Getty Images/iStockphoto
Les sociétés mondiales, au premier rang desquelles la société européenne, auront-elles les moyens de faire face à des perturbations numériques majeures au regard de la numérisation profonde du quotidien et de l’humain lui-même, et comment? Eléments de réponse.
« Citius, Altius, Fortius ». Si elle n’était pas la devise olympique, elle pourrait à elle seule résumer le phénomène de l’hyperconnexion. Toujours plus de terminaux, partout et dans tout, plus performants, plus intelligents et donc plus interconnectés. Internet is everything. Et cette tendance ne devrait pas s’inverser dans les années à venir, puisque l’on nous prédit 50 milliards d’objets connectés en 2020. L’Internet des objets conquerra ainsi l’ensemble des domaines d’activité et innervera le quotidien.
Au-delà de la dimension hardware, ce sont les réseaux qui évoluent pour offrir toujours plus de performance et de rapidité. Alors même que la France peine à étendre le réseau 4G et dégringole dans le classement par pays des débits Internet fixe et mobile en ne prévoyant de réseau à très haut débit qu’en 2022, le déploiement de la 5G devrait arriver rapidement aux quatre coins de la planète. Si le petit Etat de San Marino a été le premier à dégainer, les USA et la Corée du Sud tablent fermement sur 2020-2022. En Europe, ce sont les pays nordiques qui mènent la course en tête, à l’image de l’Estonie qui a testé très tôt la 5G. Au-delà du podium, l’enjeu est surtout celui de la compétitivité et des perspectives économiques. La 5G est le sésame pour développer l’imagerie 3D, les capacités d’interconnexion, et donc de gestion du big data, ou encore le développement de l’IA. Autant de perspectives pour le Cloud computing, l’essor des Smart cities, la mobilité intelligente, qui permettront de mieux consommer et rationnaliser les ressources.
L’environnement numérique – qualifié à souhait « d’intelligent » – souffre cependant d’un décalage. A l’image de la météo qui distingue température réelle et ressentie, son niveau de sécurité réel ne correspond pas au niveau ressenti. Et plus l’environnement est dit « intelligent », plus il suscite la confiance, parfois aveugle, des utilisateurs, aggravant ainsi ce décalage. Comment admettre, en effet, que des systèmes et des objets de plus en plus intelligents ne soient pas capables de « se » protéger, de « nous » protéger? Aussi illogique, voire choquant, que cela puisse paraître, c’est pourtant le cas… Les menaces poursuivent inexorablement leur progression, tandis que la surface d’exposition augmente de façon exponentielle. La cybercriminalité possède un rapport risque/gain particulièrement attractif et est devenue un business à part entière. Elle se professionnalise, organise ses propres recrutements et transferts de compétences, offre des solutions multiples, monte des offres sur-étagère, même pour cybercriminels débutants, développe ses outils collaboratifs et structure son propre marché. En témoignent par exemple Mirai le botnet qui a touché les systèmes de vidéo surveillance, ou plus récemment les ramsomwares Not Petya et Wannacry. Il y a d’ailleurs peu de chances pour que 2018 échappe à ces attaques de masse.
Récemment des vulnérabilités sur les composants eux-mêmes ont été révélées, comme Spectre et Meltdown qui touchent les processeurs de millions d’ordinateurs et smartphones. On parle de processeurs et d’entreprises pourtant bien au fait des problèmes de cybersécurité. Que dire, donc, des objets communicants qui pullulent sans avoir eu de cycle de développement sécurisé et dont le maintien en conditions de sécurité n’est même pas prévu? Certes, cela ne porte pas à conséquence lorsqu’il s’agit d’objets non critiques. Mais les objets connectés sont de moins en moins des gadgets. Il sont déjà dans quelques domaines des outils de travail et seront demain – en meute – de véritables bras armés pilotant infrastructures et réseaux essentiels à la Nation, usines, villes, maisons avec le déploiement de la domotique. Allant de la tablette tactile des infirmières pour la distribution des médicaments, du robot de microchirurgie connecté, aux compteurs, détecteurs et autres sondes interconnectés aux SCADA de transport, de gestion des déchets, d’énergie ou encore de gestion de l’eau, leur rôle devient essentiel et les impacts pourront ressembler à la « liquidation totale », chère au filme Die Hard 4, pour les fans. Non seulement les vulnérabilités augmentent de façon exponentielle et dynamique avec le nombre de terminaux dans le monde, mais il est impossible aujourd’hui pour les administrateurs de ces réseaux de suivre le flot ininterrompu des correctifs à déployer.
Mises bout-à-bout, les menaces, les vulnérabilités, l’augmentation de cette surface d’attaque dont les maillons sont interdépendants, n’ont qu’une conséquence: l’explosion du risque, et de sa viralité, plus ou moins immédiate une fois le fait générateur enclenché. On le comprend bien: la cybersécurité sera alors systémique, ou ne sera pas. De la même façon que l’Internet est partout, la cybersécurité doit elle aussi être transverse. Elle doit avant tout et résolument s’inscrire dans une approche pilotée par le risque, que ce soit à l’échelle de la société, des entreprises ou des Etats. Ce n’est d’ailleurs pas un hasard si les Etats déploient les uns après les autres leurs stratégies de cyberdéfense, document publié en 2016 en France et qui sera mis à jour prochainement. Côté société, c’est aujourd’hui vers les jeunes que l’effort doit porter en termes de sensibilisation pour constituer un terreau de générations futures éduquées à cet enjeu, a fortiori pour des enfants n’ayant jamais connu l’avant-smartphone. C’est aussi en réglementant que la France – mais au-delà l’Europe – ont non seulement paré au plus urgent en élevant le niveau de sécurité des opérateurs d’infrastructures vitales (OIV) et services d’Etat, mais aussi réaffirmé de façon forte le droit des individus à disposer de leurs propres données.
Prendre conscience de cet environnement, et évoluer en synergie avec lui, c’est aussi le travail des entreprises qui doivent agir tant sur les individus, les processus, que sur les technologies. La cybersécurité doit être déclinée sur la base d’une stratégie, pour simplement être cohérente. Toute technologie doit trouver sa place dans une logique de transformation où l’informatique de gestion, l’information opérationnelle et industrielle suivent une voie commune. Elle doit embarquer les métiers, les dirigeants, les juristes, les RH, le marketing, dans un projet commun.
Ce n’est pas quand tout va bien que les résultats de cette approche structurante se feront ressentir, mais bien en temps de crise et d’attaque. Une cybersécurité ouverte, maîtrisée et en phase avec son environnement n’en sera alors que plus raisonnée et résiliente.
À voir également sur Le HuffPost:
Auteur :
Aller à la source