Les cyber-menaces

The scope and severity of global cyber threats and how we respond to it will have far-reaching consequences for the future of the Internet.
cyber-threats

Aperçu

“Les attaques menées contre les entreprises et les nations font la une des media tellement souvent que nous sommes devenus indifférents face au volume considérable, et à l’accélération, des cyber-menaces.”1 2016 Norton Cyber Security Insights Reporthttps://us.norton.com/cyber-security-insights Pour autant, notre dépendance à Internet ne fait que s’accroitre, et l’ampleur et la gravité des vulnérabilités et défis de sécurité ne feront que s’intensifier. La cyber-sécurité sera le problème le plus grave à affronter au cours de la prochaine décennie. Les réponses, jusqu’ici, ont été totalement insuffisantes et les coûts montent en flèche.

Les cyber-menaces et les cyber-crimes vont façonner Internet, tout autant que notre relation au monde virtuel. Tant que la gestion des cyber-menaces restera inefficace, les utilisateurs seront de plus en plus en danger, leur confiance en Internet va baisser et le réseau lui-même perdra sa capacité à stimuler l’innovation économique et sociale. Des réponses gouvernementales disproportionnées et reposant sur de mauvaises informations vont mettre en péril les libertés et contribuer à créer un climat de peur et d’incertitude. La manière dont nous allons réagir face au nombre grandissant de cyber-attaques et de cyber-crimes est une question fondamentale ; de la réponse dépendra largement l’avenir d’Internet.

L’essor continu d’Internet dépendra de la manière dont nous allons répondre, collectivement, au volume et à l’ampleur des cyber-menaces.
Les gouvernements subissent des pressions pour répondre aux cyber-menaces, et les impératifs de la sécurité nationale risquent de prendre le pas sur les libertés et l’accès à Internet.
Il est urgent de créer de nouveaux modèles en termes de responsabilisation, d’incitation et d’imputabilité, non seulement pour renforcer la cyber-sécurité et réduire les vulnérabilités, mais aussi pour garantir la sécurité de l’utilisateur final.
Face à la complexité et à l’ampleur des cyber-attaques, pour que l’économie numérique se développe et pour que la confiance dans Internet reprenne ses droits, il faut apporter des réponses fondées sur l’expertise et émanant de l’ensemble des parties prenantes.

Explore how Cyber Threats relates to:

Des menaces diverses en augmentation

L’ampleur des cyber-attaques est en augmentation, et beaucoup envisagent des cyber-attaques graves dans l’avenir. Nous voyons déjà des attaques à l’échelle nationale et il est facile d’imaginer une épidémie d’attaques numériques qui paralyse des pans entiers de l’économie. Comme le note un analyste nord-américain : “nous attendons le Pearl Harbor numérique…”

Internet devient indissolublement lié à la sécurité nationale, ce qui signifie que les stratégies défensives et offensives adoptées façonneront l’avenir d’Internet, autant pour l’industrie que pour les utilisateurs individuels. Le cyberespace est désormais considéré comme la cinquième dimension de la guerre2 http://securityaffairs.co/wordpress/48484/cyber-warfare-2/nato-cyberspace-warfare-domain.html , même si les règles d’engagement ne sont pas délimitées.

La menace d’un cyber-conflit destructeur ne va faire qu’empirer lors de la prochaine décennie. Les Etats nations seront à l’origine de ces conflits mais aussi leurs représentants, sans oublier des mouvements politiques indépendants et le secteur privé. Ces cyber-conflits vont s’accompagner de campagnes de désinformation et de propagande visant à déstabiliser des Etats et des économies. Les récentes cyber-attaques semblent avoir été lancées dans le but de déstabiliser des systèmes politiques – ce qui est particulièrement inquiétant. Elles augurent d’un avenir où les structures étatiques seront érodées, tout autant que les valeurs qu’elles représentent.

“(en réponse aux menaces grandissantes de cyber-attaques), les gouvernements accordent de plus en plus d’importance aux questions de cyber-sécurité et renforcent l’adoption de diverses mesures de protection d’ordre politique et technologique, tout en améliorant la coopération internationale.” Communauté technique, Asie Pacifique
“Je suis inquiet de constater que nous utilisons les cadres réglementaires du 20ème siècle pour résoudre les problèmes numériques du 21ème siècle.” Société civile, Amérique latine et Caraïbes

Tout se mêle au sein du réseau numérique, des ampoules à la santé en passant par les voitures, et les utilisateurs deviennent de plus en plus vulnérables aux cyber-attaques. La vision étroite qui prévaut actuellement pour protéger les infrastructures critiques, serait inefficace dans une société et une économie hyper-connectées, où l’ensemble des infrastructures numériques sont critiques.

