Cybercriminalité, les nouveaux risques : analyse de notre partenaire Montreal Associates
Nous sommes partenaires de Montreal Associates, agence spécialiste du recrutement de profils informatiques. Après nous avoir présenté leur point de vue sur l’évolution de ces métiers, nous avons discuté avec eux des principaux risques en matière de sécurité des systèmes d’information.Comment former les professionnels de l’informatique aux nouveaux risques, tels que le cyber-terrorisme ? Quelles solutions de sécurité pour les sites e-commerce, particulièrement visés par les hackers ? Quelle attitude adopter en tant que professionnel face à l’augmentation de ces actes de malveillance ? Nathalie Calichiama, responsable de l’offre cybersécurité de Montreal Associates, nous livre de précieux conseils sur ces questions, en analysant notamment de récents événements en matière de cybercriminalité.
1- A chaque nouvelle invention, de nouveaux risques (piratage de drones ou d’objets connectés) surviennent. Comment les professionnels de l’informatique sont-ils formés à ces nouveaux risques ?
Communication et échanges entre professionnels demeurent aujourd'hui la meilleure façon de se former aux nouvelles technologies et donc d'être préparé aux nouveaux risques. Conférences internationales, challenges, communautés Web, évènements cyber ou encore recommandations de bonnes pratiques et guides techniques des institutions permettent aux professionnels de la sécurité informatique d'être à la pointe des dernières technologies afin de faire face aux nouveaux risques et à une menace grandissante. Les formations en cybersécurité sont souvent dispensées par les experts eux-mêmes. Certes des organismes de formation reconnus se sont saisis de la question mais l'offre sur le marché ne permet pas aujourd’hui de répondre à la demande et surtout aux dernières innovations techniques. Seuls les échanges concrets, les partages de retours d'expérience et une communication qui se veut grandissante sont à même de répondre au besoin de formation des professionnels de la cybersécurité.
2- Avec la recrudescence des attaques et du cyber-terrorisme, les recrutements informatiques sont-ils en hausse ?
Il est indéniable que les grandes entreprises cherchent à renforcer leurs équipes informatiques : il s’agit d’assurer la sécurité de leurs systèmes d’information et de protéger leurs données face au risque croissant de sabotage ou de piratage lié à l'explosion des nouvelles technologies. Aujourd’hui, tous les secteurs d’activité sont concernés et il n’y a pas assez de ressources pour répondre à une demande croissante. Tout d’abord, les formations universitaires ou en écoles d'ingénieurs existantes sont récentes et les filières en sécurité informatique pas forcément bien connues ou prisées des jeunes. Souvent, ceux qui ont choisi la filière informatique sont ceux qui, dès leur plus jeune âge "sont tombés dedans". La filière sécurité demeure souvent une spécialisation de dernière année ce qui diminue d'autant plus le nombre de futurs spécialistes. Aussi, il existe une forte concurrence internationale pour recruter ces jeunes recrues. L'attrait de l'expérience professionnelle à l'étranger ne cesse de croître. Par ailleurs, beaucoup de jeunes diplômés en sécurité informatique arrivent sur le marché du travail avec l'idée d'être manager avant même d'avoir mis les mains dans le cambouis. Ils ne sont donc pas toujours opérationnels, ce qui demande aux entreprises d'investir sur du long terme, par la formation, pour les adapter au contexte de l'entreprise. S'agissant des profils plus confirmés ou seniors, les niveaux de salaire sont élevés et les candidats disposent la plupart du temps de plusieurs offres alléchantes proposées par des entreprises ou organismes publics qui ne cessent d'innover pour les attirer.
3- Un piratage de la blockchain de 50 millions de dollars est survenu récemment. Que pensez-vous de la sécurisation de ce nouveau transfert type bitcoin?
Le concept de la « blockchain » n'est pas vraiment nouveau. On peut comparer le principe à une boite dotée de deux serrures différentes : lorsque l'on ferme la boite d'un côté, seule la clé correspondant à l'autre serrure permet l'ouverture de la boite et vice-versa. Une des clés est privée et conservée secrète, l'autre est dite « publique » et un exemplaire peut être obtenu par quiconque souhaite utiliser la boite. Un fichier de transfert « bitcoin » est non seulement chiffré mais en plus signe via une somme de contrôle (ou « hash ») qui permet d'obtenir une empreinte numérique unique par fichier. Dans la dernière affaire de piratage, le hacker a utilisé une faille du code alors que toute la philosophie de la blockchain repose justement sur le remplacement de l'intégrité humaine, incertaine, par celle du code, difficilement lisible et assimilable rapidement (le programme parfait, sans bugs, ni failles, est difficile voire impossible à créer). Il faut en tirer comme leçon qu'une faille de sécurité peut être repérée à tout moment dans les systèmes informatiques et qu'il est de la responsabilité des entreprises de prendre en considération que le risque zéro n'existe pas. Il y aura toujours des pirates informatiques, plus audacieux et plus inventifs. La loi sur la sécurité du numérique, encore balbutiante, doit être pensée et élaborée afin d'encadrer au mieux de tels risques et permettre de définir les responsabilités de chacun. Dans l'attente d'un cadre règlementaire plus élaboré, les entreprises devront peut-être avoir recours à des équipes de hackers pour repérer les failles de sécurité et éviter les pertes financières. La blockchain a toutes les chances de se populariser mais en l'état, il s'agira de gérer l'humain et ses travers avant de parvenir à un système vraiment fiable.
