Des technologies à surveiller de près
Les menaces cyber n’ont jamais été aussi présentes et rien n’indique une diminution des attaques pour la décennie à venir. Romain Marcoux>, expert technique en cybersécurité et conseiller en gouvernance, le rappelle très simplement :
« Au niveau des entreprises, on est passé d’une attaque difficile par mois à une fois par semaine aujourd’hui. Demain, ce sera une fois par jour. Les structures ne peuvent pas se permettre de ne pas être préparées ».
La raison en est simple : nous savons pertinemment que c’est le renouvellement et le perfectionnement permanent des technologies qui permettent, en grande partie, aux cyberattaques de consolider leur force. Pour commencer à cerner les points de vigilance à prendre en compte à l’horizon 2033, il faut donc s’intéresser aux technologies qui se trouvent en plein déploiement de leur potentiel.
La biométrie : une protection supplémentaire
Les cyberattaques « basiques », misant sur un vol d’identifiant ou de mot de passe, restent extrêmement nombreuses à cette heure. Selon les données croisées de plusieurs agences en charge de la cybersurveillance (notamment l’ANSSI et Cybermalveillance.gouv.fr), le piratage de compte était la deuxième attaque la plus courante sur la période 2019-2022, juste derrière le hameçonnage. Mettre un coup d’arrêt à cette pratique qui table en grande partie sur une défaillance humaine est une priorité pour les 10 ans à venir.
Jusqu’à présent, la solution la plus efficace pour protéger ces informations personnelles était le chiffrement. Mais les dispositifs existants devraient bientôt être renforcés par un outil relativement récent : la biométrie. Nous l’utilisons déjà largement sur nos téléphones. Il s’agit de donne accès à un appareil après avoir validé l’identité de la personne à partir d’une ou plusieurs de ses caractéristiques physiques. Les solutions les plus courantes sont la lecture d’une empreinte digitale ou un scan de reconnaissance faciale.
Mais, pour assurer une protection suffisante sur les données les plus sensibles, la biométrie doit être combinée à d’autres solutions. Cette technologie n’est en effet par dépourvue de failles. Il suffit par exemple aux hackers des s’introduire dans une base de données pour récupérer des informations biométriques et obtenir les accès désirés. La mise au point de solutions plus complètes, basées sur la biométrie, est donc une des tâches à laquelle la cybersécurité doit s’atteler si elle veut rester efficace au cours des années à venir. L’avantage est que cette mise au point ne présente pas, a priori, de défis technologiques majeurs.
5G et Internet : toujours plus performant, toujours plus de risques
La mise à disposition récente de la 5G veut dire deux choses : une nouvelle fois, on assiste à une montée significative en débit. Cette nouvelle norme vient aussi répondre à de nouveaux usages d’Internet. Ce qu’il faut retenir, c’est que, dans toutes les sphères, aussi bien personnelles que professionnelles, ce sont :
- de plus en plus d’opérations qui sont réalisées dans le monde dématérialisé, et de plus en plus vite ;
- de plus en plus d’objets et dispositifs qui se trouvent reliés, d’une manière directe ou indirecte, aux chemins d’Internet et du cloud.
Les études font apparaître deux tendances :
- on estime que d’ici 2025, 75 milliards de nouveaux objets seront connectés à Internet à l’échelle mondiale – on en dénombre actuellement 244 millions, selon les données de l’Arcep et de l’Ademe ;
- la mise en place de « smart cities », faisant plein usage de l’Internet des Objets (IoT – Internet of Things), devrait aussi connaître un essor important.
Sans surprise, cette modernisation des réseaux va de pair avec une augmentation des risques cyber. La 5G et le développement de l’IoT signifie que, dans dix ans, les interconnexions et les surfaces d’attaques potentielles vont considérablement s’élargir et se multiplier. Parmi tous les systèmes mis en place, un certain nombre de réseaux présentera une vulnérabilité loin d’être négligeable. Une des grandes priorités de la décennie à venir est donc de renforcer considérablement les arsenaux de cybersécurité sur ces points précis. Cet effort est vital : fin 2021, le fondateur de Huawei, Ren Zhengfei, annonçait déjà que ses équipes R&D planchaient sur la 6G – avec, à la clé, des risques cyber toujours plus importants.