“Je pense que le gouvernement va soit embaucher des hackers blancs soit débaucher des hackers pour les transformer en hackers blancs.” Membre de l’Isoc, Moyen-Orient

Les modèles commerciaux vont dépendre de plus en plus des sources de données ainsi que des données interconnectées et de leur analyse, ce qui va générer plus de vecteurs d’attaques. Les « données sont le nouvel or noir”3 http://fortune.com/2016/07/11/data-oil-brainstorm-tech/ , et les fondements de la future économie sont fragilisées par le hacking et le vol de données. Pour qu’Internet demeure une plateforme de croissance sociale et économique, les utilisateurs ont besoin de faire confiance aux agences gouvernementales et aux entreprises qui collectent et utilisent leurs données, ainsi qu’au fait qu’elles vont être efficaces pour lutter contre les cyber-menaces.

"On voit beaucoup trop de modèles économiques en ce moment qui reposent sur la collecte et l’analyse de données, sans compréhension de la sécurité de ces données, notamment quand les caisses de l’Etat ou de l’organisation qui les récoltent sont vides. Les administrations publiques ne font pas exception, et sont sans doute les cibles les plus fragiles." Communauté technique, Europe
Appartenant à

Et si… le monde coopérait véritablement afin de réparer les vulnérabilités de type « jour zéro » et nous mettait tous en sécurité dans le même temps ?

Sauver le monde, une vulnérabilité « jour zéro » à la fois

2019 et 2020 furent des années douloureuses – les cyber-attaques dévastatrices (plusieurs utilisant des vulnérabilités de type « jour zéro ») étaient devenues monnaie courante. En dépit de réunions sans fin, ayant pour but de rebâtir la confiance perdue, les Etats étaient en incapacité totale de se mettre d’accord sur une norme quant à la gestion et le stockage d’erreurs de type « jour zéro ». Après toutes ces discussions, le résultat restait un cercle vicieux : manque de confiance amenant encore plus d’accusations ; des résultats désastreux pour les utilisateurs finaux, d’où une confiance encore plus ébranlée, et ainsi de suite.

Des réactions insatisfaisantes et leur impact sur la confiance

L’ampleur accrue des cyber-attaques met l’ensemble de la société en danger, pas seulement les utilisateurs d’Internet ; ces attaques vont du hacking de réseaux pour voler des informations personnelles (informations financières, numéros de passeport, etc) à des atteintes à la sécurité qui affectent le monde réel et des attaques qui mettent en danger les processus démocratiques. Les cyber-menaces sapent la confiance dans Internet mais aussi dans les institutions et les processus politiques dont les citoyens dépendent.

L’ensemble des parties prenantes à travers le monde pense que les avantages d’Internet l’emportent sur les risques, mais beaucoup pensent que le niveau de risque est de plus en plus élevé.
“Nous n’avons pas encore inventé « la journée sans Internet ». La tendance est de continuer à utiliser Internet malgré les inquiétudes sur la confiance.” Secteur privé, Europe

L’ensemble des participants, quelles que soient leurs origines géographiques ou sociales, s’attend à des investissements massifs dans l’innovation et la sécurité d’Internet à l’avenir. Ce point de vue est cohérent avec celui de Gartner Research, qui prévoit une dépense de cyber-sécurité de 92 milliards de dollars en 2017, et de plus 113 milliards en 2020.4 http://www.gartner.com/newsroom/id/3638017 Si toutefois les parties prenantes ne collaborent pas entre elles, ces investissements seront bien loin du compte.

“Dans un monde idéal, la sécurité informatique est à la base de tout ; l’idée se répand, et les gens l’adoptent : la sécurité des réseaux, des utilisateurs, des données et des infrastructures, tout est relié et fait partie de la sécurité nationale. Les gens qui ont une vision plus globale de la sécurité se rendent compte, clairement, qu’une petite brèche quelque part a un impact sur l’ensemble." Universitaire, Amérique du nord

Ni le gouvernement, ni le secteur privé ne peuvent affronter seuls les cyber-menaces, leur ampleur et leur impact. Internet repose sur l’interconnexion, ce qui signifie que des actions menées de façon isolée par des parties prenantes, aussi nécessaires soient-elles, seront peu efficaces pour résister à, voire éliminer des cyber-menaces. Les gouvernements se sentent poussés à “faire quelque chose” face à des cyber-menaces de plus en plus audacieuses, et nous nous attendons à de plus en plus de réactivité de leur part. Pour autant, ces réactions risquent de ne pas être très efficaces, et pourraient aboutir à des réglementations d’une ampleur disproportionnée. Pour être efficace et construire des réseaux résilients, il faudra partager l’information, avoir une vision stratégique et entamer une concertation collaborative entre les parties prenantes.

