Les entreprises françaises : des cibles faciles pour les pirates

Les révélations de Snowden sont le point d’orgue de 60 ans d’espionnage planétaire. L’affaire PRISM et les informations de Snowden ont secoué la planète depuis plusieurs mois et après l’inévitable buzz, quelles conséquences l’État en a-t-il tirées et, plus important, que doit on en penser quand on est DSI ou DG d’une entreprise ?

Les affaires de piratage et d’attaques informatiques (Sony, Orange, Le Monde, TF1.fr…) montrent que des failles techniques et humaines existent*. Les entreprises sont des cibles. Elles doivent prendre conscience que le risque cyber ne concerne pas que les « autres ». Tout le monde peut être la cible de pirates plus ou moins compétents, indépendants ou à la solde d’États ou d’organisations mafieuses. La sensibilisation et la formation sont indispensables car les réponses à l’insécurité informatique ne doivent pas être réduites au déploiement d’appareils et de logiciels… *

 

Une tribune de Éric Filiol, Directeur du laboratoire de Cryptologie et de Virologie Opérationnelles ESIEA Laval.

 

 

 

Tout d’abord, au-delà de la surprise des médias et celle, plus grave, des politiques – probablement feinte pour masquer leur démission depuis des années face aux USA – il convient de rappeler que PRISM n’est qu’un nième projet parmi et après de nombreux autres.

Ces différents plans d’espionnage datent de la fin des années 40 (voir encadré). Cet espionnage s’est généralisé grâce à la situation quasi monopolistique des USA pour la plupart des services (Google, Facebook…) ou des solutions IT (routeurs CISCO, systèmes d’exploitation, microprocesseurs, base des données, applications métiers ou bureautiques…).

Ce qui est choquant, c’est l’utilisation de cette situation monopolistique pour espionner systématiquement tout utilisateur de ces technologies, les États, surtout nos entreprises et finalement monsieur tout le monde (n’oublions pas qu’un dirigeant même chez lui reste un dirigeant et donc une cible permanente ; la sphère familiale ou personnelle est donc elle aussi concernée). Le but avéré, au-delà de l’alibi de la lutte contre le terrorisme [3], est avant tout d’assurer et de protéger la position dominante des USA dans le domaine économique et industriel.

 

L’espionnage US en quelques faits et chiffres [15, 16]

L’espionnage généralisé a commencé en 1941 avec le traité UKUSA associant les USA, le Canada, le Royaume-Uni, l’Australie et la Nouvelle-Zélande (les 5 yeux), élargi un peu plus tard à d’autres pays incluant la France (les 9 yeux) (voir [4]).
Avant PRISM (actif depuis 2007 et révélé en 2013 par Snowden), plus d’une vingtaine de programmes d’espionnage majeurs ont été mis en œuvre depuis 1945.

PRISM est un programme d’entente entre la NSA et des sociétés US (en situation quasi monopolistique) pour la collecte des données (loi FISA). C’est la plus grosse source de données brutes utilisée par la NSA, provenant de Microsoft (2007), Yahoo (2008), Google (2009), Facebook (2009), YouTube (2010), AOL (2011), Apple (2012)…
Cet espionnage sert massivement à l’intelligence économique : certaines informations ont été communiquées à des entreprises US pour accroitre leurs profits (cas Airbus en 1990, au profit de McDonnell Douglas/Boing)
La France aurait été associée à plusieurs sous-programmes de PRISM (dont le programme LUSTRE) [13]
La NSA a piégé physiquement près de 100 000 ordinateurs d’entreprises, de décideurs… (projet TAO). La perte de confiance dans les géants américains du Net, qui ont collaboré avec la NSA, branche pourrait leur faire perdre 31 milliards de dollars, au profit de services basés en Europe notamment [14]

Mais en fait cela signifie que l’Empire a peur – face à l’innovation européenne, à la puissance naissante de la Chine, de l’Inde, face aux hackers/altermondialistes/indignés et à tous ceux qui rejettent leur « modèle » ou cherchent à remettre en cause leur domination stratégique et économique… – et l’Empire cherche de manière déloyale à mettre la planète sous surveillance. Est-ce pour autant une situation inéluctable ? Non au contraire. Si l’Empire a peur, c’est que nous représentons encore une menace (économique, culturelle, sociale…) et nous vivons une époque sans précédent de fantastiques opportunités, en particulier pour nos entreprises.

