Les technologies et les usages associés transforment aujourd’hui l’économie et la société dans son ensemble. De son côté, la menace numérique existe, et elle s’accroît. C’est un axiome dont il faut partir pour construire sa stratégie de sécurité, explique-t-il. La question aujourd’hui est de savoir comment s’organiser pour être plus efficace. On touche à un domaine qui nous engage durablement, et cela nécessite une vraie réflexion et coordination entre les acteurs. Chacun a, en effet, un rôle à jouer dans cette sécurité du numérique.

« Chacun est responsable de tous. Chacun est seul responsable. Chacun est seul responsable de tous. » (Antoine de Saint-Exupéry)

L’investissement de chacun d’entre nous, en fonction de son rôle et de ses compétences, est, selon lui, l’un des piliers de la sécurité numérique. Chacun peut apporter sa pierre à un édifice commun et seule cette coopération pourra fonctionner. Il distingue, en ce sens, trois principales communautés d’acteurs :
– Les chercheurs, les inventeurs de nouveaux produits et usages, les entrepreneurs… : ces acteurs ont une forte responsabilité dans la sécurité numérique. En effet, l’ensemble des personnes (chercheurs, équipementiers…) qui pensent et développent les nouvelles technologies, les objets connectés, les services en ligne… ont une responsabilité de premier plan, même si la sécurité n’est pas leur compétence première.
– Tous ceux qui ont en charge de préparer l’avenir, à savoir le gouvernement, les élus, les conseillers… Ces acteurs décident des orientations qui permettront de faire face aux prédateurs du numérique.
– Les dirigeants d’entreprises, les institutions, les communautés informatiques… : le rôle stratégique des DSI doit être bien compris dans la gouvernance des entreprises.

On peut ajouter à ces trois communautés beaucoup d’autres acteurs, tels que les assureurs, les analystes financiers, les commissaires aux comptes… Et en tant que citoyen, nous avons également tous une responsabilité. Nous devons être en mesure de maîtriser nos données personnelles. Aucune solution technique ne résoudra le problème à 100%, c’est pourquoi l’aspect humain s’avère fondamental.

Objets connectés & nouvelles technologies : comment les prendre en compte en entreprise ?

Comment est-ce que les nouvelles technologies, telles que les objets connectés, doivent être prises en compte en termes de sécurité ? L’objectif de l’ANSSI, comme des responsables sécurité, n’est pas de ramener les utilisateurs à l’âge de la bougie, mais d’accompagner le risque, rappelle-t-il.

En premier lieu, il recommande aux entreprises de s’inscrire dans une démarche de doute systématique, dès la conception et le développement de tout nouvel outil ou fonctionnalité. Pour limiter le risque, ces problématiques doivent être prises en compte en amont de tout projet, le plus tôt possible. La sécurité a certes un coût, mais celui-ci est tout à fait absorbable s’il est pris en compte dès le départ, et s’avèrera quoi qu’il en soit largement moindre que celui de l’insécurité.

Les nouvelles technologies et les objets connectés sont désormais partout et envahissent notre quotidien. Les montres, les vêtements, la santé, les transports, la gestion technique des bâtiments (alarmes, systèmes de détection d’incendies, accès, etc.)… tout est aujourd’hui connecté, même votre machine à café. Certains sujets sont évidemment plus critiques que d’autres. C’est le cas de la santé connectée, notamment avec les risques d’interception et de modification des données de santé, la prise de contrôle à distance de ces appareils médicaux… Le domaine des transports l’est aussi, avec l’arrivée des voitures connectées sur le marché. Ces nouveaux risques, y compris l’impact systémique, doivent impérativement être pris en compte en amont de tout développement, car tous ces objets deviennent des cibles potentielles pour les attaquants.

Nous sommes dans une société où tout va de plus en plus vite, notamment pour tout ce qui touche au numérique. Les entreprises doivent répondre à des contraintes de coûts et de délais de plus en plus prégnantes. Il faut être le premier, pour atteindre ses objectifs commerciaux, et la sécurité donne souvent l’impression de freiner le processus et de faire perdre du temps. Toutefois, l’intérêt pour toute entreprise est d’être efficient sur le long terme, alors rien ne sert de développer un produit de manière précipitée. Le cas de Fiat Chrysler en est l’exemple, puisque l’entreprise a été contrainte de rappeler plus d’un million de véhicules après commercialisation, en raison d’une faille de sécurité dans le système multimédia Uconnect.

Les utilisateurs doivent aussi être demandeurs de cette sécurité

Pour se protéger au mieux contre ces risques, Guillaume Poupard recommande notamment aux entreprises :
– D’effectuer en premier lieu une analyse de risques : une entreprise doit savoir de quoi elle doit se protéger ; de plus, on ne se protège pas de tout de la même manière ;
– De positionner en connaissance de cause les bons curseurs ;
– De mettre en place les bonnes architectures : il convient de penser à la fois l’ergonomie, la performance… d’une architecture dès sa conception, mais aussi sa sécurité ;
– D’opter pour un développement et un code sécurisés : les développeurs doivent intégrer la sécurité dès le départ, de manière à ce que les produits soient nativement de qualité ;
– D’effectuer une démarche d’évaluation de sa sécurité par un tiers. Il n’existe pas de bon produit de sécurité sans évaluation et réévaluation dans le temps.

Pour pouvoir mettre en place ces différentes mesures, il est de plus primordial de former et de sensibiliser les développeurs, les utilisateurs et l’ensemble des acteurs. Cette évolution des usages nécessitera aussi un changement de mentalité chez les utilisateurs eux-mêmes. En effet, il faudra à l’avenir que les clients soient d’eux-mêmes demandeurs de cette sécurité.

La sécurité doit devenir un critère différenciateur

Le pays a également besoin d’augmenter le nombre et la taille de ses formations dédiées à la cybersécurité, d’accroître le nombre de spécialistes en la matière, mais aussi l’attractivité de ces métiers en France. L’ANSSI travaille d’ailleurs avec les enseignants eux-mêmes afin de les former et de leur fournir de la matière. Cette approche se veut également locale, l’objectif étant d’aller vers les écoles et les universités à travers le territoire, dans le but de les aider à trouver des enseignants et à monter leurs programmes.

En outre, l’État ne s’interdit pas de continuer à faire appel à la Loi quand cela sera nécessaire, afin de protéger ses infrastructures, ses entreprises et ses citoyens, et d’imposer un niveau minimum de sécurité.

Enfin, le risque cyber, même s’il est pénible et dérangeant, représente, selon lui, une véritable opportunité pour les acteurs et développeurs méritants d’apporter une réelle valeur ajoutée. L’ANSSI est là pour accompagner les entreprises et les start-ups, qui font de la sécurité un critère différenciateur.