CLUB DES DIRECTEURS DE SÉCURITÉ DES ENTREPRISES (CDSE)
M. Alain Juillet, président
19 mars 2014
Tout d'abord trois constats peuvent être faits. En premier lieu, en France, les entreprises ont d'abord souhaité protéger leur capital physique et leur capital matériel mais, avec le rapport Jouyet-Levy est arrivé le concept de capital immatériel . On s'est rendu compte qu'il fallait protéger ce type de capital car c'est là que se trouvent les parties les plus intéressantes de l'entreprise et celles sur lesquelles pèsent le plus de risques : les brevets, les savoir-faire, la recherche, les formules. Aujourd'hui, tout le monde est conscient que la défense du capital immatériel devient un problème majeur. D'autant plus que, avec l'évolution du numérique, il est de plus en plus facile de pénétrer les entreprises.
Sur ce point, je fais mienne la phrase de M. Patrick Pailloux, ancien directeur général de l'ANSSI, disant : « quand je vois un responsable de la sécurité informatique d'une entreprise, un DSI, m'affirmer qu'il n'y a pas eu d'intrusion chez lui, je me dis que c'est soit un menteur soit un incompétent ». Tout le monde se fait attaquer et tout le monde sait qu'une partie des attaques réussit. C'est le premier constat.
Le deuxième constat, c'est la prise de conscience qu'il faut impérativement protéger ce capital immatériel mais que, les intrusions réussies étant en croissance rapide, la protection technique n'est plus la solution suffisante. On débouche alors sur la pratique du secret des affaires sur lequel des travaux sont actuellement en cours. Il ne faut pas le confondre avec la conception militaire du secret qui amène à mettre des tampons allant de la diffusion restreinte au secret défense pour empêcher l'accès et sécuriser l'information. Dans l'entreprise, il serait trop onéreux de tout défendre, ce qui amène à faire des choix en définissant ce qui est vital pour la survie et l'avenir. Il faut identifier ce que l'on doit réellement protéger par tous les moyens utilisables. En se livrant à cet excellent exercice, on s'aperçoit que, la partie du patrimoine immatériel à sécuriser totalement est relativement restreinte.
Troisième constat : lorsque l'on veut protéger le coeur de l'entreprise, la justice française est très laxiste, non pas du fait d'un relâchement, mais parce que la loi n'a pas prévu la situation du numérique. Les lois, très bien faites pour d'autres domaines, sont mal adaptées au domaine du numérique.
Par exemple, lors d'une attaque numérique, le hacker professionnel pilote son action de n'importe quel pays du monde, sauf s'il s'agit d'un petit hacker. Il prend le contrôle d'ordinateurs relais qui vont lui servir pour en asservir d'autres qui, eux-mêmes, seront le support pour récupérer des informations chez vous. Quand vous voudrez vous défendre en justice, on vous objectera que les ordinateurs utilisés étaient situés dans des pays étrangers, soumis à une législation différente de la nôtre et que l'on n'est pas sûr de l'origine réelle de l'action. L'internationalisation des pratiques pose un vrai problème.
À l'étranger, les États-Unis d'Amérique sont d'autant plus rigoureux et efficaces qu'ils disposent du droit de suite ; ils considèrent leurs lois comme supranationales.
Dans ce cadre, si un soupçon d'illégalité vient à peser sur une entreprise française, en vertu de la loi Discovery, qui s'applique en France, le juge américain pourra demander qu'on lui communique toutes les pièces du dossier sans qu'il y ait une instruction ouverte dans notre pays. Certes, il est possible de refuser car, heureusement, il existe une loi en Europe et en France interdisant de transférer des secrets d'une entreprise. Mais les Américains précisent alors à l'entreprise visée qu'elle aura des problèmes d'entrée aux États-Unis et qu'elle risque de ne plus jamais pouvoir y conclure d'affaires. Devant cette éventualité, les entreprises françaises communiquent les dossiers...
Il existe donc un déséquilibre dans le combat entre nations puisque, d'un côté, il y a ceux qui peuvent aller partout chercher de l'information et exercer des pressions et, de l'autre, nous qui ne pouvons pas.
Les Chinois ont des lois extrêmement contraignantes chez eux et surveillent tout. Les États-Unis d'Amérique font de même tout en prétendant le contraire. Il ne faut pas oublier les Russes qui ne sont pas mauvais du tout, même s'ils n'ont pas la capacité de développer des technologies aussi pointues que les Américains ou les Chinois.