La Commission européenne semble déjà donné le la sur ces sujets : fin 2022, Bruxelles a présenté un projet de règlement pour imposer des normes en matière de cybersécurité sur tous les produits intégrant une composante numérique, avec possibilité de sanctions.
La grande équation de l’Intelligence Artificielle
En matière de cybersécurité, l’IA représente tout autant un risque qu’une aubaine. Elle profite tout autant aux hackers qu’aux structures cherchant à se protéger. Elle va être un facteur déterminant pour la décennie à venir et mérite à ce titre d’être passée à la loupe.
Quelle place pour l’Intelligence Artificielle dans la cybersécurité de demain ?
À l’heure où toutes les attentions se portent sur ChatGPT, il est difficile de faire l’impasse sur le point de rencontre entre questions cyber et Intelligence Artificielle. Celle-ci a d’ores et déjà une importance non négligeable dans les processus de défense. Mais quelle sera sa place demain ? L’IA est-elle destinée à prendre le pas sur l’expertise humaine et le travail des spécialistes cyber ?
L’IA, une arme à part entière pour les hackers
La question de la place de l’IA dans les logiques cyber se pose des deux côtés : celui des cibles et celui des attaquants. Renaud Kamer, spécialiste en stratégie cyber pour un courtier de crypto-monnaie, a un avis bien tranché sur la question : « Ce n’est pas une nouveauté et c’est sans appel : les cybercriminels ont beaucoup à gagner avec l’Intelligence Artificielle, et plus ils pourront en faire usage, plus ils le feront. L’IA a plusieurs avantages pour eux : elle permet de penser des attaques nouvelles, plus sophistiquées, et surtout, elle permet d’intensifier et d’automatiser en partie les vagues d’attaque. L’équation est très simple à comprendre : une Intelligence Artificielle qui se perfectionne, c’est une cybercriminalité qui gagne en pouvoir. À nous, les cibles potentielles, de ne pas rester sur le banc de touche et de s’approprier au mieux le champ des possibles ouvert par l’IA ».
La grande difficulté ? Elle réside dans un déséquilibre. « Les cyberattaquants tirent la première balle, en un sens. Ils sont libres d’inventer et d’aller dans la direction qu’ils veulent en exploitant les possibilités offerts par l’IA, sans contraintes. Nous, en face, nous ne pouvons pas nous contenter de simplement surfer sur l’IA et de profiter de son potentiel d’innovation : nous devons canaliser sa force de frappe pour répondre à des attaques précises… que nous ne connaissons pas au préalable ! Voilà pourquoi l’IA est, en un sens, plus une faiblesse qu’une force quand on se trouve du ‘bon côté’ – celui de la cyberdéfense ».
Dans un rapport publié en 2020 par Trend Micro, référence en matière de sécurité cloud, il apparaissait déjà que, pour un spécialiste de la sécurité cyber en entreprise sur 5, l’IA était destinée à devenir incontournable chez tous les cyberattaquants dès 2025…
L’IA, la cyberdéfense de l’avenir ?
Tout comme on évoque l’automatisation croissante des cyberattaques grâce à l’IA, l’automatisation du travail de cyberdéfense revient régulièrement dans les débats. Certains spécialistes estiment que, d’ici une dizaine d’années, les technologies de l’information permettront d’automatiser la majeure partie des tâches de cybersécurité. C’est le machine learning qui est au centre des prévisions positives : les outils de cybersécurité vont, dans les dix ans à venir, apprendre de plus à plus facilement à gérer de plus en plus de menaces cyber. Dans l’étude Trend Micro publiée en 2020, 41 % des chefs de départements informatiques défendaient déjà cette idée.
Dès lors, deux trajectoires semblent se dessiner pour les structures soucieuses de maintenir une cyberdéfense opérationnelle : miser toutes leurs forces sur le développement et l’intégration de l’IA dans leurs schémas ; ou donner une nouvelle dimension à la formation des experts cyber pour les maintenir à niveau face à des attaques basées sur l’IA, et donc réinventer leur rôle. Renaud Kamer repousse les scénarios caricaturaux et juge, pour sa part, qu’une sorte d’équilibre devrait se mettre en place : « L’Intelligence Artificielle constitue déjà un atout précieux dans les logiques de cyberdéfense. À cette heure, ont peut dire qu’elle joue un rôle d’appui.
