Les menaces sur le cyberespace : une réalité

03/06/2012
Auteurs : Philippe Duluc
Publication REE REE 2012-2
OAI : oai:www.see.asso.fr:1301:2012-2:2505

Résumé

La cyber sécurité est indissociable du cyberespace, cette nouvelle dimension dans laquelle les  entreprises,  les  institutions  publiques  et
les gouvernements déploient leurs activités et créent de la valeur pour leurs clients ou leurs usagers. Elle n’existait pas il y a 20 ans, elle est aujourd’hui devenue le support vital d’une grande partie de nos activités humaines.
Internet est né en 1969 (4 nœuds au début du réseau Arpanet) et a beaucoup grandi depuis. Le nombre de sites web publics est passé de quelques milliers dans les années 90 à plus de 300 millions en 2011. La révolution de la cryptologie asymétrique (systèmes Diffie-Helmann en 1976 et RSA en 1977) a ouvert le chemin de la sécurisation de l’Internet et  rendu  son  développement  possible  :  pour  la  première
fois,  deux  personnes  qui  ne  se  connaissent  pas  peuvent échanger à distance de l’information en toute confidentialité en recourant, notamment, à des certificats, ce que ne permettait pas jusqu’alors la cryptologie traditionnelle, la cryptologie symétrique. Le cyberespace continue aujourd’hui sa croissance exponentielle, tout en subissant des transforma tions de fond qui accroissent les risques de sécurité pour
ses utilisateurs.


Les menaces sur le cyberespace : une réalité

Métriques

12
4
156.25 Ko
 application/pdf
bitcache://53753c6cfdf2a9868a02a84e2e4ce2a84b4749fb

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2012-2/2505</identifier><creators><creator><creatorName>Philippe Duluc</creatorName></creator></creators><titles>
            <title>Les menaces sur le cyberespace : une réalité</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2012</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Sun 3 Jun 2012</date>
	    <date dateType="Updated">Sun 27 Aug 2017</date>
            <date dateType="Submitted">Fri 13 Jul 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">53753c6cfdf2a9868a02a84e2e4ce2a84b4749fb</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>33344</version>
        <descriptions>
            <description descriptionType="Abstract">La cyber sécurité est indissociable du cyberespace, cette nouvelle dimension dans laquelle les  entreprises,  les  institutions  publiques  et<br />
les gouvernements déploient leurs activités et créent de la valeur pour leurs clients ou leurs usagers. Elle n’existait pas il y a 20 ans, elle est aujourd’hui devenue le support vital d’une grande partie de nos activités humaines.<br />
Internet est né en 1969 (4 nœuds au début du réseau Arpanet) et a beaucoup grandi depuis. Le nombre de sites web publics est passé de quelques milliers dans les années 90 à plus de 300 millions en 2011. La révolution de la cryptologie asymétrique (systèmes Diffie-Helmann en 1976 et RSA en 1977) a ouvert le chemin de la sécurisation de l’Internet et  rendu  son  développement  possible  :  pour  la  première<br />
fois,  deux  personnes  qui  ne  se  connaissent  pas  peuvent échanger à distance de l’information en toute confidentialité en recourant, notamment, à des certificats, ce que ne permettait pas jusqu’alors la cryptologie traditionnelle, la cryptologie symétrique. Le cyberespace continue aujourd’hui sa croissance exponentielle, tout en subissant des transforma tions de fond qui accroissent les risques de sécurité pour<br />
ses utilisateurs.
</description>
        </descriptions>
    </resource>
.

