NOUVELLES
14/10/2018 08:39 EDT | Actualisé 14/10/2018 08:42 EDT

Cyberespace: les entreprises dénoncent l'irresponsabilité des États

Les attaque de WannaCry et NotPetya doivent servir de prise de conscience, selon plusieurs experts.

Thomas M. Scheer / EyeEm via Getty Images

Les États doivent mettre de l'ordre dans le cyberespace et cesser de le considérer comme un terrain d'affrontement, faute de quoi les dégâts collatéraux vont se multiplier pour les entreprises et les populations, avertissent les spécialistes en cybersécurité.

Aux Assises de la sécurité et des systèmes d'information cette semaine à Monaco, il n'était pas très difficile de trouver des experts prêts à dégainer sur les jeux dangereux auxquels se livrent les États dans le cyberespace.

Après la course aux armements nucléaires du XXe siècle, "la prochaine course aux armements est numérique, et nous n'en sommes qu'au tout début", a ainsi lancé Mikko Hypponen, le directeur technique de la société de cybersécurité finlandaise F Secure, sur la grande scène des Assises.

À lire aussi sur le HuffPost Québec:

Pour beaucoup, les deux grandes attaques de 2017, WannaCry et NotPetya, doivent servir de prise de conscience.

Dans les deux cas, on retrouve du code originellement produit, puis volé, à la NSA, l'agence américaine de renseignement et d'action électronique, qui les avait développés pour produire des cyber-armes.

Dans les deux cas, deux États font figure de principal suspect, la Corée du Nord pour WannaCry, la Russie pour NotPetya.

NotPetya, qui visait les entreprises en Ukraine, s'est étendue et a touché des entreprises partout dans le monde, bloquant leurs systèmes informatiques et leurs outils de production.

L'attaque, dont la facture a été estimée à plusieurs milliards de dollars, est considérée comme l'incident informatique le plus coûteux de l'histoire, a rappelé Mikko Hypponen.

Entreprises et particuliers sont "des victimes collatérales" d'actions de guerre de certains États, dénonce Erwan Keraudy, le patron de la société CybelAngel, une sorte de plombier de l'internet qui aide les entreprises à détecter les fuites de fichiers dans leurs réseaux informatiques.

"Il va finir par y avoir des morts", de vrais morts et non des morts virtuels, avertit-il.

Convention de Genève

Même en Russie, soupçonnée d'être l'un des principaux acteurs de la cyber-guerre internationale, des entrepreneurs s'inquiètent.

Eugene Kaspersky, le fondateur de la société de cybersécurité éponyme, ne cesse d'appeler à la coopération internationale contre la cyberdélinquance, et dénonce la "balkanisation" de l'internet.

Cette semaine, l'entreprise russe Group IB a critiqué depuis Moscou le fait que les "acteurs menaçants soutenus par des États gagnent du terrain face aux cybercriminels" dont les motivations sont financières.

Pour le monde des entreprises, il devient donc urgent que les États viennent mettre un peu d'ordre dans le Far West du cyberespace, où voleurs, escrocs, et rançonneurs font déjà beaucoup de dégâts.

Il faut l'équivalent d'une convention de Genève pour les cyber-conflits, c'est une question clef pour les trois ou quatre prochaines années.David Grout, de la société de cybersécurité américaine FireEye

Il s'agit de définir des notions comme les règles d'engagement des cyberarmes, ou ce que peut être une réponse graduelle, explique-t-il.

"La problématique de la prolifération des cyber-armes c'est une problématique du même niveau que la prolifération des armes nucléaires et bactériologiques" qui sont "régulées" internationalement, estime Bernard Ourghanlian, le directeur technique et sécurité de Microsoft France.

Des grands groupes informatique américains comme IBM ou Microsoft plaident ainsi pour que les États, lorsqu'ils découvrent une faille, préviennent l'entreprise concernée, plutôt que de les utiliser comme ingrédients pour leurs cyber-armes.

Arnaud Delande, directeur technique chez IBM Security France, souhaite la création d'une OMS (Organisation mondiale de la santé) de l'informatique.

"Quand une pandémie est en cours à l'autre bout de la planète" les États échangent des informations sur "les causes, les conséquences, les façons de s'en prémunir".

"On doit faire la même chose" dans l'informatique, "mettre en place des règles de partage pour aider nos clients à répondre et à contenir les attaques", estime-t-il.

Négociations au point mort

Malheureusement, les négociations inter-étatiques pour mettre en place des normes internationales sont au point mort.

Après de bons résultats initiaux, le groupe d'experts travaillant au sein de l'ONU pour établir des normes internationales en cybersécurité ne progresse plus, faute de consensus, malgré les efforts de pays comme la France pour jouer les médiateurs.

Les discussions ont lieu dans le cadre de forums plus modestes.

À Paris par exemple, la réunion du forum mondial sur la gouvernance de l'internet sera l'occasion une fois de plus de tenter d'avancer sur le sujet.

Philippe Trouchaud, associé de PwC et spécialiste de cybersécurité, estime que les grands États finiront par prendre les moyens de civiliser un minimum l'internet.

"La Chine comme les États-Unis ne veulent surtout pas une escalade de la cyberguerre, parce que cela détruirait le commerce", qui s'appuie de plus en plus sur le numérique, estime-t-il.

"Même Donald Trump a des propos plutôt modérés sur le sujet", observe-t-il.