Accueil - Les articles

La sécurité numérique doit se renouveler en permanence

Après une année 2018 marquée par un accroissement des menaces numériques, les tendances pour 2019 ne sont pas rassurantes. Durant deux jours (22 et 23 janvier 2019) des centaines d’experts de la transformation numérique, de la gestion des risques cyber et de la cybersécurité se sont réunis au Forum International de Cybersécurité (FIC) pour discuter de la problématique de la cybercriminalité.

Les TPME-PME y prenaient leur place, avec notamment la présence d’un village des TPE-PME de la cybersécurité, organisé par la Fédération CINOV-IT, la CPME et les CCI de France. Que retenir comme tendances en ce début d’année 2019 ? Focus sur le RGPD, la gouvernance internationale du cyberespace, et l’humain toujours au cœur des problématiques. 

RGPD : Quels retours d’expérience en Europe huit mois après ?

La mise en œuvre du Règlement Général pour la Protection des Données (RGPD) le 25 mai 2018 a entrainé dans son sillage un profond changement en matière de confidentialité des données à l’échelle mondiale par sa portée extraterritoriale. La protection des données personnelles en particulier est devenue une priorité pour toutes les entreprises et organisations, quelle que soit leur taille. Cependant, derrière cette obligation de conformité, il y a un enjeu crucial en termes de sensibilisation des utilisateurs, de coûts et d’organisation notamment pour les TPME.

Les évolutions et les niveaux de compréhension diffèrent cependant selon les pays en termes de conformité au RGPD.

Ainsi, en France, les chiffres montrent que 42000 organismes ayant déclaré avoir un DPO (Délégué à la protection des données), 16600 DPO en personnes individuelles et 600 DPO mutualisés entre entreprises selon Gaston GAUTRENEAU, expert de la CNIL. La mise en œuvre du RGPD a entrainé un impact important en termes de temps de travail, d’accompagnement des utilisateurs, de pédagogie adaptée et de budget conséquent. Du côté de la Suisse, le cheval de bataille est le changement des mentalités sur la nécessité de se conformer au RGPD et les coûts engendrés. Dans le secteur du tourisme, le ministère des affaires étrangères exige par exemple des structures étrangères de se conformer au RGPD pour qu’elles puissent envoyer leurs touristes sur le sol suisse. Le sujet de la conformité est appréhendé comme un projet dans nombre d’entreprises : il y a de nouvelles possibilités de risques, un changement de gouvernance.

Au Luxembourg, on constate une forte implication des entreprises parce qu’il y a déjà des approches juridiques existantes dans ce sens.

Ces illustrations reflètent en partie le rôle que jouent les institutions en charge de la conformité au règlement européen d’une part et d’autre part le changement de culture des populations. La grande difficulté y est l’interprétation du règlement en lui-même et la mise en place dans le contexte de l’entreprise en question, notamment dans les PME, le point central étant l’intégration des risques suite à une non-conformité au RGPD.  

L’humain reste la cible numéro 1

Les attaques les plus impressionnantes de ces derniers mois ont quasiment toutes un point commun : un phishing envoyé par email accompagné d'une pièce jointe ou d'un lien piégé. Les attaquants prennent bien le temps de cibler leurs victimes à l'aide d'un phishing avant de les espionner discrètement par le biais d'un Cheval de Troie[1] pour identifier celles qui sont financièrement les plus intéressantes. Pour Guillaume Garbey, Directeur France de Varonis « le phishing reste la technique la plus simple et efficace pour obtenir les premiers éléments pour exfiltrer des données ». Le phishing permet dès lors de mener des attaques très sophistiquées, par exemple par ransomwares, qui ciblent désormais les données sensibles, notamment celles à caractère personnel, qu'elles soient hébergées dans le Cloud ou dans des serveurs.

La nouvelle stratégie des cybercriminels est également de procéder au ciblage des cadres de grandes entreprises et organisations. C’est une des raisons de l’accroissement prévisible des attaques dans les prochaines années. Cela révèle encore une fois la faille humaine. Pour Guillaume Garbey « à terme, les attaques seront renforcées par de l'intelligence artificielle : les cybercriminels pourront par exemple automatiser le ciblage de leurs victimes potentielles ».

La régulation internationale du cyberespace : Existe-t-il aujourd’hui une gouvernance d’internet ?

