Security - IoT
5 juin 2018

Les enjeux de la cybersécurité selon Nicolas Arpagian

L’an dernier, les ransomwares ont beaucoup fait parler d’eux... Ces logiciels malveillants auraient coûté plus d’un milliard de dollars aux entreprises ! Cette menace touche, notamment les objets connectés, parfois mal sécurisés, pouvant servir de relais pour mener des cyberattaques vers des entreprises ou dérober des données personnelles. Et si 2017 a été une année faste en matière de cybercriminalité, 2018 pourrait bien être pire, selon les spécialistes ! Nicolas Arpagian, expert du domaine, fait un point sur la situation.

Emmanuelle Leclerc : « Bonjour Nicolas, pouvez-vous vous présenter ? »

Nicolas Arpagian : « Je suis le Directeur de la Stratégie et des Affaires publiques d’Orange Cyberdefense (Groupe Orange). Par ailleurs, je suis le Directeur scientifique du cycle « Sécurité Numérique » à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ), un établissement public placé auprès du Premier ministre et j’enseigne à l’Ecole Nationale Supérieure de la Police (ENSP). J’ai publié une douzaine d’ouvrages, parmi lesquels « La Cybersécurité » dans la collection Que Sais-Je ? aux Presses Universitaires de France (PUF). »

La cybersécurité - Nicolas Arpagian

Nicolas Arpagian

EL : « Pouvez-vous nous évoquer des exemples de cyberattaques ? »  

NA : « Le numérique est présent dans de nombreux processus de production et de commercialisation. Ces équipements, ces services et les données qu’ils représentent peuvent être la cible de piratages variés.
D’une part, ceux qui visent à prendre le contrôle à distance de ces équipements pour intercepter les informations qu’ils contiennent, créer des dysfonctionnements voire les mettre hors d’état de fonctionner.
D’autre part, des campagnes informationnelles peuvent viser à usurper l’identité d’une personne, d’une entreprise ou d’une institution pour attenter à sa réputation ou pour tromper ses interlocuteurs légitimes afin de récupérer des informations ou de l’argent.
La criminalité a adopté les outils numériques pour déployer des activités illicites qui existent de longue date dans le monde physique : vol, extorsion, fraudes à l’identité…

Ces attaques numériques peuvent avoir des motifs divers : l’argent, l’idéologie, la haine, l’opportunisme face à une faille informatique connue, le goût de la performance… Il faut donc analyser le mode opératoire des attaquants mais également ce qui peut nourrir leurs motivations afin d’en comprendre les tenants et aboutissants. »

EL : « La sécurité est souvent pointée du doigt dans le secteur de l’IoT, faut-il devenir « méfiant/parano » ou des solutions existent-elles ? »

NA : « Andy Grove, le co-fondateur de la société Intel, a publié un ouvrage intitulé « Seuls les paranoïaques survivent ». Il serait pourtant vain de verser dans une telle attitude car il est contre-productif de renoncer à tous les avantages et à la création de valeur que permet la révolution numérique. Il faut juste être conscient de la menace afin de limiter l’exposition aux risques générés par la cybercriminalité.

Les objets connectés multiplient la production de données et le nombre des équipements reliés au système d’information. Il convient donc de les identifier individuellement pour éviter que dans des organisations n’importe quel objet puisse être ainsi branché sur l’informatique de la société : quels sont ces appareils ? Quelles sont leurs fonctionnalités ? Comment leur accès est-il protégé ? Qui décide de les déconnecter ? Qui en assure la maintenance ? … Autant de questions qui doivent trouver des réponses précises. Il ne faut pas qu’ils puissent être utilisés pour s’immiscer dans les réseaux de la société ou du particulier ou être exploités à des fins malveillantes : détournement des images d’une caméra, utilisation de l’adresse IP pour participer à des attaques en déni de service  (DDoS) visant à paralyser des sites Internet…

Cette politique de gestion des accès et des identités va permettre en outre de s’interroger sur la véritable utilité de ces équipements. Au-delà de la protection du patrimoine numérique c’est aussi une étape importante pour identifier les actifs stratégiques qu’il convient de protéger. Et les bénéfices que l’on tire d’une intensification du recours aux technologies de l’information. »

La cybersécurité - Nicolas ArpagianEL : « La cybercriminalité touche désormais toute la société, du citoyen à la grande entreprise… et demain, quelles sont les perspectives ? »

NA : « Les cyberattaques ignorent les distances et peuvent viser des institutions dotées de ressources matérielles et humaines importantes.  Il ne faut donc pas concevoir la cybersécurité de manière morcelée mais bien comme un continuum. Par souci d’efficacité et de performance, les pirates visent par exemple les sous-traitants pour atteindre les grands comptes en misant sur l’interconnexion des systèmes d’information. Idem les salariés peuvent être visés sur leur informatique personnelle (adresses mail privées, messages via des réseaux sociaux…) afin d’infecter leur ordinateur ou smartphone pour s’insérer ensuite dans leurs équipements professionnels.

De même, des pirates peuvent maîtriser les modalités d’attaque d’un type de logiciels et automatiser la recherche de celui-ci sur les réseaux. Dans ce cas, c’est la détention de cette solution informatique qui va vous désigner comme cible. Il convient de généraliser la démarche de résilience : faute de pouvoir empêcher les cyberattaques, il est souhaitable de se doter d’outils de détection qui permettront de signaler au plus tôt l’agression. Faire en sorte par une organisation adaptée de contenir l’assaillant pour éviter qu’il puisse circuler à sa guise dans le système infecté. Et disposer des sauvegardes régulières assurant de revenir le plus rapidement possible à une situation normale. Limitant ainsi l’impact d’une cyberattaque. »