Le Forum International de la Cybersécurité (FIC) a attiré 13.000 visiteurs venus de près de 100 pays le 22 et 23 janvier dernier à Lille, l'occasion de faire un tour d'horizon des enjeux de la filière.

"Aujourd'hui, les menaces se multiplient et touchent les différentes couches du cyber-espace : elles portent sur la technique, mais également sur les données, elles touchent aussi à la propagande virale avec ce qu'on appelle les fake news", résume Guillaume Tissier, président de la société de conseil en stratégie CEIS et co-organisateur du FIC.

Julian King, commissaire européen à la sécurité, a d'ailleurs insisté sur la nécessité d'"améliorer les campagnes de protection et de démentis face à la désinformation et aux attaques, notamment dans le contexte électoral des élections européennes". Il a proposé par la suite de créer une nouvelle agence européenne de la cybersécurité, un réseau européen de compétence en sécurité informatique et un centre européen de cyber-recherches. C'est dire si le mal est grand.

Attaquants agiles

Lors de la plénière d'ouverture, Guillaume Poupard, directeur général de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, a rappelé ce constat "inquiétant", avec des "menaces plus fortes, plus proliférantes, plus difficiles à attribuer".

Les attaquants sont plus agiles, ils ont bien compris que leurs victimes avaient des prestataires et des clients :

"La moindre faille dans les chaines de confiance est exploitée par des cyberattaquants très organisés, possédant des moyens importants, probablement soutenus pour certains par des États et affichant une détermination sans faille", a poursuivi Guillaume Poupard.

Le directeur général de l'ANSSI a profité du salon pour annoncer également les premières entreprises qualifiées PDIS (Prestataire de services de détection d'intrusion), à savoir Orange, Sogeti et Sopra Steria : elles décrochent le précieux sésame pour pouvoir proposer leurs services aux opérateurs d'importance vitale (OIV) pour protéger leurs systèmes d'information d'importance vitale (SIIV), conformément à la réglementation.

La ministre des Armées Florence Parly a, elle, profité du salon du FIC pour annoncer que l'armée française pourrait désormais mener des cyberattaques, en allant bien plus loin que la simple défense.

Objets connectés ciblés

Pour le quotidien des entreprises, c'est un fait : les attaques touchent de plus en plus les objets connectés et les systèmes industriels souvent interconnectés avec les clients et les sous-traitants. Les objets connectés sont très souvent utilisés pour faire des botnets - contraction de "robot" et "réseau" : les programmes malveillants s'en servent pour en faire des "machines zombies", utilisées notamment pour les attaques informatiques par déni de service distribuées, qui s'appuient sur la capacité de plusieurs appareils.

"Comme ces objets possèdent une vulnérabilité native, que parfois les mises à jour ne sont pas prévues à l'origine, ils sont utilisés par des hackers malveillants : récemment, nous avons eu l'exemple de caméras connectées, détournées pour mener des attaques en déni de service", prévient Guillaume Tissier.

La première des réponses à ces menaces, ce sont les solutions de "security by design", à savoir l'intégration de la sécurité dès la phase de conception.

Le déploiement du cloud dans les entreprises, même s'il présente de multiples atouts, devient également une source de menaces : à partir du moment où toutes les données sont stockées dans le cloud, il faut pouvoir sécuriser l'accès.

"Nous constatons une multiplication des attaques via les clouds, car les pirates suivent aussi les modes technologiques en essayant d'exfiltrer les données", poursuit Guillaume Tissier.

Amazon Web Services avec son système d'identification, Microsoft avec son programme Threat Intelligence ou encore Google avec sa plateforme cloud étaient évidemment présentes sur le salon pour envoyer des messages rassurants aux entreprises. Depuis peu, ces géants ne contentent plus de proposer des solutions cloud, il souhaitent aussi grignoter des parts de marché dans la cybersécurité.

Ransomware et phishing

Parmi les autres tendances marquantes, le ransomware ne faiblit pas : le vol de données se fait souvent dans une optique de renseignements ou de chantages. Ces attaques en déstabilisation, à partir du moment où la personne malveillante possède quelques données, est "une face visible et importante de l'iceberg : depuis mai dernier et l'instauration de la RGPD, le règlement européen pour les données personnelles, la Commission nationale de l'informatique et des libertés (CNIL) a reçu énormément de déclarations de fuites de données à caractère personnel", souligne Guillaume Tissier.

Une enquête du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) affirme que l'attaque la plus répandue reste le "phishing", cette technique d'hameçonnage qui permet de voler des données voire des fonds en abusant simplement de la crédulité des employés. Le coup classique, la fameuse "arnaque au président", consiste à se faire passer pour un membre de la direction ou un prestataire afin de se faire virer rapidement de coquettes sommes d'argent.

