> Tech > FIC 2014 – La cybersécurité à l’aune de Prism

FIC 2014 – La cybersécurité à l’aune de Prism

Tech - Par Guillaume Rameaux - Publié le 23 janvier 2014
email

Le FIC prend de plus en plus d’ampleur. Plus de 3 000 personnes étaient présentes mardi 21 janvier au Grand Palais de Lille, pour la 6e édition du Forum International de la Cybersécurité.

FIC 2014 – La cybersécurité à l’aune de Prism

La thématique intéresse de plus en plus alors que 2013 a été marquée par la découverte du programme Prism de la NSA. L’affaire était dans tous les esprits et apparaissaient en filigrane dans beaucoup d’interventions, notamment lors de l’ouverture des débats autour de cette interrogation : « La cybersécurité est-elle un échec ? »

Et face à l’hégémonie des acteurs américains et aux révélations de l’ancien consultant de la NSA Edward Snowden, les discours prennent des tournures différentes chez les participants à la plénière d’ouverture du FIC. « La cybersécurité n’est pas un échec mais un défi et un enjeu d’indépendance pour la France, affirme Bernard Barbier, ancien Directeur Technique de la DGSE et nouveau Conseiller spécial Cyber Défense chez Sogeti. Le président Obama l’a lui-même souligné, les américains ne vont pas s’arrêter».

Sécurité vs conformité

« La cybersécurité est un échec à tous les niveaux, tranche pour sa part le consultant et expert en sécurité David Lacey.  Les entreprises ne font pas de sécurité mais de la conformité ». « La plupart des entreprises victimes d’espionnage étaient pourtant conformes à la réglementation », confirme Patrick Pailloux, Directeur de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information). En décembre dernier, le géant américain de la distribution Target a été victime d’un piratage massif. Plus de 40 millions de numéros de carte bancaire et de données personnelles de clients ont été dérobés. Le cas n’a pas manqué de relancer le débat sur les certifications de sécurité et notamment le label PCI-DSS sur la protection des paiements. Un gros travail de sensibilisation reste donc à faire pour que les entreprises cherchent à dépasser le simple cadre de la norme et réfléchissent à une stratégie de sécurité adaptée à la protection de leurs données les plus critiques.

(((IMG6530)))
De gauche à droite : Jérémie Zimmermann (La Quadrature du Net), David Lacey (IOActiv), Bernard Barbier (Sogeti), Jean-Michel Orozco (Cassidian CyberSecurity),
Patrick Pailloux (ANSSI) et Marc Watin-Augouard (Gendarmerie Nationale).

Un processus dans lequel les utilisateurs doivent être pleinement impliqués. D’après le classement publié par la société Splashdata, qui fournit des applications de gestion de mot de passe, le plus utilisé en 2013 était encore 123456. « On a oublié de mettre le citoyen au cœur de la cybersécurité, regrette Jérémie Zimmermann. Tous utilisent pourtant des services américains comme Facebook, Google ou Twitter ». Un des seuls points sur lequel le bouillonnant porte-parole de La Quadrature du Net et le Directeur de l’ANSSI semble trouver un terrain d’entente. « Les dirigeants commencent à être sensibles à ces questions de sécurité mais ils ne savent pas par où commencer. Le premier travail est effectivement d’éduquer les utilisateurs » indique ce dernier.

La place des logiciels libres

Jérémie Zimmermann estime en revanche que les pouvoirs publics devraient montrer l’exemple en arrêtant de faire confiance aux sociétés américaines et à leurs technologies propriétaires, et en investissant davantage dans les technologies libres. « Ce n’est pas simplement en installant les logiciels libres qu’on se protégera, répond Patrick Pailloux. Si c’était aussi simple que ça, nous ne mettrions pas autant de moyens dans les produits de cybersécurité ».

L’ANSSI tient particulièrement à alerter sur le risque qui pèse sur les infrastructures critiques du pays. « La France a, pour une fois, pris un peu d’avance sur cette question avec la Loi de Programmation Militaire », estime son Directeur. La LPM 2014-2019, promulguée en fin d’année dernière, prévoit des dispositions visant à sécuriser les systèmes industriels critiques du pays comme l’obligation pour leurs opérateurs de déclarer les cyberattaques ou d’installer certains systèmes de détection. « Il existe des solutions pour se protéger, martèle Patrick Pailloux. La bataille n’est pas perdue ! ».

Téléchargez gratuitement cette ressource

*** SMART DSI *** VERSION NUMÉRIQUE

*** SMART DSI *** VERSION NUMÉRIQUE

Découvrez SMART DSI, la nouvelle revue du Décideur IT en version numérique. Analyses et dossiers experts pour les acteurs de la transformation numérique de l'entreprise, Gagnez en compétences et expertise IT Professionnelle avec le contenu éditorial premium de SMART DSI.

Tech - Par Guillaume Rameaux - Publié le 23 janvier 2014