Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

De la Cybersécurité à la sécurité collaborative

avril 2018 par Synthèse des échanges de l’Atelier du 5 avril 2018 par Lucien Castex – lucien.castex@isoc.fr

Cette année, le Forum sur la Gouvernance de l’Internet (FGI) prend la forme d’Ateliers de l’Avenir Numérique. L’Internet Society France et ses partenaires ont voulu donner une coloration définitivement prospective à ce Forum en le faisant précéder de trois Ateliers dont le premier s’est tenu le 5 avril sur le thème de la cybersécurité.

Nicolas Chagny, président de l’Internet Society France, présente ces Ateliers de l’Avenir Numérique comme un lieu de débats nécessaires afin de continuer à œuvrer pour garantir un seul Internet, un Internet ouvert et son accès à tous.

Une nécessaire formation à la cybersécurité

Une intervention d’Alain Assouline, président du réseau d’écoles WebForce3, précède la table ronde cybersécurité et sécurité collaborative. Au menu : la formation aux métiers d’avenir que sont les métiers de la cybersécurité. Hasard du calendrier, la ministre du Travail Muriel Pénicaud, le secrétaire d’Etat chargé du numérique, Mounir Mahjoubi et la haut-commissaire à la transformation des compétences, Estelle Sauvat viennent de lancer le programme 10kNUM qui prévoit 10 000 formations aux métiers du numérique, partant du constat que 80 000 postes ne sont pas pourvus. Ce sont des postes de développeur, d’administrateur réseaux, de médiateur numérique, mais aussi dans la cybersécurité. Ce programme amorce un vaste plan d’investissement dans les compétences (PIC) qui vise la formation d’un million de demandeurs d’emploi peu qualifiés et d’un million de jeunes peu diplômés. 10kNUM prévoit des aides à destination des entreprises mais aussi à destination des organismes de formation via la Grande école du numérique qui annonçait ce 5 avril un troisième appel à projet.

Alain Assouline présente la formation comme nécessairement continue : ce n’est plus un stock de connaissances que l’on accumule en début de vie. WebForce3 a formé 2000 codeurs en 4 ans avec un taux de décrochage de 1% seulement. Aucun prérequis n’est nécessaire pour la formation, ce afin d’élargir la base de recrutement. Pour l’heure le public formé se compose de 11% de femmes avec l’objectif d’arriver à 30%.

La cybersécurité, une sécurité collaborative

Chercheur et secrétaire général de l’Internet Society France, Lucien Castex introduit la table ronde en présentant la cybersécurité comme une question transversale. Une question de gouvernance qui associe autant institutions, entreprises, chercheurs que les utilisateurs eux-mêmes. La sécurité d’Internet, des infrastructures critiques ou du nombre croissant comme de la diversité des objets connectés suscitent un intérêt croissant des utilisateurs. Les questions de vie privée et de protection des données personnelles sont également au centre de cet intérêt. Le Règlement général sur la protection de données (RGPD) applicable au 25 mai 2018, sa nature fondamentalement extraterritoriale, la transposition de la directive Network and Information Security (NIS) comme les négociations houleuses autour du projet de règlement européen e-Privacy ne font que renforcer cet intérêt des utilisateurs d’Internet. Ce ne sont pas les fuites de données, les failles de sécurité ou les débats qui entourent la question récurrente de la propriété des données numériques qui les contrediront. Lucien Castex insiste sur la nécessité d’initier l’utilisateur afin que son consentement soit libre et éclairé. Comment, en substance, redonne-t-on la main à l’utilisateur ?

Le RGPD offre aux utilisateurs de nouvelles garanties. Maître Garance Mathias, avocate au barreau de Paris, présente ce règlement européen pour lequel les négociations ont commencé en 2009 à la Commission européenne. Encore en 2018, lors des débats entourant la loi relative à la protection des données personnelles « Cnil 3 », certains souhaitaient repousser à mai 2020 la possibilité d’exercer une action de groupe en réparation des préjudices matériels et moraux subis en matière de données personnelles. Le RGPD pose un principe de neutralité technologique mais ne dit rien sur les outils mis en œuvre. Il instaure un cadre harmonisé et alourdit les sanctions. Le texte oblige à la notification en cas de fuite de données et pose deux principes clefs pour l’utilisateur : les principes de sécurité dès la conception et de sécurité par défaut. Le premier postule que la sécurité doit être intégrée dès la conception d’un système traitant des données personnelles et à toutes les étapes de son développement. Il s’agit donc de prendre des mesures proactives et non simplement de réagir par des mesures correctives à des incidents de sécurité. La sécurité par défaut, complément essentiel, pose que la configuration par défaut doit toujours être la plus protectrice de la vie privée. Enfin, un critère de transparence est essentiel à une bonne gouvernance des données.

La cybersécurité c’est aussi identifier et comprendre le risque. Le Colonel Eric Freyssinet, chef de la mission numérique de la Gendarmerie nationale, présente la diversité et la multiplication des cyber-menaces. On constate une hausse de la menace avec plus de 5500 dossiers chaque mois, soit une hausse de 26% par rapport à 2016. On constate surtout une professionnalisation des cyber-attaquants. Le préjudice observé est de 150 millions d’euros dans le périmètre de la gendarmerie.

Que peut faire l’utilisateur ? Tout d’abord, il peut connaître la menace. Savoir que tel type d’escroquerie existe, à quoi correspond une tentative de hameçonnage ou telle forme d’usurpation d’identité. L’utilisateur peut ensuite suivre quelques règles simples afin de sécuriser ses systèmes d’information et adopter une hygiène informatique. Choisir un mot de passe compliqué et individualisé, sécuriser son poste de travail, par exemple en cas d’inactivité ou encore sécuriser son réseau local.

La gendarmerie a mis en place le site cybermalveillance.gouv.fr, 1400 prestataires sur le territoire français sont référencés. Ces derniers sont parfois des autodidactes. On constate également la création de cercles locaux comme d’associations spécialisés en cybersécurité.

La collaboration doit se faire au niveau national. Il faut faire remonter des informations en provenance des victimes et associer les collectivités territoriales. Eric Freyssinet insiste également sur la nécessaire sensibilisation des utilisateurs.

Stéphane Bortzmeyer, Ingénieur expert à l’AFNIC, présente la sécurité du DNS, centre névralgique d’internet, comme cruciale mais il est difficile de mobiliser pour sa sécurisation car le résultat est indirect. Le DNS, pour Domain Name System, que l’on traduit par système de noms de domaine correspond au service qui permet de traduire les noms de domaine, comme afnic.fr ou isoc.fr en adresses IP, 132.13.21.61, forcément moins aisées à mémoriser, qui identifient les machines sur le réseau. Pour sécuriser le DNS, plus qu’une norme de sécurité, il faut de la collaboration entre les différents acteurs. Il existe des solutions pour sécuriser les utilisateurs, à l’exemple du protocole DNSSEC, standardisé par l’IETF, mais il n’est que peu déployé. Le coût d’investissement parfois élevé est à mettre en balance avec le coût de la réparation en cas d’attaque. Pour Stéphane Bortzmeyer, il faut certes de la coopération, mais avant tout une montée en compétence des acteurs.

L’internet des objets, considéré comme une troisième évolution du web, pose de question en termes de sécurité et de fragmentation des standards. On parle souvent de la sécurité interne, propre à l’objet. Frédéric Donck, directeur du bureau Europe de l’Internet Society, insiste également sur la sécurité externe. Ne peut-on pas, à distance, se servir de notre grille-pain ou encore activer un jouet, une caméra ? Avec la multiplication des objets connectés, de nombreux produits seront développés par des personnes qui n’ont que peu de connaissances en matière de sécurité. Le fabriquant de poupée qui y ajoute une puce RFID produit un objet connecté. En devient-il par là même expert ? Le rôle des industriels qui produisent de tels objets connectés est cruciale dans leur sécurisation. Mais il y a surtout un devoir d’informer et d’éduquer aux technologies. Rappelons-nous du téléviseur que l’on allume d’un claquement de doigts, et dont on découvre qu’il nous écoute toute la journée. Pour Fréderic Donck, l’utilisateur a un droit à l’information. Il ne faut pas acheter un objet connecté sans une notice qui nous renseigne clairement sur sa sécurité comme sur la capacité à le mettre à jour.

C’est en somme, une nécessaire collaboration entre les acteurs qui semble la mieux à même de permettre l’émancipation des utilisateurs et une prise de conscience que la cybersécurité est à la fois une question d’éducation mais aussi de gouvernance. Un internet ouvert, c’est aussi un internet sûr.


Voir les articles précédents

    

Voir les articles suivants