Dans une interview exclusive, Arne Schönbohm, président du BSI (office fédéral allemand de la sécurité des technologies de l’information), révèle les menaces qui mettent à mal l’industrie informatique et comment chaque utilisateur peut individuellement contribuer à mieux sécuriser Internet.
Monsieur Schönbohm, d’après les statistiques actuelles, l’on s’attend à une forte croissance de la cybercriminalité en Allemagne cette année. Quelles en sont, selon vous, les causes ?
Schönbohm : D’après les informations et les évaluations du BSI, les menaces encore très nombreuses sont devenues plus diversifiées et présentent cependant une nouvelle qualité. Les attaques visent les principaux piliers d’une technologie et d’une architecture informatique sécurisées : les mécanismes de mise à jour, les processeurs et les technologies de cryptage. Les failles de sécurité du hardware tels que Spectre/Meltdown et Spectre NG ont le potentiel de rendre obsolètes les modèles de gestion actuels et les concepts fondamentaux de sécurité informatique. Les puces concernées sont utilisées des millions de fois et constituent le fondement de l’ordinateur moderne. C’est un nouveau type de problème.
Les services de police des Länder et du gouvernement fédéral constatent que la criminalité « ordinaire » gagne de plus en plus de terrain sur Internet. Les crimes tels que l’arnaque, le chantage, le vol, le trafic de drogue s’y transportent et s’ajoutent aux cybercrimes classiques comme le vol d’informations de compte, l’usurpation d’identité ou le piratage. Les criminels exploitent de manière extensive les possibilités de la numérisation, et nous leur facilitons toujours trop la tâche. Les produits issus des technologies de l’information et leurs logiciels présentent d’énormes défauts de qualité en matière de sécurité informatique. En dépit de toutes les mauvaises expériences, les utilisateurs ne sont pas encore suffisamment prudents.
Jusqu’ici, il n’y a que très peu d’entreprises qui sensibilisent leurs employés aux menaces comme l’hameçonnage et le thème de la cybersécurité n’est pas inscrit dans les programmes scolaires. Et pendant les vacances, l’attitude du « Rien ne m’arrivera » règne. L’essentiel est d’avoir un Wi-Fi gratuit. Que faudrait-il pour déclencher une « cyber-prise de conscience » ?
Schönbohm : J’espère vivement que cela n’attendra pas une vague massive de mauvaises expériences. De nombreux exemples en la matière viennent des pays étrangers. On peut citer les manipulations lors de la campagne électorale aux États-Unis, les attaques sur le réseau électrique en Ukraine, les incidents de production sur plusieurs jours et les entreprises paralysées dans de nombreux pays européens et aux États-Unis à cause du rançongiciel « WannaCry ». Les dommages dans le monde vont de quelques centaines de millions de dollars à quatre milliards de dollars. D’après les chiffres officiels, les rançongiciels ont causé au total plus de 8 milliards de pertes aux entreprises dans le monde en 2017.
Je continue à miser sur la sensibilisation des citoyennes et des citoyens, je compte sur la compréhension croissante de la notion de sécurité au sein des entreprises, je compte sur les efforts accrus de l’État pour poursuivre de manière conséquente l’élaboration d’un cadre juridique aussi rigoureux que flexible.
Nous avons jusqu’ici surtout fait face aux attaques sur les ordinateurs Windows et sur les smartphones Android, mais la prochaine vague pourrait plus que jamais nous échapper. Dans une maison connectée moyenne, la majorité des appareils dits intelligents ne sont pas du tout protégés ou le sont très peu, ce qui constitue un terrain de jeu idéal pour les cybergangsters. Redoutez-vous ce développement ou bien le BSI dit-il « Maintenant plus que jamais ! » ?
