CYBER WEEK 2018

Cette grand-messe annuelle de la cybersécurité a rassemblé cette année plus de 9000 experts, institutionnels, entrepreneurs, hackers et chercheurs venant des quatre coins de la planète pour débattre des challenges et opportunités de la cybersécurité, qui constitue le cœur du réacteur de la plupart des industries dans un environnement VUCA (« Volatile, Uncertain, Complex & Ambiguous »). Dans un contexte mondial où les cyberattaques se démultiplient à une vitesse exponentielle et paralysent des pans entiers d'activités, les participants de la conférence ont partagé leurs expériences et convictions sur les enjeux et les opportunités de la cybersécurité pour les années à venir. Le dénominateur commun de l'ensemble des participants : apprendre et s'inspirer de l'écosystème israélien de la sécurité et de la cybersécurité. Sans prétendre à l'exhaustivité, voici les dix challenges de la cybersécurité que nous avons retenus.

Challenge 1 : la cybersécurité n'est pas un problème technologique

Il existe certes des solutions technologiques pour adresser les risques Cyber mais les problèmes liés à la cybersécurité ne sont jamais technologiques. Les dimensions politiques, économiques, sociologiques, psychologiques, « business » et éthiques sont cruciales si l'on veut relever les défis posés par les risques cyber. Comprendre les motivations des criminels, leurs comportements d'attaques, les enjeux politiques sous-jacents d'une cyberattaque constituent quelques exemples. Il s'agit là d'avoir une approche interdisciplinaire au sein des entreprises si l'on veut anticiper les risques de cybersécurité qui peuvent provoquer le chaos dans les villes, industries et autres entreprises, à l'image de l'attaque WannaCry qui a touché plus de 300 000 ordinateurs dans le monde, soit un coût des pertes estimé à quatre milliards d'euros. Le centre de recherche interdisciplinaire en Cybersécurité de l'université de Tel Aviv (Interdisciplinary Center of Research in Cybersecurity - IRCR) créé en 2014 et regroupant 250 chercheurs spécialisés dans les sciences dures (Computer Science, ingénierie, mathématiques, sciences de la vie) et les sciences molles (psychologie, sociologie, économie) fait figure d'exemple en la matière. Cette approche interdisciplinaire pourrait s'avérer être une source d'inspiration pour les entreprises afin d'identifier et anticiper les risques cyber qui sont imprévisibles par nature. De plus, chaque génération de technologies dans le domaine cyber dure en moyenne un an, un cycle court qui rend difficile la prédiction des risques cyber dans les années à venir.

Challenge 2 : la cybersécurité est un concept complexe à définir

500

milliards de dollars

le coût de la cybercriminalité en 2018

Dans le contexte actuel de digitalisation des entreprises, les cyberattaques ont connu un développement exponentiel. Le coût de la cybercriminalité sur l'économie globale est estimé à 500 milliards de dollars en 2018, avec un coût moyen par cyberattaque avoisinant les quatre millions de dollars. Les cyberattaques font la une des médias et constituent l'une des préoccupations majeures des conseils d'administration. Mais au fond, qu'est-ce que la cybersécurité ? Le professeur Isaac Ben Israel, Directeur du Centre de cybersécurité de l'université de Tel Aviv propose de le définir en ces termes: « La menace cyber est le côté sombre de la technologie informatique », et admet que l'opinion publique parle de cybersécurité sans vraiment en comprendre les tenants et les aboutissants. La cybersécurité regroupe essentiellement cinq sous-ensembles : la fraude (aussi bien interne qu'externe), les systèmes IT et leur résilience, la sécurité de la data, les risques des tiers, la threat intelligence (système de détection des menaces externes grâce à la collecte de data ouvertes, de communautés et de dark web), ainsi que l'utilisation abusive et/ou malveillante des technologies émergentes (Intelligence Artificielle, Blockchain...).

Challenge 3 : la Cybersécurité est un challenge d'Open Innovation

L'Open Innovation s'entend comme étant la collaboration. La collaboration entre entreprises et les gouvernements et plus largement la collaboration entre acteurs publics et privés. L'écosystème israélien de cybersécurité se caractérise par un triptyque : l'armée, le milieu académique et l'industrie. Il existe une porosité entre ces trois institutions qui s'inscrivent dans un continuum permettant de « fabriquer » des « cyber talents » et des cybertechs. L'armée façonne des talents experts en sécurité et cybersécurité, l'université vient parfaire la formation académique des talents qui développent des ventures éprouvées dans le milieu militaire. Pour le professeur Isaac Ben Israel, l'écosystème israélien de start-up en cybersécurité est estimé à 1200 start-up chaque année. Parmi elles, mille start-up échoueront ; et sur les 200 restantes, la majorité ne perdurera pas l'année suivante. Cette sélection par le marché est faite de manière intentionnelle de manière à capter un large éventail d'idées. On a pu voir lors de la Cyber Week des marques d'intérêt de plusieurs pays (États-Unis, Allemagne, Japon, Inde, Singapour, France notamment) à travers l'organisation de plusieurs tables rondes bilatérales. Lors de la table ronde France-Israël « What French companies are looking for in the Israel Cyber arena? », des représentants d'Airbus, Orange, Renault-Nissan, Aster, Trusted Labs et L'Atelier BNP Paribas étaient présents pour partager leurs insights sur le sujet. J'ai notamment pu partager ma vision sur la dynamique d'accélération de l'innovation avec des chercheurs-entrepreneurs qui prend tout son sens dans le domaine de la cybersécurité : l'idée étant d'accompagner les « business leaders » à hacker des challenges business et/ou technologiques en mobilisant des chercheurs-entrepreneurs de haut vol lorsque les solutions du marché ou celles des start-up ne permettent pas de les résoudre.

Cyber Week 2018, Tel Aviv University

Cyber Week 2018, Tel Aviv University

Challenge 4 : Privacy & Security by design

Les questions de « privacy » et de sécurité ont également fait partie de l'agenda de la Cyber Week : la confidentialité des données est un élément à prendre en compte dans le design même du produit ou service développé. Il y aurait donc un besoin d'éduquer, de former les designers en matière de sécurité et de confidentialité. Les chercheurs ont également avancé que les technologues ne comprennent pas ou ne veulent pas comprendre les enjeux liés à la confidentialité ou la confondent avec la cybersécurité. La prise en compte de la « privacy » est d'autant plus critique que nous utilisons des services ou produits conçus dans d'autres pays. La conception de solutions/services privacy & secure by design constitue donc un challenge de poids à relever dans un contexte réglementaire en évolution couplé à une cybercriminalité galopante. Dans le champ de la data, on a pu retenir deux points clés : le premier concerne la nécessité pour les entreprises d'utiliser d’abord les data dont elles disposent avant d'identifier des données externes. Les entreprises regorgent de data qu'il faut qualifier, « processer » et exploiter dans un premier temps avant de tourner vers des données externes, à l'image des données non structurées des réseaux sociaux. Le second est lié à la théorie du Zero Knowledge Proof (ZKP), un signal faible dont les applications sont prometteuses : il s'agit d'une preuve à divulgation nulle de connaissance ; autrement dit, un protocole qui permet d'apporter la preuve pour tous les acteurs d'un écosystème mais de ne divulguer la donnée pour personne. Ce protocole permet de vérifier l'authenticité de données venant de plusieurs acteurs d'un écosystème sans partage de la donnée. Dans les transactions basées sur la Blockchain, les détails de la transaction sont visibles par les autres parties du réseau. A contrario, une transaction basée sur le protocole ZKP, les acteurs vont uniquement savoir qu'une transaction valide a eu lieu mais les informations liées à l'identité de l'expéditeur, du destinataire, l'asset concerné et la quantité restent anonymes. On doit notamment à des chercheurs du MIT ce protocole proposé en 1985 par Shafi Goldwasser (chercheuse israélienne présente à la Cyber Week), Silvio Micali et Charles Rackoff.

Challenge 5 : les entreprises ont besoin de
« friendly hackers »

Regard d'expert

Keren ELAZARI

Chercheuse en cybersécurité

et « friendly hacker »

Je crois que nous pouvons battre les cybercriminels à leur propre jeu si nous pensons comme les friendly hackers le font