4- Les sites e-commerce sont de plus en plus piratés et cela peut arriver également aux grandes marques, à l’instar du site Castorama. Comment mettre en place des barrières de sécurité suffisante pour éviter de tels bad buzz ?
Limiter les risques de sécurité pour éviter les bad buzz, c'est commencer par vérifier les bases. Dans le cas de Castorama, il semble qu'une erreur de configuration du moteur de recherche soit à l'origine du bug. Des personnes malveillantes ont donc utilisé la faille pour entrer des données non appropriées dans le moteur de recherche à saisie semi-automatique. La première barrière de sécurité consiste donc à maitriser ce que l'on met en ligne et disposer des moyens suffisants, matériels et/ou humains pour contrôler son intégrité. Cela implique l'application d'une charte de sécurité interne de l'entreprise. La première faille de sécurité c'est l'erreur humaine et matérielle. Les entreprises doivent prendre conscience désormais qu'une seule erreur informatique peut leur couter des centaines de milliers d'euros de pertes. Il est donc primordial, lorsque l'on est visible sur la toile de disposer des moyens de sécurité suffisants pour s'y déployer avec le minimum de risques possibles et d'avoir la capacité de réagir rapidement face à un problème de sécurité visible par la communauté web. Dans ce cas de Castorama, la perte de clientèle aurait pu être catastrophique si la fermeture du site web avait duré plus longtemps. C'est l'image et donc la crédibilité de l'entreprise face à sa clientèle qui ont été mise en jeu.
5- Tout le monde peut devenir pirate à l’heure actuelle. Il suffit de commander un hacker freelance sur la toile pour quelques centaines d’euros. Que pensez-vous de cette évolution et comment lutter contre cette banalisation ?
Eduquer les jeunes, les former dès leur plus jeune âge, accompagner et sensibiliser les entreprises sur les risques de sécurité informatique et leurs conséquences, former les salariés aux bonnes pratiques...Toutes ces actions contribuent à lutter contre la banalisation du piratage informatique. Il s'agit de construire un cadre éthique de bonne conduite, donner des bases et des repères au plus grand nombre. Il y aura toujours des personnes mal intentionnées et prêtes à des actions malveillantes contre rémunération. Il est de la responsabilité des institutions de construire un cadre légal sur lequel les entreprises pourront s’appuyer. Ce cadre permettra de définir les responsabilités et les devoirs de chacun en matière de sécurité informatique. En attendant, nous devons composer avec les moyens existants et bien différencier le pirate informatique du hacker éthique.
6· Autres que les TPE/PME, quelles précautions sont à prendre pour les particuliers et dirigeants ? On a récemment vu Mark Zuckerberg masquer sa webcam sur son Macbook. Paranoïa ou vraie astuce anti-piratage ?
Un hacker qui pirate une machine a l'accès total aux différentes fonctionnalités : camera, mots de passe, fichiers, ... Masquer sa webcam ? Pourquoi pas si l'on veut éviter de se retrouver filmer à son insu. Mais si la webcam a été piratée cela implique également que l'ordinateur est compromis et que les données ne sont plus protégées. La vraie astuce consisterait à appliquer les règles de bases de sécurité : mots de passe de qualité, systèmes d'exploitation et logiciels à jour, sauvegardes régulières des données, désactiver par défaut les composants ActiveX et JavaScript, ne pas cliquer trop vite sur les liens envoyés par emails, contrôler la diffusion d'informations personnelles sur Internet... Ces principes de précaution permettent d'éviter la prise de contrôle à distance par une personne mal intentionnée. « Internet est une rue peuplée d'inconnus : il faut rester vigilant. », rappelle l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans ses 10 règles de bases de la sécurité de l’internet.
Merci à Nathalie Calichiama pour cet interview riche en enseignements !
Vous souhaitez en savoir plus sur les métiers de l’informatique ? Découvrez notre infographie sur ce secteur qui ne connaît pas la crise.