“Si nous ne sommes pas capables de contrer ces menaces, nous avons toutes les raisons d’être pessimistes.” Communauté technique, Afrique

Selon la manière dont les parties prenantes s’adaptent aux futures cyber-attaques, nous risquons de voir un Internet ouvert et collaboratif se transformer en un réseau fragmenté, fermé mais “sûr”. Si l’architecture et les principes de base étaient modifiés, nous serions face à un avenir de type dystopie où la règle devient : des réseaux cloisonnés, des accès filtrés et des utilisateurs totalement visibles (plus de cryptage, d’anonymisation ou de respect de la vie privée).5 It’s important to note that this drive toward walled gardens could come through a security lens and not, as typically expected, through lack of competition [community data result].

“On parle beaucoup de sécurité et de cryptage, mais les utilisateurs ne sont pas prêts à adopter des usages qui les gênent, ne serait-ce qu’à la marge. Je soupçonne que dans 5 ans, nous serons toujours en train de parler de l’importance de la sécurité, et que l’environnement le sera encore moins.” Communauté technique, Amérique du nord

Dans un tel monde, les intérêts de sécurité nationale prendront le pas sur les droits et les libertés. Quoiqu’il arrive, nous pensons que le bras de fer va se poursuivre entre les intérêts apparents de la sécurité intérieure et les mesures de sécurité concernant les utilisateurs (le cryptage, par exemple).

“Dans ce conflit entre la sécurité et le respect de la vie privée, l’issue est incertaine. Le cryptage sera peut-être illégal dans un certain nombre de pays, ou d’autres vont l’adopter ; les conséquences sur les flux de données transfrontalières sont énormes et dangereuses.” Secteur privé, Europe

Tout déni ou réduction des droits et des libertés aura pour conséquence une perte de confiance dans Internet, et entravera sa capacité à impulser l’innovation économique et sociale.

“Je crains que les gouvernements, sous le prétexte de protéger leur sécurité et leur souveraineté nationales, fassent un usage accru de la censure et opèrent des coupures d’Internet de plus en plus fréquentes. L’issue est de nous retrouver avec un Internet différent, contrôlé par le gouvernement dans chaque pays.” Société civile, Afrique

Il y a une alternative crédible à cette vision d’une dystopie faite de réseaux fermés. Face aux cyber-menaces, pour mieux gérer et atténuer les cyber-risques – et restaurer la confiance, les parties prenantes doivent offrir une réponse constructive et coordonnée aux cyber-incidents, une coopération mutuelle face à la cyber-criminalité, créer des plateformes multi-acteurs afin de collaborer plus efficacement à l’élaboration de stratégies nationales de cyber-sécurité, tout en respectant les droits de l’homme.

Les menaces et l’impact des cyber-attaques et des cyber-crimes peuvent être la source de progrès techniques. Ainsi, par le passé, des progrès dans les technologies de cryptage ont sécurisé des appareils et des services ; les utilisateurs ont ainsi pu effectuer des activités sensibles en ligne. Comme le note un technologue : “la tendance négative, c’est l’augmentation de la cyber-criminalité. La tendance positive, c’est la construction d’appareils et l’élaboration de protocoles qui vont la combattre plus efficacement.”

"Dnssec est nécessaire, tout autant que des standards comme Dane et STS (Strict Transport Security) et d’autres encore qui servent à empêcher la diffusion de programmes malveillants et à limiter les spams. Je pense que les nouvelles technologies vont rendre Internet plus sûr et accentuer sa stabilité." Government, Europe
Appartenant à

Et si… Certaines mesures prévues par le gouvernement pour sécuriser les réseaux les rendaient encore plus vulnérables ?

Après dix ans d’Intranet national, le Noorland revient à l’Internet ouvert

Dans un mouvement salué par le monde entier, la Première ministre noorlandaise a annoncé la fin du programme national “Sécurisation d’Internet”. En 2017, inquiets des menaces sur la sécurité nationale et la stabilité politique, le Noorland a coupé ses réseaux de ceux du monde entier et a conservé toutes ses données et son trafic à l’intérieur de ses frontières. Les critiques portaient principalement le fait que cette mesure extrême était en fait destinée à la lutte contre l’opposition, pas seulement contre les hackers à l’étranger.

