Cybersécurité : mieux protéger impose la transparence des systèmes

Organisée par le Pôle de compétitivité Solutions Communicantes Sécurisées le 8 décembre, une table ronde "cybersécurité" conviait des représentants d’Amadeus, spécialiste des technologies pour l’industrie du voyage, et d’Eurecom, l’école d’ingénieurs des sciences du numérique à Sophia Antipolis. Ils réclament de nouvelles approches pour prévenir les cyberattaques.

Partager
Cybersécurité : mieux protéger impose la transparence des systèmes
Jérôme Brognier d'Amadeus présentant ses enseignements au Pôle SCS.

"On ne peut bien protéger que ce que l’on connaît, le premier enjeu de la cybersécurité est donc la visibilité", indique Jérôme Brognier, responsable du "Regional information Security Office" d’Amadeus pour l’Asie et le Pacifique. "Les produits sécurisés sont souvent les moins documentés. Or, pour améliorer un système, il faut comprendre comment il marche", avance de son côté Aurélien Francillon, professeur associé Département Réseaux & Sécurité d’Eurecom, l’école d’ingénieurs des sciences du numérique à Sophia Antipolis (Alpes-Maritimes).

Tous deux intervenaient lors des "Rencontres Business" initiées le 8 décembre aux Arcs-sur-Argens (Var) par le Pôle de compétitivité Solutions Communicantes Sécurisées en Provence-Alpes-Côte d’Azur qui compte plus de 300 membres et couvre quatre domaines : microélectronique, internet des objets, sécurité numérique, Big Data & intelligence artificielle. Dans leurs exposés, l’un et l’autre ne se sont guère montrés rassurants. A leurs yeux, les cyberattaques vont continuer de prospérer et de se diversifier, sans que les moyens de s’en préserver ne soient à la hauteur du risque.

Une menace génératrice d’une offre nouvelle

Jérôme Brognier a ainsi rappelé l’explosion des méthodes d’attaques venus d’acteurs de mieux en mieux organisés (groupes étatiques, "hacktivists", sociétés privées de services de cybercriminalité légales dans leur pays d’origine…) et aux motivations très différentes (vol de données, perturbations d’infrastructures critiques…). Spécialiste de l’industrie du voyage, Amadeus développe des solutions dédiées à 474 compagnies aériennes, 132 aéroports, à leurs prestataires, aux opérateurs ferrés ou maritimes, aux hôtels…

"Les événements se sont multipliés ces derniers mois, à l’image de la compagnie canadienne Sunwing qui a dû clouer au sol en avril 188 appareils après une attaque sur son 'Departure Control Systems' et n’a pu les faire redécoller qu’en mode manuel. Toutes les familles d’acteurs avec lesquels nous travaillons sont représentés dans la liste des incidents". Statistique du rapport sécurité de Microsoft à l’appui, il précise que les personnels et les réseaux sociaux continuent à rester le point faible principal.

"Ils sont la cible dans 71% des cas, les hackers vont au plus simple", poursuit Jérôme Brognier, en évoquant aussi l’essor de méthodes de plus en plus pointues de corruption. Amadeus a donc décidé d’aider ses clients à mieux se protéger. Une opportunité qui découle d’une demande expresse. "Les compagnies sont responsables de leur périmètre, mais l’une d’entre elles nous a sollicités pour un service managé, en nous disant qu’elle nous faisait confiance. Nous montons une offre cybersécurité de diagnostic, prévention et détection des menaces, protection et résolution des problèmes… Pour savoir quoi et où protéger sur notre marché, il est indispensable d’unir nos forces. Nous sommes ouverts à des partenariats avec des sociétés innovantes afin de mettre à profit nos expertises respectives pour notre industrie."

Un besoin de confiance à satisfaire… sous condition

Jouer cartes sur tables pour mieux adapter le combat contre la cybercriminalité, Aurélien Francillon le réclame également, d’autant plus qu’il constate sans cesse les failles des systèmes et objets connectés. "Depuis dix ans, nous en avons attaqué beaucoup pour les tester et leur sécurité reste insuffisante. Ils sont de plus en plus intégrés, de moins en moins chers, de plus en plus compliqués et les informations sur leur conception de moins en moins disponibles, même sur des outils d’éducation. Ce manque de transparence complexifie l’analyse de leur sécurité et peut amener de la suspicion alors que dans ce domaine, il y a un vrai besoin de confiance."

L’opacité pose un autre problème : sans possibilité de comparer et d’évaluer les objets sécurisés, difficile d’apprendre à les prémunir de faiblesses. Sans compter que plus de sécurité coûte. "Qui est prêt à en payer le prix ?" interroge le professeur.

Si le "Cyber-Resilience Act" sur les produits matériels et logiciels vise à améliorer la transparence en faisant peser la responsabilité de la cybersécurité sur leurs fabricants tout au long du cycle de vie de ces produits afin de garantir à leurs utilisateurs une meilleure protection contre d’éventuelles vulnérabilités, l’exigence n’est pas sans risque selon Fabien Aili, président du pôle SCS et directeur vérification d’identité, biométrie et IA de Docaposte. "Il va falloir trouver le bon équilibre entre le cadre réglementaire et l’innovation pour que le premier ne soit pas un frein à la seconde. Sinon, les start-up et les entreprises préfèreront s’implanter sur des pays plus simples que la France ou l’Union Européenne."

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS