Cybersécurité : un secteur de l’ombre qui nous concerne tous

Internet est au cœur de tout. Si nous avons construit un monde virtuel qui conditionne le bon fonctionnement de nos sociétés « réelles », rendre cet espace numérique sûr est une priorité pour les différents acteurs garants de la stabilité du Net. Protéger la Toile, c’est protéger nos modes de vie ainsi que notre économie.

Pour comprendre où nous en sommes aujourd’hui ; comprenons d’où nous venons. 

Retour dans le passé : 1969, l’ARPANET, l’ancêtre d’internet, voit le jour aux Etats-Unis et sert de roue de secours dans le cas d’une guerre nucléaire avec la Russie. Nous sommes en pleine guerre froide et l’humanité fait un premier pas historique vers le digital.

Onze ans plus tard, en 1980, ARPANET se démocratise en Amérique. C’est véritablement là que se construit la Toile que nous connaissons aujourd’hui. De l’autre côté de l’Atlantique, en France, cette même année sera marquée par le début du Minitel. Plus que jamais, le digital plaît, séduit et intrigue des populations privilégiées – essentiellement militaires et scientifiques – qui en demandent toujours plus sans connaître le réel potentiel d’internet.

En 1988, Joseph Lechleider, ingénieur au laboratoire de recherche Bell, révolutionne le monde de la connectivité en constatant que lorsque les débits ascendants et descendants étaient identiques (SDSL), les parasites étaient trop nombreux et faisaient chuter les débits. Pour lui, le but premier du web était de fournir du contenu de qualité le plus rapidement possible. Il imagina donc un moyen de favoriser la vitesse de téléchargement aux dépens de la vitesse d’émission et créa ainsi l’ADSL – qui ne sera commercialisé en France qu’à partir de 1999, soit onze ans plus tard. A cette époque, les Etats-Unis ont dix coups d’avance sur le reste du monde et internet se développe à une vitesse phénoménale.

Les premiers entrepreneurs visionnaires commencent à penser aux futurs business models qui seront axés autour du numérique et de la connectivité. Les idées sont là. Les investisseurs arrivent. Les contrats se multiplient. Les dérives du Net sont à la porte.

Le 2 novembre 1988, Morris, la première cyberattaque importante de l'histoire voit le jour. Ce ver expérimental créé par l’étudiant Robert Tappan Morris est diffusé depuis le campus du Massachussets Institute of Technology (MIT) et a la particularité de s’auto-répliquer et de se propager par lui-même de système en système. Si l’objectif premier de cette manipulation ne consistait aucunement à nuire à l’ordre public, malgré lui, le jeune hacker paralyse des milliers de machines connectées laissées entre les mains de chercheurs universitaires, scientifiques et militaires. Conséquences de l’attaque : Robert Tappan Morris est sanctionné d’une amande de 10 000 dollars, la communauté du web – quasiment inexistante à cette époque – prend alors conscience de l’importance de la cybersécurité et crée le CERT, le tout premier centre d'alertes et de réactions aux attaques informatiques.

 Le boom du secteur de la cybersécurité

Trente ans plus tard, le numérique a déjà atteint sa maturité. 
Le monde s’est complètement métamorphosé et le digital a révolutionné notre environnement quotidien. De l’internet des objets au web social en passant par la géolocalisation, chaque jour, l'espace de notre réalité vécue devient plus virtuel. De ce fait, tous les marchés se réinventent en profondeur, qu'il s'agisse de la banque avec les paiements sans contact, de la santé avec l’automédication à distance, de l'automobile avec les voitures connectées ou encore de l'immobilier avec la réalité augmentée… Le digital n'est pas une discipline, loin de là, le digital transforme et régénère absolument toutes les disciplines. D’ailleurs, chaque entreprise doit opérer sa "disruption digitale" si elle ne veut pas être dépassée. En 2018, une entreprise ou un individu déconnecté devient rare, très rare, presque isolé du monde intra-connecté qui l’entoure.

Dans ce contexte, le marché de la cybersécurité est en pleine explosion. Si chaque année des millions de structures professionnelles – petites, moyennes et grandes – et d’internautes subissent des cyberattaques, au-delà d’avoir un impact négatif sur la confiance des utilisateurs dans le numérique, les conséquences de ces délits sont aussi financières : d’après une récente étude de Norton, en 2017, les cyberincidents ont coûté plus de 600 milliards de dollars à l’économie mondiale.