Nouvelles réponses et nouveaux modèles

Les prochaines années vont voir une accélération du mouvement pour créer de nouvelles normes comportementales, des cadres juridiques et même des traités, car les gouvernements vont tenter de s’adapter au rythme étourdissant des changements qui s’opèrent dans le cyber-espace. La pression pour mettre en place des “règles de conduite” va se poursuivre, et il est difficile de savoir si les gouvernements vont opter pour la coopération transfrontalière ou, plutôt, pour la souveraineté et sécurité nationale. Et, plus crucial encore, est-ce que les normes ou les traités vont vraiment remédier aux comportements néfastes des gouvernements ou d’organisations privées, ou ne sont-ils là que pour l’image, pour donner l’impression de “quelque chose est fait"?

“L’absence de corpus juridique national ou international aura pour conséquence un accroissement des abus et des crimes.” Communauté technique, Amérique du nord

La cyber-sécurité devient la responsabilité de tous, et il est donc urgent et pertinent de débattre de façon approfondie des bases d’une culture de la cyber-sécurité à l‘échelle internationale. Tous les secteurs sont et seront vulnérables à l’avenir ; les cyber-attaques et le cyber-crime vont toucher les marchés financiers, aussi bien que les processus électoraux ou encore les systèmes de santé. L’idée que “le réseau est aussi solide que son maillon le plus faible” prend tout son sens dans un monde hyper-connecté : un problème dans un seul appareil connecté peut ébranler des infrastructures critiques. L’attaque de 2016 contre le Dyn a démontré comment un simple objet connecté pouvait être dévoyé pour attaquer des infrastructures critiques.6 Lors de l’attaque de 2016, un botnet (un réseau d’objets contrôlé) a attaqué le fournisseur de noms de domaine Dyn. L’attaque émanait d’un très grand nombre d’appareils infectés, et l’accès à certains services et plateformes Internet était impossible à partir de certaines parties d’Internet.

De nouvelles bases de référence seront essentielles pour avancer, accompagnées de modèles de responsabilisation et de motivation. Il va devenir encore plus urgent d’améliorer la formation à la sécurité, et d’intégrer la sécurité aux objets connectés. Il faut créer un marché de la sécurité de façon à améliorer la sécurité dans les réseaux et les objets ; ainsi, faire payer des indemnités à ceux qui endommagent le réseau par des activités malveillantes ou des vulnérabilités dans des objets. Les pratiques en matière de marchés publics devront mettre les questions de sécurité au premier plan.

Dans un monde interconnecté et de plus en plus vulnérable aux cyber-attaques, la gouvernance des mondes virtuels ne peut demeurer entre les mains des seuls gouvernements. Il est vrai que les infrastructures mondiales d’Internet sont développées et implémentées par le secteur privé, à qui elles appartiennent. Face à l’ampleur et la complexité des cyber-attaques, les actions isolées d’un gouvernement ne pourront apporter les réponses que nous attendons – inclusives et reposant sur de vraies expertises.

“L’autre perspective aléatoire, c’est l’usage des cyber-armes et des cyber-guerres à des fins politiques entre des puissance mondiales. C’est déjà ce qui se passe, et il est difficile de savoir si cela va nous conduire vers des bouleversements majeurs dans le réseau et, peut-être une certaine perte de confiance des utilisateurs d’Internet.” Universitaire, Moyen-Orient

Il n’existe pas de solution miracle contre les cyber-attaques et le cyber-crime. Internet est un réseau ouvert, accessible à tous et où règne l’innovation ouverte ; ces caractéristiques sont les fondements même du succès de cette technologie. Ce sont ces mêmes caractéristiques qui rendent les cyber-attaques plus aisées à mener, et moins coûteuses ; c’est un des défis majeurs de l’avenir.

Appartenant à

Recommandations

We believe that the key to the future is to put humanity at the centre of the online world.  These are recommendations for possible ways forward so that so that we will realize the Internet’s promise for all citizens of the globe.

Internet et le Monde Réel

La nouvelle gamme d’appareils connectés au sein de l’Internet des objets va amener de nouveaux problèmes de sécurité, dont des cyber-attaques qui peuvent entrainer des préjudices physiques.

Le Rôle des Gouvernements

Les capacités des gouvernements de rester en phase avec les technologies, et les réponses qu’ils apporteront aux menaces à la cyber-sécurité auront des conséquences importantes sur le futur développement d’Internet.

L’économie Numérique

Les cyber-menaces pourraient avoir un impact important sur le potentiel de développement de l’économie numérique.