« Nous ne venons pas ici parler d’échec, mais de construction », souligne le Général Marc Watin-Augouard, Gendarmerie nationale, Fondateur du FIC. « Toutefois, l’échec peut parfois s’avérer salvateur, et même la mère du succès, comme diraient les chinois. Nous serons toujours confrontés à certains échecs, cependant nous devons y faire face et apprendre à se relever. Il est essentiel que nous construisions une dynamique « anti-échecs ». L’avenir, c’est aussi l’anticipation et la prévention. Personne n’a la réponse seul, mais de manière collective. Nous devons construire cette unité ensemble - c’est d’ailleurs l’objectif du FIC - sinon ce sera l’échec de la cybersécurité et de notre société ».

« La cybersécurité n’est pas aujourd’hui un échec, car nous avançons », observe Patrick Pailloux, ANSSI. « A titre de comparaison, la médecine non plus n’était pas un échec au 19ème siècle, malgré ses défaillances. Il en sera de même pour la cybersécurité ».

Nous sommes, en effet, au tout début d’une histoire, complète Jean-Michel Orozco, Cassidian CyberSecurity. Nous devons aussi regarder où nous en étions il y a encore quelques années. Avant, les décideurs n’étaient pas au fait des menaces. Aujourd’hui, on observe une certaine prise de conscience, c’est déjà une étape importante. Maintenant, il va falloir agir vite. La cybersécurité est un véritable challenge que nous devons relever tous ensemble.

Pour Bernard Barbier, Sogeti, la cybersécurité n’est effectivement pas un échec, mais bel et bien un défi. Relever ce défi s’avère, avant tout, pour la France, un enjeu d’indépendance, notamment technologique. C’est aussi un enjeu européen. Cet enjeu d’indépendance technique est fondamental pour nous, d’autant que les américains viennent clairement d’affirmer qu’ils ne changeront ni leurs techniques, ni leurs pratiques de renseignement.

« Nous avons laissé les clés de nos maisons à des acteurs tels que Google, Microsoft, Facebook… »

David Lacey, IOActiv, ne partage pas ce constat. Pour lui, la sécurité est un échec à tous les points de vue, car les responsables sécurité se focalisent trop aujourd’hui sur la compliance et ne font pas vraiment de sécurité dans la pratique. Sans compter que le management de la SSI est dépassé et les processus d’identification des menaces beaucoup trop long actuellement.

Jérémy Zimmermann, La Quadrature du Net, est d’accord : la sécurité est aujourd’hui un échec, car nous avons oublié un paramètre essentiel : mettre le citoyen au cœur de la sécurité. Cet écueil a pour conséquence une confiance de l’utilisateur complètement rompue. Pour lui, « Snowden a fait beaucoup plus pour la sécurité que tous les gens réunis sur l’événement. Nous avons laissé les clés de nos maisons, et nous nous en sommes fait exproprier, par des acteurs tels que Google, Microsoft, Facebook… Sans compter que le focus a été trop longtemps mis sur la cyberguerre, alors qu’il serait temps de parler de « cyberpaix », avec les citoyens au cœur du dispositif de sécurité ». Pour le Général Watin-Augouard, le citoyen a effectivement perdu confiance ; pas à cause de la politique de l’état, mais parce que certains opérateurs n’ont pas joué le jeu.

Il faut toutefois faire la différence entre la surveillance ciblée, qui est légitime, et la surveillance de masse, reprend Jérémy Zimmermann, mais aussi entre surveillance publique et privée. Il convient, selon lui, d’inventer des solutions autres, basées sur de l’open source. L’état a clairement un rôle à jouer en la matière, notamment dans les investissements qu’il entreprend et ses choix technologiques.

Nous sommes actuellement dans une guerre de mouvements, principalement économique, explique Jean-Michel Orozco. Si vous voulez être efficace, il faut donc être rapide et innovant. L’innovation est l’une des clés du succès de la cybersécurité. La rapidité de réaction et la capacité d’anticipation et de détection des signaux faibles s’avèrent, en outre, fondamentales. Il est, en effet, important de pouvoir détecter une attaque dans un délai relativement court, mais aussi de ne pas avoir peur d’être surpris, dans le sens où souvent seul l’imprévisible se produit.

