Construire la cyber-résilience - Fonds AXA pour la Recherche - Menaces, catalyseurs et anticipation - axa-contento-118412.eu
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Fonds AXA pour la Recherche Construire la cyber-résilience Menaces, catalyseurs et anticipation Une sélection de perspectives par le Fonds AXA pour la Recherche Hiver 2021
Sommaire À propos du Fonds AXA pour la Recherche 2 Avant-propos3 Résumé4 Sécurité et vie privée : amis ou ennemis ? 8 À propos du Fonds Cybersécurité : un concept à double-tranchant 10 Vie privée et sécurité ne sont pas forcément contradictoires 12 AXA pour la Recherche Atténuer les cyber-risques : des infrastructures critiques jusqu’au quantique 14 Concevoir et adapter la résilience des infrastructures critiques 16 Le Fonds AXA pour la Recherche est l’initiative de mécénat scientifique du Groupe AXA, De nouvelles stratégies pour renforcer la cybersécurité dans le Cloud 18 créé en 2008 pour faire face aux risques majeurs auxquels est confrontée notre planète. Doté d’un engagement de 250 millions d’euros, le Fonds AXA pour la Recherche a soutenu IA et apprentissage automatique : des mécanismes de défense 665 projets dans les secteurs clés des risques santé, climat et environnement ainsi qui doivent être renforcés 20 que socio-économie. Sa mission philanthropique est de financer et d’accompagner la Physique quantique : une menace de plus ? 22 recherche scientifique à visée transformatrice et, grâce à sa dissémination, de soutenir la prise de décision fondée sur la science tant dans le secteur public que privé. La cyber-résilience des organisations et des États 24 www.axa-research.org Concevoir des organisations cyber-résilientes 26 La cyber-résilience dans un monde post-pandémie, un besoin @AXAResearchFund urgent de coopération et de partage des données 28 axaresearchfund@axa.com Des cyber-écosystèmes contre le cybercrime 30 Organiser et réglementer le cyberespace 32 Assurer le cyber-risque : un changement de paradigme 36 Les défis de l’assurance des cyber-risques 38 Modélisation des risques pour l’assurance des véhicules connectés et autonomes : des techniques en pleine évolution 40 Accumulation, dépendance et élaboration de scénarios extrêmes : les conditions préalables à l’assurabilité des cyber-risques 42 Tendances et scénarios futurs 44 Prospective stratégique et science-fiction : des outils pour mieux comprendre les futures cybermenaces 46 Anticiper l’avenir des cyber-attaques : futurs possibles et vigilance du présent 48 Un tour du monde des futures cyber-tendances 52 2 11 1
Avant-propos Si le cyberespace offre des opportunités majeures en termes d’innovation, de progrès économique et d’accès à l’information, il est aussi source de nouvelles vulnérabilités. Le nombre de cyber-attaques augmente chaque année, avec des opérations de plus en plus stupéfiantes, allant de la violation des données personnelles jusqu’au sabotage d’infrastructures critiques telles que les gazoducs, les réservoirs d’eau, voire les systèmes de santé. Le coût des dommages causés par la cybercriminalité augmente lui aussi chaque année à un rythme incroyablement rapide. Ces failles dans le cyberespace sont aggravées par l’interconnectivité croissante de tout ce qui nous entoure, qui rend ce type d’attaques plus faciles à mettre en place et plus difficiles à déjouer, en particulier parce que leurs cibles sont toujours plus nombreuses. La cybersécurité est désormais l’affaire de tous. La cybercriminalité est devenue une industrie de l’ombre très sophistiquée, comme en témoignent les multiples offres de « ransomware-as-a-service »1. Certaines crypto-monnaies peuvent même permettre aux hackers de pratiquer des extorsions de fonds dans la plus grande discrétion ; à cela s’ajoutent les cyberguerres et le soutien de certains États. Au-delà de l’anonymat des hackers, le flou qui entoure la chaîne de commandes, d’influences et de préfinancement pose la question de la qualification en « crimes de guerre » de ce genre de cyber-attaques. Le cyber-risque est l’un des risques dont la gravité et la vitesse d’évolution augmentent le plus vite, pour la société comme pour les assureurs. En termes d’assurabilité, il est problématique en raison de son caractère systémique, qui met à mal les principes de mutualisation et de diversification qui sont au cœur de l’assurance. En tant qu’entreprises mondiales à large spectre, les compagnies d’assurance peuvent elles-mêmes devenir des cibles privilégiées pour les cybercriminels. Selon les conclusions du AXA Future Risk Report 20212, les experts placent désormais le cyber-risque en deuxième position dans le classement des menaces les plus graves, juste après le changement climatique. Dans ce contexte, il est essentiel de mieux comprendre et évaluer ces risques pour pouvoir mettre en place des stratégies éclairées associant prévention et résilience, et prenant en compte l’interconnectivité de notre époque et les probables conséquences en cascade d’une cyber-attaque. Pour rédiger ce rapport, le Fonds AXA pour la Recherche a réuni des experts universitaires ainsi que des professionnels de l’assurance et des organisations pour mettre en lumière les dynamiques changeantes du paysage cyber et nous aider à comprendre comment limiter les risques qui lui sont associés, tout en protégeant ce qui compte. Marie Bogataj Directrice du Fonds AXA pour la Recherche et de la Prospective Groupe. Renaud Guidée Directeur des risques du Groupe AXA. 1 The Destructive Rise of Ransomware-As-A-Service, Barbara Kay, Forbes, 9 juin 2021 2 2021 AXA Future Risk Report, AXA, septembre 2021 2 3
