des informations confidentielles. D’autre part, on observe de plus en plus de cyberattaques (phishing, spear-phishing, hacking, etc.). La protection à 100% n’existe pas, mais des mesures adéquates peuvent diminuer le risque d’être victime d’une tentative d’espionnage. On peut par exemple s’interroger sur la nécessité de lister l’ensemble des employés sur le site internet de leur entreprise avec leur photo, leur fonction et leur adresse email. Il est aussi important de définir qui a accès à quelles données de l’entreprise. Les employés ne devraient avoir accès qu’aux informations qui leur sont nécessaires pour leur travail quotidien. Il est également possible d’avoir des réseaux séparés pour le traitement de données sensibles. On peut diminuer les fuites de données ou d’informations internes par la formation et la sensibilisation des employés, car dans environ la moitié des cas, c’est l’employé qui est «l’espion». Une telle fuite de données peut être le résultat d’un comportement négligent ou d’un acte criminel intentionnel par l’employé. Il faut également sensibiliser les collaborateurs à une utilisation responsable des téléphones portables. Lors de voyages à l’étranger, il est conseillé de ne prendre que les données et appareils électroniques nécessaires et s’assurer d’une protection spécifique lorsque ces appareils ou données sont sensibles. Lors de conférences, il est important de toujours garder ces appareils en vue ou dans sa possession, même si ce n’est que pour aller chercher un café, car il est très aisé qu’une personne copie des
8
données sur une clé USB ou installe un logiciel malveillant (malware). Les chambres d’hôtel également ne sont pas sûres, car elles peuvent être accédées par des personnes non-autorisées. En cas d’incident ou de problème à l’étranger, vous pouvez contacter l’ambassade ou la représentation suisse. Il est important de signaler tout soupçon d’espionnage pour éviter toute fuite de données et surtout que d’autres compagnies en soient victime. Cela peut être fait soit directement auprès du SRC ou dans le canton de Genève, c’est la Brigade Sûreté Intérieure (BSI) qui relaie le travail du SRC. En outre, la centrale d’enregistrement pour la sureté de l’information MELANI6 regroupe toutes les informations liées à la thématique «cyber».
Intelligence économique, du renseignement militaire au renseignement privé, passé et présent Auteur : Alain Mermoud, Doctorant en systèmes d’information à HEC Lausanne7 et collaborateur scientifique à l’académie militaire à l’EPF de Zurich (ACAMIL)8 Alain Mermoud remercie le Clusis pour l’invitation et fait part de sa passion pour l’Intelligence Economique (IE) et explique que le terme «Intelligence» doit être pris dans son sens anglo-saxon, c’est-à-dire plutôt «renseignement» en français. Ce dessin de Wazem paru dans le journal «Le Temps» rappelle bien les origines militaires de l’IE. L’IE va même chercher ses origines dans la nature et le règne animal. Il existe également un lien historique fort entre la sphère étatique, la sphère militaire et le monde économique. Contrairement à l’espionnage industriel, l’IE collecte, traite et diffuse des informations utiles aux acteurs économiques uniquement par des moyens légaux. Les professionnels de l’IE travaillent uniquement avec de l’information «blanche» (Open Source Intelligence) ou de l’information «grise» (librement accessible mais difficile d’accès) mais jamais avec de l’information noire, ce qui serait de l’espionnage industriel. On peut résumer cette démarche sous la forme d’une équation :
compétences + information = décision + actions La définition la plus simple de l’IE est : la bonne information, à la bonne personne, au bon moment, et d’une manière sûre. L’IE repose sur trois piliers fondamentaux : la veille, la protection, l’influence.
Source: Une approche interdisciplinaire de l’intteligence économique, cahier de recherche (2007 p.7)
1
La veille peut être active ou passive (défensive) et se focaliser sur l’aspect stratégique, juridique, sociétal ou concurrentielle de l’entreprise. Il s’agit ici de structurer une démarche prospective pertinente qui puisse servir à orienter la décision et l’action. La veille repose sur le cycle du renseignement bien connu des militaires : (a) analyse des besoins, (b) collecte, (c) exploitation, (d) diffusion. La veille est le premier pilier historique de l’IE, elle existe depuis la nuit des temps, on retrouve chez Sun Tzu (5e siècle avant JC) dans son traité «L’art de la guerre», la nécessité de surveiller son environnement pour détecter les opportunités stratégiques et anticiper. La protection du patrimoine informationnel englobe les stratégies de produits, les savoir-faire les compétences, la propriété intellectuelle, les brevets, la réputation, la technologie, les processus de production, etc. En termes militaires, on parle aujourd’hui de force protection (FP). L’influence consiste à diffuser des informations ou des normes de comportement et d’interprétation favorisant la position stratégique de l’entreprise à long terme. Les relations publiques et le lobbying permettent également d’exercer une communication d’influence afin de protéger et d’améliorer la réputation de l’entreprise. En termes militaires, on parle de PSYOP et en diplomatie de soft/smart power. Dans un environnement international marqué par de grandes incertitudes et des préavis qui peuvent être très courts, les moyens de connaissance et d’anticipation constituent la première ligne de défense. Selon le Brigadier Gaudin (ancien chef du Service de Renseignement Militaire) l’IE fait partie du renseignement de défense et du renseignement d’intérêt militaire, avec, pour ne citer qu’un exemple, le renseignement scientifique. L’IE peut également être implémentée au niveau d’un Etat. En janvier 2016, le gouvernement français a ainsi créé un commissaire et un service de l’information stratégique et de la sécurité économique. Cette politique publique relative à l’intelligence économique vise en particulier à renforcer
2
3
la protection et la promotion des intérêts économiques, industriels et scientifiques fondamentaux de la nation, ainsi qu’à assurer les moyens de la souveraineté économique de la France. La France possède également une Ecole de Guerre Economique, dont Alain Mermoud est un alumnus. La discipline a connu une forte expansion après la chute du mur de Berlin lorsque de nombreux espions britanniques et américains se sont retrouvés au chômage. Ces personnes se sont alors tournées vers le secteur privé, ce qui a favorisé le transfert de connaissances entre la sphère étatique et la sphère économique. L’IE fournit une grille d’analyse unique qui permet de décrypter le dessous des cartes et d’analyser les enjeux de pouvoirs cachés ou dissimulés qui devrait être une discipline à enseigner dans les business schools ou en science politique. Un agenda numérique soutenu par une politique publique d’IE pourrait permettre l’émergence d’un « soft power ». Cette puissance d’influence est aujourd’hui indispensable pour former un « smart power suisse », soutenu par le « hard power ». L’IE peut permettre l’émergence d’un État stratège capable de mieux anticiper, pour moins se laisser surprendre. Un tel État doit se doter d’un outil de pilotage stratégique capable de détecter de manière proactive les risques et les opportunités. Inspirée du renseignement, l’IE permet d’armer intellectuellement l’Etat pour comprendre les forces à l’œuvre, décrypter les alliances et les stratégies d’actions. L’IE permet également d’optimiser le transfert de connaissances et de méthodologies entre la sphère militaire et la sphère économique. L’IE est également une méthode permettant de créer de la sécurité économique pour nos entreprises. Par ailleurs, une telle politique permettrait d’augmenter notre emprise sur nos réseaux informatiques, colonne vertébrale de notre économie. On peut faire une analogie avec la nature et le Suricate, surnommé la sentinelle du désert, qui fait de la veille. Celui-ci se tient prêt à avertir sa tribu de l’imminence d’un danger et des opportunités de chasse, il fait donc à la fois du risque management et de la détection d’opportunité, deux axes que l’on retrouve souvent en IE. Selon Yves Coppens, qui partage une des théories de la disparition des dinosaures, si la vitesse d’adaptation de l’espèce est inférieure à la vitesse de l’évolution de l’environnement, il y a danger pour l’espèce et si la vitesse d’adaptation de l’espèce est supérieure à la vitesse de l’évolution de l’environnement, il y a des opportunités d’évolution, ce qui est transposable par bio-mimétisme à l’entreprise. Il y a d’autres exemples de transfert militaire – entreprise, par la reprise des qualifications des informations dans le monde militaire dans le monde bancaire par des officiers de milice qui occupent des postes de cadre dans les grandes banques suisses. Celles-ci mettent aujourd’hui
9
ds Cover Story - Cybersecurity Tren en place des radars informationnels pour ne pas se laisser surprendre par des changements législatifs qui peuvent avoir un impact sur leur business ou la fiscalité d’un client. Pour maintenir et accroitre sa souveraineté, un État doit maîtriser la surveillance qui s’exerce sur et depuis son territoire. Le réseau Internet est devenu le symbole de la globalisation et des échanges internationaux. Cependant, ce réseau a une origine militaire – le réseau ARPANET – et constitue ainsi un lien direct avec la défense de la souveraineté. Les révélations Snowden n’ont fait que confirmer l’importance de l’information pour la sécurité nationale, comme précédemment défendu par Thomas Hobbes au XVIIe siècle dans son Léviathan : « L’information c’est le pouvoir ! ». Dès les années 1990, les États-Unis ont compris que dans une économie de la connaissance, l’importance de l’information pourrait être comparée à celle du pétrole dans la société industrielle : le principal carburant et le relais de la croissance. Les données sont donc la principale matière première de la quatrième révolution industrielle. Comme le pétrole, elles doivent d’abord être extraites, puis raffinées pour devenir utilisables. Elles sont reparties d’une manière inégale et représentent donc un intérêt géoéconomique pour les États. La technologie n’est pas neutre. Elle s’inscrit dans un contexte géopolitique et dans les idéologies. Les GAFA (GoogleApple-Facebook-Amazon) forment aujourd’hui les premières capitalisations boursières mondiales et dépassent le produit intérieur brut (PIB) de certains États. Cette suprématie numérique américaine s’est construite sur plusieurs décennies autour d’un partenariat public-privé efficace. La stratégie consiste à allier les intérêts économiques, les investissements, les écosystèmes entrepreneuriaux de la Silicon Valley, les besoins des services de renseignement, et les intérêts militaro-stratégiques. Cette alliance forme aujourd’hui un véritable complexe militaro-numérique qui permet d’assurer l’hégémonie américaine dans le cyberespace et de consacrer l’extra-territorialité du droit américain. Edward Snowden n’a fait que confirmer ce que l’on présentait, c’est-à-dire que les entreprises hightechs américaines sont le bras armé de l’hégémonie américaine. Ce qui était surprenant dans ces révélations est la magnitude. Le programme PRISM date d’il y a 10 ans, il faut aujourd’hui ajouter la biométrie, les drones, etc. On sait aujourd’hui que les GAFA (Google, Apple, Facebook, Amazon) travaillent main dans la main avec le complexe militaro-industriel américain ou plutôt
10
militaro-numérique et donc il faut replacer ceci dans une dynamique très ancienne qui allie les intérêts économiques, les intérêts du renseignement, et les intérêts militaires dans une stratégie d’expansion. Un autre exemple : la géolocalisation a fait l’objet de co-investissements massifs par l’armée et l’Etat. L’Internet fait partie de notre vie quotidienne, nous l’utilisons au travail, à la maison, pour nos loisirs, souvent il nous facilite la vie mais notre dépendance au réseau est très grande or toute dépendance est néfaste par nature. Que se passerait-il si Internet n’était plus disponible pendant une longue durée à l’échelle d’un pays ou d’un continent, ce serait une catastrophe qui provoquerait un grand chaos. L’internet contrôle notre réseau électrique, les feux de signalisation, les bancomats, les infrastructures vitales ne seraient plus capables de fonctionner et une cyber-attaque d’une telle ampleur est aujourd’hui possible, ce serait une crise systémique avec de plus grand effets en cascade que la crise économique de 2008 déclenchant ainsi une crise des cyber-subprimes. L’Internet est donc une grenade dégoupillée qui pourrait exploser si nous ne saisissons pas fermement les problèmes de cyber-sécurité. Selon certains chercheurs, les désavantages d’être connecté pourraient dépasser les avantages et d’autres affirment que la fin du réseau est pour bientôt. L’IE pourrait contribuer à éviter ce scénario de cyberarmagedon. Les sciences informatiques ont proposé des solutions de protection techniques, anti-virus, pare-feu, contrôle d’accès mais c’est insuffisant, il faut maintenant une approche holistique et multidisciplinaire de la sécurité car le maillon faible c’est l’humain. On a tous vu un mot de passe sur un post-it, ce sont ces comportements humains qui facilitent les cyber-attaques. L’IE replace l’humain au cœur de cette cyber-sécurité. L’IE favorise l’échange de l’information et en échangeant l’information, on la multiplie, on ne la perd pas. Cet échange d’information permet également de détecter une éventuelle cyber-attaque comme par exemple dans le cas RUAG ce sont les services de renseignement allemands qui ont averti la Suisse de cette attaque. D’où la nécessité des échanges entre le public, le privé et le militaire. Une question reste ouverte pour la Suisse : est-ce qu’elle pourra rester neutre dans le cyberespace ? C’est une bonne opportunité pour elle de se positionner neutre dans le cyberespace et de jouer les bons offices dans les cyber-conflits. La Genève Internationale est idéalement positionnée pour favoriser et accompagner l’émergence d’un Traité International du Cyberespace. La Suisse a du retard dans le domaine de l’IE et plus particulièrement dans la préservation de sa souveraineté numérique. A ce titre, la République et canton de Genève fait figure de pionnier avec sa stratégie économique 2030 qui fait explicitement référence à l’IE. Avec sa nouvelle loi sur la police (LPol), le canton s’est doté d’un conseil consultatif de
sécurité qui a rédigé une stratégie sécuritaire 2030. Ce document stratégique réitère l’importance de développer une capacité de veille stratégique et d’IE. Fin 2017, le canton prendra également part à un exercice de conduite stratégique. Ces exercices sont essentiels et permettent de développer une réflexion stratégique, ainsi que de tester la coordination entre les différents acteurs de la chaine sécuritaire. Dès lors, il est essentiel que le prochain exercice du Réseau national de sécurité (ERNS 19) adopte une approche holistique et multidisciplinaire de l’IE. Pour ceux qui hésiteraient encore à investir dans l’IE, on ne peut que répéter la phrase suivante : «If you think that intelligence is expensive, consider the price of ignorance».
L’Intelligence Economique : défis futurs et perspectives Auteur : Dimitri Percia David9, Doctorant en systèmes d’information à HEC Lausanne et collaborateur scientifique à l’académie militaire à l’EPF de Zurich (ACAMIL)10 Parler des perspectives et tenter des projections concernant l’Intelligence Economique (IE) dans le contexte de la 4e Révolution industrielle, c’est tenter de saisir les enjeux que cette révolution numérique apporte à la collecte, au tri, et à l’analyse de l’information. Toutefois, n’oublions pas que de telles projections et spéculations ne trouvent leurs intérêts que dans la suscitation d’un débat autour de l’avenir de l’IE, plutôt que d’affirmer des tendances dans un environnement qui ne cesse d’évoluer et de se réinventer. Au sein de cette révolution numérique – que Klaus Schwab appelle la 4e Révolution industrielle – un bouleversement en profondeur des sociétés industrialisées s’opère, provoqué par l’essor des technologies numériques telles que l’informatique, l’Internet, les systèmes cyber-physiques, l’intelligence artificielle (IA), l’avènement des Big Data, et l’internet des objets (Internet of things – IOT). Ces technologies apportent des bouleversements dont l’impact sur notre quotidien, les affaires et la société en général n’est pas totalement cernable. Structurellement parlant, ces bouleversements peuvent toutefois se traduire par trois éléments. 1° La mise en réseau des individus et des systèmes d’information. 2° Les nouvelles formes de communication engendrées par le premier élément (l’importance croissante des réseaux sociaux, les chaînes de blocs (blockchains), l’IA, etc.). 3° La décentralisation de la circulation de l’information. Dans une société du «tout numérique», l’information et les systèmes d’information jouent un rôle omniprésent et central dans la pérennisation et le développement de notre société. Toutefois, si l’environnement dans lequel nous vivons change, le rôle de l’IE reste le même : détecter les menaces et les opportunités pour un acteur donné, qu’il soit public ou privé. Le véritable enjeu est de déceler de quelle manière la détection des menaces et opportunités est affectée par cette révolution numérique. Et ce «comment» est intrinsèquement lié au phénomène des Big Data, ces données dont le volume, la variété et la vitesse de production deviennent si élevés qu’il devient impossible de les traiter au moyen d’outils informatiques classiques. L’analyste se retrouve ainsi littéralement noyé dans un océan de
données hétérogènes, multiples et complexes. Un océan de données dont la croissance est à peine intelligible. Extraire, collecter, trier, gérer, analyser et stocker ces Big Data devient alors un défi à part entière. En conséquence, une telle situation nous impose une dépossession du potentiel informationnel. Le véritable challenge se traduit alors par la nécessité de se réapproprier ce potentiel informationnel au travers des technologies de l’information à l’ère du Big Data Analytics. Qu’entendons-nous alors par se réapproprier le potentiel informationnel ? Il s’agit de savoir transformer les Big Data en Smart Data, c’est-à-dire maintenir la capacité à donner la bonne information, à la bonne personne, au bon moment, et de manière sûre ; et le tout dans un contexte où l’infobésité (surplus d’informations dont la fiabilité et la véracité ne sont pas garanties). Afin d’illustrer ce phénomène, prenons l’exemple du tweet. Une telle information possède 140 caractères, mais si l’on s’arrête ici, les métadonnées cachées derrière ces 140 caractères ne sauront être exploitées à des fins de renseignement. Or, en prenant en compte ces métadonnées, on accède à de l’information pertinente permettant de déceler des corrélations, voire des causalités essentielles à la production de renseignement. Mettre en relation des métadonnées telles que l’heure, les coordonnées GPS, l’événement lié au tweet, les données socioculturelles de l’auteur, ainsi que d’autres données pertinentes, permet d’accéder à une connaissance nouvelle et non-triviale. En reliant les informations, on accède à de nouvelles connaissances. En analysant et en mettant en relation des données d’origines multiples et variées, il est ainsi possible de déterminer que les jeunes de la classe moyenne américaine sont ceux qui retweetent le plus souvent les messages de Trump, pour ne citer qu’un exemple. Une partie non négligeable des variables qui ont influencé le vote Trump sont ainsi décelées, permettant de mieux axer les stratégies de campagne. Relier les connaissances entre elles permet de créer des insights (connaissances ciblées et pertinentes à une situation donnée). Déterminer ainsi les facteurs influençant le vote Trump – comme le ressentiment de laissé pour compte de la part d’une certaine catégorie de citoyens – devient alors possible. Des structures non-triviales qui soustendent les phénomènes deviennent potentiellement identifiables. Finalement, c’est en reliant les insights entre eux que l’on peut accéder aux prédictions, et ainsi anticiper les phénomènes. C’est de cette façon que certains analystes ont prédit que les votes Trump allaient être sous-estimés dû au fait que les votants n’expriment que peu leur avis lorsqu’ils ont tendance à se sentir laissé pour compte. L’avènement des Big Data permet alors de «mettre le renseignement sous stéroïdes» en donnant la possibilité d’extraire des tendances et des structures
11
ds Cover Story - Cybersecurity Tren qui sous-tendent les phénomènes. Anticiper de manière quantifiable les événements devient alors envisageable. L’IE se voit ainsi évoluer, donnant l’espace à une portée et une efficience supérieures. Cette nouvelle forme d’IE basée sur les technologies du Big Data Analytics permet également une réhabilitation des faits non-tronqués. L’avènement de ce qu’on appelle les echo chambers dans les médias – métaphore décrivant une situation dans laquelle
une information est amplifiée et renforcée par sa transmission à répétition dans un environnement clos, censurant ainsi les points de vue non-conventionnels – tronque l’information. Pensez simplement une analogie acoustique avec une chambre d’écho dans laquelle le son est réverbéré. En ajoutant aux echo chambers le phénomène des filter bubbles, les utilisateurs des médias se retrouvent séparés des informations rentrant en porte-à-faux avec leurs points de vue. Ces filter bubbles – résultant d’une recherche personnalisée dans laquelle un algorithme filtre l’information que l’utilisateur aimerait voir basé sur ses préférences (ses cookies, ses données sociodémographiques, etc.) – permettent l’amplification du phénomène des echo chambers. Ces deux phénomènes isolent l’individu dans sa propre bulle culturelle et idéologique, tronquant la réalité, les faits et le monde qui l’entoure. Or, l’IE basée sur les technologies des Big Data Analytics présente le potentiel d’être utilisée comme un outil permettant de rétablir les faits, encourageant les décisions informées sur l’ensemble de la sphère informationnelle. Lutter contre l’influence d’un concurrent ou adversaire se basant sur la création des echo chambers et des filter bubbles devient ainsi possible. L’ère de post-vérité et les réseaux sociaux offre une caisse de résonnance sans précédent à la désinformation et aux opérations de déceptions. Ce type de propagande inspirée de l’astroturfing est le cœur de la stratégie d’ingérence de la Russie dans les dernières élections américaines. Ce que les Anglo-saxons appelle le Security Analytics est un autre exemple d’utilisation des technologies de
12
la 4e Révolution industrielle afin de produire de l’IE. Depuis une trentaine d’années, de nombreux moyens techniques conventionnels basés sur l’analyse des signatures afin de prévenir les cyber-risques ont vu le jour : les mécanismes de contrôle d’accès, les systèmes de détection d’intrusion, les techniques de cryptage, les pare-feu et les logiciels anti-virus. Mais le succès de ces mesures conventionnelles reste limité. En raison du fait que ces technologies se basent sur la détection des menaces qui ont déjà été observées dans le passé, une telle approche devient de moins en moins appropriée face à une cybercriminalité de plus en plus innovante et efficace. On assiste alors à un décalage entre le développement des moyens grandissants de la cybercriminalité et le retard de détection des signatures inappropriées. L’attaquant possède alors systématiquement une longueur d’avance sur la défense, rendant les techniques conventionnelles inefficaces par les cybercriminels. Ce constat d’échec devient d’avantage alarmant à l’ère des Big Data, puisqu’une quantité colossale d’information est transférée tous les jours, donnant aux cybercriminels autant de possibilités d’accéder à des réseaux en dissimulant leur présence et en infligeant des dégâts difficilement détectables dans le plus confortable des anonymats. Le marché de la cyber-securité s’adapte alors, en donnant plus d’importance à une approche novatrice qui consiste à anticiper des actions inappropriées, plutôt que de surveiller des réseaux afin de détecter des signatures comme le fait l’approche conventionnelle. Une telle approche est rendue possible par du renseignement basé sur les technologies des Big Data Analytics. On passe alors de la résilience des systèmes d’information (consistant à retrouver leurs propriétés initiales après une attaque) à l’anticipation (consistant à prévoir les dangers). En employant les technologies dérivées des Big Data Analytics, des procédés tels que l’analyse en temps réel, les détections dynamiques et la détection précoce permettent la création de renseignement ciblé afin de prévenir les cyber-crimes. Ces technologies sont susceptibles de devenir la prochaine génération de technologies de l’information, impliquant non seulement une meilleure efficacité mais également une meilleure efficience en cyber-sécurité.
Impact des actions cyber sur le patrimoine immatériel des entreprises Auteur : Franck DeCloquement, Expert en intelligence Stratégique, Professeur à l’IRIS et à l’IFP de l’Université Paris 2 Panthéon-Assas, Directeur du pôle Cyber & influence de la FFPC (Fédération Française de Psycho-criminalistique)11 Dans ces problématiques de cybercriminalité, on néglige souvent le facteur humain et les vulnérabilités de nature humaines. Dans un livre publié en 2010, Frank DeCloquement parlait déjà «d’attaques subversives» et se positionnait dans la peau des attaquants pour essayer de comprendre ce qui les poussait à passer à l’action. Cette analyse avait été envisagée sur différents plans : sur le plan des intrusions physiques, c’est-à-dire des pénétrations dans les bâtiments pour obtenir des informations, sur le plan informatique qui devient actuellement de plus en plus usité dans les entreprises, et sur le plan humain qui d’une certaine façon «chapeaute» les deux autres approches.
Quelle est la situation aujourd’hui : à l’horizon 2020, plus de 4 milliards d’internautes surferont sur le WEB et le nombre d’échanges sera d’autant plus nombreux. La conséquence prévisible est l’augmentation parallèle des actions de «cyber-malveillance» car les «cyber-prédateurs» sont toujours plus nombreux. Il y a les cyber-prédateurs qui agissent dans le cadre d’actions géopolitiques, liés aux différents conflits se déroulant actuellement dans le monde, ou dans le cadre d’actions de souveraineté des Etats afin d’augmenter leur capacité technique, ou leurs capacités industrielles ou technologiques. Les actions offensives de nature humaines permettent d’aller plus vite en besogne vers l’objet convoité, et de cibler la bonne personne pour lui soutirer aisément ou lui ravir des renseignements de nature stratégique. Le big-data est également utilisé dans les campagnes présidentielles et l’analyse en temps réel permet désormais d’adapter le discours en temps réel - voire même la tenue vestimentaire d’un candidat - afin d’augmenter à son bénéfice un potentielle report de voix. On entre ici de plain-pied dans ce qu’on nomme «l’économie de l’attention» et «l’ingénierie de la perception». D’autre-part, dans les milieux criminels, mafieux ou terroristes, le big-data, l’internet et autre algorithme permettent de capter l’attention. Ceci est vital pour procéder à un recrutement efficace et cela permet aussi de capter de l’information stratégique, pour de futures intrusions. Comment améliorer la sécurité intérieure de nos entreprises et de nos Etats ? L’économie, de par sa relation très étroite avec le «cyberspace» est très exposée aux actions d’intelligence malveillante. DCNS (sous-marins) n’avait pas protégé ses informations sur de futurs produits ou contrats et surtout n’avait pas mis de veille. DCNS fut totalement surpris - et pris de court - lorsqu’une attaque venue d’Australie par le biais d’un journal contre sa réputation se produisit. C’est pourquoi la France a depuis revu son dispositif et mis en place une stratégie de protection des informations stratégiques. La cyber-sécurité tente de réduire les risques et les effets induits par des cyberattaques sur les actifs matériels et immatériels des entreprises. La cyber-sécurité se structure. Garantir la confiance est également un objectif central de la cyber-sécurité. Elle est nécessaire pour que le système d’échange puisse perdurer et, par-là même, que les achats et le business puisse continuer pour rassurer toute à la fois, investisseurs et acheteurs. La cartographie des risques est également importante afin de mieux déterminer la probabilité de survenance de tels risques, et l’impact qu’ils peuvent avoir. Les scénarios à forte probabilité sous souvent liés à l’attrait d’un gain financier potentiel. Mais ces actions peuvent également être de nature régalienne, liées aux luttes intestines pour garantir ou préserver la souveraineté d’un Etat. Qu’est-ce que le patrimoine immatériel d’une entreprise ou d’un Etat ? Il s’agit du patrimoine «non monétaire» et «sans substance physique», constitué par des connaissances et des informations essentielles détenues, ayant une valeur directement ou indirectement positive pour une organisation. Des ressources bien souvent difficilement comptabilisables ou quantifiables comme par exemple : «la réputation». Ce patrimoine immatériel peut être «défini» ou «entendu» comme tous les éléments du patrimoine des entreprises autres que les comptes, les biens, les meubles, etc. Les comptes sociaux ne donnent qu’une image réductrice de l’évaluation d’une entreprise.
