Le nombre d’intrusions avérées dans des systèmes d’information signalées à l’ANSSI a augmenté de 37% entre 2020 et 2021 (786 en 2020 contre 1082 en 2021, soit désormais près de 3 intrusions avérées par jour).
La menace – complexe, professionnelle et en constante évolution – ne faiblit pas et nos systèmes d’information restent toujours vulnérables avec des incidents de plus en plus nombreux – certains atteignant une ampleur et une sophistication encore jamais vues.
Comment aider les organisations à mieux se préparer aux bonnes pratiques de gouvernance et de gestion des risques ? Quelle sensibilisation et actions menées face au risque cyber ? L’Etat en fait-il assez ? Comment s’adapter au mieux au panorama des menaces ?
Expertise et éléments de réponse avec Jean-Nicolas Piotrowski, Pdg de ITrust et Luc Ferry, écrivain, philosophe et ancien ministre.
Pure Player français Cybersécurité depuis 2007 avec une centaine de salariés, ITrust* propose ses services d’expertise et de protection Cyber à partir d’intelligence artificielle appliquée à la cybersécurité.
L’entreprise développe ainsi des produits de rupture en Cyber/ IA avec des outils développés en France, labellisés (non soumis au Patriot Act et Cloud Act) et qui protègent le citoyen européen, les entreprises sensibles, les OIV, les OSE, contre les malveillances, attaques de phishing , cryptolockers, ransomwares aussi bien en préventif qu’en détection.
ITrust est selon son Pdg à 100% de protection de ses clients sur les 5 dernières années.
Julien Merali : Luc, comment les directions générales doivent-elles penser le risque ?
Luc Ferry : Elles doivent d’abord prendre conscience que l’on vit dans une société qui sera de plus en plus agressive, de moins en moins respectueuse des lois et qu’il faut absolument se protéger dès maintenant.
Je ne suis pas sûr que les chefs d’entreprise aient tous bien compris ce qu’est la troisième Révolution Industrielle [ aussi appelée industrie du futur ou quatrième Révolution Industrielle ] et à quel point, cette intelligence artificielle est vraiment intelligente et efficace.
On a vu l’agression de l’hôpital de Corbeil-Essonnes donc cela veut dire qu’il n’y a « no limit ». On vit dans une société où il y a un déclin manifeste du respect de la loi et une prolifération des droits où les gens ont le sentiment « qu’ils ont droit à ».
Il y a un deuxième élément qui est très important aussi, c’est que tout le monde a le sentiment aujourd’hui d’avoir le droit au bonheur. C’est-à-dire que la question du pouvoir d’achat est la question numéro 1 pour les Français. Donc, si vous mettez ensemble l’idée qu’il y a un déclin du respect de la loi, une augmentation de la prolifération des droits et que la préoccupation principale des Français est le pouvoir d’achat, à la limite, tous les moyens sont bons pour y arriver.
Donc on vit dans une société qui, de ce point de vue-là, est assez dangereuse surtout si on n’aime pas les entreprises et que l’on considère comme la NUPES que les entreprises sont des grands exploiteurs et que le grand capital est l’exploitation de l’homme.
Alors, tout devient autorisé pour gagner de l’argent et pour rentrer dans la société de consommation. L’ensemble du paysage disons moral ou immoral dans lequel on entre, c’est que, pendant des siècles et des siècles, les humains ont vécu sur des idéologies du bonheur différé : pour les enfants, le bonheur était après la classe, pendant les vacances. Pour les salariés, c’était après la retraite. Pour les communistes, c’était après la révolution. Pour les catholiques, c’était après la vie terrestre, au paradis.
Aujourd’hui, nous sommes rentrés dans des idéologies du bonheur « ici et maintenant » ; psychologie positive, développement personnel… Et donc, si vous ajoutez l’idée qu’il y a un déclin de la loi, que le pouvoir d’achat devient hyper important, que plus personne ne croit vraiment à la résurrection de Lazare [ Jésus ramène Lazare de Béthanie à la vie quatre jours après son enterrement ], que l’on a qu’une seule vie, que le bonheur, c’est ici et maintenant, gagner du pognon devient l’urgence ! « On ne va pas gâcher sa vie ! »
Du coup, je pense que les attaques contre les entreprises vont se développer de manière exponentielle dans les 10 années qui viennent.
Julien Merali : Pas rassurant mais en tout cas réaliste. Jean-Nicolas, comment les entreprises doivent-elles affronter ces temps nouveaux que décrit Luc.
Jean-Nicolas Piotrowski : Il y a eu un point de bascule lorsque le Stuxnet est apparu. Stuxnet est le virus qui a attaqué les centrales nucléaires iraniennes [ ver informatique découvert en 2010 qui aurait été conçu par la National Security Agency (NSA) en collaboration avec l’unité israélienne 8200 pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium ].
On est passé d’un monde d’amateurs à un monde de professionnalisation de la menace cyber. A l’époque, c’était plutôt des jeunes et moins jeunes qui voulaient se faire remarquer, voire même se faire embaucher par certaines structures étatiques en montrant qu’ils avaient réussi un piratage. Il y avait là un challenge intellectuel. Après, on a commencé à gagner pas mal d’argent en faisant du piratage, jusqu’à ce que des États et mafias s’emparent de ces sujets-là.