Construire la cyber-résilience : menaces, catalyseurs et anticipation Une sélection de perspectives par le Fonds AXA pour la Recherche Résumé Le Fonds AXA pour la Recherche a réuni au sein de cette publication 20 experts issus du monde universitaire, d’organisations gouvernementales et internationales ainsi que du secteur de l’assurance, pour réfléchir ensemble à cette question essentielle que constitue la construction d’une cyber-résilience. Depuis le début de la crise de la Covid-19, on assiste à une Principaux enseignements recrudescence fulgurante des cas de cyber-attaques, des Dans le monde numérique, la vie privée semble souvent incompatible avec la escroqueries par hameçonnage et des actes de malveillance à sécurité et la transparence, alors que ce n’est pas une fatalité. l’égard des infrastructures critiques, des gouvernements, des entreprises et des usagers. En 2020, les statistiques concernant les Pour contrer les actes malveillants qui interviennent dans le cyberespace, on a recours à des solutions d’intelligence artificielle (IA) souvent invasives, qui semblent cyber-attaques ont fait un bond en avant : augmentation de 300 % mettre en péril les valeurs sociétales que les cyber-technologies sont, au contraire, de la cybercriminalité aux États-Unis1, hausse de 600 %2 des emails censées servir. Mais à long terme, le développement de méthodes expérimentales frauduleux dans le monde entier en seulement quelques mois permettant de prouver l’identité d’une personne créant des jetons numériques après le début de la crise et augmentation de 70 %3 du nombre anonymes mais valables pourrait garantir la réalité d’un individu sans pour autant de violations de données dans le secteur de la santé par rapport à avoir à l’identifier. Ce genre d’approche permet davantage de sécurité et de responsabilité tout en garantissant l’anonymat numérique et physique : la vie privée l’année précédente. et la sécurité pourraient donc, de ce fait, être assurées en parallèle. La crise sanitaire a entraîné des changements de comportement qui risquent de persister bien au-delà de la pandémie, et ce dans tous les aspects de notre vie Si les nouvelles technologies peuvent accroître les possibilités de cyber-attaques, quotidienne — adoption généralisée du télétravail, passage aux transactions en de nouveaux modes de gestion des cyber-risques sont en train d’émerger provenant ligne dans presque tous les domaines, y compris les consultations médicales —, à la fois des infrastructures traditionnelles et des nouvelles technologies elles- agrandissant toujours davantage le terrain de jeu des hackers. Dans le même temps, mêmes. les attaques numériques deviennent de plus en plus sophistiquées et l’environnement des menaces plus complexe. Le cyber-risque le plus flagrant est souvent celui qui s’en prend aux infrastructures Les entreprises et les organisations doivent simultanément passer au crible les critiques : c’est l’illustration la plus parlante de l’impact du monde numérique sur alertes, surveiller les failles, appliquer des protocoles de sécurité à divers systèmes le monde physique. Dans ce domaine, le renforcement de la résilience repose sur et paramètres et évaluer précisément, en temps réel, les données menaçantes. Etant des techniques dites de « résilience dès la conception », qui intègrent la potentialité donnée l’ampleur de la tâche, elles sont forcées de modifier leur conception de la d’une attaque dans le mode de fonctionnement d’un système et utilisent des sécurité en général, passant d’une position défensive à une approche plus réaliste tampons, des options de sourcing flexibles ou la possibilité de se déconnecter et plus résiliente. temporairement du réseau afin de pouvoir assurer une production minimum en cas d’attaque. Le rôle de la cyber-résilience est de pouvoir contrôler et mettre en place de manière anticipée des systèmes de défense pour faire face aux risques, aux menaces et aux Au-delà des techniques de renforcement de la résilience physique, de nouveaux vulnérabilités. C’est grâce aux cyber-stratégies résilientes que les structures se domaines émergent, comme ceux de l’« apprentissage automatique adverse » ou protègent contre les risques et assurent leur survie en cas d’attaque. Cette approche de l’« analyse des risques adverses », dont l’objectif est de rendre les systèmes repose sur la recherche et les nouvelles techniques de défense, mais aussi sur la d’apprentissage automatique plus résistants face aux attaques. La prévision, collaboration entre les organisations et les États, dont le rôle est essentiel en termes l’étude du comportement des hackers et les asymétries d’informations entre de réglementation. attaquant et défenseur sont au cœur de cette approche de la résilience pour améliorer les systèmes de défense. Le cyber-risque, qui est l’un des trois risques majeurs mis en évidence par le AXA Future Risk Report 20214, exige une véritable préparation. Il s’agit d’un domaine La virtualisation au sein du Cloud offre davantage d’opportunités d’attaque que les délicat, notamment en raison du manque de données historiques, de l’évolution systèmes propriétaires, car elle procure une « surface d’attaque » plus vaste que les constante de la nature des menaces et de la difficulté de regrouper et corréler systèmes locaux d’application — dans l’ordinateur lui-même, du côté du fournisseur les cyber-attaques, qui nécessitent aujourd’hui de mettre en place de nouvelles de services ou de l’utilisateur. Ce phénomène a favorisé le développement de techniques et stratégies, ainsi que des politiques d’atténuation innovantes. stratégies adaptées, telles que le « Zero Trust » qui garantit la création d’espaces 1 FBI Official Warns of Increasing Cybercrime Attacks Related to Coronavirus-Relief Efforts, The Washington Times, April 2020 2 The Latest : UN Warns Cybercrime on Rise During Pandemic, The Associated Press, ABC News, May 2020 3 2020 Data Breach Investigations Report, Verizon, 2020 4 2021 AXA Future Risk Report, AXA, September 2021 4 5
