1

Risques informatique : « Jusque-là, on nous prenait pour des paranos »

Au Forum de la cybersécurité : « Jusque-là, on nous prenait pour des paranos » - Rue89 - L'Obs

Risques informatique : « Jusque-là, on nous prenait pour des paranos »

Non, même au Forum international de la cybersécurité, les experts ne hurlent pas à la cyberguerre. Leur secteur reconnu, ils restent modérés sur la menace… tout en profitant des récentes attaques. 

 

 


Au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

 

Se balader dans les travées du FIC, le Forum international de la cybersécurité qui se tenait à Lille ces 20 et 21 janvier, a de quoi faire flipper.

Partout, des bannières en rouge et noir ; l’une avec un gros masque d’Anonymous, l’autre reconstituant une scène de crime, rubans policiers jaunes barrant l’accès, non pas à des corps mais à des serveurs.

 

 


Des bannières aperçues sur les stands du FIC 2015 (Andréa Fradin/Rue89)

 

 

Des écrans diffusant des films où clignotent « Heartbleed », « Stuxnet » (noms des dernières vulnérabilité et attaque célèbres), dans des environnements rappelant les nanars hollywoodiens dans lesquels de petits-génies-mais-méchants-hackers lancent une opération hyper sophistiquée contre une banque, ou un organisme gouvernemental.

 

 


Au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

 

En plus de l’ambiance anxiogène, s’étalent aussi tout autour de moi des termes imbitables, des anglicismes techniques qui rappellent un peu les pubs pour le shampoing, où pro-vitamine B5 et revitalisants sont remplacés par « Net HSM » et « audit de SSI ».

 

 

La France, ses fromages, sa cybersécurité…
Les noms des entreprises de sécurité informatique, et des produits qu’elles vendent, sont tout aussi carabinés : Stormshield Network Security, Arkoon, Netasq, TrustWay Proteccio, Prim’x Technologies… Sur scène, les représentants de ces sociétés défilent tout sourire, manipulant à merveille, et sans sourciller, ces intitulés barbares.

Tous viennent de recevoir un label des mains de la secrétaire d’Etat en charge du numérique Axelle Lemaire – le label « France cybersécurité » –, « l’AOC » en la matière, se réjouit un homme. Qui ajoute :

« La France était connue pour ses fromages et ses vins, elle le sera désormais pour la cybersécurité. »

 

 


Les lauréats du label France cybersécurité (Andréa Fradin/Rue89)

 

Des hommes, revenons-y, il n’y a d’ailleurs que ça sur scène : sur vingt lauréats, costumes sombres, coupe sage, seule une femme est montée recevoir le fameux trophée en verre dont je ne comprends pas l’utilité.

 

 

Des képis partout
Tout ce petit monde, en revanche, semble très bien comprendre. Et très bien se connaître. Dans les salles et les travées du FIC, tout aussi masculines, on se donne du « tu », on vanne sur des termes techniques tout aussi alambiqués que l’intitulé des sociétés auxquelles on appartient, on connaît le travail du voisin installé sur le siège d’à côté. Et ce, même quand son badge indique un mystérieux « ministère de la Défense ».

 

 


Des militaires, au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

 

C’est d’ailleurs l’une des particularités de cet événement annuel : aux côtés des ingénieurs et informaticiens d’Airbus, Thales, Orange, Atos, et bien d’autres petites entreprises inconnues du grand public, figurent des policiers, des militaires, des gendarmes. C’est d’ailleurs eux, en grande partie, qui sont à l’origine du Forum : co-organisé par la Gendarmerie nationale, le FIC a été fondé par un général d’armée, Marc Watin-Augouard.

 

 


Des gendarmes, au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

 

La cybersécurité, arme et bouclier des temps modernes, se niche quelque part à la frontière entre intérêts étatiques et objectifs de grands groupes industriels. Dans ce drôle de territoire, on parle le même langage, on opine sur les mêmes remarques.

Je ne comprends pas la moitié des références, je ne parviens pas à déchiffrer les sigles et acronymes qui pullulent ici.

