BFM Business Cybersécurité

Journaliste à BFM Business en charge notamment des questions de cybersécurité, je suis heureux de partager avec vous chaque semaine l’actualité du secteur mais aussi ma revue de presse et des tribunes

image_author_Frédéric_Simottel
Par Frédéric Simottel
18 oct. · 7 mn à lire
Partager cet article :

🚀 Définir une véritable politique de sécurité open source

La lettre de Frédéric Simottel °4

Et si quelques universités se lançaient ensemble pour mettre en musique les prémices d’un cloud de confiance sur la base de développements open source. Cette discussion, je l’ai tenue avec plusieurs DSI, pas plus tard que cette semaine. Mais cela implique quoi en terme de cybersécurité ? Je vous propose d’aborder ce sujet cette semaine dans cet édito. Bonne lecture - Frédéric Simottel

L’Open source comme gage de souveraineté numérique et pilier d’un cloud de confiance, l’idée n’est évidemment pas sotte et chemine depuis un moment dans la tête de la nouvelle génération de décideurs IT. Tout à fait conscients du retard pris par rapport aux grands acteurs américains. Ils sont de plus en plus à penser qu’une autre voie –européenne- est encore possible, grâce à … l’open source. Nous avons les compétences, un accès aux technologies de logiciels libres, et une règlementation européenne à venir qui devrait sous 5 ans aider à réviser les règles du jeu.

Il nous manque des financements massifs

Mais alors, depuis le temps que l’on en parle, pourquoi n’y allons-nous pas ? En fait, pour que la recette prenne, il nous manque quelques ingrédients essentiels : des financements massifs, des entreprises prêtes à jouer le jeu de la coopération en termes de maîtrise de la dépendance, d’exigence environnementale, il faudrait également une certaine immunité aux lois extra-européennes, et … un volet cybersécurité prédominant. On le voit, sur l’ensemble de ces points, l’open source apparait clairement comme une solution. Elle n’est certes pas la seule mais pour peu que l’on réussisse à y apporter des garanties de sécurité, de réversibilité et de création de nouveaux modèles économiques, cette voie peut être creusée. Au passage, elle peut être source d’attractivité pour les talents élevés au bon grain du logiciel libre.

Les obstacles restent cependant nombreux comme celle liée à l’application du Cyber Resilient Act. Plusieurs organismes open source viennent d’ailleurs d’adresser une lettre à l’Union Européenne affirmant que cette loi pourrait avoir un effet néfaste et dissuasif sur le développement de logiciels. Ils demandent donc à la Commission européenne de reconsidérer sa position. Des précautions sont certes à prendre, mais attention à ne pas brider l’innovation. Il est en effet loin l’époque où l’on pouvait affirmer qu’un logiciel open source était par définition plus sécurisé qu’un logiciel propriétaire-, La Fondation Linux a publié l’an passé un rapport intitulé The State of Open Source Security. Selon les 550 développeurs et experts en cybersécurité interrogés, un projet moyen de développement applicatif contient en moyenne une cinquantaine de vulnérabilités. La moitié des organisations sondée confient en outre ne pas avoir de politique de sécurité open source. Les développeurs logiciels assemblent du code existant à leur propre code, créant de potentielles failles de sécurité. A cela s’ajoute le temps de correction des failles qui a plus que doublé en 3 ans (49 jours en 2018 contre 110 jours en 2021).

D’où la recommandation de la Fondation Linux de définir et surtout de mettre en œuvre une véritable politique de sécurité open source ; et de déployer tant que possible des tâches automatisées pour adapter leurs réponses aux attaques.



LA TRIBUNE

Au cœur du réacteur de la formation en cyber

Depuis l’avènement de la disquette comme support d’échange et de transmission de logiciels, les virus et autres malwares ont commencé à circuler. Internet a servi de gigantesque amplificateur et accélérateur tandis que se “professionnalisaient” les activités de hacking, de plus en plus souvent rattachées à des Etats, dont elles complètent la panoplie d’outils de guerre économique. Qu’il s’agisse d’attaque ou de défense, les pays à la culture scientifique la plus développée, notamment en mathématiques et en cryptographie, sont devenus des leaders dans le domaine, qu’il s’agisse d’attaque ou de défense. La Cyber est ainsi devenue un enjeu géopolitique et un terrain spécifique de conflits comme l’illustre la création de branches dédiées dans certaines armées. Parallèlement, la possibilité d’utiliser certaines cryptomonnaies comme moyen d’obtenir des rançons a suscité l’intérêt d’organisations criminelles et leur financement. 

