Via la numérisation croissante des activités humaines en général et de l’économie en particulier, le cyberespace joue un rôle crucial au sein des chaînes de valeur des sociétés, mais également pour l’intégrité et la sureté de leurs activités. Cet article explore le champ des défis de sécurité posés au sein du cyberespace, sous un double-angle, celui des opportunités ou « cybersécurité » et celui des menaces ou « cybercriminalité ». Il en évalue l’impact en matière de sécurité intérieure, sur les opérateurs publics et privés clefs, en s’intéressant plus précisément au jeu des sociétés de prestation intellectuelles numériques et aux conséquences potentielles de l’entrelacement de leurs activités avec ces opérateurs.
Les opinions exprimées dans cet article n’engagent pas le CSFRS.
Les références originales de ce texte sont: Olivier Chorand et Sarah Pineau, « Cybersécurité, cybercriminalité… quels défis posés à la sécurité intérieure par les opérateurs privés et publics ? », Anaj-Ihedn, septembre 2017.
Ce texte, ainsi que d’autres publications, peuvent être visionnés sur le site de l‘Anaj-Ihedn.
Cybersécurité, cybercriminalité… quels défis posés à la sécurité intérieure par les opérateurs privés et publics ?
144 milliards de mails échangés dans le monde chaque jour, 30 gigaoctets de données publiées chaque seconde, 800 000 nouveaux sites web apparaissant quotidiennement, doublement de la quantité d’informations disponibles tous les deux ans… Ces chiffres[1] ont beau faire partie de notre quotidien, ils continuent à donner le vertige. Surtout lorsqu’on sait qu’à l’heure actuelle, moins de la moitié de la population mondiale est connectée.
Rouages essentiels de l’économie, porteurs d’innovations constantes et d’opportunités multiples… parce qu’ils sont désormais indispensables ou presque à la bonne marche d’une grande partie du monde, les systèmes d’information et de communication sont devenus en contrepartie à la fois cibles et responsables de menaces accrues, regroupées selon l’aspect que l’on veut mettre en lumière sous l’appellation « cybersécurité » (opportunité) ou « cybercriminalité » (menace).
Un rapide état des lieux du champ de la cybersécurité telle qu’elle est définie en France permettra de rendre compte de l’importance de la problématique à traiter. Si le sujet est en partie pris en charge par des opérateurs étatiques ad hoc au vu de son importance stratégique dans un contexte mondial où la concurrence libre et non faussée est censée être la règle, il est également investi par des acteurs privés, ce qui est à la fois nécessaire, difficilement évitable mais non exempt de menaces pour la bonne santé des grandes sociétés françaises.
La cybersécurité, un enjeu majeur
Selon le ministère des Affaires étrangères, la cybersécurité « recouvre l’ensemble des mesures de sécurité susceptibles d’être prises pour se défendre contre les nouvelles pratiques destructrices qui se développent dans le cyberespace : utilisations criminelles d’internet (cybercriminalité), espionnage à visée politique ou économique, attaques contre les infrastructures critiques (transport, énergie, communication…) à des fins de sabotage[2] ».
En 2014, le coût de la cybercriminalité était estimé, au niveau mondial, à 445 milliards de dollars US par année (environ 400 milliards d’euros), soit l’équivalent du budget total de la France[3]. Et les prévisions futures ne sont guère réjouissantes : selon la société d’études Juniper Research, le coût des violations des données à l’échelle mondiale pourrait atteindre, d’ici 2019, 2100 milliards de dollars pour les entreprises[4].
La France, et particulièrement ses entreprises, n’est pas épargnée par cette menace : dans 20% des cas, ce sont les organisations professionnelles qui sont visées et ceci leur coûte environ 3,36 milliards d’euros par an.
