Le doute n’est plus permis, nous utilisons des solutions vulnérables et piratables. Il suffit pour s’en convaincre de suivre l’actualité Cyber ou encore de s’intéresser aux vulnérabilités répertoriées par l’organisation américaine MITRE, active depuis soixante ans en recherche et développement des technologies liées à des domaines stratégiques (défense, sécurité, cyberespace, …). Depuis 1999, elle tient le registre des vulnérabilités de sécurité – CVE (Common Vulnerabilities and Exposures). La synthèse hebdomadaire de l’US-CERT (United States Computer Emergency Response Team), les classifie en quatre catégories (haute, moyenne, faible et en niveau de sévérité non encore assigné), les décrit et identifie des correctifs de sécurité (patch) à appliquer.

Quelle peut bien être la supériorité technologique d’une organisation si la technologie dont elle est devenue dépendante est conçue avec des vulnérabilités qui peuvent être exploitées par des acteurs tiers?

Une approche réactive, d’installation à postériori, de rustines de sécurité, permet de réduire la fenêtre d’exposition des systèmes d’une organisation, mais ne peut garantir que les failles ne soient pas déjà exploitées et que les tous les trous de sécurité soient bouchés.

Combien d’organisations dédient suffisamment de ressources à une veille technologique rigoureuse et à des mises à jour permanentes de leurs systèmes ?

Réagir à des cyberincidents ou à l’annonce de vulnérabilités, contribue à considérer la sécurité comme un centre de coût alors qu’elle devrait l’être d’un point de vue stratégique, comme un levier de la performance et un facteur clé de succès de la compétitivité d’une organisation.

Est-il envisageable de baser les mesures de cybersécurité en fonction d’une approche proactive et prospective de la gouvernance des risques, afin de devenir un individu, une organisation – voire un pays doté d’une réelle capacité de cyber-résilience ?

Il est impossible d’ignorer que les vulnérabilités existent, d’être naïf au point de croire qu’elles ne seront jamais exploitées à des fins malveillantes, de conflictualité ou de supériorité.

Sommes-nous en mesure de penser au principe de précaution et changer de paradigme dans la manière de concevoir et de mettre en œuvre les technologies de l’information, la transformation numérique de la société et la cybersécurité ?

L’usage de solutions vulnérables n’est pas le fruit du hasard mais est la résultante de choix plus ou moins conscient et rationnels. L’ouvrage du biologiste Jacques Monod, « Le hasard et la nécessité » (1970) traite de philosophie des sciences au regard de l’évolution de l’espèce humaine et de sa survie.

Si notre survie dépend du numérique, dans la mesure ou la fragilité du numérique est connue, pourquoi adopter un comportement de fuite en avant technologique sans en maîtriser les vulnérabilités, sans avoir conscience et compréhension des risques globaux et systémiques que peut engendrer une cybersécurité insuffisante, inadaptée ou défectueuse ?

Une affaire pas si surprenante

Il n’est pas étonnant que les agences de renseignement fassent du renseignement. De même, il n’est pas surprenant que les entreprises qui ont pour modèle économique l’exploitation des données, les utilisent. Ce qui est le cas de Facebook, mais aussi de la majorité des plateformes numériques. Ce qui est moins prévisible se sont les facteurs et les conditions qui déclenchent des révélations concernant des usages abusifs, détournés ou criminels des données et des services du numérique.

En 2015, la manipulation de l’information a été identifiée comme étant une préoccupation majeure par le site américain Defense One. La manipulation, sert des stratégies d’influence, de persuasion ou de guerre psychologique, qui peuvent être d’envergure, concerner la population, des décideurs politiques et économiques, des civils et des militaires. Ces attaques sémantiques ne visent pas à la prise de contrôle de systèmes informatiques, mais celle du « cerveau humain ».

La marchandisation des données s’applique à tous les domaines. Pour certains, voter est assimilable à un acte d’achat. Dès lors, il n’est pas étonnant que le ciblage publicitaire facilite la diffusion de messages politiques lors de campagnes électorales.

Toute l’économie du numérique est une économie de prédation des données, basée sur leur collecte et exploitation massives et les internautes sont des proies faciles. L’insuffisance des mesures de prévention et de protection pour empêcher le siphonage des données des utilisateurs et de leurs contacts sans leur consentement éclairé et explicite, facilite le détournement des données.

