{"id":130,"date":"2014-09-12T16:02:58","date_gmt":"2014-09-12T15:02:58","guid":{"rendered":"http:\/\/www.lestarif.fr\/?p=130"},"modified":"2014-09-12T16:02:58","modified_gmt":"2014-09-12T15:02:58","slug":"les-defis-de-la-cybersecurite","status":"publish","type":"post","link":"http:\/\/www.lestarif.fr\/?p=130","title":{"rendered":"Les d\u00e9fis de la cybers\u00e9curit\u00e9"},"content":{"rendered":"

Les d\u00e9fis de la cybers\u00e9curit\u00e9<\/p>\n

Herv\u00e9 Guillou \/ Pr\u00e9sident, Conseil des Industries de Confiance et de S\u00e9curit\u00e9 \/ April 25th, 2014<\/p>\n

viaLes d\u00e9fis de la cybers\u00e9curit\u00e9<\/a>.<\/p>\n

La cyber-menace est en voie de prendre des dimensions syst\u00e9miques pour l’\u00e9conomie mondiale. L’inqui\u00e9tude des acteurs monte, au point que l’on peut craindre une r\u00e9action globale contre la num\u00e9risation, avec un \u00e9norme impact \u00e9conomique. Pourtant, les avanc\u00e9es en mati\u00e8re de cloud computing et de Big data pourraient, selon McKinsey, cr\u00e9er entre 9600 et 21600 milliards de dollars de valeur pour l’\u00e9conomie mondiale. Si la sophistication des attaques submerge les capacit\u00e9s d\u00e9fensives des \u00c9tats et des organisations, on peut redouter des r\u00e8glementations et des politiques qui ralentiraient l’innovation et la croissance.<\/span><\/p>\n

ParisTech Review \u2013 La cyber-menace est-elle diff\u00e9rente pour les Etats et pour les entreprises\u00a0?<\/strong><\/p>\n

Herv\u00e9 Guillou\u00a0\u2013<\/strong> Pas vraiment. Dans le cybermonde, les fronti\u00e8res entre administration et industrie ne se d\u00e9terminent ni par les cha\u00eenes actionnariales ni par les organigrammes. Elles sont poreuses, par le truchement des services. Les individus re\u00e7oivent des services de sant\u00e9, l\u2019arm\u00e9e a besoin d\u2019une logistique, les entreprises contribuables paient l\u2019imp\u00f4t sur les soci\u00e9t\u00e9s au minist\u00e8re des Finances.<\/p>\n

Pour appr\u00e9hender ce sujet, il faut bien d\u00e9finir le cyber-espace. C\u2019est un pav\u00e9 \u00e0 neuf cases, c\u2019est-\u00e0-dire trois couches traversant trois mondes.<\/p>\n

Il y a tout d\u2019abord la couche physique (les c\u00e2bles, les fibres optiques, les r\u00e9seaux sous marins, les liaisons radios, les liaisons satellites, l\u2019interconnexion, les switchs, bref toute la couche de support de l\u2019information.<\/p>\n

Ensuite, la couche informatique, les ordinateurs, les robots, les serveurs, les protocoles, les logiciels directs comme Windows, les logiciels de pilotage des robots, ou l\u2019informatique embarqu\u00e9e sur une voiture.<\/p>\n

Il y a enfin la couche informationnelle et fonctionnelle, la plus visible et la plus souvent associ\u00e9e \u00e0 la cyber-s\u00e9curit\u00e9\u00a0: il s\u2019agit des donn\u00e9es, des applications, de l\u2019information transmise, trait\u00e9e ou stock\u00e9e, du traitement dans le\u00a0cloud<\/em>, de l\u2019information en ligne, des paiements s\u00e9curis\u00e9s.<\/p>\n

Ces trois couches \u00ab\u00a0horizontales\u00a0\u00bb traversent trois mondes verticaux qui ont, historiquement, toujours \u00e9t\u00e9 cloisonn\u00e9s parce que les technologies avaient leurs racines dans des mondes normatifs et industriels diff\u00e9rents. Ces trois mondes sont l\u2019informatique g\u00e9n\u00e9rale (IBM, Atos, Bull), l\u2019informatique industrielle (Catia, Siemens, Schneider) avec ses automates, sa robotique, ses outils de CAO 3D et de GPAO (gestion de la production assist\u00e9e par ordinateur)<\/em>, les commandes de machines num\u00e9riques, et enfin l\u2019informatique embarqu\u00e9e (Honeywell, Thales) sp\u00e9cialis\u00e9 dans l\u2019ordinateur en temps r\u00e9el pour la commande de pilotage d\u2019un avion par exemple, tout ce qu\u2019on appelait autrefois les calculateurs embarqu\u00e9s.<\/p>\n