 

Le contexte

L’insécurité numérique n’est pas le fait du seul espionnage par les États, mais aussi par la cybercriminalité classique (voir encadré). Dans les deux cas (cybercriminalité et espionnage étatique), le contexte facilite, hélas, grandement les choses. La plupart des outils, services, logiciels sont des boites noires fournies par des sociétés privées pour lesquelles la sécurité n’est pas la priorité. Ces vulnérabilités sont exploitées prioritairement par les attaquants pour pénétrer à distance dans les SI d’entreprises.

Plus de 90 % d’une attaque repose – pour sa préparation – sur la fuite de données non maitrisées par une cible (collecte et traitement d’information). En 2013 (source Kroll Ontrack), 40 % des entreprises perdent des données dans les environnements virtualisés [5].

L’impact du droit est majeur alors qu’en 2013 39 % des dirigeants d’entreprise ignorent les bases de la législation dans ce domaine [6]:
en droit européen/français (non anglo-saxon), l’utilisateur reste propriétaire de ses données. Le prestataire a donc obligation de les sécuriser et d’en assurer la confidentialité ;
en droit anglo-saxon, les données appartiennent à ceux qui les traitent et donc sont libres d’en faire ce qu’ils veulent et de ne pas les sécuriser. Le Patriot Act et autres lois US s’appliquent pour un accès illimité à nos données par l’État américain et leurs entreprises. Il est d’ailleurs vivement conseillé de lire les conditions générales d’utilisation (par exemple Google reconnait lire les mails de Gmail ; lire aussi [7]).

L’ergonomie est l’appât qui prend les utilisateurs au piège. Les préoccupations de sécurité sont quasi inexistantes dans l’esprit des utilisateurs qui veulent avant tout un produit ou un service facile à utiliser et qui prend en charge toutes les difficultés. La gouvernance (étatique, dans les entreprises), encore trop verticale, favorise l’inertie, le cloisonnement et ralentit la prise de décision, face à un monde (celui des attaquants) qui a contrario est par nature collaboratif, très réactif et résilient.

Nos sociétés n’ont pas compris que la gouvernance ne doit plus fonctionner selon un mode vertical (l’État fixe les normes), mais horizontal (les entreprises créent le marché, mais s’adaptent en permanence aux utilisateurs). Entreprises et clients/utilisateurs sont LA norme de fait.
Le manque de sensibilisation et de formation des entreprises dans le domaine de la sécurité est devenu particulièrement préoccupant. Il est important de savoir que dans plus de 99 % des attaques, c’est l’extrême faiblesse de la victime qui est déterminante, pas la force de l’attaquant qui le plus souvent se contente de solutions automatisées disponibles gratuitement sur étagère.
Une évolution des États du G-8 vers une surveillance généralisée et préventive des citoyens, et ce, pour différentes motivations. Des textes récents comme la loi Hadopi ou plus récemment la Loi de programmation Militaire (article 20) posent potentiellement de sérieux problèmes démocratiques en remplaçant la présomption d’innocence par la culpabilité par défaut. Le juge d’instruction, garant de l’État de droit, sera de plus en plus court-circuité.

 

Les solutions et opportunités

Tout d’abord, faisons le deuil d’un quelconque salut ou d’une solution venant de l’Etat : face à une situation d’occupation économique et technologique sans précédent, notre Etat a choisi, depuis des années, la voie de la collaboration, trahissant ses entreprises et ses citoyens. Choisir Microsoft est un choix politique (avec pour triste, mais récent exemple. le fameux contrat « Open Bar » [8]) alors même que l’État sait par le menu tout le danger résidant dans ces solutions.

