Les Assises de la cybersécurité se tiennent actuellement à Monaco. L’occasion de revenir sur les forces en présence et la façon dont le sujet est devenu une préoccupation majeure.
Une prise de conscience progressive de la menace
En 2010, le monde découvrait d’abord Stuxnet. Presque devenu un cas d’école, le virus Stuxnet, supposé d’origine américano-israélienne, avait ravagé les centrifugeuses de la centrale nucléaire de Natanz, en Iran. Selon l’administration américaine, le virus aurait retardé de près de deux ans le programme nucléaire iranien. Quelques années plus tard, Edward Snowden a mis le monde au courant du programme Prism, associant NSA et GAFAM dans une surveillance massive des individus. La chancelière Angela Merkel avait alors appris que son téléphone avait été mis sur écoute, tout comme une bonne partie de l’Allemagne (mais le parquet fédéral allemand a récemment classé l’enquête, faute de preuve). Enfin, en 2016 et en 2017, les Russes se sont vus accuser d’influencer par voie numérique les élections américaines et françaises.
En réalité, on se doute bien que de telles manœuvres ont lieu depuis bien longtemps, et qu’elles ne cesseront pas en raison de ces cris d’orfraie. Elles ont plutôt vocation à se sophistiquer, l’information ayant toujours été un des nerfs de la guerre. Mais que ces manœuvres remontent ainsi à la surface témoigne de l’importance de la menace. C’est inquiétant car cela donne à voir une grande impréparation et une grande vulnérabilité, qui peuvent inspirer d’autres pirates. Et, alors que le modèle estonien d’e-administration a récemment été mis en lumière, il est légitime si une telle application en France serait bien sécurisée. Rien de bon ne se fera sans moyens suffisants, à la fois financiers et humains. Les puissances publiques se doivent de faire appel aux meilleurs du milieu de la cybersécurité, avec des rémunérations attractives et une vraie considération, sans quoi ils rejoindront comme souvent le secteur privé. Ces personnes peuvent être engagées comme contractuels, leur laissant ainsi une flexibilité et évitant à la puissance publique un engagement financier à trop long terme.
Les entreprises ne sont pas en reste
Les entreprises Saint-Gobain, EquiFax, la SNCF, Renault, la NHS ou encore Rosneft ont toutes été attaquées par les rançongiciels WannaCry et NotPetya. En Ukraine, les distributeurs automatiques de billets avaient été mis hors service. Et ces attaques ne se traduisent pas uniquement par l’espionnage ou le vol de données. Les cyberattaques sont en effet en mesure d’arrêter totalement l’activité industrielle. De fait, l’été dernier, paralysée par une cyberattaque, Saint-Gobain avait chiffré les dégâts à 250 millions d’euros. En dehors des radars, les PME françaises subissent elles aussi des attaques quotidiennes, pour lesquelles elles sont moins bien préparées. Le groupe de recherche SystemX évaluait ainsi à 50 000 le nombre de PME victimes de cyberattaques l’an dernier en France. En raison de cela, la société Clermont Pièces, vendeuse de pièces détachées électroménagères, vient de mettre la clé sous la porte.
Cela démontre la porosité entre le matériel et l’immatériel, et en quelque sorte la stérilité d’opposer vieux et nouveau mondes. Dans ce cas précis, on voit bien que des industries lourdes tout à fait traditionnelles peuvent être aussi touchées que les entreprises de la “nouvelle économie”. C’est parce que le digital et la mise en réseau de l’univers a atteint un avancement critique que le systèmes sont devenus à ce point interdépendants.
Un débat public nourri
Depuis les attentats islamistes de 2015, le débat politique et le travail parlementaire ont été grandement sollicités par les différents projets de sécurité. Pour anticiper et contrer la menace, plusieurs forces politiques ont plaidé pour un renforcement du pouvoir de l’Etat sur le net, avec la possibilité d’accéder à plus de données personnelles et d’en réclamer plus aisément aux entreprises, ce qui alerte les citoyens pour leur vie privée. L’accent a également été mis sur la modernisation de l’intelligence économique française, qui a pour but de récolter et de protéger des données stratégiques sectorielles. L’intelligence économique comprend la veille opérationnelle, la protection des données et les stratégies d’influence. On comprend bien que ces informations sont d’un intérêt vital pour l’économie du pays et pour son intégrité politique. Un Etat ne peut se permettre de laisser filer ses informations spatiales, diplomatiques ou militaires. Une entreprise ne peut se permettre de voir ses lourds efforts de R&D rendus vains par le vol de données opéré par un concurrent. La loi de sécurité de 2015 traitait donc non seulement de la lutte contre le terrorisme islamiste, mais visait aussi à défendre “les intérêts économiques, industriels et scientifiques majeurs de la France”.