Pour les banques et les entreprises françaises, le cybercrime est devenu la seconde source de fraude, derrière le détournement d’actifs. Selon une enquête menée par le cabinet de conseil PricewaterhouseCoopers (PwC)[5], 45 % des sociétés de ce secteur qui ont été victimes d’un préjudice économique au cours des 24 derniers mois ont été touchées par des actes de piratage informatique. Une proportion à comparer à celle observée dans les autres secteurs économiques qui se limite à 17 %. Ces attaques, qui ont doublé en moins de deux ans[6], touchent désormais autant les grandes entreprises que les TPE/PME : par exemple, ces dernières sont devenues la première cible des hackers dans le cadre de ransomwares (demandes de rançons pour récupérer des informations cryptées) car elles sont nombreuses à ne pas disposer de dispositifs de sécurité renforcés, et in fine, le taux de paiement de rançon y est plus élevé.
L’importance des pertes qui en découlent s’explique par la valeur des données volées : brevets, plans stratégiques, etc. De fait, parce qu’elle est « un pays fortement industriel avec beaucoup de propriété intellectuelle, de grandes entreprises qui ont des secrets et des brevets qui intéressent des Etats ou des groupes qui visent la récupération d’informations confidentielles[7] », la France a, en 2015, fait son retour dans le top 10 des pays où la cybercriminalité est la plus active.
Face à ces attaques, les entreprises semblent bien démunies comme en témoigne le premier baromètre de la cybersécurité et de ses enjeux au sein des grands comptes français, réalisé par le Club des experts de la sécurité de l’information et du numérique (Cesin) en février 2016[8]. Leurs doléances portent autant sur les moyens humains que matériels : 69% des entreprises sont mécontentes des niveaux de recrutement sur les postes de personnes en charge de la sécurité des systèmes d’information (SSI) que ce soit à la direction des systèmes d’information (DSI) ou à la direction des risques et de la sécurité et 58% des Responsables de la sécurité des systèmes d’information (RSSI) eux-mêmes s’estiment insatisfaits des outils informatiques disponibles sur le marché pour protéger leur système d’information. Au final, 93% des entreprises sondées n’ont, pour l’heure, confiance ni en leurs outils informatiques, ni en leurs fournisseurs, ni en leurs hébergeurs.
Le cyberespace, au vu de son étendue et de ses coûts, tant en termes de menaces que d’opportunités, est un enjeu grandissant pour les entreprises qui le prennent de plus en plus au sérieux. En France, la filière de cybersécurité représente plus de 600 acteurs et emploie 90 000 personnes dans le monde, dont 40 000 dans l’hexagone[9]. Cette importance se mesure également à l’aune de la démarche volontariste de l’Etat en la matière, compte tenu des conséquences éventuelles pour la sécurité intérieure.
Cybersécurité et sécurité intérieure
La Gendarmerie Nationale a été la première force de sécurité intérieure à se préoccuper de la cybersécurité, avant même qu’une stratégie nationale globale ne soit établie. Ainsi, alors que des discussions s’étaient engagées au niveau européen pour inscrire le renforcement de la lutte contre la cybercriminalité comme priorité de l’Union européenne dans le programme européen de Stockholm de 2010-2015, elle a lancé dès 2007 la première édition du Forum International de la Cybercriminalité. Cet événement européen, qui se tient tous les ans à Lille, est dédié aux professionnels de la cybersécurité issus des sphères publiques et privées afin qu’ils confrontent leurs points de vue et leurs expériences. Le thème de 2017 est « Smarter Security for future technologies[10] ». Les enjeux internationaux, filière cybersécurité, sécurité en entreprise, lutte anti-cybercriminalité, nouvelles technologies, questions de société ou encore technologies de sécurité seront quelques-uns des thèmes abordés lors de cette 10e édition.
Ce mouvement initié par la Gendarmerie s’est rapidement vu consolidé par une action gouvernementale et parlementaire. Lors de la révision en profondeur de la politique de défense et de sécurité nationale qui a donné lieu à la publication de deux Livres blancs en 2008 et 2013, la prévention et la réaction aux cyberattaques ont été identifiées comme priorités majeures dans l’organisation de la sécurité nationale, avec la création de nouvelles instances chargées de leur donner corps.