L’attaque de L’Élysée a eu beau passer la page Facebook d’un haut fonctionnaire [18, 19], un trop grand nombre de décideurs institutionnels continue à affirmer qu’il n’y a pas de problème PRISM et de vendre à l’encan nos fleurons technologiques ou de les pousser dans les bras de la NSA en contradiction avec le principe même du Fonds Stratégique d’Investissement (FSI). Les cas récents des sociétés Vupen [9] et SmarQuantum [10] sont criants d’incurie. Celui encore plus récent d’Alsthom, pour lequel l’État lui-même joue contre l’Europe est ahurissant.

Face à cette démission de l’État, comment les entreprises peuvent-elles réagir ? En premier lieu en prenant un pouvoir et imposer des standards de fait dans le choix des solutions, mais aussi dans la gouvernance. Pourquoi l’État devrait-il fixer les choix technologiques, managériaux, sociaux, sociétaux et non les entreprises ? Ces dernières détiennent le seul et dernier vrai pouvoir (lire à ce propos [11] sur le poids grandissant des acteurs non étatiques, selon la vision du monde par la CIA à l’horizon 2030).

C’est elle qui font et défont l’économie, qui créent les richesses, innovent, prennent des risques et bâtissent le monde de demain. L’État doit rester présent uniquement comme un garant éthique (préserver nos valeurs démocratiques) un régulateur éclairé.
Il y a de réelles opportunités de création de richesses, d’innovation et de business avec le marché de la confiance et de la souveraineté : dans les services, les équipements, les logiciels (reposant sur le libre). La gendarmerie a démontré avec succès que l’on pouvait travailler avec une capacité opérationnelle accrue, sans dépenser des fortunes, en utilisant uniquement des solutions souveraines, ouvertes et libres et faisant travailler des entreprises françaises.

Le choc de compétitivité se situe majoritairement là. Des fleurons français particulièrement innovants (NETC, Qwant, OVH, CybelAngel…) naissent et s’affirment avec pour priorité les utilisateurs et leurs besoins/attentes réels… tout en faisant des profits non pas indécents comme les multinationales américaines, mais tournées vers l’investissement et leur fonction éminemment sociale.

L’insécurité numérique doit nous pousser nous poser des questions lesquelles susciteront inévitablement de nouveaux usages et de nouvelles technologies pour des produits qui n’existent pas encore, mais dont nous avons absolument besoin. Le meilleur exemple est celui des compteurs électriques dits « intelligents » dont le risque majeur est de faire fuiter de l’information en masse de nos maisons et de nos entreprises (via les objets connectés et ce que l’on appelle le CPL outdoor).

À ce jour, il n’existe aucun dispositif disponible sur le marché – pourtant simple à fabriquer – pour filtrer, limiter, contrôler voire interdire ce flot d’informations indésirables : un simple dispositif de filtre passe-bande ou passe-bas suffirait. Il y a là typiquement un besoin massif pour ce genre de produit.
Il convient également de favoriser les services (cloud, data centers, services…) de droit français ou européen (en droit anglo-saxon [USA, UK, Canada…] rappelons que les données appartiennent à ceux qui les traitent) et localisés sur le sol français. Le meilleur exemple est le champion français OVH devenu un des leaders mondiaux dans le domaine, et ce, sans sacrifier ni l’éthique ni une vision sociale éclairée. Privilégions les relations de proximité et de confiance, celles qui nous permettront de modifier les contrats de service pour correspondre à nos besoins métiers et à la sécurité que nous voulons.

Enfin, le mouvement collaboratif (financement, communication, gestion RH, management…) est une partie de la réponse face à l’insécurité numérique. Alors que nos sociétés verticales et fortement hiérarchisées favorisent la passivité, le cloisonnement de l’information, l’inertie et un contrôle des individus par des intérêts de plus en plus difficiles à défendre (et souvent qui ne sont plus souverains), les nouvelles approches participatives sont de nature à ressusciter l’esprit citoyen, raviver la prise de conscience sur la nécessité de (re)développer un certain esprit de résistance et de refonder un nouveau contrat social avec les entreprises essentiellement [17].