Elle est un atout considérable pour être réactif face aux attaques, mais les talents humains restent une base qu’il ne faudrait pas minimiser. Pour les dix ans à venir, on peut sans effort prédire que l’Intelligence Artificielle aura un rôle plus important dans nos systèmes de cyberdéfense, peut-être même prépondérant. Mais il est difficile d’imaginer que les équipes humaines seront balayées. Même en cas d’hyper-efficacité de l’IA, avoir des équipes en renfort serait une sécurité supplémentaire que les dirigeants d’entreprises ne négligeraient pas. La cyberdéfense va continuer à évoluer selon la ligne que nous connaissons : toujours plus d’innovation et d’efficacité technologique. Mais la grande révolution, ce n’est pas pour demain – pas pour 2033, en tous les cas ! ». Pour cet expert, qui a également exercé comme conseiller indépendant auprès du secteur bancaire et de ministères, il y a également fort à parier que de nouveaux rôles et métiers cyber seront créées, « en imbrication avec des outils IA qui ont évolué – c’est la logique complémentaire qui va continuer à jouer à plein ».
Ces interrogations ont l’avantage de mettre un grand coup de projecteur sur une question essentielle, mais pourtant occultée à bien à des égards : celle de l’intérêt pour les métiers de la cybersécurité. Ce n’est pas tant l’intérêt des nouveaux talents pour ces métiers qui est en jeu que l’importance que les entreprises elles-mêmes leur donnent.
Mieux intégrer les métiers cyber : réagir aujourd’hui pour tenir bon demain
Si l’on suit les approches les moins optimistes, la montée en puissance de l’Intelligence Artificielle pourrait compliquer encore un peu plus l’équation du recrutement dans les filières cyber, en décourageant les vocations. Mais la vérité est que la question de l’attractivité de ces métiers se posait bien avant le grand emballement sur la question de l’IA. Dans tous les cas de figure, recruter plus et recruter mieux sera sans aucun doute l’un des défis majeurs – sinon le premier – pour garantir que la cyberdéfense ne sera pas hors jeu en 2033.
Consolider la formation sur les problématiques cyber
« Sur les dix ans à venir, notre mission est de réussir à combler le manque de professionnels en cybersécurité qui existe à ce jour en France », explique Laurent Moulin, expert en cybersécurité chez Spartan Conseil. « On estime qu’il manquait quelque 15 000 experts cyber, en 2022, pour prétendre à un niveau de cyberdéfense raisonnable. » En 2023, les besoins sont encore plus importants. L’ouverture de nouvelles écoles et de nouvelles spécialisations en cybersécurité, au sein des universités, permet tout juste de maintenir l’équation des besoins et des risques à un point d’équilibre. Les entreprises elles-mêmes fournissent un effort plus marqué pour former leur personnel au sens large. « Il faudra intensifier cet exercice de formation, au sens le plus large possible, pour tenir bon à l’horizon 2023. Le système scolaire doit éveiller encore davantage à ces problématiques. Cela doit prendre les formes les plus variées et cibler des non-spécialistes de la question cyber. Intervenir, par exemple, dans une école d’ingénieur auprès d’étudiants qui font de l’IoT : c’est une démarche qui fait sens, car les objets connectés seront une des premières portes d’entrée demain, pour les cyberattaquants ».