Une offre traditionnelle
Traditionnellement, les entreprises ont elles-mêmes mis sur pied, en interne, leurs systèmes de défense informatique. Il faut à la fois protéger les données, le fonctionnement des dispositifs et l’accès aux infrastructures. Cela prend du temps, nécessite de lourds investissements et des compétences assez rares. Entre 2014 et 2016, les offres de postes en cybersécurité ont été multipliées par quatre. Sauf que même les grandes entreprises sont à la peine pour atteindre leurs objectifs de recrutement, ce qu’a récemment avoué Stéphane Richard en inaugurant le campus Orange cyberdéfense. Il faut dire que l’activité est rémunératrice : cette nouvelle branche d’Orange devrait dégager près de 350 millions d’euros de revenus en 2020.
Sont ensuite arrivés sur le marché des pure players, spécialistes de la cybersécurité, proposant des prestations aux entreprises traditionnelles. Ainsi, l’entreprise Advens, avec 17 ans d’expérience, annonce avoir plus de 300 clients actifs, dont de nombreux grands comptes : hôpitaux, industriels (Arcelor, Volkswagen…), distributeurs (Norauto, Printemps…), entreprises de services (Vinci, Accor, Meetic) ou encore financières (Generali, Allianz, BPCE…). Apportant un regard extérieur, donc plus neuf et indépendant, ces pure players ont la capacité de renseigner, d’alerter et d’accompagner dans la mise en place de politiques de cybersécurité.
Cependant, pour une société, il peut y avoir récalcitrance à sous-traiter entièrement son intelligence économique, son indépendance stratégique. Aussi, il conviendrait d’aller vers un modèle mixte : conception et développement des infrastructures en interne, entretien, anticipation et prévention par des externes. Pour 80 % des entreprises, l’hébergement des données se fait d’ailleurs déjà chez des prestataires, comme OVH, AWS et Dropbox.
Intégrer Dark Web et objets connectés, l‘enjeu de CybelAngel
Parce que les menaces se diversifient et prennent des formes multiples, CybelAngel scanne le web, le dark web et les objets connectés à la recherche de fuites potentielles de données. Beaucoup de documents sensibles sont en effet introuvables sur Google mais se propagent de manière infinie dans le dark web. La société a levé 3 millions d’euros à l’été 2017. Elle avait notamment détecté en 2016 le piratage d’un sous-ministère de la Défense, la fuite de données du site d’adultères Ashley Madison (concernant 37 millions de personnes dans le monde) et, plus récemment, a mis la main sur les plans d’un nouveau modèle d’avion de ligne.
Avec la digitalisation du monde, que nous évoquions ici, on se doute bien que les enjeux sont énormes. Moins de deux minutes seraient nécessaires pour compromettre un objet connecté mal protégé, selon Laurent Heslault, directeur des stratégies de sécurité chez Symantec France. Le français OVH, spécialisé dans les solutions cloud, avait justement essuyé en 2016 une attaque venant d’objets connectés, précisément de 145.607 caméras connectées, elles-mêmes pilotées par les pirates.
Le modèle israélien ?
En plus d’être stratégique, ce marché est tout à fait profitable. En raison de la difficile reproductibilité des technologies et de leur forte valeur, les producteurs acquièrent un pouvoir de négociation important sur leurs clients, en nombre croissant. Les barrières à l’entrée existent du fait de switching costs plutôt élevés : une fois que l’on a recouru aux services d’un prestataire, il peut être délicat d’en changer, celui-ci détenant des informations stratégiques sur son client. Et il y a fort à croire qu’il se sera assuré que vos données ne puissent être compatibles que difficilement avec les services d’un concurrent.
L’expérience israélienne témoigne de la façon dont la cybersécurité irrigue l’ensemble de l’économie. Le pays est reconnu comme un des acteurs en pointe de la cybersécurité. A la fois célèbre et très secrète, l’unité 8200 est ainsi l’une des premières au monde à avoir été officiellement consacrée à la cyberguerre. Et l’exploitation des technologies et compétences développées dans ce cadre profite ensuite beaucoup au secteur civil. Waze et Checkpoint ont été incubées par l’unité 8200. Début juillet 2017, Symantec, géant américain des logiciels, a racheté Skycure, jeune pousse israélienne de la cybersécurité sur mobile, pour près de 250 millions de dollars. Dans la Silicon Wadi, bassin high-tech centré à Haïfa, on compterait près de 1 000 pépites lancées par les anciens de 8200. Un peu plus loin, à Jérusalem, siège Mobileye, spécialiste de la conduite autonome racheté 15 milliards de dollars par Intel en mars dernier.
Dans une société toujours plus connectée, une économie tournée vers la connaissance, et avec des enjeux militaires renouvelés, on aura donc bien compris que la cybersécurité ne peut être une simple réaction à une attaque. Commençons par augmenter le budget public français de la cyberdéfense : dans la loi de programmation militaire 2014–2019, il est d’un milliard d’euros sur 5 ans, alors que l’ambition américaine en la matière est de 60 milliards de dollars… par an.
Retrouvez nos opérations sur www.pre-ipo.com