Cela doit en conséquence aboutir à de nouvelles formes de management, reposant en grande partie sur la transversalité et dont la finalité première est de favoriser la compétence et le potentiel sur la « naissance ». Le déblocage de l’ascenseur social par l’implication et la valorisation de toutes les motivations est à ce prix. Face à un monde technologique qui évolue de plus en plus rapidement, en particulier l’implication rapide et rationnelle des jeunes générations, la valorisation de leur vision qu’ils ont du monde est de nature à dynamiser les entreprises.

La fracture numérique et technique est d’abord une fracture générationnelle

À l’inverse, pour ces jeunes générations, souvent victimes elles-mêmes de cette insécurité numérique, le dialogue avec les générations seniors (les décideurs en particulier) au sein de l’entreprise est essentiel pour qu’ils profitent de leur sagesse et de leur expérience. La fracture numérique et technique est d’abord une fracture générationnelle qu’il faut combler par de nouvelles approches managériales dans lesquelles chacun fait un pas vers l’autre. N’oublions pas que la fonction première d’une entreprise est avant tout sociale : les systèmes éducatif et familial ayant souvent démissionné quant à la formation morale et sociale des jeunes, le service militaire obligatoire ayant disparu, la dernière ligne de front est l’entreprise, dont on ne saurait justement trop insister sur le rôle socialisant fondamental qu’elle remplit.

Le dernier aspect concernant l’insécurité numérique réside dans son caractère symétrique. Elle concerne tout le monde et toutes les entreprises. Dans un monde économique de plus en plus compétitif, l’adversaire ou le concurrent est lui-même soumis à cette insécurité. Dans le monde anglo-saxon et asiatique, a minima (d’autres pays commençant à comprendre les nouveaux enjeux et potentialités) cette dimension a parfaitement été comprise et exploitée non seulement au plan défensif, mais aussi au plan offensif (intelligence économique, techniques de renseignement plus ou moins évoluées et actives).

Les entreprises françaises n’ont pas encore compris l’immense vivier d’opportunités indispensables pour accompagner notre capacité d’innovation. Avoir la meilleure technologie ou le meilleur produit ne suffit plus hélas. Le seul marketing non plus. Il devient indispensable de préparer le champ de bataille à son avantage. Exploiter l’insécurité numérique et les potentielles faiblesses de l’adversaire, et ce, sans se départir d’une éthique indispensable, est devenu une dimension incontournable. Les entreprises doivent se voir comme des corsaires de la République.
Conclusion

L’insécurité numérique (qu’elle soit d’origine étatique ou mafieuse) n’est donc pas tant une calamité qu’une formidable opportunité de réveil pour l’Europe et pour ses entreprises. C’est l’aiguillon nécessaire pour innover techniquement, mais également, et surtout, humainement (nouvelles règles de gouvernance, de management…). Gardons à l’esprit que les USA n’ont qu’un gros carnet de chèques et que leur suprématie ne vient que des cerveaux et des entreprises qu’ils achètent en Europe et en Asie.
Gardons également à l’esprit qu’ils ne sont forts que parce que nous avons fait le choix d’être faibles. Pour paraphraser Balzac, « les périodes de difficultés sont un tremplin pour le génie, une piscine pour le Chrétien, un trésor pour l’homme industrieux et habile, et un abîme pour le faible ».

 

 

Repères pour l’action

Les actes et choix réflexes du décideur pour maitriser sa sécurité
Avant tout, ramener le risque à l’enjeu. Le seul moyen est d’avoir une vision claire de ce qu’est son métier et de ce qu’il faut vraiment protéger, réflexion que peu de décideurs font.
Choisir des prestataires de droit français ou européen (non anglo-saxon)
Contribuer à la rédaction critique des contrats de services avec un prestataire.
Lire les conditions générales d’utilisation et autres contrats de licence.
Privilégier des technologies souveraines (moteur de recherche qwant.com, messagerie netc.fr, terminaux mobiles sécurisés Uhuru-mobile, opérateur et hébergeur de confiance ovhtelecom.fr, cloud/hébergeur souverain ovh.com…
Instaurer une culture d’hygiène informatique dans l’entreprise [12]
Maitriser l’information sortant de l’entreprise (web, mail, réseaux sociaux…) et instaurer une politique/culture rigoureuse de discrétion professionnelle
Continuer à vivre sereinement !

