Pour David Naccache, cryptologue et expert en sécurité informatique, la France compte trop de « cyberstratèges », qui abordent la cybersécurité de manière généraliste sans pour autant coder. Membre du laboratoire d’informatique de l’ENS (Ecole normale supérieure), il enseigne au sein de différentes universités parisiennes. Il travaille actuellement sur le sujet des programmes capables d’identifier et d’exploiter les failles informatiques de façon automatisée.

Y a-t-il, selon vous, un manque de compréhension des enjeux de sécurité informatique de la part des entreprises ? 

Cela dépend des entreprises : certaines sont extrêmement sensibilisées à ces questions. C’est notamment le cas de celles dont la sécurité est le cœur de métier et qui ont une grande culture en la matière. On peut citer des groupes comme Ingenico, le leader mondial dans le secteur des terminaux de paiement, ou Gemalto, le numéro un des cartes à puces. Cette culture de la sécurité se diffuse en interne et se ressent également sur leur réseau et leurs systèmes. En revanche, dans la plupart des autres secteurs, la situation est généralement beaucoup plus empirique. Certaines entreprises changent leurs systèmes d’information de manière trop rapide et leurs audits de sécurité sont limités par des impératifs budgétaires. Or, le manque de sécurisation des systèmes d’information entraîne régulièrement de véritables catastrophes. Il suffit d’une faille sur le poste d’un employé pour qu’un tiers puisse prendre, sous certaines circonstances, le contrôle de l’ensemble du système d’information de l’entreprise.

 

L’un des grands défis des années à venir sera de permettre aux systèmes eux-mêmes de détecter des attaques, sans savoir d’où elles proviennent, pour qu’ils puissent automatiquement s’adapter et générer davantage de sécurité.

 

Pour optimiser leur sécurité informatique, les entreprises doivent prendre en compte cinq aspects principaux, dont chacun peut être rapporté à une question. Ces cinq champs sont les dispositifs (« où est-ce que nous calculons ? ») ; les réseaux (« avec qui calculons-nous ? ») ; les systèmes (« qu’est-ce qui calcule ? ») ; les programmes (« comment calcule-t-on ? ») et enfin la connaissance (« qu’est-ce que nos calculs signifient ? »). L’enjeu consiste à parvenir à sécuriser ces cinq axes. Pour prendre l’exemple des dispositifs, l’un des grands enjeux en matière de sécurisation concerne la gestion des appareils personnels et professionnels. De plus en plus de personnes ont tendance à utiliser les dispositifs professionnels pour un usage personnel, ou inversement. C’est un vrai sujet de préoccupation : de nombreuses études démontrent que ces usages font surgir des problèmes de sécurité et de catégorisation de données.

La sécurisation systématique de ces cinq domaines permet d’améliorer la protection de l’entreprise, mais il importe de noter que celle-ci reste par définition relative. Un corollaire du théorème de l’indécidabilité du problème de l’arrêt démontre de façon théorique ce que certains avaient déjà observé de façon empirique, à savoir que la sécurité parfaite n’existe pas. Il est possible de se prémunir contre certains types d’attaques, mais il ne peut exister un programme S « scanner de sécurité » tel que quel que soit le programme cible P qui lui est soumis, S puisse indiquer avec certitude si P est sûr ou pas.  C’est pourquoi la sécurisation s’entend comme une absence d’attaques étant donné l’état de l’art connu, jusqu’à preuve du contraire.

Dans quelle direction pensez-vous que le domaine de la sécurité informatique évoluera dans les années à venir ? 

La sécurité des objets connectés et celle du stockage distant (dans le cloud) sont des exemples fréquemment cités, mais de nombreux autres champs seront explorés. L’un d’entre eux concerne la construction de fonctions de sécurité utilisables plus facilement. Prenons l’exemple d’un navigateur Internet. Aujourd’hui, la configuration de cet outil est relativement complexe : elle nécessite de comprendre ce qu’est un certificat et le fonctionnement de son paramétrage.

Un autre champ à explorer est celui de l’inspection d’informations à très haut débit. De plus en plus de données circulent, et l’inspection de ces données en temps réel augmente en difficulté. Un autre challenge concerne la sécurisation des systèmes cyber physiques. Dans ces systèmes, l’enjeu est le lien entre l’infrastructure physique (une usine ou une centrale nucléaire par exemple) et le système informatique. On a vu l’importance de ce point avec les attaques sur des centrales nucléaires iraniennes, par exemple.

Enfin, l’un des grands défis des années à venir sera de permettre aux systèmes eux-mêmes de détecter des attaques, sans savoir d’où elles proviennent, pour qu’ils puissent automatiquement s’adapter et générer davantage de sécurité.

Une piste pour y parvenir est d’imiter les systèmes biologiques. Lorsque le corps est malade, il envoie des signaux de détresse même si le pathogène spécifique dont il souffre n’est pas connu. Dans une certaine mesure, ce mécanisme est transposable à la détection d’attaques informatiques. L’idée serait de conférer à des systèmes informatiques la possibilité de détecter que leur fonctionnement est anormal. L’observation du monde animal permet d’envisager d’autres pistes, comme par exemple la faculté de créer des programmes capables de se réparer eux-mêmes.

Qu’est-ce qu’une APT (Advanced Persistent Threat) ?

Wikipédia définit l’APT comme « un type de piratage informatique furtif et continu, souvent orchestré par des humains ciblant une entité spécifique ». Il s’agit d’une situation qui découle d’une attaque très avancée. On parle d’APT lorsque l’attaquant a déjà pris le contrôle du système et qu’il  est très difficile, voire impossible, de s’en débarrasser puisque les logiciels de l’attaquant ont fusionné avec le système victime. La situation est similaire à une contamination par le virus du sida dont la science actuelle ne sait débarrasser un malade. La seule solution consiste à apprendre à vivre avec en minimisant les dégâts, ou à remplacer l’intégralité du système.

 

Nous n’investissons pas suffisamment de temps sur la formation en matière de sécurité informatique.

 

Une des problématiques des spécialistes de la sécurité informatique aujourd’hui est d’ailleurs de comprendre comment le système peut vivre avec une attaque plutôt que la guérir. Il s’agit d’un cadre purement théorique : je n’ai pas connaissance d’organisations qui soient sous APT et qui continuent à fonctionner.

Il faut également souligner que les APT sont extrêmement difficiles à détecter. L’attaquant s’organise pour que tout semble normal : aucune trace d’attaque n’apparaît où que ce soit à moins d’inspecter le système à un niveau binaire très bas, bien qu’il ait accès aux fichiers du système. Un niveau d’analyse très fin est nécessaire pour déceler le problème.

La question de la sécurité technologique relève-t-elle selon vous de la technique, de l’humain, ou d’un croisement des deux ? 

C’est un croisement des deux, mais 80%, voire 90%, du problème relève de la technique. Je crois que nous avons aujourd’hui en France trop de « cyberstratèges » qui parlent beaucoup de cybersécurité, mais qui ne codent pas. La plupart ne sont même pas capables de configurer de manière appropriée leur téléphone mobile. Ce grand nombre de personnes au demeurant intelligentes mais peu qualifiées techniquement génère beaucoup de bruit. Or, nous avons un énorme besoin de véritables spécialistes : des codeurs qui cherchent les failles et protègent les systèmes contre les attaques. Le facteur humain est important. Nous n’investissons pas suffisamment de temps sur la formation en matière de sécurité informatique. Il faudrait suivre l’exemple de pays comme Singapour, Israël ou les Etats-Unis, où l’on trouve beaucoup de spécialistes capables de coder efficacement.

La chercheuse Primavera de Filippi déplore un manque de formation des juristes en matière de technologie, notamment sur les sujets de programmation. Partagez-vous son regard ?

Une meilleure formation à ces sujets est toujours préférable. La question qui risque de se poser est celle de leur disponibilité : ces personnes ont-elles la possibilité de consacrer du temps à ce type de formation ? D’une manière plus générale, je pense que nous faisons trop de choses, trop rapidement. Cela se ressent dans le niveau de formation des professionnels. Je pense que nous devrions faire moins de choses, mais y consacrer davantage de temps et d’énergie.