Il existe un autre grand problème face auquel on est complètement démuni : l'identité numérique . Dans une entreprise comme dans une administration, il y a de l'information qui circule partout vers l'extérieur avec Internet, ou à l'intérieur avec l'Intranet entre les salariés, les cadres, etc. Lors de ces multiples échanges avec l'administration, des collègues, des concurrents, ou des clients, le problème majeur réside dans l'identification de la personne avec qui on échange. Même si celle-ci est soumise à une authentification par son adresse IP , cela ne permet pas de savoir qui est véritablement en face.
Un premier exemple de cela a été fourni, il y a deux ans, par ce qu'on a appelé les attaques à la nigériane qui ont touché une bonne partie des entreprises du CAC 40. Le vendredi soir, le directeur financier d'une de ces sociétés recevait un courriel interne de son président, reconnaissable aux formules utilisées habituellement par lui, pour ordonner impérativement le virement immédiat de quelques millions d'euros à tel compte dans tel endroit, et précisant que cette opération entrait dans le cadre d'une négociation en cours cette fin de semaine d'où la nécessité d'envoyer un acompte pour conclure, à payer dès réception du courriel. Étant tenu par le secret, je ne vous dirai pas le nom et le nombre des entreprises françaises tombées dans ce piège : ce n'étaient pas les plus petites.
Comme des messages de son chef parvenaient tous les jours au directeur financier, il se contentait de joindre l'assistante du président qui lui confirmait que le président était absent puisqu'il était en train de conduire une négociation. Ce qui validait le contexte du courriel. L'argent était alors viré sur un compte qui, dans la seconde, était vidé par le récepteur. Quand, le lundi matin, le directeur financier informait son président qu'il avait versé la somme demandée selon ses instructions, celui-ci s'étranglait, voulait connaître les détails de l'histoire et déclenchait l'alerte mais trop tardivement pour bloquer le processus.
La police ne pouvait que constater l'escroquerie faite à l'entreprise le vendredi ou le samedi. La DGSI et l'ANSSI n'avaient plus qu'à lancer une enquête administrative et technique. Alors que la seule réaction valable aurait dû être d'alerter Tracfin qui est la seule entité capable de remonter très rapidement un circuit financier en France et à l'étranger. Ce service a les moyens de repérer le trajet suivi par le virement et de le bloquer en cours de route puisqu'il s'agissait d'une opération de vol et de blanchiment. Mais Tracfin ne peut agir en l'absence de décision de justice.
Il faut savoir que la préparation de telles attaques par des organisations criminelles peut prendre des mois compte tenu de l'importance de l'enjeu, d'autant qu'elles doivent présenter toutes les apparences de la réalité.
Dans ce même registre, j'ai été le témoin direct d'un appel téléphonique dans le bureau d'un président d'un groupe français : il s'agissait de l'appel du directeur de cabinet d'un président africain qui lui rappelait les circonstances de leur dernière rencontre et l'informait de la création d'une fondation en France pour laquelle il souhaitait obtenir de la société une participation de 200 000 €. Le président a argumenté quelques minutes puis a fini par accepter en prenant bonne note de la banque, située en France, à laquelle cet argent devait parvenir avant la visite prochaine du président africain. Comme le président de la société se déclarait sûr d'avoir réellement parlé au directeur de cabinet, qui avait laissé un numéro de téléphone, je lui ai conseillé de rappeler ce numéro en Afrique où le directeur de cabinet lui a confirmé que c'était bien lui qui venait d'appeler. J'ai alors cherché les numéros de téléphone officiels de la présidence de la République de ce pays africain et constaté que le numéro donné n'existait pas.
Donc le système actuel n'est pas en mesure de lutter efficacement contre la fraude numérique alors qu'avec Internet de telles attaques se multiplient. Le problème majeur est celui de l'authentification de l'interlocuteur. Cela concerne aussi l'administration. Par exemple, quand le fisc notifie un redressement à un particulier, il y a des personnes qui vont vérifier s'il s'agit réellement du fisc mais d'autres non. L'origine de la messagerie électronique semble faire foi.