Le lobby et la communication d’influence : cas Wikipédia Auteur : Marie-Pierre Vidonne, PhD, est active dans la veille technologique et l’analyse des données scientifiques12. Elle est également contributrice sur Wikipedia et Wikidata. L’influence se compose schématiquement de deux éléments : d’une part, la communication d’influence, dont la cible est l’opinion publique et le but est de générer l’adhésion, l’acceptation ou la mobilisation, d’autre part le lobby, dont la cible est la sphère politique et le but est d’impacter les systèmes législatifs et les normes en sa faveur. Pourquoi, Wikipedia est-il un facteur d’influence d’importance? Lorsque l’internaute effectue une recherche sur internet, les réponses de cette encyclopédie libre, gratuite et collaborative arrivent généralement dans les premiers résultats. Dans l’exemple donné, une recherche sur Fabiola Gianotti, nouvelle directrice du CERN, sur Google.ch, indexe d’abord les pages de Wikipedia francophone et anglophone puis ensuite seulement les pages du CERN. Il est intéressant de voir que Google fait du «knowledge graph», c’est-à-dire qu’il affiche sur la droite des résultats de recherche, les premières phrases de l’article de Wikipedia. Une des possibilités d’influence est de mettre en début d’article les informations que vous voulez voir apparaitre en priorité, car l’internaute «classique» ne va pas forcément ouvrir la page Wikipedia, mais rester sur l’introduction de l’article affiché par Google.
Un autre exemple donné concerne le nombre de consultations de deux personnalités politiques avant les primaires de la droite et du centre en France. A partir du dernier débat télévisé, la tendance s’est inversée et la
13
ds Cover Story - Cybersecurity Tren page Wikipedia de François Fillon est devenue beaucoup plus consultée que celle d’Alain Juppé. Wikimedia est une fondation qui chapeaute et soutient 15 projets, dont le plus connu est l’encyclopédie collaborative en ligne Wikipedia. Elle fédère un réseau international d’organisations associées appelées «chapters». Wikipedia existe en 295 langues, environ 40 millions d’articles, 1.8 millions d’articles en français. Wikipedia est basé sur 5 principes fondateurs : Wikipédia est une encyclopédie Wikipédia recherche la neutralité de point de vue Wikipédia est publiée sous licence libre Wikipédia suit des règles de savoir-vivre Wikipédia n’a pas d’autres règles fixes Ce qui fait qu’il n’y a pas d’uniformisation entre les différentes encyclopédies (langues), par exemple, les règles sont moins strictes sur l’encyclopédie anglophone que l’encyclopédie francophone. Le profil type de la personne qui contribue à Wikipédia est le suivant : homme blanc, occidental, bien éduqué ayant en moyenne 26 ans. Environ 80% des contributeurs sont des hommes ce qui crée un biais sur le choix articles créées. Un exemple, seulement 15% des biographies concerne des femmes. Et selon une étude de l’ETHZ, la situation maritale des femmes serait deux fois à quatre fois plus indiquée que celle des hommes. Une troisième communauté, en dehors des hommes et des femmes, qui contribuent sur Wikipedia, sont les robots et représente environ 25% des contributions. Leurs rôles consistent à améliorer le contenu via des corrections, du rangement, du classement et à combattre le vandalisme.
Source Beutler, wikimania 2014 Les personnes qui contribuent sur Wikipédia peuvent se répartir en quatre groupes : Une interpellation du conseiller national Franz Grüter en février 2016 auprès des chambres fédérales demandait au Conseil Fédéral le nombre de personnes employées
14
par la Confédération qui intervenaient sur Wikipédia et demandait selon quel processus et sous quelles directives. La réponse du conseil fédéral en mai 2016 indiquait que 30 personnes étaient chargées de surveiller et modifier le contenu sur Wikipédia dont 3 appartenaient au Département Fédéral de Justice et Police et leur charge de travail variait de 20 à 40 heures annuelles en fonction des départements. Il est intéressant de constater que les modifications effectuées par le personnel de la Confédération ne sont, en général, que de petites modifications de type changement de liens obsolètes, mise à jour de données chiffrées, … En janvier 2016, face à plusieurs cas de vandalisme répétés depuis une adresse IP du ministère de l’intérieur en France, Wikipédia a bloqué toute modification faite é partir de cette adresse pour une durée d’un an. Un exemple d’effet contraire à celui désiré, c’est la demande de suppression d’une page afin de faire disparaitre des informations. Cela a été le cas pour un ancien procureur général de Genève. La demande a relancé les consultations sur cette page, alors qu’elle n’était que très peu consultée, et a fait l’objet d’un vote dans la communauté francophone de Wikipédia. La personne ayant été jugée suffisamment notoire, son article a été conservé.
L’intelligence collective prélude de l’Intelligence Economique Auteur : Catherine Charroin, Est directrice des opérations et spécialiste en Intelligence stratégique pour le compte de la société WIN SA basée à Genève13 Tout le monde comprend d’emblée l’importance du réseau, des échanges permettant de développer des projets, voire de créer du business. Quelle est la définition de l’intelligence collective (IC) ? Une définition de Monsieur Thomas Emmanuel Gérard14: «Produire au sein d’un groupe une interaction positive entre les «je» individuels et le «nous» collectif : voilà le champ de l’intelligence collective, qui contribue à l’émergence d’un «je» confortable, au service d’un « nous » performant.». Dans l’intelligence collective, il y a également un cycle comme dans l’intelligence économique. Il s’agit d’un cycle de questions et réponses qui permet de structurer, de cibler les objectifs et enjeux (les besoins), de délimiter le périmètre, les modalités et d’élaborer un planning. Ce cycle va réorienter les stratégies de l’entreprise, il va les conforter ou les invalider. Il s’agit d’un cycle qui n’est pas anonyme. Il comprend avant tout, des personnes, il y a celles qui vont poser des questions et celles qui vont y répondre. Comment le structurer ? On va partir du besoin, le cibler par des questionnements précis qui vont permettre de clarifier les choses et d’avoir le bon focus. Ces informations vont provenir d’informations écrites, la «mémoire» de l’entreprise et d’informations orales provenant du réseau. Ce qui une fois analysé va nous permettre de rassembler de la connaissance. Dans une entreprise, nous sommes tous clients et fournisseurs d’informations.
Par exemple Celliose, entreprise lyonnaise innovante est citée par Monsieur Bernard Besson15 dans ses cours. Elle effectue occasionnellement la rotation des métiers pour comprendre le métier des collègues. La commerciale des cosmétiques fut assignée pendant une période à la veille technologique et s’est souvenue suite à un voyage en Chine que les asiatiques appréciaient les couleurs vives. L’entreprise décida de créer des coques de téléphone de couleurs vives pour la Chine, ce qui lui permit d’accroitre son marché. Tout ceci pour parler du regard neuf, de la translation des regards, de la suppression des œillères. Ce nouveau regard dépend de la communication, mais comment faire pour favoriser cette communication ? Une des possibilités est d’«aplatir» l’organigramme pyramidal pour supprimer des niveaux hiérarchiques ou, une autre solution plus moderne, serait de greffer l’organigramme de l’intelligence économique (mémoire, pilotage de réseau, analyse et connaissance), en insérant, par exemple, des unités pluridisciplinaires dans certains projets pour une durée déterminée ou non. Cette solution permet de mutualiser l’autorité statutaire, pyramidale et hiérarchisée avec celle des compétences et des savoir-faire organisés en réseaux.
- Division du travail - Information top-down
Chaque personne s’oriente vers plusieurs types de rôles servant à faire avancer le groupe. Un exemple de collaboration interdisciplinaire est celui des GIR (Groupes d’Intervention Régionaux) dont le but est de lutter contre le trafic des économies souterraines en France, il s’agit de groupes formant
Organigramme de l’IE dans l’organigramme pyramidal des enquêteurs partenaires, composés de policiers, de gendarmes, de fonctionnaires des impôts et de fonctionnaires des douanes. Tous ces collaborateurs sont, en principe, rattachés à des ministères différents qui ne communiquent que très difficilement entre eux. La création de ces groupes a permis de gagner en efficacité en facilitant et accélérant la communication notamment l’échange d’information. Améliorer la communication, dans une entreprise, c’est aussi savoir identifier les réseaux, en premier le réseau productif, ensuite le réseau social. Le réseau social peut être composé des retraités, des stagiaires et des associations. L’intelligence collective implique que le réseau social améliore le réseau productif. Ce réseau de confiance permet de répondre aux besoins de manière plus efficiente. Cependant, un facteur vient perturber la communication, il s’agit de nos interprétations par la généralisation, la sélection ou la distorsion. Elles sont dues à notre éducation, nos expériences, nos valeurs, nos croyances. De ces interprétations, nous avons une émotion qui induit alors notre comportement (nos réponses). Afin d’améliorer notre communication, nous devons apprendre à gérer nos émotions, il peut, par exemple, être intéressant de prendre en compte que chaque personne a sa vision du monde et peut apporter sa contribution. L’intelligence collective permet de mobiliser les intelligences individuelles, de mutualiser la coproduction de savoir, de stimuler la créativité, elle apporte aux collaboratrices et collaborateurs plus d’échanges constructifs, une plus grande implication et une reconnaissance, ce qui est important dans le milieu du travail. Elle renforce le sentiment d’appartenance. Il n’y a aucune différence de nature entre l’intelligence collective d’une entreprise et celle d’une administration, puisque dans les deux cas, il y a une mémoire partagée et des réseaux.
15
ds Cover Story - Cybersecurity Tren
Crédit photo : Arnaud Velten
Table ronde La table ronde est animée par Elsa Floret, journaliste à l’Agefi. Les participants, sélectionnés parmi les intervenants, sont : Madame Sylvie Perrinjaquet, Madame Marie-Pierre Vidonne, Monsieur Jérôme Matteazzi, du Service de renseignement de la Confédération, Monsieur Franck DeCloquement, Monsieur Alain Mermoud et Monsieur Dimitri Percia David. La table ronde débute par une question du public, concernant la collaboration entre le milieu académique et les entreprises suite à la survenance de cette nouvelle énergie qui n’a rien à voir avec le pétrole et l’électricité, qu’est celle de l’information qui peut prendre de la valeur sans qu’elle ne soit utilisée, ce qui modifie les comportements et le paradigme. - Jérôme Matteazzi explique que depuis 2013, le SRC a des collaborations de sensibilisation auprès des professeurs des hautes écoles dans les domaines critiques comme la biologie et la haute technologie pour éviter que la technologie et le «know-how» soit utilisé dans des programmes d’armes de destruction massive à l’étranger. - Sylvie Perrinjaquet met en garde sur la concurrence entre les hautes écoles que sont les EPF, Universités et les HES en partie dû au financement différent de ces établissements et pense qu’il faudrait régler ce problème au préalable. - Elsa Floret : dans une étude de la Zürich Assurance, il semble qu’il y ait une absence dans les comités de direction des entreprises d’experts informatiques.
16
- Sylvie Perrinjaquet répond en disant que les entreprises sont sensible à la vitesse de circulation des informations pour les prises de décisions mais ne se posent pas la question de savoir si elles sont sécurisées et ne s’occupent pas de protéger leur souveraineté. - Elsa Floret : La confédération a mis en place cette année 2016 une stratégie numérique mais est-ce suffisant pour faire face à la menace ? - Dimitri Percia David pense que cette stratégie ne définit pas suffisamment les responsabilités au niveau des cyber-risques et qu’il faudrait prendre en compte l’interconnexion des risques et ne plus mesurer les cyber-risques en silo, comme ce fut le cas avec le risque financier avant la crise des subprimes. - Alain Mermoud rappelle l’existence de swiss-intelligence.info, le portail du renseignement pour tous les professionnels de l’Intelligence Economique en Suisse. - Elsa Floret : RUAG est un bon exemple de l’utilité de l’intelligence économique pour détecter l’attaque ? - Alain Mermoud : C’est l’échange d’informations entre les services secrets allemands et les services suisses qui a permis de déceler l’attaque mais seulement après plus de une année. Une politique publique d’Intelligence Economique aurait, peut-être, permis de détecter cette attaque plus rapidement. - Elsa Floret : Combien d’entreprises ont été sensibilisées par le SRC ? - Jérôme Matteazi : Environ 1’100 entreprises ont été sensibilisées depuis 2004, particulièrement dans l’industrie, la pharmaceutique et le high-tech. - Question du public : on a beaucoup parlé de risque et de mauvaise gestion du risque, mais ne devraiton pas plutôt parler de mauvaise gestion de la technique en elle-même ou de l’intelligence économique dans le domaine de l’informatique ? - Franck DeCloquement : En effet, la technique est une chose, l’analyse et le traitement du risque en est une autre. Il faudrait beaucoup
plus «évangéliser» tous les collaborateurs des entreprises, en essayant ainsi d’inculquer une culture de l’anticipation des risques plus proactive. - Question du public : Ne serait-il pas temps et utile de renforcer les ponts entre les entreprises et les autorités concernant ces risques cyber ? - Sylvie Perrinjaquet : Oui, mais certains chefs d’entreprise ne sont pas encore très ouverts à discuter avec la Confédération, il faudrait pouvoir fixer un cadre de dialogue clair qui sécurise et maintient la souveraineté. Il faut rappeler que l’affaire des fiches, en Suisse, est encore très présente dans les esprits et a souvent été en arrière-plan des discussions pour la nouvelle loi sur le renseignement. - Question du public : on a un peu oublié de parler des devoirs en interne, par exemple, les employeurs doivent faire quelque chose pour limiter les dégâts ? - Franck DeCloquement : Effectivement, il est généralement admis que 30 à 40% des problèmes émanent de l’interne sous forme de malveillances ou d’imprudences. Et il existe bien un problème de prise de conscience sur ces réalités souvent passées sous silence. Surtout lors de périodes de licenciements, il est assez facile pour des personnes externes d’obtenir des informations de collaborateurs internes à l’entreprise soumis au stress, à la désillusion ou plus simplement déstabilisés par la situation. La plupart des attaques provenant de l’extérieure profitent de vulnérabilités internes. Ce fut par exemple le cas dans l’affaire qui impacta France5 : l’intrusion informatique a été rendue possible grâce au post-it contenant le code wifi affiché imprudemment derrière le journaliste qui passait à la télévision… - Question de Madame Perrinjaquet : combien, parmi-vous, lorsque vous avez des séances stratégiques, mettent leurs téléphones portables hors d’atteinte ? Même les managers ne montrent pas l’exemple, ils utilisent leurs téléphones portables pendant les séances, lisent leur email etc. - Elsa Floret : Qu’en est-il de la guerre des genres dans Wikipedia ? - Marie-Pierre Vidonne : il est encore très difficile de féminiser les noms tel que celui de «Professeure», c’est encore aujourd’hui refusé par la communauté francophone de Wikipedia. - Question du public : N’y a-t-il pas un paradoxe avec la tendance de migration des informatiques sur le Cloud et la crainte que ces informations soient consultées ? - Franck DeCloquement : Effectivement, il semble bien que les GAFAS essayent d’attirer ou de séduire les clients pour qu’ensuite les instances gouvernementales puissent capter plus aisément leurs données personnelles. - Le public : Mais est-ce que la Suisse n’a pas une carte à jouer ici ? - Alain Mermoud : Oui, la Suisse a quelque chose à vendre à l’international, c’est sa sécurité. Si vous prenez Swiss Data Safe SA elle vend déjà la sécurité suisse et utilise les anciens bunkers du Conseil Fédéral. - Elsa Floret : Mais alors si la Suisse concentre une grande partie des données mondiales, n’y a-t-il pas plus de risques d’être attaqué ? - Alain Mermoud : Effectivement, mais si on reprend l’exemple de Swiss Data Safe SA, il propose également un service où les données sont complétement déconnectées du réseau Internet. - Elsa Floret : On peut remarquer que quatre sociétés concentrent la majorité des données mondiales, soit Amazon qui «possède» un tiers
Remerciements Le CLUSIS remercie les organisateurs de la soirée : Catherine Charroin et Albert Pélissier. Elsa Floret, Journaliste à l’AGEFI pour son soutien et l’animation de la table ronde. Ainsi que tous les intervenants : Marie-Pierre Vidonne Stéphanie Frochaux Alain Mermoud Dimitri Percia David Franck DeCloquement
des données et les trois autres sont Microsoft, IBM et Google, donc quatre entreprises américaines. - Alain Mermoud : Pour ramener le débat sur la Suisse, il faut mentionner deux initiatives intéressantes, la première est l’offre de Cloud de Swisscom proposée en standard avec ses différents abonnements et ce Cloud est basé en Suisse et la seconde, c’est l’offre de Cloud de Switch, Switch Drive, qui est également hébergé en Suisse, offerte dans le milieu de la recherche académique. L’hébergement de données en Suisse devient un argument marketing.
1 https://www.linkedin.com/in/albertrossier 2 https://www.linkedin.com/in/albertpelissierinformations/ 3 www.src.admin.ch 4 Plus d’informations sont disponibles sous les liens suivants : Espionnage économique : http://www.vbs.admin.ch/fr/themes/ recherche-renseignements/espionnage-economique.html Brochure Prophylax : http://www.vbs.admin.ch/fr/themes/ recherche-renseignements/espionnage-economique. detail.publication.html/vbs-internet/fr/publications/ servicederenseignement/SRC-Prophylax.pdf.html Contact : prophylax@ndb.admin.ch 5 https://www.youtube.com/watch?v=us9RMMRLpQg 6 www.melani.admin.ch 7 https://ch.linkedin.com/in/alainmermoud 8 https://swiss-intelligence.info/ 9 https://www.linkedin.com/in/dimitri-percia-david-733bb930 10 https://swiss-intelligence.info/ 11 https://www.linkedin.com/in/franck-decloquement-87a0491a/ 12 https://ch.linkedin.com/in/vidonne/ 13 https://www.linkedin.com/in/catherine-charroin-b0455497/ 14 Thomas Emmanuel Gérard: un des co – écrivains du livre: « l’intelligence collective », éditions: Yves Michel 15 Bernard Besson, il enseigne l’intelligence économique en France et en Suisse. Il a notamment écrit : «Introduction à l’Intelligence Economique», Edition 2016
17
Focus - Cybersecurity Trends
Le «cyber» au centre de l’intoxication médiatique d’une «guerre 4.0» sans aucune morale Bref historique récent des relations entre Etats, agences de renseignement, gouvernements et mercenaires.
Auteur : Laurent Chrzanovski
DISCLAIMER : cet article est volontairement polémique et n’entend d’aucune façon exprimer des «faits» ou des «vérités». Subjectif «by default», en absence de faits publiés, il n’a pour seul but que de susciter une réflexion sur le monde digital dans lequel nous vivons et nous motiver à commencer, chacun de son côté, à organiser notre propre défense personnelle, professionnelle, sociale et familiale.
BIO Professeur HDR titulaire à l’Ecole doctorale et Postdoctorale de l’Université de Sibiu et Professeur HDR invité à l’Université Lyon II, Laurent Chrzanovski est docteur en Archéologie, diplômé d’Etudes postdoctorales en histoire et en sociologie et HDR par décret ministériel. Il est auteur/éditeur de 23 livres, de plus d’une centaine d’articles scientifiques et tout autant de textes destinés au grand public. Fort de son expérience de travail dans 12 pays d’Europe et du Sud de la Méditerranée, il a étendu depuis 2010 ses domaines de recherches à la cyber-sécurité, dans ses aspects sociaux, comportementaux, culturels et géopolitiques. A ce titre, il est membre du groupe d’experts en cyber-sécurité de l’UIT (ONU-Genève) et consultant contractuel pour cette même institution. Il est aussi expert au sein du Cercle IE2S, placé sous le Haut Patronage de l’IHEDN. Il a fondé et dirige depuis 2013 depuis la plate-forme macrorégionale de dialogue public-privé “Cybersecurity in Romania” (www.cybersecurityromania.ro). Dans ce même esprit, il est cofondateur et rédacteur en chef, depuis 2015, de la revue trimestrielle gratuite de cyber-prévention “Cybersecurity Trends”, désormais publiée en 5 variantes linguistiques différentes (https://issuu.com/cybersecuritytrends). Le congrès, aussi bien que la revue sont promus et soutenus par l’UIT comme « Best Practice Example for the European Continent ».
18
Le contexte de l’article : de l’hystérie médiatique au manuel de Tallinn 2.0 Les raisons de publier ce texte dans une revue destinée à la prise de conscience de ses lecteurs en matière de cyber-sécurité sont multiples. En premier lieu, nous estimons qu’avec les dernières élections américaines et les premiers cent jours du Président Trump à la Maison Blanche, les limites de l’intoxication médiatique, de quelque pays ou entité qu’elles viennent, ont dépassé les niveaux record, historiquement détenus «en temps de paix», en Occident, par ceux atteints lors du maccarthysme puis lors de la crise des missiles de Cuba. Contrairement à ces deux épisodes de notre histoire récente, le thème central de cette campagne d’intoxication est désormais le «cyberwar». Contrairement à la lutte «idéologique» de la guerre froide, ce sujet échappe en tout et pour tout au grand public par manque d’éducation et de culture dans ce domaine. Pire, il donne aux individus l’impression d’être uniquement spectateurs d’une lutte de titans dont ils ne sont pas la cible, les éloignant ainsi des mesures de précaution nécessaires à leur propre sécurité, objet principal de la création de notre revue.
Or, dans cette guerre sale qui ne connaît aucune limite, ce sont bien nos droits de citoyens et les données de chacun d’entre nous qui constituent une partie fondamentale, non seulement de la compétition technologique des grandes puissances, mais aussi des luttes intestines à chaque Etat, auxquelles on assiste aujourd’hui. En second lieu, nous observons enfin, de la part du quatrième pouvoir, à une réaction des plus saines venant prêter secours à la défense du citoyen. Le ton a été donné le 5 février dernier, lors de la publication du magistral «Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations», officiellement présenté à Washington le 8 février. Cet ouvrage, publié par la Cambridge University Press, a été rédigé par les meilleurs experts occidentaux du domaine avec le soutien du NATO Cooperative Cyber Defence Centre of Excellence. Les «policy makers» ont enfin à disposition un outil capillaire pour les aider à distinguer le degré d’encadrement d’un acte illégal sur le net, de la brèche à l’intrusion, du phishing au malware, de l’espionnage au sabotage, pour arriver au terme d’incident grave et, en dernier recours, à la cyber-attaque, doublant ainsi les définitions précises à l’usage du secteur privé, créées et
constamment actualisées par le NIST1 (National Institute of Standards and Technology). C’est ainsi que l’indispensable Associated Press Stylebook a immédiatement changé la définition du mot «cyberattack», qui ne concernera désormais plus que des événements menant à une destruction massive et de grande ampleur. A souligner par ailleurs que le terme «cyberwar», si cher aux politiques, aux militaires, aux rédacteurs en chef, n’est jamais rentré dans la terminologie agréée par le Stylebook, que tout journaliste anglophone soucieux de déontologie professionnelle devrait adopter. Cette simple action, apparemment banale, aura des conséquences majeures dans un pays, les U.S.A., où la justice est par définition évolutive. Or, y être suspecté d’avoir perpétré une attaque est certainement l’accusation cybernétique la plus lourde utilisée à mauvais escient à ce jour. En ce sens, la justice américaine et, par extension, le monde entier, adoptant dans le domaine digital le vocabulaire anglophone, sera obligé à moyen terme d’adapter ses textes normatifs aux degrés précis du crime commis2.
Historique d’une guerre sale à travers quelques épisodes connus de tous Depuis 2010 et les Iraq/Afghanistan War Logs, WikiLeaks s’est imposé comme un acteur médiatique incontournable. Mais avec le succès du site de «lanceurs d’alerte», une nouvelle politique, parfaitement maîtrisée
par les grandes puissances occidentales, s’est mise en place : celle des «fuites orchestrées». Dûment relayées par une presse avide de scandales, leurs tenants et leurs aboutissants sont inconnus du grand public alors même qu’ils sont à l’origine de la guerre de l’information à laquelle se livrent les acteurs majeurs du monde des renseignements.
