Numérique

« Contre les cyberattaques, l’heure n’est plus à élever des murs »

Le | Contenu sponsorisé - Équipements et systèmes d'informations

Face au risque de cyberattaques, il faut mutualiser les efforts et les moyens, contre une menace multiforme et sans cesse croissante. C’est le message partagé par Thiébaut Meyer, directeur cybersécurité de Google Cloud, le 8 février à Sorbonne Université, lors de Think Éducation et Recherche.

« La cybersécurité, c’est un sport d’équipe », estime Thiébaut Meyer. - © Seb Lascoux
« La cybersécurité, c’est un sport d’équipe », estime Thiébaut Meyer. - © Seb Lascoux

Par le passé, il suffisait de se calfeutrer. « Quand j’ai débuté dans la cybersécurité, il y a une vingtaine d’années, l’objectif était de construire des coffres-forts, d’y mettre des données et de s’assurer qu’il n’y aurait aucune fuite », se souvient Thiébaut Meyer.

Une cyber pression en essor constant

Depuis, les services numériques se sont multipliés dans tous les domaines, à destination d’utilisateurs mobiles, des personnels aux étudiants en passant par les chercheurs. Ces services et ces données doivent désormais être accessibles partout, tout le temps. Et ouverts, pour pouvoir être échangés avec d’autres.

Une nouvelle donne qui a fait exploser le risque d’attaques. « Cette pression cyber, sans cesse croissante, touche tous les secteurs, l’enseignement supérieur comme les autres », relève Thiébaut Meyer. Pas une semaine ne s’écoule sans entendre parler d’entreprises ou d’institutions qui ont vu leurs données envolées ou rendues inaccessibles. Une sinistre loi des séries qui n’épargne pas les plus importantes : Google lui-même s’y est brûlé les ailes, dès 2009. Tout comme, en août dernier, la renommée Université du Michigan.

Des pirates aux profils et aux techniques multiformes

La cybersécurité a dû s’adapter à des attaquants de plus en plus nombreux, outillés et organisés. Ces pirates, le plus souvent issus de Chine, Corée du Nord, Russie ou Iran sont mus par des motivations diverses.

Les plus dangereux sont ceux qui en veulent à la valeur de vos données.

« Les plus dangereux sont ceux qui en veulent à la valeur de vos données, détaille Thiébaut Meyer. Pour d’autres, plus pragmatiques, le principal mobile est financier : via des codes malveillants qui chiffrent les données, ils demandent une première rançon pour déchiffrer celles-ci, puis une deuxième pour ne pas les rendre publiques. D’autres, encore, sont des activistes, qui veulent faire passer des messages politiques. »

Pour pénétrer dans les réseaux, les hackers utilisent toute une palette de techniques et de tactiques, parmi lesquels les faux mails (hameçonnage ou phishing) visant à récupérer codes d’accès ou numéros de cartes bancaires. « Ils jouent aussi, de plus en plus, sur l’interconnexion entre les différents systèmes (institutions, centres de recherche…) », ajoute Thiébaut Meyer.

Investir, mais surtout anticiper tous les scénarii

Face à la menace, les parades sont de trois ordres. Primo : investir dans la protection et la prévention, en élevant le niveau de sécurité des systèmes d’information. « Une démarche qu’aucune institution, publique ou privée, ne peut faire seule : il est important de mutualiser les moyens », pointe Thiébaut Meyer.

Le premier Cert a été initié par Renater en 1995. - © D.R.
Le premier Cert a été initié par Renater en 1995. - © D.R.

Il rappelle qu’en France, le premier Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (Cert) a été initié par le Réseau national de télécommunications pour la technologie, l’enseignement et la recherche (Renater) dès 1995, soit quatre ans avant la création de l’organe national. Le secteur de l’Éducation avait donc compris, très tôt, l’intérêt de cette mutualisation.

Un premier réflexe indispensable, mais insuffisant. Il faut aussi avoir anticipé tous les scénarii, dans leurs moindres détails. « Aujourd’hui, la question n’est pas de savoir si vous allez être attaqué ou pas, ni même quand, prévient Thiébaut Meyer. Mais si, le jour où vous êtes victime d’un incident, vous êtes capable d’y faire face. Ce qui implique d’avoir formalisé un plan de réponse, de l’avoir disséminé dans votre institution et d’en avoir entraîné les acteurs clés. D’où la nécessité d’avoir identifié ceux-ci, ainsi que les services essentiels à continuer à fournir, de savoir vers qui se tourner et comment gérer la communication, interne et externe. »

Confiance des utilisateurs et action collective

Troisième volet à travailler : la confiance des utilisateurs envers les systèmes, pour leur faire accepter les contraintes de sécurité. « Cet aspect est peut-être le plus difficile à construire, note Thiébaut Meyer. C’est un processus de long terme, qui nécessite de cultiver transparence et ouverture. Sans oublier le partage des connaissances et bonnes pratiques, mais aussi des expériences négatives. » La démarche devrait s’appliquer, en particulier, aux solutions d’intelligence artificielle fournies aux utilisateurs : l’IA constitue désormais un enjeu majeur en la matière.

« La cybersécurité, c’est un sport d’équipe : il n’y a que collectivement que nous arriverons à nous en sortir, conclut Thiébaut Meyer. La vision passée d’élever des murs pour se protéger a vécu : aujourd’hui, il faut plutôt apprendre à construire des ponts. »

  • Revisionner la keynote de Thiébaut Meyer :