La lettre de Frédéric Simottel °5
| 🚨 La cybersécurité, c’est vraiment dans la vraie vie ! |
|
| La lettre de Frédéric Simottel °5 |
|
| Le Campus Cyber parisien dispose d’une panoplie de services pour montrer notamment ce que c’est vraiment que la cybersécurité dans « la vraie vie ». J’ai visité cette semaine la toute nouvelle salle de simulation (et de formation aux crises) d’une modernité absolue ainsi qu’un studio TV flambant neuf. L’occasion de former et de sensibiliser tant les experts les plus pointus que les citoyens les moins aguerris. Et nous en avons besoin. - Frédéric Simottel |
|
| Une menace est ressortie des limbes il y a quelques semaines : le « juice jacking », littéralement l’aspiration de données, ou en bon franglais le piratage par le « jus » (le courant). Des bornes de recharges publiques seraient ainsi infestées de virus qu’elles propageraient à tous les smartphones, tablettes et autres équipements qui s’y connecteraient. Certes ce piège technologique existe depuis un moment. Mais la menace est apparue si vive ces derniers mois que le FBI, en personne, a estimé que le risque était suffisamment élevé et conseille désormais d’éviter à tout prix d’utiliser les bornes de recharge publiques situées dans les centres commerciaux, hôtels, gares ou encore aéroports. |
|
| Décidés à casser cette nouvelle alerte anxiogène, des experts ont tenu à rassurer le marché. « S’il est théoriquement possible pour les cybercriminels d'exploiter les failles des logiciels et des systèmes d’exploitation présents dans les téléphones, la probabilité que cela se produise dans la vie réelle est négligeable. Dans une station de recharge publique, les attaquants n'ont aucun contrôle sur l'appareil qu'ils peuvent attaquer, il est donc très difficile de cibler une personne en particulier. D'autre part, les attaquants sont plus susceptibles d'être découverts avec ce type d'attaque, car il faut une présence physique pour modifier la station de recharge et y ajouter un composant malveillant. Il est donc plus coûteux et plus risqué pour les cybercriminels de s'attaquer au grand public avec cette approche qu'avec d'autres types d'attaques, comme l'hameçonnage de courriels ou de SMS. Par conséquent, ce type d'attaque ne peut être bénéfique aux attaquants que si la cible est très connue et que le rapport coût-bénéfice est favorable aux attaquants ». |
|
| Il est temps que le grand public sorte de sa bulle |
|
| Bref, circulez ! Sauf qu’il y encore beaucoup de choses à voir. De la même façon que nous ne boirons pas dans une canette de soda trouvée ouverte, il est temps de de s’appliquer les mêmes règles de prudence et d’hygiène numérique. Il est temps que le grand public prenne vraiment confiance de toutes ces menaces. Certes les médias se font souvent l’écho de ransomwares, fuites de données ou encore piratage de sites internet ; mais, malgré les alertes, le grand public se sent encore éloigné de ces menaces, persuadé que parmi les principales cibles -voire les seules- figurent uniquement des entreprises, collectivités et autres administrations. |
|
| Le grand public se sent en outre à l’abri des menaces. Certain d’être protégé au quotidien par les travaux incessants des acteurs de la tech pour résoudre -au quotidien- les failles découvertes. Et pourtant outre les tentatives d’attaques par hameçonnage auxquelles nous avons tous été confrontées, les désagréments sont de plus en plus nombreux. Des allocations non versées suite au blocage d’une administration, des soins de santé reportés, des images, des données personnelles et des comptes rendus d’hôpitaux qui s’évanouissent dans la nature, une voiture dont les portes restent bloquées, un thermostat de maison qui ne fonctionne plus, une caméra de surveillance qui devient floue, des cartes de cantine d’école muettes, … les exemples sont de plus en plus nombreux dans notre vie au quotidien. |