Le sabotage : un risque majeur pour nos infrastructures critiques

Parmi les principaux types d’attaques auxquels nous devons nous attendre, David Lacey prédit une nouvelle génération d’attaques, qui devrait s’avérer encore plus sophistiquée que Stuxnet, des attaques spectaculaires que nous ne pourrons pas détecter, et des attaques en environnement mobile de plus en plus dangereuses. Selon lui, la compliance n’est pas la solution et ne fait que complexifier la mise en œuvre de la sécurité. Le manque de compétences cyber est, de plus, un réel problème, car le fossé entre l’attaque et la défense devrait continuer à se creuser. Autant de constats qui laissent présager que la menace ne va pas diminuer…

Le risque de sabotage sur nos infrastructures critiques s’avère, pour Patrick Pailloux, prépondérant : « la lutte contre ce risque représente une priorité majeure de nos gouvernements et la France est en avance sur ces problématiques avec la Loi de programmation militaire. L’objectif est de connaître le niveau de sécurité de nos infrastructures vitales et de leur imposer un certain nombre de normes techniques. L’ANSSI publie d’ailleurs en ce sens, à l’occasion du FIC, le premier guide référentiel qui va permettre aux acteurs concernés d’identifier ce qui est critique et ce qui ne l’est pas dans leurs infrastructures, mais aussi les différentes mesures que nous estimons devoir être appliquées pour des systèmes C&C. 2014 sera en partie dédiée, pour l’Agence, à un travail conjoint avec les OIV, afin de définir de ce qui est sensible pour eux ».

Les méthodes d’attaques évoluent en permanence, souligne Bernard Barbier. On observe actuellement une dissymétrie entre les attaquants et les défenseurs. La vraie question aujourd’hui est effectivement de pallier au risque de sabotage. Le sabotage terroriste risque fort d’arriver dans les mois ou années à venir : l’enjeu sera certainement pour les attaquants de casser et provoquer de gros dégâts, comme ce fut le cas pour le 11 septembre 2001.

Les équipes de l’ANSSI conçoivent des systèmes censés contrer les attaques, explique Patrick Pailloux. « C’est extraordinairement complexe et coûteux de se défendre contre des attaques que l’on ne connaît pas aujourd’hui. Heureusement que nous avons des grands acteurs industriels pour nous aider dans cette démarche. Sans compter que nous avons besoin d’industriels puissants pour rester compétitifs ».

« La NSA investit des millions pour être sûre de pouvoir mettre un pied dans tous les systèmes de communication que nous avons pu développer à ce jour », souligne Jérémie Zimmermann. Le problème réside donc dans l’architecture même de nos technologies et solutions de sécurité. La chaîne de confiance qui en découle repose actuellement sur du sable. C’est pourquoi nous devons concevoir des technologies en lesquelles nous pourrons avoir confiance, qui reposeraient entre autres sur un modèle open source et une architecture décentralisée. Il faut repenser les investissements en sécurité, mais aussi donner les moyens au citoyen de se protéger. Les technologies développées doivent être appropriées par les citoyens, car la sécurité passera par cette appropriation.

Pour le Général Watin-Augouard, le partenariat public-privé s’avère également essentiel et va marquer les années à venir. Une mutation complète de notre modèle d’organisation et de nos comportements est cependant nécessaire et sera d’ailleurs la condition sine qua non du bon fonctionnement de la cybersécurité… car jamais le prédateur n’a été aussi prêt de la victime, et la victime aussi loin des juges.

La bataille est-elle peine perdue ?

Patrick Pailloux estime toutefois que la bataille n’est pas perdue, car des solutions existent. Les dirigeants commencent à être sensibilisés ; le problème aujourd’hui est qu’ils ne savent pas quoi faire pour se protéger. C’est pourquoi nous devons désormais éduquer les acteurs et les dirigeants à la sécurité. L’ANSSI publie, en ce sens, des guides pour conseiller, éduquer et accompagner les entreprises, au travers d’un certain nombre de recommandations (par exemple pour la VoIP).

Jean-Michel Orozco relève, quant à lui, trois axes sur lesquels nous devons travailler :
– La partie prise de conscience et formation des décideurs, mais aussi des citoyens ;
– L’innovation, car c’est l’outil qui nous permettra d’avoir des solutions up to date ;
– L’Europe : si la France veut pouvoir rivaliser avec les Etats-Unis par exemple, l’une des solutions sera de fédérer les technologies sur un marché européen.
Pour Bernard Barbier, outre les Etats-Unis, il ne faut pas non plus négliger la Chine, qui est en train de tuer l’industrie européenne des télécoms. Il serait d’ailleurs, selon lui, peut-être temps de parler du « Snowden chinois ».

Enfin, pour Jérémie Zimmermann, il faut effectivement établir des partenariats public-privé, mais aussi public-public, privé-privé, et ce également entre les différents pays. Les citoyens doivent, en outre, pouvoir reprendre le contrôle de la technologie.