La France est-elle suffisamment armée pour résister à des cyberattaques géantes ? Le diagnostic d'un expert

Publié le 24 mai 2017 à 14h04

Source : JT 20h WE

INTERVIEW - Les récentes cyberattaques mondiales ont mis en lumière les dangers et périls potentiels causés par une paralysie des réseaux informatiques. Ces risques sont-ils bien intégrés, notamment en France ? Entretien avec Thierry Karsenti, responsable Europe chez Check Point, l’un des leaders des solutions de sécurité des systèmes d’information.

L’enjeu est de taille. Alors que les récentes cyberattaques mondiales ont mis en lumière les dangers et périls potentiels causés par une paralysie des réseaux informatiques, les questions de cybersécurité ont vocation à devenir de plus en plus importantes et prépondérantes. La thématique s’est ainsi retrouvée au cœur du premier conseil de Défense du quinquennat d’Emmanuel Macron, jeudi 18 mai à l’Elysée. Mais ces risques sont-ils vraiment bien pris en compte par les Etats, les entreprises ou les particuliers, notamment en France ? Nous avons posé la question - et d’autres - à Thierry Karsenti, vice-président technique Europe chez Check Point, l’un des leaders mondiaux des solutions de sécurité des systèmes d’information.

LCI : Les Etats ont-ils conscience du risque que constituent les cyberattaques ? 

Thierry Karsenti : Je vais vous faire une réponse de Normand : oui et non. Oui parce que tous les Etats ont aujourd’hui une entité au niveau national qui est en charge de la sécurité des systèmes d’information. En France, il s’agit de l’Agence nationale de sécurité des systèmes d’information (ANSSI), qui dépend directement des services du Premier ministre. Elle protège les réseaux du gouvernement et toutes les infrastructures critiques du pays permettant son bon fonctionnement : la santé, les transports, l’énergie, les télécommunications, etc. Son objectif est de s’assurer de la sécurité et de la responsabilité de ces différents opérateurs d’infrastructures vitales (OIV), qui sont environ 200 – la liste n’est, bien sûr, pas publique.  

La France a une longueur d’avance sur la plupart de ses voisins, puisqu’elle est l’une des premières à avoir eu un cadre réglementaire venu normer les contraintes pesant sur les OIV. Ces derniers ont ainsi l’obligation de mettre en œuvre ce qu’il faut pour garantir la sécurité de leurs systèmes et sont contraints d’investir pour leur sécurité, mais aussi de signaler à l’Etat toute faille de sécurité. L’ANSSI a dès lors une sorte de droit de regard sur leur activité. Néanmoins, au-delà du cadre réglementaire, il y a une différence entre la théorie et la pratique. Car si l’on parle autant de cybersécurité en ce moment, c’est la conséquence directe de la transformation digitale de notre économie et de nos vies. Cette transformation digitale rapide se fait malheureusement sans qu’il y ait de réflexion dans son ensemble. Elle engendre de nouveaux risques et, plus on avance, plus ces risques sont importants. 

Notre culture étant une culture de sécurité physique, la cybersécurité est encore très conceptuelle pour beaucoup
Thierry Karsenti

C’est-à-dire ? 

Dès à présent, on peut par exemple aller jusqu’à anéantir une entreprise ou une institution, même dans des domaines hypersensibles. Si on prend l’exemple de la santé, vous allez aujourd’hui dans un hôpital, tout est 100% informatisé, de votre dossier médical à vos radios ou vos bilans sanguins. Dans les centres d’appels, là où sont traitées les urgences des pompiers ou du Samu, tout est informatisé également. La moindre prise de risque, même individuelle, peut donc avoir de lourdes répercussions.

Cette transformation digitale se fait-elle trop rapidement ? 

Il y a en tout cas un vrai écart entre la perception du risque et sa réalité. La perception, c’est que le risque informatique est relativement minime ; personne ne se sent spécifiquement ciblé. Alors que la réalité, c’est que nous sommes tous excessivement vulnérables. 

À tous les niveaux ? Même dans les grandes entreprises ?  