Chacun est responsable

Parmi les offres proposées aux entreprises pour contre les attaques, certains acteurs arrivent avec des solutions à base d'intelligence artificielle, d'autres ont mis au point de nouvelles sécurisations d'accès aux données du cloud, de sécurisation et de chiffrement d'accès aux données.

"Nous voyons aussi de plus en plus d'utilisateurs finaux qui acceptent de s'afficher sur ces sujets en considérant que personne n'est à l'abri, qu'il y aura toujours un problème malgré les précautions mises en place", note Guillaume Tissier.

"Oui le thème de 'Security by Design' est un bon choix", renchérit Philippe Knoche, directeur général Orano (ex-Areva) qui ne cache pas enregistrer 200 tentatives d'attaque par jour.

Le secteur de l'énergie est particulièrement concerné par la cybersécurité :

"L'humilité, c'est d'admettre qu'un système technique n'est pas fiable. Orano ne fait pas dans la cybersécurité, mais la cybersécurité s'est invitée dans notre business : cela nécessite que chacun dans l'entreprise soit responsable y compris le patron".

Outre la technique, le FIC 2019 a également essayé aussi d'apporter des réponses juridiques, à travers les cadres et les normes :

"Nous avons intégré dans le sujet du 'Privacy by Design', c'est-à-dire la protection des données personnelles dès la conception, avec le concours d'avocats et de la CNIL, conclut Guillaume Tissier, président de CEIS (co-organisateur du FIC). Les assurances permettent aussi désormais d'assurer des dommages immatériels sur les données, par exemple".

______

QUATRE PEPITES DU FIC 2019

*Lokly, la clef USB ultra-sécurisée

Coup de cœur du jury du FIC 2019, Lokly est une clef USB qui peut affranchir de l'ordinateur grâce un port USB femelle et à son appli smartphone qui permet de sélectionner les infos à transférer. Sécurisée par quatre brevets, elle est destinée aux entreprises qui ont besoin de transmettre des informations sensibles.

« C'est une sorte de coffre-fort numérique : elle vient de passer avec succès son 5e hackathon et n'a toujours pas été hackée », se réjouit Charles-Henri Mathorel, directeur commercial.

Si la clef s'éloigne de plus de dix mètres de son propriétaire, le téléphone le signale et la clef USB devient un objet mort. La recherche et développement a nécessité un million d'euros. Son prix : 240 euros les 8GO et 790 euros pour 64GO.

*Citalid anticipe les attaques

Deux anciens de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, ont créé Citalid, une plate-forme permettant de se prémunir des risques cyber.

« Notre cœur de métier est d'identifier les attaques possibles et d'établir ainsi la liste de courses idéales du hacker », expliquent Maxime Cartan et Alexandre Dieulangard, les co-fondateurs.

Citalid va alors extraire les menaces les plus crédibles et mesurer le coût des scénarios, en intégrant les incertitudes.

« Nous simulons ensuite les attaques et nous suggérons des solutions de protection ».

Citalid s'appuie également sur les facteurs géopolitiques, économiques et sociaux en passant en revue des milliers d'articles de presse pour modéliser l'exposition des entreprises aux menaces informatiques. Citalid a remporté le prix de l'innovation 2018 des assises de la sécurité.

*Datadome protège contre les « bad bots »

« En matière de vol des données personnelles, la moitié des attaques proviennent de robots connectés : 50% du trafic web mondial est non humain », explique Fabien Grenier, gondateur de Datadome, qui a remporté le prix de startup du FIC 2019.

La technologie de DataDome consiste, grâce à l'intelligence artificielle, à identifier ces robots malveillants, à les catégoriser et ainsi à éviter leurs attaques. La startup protège aujourd'hui près de 1500 domaines, comme Fnac-Darty, La Redoute, Leroy-Merlin, Le Bon Coin, les Pages jaunes, la Macif, la Matmut ou encore Le Parisien et le Groupe Ouest France. DataDome a enregistré 230% de croissance en 2018 et espère réaliser le même exploit en 2019 avec l'ouverture d'un bureau à New York.

*Yogosha et Yes We Hack facilitent le bug bounty

Prix du jury du FIC 2019, Yogosha a adapté le bug bounty à l'Europe. Le bug bounty, c'est un mouvement lancé aux États-Unis, qui consiste pour une entreprise à avoir recours à des hackers pour détecter les failles du système informatique. Yogosha sélectionne les profils, en fonction de leurs compétences en informatique, mais aussi de leur capacité à échanger avec le client.

Lors du salon du FIC, YesWeHack a offert un bug bounty à plusieurs ONG : la communauté de 6.500 hackers permet aux entreprises de choisir les chercheurs qui vont débusquer les bugs et de déterminer la durée de la recherche.

« La société décide de tous les paramètres », insiste Laurent Jouannic, business développeur de Yes We Hack. « A partir du moment où le client valide le rapport de bug, une prime est versée en fonction de la criticité de la vulnérabilité reportée. »