Koen Maris est un «mec» cool. Qui parle très bien de ce qu’il connaît, et pas de ce qu’il ne connaît pas. Les auront un leitmotiv non écrit: le chaos. Parce que, explique le nouveau partner de PwC, depuis le début de la pandémie, pour la cybersécurité, c’est le mot qui reflète le plus ce que les gens et les organisations ont vécu. Mais le message est loin d’être aussi négatif. Et surtout, il ne regarde pas tellement derrière lui, mais plutôt devant lui. Parfois même très loin devant.
À quoi vous attendiez-vous pendant cette pandémie? Et depuis? Qu’est-ce qui vous a surpris?
Koen Maris. – «Je n’ai pas été très surpris. Je m’attendais à tout cela. Ce qui m’a surpris en général, en dehors de la sécurité, c’est surtout la résilience de la société. On a pu continuer à faire fonctionner pas mal de choses. Pour certaines personnes, c’était très difficile. Au niveau cyber, je redoute les surprises qui vont arriver maintenant. Quand la pandémie nous quitte, l’attention sur la cybersécurité diminue aussi.
Quand on regarde l’enquête sur les données personnelles commandée par le Premier ministre, Xavier Bettel (DP), on a quand même l’impression que les gens, malgré les leaks à répétition de leurs sites et applications favoris, se moquent royalement des avertissements…
«Tant qu’ils ne sont pas touchés, ils s’en moquent. Même le leak de 500 millions de comptes de Facebook, ramené au reach, ça ne représente presque rien pour eux. Je comprends un peu la réaction des gens, mais je vois que la conscience sur le fait que nous sommes des brokers de données en tant qu’utilisateurs commence à être là. Lors de la dernière panne de Facebook, beaucoup de gens n’ont pas demandé quand Facebook serait rétabli, mais où étaient passées leurs données! Et s’ils allaient les récupérer.
22 ans après le concept qui a donné naissance à Luxtrust, on en est toujours au même point.
Aujourd’hui, même avec la meilleure volonté du monde, gérer ses mots de passe et les rendre sûrs est une calamité. Combien de mots de passe? Utiliser un gestionnaire de mots de passe? La double authentification est-elle une garantie ou pas? On n’a pas envie de retaper son mot de passe à chaque fois qu’on visite un site. Il n’y a pas une méthode qui s’impose et les gens sont perdus avec ça, n’est-ce pas?
«Oui. Ça me rappelle en 1999, j’ai fait ma première formation PKI, le concept derrière la solution Luxtrust. Ça remonte déjà à il y a 22 ans! Et tout le monde me disait dans la salle que cela allait tout révolutionner, qu’on n’allait plus avoir de mots de passe, qu’on allait utiliser une ‘smart card’ ou un token. 22 ans plus tard, on a cette solution pour certains usages, mais, pour le reste, nous sommes toujours obligés d’utiliser des mots de passe. En plus, il n’y a pas un système qui pourrait donner un accès à tout. À l’avenir – et je ne pense pas que c’est un avenir proche –, il faudrait arriver à un système de décentralisation de l’authentification et des accès que nous, en tant que propriétaires de données, acceptons de délivrer. Pour digitaliser et avoir un contrôle sur notre ‘digital twin’. Aujourd’hui, nous sommes dépendants des fournisseurs de services et nous acceptons ces mesures de contrôle d’accès. Ce devrait être dans l’autre sens. Si j’utilise Google ou Facebook, c’est à moi de décider quel accès je veux donner. Et ce système pourrait aussi faire en sorte que je n’aie pas besoin de créer un utilisateur chez eux.
C’est ce que l’Union européenne a raté avec le RGPD et, surtout, ces cases que tout le monde coche sans regarder quelles données sont prises et ce que les fournisseurs en font…
«C’est exactement ça! Nous devrions pourtant avoir un ‘digital twin’ où c’est écrit que vous donnez autant d’accès, et si vous m’autorisez à accéder à votre site, ce sont les données auxquelles je vous donne accès et pas plus. L’Europe a déjà raté pas mal de choses au niveau technologique. On a créé des dépendances. On fait la même chose avec les utilisateurs parce qu’on n’impose pas des mesures de sécurité à certaines sociétés et parce que les utilisateurs sont perdus. Aujourd’hui, nous devons créer un coffre-fort pour protéger nos comptes et nos mots de passe. J’ai tendance à demander à certains utilisateurs: est-ce que vous avez besoin d’autant de comptes? Créez un mot de passe que vous n’allez jamais retenir et dites que vous l’avez oublié pour en créer un nouveau. C’est beaucoup plus facile.
Ça aussi, c’est problématique, quand les fournisseurs de services vous renvoient les nouveaux mots de passe par SMS ou par e-mail. Les hackers n’avaient peut-être pas les premiers, ils auront les seconds très facilement…
«Oui. Mais il faudra passer à l’authentification forte pour certaines choses qui sont critiques pour votre identité. La boîte mail en fait partie. Ma boîte mail perso est protégée par une authentification multifacteur, mes comptes sociaux aussi, parce que je sais que si je perds le contrôle de ces derniers, cela va créer pas mal de problèmes. Chacun doit évaluer le risque des services que nous utilisons. Ce n’est pas évident pour la plupart des utilisateurs. Les sociétés devraient être obligées d’imposer certaines mesures de sécurité, ce qu’elles ne font pas aujourd’hui.
Pourquoi pas un ‘distributed ledger’, où chacun stocke votre identité et vos paramètres? Évidemment, il faudra parvenir à un consensus un jour sur la manière dont on pourra y accéder.
Vous ne devez pas être tendre avec tous ces utilisateurs qui disent s’en moquer…
«Pour un particulier, pas de problème. Pour un État, si. Le problème n’est pas que votre vie privée sera affectée, mais plutôt qu’elle sera contrôlée pour aller dans le sens qu’ils ont envie qu’elle prenne. Quand on utilise Google et jamais Google Incognito et qu’on accepte tous les cookies, à un moment donné, on ne reçoit plus que des publicités qu’on écoute tout le temps. Que ce soit pour la politique, les jeux ou les loisirs, on peut vous forcer à aller dans une direction. Moi, je ne veux pas recevoir des suggestions avec lesquelles je suis d’accord, des suggestions de musique que j’écoute déjà tout le temps, etc. On n’en est pas encore là.
Dans le vol du code source de Twitch, il y a tous les logins des utilisateurs. Ne devrait-on pas pénaliser les sociétés qui n’en font pas assez pour protéger les données de leurs utilisateurs?
«Je pense que oui! Nous avons une obligation. Nous devons mettre en place des standards identiques à ceux de la sécurité des voitures. Si on n’est pas homologué dans un pays, on ne peut pas y offrir son service. Il doit y avoir un système de ce type, sinon il y aura toujours des sociétés qui iront dans des pays où la sécurité n’a pas d’importance. On a vu la même chose avec le RGPD, comme dans le jeu Pokémon: les données étaient stockées dans des pays sans mesures de sécurité.
Aujourd’hui, même avec le RGPD, comme le montre un reportage d’Arte, des formations politiques vont chercher des bases de données d’électeurs dans des pays comme le Brésil…
«Le problème avec le RGPD est que les politiciens ont sûrement pensé que c’était bien pour protéger la population européenne, sans penser à ce que ça avait comme répercussions économiques ni aux législations des autres pays nettement moins sérieux que nous sur cette question. L’intention était bonne, mais l’exécution est autre chose, parce que les politiques n’ont aucune connaissance du fonctionnement de la technologie.
Vous parliez de gestion décentralisée de nos identités, comment l’imaginez-vous?
«Pourquoi pas un ‘distributed ledger’, où chacun stocke votre identité et vos paramètres? Évidemment, il faudra parvenir à un consensus un jour sur la manière dont on pourra y accéder. Aujourd’hui, technologiquement, c’est faisable. Tout le monde pourrait se greffer dessus et c’est moi qui gère les identités. Tout le monde a du mal à comprendre, on le voit dans le secteur des cryptocurrencies: si vous voulez lancer votre propre banque, vous devez aussi assumer les risques, y compris avec l’identité.