 

« J’en veux quand même aux journalistes… »

Pas facile, vu comme ça, de saisir le petit monde de la sécurité informatique. Pourtant, il est au cœur de l’actualité.

Il y a bien sûr #OpFrance, l’opération menée ces derniers jours contre des sites internet français par des attaquants se revendiquant d’organisations islamistes. Il y a aussi eu cet incident, chez un hébergeur, qui a fait sauter bon nombre de sites d’informations en France. Et avant ça : Sony Pictures piraté, photos intimes de stars dérobées, vols de comptes et de mots de passe… Pas une semaine sans qu’une attaque informatique ne fasse les gros titres de la presse. Même chose dans les discours des hommes politiques :

 

« Pas un forum international sans que le mot cyber ne soit prononcé », résume le patron de l’Anssi, l’agence gouvernementale précisément en charge de la cybersécurité de la France, Guillaume Poupard.

 

 

Et l’effet se ressent directement sur le secteur.
Tous, au FIC, me confient n’avoir jamais vu une telle affluence, un tel intérêt des profanes (journaliste, grand public, politiques, petites entreprises qui débarquent sur Internet) pour leur matière.

 

Sur scène, un expert lance :

« Il faut parler le langage normal des entreprises […]. Etre ergonomique, simple d’utilisation ! »

 

Entre deux ateliers, deux autres chambrent la presse :

« J’en veux quand même aux journalistes, et à leur traitement de cette actualité…

– Il faut leur expliquer en moins de deux syllabes ! »

 

Les effets de la petite phrase de Cazeneuve
Cet impératif, le ministre de l’Intérieur Bernard Cazeneuve l’a lui-même sommé en ouverture du Forum, par une petite phrase par la suite énormément commentée :

« La lutte contre les cybermenaces ne peut plus être réservée au cénacle élitiste de quelques experts. »

 

 


Le stand Hexatrust, au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

Pour le secteur, c’est à la fois une aubaine et une malédiction. Une aubaine, car l’ouverture de ces thèmes au grand public leur assure une visibilité dont ils n’ont jamais bénéficié. Une reconnaissance aussi. Dans les allées, nombreux sont ceux qui m’ont confié :

 

« Jusque-là, on nous prenait pour des paranos. »

 

Les cyberattaques, souvent invisibles, sont une menace floue, impalpable. Les échos que la presse et le monde politique donnent aux incidences directes et concrètes de ce risque le rendent forcément plus immédiat.

 

Et facilite aussi le business : gros bonnets du CAC 40 et PME de la région sont venus faire le tour des exposants du FIC.

 

Des clients : « Ça ne m’arrivera jamais ! »
Bien sûr, les réticences existent toujours :
« Les clients nous disent : “Ça ne m’arrivera jamais !” »
« Ils ne voient pas en quoi ils sont concernés jusqu’à ce que ça touche un concurrent direct. »

Et les contrats, contrairement à ce que souhaitait Axelle Lemaire (« J’espère que les contrats se signent ! ») ne se font pas en un tournemain. Certains représentent un investissement de dizaines, de centaines de milliers d’euros, voire de millions pour un « package complet » sécurisant tous les postes d’une grosse boîte :

« Il faut entre 12 et 24 mois pour signer un contrat. »

Mais oui, l’intérêt est là.

 


Le stand du ministère de l’Intérieur, au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

 

Mais l’ouverture est pour certains synonyme de trahison. D’abandon de la connaissance éclairée au profit d’intérêts commerciaux, ou de récupération politique, forcément trop simplistes.

 

« Bienvenue au Fric ! Euh, au FIC ! »
Un participant note le fossé existant entre les prises de parole en plénière, investie par les politiques, et les ateliers, où l’on parle concret : comment fait-on une enquête lors d’une attaque utilisant malgré elle des milliers de machines infectées par un logiciel malveillant ? Comment la coopération entre les agences chargée de la cyberdéfense s’établit en Europe et dans le monde ?