2013 : Le cas Snowden ou une véritable victoire voulue par les «vaincus» La défection d’Edward Snowden, en particulier son séjour à Hong Kong (20 mai 2013) puis son départ pour Moscou (22 juin 2013), posent deux problèmes de base qui relèvent des fondamentaux des agences de renseignement des grandes puissances et des relations diplomatiques internationales. Si Snowden était vraiment le détenteur de tant de secrets vitaux pour la NSA, comment son embarquement à Hawaii à destination de Hong Kong, alors que son congé mentionnait un vol interne pour effectuer aux USA un traitement contre l’épilepsie, n’a-t’il éveillé aucune suspicion ? Comment n’a-t’il pas été «cueilli» par les contractants américains à son arrivée (12 heures de vol!) ou «éliminé» avant ses premiers contacts avec les journalistes du Guardian ? Comment, avec un passeport révoqué et un traité réciproque d’extradition entre Hong Kong et les USA a-t’il pu passer les contrôles douaniers de l’aéroport de Hong Kong et prendre un vol pour Moscou ? Les réponses plausibles révélant des talents personnels de M. Snowden et des ressources de ses nouveaux amis sont multiples, mais comme le disent désormais hors micro les spécialistes du renseignement des pays non impliqués «I don’t buy it» (je n’y crois pas). De fait, Edward Snowden s’est avéré être une «arme fatale» pour les agences de renseignement et pour le Département d’Etat américains. C’était en effet une année marquée par de grandes tensions : sur le plan intérieur, les rapports entre le Président Obama et la NSA étaient au niveau le plus bas3; sur le plan géopolitique mondial, les USA ont subi nombre de défaites diplomatiques successives contre la Russie4, culminant avec l’abandon de toute velléité d’intervention américaine en Syrie suite à la remise, par le régime de Damas, de ses armes chimiques. Dans le microcosme des rapports de force entre le «deep State» (agences) et le «elected State» (présidence,
19
Focus - Cybersecurity Trends parlement) des Etats-Unis, le «Cas Snowden» a permis à la direction de la NSA de demander des rallonges substantielles, obtenant ainsi le plus haut budget annuel de son histoire (10.77 milliards d’USD, officiellement, non compris les dépenses classées sous secret), plaçant l’agence, en termes de financement, immédiatement audessous de la CIA et loin devant les ressources accordées à l’Intelligence militaire. Dans le contexte mondial, l’arrivée de Snowden à Hong Kong relève aussi d’un choix tactique idéal. Il s’agissait probablement de voir si la Chine allait «mordre à l’hameçon», offrant ainsi une arme diplomatique dont les USA avaient grandement besoin à la veille de la visite du Président chinois Xi Jinping en Amérique au mois de juin, une visite d’Etat de deux jours dont l’un des thèmes centraux était justement la cyber-sécurité. En «omettant» d’arrêter Snowden à l’aéroport, le véritable maître de Hong Kong a donc pu ne rien céder lors du sommet avec Barack Obama en juin5. Le départ orchestré de Snowden pour Moscou, en revanche, a offert à la Maison Blanche le prétexte tant attendu de glacer à un niveau rarement atteint les relations bilatérales entre Washington et Moscou, quelques mois avant l’intervention américano-européenne en Ukraine culminant avec la fuite du président Ianoukovitch en février 2014. Avec Snowden à Moscou, les Etats-Unis ont pu poser les bases de la création d’un nouvel ennemi global crédible, indispensable pour maintenir la croissance de leur secteur technologique et militaro-industriel, un thème sur lequel nous reviendrons. C’est bien le secteur technologique qui est le grand vainqueur de l’aventure de M. Snowden. Après ses révélations, les Etats tiers, soi-disant choqués par des renseignements qu’ils possédaient en partie de longue date, ont été forcés d’investir massivement en cybersécurité, un secteur alors dominé par Israël : en 2013, les exportations américaines ont atteint leur record (3 milliards de dollars, parvenant à égaler les contrats israéliens à l’exportation), s’assurant de plus des contrats et une expansion à couper le souffle, atteignant 6 milliards de dollars pour chacun des deux pays en 2015 – avec des perspectives américaines autour des 20 milliards par année d’ici trois ans. Et la Russie ? Elle a pu retrouver l’orgueil perdu depuis 1991, celui d’être redevenu l’adversaire numéro un de la plus grande puissance mondiale et d’être à nouveau dans une logique de confrontation dans laquelle elle excelle. Mettant fin à des négociations bilatérales avec les USA devenues complètement stériles, elle a pu donner libre cours à l’agrandissement de sa sphère d’influence et profiter de l’agressivité médiatique américaine pour justifier, elle aussi, l’augmentation exponentielle de ses dépenses technologiques et militaires.
20
A tous points de vue, le plus grand perdant de «l’affaire Snowden» n’est autre que le citoyen-contribuable européen, c’est-à-dire vous et moi.
2014-2015 : Mercenaires indésirables ou lutte entre Etats ? La chute en deux étapes de Hacking Team. Le soi-disant «mercenariat» de groupes privés spécialisés dans l’espionnage ou dans les techniques d’attaques pointues, agissant partiellement et ponctuellement pour les intérêts d’un Etat est un autre mythe développé par les grandes puissances. Dans le monde du crime, nous trouvons certes des mafias à très grande capacité technologique. Mais celle-ci leur sert avant tout dans des buts purement «civils» : blanchiment d’argent, fraudes, extorsion, vente de produits ou contenus illégaux et enfin vente en système de «pay-perservice» d’un certain nombre d’outils – généralement déjà utilisés – propres à attaquer un adversaire commercial (zero-days, ransomewares, botnets, etc.). En revanche, dans le monde très fermé des renseignements et des opérations tactiques («offensive security») des grandes et moyennes puissances, les sous-traitants privés de qualité sont rares et l’implication directe, aussi bien technique que logistique, de l’Etat qui les finance est désormais une évidence. Le scandale de l’entreprise italienne Hacking Team en est la preuve éclatante. Parmi une nébuleuse d’investisseurs ayant permis la naissance
et la croissance des «Mercenaires de l’espionnage», on retrouve, à hauteur de 16%, Finlombarda (la société d’investissement de la Région Lombardie). Donc l’argent du contribuable italien. D’abord au service des autorités italiennes, puis au service d’une clientèle essentiellement étatique du monde entier, FBI inclus, Hacking Team a commencé à irriter les autorités européennes par son manque complet de morale, comme dans le cas de la commission onusienne d’enquête sur le Darfour, qui mentionne déjà, en juin 2014, l’entreprise comme fournisseur de cibles au régime de Karthoum. Malgré cela, le soutien des services de renseignements italiens est sans défaut, puisque lorsque le Ministre du Commerce décide, en décembre 2014, de retirer à l’entreprise sa licence d’exportation, il sera désavoué moins d’un mois plus tard par son propre gouvernement, dans un volte-face grotesque. Grâce aux contacts du CEO d’Hacking Team et à ses menaces de révéler les Institutions italiennes faisant partie de sa clientèle, l’entreprise sera «condamnée» à s’adapter au Wassenaar Arrangement on Export Controls
for Conventional Arms and Dual-Use Goods and Technologies6 en vigueur entre l’UE et un vaste panel de pays tiers. Mais ce n’est pas tant de se mettre au service de dictateurs et de régimes parias7 qui, visiblement, ont valu à l’entreprise d’être attaquée en juillet 2015 et dérobée de plus de 4Go de matériel compromettant. En concurrence avec une gamme très restreinte d’entreprises du même genre, domiciliées pour la plupart en Israël et aux USA, Hacking Team, née en 2003, a grandi rapidement. Cela a certainement déplu à ses compétiteurs, et une seule transaction avec un mauvais client a très probablement entraîné une réaction à la hauteur des tensions existantes dans ce domaine, c’est-àdire le hack d’un paquet énorme de données vitales. Un exploit attribué à un seul hacker, agissant sous le pseudonyme de Phineas Fisher… crédible, la variante Robin des Bois solitaire ? Peut-être, mais il est plus logique de penser qu’au vu de la technologie utilisée, ce sont bien les concurrents et ennemis de Hacking Team qui l’ont anéanti. Mais comme le Phénix renaissant de ses cendres, cela ne semble avoir été qu’un anéantissement très provisoire, son CEO multipliant les nouveaux contacts et les nouveaux clients8 –, faisant (triste ironie du sort) ce que la loi interdit aux services de renseignement. Pour récapituler, ce sont bien, de façon plus ou moins directe, les Institutions de l’Etat Italien et, de façon directe, l’argent du contribuable italien qui ont permis à Hacking Team non seulement d’exister, de faire le sale travail à la place des services italiens et européens, mais, en plus, d’obtenir des contrats dans plus de 75 pays. Avec en corollaire la mort d’opposants politiques et de journalistes. C’est là la seule morale qu’il faudra retenir. L’Italie, pays démocratique européen, a permis et permet cela au nom de la concurrence technologique; mais contrairement aux grands de ce monde, elle n’a pas les moyens d’asservir complètement une entreprise aux seuls intérêts de ses services de renseignements, ni de l’empêcher de franchir les lignes rouges marquant les territoires du net réservés aux très grandes puissances. Dans ce cadre, on ne peut que sourire devant l’insistance médiatique des grandes puissances à vouloir prendre leurs distances face à des «mercenaires du web» qui ne seraient liés par un cordon ombilical permanent à leurs agences de renseignement, et qui n’obéiraient pas exclusivement à leur feu vert en cas de vente à des pays tiers. Les légendaires départements des «black ops» et les «bureaux fantômes» des services d’Etat ont tout simplement changé de costume et de nom. Ils sont en civil, n’ont pas de grade militaire et s’appellent désormais «commissioners» ou «privateers»9. Mais ne nous y trompons pas, ce sont bien toujours nos impôts qui servent nos gouvernements … à s’espionner les uns les autres et à nous espionner.
2015 : FBI vs Apple («San Bernardino case») : une magnifique manœuvre publicitaire Le 2 décembre 2015 avait lieu la fusillade la plus meurtrière que les EtatsUnis avaient connue depuis plus de trois ans, se soldant par 14 morts et 22 blessés. Un couple armé, se revendiquant de l’Etat Islamique, a ouvert le feu sur les personnes se trouvant dans un centre social de San Bernardino, près de Los Angeles. Les deux terroristes seront tués peu après lors d’un échange de tirs avec la police. L’Apple iPhone 5C du mari, Syed Rizwan Farook, fut alors retrouvé intact.
C’est alors que débute la plus belle opération de publicité jamais menée dans la presse non spécialisée. Un bras-de-fer tragicomique qui voit le FBI trainer Apple en justice dans le but d’avoir accès aux données stockées dans le téléphone et le cloud du terroriste. Or, sans compter les services de renseignement, il existe au moins 3 entreprises au monde – toutes des «commissioners» ou sous-traitants d’Etats –, capables de décrypter des iPhones. Quel a donc été le but poursuivi par cette opération d’intox de grande envergure ? Tout d’abord, il y a depuis longtemps une partie d’échecs en coulisses entre Apple et les agences américaines sur les données à livrer aux autorités et sous
quelles conditions, Apple étant, selon la majorité des centres de recherche spécialisés, l’un des derniers géants du net à avoir baissé pavillon après le Patriot Act, posant sur ce sujet un certain nombre de conditions inconnues à ce jour. Or, la réputation même d’Apple est en jeu. Si le FBI déclare immédiatement qu’il possède toutes les données de l’iPhone, toute la publicité autour de la sécurité et de la confidentialité du cryptage des iPhones Apple, un atout concurrentiel majeur, volerait en éclat. La position d’Apple, celle de la «défense du consommateur-propriétaire» restant inflexible, le FBI communiquera quelques mois plus tard avoir réussi à décrypter l’iPhone grâce à de mystérieux hackers10. Les deux protagonistes sortent de cette «comédie» la tête haute. Il aurait ainsi fallu plusieurs mois pour percer un seul iPhone d’ancienne génération, donc les propriétaires d’iPhone 6 et désormais 7 peuvent être certains que nul ne peut pénétrer dans leur intimité, un exemple de plus d’illusionnisme faisant croire au consommateur qu’il n’a pas besoin d’apprendre à se protéger lui-même et de façon active.
2013-aujourd’hui : recherche ennemi désespérément (crédible si possible) Ce chapitre est ambitieux et ne constitue aucunement un «acte d’accusation» à l’encontre de l’un ou l’autre des Etats mentionnés. Sans franchir la ligne rouge des innombrables «théories de la conspiration», il est
21
Focus - Cybersecurity Trends néanmoins de notre devoir de porter au lecteur un certain nombre d’informations crédibles et de dresser un cadre géopolitique le plus objectif possible. Quelques axiomes incontestables aideront à une meilleure compréhension du phénomène «Cyber-States» : Grandes puissances, puissances en développement, puissances régionales. Contrairement à ce qui est véhiculé par les médias, les «quatre puissances» sont très inégales entre elles. Deux d’entre elles sont, de loin, au-dessus des autres en matière de technologies et de ressources aussi bien défensives qu’offensives tous domaines confondus, de l’attaque frontale aux infiltrations hybrides aux opérations informationnelles : les USA et Israël. Vient ensuite la Russie, puissance en développement qui a fait des sauts qualitatifs majeurs durant les dernières années aussi bien croissant de façon stable son niveau technologique défensif et offensif, mais surtout parvenant à maîtriser à la perfection la guerre informationnelle. Enfin on trouve la Chine, dont on sait le nombre colossal de ressources humaines dont elle dispose, lui permettant d’exceller avant tout dans la protection de son propre territoire et vraisemblablement dans les technologies destinées à la collection des données sensibles, surtout celles à plus-value économique. Mais toutes les analyses récentes sur ce pays étant le fruit de recherches occidentales, toute évaluation des capacités réelles de la Chine est avant tout spéculative. Viennent ensuite des pays dont l’Etat dispose d’excellentes capacités «cyber» que l’on pourrait nommer «puissances régionales», selon le schéma politico-militaire «classique» car tous sans exception se situent bien au-dessous des «2+2» géants. On citera bien sûr le Royaume-Uni, la France, le Canada mais aussi et surtout, depuis peu, l’Inde ou encore la Turquie et l’Iran, chacun de ses pays suivant, en matière de défense et d’attaque «cyber», une politique, des règles et une évolution propre. Dans ce cadre, il n’est pas inutile rappeler aussi que le Canada, le Royaume-Uni, l’Australie et la Nouvelle Zélande font partie, avec les USA, des «Five Eyes», qui ne consiste – et de loin – pas uniquement en un échange d’informations stratégiques…
1
2
Toute attribution “à chaud” d’une cyber-attaque à un Etat est une décision politique. Le besoin de communiquer dans le cadre de la gestion d’une crise majeure s’est adapté au besoin de «pointer du doigt le coupable» si cher aux médias. C’est ainsi que, dans le monde des plus délicats des actions malfaisantes (des plus simples aux véritables attaques), il est du devoir
22
de la victime (entreprise comme état) de nommer «son assaillant», faute de quoi elle tourne en dérisoire tout son écosystème humain et technologique de sécurité. Dans le cas des Etats, cette logique a été «légitimée» par les attaques menées par la Fédération de Russie en Estonie (2007) puis avant et pendant la guerre entre la Fédération de Russie (2008) et la Géorgie. Mais ces deux attaques, massives et sophistiquées, ne reposaient essentiellement que dans la version moderne des techniques de sabotage des communications de l’adversaire, la variante «cyber» d’une composante vitale d’une guerre traditionnelle (DDoS = saturation des serveurs; DDoT = saturation des lignes téléphoniques et autres moyens de transmission). Dans le cas de la Géorgie, la première véritable guerre sur le terrain accompagnée d’actions «cyber», celles-ci ont comporté également le hack direct de l’interface web de plusieurs médias, de la Présidence, etc. Mais en aucun cas elles ne peuvent être nommées des «cyber-attacks» selon la nouvelle définition de l’Associated Press Stylebook: à la suite de ces actions, le disaster recovery fut rapide. En revanche, si l’on parle de véritables attaques (Sony, Tv5 monde, Ivano-Frankivsk etc.) avec atteinte au système, vol de données etc., elles comportent une méthode d’action sophistiquée surtout, pour que l’action soit rondement menée des mois ou même des années d’ingénierie sociale et d’infiltrations en tout genre. Aussi, les agences de renseignement et les grandes multinationales de la sécurité peuvent-elles retrouver des traces permettant de remonter à un «dernier attaquant vérifié», mais après des mois de travail acharné sur chaque composante de l’attaque, technique et humaine11. Les «certitudes» sur ce qui est au-dessus de ce «dernier relais», c’est-à-dire l’accusation d’un organisme officiel d’un Etat tiers existent, mais elles sont rares par rapport à la masse des attaques importantes et ne peuvent être publiées qu’après de longues investigations, en aucun cas le jour même de l’attaque, ou durant les semaines qui suivent.
3
Toute attribution d’une cyber-attaque à un Etat est un acte qui poursuit un but avant tout économique et géostratégique. Le «Crisis Management» militaire est une doctrine économique sur laquelle les grands pays occidentaux pensaient, surtout avec le déclanchement des deux guerres quasi simultanées en Afghanistan et en Iraq, nourrir année après année à force de financements d’urgence (fonds «noirs» ou «réserves») leurs agences, leur armée, mais surtout les secteurs militaro-industriels, technologiques, etc. de leur pays et de leurs alliés. L’imprévu a résidé dans la naissance du pire, c’est à dire non pas des Etats à reconstruire et des crises à déplacer, voire des luttes inter-Etats, mais à une menace dont la gravité, les spécificités et l’envergure a dépassé tous les penseurs du «Crisis Management» tel qu’il était conçu à la fin du 20e siècle : les groupes fondamentalistes islamistes. Contre Al Qaeda, l’Aqmi, l’ISIS et d’autres encore, impossible de justifier des dépenses colossales d’armement lourd ou encore de «reconstruire» à grande échelle des pays fragmentés par des guerres dont la fin n’est pas pour demain (Libye, Iraq, Soudan, Syrie, Yémen etc.). Comme l’ont déclaré sous le couvert de l’anonymat des fournisseurs du Pentagone «il est impossible de vendre des sous-marins nucléaires, des avions furtifs, des missiles offensifs ou défensifs en utilisant les groupements islamiques comme argument de vente».
Dans ce contexte, pour stimuler le financement de la recherche, des capacités technologiques, des achats et des ventes, le dilemme était de se lancer soit dans un «cyberwar management» dont la crédibilité aurait été plus que fragile et qui aurait fait nombre de mécontents dans le domaine purement militaro-industriel, soit de revenir à un schéma de guerre froide avec le «cyber» en valeur (exponentielle) ajoutée. Les USA et ses alliés ne pouvaient se contenter du mythe de la technologie cyber du régime nord-coréen (soi-disant responsable de l’attaque à Sony). Pour la simple raison que le choix de la Corée du Nord comme bouc émissaire aurait été d’une part un jeu extrêmement dangereux et, d’autre part, n’aurait pas convaincu les alliés européens car les fondements mêmes d’une telle «puissance» sont irréalistes. Dans un même article de 201512, alors que l’ancien directeur du FBI, James Comey, déclarait qu’il avait une «high confidence» que cet Etat a mené l’attaque sur Sony, les responsables du Pentagone déclaraient que «The majority of its combat systems are antiquated, with many of the weapons systems dating from the 1960s, 70s and 80s». Une super-puissance cyber aux systèmes militaires archaïques… du jamais vu, même si la Corée du Nord a pu être un «ordonnateur» de l’attaque, puisqu’elle a effectivement une cyber-armée et surtout les moyens de sous-traiter des actions à des mercenaires situés dans des pays asiatiques13. L’autre bouc émissaire idéal était l’Iran, mais là aussi, il s’agit d’une puissance régionale dont le retour récent sur la scène internationale a empêché définitivement le lancement d’un mouvement homogène de coalisés contre l’ancienne Perse. Le déclic s’est ainsi produit juste après l’affaire Snowden et encore plus avec la fin de l’EuroMaidan de Kiev. Jusqu’à ce moment et surtout après l’annexion de la Crimée par la Russie, pour les USA et leurs alliés, la rhétorique était plutôt centrée sur le danger représenté par la Chine. Economie oblige, ériger la Chine en cyber-ennemi de l’Occident aurait certes eu l’avantage d’avoir un argumentaire crédible, mais aurait porté un coup fatal à nos économies encore enlisées dans les effets de la crise de 2007. Tous les spécialistes ont d’ailleurs remarqué que depuis la réunion de 2015 entre Barack Obama et Xi Jinping, la Chine a presque complètement disparu des conférences de presse américaines occidentales dans sa figure de «suspect n.1» d’attaques cyber. La Russie a l’avantage d’offrir un panorama de contraste total : d’une part, on y observe la renaissance d’une élite et la maîtrise de la recherche, du développement et de la mise en œuvre de technologies cyber et militaires d’avant-garde, sans compter des talents de niveau mondial, diplomatiques et désormais financiers – une banque nationale ayant géré à la perfection la crise de 2007 puis l’embargo –. Mais, d’autre part, cela reste un géant aux pieds d’argile, mêlant vieille garde et nouvelle garde, secteurs à la pointe et pans entiers d’économie à redéfinir, dépendance totale du prix des matières premières et des fluctuations du dollar, etc. Enfin, l’ennemi idéal est là, parfaitement justifié et justifiable auprès du politique et du public après les réactions de Moscou - prévues et tant souhaitées par les grandes puissances occidentales - de l’après-EuroMaidan. C’est ainsi que l’attaque de TV5 Monde du 8-9 avril 2015, œuvre d’un soit-disant « Cybercalifat », se réclamant de l’ISIS sans que ce dernier ne l’ait confirmé, a poussé l’enquête à s’orienter vers un groupe de hackers nommé APT28 (ou Pawn Storm), suspecté par la majorité des spécialistes d’être intimement lié aux organes sécuritaires de la Fédération de Russie.
Hormis la crédibilité plus que douteuse de la motivation pour la Russie de s’en prendre à TV5 Monde, le problème de base réside dans la technologie employée. Il s’agit d’un produit d’APT28 utilisé et découvert deux ans auparavant par cette même multinationale de cybersécurité responsable de la protection de TV5 Monde. Or, ce produit d’APT28, en 2015, presque tout un chacun pouvait se le procurer gratuitement et le modifier sans trop d’efforts ou presque14 sur les forums du dark web. Restait au malfaiteur de se procurer par «pay per service» un moyen d’infiltrer la chaîne de télévision, dont les mots de passe des réseaux étaient affichés sur des post-it sur la grande verrière de la rédaction15… Quant à la «piste» des heures de travail des malfaiteurs, correspondant au fuseau horaire de Moscou, elle est simplement ridicule. Cette zone couvre d’une part une bonne partie des pays orientaux en crise et, d’autre part, un tel raisonnement sous-entend qu’un hacker a des journées de travail identiques à celles d’un employé de banque… Quoi qu’il en soit, la version officielle désormais consacrée est que la Russie a orchestré l’attaque de TV5 Monde. A ce jour, c’est la plus belle preuve de choix politique d’attribution, dans la droite ligne de la politique française et occidentale envers la Russie au moment de l’attaque. La Russie n’en sort pas forcément blanchie, mais n’est qu’un pays de plus à ajouter à une très longue liste de suspects potentiels. Le grand problème posé par ces déclarations et des «jeux de guerre» qui les accompagnent, dont la portée nous dépasse tous en tant que citoyens européens, c’est qu’ils constituent pour les pays du Vieux continent autant de portes ouvertes vers plusieurs solutions aussi dangereuses qu’onéreuses. In primis, trop de citoyens sont insouciants du fait que l’Europe n’est pas une puissance puisqu’elle n’a ni diplomatie commune, ni armée commune, ni renseignements communs. Tout au plus est-elle un «géant économique» dans son ensemble, en faisant abstraction des différences énormes entre les différents pays. Aussi, les rallonges financières publiques (budget annuel et fonds de réserve) destinées à augmenter les capacités technologiques en matière de cyberdéfense – ou de défense tout court – seront donc, pour la majorité des pays de l’UE, autant de cadeaux aux grandes puissances politiques et militaires, in primis les USA puisque 9/10 des Etats de l’UE sont membres de l’OTAN. Un risque majeur, au gré des majorités élues dans chaque pays, sera celui de forcer les citoyens à un abandon progressif de certains droits fondamentaux au nom de la sécurité, afin de renforcer la surveillance, un acte politique qui se justifiera parfaitement en temps de «guerre à la nation», même si celle-ci est digitale.
23
Focus - Cybersecurity Trends Médias et cinéma véhiculant une propagande nuisible à la prise de conscience du citoyen : Un facteur aggravant de ce qui précède, c’est qu’à force de perdre de vue le bien-être social du citoyen et de noyer celuici dans des «breaking news» de cyber-guerres entre états, les médias lui enlèvent tout stimulus le portant à se préoccuper de sa propre protection personnelle, puisqu’il ne se sent pas du tout concerné par ce qui se passe. Il est en ce sens intéressant de remarquer qu’à l’inverse, ces mêmes «gros titres» sont utilisés, surtout par Israël et la Russie, pour sensibiliser individus et entreprises dans un «élan patriotique» de solidarité envers sa patrie où tous les citoyens doivent contribuer à faire croître le niveau national de défense… Dans cet élan de propagande, le cinéma américain n’est pas en reste. Comme dans le cas de Chris Kyle, CPO des Navy Seals «héroïsé» de façon brillante par Clint Eastwood en 2015 dans le film «American Sniper» (2015), c’est à Oliver Stone que l’on doit l’homme parfait poussé par un sens personnel de la morale à se battre contre un système qui ne lui convient pas, et à continuer sa bataille en exil «Snowden» (2016). Contre ces blockbusters, l’excellent «The fifth Estate» (2013) de Bill Condon basé sur la naissance de Wikileaks et sur la personnalité de Julian Assange est certainement plus proche de la réalité de l’homme en question que les mythologies cinématographiques créées autour de Kyle et Snowden. De même, «Jason Bourne» (2016), navrant par rapport aux trois premiers épisodes de la saga, présente une version plausible de l’intrusion réelle et de la force de coercition des agences américaines au sein des grandes entreprises du net, en particulier des browsers, des messageries instantanées et des réseaux sociaux. Enfin, le documentaire-fiction «Zero day» (2016) d’Alex Gibney, centré sur le cas Stuxnet – malware créé ad hoc pour détruire cinq laboratoires iraniens d’enrichissement d’uranium via une composante de leurs centrifuges
24
– est édifiant. Il est certes une «vérité» à confronter à autant d’autres «vérités» tout aussi plausibles en ce qui concerne les détails de l’implication des Etats concernés (USA et Israël) mais constitue un excellent vademecum sur la création d’une véritable arme de sabotage cyber et l’échec total de sa maîtrise après l’opération pour laquelle elle a été conçue – Stuxnet continuant à infecter plusieurs dizaines d’infrastructures par année.
