Les nouvelles menaces

Parmi les tendances 2019 à retenir de cette édition du FIC, figuraient, du côté des menaces :

• la crainte d’attaques aux impacts systémiques : après les attaques de type Wannacry et NotPetya du nom des ransomwares qui ont défrayé la chronique en 2017, « un Pearl Harbor numérique » est probable a estimé Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), rappelant le mot d’ordre de l’Agence : « tous connectés, tous impliqués, tous responsables » ;
• des attaques visant toutes les couches de l’espace numérique : les infrastructures (par déni de service ou par sabotage), les données (vol de données, ransomwares…) et les opinions publiques (« fake news »). Ces attaques peuvent toucher aussi bien des acteurs publics comme des États ou des OIV connus, que des acteurs privés comme des banques ou même des fintech, y compris par la propagation de fausses nouvelles pouvant influencer le cours en Bourse ;
• des menaces spécifiques visant le Cloud, l’Internet des objets (IOT) ou les systèmes industriels, notamment avec le développement dans le grand public d’appareils comme les enceintes connectées ou les « dash » d’Amazon ou de Darty, ainsi que de capteurs divers et variés dans le monde professionnel pour contrôler sa production ou son système de distribution (comme les réseaux de distributeurs de billets dans le monde bancaire) ;
• des attaquants protéiformes : en 2019 comme en 2018, les cyberattaques ne sont plus le fait de cybercriminels à la recherche d’argent facile. Elles peuvent également être issues du comportement agressif de certains Etats (et des entreprises qui leur sont affiliées), ou de la montée en puissance de groupes cybercriminels structurés visant alors des attaques de longue haleine ou des attaques motivées dans des buts idéologiques.

L’Europe et la sécurité « by design » en pointe de la défense

Face à ces menaces, une certitude se dégage désormais des allées du salon : la transformation numérique ne pourra plus se poursuivre sans garder la confiance des utilisateurs, et donc sans cybersécurité. Celle-ci devient progressivement un argument marketing. Avec tous les risques inhérents à des produits ou des offres vendues comme assurant la sécurité des produits ou des infrastructures, alors qu’elles ne reposent que sur du vent, comme le « green washing » de certaines solutions informatiques à la fin des années 2000. Parmi les solutions possibles, il y aura le « by design », qui consiste à intégrer la sécurité et la « privacy » [1] en amont des projets et à les gérer tout au long du cycle de vie des produits. Dans le même esprit, il faudrait remplacer le DevOps (où le développement applicatif se fait en parallèle de la mise en production en continu) par le DevSecOps, pour intégrer la sécurité informatique directement au cœur du processus de création d’un produit ou d’un service.

L’édition 2019 du FIC a également mis en avant l’émergence d’un « modèle européen » : grâce à un environnement législatif et normatif unique (RGPD, NIS, CyberAct) et à une volonté forte d’investissement, l’Union européenne est en pointe. Lors d’une keynote, Mariya Gabriel, Commissaire européenne à l'économie et à la société numérique a d’ailleurs présenté la feuille de route européenne en matière de cybersécurité.