Tous les acteurs hégémoniques du Net, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft), les NATU (Netflix, AirB&B, Tesla, Uber) sont concernés et pourraient se retrouver un jour ou l’autre sur le banc des accusés. Cela devrait nous faire réfléchir aux pratiques de leurs concurrents et homologues chinois que sont notamment Baidu, Alibaba, Tencent et Xiaomi (les BATX).

Vers un éveil des consciences

Si l’affaire Facebook engendre une vraie prise de conscience sur nos dépendances au services et acteurs du numériques, de leur pouvoir et plus globalement de l’importance de protection de la sphère privée et des données personnelles, cela sera plus important que les excuses peu crédibles de Mark Zuckerberg. Le mal est fait, ni les promesses, ni les excuses ne peuvent en atténuer les conséquences. Il est un peu tard, voire peut-être trop tard pour les entités dépendantes à Facebook, en situation d’addiction et d’accoutumance pour envisager éventuellement de modifier leurs pratiques. La seule sincérité du dirigeant de Facebook concerne celle liée au risque réputationnel auquel son entreprise doit faire face, car la confiance des utilisateurs est essentielle à sa profitabilité.

Il ne faut pas se leurrer, dans l’économie du numérique, l’individu n’est pas considéré comme un acteur doté de bon sens et de libre arbitre mais plutôt comme un objet, un système d’information à exploiter, à piloter, à améliorer ou encore à mettre en conformité.

Aucun discours messianique ou pseudo humaniste proféré par les grands patrons des GAFAMs ne peut faire oublier leur vision du monde orientée à la transformation des données en argent et la connectivité en pouvoir. Les multinationales ne sont pas des philanthropes, leur objectif est de maximiser leurs profits le plus vite possible. Toutefois, une action collective d’envergure (initiatives de boycott, de « namming & shamming (nommer le crime et infliger la honte) », d’action en justice, …) contribuerait à un renversement des rapports de force. En préjudiciant les intérêts des fournisseurs de services, en portant atteinte à leur image, en exigeant des mesures de protection des données, il est possible de contribuer à faire évoluer la situation vers un meilleur respect des droits fondamentaux.

Vers un frein possible à l’exploitation des données et à un marché sans limite

Le frein à la forte mainmise des plateformes numériques sur le marché publicitaire dépendra du comportement et du nombre des internautes, de leur connectivité plus ou moins permanente, de la banalisation de l’usage des services et des objets connectés, de l’invisibilité des transferts d’informations entre les équipements électroniques omniprésents, jamais éteints, invisibles. Mais il ne faut pas rêver, dans la mesure où le corps humain, les jouets, les vaches, les fermes, les maisons, les organisations, les moyens de transport, les villes sont déjà connectés et que les incitations sont fortes pour aller vers toujours plus de technologie, plus de mobilité, plus d’intelligence artificielle, plus de réalité virtuelle, plus d’utilisation. Tout cela rend complexifie et ardu le changement de paradigme souhaité. Mais ce n’est pas parce que cela est difficile qu’il ne faut rien faire ou que cela est irréalisable.

Vers une certaine régulation des géants du Net 

La mise en place du Règlement européen sur la protection des données (RGPD) poursuit cet objectif dans la mesure où il s’appliquera aux entreprises étrangères qui gèrent des données de citoyens européens. Facebook n’est que l’arbre qui cache la forêt, la régulation n’est possible et n’a de sens que si elle concerne tous les acteurs.

Or, la puissance des acteurs hégémoniques du numérique, basée sur une organisation du marché en oligopole pseudo concurrentiel soigneusement orchestré selon une logique néolibérale, soutenue par des moyens financiers considérables, leur permet de garder leur suprématie en éliminant les potentiels concurrents, tout en mettant la barre très haute pour d’éventuels nouveaux entrants. Ils sont donc en mesure d’influencer fortement les processus et les moyens de régulation. Il s’avère que réguler des acteurs multinationaux n’est pas chose aisée car ils disposent d’un pouvoir parfois supérieur à celui des États.

La gouvernance mondiale est une question complexe. Dans le domaine de l’Internet, elle touche à la fois les domaines civil et militaire que cela soit au niveaux national ou international. Cela soulève des questions de souveraineté, de sécurité, de défense, de coopération, de lutte contre la criminalité et le terrorisme, de philosophie politique et économique, de vision du bien commun et de l’intérêt public. Sujets d’ordre géopolitique, délicats par nature, loin de faire l’objet d’une vision consensuelle.