Tout d’abord, la mise sur pied en 2009 de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), agence interministérielle rattachée aux services du Premier ministre qui deviendra, deux ans plus tard, l’Autorité Nationale de défense des Systèmes d’Information.
C’est également en 2011 que la France a publié une « stratégie nationale de défense et de sécurité des systèmes d’information » et créé un poste d’Officier général chargé de la cyberdéfense au ministère de la Défense. Cet Officier général coordonne l’action du ministère dans ce domaine et sert d’interface principale en cas de crise cyber. Par la suite, un Pacte Défense Cyber a, en février 2014, fixé les ambitions du ministère de la Défense jusqu’en 2019.
Du côté du ministère de l’Intérieur, qui s’occupe de la lutte contre la cybercriminalité, un poste de préfet en charge de la lutte contre les cybermenaces a été créé en 2014.
Dernière avancée en date, l’actualisation en octobre 2015 de La Stratégie nationale pour la sécurité du numérique[11], qui a fait l’objet de travaux interministériels coordonnés par l’ANSSI. Cinq objectifs y figurent : garantir la souveraineté nationale, apporter une réponse forte contre les actes de cybermalveillance, informer le grand public, faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises, renforcer la voix de la France à l’international.
La lecture de ces cinq objectifs fait comprendre que la politique nationale de cybersécurité ne s’arrête pas à la protection de la vulnérabilité de l’Etat et de celle de ses infrastructures, mais entend également intervenir dans celle des entreprises, avec plus ou moins de vigueur, selon l’enjeu critique de ces dernières.
De fait, en mars 2015, un décret renforçant les obligations en matière de cybersécurité des opérateurs d’importance vitale (OIV), à savoir les entreprises dont l’activité est jugée stratégique pour la nation, a été publié. Les 218 entreprises concernées, présentes dans des secteurs très divers (banques, opérateurs télécoms, grande distribution, etc.), doivent mettre en place des systèmes de détection des intrusions dont elles font l’objet et procéder à des audits, soit via l’Agence nationale de la sécurité des systèmes d’information (ANSSI), soit via des prestataires labellisés comme Thales. Ce texte, prévu par la loi de programmation de 2013, a tardé à voir le jour compte tenu de réticences fortes de la part des entreprises concernées, à la fois sur le fond et sur la forme. En effet, d’une part le coût des investissements à réaliser pour se mettre en règle est conséquent, d’autre part, rendre publiques des attaques dont elles seraient victimes risque, selon elles, d’écorner leur image et in fine, de leur ôter des opportunités de contrats. Il existe donc un réel besoin de pédagogie pour faire comprendre l’intérêt d’une telle coopération entre l’Etat et les entreprises. Intérêt pourtant assez évident quand on voit les dégâts qu’a pu faire en 2010 le virus Stuxnet sur les centrifugeuses iraniennes de Natanz, ou, plus récemment le groupe de hackers baptisé « Dragonfly »,qui est parvenu à pénétrer les systèmes d’entreprises espagnoles américaines et françaises travaillant dans le secteur de l’énergie, à des fins d’espionnage.
Considérant les impacts majeurs de la cybersécurité sur la sécurité intérieure, l’Etat s’est efforcé de construire un cadre solide pour traiter cette problématique, à son niveau mais également à celui des entreprises, à partir du moment où celles-ci sont engagées dans des domaines d’importance stratégique.
Reste à savoir comment les entreprises gèrent ce sujet en interne et, plus précisément les relations complexes qu’entretiennent les sociétés de prestations intellectuelles et les entreprises qui font appel à elles.
Sociétés de prestations intellectuelles : une activité a double tranchant pour la bonne santé des grandes sociétes francaises.
