Si les cyberattaques se concentrent principalement sur le porte-monnaie des entreprises, elles pourraient être beaucoup plus dangereuses à l’heure, par exemple, de la voiture connectée et autonome. Une menace à prendre en compte aujourd’hui, explique Guy-Philippe Goldstein. (Photo: Maison Moderne)

Si les cyberattaques se concentrent principalement sur le porte-monnaie des entreprises, elles pourraient être beaucoup plus dangereuses à l’heure, par exemple, de la voiture connectée et autonome. Une menace à prendre en compte aujourd’hui, explique Guy-Philippe Goldstein. (Photo: Maison Moderne)

Enseignant à l’École de guerre économique de Paris, conseiller de PwC et d’Expon Capital pour la cybersécurité et auteur de romans de science-fiction, Guy-Philippe Goldstein alerte sur la nature des cyberattaques qui va changer avec les robots et les objets connectés comme les voitures.

La cybersécurité intéresse-t-elle? Au #GEN2021 à Metz, l’enseignant à l’École de guerre économique de Paris, conseiller de PwC et d’Expon Capital, Guy-Philippe Goldstein, a fait salle comble. Et s’il n’y avait pas eu l’agenda à la minute de l’événement, la conversation aurait pu se poursuivre un moment. Celui dont le roman de science-fiction «Babel Minute Zéro» a convaincu l’ex-Premier ministre israélien Benyamin Netanyahou qu’Israël devait mettre le paquet pour compter parmi le top 5 des grandes nations de la cybersécurité, est intarissable sur le sujet. Entretien quelques heures avant son intervention publique.

2020 a été une calamité en termes de cybersécurité. Avec deux grands axes, beaucoup de gros leaks de gros fournisseurs de services numériques et de grandes attaques de toutes sortes d’infrastructures. C’est une calamité ou une bénédiction, dans le sens où cela accélère la prise de conscience de ces enjeux?

Guy-Philippe Goldstein. – «Je ne peux pas répondre. On ne connaît pas encore l’étendue des dommages en termes d’espionnage. Solarwinds est une atteinte gigantesque réalisée par les hackers russes. L’attaque de Microsoft Exchange Server est très importante. Mais quel est leur impact sur la société? En fait, vous posez la question du ‘minimum viable choc’.

Dans toutes les questions de sécurité, on commence à mettre le paquet quand on prend conscience parce qu’il y a eu un petit choc. Dans un monde idéal, on a le petit choc, il est assez petit pour qu’on prenne toutes les mesures nécessaires pour éviter le très gros choc. Quand ça marche bien! Ou alors on est dans des environnements qui font peur naturellement. Il suffit qu’il y ait un petit choc, parfois un petit choc grave, pour que toute une industrie se mette au garde-à-vous.

L’exemple, c’est le secteur aérien. On a des morts. De temps en temps, un avion tombe. À l’échelle du Covid et de ses 15 à 20 millions de morts, ça reste assez peu même si c’est grave. Mais à chaque fois que ça se passe dans les airs et que c’est très médiatisé, on en parle beaucoup et ça force l’industrie à mettre le paquet sur la sécurité. Aujourd’hui, c’est l’une des industries les plus sûres au monde. Si on se met en ordre de marche maintenant dans la cybersécurité, on évitera les chocs beaucoup plus graves qui vont venir dans la deuxième moitié de l’année et qui seront liés à la robotisation de notre environnement. 

Expliquez-moi.

«Ce n’est pas seulement de la perte d’argent, une fuite de données ou une désanonymisation de personnes avec des risques financiers. C’est la perte de vies humaines. Quand tout d’un coup vous allez avoir des voitures autonomes qui, au lieu de tourner à droite, vont tourner à gauche et que ça fera des morts, il pourra y avoir un choc qui, distribué sur des milliers de voitures, pourrait être terrifiant et avoir un impact psychologique, ce qui fera qu’on n’utilisera plus la voiture autonome.

On est face à une évolution qui est potentiellement dramatique. Si on s’y est préparé avant, ça n’arrivera pas. Ou peut-être que par rapport au choc plus grave, ça n’aura pas la même ampleur. Aujourd’hui, il n’y a pas eu de mort d’hommes. Et ça arrive alors qu’on n’est pas encore vraiment en guerre avec certains de nos adversaires potentiels. C’est une alerte qui fait très mal. Peut-être qu’elle aura des ramifications dans le temps, notamment en termes de renseignement, mais il n’y a pas eu de mort d’hommes. Et un potentiel conflit plus dur entre la Chine et les États-Unis ne sera pas une surprise.

En termes de communication, il vaut mieux prendre les devants avant que ça se sache parce qu’un journaliste malin aura vu sur le dark web des données de X. Et là, ça pourrait faire encore plus mal.

Guy-Philippe Goldsteinenseignant à l’École de guerre économique

On s’aperçoit globalement que les entreprises sont assez mal préparées, qu’elles n’ont pas spécialement envie d’y consacrer des moyens financiers ou même humains, elles ne les rattachent pas au comité directeur, les hommes politiques n’y comprennent pas toujours grand-chose et ne deviennent pas promoteurs de politiques ou de solutions et le citoyen est en grande partie largué…

«Prenons les problèmes les uns après les autres. Au niveau des entreprises, il faut comprendre et évaluer le risque sur l’impact business de la boîte et l’impact sur la valeur de l’entreprise. 

Comment on fait ça? Est-ce qu’il existe des outils standardisés? Parce que chaque pays bricole des outils d’audit de cybersécurité dans son coin, ça n’a pas beaucoup de sens…

«Si, ça existe. Et ils peuvent être rattachés au board et au responsable de la sécurité des systèmes d’information, même permettre la communication avec les autres services de l’entreprise. J’en ai deux en tête, Egerie et Citalid, des exemples d’outils qui permettent de mieux évaluer la menace, l’impact économique direct et donc les investissements nécessaires. Il faut lire les études qui sortent. Comme celle que j’ai faite pour le courtier en assurance Bessé ou pour PwC.

Elles montrent que, sur un premier panel d’entreprises, lorsqu’il y a un choc cyber-public, le risque de recours à une procédure collective augmente en moyenne de 50%. Ça a un impact de 5 à 10-15% de la valeur d’entreprise.  Dans celle de PwC, on a pris un panel de 130 entreprises sur les dix dernières années. On a regardé les cours de bourse avant-après, mais surtout en les comparant avec ceux des entreprises du même secteur industriel, pour comparer ce qui est comparable.

Dans 58% des cas, au bout de 40 à 50 semaines, on constate un décrochage du cours de bourse par rapport au secteur de référence d’environ 22% de la valeur d’entreprise. Un petit groupe, 10%, qui sont résilients. Pendant les cinq à dix premières, elles prennent le bouillon comme les autres, mais vont être capables de rebondir. Ça veut dire qu’il y a une part conséquente de la valeur de l’entreprise qui est à risque, en cas d’incidents majeurs qui sont rendus publics. Ça arrive de plus en plus.

Est-ce qu’une société a intérêt à le rendre public? Et quand?

«En termes de communication, il vaut mieux prendre les devants avant que ça se sache parce qu’un journaliste malin aura vu sur le dark web des données de X. Et là, ça pourrait faire encore plus mal. Le bon exemple, c’est l’américain Home Depot, en 2014. On informe les actionnaires, les clients, on met en place un call center, on est clair sur ce qui s’est passé. On communique en interne parce que ces choses-là se sentent et se savent rapidement, dans une société très transparente.

Le mauvais exemple, c’est Equifax. Ils savaient que quelque chose de grave s’était passé. Ils ont gardé l’information pendant plusieurs semaines. Quand ils l’ont sortie, en septembre 2017, on a fini par comprendre. Ce qui est en jeu au-delà des coûts directs, c’est la confiance et la réputation. Et ça se voit dans le cours de bourse. Il y a une dégradation de la relation commerciale.

Un «white net» en développement pour favoriser les coopérations

Et pour les politiques?

«S’ils ne font pas leur job, il faut les changer. Mais est-ce que le grand public a conscience de l’impact des cyberattaques? S’il n’a pas conscience des enjeux, il ne fera pas pression. Les pays qui ont vraiment réussi sur cet enjeu, ils n’ont pas réussi en raison de la pression du grand public, mais parce que leurs hommes politiques ont senti qu’il y a avait un coup à jouer. Ils étaient un peu visionnaires. Il faut des leaders visionnaires sinon rien ne va se passer. 

Ce [mercredi] matin au salon sur la cybersécurité de Lille, la ministre française des Armées, Florence Parly, annonçait le recrutement de 800 cybercombattants de plus pour atteindre le nombre de 5.000 en 2025.

«C’est très bien qu’on augmente les effectifs pour les monter à ce niveau-là. Mais si on met un petit point de comparaison: l’unité 8.200, essentiellement offensive, en Israël, était déjà à 5.000 personnes au milieu des années 2010, et il faudrait y ajouter les capacités défensives dans d’autres unités. Est-on à niveau en France? Il y a des gens de talent, en France, c’est indéniable. Mais après, on accepte de sous-traiter à ou d’être sous l’ombrelle de. Un rapport de l’Institut Montaigne sur l’évolution de la menace reconnaissait sur la partie cyber que 80% des logiciels de cybersécurité en France étaient d’origine américano-israélienne. On est dans un enjeu de cybersécurité où le champ de bataille n’est plus une grande plaine où vont s’affronter des tanks ou une surface maritime où vont s’affronter des frégates et des porte-avions. Le champ de bataille, c’est l’entreprise.

