Cyber entreprise

Comment la Cyber-sécurité transforme l'Entreprise

Le blog de Guy-Philippe Goldstein

L’homme dépassé par la machine ?

Publié le

L’homme dépassé par la machine ?
© LoRa Alliance

La transformation digitale va-t-elle si vite qu’il faudrait la ralentir ? C’est la question que pose l’un des plus grands "gourous" sur ces questions, Bruce Schneier, un des grands noms de la cybersécurité et aujourd’hui, entre-autre, un intervenant à la Harvard Kennedy School et membre au board de l’Electronic Frontier Foundation, l’une des associations les plus influentes sur la défense des libertés en ligne. L’interrogation est un vrai pavé dans la marre. Sur le fond, elle fait écho aux interrogations que l’on peut avoir face à l’évolution de la menace. Pour dire les choses, si les éléments de volumétrie ne semblent jamais très clairs d’une étude à l’autre, on sent bien que malgré tous les investissements, et les efforts, le sol se dérobe encore un peu sous nos pieds. Le nombre de nouvelles failles et vulnérabilités découvertes chaque année, telles que mesurées par le l’institut NIST aux Etats-Unis, était à peu près stable de 2012 à 2016. Elle a doublé en 2017, et va probablement encore au moins augmenter de 50% cette année. Escalade ?

Dans le détail, pleins de petits exemples montrent que nombre d’objets connectés à Internet peuvent effectivement être atteints – et voir leur utilisation rendue dégradée, stoppée ou dangereuse. Parmi des centaines d’exemples – on sait depuis novembre 2016 que l’on peut stopper à distance le chauffage et l’eau chaude de blocs d’immeubles, ce qui est embêtant quand la température descend au-dessous de zéro degré Celsius ; que l’on peut, depuis 2017, manipuler à distance des pompes à perfusion pour seringues en milieu hospitalier, ce qui devient extrêmement dangereux ; et même que le bon vieux fax, sans le vouloir, peut devenir un point d’entrée pour l’introduction de ver informatique malveillant, rien qu’en lui envoyant un message depuis l’extérieur – ce qu’ont démontré des chercheurs israéliens de l’entreprise Checkpoint, qui ont obtenu pour cet exploit le prix du meilleur papier de recherche lors de la récente conférence réunissant hacker éthiques de tout poil à Hack.Lu, dans le cadre de la semaine cyber du Luxembourg. Bref, on ne peut échapper à l’emprise grandissante du cyberespace dans toutes ses manifestations, ce que Schneier nomme "Internet+".

Le constat rejoint celui d’autres spécialistes. Déjà, il y a plus de sept ans, Stefan Woronka, directeur à l’époque de la sécurité des services industriels pour Siemens, affirmait que l’on ne pouvait plus isoler les systèmes d’Internet. La sécurité par "Air-Gap", la capacité à être protégé des risques d’internet parce que l’on n’y est pas connecté, était devenu un mythe. Il y a effectivement désormais trop de capteurs, et trop d’agents naturellement connecté à Internet – à commencer par l’utilisateur humain !, si facilement manipulable – pour pouvoir échapper à l’influence du cyberespace. Mais est-ce que ralentir le développement d’Internet est la solution, comme le suggère Schneier ? On peut se poser la question de la mise en place dans la pratique d’un tel ralentissement. D’autant que la compétition économique, elle, continue ; que la bataille se joue désormais dans la mise en place de nouveaux services, le plus souvent logiciels, ou aidés par le logiciel, autour des produits – qu’il s’agisse de conseil pour l’achat, ou la maintenance, par exemple ; et que du point de vue des nations industrielles, en pleine tempête populiste, et marqué par des croissances encore trop souvent inférieures à 2%, on voit mal comment demander à décroître. 

Le plus probable – et ce qui se profile déjà – c’est la mise en place de code de conduite, voire de réglementations, pour évaluer, tester et sécuriser ces nouveaux produits immergés dans le cyberespace. C’est bien ce que l’on voit dans d’autres univers, comme celui de la pharmacie, ou le lancement d’un nouveau médicament nécessite souvent de dépenser plus de 80% sur les tests permettant de vérifier la sécurité et l’efficacité du médicament. On en est très loin dans l’univers du développement digital – alors même que la plupart des tests qui sont réalisés sont surtout des tests de fonctionnalité, rarement de cybersécurité. Une réaction initialement normale : jusqu’ici, un logiciel dangereux ne semblait pas pouvoir avoir de conséquences aussi néfastes qu’un mauvais médicament. Le calcul est en train de changer. Certains industriels particulièrement exposés, comme Airbus, ont développé très tôt des politiques systématiques de test de pénétration des logiciels embarqués dans les avions. Et la réglementation est elle aussi en train d’évoluer. Les équipes de PwC Luxembourg notent en effet que les Pays-Bas ont fait adopter en 2017 des dispositions qui imposent justement des batteries de tests de piratage pour tous les appareils issus du monde des objets connectés. En Grande-Bretagne, le 14 octobre dernier, le gouvernement a publié un code de conduite à adopter sur la base du volontariat pour les industriels des objets connectés, proposant comme première mesure la suppression des mots de passes "par défaut", une vulnérabilité béante dans nombre de systèmes.

Bref, l’univers de l’internet des objets, et celui du cyberespace, ne va probablement pas avancer plus lentement – c’est peut-être illusoire dans le cadre de la compétition économique -  mais il sera désormais de plus en plus prudent. Les gagnants seront les entreprises qui intégreront au plus tôt les meilleurs pratiques, dont le test de cybersécurité des logiciels développés, afin d’offrir la meilleure offre non seulement en termes de service fonctionnel, mais également en termes de confiance. Là va se jouer également la bataille de la compétition économique.

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte