Comment faire face à la cybercriminalité ? Vaste sujet débattu à l’occasion de la Paris Cyber Week 2019 qui a rassemblé un panel d’experts et de professionnels confrontés, dans leur domaine respectif, à ce sujet : politique, armée, agence de sécurité, chercheur…
Chaque année se réunissent à Paris à l’occasion de la Paris Cyber Week tous les acteurs de l’économie numérique et du sujet connexe de la cybersécurité. Il s’agit d’un évènement européen et effectivement, comme son nom ne l’indique pas, les débats dépassaient le cadre géographique de Paris et de la France pour exposer une vision véritablement européenne. Une vision partagée par des acteurs français mais aussi par des représentants politiques de l’Union Européenne.
Cyber sécurité : une vision européenne
Qu’il s’agisse de cybersécurité ou des questions relatives à l’intelligence artificielle, l’élément central dans les prises de décision européennes est l’humain comme le rappelle Despina Spanou, directrice en charge de la Société numérique, de la Confiance et de la Cybersécurité à la Commission Européenne. « Concernant l’intelligence artificielle, tout repose sur les données : comment les protéger, comment organiser le partage… Au sein de l’UE, les technologies développées sont basées sur les principes fondamentaux européens qui placent l’humain et la sécurité au centre de tout».
A plusieurs reprises, à l’occasion des différents débats, se détache l’idée que l’Europe a un rôle à jouer, que ce soit en matière de cybersécurité ou face aux questions que posent l’IA (souveraineté de la donnée, protection, stockage, pérennité…). Face aux autres grandes puissances mondiales, à commencer par les USA et la Chine, l’UE doit organiser et encadrer cette révolution numérique. Elle doit imposer sa philosophie, ses principes fondamentaux et instaurer ainsi plus de confiance !
La question cruciale de la confiance
Et en effet, partant du principe que pour une réelle adoption de nouvelles technologiques la confiance est essentielle, il faut réfléchir à un cadre (loi, doctrine, grand principe de base…).
Le travail est en cours avec notamment l’adoption du cyber security act le 7 juin dernier. « Ce règlement marque une véritable avancée pour l’autonomie stratégique européenne. Il poursuit un double objectif : l’adoption du mandat permanent de l’ENISA, l’Agence européenne pour la cybersécurité, et la définition d’un cadre européen de certification de cybersécurité, essentiel pour renforcer la sécurité du marché unique numérique européen. » explique l’ANSSI dans son communiqué de presse.
Au niveau de l’intelligence artificielle, fortement impactée par les questions de sécurité, un cadre légal est nécessaire pour instaurer la confiance : quelles normes, quels outils, quelle ligne directrice ? Pour François-Pierre Lani, avocat expert des questions de normalisation et d’IA, la réflexion est en cours et il est nécessaire de répondre à ces questions. « Il faut travailler sur une loi de la confiance dans l’utilisation de l’IA en France comme dans l’Union Européen » et d’évoquer l’idée d’un règlement général (international) de la protection des données qui serait utilisé partout dans le monde. C’est aussi l’avis de Gwendal Rouillard, député du Morbihan, qui exprime la nécessité pour la France et l’Europe de bâtir un cadre multi latéral de la confiance pour faire face aux autres grandes puissances.
Cybersécurité : une décision à prendre
« La question n’est plus de savoir s’il faut se protéger mais comment. Et c’est le plus compliqué ! » lance Guillaume Poupard, Directeur général de l’ANSSI. Il fallait bien un représentant de l’autorité en charge de la sécurité des systèmes d’information en France pour enrichir le débat. Et force est de constater que si le contexte reste complexe et menaçant, le message, lui, est plutôt positif : « le sujet est crucial et important, les opérateurs doivent intégrer la notion de cybersécurité. Mais on constate depuis quelques années un changement d’état d’esprit des décideurs. Ils ont compris que c’est un vrai sujet. ». Il ajoute « Désormais, les décideurs ne traînent plus des pieds mais la mise en place d’une stratégie de cybersécurité reste difficile et surtout coûteuse, au niveau humain (il faut les compétences), et bien sûr financier (coût d’investissement mais aussi répercutions indirectes sur la productivité). La tâche pour une entreprise ou un opérateur est immense ».
Pour autant, les entreprises peuvent se reposer sur les certifications de l’ANSSI qui visent à apporter de la confiance via des produits certifiés. En témoigne Jacques de la Rivière, président de Gatewatcher. Sa société fabrique des sondes de sécurité qui ont obtenu après une étude très approfondie une certification de l’ANSSI. Celle-ci apporte aux produits une validation de la promesse de sécurité mais aussi un critère de robustesse et de résistance réelle face aux attaques. « Aujourd’hui très peu de produits dits cyber sécurisés sont certifiés » explique-t-il.
Au niveau des produits informatiques, ordinateurs comme imprimantes, le volet sécurité est primordial. Les produits professionnels proposés par HP intègrent un niveau de sécurité élevé, en premier lieu pour protéger l’entreprise des cybermenaces. Sur la gamme de PC Elite, on retrouve des protections logicielles telles de HP Sure Start (qui a reçu la Certification de Sécurité de Premier Niveau (CSPN) délivrée par l’ANSSI), HP Sure Run et HP Sure Recover qui permettent de protéger le Bios, de lancer des processus d’auto-réparation et de restaurer automatiquement l’image du PC. On oublie aussi souvent une technique des plus simple : l’espionnage visuel, en d’autres termes tout simplement quand quelqu’un regarde par-dessus l’épaule ! Pour cela, HP a développé un système intégré d’écran de confidentialité baptisé HP Sure View.
