cybersécurité de demain

Les cinq grandes tendances de la cybersécurité de demain

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Marc DARMON (83)

La mul­ti­pli­ca­tion des objets con­nec­tés, des inter­con­nex­ions, la migra­tion vers le cloud sont à la source d’une plus grande flu­id­ité de l’information et d’un traite­ment tou­jours plus per­for­mant et agile des don­nées, au cœur de la trans­for­ma­tion numérique des États et des organ­i­sa­tions. Les risques en matière de cyber­sécu­rité et la néces­sité de pro­tec­tions effi­caces n’en sont que plus grands.

On peut ain­si iden­ti­fi­er cinq grandes ten­dances qui posent ques­tion en matière de cyber­sécu­rité et nous poussent à adapter, automa­tis­er, indus­tri­alis­er, voire réin­ven­ter nos capac­ités de pro­tec­tion et de défense.


REPÈRES

L’actuelle trans­for­ma­tion numérique s’accompagne d’une aug­men­ta­tion impor­tante des risques en matière de cyber­sécu­rité : la sur­face d’attaque s’est con­sid­érable­ment étof­fée, et le vol­ume, la valeur et la crit­ic­ité des don­nées traitées font de ces dernières des cibles de choix. Plus les sys­tèmes d’information col­lectent et trait­ent les don­nées, plus ils sont vitaux à notre économie, à notre défense, au bon fonc­tion­nement de nos sociétés, plus ils devi­en­nent attrac­t­ifs pour les cyber­at­taquants, que leur orig­ine soit crim­inelle, ter­ror­iste ou éta­tique. Les cyber­at­taques sont dev­enues plus intel­li­gentes, plus coor­don­nées, plus indus­tri­al­isées, se rap­prochant par­fois de véri­ta­bles opéra­tions mil­i­taires dans la plan­i­fi­ca­tion et l’exécution. Ain­si, garder l’initiative sur des cyber­me­n­aces en per­pétuelle évo­lu­tion est une gageure : cela néces­site une con­nais­sance fine et pro­fonde des attaquants et de leurs tech­niques, une par­faite maîtrise des tech­nolo­gies actuelles et une véri­ta­ble vision de notre futur numérique. La cyber­sécu­rité est ain­si dev­enue l’oxygène de toute trans­for­ma­tion numérique : c’est sur elle que repose le cap­i­tal-con­fi­ance numérique de nos institutions. 


Protection de la vie privée : de la contrainte légale à la proposition de valeur

L’accroissement con­sid­érable des don­nées va de pair avec une demande légitime de la part des con­som­ma­teurs pour plus de con­trôle et de traça­bil­ité de leurs don­nées : de mieux en mieux infor­més de leurs droits, de l’existence du Règle­ment général sur la pro­tec­tion des don­nées ou d’autres lég­is­la­tions du même type (comme PIPEDA au Cana­da ou PDPA à Sin­gapour), ils ques­tion­nent la manière dont les don­nées sont hébergées et traitées, et se deman­dent qui peut y avoir accès. L’opinion publique accepte de moins en moins les fuites de don­nées, qui tous les jours font la une des médias. On estime qu’en 2020 le mon­tant des amendes et des dédom­mage­ments dépassera trois mil­liards d’euros, soit le dou­ble de 2019. Il ne s’agit pas unique­ment d’une affaire de con­for­mité à la lég­is­la­tion ou de con­trainte légale : la cyber­sécu­rité représente désor­mais une vraie propo­si­tion de valeur, pou­vant con­stituer un dif­féren­ci­a­teur impor­tant sur n’importe quel marché, en appor­tant une garantie de confiance.

forum international de cybersécurité
Christophe Cas­tan­er et Marc Dar­mon lors des deux sig­na­tures du con­trat de fil­ière au forum inter­na­tion­al de cyber­sécu­rité le 29 jan­vi­er 2020.

Le cloud, plus que jamais

Le cloud est devenu, en quelques années, un levi­er indis­pens­able de la trans­for­ma­tion numérique. À l’instar des for­ma­tions météorologiques tra­ver­sant les fron­tières, les solu­tions de cloud sont nom­breuses et var­iées, privées ou publiques, nationales ou étrangères. Le choix de l’environnement util­isé pour le stock­age de don­nées se doit d’être directe­ment lié à la valeur et à la crit­ic­ité de ces dernières, avec un équili­bre maîtrisé entre la disponi­bil­ité des don­nées, leur sécu­rité et l’indépendance vis-à-vis du four­nisseur. La ques­tion de la sou­veraineté des don­nées cri­tiques est désor­mais un fac­teur cru­cial du choix de cloud du fait, notam­ment, de mesures extrater­ri­to­ri­ales comme le Cloud Act.