 

Un autre, pourtant lui-même exposant, se rappelle :
« Avant ce n’était pas comme ça. Au début, il n’y avait que des képis. Aucun sponsor, aucune marque. C’était plus confidentiel mais moins marketing. Le salon n’a jamais été aussi grand que cette année. »

 

 


Au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

Au matin du 20 janvier, juste avant les préliminaires officiels menés par Bernard Cazeneuve, Pierre de Saintignon (vice-président du conseil régional du Nord-Pas-de-Calais) provoquait l’hilarité de la salle en lançant :

« Merci pour votre présence à cette septième édition du Fric ! Euh, du FIC ! »

 

Lapsus révélateur de l’un des paradoxes qui traverse le secteur : tous reconnaissent bien sûr qu’il faut faire du business. Mais en aparté, chacun concède aussi que parfois, ça va trop loin :

« Certains en font des tonnes pour vendre leurs produits ! »

« Il faut démystifier, il y a de l’expertise, mais comme partout ! Ça ne sert à rien d’utiliser des mots compliqués, la cybersécurité, c’est simple ! »

 

 

Le petit dernier du business de la peur
D’eux-mêmes aussi, ils reconnaissent le business de la peur, souvent reproché au secteur. Cette méthode commerciale, que les initiés désignent aussi par l’acronyme FUD, pour « Fear, Uncertainty and Doubt » (« peur, incertitude et doute »), est classique dans les professions qui vendent des solutions censées protéger de tel ou tel danger.

 

Elle consiste à grossir le danger en question, à le rendre plus imminent, plus inévitable et plus dommageable qu’il ne l’est vraiment. On le retrouve partout : dans le business des alarmes, des assurances, et désormais de la cybersécurité.

 

 

Au FIC 2015, à Lille (Andréa Fradin/Rue89)

Dans les boîtes de sécurité informatique, personne ne nie le problème, ou n’esquive la question quand je l’aborde. Certains reconnaissent même en faire un peu, ironisant sur le service marketing qui fait parfois un peu de buzz sur une attaque. Beaucoup affirment, quand je souligne dans un sourire que les discours alarmistes profitent à la bonne santé du secteur, que ce n’est pas si simple. Tel cet exposant :

« C’est positif dans une certaine mesure : s’il y a une peur, alors il peut y avoir une prise de conscience.

Mais il y a aussi le risque que les gens aient trop peur, et disent : “Finalement, vos produits ne servent à rien, puisque les attaques passent de toute manière.” »

 

 

Malaise autour du mot « cyberguerre »
L’exemple de la prétendue cyberguerre est à ce titre saisissant : là encore, très peu de participants au FIC utilisent ou légitiment ce terme, que l’on retrouve pourtant de plus en plus souvent dans les médias. Au contraire, la grande majorité se montre très prudente avec ce concept. Et l’ambiance générale ne laisse pas franchement penser à un état de siège.

 

Au stand des principaux intéressés, les représentants de la Défense sont assez mal à l’aise dès que j’aborde le sujet. Et me dirigent vers la parole officielle, celle du contre-amiral Arnaud Coustillière, officier général de la cyberdéfense, cette « quatrième armée pour un quatrième espace », depuis 2011. Ce dernier ne parle pas de cyberguerre, et se refuse à tout catastrophisme.

 

Un autre ajoute : « De la peur, procède la paralysie. »

 

 


Le stand du ministère de la Défense, au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

De même, tous s’accordent à minimiser les attaques de ces derniers jours, qualifiées de « simples graffitis » par le directeur de l’Anssi. Les experts en rigolent, assurent que ces attaques sont consubstantielles au Web. De même, ou presque, que les solutions pour s’en protéger. Certains vont jusqu’à dire :

 

« A la limite, si des sites tombent sous ces attaques, tant pis pour eux. Ils l’ont bien cherché, ils ne se sont pas protégés. »

 

 


Extrait d’une vidéo diffusée au FIC 2015, à Lille (Andréa Fradin/Rue89)

 

Pourtant, ce sont bien ces attaques qui font la une des journaux, de même que ce sont bien elles qui se retrouvent citées en exemple dans le discours politique. Le décalage entre les confidences de ceux qui vivent de la cybersécurité et l’image qui en ressort dans le grand public me déstabilise.