Le problème de l'authentification de celui qui vous parle, qui vous appelle ou de celui à qui vous voulez parler ou avec lequel vous souhaitez échanger, est un problème majeur. Aujourd'hui, face à cela, nous sommes totalement sous-équipés. Pourtant, il y a de petites sociétés, françaises ou étrangères, qui ont mis au point des systèmes d'authentification performants. Au niveau national, il va falloir rechercher un système qui donne satisfaction à tout le monde et le mettre en place en l'imposant progressivement en commençant par l'administration.
Pour les déclarations fiscales aujourd'hui, les formalités débutent par un certificat d'identification, suivi de l'entrée de plusieurs codes. Les services des impôts sont bien les seuls à prendre de telles précautions. Cela étant, si les services des impôts se font prendre, ils ne le diront jamais.
Dans les entreprises, il faut déjà mettre en place un système d'authentification interne pour vérifier si ce sont bien les employés, les clients et les sous-traitants de l'entreprise avec lesquels on entre en contact.
Les grandes entreprises sont également au coeur du problème avec des sous-traitants qui gravitent autour d'elles. Leurs systèmes de sécurité sont connectés avec celui de l'entreprise principale avec laquelle ils ont des échanges permanents, donc des interconnexions. Si ces sous-traitants n'ont pas mis en place des systèmes de sécurité sérieux, ils vont constituer des lieux de passage pour les hackers cherchant à entrer dans le système principal. Ce problème existe aussi pour toutes les petites PME et PMI qui travaillent dans l'orbite des grandes entreprises.
Le troisième volet concerne l'organisation. Le numérique bouleverse complètement le mode de gouvernance des entreprises. Il existe des outils professionnels utilisés hors du bureau pour travailler en se connectant à l'ordinateur central. Dans la pratique, rien ne dit qu'à travers ces outils, c'est réellement votre collaborateur qui est en ligne et échange avec votre serveur.
Enfin, les dirigeants découvrent que le système pyramidal traditionnel en place dans les entreprises des pays européens va être remplacé par un système en râteau. Auparavant, un individu ne pouvait pas gérer efficacement plus de cinq à sept personnes simultanément et en direct. L'apport du numérique change la donne en permettant d'encadrer directement beaucoup plus de personnes mais avec pour conséquence l'obligation de déléguer plus et de devoir prendre des décisions plus rapidement.
Avec le numérique, celui qui détient des quantités d'informations prétraitées ou traitées par des logiciels spécialisés peut élargir considérablement le nombre de gens qu'il traite en même temps. D'où l'idée de supprimer les échelons hiérarchiques pour travailler en réseau ou en râteau . Cela constitue un changement fondamental dans la gouvernance et l'organisation des structures que les écoles de commerce vont devoir enseigner à leurs étudiants. En haut, nous aurons des généralistes capables d'opérer la synthèse et, en dessous, des experts très pointus mais qui n'auront pas la connaissance de l'ensemble du système.
Dans cet environnement-là, il est vital que le numérique soit sécurisé. Dans un système en râteau dans lequel une vingtaine de personnes, ou de fonctions, sont gérées simultanément, la moindre défaillance bloque l'ensemble de la structure.
Dans le système hiérarchique, il y avait des filtres. Les arbitrages étaient rendus par les échelons supérieurs. À l'inverse, dans le système en râteau, l'information arrive de partout. Il sera demandé aux dirigeants une capacité de synthèse très large et également d'évaluation pour prendre des décisions en fonction des parts de risque acceptables. Il y a toujours une partie subjective dans le risque sur laquelle l'expert, qui travaille sur la partie objective, ne pourra pas prendre de décision. C'est pourquoi cette tâche incombera aux dirigeants. En conséquence, il est particulièrement important de recevoir une information non polluée et sûre.
Le besoin d'État se fait sentir pour que l'entreprise ait une politique globale. Alors que les Américains et les Chinois mènent une politique globale dans le numérique, nous prenons du retard. Même si un accord avec la ministre, en charge du numérique, Mme Fleur Pellerin, est intervenu récemment, dans notre pays, rien n'est fait pour développer une politique du numérique, à moyen et long terme. Un exemple : en 2002, la Commission européenne s'est réunie à Lisbonne. Ils savaient que les États-Unis d'Amérique investissaient 3 % du budget fédéral depuis 1985 et avaient lu les déclarations de 1996 du président du National Intelligence Economic Council, qui affirmait que pendant les quinze premières années du XXI e siècle, la compétition mondiale serait gagnée par les meilleurs sur le plan du développement du numérique. Les chefs d'État européens ont donc décidé que 2 % du budget général seraient consacrés aux technologies de l'information.
