Analyse

Au FIC, la cybersécurité passe à l'offensive

Le 5 février 2019 par Quentin Ruhard

La onzième édition du FIC, forum international de la cybersécurité, s’est tenue à Lille les 22 et 23 janvier dernier. Security and Privacy by design était le thème de ce rendez-vous phare des métiers de la cybersécurité.

La thématique de la protection des données by design fait directement référence à l’article 25 du RGPD, qui oblige les acteurs à intégrer dès l’origine de tout projet de traitement de données personnelles, le respect de celles-ci. Il s’agit à la fois de minimiser les données recueillies, de protéger au maximum la vie privée et de sécuriser le traitement de ces données avec un maximum de transparence.

Ce principe préventif est complété par celui du privacy by default (protection des données par défaut) qui impose des exigences similaires durant le traitement des données, par exemple, le droit d’accès et de rectification de ses données pour la personne physique concernée.

Parallèlement, de nombreux autres thèmes ont été abordés durant le forum, comme la sécurisation du cyberespace ou les risques liés aux objets connectés. Mais l’autre sujet phare concernait les cyberattaques et la cyberguerre, en particulier les stratégies que la France peut mettre en place pour se protéger. Le sujet a été abordé sans détour, à commencer par la Ministre des Armées Florence Parly. Dorénavant, la France revendique l’utilisation de l’arme cyber au même titre que les armes conventionnelles, avec l’élaboration d’une doctrine offensive, intégrée par la DGA (Direction générale de l’armement) et le COMCYBER (commandement cyber). Comme l’arme de dissuasion nucléaire, l’armement cyber doit permettre de maintenir l’autonomie stratégique de la France face au reste du monde.

Néanmoins, cette prise de conscience n’occulte pas la menace grandissante des cyberattaques. Toujours plus nombreuses, toujours plus sophistiquées, elles constituent un défi majeur dans l’élaboration de la doctrine de défense française contemporaine. Guillaume Poupard, le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a fait part de son pessimisme concernant la difficulté à déterminer l’origine des attaques.

Concernant les TPE/PME et les ETI, si l’enjeu cyber commence à être intégré dans la culture du risque, avec une sensibilisation des salariés, les mesures adoptées ne sont souvent pas à la hauteur. En effet, les failles de sécurité chez les sous-traitants sont souvent des portes d’entrée vers des entreprise stratégiques. Pour y remédier, l’ANSSI délivre ses recommandations de bonne pratique et d’hygiène informatique, et de nouvelles initiatives comme le site cybermalveillance.gouv.fr voient le jour pour prévenir efficacement les risques numériques.

Au niveau global, deux aspects ont également été débattus. D’une part la hausse des contenus à caractère terroriste, avec l’évocation de la proposition de Règlement européen de septembre 2018 relatif à la « prévention de la diffusion de contenus à caractère terroriste en ligne », qui envisage des sanctions financières pour les plateformes en cas de non-respect d’injonction de suppression de ces contenus. D’autre part, Jean-Noël de Galzain, Président d’Hexatrust (principal partenaire de l’événement), a plaidé pour une souveraineté et une indépendance européenne d’internet. En effet, si beaucoup envisagent un avenir dual d’internet, l’un américain et l’autre chinois, M. de Galzain propose une autre voie, qui respecterait les données des utilisateurs, « un troisième continent numérique européen de confiance ».

Plus généralement, des fic talks, ateliers et masterclass ont été mis en place afin de répondre à des interrogations plus spécifiques pour les entreprises. La montée en puissance du cloud, l’intelligence artificielle, la sécurité des systèmes de paiement, le darkweb... Autant de thèmes abordés afin d’éclairer les acteurs économiques sur les nouveaux enjeux de sécurité. Des simulations live de cyberattaques étaient même organisées pour découvrir comment se défendre efficacement.

En constante augmentation au fil des éditions successives du forum, les exposants (350) et les participants (plus de 10 000), ont également eu droit au décernement de labels de sécurité : la labellisation SecNumCloud, synonyme d’excellence de sécurité, a été attribuée à la société Oodrive, et le label France Cybersecurity a également été décerné à plusieurs entreprises, tout comme les qualifications de prestataires de services de détection d’intrusion (PDIS).

A noter la présence d’un stand « Yes we hack », avec démonstrations de bug bounty : des hackers tentent de trouver des failles dans les systèmes de sécurité utilisés afin de les améliorer constamment. Cette méthode est d’ailleurs désormais utilisée par les ministères dans des programmes de bug bounty (moyennant rémunération).

Comme mentionné dans ses objectifs, le FIC a permis aux partenaires de rencontrer les influenceurs et acteurs du marché, identifier les thématiques clés, échanger avec les autorités et régulateurs, mais aussi développer leur réseau et dynamiser le recrutement dans le domaine cyber.

Ainsi, si l’édition 2018 a mis en lumière les défis de l’hyperconnexion et de la résilience, celle de 2019 va plus loin. Elle assume pleinement le volet offensif de la cybersécurité avec une stratégie nationale. Une maîtrise certaine des enjeux et une réflexion plus mature se dégage des thèmes évoqués. La menace cyber est désormais prise en compte sous tous ses aspects, et surtout, de manière préventive et non plus seulement curative.