Comment circule la menace\u00a0?<\/strong><\/p>\n

Internet Protocol (IP) est en train de faire \u00e0 la fois une p\u00e9n\u00e9tration verticale puisqu\u2019on est en train de rendre virtuels les r\u00e9seaux de t\u00e9l\u00e9com et les routeurs. Dans le m\u00eame temps, IP est en train de connecter l\u2019informatique g\u00e9n\u00e9rale avec le contr\u00f4le commande des usines (par l\u2019interm\u00e9diaire, par exemple, d\u2019un logiciel SAP qui surveille la production).<\/p>\n

On a \u00e9galement connect\u00e9 l\u2019informatique embarqu\u00e9e avec l\u2019informatique industrielle. La \u00ab\u00a0valise\u00a0\u00bb qui permet de r\u00e9parer l\u2019informatique embarqu\u00e9e dans une voiture envoie les informations au centre technique du constructeur, t\u00e9l\u00e9charge un patch logiciel\u00a0pour r\u00e9parer et commande des pi\u00e8ces de rechange. Autre exemple\u00a0: un Airbus poss\u00e8de sept adresses IP qui se branchent au sol sur des services de e-catering, qui t\u00e9l\u00e9chargent leur plan de vol puis transmettent leurs donn\u00e9es de vol. Vous voyez que toutes ces couches et tous ces mondes sont d\u00e9sormais \u00e9troitement li\u00e9s.<\/p>\n

\"risky\"<\/a><\/p>\n

On pense \u00e9videmment \u00e0 un m\u00e9dia qui s\u2019appelle la mer. Un si\u00e8cle apr\u00e8s Christophe Colomb, ce qui \u00e9tait du petit cabotage a \u00e9t\u00e9 mondialis\u00e9 et on a commenc\u00e9 \u00e0 y faire circuler des richesses colossales. Il s\u2019y est d\u00e9velopp\u00e9 des pirates, des corsaires et bien s\u00fbr des marines militaires. Et des virus, parfois mortels, ont commenc\u00e9 \u00e0 se r\u00e9pandre.<\/strong><\/p>\n

Il se passe exactement la m\u00eame chose sur le Web mais la dissym\u00e9trie entre les attaquants et les d\u00e9fenseurs est encore plus formidable. Pour les attaquants, cela ne co\u00fbte pas grand-chose de recruter 2000 Chinois, 500 Russes ou 300 Bulgares, qui seront tous d\u2019excellents informaticiens. C\u2019est beaucoup moins cher que de construire un missile balistique, un avion de combat ou un r\u00e9acteur nucl\u00e9aire. La construction des instruments d\u2019attaque est tr\u00e8s accessible techniquement et le co\u00fbt d\u2019entr\u00e9e pour l\u2019attaquant est pratiquement nul. En outre, ils ont un don d\u2019ubiquit\u00e9 quasi total\u00a0: louer un serveur co\u00fbte un demi-dollar. Pour un million de dollars, vous avez deux millions de serveurs. Qui peut trouver l\u2019origine d\u2019une attaque mettant en jeu deux millions de serveurs r\u00e9partis partout dans le monde et utilisant quatorze pays leurres\u00a0? Enfin, l\u2019impunit\u00e9 est presque totale car les organismes attaqu\u00e9s h\u00e9sitent \u00e0 aller en justice par crainte pour leur r\u00e9putation.<\/p>\n