Il manque 15 000 experts cyber en France

Les attaques se sont en effet multipliées tout en visant désormais des infrastructures civiles, ce qui permet une médiatisation à grande échelle en vue d’accroitre l’impact sur les populations dont l’inquiétude est ainsi entretenue, comme en témoignent en France les paralysies successives d’hôpitaux à Corbeil-Essonnes et plus récemment à Versailles. Les gouvernements ont compris, souvent trop tard, l’enjeu d’intensifier et de structurer la défense de ces infrastructures (hôpitaux, centrales et réseaux d’énergie, …) notamment lors d’événements planétaires tels que les prochains Jeux Olympiques. La pénurie de compétences souligne alors le défaut de préparation et de formation en quantité : on estime ainsi qu’il manque environ 15 000 experts cyber actuellement en France, selon une étude du cabinet Wavestone publiée en 2022. Ils seraient près de 4 millions dans le monde. 

Prendre sa part est nécessaire dans ce contexte qui pose un triple défi : celui de la quantité de profils à former, celui des horizons de temps qui nous sont (im)posés, comme celui de leur diversité.

Les chiffres viennent d’être rappelés. Ils font étrangement écho à ceux du déficit d’ingénieurs que rappellent inlassablement des tribunes depuis plus de dix ans. Désaffection pour les sciences, baisse du niveau des collégiens et lycéens, fascination pour les métiers dits « du tertiaire », difficultés d’une génération de lycéens qui ont du affronter simultanément une crise sanitaire inédite par sa violence et sa durée, doublée d’une réforme du Bac … sans oublier le fait que nous nous privons de la moitié d’une classe d’âge en n’encourageant pas les jeunes filles à envisager des carrières scientifiques ailleurs que dans le domaine de la santé. Les vocations naissent au Collège et au Lycée, mais peu de filles s’autorisent à en rêver alors même qu’elles y excellent. Les stéréotypes ont la vie dure, comme celui du sweet à capuche, d’autant que la plupart des savoirs et des métiers en Computer Science restent mystérieux pour des conseillers qui n’y ont pas été formés. Notre inculture collective sur ces sujets de Tech reste profondément crasse chez nos dirigeants publics, et ce jusqu’au sommet de l’Etat. Voici pour la quantité.

Changer les mentalités pour féminise les métiers cyber

La question de l’orientation soulevée précédemment nous rappelle cruellement à quel point la démographie est inflexible tant son inertie est grande. Changer les mentalités à l’échelle, en ce qui concerne la féminisation des métiers de la Cyber, qui permettrait de doubler le vivier, prendra du temps : un à deux ans minimum pour former tous les conseillers d’orientation, qui doivent intervenir dès le Collège, suivis des années séparant les étudiantes ainsi sensibilisées jusqu’au Bac, puis de celles les séparant d’un diplôme ou d’une certification en Cyber. Les formations post-bac étant de durée variable, leurs effets sur le marché du travail s’étendront de quelques semestres à 5 ans pour les diplômes d’ingénieur. Tout ceci suppose bien sûr que les investissements et les efforts engagés, qui sont massifs, ne soient pas remis en cause lors des mandatures suivantes, et que les responsables politiques assument de maintenir des dispositions dont ils ne récolteront pas les fruits visibles durant leur mandat, et dont ils ne pourront donc se féliciter du bilan. Voici pour la temporalité.