Construire la cyber-résilience : menaces, catalyseurs et anticipation Une sélection de perspectives par le Fonds AXA pour la Recherche sécurisés séparés par des « portiers » (des pares-feux, par exemple) entre un serveur les organisations multinationales, les organismes de réglementation, les agences d’applications et un serveur de bases de données, plusieurs niveaux de sécurité d’État et les entreprises. numérique ou encore l’application du « principe du moindre privilège » qui accorde l’accès en fonction de règles et de niveaux d’autorisation très précis. Le développement de la cyber-assurabilité dépend de notre capacité à modéliser Quant à l’avènement du quantique et aux problèmes de sécurité qu’il pourrait plus efficacement les cyber-accidents et à renforcer la maturité des principales entraîner, la cryptographie post-quantique (c’est-à-dire la conception de nouveaux parties prenantes. protocoles basés sur des problèmes difficiles à résoudre même pour un ordinateur quantique) et la « sécurité physique quantique » (la conception de protocoles de cryptographie quantique dont la sécurisation est fondée sur les lois de la physique Si la question des cyber-risques est de plus en plus présente et que l’opinion publique, quantique) sont des moyens de sécuriser la cryptographie, en utilisant le quantique tout comme les experts, reconnaît qu’il s’agit d’un sujet de préoccupation majeur, pour se protéger du quantique. le nombre de gouvernements et d’entreprises ayant souscrit une cyber-assurance est encore relativement faible à travers le monde. Par conséquent, les pertes liées aux cyber-risques restent encore majoritairement non assurées aujourd’hui. On Renforcer la résilience exige de réévaluer les processus au sein des organisations constate cependant une augmentation de la demande, qui pousse le secteur de elles-mêmes et de mettre en place un cyber-écosystème rassemblant les entreprises, l’assurance à se tenir prêt en termes d’offres de cyber-couverture, notamment grâce les régulateurs et les États. à des transformations nécessaires pour affronter les défis de ce nouveau marché. Le cyber-risque représente un réel défi pour le secteur de l’assurance, et ce à bien des Les menaces pesant sur les entreprises sont de plus en plus complexes et égards. Les données concernant les cyber-attaques sont encore trop clairsemées pour professionnalisées. Les questions de sécurité doivent donc être abordées de façon permettre d’établir des grilles de tarification, la modélisation de la cyber-accumulation holistique et stratégique, en s’appuyant sur les individus, la technologie et les est encore balbutiante et les cybermenaces sont en constante évolution, avec des méthodes de travail. Au niveau individuel, la formation et la sensibilisation des impacts démesurés et des pertes souvent très sévères. L’assurance des cyber-risques collaborateurs sont essentielles, tout comme la recherche d’un équilibre entre les dépend de notre capacité à modéliser les cyber-attaques en intégrant la complexité deux priorités que sont le rendement et la sécurité. La technologie est primordiale de leurs répercussions. En réponse, de nouveaux modèles alternatifs ont été conçus dans les mécanismes de défense, car elle génère des normes et des procédures pour capturer l’effet « boule de neige » des cyber-attaques ainsi que leurs interactions. permettant d’anticiper les attaques provenant de logiciels malveillants novateurs ou plus traditionnels, notamment grâce à l’intelligence artificielle. Enfin, le respect des Pour continuer à se développer, le secteur va devoir affronter l’accès limité à l’expertise procédures implique d’élaborer des plans pour réagir efficacement aux attaques et en matière de risque et de souscription, notamment dans le domaine innovant des se remettre sur pied le plus rapidement possible. véhicules autonomes où les données proviennent encore de modèles non connectés. Il sera également nécessaire de renforcer la maturité des principales parties prenantes Au-delà de l’organisation individuelle, on dénombre de plus en plus d’appels à la de ce domaine, comme les agents et les courtiers, en matière de cyber-risque. création et au renforcement d’une « collaboration au sein de l’écosystème », ainsi qu’au partage de données sur les cyber-attaques entre partenaires de confiance. Même si les questions de confidentialité et de réputation, ainsi que les différences de Prospective stratégique et science-fiction : des outils pour mieux appréhender les maturité dans le domaine de la cybersécurité, y font souvent obstacle, le partage des cybermenaces de demain. données concernant les cyber-attaques est devenu incontournable, les entreprises détenant des informations déterminantes sur leur façon de gérer leurs problèmes, L’incertitude et la complexité entourant les cyber-risques illustrent bien les limites leurs échecs et leurs réussites. des modèles traditionnels de prévision et même des outils de modélisation pour Parallèlement à l’effort de préparation et de collaboration qui est demandé aux lesquels le futur n’est qu’une continuation logique du présent. La science-fiction entreprises, la régulation a un rôle crucial à jouer dans la cyber-résilience et la peut être mise au service de la prospective stratégique pour anticiper les futures cyber-défense. Les régulateurs se penchent désormais sur les questions cyber, cybermenaces grâce à des réflexions éloignées de nos cadres de pensée habituels, nous en particulier depuis l’adoption par l’UE du Règlement Général sur la Protection sensibilisant ainsi aux scénarios du futur face auxquels nous devons nous tenir prêts. des Données (RGPD). Presque partout, les mesures incitatives sont devenues des mesures obligatoires, par exemple en ce qui concerne la notification des incidents ou des fuites de données. Les États et les organismes internationaux alignent À mesure que les menaces se transforment et que les besoins organisationnels progressivement leur réflexion pour améliorer les stratégies de cyber-résilience évoluent, la cyber-résilience consiste, par définition, à se préparer constamment, à l’échelle mondiale, et sont en train de reconnaître que le cyberespace doit être grâce aux innovations en matière de modélisation, à la recherche de nouvelles encadré par des règles contraignantes non seulement pour les États, mais également stratégies face aux menaces, au développement de nouvelles compétences au sein pour le secteur privé. La gestion du cyber-risque nécessite une réelle synergie entre du secteur de la cyber-assurance et au soutien des techniques de prévision stratégique. 6 7
