Des risques globaux et des enjeux de puissance

Le rapport 2024 des risques globaux du World Economic Forum [1]  identifie comme principaux risques ceux liés au développement des technologies d'avant-garde, à l’accélération technologique et à l’évolution de la concentration et des sources du pouvoir géopolitique.

Les infrastructures numériques, les données et l’intelligence artificielle font partie des instruments du pouvoir et sont au cœur des questions de géopolitiques et de souveraineté des pays. Elles sont parties prenantes de tous les conflits actuels, de la guerre économique et militaire. La supériorité technologique permet d’affaiblir et de contraindre des adversaires et d’atteindre des objectifs stratégiques des États et des organisations. Ce qui explique la course à l’armement technologique sur terre, dans les airs et les mers comme dans l’espace et le cyberespace.

Les infrastructures, services, les données numériques, l’intelligence artificielle, le quantique et la cryptographie post quantique, sont des instruments du pouvoir des grandes puissances. Pourtant, tous les individus, toutes les institutions, tous les pays sont exposés à des cybermenaces et à des acteurs qui savent exploiter leurs vulnérabilités et les avancées informatiques.

Des cyberrisques structurels

Force est de constater que durant ce premier quart du 21ième siècle la dépendance aux technologies du numérique a augmentée mais que la qualité de leur sécurité est toujours insuffisante. Le nombre continuellement croissant de victimes de dysfonctionnements informatiques, de cyberattaques ou de fuites de données, témoigne de la fragilité de la société basée sur le développement des usages numériques.

Tous les rapports, qu’ils soient du fait d’entités commerciales ou d’agence étatiques [2], traitant de l’état des menaces et des risques cyber, sont unanimes : les risques et leurs conséquences relatifs à des défauts de sécurité augmentent.

Des sources d’insécurité 

Des entreprises licites commercialisent des logiciels espions [3] utilisés par toutes sortes d’acteurs, y compris étatiques, à des fins de renseignement et de surveillance, d’espionnage économique, industriel et politique.

Des points d’entrées dans des systèmes informatiques (portes dérobées, backdoors) inconnus des utilisateurs existent dès la conception des systèmes ou y sont installés afin d’en assurer leur prise de contrôle à distance à l’insu de leur propriétaire.

Des codes informatiques offensifs (virus, …) sont utilisés dans des contextes civil et militaire, en temps de paix et de conflits.

Des attaques par rançongiciel constituent toujours une menace en Suisse, comme le précise l’Office fédéral de la cybersécurité [4]. Partout dans le monde, le nombre d’organisations ciblées par des rançongiciels à des fins d’extorsions est toujours en pleine croissance, les collectivités publiques et les hôpitaux ne sont pas épargnés.

La démocratisation et la diversification des outils de cybermalveillance, leur usage facilité par tout un écosystème cybercriminel très bien organisé et très réactif, constituent des facteurs amplificateurs des cyberrisques.

S’il faut saluer les actions des forces de l’ordre comme celles liées au démantèlement en février 2024 de 34 serveurs (aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni) utilisés par le rançongiciel LockBit [5], cela ne suffit pas à enrayer la cybercriminalité, ni à faire stopper les cyberattaques.

Des produits et services numériques dont la sécurité et la robustesse sont insuffisantes, continuent à être commercialisés et à être largement utilisés. Des vulnérabilités existent [6] (également dans des solutions et des chaînes d’approvisionnement liées à la cybersécurité [7]), certaines sont connues et corrigées, d’autres pas. Ces vulnérabilités sont exploitées pour porter atteinte à la sécurité des systèmes informatiques, des organisations et des personnes qui en dépendent.

À ce jour, aucune initiative n’a permis d’arrêter l’exploitation des vulnérabilités techniques, organisationnelles et humaines, ni le déploiement des moyens pour en profiter.

La cyberrésilience révélatrice de l’impossible confiance

Le mot confiance (confidence, trust) fait partie de tous les discours de promotion du développement numérique et est souvent associé à la cybersécurité mais aussi à toutes sortes de noms et de superlatifs (Internet for trust, ICT for trust, digital trust, cyberconfidence, Trust Valley, Ulimited trust, économie de la confiance, etc. ).