16 ◗ REE N°2/2012 L a cyber sécurité est indissociable du cyberes- pace, cette nouvelle dimension dans laquelle les entreprises, les institutions publiques et les gouvernements déploient leurs activités et créent de la valeur pour leurs clients ou leurs usagers. Elle n’existait pas il y a 20 ans, elle est aujourd’hui devenue le support vital d’une grande partie de nos activités humaines. Internet est né en 1969 (4 nœuds au début du réseau Arpa- net) et a beaucoup grandi depuis. Le nombre de sites web publics est passé de quelques milliers dans les années 90 à plus de 300 millions en 2011. La révolution de la cryptolo- gie asymétrique (systèmes Diffie-Helmann en 1976 et RSA en 1977) a ouvert le chemin de la sécurisation de l’Internet et rendu son développement possible : pour la première fois, deux personnes qui ne se connaissent pas peuvent échanger à distance de l’information en toute confidentialité en recourant, notamment, à des certificats, ce que ne per- mettait pas jusqu’alors la cryptologie traditionnelle, la cryp- tologie symétrique. Le cyberespace continue aujourd’hui sa croissance exponentielle, tout en subissant des transforma- tions de fond qui accroissent les risques de sécurité pour ses utilisateurs. Les transformations du cyberespace La première d’entre elles est portée par la convergence Internet  : tous les réseaux s’interconnectent en un réseau IP (Internet Protocol) unique qui relie les machines (années 90), les hommes (années 2000) et les objets (années 2010, avec le MtoM et l’IPV6). Cette interconnexion galopante n’est poussée que par les besoins, les usages, et par les coûts. Elle ouvre des possibilités infinies de propagation de virus informatiques ou de pénétrations illicites dans les systèmes d’information. Le cloisonnement physique avait l’avantage de garantir qu’un pirate présent sur un réseau ne pouvait pas rebondir sur un autre réseau. Mais le besoin d’interconnexion a été le plus fort (résumé sous le vocable any-to-any) faisant disparaître ce cloisonnement physique. Maintenant les seules barrières sont logicielles avec les limitations et les risques de piratage que l’on connaît. Ensuite, le phénomène de consumérisation voit les termi- naux grand public déborder sur le monde professionnel. Cela répond souvent à la demande de VIP séduits par les termi- naux personnels (iPhone par exemple) plus agréables et plus performants. Ces terminaux n’ont pas forcément intégré des besoins de sécurité au départ, comme la gestion de flotte sécurisée ou la protection des données, obligatoires dans certaines entreprises. En imposant de tels terminaux dans des flottes d’entreprise, on déroge aux politiques de sécurité orientées vers la maîtrise et le contrôle : c’est un nouveau risque de sécurité qu’il faut prendre en compte. La dépérimétrisation est une autre tendance assez proche de la précédente : la frontière entre les sphères professionnelle et personnelle s’estompe. On parle de BYOD (bring your own device), de télétravail… On utilise un agenda ou un carnet d’adresses regroupant éléments personnels et professionnels. Là encore, des questions de sécurité peuvent se poser : qu’est ce que l’entreprise a le droit de faire en cas de comportement illicite ou dérogeant aux politiques internes ? Par ailleurs, la protection des données personnelles peut prendre le pas sur celle du patrimoine des entreprises, comme on le voit avec l’évolution des directives européennes dans le domaine des télécommunications. Enfin, l’externalisation des données et des traitements de l’entreprise et la mutualisation des plates-formes de stockage et de traitement de données, combinées, sont à l’origine du cloud computing et de ses réductions significatives de coût : elles posent la question de la localisation des données et de la résilience de l’architecture. Nous reviendrons sur cette évolution de l’informatique plus loin. Quelles menaces sur le cyberespace ? Le cyberespace dans ses débuts a surtout constitué un terrain de jeu pour des pirates ludiques ou des amateurs éclairés qui, soit laissaient accidentellement échapper des virus informatiques à leur contrôle, soit cherchaient à se faire reconnaitre ou simplement à s’amuser. Ainsi, celui que l’on considère comme le premier virus informatique, Elk Cloner, a été écrit par un américain de 15 ans en 1982 : il se propa- geait par disquette sur les machines Apple II, un des premiers micro-ordinateurs apparu en 1977. Mais avec le temps et les progrès technologiques, les usages ont évolué et le crime organisé transnational semble avoir pris