Chapitre 01 Sécurité Notre dépendance croissante à la technologie nous rend plus vulnérables aux cybermenaces telles que l’usurpation d’identité ou le piratage des emails. et vie privée : Face à ces risques, les réponses se traduisent par des techniques souvent invasives qui semblent mettre en péril notre vie privée. La sécurité et la vie privée amis ou ennemis ? sont-elles inconciliables ? Un équilibre est-il possible à instaurer vis-à-vis de ces cyber-technologies à double-usage ? Comment aborder l’impact sociétal des mesures de cybersécurité ? 8
Construire la cyber-résilience : menaces, catalyseurs et anticipation Chapitre 01 : Sécurité et vie privée : amis ou ennemis ? Cybersécurité : un concept En janvier 1961, à la fin de son mandat, le président Dwight D. Eisenhower s’est adressé aux Américains pour les alerter sur ce qui serait la principale problématique de à double-tranchant cette époque : l’émergence d’un « complexe militaro-industriel ». Cette notion simple mais puissante est née de l’observation d’Eisenhower selon laquelle l’industrie de l’armement, déjà écrasante, sous-produit de la privatisation et de l’industrialisation de la sécurité, avait financièrement bien plus d’intérêt à la guerre qu’à la paix. Si cette idée reste aujourd’hui d’actualité, sa connaissance et les méthodes sont toutes issues du J. Peter Burgess conceptualisation plus récente est dite « à double- usage », terme qui désigne la capacité d’une même écosystème. Les seules défenses dont nous disposons face aux cyber-risques sont les cyber- technologie à faire le bien ou le mal selon la technologies elles-mêmes. J. Peter Burgess est professeur de philosophie et de sciences manière dont elle est utilisée. Les technologies Aucun agent de sécurité ne peut repousser un politiques. Il est titulaire de la Chaire de géopolitique du de l’énergie nucléaire, par exemple, peuvent tout algorithme aussi rapide que l’éclair. Les seules risque à l’École normale supérieure de Paris. Ses recherches aussi bien répondre aux besoins énergétiques de options semblent donc être la cybersurveillance, le portent sur les liens entre culture, politique et technologie, la société qu’annihiler des populations entières ; suivi, le profilage, l’analyse et la prise de décision avec une attention toute particulière accordée aux questions les fusées peuvent servir à mettre en place des automatisées. Au sein du cyberespace, les activités du risque et de l’incertitude. Il est également l’auteur de satellites de communication ou à répandre des gaz malveillantes ne peuvent être éradiquées qu’en neurotoxiques ; les GPS nous montrent le chemin l’ouvrage « Terror and Disenchantment : Security after the injectant dans l’ensemble du « corps » cybernétique vers l’hôpital le plus proche en cas d’urgence Unthinkable » (à paraître). un violent cyber-poison : une mesure invasive qui mais peuvent aussi servir à guider une bombe peut affaiblir toutes les valeurs sociétales que les intelligente vers sa cible. cyber-technologies sont justement censées servir, 70 ans après le discours d’Eisenhower, la place telles que la vie privée, la dignité, la confiance, la prépondérante qu’occupent les technologies de solidarité, l’État de droit, les droits civils et humains, la sécurité dans nos sociétés accentue et intensifie la santé et la sécurité, entre autres. Une approche cette réalité. La question du double-usage est sociétale de la conception de la cybersécurité en effet particulièrement importante pour ces consisterait en premier lieu à distinguer les valeurs technologies qui ont le pouvoir de faire le bien sociétales générées par les cyber-technologies, et comme celui de faire le mal. Les cyber-technologies celles menacées en cas d’attaque de ces dernières. Les mesures de fournissent une excellente illustration de ce casse- Les sociétés se distinguent généralement les unes tête que constitue le binôme sécurité / société. Les des autres par leur façon d’envisager la sécurité immenses services que ces technologies rendent comme un problème collectif ou comme un cybersécurité font à la société, couplés à la grande vulnérabilité problème individuel. Alors que les pays scandinaves des systèmes cybernétiques et à la rentabilité placent la sécurité de leurs sociétés sous l’égide de incroyablement élevée de l’industrie cyber, font la recherche du bien collectif et de l’évitement du progresser les valeurs de de ce double-usage un dilemme particulièrement mal collectif, d’autres pays extrêmement libéraux difficile à résoudre. et individualistes, comme les États-Unis, estiment Une bonne illustration de ce dilemme est la cyber- que le fait de laisser aux citoyens un maximum de la société et les menacent attaque menée en mai 2021 contre la société liberté pour faire le bien et éviter de faire le mal américaine Colonial Pipeline. Elle a été conçue en est la meilleure solution. Les pays du centre de mobilisant la cyber-technologie afin de désactiver l’Europe, quant à eux, se positionnent quelque part un système régional de livraison de pétrole lui- entre ces deux approches. en même temps. même géré par la cyber-technologie. Lorsque tout un réseau critique de carburant a été mis hors service, le gouvernement fédéral a déclaré l’état Le principal défi réside dans la réalité du développement technologique privatisé, et c’est aussi vrai aujourd’hui que ça l’était en 1961 au temps d’urgence et mis en place des mesures qui ont du président Eisenhower. La sécurité en général gravement porté atteinte aux valeurs sociétales et la cybersécurité en particulier présentent les américaines, telles que la vie privée, la dignité, la risques les plus élevés face au casse-tête qui se crée confiance, le système de santé, la solidarité, etc. lorsque les valeurs de la finance sont privilégiées Pour évaluer l’impact sociétal des mesures de par rapport aux valeurs sociétales. Dans ce genre cybersécurité, la principale difficulté réside dans le de situation, la question de savoir quelles cyber- caractère à double-usage des cyber-technologies, technologies construire, et de quelle manière, qui sont à la fois bienfaitrices et menaçantes repose sur les bilans financiers des entreprises pour la société. L’infrastructure, l’expertise, la plutôt que sur les valeurs morales et le bien public. 10 11