L’apothéose de 2017 : «Vault 7 CIA Leaks» ou la revanche du «deep State» sur un président incommode. La frénésie de dénonciations tous azimuts affirmant que la Russie16 a mis tous les moyens nécessaires afin que le candidat Trump remporte les élections américaines a vraisemblablement une part de vérité. Mais cette vague inédite d’accusations gravissimes d’ingérence, de la part d’un pays tiers, dans un processus démocratique national– le rapport des agences au Président Trump n’a rien révélé sous prétexte de secret défense –, elle tend à nous faire oublier que les gouvernements des 3 cyber-puissances tierces étaient tous ouvertement pro-Trump. Outre la Russie, Israël et la Chine sont autant de pays qui ne sont certainement pas restés les bras croisés durant les deux dernières années. Et cela sans compter les innombrables ennemis intérieurs cumulés le long des années par le couple Clinton au sein des différents organes de l’Etat auxquels il faut ajouter les groupes de hackers américains, qui sont et de loin aussi performants que leurs homologues russes. Sans revenir sur le sujet des attributions des fuites/vols d’informations confidentielles qui ont constellé la campagne américaine, on vient d’assister à ce qui semble être, de tout point de vue, une première dans la mise en danger volontaire d’une partie de la sécurité nationale d’un Etat : la publication par Wikileaks des dossiers du programme Vault7 de la CIA. Si les dires des avocats de Wikileaks sont corrects, ce seraient bien de puissants personnages de la CIA, ayant accès à l’intégralité des dossiers secrets, qui ont «offert» à Wikileaks la plus grande fuite de documents «cyber» à ce jour, un acte en sorte de revanche sans morale – sans parler qu’elle dénonce l’absence totale de patriotisme et de déontologie professionnelle de la part de ses auteurs –. Si ce scénario se confirme, il a sa logique. Puisque le candidat Trump, le 10 octobre 2016, avait ouvertement déclaré «I love wikileaks», une phrase passée à l’histoire et à remettre dans le contexte des attaques systématiques du même candidat Trump à l’encontre de l’ensemble des services secrets des USA, la CIA aurait répondu «du berger à la bergère» en organisant cette fuite.
Quel que soit l’auteur ou les auteurs de cette fuite, le résultat est redoutable et la CIA en sort triplement gagnante17: Un président est humilié dans le site même qu’il vantait. Contrairement au candidat Trump, un «POTUS» ne peut se permettre de vanter une organisation détenant des documents secrets d’intérêt national et dont le fondateur est sous mandat d’arrêt Interpol et sous le coup d’une bonne dizaine d’accusations du Ministère public américain. La CIA va pouvoir, comme la NSA avec l’affaire Snowden, demander et obtenir des rallonges substantielles pour “combler les brèches” – même si personne n’est dupe, Vault 7 n’est certainement plus en service depuis longtemps, du moins sous sa forme exfiltrée et publiée aujourd’hui. Avec un coup de semonce – et quel coup ! – livré aussi vite, le rapport de force entre la Maison Blanche et les Services secrets est plus que jamais en faveur des Services. Le président est mis en garde, à chaque déclaration incontrôlée il pourrait subir les frais d’autres actions du même genre…
1
2 3
Conclusion : le vrai “hack de l’année”, aucun média n’en a parlé Dans cet imbroglio de mensonges, informations, intoxications, demivérités, le monde «cyber», celui le plus secret, celui où tout se joue, c’est-àdire le «dark web» où «communiquent» et «travaillent» criminels, services secrets, mercenaires, vient de connaître un séisme le 3 février dernier. Un cinquième du «dark web» a été neutralisé par des hackers se revendiquant d’Anonymous18. Ici, c’est bien d’un l’Etat qu’il s’agit. Duquel ? On ne le saura jamais, mais les services affectés, les communications rendues impossibles, les pertes de données encore inconnues à ce jour sont le fruit d’une opération ayant utilisé des technologies de pointe inconnues,
1 https://www.nist.gov/cyberframework 2 Cf. parmi d’autres articles de choix : J. Wolff, Why We Need to Be Much More Careful About How We Use the Word Cyberattack (Slate News, 30.03.2017): http://www.slate.com/blogs/ future_tense/2017/03/30/we_should_be_careful_when_we_use_the_word_cyberattack. html; R. Slater, What makes a cyberattack? Experts lobby to restrict the term (ABC News, 28.03.2017): http://abcnews.go.com/Technology/wireStory/makes-cyberattack-expertslobby-restrict-term-46420726 3 https://www.theguardian.com/us-news/2015/jun/03/barack-obama-surveillance-reformvacillation-caution-fear 4 https://imrussia.org/en/russia-and-the-world/642-us-russia-relations-in-2013-a-year-of-livingambiguously 5 http://money.cnn.com/2013/06/10/news/obama-china-cybersecurity/ 6 http://www.wassenaar.org 7 https://theintercept.com/2015/07/07/leaked-documents-confirm-hacking-team-sellsspyware-repressive-countries/ 8 Cf. D. Kushner, Fear This Man. To spies, David Vincenzetti is a salesman. To tyrants, he is a savior. How the Italian mogul built a hacking empire, in Foreign Policy 3/2016 http://foreignpolicy.com/2016/04/26/fear-this-man-cyber-warfare-hacking-team-davidvincenzetti/ 9 A ce sujet, voir l’excellent parallèle dressé par F. Egloff entre les corsaires d’autrefois et les mercenaires du net d’aujourd’hui “Cybersecurity and the Age of Privateering: A Historical Analogy”, Working Paper, Oxford 2015 : https://www.politics.ox.ac.uk/publications/ cybersecurity-and-the-age-of-privateering-a-historical-analogy.html 10 https://www.theguardian.com/technology/2016/apr/27/fbi-apple-iphone-secret-hack-sanbernardino
un «zero day» complexe avec des conséquences allant bien au-delà de ce que l’on peut imaginer, un know-how que seuls les «mercenaires de l’Etat» possèdent. Plus récemment, le «tsunami» WannaCry est venu susciter à son tour d’innombrables questions sur l’usage d’une «arme de guerre» «perdue» dans le monde du hack… 2017 semble bel et bien être «l’année de tous les cyber-dangers» et de toutes les «cyber-intox» possibles …
11 Cf. l’excellent E. Nunes ; P. Shakarian ; G.I. Simari ; A. Ruef, Argumentation models for cyber attribution, in 2016 IEEE/ ACM International Conference on Advances in Social Networks Analysis and Mining (ASONAM), pp. 837-844: https://arxiv.org/ pdf/1607.02171.pdf 12 https://www.bloomberg.com/news/articles/2016-04-19/northkorean-cyber-capability-among-world-s-best-brooks-says 13 Voir les conséquences internationales possibles, si les preuves existent concernant l’Etat en question, dans la recherche récente de C. Sullivan, “The Sony 2014 Hack and the Role of International Law”, in Journal of National Security, Law and Policy 8:3 (2016) : http:// jnslp.com/wp-content/uploads/2016/07/The_2014_Sony_Hack_ and_International_Law.pdf 14 http://www.cnetfrance.fr/news/cyberattaque-contre-tv5-mondeou-le-ba-ba-du-hacker-debutant-39817950.htm 15 Voir le rapport complet de l’attaque effectué par les spécialistes de la multinationale coréenne AhnLab : http://global.ahnlab.com/ global/upload/download/documents/1506306551185339.pdf 16 L’article le plus récent et le plus neutre sur ce sujet est probablement celui de Hal Berghel, On the Problem of (Cyber) Attribution, in Computer 50:3 (2017), pp. 84-9: http://ieeexplore.ieee. org/stamp/stamp.jsp?tp=&arnumber=7888425 17 http://www.paulcraigroberts.org/2017/01/17/trump-vs-cia-paulcraig-roberts/ 18 http://securityaffairs.co/wordpress/55990/deep-web/freedomhosting-ii-hack.html
25
Focus - Cybersecurity Trends
La nouvelle doctrine informationnelle russe de décembre 2016 Chers lecteurs, comme certains d’entre vous ont pu en prendre connaissance, de manière très parcellaire et malheureusement trop souvent erronée, une nouvelle doctrine de sécurité informationnelle russe (Доктрина информационной безопасности Российской Федерации) est parue officiellement le 5 décembre 2016.
Auteur : Yannick Harrel
Première précision utile : il ne s’agit en aucune manière de la première doctrine du genre publiée par les autorités de la Fédération de Russie. Je renvoie avec à propos les commentateurs hâtifs à l’étude de mon ouvrage La cyberstratégie russe où l’oukaze du 9 septembre 2000 est disséqué du premier au dernier caractère.
BIO Yannick Harrel est expert et chargé de cours en Cyberstratégie à l’ISEG-Strasbourg (Business and Finance School), associé aux travaux de la chaire de cyberdéfense de Saint-Cyr, membre fondateur du groupe de travail francophone stratégique Echo RadaЯ et auteur du blog «Cyberstratégie Est-Ouest». Expert agréé du monde russe et de son proche étranger, a étudié à Moscou et à Veliky Novgorod, puis travaillé à Saint-Pétersbourg. Il est l’auteur de nombreuses contributions pour le compte de revues et instituts, dont l’une fut récompensée en 2011 par le Prix Amiral Marcel Duval, décerné par la Revue de Défense Nationale française. Il est l’auteur de «La cyberstratégie russe» et de «Cyberstratégies économiques et financières». Passionné d’automobiles, il vient de publier « Automobiles 3.0 », devenu dès sa sortie l’ouvrage francophone de référence sur les tenants, les aboutissants, les avantages et les risques des technologies embarquées.
26
Seconde précision non moins nécessaire : lorsque l’on cite un texte, il est de bon ton d’indiquer lla source exacte, a fortiori lorsque celui-ci est en la langue étrangère. Malheureusement la maladie de la du duplication à grande échelle de l’information principale (ap (appelée aussi plus vulgairement copier/coller) a pour prin principal et néfaste effet de passer au second plan cette néce nécessité. Ce qui frappe l’expert en premier lieu c’est la concision du texte. Rien à voir avec la très lourde compilation d’articles du premier opus répartie entre quatre parties dont la lecture était compliquée par des redondances et des changements de perspective. Ensuite, dès le début, une définition est offerte de ce que les autorités nomment espace informationnel, avec la mention expresse du réseau Internet (sans s’y cantonner toutefois). C’est une différence radicale avec le texte initial qui ne mentionnait en aucune manière Internet, ne se départissant pas d’une stricte neutralité sur le plan technologique, puisque sans donner de définition complète, les rédacteurs avaient opté pour une énumération des secteurs et points techniques visés. Présentement le propos diffère sensiblement et, sans perdre de vue l’orientation générale, évoque à quelques reprises le réseau des réseaux. La définition est par conséquent la suivante : «La sphère informationnelle doit être comprise comme un ensemble d’objets, de systèmes, de sites sur le réseau Internet, de réseaux de télécommunications, de technologies, d’entités dont la fonction repose sur la formation et le traitement de l’information, le traitement et le développement des technologies afférentes, la sécurité de l’information ainsi que les mécanismes de régulation des relations publiques». La suite est au final une reconduction des principes établis par la doctrine de l’an 2000. Avec un rappel affirmé de la défense des intérêts nationaux, notamment dans le cadre de la sphère informationnelle. Précision loin d’être anodine : dès l’article 2 il est évoqué au commencement les trois niveaux de cette sécurité informationnelle, là où la vision américaine se fonde sur les trois couches (logicielle, matérielle, informationnelle), son alter-ego russe prend pour base un autre triptyque fondé sur l’individu, la société et l’État. C’était
déjà couché sur le texte il y a seize ans mais pas aussi distinctement. Cette particularité est par ailleurs rappelée au point 20. En matière de sécurité informationnelle, est proposée une définition relativement touffue mais qui a bénéficié des réflexions produites par les textes de ces dernières années : «La sécurité informationnelle est l’implémentation des moyens juridiques, organisationnels, opérationnels, d’investigation, d’analyse, de renseignement, de contre-renseignement, technologiques et scientifiques destinés à prédire, détecter, dissuader, prévenir et repousser les menaces ou à en effacer les conséquences». Pour attester de cette cohérence, il est aussi mentionné que cette doctrine, outre le fait de réactualiser celle de 2000, fait suite à la Stratégie de Sécurité Nationale de la Fédération de Russie du 31 décembre 2015 (Стратегия национальной безопасности Российской Федерации). Le texte explicite par la suite ce que constitue les intérêts de la Fédération de Russie dans la sphère informationnelle. Aucun hiatus par rapport aux éléments dressés en 2000, juste quelques précisions avec une insistance sur la nécessité d’employer les technologies de l’information pour non seulement améliorer la démocratie et les relations entre la société civile et l’État mais aussi préserver l’essence même de la Russie, à savoir son héritage culturel, cultuel, spirituel et moral de son espace multi-ethnique. Ce point réitéré est symptomatique de la vision civilisationnelle propre aux textes russes, cet aspect étant souvent escamoté dans leurs contreparties occidentales. La référence au développement de l’industrie des technologies de l’information et de l’électronique russe comme objectif est un rappel quant à lui d’un document passé inaperçu lors de sa publication mais essentiel sur le fond comme sur la forme : la Stratégie de développement de l’industrie des technologies de l’information dans la Fédération de Russie pour 20142020. Et où l’accent sur la protection et le développement de cette industrie avait été très appuyé, en citant les moyens pour y parvenir, notamment en observant le succès des entreprises américaines ainsi qu’en mobilisant le secteur militaro-industriel. Le présent texte de 2016 n’est rien de moins qu’une affirmation de cet objectif considéré comme stratégique. Cet aspect est complété ultérieurement à l’article 17 par une mention sur la souveraineté technologique, que celle-ci doit être viable par un tissu d’entreprises nationales de taille critique dans les secteurs de l’IT et de l’électronique. Ce même texte paru en 2014 est aussi repris au point 18 lorsqu’il est déploré que la recherche dans les domaines visés reste bien trop limitée, pénalisant l’émergence d’un cadre de sécurité informationnelle global. Plus loin est évoqué, là aussi un rappel du texte de 2000, le besoin de produire une information plus précise sur les sujets traitant de la Russie et de ses actions. Tant à destination du public russophone que de l’international. L’on songe d’office à la structure Rossia Segodnia montée en 2013 pour ce faire, fusionnant La Voix de la Russie et RIA Novosti. L’objectif d’assurer la souveraineté de la Russie est derechef évoqué dans le texte, en des termes très laconiques mais impératifs. Cet objectif estil rappelé, doit s’effectuer par une coordination au niveau international. Ce qui n’est pas étonnant puisque la Russie avait déjà déposé un texte auprès du bureau du secrétariat de l’ONU en ce sens, et supporte l’Union Internationale des Télécommunications dans de telles démarches. Précisons en relation avec cette problématique que depuis la loi fédérale N 242 FZ du 21 juillet 2014, les données concernant des citoyens russes doivent être hébergées sur des serveurs présents physiquement sur le territoire national. Si Google et Apple se sont pliés à cette exigence en avril et septembre 2015
respectivement, le réseau professionnel LinkedIn a en revanche été déconnecté du réseau russe sur demande expresse des autorités russes. À charge pour les sociétés contrevenantes de procéder à une location de serveurs russes ou de délocaliser les leurs en Fédération de Russie. Il est énoncé la dualité de l’espace informationnel et des technologies connexes : d’un côté un essor de l’économie et de l’amélioration des rapports entre l’administration et ses administrés, de l’autre l’introduction de menaces spécifiques pouvant déstabiliser le pays. Le point 13 cible spécifiquement, et c’est une novation car le document de 2000 ne l’explicitait pas de façon aussi nette, la menace terroriste, individuelle ou en organisation, pouvant affecter l’espace informationnel. Celle-ci pouvant paralyser de façon critique les infrastructures ou diffuser de la propagande attentatoire aux intérêts de la Fédération. La cybercriminalité est ciblée ultérieurement, et notamment sa variante financière. Ce qui en 2000 était déjà le cas et présentait une prescience remarquable alors que les outils et réseaux n’étaient pas aussi évolués. Cet aspect pouvait difficilement être absent de la nouvelle doctrine au regard de certaines occurrences en matière de cybercriminalité ayant frappé les institutions bancaires en Russie en novembre puis décembre 2016 (telle la Banque Centrale avec deux mlliards de roubles dérobés). Le cyber militaire est mentionné à quelques reprises mais très succintement, et sans apport réel par rapport à d’autres textes officiels dédiés et bien plus diserts. L’article 21 détaille légèrement plus le rôle de la sécurité
27
Focus - Cybersecurity Trends informationnelle pour les forces armées en ses quatre composantes : dissuasion et prévention de tout conflit pouvant survenir suite à l’usage des technologies de l’information ; amélioration de la préparation et des moyens liés à la guerre informationnelle au sein du secteur militaire ; préparation à la protection des intérêts de la Russie dans l’espace informationnel ; neutralisation des opérations psychologiques informationnelles visant à pervertir l’héritage patriotique et historique relatif à la nation russe. Ce dernier élément dénote tout l’intérêt porté par les autorités russes quant à cet aspect de la guerre, héritage d’une longue tradition soviétique en la matière. L’article 23 se présente comme une litanie des actions de la sécurité d’État via l’espace informationnel se devant d’être mises en place. Fondamentalement la liste est un résumé de tous les points évoqués précédemment, par exemple sur la souveraineté du pays, la protection des infrastructures informationnelles, l’emploi de contremesures pour éviter l’atteinte aux valeurs propres à la Russie, la préférence pour des produits des technologies de l’information locaux répondant à l’obligation d’un niveau de sécurité informationnelle, etc. Un point très laconique mais qui mérite toute l’attention est celui qui se réfère à la vigilance envers les actes d’une force étrangère au travers d’individus, de services spéciaux (comprendre de renseignement) et d’organisations susceptibles d’employer les technologies de l’information pour menacer la sécurité de l’État. C’est prendre clairement acte que le cyberespace, ou espace informationnel, est stratégique au point de mettre en péril par ses acteurs, ses outils ou ses fruits la stabilité politique-économiquefinancière-militaire d’un État. Autrement plus développée est l’imbrication entre la sécurité informationnelle et le secteur économique. L’on y retrouve les préoccupations de la doctrine de 2000 avec le besoin de disposer d’une industrie IT et électronique locale à même de limiter l’importation de produits d’origine tierce. Tant pour les biens que pour les services. L’article pourrait être résumé de la sorte : protection, innovation, compétitivité et sécurité d’un maillage national industriel en matière de technologies de l’information. Le terme de préoccupation n’est pas usurpé au regard de l’insistance de cette problématique présente dans plusieurs textes officiels depuis 2000. L’on se retrouve dans une configuration élaborée par le théoricien et praticien du protectionnisme Friedrich List puisque les préconisations sont identiques : protéger les entreprises dans un secteur industriel naissant, les accompagner et les favoriser jusqu’à ce qu’elles soient compétitives puis les laisser affronter le marché mondial une fois matures. Cette stratégie sur le plan économique est identique dans le domaine de l’éducation, la formation et la recherche scientifique. C’est le même raisonnement qui
28
y est employé : créer les conditions d’un soubassement solide pour lui faire atteindre un niveau de compétitivité. Cette similitude n’est pas fortuite : elle dénote une stratégie plus globale qui n’entend pas scinder l’effort par secteurs mais par étapes de progression. Enfin, il y a une volonté affichée, identique à celle précisée en 2000, de promouvoir une vision commune internationale sur le concept de sécurité informationnelle. Il est à ce propos précisé que l’espace informationnel est un champ conflictuel pouvant être utilisé pour déstabiliser des États en raison de visées politico-militaires. In fine, c’est la protection de la souveraineté de la Fédération de la Russie qui est recherchée par la conclusion de partenariats et un cadre international en matière de sécurité informationnelle. Un détail demeure cependant relativement imprécis, c’est lorsqu’est suggéré un segment de gestion national du réseau Internet (qui est formellement nommé une fois encore) [1]. S’agirait-il d’un nouveau projet de réseau national sécurisé assuré par un système d’exploitation souverain? Ou s’agirait-il de cloisonner, ou plutôt filtrer, la partie russe du réseau Internet? Ce point mériterait d’être explicité ultérieurement par les autorités car le propos est bien trop restreint à ce stade pour en tirer une quelconque prospective tangible. Les articles 30 et suivants sont principalement des rappels juridiques, avec en point d’orgue la mention que le Président de la Fédération de Russie demeure le seul à définir l’orientation en matière de politique de sécurité informationnelle (secondé plus que vraisemblablement par le Conseil de Sécurité de la Fédération voire la Commission Militaro-Industrielle). La liste des acteurs de premier ordre concerné par la sécurité informationnelle est fournie, et sans surprise intègre toutes les composantes de l’exécutif et ses établissements sous tutelle (même indirectement comme la Banque de Russie). La volonté de préserver les droits des citoyens tout en respectant les objectifs en matière de sécurité informationnelle est évoquée. De même que le renforcement et l’interconnexion des moyens de sécurité informationnelle entre les différentes composantes des structures de force militaires et civiles, aux divers degrés territoriaux. Pour suivre la progression des effets de cette doctrine, le secrétaire du Conseil de Sécurité de la Fédération délivrera un rapport annuel. Le texte n’est par conséquent en rien révolutionnaire. Il est à la fois une réaffirmation de la doctrine de 2000 et un condensé de documents connexes parus à sa suite, agrémenté il est vrai de quelques points spécifiques ayant bénéficié des expériences de ces dernières années. Ainsi l’intérêt pour la sécurité informationnelle des champs économique et financier a été renforcé, et le réseau Internet est nommé à plusieurs reprises (c’est par ailleurs la seule concession d’un texte très neutre technologiquement). Sur la forme, un effort substantiel a été effectué pour le rendre plus lisible que son prédécesseur, et sur le fond l’on perçoit nettement les orientations futures empreintes de pragmatisme. Nul doute que des documents officiels sectoriels vont suivre peu après, à l’instar de la publication de la doctrine de septembre 2000. [1] д) развитие национальной системы управления российским сегментом сети «Интернет» Doctrine de sécurité informationnelle de décembre 2016 (russe) : https://rg.ru/2016/12/06/doktrina-infobezobasnost-site-dok.html Stratégie de sécurité nationale de décembre 2015 (russe) : http://www.consultant.ru/document/cons_doc_LAW_191669/61a97f7ab0f2 f3757fe034d11011c763bc2e593f/
Interview VIP Interview avec Gian Carlo Caselli
Des champs au «cyber-laundering» : les agro-mafias s’en prennent à la sécurité des réseaux Auteur :
Massimiliano Cannata
«Les estimations sur “le chiffre d’affaires” agro-mafieux sont passées d’environ 16 milliards, une donnée officielle publiée en 2016, à près de 21,8 milliards. Il s’agit d’un chiffre «approximatif par défaut» qui marque toutefois une claire augmentation de 30%, et qui rend bien l’idée de la gravité du phénomène. La criminalité organisée a abandonné «l’habit militaire» pour endosser «le complet-cravate», réussissant ainsi à profiter des avantages de la globalisation et de la finance 3.0. Ce qui rend ce secteur particulièrement intéressant, au-delà de l’inadaptation des lois, qui ne parviennent pas être pleinement appliquées ni même à rendre plus difficiles les pratiques agro-mafieuses, c’est la capillarité des diverses articulations de ce type de criminalité.»
Gian Carlo Caselli Le procureur Gian Carlo Caselli, Président du Comité Scientifique de l’Observatoire sur la Criminalité du secteur agro-alimentaire, travaille depuis des dizaines d’années dans le domaine de la lutte contre la criminalité organisée et le terrorisme. Pour cette interview, il développe les aspects les plus actuels pointés par le «Rapporto Agromafie», à l’occasion de la publication de la cinquième édition du rapport, une initiative créée par le Président de l’Eurispes Gian Maria Fara et réalisée en collaboration avec Coldiretti (Association des Entrepreneurs Agricoles, forte de plus d’un million et demi de membres, n.d.r.).
Monsieur le Procureur, le business criminel lié à l’agro-alimentare est en pleine croissance. Quels en sont les aspects les plus effrayants ? En tout premier lieu, le «caméléontisme», c’est-à-dire la capacité de transformation d’une mafia qui a changé de peau et qu’il serait contreproductif de combattre d’après les schémas que nous avons suivis durant les dernières décennies. Nul ne veut nier les origines historiques d’un phénomène propre à nos régions méridionales, qui a démontré sa capacité, au fil des années, à s’insérer dans les cellules vitales des grandes villes du centre et du nord de notre pays. Néanmoins, ce qui fait le plus peur aujourd’hui, c’est la «mafia silencieuse», qui prolifère en adoptant des modes opératifs qui diffèrent, en tout et pour tout, des méthodes utilisées dans le passé. Il suffit de penser au phénomène du cyberlaundering, à savoir le recyclage online de l’argent sale, pour comprendre le processus de transformation auquel nous assistons aujourd’hui. Qu’est-ce que cela signifie concrètement ? Cela veut dire que, non seulement la «nouvelle» mafia n’extorque plus le propriétaire du supermarché ou du magasin de voitures ; bien au contraire, elle en devient l’associé ou en reprend carrément l’ensemble de l’activité, se procurant ainsi toujours plus de canaux «propres» pour le recyclage. La nouvelle criminalité exploite savamment internet, qui constitue une sorte d’accélérateur. Si, à une époque, les mafias assuraient principalement leurs propres revenus grâce à une exploitation de type violent et «de gangster» sur le territoire, imposant le «pizzo» (taxe-rançon) en échange de leur
29
Trends Interview VIP - Cybersecurity
«protection», elles sont aujourd’hui devenues ellesmêmes des «entrepreneurs», qui sont en train de terminer une stratégie de «normalisation». Une délinquance qui s’opère sur les voies de l’internet. Depuis toujours, le but du recyclage est celui d’éloigner l’argent de sa véritable provenance à travers une série d’opérations destinées à empêcher la traçabilité des origines des revenus. Avec internet, la distance entre le recycleur et le capital s’agrandit de plus en plus, ce qui rend de plus en plus complexes les enquêtes sur des sujets suspects. Quelles sont les conséquences de cette mutation aussi radicale? Elles sont évidentes : elles touchent aux définitions mêmes des mots «mafia» et «mafieux», qui se sont élargies à tel point qu’elles englobent de nouveaux territoires, qui demandent un cadre normatif en conséquence et qui doit être mis au rythme de la «nouvelle» criminalité qui se cache désormais derrière les conseils d’administration, les holdings, les fonds internationaux, les sociétés de consultance, mais aussi, comme cela arrive souvent, derrière le paravent formel de la politique et des Institutions.