Dans les métiers du service, tout comme l’audit, celui dit du conseil est de plus en plus utilisé prenant la forme de prestation intellectuelles diverses. Les sociétés spécialisées se regroupent aussi bien sous le nom de sociétés d’audit ou de conseil que d’Entreprise de Service du Numérique (ESN), ex
Société de services en ingénierie informatique (SSII). Elles se retrouvent sous la forme de grands groupes internationaux, de grandes et très grandes entreprises, ETI, PME, TPE, et aussi d’indépendants. Ces sociétés peuvent intervenir dans tous les secteurs d’activité, aussi bien sur le marché privé que public. L’action de ces acteurs spécialisés touche aussi bien les entités privées (Total, Axa, Thales, etc.) que publiques (ministères de l’Education, de la Défense, de l’Economie, etc.)
Sur le marché français, l’activité de prestation intellectuelle est devenue incontournable ou presque. De plus en plus, les sociétés privées et organismes publics – les « clients » – font appel aux services de ces sociétés – les « prestataires ». Les groupes étrangers sont nombreux sur ce marché, que ce soit de grands noms – Boston Consulting Group, Ernst & Young, Deloitte, Price Waterhouse Coopers, KPMG, IBM, Accenture, etc.- ou de plus modestes, qui représentent tout de même de grosses parts de marché : Bearing Point, Kurt Salmon, CGI, CSC… La France n’est pas en reste avec des acteurs comme Atos, Capgemini, Solucom, Sopra Group ou encore Orange Business Consulting. Au-delà du critère national, il est important de considérer le degré de notoriété de ces entreprises, ainsi que leur(s) secteurs d’activité. En effet, meilleure est la réputation d’une société, meilleur sera son positionnement sur des projets sensibles ou au sein de départements critiques d’entreprises ayant un lien direct avec les intérêts français. Par exemple, les acteurs tels que BCG, EY ou encore Accenture, interviennent régulièrement sur des sujets stratégiques (intelligence économique, défense…) auprès des entités de direction.
Les failles cyber : entre menaces et opportunités
Bien sûr l’activité de services ne s’arrête pas à celles citées précédemment. L’entreprise privée ou l’entité publique sous-traite généralement une activité dont elle ne maîtrise pas le savoir-faire ou qui n’est pas son cœur de métier. C’est pourquoi peuvent être associés aux cabinets de conseil ou d’audit et ESN des cabinets d’avocats, pour des expertises en fusion acquisition par exemple, -ou encore des sociétés de sécurité ou de nettoyage. De fait, un cabinet d’avocats peut jouer un rôle parfois décisif à propos de décisions d’avenir de sociétés françaises s’il intervient dans les procédures de vente, d’achat, de cession etc.
Or si l’aspect cybersécurité n’est pas le premier sujet qui intervient dans ces activités, il facilite pourtant grandement l’apparition de vulnérabilités, voire les accentue. Prenons l’exemple d’une société américaine prestigieuse qui réalise l’audit des finances d’une société du CAC 40. Si celle-ci concurrence d’autres sociétés de cette même nation étrangère, il n’est pas impossible que des actions soient entreprises afin d’avantager les intérêts nationaux. En effet, un rapport sur l’état de santé financier de cette société française, pourrait être opportun pour le concurrent étranger dans le cadre d’un marché concurrentiel. Tout en restant sur le terrain des suppositions, la finalité serait similaire dans le cas d’un service Droit d’une société de service qui gère les cas de fusion acquisition de groupes français où les acteurs accèdent à des éléments stratégiques et vitaux.
Il est donc aisé de considérer qu’en termes d’intelligence économique, et même d’espionnage industriel, le champ des possibles est large. Ces scenarii ne sont certes pas nouveaux, mais les moyens qu’apportent les systèmes d’informations en tant qu’outils facilitent considérablement l’acquisition, la centralisation et le transfert d’informations.
