[interview] Cybersécurité : menaces, challenges & garde-fous

bcom - Gaetan Le Guelvouit
© Fred Pieau

Les questions de cybersécurité font chaque jour la une. On constate que la pandémie Covid a joué un rôle d’accélérateur dans la prolifération des attaques cybercriminelles. Le nombre de victimes de cyberattaques a été multiplié par quatre avec la crise sanitaire selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les avantages apportés par la dématérialisation des documents et la facilité de partage des données profitent à tous, mais sans sécurité, ces échanges constituent une menace forte.

Rencontre avec Gaëtan Le Guelvouit, manager du laboratoire Confiance & Sécurité qui œuvre avec ses équipes pour qu’Internet devienne un espace de confiance.

Cybersécurité : quels sont les nouveaux challenges ?

Les menaces qui pèsent sur la sécurité des données, des infrastructures ou des équipements sont toujours les mêmes. Mais elles se propagent sur de nouveaux terrains.

On observe ainsi depuis quelques années des attaques concluantes sur les équipements IoT, facilitées par le faible niveau de sécurité de ces appareils. Aussi, de nombreux logiciels malveillants visent uniquement les terminaux mobiles grand public (smartphones, tablettes…) car ils sont devenus le centre de la vie numérique de la plupart des gens, regroupant ainsi leurs données personnelles, photos, mots de passe, etc.

Et une dernière tendance observée, dans le secteur des transports, avec l’arrivée de véhicules plus ou moins autonomes, mais surtout connectés, avec pour caractéristique une extrême gravité des conséquences des attaques. Des exemples impressionnants ont été démontrés sur des automobiles semi-autonomes, simplement en modifiant des panneaux de signalisation ou des marquages au sol.   

Avec l’utilisation de l’IA qui se généralise dans tous les domaines, on prend aussi conscience du besoin de sécuriser ces algorithmes. Il y a certes les biais d’apprentissage qui méritent une réponse éthique dépassant la cybersécurité. Mais je pense surtout à l’injection de données pour créer des portes dérobées, ou à la mise au point de perturbations subtiles pour tromper les algorithmes. L’utilisation vertueuse de l’IA pour la cybersécurité est donc un challenge, mais aussi la sécurité de l’IA elle-même.

Enfin, la lutte contre la désinformation est une bataille qui a déjà commencé, mais qui va prendre encore plus d’importance. Avec les médias sociaux, facilitée par les outils de deep fake, on assiste à des manipulations à grande échelle, à des fins politiques ou économiques. Plus prosaïquement, toutes les techniques d’authentification qui se basent sur la voix ou le visage seront potentiellement vulnérables à ces faux numériques.

Sommes-nous tous menacés ?

Tout comme pour les entreprises ou les gouvernements, les hackers convoitent nos données. Historiquement, les cyberpirates cherchaient plutôt à voler des informations bancaires comme le numéro de carte bleue, ou encore les identifiants de connexions à une banque en ligne, pour avoir un retour immédiat de leurs méfaits. Même si cela reste vrai, les hackers cherchent également à dérober les identités numériques, en piratant les comptes liés à notre vie numérique, à voler les identités physiques, en récupérant des documents d’identité, ou encore à verrouiller des documents privés et exiger une rançon pour récupérer l’accès aux données volées. Nous faisons donc face à de nombreuses menaces et la cybersécurité nous concerne tous.

Ces attaques se propagent via des malwares – des logiciels malveillants – qui passent par des mails, des logiciels modifiés, sur le web ou sur les terminaux mobiles. Et ces bouts de code ne regardent pas dans quelle structure ils atterrissent. Ça peut être un individu, mais aussi une entreprise du CAC40 ou un établissement de santé.

Comment se protéger ?

Il y a d’abord une hygiène numérique simple, comme tenir à jour ses équipements et bien gérer ses moyens d’authentification. On évite déjà une bonne partie du risque.

On constate aussi que le grand public est sensibilisé aux techniques d’escroqueries exploitant les failles humaines et sociales, comme le phishing. En réaction, les cyberpirates soignent leurs approches, de plus en plus crédibles et massives.