Les entreprises savent qu’il y a un cyber-risque. Elles ont plus ou moins nommé quelqu’un dans leur organisation qui est en charge de ces questions, mais, là-encore, il y a une trop grande différence entre la perception et la réalité du risque. Si l’on prend l’exemple de la dernière cyberattaque, il faut savoir que plus de 95% des entreprises n’ont pas de solution pérenne pour parer à ces problèmes. Par manque de moyens financiers et/ou humains, mais aussi par le décalage culturel qui existe encore. Notre culture étant une culture de sécurité physique, la cybersécurité est encore très conceptuelle pour beaucoup. Et pourtant, aujourd’hui, n’importe qui peut devenir un cybercriminel pour peu qu’il ait accès à quelques outils informatiques. C’est un peu comme si des armes chimiques, bactériologiques ou nucléaires se retrouvaient entre les mains de mafieux malveillants. 

En matière de cybersécurité, la France pourrait s’inspirer de ce qui a été fait pour la sécurité routière il y a 40 ans
Thierry Karsenti

Quel(s) pays s’en sort(ent) le mieux en termes de cybersécurité ? 

S’il fallait ne citer qu’eux : Israël et les Etats-Unis, où il y a eu une claire prise de conscience. Donald Trump est très critiqué depuis le début de son mandat, mais il a pris un "executive order" pour la cybersécurité dès ses premiers jours à la Maison-Blanche. Les contraintes sont très - peut-être trop – agressives : les entreprises et les organisations publiques ciblées ont 90 jours pour se mettre aux normes et faire du reporting aux autorités américaines.  De l’autre côté, Israël est une pépite de matière grise. C’est un pays qui a un très haut niveau d’éducation et qui, en même temps, est entouré de voisins ayant contre lui une hostilité assez forte, ce qui fait qu’il y a une forte culture de sécurité. Le budget du ministère de la Défense est ainsi le plus important du pays. De surcroît, les Israéliens ont vite compris qu’il y avait avec l’informatique une sorte de 4e dimension allant au-delà des terrains d’affrontement classiques, aériens, maritimes et terrestres. 

Que peut faire la France pour rattraper son retard ? 

Elle pourrait s’inspirer de ce qui a été fait pour la sécurité routière il y a 40 ans. À l’époque, il était admis que l’on pouvait avoir 10.000 à 15.000 morts par an sur les routes. Quelque part, c’était une fatalité. Mais 40 ans plus tard, on voit que les enfants sont désormais sensibilisés sur le sujet dès l’école, dès leur plus jeune âge, qu’il y a dans les médias des campagnes récurrentes avec des images trash. Parallèlement à cette "évangélisation", il y a un côté règlementaire – un code de la route et des sanctions qui peuvent être lourdes – qui influe sur le comportement des conducteurs et des évolutions en termes de technologies, avec des voitures qui sont aujourd’hui bien plus robustes et mieux équipées qu’auparavant. On est encore très loin de tout cela pour ce qui est de la cybersécurité. 

Par manque de volonté politique ? 

En partie. Il appartient aux pouvoirs publics de sensibiliser les populations, de s’équiper en outils technologiques par de l’investissement – ce qui est aussi le cas des entreprises – et de continuer à mettre en place un cadre réglementaire plus contraignant. 

Emmanuel Macron est-il, selon vous, sensible à ces questions ? 

Ce qui est sûr, c’est que le décalage culturel sera moins important. Quand on a un président qui dit ne pas savoir ce qu’est le "mulot" (référence aux Guignols de l’info qui s’étaient moqués de Jacques Chirac légèrement décontenancé face à une souris d’ordinateur lors d’une visite à la Bibliothèque nationale de France en 1996, ndlr), on n’est pas face à un problème de cybersécurité mais un problème de cyber tout court ! Plus sérieusement, le décalage culturel sera évidemment moindre avec quelqu’un d’âgé de 39 ans comme Emmanuel Macron. Il n’ignore pas les risques ; il les a d’ailleurs expérimentés pendant la campagne. Reste maintenant à voir quelle sera sa stratégie. 


Alexandre DECROIX

Tout
TF1 Info