Construire la cyber-résilience : menaces, catalyseurs et anticipation Chapitre 01 : Sécurité et vie privée : amis ou ennemis ? Vie privée et sécurité ne sont pas forcément contradictoires et d’« inclusion financière », c’est-à-dire de systèmes financiers garantissent une sécurité et une transparence fortes, en dépit ouverts et démocratiques autorisant une participation globale. d’un anonymat digital et physique complet. Par exemple, des « jetons de présence » digitaux peuvent attester que les Parmi ces tensions, il va de soi de considérer la vie privée et participants à une conférence sont des personnes uniques la transparence comme des finalités opposées que nous Bryan Ford devrions mettre en balance. Cette dichotomie est trompeuse et réelles sans incorporer aucune information quant à leur identité. pour deux raisons. Premièrement, le fait d’abandonner notre Le Professeur Bryan Ford dirige le laboratoire de recherche sur vie privée — et même toute notre vie privée — ne suffira pas Nous devons nous garder d’adopter un point de vue purement les systèmes décentralisés et distribués au Swiss Federal Institute à rendre l’identification des usagers vraiment sécurisée et sécuritaire selon lequel la vie privée serait sacrifiée sur l’autel transparente sur le long terme, si nous n’échappons pas à la du droit et de l’ordre, ou un point de vue uniquement fondé sur of Technology de Lausanne (EPFL). Depuis l’obtention de son course à l’armement IA vs IA, puisque les guerres numériques le respect de la vie privée, selon lequel nous devrions « faire doctorat au MIT, Prof. Ford a occupé des postes universitaires à sont en pratique souvent menées avec des outils d’IA. avec » des abus en ligne arbitrairement amplifiés au nom de la l’université de Yale et à l’EPFL. Il dirige actuellement la Chaire AXA Deuxièmement, abandonner notre vie privée pourrait s’avérer liberté d’expression. sur la sécurité de l’information et la vie privée. non seulement insuffisant, mais également non nécessaire. Les solutions pour parvenir à combiner sécurité et vie privée En effet, les approches tournées vers les données confondent se trouvent au carrefour de ces deux enjeux, et impliquent typiquement l’identité et la personnalité, entretenant une d’utiliser divers outils comme les block chains et l’intelligence confusion entre l’ensemble des informations concernant un artificielle. Nous avons besoin d’une meilleure communication utilisateur, le simple fait d’exister en tant que personne unique et d’un meilleur partage des savoirs entre les régulateurs et les et la capacité de prouver ce fait en ligne de manière sécurisée. Dans notre monde numérique, la vie privée paraît souvent incompatible avec la sécurité et ingénieurs qui comprennent et développent ces outils. la transparence 1. Avons-nous besoin, par exemple, de savoir qui se trouve derrière un écran Les approches axées sur les Big Data supposent que ce qu’il y a d’important à propos de « nous » est l’ensemble des éléments proposant tel ou tel service, pour s’assurer que tel service est sécurisé et que le fournisseur peut d’informations identificatoires stockées dans les bases de devoir rendre des comptes — c'est-à-dire, être responsable de se conformer aux règles et capable données : nos noms, nos adresses, nos numéros de cartes de démontrer qu’elles existent ? d’identité, nos profils sur les réseaux sociaux, etc. Pourtant l’information numérique est de plus en plus falsifiable. Le fait de s’appuyer sur l’analyse des informations pour identifier L’internet des débuts promettait une plateforme globale un utilisateur est à la fois ce qui compromet notre vie privée pour une libre expression offerte à tous sans censure ni discrimination. Pourtant, l’arrivée massive de spammeurs et ce qui nous entraîne dans la course à l’armement de l’intelligence artificielle. Le programme indien Aadhaar2 De nouvelles approches et de trolls anonymes a suscité un appel généralisé à ce que représente une expérience à grande échelle de l’approche Renoncer à notre vie l’on identifie les usagers, pour responsabiliser les fauteurs de troubles ou du moins pour les empêcher de créer une nouvelle axée sur les données, avec la volonté d’attribuer à chaque citoyen un numéro d’identité unique grâce à l’identification permettent d’assurer privée peut se révéler fausse identité dès que la précédente se trouve bloquée. Aujourd’hui, les deepfakes utilisant l’IA peuvent être utilisés biométrique. De nombreux problèmes de fiabilité, d’exclusion et de corruption au sein du programme Aadhaar ont pourtant une sécurité et une insuffisant pour assurer pour générer des millions de fausses identités et interactions en ligne, amplifiant leur pouvoir de désinformation et de chaos. démontré, comme une terrifiante étude de cas, les risques courus lorsqu’on suppose que l’information numérique peut transparence renforcées tout en préservant de manière fiable représenter une personne réelle. notre sécurité Face à ces abus menaçant la démocratie, on a appelé les plateformes de réseaux sociaux à « faire quelque chose ». Heureusement, collecter et analyser des informations permettant numérique dans une Pourtant leurs réponses empiètent souvent sur la vie privée, dès lors que des employés anonymes et des algorithmes d’IA une identification n’est pas la seule manière de parvenir à la transparence en ligne. un anonymat physique et numérique total. opaques peuvent décider si tel ou tel usager « paraît » humain, et guerre numérique que leurs jugements peuvent s’appliquer de manière inique. Ces algorithmes exigent de vastes sommes de données qui empiètent Il existe une alternative à ces procédés d’indentification (permettant de savoir qui fait quoi en ligne) invasifs en conduite par l’intelli- termes de