Vous êtes en charge de la Chaire Castex de Cyberstratégie, pouvez-vous nous indiquer quels sont les objectifs de cette Chaire et en quoi peut-elle avoir une utilité pour les directions sécurité des entreprises ?
Le développement exponentiel et l’interconnexion croissante des systèmes d’information et de communications offrent d’immenses opportunités mais aussi de sérieuses menaces. La Chaire a pour objectif de développer la recherche fondamentale et appliquée en géopolitique du cyberespace afin de nourrir la réflexion stratégique face à ces enjeux dans le domaine politique, économique et militaire. Je souhaiterais en faire une plateforme de ressources et d’échange pour les chercheurs, les acteurs publics et privés concernés, ainsi qu’un vivier de compétences auquel les entreprises pourront faire appel. Parmi nos projets, nous travaillons à développer une cartographie géopolitique du risque qui inclut le risque cyber.
Quelles sont les grandes tendances que vous constatez en matière de cyber attaques ? Constatez-vous des évolutions marquantes au cours des dernières années et si oui lesquelles ?
Les attaques sont en pleine prolifération et touchent un nombre sans cesse croissant d’entreprises. La plupart sont en fait des attaques classiques de guerilla économique (espionnage industriel et technologique, renseignement) ou d’intrusions qui peuvent avoir des buts divers (hacking, criminalité). Les sites web des entreprises peuvent aussi être soumises à des attaques en déni de service, visant à les empêcher temporairement de fonctionner donc délivrer leurs services, ou de défacement portant atteinte à leur image. Enfin le risque de vol ou de pertes de données est important et peut avoir un impact important sur la réputation d’une entreprise et la confiance des clients ou des investisseurs. Toutes ces attaques ont un coût pour les entreprises, qui reste très difficile à chiffrer, d’où la difficulté à parler en termes de retour sur investissement. On redoute beaucoup aujourd’hui le développement d’attaques à but politique (sabotage, destruction, prise de contrôle des systèmes), comme la neutralisation des 30 000 ordinateurs de la compagnie pétrolière saoudienne Aramco en août 2012, d’où la multiplication des mesures visant à assurer la protection des infrastructures vitales. Or la définition de ce qu’est une infrastructure vitale est très politique, et nécessite dès lors une réflexion stratégique.
Comment les entreprises et les Etats font-ils face à cette nouvelle menace ? Leur réponse vous semble-t-elle adaptée ?
La réponse est extrêmement variable d’une entreprise à l’autre, elle va de la négligence totale à la mise en place de stratégies finement élaborées. Globalement toutefois, la sensibilisation aux risques est insuffisante et la réflexion stratégique n’est pas assez développée. La sécurité totale est illusoire et possède un coût économique, à la fois dans sa mise en œuvre mais aussi dans son impact sur le fonctionnement au quotidien. Il est dès lors essentiel de réfléchir à ce qui constitue une information stratégique pour une entreprise, afin d’en assurer la sécurité maximale, et la réponse n’est pas la même en fonction de la nature de l’activité ou de la taille de l’entreprise. Il faut par ailleurs mettre en place des pratiques qui permettent de limiter les risques sans entraver le fonctionnement —et donc la performance— de l’entreprise, et des procédures d’anticipation, de préparation et d’entraînement visant à réagir vite et efficacement en cas d’attaque. La sécurité des entreprises nécessite un investissement technique mais qui doit être adapté aux besoins de chaque entreprise et surtout pensé dans le cadre d’une stratégie globale, qui combine aussi l’intelligence juridique, économique, la veille stratégique, la formation des personnels, l’approche managériale. C’est d’abord et avant tout une affaire de gestion du risque.