Et pourtant, il faut se d\u00e9fendre.<\/strong><\/p>\n

M\u00eame si vous pouvez attribuer une attaque, vous n\u2019avez pas les moyens juridiques de poursuivre car il n\u2019existe quasiment pas de loi internationale applicable au web. Un des seuls trait\u00e9s internationaux concernant Internet est le trait\u00e9 de Budapest contre la p\u00e9dophilie. Rien \u00e0 voir avec l\u2019arsenal juridique dont on dispose pour r\u00e9guler l\u2019a\u00e9rien, l\u2019espace ou la mer. Les victimes sont exactement dans la position des galions espagnols de jadis. Ils placent de plus en plus de valeur sur le web. Les individus y mettent leurs donn\u00e9es bancaires. Les bureaux d\u2019\u00e9tudes y mettent leur production intellectuelle. Les industriels y placent leur outil de production puisque les usines sont connect\u00e9es entre elles, les fournisseurs sont connect\u00e9s par les\u00a0e-supply chain<\/span><\/em> et l\u2019e-stockage, les clients par l\u2019e-commerce, les ressources humaines par l\u2019e-HR. En plus, la victime est statique et elle cherche \u00e0 se faire conna\u00eetre gr\u00e2ce \u00e0 un portail web attirant\u00a0! Pour les attaquants, le nombre de portes d\u2019entr\u00e9e explose. En 2003, il y a avait 500 millions d\u2019adresses IP. En 2014, elles sont treize milliards. En 2020, ce sera au moins 80 milliards \u00e0 cause de tous les objets connect\u00e9s et de l\u2019informatique industrielle. Rien n\u2019est plus facile que d\u2019attaquer une entreprise par ses fournisseurs ou ses agents mobiles.<\/p>\n

Que cherche l\u2019attaquant\u00a0?<\/strong><\/p>\n

Certains veulent s\u2019enrichir, par exemple en revendant des codes de cartes bleues vol\u00e9s. Il y a aussi du sabotage, du terrorisme d\u2019\u00c9tat, des ONG qui veulent punir une entreprise, de l\u2019espionnage pour voler des informations. Derri\u00e8re tout cela, il n\u2019y a plus seulement des Robins des Bois romantiques mais souvent le crime organis\u00e9, ce qu\u2019on appelle d\u00e9sormais l\u2019\u00a0\u00ab\u00a0advanced persistent threat<\/em> \u00bb. Vous pouvez acheter pour 20 euros une carte bleue avec un droit de tirage de 100 euros. Si on vous a d\u00e9rob\u00e9 des plans, il existe un march\u00e9 secondaire de la propri\u00e9t\u00e9 intellectuelle ils pourront \u00eatre valoris\u00e9s.<\/p>\n

Combien co\u00fbte cette guerre\u00a0?<\/strong><\/p>\n

La valeur \u00e9conomique pill\u00e9e par la cybercriminalit\u00e9 en 2013 repr\u00e9sente 190 milliards d\u2019euros. Et il ne s\u2019agit l\u00e0 que des pertes directes. Sony s\u2019est fait voler 1,5 million de donn\u00e9es de cartes bleues. Le dommage direct\u00a0: 150 millions. Mais Sony r\u00e9clame \u00e0 son assureur 1,3 milliard de dollars pour compenser l\u2019arr\u00eat complet de leur serveur pollu\u00e9 de e-commerce, c\u2019est-\u00e0-dire de leurs ventes, la modification de leur syst\u00e8me d\u2019information et la campagne de communication qui a suivi. Quand les industriels de la d\u00e9fense et de l\u2019\u00e9nergie se font voler des plans, la perte \u00e9conomique ou strat\u00e9gique est potentiellement consid\u00e9rable.<\/p>\n

Pourquoi est-il aussi difficile de mettre la main sur ces hackers\u00a0?<\/strong><\/p>\n

On n\u2019arrive d\u00e9j\u00e0 pas \u00e0 arr\u00eater les djihadistes qui partent se battre en Syrie, alors les hackers\u2026 Comment identifier un individu qui travaille \u00e0 partir de sa chambre en utilisant une fausse adresse IP\u00a0? Des polices se construisent autour de cette recherche, Tracfin aide, les services de renseignement aussi. Il y a eu, en 2013, 26 millions de malwares (logiciels malveillants), 70 000 nouvelles menaces par jour. La moyenne mondiale d\u2019infection d\u2019un ordinateur est de 40 %. Le temps pendant lequel un ordinateur neuf reste vierge apr\u00e8s sa premi\u00e8re mise en route, c\u2019est trois minutes. Au-del\u00e0, un petit \u00ab\u00a0botnet <\/em>\u00bb (virus dormant) est install\u00e9 par un hacker qui le r\u00e9veillera peut-\u00eatre un jour pour mener une attaque \u00e0 partir d\u2019une adresse IP innocente.<\/p>\n

Comment proc\u00e8de l\u2019attaquant pour se dissimuler aussi bien\u00a0?<\/strong><\/p>\n