vie privée : des méthodes d’administration sur la vie privée des utilisateurs. De plus, le bras de fer entre expérimentales de la preuve de personnalité entreprennent l’escroquerie générée par l’IA et l’effort mené pour la détecter de créer des « jetons » digitaux anonymes mais transparents gence artificielle (IA). est une guerre que les hommes « réels » sont voués à perdre. Pour leur part, les plateformes financières numériques, qui représentent de manière sécurisée des personnes réelles sans qu’il soit nécessaire de les identifier 3. Les chercheurs Heureusement, cela comme les plateformes d’échange de cryptomonnaie, tendent à interdire purement et simplement l’anonymat, mettant fin explorent de multiples approches4 permettant de prouver une personnalité, tout en donnant des gages de sécurité n’est pas non plus aux aspirations premières de Bitcoin en matière de vie privée et de respect de la vie privée5. Certaines de ces approches absolument nécessaire. 1 Privacy, Security and Accountability : Ethics, Law and Policy, publié par Adam D. Moore, 4 ho Watches the Watchmen ? A Review of Subjective Approaches for Sybil-resistance in Proof W Rowman & Littlefield Publishers / Rowman & Littlefield International, 2021 of Personhood Protocols, Divya Siddarth, Segei Ivliev, Santiago Siri et Paula Berman 2 Aadhaar Failures : A Tragedy of Errors, Reetika Khera, Economics & Political Weekly, avril 2019 5 Identity and Personhood in Digital Democracy : Evaluating Inclusion, Equality, Security, and Privacy 3 Using « Proof of Personhood » To Tackle Social Media Risks, Aengus Collins et Bryan Ford, EPFL, mars 2021 in Pseudonym Parties and Other Proofs of Personhood, Bryan Ford, novembre 2020 12 13
Chapitre 02 Atténuer les L’avenir de la cybersécurité est façonné par la nature perpétuellement changeante du cyberespace associée à la grande vitesse de calcul des ordinateurs cyber-risques : d’aujourd’hui, ainsi qu’aux progrès accélérés de l’intelligence artificielle et de l’apprentissage automatique. Tous ces éléments ouvrent grand la des infrastructures porte aux actes de malveillance. Dans ce contexte, sommes-nous en mesure d’adapter la résilience à des infrastructures critiques déjà existantes qui ont été conçues grâce à une approche traditionnelle critiques jusqu’au du risque ? Comment relever les défis de sécurité liés aux activités ayant lieu sur le Cloud ? Est-il possible d’empêcher nos algorithmes d’apprentissage automatique d’être trompés par un autre type quantique d’intelligence artificielle ? Nos données seront-elles toujours en sécurité lorsque la puissance du calcul quantique sera suffisamment élevée pour décrypter chaque protection que nous tenterons de mettre en place ? 14
Construire la cyber-résilience : menaces, catalyseurs et anticipation Chapitre 02 : Atténuer les cyber-risques : des infrastructures critiques jusqu’au quantique Les structures et les secteurs « critiques » sont absolument nécessaires pour préserver notre bien- être à tous. Le rôle de la plupart d’entre eux est de fournir des services, comme le chauffage, la mobilité ou l’eau potable, tandis que les autres répondent aux besoins des industries, notamment Concevoir et adapter l’approvisionnement en électricité du secteur secondaire ou des activités financières sur lesquels repose le bon fonctionnement de nos sociétés. la résilience des Les cyber-attaques visant l’un de ces secteurs ou infrastructures peuvent provoquer de véritables catastrophes, comme l’a en eau et en nourriture jusqu’à la distribution d’énergie. Les réseaux, par l’équilibrage qu’ils apportent, augmentent infrastructures critiques illustré l’attaque d’un ransomware contre le groupe américain l’efficacité de notre production. Le réseau électrique permet Colonial Pipeline aux États-Unis, qui a perturbé l’ensemble du ainsi d’envoyer en temps réel un excédent d’électricité réseau de distribution d’essence et provoqué un mouvement (produit par des éoliennes, par exemple) vers un lieu où la de panique parmi les consommateurs dans tout le sud-est production est plus faible. Mais d’un autre côté, les réseaux du pays1. Le simple fait de considérer comme « critique » un tendent à nous rendre interdépendants. En 2015, le réseau élément d’infrastructure reflète les normes et les valeurs de électrique ukrainien a été victime d’une cyber-attaque qui a notre société ; certains domaines, comme la défense ou les privé 225 000 personnes d’électricité3. Le réseau électrique Giovanni Sansavini installations commerciales, sont jugés critiques dans certains pays mais pas dans d’autres. Il existe cependant, en pratique, européen étant interconnecté, ces perturbations auraient pu se propager en cascade, à une très large échelle. Des normes de nombreux points communs. Giovanni Sansavini est professeur associé en Ingénierie du risque ont heureusement été instaurées pour ce genre de réseaux et de la fiabilité à l’Institute of Energy and Process Engineering de En matière de protection des infrastructures critiques techniques et internationaux, et elles sont bien respectées par l’École polytechnique fédérale de Zurich (ETH). Il dirige la Chaire contre les cyber-risques, les approches actuelles restent les opérateurs nationaux. assez similaires à celles destinées aux infrastructures non AXA au Risk Center de l’ETH et le Comité technique sur les Pour faire en sorte que le produit reste disponible en cas de critiques. Ces approches comprennent des processus plutôt infrastructures critiques de l’Association européenne de sûreté et bien implantés d’évaluation et de gestion du risque, tels que problème à une extrémité du réseau, comme dans le cas d’une de fiabilité. Giovanni Sansavini est diplômé en Génie énergétique les normes établies par l’ISO (Organisation internationale panne générale d’électricité dans un pays interconnecté, une (2003) et en Ingénierie nucléaire (2005) du Politecnico de Milan. de normalisation), et garantissent l’absence de problèmes solution consiste à mettre en place des « tampons », pouvant En 2010, il a obtenu son doctorat en Ingénierie