La sécurité a un coût mais elle n’a pas de prix

Cyberterrorisme, espionnage industriel, vol de données, faille de sécurité ou ransomware… Une numérisation exponentielle, associée à l’explosion des données, prête le flanc à ces nouvelles menaces. J.P. Morgan s’est vu pirater 83 millions de ses données clients : les hackers usurpant (aussi) l’identité de la célèbre banque les ont incités à acheter des actions de diverses sociétés pour en faire monter le prix. Cette arnaque, le « pump & dump », et bien d’autres sont remises au goût du jour grâce au numérique. Les objets connectés sont de nouvelles proies et le danger significatif surtout si l’objet en question est le frein d’une voiture autonome ou un système embarqué qui gère le refroidissement d’une usine. Un rapport de Verizon publié en 2015 fait état de 79 790 incidents de sécurité dans 61 pays en un an et de 400 millions de dollars de pertes. Sans compter l’impact sur la réputation, la crédibilité et la perte de confiance chèrement gagnée.

Quel est le portrait robot du cybercriminel ? Il opère souvent depuis des pays peu scrupuleux voire laxistes sur ces questions : avec le numérique, on est près de la victime et loin du juge. Ce sont de petits voyous ou des cracks de l’informatique qui se professionnalisent, s’organisent, se réunissent en communauté d’experts. Avec des plateformes de test pour vérifier son virus, des tableaux de bord pour évaluer sa performance, des supports techniques, on peut parler de professionnalisation de la menace. Il existe un marché noir au sein duquel se met en place une véritable organisation structurée comme une équipe projet. Certains se sont même spécialisés par métier : ils développent leur connaissance d’un secteur pour mieux en exploiter les faiblesses.

Plus dangereux que tous ces cybercriminels, il y a nous, vous, tout le monde. La technique seule ne peut malheureusement pas résoudre tous les problèmes de sécurité. C’est pour cela que le facteur humain doit faire partie intégrante des plans de sécurisation des entreprises et des institutions. En postant des photos qui contiennent des coordonnées GPS, en utilisant le même mot de passe partout, en tombant dans le piège du phishing, bref, en ne respectant pas ce qu’on pourrait appeler une cyberhygiène élémentaire, nous prenons des risques considérables qui nous exposent collectivement.

La transformation des modèles offre de belles perspectives mais implique aussi de grandes responsabilités. Être responsable, c’est intégrer la sécurité numérique au cœur de tout. Il y va du développement économique du pays mais aussi de sa sécurité dont l’État s’est saisi avec l’ANSSI. La France a tous les atouts pour devenir une championne de la cyber sécurité et exporter son expertise[i]. Rassurez-vous, la coopération entre acteurs publics et privés, régulateurs, législateurs, et la science de la cybersécurité auront le dessus… Car nous n’avons pas le choix.