L’authentification multi-facteurs est souvent proposée par les grands acteurs du numériques, et voire même imposée. Le principe est de vérifier l’identité de l’utilisateur par plusieurs moyens : mot de passe bien sûr, complété par un code à usage unique, une donnée biométrique, etc. C’est une avancée importante pour limiter les conséquences des divulgations des mots de passe. C’est parfois au détriment de l’expérience utilisateur, mais le problème commence à être pris en compte avec des processus plus ergonomiques ou plus transparents.

Pour l’entreprise, on assiste à une migration de la sécurité périmétrique – le système d’information est protégé par une muraille englobante, comme un château fort pour reprendre une analogie courante – vers des paradigmes type Zero Trust. Dans le contexte actuel, qui mélange télétravail et ressources déportés dans le cloud, définir et surveiller le périmètre devient trop complexe et inefficace.

Avec le Zero Trust, chaque accès et droit n’est donné qu’après contrôle et justification. Le contexte de la demande, le terminal utilisé et bien sûr le demandeur, sont analysés. Un cyberpirate, qui a trouvé une faille, sera vite bloqué dans son projet d’exfiltration de données. Là encore, l’authentification multi-facteurs fait partie de la boite à outils du Zero Trust, avec les systèmes dynamiques de gestion de droits, l’IA, etc.

On constate que beaucoup d'hôpitaux ont subi de violentes attaques. En quoi sont-ils des cibles intéressantes pour les cyberpirates ? Sont-ils plus vulnérables que d’autres organisations ?

Les récentes attaques sur des hôpitaux français sont du fait de ramsonwares, un type de logiciel malveillant qui chiffre les données de l’ordinateur infecté – ce qui les rend inutilisables mais ne les détruit pas – et qui demande ensuite une rançon pour les déchiffrer.

Ce ne sont pas des attaques spécifiquement conçues pour toucher le milieu médical. Mais les hôpitaux sont des cibles intéressantes car ils ne peuvent fonctionner sans leur système d’information (dossiers des patients, imagerie médicale, parcours d’admission, etc.) et la disponibilité de ces données est critique. Payer pour les retrouver immédiatement, sans avoir à lancer un long et couteux plan de reprise d’activité, est donc tentant. De plus, le cyberpirate peut avoir pour objectif le vol de dossiers médicaux, qui a une valeur certaine sur les places de marché des cybercriminels. Mais ce dessein est presque anecdotique par rapport aux demandes de rançon.

Les hôpitaux sont effectivement des cibles vulnérables. Même avant la crise sanitaire, les budgets serrés privilégiaient les soins plutôt que la sécurité du SI. On a donc affaire à du matériel obsolète, peu suivi et peu mis à jour, qui sera plus exposé aux attaques. Idem pour la formation des utilisateurs. Et comme pour toutes les entreprises, la multiplication du télétravail a profondément élargi le périmètre du réseau, ce qui a augmenté la surface d’attaque. Un plan d’investissement pour améliorer la cybersécurité des services publics a été annoncé par le gouvernement dans le cadre du plan de relance.

Quote cybersecurity Gaetan Le Guelvouit

Vous travaillez sur la sécurité des contenus et des réseaux 5G et au-delà : quelles sont les problématiques qui guident aujourd’hui vos recherches ?

Du côté de la sécurité des contenus, après avoir lancé une solution d’anti-piratage pour les événements sportifs avec notre partenaire Viaccess-Orca, nous allons adapter notre technologie pour protéger les films et les séries. Le principal challenge est d’assurer une qualité parfaite sur tous les écrans, y compris avec les formats vidéo récents comme l’Ultra HD et le HDR.

Une première étape a été franchie en passant les tests visuels d’un très grand studio de cinéma hollywoodien en début d’année. Nous devons aussi prendre en compte une temporalité bien plus large : alors qu’un match de football n’est diffusé que pendant 90 minutes, une série peut être disponible plusieurs années ! Cela bouleverse notre approche de recherche de contenus illégaux. 

Pour les réseaux, nous nous focalisons sur l’alimentation en briques de sécurité de l’offre de 5G privée de b<>com. Nous avons déjà notre technologie d’authentification des terminaux, que nous allons adapter et intégrer comme premier élément d’une approche Zero Trust. Et plus globalement, nous souhaitons concevoir un système automatisé de détection des attaques, qui sera aussi capable de les circonscrire en partie. C’est une réponse à la multiplicité, la complexité et l’intensité des attaques que doivent supporter les réseaux aujourd’hui.