Digitalisation de la société : quid de la cybersécurité ?

Dans un contexte de digitalisation accrue de la société, la sécurité informatique se pose en enjeu transversal. Ce midi, nous nous intéressions à cette problématique grandissante, aux visages et conséquences divers. Avec pour toile de fond, une question cruciale : comment la vie privée peut-elle être conservée (ou pas) dans une société qui se digitalise si largement ?

Benoît Donnet (Professeur, Faculté des Sciences Appliquées, ULiège) a débuté les exposés en rappelant que le principe fondamental qui sous-tend la cybersécurité est bien d’assurer la continuité du business, même en cas d’attaque (car des attaques, il y en ! ou il y en aura… quoi qu’on fasse !).

Il a ensuite partagé quelques principes de base :

Le niveau de sécurité d’une entreprise dépend toujours du maillon le plus faible. Il faut faire prévaloir la notion de légitimité (toujours fournir des accès à ceux qui en ont besoin pour une raison légitime). Et savoir qu’hélas, même en étant vigilant, la cybersécurité sera toujours « un coup en retard » par rapport à la cyber criminalité…

Idéalement, dans la sécurisation de nos infrastructures, il faudrait être à la croisée de cette triade bien connue (C.I.A) :

• La Confidentialité selon laquelle la révélation des données doit être limitée aux personnes autorisées. Elle implique notamment la cryptographie (symétrique ou asymétrique) ;
• L’Intégrité qui vise à répondre à cette question : « Comment s’assurer que le message n’est pas transformé » ? Elle permet d’éviter notamment les fakenews. Ici intervient la notion d’empreinte (calculée à l’aide d’une fonction de hachage) ;
• L’Authenticité selon laquelle un message est dit authentique si l'émetteur est bien celui qu'il prétend être et qu’il n’y a donc pas d’usurpation d’identité. Celle-ci nécessite une signature digitale.

Afin d’illustrer ses propos, Benoît Donnet a transposé ses explications à partir de cas concrets de Smart devices/Metering (des exemples qui nous concernent tous !).

Enfin, il a conclu en revenant au fil rouge qui questionne la vie privée et son respect, dans une société de plus en plus impactée par les smart meters. Il a notamment démontré dans quelle mesure, même si les informations sont invisibles, il est possible d’en inférer des données sur notre vie privée. Des exemples qui prêtent à réfléchir…

Simon François (Chief Information Security Officer, ULiège) a ensuite pris la relève en mettant le focus sur la cybersécurité pour les entreprises et ce, en lien avec l’IoT.

Il a débuté son exposé en rappelant qu’il est devenu aujourd’hui absolument incontournable de se protéger alors que l’on constate un accroissement considérable des attaques dans tous les secteurs (recherche +75% ; santé +71% ; assurance + 68%…)

Il dénombre par exemple plus de 10 millions d’attaques bloquées par jour, rien qu’à l’ULiège.

Parmi les cybercriminels, on relève 3 catégories de personnes : ceux qui veulent obtenir de l’argent ; ceux qui veulent agir pour une cause et enfin, ceux qui souhaitent juste nuire à l’entreprise.

Contre quoi se protéger ?

• Le cryptolocker (communément appelé et répercuté dans les médias sous le vocable « ransomware ») ;
• L’attaque via la chaine d’approvisionnement ;
• Les attaques spécialisées contre des secteurs précis (c’est de plus en plus vrai avec l’avènement de l’IoT et/ou de l’IIoT. Avec des dangers réels pour des équipements médicaux ou les infrastructures ;
• Le Cloud (avec la problématique du partage de la sécurité qui lui est inhérent) ;
• Les services externes de connexion distante (avec l’avènement du télétravail notamment !) ;
• Enfin viennent toujours les attaques conventionnelles (Le Phishing, le dénis d’initié, les attaques des applications web, exploitations des vulnérabilités, malware communs).

Face à ces constats, un peu de bon sens peut déjà amener beaucoup d’amélioration !
Avant de consentir d’énormes investissements dans des hautes technologies en guise de solution, il y a lieu de rappeler d’abord quelques simples règles de base, comme la gestion de l’identité, la gestion des vulnérabilités, le contrôle des accès…

Plus de 80% des piratages se font sur base d’une mauvaise gestion des vulnérabilités.

Simon François s’est ensuite adressé aux développeurs de solutions IoT notamment pour exhorter à accroitre leur vigilance. L’IoT est le terrain de chasse des botnets. Face à ces risques et écueils possibles par le biais des IoT, il suggère de viser la facilité de gestion et de mise à jour afin de réduire au maximum les risques d’attaque.

La rencontre s’est poursuivie par un échange à la croisée de réflexions techniques mais aussi plus sociétales (voire philosophique) portant sur nos modes de vie et nos comportements. Et de conclure qu’en parallèle à la technique, beaucoup d’efforts sont à consentir au niveau politique-technico-organisationnel, mais aussi, pour une meilleure conscientisation de chacun.

Face à ces dangers réels, nous avons tous notre rôle de vigilance à jouer

Retrouvez ci-dessous les slides de la rencontre :