Du kalaschnikov aux réseaux virtuels En quoi se caractérise la stratégie adoptée par les organisations criminelles dans le secteur agroalimentaire, celles qui démontrent une extraordinaire maîtrise de l’usage des nouvelles technologies ? Sur le front de l’agro-alimentaire, on assiste entre autres à la naissance d’une économie parallèle. Dans le cas du cyberlaundering que j’ai évoqué précédemment, l’activité se réduit à une seule opération virtuelle et dématérialisée,
30
dans laquelle le phénomène du recyclage des capitaux illicites peut trouver les conditions idéales pour son développement. La criminalité organisée est ainsi rapidement entrée dans le monde de la technologie, passant ainsi des kalaschnikov à des armes plus sophistiquées, comme les botnets, ces réseaux qui peuvent contrôler jusqu’à des dizaines de milliers d’ordinateurs et qui peuvent être utilisés pour agresser online aussi bien des entreprises que des organisations. Il s’agit d’opérations délicates, qui impliquent la capacité de réunir des profils et des compétences différents. Sommes-nous face à un changement de générations en plus de celui des méthodes et des stratégies, à un «saut qualitatif» de la nouvelle criminalité organisée ? Il faut répéter qu’internet et le web permettent à la criminalité organisée de tous les pays d’élargir les frontières de leur action, leur offrant des opportunités et des perspectives inimaginables jusqu’il n’y a pas si longtemps. C’est cela qui a déterminé la transformation du profil et de l’identité de la «vieille mafia». Il faut ensuite souligner que le web représente une «zone franche» capable de donner les garanties de sécurité et d’anonymat, une «zone grise» qui offre la possibilité de commettre de diverses typologies de crimes. La mise en sécurité des réseaux, dans ce nouveau contexte, conserve son importance native mais devient aussi un moyen important pour contrer une stratégie criminelle qui n’a plus de frontières et qui devient de plus en plus menaçante. Une criminalité qui se met en évidence aussi par sa capacité de pénétration «commerciale» dans les nouveaux marchés. C’est là aussi une donnée inédite, selon vous? C’est en fait justement ce qui se passe. Les mafias, avec une insoupçonnable vocation au marketing, ont d’abord cédé à leur main d’œuvre, en soustraitance, la tâche de gérer la structure pyramidale et les autres nombreuses formes d’exploitation. Aujourd’hui, elles conditionnent le marché, établissent les prix des récoltes, contrôlent les transports et le système de triage des marchandises de chaînes entières de supermarchés, gèrent l’exportation de notre Made in Italy – aussi bien les produits originaux que les contrefaçons – créent à l’étranger des centrales de production de l’Italian sounding, et vont même jusqu’à fonder ex novo des réseaux de ventes capillaires du type du «magasin du coin».
La sécurité du réseau comme atout stratégique de réponse Vous parlez de ce que l’on nomme la “mafia liquide” ? C’est bien la définition la plus appropriée pour rendre un cliché de l’aptitude de la criminalité organisée à s’infiltrer partout, comme l’eau justement. Les mafieux adoptent des stratagèmes de plus en plus divers, parvenant à bénéficier des flux considérables des capitaux de financement européen. Il suffit de se rappeler que durant l’année 2016 seulement, la Garde de Finance a confisqué 137 terrains et cartographié 29.689 terrains dont dispose la criminalité organisée ; toujours en 2016, cette même force de l’ordre a, de plus, mis sous séquestre des biens patrimoniaux d’une valeur de 150 millions d’Euros auxquels il faut ajouter la confiscation de 35 millions d’Euros de financements publics reçus de façon illégale. Les innovations ne s’arrêtent pas là. Le High frequency trading est l’autre mot-clé avec lequel nous devons désormais compter. Pouvez-vous nous en faire une synthèse ? C’est un instrument de plus à disposition de la criminalité organisée, qui permet d’effectuer des transactions boursières à très haute vitesse, opérées de
façon automatique sur la base d’algorithmes. Il s’agit d’opérations spéculatives réalisées en mobilisant des quantités considérables d’argent dans le but d’influencer le cours des actions. Nous sommes face à des dispositifs hypertechnologiques, qui sont capables d’émettre sur le marché dans un temps record une fréquence élevées de commandes, pouvant même dépasser les 5000 opérations par seconde. Une sorte d’“insider trading automatique”, dont les opérateurs sont très difficiles à démasquer pour les enquêteurs. Comment opèrent les criminels? Grâce au High frequency trading, les banques et les opérateurs financiers agissent de façon contemporaine sur plusieurs plateformes réglementées, comme les bourses ou, ce qui arrive encore plus souvent, sur des zones dépourvues de tout contrôle, comme les Over the counter (Otc), permettant de réaliser des profits de nature purement spéculative. Grâce à la vitesse d’exécution des opérations, de fait, ces opérateurs commandent, modifient et annulent des millions d’ordres chaque jour, pour jouer sur des différences minimales de prix entre la vente et l’achat, achevant toutes leurs dispositions à la fin d’une seule journée. La rapidité et le contrôle des réseaux sont donc encore une fois à la base de ces actions illégales ? Le point central est justement la vitesse : des algorithmes, toujours plus complexes, “voient” les ordres effectués par les concurrents sur les différents marchés sur un titre précis. C’est durant le très bref moment entre l’instant même où l’ordre est émis et celui où il apparaît dans le «book» des transactions de tout marché – à savoir l’affichage télématique qui contient les propositions de vente et d’achat, les quantités, le prix et l’opérateur –, que les mafias inondent les marchés d’ordres, tout en ciblant le même titre sur d’autres plateformes, réussissant à conclure la négociation au prix le plus avantageux pour elles. Ces milliers d’ordres ont ainsi pour seul but de faire monter ou, au contraire, baisser, la cotation d’un titre. Ils sont ensuite effacés, à la fin de la négociation, en quelques fractions de seconde. Cette vitesse est telle que les organes de contrôle des différents pays estiment que seuls 10% des ordres effectués via le High frequency trading sont réellement menés à bon port ; les 90% restants sont effacés. Quelles initiatives peuvent être entreprises pour contrer des phénomènes aussi sophistiqués et articulés ? La complexité du réseau des phénomènes criminels a atteint des niveaux très élevés. Nos efforts, aujourd’hui, se concentrent à cartographier la pénétration des activités criminelles dans la filière agro-alimentaire, dans le but d’obtenir un “Indice de perméabilité” qui puisse aider à mieux comprendre les zones de fragilité de notre territoire et de démarrer une activité de prévention et de protection de plus en plus efficace et adaptée à l’époque dans laquelle nous vivons. Nous sommes désormais face à un problème transnational, tandis que les Autorités de surveillance sont de compétence nationale, ce qui fait qu’aucune d’entre elles ne peut avoir de vision complète sur les activités des opérateurs du High frequency trading. Il apparaît ainsi comme une évidence qu’il est temps d’orchestrer des stratégies d’investigation et de prévention du risque et des vulnérabilités fondées sur des services de renseignements aux compétences transnationales chargés de mettre en œuvre des stratégies de cyber-sécurité efficaces. Si nous parvenons à centraliser la lutte contre les mafias, alors seulement un horizon de libertés pourra s’ouvrir pour notre pays. Nous sommes désormais dans un match que nous ne pouvons pas nous permettre de perdre.
BIO Né à Alessandria en 1939, licencié en droit, Gian Franco Caselli a commencé sa carrière en 1964 comme assistant volontaire en Histoire du Droit à l’Université de Turin. En 1967, il rejoint la magistrature en tant qu’Auditeur judiciaire, avant d’être nommé Juge d’instruction au Tribunal de Turin aux débuts des années ‘70. Dans ses fonctions, il a en particulier instruit – d’abord seul, puis au sein d’un groupe de magistrats – toutes les enquêtes sur les activités terroristes des Brigades Rouges et du groupe Prima Linea à Turin, Gênes et Milan. Il devient ensuite Président de la 1e cour d’Assises de Turin. En 1992, à la suite des tragédies mafieuses de Capaci et de via d’Amelio, qui ont coûté la vie à Giovanni Falcone et à Paolo Borsellino, il demande d’être nommé Procureur de la République auprès du Tribunal de Palerme, afin de mettre son expérience dans la lutte contre la criminalité organisée au service de son pays, dans la mission cruciale de contrecarrer la mafia. Après sa mission à Palerme, Gian Franco Caselli continuera sa carrière avec la même passion, occupant des chargesde la plus haute importance, nationales comme internationales : en 1999, il devient Directeur de l’Administration Pénitentiaire ; en 2001, il est membre de l’Unité de Coopération Judiciaire Européenne “Pro-Eurojust” ; en 2002, il est nommé Procureur Général de la République auprès de la Cour d’Appel de Turin. A la retraite du juge Marcello Maddalena, il est nommé Procureur en Chef, à l’unanimité des voix lors du vote du Conseil Supérieur de la Magistrature. En 2014, continuant son engagement pour la diffusion d’une culture de la légalité, il devient Président du Conseil Scientifique de l’Observatoire de la Criminalité dans le domaine agricole et le système agro-alimentaire de la Fondation de Coldiretti. Il a également présidé la Commission pour l’élaboration de propositions d’intervention sur la réforme des crimes de nature agro-alimentaire (D.M. 20.4.2015) voulue par le Ministre Andrea Orlando. Les travaux de la Commission ont abouti par la présentation au Ministre d’un dossier de 49 articles accompagnés des lignes-guidedu projet de réforme.
31
Focus - Cybersecurity Trends
Enjeux éthiques et juridiques des villes connectées
Auteur : Pascal Verniory1
citadine, et donc source de chaos si elle n’est pas correctement gérée. Mais comme tout ce qui touche à l’«intelligence» artificielle, les villes connectéesà la fois nourrissent les fantasmes les plus naïfs et aiguisent les appétits les plus vifs, dans un climat fortement hostile à toute remise en question. C’est que ces villes «intelligentes» font naître des espoirs démesurés d’ordre et de confort auxquels il est difficile de renoncer lorsqu’on en ignore le prix réel. Il est d’autant plus urgent de s’interroger sur leurs apports réels afin de pouvoir tirer le meilleur parti de certaines techniques, sans oublier pour autant la vigilance qui s’impose face à leurs dangers, quitte à renoncer à certaines de leurs promesses, trop coûteuses en termes de vie privée et de liberté. Les lignes qui vont suivre me permettent de revenir sur l’exposé donné le 3 novembre 2016 à Yverdon dans le cadre de la CyberSec Conférence et d’aborder certaines pistes qui n’avaient alors été qu’esquissées.
Introduction
La ville connectée
Les villes connectées que certains disent «intelligentes» («Smart Cities») font beaucoup parler d’elles. La gouvernance des mégapoles devient un enjeu civil majeur à une époque où l’on nous prédit une démographie planétaire explosive, essentiellement
Précisons d’emblée ce qu’est une ville connectée. Il s’agit d’un écosystème fondé sur la capture, l’agrégation et le partage de données2 relatives à l’utilisation de la ville par ses habitants. On comprend par-là que la donnée est la «matière première» des villes connectées. Les sources de ces données sont multiples: générées automatiquement par des capteurs ou des objets connectés, mais aussi provenant de bases de données saisies par les administrations publiques ou les entreprises privées, ou même produites par les utilisateurs/contributeurs eux-mêmes. Les buts poursuivis par cette collecte sont multiples. De manière générale, on invoque pêle-mêle l’amélioration de la qualité de vie des citoyens, la bonne gestion des ressources collectives, la facilitation de la mobilité ou encore les soucis de sécurité. Il s’agit notamment de créer du lien pour informer à distance et en temps réel sur la disponibilité d’équipements collectifs (encombrement des routes, taux d’occupation de parkings, localisation de transports en commun, réservation de salles de sport…), mais aussi de renseigner sur la proximité, l’emplacementet les horaires d’ouverture de magasins ou de curiosités touristiques, d’informer sur les services existants ou de gérer des infrastructures collectives. Ces quelques exemples illustrent bien les propos vertueux de l’entreprise. Mais ils taisent tout autant ses risques et ses dangers. Dans cette collecte en effet, la protection de la sphère privée présente un enjeu crucial et éclaire les aspects les plus obscurs du système qui se met en place. Quatre aspects posent question dans le contexte des villes connectées: la capture automatique de données sur le domaine public (a), les données considérées comme «publiques» que les individus s’échangent
BIO Pascal Verniory est docteur en philosophie (option transdisciplinarité – éthique, économie, droit), titulaire du brevet d’avocat et, depuis de nombreuses années, responsable juridique de la Direction générale des systèmes d’information de l’Etat de Genève. Il adéveloppé dans le cadre de sa thèse transdisciplinaire une vision critique du droit d’auteur actuel en convoquant le regard de plusieurs disciplines (anthropologie, sociologie, éthique, économie, histoire, esthétique et droit comparé); en continuité de sa réflexion sur les rapports que le noyau de la personnalité entretient avec l’activité créatrice, il adopte une approche personnelle et, là aussi, critique de la robotique et de l’«intelligence» artificielle.
32
via leurs téléphones «intelligents» (b), leur intégration dans l’informatique en nuage (c) et, par-dessus tout, l’interprétation de cette masse de données en vue d’une «gouvernance algorithmique» (d). Les partis-pris de cette politique numérique nous permettront enfin, en guise de conclusion, d’établir un parallèle entre respect de la sphère privée et reconnaissance sociale de la liberté individuelle.
Données captées automatiquement sur le domaine public De nombreuses données des villes connectées sont générées automatiquement par des capteurs situés sur la voie publique ou dans des infrastructures privées ouvertes au public. Mais le choix d’un capteur n’a rien de neutre. Ainsi la surveillance du trafic peut se faire de plusieurs manières: par comptage du nombre de véhicules passant sur une boucle magnétique, par enregistrement vidéo du trafic ou par enregistrement des signaux GPS permettant d’identifier les véhicules en circulationpar exemple. On voit par-là que si le comptage des véhicules par une boucle magnétique ne génère pas de données personnelles mais un simple incrémentstatistique, il n’en est pas de même des caméras vidéo et encore moins d’une saisie de signaux GPS. Dès lors que la saisie de données sur la voie publique peut engendrer des données personnelles, il convient de respecter à titre préventif les principes posés par les lois applicables en matière de protection de la personnalité. En premier lieu, le principe de licéité (art. 4, al. 1 LPD; art. 35 LIPAD) veut que le traitement soit justifié par l’accomplissement d’une tâche prévue par une base légale ou par le consentement éclairé de l’intéressé. Cela réduit d’emblée les buts pouvant justifier la capture des données. Quant au principe de proportionnalité (art. 4, al. 2 LPD; art. 35 al. 1 et 2; art. 36 al. 1 LIPAD), il exige du responsable du traitement qu’il s’assure que l’atteinte occasionnée demeure raisonnable en regard du but poursuivi. Ces principes incitent à développer une réflexion en amont de la capture, afin d’assurer la confidentialité dès la conception du projet («Privacy by Design»). On privilégiera ainsi, à chaque fois que le but poursuivi le permet, les capteurs qui ne génèrent pas de données personnelles: le responsable du traitement sera ainsi quitte de devoir chiffrer les données pour assurer leur confidentialité depuis le capteur jusqu’à la salle des machines, puis tout au long de leur durée de vie. La protection des données s’avère encore plus cruciale dans le domaine privé ouvert au public: les données sont alors traitées par des acteurs privés, sans qu’il soit possible de résister à leur capture: de nos jours, refuser d’entrer dans une aire vidéo-protégée revient à renoncer à fréquenter la plupart des magasins, à commencer par les grandes surfaces.
La nécessité d’appliquer cet ensemble de principes montre déjà bien le danger d’une collecte sauvage de données sur le domaine public pour la protection de la sphère privée. Elle évite de surcroît une tentation propre à toute technique: celle de se focaliser sur les moyens, à en oublier le but poursuivi. L’histoire des techniques montre que l’humanité a tendance à utiliser une technique au-delà de ses besoins immédiats et raisonnés, du seul fait qu’elle est disponible, au point de créer de nouveaux besoins. Il est dès lors tentant de faire usage des techniques numériques les plus pointues pour affirmer sa modernité.
Données générées par les usagers Les données collectées dans le cadre des villes connectées ne se limitent pas à celles capturées automatiquement sur le domaine public ou ouvert au public. Il s’en faut de beaucoup. Les usagers créent euxmêmes, via leur téléphone «intelligent» («smartphone»), nombre de données personnelles géo-localisées, que ce soit par la communication d’informations sur les réseaux sociaux ou du seul fait qu’ils interrogent dans la rue les services d’information de la ville. On peut alors considérer ces appareils portables comme de véritables capteurs. D’autres objets connectés livrent leur lot de données. Certaines viennent s’ajouter à celles de la ville connectée. On pense par exemple aux données apparemment anodines relatives à la consommation agrégée des ménages. Elles permettent de comparer ses habitudes de consommation privée avec celle de ses voisins pour les améliorer. La connexion de tels compteurs à l’Internet permet d’être averti à distance, sur son téléphone «intelligent», de toute consommation programmée ou intempestive. Une application largement diffusée, Sense, permet en effet de désagréger en temps réel la courbe de charge électrique globale du ménage, puis d’en inférer quels appareils sont utilisés dans la maison, et quand3. L’éditeur, par comparaison avec les courbes de consommation des autres utilisateurs qui lui sont remontées, parvient à en savoir davantage sur la marche d’une maison que les propriétaires eux-mêmes, et pourrait dresser un tableau des habitudes de vie de ses habitants, voire dresser les bases d’un profil de leur personnalité. S’ajoute à ce tableau le fait que les objets connectés sont souvent élaborés par des fabricants d’objets peu au fait des questions de sécurité informatique: de nombreuses failles de sécurité permettent à des tiers de visionner des images sensées rester confidentielles. C’est ainsi que des caméras vidéo connectées pour permettre à leur propriétaire de surveiller à distance les
33
s - Cybersecurity Trends us u cu c oc Fo Fo abords de sa maison peuvent donner à des cambrioleurs de précieux renseignements sur leurs absences ! Le site www.shodan.io répertorie des images provenant de caméras non protégées. Le phénomène des objets connectés a pris une telle ampleur qu’Ubisoft, l’éditeur de «Watch Dogs», proclame «Nous sommes les données» sur son site à l’occasion de la sortie de la deuxième version du jeu. N’y voyons pas trop vite un mépris des usagers pour leur sphère privée. C’est un discours que tiennent les promoteurs des réseaux sociaux et les entreprises qui vivent du partage de l’information sur l’Internet aux seules fins d’étendre leur pouvoir, mais il vaut la peine de se pencher sur ses incohérences.
Pour ne prendre qu’un exemple, en 2009, le PDG de Google et ex-PDG de Novell, Éric Schmidt, lâcha une phrase qui fit froid dans le dos de certains et sembla aux autres frappée au coin du bon sens: «Si vous faites quelque chose que personne ne doit savoir, peut-être serait-il préférable de commencer par ne pas le faire.» Éric Schmidt ne faisait là que reprendre un proverbe traditionnel d’origine chinoise, d’où la furtive impression de sagesse qui en émane. Les observateurs avertis ne manquèrent toutefois pas de relever qu’Éric Schmidt l’appliquait aux recherches effectuées sur l’Internet, et que cela changeait tout. Cette phrase leur fit soudain craindre le pire en matière de violations de la vie privée. Mais ce prophète de «la mort de la vie privée» s’empresse de défendre la sienne propre au-delà du raisonnable: en 2005, n’a-t-il pas traîné en justice la journaliste Elinor Mills pour son article Google balances privacy, reach4, laquelle se contentait de relater certains détails de sa vie privée (fortune, actions récemment vendues en Bourse...) obtenus sur l’Internet grâce au moteur de Google dédié aux journalistes, CNET (News.com)? Hubert Guillaud, se fondant sur une étude de Joseph Turow, Michael Hennessy et Nora Draper datant de 2015, nous rappelle par ailleurs que «plus de la moitié des consommateurs américains ne souhaitent pas perdre le contrôle sur leurs informations, mais pensent aussi que cette perte de contrôle a déjà eu lieu». Loin de considérer la cession de ses données personnelles
34
en échange d’offres personnalisées comme lecompromis où chacun serait gagnant, le public se montrerait plutôt résigné et démuni. Nous sommes loin du discours triomphaliste des marchands. Et Hubert Guillaud de conclure avec pertinence: «L’impuissance n’est pas le consentement.»5.
Villes connectées et informatique en nuage Créer du lien: qui penserait à critiquer ce but apparemment vertueux porteur d’une harmonie universelle en marche? Les buts poursuivis par la ville connectée supposent une communication des données et des systèmes entre eux, à tout le moins l’emploi d’une sémantique commune faisant appel à des standards. En d’autres termes, la ville connectée passe dans la pratique par l’informatique en nuage («Big Data»). Villes connectées et informatique en nuage se complètent: les données des villes connectées alimentent l’informatique en nuage et cette dernière, en retour, offre des clefs d’interprétation par recoupement avec d’autres sources. Dès lors que doivent être considérées comme des données personnelles toutes les «informations qui se rapportent à une personne identifiée ou identifiable»6, les données personnelles n’existent pas indépendamment de leur contexte. En d’autres termes, rares sont les données qui sont en soi personnelles; c’est le lien à une personne (déterminée, voire déterminable) qui les constitue comme telles. La ville connectée, comme l’informatique en nuage, travaillant à faire du lien, elle participe potentiellement à la création de données personnelles… et donc à l’érosion de la sphère privée. Le lien à une personne physique peut se faire à travers les objets qu’elle utilise, même s’ils ne lui sont pas expressément rattachés. Il suffit que ces données soient associées à un ancrage stable. C’est pourquoi les adresses IP des ordinateurs privés sont considérées comme des données personnelles. Le recoupement avec d’autres données fait le reste. Il suffit que soit une seule fois établi un lien exprès entre la machine et son utilisateur, par exemple à travers un formulaire de commande, pour que l’ensemble des données rassemblées autour de l’adresse IP puisse être rattaché à cette personne. Or le responsable du traitement a le devoir d’assurer la confidentialité des données personnelles qui se trouvent dans sa sphère d’influence. On ne peut donc mettre à disposition des données en apparence anodines
qu’en tenant compte de l’informatique en nuage et des possibilités de recoupement sidérantes qu’elle offrira aux bénéficiaires. Les règles de sécurité doivent de ce fait être régulièrement reconsidérées et renforcées, tout particulièrement celles qui garantissent l’anonymat. Celui qui ouvre des données doit de plus s’assurer de pouvoir mettre fin à tout moment à leur distribution ainsi qu’à leur réutilisation par des tiers lorsqu’elles enfreignent les règles et traitements garantissant cet anonymat. Seule la distribution sous licence permet une telle maîtrise, en droit sinon dans les faits. Les licences libres peuvent à ce titre servir d’exemple, à condition de les réorienter en faveur d’un maintien de l’anonymat plutôt que de l’ouverture, les deux buts n’étant au demeurant pas nécessairement incompatibles.
L’interprétation des données et la gouvernance algorithmique Mais c’est l’interprétation des données de la ville connectée qui peut cacher les dangers les plus graves. Une fois intégrées à l’informatique en nuage, ces données peuvent, par croisement, compléter le profilage des individus et leur enfermement dans des modèles dont il est difficile d’échapper. Le but de l’informatique en nuage reste le profilage générique des usagers et leur catégorisation, de façon à prédire leur comportement de consommation pour mieux les manipuler. L’informatique en nuage est un puissant instrument de contrôle, qui va beaucoup plus loin que la confusion entre caché et illégal sur laquelle les marchands ont construit la fragilisation de la sphère privée. Outre le caractère extrêmement réducteur de l’affaire et l’inacceptable objectification d’autrui qu’elle entraîne, ce profilage réduit les individus à la merci de leurs fournisseurs, et ceci pour plusieurs raisons. La première est que la fragilisation de la sphère privée cache avant tout un rapport de pouvoir. C’est le mérite de Daniel J. Solove, professeur de droit américain, que de l’avoir montré. Hubert Guillaud cite cet avis d’un expert en sécurité, Bruce Schneier, interrogé en 2006: «La notion de vie privée nous protège de ceux qui ont le pouvoir, même si nous ne faisons rien de mal lorsque nous sommes surveillés. [...] Si nous sommes observés en toute occasion, [...] nous perdons notre individualité». Hubert Guillaud en conclut: «L’enjeu de la vie privée, c’est la tension démocratique entre le fort et le faible»7. Mais le profilage mis en œuvre par l’informatique en nuage va plus loin. Daniel J. Solove, encore lui, trouvant que l’analogie entre Internet et le Big Brother d’Orwell proposée par certains n’était pas pertinente, devait lui préférer un parallèle avec Le Procès, le célèbre roman de Franz Kafka. Le professeur de droit s’est demandé à quoi tenait le sentiment d’oppression dans ce roman, avant d’avancer que c’était sans doute parce que son héros, Joseph K., se trouve jugé sur la base de faits qui ne lui sont pas communiqués, par des gens qu’il ne connaît pas, en application de règles et de valeurs qui lui restent mystérieuses et dans l’ignorance des conséquences possibles de la procédure en cours8. Cela fait beaucoup d’inconnues et cela ôte surtout toute possibilité de défense. Quel pouvoir peut-il être plus arbitraire? Et Daniel J. Solove de s’interroger: ne sommes-nous pas tous un peu comme Josef K. face aux GAFAM9 et aux autorités étrangères qui les gouvernent? Antoinette Rouvroy, juriste et chercheur du FNRS à l’université de Namur, ne dit pas autre chose: « On va vous catégoriser en fonction de données brutes qui pour vous n’ont aucune signification, en fonction d’algorithmes dont vous ne savez pas comment ils fonctionnent, et cela va avoir des impacts sur votre vie, […] sur le mode du réflexe»10.
