Cybersécurité : on peut prouver que « la sécurité parfaite n’existe pas », le problème de l’humain
Vous êtes le maillon faible
Notre dossier sur le plan Cyber :
Le 01 mars 2021 à 07h30
10 min
Internet
Internet
La cybersécurité est un vaste domaine, aux conséquences importantes. La recherche y est cruciale pour améliorer les défenses, mais aussi réagir en cas d'attaque. En marge d'annonces gouvernementales, CEA, CNRS et Inria brossent un portrait de la situation et des pistes d'action.
Peu après le Plan Quantique – avec 1,8 milliard d’euros pour la recherche et la construction de telles machines – le gouvernement a annoncé sa « stratégie Cyber » à 1 milliard d’euros, « dont 720 millions de financements publics ».
La Banque des territoires a depuis donné quelques détails : « 500 millions d'euros seront affectés à des projets R&D portés par des acteurs tricolores, 140 millions à la création d’un écosystème dont 74 millions affectés à un campus cybersécurité implanté à La Défense. 176 millions seront pilotés par l’ANSSI pour le "soutien de la demande" […] dans lesquels figurent 136 millions de financements aux collectivités et hôpitaux ».
Ces derniers sont durement touchés ces derniers temps et la crise sanitaire n'arrange pas la situation. Ils sont ainsi invités à faire mieux dans leurs prochains investissements. Ce n'était d'ailleurs pas un hasard si cette annonce s'est déroulée en visioconférence avec les hôpitaux de Dax et de Villefranche, touchés par des rançongiciels.
65 millions pour la recherche, « c'est beaucoup et c'est peu »
Une part – 65 millions d’euros – servira aux Programmes et équipements prioritaires de recherche (PEPR), piloté conjointement par le CEA, le CNRS et Inria. De quoi « donner un coup de fouet » en matière de cybersécurité, selon Gildas Avoine, professeur à l'INSA Rennes à l’Institut de recherche en informatique et systèmes aléatoires.
Il précisait néanmoins que « 65 millions c'est beaucoup et c'est peu, ça dépend le point de vue que l'on prend ». Cette somme pourra néanmoins « raisonnablement être utilisée comme un effet de levier pour accélérer les activités de recherche et que cela aboutisse [...] à des innovations que ce soit à 5 ou 10 ans ».
Comme avec le Plan Quantique, il ne faut ainsi pas attendre des changements rapides. Pour détailler davantage les attentes au niveau du PEPR, des chercheurs des trois instituts s'étaient donné rendez-vous la semaine dernière pour une conférence. Après un point l'open source et de la confiance dans le matériel, voici notre compte rendu.
- Cybersécurité : on peut prouver que « la sécurité parfaite n'existe pas »
- Cybersécurité : le miroir aux alouettes de l’open source, la confiance dans les composants
- « Un jour ou l'autre on sera attaqué » : cryptographie et méthodes formelles au chevet de la cybersécurité
- En cybersécurité, « la maîtrise totale est sans doute totalement hors de portée »
Pourquoi un plan sur la cybersécurité maintenant ?
Gildas Avoine commence avec un détour par les fondamentaux et une définition de la cybersécurité : « c'est protéger l'information, c’est aussi protéger des services et des ordinateurs ». Il ajoute d'ailleurs que l'« on parle de systèmes plutôt que d'ordinateurs, le système pouvant être logiciel ou matériel ».
La cybersécurité des systèmes est un vaste sujet, regroupant à la fois la protection, la surveillance, la détection et la réaction aux attaques. Ce dernier point est « extrêmement important » pour le chercheur, car il faut pouvoir « revenir rapidement à la normale après une attaque », ce que l'on appelle la résilience.
La motivation derrière les cyberattaques est, « dans la très grande majorité des cas, l'argent ». Et à ce petit jeu, « les pirates sont vraiment aujourd'hui des experts du domaine avec un niveau de compétence extrêmement élevé. Ils s'organisent en bandes et on peut même parler dans certains cas de bandes mafieuses ».
Ces dernières années, on a connu une « très forte croissance des attaques », notamment des ransomwares, quand les pirates demandent à leurs cibles de payer une rançon pour récupérer leurs données ; c'est du moins la promesse faite. Cette nouvelle vague « justifie ce plan d'accélération sur la cybersécurité », affirme Gildas Avoine.
L'illusion d'une forteresse impénétrable
Et l'avenir promet d'être au moins aussi chargé : « Il ne faut pas être anxiogène, je pense que ce n'est pas le but, mais il ne faut pas non plus rester les bras croisés ». Il partage ensuite un constat qui fait consensus depuis longtemps dans le monde de la sécurité en ligne, mais qu'il est bon de rappeler :
« On pourra mettre autant d'argent que l'on veut. Malheureusement, on sait que la sécurité parfaite n'existe pas. On peut d'ailleurs le prouver et qu'il faut changer en quelque sorte de paradigme. »
Au cours des dernières années, la philosophie a évolué. Des systèmes que l'on pensait robustes sont tombés, rappelant que, effectivement, personne n'est à l'abri. Le moindre grain de sable peut entrainer une réaction en chaine et gripper tous les rouages, avec des interruptions de service, des fuites de données, etc.
