Cybersécurité : faut-il avoir cyberpeur ?

"Je vais vous raconter une histoire, lance enjouée une
femme sur le premier stand du 8e Forum international de la sécurité qui se
tenait à Lille, idéalement placé à gauche juste en entrant. 70 % des
entreprises ont déjà été piratées. 30 %... ne le savent pas encore ",
conclut-elle, l'air espiègle, manifestement contente de sa formule. Nelly Tartivel s'occupe de la
communication de Cassidian CyberSecurity, filiale d'EADS, créée il y a six mois
seulement, pour vendre du conseil, de l'expertise et des solutions contre la
cybermenace. Un secteur porteur puisqu'il bénéficierait d'un taux de
croissance annuel de 10%. "C'est un peu SOS pompiers, quand on nous
appelle, dit-elle encore. Dans toute entreprise, il y a un virus, en moyenne depuis 416 jours, en train de vider vos données. Ce sont des chiffres américains. Mais je ne veux pas vous faire peur... "

Une ou des cybermenaces

Peur ? Mais de quoi ? Faut-il redouter particulièrement ces menaces que l'on décline avec le préfixe cyber ? Cybercriminalité, cyberdélinquance, cyberattaques, cyberterrorisme - le ministre Manuel Valls, venu
clore le Forum, a même ajouté sa contribution à cette liste, en évoquant le
"cyberdjihadisme ". Mais on a parfois le sentiment d'un
cyberfourre-tout d'autant plus anxiogène qu'on ne voit pas trop ce que cela veut dire.

"Internet n'a pas créé d'infractions nouvelles, mais représente un territoire d'épanouissement pour les criminels" (Nicolas Arpagian, INHESJ)

"Ce qui est sûr, c'est qu'Internet n'a pas créé
d'infractions nouvelles , analyse Nicolas Arpagian, auteur de La cyberguerre
(Ed. Vuibert) et directeur scientifique du cycle "sécurité numérique"
à l'INHESJ, l'Institut national des hautes études de la sécurité et de la justice, rattaché au Premier ministre. Le vol, l'extorsion, l'usurpation d'identité, la contrefaçon existent
depuis très longtemps dans le monde physique. Par contre, Internet est un
territoire d'épanouissement pour les criminels, leur permettant d'amplifier
leur cible, d'élargir la zone géographique de leur action, ce à moindre
frais et dans une relative impunité judiciaire et juridique ". 

Ce n'est donc pas tant le crime que ses dégâts et son coût
qu'Internet aura changé. "L'intérêt est énorme pour les cybermalveillants , assure Joseph Graceffa, du Clusir Nord-Pas-de-Calais (Club de
la sécurité de l'information régional). Il y a beaucoup à gagner à voler des
données, avec beaucoup moins de risques qu'en vendant de la drogue ". Et
l'adjudant-chef Laurent Frappat, gendarme N'Tech (comme nouvelle technologie) à
Arras, de prendre l'exemple du simple escroc : "Quand il publiait une
petite annonce sur ParuVendu, il avait un champ d'action très limité.
Désormais, il va sur leboncoin.fr et peut potentiellement toucher 40 millions
de personnes ", explique-t-il. 

La cybercriminalité non quantifiée

L'appréhension de la cybermenace achoppe pourtant sur une
réalité : personne à ce jour ne semble en mesure de quantifier le phénomène.
"On navigue à vue ", convient le gendarme N'Tech Laurent Frappat. La
dimension "cyber" d'un délit n'entre pas dans les statistiques. "Un
dossier de pédopornographie sur Internet, par exemple , explique l'adjudant chef,
sera classé avec les autres atteintes aux mineurs. Il est difficile par
conséquent d'établir si la criminalité augmente, ou si elle a simplement changé
de terrain ".

Du coup, Nicolas Arpagian applaudit quand le ministre Manuel Valls
promet, une nouvelle fois, en clôture du Forum, la création d'un indicateur de cybercriminalité :
"Parce qu'aujourd'hui, les seuls chiffres qui existent sur les cyberattaques émanent des vendeurs de solution. Ce sont les éditeurs d'anti-virus
qui fournissent les statistiques sur les virus. Comme si les statistiques des
cambriolages émanaient des vendeurs de portes blindés ",  insiste le spécialiste. 

> Lire aussi Cybercriminalité : 10 millions de Français victimes en 2011 (chiffres de Symantec, société de sécurité !)

De là à penser que l'on forcerait
le trait pour vendre de la cybersécurité, il n'y a qu'un pas que personne, y
compris le chercheur, n'entend franchir dans cette agora lilloise.

Les cyberattaques cachées

"C'est vrai qu'il y a un certain marketing de la peur. Mais
la menace existe vraiment ", pointe Joseph Graceffa, du Clusir, lui-même fournisseur
d'expertise en la matière. Pour lui, le problème, c'est le silence des entreprises
qui en sont victimes : "Une boîte de la grande distribution ou de la
banque aujourd'hui ne va pas crier sur tous les toits qu'elle a eu un problème
de sécurité informatique. Pour ne pas perdre ses clients. Et puis autre
problème : si un fichier de données personnelles est en jeu, la Cnil se
réveille et demande des comptes. Ca coûte cher en termes d'images ". 