Avec l’e-banking, on met beaucoup de responsabilités sur les épaules de l’utilisateur, alors qu’avec la carte bancaire, on n’en mettait presque pas. Je trouve cela un peu malhonnête.
Si un ami a vu un leak, a peur et vous demande un conseil, que lui dites-vous?
«La première chose, encore une fois, est d’utiliser la double authentification pour les services critères. N’importe quel moyen est toujours mieux qu’un ‘user name’ et un mot de passe. Ce que je dis en général, c’est que si vous n’êtes pas sûr, ne cliquez pas dessus et appelez-moi. Je ne reçois pas beaucoup d’appels. Tout le monde pense que je suis submergé d’appels, mais pas du tout! J’ai quelqu’un de très proche de moi qui ne m’a pas appelé, qui a cliqué sur un lien et qui a perdu quelques milliers d’euros. Soit les gens n’osent pas demander, soit ils ont trop confiance dans ce qu’ils font.
Cela signifie qu’il reste un gros travail d’éducation à faire?
«Oui, c’est certain. Les sociétés devraient être davantage responsabilisées. Je trouve cela malheureux que des gens perdent de l’argent avec l’e-banking à cause d’un simple phishing et, en gros, la banque peut se débarrasser de toute responsabilité. Ce sont quand même elles qui ont forcé les gens à utiliser l’e-banking en rendant les autres services payants. Je ne sais pas si vous vous souvenez de cette époque, mais quand j’étais enfant, j’allais avec mes parents à la banque chercher de l’argent, et les transactions étaient presque gratuites. Quand ils ont inventé la carte bancaire, la carte était gratuite et vous deviez payer quand vous vous rendiez au guichet. Quand la carte a été bien adoptée, il fallait payer pour la carte, et maintenant, on a la même évolution avec l’e-banking. Sauf que là, on met beaucoup de responsabilités sur les épaules de l’utilisateur, alors qu’avec la carte bancaire, on n’en mettait presque pas. Je trouve cela un peu malhonnête.
En termes de cybersécurité, on peut avoir l’impression que lorsqu’on est une grande entreprise, c’est plus facile que pour une PME, mais c’est loin d’être aussi évident… Que doit-on faire? Cela suffit-il de rattacher un CISO au directeur exécutif?
«Non. Dans une organisation, on a trois aspects. La structure, c’est-à-dire rattacher le CISO au niveau de la direction. Les procédures, qui ne sont souvent pas là. Ça ne sert à rien d’avoir une ‘reporting line’ avec le CEO si vous avez seulement 10 minutes par mois pour en parler. Évidemment, vous êtes à la bonne position, mais tout est dit, vous n’avez pas plus d’autorité ni de moyens… Et puis, vous avez quelque chose dans le monde scientifique qu’on appelle le ‘relation of mecanism’. Comment peut-on avoir un discours informel au sein de la société? Là, le CISO a encore un grand rôle à jouer. Quand je suis dans les couloirs des sociétés, j’entends souvent que les gens connaissent le CISO, mais qu’il est très discret. Ce n’est pas le bon message. Ça veut dire qu’on ne voit jamais la personne, qu’on ne lui parle pas, qu’on n’ose pas la déranger. Ça doit changer!
Il faut une autre culture. Il faut des CISO qui sont davantage impliqués dans la collaboration! Et le CISO doit trouver un alignement entre lui, le département IT et le CEO. Je ne vois pas cela dans les entreprises. Souvent, il n’y a même pas d’alignement entre les métiers et l’IT. Comment voulez-vous que le CISO protège les données et les applications... Ça serait aussi bien que le CISO ait, X fois par an, la possibilité de parler au conseil d’administration, c’est-à-dire pas à des gens qui le contrôlent! Remonter des choses à votre supérieur, ce n’est jamais une bonne idée.