Le temps m\u00e9dian de d\u00e9couverte d\u2019une attaque sophistiqu\u00e9e est de 416 jours. Au minist\u00e8re fran\u00e7ais des Finances, les services de pr\u00e9paration du G20 ont \u00e9t\u00e9 pirat\u00e9s. Il a fallu une \u00e9quipe de cinquante personnes pendant quatre mois, jour et nuit, pour que le cancer soit \u00e9radiqu\u00e9. Car une fois que l\u2019attaquant est dans votre syst\u00e8me, il attend un jour pour \u00eatre dans la sauvegarde \u00e0 un jour, puis un mois pour \u00eatre dans la sauvegarde \u00e0 un mois, puis \u00e0 un an, etc. Il infecte des couches de plus en plus profondes de votre cyber-structure. Quand vous croyez lui fermer une porte, il utilise les cl\u00e9s de toutes les autres portes.<\/p>\n

Bref, il est impossible de se d\u00e9fendre\u00a0?<\/strong><\/p>\n

C\u2019est difficile mais c\u2019est imp\u00e9ratif. Il y va de notre survie, au sens propre, car le Web est maintenant pr\u00e9sent dans tous les syst\u00e8mes vitaux\u00a0: dans les salles d\u2019op\u00e9ration des h\u00f4pitaux, dans les voitures, dans les feux de circulation, dans le compteur \u00e9lectrique, dans le r\u00e9seau d\u2019eau. Et au sens figur\u00e9 car le web conditionne d\u00e9sormais la r\u00e9silience \u00e9conomique d\u2019un pays, le fonctionnement de ses banques par exemple, l\u2019approvisionnement \u00e9nerg\u00e9tique. Souvenez vous de l\u2019Estonie, un des pays les plus technologiquement modernes du monde \u00e0 l\u2019\u00e9poque, que des hackers russes ont mis \u00e0 genoux \u00e9conomiquement pendant quatre jour en avril 2007.<\/p>\n

Peut-on se prot\u00e9ger \u00e0 un co\u00fbt acceptable\u00a0?<\/strong><\/p>\n

L\u2019hygi\u00e8ne informatique de base est essentielle, car elle permet de triompher de 90 % de la petite criminalit\u00e9. 75000 PC ont \u00e9t\u00e9 vol\u00e9s dans le m\u00e9tro de Londres en 2013, 70 % des entreprises du monde entier ont \u00e9t\u00e9 attaqu\u00e9es. Il faut faire attention \u00e0 ses affaires. Si vous \u00e9levez une petite barri\u00e8re, vous dissuadez beaucoup de petits cyber-criminels qui cherchent la facilit\u00e9. Surtout, il faut instaurer d\u2019urgence une identit\u00e9 num\u00e9rique r\u00e9galienne, qui soit bas\u00e9e sur trois facteurs d\u2019authentification\u00a0: qui je suis (Iris, trait morphologique, battement du c\u0153ur), ce que j\u2019ai (badge ou carte) et ce que je sais (code secret). Si au lieu de multiplier les mots de passe m\u00e9diocres et qui sont si nombreux que vous \u00eates oblig\u00e9 d\u2019en faire une liste elle-m\u00eame vuln\u00e9rable, on pouvait acc\u00e9der au r\u00e9seau gr\u00e2ce \u00e0 son passeport num\u00e9rique, par exemple, nous serions bien moins vuln\u00e9rables. Attention au\u00a0smartphone<\/em>, \u00e0 mi-chemin entre informatique g\u00e9n\u00e9rale et informatique embarqu\u00e9e, et qui illustre \u00e0 quel point les mondes autrefois cloisonn\u00e9s sont en train de se connecter.<\/p>\n

Les Etats et les grands groupes n\u2019ont-ils pas int\u00e9r\u00eat \u00e0 mettre en place leurs propres moyens de sauvegarde, et \u00e0 interdire l\u2019utilisation du \u00ab\u00a0cloud<\/em> \u00bb propos\u00e9 par un fournisseur\u00a0?<\/strong><\/p>\n