Aux États-Unis, la législation oblige les entreprises à
déclarer toute faille de sécurité. Mais en France, ce n'est pas encore le cas,
"sauf pour les opérateurs télécom et les fournisseurs d'accès à Internet
depuis mai 2012 , explique Me Ricouart Maillet, avocate spécialisée en TIC. Mais
une directive européenne est actuellement en discussion au Parlement européen.
Ce qui obligera à terme les entreprises à prendre conscience et rehausser d'un
cran leur niveau de sécurité ". En attendant, l'omerta règne. Et Joseph
Graceffa affirme accompagner comme ça "des entreprises attaquées qui ne
veulent rien dire. Ni plainte, ni com' ". Quitte à priver la collectivité
de précieuses informations sur la nature des attaques, et en risquer de
nouvelles à l'avenir. 

"Derrière les écrans, il y a des enfants, du concret, du réel" gendarme N'Tech

En fait, tout fonctionne comme si tout le monde s'inquiétait
de ces cybermenaces, sans y croire vraiment. Un hiatus dont Franck Gianquinto a
fait l'amère expérience. Ce gendarme bonhomme de 45 ans est devenu cyberdétective
il y a six  ans, parce qu'il ne
supportait plus la vue et le contact des cadavres sur les scènes de crime qu'il
étudiait, et qu'il pensait ainsi se protéger, en enquêtant derrière un écran
d'ordinateur. "Mais derrière l'écran, il y a des enfants, du concret, du
réel. Et on a toujours autant de mal à s'y faire ", confie-t-il. Lui
considère que la criminalité ne s'est pas aggravée avec Internet mais que ses
formes compliquent la tâche des enquêteurs. 

Nicolas Arpagian confirme "ce
flou artistique dans lequel aujourd'hui on essaye davantage de se prémunir
contre des attaques que de remonter la piste des auteurs, cachés dans la matière
informatique, parfois à l'autre bout de la planète ".

Cybermenaces, mythe ou réalité ?

Mais comment se prémunir quand le risque est diffus ? Un des ateliers du Forum de la cybersécurité était intitulé ainsi : "Cyberterrorisme : mythe ou réalité ?" Autour de la table, consensus : aujourd'hui,
les terroristes sont "bons en informatique ", "tous les ingrédients sont là " pour envisager des actes graves, mais les terroristes semblent se contenter d'user d'Internet pour "recruter, faire de la propagande, lever des fonds
et communiquer entre eu x". Et de citer l'exemple des chefs de guerre au
Mali qui ne se déplacent plus sans un officier de communication, en plus du
traditionnel garde du corps. La conclusion de Sylvain Joly, chef de division au
ministère de l'Intérieur : "Il y a cinq ans, j'aurais dit que c'était un
mythe. Pour autant, le cyberterrorisme n'est pas encore une réalité ".

> Relire Cyberdéfense : la France peut (beaucoup) mieux faire

Quelle forme de prévention mettre en place quand la menace est aussi incertaine ? Quels moyens déployer ? Jusqu'où
contrôler le Net ? Certains États ne s'embarrassent pas vraiment de ces
questionnements, quitte à tomber dans la surenchère, selon le panorama mondial
2012 du Clusif. Le Pentagone notamment serait sur le point de multiplier par
cinq les effectifs de son Cyber Commandement, d'après le Washington Post . 

Le business de la cybersécurité

Il n'empêche, même si certaines de ces cybermenaces restent
pour l'heure hypothétiques, tout un marché prospère. "C'est certain qu'il
y a une industrie de la cybercriminalité. Les éditeurs de logiciels, les gens
qui font de l'audit, de l'évaluation, des tests de pénétration informatique, il
y a tout un écosystème , constate Nicolas Arpagian. D'ailleurs, même les
assureurs entrent maintenant dans la boucle, ce qui est le signe qu'il y a un
business ", dit-il. Business qui s'accompagne de quelques dérives, comme
ces fournisseurs d'antivirus qui taisent pendant des mois l'apparition d'un
nouveau virus, jusqu'à avoir développé l'antidote, selon le chercheur de
l'INHESJ. D'ailleurs, le marché de ces antivirus est très déstabilisant pour le
quidam, affirme-t-il : "On transfère à l'utilisateur la sécurisation de
son ordinateur. Utilisateur qui se retrouve devant une offre d'antivirus
payants, gratuits, dont certains gratuits censés être plus efficaces que des
payants ". De quoi s'y perdre. 

"La menace est à la hauteur de ce que l'on confie aux systèmes d'information"

D'autant que la question première in fine reste en
suspens. Faut-il avoir cyberpeur ? Nicolas Arpagian tente une définition :
"La menace est à la hauteur de ce que l'on confie aux systèmes
d'information. Nos données personnels, bancaires, mais aussi le mode de
fonctionnement de nos entreprises, de nos administrations, notre système de
santé , décrit-il. Donc évidemment, un dysfonctionnement dans un système informatique peut
avoir des conséquences économiques, juridiques, industrielles. Résultat : il ne
faut pas faire une confiance aveugle aux systèmes d'information. Et faire
régulièrement un audit, comme on ferait un check-up chez un être humain ".

> Lire aussi Un guide pratique "d'hygiène informatique" contre les cyberattaques

Le
directeur de recherche cite en exemple ces cartes de vœux que l'on vous offre
en décembre. "Quand on vous les propose dans la rue, vous vous dites 'ce
sont des témoins de Jéhovah, qu'est-ce qu'ils me veulent ?' Et vous partez en
courant, raconte Nicolas Arpagian. Pourquoi accepter alors ces cartes sur
Internet ? Qui peut bien offrir de telles cartes gratuites sur Internet ? Alors
vous les envoyez à vos amis, vous en faites la pub en disant 'clique c'est
génial'. Et le mal est fait, conclut-il. Alors évidemment, il ne
faut pas tomber dans la paranoïa, mais il n'y a aucune raison non plus d'être
trop candide ".