Schönbohm : Évidemment nous disons « Maintenant plus que jamais ». Nous ne pouvons et ne voulons en aucun cas arrêter la numérisation ni la freiner. Elle continuera à s’incruster profondément dans tous les domaines de la vie, elle révolutionnera les procédés de production dans les industries, elle constituera un véritable facteur de gestion et d’action gouvernemental. Ceci parce que sans aucun doute, elle présente pour chacun d’entre nous non seulement beaucoup d’avantages et de facilités, mais aussi des défis.
Cependant, la cybersécurité est essentielle. Nous devons agir face à la rapidité des innovations dans la numérisation. Nous devons maintenant continuer à accroître nos efforts pour concevoir une numérisation positive à travers la sécurité des informations. Il n’y aura pas de numérisation réussie sans cybersécurité. Tout comme il est politiquement et économiquement admis qu’on alloue un pourcentage bien déterminé du PIB au budget de la Défense, un pourcentage précis doit également être affecté aux dépenses liées aux technologies de l’information pour la conception sécurisée de la numérisation.
Partout dans le monde, les utilisateurs peuvent se procurer un nouveau produit sur Internet et l’intégrer ensuite dans leur réseau à domicile. Ne doit-on pas déjà faire pression sur le fournisseur bien avant la vente et lui imposer à des mesures de protections certifiées ?
Schönbohm : Oui, c’est l’idéal et c’est important. La sécurité des produits, services et systèmes informatiques utilisés dans l’administration publique, dans l’économie et chez l’utilisateur final doit de prime abord être garantie par « Security by design » et « Security by default ».
Sur cette question, l’Allemagne doit prendre les devants. Dans la Stratégie de cybersécurité pour l’Allemagne (Cyber-Sicherheitsstrategie für Deutschland), publiée en 2016, le ministère de l’Intérieur allemand annonçait déjà le lancement d’un label qualité pour la sécurité informatique. Ceci a été acté dans l’accord de coalition en 2018. Aujourd’hui, le BSI certifie déjà des produits qui sont la plupart du temps utilisés dans les projets de numérisation du gouvernement fédéral. Les procédures existantes doivent être davantage développées de manière adéquate pour prendre en compte les produits et les services destinés au marché de consommation. Le BSI y travaille actuellement. Nous accordons une très grande priorité à la protection numérique du consommateur.
Le centre de veille et d’analyse informatique (IT-Lage- und Analysezentrum) du BSI observe vingt quatre heures sur vingt quatre sur la situation sécuritaire et déclenche l’alarme en cas d’incident critique. Comment cela profite-t-il aux utilisateurs et est-il possible d’apporter une contribution individuelle pour améliorer davantage la cybersécurité ?
Schönbohm : Lorsque survient un incident de cybersécurité, nous alertons les personnes concernées, les infrastructures critiques par exemples, directement ou via nos réseaux tels que l’Alliance pour la cybersécurité (Allianz für Cyber-Sicherheit). Nous informons également les fournisseurs de service Internet et leur transmettons nos connaissances afin qu’ils puissent informer leurs clients. Ou alors nous sommes sur le terrain avec une Mobile Incident Response Team (MIRT), équipe mobile de réponse aux incidents, pour accorder une véritable assistance et réparer l’infrastructure informatique après une attaque. Cela profite aux institutions publiques, aux infrastructures critiques à l’économie et aux citoyennes et citoyens.
Et ceux-ci peuvent également contribuer à améliorer un peu plus la cybersécurité. En évitant d’ouvrir chaque e-mail, en n’envoyant pas leurs informations de compte dans le monde entier, en utilisant des technologies de cryptage, en vérifiant tout simplement qu’ils ont bien utilisé les mises à jour de sécurité, comme ils vérifieraient que leurs portes et fenêtres sont bien fermées et que leurs objets de valeur sont en lieu sûr. Si nous apprenions à prendre autant soin de notre propriété virtuelle que nous le faisons avec notre propriété physique, beaucoup aurait déjà été fait.
Interview réalisée par @AxelTelzerow