Bien s\u00fbr, les \u00c9tats et les grands groupes doivent se prendre en charge et d\u00e9ployer leurs propres moyens de protection. En revanche, il faut que ces moyens soient homog\u00e8nes sur l\u2019ensemble de leur r\u00e9seau et de leur syst\u00e8me d\u2019information, et proportionn\u00e9 aux dommages \u00e0 pr\u00e9venir\u00a0: on ne se prot\u00e8ge pas de la m\u00eame fa\u00e7on selon ce que l\u2019on craint espionnage, d\u00e9ni de service ou vol. Mais il me para\u00eet illusoire d\u2019interdire l\u2019utilisation du \u00ab\u00a0cloud<\/em> \u00bb. Il est trop tard, la pression \u00e9conomique est trop forte. Il faut donc s\u2019organiser pour vivre avec, en n\u2019y mettant pas n\u2019importe quoi, et en prot\u00e9geant ce qui doit l\u2019\u00eatre avec un bon cryptage et une ma\u00eetrise professionnelle de l\u2019identit\u00e9 et des transactions s\u00e9curis\u00e9es.<\/p>\n

Peut-on aujourd\u2019hui garantir l\u2019inviolabilit\u00e9 absolue d\u2019un intranet\u00a0?<\/strong><\/p>\n

Absolument pas\u00a0: m\u00eame s\u2019il est techniquement et physiquement isol\u00e9 du reste du monde, tant qu\u2019il est accessible aux hommes, ils seront le maillon faible\u00a0: indiscipline, erreur humaine, usurpation d\u2019identit\u00e9\u2026<\/p>\n

Le danger ne vient pas que des hackers criminels. Qu\u2019en est-il des Etats\u00a0?
\n<\/strong>
\nLes Etats doivent \u00eatre impliqu\u00e9s tant du c\u00f4t\u00e9 offensif que du c\u00f4t\u00e9 d\u00e9fensif. Un des documents r\u00e9v\u00e9l\u00e9s par Edward Snowden montrent en toutes lettres que la consacre des ressources importantes \u00e0 l\u2019espionnage \u00e9conomique et en particulier \u00e0 infecter, d\u00e8s leur conception ou leur fabrication, des ordinateurs et des routeurs produits hors des Etats-Unis pour s\u2019y garantir des portes d\u2019entr\u00e9e. En m\u00eame temps, les Etats-Unis instaurent une meilleure protection r\u00e9glementaire et l\u00e9gislative pour obliger les m\u00e9nages et les entreprises \u00e0 s\u2019assurer contre le cyber-risque. Washington veut obliger les entreprises cot\u00e9es \u00e0 chiffrer dans leur rapport annuel l\u2019\u00e9tat du cyber-risque au m\u00eame titre que les autres risques. La mobilisation des \u00c9tats est cruciale. En France, la loi de programmation militaire 2014, consacre plusieurs articles \u00e0 la cyber-s\u00e9curit\u00e9. Les organismes d\u2019importance vitale seront tenus de se faire auditer par des experts. En 2013, le gouvernement britannique a convoqu\u00e9 l\u2019un apr\u00e8s l\u2019autre des PDG et des membres de comex des entreprises du FTSE 100 pour les mettre en garde. Il faut que les formations suivent, avec des ing\u00e9nieurs, des docteurs et des fili\u00e8res consacr\u00e9es \u00e0 la cyber-s\u00e9curit\u00e9.<\/p>\n

Et les entreprises\u00a0?<\/strong><\/p>\n

La prise en compte du risque cybern\u00e9tique dans la gouvernance est essentielle. En g\u00e9n\u00e9ral, le responsable de la cyber-s\u00e9curit\u00e9 est sous les ordres du directeur informatique, ce qui est la pire des configurations. La cyber-s\u00e9curit\u00e9 est en effet un concurrent budg\u00e9taire direct de l\u2019informatique et le directeur informatique est en danger si l\u2019on d\u00e9couvre des failles. En outre, le directeur informatique (CIO) est responsable de l\u2019informatique g\u00e9n\u00e9rale, mais le plus souvent ni de l\u2019informatique industrielle, ni de l\u2019informatique op\u00e9rationnelle. Bref, deux tiers du sujet lui \u00e9chappent. Ce qui doit \u00eatre du ressort de la DRH et qui est essentiel \u00e0 la ma\u00eetrise des acc\u00e8s, lui \u00e9chappe \u00e9galement. Le CIO est pouss\u00e9 par sa hi\u00e9rarchie \u00e0 chercher les effets de volume et \u00e0 baisser les co\u00fbts. Il n\u2019est pas en position d\u2019autorit\u00e9 pour arbitrer le \u00ab\u00a0cost quality trade off<\/em> \u00bb entre la valeur \u00e9conomique du cyber-risque et le co\u00fbt de la protection. Il faut que le Comex soit totalement mobilis\u00e9. Chez un grand constructeur automobile fran\u00e7ais, c\u2019est le directeur des op\u00e9rations, \u00e9galement directeur de l\u2019ing\u00e9nierie qui danime la cyber-s\u00e9curit\u00e9. C\u2019est une bonne configuration car cet homme a une bonne id\u00e9e de l\u2019informatique embarqu\u00e9e puisqu\u2019il la con\u00e7oit et de l\u2019informatique g\u00e9n\u00e9rale dont il est utilisateur.<\/p>\n

Certains secteurs de l\u2019\u00e9conomie sont-ils mieux prot\u00e9g\u00e9s\u00a0?<\/strong><\/p>\n

Les entreprises les plus en avance sont les banques car, pour elles, l\u2019informatique industrielle et l\u2019informatique g\u00e9n\u00e9rale, c\u2019est la m\u00eame chose. En revanche, certains secteurs sont laxistes. Des usines livr\u00e9es cl\u00e9s en main sont parfois d\u00e9nu\u00e9es de toute cyber-s\u00e9curit\u00e9. Nous avons d\u00e9montr\u00e9 \u00e0 l\u2019op\u00e9rateur d\u2019une raffinerie au Moyen Orient, la plus grande du monde, qu\u2019elle pouvait \u00eatre paralys\u00e9e \u00e0 distance en moins de dix heures. Il suffisait de pirater l\u2019adresse IP d\u2019un \u00e9cran de contr\u00f4le, de modifier l\u2019image \u00e0 l\u2019\u00e9cran et de pousser les techniciens \u00e0 prendre des mesures correctrices qui provoquent des accidents. Il faut savoir investir \u00e0 bon escient. Quand une \u00e9quipe mobile d\u2019une Major p\u00e9troli\u00e8re s\u2019est fait voler tous ses dossiers d\u2019exploration, perdant du m\u00eame coup des atouts pr\u00e9cieux pour une n\u00e9gociation de droits, la compagnie a s\u00fbrement regrett\u00e9 de n\u2019avoir pas achet\u00e9 des t\u00e9l\u00e9phones crypt\u00e9s.<\/p>\n

Quelle est la meilleure d\u00e9fense\u00a0?<\/strong><\/p>\n

L\u2019essentiel, c\u2019est la question du temps r\u00e9el. Pour r\u00e9duire les dommages, il faut d\u2019abord r\u00e9duire le temps qui s\u2019\u00e9coule avant la d\u00e9couverte de l\u2019attaque. Mettre des sondes. Les attaquants de haut vol passeront, mais les autres laisseront des signaux faibles\u00a0: un poste qui a \u00e9t\u00e9 activ\u00e9 \u00e0 une heure indue, un flux de donn\u00e9es pass\u00e9 avec un protocole inhabituel. Quand on a un soup\u00e7on, ou trouve. Deuxi\u00e8me imp\u00e9ratif\u00a0: \u00eatre s\u00e9lectif car on ne peut pas tout prot\u00e9ger. Le syst\u00e8me d\u2019information doit \u00eatre bien s\u00e9gr\u00e9g\u00e9 (compos\u00e9 de segments \u00e9tanches) et les droits d\u2019acc\u00e8s g\u00e9r\u00e9s professionnellement.<\/p>\n

Comment construire une offre forte en mati\u00e8re de cyber-s\u00e9curit\u00e9\u00a0?<\/strong><\/p>\n

