« Faire des données de l’argent et de la connectivité du pouvoir » constitue le leitmotiv et le levier de développement du capitalisme numérique. Le monde criminel s’approprie cette même vision. L’argent est plus que jamais le nerf de la guerre. Les vols de données débouchent sur leur commercialisation, les prises en otage de ressources informatiques sur des demandes de rançons, les diverses escroqueries comme celle de l’arnaque au président sont motivées par l’extorsion de fonds, les opérations de surveillance et de renseignement à des fins d’intelligence économique ou de déstabilisation d’entreprises commerciales.
Force est de constater que la cybercriminalité est une activité lucrative en plein essor. Elle s’inscrit dans une logique de rationalité économique où l’écosystème numérique offre aux criminels une couche d’isolation protectrice, une boîte à outils performante, un marché mondial et autant d’opportunités d’enrichissement. L’internet leur permet d’agir en toute impunité avec une prise de risque minimale et une profitabilité maximale. La cybercriminalité est une industrie florissante.
Ses acteurs sont aussi opportunistes et bien organisés. Leurs capacités d’adaptation et leur réactivité leur permettent de tirer parti de gisements de vulnérabilités organisationnelles, managériales et technologiques sans cesse renouvelées.
A l’instar des activités licites, il existe celles plus discrètes qui se déroulent dans le web profond, la partie immergée de l’Internet, le Darknet, où tout se vend et tout s’achète (vulnérabilités, données, logiciels malveillants, formations à la cybercriminalité, compétences, cyberattaques à paramétrer en fonction des cibles…). Il s’agit de véritables plateformes d’échange et de mise en relation, mettant à disposition la panoplie du parfait cyberpirate et facilitant le passage à l’acte criminel d’un plus grand nombre.
Le 6e baromètre annuel des risques du groupe Allianz place, pour 2017, les cyberincidents en troisième position parmi les dix risques globaux impactant le monde des affaires. Les technologies du numérique sont un catalyseur et un amplificateur de tous les autres risques (interruption du business, développement des marchés, risques politiques ou de réputation, respectivement en 1er, 2e, 8e et 9e position dans cette étude).
La montée en puissance des risques « cyber » du fait de la concentration des données, de la dépendance et de l’interdépendance des infrastructures informatiques et des risques est une réalité. Dès lors, nous sommes tous concernés par la nécessité de pouvoir les mettre sous contrôle. Les ruptures technologiques sont des ruptures stratégiques et toutes les technologies, les infrastructures, les systèmes, les objets connectés, les fournisseurs et utilisateurs sont touchés par ces risques globaux et sont concernés par leurs possibles effets systémiques. Le risque cyber est désormais un risque structurel et permanent.
Dans un monde hyperconnecté, la cybersécurité dépend de plus en plus de la qualité de celle de ses voisins (clients, fournisseurs, partenaires, interlocuteurs…). Cela impose de penser la cybersécurité comme le chaînon manquant entre les intérêts particuliers et l’intérêt collectif, et cela à l’échelle nationale, régionale et mondiale. Car « l’autre » nous expose :
• à des risques s’il ne sécurise pas ses systèmes, dans lesquels des données nous concernant figurent;
• en nous transmettant des programmes malveillants ou si ses infrastructures sont utilisées pour mener des attaques;
• s’il privilégie son intérêt économique individuel à court terme en faisant des économies en rognant sur la sécurité;
• s’il est un paradis digital qui empêche les actions judiciaires…
En cybersécurité, il faut investir collectivement pour le futur de tous mais aussi innover. Innover dans la manière de concevoir, fabriquer, installer, gérer et utiliser les technologies et les services du numérique.
Monsieur de La Palice aurait pu dire que la conception de produits technologiques « security & privacy by design », robustes et sans portes dérobées, éviterait l’exploitation de failles sécuritaires et favoriserait de facto, la maîtrise des cyberrisques qui repose sur trois axes que sont l’anticipation, la prévention et la détection.
Le World Economic Forum dans son rapport « Le futur des métiers » de janvier 2016, identifie comme compétences clés pour 2020 par ordre de priorité celles liées à la résolution de problèmes complexes, à la réflexion critique et à la créativité (alors que pour 2015 la créativité était placée en 10e position et la réflexion critique en 4e). Il est urgent de se demander si l’éducation dispensée à tous les niveaux de la scolarité ainsi qu’en formation continue, qui de plus en plus se base sur l’usage du numérique ou parfois est substituée par des outils numériques, favorisent ou non l’acquisition de ces compétences.
La réalité est complexe, la numérisation et l’automatisation de notre société ne doit pas se limiter à l’optimisation des performances économiques mais doit aussi intégrer la question fondamentale du sens des développements technologiques et de celle de savoir quel monde nous voulons laisser à nos enfants et à l’humanité que chacun d’eux représente. Mettre au service de la passion technologique du XXIe siècle un sentiment de responsabilité partagée, en mettant en œuvre une volonté politique pour la gouvernance des cyberrisques, est devenu une urgence sanitaire internationale.
Prof. Solange Ghernaouti
Membre de la SATW, directrice du Swiss Cybersecurity Advisory & Research Group - Université de Lausanne
Publié dans Agefi Indices le 26 juin 2017