|
| Parler de cybersécurité au quotidien |
|
| C’est pourquoi, il faut continuer ce travail incessant d’information et de sensibilisation. Je suis toujours étonné dans les grands débats d’actualité que cette question ne remonte pas plus souvent. Certes entre inflation, pouvoir d’achat, énergie et retraites, il y a déjà pas mal de matière à débats, mais dès que l’on parle santé, société, sécurité il faut s’obliger tous à rajouter une composante cyber. Dans nos réunions au travail, nos discussions à la machine à café, nos dîners en ville, nos déjeuners du dimanche en famille. |
|
| La cybersécurité est l’affaire de tous au quotidien. Je précise bien « au quotidien » car, et ce sera mon conseil du jour à diffuser auprès des moins aguerris- c’est au quotidien que ça se passe. vigilance aux emails et SMS frauduleux bien sûr mais aussi et surtout mises à jour régulières de tous vos logiciels et systèmes d’exploitation, sur vos smartphones notamment. |
|
| Des entreprises toujours fragiles mais plus matures dans leur rapport à la cybersécurité. Un niveau de maturité de 49%, en progression de 3 points depuis 2022, qui reste malgré tout faible à selon le dernier baromètre Wavestone: |
|
| Un budget cyber inédit pour la DGSE au cœur de la loi de programmation militaire |
|
| « Gagner la guerre avant la guerre ». La doctrine du Chef d’Etat-major des Armées, le général Thierry Burkhard, est en phase d’application, avec deux piliers : la dissuasion nucléaire, bien sûr, mais aussi une nouvelle brique de plus en plus stratégique, le cyber avec la collecte et l’analyse des données par une intelligence artificielle boostée par le quantique. |
|
| Dans les trois armées, le cyber est déjà en marche avec la frégate de Défense et d’Intervention et le futur porte-avions, le programme Scorpion auquel sont connectés les nouveaux blindés, les drones et les troupes, et le Scaf (système de combat aérien du futur) avec son cloud de combat. Reste désormais à faire du cyber la pierre angulaire des services de renseignement. |
|
| C’est ce que propose la loi de programmation militaire 2024-2030. Ce budget dévolu aux armées va consacrer un effort inédit pour faire entrer le cyber dans les trois services: la direction du renseignement militaire (DRM), la direction du renseignement et de la sécurité de la défense (DRSD) et la très puissante direction générale de la sécurité extérieure (DGSE). |
|
| En 2030, 4 milliards d’euros auront été dépensés pour le cyber sur un budget total de 9 milliards. Et l’essentiel de ces efforts est « fléché vers la DGSE », a même précisé le ministre des Armées Sébastien Lecornu. |
|
| Le cyber va aussi nécessiter de nouveaux talents. Sans intelligence humaine, l’intelligence artificielle ne pourra fonctionner à plein régime. En plus des « serveurs capables de générer de la data à très haut niveau », Sébastien Lecornu rappelle qu’il faudra aussi « des ingénieurs pour les maintenir et des analystes capables de les exploiter ». |
|
| Plus de 1000 emplois à plein temps seront créés par rapport à 2017, dont plus de 600 grâce à la nouvelle LPM. Le ministère des Armées compte aussi attirer des experts issus du privé dans les rangs de ses réservistes. La machine est lancée. Sur son site, la DGSE recherche déjà de nombreux experts dont des spécialistes en ressources humaines dans la cyberdéfense. Avis aux amateurs. |
|
|
Pascal Samama
Journaliste BFM Business / BFMTV.com
Twitter : @PascalSamama |
|
A ne pas manquer sur le web : |
|
| Vous avez aimé cet article ? | | Aimez, partagez et abonnez-vous. |
|
| BFM Business Cybersécurité |
|
|
| À propos de Frédéric Simottel |
|
| Éditorialiste High-Tech sur BFM BUSINESS et BFMTV. Ingénieur télécoms et réseaux de formation, ce journaliste spécialisé occupe depuis plus de 28 ans une position privilégiée en tant qu’observateur d... |
|
|
