En 1984, le roman Softwar anticipait la guerre informatique à venir entre la Russie et les Etats-Unis, et j’y décrivais notamment pour la première fois l’utilisation de « bombes logiques ».

Trente-cinq ans plus tard, les risques se sont diversifiés et ont cru au rythme de l’explosion de nos données. Les acteurs malveillants ont aiguisé leurs stratégies, et mettent en danger les entreprises, les citoyens et les Etats, avec des conséquences potentiellement dévastatrices.

La cybersécurité est, sans discussion possible, une condition essentielle pour façonner notre espace informationnel. Comment, en effet, imaginer maîtriser un espace si le danger y est constant ?

Or, à l’heure actuelle, le niveau de danger ne cesse de croître – tant pour les individus que pour les entreprises et les Etats, pareillement confrontés aux vols de données, aux ransomwares et aux menaces pour leur intégrité, qu’elle soit physique, économique ou territoriale.

Atos est idéalement placé pour en rendre compte : numéro un européen de la cybersécurité, nous sommes partenaire de l’Union Européenne et de l’OTAN. Nous sommes également le partenaire informatique mondial des Jeux Olympiques. Lors de chaque édition, nous devons faire face chaque jour à plusieurs millions d’événements de sécurité, de niveaux de complexité très variables. Pour les Jeux Olympiques d’été à Rio, nous en avons traité pas moins de 400 par seconde.

Cette position nous permet de distinguer 7 évolutions majeures que je vous présente ici.

 

Première révolution : la cybersécurité fait désormais partie intégrante de notre sécurité physique

Dans notre imaginaire, on donne encore souvent aux cyberattaques une dimension virtuelle, qui les rendrait moins préoccupantes que les attaques contre notre sécurité physique.

Les dernières années ont prouvé que cette distinction n’avait plus lieu d’être. En 2017, l’attaque Wannacry a paralysé l’activité de fournisseurs de services critiques, y compris des hôpitaux. D’autres attaques ont pris pour cibles les entreprises pharmaceutiques mais aussi des infrastructures stratégiques : aéroports, réseaux d’électricité, centrales…

La perte de vies humaines en est d’ailleurs rarement la conséquence intentionnelle : la plupart des attaques les plus dévastatrices de ces dernières années se propagent de façon opportuniste, au gré des ordinateurs et terminaux vulnérables.

Et, en la matière, l’Internet des Objets fournit un nouveau terrain privilégié, où tout s’entrechoque. Imaginez les conséquences sur les véhicules connectés (avions, bateaux…), voitures autonomes ou encore drones.

 

Deuxième révolution : l’explosion de l’IoT et ses conséquences en matière de cybersécurité

L’Internet des Objets (IoT) est en effet en pleine croissance : en 2019, Gartner estime que 14,2 milliards d’objets connectés sont en activité. D’ici 2021, le nombre pourrait atteindre 25 milliards !

Les bénéfices sont significatifs pour les entreprises, que ce soit en matière d’automatisation, de réactivité ou de productivité. Mais cette explosion du nombre de terminaux s’accompagne d’une augmentation significative de la surface de risque des entreprises – et, de fait, l’Internet des Objets est aujourd’hui l’une des sources majeures de vulnérabilité.

L’attaque Mirai (« futur » en japonais, prémonitoire) de 2016 – qui utilisait les objets connectés, routeurs et caméras notamment, comme support d’une attaque en déni de services – a ainsi constitué un signal d’alarme.

La croissance exponentielle du nombre de terminaux, leur niveau de sécurisation souvent faible et le fait qu’ils proviennent de fabricants différents sont autant d’opportunités pour des acteurs mal intentionnés.

 

Troisième révolution : l’extension de la surface de risque

L’IoT s’inscrit dans un défi plus grand pour les entreprises : le passage d’une infrastructure fermée et connue à des systèmes mobiles et ouverts. Outre l’Internet des Objets, plusieurs tendances actuelles y participent, comme la mobilité accrue des collaborateurs et des utilisateurs, le recours aux contractuels ou la multiplication des interfaces de programmation (API).

Mais le véritable tsunami, en la matière, est devant nous. Les volumes de données générées vont en effet croître de façon spectaculaire. IDC pronostique ainsi que le volume de données générées par an en 2025 sera de 175 zettabytes, contre 33 pour 2018 – soit une augmentation de plus de 60% chaque année !

30% de ces données seront des données temps réel, ce qui imposera une évolution profonde des technologies utilisées pour générer, traiter et analyser ces données in situL’une de ses conséquences majeures sera l’avènement du edge computing. J’y reviendrai largement dans un prochain billet.

 

Quatrième révolution : la cybersécurité « par design »

Ces évolutions vont également transformer la façon dont les organisations mettent en œuvre la cybersécurité : dans bien des entreprises, la cybersécurité demeure une question qui se pose à un public très limité et spécialisé, consulté en bout de chaîne. Certains ont surnommé cette vision la « cybersécurité comme arrière-pensée ».

Cette vision est très fragile. Car, osons le mot : la cybersécurité est aujourd’hui, pour les organisations publiques comme privées, une question de survie.

Un exemple suffit à nous en convaincre, l’attaque NotPetya. En 2017, cette attaque a touché plusieurs géants mondiaux : Maersk, Saint-Gobain, Mondelez… avec des conséquences si importantes que celles-ci ont dû provisionner les pertes significatives occasionnées. Maersk a ainsi chiffré les conséquences de l’attaque à 300 millions de dollars et l’entreprise pharmaceutique Merck près de 700 millions !