Par ailleurs, ces acteurs, cibles potentielles de la régulation peuvent être tentés de résoudre le problème de l’autorégulation, par une fuite en avant technologique, en substituant des mesures effectives de régulation et en traduisant le pouvoir de la main invisible du marché par des logiciels d’intelligence artificielle. Cela ne ferait qu’aggraver la situation sans pour autant répondre de manière claire et honnête aux questions suivantes: Qui contrôle et valide les développements technologiques ? Comment ? Qui certifie leurs niveaux de fiabilité, de sûreté, de sécurité, de confiance ? Comment ? La transparence est-elle possible ? Comment vérifier la véracité et la justesse des décisions prises par des systèmes d’intelligence artificielle ? Quelles sont les responsabilités des acteurs ?

 

 

 

L’album « Asterix et les Normands » est bâti autour de la quête de la peur par les normands qui ne la connaissent pas «  …Il paraît que la peur donne des ailes,… Elle nous permettra de voler comme des oiseaux. ».  Dans cette aventure le dernier mot avant le  banquet final revient à Panoramix le sage  « C’est en connaissant la peur que l’on devient courageux. Le vrai courage c’est de savoir dominer sa peur ! ». Ces péripéties sont basées sur une incompréhension et un malentendu, ce qui est généralement une source de problèmes, y compris en cybersécurité qui peuvent être liés à l’incapacité à comprendre les impacts des cyberrisques  ou encore par exemple à la sous-estimation des limites des solutions de sécurité.

Dominer sa peur, c’est contribuer à maitriser les cyberrisques en toute connaissance de cause, c’est les mettre sous contrôle en adoptant des mesures de protection, de gestion des incidents et de la continuité des activités cohérentes au regard des valeurs à préserver et des menaces qui pourraient les affecter.

Le début du courage en matière de cybersécurité, que cela soit à l’échelle d’un individu, d’une organisation ou d’un État, est d’éviter les trois types d’attitudes suivantes:

• Le déni : se convaincre que si on ne voit pas le problème c’est qu’il n’existe pas.
• L’autosatisfaction : penser que tout va bien puisque des mesures ont été prises sans pour autant s’interroger sur leur utilité, efficacité, pertinence, pérennité, efficience.
• La fuite en avant technologique : ajouter de la complexité à la complexité, en complétant une technologie qui n’est pas maitrisée, par une autre tout aussi mal maitrisée, mais à qui une confiance aveugle est accordée, sans se préoccuper des nouveaux risques qu’elle peut générer.

Nous sommes en train de prendre conscience de la montée en puissance et en nuisance des cyberrisques et de la peur qu’ils nous inspirent.

C’est en connaissant la peur que l’on devient courageux, c’est en tentant de répondre à des questions comme par exemple « Faut-il avoir peur des cyberattaques ? » que l’on peut contribuer à dépasser les peurs générées par des défauts de sécurité et de robustesse des infrastructures et services numériques dont nous sommes devenus dépendants.

Être courageux c’est oser affronter la réalité des vulnérabilités et de les pallier. C’est aussi comprendre les menaces auxquelles nous exposent l’écosystème numérique pour minimiser notre surface d’exposition aux risques et aux acteurs et aux vecteurs de la cyberinsécurité et d’adopter des comportements et des mesures cohérentes et pragmatiques qui contribuent à la maitrise des cyberrsiques.

Mais peut être que le vrai courage serait d’oser renoncer à l’usage de certains services ou technologies vulnérables by design, d’appréhender toute la complexité des interdépendances des infrastructures vitales au numérique par une analyse prospective des risques avec un esprit de vigilance et désir d’avenir.

Ainsi parfois, si l’action est à la hauteur des enjeux et de la peur, cette dernière peut donner des ailes afin de ne pas subir la cyberinsécurité et en supporter ses coûts y compris sur le long terme.

Subir, c’est se résigner, c’est accepter une incapacité de fait à prévenir les impacts des usages abusifs, détournés ou criminel du numérique, mais ce n’est pas une fatalité !

Il semble que l’utopie d’un monde meilleur porter par la cybernétique à son origine, soient de plus en plus remplacée par la peur, la peur des robots, la peur de l’intelligence artificielle, la peur de la fin du travail, la peur des espions et de celle des hackers par exemple.