 

« Human after all »
Ce n’est d’ailleurs pas le seul grand écart : bien loin de l’image des attaques hyper complexes élaborées dans des cervelles de cybercriminels machiavéliques, bien loin des termes techniques qu’ils choisissent eux-mêmes pour désigner leurs produits et leurs sociétés, les experts en cybersécurité s’attachent à m’expliquer que leur domaine n’a finalement rien de compliqué.

 

 


Au FIC 2015, à Lille (Andréa Fradin/Rue89)

Qu’au-delà des solutions techniques, du modus operandi des cyberattaques, la cybersécurité se rapporte avant tout à l’humain, au bon sens, et à la gestion des risques :

 

« La gestion des risques, on en fait tous les jours. Quand on traverse la route, on fait de la gestion de risques : on regarde à droite, à gauche, on détermine s’il est dangereux de traverser à ce moment-là. Pareil avec les incendies. C’est la même chose ici. »

 

Et que les intrusions informatiques, même les plus spectaculaires, relèvent le plus souvent d’imprudence humaine : le fait de brancher une clé USB trouvée par hasard dans son entreprise, le fait de ne pas protéger d’un mot de passe les caméras de son réseau de surveillance (souvenez-vous de notre enquête à ce sujet…).

 

 

De l’eau qui file entre nos doigts
Finalement, je m’attendais à des cris d’orfraie sur la menace permanente et la guerre imminente, mais passés les visées marketing et politiques, j’ai avant tout eu droit à des discours modérés. Je m’attendais à être noyée sous la technique, mais passés les slogans publicitaires, j’ai eu du bon sens.

 

Entre impératifs commerciaux, récupération politique et réputation à tenir, le monde de la cybersécurité ne fait finalement que jongler avec ses paradoxes. Et en même temps, comment pourrait-il se débarrasser de ces forces contradictoires ? Etat, industriels, experts : les corps qui composent l’univers cybersécuritaire existent parce qu’ils prétendent pouvoir apporter une solution à un problème pourtant fondamentalement insolvable.

 

Dans les cyberattaques, Etats et individu isolé jouent désormais à armes égales. Avec Anonymous et d’autres, la notion d’organisation nébuleuse n’a jamais eu autant de sens. Et quand une enquête s’ouvre enfin pour déterminer l’origine d’une action malveillante, il est quasiment impossible de remonter à la source : une preuve a beau avoir été obtenue (une adresse IP, par exemple), cette dernière peut en fait s’avérer être une fausse piste. Et toute l’énergie mobilisée pour l’identifier (contacter le pays d’origine, attendre un accord de coopération qui ne vient parfois jamais…) doit être regénérée pour se déporter sur un autre pays, où l’on pourra peut-être encore faire chou blanc.

 

La cybersécurité revient donc un peu à essayer d’attraper de l’eau entre ses doigts. A appréhender un espace de pur mouvement, sans frontières, avec des termes, des codes, des normes forcément déjà obsolètes et inadéquates. C’est un ouvrage sans cesse détricoté, c’est Sisyphe en réseau. Et bien sûr, les acteurs qui s’évertuent à trouver des réponses ne peuvent se présenter sous ce jour.

 

Bruce Schneier, pape de la cybersécurité américain et guest star du FIC 2015, déclarait lors de sa conférence :

« La résilience est la clé de la sécurité informatique. […] Comment on se débrouille ? Comment on s’adapte ? Comment on survit ? »

C’est drôle : la résilience, cette capacité d’adaptation aux altérations, est précisément ce qui définit Internet.

 

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : http://rue89.nouvelobs.com/2015/01/23/forum-cybersecurite-jusque-prenait-paranos-257257

Par Andréa Fradin