Toutefois, c’est le concept de résilience qui se superpose à celui de confiance et qui devient un axe majeur du développement du marché, des services et des produits de la cybersécurité. En effet, il devient de plus en plus difficile de vendre un sentiment de confiance dans des infrastructures et services numériques alors qu’ils sont en permanence les cibles de cyberattaques parfois impossibles à éviter ou à maitriser.

Dès lors, devenir résistant aux intrusions informatiques pour assurer la continuité des affaires et du mode de fonctionnement des systèmes d’information est indispensable.

Ainsi l’aptitude à tenir le coup, à rebondir après un sinistre, est un moteur des bonnes mesures de cybersécurité à adopter pour résister à des crises Cyber. Ces dernières ne font que révéler les failles de sécurité ainsi que les défauts des mesures de prévention et de protection.

Les mesures de cyberrésilience permettent de réagir à postériori, lorsque le mal est déjà fait. Elles contribuent à faire de la cybersécurité en déplaçant la recherche d’efficacité des mesures de protection vers celles de détection et de réaction et de gestion de crises [8].

Être cyberrésilient c’est d’une part, accepter l’incapacité à empêcher la survenue de nuisances et d’autre part, être préparé à la crise qui viendra. Cela nécessite de disposer d’une organisation, des compétences, de procédures et d’outils pour maitriser l’adversité et les risques résiduels.

Les personnes du terrain en charge de produire concrètement de la sécurité informatique, savent que la confiance ne se décrète pas et qu'avoir un sentiment de confiance n’est pas équivalent à être en sécurité.

 Pour ces responsables, la cybersécurité peut se développer à partir seulement de la compréhension pleine et entière du concept de 0-trust (zéro confiance). Ce qui leur permet de gérer les risques et de combler les lacunes sécuritaires des systèmes dont ils ont la charge. Ils peuvent alors mettre en œuvre des mesures qui renforcent leur résistance face aux évènements non sollicités  et aux cyberattaques. 

La cyberrésilience est le symptôme qui révèle l’état d’insécurité numérique intrinsèquement lié à la manière de réaliser la dématérialisation des services et de développer l’économie numérique. Elle est également révélatrice des situations de crises et de conflits que nous traversons.

Les crises sociales, environnementales, économiques, politiques ou diplomatiques sont réelles. Elles semblent être constitutives de ce qui est désormais durable.

Cyber soumission et progrès

Le sentiment de supériorité peut se développer dans des situations de monopoles qui infériorisent ceux qui y sont soumis et qui sont sous l’emprise d’acteurs hégémoniques. Toutefois, quel que soient les avantages technologiques des pays ou des organisations par rapport à d’autres, l’état de supériorité technologique n’est pas compatible avec la réalité de leurs fragilités et insécurité numériques.

Idéologie et terreur sont selon Annah Arendt l’essence même du totalitarisme [9].

De nos jours des personnes vivent avec une idéologie de la toute-puissance technologique et dans la terreur de l’effondrement technologique.

Est-ce cela l’idée du progrès qui nous faisait rêver enfant ?

[1] https://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2024.pdf

[2] Citons par exemple les rapports "Panorama de la cybermenace" de l'Agence nationale de la sécurité des systèmes d’information et "Global Threat Report 2024" de CrowdStrike. 

[3] Pour ne donner qu’un exemple l’espiongiciel Pegasus est commercialisé par le NSO Group 

[4] https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2023/ransomware-2023.html

[5] https://www.europol.europa.eu/media-press/newsroom/news/law-enforcement-disrupt-worlds-biggest-ransomware-operation

[6] Cela peut concerner, par exemples, les produits Adobe, Zoom, Microsoft, Fortinet, Cisco, Apple, Google, Wordpress … selon le centre d’alertes et de réactions aux attaques informatiques européen (CERT-EU )  

[7] Exemple du cas SolarWinds

[8] « Cyber-résilience, risques et dépendances : pour une nouvelle approche de la cybersécurité ». S. Ghernaouti. Revue Sécurité & Stratégie N°11 du Club des directeurs de la sécurité des entreprises (Paris. décembre 2012). 

[9] “The Origins of totalitarianism”, Annah Arendt. 1951.