On est donc rentré dans un modèle complètement industrialisé qui est devenu un business vraiment énorme !
Et il y a aussi l’ouverture des systèmes d’information sur le Cloud et la multiplication des prestataires : par exemple, 80% de la production d’avion d’Airbus se trouvent chez les sous-traitants : Donc on a agrandi la surface de risque sur les Clouds.
Bref, états, mafias, professionnalisation des attaques, cela a créé un mélange particulier de Stuxnet, de malware, de ransonware, d’attaques inconnues qui arrivent à by-passer et détourner les mesures conventionnelles de protection.
Les dirigeants n’ont pas conscience du risque parce qu’ils ont du mal à l’évaluer et qu’ils sont mal conseillés. Il y a un décalage complet entre la gestion du risque, l’évaluation de la menace et la maitrise des process.
Alors, il y a des solutions si on met en place les bons process, les normes ISO 27 001 et il y a une maturité des systèmes de protection que l’on arrive maintenant à évaluer. On arrive à avoir des systèmes protégés à 99%.
Donc, il ne faut pas rentrer dans le schéma : « je ne maîtrise pas trop – j’ai confiance en mon directeur informatique » – certes, il faut lui faire confiance mais il faut pouvoir avoir un oeil critique.
Il y a beaucoup de sujets mais les solutions existent. Et il faut aussi qu’on se flagelle parce que nous ne sommes peut-être pas bons dans la communication. Il faut que l’on explique bien le risque aux dirigeants .
Julien Merali : Luc, est-ce que vous pensez qu’il n’y a pas assez d’anticipation et qu’il y a, peut-être, de la part des dirigeants, un déni de réalité ?
Luc Ferry : J’interviens très souvent auprès des entreprises dans toute l’Europe sur des questions notamment qui touchent à l’intelligence artificielle. Et je suis extrêmement frappé de voir dirigeants de PME, d’ETI, voire de grandes entreprises, être très surpris et complètement ignorants quand je leur parle des différents types d’intelligence artificielle et de comment cela fonctionne ;
quand je leur explique la puissance des ordinateurs, la qualité des algorithmes, la gestion du Big Data, pourquoi la Chine est plus performante que les États-Unis – parce qu’il n’y a pas de protection de la vie privée et qu’ils engrangent le Big Data sans aucune espèce de barrières, etc.
Si on ignore complètement ce qu’est l’IA et des paramètres qui boostent l’intelligence artificielle, si on ne sait pas ce qu’est un algorithme par exemple, on est obligé de faire confiance à un DSI, qui n’est peut-être pas tout à fait au point – parce que cela va très très vite, ce sont des évolutions incroyablement rapides. Les types qui travaillent sur les cyberattaques sont très bons et avancent très rapidement.
Donc, je pense qu’en effet, la plupart des chefs d’entreprise en France – on l’a vu aussi avec les directions d’hôpitaux – n’ont pas pris la mesure du risque. Ils pensent que cela reste de la science-fiction alors que non, c’est la réalité.
J’ajoute une chose : 70% des Français sont anti-libéraux, y compris à droite et à l’extrême droite. Ils n’aiment pas les entreprises, n’aiment pas le libéralisme et du coup, cela favorise cette idée chez un certain nombre de hackers, qu’attaquer une entreprise, à la limite, c’est bien. C’est presque éthique ! Pour un écologiste radical qui plaide pour la décroissance, attaquer une entreprise, il va gagner du pognon, s’il y arrive, mais en plus, il a le sentiment d’être un militant du bien et de la vérité.
Julien Merali : Jean-Nicolas, comment aider les DSI et RSSI à épauler davantage leur direction générale ?
Jean-Nicolas Piotrowski : La première étape qui est essentielle, c’est de donner aux dirigeants, les scénarios des risques et ce, de manière complètement exhaustive, afin qu’ils puissent faire des choix. Et qu’ils disent : ce risque-là, on le met de côté et celui-là, on l’assure ! Et donc, qu’ils donnent les moyens de parer à ce risque.
Tout passe par l’analyse de risque. Il faut juste que le dirigeant sache combien il risque, en image de marque, en coût, en non productivité, en blocage de la production et combien, face à ça, il est prêt à mettre.
Julien Merali : Les DSI et RSSI nous disent qu’il est très difficile de calculer le coût d’une attaque.
Jean-Nicolas Piotrowski : Il y a des méthodes comme l’ISO 27002 et l’ISO 27005 qui le font très bien. L’analyse de risque, c’est de dire que si j’ai un ransonware, je vais être bloqué pendant x jours et ça me coûte tant en productivité. On appelle cela des analyses de risques, des analyses de maturité qui doivent donner aux dirigeants un topo complet sur les risques..