C’est le principal danger que recèle le concept des villes connectées, qu’Antoinette Rouvroy a baptisé «la gouvernementalité algorithmique». Ici, le péril ne réside pas tant dans la donnée que dans son interprétation et son instrumentalisation. Prétendant que des données captées massivement et de manière automatique peuvent de ce seul fait prétendre à l’«objectivité», les ingénieurs informatiques et leurs bailleurs de fonds ne se contentent pas de présenter aux dirigeants politiques la collecte de données comme un moyen de vérifier l’efficacité des politiques publiques et leur degré d’adoption par la population; ils leur proposent de puiser dans la donnée la raison des politiques publiques à venir. Les corrélations massives comme maîtres à penser et les machines comme garde-fous de l’humain, tel est leur programme. Il s’agit en somme de la version la plus moderne de la récurrente confusion des moyens et des fins, doublée d’une sévère méconnaissance des spécificités de la nature humaine. C’est tout à la fois le procès de l’«intelligence» artificielle, de la théorie de l’information et de la vision mécaniste de la vie – et de l’humain – qu’il faudrait faire ici. Je me contenterai de souligner un point essentiel: en catégorisant le comportement des personnes selon des corrélations tirées de l’analyse de sommes gigantesques de données, les ingénieurs informatiques nous privent de tout avenir, en sapant la reconnaissance sociale de la liberté individuelle, déjà bien écornée par les gestionnaires. Ils nous contraignent ainsi dans des modèles radicalement inadaptés et terriblement désabusés. Un exemple parmi d’autres va nous permettre de mieux saisir la nature des dérives à craindre en matière de villes connectées. D’aucuns, visiblement mal remis des «imperfections» humaines, ont cru bon d’imaginer remplacer les juges… par des robots. L’application des lois et des jurisprudences s’en trouverait plus rigoureuse – entendez par là: plus insensible à l’intelligence de la situation. On en viendrait ainsi à juger l’auteur d’une violation en fonction de statistiques, autrement dit d’une connaissance partielle du passé appliquée à l’avenir. Existe-t-il meilleure manière de nier toute possibilité d’évolution de la personne? De lui retirer tout droit d’être entendue? La phase suivante consistera sans doute à instaurer une justice prédictive, en d’autres termes à arrêter ceux dont le profil les désignera comme criminels potentiels… L’idée a du reste déjà été évoquée. Nous pourrons ainsi nous vanter d’avoir atteint un niveau inégalé de barbarie dans l’Histoire. Juger quelqu’un sur le passé des autres, n’est-ce pas lui faire subir une violence inadmissible? Une fois ce système mis en place, quel juge, quel dirigeant aura le courage de rendre une décision contraire aux prédictions statistiques avancées par la machine?
35
Focus - Cybersecurity Trends Il serait de plus naïf de penser que les données sont objectives du seul fait qu’elles ont été capturées automatiquement et de manière systématique: une donnée n’a rien d’un «donné», elle est construite, en particulier par le choix du capteur et par son
emplacement. Les théories de l’information l’ont trop vite oublié. Le chercheur ne trouve en général que ce qu’il cherche; il peut ainsi passer à côté de l’essentiel sans même s’en rendre compte. C’est le mérite de la phénoménologie, à travers la notion d’intentionnalité, de nous l’avoir rappelé11. De même, les capteurs ont beau saisir en continu leurs données, ils n’enregistrent qu’une partie de la réalité, pas forcément la plus pertinente de surcroît. Le capteur ne fait en somme que filtrer le réel en fonction des intentions – voire des préjugés – de celui qui l’installe et passe sous silence les possibles restés à l’état d’intention. Or ces derniers sont essentiels pour comprendre l’avenir. N’est-ce pas par tâtonnements que s’invente le futur? Seule une critique cohérente peut nous permettre la mise en perspective de nos informations et des moyens utilisés pour les recueillir. Quant au profilage, résultant d’une donnée rendue infra-individuelle pour devenir calculable, puis artificiellement recomposée en profils supra-individuels par des corrélations, n’évacue-t-il pas les Sujets que nous sommes12? Et si les données ne sont pas le réel, si elles n’ont pas de sens pour ceux dont elles prétendent pourtant décrire le comportement, une gouvernance de la ville par les données peut-elle encore prétendre être pertinente? En outre, rien ne prouve que les corrélations entre données signalent un rapport de cause à effet. La sagesse populaire affirme: «comparaison n’est pas raison». Or le cœur même de l’«intelligence» artificielle repose sur la confusion entre corrélation et rapport de causalité. Cela peut entraîner des conséquences des plus absurdes. Voulons-nous vraiment nous soumettre à cela? Alors que l’«intelligence» artificielle, en se fondant sur des corrélations, fait son deuil du sens et se contente de prédire sans comprendre, est-il encore envisageable d’aligner nos politiques sur ses suggestions? Alors que les sciences de l’univers sont revenues du modèle scientiste pour lequel la réalité serait entièrement contenue dans le «noyau primordial»13, l’«intelligence» artificielle limite
36
le futur à une simple projection du passé; est-il raisonnable de la laisser fermer notre avenir? Les points qui viennent d’être mentionnés ci-dessus soulignent la nécessité de combattre les projets en cours visant à «l’organisation automatisée du monde»14, comme celui mené par SidewalkLabs, une filiale d’Alphabet, l’entreprise qui chapeaute Google. Il s’agit, ni plus ni moins, de concevoir une ville entièrement «construite à partir de l’Internet», par boucles de rétroaction, puis d’appliquer ce modèle à la planète entière15. Donner le pouvoir à quelques-uns de décider pour toute l’humanité du moindre des gestes de ses représentants: non seulement la Google City éradique dans les faits tout programme politique, mais elle correspond à l’aspect le plus terrifiant du totalitarisme. Hannah Arendt ne disait-elle pas que ce dernier ne visait pas seulement à restreindre la liberté, mais à éradiquer toute trace de spontanéité?16 N’est-ce pas très exactement ce qui adviendrait si nous acceptions le projet d’Alphabet? Lorsqu’on songe que la spontanéité pour Hannah Arendt n’a rien d’une simple fantaisie, mais correspond plutôt à l’expression de l’intériorité, à la manifestation surprenante et par définition imprévisible de l’originalité de notre propre être-au-monde, on comprend que la Google City nourrit en définitive l’ambition transhumaniste d’éradiquer l’humain dans l’homme.
Être Sujet aujourd’hui La grande question n’est-elle pas en fin de compte de savoir qui nous sommes et qui nous désirons devenir? Voulons-nous accepter d’être réduits à des données ou de nous comparer à des automates? Ne sommes-nous pas beaucoup plus? N’avons-nous pas oublié ce qui fait notre valeur spécifique? Alors que le robot, reproductible à l’infini, a le souci de l’erreur et du résultat, l’être humain, unique à condition de devenir Qui il est, n’a-t-il pas plutôt le souci de la finalité? Dans les domaines du sens et de la liberté qui nous caractérisent, les possibles, dès lors qu’ils disent quelque chose de notre nature profonde, ne
sont-ils pas plus essentiels que les résultats? Aristote ne l’a-t-il pas souligné de manière étonnante en affirmant que l’actualisation d’une potentialité demeure une potentialité, insistant sur le caractère dynamique et créateur de l’agir humain? Les événements essentiels de notre existence, ceux qui font que la vie mérite à nos yeux d’être vécue, sont-ils seulement chiffrables ou traduisibles en termes de résultats ? Il est souhaitable que tel ne soit pas le cas, car le résultat est aveugle au sens comme le moyen peut l’être au but. Or, contrairement aux données, ne sommes-nous pas source de sens? En définitive, le but de toute existence humaine n’est-il pas le travail intérieur nous permettant de devenir Qui nous sommes en nous appropriant
notre histoire? Sur ce chemin, les échecs n’enseignent-ils pas au moins autant que les victoires? Et que l’on ne vienne pas nous dire que le sens de notre vie n’a pas à être pris en compte par les politiques économiquesou sociales, car si tel était le cas, à quoi serviraient in fine ces dernières? Un immense travail nous attend pour passer des «sciences humaines» aux «disciplines du Sujet», autrement dit pour concevoir l’être humain dans ses spécificités mêmes, non comme l’objet d’une science mais en tant que Sujet17. Cela nécessite le développement d’une autre méthode que celle des sciences traditionnelles. Les exigences de reproductibilité, de quantification et de réfutabilité doivent faire place à d’autres approches, propres à l’étude du Sujet18. Cela pourrait notamment éviter aux «sciences» humaines d’autovalider leurs hypothèses objectifiantes par des méthodes inadaptées.
«Vaste programme», dirait Charles De Gaulle. Il s’en trouve d’autant plus passionnant.
La grande érosion L’informatique en nuage érode la sphère privée au même titre que la gouvernance algorithmique sape le fondement de la reconnaissance sociale de notre liberté individuelle. L’importance des données comparatives actuellement en mains des fournisseurs de services fait que notre comportement devient souvent plus prévisible pour nos fournisseurs de services que pour nous-mêmes. Cela fait dire à Alexandre Lacroix que l’être libre de demain sera celui dont le comportement se révélera moins prévisible pour les marchands que pour lui-même…19. C’est en cela que sphère privée et liberté individuelle sont liées, la protection de la sphère privée garantissant notre liberté. Si, pour paraphraser le titre du célèbre ouvrage de Karl Polanyi, La Grande Transformation, nous devions caractériser le principal effet de l’informatique en nuage, ce serait bien «la grande érosion». Pour l’éviter, plusieurs pistes s’ouvrent à nous. Tout d’abord, chacun doit demeurer maître de ses données personnelles. On peut parler de propriété, mais encore faut-il le faire au sens que les Lumières lui accordaient, qui diffère du sens capitaliste et excluant que nous lui donnons actuellement. En effet, alors que pour les Lumières la propriété est la garantie matérielle donnée à chacun – en renforcement de celle des autres – contre le pouvoir d’un seul (le tyran), pour le capitalisme, la propriété est le droit exclusif de chacun contre tous (Thomas Hobbes). Ce but peut être atteint si les autorités politiques imposent à la distribution des données de la ville connectée le cadre d’une licence qui leur assure l’anonymat dans la durée et qui permette de tenir compte des évolutions de l’informatique en nuage. La non-réidentification des données de la ville connectée doit donc être un impératif et suppose une vigilance de tous les instants. Arvind Narayanan et Vitaly Shmatikovnous rappellent à ce propos que «La polyvalence et la puissance des algorithmes de ré-identification impliquent que des termes tels que «personnellement identifiables» et «quasi-identifiants» n’ont simplement aucune signification technique. Alors que certains attributs peuvent identifier de façon unique, tout attribut peut être identifié en combinaison avec les autres.»20 En complément, il semble nécessaire de s’assurer du caractère ouvert des données collectées et chacun devrait savoir quels algorithmes, quelles règles d’interprétation on applique aux données qui le concernent21. Enfin, de façon plus fondamentale, il semble urgent de repenser les relations entre individus et collectivité et de confronter la théorie de l’information aux théories de la connaissance.
1 Pascal Verniory s’exprime ici à titre personnel. Ses opinions ne prétendent pas refléter celles de son employeur. 2 Les notions de donnée et d’information sont comprises de manière diamétralement opposée par les informaticiens et par les juristes: pour les juristes, la donnée représente la forme brute (sans mise en contexte ni interprétation) de l’information, alors que pour la théorie de l’information – et donc les informaticiens – c’est l’information qui devient «donnée» par sa mise en contexte. Dans le cadre de cet article, la notion de «donnée» doit être comprise au sens où l’entend la loi. 3 BOGOSTIan, Home Monitoring Will Soon Monitor You, The Atlantic (Washington), 11.11.2016. 4 MILLS Elinor, Google balances privacy, reach, 14.07.2005, CNET News, https:// www.cnet.com/news/ google-balances-privacy-reach-1/, consulté le 25.03.2017. 5 GUILLAUD Hubert, Données personnelles: l’impuissance n’est pas le consentement, 11.06.2015,http://www. internetactu.net/2015/06/11/donneespersonnelles-limpuissance-nest-pas-le-consentement/, consulté le 25.03.2017. 6 Art. 3 let. ade la loi fédérale sur la protection des données personnelles (LPD – RS 235.1); art. 2 let. ade la loi genevoise sur l’information du public, l’accès aux documents et la protectiondes données personnelles (LIPAD –A 2 08). 7 GUILLAUDHubert, La valeur sociale de la vie privée, dans InternetActu.net, n°241 (23.10.2009), http://www.internetactu.net/2009/10/21/la-valeur-sociale-de-lavie-privee 8 SOLOVE Daniel J., The Digital Person: Technology and Privacy in the Information Age, New York University Press, New York 2006; “I’ve Got Nothing to Hide” and Other Misunderstandings of Privacy, dans San Diego Law Review, vol. 44 (2007), pp. 745-772; http://papers.ssrn.com/sol3/papers.cfm?abstract_id=998565 9 GAFAM: Google, Amazon, Facebook, Apple, Microsoft 10 ROUVROY Antoinette, STIEGLER Bernard, Le régime de vérité numérique – De la gouvernementalité algorithmique à un nouvel État de droit, 07.10.2014, dans Socio, La nouvelle revue des sciences sociales, 4 | 2015, Dossier: Le tournant numérique… Et après?, pp. 113-140; http://socio.revues.org/1251 11A ce sujet, voir notamment:BORTOFT Henri, Prenons l’apparence au sérieux, Triades, 2012 12 ROUVROY Antoinette, STIEGLER Bernard, Le régime de vérité numérique, op. cit. 13 STAUNE Jean, Notre existence a-t-elle un sens ? Une enquête scientifique et philosophique, Librairie Arthème Fayard/Pluriel, Paris 2017 (2007), Avant Propos, p. XII; Jean Staune développe à ce propos une «théorie du décalage»; il montre que depuis cinq siècles, les sciences de la vie et les sciences humaines accusent un siècle de retard par rapport aux sciences de l’univers et de la matière. 14 SADIN Éric, La Silicolonisation du monde – L’irrésistible expansion du libéralisme numérique, L’Échappée, Paris 2016, pp. 108-109 15 PIRENAAlexis, Et si Google créait sa propre ville avec ses propres règles ?, 06.04.2016, www.numerama.com/tech/161094-et-si-google-creait-sa-propreville-avec-ses-propres-regles.html, consulté le 28.03.2017 16 ARENDT Hannah, Le Système totalitaire – Les Origines du totalitarisme, Le Seuil, coll. Points, Paris 2002, p. 190 17 Le titre d’un ouvrage de Jean-François Malherbe l’illustre bien: Sujet de vie ou objet de soins ? (Sujet de vie ou objet de soins ?Introduction à la pratique de l’éthiqueclinique, Éditions Fides, Montréal2007) 18 VERNIORY Pascal, “Human Sciences” or “Disciplines of the Subject”?, in Human and Social Studies – Research and Practices, Iaşi (Roumanie), vol. 2, n°3 (septembre 2013), pp. 33-58 19 LACROIX Alexandre, En finir avec le hasard ?, dans Philosophie Magazine, n°102 (septembre 2016) 20 NARAYANAN Arvind, SHMATIKOVVitaly, Myths and fallacies of “Personally identifiable information”, Communications of the ACM 53, n°6 (2010) 21 C’est dans ce sens que la législation européenne se dirige avec l’adoption du Règlement 2016/679 du 27 avril 2016 (règlement général sur la protection des données), qui entrera en vigueur en mai 2018; il prévoit que la personne concernée pourra demander raison au responsable du traitement non seulement des données personnelles sous sa gestion, mais encore des algorithmes qui leur sont appliqués.
37
Focus - Cybersecurity Trends
Parler aux hommes d’affaires Les responsables du département de la sécurité de l’information (CISO) ont un problème de fond : se faire comprendre des hommes d’affaires.
Auteur : Massimo Cappelli
A chaque fin d’année, pour utiliser une métaphore publicitaire, on voit un CISO se rendant à l’étage des dirigeants avec pour objectif de présenter la liste des investissements et des exigences pour protéger l’entreprise l’année suivante. A chaque fin d’année, de l’autre côté, on trouve un responsable administratif et financier (CFO) qui se rend au même étage, sachant qu’il devra mener une rude bataille contre un CISO pour comprendre dans quel but des nouveaux investissements techniques et des nouvelles ressources humaines semblent si nécessaires pour assurer la sécurité de l’information. Ce n’est que l’une des batailles qu’un CISO doit mener durant l’année. Au-delà des problèmes quotidiens qui peuvent dépendre des informations à protéger, des vulnérabilités à réparer, des menaces à affronter, le CISO, en admettant qu’il soit invité à la table des décideurs, doit affronter les responsables des lignes de business pour les convaincre d’inclure un budget sécurité dans chaque nouveau projet. Souvent, le budget proposé pour le développement d’un nouveau service digital ne tient pas compte des coûts des contremesures nécessaires à sa protection, et ce pour de multiples raisons, mais surtout à cause de l’urgence du secteur business de lancer de nouveaux
BIO Massimo Cappelli est operations planning manager à la Fondation GCSEC. Depuis janvier 2017, il est aussi directeur du CERT et de la Cyber-sécurité des Postes Italiennes, au sein du département de la protection des informations. Auparavant, il a travaillé comme consultant auprès de Booz Allen Hamilton et de Booz & Company dans le secteur «Risk, Resilience and Assurance».
38
services et la peur que la sécurité puisse d’une façon ou d’une autre ralentir ou même bloquer certaines des fonctionnalités à peine développées. L’incompréhension entre les deux «mondes» est souvent causée par l’utilisation de deux langages différents : celui du CFO et des responsables sectoriels du business, qui est lié à des points de vue économiques de coûts/bénéfices, d’économies, de retour sur investissement et celui du CISO qui est, quant à lui, lié à des points de vue bien plus techniques : firewall, protocoles de sécurité, anti-virus, système de détection des intrusions, SIEM et ainsi de suite. Ainsi, à chaque fin d’année, les demandes d’investissements proposées par le CISO sont coupées puisque considérées comme étant un coût auquel on ne peut pas associer un bénéfice réel. Existe-t-il un point de rencontre entre les deux mondes ? En théorie, un point de rencontre qui faciliterait le processus d’autorisation d’investissement pourrait être le Return on Security Investment (ROSI), une formule que l’on peut simplifier comme suit ROSI = réduction de la perte financière (moins) coût de la solution, (le tout divisé par) le coût de la solution. Cette formule est en soi aussi simple que linéaire. Mais si on observe un instant les deux seules composantes qui la constituent, on ouvre deux boîtes de Pandore d’où sortent autant d’interprétations philosophiques sur les éléments constitutifs de chacune des composantes et de leur estimation chiffrée, réponse que ne peuvent détenir ni le CFO ni le CISO. Notre article ne propose aucunement le ROSI comme une science exacte et encore moins un détail précis de ses composantes détaillées, mais veut souligner que c’est l’un des rares moyens de répondre aux «so what» si chers aux consultants et aux décideurs. Pour eux, le «so what» doit être déterminé par des faits et non par des déclarations. Ainsi, au cours du projet européen Ecrime, la Fondation GCSEC a réfléchi sur les données potentielles qui méritent d’être considérées dans le coût de la solution. Pour ce faire, nous sommes partis de l’analyse d’un certain nombre de scénarios d’attaques, en choisissant des typologies d’attaques ciblant potentiellement les entreprises, comme les ransomware. Chaque attaque a été divisée en phases, en suivant dans les grandes lignes le modèle dénommé «cyber kill chain». Après avoir identifié les phases, nous avons pris en considération toutes les contremesures qui auraient pu contrecarrer l’attaque dans chacune de ses phases. Par exemple, pour éviter l’ouverture d’un courriel de type spear phishing (phase unique d’une attaque), les contremesures à effectuer sont les suivantes : 1. Campagnes de sensibilisation des employés 2. Règlement d’entreprise sur la gestion des courriels 3. Mises à jour des logiciels protégeant l’end point 4. Utilisation de logiciels anti-hameçonnage Idéalement, on pourrait ajouter d’autres contremesures, mais ceci n’est qu’un exemple simplifié. La Fondation GCSEC a ensuite réfléchi sur la nature des coûts
associés à chacune de ces solutions. Si l’on examine par exemple la contremesure «Campagnes de sensibilisation des employés», les coûts de la mise en œuvre de cette solution sont le résultat de l’addition des points suivants : a. Pourcentage du temps de travail annuel des ressources humaines employées pour préparer le programme d’évaluation et de formation à la sensibilisation des employés, multiplié par le coût des ressources (y inclus les contributions sociales et autres taxes payées par l’entreprise) ; b. Pourcentage du temps de travail annuel des ressources humaines pour effectuer le test d’évaluation de leur propre niveau de sensibilisation puis pour suivre les cours nécessaires, multiplié par le coût des ressources ; c. Amortissement de la cote part du moyen utilisé pour les activités formatrices (en salle ou en e-learning) d. Coût du matériel nécessaire pour les activités de formation et de sensibilisation (p.ex. brochures, guides, etc.) e. Coût d’éventuels formateurs contractuels externes. Cet exemple nous fait comprendre à quel point il est compliqué, même pour un CISO, d’avoir une traçabilité de tous les coûts associés à une seule contremesure. Par ailleurs, nombre de points que nous avons décrits ne dépendent pas de la gestion directe du CISO lui-même. Il est donc impératif d’effectuer un travail transversal ayant pour but de repérer les données et d’associer les pourcentages corrects en fonction de chaque activité à dérouler. S’il s’agit d’un instrument, son coût d’utilisation ne dérive pas seulement du coût de son amortissement mais aussi du nombre de personnes qui l’emploient. Bien entendu, les lecteurs les plus férus de budget auront remarqué que certains coûts n’ont pas été décrits, car ils peuvent être classés dans les “frais généraux” d’une grande ou moyenne entreprise. Si nous reprenons le cas du courriel de spear phishing, comment faire pour évaluer ensuite si l’utilisation des campagnes de sensibilisation ont amené un résultat positif ou négatif ? En théorie, du moment où des courriels de type spear phishing commencent à être régulièrement signalés par les employés auprès du département compétent, on peut parler d’un premier indice de succès, mais celui-ci ne saurait représenter aucunement une valeur quantitative dans des termes économiques. L’une des possibilités qui s’offrent à nous dans ce cas est d’analyser un scénario dans lequel ces courriels de type spear phishing auraient été ouverts. Et c’est à ce point précis que l’expérience et les talents du CISO entrent en jeu, dans l’art de savoir détailler le scénario de l’impact dérivant directement de la réussite d’une telle attaque. A qui était destiné le courriel ? Quelles informations gère la personne qui l’a reçu, quels accès directs ou privilèges d’accès a-t-elle au sein du système de l’entreprise ? Etc. A ces données, il faut ajouter celles obtenues de l’analyse du (ou des) lien(s) contenus par le courriel et de ce qu’ils sont sensés pouvoir récolter en cas d’ouverture. Par la simple analogie avec des attaques aux caractéristiques similaires, il devient ainsi possible de formuler des hypothèses d’impact en termes d’informations confidentielles volées, de services qui dysfonctionnent ou de réputation de l’entreprise, donc les coûts directs et à terme de tout ce que l’on a pu éviter grâce aux mesures prises. La Fondation GCSEC a ensuite fait un pas de plus, en essayant de fournir un classement des contremesures en les insérant dans un modèle international – en optant pour celui du cyber security framework du NIST, récemment diffusé aussi en Italie avec quelques adaptations. Ce modèle prévoit 5 «macro-fonctions» à l’intérieur desquelles on trouve les détails de chaque catégorie d’activité. Si l’on revient à notre exemple, la contremesure «Campagnes de sensibilisation des employés» entre dans la fonction «Protect» (PR), dans la catégorie «Awareness & Training» (AT). Ainsi, les lignes budgétaires des coûts relatifs à cette initiative sont classées sous le code «PR. AT». De cette façon, toutes les activités liées à la sécurité de l’information peuvent
être comptabilisées, classées de façon analytique et recueillies pour dresser de nombreux types de rapports internes. A la fin de l’année, si l’on reste sur notre cas de spear phishing, le CISO qui aura bien fait son travail de recherche et de classement aura ainsi en main tous les arguments concernant des attaques de type spear phishing ayant porté atteinte à l’entreprise. Il pourra leur attribuer une valeur financière pour chaque impact, aussi bien dans les cas où les criminels ont réussi leur attaque, que dans les cas où l’attaque a été déjouée par les contremesures. Les bénéfices sont ainsi calculés sur les impacts d’attaques évitées tandis que les pertes sont constituées par celles réussies, venant s’insérer dans le schéma global des coûts et des bénéfices annuels de l’entreprise «Pourquoi avons-nous besoin de ressources et d’investissements pour des campagnes contre le spear phishing ? Parce que par tout ce qui précède, on voit que si ces campagnes, d’un coût X, permettent d’éviter un impact d’un coût Y et que X est nettement inférieur à Y, c’est donc l’entreprise qui a gagné de l’argent face à une perte potentielle grave qu’elle a su éviter». Ce discours vaut aussi dans le cas où une attaque a pu être arrêtée à une autre phase de son développement, par exemple après l’installation d’un centre de commande et contrôle (C&C). Dans ce dernier cas, le CISO évaluera les coûts de l’ensemble des contremesures prises et vérifiera leur juste poids en fonction de leur implication dans la protection réussie contre l’attaque. Bien évidemment, dans ce cas plus complexe, une matrice d’impact devra auparavant être élaborée en collaboration avec les directeurs des secteurs business et avec le top management général. Tout ce qui précède ne se veut pas une «science exacte», mais entend proposer des bases pour faciliter un début de raisonnement dans une optique d’affaires, y compris pour les structures considérées comme ne générant que des coûts. Nous n’irons pas plus loin dans la méthodologie nécessaire aux calculs des impacts, un sujet qui mérite un article à lui seul. A la base de tout, on trouve toujours une donnée. C’est notre façon de la recueillir, de l’analyser, de la classer et de la combiner à d’autres qui fait la différence. Avant de commencer à travailler en ce sens, trop de décideurs attendent de comprendre le tableau complet de la situation, alors que souvent en matière de sécurité, le tableau ne se réalise que lorsque l’on commence à le peindre tandis que l’on n’atteint un certain degré de perfection qu’après d’innombrables retouches.