pied dans ce domai- Les menaces sur le cyberespace : une réalité L'article invité Philippe DULUC REE N°2/2012 ◗ 17 L'article invité ne avec la mise en place de zones de non-droit et de sites web dissimulés dans le cyberespace, utilisés pour acheter et vendre des outils de piratage (comme par exemple la loca- tion d’un botnet de bombardement pour quelques centaines d’euros la journée), des failles de sécurité encore inconnues des éditeurs (appelées zero-days), etc. On peut craindre que demain se vendront sur de tels sites directement des infor- mations volées aux entreprises et administrations (secrets industriels ou d’état). • Des menaces de grande ampleur Les menaces que rencontrent aujourd’hui les internautes, les entreprises et les administrations ont évolué en vitesse, en dangerosité, en complexité et en taille. Voici quelques or- dres de grandeur : • le ver informatique Slammer s’est propagé en janvier 2003 dans le monde entier (plus de 75  000 sites ont été in- fectés) en moins de dix minutes, provoquant, ici et là, la fermeture de banques, de l’accès à l’Internet, et de réseaux d’entreprise ; • certaines attaques combinent des milliers de PC esclaves (appelés zombies, regroupés en un réseau d’attaque : le botnet) pour bombarder des cibles ; des attaques de ce type ont été à l’œuvre contre l’Estonie en 2007 provoquant la paralysie pendant 12 heures du système de messagerie du Parlement estonien ; le célèbre botnet Mariposa aurait compté presque dix millions de PC zombies, ses auteurs auraient été arrêtés par les polices espagnole et slovène en 2010 ; • le piratage du réseau de PlayStation (de Sony) en avril 2011 a entraîné une suspension à l’échelle mondiale de tous les services de ce réseau ; des millions de données personnel- les et bancaires ont été volées (plus de 77 millions d’utilisa- teurs de la console PSP auraient été touchés par l’attaque) ; le préjudice pour Sony s’élèverait à plusieurs milliards de dollars et des actions de justice en dédommagement res- tent en cours. Les motivations des attaquants varient : • ils peuvent avoir pour objectif le vol massif de données per- sonnelles par la voie informatique motivé, principalement, par des gains financiers ; • avec des atteintes ciblées à la disponibilité ou l’intégrité de systèmes comme la défiguration ou la saturation de sites web ils peuvent avoir une motivation idéologique (cyber- manifs) ou cupide (chantage) ; • des cyber-attaques peuvent également viser à endomma- ger physiquement des installations ; • enfin, des attaques ciblées et sophistiquées peuvent tenter de dérober subrepticement de l’information sensible avec une motivation stratégique ou économique. • Des menaces ciblées, les APT (advanced persistent threats) Des attaques ciblées et subreptices ont été détectées, particulièrement, ces dernières années : c’est un phénomène récent et inquiétant. On les appelle parfois APT (advanced persistent threat). On peut supposer qu’elles sont beaucoup plus nombreuses que les quelques cas répertoriés et révé- lés à ce jour. En effet, les victimes rechignent à les rendre publiques, voire même seulement à engager des poursuites judiciaires, par crainte d’un effet négatif d’image et aussi de faire connaitre d’éventuelles faiblesses encore exploitables. Voici quelques exemples d’APT pris dans l’actualité récente et moins récente. Il faut citer le cas Moonlight Maze qui, dès 1998, fait réfé- rence à la découverte par les autorités américaines, non pas d’une attaque mais d’une exploration minutieuse de réseaux informatiques américains (ce qu’on appelle du probing - sondage-) développée pendant deux années. Les enquê- teurs remontèrent à un serveur russe. L’une des premières attaques référencées est l’affaire Titan Rain en 2003, lorsque le gouvernement américain si- gnala que des systèmes d’information américains furent la cible d’attaques coordonnées, dont déjà à l’époque, l’origine était supposée chinoise. En 2005 le directeur du SANS In- titute rapporta que l’attaque était “most likely the result of Chinese military hackers attempting to gather information on U.S. systems.” Les pirates auraient obtenu l’accès à des ordi- nateurs américains ; il s’agissait probablement de sondages ou de cartographie des réseaux, étape préalable indispensa- ble aux attaques. En 2007, des systèmes d’information gouvernementaux français ont été victimes de cyber-attaques, comme l’ont été des services officiels des Etats-Unis et d’Allemagne la même année, ainsi que l’a indiqué dans un communiqué public, Francis Delon, le Secrétaire