Nicolas Arpagian, directeur scientifique à l'institut national des hautes études de la sécurité et de la justice (INHESJ), dénonce la règle du pas vu, pas pris en ce qui concerne les cyberattaques.Sony, Nintendo, Sega, le Fonds monétaire international (FMI), l'avionneur Lockheed Martin… et même le sacro-saint baccalauréat scientifique français ? dont un sujet de mathématiques a été versé sur le net ? ont été ces dernières semaines victimes de cyberattaques. Celles-ci, qui visent des géants économiques ou des institutions de dimension mondiale, sont devenues quotidiennes. Militants de tous poils et activistes de tous bords semblent s'accorder sur le choix de l'arme informatique pour défendre leur cause ou mettre leur ennemi en difficulté. L'intrusion dans les systèmes d'information ou le vol de données confidentielles en vue de les diffuser partout se sont imposés comme les moyens d'action modernes pour atteindre un adversaire. Ni la taille, ni le secteur d'activité, ni la localisation géographique de la cible ne constituent a priori des protections efficaces.
Des entreprises proches du déni de réalité
La période est propice à la cyberguérilla tous azimuts. En effet, la fonction de responsable de la sécurité des systèmes d'information (RSSI) est encore loin d'avoir acquis toutes ses lettres de noblesse dans les organigrammes des entreprises. Quand elle existe, puisque l'on sait désormais que la récente attaque à l'encontre de Sony a, notamment, eu pour conséquence… le recrutement d'un RSSI ! Et la conjoncture morose n'incite que modérément les directions financières à consacrer des budgets conséquents à la sécurisation de l'informatique maison. Qui reste largement à leurs yeux une dépense guère justifiable auprès de leurs donneurs d'ordre. Cette attitude confine au déni de réalité. Comme si la litanie des attaques jalonnant l'actualité ne suffisait pas à leur faire apparaître l'impérieuse nécessité d'y consacrer des ressources humaines, techniques et pécuniaires.Alors que la grande majorité des sociétés persiste à entretenir une certaine discrétion ? d'aucuns parleraient à ce propos de frilosité maladive ? quant à leurs actions en matière de cybersécurité, il est frappant de constater a contrario la frénésie manifeste de plusieurs Etats à prendre position, ces dernières semaines, sur le thème de la protection de leur patrimoine informatique. Par exemple, le président des Etats-Unis, Barack Obama, a rendu public en mai sa Stratégie internationale pour le cyber-espace
(*). Tandis que le Premier ministre français, François Fillon, annonçait le même mois au Conseil des ministres un renforcement des moyens et effectifs de l'Agence nationale pour la sécurité des systèmes d'information (Anssi). Avec, notamment, la constitution d'un groupe d'intervention rapide composé d'experts capables d'intervenir sur les systèmes d'information de l'Etat (et des opérateurs qui en feraient la demande) afin de traiter dans les meilleurs délais les attaques les plus graves.
Les compagnies d'assurances appelées à imposer des règles
Dans le même esprit, les autorités françaises devraient se doter d'une politique interministérielle de sécurité des systèmes d'information de l'Etat visant à homogénéiser et accroître la sécurité dans l'ensemble des ministères. Vaste programme ! Même si l'objectif peut sembler ambitieux, et que sa mise en œuvre soulève de nombreuses questions, sa formulation témoigne au moins d'une prise de conscience affichée. Il en va différemment dans de nombreuses entreprises où la règle du pas vu, pas pris, résume largement la philosophie globale en ce qui concerne la cybersécurité.Une fois de plus, je pense que le rôle structurant viendra des compagnies d'assurances, qui vont finir par imposer à leurs clients l'établissement et le respect de cahiers des charges de plus en plus stricts. A la mesure des préjudices attendus qui finiront, dès lors que les victimes se retourneront de plus en plus vers leurs prestataires jugés défaillants, par entrer dans le champ assurantiel. A l'instar de ce qui s'annonce dans le prolongement de la transposition du paquet télécoms européen, attendue pour novembre 2011, et qui obligera les détenteurs de données personnelles qui auront été piratés d'en informer les titulaires. De belles occasions de contentieux à venir. Avec, en perspective, de généreuses demandes d'indemnités. Qui a dit que cela coûtait cher de sécuriser dès à présent son informatique ?
(*) International Strategy for Cyberspace - Prosperity, Security and Openness in a networked world, disponible sur www.whitehouse.gov