Un couple soumis à aléas: une dépendance mutuelle et une cohabitation à risques
Bien sûr, les risques qu’encourent les sociétés françaises sur le plan des cyber-vulnérabilités et des failles intrinsèques aux sociétés de prestations ne sont pas uniquement de l’ordre du vol prémédité ou intéressé d’informations. Il suffit parfois d’observer le fonctionnement de procédures commerciales ou bien des comportements imprudents pour se rendre compte que le risque peut naître de nombreuses situations différentes.
Le point commun de ces sociétés de service est leur Business Model. Si l’on simplifie à l’extrême, on peut dire qu’elles tirent leur chiffre d’affaire de l’obtention de missions de prestation intellectuelle. Deux cas de figure se présentent : un engagement d’assistance technique ou un engagement au forfait. Le premier cas consiste en une obligation ressource : une activité interne est sous-traitée à un prestataire externe qui rapporte de l’argent pour chaque jour effectué (une mission peut avoir lieu au sein des infrastructures du client ou en dehors), alors que le second cas consiste en une obligation de résultats. Pour l’assistance technique, le chiffre d’affaires correspond au coût journalier du prestataire (taux journalier moyen) multiplié par le nombre de jours vendus, alors que pour un forfait le chiffre d’affaires ne tient pas compte des ressources ni de la charge allouée mais du résultat convenu. Dans un cas comme dans l’autre, un consultant qui n’est pas positionné sur une mission est considéré comme un centre de coût pour l’entreprise, qui doit alors éviter d’avoir trop de salariés non positionnés en clientèle, sur une trop longue durée.
Cette notion met ainsi en évidence les intérêts économiques des sociétés de service tout comme leurs objectifs stratégiques pour les remplir : multiplier les missions, s’assurer d’une pérennité d’affaires, absorber du savoir, élargir son réseau, avoir connaissance des besoins du client ou les « créer », se rendre indispensable… Cela permet de considérer aussi les méthodes de rentabilité et de se rendre compte des biais possibles et des divergences compréhensibles d’objectifs entre une société prestataire et un client.
Ces deux parties ont besoin l’une de l’autre : le client a besoin de ressources et de savoir-faire qu’il ne peut ou ne veut pas assumer, le prestataire de contrats de prestation pour « vendre » ses ressources et compétences, raisons pour lesquelles elles collaborent logiquement et de façon répétée. A l’heure actuelle en France, il existe donc une réelle dépendance des sociétés privées et entités publiques à la prestation intellectuelle. Aussi, nonobstant que la majorité des clients (grandes entreprises françaises ou entités publiques) possèdent une politique et une infrastructure de sécurité généralement de bon niveau, il est important d’évaluer leurs potentielles vulnérabilités en rapport avec les activités concernées par les besoins de prestations externes.
Une complexité qu’il est possible d’identifier relève de la nature même de cette collaboration. Des individus externes à la société cliente sont engagés pour travailler sur une matière interne parfois sensible. Il y a donc un déséquilibre notable. De plus, un prestataire travaillant pour une société de prestation est amené à intervenir chez plusieurs clients au cours de sa carrière et, par la suite peut être embauché par d’autres sociétés de service. Il devient alors légitime de se poser la question du respect de la confidentialité et de la loyauté vis-à-vis des clients. En outre si on en revient aux objectifs de chaque partie, la société de prestation acquiert une plus-value capitale des connaissances sectorielles et métiers, informations organisationnelles et fonctionnelles, qu’elle absorbe à travers ses salariés. Cette absorption se fait naturellement via l’apprentissage et l’expérience, mais aussi par récupération et extraction non autorisée (documents, organigrammes, données, codes, etc.).