« Je crois que nous pouvons battre les cybercriminels à leur propre jeu si nous pensons comme les friendly hackers le font »a déclaré Keren Elazari, chercheuse en cybersécurité et « friendly hacker », lors de la conférence. Devant la sophistication des cyberattaques, les enjeux économiques sous-jacents colossaux, et le caractère durable des risques cyber, les entreprises ont pris conscience de la dimension stratégique de la cybersécurité. Les technologies ne peuvent pas résoudre à elles seules les challenges de cybersécurité. Investir massivement en solutions technologiques sans former efficacement les collaborateurs et sensibiliser son écosystème de clients et partenaires est une stratégie vouée à l'échec. Les entreprises ont plus que jamais besoin de coopérer et de recruter des « friendly hackers » ou « white-hat hackers » : ces personnes peuvent jouer un rôle clé en termes de « Cyber literacy » et d'anticipation/simulation des scénarios de risques cyber. Il convient donc de changer la donne et de passer d'une approche défensive à une approche offensive face aux cyberattaques. Durant l'événement Bsides TLV (journée consacrée à la communauté de hackers pendant la Cyber Week), un ancien représentant de la Federal Trade Commission a souligné l'importance du rôle que devraient jouer les hackers pour aider les gouvernements dans leurs prises de décision. Le rôle de « Tech Translator » des hackers a également été avancé : autrement dit, la nécessité pour les hackers de démocratiser leurs recherches et les traduire de façon claire aux entreprises, gouvernements et citoyens. L'exemple qui a été cité est celui du Département de la Défense américain qui a lancé un programme de Bug Bounty en 2016 afin d'identifier et résoudre les failles de sécurité des réseaux en mobilisant plus de mille « white-hat hackers » dans la compétition. Plus généralement, la tendance observée lors de la Cyber Week est que de plus en plus d'entreprises commencent à intégrer des « outsiders » pour hacker des problèmes de sécurité : « friendly hackers », spécialistes de sécurité ou encore des red team (des équipes de sécurité externe qui ont pour but d'évaluer la sécurité globale d'une entreprise en mettant à l'épreuve ses différents actifs). Pour Keren Elazari, les entreprises, notamment les banques européennes, ont appris ces dernières années à tirer parti et intégrer la perspective des « outsiders » en sponsorisant des programmes et conférences mobilisant des « friendly hackers » qui deviennent ainsi des recrues potentielles pour leur département IT & Sécurité.

Challenge 6 : la crypto-criminalité, le côté sombre de la Blockchain 

la crypto-criminalité

Au-delà des expérimentations en cours et des investissements massifs, force est de constater que la Blockchain souffre d'un déficit de réputation lié à l'émergence d’un nouveau type de cyberattaque : la crypto-criminalité. Il s'agit là d'une nouvelle forme de cyberattaque qui peut prendre différentes formes : ransomware visant à demander par exemple une rançon aux victimes en crypto-monnaie via des techniques de phishing traditionnelles, les escroqueries liées à la collecte de fonds par émission de crypto-monnaies (ICO) ou encore le minage de crypto-monnaies ( « Cryptojacking »), autrement dit  le fait de générer à l'insu des utilisateurs des crypto-monnaies grâce à l'exploitation furtive de leur microprocesseur. L'anonymat, la spéculation, la manipulation des prix et l'augmentation de la demande sont autant de caractéristiques des crypto-monnaies que les cybercriminels cherchent à exploiter. Cela pourrait aussi devenir une arme pour certains gouvernements pour contourner les sanctions internationales, à l'image du groupe de criminels nord-coréens accusé d'avoir dérobé plus de 4000 bitcoins (soit cinq millions de dollars) à des utilisateurs sud-coréens à la suite d'une cyberattaque sur la plateforme d'échange Youbit. Dans ce contexte de défiance généralisée, les experts de la Cyber Week ont insisté sur la nécessité de dessiner les contours d'une réglementation et qu'il existe aussi des sujets autour de la Blockchain que le monde académique pourrait adresser, à l'image de la question de la confiance des applications Blockchain, l'adaptation de la régulation ou encore les modèles économiques.

Challenge 7 : l'analyse comportementale, antidote des attaques de fraude par les bots

Prospective

Datadome : de chasseur de bots à chasseur d'opportunités business

  • 12 Oct
    2017
  • 10 min

Si l'on considère le processus d’authentification d'un client, on distingue trois options existantes : ce que l'on connaît (typiquement un mot de passe), ce dont on dispose (à l'image d'un token ou via un SMS), et ce que l'on est (la biométrie). La biométrie peut prendre différentes formes comme l'empreinte digitale, la reconnaissance faciale, vocale, veineuse. La biométrie comportementale fait référence à la manière dont l'utilisateur se comporte : la façon de tenir son device, la manière de défiler les pages de son smartphone ou d'écrire. Cette technologie est essentiellement utilisée pour le processus d'authentification et la détection de malware. Un autre cas d'étude présenté lors de la Cyber Week est lié à la détection des attaques provenant des émulateurs, c'est-à-dire des logiciels de simulation de devices physiques qui peuvent être détournés de leur usage habituel par des criminels : les fraudeurs peuvent lancer plusieurs émulateurs sur la même application mobile et utiliser les informations volées pour pirater des comptes bancaires. La biométrie comportementale intervient là où les émulateurs échouent : la capacité de simuler l'interaction physique homme-machine à travers l'utilisation des techniques de machine learning permet de différencier le comportement humain d'un bot. À noter que 40 À 60% du trafic web des institutions financières est généré par des bots  (agrégateurs, scrapers, crawlers), d'où la nécessité de disposer de solutions de détection de ce type de fraude automatisée. En combinant des milliers de paramètres physiologiques, cognitifs et comportementaux, la biométrie comportementale permet ainsi de créer des profils uniques d'utilisateurs compliquant ainsi la tâche des fraudeurs.

Challenge 8 : oubliez le vol des données, bienvenue dans la guerre d'influence

la guerre d'influence

Les cyberattaques classiques ont généralement pour objectif de pirater des données, comme ce fut le cas il y a quelques jours avec le groupe Adidas, qui a récemment annoncé que certaines données de ses clients ayant acheté sur le site Adidas.com/US auraient été piratées. Le vol des données reste bien entendu la tendance lourde en matière de cyberattaque. Ce qui est moins développé et qui constitue un signal faible à suivre, c'est la guerre d'influence qui vise à attaquer, saboter les esprits et les populations civiles. Exemple de ce type de cyberattaque : lors du concours de l'Eurovision, une attaque de type DDoS (déni de service) va prendre le contrôle du son ou crypter l'image pendant le passage d'un chanteur, ce qui peut avoir des conséquences psychologiques et économiques sur des pays et leurs citoyens. On peut également imaginer ce même type de scénario lors d'un match de Coupe du Monde entre deux nations. La sécurité physique est certes capitale lors d'une compétition sportive dans un stade ; la sécurité autour de l'événement et notamment les attaques de type phishing ou encore les cyberattaques peuvent par exemple crypter les retransmissions à la télévision et sur les sites de streaming suivis par des dizaines de millions de téléspectateurs. Les réseaux sociaux sont devenus un terreau propice entre pays qui s'adonnent à cette guerre d'influence.

Challenge 9 : la cybersécurité, un défi de classe industrielle

La cybersécurité est considérée par les spécialistes du domaine comme un challenge à adresser pour la prochaine décennie. La question sous-jacente posée est la suivante : a-t-on le temps ? Les chercheurs de la Cyber Week s'accordent à dire que compte tenu de l'évolution permanente des menaces cyber, il y a nécessité d'apprendre des erreurs et se remettre en question en permanence. L'exemple qui est donné est celui de l'assistance vidéo utilisée pour la première fois par les arbitres lors de la Coupe du Monde qui a lieu en Russie actuellement. L'idée est d'aider ou challenger les intuitions des arbitres dans leur prise de décision. À travers cet exemple, on comprend que la cybersécurité n'est pas une science exacte et que l'on se dirige vers des analystes cyber « augmentés ». L'échelle de temps nécessaire pour adresser les challenges cyber est la décennie : trois phases sont nécessaires pour atteindre un niveau de maturité en cybersécurité (« Cyber readiness ») : « Catch up » (phase de rattrapage), « Align » (phase d'alignement sur les tendances lourdes du marché), et « Disrupt » (création des couches de sécurité pour ses clients et devenir une « Cyber Tech Company »). À l'heure actuelle, les géants du digital (GAFA ou BATX) ne peuvent se targuer d'être des « Cyber Tech Companies ». Ce niveau d'ambition gagne du terrain : plusieurs industriels & institutions financières commencent à se positionner pour développer des solutions « secured by design » en collaboration avec des experts en cybersécurité de l'écosystème israélien dont l'une des caractéristiques majeures est d'être un hub en cybersécurité, avec une approche aussi bien défensive qu'offensive. 

