Le 15 juillet 2017, Elon Musk, l’emblématique CEO de Tesla et SpaceX, déclare devant la National Governor Association, que l’avenir des véhicules autonomes est conditionné par la capacité à les sécuriser contre une attaque informatique massive. Rien de très surprenant quand on sait que quelques semaines auparavant, des chercheurs de la société chinoise Tencent ont réussi à prendre le contrôle à distance d’une Tesla modèle X par le biais d’une simple attaque informatique. Ces démonstrations de chercheurs ne viennent malheureusement que compléter les nombreuses menaces qui pèsent déjà sur les systèmes numériques que ce soit à des fins d’espionnage, de cybercriminalité, de déstabilisation ou de sabotage.

« Maitriser le risque lié à la numérisation »

Si les systèmes militaires comportent déjà de nombreux composants informatiques, les nouvelles capacités numériques et l’interconnexion croissante de ces systèmes vont augmenter significativement leur exposition au risque cyber. Les systèmes des industriels de l’armement ou de leurs sous-traitants, utilisés pour la conception et la maintenance de nos systèmes militaires représentent déjà une voie d’accès pour les attaquants qui voudraient atteindre nos capacités. La mise en place d’un cycle d’intégration quasi-continu, réalisée avec des techniques de développement comme les méthodes agiles ou le « devops », va là encore augmenter l’interconnexion de nos systèmes avec ceux des industriels et donc faciliter une attaque par ce biais.

Face à cette multiplication des systèmes et à leur imbrication croissante, le ministère des armées fait la promotion d’une approche par grande capacité militaire qui intègre non seulement les systèmes opérationnels qui participent à cette capacité mais aussi les systèmes des industriels qui servent à les concevoir et à les maintenir ou bien encore les systèmes de la DGA qui servent à les qualifier. Cette méthode, menée de concert avec la mise en oeuvre des mesures de la loi de programmation militaire précédente sur la protection des systèmes d’importance vitale, permet ainsi de réaliser une analyse de risque homogène sur l’ensemble de la capacité, d’identifier les points de vulnérabilité potentiels et d’en déduire les axes d’efforts à réaliser. Ce travail permet aussi de décliner une stratégie de lutte informatique défensive sur l’ensemble de la capacité qui permettra, en cas d’attaque sur un de ses constituants, de connaitre les impacts potentiels pour mettre oeuvre la stratégie de résilience de cette capacité.

Le succès de cette nouvelle approche est conditionné par une implication forte des principaux maitres d’oeuvre industriels sur la sécurisation de leurs systèmes de conception, de développement et de maintenance mais aussi sur la sécurisation de l’ensemble de leurs fournisseurs. Certains grands acteurs industriels européens sont déjà engagés dans cette démarche vis-à-vis de leurs sous-traitants que ce soit en leur proposant des solutions de sécurisation adaptées ou en leur imposant de respecter des critères de sécurité. Si cette démarche est aujourd’hui réduite à quelques secteurs industriels qui à l’image d’Elon Musk, ont pris conscience des risques liés à une attaque informatique, principalement en termes d’image ou d’impact systémique, il est certain que la plupart des secteurs vont évoluer dans cette direction.

« UNE APPROCHE PAR GRANDE CAPACITÉ MILITAIRE INTÉGRANT MAÎTRES D’OEUVRE ET SOUS-TRAITANTS »

« Vers une notation cyber généralisée »

La France n’est pas la seule à faire cette analyse, et de nombreux pays ou organisations internationales identifient le risque cyber comme une menace importante qui pèse sur les systèmes qu’ils veulent acquérir. S’ils comprennent parfaitement les nouvelles capacités offertes par le numérique, ils

Un expert cyber au travail

perçoivent aussi les dangers d’une mauvaise sécurisation. Que ce soit dans le domaine militaire ou le domaine civil, les appels d’offre internationaux comportent ainsi de plus en plus d’exigences de cybersécurité à la fois sur les systèmes qui doivent être livrés bien sûr mais aussi sur les systèmes de développement ou de maintenance. Ainsi, le département de la défense américain impose à l’ensemble de ses fournisseurs, par le biais des « Defense Federal Acquisition Regulation Supplement », des exigences fortes sur le niveau de cybersécurité de leurs systèmes d’information et de ceux de leurs sous-traitants.

La mise en place de notations cyber des entreprises a connu une croissance particulièrement forte outre-Atlantique ces dernières années, sous l’impulsion des assureurs ou des agences d’analyse de risque financier. Ce phénomène se transpose aujourd’hui à de nombreux domaines comme celui du transport maritime. Bon nombre d’acteurs de cette filière tels que Bureau Veritas, Lloyd’s Register ou bien encore la société norvégienne DNV GL ont mis en place leur propre système de notation cyber afin d’estimer le niveau de résistance d’un navire à une attaque informatique. Si ces systèmes de notation sont souvent plus qu’imparfaits car très superficiels, l’enjeu pour ces acteurs est d’abord de devenir une référence, quitte à pouvoir par la suite se faire financer pour des analyses plus approfondies, y compris par les notés eux-mêmes.

Tous ces exemples illustrent parfaitement que la capacité d’un industriel à maitriser sa cybersécurité et celles de ses produits deviendra bientôt un différentiateur si ce n’est un prérequis.

« La cyber, moteur de l’innovation numérique »

Les technologies développées pour la cybersécurité permettent certes de sécuriser des applications mais elles peuvent aussi être le déclencheur de nouvelles pratiques et de nouveaux modèles économiques.

C’est notamment le cas dans le domaine des moyens de paiements où l’apparition des cartes à puce sécurisées a permis de développer l’utilisation des cartes bancaire et fait de la société Gemalto un leader mondial. Les dérivés de ces technologies sont d’ailleurs encore utilisés aujourd’hui pour concevoir les équipements qui protègent les informations les plus sensibles du ministère des armées.

L’apparition de services sécurisé tels que Paypal, avec de nouvelles approches permettant à la fois de lutter contre la fraude, de rassurer les consommateurs et d’offrir une utilisation simplifiée ont fait exploser les paiements sur internet et permettent toujours à cette société de réaliser sur sa seule plateforme 80% des paiements en ligne. C’est encore le cas pour les technologies de « Blockchain », qui ont favorisé l’explosion de la monnaie électronique comme le Bitcoin et les autres crypto-monnaies. Ces techniques offrent en effet un système de régulation qui n’a pas besoin d’une autorité centralisée et qui s’appuie sur le collectif pour sécuriser les transactions. Elles sont déjà utilisées dans de nombreuses applications dans le domaine civil et pourraient s’avérer tout à fait pertinentes dans certaines applications militaires, comme la logistique, qui font intervenir de très nombreux acteurs dans des processus parfois difficiles à centraliser.

Tous ces exemples illustrent parfaitement que lorsque la cybersécurité n’est pas vue comme une fin en soi mais plutôt comme un moteur ou un facilitateur du numérique, elle peut être à l’origine de formidables développements économiques.

Enfin, il est difficile de ne pas mentionner l’impact qu’auront les différentes techniques d’intelligence artificielle, qui s’immiscent aujourd’hui dans l’ensemble des applications y compris la cybersécurité. De par leur caractère systémique, elles pourraient complètement bouleverser l’évolution de nos systèmes numériques selon qu’elles faciliteront leur sécurisation ou qu’au contraire elles seront mises à profit pour les pénétrer.