Le monde de la haute s\u00e9curit\u00e9 (\u00ab\u00a0high grade<\/em> \u00bb) est tr\u00e8s confidentiel et \u00e9conomiquement \u00e9troit. C\u2019est celui, par exemple, des communications militaires au sein des installations nucl\u00e9aires. Le march\u00e9 du grand public, lui, est compl\u00e8tement occup\u00e9 par les Am\u00e9ricains. Ils ont tout rachet\u00e9 et construit des groupes de plusieurs milliards qui se verticalisent par exemple autour de Intel, Microsoft ou Cisco. Pour le \u00ab\u00a0mid grade<\/em> \u00bb, c\u2019est-\u00e0-dire la d\u00e9fense des op\u00e9rateurs industriels d\u2019importance vitale, il n\u2019y pas vraiment d\u2019offre en Europe car le sujet a longtemps \u00e9t\u00e9 ignor\u00e9. Plus de 95 % des entreprises qui proposent des solutions p\u00e8sent moins de 5 millions d\u2019euros. Ce sont des startups le plus souvent sous-capitalis\u00e9es, avec une gamme limit\u00e9e, une R&D fragile et qui peinent \u00e0 cro\u00eetre, notamment \u00e0 l\u2019export. Les grands industriels h\u00e9sitent \u00e0 leur confier leur cyber-s\u00e9curit\u00e9, de peur de rencontrer des probl\u00e8mes de d\u00e9ploiement et de renouv\u00e8lement. Aux Etats-Unis, le Department of Homeland Security, qui a la cotutelle de la NSA, brasse 50 milliards de dollars et investit chaque ann\u00e9e 3 milliards dans la cyber-s\u00e9curit\u00e9, avec 80 000 emplois industriels \u00e0 la cl\u00e9. Il est donc n\u00e9cessaire de consolider ce secteur. En France, le lancement du pacte d\u00e9fense\/ cyber, du plan 33 de la nouvelle France industrielle, qui s\u2019inscrivent dans le cadre de la cr\u00e9ation r\u00e9cente d\u2019une fili\u00e8re s\u00e9curit\u00e9 fran\u00e7aise sont des bonnes nouvelles.<\/p>\n

La CNIL et ses homologues \u00e9trangers focalisent leur activit\u00e9 sur la protection des individus. Peut-on mettre en place des institutions similaires pour la protection des entreprises\u00a0?<\/strong><\/p>\n

La CNIL, en prot\u00e9geant les individus contre l\u2019usage potentiellement abusif des donn\u00e9es, s\u2019int\u00e9resse aussi \u00e0 eux quand ils sont dans leur entreprise. Elle y est donc tr\u00e8s pr\u00e9sente. Mais la CNIL n\u2019est pas en charge de la protection des biens et des donn\u00e9es de l\u2019entreprise. C\u2019est le probl\u00e8me de l\u2019entreprise, \u00e9ventuellement conseill\u00e9e et support\u00e9e par l\u2019ANSSI (Agence nationale\u00a0de la s\u00e9curit\u00e9\u00a0des syst\u00e8mes d\u2019information) ou des soci\u00e9t\u00e9s de cyber-s\u00e9curit\u00e9 de confiance qui se d\u00e9veloppent en ce moment. Le vrai sujet aujourd\u2019hui, c\u2019est que ces soci\u00e9t\u00e9s sont trop petites. Ce secteur de la cyber-d\u00e9fense doit s\u2019organiser et se consolider rapidement.<\/p>\n

Est-il possible d\u2019imaginer une autorit\u00e9 mondiale de r\u00e9gulation susceptible de garantir les syst\u00e8mes et \u00e9changes d\u2019information contre les hackers\u00a0?
\n<\/strong>
\nCertains y travaillent mais aujourd\u2019hui, ces tentatives sont encore tr\u00e8s embryonnaires. Tous les \u00c9tats n\u2019ont pas les m\u00eames objectifs ni la m\u00eame conception des libert\u00e9s publiques et priv\u00e9es\u00a0!<\/p>\n

\n


\n<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Les d\u00e9fis de la cybers\u00e9curit\u00e9 Herv\u00e9 Guillou \/ Pr\u00e9sident, Conseil des Industries de Confiance et de S\u00e9curit\u00e9 \/ April 25th, 2014 viaLes d\u00e9fis de la cybers\u00e9curit\u00e9. La cyber-menace est en voie de prendre des dimensions syst\u00e9miques pour l’\u00e9conomie mondiale. L’inqui\u00e9tude des acteurs monte, au point que l’on peut craindre une r\u00e9action globale contre la num\u00e9risation, …<\/p>\n

Continue reading ‘Les d\u00e9fis de la cybers\u00e9curit\u00e9’ »<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[7],"tags":[],"_links":{"self":[{"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=\/wp\/v2\/posts\/130"}],"collection":[{"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=130"}],"version-history":[{"count":1,"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=\/wp\/v2\/posts\/130\/revisions"}],"predecessor-version":[{"id":131,"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=\/wp\/v2\/posts\/130\/revisions\/131"}],"wp:attachment":[{"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=130"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.lestarif.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}