Pour Thierry Breton, président-directeur général d’Atos et ancien ministre de l’Économie, des Finances et de l’Industrie, il est nécessaire de s’armer et d’avoir une posture offensive face à la menace cyber.

En 1984, le roman Softwar anticipait la guerre informatique à venir entre l’Union soviétique et les États-Unis et j’y décrivais notamment pour la première fois l’utilisation de « bombes logiques ». Trente-cinq ans plus tard, les risques se sont diversifiés et ont crû au rythme de l’explosion de nos données. Les acteurs malveillants ont aiguisé leurs stratégies et mettent en danger les entreprises, les citoyens et les États avec des conséquences potentiellement dévastatrices.
Il est aujourd’hui urgent de prendre le problème à bras-le-corps et de collaborer autour d’un objectif commun : façonner ensemble un espace informationnel qui permette à chacun de se sentir en sécurité.
L’espace informationnel, qu’est-ce ?
Lorsque l’on pense à l’espace informationnel, on pense souvent à la thématique à la mode des fake news  : la manipulation de l’information à des fins politiques et stratégiques.
Mais, en réalité, l’espace informationnel dépasse largement ce seul cadre : c’est celui où circule l’ensemble de nos données et informations. Cela comprend bien sûr les données privées, mais aussi les données industrielles et celles issues des objets connectés, dont le nombre explose.
Ils entraînent dans leur sillage une croissance exponentielle des volumes de données que l’humanité crée. On estime que, en 2020, l’activité humaine créera, en un an, 40 000 milliards de milliards de données — soit autant que le nombre d’étoiles dans l’Univers !
Un exemple suffit à se rendre compte du raz-de-marée à venir : la voiture de l’avenir, autonome, qui émettra et gérera constamment des flots de données sur son environnement, produira, chaque jour, 3 péta octets de données, soit l’équivalent de 2 millions d’heures de vidéo ! Elle aura besoin de davantage d’énergie pour produire et analyser ces données que pour se déplacer.
EXTENSION DU DOMAINE DE LA DONNÉE, EXTENSION DE LA SURFACE DE RISQUE
Or, dans l’espace informationnel, la surface de risque correspond au nombre d’informations et de données que nous exposons. L’explosion des volumes de données entraîne donc en toute logique un accroissement proportionnel de la surface de risque.
Surtout, il ne s’agit plus simplement de protéger des infrastructures connues et fermées, mais aussi des systèmes mobiles et ouverts — et de se prémunir contre des adversaires qui cherchent la faille, que ce soit à des fins d’espionnage, de vol des données personnelles ou industrielles, d’interruption des services, de rançonnage voire d’attentat.
Et les objets connectés sont souvent le talon d’Achille en matière de sécurité des données. L’attaque Mirai de 2016, qui infiltrait les routeurs et caméras de surveillance mal sécurisés pour les utiliser comme relais de frappes par déni de service distribuées (DDoS), a ainsi constitué un signal d’alarme en la matière.
LE PIRATAGE INFORMATIQUE, NOUVEL ACTE DE GUERRE ?
Dans la période récente, Mirai n’est bien sûr pas la seule attaque qui doit retenir notre attention — et surtout, elle est loin d’être la plus grave. Elle pâlit, en effet, en comparaison de celle de NotPetya, identifiée pour la première fois en 2017.
NotPetya est un cheval de Troie reposant sur des logiciels d’attaque développés par les services américains et réutilisés par d’autres acteurs étatiques à leur suite. Ses cibles sont très diverses et certaines jouent un rôle essentiel en matière de sécurité nationale : réseaux d’électricité, banques, aéroports…
Parmi la liste de ses victimes identifiées figurent également des géants comme Maersk, Mondelez ou Saint-Gobain. Le dommage qu’elles subissent est tel que plusieurs de ces entreprises ont dû détailler les pertes causées par l’attaque dans leur rapport annuel.