39
Focus - Cybersecurity Trends
Sécurité, confidentialité, confiance … dans un cloud ? Même si, d’une certaine façon, le cloud existe depuis l’aube de l’internet, les nouveaux modèles d’affaires basés sur ce concept sont en pleine croissance et commencent à transformer radicalement les modèles classiques de gouvernance IT.
Auteur : Eduard Bisceanu
Cette tendance est plus qu’évidente si nous observons les statistiques dédiées à la croissance du marché du cloud computing et, en particulier, si nous analysons les évolutions des produits et les stratégies marketing des acteurs majeurs du marché. Cependant, même s’il semblerait facile de prédire les tendances et de s’y adapter, dans le cas d’un certain nombre de marchés parvenus à une maturité suffisante,
BIO Eduard Bisceanu est un expert reconnu internationalement en cybersécurité, ses compétences couvrant aussi bien le management de la sécurité de l’information que les communications électroniques, l’investigation de crimes informatiques complexes, l’analyse, l’évaluation et la réponse en matière de dangers cybernétiques. A la fin de l’Académie Militaire, il a commencé sa carrière comme officier de transmissions au sein de l’Armée roumaine. Il a ensuite rejoint, dès 2001, les Services de Renseignements Intérieurs (SRI), devenant le premier directeur du nouveau Cyber Threat Department. Entre 2013 et 2014, il a exercé la direction exécutive du CERT-RO en tant que General Manager adjoint, en assumant la charge de toute la zone opérative de l’institution. Depuis 2015, il est CSO auprès de l’Unicredit Bank Romania.
40
il y a de nombreux pays et surtout de secteurs d’affaires où nous observons une pléthore de conflits potentiels dès que l’on parle de solutions basées sur un cloud public. Notre objectif n’étant pas d’ennuyer le lecteur avec un texte technique, nous avons choisi de mettre en avant les problèmes les plus importants lorsque l’on parle des produits basés sur le cloud et disponibles partout (infrastructure comme service, sécurité comme service, etc.), et qui sont à notre avis les suivants : La plupart des modèles d’affaires du cloud sont promus selon deux axes principaux : le prix et le professionnalisme : en bref, il est plus rentable d’utiliser une infrastructure IT flexible (hardware et software) basée sur les besoins réels et facile à adapter lors des changements des besoins de l’organisation (ce qui est fréquent); ensuite il est plus sage de confier l’architecture à des professionnels – qui pourrait aujourd’hui prétendre être meilleur que Google, Microsoft ou Amazon lorsqu’il est question d’administrer un énorme environnement IT disséminé de par le monde? Mais ces deux axes de marketing font aussi surgir des problèmes importants : de nombreuses industries ne sont pas encore prêtes à «simplement» transférer leur entière architecture sur le cloud, de même que les offres basées sur des solutions de type cloud hybride n’offrent pas toujours ni la flexibilité voulue ni un rapport qualité-prix des plus satisfaisants, sans oublier, comme nous l’avons souvent observé, que même les meilleurs peuvent se tromper… Sur ce point, mon conseil pour les compagnies qui vendent des produits basés sur le cloud est de faire promouvoir leurs services uniquement par des employés qui possèdent une profonde connaissance du secteur auquel ils s’adressent. Nous continuons à entendre que la sécurité est considérée comme un élément de blocage dans la migration vers le cloud. Je me permets d’affirmer
que c’est faux et que c’est, au contraire, l’industrie du cloud qui n’est pas encore totalement adaptée, à certaines règles et nécessités de sécurité. Sans aller dans trop de détails ou citer des arguments ponctuels relatifs à des lois ou à des réglementations (ni même dans les standards de sécurité spécifiques à chaque industrie), je recommanderais aux promoteurs des produits basés sur le cloud d’acquérir la culture générale nécessaire dans ce domaine avant de rédiger leurs présentations destinées à nous expliquer comment le cloud va changer notre monde. Je suis convaincu qu’il n’y a aucun blocage relatif à la sécurité et à la confidentialité si l’on planifie correctement la transition vers le cloud de l’infrastructure et de l’environnement software d’une grande entreprise. Ce sont en revanche les solutions «prêt-à-porter», le manque de volonté de connaitre les différents secteurs industriels pour s’y adapter et enfin les mentalités conservatrices qui devraient être les principaux points à revoir au plus vite dans le marketing du cloud. En tant que professionnel de la sécurité, je recommanderai aux fournisseurs de solutions cloud de promouvoir et de construire un rapport de confiance tous azimuts avec le client potentiel, et non de traiter de façon séparée et parallèle des problèmes de sécurité et de confidentialité. Pourquoi ? C’est simple : lorsqu’un décideur évalue la faisabilité d’un projet et du contrat sous-jacent, ses principales demandes portent sur les coûts et sur la confiance, pas sur la sécurité. Aussi, que signifie la confiance lorsque l’on parle de cloud ? Bien des aspects, parmi lesquels il est possible d’en oublier quelques-uns, mais selon nous les principaux vecteurs de q confiance dans le cloud résident dans des réponses solides aux questions et préoccupations suivantes : Où, exactement, seront archivées mes données ? – une présentation de l’infrastructure soutenant votre cloud via des re serveurs disséminés aux quatre coins du monde a peut-être du sens si vous voulez démontrer la dimension de votree activité, mais elle est contreproductive pour gagner la confiance. La plupart des promoteurs du cloud prétendent que leur industrie signifie la fin des «data centers», ce qui est simplement… faux. Qu’en est-il de la fiabilité et de la sécurité des us communications dans l’architecture du cloud ? Nous avons tous ues besoin de réponses claires sur ce point – les détails techniques aussi bien des responsabilités que des systèmes employés. Quelle est la sécurité de votre service cloud ? Vous ne pouvez ouvez pas affirmer à un professionnel de la sécurité que vos services sont sûrs simplement parce que vous administrez l’une des plus grandes infrastructures cloud et que vous comptez sur des professionnels – nous le sommes aussi ! Vous avez du hardware et du software à administrer et à sécuriser et nous, comme clients potentiels, nous avons besoins de données détaillées et de preuves que votre approche de cet aspect est professionnelle et correcte. Nous avons aussi besoin d’avoir une profonde connaissance de votre architecture de sécurité ICT parce que nous devons être en conformité avec une myriade de lois, règlements et directives –
vous devez le comprendre aussi et nous venir en aide sur ce point. Si vous vendez des services à des grands pays d’Europe Occidentale ou aux USA, nous sommes tous capables de constater que vous êtes capables de créer les outils nécessaires à développer une infrastructure cloud locale. Alors pourquoi pensez-vous que dans un autre pays, un gouvernement ou une industrie n’a pas besoin d’une approche identique ? Vous ne pouvez pas simplement éluder la question parce que c’est là que vous allez porter préjudice à la confiance que l’on va vous accorder et qui est à la base des affaires. En ce qui concerne les entreprises spécialisées en produits de sécurité pour les solutions cloud, nous devons savoir quelles données vous allez prendre ou, au contraire, injecter dans notre réseau et à partir d’où. En effet, même s’il est facile de comprendre les avantages, pour différents consommateurs, de bénéficier d’une grande infrastructure cloud proposant des résultats analytiques et des indicateurs à jour sur les cyberattaques, nous ne voulons pas arriver à devoir défendre notre infrastructure... contre vous ! Aussi, si nous ne vous connaissons pas et que nous n’avons pas consolidé une relation d’affaires basées sur une solide confiance, il s’agit de nous donner les arguments pour ce faire avant de nous proposer des solutions cloud «automatisées» nécessitant un vaste accès à l’infrastructure que nous avons mission de protéger. Par exemple, si nous vous achetons une licence qui prévoit un «end point security» et que le p q contrat stipule que vous devez nous fournir des indicat indicateurs de compromission et des m mises-à-jour des applications fourn fournies, ne nous appelez pas po pour nous signaler qu’il y a u une alerte de sécurité dans n notre réseau… parce que vous n’êtes pas supposés avoir ce niveau d’accès à notre système. Quelle est la véritable sig signification de votre cloud hyb hybride ? Nous ne voulons pas ici nou nous étendre sur ce sujet, mais lors de réc récentes discussions avec des vendeurs essayant de nous expliquer leur nouveau cloud hybride, nous avons réalisé que nous avions des compréhensions complètement différentes sur le sujet des différenciations entre cloud public et cloud privé. Pire, il leur manquait les connaissances de base lorsque nous tentions d’expliquer que notre entreprise était déjà en train de penser à recourir à leur service en ce qui concerne le réseau et l’infrastructure mais… selon les règles auxquelles nous sommes soumis.
41
Focus - Cybersecurity Trends
L’importance de disposer d’une vue synthétique de la conformité de son SI
Auteur : Sylvain Félix
Les données prennent une place prépondérante dans nos vies. En effet, pas un jour ne passe sans que l’on ne parle de transformation digitale, de plateformes d’échanges, d’Internet des Objets (IoT), de Big Data, de smartcities, de cloud… Nous stockons et gérons un volume exponentiel d’informations, que ce soit à titre
BIO Fondateur et CEO de smartcockpit, Sylvain Félix aide les entreprises à améliorer leur gestion de la performance et leur gouvernance depuis plus de 20 ans. Il est également membre du conseil d’administration de diverses entreprises et professeur / jury invité pour les étudiants de troisième cycle à l’Université des Sciences Appliquées de Suisse Occidentale (HES-SO). Au cours de sa carrière, il a travaillé pour des entreprises multinationales sur des projets internationaux et multiculturels. Diplômé d’une maîtrise en gestion et informatique, son travail et sa recherche sont axés sur l’aide aux organisations en tirant profit de leurs données. Suivez Sylvain sur: https://ch.linkedin.com/in/sylvainfelix
42
professionnel ou privé. Liés à ces informations, les principes de sécurité et de privacy sont connus et maitrisés par les spécialistes, mais il n’en pas de même pour tout le monde. En parallèle, se multiplient des normes qui rendent la compréhension mal aisée: ISO/IEC 27001:2013, COBIT 5 for information security, ISF Standard of Good Practices 2013, SANS 20 Critical Security Controls, PCI/DSS 3, AICPA Generally Accepted Privacy Principles, CSA Cloud Security Controls, NIST… Sans compter qu’avec ce nombre croissant de normes, il devient compliqué de s’assurer de la conformité de nos activités et de la gestion des données associées. Les technologies, les lois et règlements évoluent ; en résulte une charge de plus en plus importante sur les organisations, dont la responsabilité est souvent du ressort de la Direction et du Conseil d’Administration. La mesure de l’état de situation, de son évolution est souvent difficile et l’établissement d’objectifs, de délais et de critères mesurables potentiellement un challenge. D’où la nécessité d’établir des repères appropriés et reconnus, et de suivre les progrès réalisés afin de s’assurer que les efforts sont correctement focalisés. Je prendrais pour exemple le nouveau règlement général sur la protection des données (RGPD - en anglais: General Data Protection Regulation, GDPR) adopté le 27 avril 2016 qui sera directement applicable dans tout État membre de l’Union Européenne, dès le 25 mai 2018. Cela concerne également toutes les entreprises suisses qui font du business avec un ou plusieurs de ces Etats. Ce règlement prévoit des sanctions allant jusqu’à 4% du chiffre d’affaires mondial annuel d’une organisation pour celle qui ne serait pas conforme. Considérant ce qui précède, il devient alors primordial pour le Management de s’assurer de la bonne conformité de leurs opérations et de la gestion de leurs données et ce, de manière simple et synthétique. Le challenge est double: Comment gérer la conformité avec les différentes normes, alors que les cadres normatifs évoluent ? Comment faire en sorte que, dans une organisation, les décideurs puissent avoir une visibilité synthétique sur ces aspects de risques bien particuliers ?
1 2
Gestion de la conformité La gestion de la conformité est un vaste domaine. Nous comptons un nombre croissant de cadre normatifs qui concernent beaucoup d’acteurs différents qui ne sont clairement pas tous experts du domaine, que ce soient
les managers et dirigeants, les propriétaires d’entreprise, les responsables de la sécurité de l’information, les auditeurs internes et autres intervenants en matière de protection des données. De plus, les activités à couvrir sont diverses: la conception et la mise en œuvre des politiques de protection la mesure de la performance l’étalonnage la surveillance et l’audit des procédures La partie «conception» ne fait pas l’objet du présent article. Nous allons ici focaliser sur les trois autres points et proposer une démarche. Tout d’abord, il faut se rappeler que l’objectif n’est pas d’atteindre un niveau de maturité maximum sur tous les domaines, mais de répartir les efforts selon une décision circonstanciée, découlant d’une analyse de risques et de la tolérance relative à chacun d’entre eux. Les objectifs pourront être revus de période en période en fonction de l’évolution de l’environnement et de l’appétence aux risques. Les chapitres et les points de la norme sont revus au moins une fois par année afin de mesurer le niveau de maturité. Celui-ci est évalué en fonction du niveau de maturité désiré (objectif ). Dans les cas où le niveau de maturité est inférieur au niveau souhaité, il convient de prendre des mesures d’amélioration. Le responsable de la mesure d’amélioration s’assure du bon déroulement de celle-ci et maintient son statut tout en ajoutant des commentaires ou documents liés (évidences) si cela est nécessaire. Une fois l’action finalisée, l’impact de celle-ci doit être évalué afin de définir si niveau de norme souhaité a été rétabli. Dans le cas contraire, il convient de redéfinir une ou plusieurs mesures.
Dans l’intervalle des revues périodiques, il se peut que des exceptions surviennent, que ce soit:
1 2
des incidents des contrôles de processus qui mettent en évidence un problème
Dans ce cas, il convient de procéder de la même manière, à savoir de définir une ou plusieurs actions correctives et de s’assurer du bon déroulement de celles-ci et finalement si l’impact désiré est atteint.
Donner la visibilité au management Sachant que ces processus se répètent pour tous les cadres normatifs applicables, le challenge pour les responsables de la conformité est donc de disposer d’une vision synthétique transverse sur les différents aspects. Une solution agile et pragmatique est de disposer de plusieurs cockpits de suivi des normes et d’un cockpit synthétique donnant une vision sommaire de la situation. Chaque norme disposerait d’un cockpit dédié présentant les éléments propres à celle-ci et un cockpit donnerait une vision synthétique de l’état de conformité de chaque norme et des actions en cours.
43
Focus - Cybersecurity Trends
En effet, si l’on considère la multitude de normes et les différents sujets couverts, tels que la sécurité de l’information, la confidentialité de l’information (privacy), les aspects cybernétiques, etc. il est intéressant de s’assurer de disposer d’une vision similaire de ces différents aspects dans un système central pouvant être partagé et audité. Ceci est d’autant plus efficace que pour chaque cadre normatif, une solution technique différente peut être utilisée, créant ainsi de véritables silos. Il devient donc essentiel de pouvoir disposer d’une vision transverse de la bonne santé de la conformité de l’entreprise aux différentes normes. N’oublions pas que le Management doit non seulement avoir une vision claire de l’état de santé de la conformité de ses opérations, mais doit aussi pouvoir comprendre les autres aspects tels que la performance financière, la gestion des risques opérationnels, l’avancement des projets clés… L’avantage de disposer de différents cockpits présentant des perspectives différentes et permettant de partager des informations
clés devient alors clairement visible. Ainsi, on peut, par exemple, partager le niveau de conformité global et le statut des actions en cours dans un cockpit «orienté Direction» sans présenter tout les détails d’une norme. En définissant clairement les rôles et responsabilités, on s’assure de la bonne gouvernance, non seulement du système d’information mais aussi de l’organisation dans son ensemble.
En conclusion La gestion de la conformité est un voyage qui nécessite un réalignement constant en fonction de l’évolution de l’environnement normatif, des incidents / non-conformités et des actions correctives / améliorations. Il faut concilier deux aspects complémentaires, le suivi de la conformité d’une norme d’une part et le partage de l’information synthétique au niveau du management d’autre part. Ce dernier point est crucial puisque sans l’appui et l’implication du management, les projets de conformité sont voués à l’échec, surtout ceux de l’ampleur du nouveau règlement général sur la protection des données (RGPD). Disposer d’un système agile permettant de suivre ces évolutions tout en garantissant un partage efficient de l’information devient donc un «must».
European Public-Private Dialogue Platform 5th Edition, September 14-15, 2017, Sibiu, Romania
44
Interview VIP
Que doit-on mettre en ligne et que doit-on garder pour soi ? Auteur : Laurent Chrzanovski
Arnaud Velten
Laurent Chrzanovski : M. Velten, lors du «Grappa Hat» d’Aoste et ensuite dans d’autres conférences, vous avez marqué le public avec une conférence intitulée «Are you what you sign? I say no», un véritable manifeste sur les précautions à prendre avant d’accepter ou de signer quoi que ce soit en ligne. Parmi tous les sujets que vous maîtrisez, liés à la cyber sécurité, pourquoi avoir privilégié ce thème ? Arnaud Velten : Ce sujet me tient à cœur car il est le reflet d’une expérience personnelle. A mon entrée dans l’âge adulte, j’étais plutôt timide et introverti. Comme je travaillais
BIO Expert en stratégie et tactiques digitales, Arnaud Velten (@bizcom) a fait ses premiers pas dans l’underground informatique à l’adolescence, avant d’étudier la communication, l’audiovisuel puis le marketing et de se spécialiser en intelligence stratégique. Tout au long de ses expériences (Journalisme, Blogging, Arts, Evénementiel) il met à profit les savoir-faire acquis dans la scène underground pour les appliquer à la communication digitale. Ainsi, en 2007 il met au point un cv isométrique (l’isomap) et, en 2009, il invente une méthode de Brainstorming nommée «Emerge map» … Observateur discret, connecteur hors pairs, il contribue à de nombreux événements en qualité d’influenceur et d’animateur depuis 2010. En 2014 il rejoint le staff de la Cybersecurity Alliance et du sommet IE2S.
entre autres à des projets graphiques, l’une des premières communautés à m’avoir accepté fut celle des artistes des soirées que je fréquentais : musiciens, DJs, clubbers. Mon besoin de reconnaissance, qui s’est vu «consacré» par une invitation à participer à des discothèques privées sur les plages du lac d’Annecy, était alors accompagnée d’un surnom dont je n’ai pas mesuré, sur le coup, la portée. Très maigre à l’époque, cette communauté m’avait appelé «Auschwitz». Pour conserver ce premier cercle d’amis, je n’ai rien dit et je ne me suis pas posé de questions jusqu’au jour où, plusieurs années plus tard, j’ai appris que mon grand-père, résistant de la première heure, avait été arrêté par la Gestapo et jeté dans un wagon à destination de Dachau, après avoir participé à l’une des grandes opérations de la résistance, le maquis du Plateau des Glières. Il n’a dû sa survie qu’au fait qu’il a réussi à s’échapper du convoi, à Dijon pour rejoindre le maquis du Jura. C’est à ce moment que j’ai réalisé que je n’accepterai plus de blagues ou de surnoms stupides juste pour faire partie d’une «communauté». Laurent Chrzanovski : votre réflexion, qui aurait pu s’arrêter aux «amis», va bien plus loin. Arnaud Velten : Oui, car le fait somme toute banal pour un adolescent d’accepter même «le pire» pour s’intégrer est le début d’une résignation du citoyen qu’il sera demain. S’il ne remet pas en question l’acceptation de chaque «ami» sur les réseaux sociaux, s’il «signe», même par un simple clic, son adhésion à n’importe quel site dont il choisit d’ignorer les clauses, il finira par ne même pas lire les conditions, les devoirs et les obligations d’un contrat de travail. En gros, sa vie sera à tout moment dictée par d’autres, sans même que la personne concernée ne s’en rende compte, du moins au début… Laurent Chrzanovski : comment pouvons-nous véritablement agir, à ce jour, dans un monde digital dont l’énorme majorité des adultes ignorent les risques ? Arnaud Velten : en ce qui me concerne, j’avais deux options, compte tenu de mon parcours professionnel : devenir un «black hat» et «casser des systèmes», ou œuvrer à contribuer à des projets de transparence et de prise de conscience. J’ai choisi la seconde voie, devenant un «White Jedi». Le problème le plus difficile à résoudre aujourd’hui consiste dans l’hyper-connectivité incomprise par ses usagers (même dans le monde des TIC !) alors qu’Internet est la plus grande archive qui ait jamais existé. Dans mes présentations de sensibilisation, j’utilise souvent des parallèles issus de l’actualité des médias, comme l’homme d’affaires faisant aveuglément confiance à Bernard Madoff, l’écologiste américain croyant rouler «propre» dans un véhicule allemand, jusqu’au jour où… tout cela s’effondre devant une réalité bien plus
45
ends Interview VIP - Cybersecurity Tr
sombre. Par ces images de «succès» devenus des «scandales», je veux montrer à quel point l’homme est de prime abord naïf lorsqu’il accorde sa confiance à un individu ou à une marque dont l’image paraît parfaite. Laurent Chrzanovski : quel est votre but avec ces exemples ? Arnaud Velten : Il faut entrainer le subconscient collectif dans une introspection concernant la façon dont tout un chacun se connecte. Oui, on utilise des réseaux sociaux, mais savons-nous que ces mêmes réseaux sociaux, dans lesquels on a confiance, sont en train de peaufiner la plus grande intrusion possible en développant des moteurs de reconnaissance faciale à très grande vitesse ? Lorsque ceux-ci seront mis en œuvre, plus aucune image de vous-mêmes, de vos proches, restera ignorée, y compris toutes celles qui sont «perdues» dans le deep web. C’est ainsi tout votre passé, et pas forcément le plus glorieux si vous êtes un adepte de la mise en ligne systématique d’images, qui va ressurgir aux yeux de tous. Laurent Chrzanovski : comment pourrait-on techniquement éviter des malheurs, au moins avec ce que l’on n’a pas encore mis en ligne ? Arnaud Velten : je travaille au sein d’un groupe international : Thinkservices de volontaires dont le but est de créer une extension, facile à l’emploi, de crowd sourcing. Son but, lorsque l’internaute l’insérera dans son moteur de recherche, est de montrer immédiatement la confiance qu’il peut ou non accorder à un site ou à un réseau, selon cinq paramètres simples : l’accessibilité et la diversité (facteurs d’attrait) mis en regard de la compliance, de la confiance et de l’honnêteté du site. Pour l’instant, nous nous focalisons sur les services Cloud pour commencer, un projet pour lequel je tiens à remercier Pascal Kotté et le professeur Jean Henry Morin de l’université de Genève. Les notations de chacun de ses paramètres, insérées par les internautes eux-mêmes, deviendront à la fois une garantie d’objectivité (par le nombre et le concept de volontariat) et une démonstration parlante de la complexité du système : chacun choisira alors en toute connaissance de cause ce qu’il décide d’accepter comme sacrifice (à sa vie privée, à ses économies s’il opte pour un site payant) pour préserver la sécurité de sa «réputation digitale». La cartographie, une de mes passions depuis longtemps, permet de rendre une image qui vaut souvent bien plus, en termes d’impact, que de longs discours. Laurent Chrzanovski : comment êtes-vous passé du monde du graphisme et des white jedi à la gestion de la communication d’un événement aussi délicat que l’IE2S ? Arnaud Velten : par un résultat de la même réflexion, doublé de mes études dans le domaine du Marketing, de l’Intelligence Stratégique et des Médias. Le problème, pour des
46
événements stratégiques et confidentiels comme l’IE2S, est d’assurer la sécurité de la partie à portes closes, que seuls les participants connaissent (lieu de la rencontre, carnet d’adresses, contenu des séances) tout en étant visible. Une personne ou un événement sans présence digitale (images, textes, vidéos, hashtags) est purement inexistante dans le monde d’aujourd’hui. Les événements stratégiques, contrairement à des grands congrès portes ouvertes, doivent être documentés avec beaucoup de subtilité, et avec un peu de recul nécessaire, permettant à chaque fois de se poser la question : «si je poste en ligne cela, quelle image sera-t’elle perçue par l’internaute». Laurent Chrzanovski : quels sont les maîtres mots d’une telle communication, comment dire ce qui ne doit pas être (trop) dit ? Arnaud Velten : En premier lieu, avant la rencontre, les objectifs de la communication doivent être fixés par les organisateurs de l’événement et le «communicateur» doit comprendre l’événement pour s’y adapter et ne pas déroger à ces objectifs. Il y a quelques règles d’or, tous événements stratégiques confondus. La plus importante est de documenter, sans jamais mentir. La subjectivité n’a pas lieu d’être dans le peu que l’on peut rendre public, dans le cas de ce genre de rencontres. Pour cela, en termes de photographie, par exemple, il faut toujours respecter l’image des orateurs et des personnes présentes. Par exemple, dans les cadrages, on s’efforcera de photographier uniquement le visage de l’orateur. Si un cliché est mauvais ou indélicat, il faut le détruire immédiatement. Ensuite, cela peut paraître banal, mais le port d’un appareil photographique de taille, bien visible, indique à tous que vous êtes là pour prendre des images : la méfiance de «la photo volée» disparaît et vous gagnez la confiance des personnes présentes, qui peuvent refuser d’être photographiés mais aussi valider la mise en ligne ou vous demander d’effacer une image donnée. Ensuite, il faut impérativement marquer de façon indélébile les photographies autorisées avant de les poster sur les réseaux, ce qui permet aux organisateurs de les distinguer de celles prises sans autorisation par des tiers, si elles apparaissent en ligne, et d’agir en conséquence. Enfin, il s’agit d’adapter le corpus des images et des séquences avec la ligne voulue par les organisateurs. La clé du succès, en sus de faire trésor des erreurs passées, est de mener un travail en profondeur avec les organisateurs pour bien peser ce qui doit être en ligne «dans l’immédiat» et ce qui peut attendre la fin de la demi-journée, de la journée ou de l’événement pour être trié à tête froide et posté en toute connaissance de cause.
