> Tech > La cybersécurité à l’aune de Prism

La cybersécurité à l’aune de Prism

Tech - Par Guillaume Rameaux - Publié le 23 janvier 2014
email

Le FIC prend de plus en plus d’ampleur. Plus de 3 000 personnes étaient présentes mardi 21 janvier au Grand Palais de Lille, pour la 6e édition du Forum International de la Cybersécurité.

La cybersécurité à l’aune de Prism

La thématique intéresse de plus en plus alors que 2013 a été marquée par la découverte du programme Prism de la NSA. L’affaire était dans tous les esprits et apparaissaient en filigrane dans beaucoup d’interventions, notamment lors de l’ouverture des débats autour de cette interrogation : « La cybersécurité est-elle un échec ? »

La cybersécurité à l’aune de Prism

Et face à l’hégémonie des acteurs américains et aux révélations de l’ancien consultant de la NSA Edward Snowden, les discours prennent des tournures différentes chez les participants à la plénière d’ouverture du FIC. « La cybersécurité n’est pas un échec mais un défi et un enjeu d’indépendance pour la France, affirme Bernard Barbier, ancien Directeur Technique de la DGSE et nouveau Conseiller spécial Cyber Défense chez Sogeti. Le président Obama l’a lui-même souligné, les américains ne vont pas s’arrêter».

Sécurité vs conformité

« La cybersécurité est un échec à tous les niveaux, tranche pour sa part le consultant et expert en sécurité David Lacey.  Les entreprises ne font pas de sécurité mais de la conformité ». « La plupart des entreprises victimes d’espionnage étaient pourtant conformes à la réglementation », confirme Patrick Pailloux, Directeur de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information). En décembre dernier, le géant américain de la distribution Target a été victime d’un piratage massif. Plus de 40 millions de numéros de carte bancaire et de données personnelles de clients ont été dérobés. Le cas n’a pas manqué de relancer le débat sur les certifications de sécurité et notamment le label PCI-DSS sur la protection des paiements. Un gros travail de sensibilisation reste donc à faire pour que les entreprises cherchent à dépasser le simple cadre de la norme et réfléchissent à une stratégie de sécurité adaptée à la protection de leurs données les plus critiques.

Splashdata

Un processus dans lequel les utilisateurs doivent être pleinement impliqués. D’après le classement publié par la société Splashdata, qui fournit des applications de gestion de mot de passe, le plus utilisé en 2013 était encore 123456. « On a oublié de mettre le citoyen au cœur de la cybersécurité, regrette Jérémie Zimmermann. Tous utilisent pourtant des services américains comme Facebook, Google ou Twitter ». Un des seuls points sur lequel le bouillonnant porte-parole de La Quadrature du Net et le Directeur de l’ANSSI semble trouver un terrain d’entente. « Les dirigeants commencent à être sensibles à ces questions de sécurité mais ils ne savent pas par où commencer. Le premier travail est effectivement d’éduquer les utilisateurs » indique ce dernier.

La place des logiciels libres

Jérémie Zimmermann estime en revanche que les pouvoirs publics devraient montrer l’exemple en arrêtant de faire confiance aux sociétés américaines et à leurs technologies propriétaires, et en investissant davantage dans les technologies libres. « Ce n’est pas simplement en installant les logiciels libres qu’on se protégera, répond Patrick Pailloux. Si c’était aussi simple que ça, nous ne mettrions pas autant de moyens dans les produits de cybersécurité ».

L’ANSSI tient particulièrement à alerter sur le risque qui pèse sur les infrastructures critiques du pays. « La France a, pour une fois, pris un peu d’avance sur cette question avec la Loi de Programmation Militaire », estime son Directeur. La LPM 2014-2019, promulguée en fin d’année dernière, prévoit des dispositions visant à sécuriser les systèmes industriels critiques du pays comme l’obligation pour leurs opérateurs de déclarer les cyberattaques ou d’installer certains systèmes de détection. « Il existe des solutions pour se protéger, martèle Patrick Pailloux. La bataille n’est pas perdue ! ».

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Guillaume Rameaux - Publié le 23 janvier 2014