Le plus grand problème est qu’on fait beaucoup de transformation digitale vers le cloud et on répète les mêmes erreurs qu’il y a 10 ans. On pense qu’on va tout mettre dans le cloud et que toute la sécurité sera assurée par Amazon ou Microsoft, mais non. Vous êtes toujours responsables des choses que vous mettez dans le cloud. Il y a un manque de connaissances technologiques au niveau de l’exécutif de la part de beaucoup de sociétés.
Lentement, on voit émerger une sorte de mise en commun, pour les PME, de ressources pour la cybersécurité, n’est-ce pas?
«Pour une PME, ce n’est pas facile. Peut-être que l’État peut jouer un rôle, mais on doit être prudent quand on utilise l’État pour certaines choses. Ça crée de la concurrence avec certaines sociétés commerciales qui n’est pas bonne pour l’activité économique. Si une PME outsource son informatique auprès de sociétés qui sont des PME de taille supérieure, ces dernières ont aussi une responsabilité. Cette conscience-là, je ne la vois pas toujours.
Il est primordial de créer davantage d’algorithmes qui sont ‘quantum resistant’. Il en existe, qui ne sont pas beaucoup distribués.
Dans vos réponses, la déresponsabilisation revient souvent…
«Oui! Qui assume la vraie responsabilité? Si j’outsource mes affaires chez quelqu’un, j’ai la responsabilité de faire la ‘due diligence’ sur la cybersécurité. Une fois qu’elle est faite correctement, le fournisseur doit veiller à la protection des données. Si on leur demande de contrôler ce qu’ils font, ils sont beaucoup plus réticents.
L’autre sujet qui émerge est le ‘quantum computing’, ces capacités de calcul énormes qui seraient capables, très vite, de casser tous les mots de passe et tous les schémas de protection. Est-ce une réelle inquiétude, car ceux qui ont des capacités de calcul sont peu nombreux et les systèmes pas stables?
«C’est une chose d’avoir ces capacités. Une autre est l’algorithme de Schröder, capable de craquer ces systèmes. C’est celui qui est le plus important dans le monde de la cybersécurité. Aujourd’hui, on ne parvient pas à le faire. Mais si des institutions comme la NSA ou les renseignements aux Pays-Bas annoncent que c’est le moment, ça veut dire qu’il y a quelque chose qui se joue. Si mon ami Philipp Zimmermann (le créateur de Pretty Good Privacy, ndlr) est inquiet, c’est parce que des gouvernements captent toutes les données. Même ce qu’ils ne savent pas décoder aujourd’hui. Ils attendent juste le moment où ils en seront capables. En tant que personne, ça ne pose pas de problème, ils ne sont pas à la recherche de mes données. Mais ils veulent les données étatiques qui donnent un avantage économique ou commercial ou qui leur permettent de décrypter quelqu’un. Rétroactivement, ça pourrait faire mal.
Pour les questions de protection, on a laissé faire les géants mondiaux pendant 15-20 ans. Que doit-on faire aujourd’hui face à ces capacités de calcul?
«Il est primordial de créer plus d’algorithmes qui sont ‘quantum resistant’. Il en existe, qui ne sont pas beaucoup distribués. Il est peut-être temps de réfléchir au successeur de l’‘advanced encryption standard’, qui sera standardisé d’office. Google avait fait un navigateur avec une ‘SSL library’ dedans qui utilisait de l’encryption résistante au quantique. C’est faisable, mais ce n’est pas poussé. Comme d’autres technologies. L’Europe pourrait devenir le leader, sous l’impulsion de Thierry Breton. Il ne faut pas regarder en arrière et activer la machine des semi-conducteurs en Europe. C’est trop tard, on a perdu la bataille. Ici, on a quelque chose à gagner. C’est pareil avec le HPC (high performance computing, ndlr). Le ‘quantum computing’ ne va jamais remplacer le HPC. Le ‘quantum’ est très bien pour certains domaines et types de calcul. Mais on aura toujours besoin du HPC. Avec un constructeur comme Atos, on a quelque chose à dire dans ce monde. Pourquoi pas avec Thales dans le domaine de l’encryption?»
Cette interview est issue de la newsletter hebdomadaire Paperjam Trendin’, à laquelle vous pouvez vous abonner .