Ambiance un peu pesante au Forum International de la Cybersécurité, qui se tient actuellement à Lille. Sept mois après le début de l’affaire Snowden et des révélations qui ont suivi, ont sent désormais une certaine fébrilité parmi les experts de la cybersécurité. Car s’il y une chose que cet ex-consultant de la NSA a bien montré, c’est bien la faiblesse générale des systèmes informatiques.
Le thème de la séance plénière de ce matin a, pour le coup, été bien choisi: “La cybersécurité est-elle un échec ?” Pour David Lancey, futurologue et consultant, c’est une évidence: “Oui, la cybersécurité est un échec total, que ce soit au niveau de la régulation, des standards, de la gestion, des méthodes, des compétences ou de la technologie.” En particulier, il critique l’attitude des responsables informatique en entreprise, guidés davantage par le respect des normes ISO que la technologie. En somme, les responsables de sécurité se contenteraient trop souvent de cocher des cases dans des formulaires plutôt d’essayer de sécuriser réellement leurs infrastructures critiques. “Mais je pense que rien ne changera jusqu’à ce qu’il y aura un incident majeur, un genre de 9/11 du cyberespace”, ajoute-t-il.
Jérémie Zimmermann, porte-parole de l’association citoyenne Quadrature du Net, est du même avis, mais pas pour exactement pour les mêmes raisons.“Oui, c’est un échec, car on a oublié de mettre le citoyen au coeur de la cybersécurité. Or, la confiance est aujourd’hui rompue, à la suite des révélations d’Edward Snowden. Il faut remettre le citoyen dans la boucle. Les pouvoirs publics ne pensent qu’à le cyber-guerre. Faisons plutôt la cyber-paix “, explique-t-il.
Mise au pas des grandes entreprises
De son côté, Patrick Pailloux, directeur général de l’ANSSI, tente de relativiser. “La bataille n’est pas perdue”, souligne-t-il. Selon lui, la loi de programmation militaire (LPM), votée le 20 décembre, permettra de rattrapper un certain retard et de blinder les infrastructures critiques du pays. En effet, avec la LPM, une liste de 250 “opérateurs d’importance vitale” (OVI) a été établie. Cette liste est gardée secrète, mais il ne fait aucun doute qu’il s’agit là principalement des grandes entreprises: transport, industrie, énergie, etc. La nouvelle loi oblige ces organisations à se soumettre aux préconisations de l’ANSSI en matière de sécurité et de lui notifier les incidents de sécurité. “Cela n’existait pas avant. Nous sommes actuellement en discussion avec ces opérateurs pour définir les différents processus de collaboration. Nous devrions avoir un corpus reglementaire d’ici à fin 2014”, précise Patrick Pailloux, à l’occasion d’un atelier.
S’il est toujours bon de se remonter le moral, un certain sentiment d’impuissance ne peut pas être évacué. “Le scandale Snowden, au début, ne m’a pas particulièrement surpris. Mais au fur et à mesure que les révélations se poursuivent, franchement, je suis étonné. Ça va quand même très, très loin”, confie Jean-Marie Bockel, sénateur du Haut-Rhin.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.