L’importance de ces conséquences financières impose donc une triple évolution dans la façon de traiter la question de cybersécurité :

–         La question de la cybersécurité doit se poser tôt, dès la réflexion stratégique, la conception d’un service etc., et non en fin de parcours, d’autant plus que ce risque est difficilement transférable à l’assurance comme l’illustrent les démêlés de Maersk avec son assureur pour se faire rembourser les dégâts de NotPetya.

–         Elle doit se poser largement : au niveau de l’état-major, voire même des conseils d’administration :  elle n’est pas le pré carré du CIO, du CTO ou du CISO. En outre, la formation permanente des salariés joue un rôle prépondérant pour prévenir les attaques.

–         Enfin, elle doit se poser de façon prioritaire. Longtemps parent pauvre, la cybersécurité voit aujourd’hui le budget qui lui est alloué augmenter dans nombre d’entreprises. Mais au-delà du seul prisme budgétaire, elle doit aujourd’hui être considérée comme partie intégrante de la stratégie d’entreprise.

 

Cinquième révolution : l’union fait la force

Et, rompant avec leur tradition, les entreprises doivent également accepter de ne pas avancer en ordre dispersé.

La coordination des efforts et la mise en œuvre de standards communs en matière de cybersécurité sont en effet deux domaines essentiels de lutte contre les cyber-attaques.

C’est ainsi qu’Atos a créé en lien avec Siemens la Charter of Trust qui regroupe plusieurs entreprises mondiales de premier plan telles qu’Airbus, Total, Cisco ou Deutsche Telekom. Si elle regroupait initialement des acteurs privés, elle accueille désormais également des acteurs publics, pleinement conscients que les silos font le jeu de nos adversaires communs.

Cette charte de la confiance s’est fixée des domaines d’actions prioritaires : formation des collaborateurs, sécurité des chaînes d’approvisionnement, mise en place de principes internationaux de cybersécurité.

Car, en reprenant un terme venu de la médecine, on évoque de plus en plus souvent le concept de herd immunity – l’idée, en analogie avec le fonctionnement des vaccins, selon laquelle un niveau de protection élémentaire de tous les acteurs contribuera à éradiquer la vaste majorité des attaques. Si l’analogie a ses défauts, il est en revanche certain que la collaboration des acteurs jouera un rôle essentiel.

 

Sixième révolution : l’intelligence artificielle au service de nos cyber-défenses

Lorsque l’on parle potentiellement de millions de cyberattaques par jour et par cible ou événement, comme c’est le cas pour les grandes manifestations mondiales comme les Jeux Olympiques, on se doute que l’humain ne suffit plus : l’intelligence artificielle joue un rôle essentiel pour apprendre de chaque tentative et nous permettre de détecter suffisamment en amont les « signaux faibles », annonciateurs d’intentions malveillantes.

Nous parlons désormais à cet égard de sécurité prescriptive. A l’heure actuelle, ce recours aux solutions d’intelligence artificielle va ainsi nous permettre de réduire le temps de détection moyen d’une intrusion classique de 190 jours à… une minute et demie.

C’est d’ailleurs un sujet de fierté, pour Atos, d’avoir été choisi par l’Etat de Virginie pour mettre en œuvre son SOC prescriptif sur ce principe pour protéger l’infrastructure de l’Etat contre les cyber-attaques.

Cette mise en œuvre de l’intelligence artificielle pour se prémunir est d’autant plus importante que l’IA peut également être utilisée à des fins malveillantes – par exemple pour dissimuler une intrusion ou utiliser différents types d’attaques.

 

Septième révolution : le futur de la sécurité passe par la préparation à l’avènement de l’informatique quantique

Enfin, l’un des changements majeurs qui retient particulièrement notre attention et recèle des conséquences spectaculaires est l’augmentation massive des capacités de calcul, grâce aux supercalculateurs aujourd’hui, aux accélérateurs quantiques de demain et aux ordinateurs quantiques d’après-demain.

L’une des applications pratiques tient à la cryptographie : démultiplier les capacités de calcul pourrait rendre les mots de passe actuels obsolètes… mais pourrait aussi, à l’inverse, fournir un chiffrement des communications presque inviolable. En d’autres termes, cela pourrait créer une asymétrie colossale en matière de secret des communications.

La Chine et les Etats-Unis ont entrepris d’investir massivement dans ces technologies. L’Europe leur a emboîté le pas, dévoilant l’initiative « Quantum flagship » qui vise à consacrer un milliard d’euros à la recherche et au développement. Atos, premier acteur industriel européen à commercialiser un écosystème complet de programmation quantique avec simulateur, fait partie des entreprises qui ont été retenues pour porter haut les couleurs de notre continent en la matière.

Cette révolution mérite son propre billet car ses conséquences potentielles sont colossales et affectent des secteurs multiples, des banques aux véhicules connectées, par exemple.

Mais une chose est sûre, quoi qu’il en soit : que ce soit sur le plan des technologies ou des comportements, les dix années à venir verront une transformation radicale de la cybersécurité telle que nous la connaissons aujourd’hui.

Ces sept révolutions métamorphoseront autant l’arsenal des cyberattaques que celui de nos cyber-défenses. Aux organisations de le prendre en compte dès aujourd’hui… pour ne pas avoir, le moment venu, une guerre de retard.

 

Cliquez ici pour visualiser l’article