Depuis 2004, l’ONU a mis en place un groupe d’experts gouvernementaux (GGE) sur la cybersécurité. Ce groupe s’est réuni à cinq reprises. En 2013, ces experts se sont mis d’accord sur le fait que le droit international était applicable au cyberespace. En 2017, cependant, le cycle de négociations internationales fondées sur les conclusions du rapport du GGE a échoué. Ce rapport est notamment mis en cause par certains États comme la Russie, la Chine et le Cuba pour le non-respect de la charte des Nations Unies sur le cyberespace[2]. Ces dernières années ont également vu des acteurs privés non-étatiques comme les GAFAM s’émanciper des Etats dans le cyberespace.

2018 a vu les premières attributions publiques unilatérales semi-collectives et collectives entre États. On parle d’attribution publique lorsqu’un État attribue publiquement une cyberattaque à un autre État. Par exemple le 19 décembre 2014[3] les États-Unis ont attribué une cyberattaque à la Corée du Nord sur Sony Pictures. Le Royaume-Uni, le Canada, l’Australie et les Pays-Bas ont fait ensemble une attribution publique à la Russie en octobre 2018[4].  Le gros problème des États est qu’ils disposent de moyens limités pour riposter à une cyberattaque lorsqu’on reste dans le cadre du droit international.

Le 12 novembre 2018 lors du « Forum de gouvernance de l’internet » à l’UNESCO, le Président de la République française Emmanuel Macron a lancé l’Appel de Paris pour discuter de la sécurité dans le cyberespace. Or le processus de sécurité numérique des États évoqué lors de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace le 18 novembre 2018 est régi dans le droit international.  Aujourd’hui la problématique fondamentale est donc de faire coopérer les acteurs publics (États) et privés autour de l’Appel de Paris.

À cet effet, il existe deux visions du cyberespace traduites en résolutions à l’ONU :

  • La résolution A/RES/73/27 : Progrès de l’informatique et des télécommunications et la sécurité internationale : cette résolution, soutenue par la Russie et la Chine, repose sur la mise en place d’un nouveau système de régulation du cyberespace sous l’angle de la sécurité de l’information.
  • La résolution A/RES/73/266 : favoriser les comportements responsables des États dans le cyberespace dans le contexte de la sécurité internationale: cette résolution soutenue par les États-Unis et les États européens, dont la France, encourage également la pratique de mesures collectives avec un focus sur cyberdéfense et cybersécurité.

Ce désaccord souligne deux questions essentielles : la montée en puissance des acteurs privés dans la gouvernance de l’internet d’une part et d’autre part  l’existence d’un jeu d’influence des normes et lois internationales nourrie par chaque groupe d’États sur le même sujet. De plus du côté des Américains une nouvelle régulation du cyberespace limiterait leur hégémonie en la matière et donc se traduirait par un contrôle de leurs capacités. Pour l’autre groupe d’États (Chine et Russie) c’est un moyen d’accroitre sa puissance à l’échelle internationale. Cette guerre d’influence illustre clairement l’usage de l’intelligence économique par les Etats au sein de l’institution onusienne. La problématique de manque de gouvernance internationale du cyberespace pourrait donc accroitre les risques de guerres numériques à cause des désaccords gouvernementaux. D’où l’intérêt du prochain grand événement du G7 qui se tiendra en France à Biarritz pendant l’été 2019 à Biarritz.

En résumé le cyberespace est devenu le terrain de rivalités de pouvoir et de conflits géopolitiques entre acteurs étatiques. Les enjeux géopolitiques sont fortement liés à des motivations politiques, économiques sociales et culturelles. Car il s’agit également de valeurs que défendent les nations pour gouverner le monde.

En outre, l’enjeu crucial lié à la sécurité numérique, est la problématique du changement de comportement de l’humain face à l’évolution rapide des menaces et modes d’attaques. Il faut une coordination de campagnes éducatives afin de promouvoir une bonne hygiène numérique aussi bien sur le plan personnel que professionnel.

 

Par Boubacar DIALLO (CCI France)
Apprenti chargé d’études et de mission d’intelligence économique

Contact : b.diallo@ccifrance.fr

 

[1] https://www.kaspersky.fr/resource-center/threats/trojans

[2] https://www.un.org/press/fr/2018/agdsi3613.doc.htm

[3] https://www.chaire-cyber.fr/IMG/pdf/33.pdf

[4] https://www.lamanchelibre.fr/actualite-594745-les-occidentaux-accusent-la-russie-de-cyberattaques-mondiales

Boubacar DIALLO, 21 févr. 2019

Ceci devrait vous intéresser

0 Commentaires
Vous devez être connecté pour commenter Connexion