Par Amaury Duhesme
L’espace cyber ne cesse de s’agrandir et de se complexifier, offrant de très nombreux avantages aux particuliers, aux entreprises et aux acteurs publics. Mais cette expansion accroît également l’importance des enjeux qui lui sont liés, en particulier la sécurité. Nous avons rencontré Sylvan Ravinet, fondateur et président de Captain Cyber, une start-up dont la mission est de rendre les gens acteurs de leur propre cybersécurité.
On entend beaucoup parler de cybersécurité dans les médias, comme cela a été le cas pendant la dernière campagne présidentielle des Etats-Unis qui s’est soldée par l’investiture de Donald Trump. C’est un thème également traité dans le cinéma. Beaucoup de films mettent en avant le hack de réseaux d’énergies, de serveurs de banques, de caméras de surveillance… Dans quelle mesure ce dont on entend parler ou ce qui est mis en scène relève du fantasme ou de la réalité ? Quels sont les enjeux actuels de la cybersécurité ?
Pour commencer il faut définir l’espace cyber. L’espace cyber correspond vulgairement au monde virtuel, c’est-à-dire au réseau d’arcs et de nœuds, ou aux 0 et aux 1 [de l’écriture binaire]. La cybersécurité consiste à protéger cet espace des attaques cyber, et à empêcher des acteurs non autorisés à rentrer dans l’espace cyber pour l’utiliser contre son propriétaire. L’attaque peut avoir, par exemple, pour objectif de prélever des données, de modifier le contenu de l’espace, ou d’en prendre le contrôle. La protection du cyberespace est avant tout un enjeu de sécurité nationale et de souveraineté, d’où la création en France d’une cyber-armée, au même titre que l’armée de l’air ou la marine. [Par exemple,] la cyber-attaque contre l’usine iranienne Natanz [infectée par le virus Stuxnet en 2009] a mis un terme à la production de combustible nucléaire. [En 2016,] la banque centrale du Bangladesh a perdu 81 millions de dollars au cours d’une attaque.
Pour les entreprises, le risque est multiple. Il peut être d’ordre financier avec par exemple du chantage, du détournement de fond ou de la perte de chiffre d’affaire. L’attaque peut également nuire à l’image de marque, entraîner du turn over en raison du stress post traumatique subi par les employés. L’entreprise Travelex a subi une attaque le 31 décembre 2019 qui avait pour objectif l’extorsion de fond : 4,6 moi de livres ou publications des données des clients. L’attaque a pu être empêchée, mais les machines sont restées hors d’usages pendant un mois. Travelex a perdu un mois de chiffre d’affaire et ses employés ont subi une période de très haut niveau de stress.
Pour les particuliers, le danger est principalement le chantage : le cryptage de données personnelles qui sont restituées contre de l’argent ou le vol de données personnelles pouvant entraîner une extorsion de fond (code d’accès bancaire, cambriolage…).
Les motivations de ceux qui perpètrent ces attaques sont multiples. Financières principalement, mais également stratégiques. La Corée du Nord a cherché à se financer lors de l’attaque de la banque du Bangladesh, de même que l’auteur du virus chez Travelex. L’attaque de l’usine Iranienne, attribuée aux Etats Unis, avait vocation d’empêcher l’Iran de développer l’arme nucléaire.
Ce qu’il faut savoir c’est que ces attaques ne sont jamais uniquement technologiques. Elles impliquent tous les acteurs qui évoluent autour de la cible. La dimension technologique s’appuie sur le facteur humain pour pénétrer en premier lieu le système. En effet, dans le cas de l’usine iranienne, le code extrêmement fin a dû être implanté physiquement sur place, probablement par le biais de fournisseur du site. De même pour la banque du Bangladesh, le braquage a été possible en raison de l’implication d’employés de la banque.
Au niveau des entreprises, il existe 3 grands axes de cybersécurité tournés vers le capital humain :
- La mobilisation des salariés dans la cybersécurité. La plupart des salariés sont sensibilisés au comportement à adopter, mais on observe que la plupart ont des pratiques qui ne sont pas sûres. En effet, entre 70% et 90% des attaques cyber des entreprises impliquent une faiblesse du capital humain. Pourtant, seulement 1% des investissements en cybersécurité sont destinés au capital humain. Ma solution, c’est Captain Cyber : un outil qui permet de rendre compte des bonnes pratiques des employés, ainsi que de détecter les employés ayant des compétences particulières dans le domaine pour en faire des experts cyber pour l’entreprise.
- La conception d’interface sûres. L’idée est de concevoir des interfaces qui limitent les erreurs humaines. Par exemple, une interface qui demandent suffisamment d’information pour que le paiement d’un fournisseur soit rapide mais qu’il n’y ait pas de risque de payer une fausse facture. Le défi est de garder une UX agréable malgré la contrainte de la cybersécurité.
- Donner des objectifs de cybersécurité aux managers. Cette dernière mesure implique un changement d’organisation. Il participe du premier point qui est de mobiliser les employés au-delà de les sensibiliser.
Au niveau des particuliers, les bonnes pratiques sont notamment :
- De faire les mises à jour proposées.
- D’avoir un gestionnaire de mot de passe (papier ou numérique) pour avoir des mots de passe complexes et différents sur chaque compte
- Acheter des objets connectés d’origine française et de marque connue.
La cybersécurité comprend également de façon plus évidente une dimension strictement technologique. L’objectif est de protéger le système d’information contre un code ou une utilisation malveillante.
La plupart du temps les grandes entreprises utilisent déjà des milliers d’applications au quotidien qui ne sont pas du tout conçues de façon à faire face à des attaques cyber. Comme il serait trop long et trop coûteux de recoder en incorporant une dimension de cybersécurité à ces applications, les grandes entreprises mettent en place des remparts pour empêcher l’accès aux applications. Cela est mieux que rien, mais on est loin du système de Netflix qui, par exemple, empêche toute attaque en détruisant aléatoirement des machines pour les recréer juste après. Ce chaos et cette résilience très avancée lui donne un haut niveau de sûreté.
Dans le cas des start-ups, la dimension de cybersécurité n’est pas incluse dans le processus de développement agile pour des raisons d’urgence de résultats sur le court terme. Pourtant, sécuriser après coup un logiciel plutôt que de le faire au fur et à mesure peut augmenter jusqu’à 100 fois le coût de la sécurisation.
La question de sécurisation se pose en effet car le cloud n’est pas un espace sécurisé. Il faut configurer soigneusement l’accès et prendre en charge la dimension de cybersécurité. Il est aussi possible de le sous-traiter à des services de SIEM.
Propos recueillis par Amaury Duhesme
A propos de Captain Cyber
Captain Cyber est une start-up fondée en janvier 2020 par Sylvan Ravinet. Captain Cyber est une plateforme digitale & média dont la mission est d’aider à transformer l’ensemble des parties prenantes de l’entreprise en acteurs de la cybersécurité, ambassadeurs et futurs experts.