L’Europe aimerait combler son retard en cyber-sécurité avec un partenariat public-privé

charles-cuvelliezCharles Cuvelliez
Chargé d’enseignement ULB – École Polytechnique de Bruxelles
Membre du Conseil IBPT

C’est l’essence de la consultation publique lancée par la commission sur l’industrie de la cyber-sécurité. Le hic, c’est qu’un partenariat public-privé ne s’improvise pas, d’autant plus qu’il n’y a pas une cyber-sécurité, mais autant de cyber-sécurités que de secteurs qui foncent à toute allure vers le numérique. La Commission le comprend et cette consultation est une opportunité pour ne pas prendre d’emblée une mauvaise voie.

Si la cyber-sécurité doit bénéficier en priorité aux infrastructures critiques, qui peuvent paralyser un pays, encore faut-il dire lesquelles, avec ou sans ordre de priorité : l’énergie, les transports, la santé, la finance ? Faut-il inclure les administrations, les villes intelligentes (qui n’existent pas encore) ?

Et au sein même d’un secteur, la cyber-sécurité n’est pas la même selon qu’elle adresse les voitures intelligentes, les paiements électroniques ou les smart grids qui sont plutôt des usages comparés à des secteurs entiers dont ils sont une partie, énergie, finance, transport. Ce n’est pas la même chose de promettre un véhicule connecté sûr que d’éviter les cyber-attaques dans tout le secteur du transport qui ont comme but de paralyser un pays !

Quels sont les risques ?

Après avoir répondu à la question du ou des secteurs où appliquer la plus grande cyber-priorité, on doit identifier les dangers d’une carence en cyber-sécurité à neutraliser d’abord, car il est minuit moins le quart: s’agit-il des risques de perte ou du vol de know how, des conséquences d’un sabotage économique ou industriel, du vol des données privées ou des moyens de paiements ou tout simplement l’intrusion dans les systèmes informatiques avec le but d’y rester dormant pour plus tard ?

Bien malin qui peut dire lequel de ces dangers aura le plus de conséquence sur la vie de l’entreprise ou même, autre critère possible, aura le plus de chance de se produire. On a envie de répondre : tout est important, car un jour, ce sont des bases de données de patients qui sont subtilisées, un autre jour, ce sont des plans ultrasecrets ou des futurs brevets qui partent en Chine. C’est la Corée du Nord qui pénètre dans les systèmes de Sony et inonde Internet de son contenu pour se venger d’un « film de lèse-majesté ».

Si l’Europe veut rattraper son retard en cyber-sécurité, elle ne pourra pas le faire surtout en parallèle : doit-elle chercher à devenir un leader de la sécurisation des accès ou de l’identification ? De la sécurité des données ou des applications ? De la sécurisation des réseaux ou de l’internet des objets à venir en passant par le hardware d’aujourd’hui ? Ne faudrait-il pas se replier sur les services de sécurité (audit, conseil) ou sur les opérations (devenir des vigiles de la cyber-sécurité) ? Ou bien l’Europe doit-elle se contenter de former des spécialistes ? Avec la directive NIS qui vient d’être adoptée, la question de savoir comment la législation actuelle influence (positivement ou non) la cyber-sécurité prend aussi son sens

La certification

Et la certification dans tout cela ? Un pays qui certifie un cyber-produit sera-t-il accepté dans un autre lorsque les questions de sécurité restent jalousement une question de souveraineté nationale ? Cela demande une grande confiance mutuelle ! Quid des pays qui n’ont pas d’organisme de certification cyber ? Faut-il alors accepter les certifications IT classiques et organiser une équivalence entre tous ces standards et certification ? Et un label de cyber-sécurité profitera-t-il plus au marché de masse, au B2B ou aux marchés corporate ?

Enfin, la commission prend acte des clusters de cyber-sécurités qui fleurissent un peu partout, des coalitions, des centres d’excellence, de formation… Ce qui est clair est que les grandes victoires contre la cyber-menace l’ont été quand des sociétés de pointe se sont mises ensemble pour la combattre. Y associer les autorités aurait tout du cocktail détonnant.

Pour plus d’informations sur le sujet retrouvez Charles Cuvelliez le 2 février 2016 à Bruxelles lors de notre formation Les enjeux de la sécurité de l’information.