Qui dit pertes, dit inquiétudes. Selon l’étude Global CEO Survey 2018 de PwC, la cybersécurité est devenue l’une des quatre préoccupations majeures pour les dirigeants d’entreprises à l’échelle internationale qui n’envisagent en aucun cas de voir leurs bénéfices chuter à cause de manipulations illégales orchestrées par des groupes d’hackers agiles et bien organisés. Réagir devrait être une priorité pour tous. Mais l’est-ce vraiment ?

Observation surprenante : de nombreux pays enregistrant des taux de connectivité élevés se laissent surprendre par des attaques chaque jour un peu plus sophistiquées. Le laxisme semble l’emporter sur la contre-attaque. Un exemple : la France, un pays peuplé de chefs d’entreprises qui, pour la grande majorité d’entre eux, ne juge pas la cybersécurité comme une menace prioritaire et de ce fait ne se protège que partiellement contre les attaques.

Le paradoxe français, un cas loin d’être isolé   

D'après un récent sondage d'Ipsos, si la cybersécurité représente un enjeu prioritaire pour seulement 29% des entreprises en France, c’est surtout parce qu’en interne, un faible pourcentage (32%) de collaborateurs et de dirigeants sont convaincus de l’importance de se protéger contre les cyberattaques. Autrement dit, ce qui est important n’est pas forcement prioritaire pour eux. De ce fait, même si une prise de conscience des dangers liés à la Toile existe, les actes concrets visant à protéger le monde numérique manquent à l’appel.

Selon les experts, les entreprises françaises sont dans le déni face à la cybermenace. A l’heure où elle est perçue comme une priorité pour la grande majorité des entreprises mondiales, dans l’Hexagone, elle est relayée au rang de non-prioritaire. Conséquence : la dynamique des entreprises est curative au lieu d’être préventive. 

Elles subissent puis réagissent. Elles attendent d’être attaquées et de constater les dégâts pour ensuite améliorer leur défense. Cela ne peut pas continuer ainsi. Agir de la sorte, c’est accepter de laisser l’avantage aux attaquants.

Philippe Trouchaud, expert reconnu en cybersécurité, commente : « pour contrer les cyberattaques qui sont chaque année de plus en plus nombreuses, il est nécessaire de nous en donner les moyens aussi bien en termes d’investissements réalisés que de développement des nouvelles technologies, de réglementations à mettre en place, de recrutement et de formation des hommes. La cybersécurité n’est pas qu’une histoire de protection de systèmes informatiques, c’est aussi une affaire de compétences humaines qui doivent être mises au service d’un projet global, commun et collaboratif ».

Une défense collective nécessaire pour une préoccupation universelle

Pour illustrer le parfait exemple d’une défense collaborative, penchons-nous sur le cas de l’Europe.

Les 28 et 29 septembre 2017, à l’occasion du premier Sommet digital de l'Union Européenne, le numérique a été placé au cœur de la relance du projet européen. Pour que ce dernier puisse se concrétiser, une politique offensive et efficace en matière de cybersécurité a été élaborée. Cet effort inédit d'organisation s'est doublé d'un effort législatif et réglementaire de grande ampleur. 

En travaillant main dans la main, les Etats membres de l’UE comptent mettre de l’ordre dans une sphère numérique désordonnée, désorganisée et perturbée par des internautes qui, volontairement ou involontairement, consciemment ou inconsciemment, rendent la Toile vulnérable.

Une chose est sûre : pour gagner la bataille de la cybersécurité, nous avons besoin de la mobilisation de tous les acteurs privés et publics aspirant à développer l’économie nationale, européenne et mondiale grâce au numérique. Pour que tous les concitoyens conservent une vraie confiance dans le digital, nous devons procéder à une sensibilisation massive au cyberrisque et développer une éthique universelle du Net. 

Ce n’est qu’en éduquant les internautes aux bonnes pratiques et en invitant les entreprises à être davantage responsables que nous réduirons au maximum les facteurs de risque.