5G et hyperconnectivité

La 5G porte assez mal son nom : en effet, l’évolution tech­nologique qu’elle amène a peu de chose en com­mun avec les précé­dentes 2G, 3G ou 4G. En ren­dant pos­si­ble la con­nec­tiv­ité de tous les réseaux, sys­tèmes, objets et cap­teurs, elle va per­me­t­tre le développe­ment con­sid­érable de nou­veaux ser­vices, comme les voitures autonomes, la télémédecine, ou des évo­lu­tions majeures dans le domaine de la sécu­rité publique, de l’industrie, de l’énergie, de la banque, etc. Le développe­ment de la 5G et de tech­nolo­gies asso­ciées con­stitue ain­si une ques­tion autant de sou­veraineté nationale que de stratégie économique. Du fait d’une con­nec­tiv­ité sans précé­dent, la liste des cibles de cyber­at­taques risque égale­ment de s’allonger, avec des attaques capa­bles de se propager plus facile­ment et plus rapi­de­ment, en par­ti­c­uli­er sur des sys­tèmes cri­tiques. Au-delà de la fia­bil­ité des équipements 5G, nous devrons nous pos­er la ques­tion de la pro­tec­tion de nos sys­tèmes en général et en par­ti­c­uli­er des objets con­nec­tés, dont la sécuri­sa­tion par con­cep­tion ne sera pas néces­saire­ment la pri­or­ité de tous dans la course à la connectivité.

L’intelligence artificielle (IA), en maîtriser le potentiel

Comme toute tech­nolo­gie, l’intelligence arti­fi­cielle n’est ni bonne ni mau­vaise en soi : seul l’est l’usage qui en est fait. La cyber­sécu­rité en est la par­faite illus­tra­tion. En effet, cer­tains attaquants utilisent désor­mais l’IA pour sélec­tion­ner leurs cibles, déter­min­er les meilleures failles à exploiter et pass­er autant que pos­si­ble sous le radar des sys­tèmes de détec­tion. En con­trepar­tie, l’IA per­met d’améliorer les capac­ités de détec­tion et de réac­tion, avec une promesse de per­for­mance iné­galée. En per­me­t­tant aux humains de se con­cen­tr­er sur d’autres tâch­es, elle est aus­si une des répons­es pos­si­bles à la pénurie de tal­ents dans le domaine cyber. Cette util­i­sa­tion de l’IA doit repos­er sur un cadre éthique solide, garan­tis­sant en par­ti­c­uli­er son explic­a­bil­ité, comme a pu l’entreprendre Thales avec la charte « TrUE AI » (Trans­par­ent / Under­stand­able / Eth­i­cal) lancée en 2019. 

Le chiffrement à l’ère quantique

Un des plus grands défis en matière de cyber­sécu­rité est très cer­taine­ment le développe­ment de l’informatique quan­tique, bien­tôt capa­ble de résoudre des prob­lèmes math­é­ma­tiques néces­si­tant des puis­sances de cal­cul inédites. Après l’avance sig­ni­fica­tive réal­isée par Google en 2019, avec un prob­lème résolu en trois min­utes là où même un super­cal­cu­la­teur aurait mis plus de 10 000 ans, la démoc­ra­ti­sa­tion de l’informatique quan­tique et de son incroy­able puis­sance de cal­cul n’est plus qu’une ques­tion de temps. Avec une con­séquence majeure : le risque d’obsolescence des mécan­ismes de chiffre­ment ou de sig­na­ture. C’est pourquoi il est indis­pens­able de tra­vailler, dès main­tenant, sur de nou­veaux algo­rithmes « post-quan­tiques », résis­tant à ces nou­velles puissances. 

Big data, intel­li­gence arti­fi­cielle, cloud, etc. : ces tech­nolo­gies clés sont au cœur des travaux du Comité stratégique de fil­ière (CSF) des indus­tries de sécu­rité, créé en novem­bre 2018. Le CSF et le secteur qu’il représente ont un rôle clé à jouer dans la maîtrise du dig­i­tal et le développe­ment d’une économie numérique de pointe, en France et au-delà des fron­tières. Nous tra­vail­lons sur ces grands défis d’un avenir proche avec un maître mot : la con­fi­ance. Et, parce que les cyber­me­n­aces ne con­nais­sent pas de fron­tières, les solu­tions de sécu­rité ne peu­vent plus se lim­iter à des acteurs isolés ou aux fron­tières nationales. Notre vision et nos capac­ités doivent s’étendre au vil­lage plané­taire pour devenir in fine une vit­rine de la France à l’international, capa­ble de fédér­er proac­tive­ment les autres acteurs de la sécu­rité au niveau européen.


Con­sul­ter l’ensem­ble du dossier Cybersécurité

A lire sur le même sujet : Sig­na­ture du con­trat stratégique de la fil­ière « Indus­tries de Sécu­rité » (sur le site https://www.interieur.gouv.fr/)

Poster un commentaire