 

 

Les entreprises et la cybercriminalité en 2014
Pertes financières estimées à 80 milliards d’euros (monde)
122 attaques réussies par semaine (moyenne)
+78 % d’augmentation des couts liés à la cybercriminalité
+130 % d’augmentation des délais pour contrer une attaque
Pour 60 % des décideurs, le vol de données est le risque majeur
Après une attaque, 73 % des entreprises sont obligées de la révéler aux clients, État, public, fournisseurs…

(source : www.industrie-techno.com)
Pour aller plus loin

[1] Éric Filiol. http://www.clubdesvigilants.com/archives/2013/02/la-face-cachee-de-la-securite-informatique-ou-les-dessous-dinternet/
[2] Eric Filiol & Philippe Richard. “Cybercriminalité : les mafias envahissent le web”, 2006, Dunod éditions. Disponible gratuitement sur https://docs.google.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B6BlkqAoxXq1ZDIzZDVjY2QtMjZjNi00NTNmLTkzNmItMDQ4NDc5YWYwYjdk&hl=en_US
[3] http://www.numerama.com/magazine/27146-la-nsa-admet-avoir-exagere-la-menace-terroriste-pour-justifier-la-surveillance.html
[4] http://www.theguardian.com/world/2013/nov/02/nsa-portrait-total-surveillance
[5] http://www.silicon.fr/entreprises-perte-donnees-virtualisation-89602.html
[6] http://pro.01net.com/editorial/603686/donnees-personnelles-39pour-cent-des-dirigeants-francais-connaissent-mal-la-legislation/#?xtor=RSS-16
[7] http://www.silicon.fr/google-bien-collabore-activement-nsa-les-autres-94210.html
[8] http://linuxfr.org/news/open-bar-microsoft-defense-des-documents-confirment-les-jeux-de-pouvoir-et-la-decision-politique
[9] http://pastresnet.blog.lemonde.fr/2013/12/19/vupen-ouvre-un-bureau-aux-etats-unis-mais-affirme-garder-son-siege-en-france/
[10] http://www.numerama.com/magazine/27487-nsa-la-parade-francaise-torpillee-par-un-industriel.html
[11] http://www.lemonde.fr/idees/article/2013/05/07/les-quatre-scenarios-de-la-cia-pour-2030_3172658_3232.html
[12] http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf
[13] http://wikileaksactu.wordpress.com/tag/programme-de-surveillance-lustre/
[14] http://www.lematin.ch/high-tech/web/Prism-va-couter-des-milliards-aux-geants-du-Net/story/27503235
[15] http://www.silicon.fr/dossier-arsenal-secret-nsa-92133.html
[16] http://linuxfr.org/news/synthese-du-programme-de-surveillance-americain
[17] Thomas Hobbes. Le Léviathan, traduction Gérard Mairet Paris, Gallimard, 2000, coll. Folio, 6e édition 2009.
[18] http://lexpansion.lexpress.fr/high-tech/nsa-les-americains-etaient-ils-a-l-origine-de-l-espionnage-de-l-elysee-en-2012_1340421.html
[19] http://www.lemonde.fr/international/article/2013/10/25/comment-paris-a-soupconne-la-nsa-d-avoir-pirate-l-elysee_3502761_3210.html
[7] http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/l-arme-anti-nsa-de-la-france-sabordee-en-2010-12-11-2013-1755326_506.php

Crédits photo : © apops – Fotolia.com / © Oleksiy Mark – Fotolia.com

*L’introduction a été écrite par la rédaction.