Challenge 10 : le défi de l'éducation

« Que faisons-nous avec les humains ? » Telle est la question posée par Jayson Street, « friendly hacker », ambassadeur du Defcon et intervenant lors de la conférence Bsides TLV regroupant plus de mille « friendly hackers » de l'écosystème israélien. La réponse à cette question se résume à un mot : l'éducation. « Commencez par éduquer et responsabiliser les utilisateurs », lancé Jayson Street. La formation des utilisateurs (collaborateurs, clients, partenaires) est capitale quand on sait que l'humain reste le maillon faible le plus vulnérable des organisations. Plusieurs experts et responsables de l'armée israélienne ont souligné l'importance de former les individus, les citoyens aux risques cyber dès le plus jeune âge. Avec six centres de recherche spécialisés en cybersécurité mêlant de la recherche fondamentale et de la recherche appliquée à travers des partenariats avec des industriels et des institutions financières, Israël fait figure de « hotspot » dans le domaine cyber et a réussi à transformer la cybersécurité d'une approche « risk-driven » à une approche « business-driven » : l'écosystème regroupe plus de 420 entreprises de sécurité, cinquante centres de R&D de multinationales (parmi lesquels des centres spécialisés en cybersécurité), plus de 815 millions de dollars levés par les entreprises israéliennes de cybersécurité en Venture Capital et des exportations en solutions de sécurité ayant atteint plus de 3,8 milliards de dollars en 2017.

Cyber Week 2018, Tel Aviv University

Cyber Week 2018, Tel Aviv University
Life @ work

Les entreprises courent après les spécialistes en cybersécurité

  • 13 Juin
    2017
  • 20 min

Au travers de tous ces challenges, on peut mesurer l'ampleur du phénomène et réaliser que la cybersécurité englobe toute une famille de risques à adresser comme un tout. Le premier enseignement de la Cyber Week est que la cybersécurité est un concept complexe à définir qui ne peut pas être cantonné à une approche techno-déterministe et traité uniquement par les départements IT ou Sécurité. Le second enseignement est qu'il est difficile de prédire les cyberattaques à venir ou de formuler des scénarios dans la mesure où les menaces évoluent vite et les générations de technologies cyber deviennent rapidement obsolètes. Le troisième enseignement est qu'aucune entreprise ne peut se targuer d'être un best-in-class en matière de cybersécurité et constituer une source d'inspiration pour d'autres – l'une des raisons étant la multiplication, la fréquence et la sophistication des menaces, ainsi que les cycles de vie très courts des solutions technologiques de sécurité (la sophistication des menaces ayant un bémol : la paresse des hackers qui utilisent des éléments existants, d'anciennes vulnérabilités pour générer de nouveaux malwares par exemple). On retiendra particulièrement la résilience nécessaire et la confiance à accorder aux personnes qui partagent des informations (sans vous en indiquer les sources) pour réussir à identifier des pirates, comme ce fut le cas lors de l'attaque des routeurs de Deutsche Telekom qui a paralysé plus de 1,2 million d'abonnés privés d'Internet et de téléphone. Le quatrième enseignement est lié aux compétences : les entreprises ont besoin de recruter une palette diverse de talents pour adresser les challenges de la cybersécurité. Parmi les talents nécessaires à intégrer, les « friendly hackers » ou « white-hat hackers » sont également à prendre en compte. Bienvenue dans l'ère de l'interdisciplinarité de la cybersécurité ! Le cinquième enseignement a attrait au dilemme entre l'ouverture des institutions financières – due notamment aux contraintes réglementaires et à la digitalisation (DSP2 APIs, Open Banking) – et la nécessité de sécuriser son architecture, ses assets (notamment les données de ses clients). Le dernier enseignement fait écho à l'écosystème israélien de la cybersécurité : une fertilisation croisée entre le tissu industriel, l'armée et le monde académique, un écosystème de start-up vertigineux en cybersécurité ainsi qu'une concentration de chercheurs de haut vol et de hackers. In fine, l'écosystème israélien de la cybersécurité constitue en tant que tel une « Cyber Tech Nation », source d'inspiration potentielle pour les entreprises qui ambitionnent devenir une « Cyber Tech Company ». Le défi réussi par Israël est de transformer la cybersécurité d'une vision risques à une approche d'opportunités business. Plus globalement, le défi ultime pour les entreprises sera, au-delà de la sécurisation de ses assets, d'innover en matière de cybersécurité et de considérer non pas la cybersécurité comme un risque uniquement, mais aussi comme un business à part entière, servant ainsi ses activités et plus largement son écosystème de clients, partenaires, voire concurrents. Bienvenue dans l'ère du « Cyber as a Business Service ».

Rédigé par Yoni Abittan
Strategic Analyst, L'Atelier BNP Paribas