Redéfinir les bons profils dont nous avons besoin

Il faut enfin cartographier plus finement les besoins en cyber. Le champ est extrêmement large, recouvre et combine des disciplines variées et complémentaires, qui vont du simple codage aux computer sciences, en passant par le design de systèmes d’information et la gouvernance d’entreprise, sans oublier la dimension juridique, la prévention comme la gestion de crise. Les profils ainsi recherchés couvrent une palette de disciplines et de degrés d’expertise bien plus vaste que le Pentest, et des environnements professionnels qui dépassent largement le cadre de nos agences civiles et militaires. Dans ce contexte notamment, il est utile de se souvenir que la première ligne de défense d’une entreprise est constituée de ses collaborateurs en place. Elle peut et doit être activée dès à présent, à travers des formations de reskilling et d’upskilling de collaborateurs qui ont l’immense avantage d’être déjà familiers de la culture de l’entreprise. La formation continue, l’Executive Education sont donc un maillon indispensable de la chaîne de formation, qui présente l’avantage de pouvoir être activé immédiatement et de produire des résultats plus rapidement. C’est pour cela que nous n’avons pas attendu. 

Depuis 1984, l’EPITA est connue et reconnue pour former aux Computer Sciences, en accueillant les étudiants post-bac en cycle préparatoire intégré, rejoints ensuite en cycle ingénieur par des élèves de classes préparatoires aux grandes écoles. La pédagogie de l’EPITA ne ressemble à aucune autre et s’appuie sur une philosophie fondée dès l’origine sur le « faire par soi-même ». Construite sur une infrastructure inédite à cette échelle (plus de 700 machines réparties dans 5 campus et totalement synchronisée, elle démarre avec la Piscine – inventée à l’EPITA – en première année de cycle ingénieur, suivie durant l’année de projets en groupe de plus en plus complexes qui assurent une montée en puissance et permettent la maîtrise fine d'une demi-douzaine de langages de programmation. C’est en quatrième année que nos étudiants choisissent alors leur spécialité, dont la célèbre Majeure SRS (Systèmes, Réseaux et Sécurité), qui conduira certains d’entre eux vers la Commandement de la cyberdéfense, l’ANSSI, ou la communauté du renseignement. 

Si les enjeux de formation sont fondamentaux, les enjeux éthiques le sont tout autant. Nous sommes une des très rares écoles où les étudiants sont formés à l’attaque : vous défendrez d’autant mieux une infrastructure si vous avez appris à vous mettre dans la tête de l’attaquant. Tout cet apprentissage de l’attaque est encadré par une formation extrêmement poussée aux règles juridiques et comportementales d’engagement : la tentation pour un étudiant de 20 ans est grande d’exploiter les failles qu’il a repérées. Notre responsabilité est donc de leur faire comprendre à quelle point la confiance en cyber est asymétrique. Il faut des (dizaines) d’années pour la construire, et un seul clic pour la détruire à jamais.  

Ce travail porte ses fruits ! L'École a accueilli pour la première fois en 2022 “Locked Shields”, un des exercices de cyberdéfense les plus importants au monde : depuis 2010, sous l’égide de l’OTAN, LockedShields mobilise plusieurs milliers d’experts de dizaines de pays de l’OTAN dans une simulation d’une attaque cyber de grande ampleur visant les infrastructures d’un État tout entier. Cette année encore l‘EPITA a été choisie pour héberger les 150 participants de l’équipe de France, membres du Commandement de la cyberdéfense, de l’ANSSI et de VIGINUM. Pour la première fois sont associés à cette équipe 4 étudiants de la Majeure SRS. 

Il y a de la place pour tous sur ce marché, qui exige en revanche une qualité et une exigence de formation à la hauteur des enjeux. 

“La Cyber, beaucoup en parlent, peu en font. À l’EPITA nous les formons.”

Philippe DEWOST
Directeur Général EPITA
Linkedin


Les chiffres de la semaine

  • 16 jours en 2022, contre 21 en 2021, telle est la durée moyenne de présence d’un attaquant sur votre réseau – ce que l’on appelle le Dwell time. Cela continue de baisser au fil des ans selon les indicateurs du rapport M-Trends 2023, mené par Mandiant Consulting (filiale Google).

  • 41% d’attaques en plus chaque semaine via les appareils IOT en 2022 par rapport à 2021. 54% des entreprises sont touchées à plus ou moins grave échelle. Beaucoup de chiffres intéressants dans le rapport Check Point Quantum IoT Protect qui vient d’être publié.


A ne pas manquer sur le web


...