Ces chiffres donnent rapidement le vertige : le groupe pharmaceutique Merck a ainsi imputé à NotPetya une perte de 870 millions de dollars, résultant à la fois des dommages directs et de la perturbation de son circuit de ventes, mais aussi du chômage technique d’une partie de ses salariés, privés de la capacité d’utiliser leur ordinateur ou d’envoyer le moindre e-mail.
Dans ce jeu, chaque acteur se renvoie la balle : l’assureur de Mondelez, Zurich American, a ainsi refusé d’indemniser l’entreprise, prétextant que, le cheval de Troie ayant été conçu par des États, son utilisation était un « acte de guerre »— le mot est lâché ! L’assureur a donc affirmé que le piratage n’était pas couvert par le contrat d’assurance, renvoyant à l’entreprise (ou aux États) la charge de se prémunir contre de telles attaques à l’avenir.
VIVRE DANS UN ESPACE, C’EST EN PREMIER LIEU LE RENDRE SÛR
Le message, quoi qu’il en soit, est clair : en matière de cybersécurité, la passivité est suicidaire. Et, pour la France comme pour l’Europe, la sécurité des données constituera un enjeu clé de notre souveraineté et de notre sécurité collective. Difficile, en effet, d’envisager sereinement la construction et le façonnement de notre espace informationnel lorsque l’on considère les risques et le volume des menaces qui pèsent sur lui. Un exemple : Atos, premier acteur européen en matière de cybersécurité, est le partenaire mondial des jeux Olympiques. Lors de chaque édition, nous devons faire face, chaque jour, à plusieurs millions d’incidents et d’attaques, de niveaux de complexité très variables. Pour les jeux Olympiques d’été à Rio de Janeiro, nous avons ainsi traité pas moins de 400 événements de sécurité par seconde !
L’INTELLIGENCE ARTIFICIELLE, ACTRICE CLÉ DE NOTRE SÉCURITÉ
Lorsque l’on atteint de tels nombres, l’humain ne suffit plus : en matière de sécurité informatique comme dans le domaine militaire, l’enjeu est désormais de prévoir où et comment votre adversaire cherchera à vous attaquer. L’intelligence artificielle joue un rôle essentiel pour apprendre de chaque tentative et nous permettre de détecter les « signaux faibles », annonciateurs d’intentions malveillantes. Nous parlons désormais à cet égard de sécurité prescriptive. À l’heure actuelle, ce recours aux solutions d’intelligence artificielle va ainsi nous permettre de réduire le temps de détection moyen d’une intrusion de cent quatre-vingt-dix jours à… une minute et demie. Ces solutions renforcent notre souveraineté, mais aussi notre puissance commerciale : l’État de Virginie a ainsi choisi de faire appel à Atos, une société européenne, pour protéger son infrastructure contre les cyberattaques.
UN IMPÉRATIF : NE PAS AVANCER EN ORDRE DISPERSÉ
Ces attaques émanent de tous types d’acteurs et elles montrent qu’une attaque informatique n’est pas fondamentalement différente d’une frappe militaire. Si les hackeurs ont succédé aux brigands, les pare-feu aux fortifications, savoir se défendre rapidement et efficacement face aux attaques extérieures est, aujourd’hui comme hier, un enjeu fondamental de notre sécurité et de notre souveraineté. Et, pour filer la métaphore militaire, les grands acteurs européens se sont rapidement rendu compte qu’il n’était pas dans leur intérêt de marcher en ordre dispersé : Atos a ainsi cofondé avec Siemens la Charter of Trust européenne, qui regroupe de grandes entreprises comme Airbus, Total, Cisco ou Deutsche Telekom. Parmi ses objectifs figurent des mesures essentielles en matière de sécurité des chaînes d’approvisionnement, de formation des collaborateurs et la mise en place de principes internationaux en matière de cybersécurité. Initiative d’acteurs privés à l’origine, elle inclut désormais également des acteurs publics que ces questions intéressent naturellement de façon immédiate.
LA MEILLEURE CYBERDÉFENSE EST PARFOIS LA CYBERATTAQUE
À cet égard, il est à signaler que la France s’est emparée de cette thématique. Déjà à l’origine de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace, en novembre 2018, elle a en outre publié, en janvier dernier, une revue stratégique de sa politique de cyberdéfense. La ministre des Armées, Florence Parly, a ainsi annoncé un plan de recrutement de « cybercombattants »chargés de renforcer les défenses françaises, en se livrant à une présentation sans fard des risques qui nous guettent : « Songez à la combinaison future d’attaques cyber et d’intelligence artificielle, se livrant à un combat sur les réseaux à une vitesse défiant toute compréhension humaine. »Chose nouvelle, la Défense française se reconnaît également le droit d’utiliser ces mêmes cyberattaques de façon offensive. Ces attaques pourraient être utilisées en représailles, mais pas seulement : dans la guerre de demain, l’« arme cyber » permettra aussi bien de collecter les informations, d’anticiper les comportements et de désorganiser les forces ennemies. Elle constituera un moyen d’appui important aux armes conventionnelles.
FORMER AUJOURD’HUI LES CYBERCOMBATTANTS DE DEMAIN
Mais, dans cette perspective, la pénurie de talents est un vrai problème : dans le monde, on estime ainsi à 1,5 million le nombre de postes potentiels mais non pourvus, faute de personnel qualifié !
Face à cette question, les entreprises doivent s’employer pour répondre à leurs besoins croissants : Atos a ainsi créé un programme de partenariat avec les cent plus grandes universités et écoles d’ingénieurs mondiales pour développer le vivier de talents nécessaires qui lui permettra de faire face aux défis de demain.
Parmi ces défis figurera naturellement la prise en compte des menaces informationnelles (tentatives de manipulation des cours boursiers, rumeurs, etc.), désormais amplifiées par les nouvelles technologies et les réseaux sociaux. Ces menaces peuvent lourdement peser sur les institutions et les entreprises.
Il n’est par exemple plus une élection majeure dans les pays occidentaux qui ne fasse l’objet de tentatives d’influence extérieure, de manipulation ou de piratage à l’aide de nouveaux outils tels que l’intelligence artificielle.
L’AVENIR DE LA SÉCURITÉ PASSE PAR LA MAÎTRISE DE L’INFORMATIQUE QUANTIQUE
Et des cybercombattants aguerris, il en faudra ! Car, sur le terrain mouvant de la cybersécurité, il est une certitude à laquelle se raccrocher : les dix prochaines années verront plusieurs changements technologiques majeurs. Les ignorer serait prendre des risques considérables quant à notre sécurité et à notre indépendance.
L’un de ces changements retient particulièrement notre attention et recèle des conséquences spectaculaires : c’est l’augmentation massive des capacités de calcul, grâce aux supercalculateurs et aux ordinateurs quantiques. L’une des applications pratiques tient à la cryptographie : démultiplier les capacités de calcul pourrait rendre les mots de passe actuels obsolètes… mais pourrait aussi, à l’inverse, fournir un chiffrement des communications presque inviolable. En d’autres termes, cela pourrait créer une asymétrie colossale en matière de secret des communications. La Chine et les États-Unis ont entrepris d’investir massivement dans ces technologies. L’Europe leur a emboîté le pas, dévoilant l’initiative Quantum Flagship, qui vise à consacrer 1 milliard d’euros à la recherche et au développement. Atos, premier acteur industriel européen à développer un programme de simulation quantique, fait partie des entreprises qui ont été retenues pour porter haut les couleurs de notre continent en la matière.
Car Chine, États-Unis et Europe le savent bien : ce sont les actions d’aujourd’hui qui construiront les positions stratégiques de demain. Et il n’y a pas de temps à perdre.

Cliquez ici pour visualiser l’article