La peur nous aide à identifier un danger, à mémoriser les conditions dans lesquelles celui-ci est survenu, nous permettant de l’éviter à l’avenir. La peur est un facteur de sécurité, elle permet d’identifier les situations à risques, de les éviter, de s’y préparer et de les affronter, par l’action ou la réaction. En cela elle protège l’être humain depuis la nuit des temps, nous lui devons sans doute notre survie.

Ne pas avoir peur, c’est être vulnérable à un danger, c’est ne pas prendre conscience des risques et donc être dans l’impossibilité de les gouverner et de les mettre sous contrôle.

La peur ne décrit pas une réalité, c’est une perception de la réalité, une émotion, un sentiment. Elle est relative à un risque, réel ou non reflétant un potentiel de danger.

Dans le domaine de la cybersécurité, la peur peut être un levier de la sécurité, de prise de conscience des besoins de sécurité. C’est aussi un instrument au service du commerce de la sécurité et du marché de la sécurité. Marché en pleine expansion qui semble sans limite puisqu’il est là pour durer, la peur aussi d’ailleurs. Toutefois, la peur n’est pas bonne conseillère en matière de cybersécurité.

Ce n’est pas sur la peur qu’il faut implanter des mesures de sécurité qu’elles soient d’ordre juridique, organisationnelles ou techniques, mais sur la réalité des menaces, des risques, des exigences de sécurité, pour atteindre des objectifs de protection et de défense clairement identifiés et évalués.

D’où l’importance de définir, réaliser, tester une stratégie de sécurité et de doter les organisations des instruments de la gouvernance des cyberrisques.

En adoptant des mesures de sécurité, dans l’urgence, en réaction à la survenue d’événements traumatiques, il est probable que ces dernières soient non seulement inefficaces, mais en plus, elles risquent d’être liberticides et contraignantes.

Un vol de données n’est jamais à banaliser.

Même s’il s’agit de données considérées par certain comme peu sensibles, les informations telles que « noms, adresses, dates de naissance et numéros de téléphone mobile » servent généralement à authentifier des personnes à des fins de sécurité.

N’importe quel cyberbraquage de données personnelles, qui peuvent être valorisées et monnayées sur le marché noir de la cybercriminalité, offre des possibilités sans fin d’usurpation d’identité et d’escroquerie.

Dans le monde numérique, que les services soient payants ou gratuits, la majorité des prestataires de services ont subi des pertes de données clients (Uber a annoncé 57 millions de comptes piratés en 2017 alors qu’en 2016 par exemples, ce furent Yahoo (500 millions), LinkedIn (117 millions) et Dropbox (68 millions d’usagers), alors qu’en 2014 Ebay était concerné pour 145 millions de ses clients).

Ce bref rappel non exhaustif des cas de cyberbraquage de données clients, associé à la récente annonce du vol de données concernant 800 000 clients de Swisscom, autorise trois constats :

• La sécurité des informations des clients est rarement une priorité pour des fournisseurs de service.
• La logique de rationalisation économique, de profitabilité et la course aux bénéfices en rognant sur les coûts, sur l’emploi et en ignorant les besoins de sécurité et de maintenance des infrastructures, rend ces dernières vulnérables. Ce qui est de plus en plus le cas des infrastructures critiques, détenue pour la majorité d’entre elles par le secteur privé.
• La sous-traitance, à des fins d’optimisation financière et de réduction des coûts, se paye toujours en défaut de qualité et de sécurité dont les nuisances sont à la charge du client final.

Souscrire à des abonnements ou à des services semble désormais être équivalent à donner un consentement non éclairé pour un usage abusif, détourné ou criminel de ses données.

Payer cher un service, n’est pas forcément synonyme de protection de ses données.

5 questions que posent généralement un vol des données clients

1 – Quelle est la réelle capacité d’un fournisseur à sécuriser les traitements des données qui lui sont confiées?

2 – Quelles sont les responsabilités et niveaux de transparence d’une chaîne d’acteurs impliqués dans des traitements (Qui est responsable ? Qui contrôle?)

3 – Quelles sont pénalités en cas de défaillance ? (Quels sont les incitatifs à bien protéger les données de ses clients ?)

4- Quel est le devoir d’information aux clients sur l’entière vérité à leur donner en cas de perte, de fuite, de vol de leurs données ?

5- Quelle est la valorisation d’un fichier client ? Comment l’assurer ? Comment réparer le préjudice subi par le client ?