Une pluie torrentielle s’était abattue en soirée le jeudi 25 novembre sur le site de « thecamp » à Aix-en-Provence. Malgré ces intempéries dignes d’une cyberattaque météo, le groupe Provence de l’association CentraleSupélec Alumni a réuni plus de 130 participants à la conférence-débat « Cybersécurité : tous concernés, tous connectés, tous protégés ? », avec le général Denis Mercier.

L’orateur, le général Denis Mercier, dont la carrière civile et militaire est riche d’expériences, a tenu le public en haleine avec un exposé très dense, ponctué de fait marquants. Il a su illustrer et démonter les méandres de la réalité de la cybersécurité. 

Les risques sont présentés en trois catégories, cybercriminalité, cyberespionnage et dommages collatéraux lors d’attaques étatiques.

Les chiffres de la cybercriminalité sont vertigineux : 1 000 milliards de dollars pour l’année 2020 et 6 000 milliards de dollars prévus pour 2021. 74 % des organisations publiques et privées ont été touchées par des cyberattaques réussies. On estime que 68 % d’entre elles ont payé une rançon. Celles qui refusent de payer risquent de voir leurs données diffusées dans le domaine public.

Avec un ticket technologique très faible et un rapport bénéfice / risque très élevé, la cybercriminalité se propage dans tous les domaines d’activités. Des exemples récents : la fermeture de 45 hôpitaux au Royaume-Uni, une paralysie des télécommunications en Espagne, des usines Renault arrêtées plusieurs jours, France Télévision, TV5 Monde et M6… Outre le paiement des rançons, c’est la reconstruction des systèmes d’information qui peut être particulièrement coûteuse pour l’entreprise. Les cyberescrocs professionnels ne sont pas des Robin des Bois !

La pratique de l’ingénierie sociale et d’influence augmente considérablement le niveau de risque et le nombre de cibles. De faux mails professionnels et personnels, complétés par les technologies de « deep fake » audio imitant parfaitement la voix des responsables d’entreprise, permettent des arnaques audacieuses. L’activité de l’entreprise est analysée avec précision et le moment de la cyberattaque optimisé.

Le cyberespionnage, économique et étatique, se caractérise par un état de crise permanent : l’alternance temps de paix / temps de guerre n’existe plus. Des virus dormants agissent au bout de plusieurs mois, exploitent des failles de sécurité et ainsi infectent l’ensemble des utilisateurs. Les dommages peuvent être très pénalisants et destructeurs. Les exemples se multiplient : destruction d’équipements dans une usine d’enrichissement d’uranium, des pays privés d’électricité et de carburant… Denis Mercier insiste notamment sur l’importance des cyberattaques subies par les sous-traitants des grands comptes en charge de ressources d’« importance vitale » des États.

Cyberdissuasion et cyberdiplomatie, lutte contre certains États abritant de véritables armées secrètes, guerre diplomatique dans un environnement sans foi ni loi… Ainsi la Russie, par exemple, installe des armées de hackers en Crimée et propose d’intervenir si la communauté internationale reconnaît sa souveraineté sur cette région !

Les organisations de Défense nationale ont l’avantage d’avoir des réseaux ségrégués, moins ouverts, qui assurent une meilleure protection. La coopération cyber entre alliés est très active : définition commune d’infrastructures critiques, de seuil d’intervention, avec des entraînements collectifs et des tests réels de pénétration à l’échelle des pays. Seules les forces armées sont dotées d’une capacité cyberoffensive. L’Anssi, Agence nationale de la sécurité des systèmes d’information, développe des capacités défensives d’accompagnement et de veille.

Denis Mercier termine son exposé sur une note d’espoir grâce au développement des parades techniques et en mettant en valeur le renforcement de l’expertise française en termes de formation et de recherche. La création de nouvelles filières de formation d’ingénieurs et de techniciens se développe dans de véritables cybercampus, où les mondes académiques et industriels, civils et militaires construisent ensemble dans la voie de la transformation digitale.

Bruno Charrat, directeur du programme cybersécurité au CEA, Yann Pugi, directeur de la sécurité d’Airbus Helicopters, Philippe Proust, directeur du segment cybersécurité de Thales Group, et Pierre Grand-Dufay, président de Tertium.

Au cours de la table ronde qui a suivi la conférence, des témoignages d’acteurs du quotidien au sein des entreprises ont permis de préciser et d’illustrer par des cas concrets les propos de l’orateur. Le Mastère Spécialisé CyberSCID proposé par l’École de l’air et de l’espace, Centrale Marseille et le CEA ainsi que notre école CentraleSupélec ont été mis en valeur.

Un auditoire de qualité, en la présence exceptionnelle de Dominique Abriol, général commandant l’École de l’air et de l’espace, de nombreux élèves-officiers, de chefs d’entreprise et d’experts, a participé au débat.

Des questions sur la normalisation en cybersécurité et l’avènement des ordinateurs et des calculs quantiques (cryptographie) se sont succédé et ont révélé le grand intérêt du sujet.

Un pot convivial a permis de poursuivre les échanges.

Pascale TEMIN (ECP 86), présidente du groupe CSA Provence