Corriger l’écueil du bouclier cyber
Au-delà du cursus scolaire qui forme les experts de demain, les entreprises ne devront pas oublier de continuer à sensibiliser leurs équipes – techniciens et employés détachés des questions techniques confondus. Laurent Moulin rappelle qu’en 2023, « une entreprise doit investir 500 à 1000 euros par personne pour former correctement aux enjeux cyber. C’est un effort que peuvent fournir les grands groupes. Mais les entreprises de moins de 50 salariés sont, pour la très grande majorité, hors jeu. Même lorsqu’elles travaillent dans le domaine de l’informatique, ces petites et moyennes entreprises ne vont pas faire les investissements nécessaires, pour diverses mauvaises raisons. Cet état de fait doit être corrigé, et ce bien sous les plus brefs délais. Le tir doit être corrigé dès 2023 pour atteindre 2033 dans des conditions de préparation acceptables. »
L’État français a d’ores et déjà tenté de rectifier le tir en mettant en place un bouclier cyber : ce sont 30 millions d’euros qui sont destinés à aider les entreprises en manque de moyens à se protéger et à sensibiliser leurs collaborateurs aux enjeux cyber. Mais, jusqu’ici, cette démarche montre plutôt des effets pervers : « De nombreuses entreprises se contentent de faire appel à un prestataire externe qui fournit un audit et des mesures de protection de base, sans assurer le volet de la formation. L’effet est une déresponsabilisation des structures : elles pensent être protégées pour le long terme. Elles oublient deux choses essentielles. Les bases techniques évoluent très rapidement : un système de défense opérationnel aujourd’hui ne le sera plus demain, et encore moins dans dix ans. Par ailleurs, on ne le répétera jamais assez : la faille numéro un en matière de cybersécurité, ce sont les personnes.
Le premier enjeu de sécurité se joue sur le plan de l’humain. La réticence de certains entreprises à former tout leur personnel peut être compréhensible : amener un chef de projet généraliste, les équipes de secrétariat ou les équipes comptables à se pencher sur ces questions peut sembler difficile, car le sujet ne les intéresse pas directement et ne correspond pas à une montée en compétence pour eux. Mais il faut dépasser ce frein psychologique : c’est certainement l’un des plus grands défis à relever d’ici 2023 »
Sans cela, c’est à une sorte de sélection naturelle que l’on devrait assister : seuls les grandes structures ayant joué le jeu de la sensibilisation seront en mesure de résister aux attaques de plus en plus puissantes. Le tissu des entreprises s’en trouverait considérablement abîmé.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
Selon la définition retenue par le Parlement européen, l’Intelligence Artificielle désigne tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ».
On fait la distinction entre trois formes d’IA : l’Intelligence Artificielle étroite (ANI), l’Intelligence Artificielle générale (AGI) et la superintelligence artificielle (ASI). L’ANI englobe les usages simples ou à faible complexité technique, comme la reconnaissance vocale ou les voitures sans conducteur. L’AGI – qu’on présente aussi comme l’« IA forte » – fait référence à tous les systèmes informatiques capables d’effectuer ou d’apprendre à peu près n’importe quelle tâche cognitive propre aux humains ou à d’autres animaux. Enfin, la superintelligence artificielle est une projection hypothétique, qui envisage des cas de machines qui posséderaient des capacités de loin supérieures à celles des humains les plus intelligents et les plus doués.
ChatGPT est un programme informatique développé par OpenAI, accessible via une API. L’outil est capable de comprendre et répondre à une large gamme questions techniques et générales en utilisant le langage naturel. De la production de code informatique à la tenue d’une conversation plausible, en passant par la rédaction de documents respectant les bases élémentaires de la correction grammaticale et orthographique, ChatGPT est en mesure de réaliser un nombre très varié de tâches. Compte tenu de sa pertinence sur des opérations techniques d’une complexité déjà avancée, quelques mois seulement après son lancement, et compte tenu des perfectionnements très rapides de l’IA, le programme pourrait devenir un point central de l’activité cyber.
En 2020, les pertes financières liées aux cyberattaques ont franchi le seuil de 1000 milliards de dollars, à l’échelle mondiale. Cela représente plus de 1 % du PIB mondial à la même date. En comparaison à l’année 2018, ce coût a doublé.
Le lab
Analyses et démocratisation de la cybersécurité
Le Lab est un espace contributif sur la cybersécurité où Guardia invite des professionnels et des experts du secteur à partager leurs travaux de recherche.
Qui sont les femmes et les hommes qui feront la... Voir la suite
Qui sont les femmes et les hommes qui feront la... Voir la suite
Qui sont les femmes et les hommes qui feront la... Voir la suite