A partir du moment où il a ça, il y a beaucoup de choses qui changent parce que vous allez lui dire : « écoutez, voilà les risques ! Après, c’est à vous de décider ! Moi, je suis juste là pour vous dire les risques potentiels, pour envisager le scénario du pire, le cygne noir, l’événement complètement improbable mais qui, s’il se produit donnera des catastrophes pour que votre business soit toujours là demain…
Et là, on commence à avoir des discussions super intéressantes avec des dirigeants parce qu’ils ne sont pas naïfs. Quelle est l’occurence que le risque se produise, certes, il est faible, mais s’il est très faible et qu’il a un impact très grave, Là, je dois le prendre en compte.
Mais c’est à eux de décider. Après, le risque, ils peuvent le donner à une assurance, à son équipe technique, le déléguer à sous-traitant ou même ne rien faire. Mais connaître le risque, c’est déjà le maîtriser. Et je le rappelle, les solutions de sécurité existent !
……….
Julien Merali : L’Etat en fait-il assez, sur la cybersécurité ?
Jean-Nicolas Piotrowski : La guerre n’est plus forcément militaire. Elle est numérique, économique, sur la maîtrise de la donnée. Donc ce sont des enjeux important qui concernent la démocratie avec les fake news, l’identité numérique avec les attaques d’hôpitaux, des enjeux robotiques, de nanotech, de biotech, etc.
On travaille par exemple avec la SNCF pour protéger les trains connectés et éviter le piratage. Même chose avec un avionneur. Donc le sujet devient assez central y compris pour des IoT, les objets du quotidien, pour des stades, pour des avions, pour des voitures – Elon Musk propose d’ailleurs une Tesla gratuite si vous arrivez à la pirater.
Alors maintenant, qu’est-ce qu’on peut faire ?
Nous avons monté une école pour former des ingénieurs en cybersécurité, en intelligence artificielle mais ce n’est pas suffisant.
Il y a certains chiffres qui annoncent 100 000 professionnels manquants en cybersécurité en Europe. Moi je suis plutôt à dire, 10 000 en France. Mais déjà 10 000, c’est énorme. On n’en forme pas assez et quand on essaie d’en former davantage, certaines structures nous bloquent sur les diplômes…
Luc Ferry : Si j’étais à nouveau ministre des Universités, je m’emploierais d’urgence à créer des filières cybersécurité, intelligence artificielle, Big Data, 3e révolution industrielle et il y a plein de gamins qui seraient passionnés par cela, et en plus, ils trouveraient un emploi à la sortie. Et ce sont les emplois de demain.
Je pense qu’au niveau politique, on n’a pas encore pris conscience de ce domaine-là. Ils s’intéressent à des questions importantes comme l’inflation, comme la guerre en Ukraine, comme la récession qui se profile à l’horizon, mais le manque de culture scientifique et technologique fait que ces gens qui sont censés nous diriger n’ont pas idée des révolutions scientifiques en cours, ni de la révolution de la longévité, ni des biotechnologies, ni des révolutions qui touchent à la question des cyberattaques.
D’ailleurs, comme nos intellectuels – je vais me faire détester par tout le monde – mais nos intellectuels n’ont pas de culture scientifique dans l’immense majorité des cas. Ceux que vous entendez le plus à la télévision n’ont pas de culture scientifique dans 99 % des cas. Et c’est un vrai problème !…
Jean-Nicolas Piotrowski : Mon métier, comme tous les professionnels de la cybersécurité, c’est de prévoir l’imprévisible. Aux États-Unis, quand ils font des études sur les risques majeurs pour le pays, le risque cyber arrivait en 10e position il y a une dizaine d’années. Aujourd’hui, il arrive en deuxième ou en troisième position.
Le premier risque, c’est le risque catastrophe naturelle ; éruption volcanique, tempête, etc. Le deuxième, si je ne me trompe pas, c’est le risque cyber parce que les scénarios montrent que l’on peut diffuser des malwares dans les téléphones portables de toute la population, les activer à un moment donné – c’est un scénario qui a été vécu aux États-Unis – et on peut bloquer l’ensemble du pays ; les communications, les infrastructures, les transports, etc.
En Russie, tous les taxis de Moscou ont été reroutés en un même endroit parce que le système de gestion avait été piraté. Et cela a induit le blocage complet de Moscou.
Donc nous travaillons sur ça, des événements d’une faible occurrence et récurrence mais qui ont des impacts très forts.
Ce qui est important, c’est que moi, par exemple, je suis chef d’entreprise, j’ai mes process, mon fonctionnement classique, mes clients, mais en fait, je sais très bien qu’à un moment donné, ce qui fera la différence, c’est la manière de gérer ce risque majeur qui est très peu probable mais qui va se passer. Que ce soit une cyberattaque ou autres problèmes.
C’est à ce moment-là qu’il y a les grandes ruptures.
Mais il faut rester positif. Il y a des solutions et des entreprises et des professionnels qui sont très compétents…
Propos recueillis par Julien Merali, Général Manager du Pôle IT d’Agora Managers, lors des Sessions de l’IT
350 clients dans le monde, 5.2 millions d’IP supervisées ou auditées, 0 client piraté sur les périmètres supervisés par Itrust en 5 ans, 2e éditeur français avec la plus forte croissance depuis 5 ans