Cette attitude vertueuse n'a pas vraiment été suivie d'effet puisque, loin des chiffres annoncés, la dépense européenne n'a jamais dépassé 0,7 %.
Depuis 2002, il s'est donc créé un écart important entre ceux qui ont agi et ceux qui n'ont rien fait. Certains ont surinvesti tandis que d'autres sous-investissaient.
La France pourra-t-elle rattraper l'important retard accumulé ? Même si la France est bonne, voire très bonne dans le domaine du numérique, tout dépend du suivi d'une politique cohérente. Compte tenu des moyens à mettre en oeuvre, on peut se demander s'il ne serait pas possible de travailler sur ces questions avec l'Allemagne.
Le dernier point que je souhaiterais évoquer c'est qu' aujourd'hui, les outils numériques que nous utilisons sont des outils nord-américains à 99,9 %. Dans le futur, tout indique que les Chinois, notamment avec Huawei, vont également produire de tels outils. Cela contrebalancera-t-il les Américains ? Dans un cas comme dans l'autre, ce qui se vend est « plombé », par les uns ou les autres. Il a été révélé que Google, Yahoo, Facebook, faisaient des copies de tout à la demande des services américains mais il n'y a pas que cela. La quasi-totalité des logiciels sont construits avec une porte d'entrée dérobée pour le fabricant ou l'administration de son pays.
Dans le futur, avec l'arrivée de l'Internet 3.0 , tous les objets seront équipés de puces qui permettront de les repérer grâce à des signaux émis en permanence ou activés dans certaines conditions. On le voit avec les avions et le matériel militaire mais c'est valable pour toutes les activités et produits. Déjà chez les grands fournisseurs d'automobiles, les modèles haut de gamme envoient en continu à peu près cinquante données vers le fabricant, allant de l'usure des freins à des valeurs de motorisation.
Le GPS est entré dans notre vie grâce à ses possibilités de géolocalisation. Si le fabricant, comme cela s'est fait sur zone pendant la première guerre d'Irak, fait passer la précision de 10 m à 100 m, il se créera, dans Paris, le plus gros embouteillage jamais vu. Heureusement, la concurrence entre les trois systèmes existants - l'américain, le chinois et le russe - réduit ce risque mais ne l'élimine pas.
Les objets connectés causeront des problèmes énormes car les quantités d'informations fournies par eux seront stockées et utilisées. Par qui et pour quoi faire ?
Actuellement, les quatre acteurs majeurs sont les États, les entreprises, les particuliers et les entreprises criminelles - même si on n'en parle jamais. Chaque catégorie défend ses propres intérêts et s'adapte à l'évolution. Aujourd'hui, il faut être stupide pour attaquer un distributeur de monnaie, braquer une banque et courir le risque d'une quinzaine d'années de prison, alors que voler un ordinateur dans un laboratoire de recherche ou une société puis vendre des informations au concurrent permet de toucher beaucoup d'argent et, en cas de sanction, de ne risquer que quelques jours de prison avec sursis.
Les organisations criminelles ont compris le parti qu'elles pouvaient tirer de cette situation. La drogue leur rapporte beaucoup d'argent acquis à haut risque mais, avec le numérique et la vente de médicaments trafiqués sur Internet, le risque est nul. Il y a une sorte d'omerta sur ces affaires-là qui constituent pourtant la réalité de tous les jours.
Actuellement, pour se protéger efficacement, la meilleure solution est le cryptage. C'est d'autant plus intéressant que la France possède de très bonnes compétences dans ce domaine grâce à notre école de mathématiques. Nous sommes parmi les meilleurs au monde à en juger par la collection de médailles Fields obtenue par notre pays alors qu'il s'agit de la plus haute distinction mondiale dans cette spécialité. Nous devrions en faire une priorité nationale car, au lieu de s'éparpiller, la France doit choisir des domaines dans lesquels elle est vraiment bonne pour y devenir encore meilleure.
On peut rajouter au cryptage le segment des tunnels numériques, ces liaisons informatiques entre deux destinataires impossibles à intercepter car transitant dans une sorte de tunnel numérique inviolable. Là aussi, nous sommes en pointe et avons donc la capacité de nous défendre face aux interceptions américaines, chinoises ou autres.