Pour vous, la cyberguerre dont on parle de plus en plus, c’est l’entreprise? Plus encore que des institutions d’État ou stratégiques?

«Bien sûr. Quand vous parlez d’une infrastructure critique, vous parlez de quoi? D’une entreprise qui produit l’électricité, qui distribue l’eau, qui produit des services de télécommunication, etc. Le cyber s’attaque directement là où se crée la valeur, dans les organisations humaines.

La cyberguerre ne cherche pas d’hégémonie territoriale ou économique?

«Son but, c’est de faire mal! Il y a 1.001 façons d’agir. Une façon simple est de vous dire: l’exemple de Colonial Pipeline montre que ce n’est pas de la science-fiction, qu’il n’y a plus d’énergie. L’énergie, quand on parle des questions stratégiques, est toujours le point de départ.

On évoque toujours les mêmes grandes puissances à la baguette de ces attaques d’envergure, les Russes, les Chinois, parfois les Iraniens. Est-ce qu’on peut imaginer des réponses communes, au niveau supranational?

«L’élément de coopération doit exister à tous les niveaux. À celui de l’entreprise avec son écosystème, entre les États amis et entre États entreprises. Moi, à côté du dark net, je parle d’un «white net», qui est cet espace de coopération, avec les pays Five Eyes et des États très proches, comme Israël ou la France. À Tel-Aviv, cet été, j’ai vu un Cybernet, un réseau social entre professionnels de haut niveau de la cybersécurité, que l’Israel National Cyber Directorate veut ouvrir aux professionnels de pays amis. C’est un jeu de soft power assez clair. Ce que font Boeing et Airbus, chacun de leur côté, sont de bons exemples de ce qu’on doit faire avec ses fournisseurs. On commence à le voir, les fournisseurs seront notés sur la qualité cyber de leurs produits. Parce qu’on voit des attaques passer par des fournisseurs.

On commence à le voir, les fournisseurs seront notés sur la qualité cyber de leurs produits. Parce qu’on voit des attaques passer par des fournisseurs. Sur ces questions-là, on peut être très durs dans les négociations de prix, mais il faut être très coopératifs sur les questions de cybersécurité. 

Est-ce que cette guerre est vraiment une guerre d’État? Ou est-ce qu’on tire des traits...

«Il faut le faire! Il n’y a pas systématiquement un lien. Mais on sait qu’on est dans une phase de relations de plus en plus dures avec la Chine et avec la Russie, des pays où les systèmes policiers sont assez développés. Est-ce qu’on peut dire que ce sont des pays très libéralisés pour les réseaux criminels? On peut être un peu dubitatif par rapport à cela… Le rapport direct avec l’autorité de l’État n’est pas régulé… On peut, du coup, exiger plus de choses, exercer davantage de pression.

En 2014, avec J.P. Morgan, on a cru, comme c’était dans la foulée de ce qui s’était passé en Crimée, que c’était peut-être une réponse russe. En fait, c’était un petit groupe de cybercriminels américano-israéliens. D’où l’importance de la compréhension de l’attaque et de qui est derrière. À côté de cela, dans la grande vague des ‘rançongiciels’, il y a probablement des groupes criminels opportunistes à travers le monde, mais il y a aussi des éléments d’impulsion, en particulier en termes de ‘ransomware-as-a-service’, qui sont fabriqués par des entités souvent hébergées par des pays qui ne sont pas nécessairement nos meilleurs amis. Ni la Chine ni la Russie n’ont signé la Convention de Budapest qui régit la cybercriminalité…

Mais avec la volonté de former des milliers de futurs salariés de la cybersécurité ou de la transformation digitale, le danger pourrait venir même de l’intérieur de nos démocraties…

«C’est déjà le cas. On a vu le témoignage dans Le Monde d’un hacker canadien. Il y en a beaucoup avec une double vie, qui flirtent avec ces plateformes. Elles permettent d’attirer des informaticiens chevronnés de pays qu’on voudrait affaiblir… C’est une fuite de cerveaux vers le ‘noir’, de gens qui restent en poste… Y a-t-il des actions organisées? Quand un État structuré fort, comme les États-Unis, tape du poing sur la table comme Obama l’a fait avec le président chinois en septembre 2015, sur le vol de propriété intellectuelle dans l’industrie par des Chinois, ça peut marcher. Beaucoup d’éditeurs de logiciels de cybersécurité ont constaté ensuite une réduction du nombre d’attaques de cyberespionnage. Il y a la nécessité de collaborer et de mettre en place des processus de désignation de l’adverse…

Pour se défendre, dites-vous régulièrement. Mais le bon sens populaire dit que la meilleure défense est l’attaque. Pourquoi ne pas défendre une stratégie d’attaque contre ces structures organisées, qui ont des ordinateurs et des moyens financiers?

«Parce que cette stratégie-là mène toujours à une surenchère et une escalade.»

Articles Associés