Finalement, les vulnérabilités plus évidentes à identifier à propos des systèmes d’informations se retrouvent dans toutes les situations présentées (qui pour la plupart ne sont pas propres à la prestation intellectuelle) et concernent d’une part le matériel introduit (PC portables externes, clés USB externes) et d’autre part les comportements (comportements non responsables ou qui ne respectent pas les règlementations, utilisation non vigilante ou non appropriée des outils informatiques ou d’autres applications/sites, branchement de téléphones portables sur les ordinateurs, télétravail etc). Ces nombreux risques peuvent être négligeables mais peuvent également s’avérer catastrophiques et impacter gravement la santé de la société cliente s’ils ne sont pas correctement pris en compte.
Ainsi, bien que des clauses de confidentialité protègent ces collaborations, elles sont finalement limitées à la fois dans leur mise en œuvre et par la complexité d’identification des fautes. Il serait illusoire de contrôler toutes les activités des prestataires externes, que ce soit au sein de leurs locaux, de leurs outils informatiques nomades (contrôler l’extraction de données sur les disques durs ou via une plateforme en ligne de stockage de données, qui plus est étrangère car généralement le stockage est situé en dehors du pays et toute donnée est soumise à la législation du pays où elle est stockée, mais aussi qu’aucun fichier ne vienne affecter le système informatique), à travers un filtrage du réseau (extraction de données depuis la boîte mail externe connectée au navigateur ou encore la réception de mails vérolés). Il est très compliqué pour la société cliente de s’affranchir de tous ces risques dont l’origine est généralement humaine. S’il est toujours possible de maximiser la protection des infrastructures d’une entreprise, le risque « zéro » n’existe pas. Aussi, la sensibilisation aux enjeux de cybersécurité, du côté du client comme du côté du prestataire, semble être une priorité voire une condition requise pour que la collaboration soit la plus sûre possible. Pourquoi ne pas imaginer une labellisation ou une certification des sociétés de service, à l’image du label « France Cybersécurité » existant et déjà remis par Axelle Lemaire, secrétaire d’Etat du Numérique, lors de l’édition 2015 du Forum International de la Cybercriminalité à Lille[12] ? Ce nouveau label ou cette nouvelle certification permettrait d’apporter une garantie supplémentaire sur la sensibilisation du prestataire aux enjeux de cybersécurité ainsi qu’un niveau d’exigence sécuritaire en termes de comportements et de confidentialité.
Avec la numérisation d’un grand nombre de processus métiers où pratiquement tous les secteurs d’activité sont concernés, il apparaît clairement que les systèmes d’informations et la place qu’ils tiennent dans la transformation des organisations et des métiers dans les entreprises, jouent un rôle critique au sein même de la chaîne de valeur de ces sociétés. Les entreprises sont aujourd’hui numériques et connectées et, de fait, leur savoir et leurs richesses sont à la merci des vulnérabilités du système et des interventions humaines : la cybersécurité est un enjeu de taille.
En effet, d’une part beaucoup d’entreprises sont devenues dépendantes de telles collaborations avec des sociétés de service, et d’autre part, même si le critère de souveraineté est respecté, les autorités doivent s’adapter aux enjeux cyber, tout particulièrement en ce qui concerne les OIV. Il ne suffit plus de porter attention à la façade d’une société, il devient nécessaire afin d’évaluer plus complètement les risques cyber, de s’intéresser à ce qu’il se passe en coulisse, c’est-à-dire au cœur des interventions de ces sociétés de service qui interviennent au sein des opérateurs publics et privés.
Le secteur de la cybersécurité a donc encore de beaux jours devant lui, car ces observations mettent en évidence de nouvelles problématiques sur lesquelles devront se pencher les acteurs leaders de ces marchés, que ce soit par le biais de formations, de solutions logicielles mais surtout de partenariats établis sur une culture de la cybersécurité. Il en va de la sécurité intérieure, économique comme stratégique, de notre pays.
References
Par : Olivier CHORAND, Sarah PINEAU
Source : Les Jeunes IHEDN
Mots-clefs : Cyber, Sécurité, Technologie