Alors que l'on était dans « une philosophie où on essayait de construire une forteresse autour de notre système informatique […] Aujourd'hui, on considère que de toute façon une attaque arrivera un jour. Donc, il faut impliquer tous les acteurs, tous les habitants de cette forteresse pour combattre et réagir à cette attaque ».
Cette notion de « forteresse » ne tient pas la route, comme le détaillaient d'autres chercheurs durant la conférence. On peut construire des murs aussi solides et épais que l'on veut, les attaquants peuvent toujours creuser des tunnels souterrains, utiliser des hélicoptères pour passer au-dessus et parfois utiliser d'autres « astuces ».
C'était le cas de SolarWinds où, en continuant la comparaison avec un château fort, on pourrait dire que les pirates sont passés par des paniers de linges livrés par des blanchisseurs.
Le principal problème en cybersécurité ? Les utilisateurs…
Bref, il est illusoire d'espérer construire une forteresse, d'autant que le principal vecteur d'attaque (et maillon faible) est bien souvent l'utilisateur. Ludovic Mé, adjoint au directeur scientifique d’Inria en charge du domaine de recherche Cybersécurité, donne son point de vue :
« Un virus s'exécute au nom d'un utilisateur, la cible première du virus c'est l'utilisateur avant les fichiers ou l'information [...] On a ce problème que l'utilisateur est dans la boucle [...] La patte humaine est complexe et difficile à maitriser [...] La sensibilisation et la formation des utilisateurs est quelque chose d'essentiel dans la lutte contre les virus... et c'est extrêmement compliqué. »
Il ajoute que « les utilisateurs doivent être sensibilisés à rester aux aguets, ne pas cliquer sur tout ce qui passe à leur portée, à réfléchir un peu avant d'agir » mais que « les administrateurs doivent être en nombre suffisant, formés par des experts en sécurité […] Les industriels, évidemment, doivent innover, fournir des outils qui sont à même de prévenir les attaques ou de les détecter ». Le manque de moyens humains est souvent pointé du doigt.
De son côté, la recherche « doit apporter des connaissances et des idées nouvelles » : « Plus fondamentalement, il faut qu'on réfléchisse à la conception de systèmes plus résistants par nature. Même si, face à un virus, le combat est difficile parce que c'est l'utilisateur lui-même qui enclenche l'attaque en quelque sorte ».
Les chercheurs et la collaboration « cyber » en France
Florent Kirchner, responsable du programme Cybersécurité du CEA List, donne quelques chiffres :
« Pour vous donner un ordre de grandeur entre 2008 et 2018, on est passé grosso modo de 400 équivalents temps plein à 850, qui mélangent finalement une grande diversité d'acteurs et en particulier des chercheurs, d’anciens chercheurs, mais également des doctorants, avec une formation annuelle de 130/140 doctorants »
Toujours dans le monde de la recherche, l’entente entre les laboratoires semble cordiale avec des projets conjoints et des équipes communes... mais on imagine mal les chercheurs dire le contraire dans une conférence commune.
« On a vu aussi ces dernières années l'émergence d'initiatives de coordination et d'animation », ajoute Florent Kirchner. La France n’aurait pas à rougir au niveau mondial et aurait des compétences reconnues dans certains domaines clés de la cybersécurité comme « la cryptologie et les méthodes formelles ».
Public/Privé : un but commun, un travail main dans la main ?
Nous avons demandé aux chercheurs ce qu’il en était de la collaboration entre le public (avec le monde académique) et le privé, où les enjeux sont souvent bien différents : les sociétés n’auraient-elles ainsi pas tendance à faire de la recherche de leur côté, de manière isolée ? Pour Florent Kirchner, c’est « un peu les deux ».
Il y a effectivement « un certain nombre de thématiques propres à la cybersécurité qui sont des domaines sensibles pour lesquels il y a des travaux plutôt fermés ». A contrario, « il y a beaucoup de collaborations qui se font avec le monde de la recherche ». Plusieurs exemples sont donnés : « la formation par la recherche et l'encadrement de jeunes thésards » qui mélange des laboratoires de recherche et des équipes de R&D, des projets collaboratifs, etc.
Ludovic Mé précise que, au besoin, les chercheurs peuvent aussi « travailler sur des sujets sensibles et même classifiés (confidentiel défense ou secret défense) », y compris pour la défense nationale. Ils peuvent obtenir une habilitation et certains laboratoires disposent de protections spécifiques si besoin, certains en ont l'habitude.
De manière générale, « on n’a pas beaucoup de problèmes de collaboration lié à la sensibilité », affirme-t-il. Il reconnait que, il y a 10 ou 15 ans, « les industriels traitaient ce sujet de cybersécurité en vase clos, de chez eux, en communiquant peu ». Mais aujourd'hui, « il y a une certaine prise de conscience sur le fait que c'est un sujet tellement complexe et pluridisciplinaire qu'ils ne peuvent plus se permettre de tout gérer en interne. Ils viennent nous chercher, notre expertise et collaboration pour les aider à avoir une vision plus globale ».