Bibliographie L’app du CERT-EU
Le CERT-EU de l’Union Européenne a fait preuve d’une proactivité extraordinaire, proposant non seulement aux analystes, mais à tous les citoyens, une app disponible pour les smartphones (AndroÏd et iPhone). Il s’agit d’une plateforme ergonomique, très bien conçue et disponible en 10 langues. Elle propose une exploitation constante de milliers de médias en ligne: grâce à des technologies de dernière génération, elle extrait et classe en temps réel les nouvelles selon des catégories très bien hiérarchisées, allant des «Top 20 news» du moment aux sections dédiés à des thématiques (et leurs sous-thématiques) plus spécifiques, comme par exemple «Dangers existants», «Dangers stratégiques», «Cyber-criminalité», «Fraudes économiques», «Vulnérabilités de produits», «Maliciels», etc. Pour chaque utilisateur de cette app, une simple consultation quotidienne des dernières nouvelles, selon ses propres priorités et ses choix, lui permettra de mieux protéger ses affaires, sa vie professionnelle et privée, ses instruments de travail et les logiciels qu’il utilise., https://cert.europa.eu/
Law 1: Attackers Will Always Find Their Way Law 2: Know the Assets to Protect Law 3: No Security Through Obscurity Law 4: Trust No One Law 5: Si Vis Pacem, Para Bellum Law 6: Security Is no Stronger Than Its Weakest Link Law 7: You are the Weakest Link Law 8: If You Watch the Internet, the Internet Is Watching You Law 9: Quis Custodiet Ipsos Custodes? Law 10: Security Is Not a Product, Security Is a Process Si chaque «loi» mériterait un compte-rendu en soi, nous avons choisi de retenir du volume entier trois éléments qui nous paraissent fondamentaux. Le premier est celui qui explique clairement qu’un système (ou un écosystème) doit être jugé en fonction de son maillon le plus faible, à savoir le facteur humain, et non pas de celui le plus performant – par exemple un firewall d’avant-garde. Le second élément, à l’heure des nouvelles lois sur la vie privée, insiste sur le fait que même si les «gardiens du système» (Custodes) sont des professionnels hautement qualifiés, ils doivent eux aussi être soumis à des vérifications permanentes de la part d’une tierce autorité, aussi bien pour éviter d’éventuels abus que pour vérifier que l’usure du temps ne leur fasse pas perdre leur performance et leur acuité dans un monde technologique en mutation permanente. Diehl a choisi pour la fin l’argument le plus important de tous, même s’il paraît une banalité, car c’est l’élément de danger qui est encore malheureusement le plus présent dans le monde réel et qui a les conséquences les plus catastrophiques: l’incompréhension du fait que la sécurité n’est pas, et ne sera jamais, un «produit». C’est un ensemble cohérent de technologies et de personnel formé à la sécurité, qui doit être en évolution continue pour ne pas être rapidement dépassé par les nouvelles solutions élaborées par les criminels, dont la quête d’amélioration des techniques d’attaque ne connait aucun répit.
Eric Diehl, Ten Laws for Security, Springer, Cham 2016 Eric Diehl, citoyen français devenu l’un des plus éminents cryptographes au monde, nous offre ici un chefd’œuvre d’interdisciplinarité et de bon sens. Pour les lecteurs habitués à son style fluide et incisif, que l’on retrouve dans chacune des brèves qu’il publie sur son blog (https://eric-diehl.com), c’est un véritable plaisir que de lire un volume entier rédigé de sa main. Conseillé à tous les entrepreneurs et destiné à devenir un ouvrage de référence aussi bien pour les chercheurs que pour les organismes spécialisés et les professionnels, le texte y est structuré autour de dix «lois» introduites et illustrées par des exemples réels, pour mettre ensuite à la disposition du lecteur les différentes possibilités qui s’offrent à lui pour résoudre les problématiques liées à chacune de ces lois, que nous reproduisons ici pour une meilleure compréhension:
A.A.V.V., Cybersecurity Futures 2020 (Center for Long-Term Cybersecurity, School of Information, University of California), Berkeley 2016. Ce volume se lit comme un roman policier de science-fiction. Les coordinateurs de l’Université de Berkeley ont travaillé avec des équipes pluridisciplinaires afin de nous proposer 5 scénarios possibles au terme des trois prochaines années. Même les textes et les images sont conçus de façon à nous donner l’illusion qu’il s’agit d’un livre historique publié en 2020 et qui se penche sur le passé récent du domaine en question. D’emblée, le lecteur sera impressionné par la probabilité élevée que plusieurs des hypothèses, mentionnées dans chacun des scénarios, deviennent notre réalité future si nous n’adoptons pas dès aujourd’hui un
47
Trends Bibliographie - Cybersecurity comportement plus prudent face aux technologies et que nous ne jetons pas les bases d’une véritable éducation citoyenne complète dans le domaine de la cyber-sécurité. Le premier scénario «The new normal» nous présente une société désormais résignée, qui accepte d’emblée le fait que les informations personnelles sont inévitablement volées ou rendues publiques. Les attaques deviennent ainsi toujours plus personnelles et les hackers font preuve d’une capacité de collaboration au niveau mondial, tandis que les législateurs et les forces de l’ordre peinent à faire évoluer le corpus normatif et surtout à s’échanger des informations de façon systématique. Dans ces conditions, de nombreux citoyens choisissent de vivre déconnectés, tandis que d’autres optent pour des contre-attaques avec les mêmes instruments utilisés par les hackers. Le monde digital est désormais un véritable «Wild West», où celui qui désire réparation pour un dommage subi doit trouver par lui-même les ressources pour se faire justice tout seul. Le second scénario, «Omega», propose une société réduite à une certaine forme d’esclavage, soumise à des algorithmes et à des technologies capables d’anticiper et de manipuler le comportement de tout homme connecté exactement au moment où celui-ci s’apprête à entreprendre telle ou telle action ou à prendre telle ou telle décision, qu’il s’agisse de sa vie professionnelle ou de sa vie privée. Les spécialistes de la sécurité sont dépassés par les nouveaux enjeux et par les vulnérabilités des systèmes de prévision comportementale, ces mêmes vulnérabilités qui permettent aux hackers de s’approprier les destinées de centaines de milliers d’individus, causant des dommages économiques et personnels incalculables. Le troisième scénario, «Bubble 2.0» prévoit une nouvelle crise des actions boursières des géants du web suite à la chute libre des revenus publicitaires dans le monde digital. Les criminels et les entreprises survivantes se livrent à une compétition sans merci pour récupérer les données recueillies par les compagnies qui ont fait faillite. La «guerre des données» bat son plein, dans les pires conditions possibles: panique des marchés, droits d’auteur et de propriété ambigus, opérateurs économiques opaques et «data trolls» qui pullulent de partout. Si les criminels et le personnel des entreprises actives travaillant à cette gigantesque collecte de données et à leur analyse se portent bien, le crash de l’industrie IT a mis au chômage des milliers de spécialistes et de chercheurs, parmi lesquels nombreux sont ceux qui sont désormais prêts à accepter n’importe quel travail, qu’importe qu’il soit honnête ou criminel. Le quatrième scénario, «Intentional Internet of Things» suggère en revanche une révolution sociale, où des groupes de citoyens ont pris le pouvoir pour faire face aux problèmes de l’éducation, de la santé, de l’écologie, du monde professionnel et de la sphère privée. Bien des problématiques pour lesquels on pensait jusqu’alors qu’il n’existait pas de solution – comme le changement climatique ou l’amélioration du système de soins médicaux – sont proches d’être
48
résolus. En revanche, les tensions entre les pays riches, qui savent utiliser ce «nouvel internet», et les pays pauvres, qui n’ont pas accès aux technologies de dernière génération, sont à leur apogée. Les hackers dénichent d’innombrables possibilités pour manipuler et mettre en danger les systèmes IoT, souvent sans que leurs actions ne puissent être détectées. Puisque l’IoT est désormais partout, le rôle de la «cyber-sécurité « est réduit en conséquence à une simple opération de «sécurisation de la vie quotidienne». Enfin, le dernier scénario, appelé «Sensorium ou l’Internet des émotions» anticipe l’existence d’une gamme complète d’accessoires (wearables) qui soient en mesure de prendre le contrôle des états émotifs de l’utilisateur, grâce au traçage en temps réel et à chaque instant du niveau hormonal, du ton de la voix, etc. Internet est devenu un système de lecture des émotions, capable d’atteindre les aspects les plus intimes de la psychologie humaine. Chaque individu peut être suivi et manipulé en fonction de son humeur du moment, et les criminels aussi bien que certains Etats qui parviennent à pénétrer dans les bases de données émotionnelles en profitent de façon massive pour effectuer des chantages sur mesure à l’encontre de leurs cibles prioritaires. La cyber-sécurité a été intégralement repensée et a désormais pour but de défendre la société toute entière en sécurisant les bases de données émotionnelles. Il s’agit en priorité de défendre et protéger l’image publique des citoyens, leur intimité (ou privacy) étant devenue celle de leurs émotions et de leurs humeurs. https://cltc.berkeley.edu/scenarios/
Neil. C. Rowe, Julian Rrushi, Introduction to Cyberdeception, Springer, Cham 2016 (Ndr: même si la correspondance n’est pas à 100% exacte, nous avons choisi d’utiliser le terme français déception entre guillemets pour traduire le vocable anglais deception). Ce manuel est une pièce rare, en ce sens qu’il parvient, grâce à un style clair et agréable à lire, à proposer une approche à 360° sur la «déception», de son concept physiologique à son utilisation civile ou militaire, qu’elle soit défensive ou offensive. Les thématiques se succèdent avec un fil conducteur évident, qui nous amène des retards volontaires à l’usage des faux, des mimétismes défensifs aux informations manipulées et, naturellement, à l’utilisation de la «déception» comme arme de défense contre les actions d’ingénierie sociale. Un chapitre entier est ensuite consacré à l’éthique propre à cette technique, permettant de construire ensuite des logiciels de «déception» et ce jusqu’au niveau d’un système SCADA, autant d’instruments nouveaux et bien plus économiques par rapport aux technologies conventionnelles de défense, auxquelles ils devront être néanmoins reliés grâce
à des solutions d’avant-garde. Nous ne pouvons que saluer la rétrospective historique, trop souvent absente dans les livres d’IT, utilisée par les auteurs pour démontrer les racines antiques de phénomènes comme l’illusion, l’intox, les mensonges et surtout leur usage, toujours d’actualité, contre les criminels. Les auteurs proposent enfin une série de techniques pour mesurer le succès de la «déception» et pour trouver des solutions afin de l’améliorer quantitativement… Pris par l’enthousiasme d’une lecture aussi haletante, nous nous mettrions presque à rêver que dans un futur proche, auprès du CIO, du CSO ed du CISO, nous verrons apparaître la figure du Chief Deception Officer – car même si plusieurs CIO et CISO excellent déjà dans l’art subtil de la «déception», ils sont encore trop peu nombreux, en particulier en Europe. Steve Grobman, Allison Cerra, The Second Economy. The Race for Trust, Treasure and Time in the Cybersecurity War, Apress, New York 2016 «According to the Center for Strategic and International Studies, a Washington think tank, the estimated global costs of cybercrime and economic espionage are nearly $450 billion, placing cybercrime in similar company with drug trafficking in terms of economic harm. Put another way, if cybercrime were a country, its GDP (gross domestic product) would rank in the top 30 of nations, exceeding the economies of Singapore, Hong Kong, and Austria, to name just a few.» C’est avec ce constat, dont l’intention est, dès le préambule du volume, de donner au lecteur l’électrochoc nécessaire, que les auteurs ont choisi d’ouvrir une réflexion impressionnante de profondeur, où chaque chapitre débute par une narration des racines historiques de toutes les formes de criminalité et d’espionnage pour mieux expliquer ensuite comment nous sommes parvenus à la situation, souvent dramatique, d’aujourd’hui. Ce tome a été pensé pour le grand public et en particulier pour les décideurs, afin que ces derniers puissent comprendre la complexité de l’écosystème qui se trouve désormais sous leur direction et leur responsabilité directes. L’intention des auteurs est aussi de simplifier la compréhension, grâce à une approche claire, de trois éléments vitaux à toute structure publique mais surtout privée: la confiance, les finances et, surtout, le facteur temps, qui est devenu désormais le plus mortel des ennemis en cas d’infraction informatique. En effet, plus une attaque réussie est courte et simple et plus il devient presque impossible de la contrer. En revanche, si une entreprise est bien défendue, avec des technologies de pointe et du personnel de qualité, dûment formé, il existe alors toute une gamme d’actions anormales (ingénierie sociale, phising, relations douteuses – y compris celles physiques) qui peuvent être dépistées avec anticipation, bien avant l’attaque frontale en préparation duquel elles doivent ouvrir le plus de portes possibles.
Le cynisme réaliste et voulu par les auteurs donne le ton nécessaire à nous obliger à rejoindre et adopter un véritable manifeste sur l’honnêteté nécessaire que devraient avoir Etats et entreprises lorsque l’on vient à aborder ce genre de problématiques. Nous rendons ci-après quelques-unes des phrases-choc choisies pour renforcer une analyse selon laquelle le pragmatisme et la défense proactive n’ont rien à voir ni avec les lois, ni avec la morale. Le premier axiome est résumé à la perfection par une citation du célèbre juriste indien B.R. Ambedkar: «History shows that where ethics and economics come in conflict, victory is always with economics». En un mot, soit une entreprise a une défense gagnante parce qu’elle est à l’avant-garde en termes de techniques de sécurité, c’est-àdire qu’elle a intégré dans son équipe aussi bien des black hats que des white hats, sans oublier un crisis management response team souvent réactif, ce qui implique qu’elle a «fermé un œil» sur certains aspects éthiques, soit elle sera perdante contre des criminels qui ne connaissent ni morale, ni pitié. Avec ironie, les auteurs soulignent que depuis toujours, dans le secteur privé, le fait de «fermer un œil» sur certains aspects éthiques est pour beaucoup dans le recette d’un succès sur le plan global. Ainsi, vouloir être «éthiques» en parlant de défense contre une attaque criminelle relève bien plus d’un discours de propagande que d’une volonté réelle. Le second axiome, une évidence pour tous ceux qui ne sont pas soumis au «politiquement correct» et qui correspond parfaitement à la réalité, est celui qui veut qu’à l’exception de quelques rares cas ayant fait l’objet de très longues investigations, toute attribution – encore plus si elle est immédiate – d’une attaque contre une entreprise privée de la part d’un Etat ne relève pas seulement de l’absurde, mais se révèle être une technique de communication nocive, qui fera non seulement perdre du temps aux enquêteurs, mais qui risque pousser cette «intox» tellement loin que de nombreux employés, y compris les spécialistes en sécurité, vont finir à croire que c’est bien la vérité. Les morphologies des attaques et les modus operandi observés durant les dernières années montrent bien à quel point l’attribution certaine d’une attaque contre une entreprise privée est devenue quasiment impossible, même dans les cas où l’enquête permet de remonter la piste et d’identifier de façon générique un groupe de «black hats», connu pour avoir des liens avec un certain Etat, mais qui agit souvent aussi à son compte (ou en «pay per service»), in primis pour ses propres intérêts économiques. Une citation, parmi tant d’autres proposées dans le volume, destinée à nous faire comprendre la nature du monde dans lequel nous vivons, est un extrait d’une réflexion du poète et philosophe anglais Gilbert K. Chesterton, qui semble directement nous parler d’une bonne partie de nos élites politiques et économiques: «It isn’t that they can’t see the solution. It is that they can’t see the problem.» Viennent ensuite des listes entières d’arguments dûment motivés venant nous rappeler que nous vivons dans une réalité dont nous avons perdu le contrôle à cause de notre engouement pour l’innovation et pour son côté frénétique, un élément qui, jour après jour, amène les dirigeants vers une incompréhension toujours plus grande du système. A ce sujet, l’un des parallèles
49
Trends Bibliographie - Cybersecurity choisis est stupéfiant. L’ensemble des actions menées par la NASA pour réussir à amener Neil Armstrong et son équipage sur la lune se résume à un programme qui compte 145’000 lignes de code. Aujourd’hui, rien que le système d’opération d’un smartphone – sans logiciels ni app – repose sur plus de 12 millions de lignes de code. Javier Parra-Arnau, Félix Gómez Mármol, David RebolloMonedero, Jordi Forné, Shall I post this now? Optimized, delaybased privacy protection in social networks, in Knowledge and Information Systems (sous presse), 33 pp. Cet article, éminemment mathématique, se révèle pourtant essentiel même pour un large public. En effet, en laissant de côté la substantifique moelle des algorithmes permettant à des programmateurs de créer leur propre logiciel de dissémination chronologique de leurs contenus sur les réseaux sociaux sur l’ensemble de l’arc temporel d’une journée, une lecture attentive des premières et des dernières pages du texte vient démontrer l’intérêt fondamental de cette approche, qu’importe que nous adoptions cette méthode en utilisant des logiciels existants ou que nous la mettions en pratique «manuellement». Au fil des pages, nous apprenons quel est l’impact positif, sur notre vie quotidienne et notre sphère privée, d’un tel «retard volontaire» du partage de nos contenus en ligne.
© Parra-Arnau, Gómez Mármol, Rebollo-Monedero, Forné, Fig. 1 Pour motiver leur recherche, les auteurs dressent un tableau de tous les risques que nous courons en utilisant les réseaux sociaux de façon immédiate et instinctive – pour notre sécurité, notre vie privée, mais aussi dans toute une série d’autres domaines. Pour ce faire, ils ont illustré leurs propos par un cas d’étude, basé sur un fait réel, qui a connu un grand impact médiatique outreAtlantique. On y apprend l’histoire d’Isabella: cette citoyenne américaine est une jeune étudiante ayant à peine terminé une maîtrise en droit avec des résultats extraordinaires. De façon logique, de nombreux cabinets d’avocats la contactent pour lui proposer une première entrevue de travail. Et c’est à ce moment précis que débute une aventure qui, heureusement, n’a pas connu une fin tragique. Le nom de famille de la jeune fille est d’origine orientale, plus précisément arabe, ce qui en soi, dans les grandes
50
métropoles des Etats-Unis, ne constitue pas un élément pouvant être à la source d’un problème. De surcroit, consciente qu’elle pourrait un jour être victime d’attaques basées sur ses origines ou sur sa religion, Isabella s’est toujours abstenue de mettre en ligne des contenus à caractère politique, religieux ou dévoilant sa vie privée. Sur les réseaux professionnels, elle a un profil impeccable, tandis que sur les autres réseaux elle raconte bien plus la vie de son petit chien qu’elle ne partage des éléments de son quotidien. Mais il y a bel et bien un problème. Durant les dernières années, Isabella, musulmane modérée, a surtout utilisé le moment du déjeuner pour mettre en ligne des contenus, mais cela seulement durant une période spécifique de l’année, celle du Ramadan. C’est ainsi que cet élément banal, analysé par les technologies du big data dont disposaient les ressources humaines des cabinets d’avocats qui désiraient embaucher Isabella, a fait en sorte que le dialogue de nombreuses entrevues a dégénéré dans des questions incommodes sur sa vie privée, ses origines ethniques, le tout avec pour but évident d’en savoir plus sur ses convictions religieuses. Par bonheur, l’étudiante brillante a fini par être embauchée par un cabinet prestigieux. La proposition des auteurs se base sur le fait que tout un chacun a ses propres «pics d’activité» en ligne et sur les réseaux sociaux, d’où le besoin de trouver une méthode de protection en veillant à ce qu’elle ne soit pas contraignante, afin de ne pas perdre la satisfaction générée par l’utilisation de ces médias. Parmi tous les contenus créés par un utilisateur, il s’agit donc à la fois de choisir ceux qu’il tient à mettre en ligne «en direct» et ceux qui peuvent souffrir un retard de quelques heures, le but final étant d’arriver à constituer une «journée d’activité» presque homogène dans les statistiques chronologiques des «posts» utilisées par les analystes des big data. Selon les auteurs, ce simple déphasage horaire permet non seulement d’améliorer de façon sensible sa sécurité personnelle, mais surtout de réduire de façon drastique les capacités des entreprises spécialisées dans l’extraction des données personnelles sur des critères temporels. Plus encore, si cette méthode est adoptée par un nombre conséquent de citoyens, elle transformera à tel point «big data» qu’elle rendra complètement inutile ce type précis d’analyses.
© Profil normal d’un utilisateur des réseaux sociaux selon les heures de la journée (en rose) et même profil après l’application de la méthode proposée (en bleu). Parra-Arnau, Gómez Mármol, RebolloMonedero, Forné, Fig. 2.
Casey Inez Canfield, Baruch Fischhoff, Alex Davis, Quantifying Phishing Susceptibility for Detection and Behavior Decisions, in Human Factors: The Journal of the Human Factors and Ergonomics Society 58: 8 (December 2016), pp. 1158-1172 Cet article résume une longue recherche menée en 2015 sur un échantillon de 162 personnes volontaires, mais choisies en fonction de leur profil socio-professionnel afin qu’il soit représentatif des ressources humaines dont dispose une entreprise de moyennes dimensions. L’analyse a été financée et approuvée par l’Institutional Review Board de la Carnegie Mellon University et sa méthodologie a suivi pas à pas le code d’éthique de l’American Psychological Association, Code 196 of Ethics. Nous ne sommes donc pas ici, comme c’est le cas dans d’autres analyses dans ce domaine, face à une expérience faite durant une formation de prévention destinée au personnel d’une entreprise unique, expérience qui comporte généralement le lancement d’une campagne interne de phishing (hameçonnage) avant la formation et une seconde après celle-ci, en mesurer l’impact sur la compréhension du phénomène et des règles à suivre pes employés. Il s’agit ici de la simulation d’une situation réelle, qui nous offre le plus précis des baromètres possibles concernant l’ampleur de l’incompréhension, dans la pratique quotidienne, de la théorie transmise durant les campagnes de préventions, précisément parce qu’il s’agit d’un échantillon d’employés de tous niveaux travaillant dans des entreprises qui, selon les réglementations entrepreneuriales en vigueur aux Etats-Unis, ont bénéficié d’une formation de base en matière de lutte contre les phénomènes de cyber-criminalité, en premier lieu celui du phising (hameçonnage) Les résultats sont plus que préoccupants. Avant de recevoir les courriels à analyser, tous les participants ont reçu plusieurs messages du type : «soyez vigilants, plus de la moitié des courriels que vous allez recevoir sont des tentatives d’hameçonnage». De plus, aucun courriel compliqué n’a été envoyé ; au contraire, tous comprenaient plusieurs des signaux révélateurs d’un courriel d’hameçonnage : (1) Formule impersonnelle de salutation, (2) expéditeur au nom intentionnellement créé pour ne pas inspirer confiance / renvois à des liens URL ou à des adresses IP douteuses 3) contenus anormaux aussi bien en ce qui concerne le faux expéditeur que le récipiendaire (4) demandes d’agir dans l’urgence, et enfin (5) nombreuses erreurs de grammaire et d’orthographe. Dans le détail, la perception de l’hameçonnage – comme élément désormais presque «constitutif» du contenu quotidien de la boîte de réception – est assez bonne : l’échantillon démontre qu’une large majorité de participants sait qu’il y a des courriels d’hameçonnage et qu’il peut soit les analyser soit, plus directement, les éliminer. C’est ce qui résulte du premier test, où chacun devait répondre aux demandes suivantes : (1) «est-
ce que ce courriel est un courriel d’hameçonnage ?» (Oui/Non) (détection) ; (2) «Que feriez-vous si vous receviez ce courriel ?» (réponse à choix multiples). Cependant, d’autre part, lorsque les volontaires se sont trouvés vraiment face à un courriel douteux, la confiance en soi semble avoir réellement aveuglé la majorité des participants et les erreurs ont commencé à se multiplier.
© Canfield, Fischhoff, Davis, Figura 3. Les conclusions, comme on peut l’observer dans le graphique ci-dessus, sont consternantes et nous sommes convaincu que si un test identique était réalisé sur un échantillon semblable en Europe, où la prise de conscience sur les risques d’hameçonnage est très inégale selon les pays, les résultats en seraient plus catastrophiques encore. Grâce à ce rare type de recherche, que nous espérons voir se répéter le plus souvent possible, nous avons un argument de poids de plus pour convaincre décideurs politiques et entrepreneurs qu’il est grand temps d’agir concrètement pour limiter les dégâts, en particulier après trois ans de vagues mensuelles de crypto-ransomware successives qui ont rejoint leurs victimes… grâce aux courriels d’hameçonnage.
Les compte rendus sont rédigés par Laurent Chrzanovski et n’expriment pas nécessairement le point de vue de la revue et de ses éditeurs.
51
Trends - Cybersecurity Trends Une publication get to know!
et
Pour le compte du
Note copyright: Copyright © 2017 Pear Media SRL, Swiss WebAcademy et CLUSIS. Tous droits réservés. Le matériel original imprimé dans ce volume appartient à Pear Media SRL, à Swiss WebAcademy et au CLUSIS. Rédaction: Laurent Chrzanovski et Romulus Maier (toutes éditions) Pour l’édition du CLUSIS: Enrico Viganò, Président du CLUSIS ISSN 2559 - 1789 ISSN-L 2559 - 1789 Adresse: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, secteur 4, 040243 Bucharest, Roumanie Tel.: 021-3309282; Fax 021-3309285 www.clusis.ch www.cybersecuritytrends.ro www.agora.ro www.swissacademy.eu
52
2à6 SWISS MADE SECURITY Cybercriminalité, tendances, initiatives, outils et services en Suisse et en Europe
CYCLE DE 3 CONFÉRENCES 9 juin, 10 septembre, 10 novembre 2017
Clusis Association suisse de la sécurité de l’information
www.clusis.ch