mécanique à la majeurs dans le secteur nucléaire ou lors des missions être par exemple des fournisseurs locaux. Mais pour d’autres Virginia Tech et en Ingénierie nucléaire au Politecnico. spatiales, entre autres. types de réseaux, un effet d’avalanche peut avoir lieu, avec des conséquences dramatiques. En juillet 2021, l’attaque contre Cette approche fondée sur le risque présente cependant Kaseya, un développeur américain de logiciels de gestion certaines limites. Concernant les cyber-risques en particulier, une grande incertitude entoure la nature et l’ampleur destinés aux réseaux, aux systèmes et aux infrastructures des menaces et de leur évolution. En outre, pour certains informatiques, aurait touché, selon les estimations, des risques, nous ignorons tout simplement quelles seraient dizaines de milliers d’ordinateurs appartenant aux clients de leurs conséquences sur la santé ou sur l’environnement, par cette entreprise. La rançon demandée par les hackers s’élevait exemple dans le cas d’un déversement de produits chimiques. à 70 millions de dollars4. De nombreuses Le lien entre ce type d’événement, pouvant avoir de graves conséquences physiques, et les cybermenaces est parfois difficile à identifier dès le départ. Prenons l’exemple de la Certaines structures demandent parfois à interrompre temporairement leurs interconnexions. Grâce à une conception infrastructures sont essentielles résiliente, le système resterait capable de fonctionner en cyber-attaque manquée d’une station d’épuration américaine mode « îlotage », avec des îlots fonctionnant de manière en 20212, lors de laquelle les hackers ont multiplié par 100 le taux d’hydroxyde de sodium contenu dans l’eau, rendant sa indépendante. Une autre adaptation consiste à adopter plus au bon fonctionnement de consommation extrêmement dangereuse pour la santé. Une de flexibilité dans les modes de fonctionnement, par exemple intervention humaine a heureusement permis de stopper le en disposant de ressources complémentaires, comme le processus avant que la qualité de l’eau ne soit altérée, mais pétrole ou l’électricité, en cas de rupture d’un oléoduc ou de panne du réseau électrique. nos sociétés. Elles peuvent être d’autres mécanismes de sécurité, comme des capteurs, auraient été d’une aide précieuse. C’est ce que nous appelons Ces adaptations peuvent être effectuées sur des infrastructures des « strates supplémentaires de protection ». existantes en modifiant leur conception ou en leur ajoutant conçues dès le départ, ou Cette notion de « strates supplémentaires de protection » des strates supplémentaires de protection. Tout cela a un fait partie intégrante de la nouvelle approche basée sur coût, bien sûr, mais nous avons le devoir d’exploiter au mieux l’intégration de la résilience dès le stade de la conception. les infrastructures déjà en place, car leur remplacement aurait simplement réaménagées, Nous concevons aujourd’hui nos systèmes en faisant en sorte des impacts considérables, notamment d’un point de vue qu’ils puissent supporter un certain niveau d’impact, voire de environnemental. Mais certaines infrastructures n’existent destruction, parce que nous avons pris conscience qu’il existe tout simplement pas encore, comme les réseaux de stockage des menaces ou des dangers que nous ignorons encore. Dans pour augmenter leur potentiel et de distribution du dioxyde de carbone, ou de production un certain sens, pour améliorer l’approche du risque, il est et de distribution de l’hydrogène. C’est en se fondant, entre nécessaire de se montrer agnostique face à tous les types de autres, sur les principes évoqués ci-dessus (îlotage, tampons, menaces qui nous guettent. flexibilité) qu’il faudra concevoir ces réseaux du futur, afin de cyber-résilience. La société moderne repose essentiellement sur les réseaux. Tous les domaines sont désormais interconnectés, de l’approvisionnement d’intégrer la résilience de nos infrastructures connectées dès le stade de leur conception. 1 HS to Issue First Cyber Security Regulations for Pipelines After Colonial Hack, Ellen Nakashima et Lori Aratani, The Washington Post, 25 mai 2021 D 2 ‘Dangerous Stuff’ : Hackers Tried to Poison Water Supply of Florida Town, Frances Robles et Nicole Perlroth, The New York Times, 8 février 2021 3 Hackers Behind Ukraine Power Cuts, Says US Report, BBC, 26 février 2016 4 Ransomware Hackers Demand $70 Million to Unlock Computers in Widespread Attack, Robert McMillan, The Wall Street Journal, 5 juillet 2021 16 17
Construire la cyber-résilience : menaces, catalyseurs et anticipation Chapitre 02 : Atténuer les cyber-risques : des infrastructures critiques jusqu’au quantique De nouvelles stratégies pour La première option est le « contrôle discrétionnaire de l’accès » : seul le propriétaire des données décide qui peut les lire, les renforcer la cybersécurité éditer ou les acquérir. Même dans un système très décloisonné, le contrôle discrétionnaire de l’accès fonctionne bien. Une autre option est le « contrôle contraignant de l’accès », qui est dans le Cloud utilisé notamment par les gouvernements et les armées pour Qui plus est, dans le Cloud, ce qu’on appelle la « surface l’information classifiée. Les données sont caractérisées selon d’attaque » est bien plus étendue que dans des systèmes le degré de sécurité requis. Chaque utilisateur se voit remis une d’information sur site : le système est plus vulnérable et plus autorisation sécurisée. Si la caractérisation et l’autorisation exposé aux cyber-attaques. Ces vulnérabilités peuvent résider correspondent, l’accès est accepté. Enfin une variante consiste dans les machines elles-mêmes, du côté du fournisseur de à mettre en place des « autorisations fondées sur les rôles » services, mais aussi du côté de l’utilisateur, par exemple dans ou les statuts. Ce qui s’avère utile en cas de rotation rapide le cas d’une attaque par hameçonnage (phishing), lorsque des des personnels, par exemple. Au lieu de délivrer des accès utilisateurs divulguent leurs accréditations. privilégiés directement à des utilisateurs, vous