Les six principales thématiques du plan Cyber
Dans la suite de notre dossier, nous reviendrons en détail sur six thématiques que les chercheurs du CEA, CNRS et Inria ont mis en avant durant leur conférence : codage et cryptographie, méthodes formelles, protection de la vie privée, sécurité des systèmes et des logiciels, sécurité des données multimédia et sécurité des systèmes matériels.
Elles se retrouveront « sous une forme ou sous une autre dans la cadre du PEPR », affirme Florent Kirchner.
Cybersécurité : on peut prouver que « la sécurité parfaite n’existe pas », le problème de l’humain
-
65 millions pour la recherche, « c'est beaucoup et c'est peu »
-
Pourquoi un plan sur la cybersécurité maintenant ?
-
L'illusion d'une forteresse impénétrable
-
Le principal problème en cybersécurité ? Les utilisateurs…
-
Les chercheurs et la collaboration « cyber » en France
-
Public/Privé : un but commun, un travail main dans la main ?
-
Les six principales thématiques du plan Cyber
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/03/2021 à 07h53
y a 10 ou 15 ans, « les industriels traitaient ce sujet de cybersécurité en vase clos,
de chez eux…
la façon polie de dire :
“il tentaient de cacher la Poussière sous le tapis” !
maintenant, ce n’est PLUS possible (zut) !
« il y a une certaine prise de conscience sur le fait que c’est un sujet tellement complexe
et pluridisciplinaire qu’ils ne peuvent plus se permettre de tout gérer en interne.
Ils viennent nous chercher”...
Le 01/03/2021 à 08h31
T’inquiète, c’est juste que les tapis sont plus épais, donc ce qui est caché dessous fait moins de vagues
(15 ans de presta chez différents gros clients, essentiellement avec des contraintes fortes de sécu: ben je peux te garantir que j’ai vu des trucs sortir, en particulier avec des mots de passe «qualité integration» non modifié, et parfois quasi non modifiable… et un certains nombre de clients s’en foutent)
Le 01/03/2021 à 08h58
Pour donner quelques exemples, dans mon équipe on a 2 sujets de cybersécu avec des équipementiers automobiles, on a eu une thèse avec un équipementier avionique pour la détection d’intrusion, et encore une thèse sur l’IOT avec une PME.
A côté on a des thèses sur projet européen sur la détection d’intrusion a partir d’architectures hardware et une autre dans le même style sur les attaque de clusters avec un certain fournisseur d’énergie…
Et c’est sans compter les projets faits a l’IRT qui associe chercheurs et ingénieurs de l’industrie qui sont alloués en temps-partiel sur l’IRT sur divers problématiques.
C’est un sujet pationnant qui mobilise énormément d’acteurs ! L’industrie prend petit a petit conscience de l’importance de la cybersecurité, qui a trop longtemps été considérée comme un surcoût dispensable…. (Et dans l’IOT j’en parle même pas… Vous devriez avoir peur ! 😁)
Petite note au passage :
Je suis surpris de l’angle de présentation du monsieur, qui semble très très accès sur la sécurité des réseaux Internet, alors que la décennie écoulée a principalement dévoilé de nouvelles problématiques et surtout une surcomplexitée due à l’ouverture des systèmes, avec le fameux mot “connecté” : voiture connectée, maison connectée, objets connectées etc…
Et dans un tel monde ouvert, la métaphore de la forteresse n’as plus vraiment de sens.. on est plutôt sur de la cité de Carcassonne en portes-ouvertes..!
Le 01/03/2021 à 13h49
Et à côté t’as le RDP qui refuse que t’installe Keepass pour la gestion de MDP, et qui stocke les MDP d’intégration dans un .doc dans une base de gestion documentaire qui date des années 90
Le 01/03/2021 à 17h18
Ouahh la chance, une base de gestion documentaire, j’en rêve…
Le 02/03/2021 à 10h56
Le 02/03/2021 à 12h26
C’est pas une blague, la gestion documentaire chez nous c’est des dossiers réseau partagés…
Le 02/03/2021 à 16h00
Nous c’est hybrid, Cloud (2FA obligatoire, pas de SMS, mais une app) et dossiers partagés en SMB, super pratique via un tunnel d’ailleurs…
Pour le smots de passe, tout dépend de la pratique de chacun, nous c’est Keepass, d’autres c’est du txt, du docs ou encore le readme.md d’un dépôt…
Le 02/03/2021 à 15h06
Encore l’interface chaise-clavier. Le plus sûr est de ne pas avoir les données ! Comme ça personne ne les prendra !
Le 03/03/2021 à 12h16
C’est une référence à Terry Pratchett (Le régiment monstrueux) ?
Le 03/03/2021 à 15h36
et peut être la découverte de platune, un jour qui sait…