les donnez à des rôles, des statuts, et quiconque est titulaire d'un rôle obtiendra l’autorisation appropriée à son statut. Robert Deng En quoi consiste la stratégie « Zero Trust » qui domine actuellement les velléités de sécurisation du Cloud dans le monde ? L’Internet des Objets (IdO) est un exemple extrême d’environnement Prof. Deng dirige la Chaire AXA en cybersécurité de l’Université de Management Jusqu’ici, nous avons toujours considéré que nous pouvions décloisonné. Les défis de sécurisation de l’IdO sont-ils différents de Singapour. Il est également le directeur du Secure Mobile Centre, et le avoir confiance dans nos serveurs et nos systèmes opératoires des défis de sécurisation du Cloud ? doyen-adjoint du département de la Recherche de la School of Computing pour garantir la confidentialité de nos données, pour and Information Systems au sein de la même université. Il est membre de authentifier correctement les utilisateurs et pour imposer le Dans le Cloud computing, le centre de données contrôle l’IEEE et de l’Academy of Engineering de Singapour. contrôle des accès. Cela fonctionnait bien pour l’hébergement les données et fournit les services : il y a donc encore un sur site. Aujourd’hui, à l’ère du Cloud, c’est une supposition management centralisé. L’Internet des Objets est un immense beaucoup plus risquée, mais que beaucoup continuent à faire, environnement, complexe et ouvert, comprenant une En presque deux décennies, le Cloud computing (services informatiques hébergés sur le malheureusement. multitude d’utilisateurs et de dispositifs, y compris des objets Cloud) a séduit virtuellement toutes les entreprises à travers le monde, quelle que soit leur physiques présentant peu de capacité de computation et une La stratégie « Zero Trust » consiste à ne pas faire confiance faible autonomie de batterie : serrures de portes, éclairages, taille, en offrant des avantages tels qu’un déploiement rapide, des coûts initiaux faibles automatiquement aux infrastructures, aux dispositifs et aux etc. Il est impossible de les protéger avec des mesures ou et une forte flexibilité. En effet ces entreprises, plutôt que de posséder leurs propres fournisseurs de services. Nous pensons plutôt que la confiance des solutions de sécurité élevées, et l’exemple banal d’une software, hardware et infrastructures de stockage de données, et d’avoir à en assurer la doit être établie selon des principes différents. Il s’agit par attaque est le « déni de service distribué », quand l’attaquant exemple de créer des espaces sécurisés séparés par des maintenance, se sont tournées largement vers des modes opératoires fondés sur le Cloud, « gatekeepers ». On peut notamment installer un pare-feu entre envoie tellement de requêtes à la fois que les dispositifs et partagent donc leurs infrastructures, et parfois leurs services, avec d’autres utilisateurs. sont submergés et cèdent. En d’autres termes, la complexité un serveur d’application et un serveur de base de données du système de l’IdO peut atteindre un niveau tel que plus contenant des informations confidentielles. personne n’est plus capable de le gérer. Cette évolution vers des infrastructures partagées génère de Le contrôle de sécurité à plusieurs niveaux est un autre principe La question de trouver une bonne solution technique de nouveaux défis en matière de sécurité, liés notamment aux violations massives de données et aux piratages informatiques dans important. Si une strate de protection tombe en panne, une contrôle d’accès pour l’Internet des Objets reste ouverte le but de miner des cryptomonnaies. Quelles en sont les raisons ? deuxième couche est toujours opérationnelle. Par exemple, si aujourd’hui pour les chercheurs. Je crois que la sécurisation le login d’accès à votre disque dur est violé parce qu’un intrus de l’IdO requiert une approche différente : davantage de De fait, les enjeux de sécurité se transforment, puisque le a découvert votre mot de passe, le cryptage des données agit En matière régulations de sécurité et une meilleure sensibilisation des Cloud computing est moins sécurisé que l’hébergement sur comme une seconde strate de protection. L’authentification à utilisateurs à ces enjeux de sécurité. Cela pourrait passer par site. Dans les systèmes d’information sur site traditionnels, deux facteurs repose sur ce principe. exemple par l’homologation : des produits comme les caméras de sécurité, l’infrastructure physique, le hardware et le software sont tous localisés au sein de l’entreprise, qui peut tout contrôler et Un troisième principe consiste à suivre les bonnes pratiques en matière de sécurité, par exemple celle dite du « moindre CCTV pourraient être homologués selon certains niveaux de sécurité, afin de capter l’attention et l’intérêt des utilisateurs, l’ennemi le plus reste en prise directe avec ce qui se passe dans ses systèmes privilège », qui serait l’équivalent numérique du fait de et d’encourager les fabricants à produire des dispositifs plus d’information. n’accorder d’accès qu’à ceux qui en ont légitimement besoin. sécurisés. dangereux c’est Du fait de la virtualisation des machines, des serveurs, etc., dans le Cloud nous avons affaire à différents composants localisés Dans l’univers du Cloud, contrôler l’accès à chaque point d’entrée à différents endroits, desservis par différents fournisseurs la complexité. devient vite une lourde charge. Quelles sont les stratégies pour de services. L’environnement est donc très hétérogène. Ni saisir les enjeux de flexibilité associés à des environnements les possesseurs des données, ni les consommateurs, ni les décloisonnés ? fournisseurs de services n’exercent un contrôle complet sur l’ensemble de l’environnement. Ils ont même une faible Les modèles de contrôle d’accès conçus pour des systèmes visibilité sur le système, ce qui signifie qu’une intrusion peut d’information centralisés peuvent très bien fonctionner pour intervenir sans que personne ne s’en aperçoive. plusieurs types de systèmes d’information décloisonnés. 18 19
Vous pouvez aussi lire