général de la défense nationale : « Nous avons des indications selon lesquelles nos systèmes d’information ont été l’objet d’attaques, comme ceux d’autres pays », « Nous avons la preuve qu’il y a un passage par la Chine. Mais je suis prudent. Quand je dis Chine, cela ne veut pas dire gouvernement chinois. Nous n’avons pas non plus d’indication qu’il s’agit de l’Armée populaire chinoise », a-t-il précisé. Interrogé sur l’identité et la nature de cibles visées, il a simplement été confirmé qu’il s’agissait de services d’Etat, dont le site Internet du ministère de la défense. Une autre opération de cyber-espionnage en provenance, semble-t-il, de Chine a été dévoilée en mars 2009 : elle a conduit à l’infiltration d’ordinateurs privés et de services gou- vernementaux du monde entier, notamment ceux de parti- sans du Dalaï-lama. Cette opération appelée Ghostnet a été étudiée par les chercheurs de l’université de Toronto qui n’ont pas pu conclure à la responsabilité, ni l’implication du gouver- 18 ◗ REE N°2/2012 L'article invité nement chinois. Ils ont découvert que GhostNet avait infiltré plus de 1 000 PC dans 100 pays, surtout situés en Asie Certaines cyber-attaques sélectionnent des cibles dans un domaine d’activité particulier. Ce fut le cas de Night Dragon qui, en novembre 2009, a touché de manière coordonnée et ciblée des grands de l’industrie du pétrole. D’après certains observateurs, auraient été touchés Exxon Mobil, Royal Dutch Shell, BP, Marathon Oil, Conoco Phillips et Baker Hughes. L’opération a eu recours à des serveurs de contrôle-comman- de (le poste de commande de l’attaque) via des services hé- bergés aux USA et des serveurs compromis aux Pays-Bas. La Chine a encore été montrée du doigt. Ce que recherchaient les pirates : des cartes topographiques informatisées valant des millions de dollars montrant des emplacements de ré- serves pétrolières potentielles. En janvier 2010, un responsable du groupe de défense et d’aéronautique, Safran, évoque dans Les Échos « deux cyber attaques » contre le groupe et sa filiale Turbomeca et parle d’un préjudice « faible », assurant qu’il n’y a « jamais eu d’ex- filtration de données à caractère industriel ». Une première cyber-attaque a démarré le 18 juin 2009 au moyen d’un logiciel malveillant qui cherchait à cartographier le système d’information de la cible. Une seconde attaque, le 18 janvier 2010, a visé l’informatique centrale au niveau du groupe. La firme de sécurité McAfee a dévoilé en aout 2011 une étude relative à ce qui pourrait être le plus grand piratage informatique de tous les temps avec l’opération Shady Rat (Shady Remote Access Tool). Les experts soupçonnent un gouvernement d’être à la tête de cette série d’attaques. McAfee a eu, en effet, accès à l’un des serveurs de contrô- le-commande (le poste de commande de l’attaque) et a collecté les données de connexion sur une très longue pé- riode. Parmi les victimes : le gouvernement canadien, des institutions implantées au Canada dont l’agence mondiale antidopage (Montréal), des organisations olympiques de plusieurs pays, le CIO (sous attaque durant 20 mois), des organisations à but non lucratif faisant la promotion de la dé- mocratie, plusieurs sous-traitants de l’armée américaine (sur de très longues périodes – souvent plus d’un an). Plus proche de nous, l’attaque informatique du système d’information du ministère des Finances à Bercy a fait grand bruit de décembre 2010 à mars 2011. Non seulement le sys- tème d’information est faillible, mais l’attaque a visiblement surpris par son ampleur et sa précision. Les pirates auraient dérobé des informations liées à l’organisation du G20 (sous présidence et organisation françaises). 150 ordinateurs de la direction du Trésor ont été compromis sans doute au moyen d’une attaque par hameçonnage (phishing, envoi d’un mail contenant une pièce jointe infectée)  : toute l’astuce des pirates consiste à rendre ce mail suffisamment crédible et rassurant pour que le destinataire n’hésite pas à cliquer sur la pièce jointe (et ainsi démarrer l’infection de son PC). Il faut ensuite que le « virus » ainsi introduit ne soit pas encore connu des éditeurs d’anti-virus, et il ne sera pas détecté. Ceci dénote un niveau plutôt élevé de sophistication et en consé- quence le coût élevé de préparation d’une telle attaque : en effet, de tels « virus » non répertoriés s’achètent au prix fort sur le marché gris du piratage. • Des techniques d’attaque de plus en plus sophistiquées Tous les types d’attaques que nous avons évoqués plus haut, évoluent en sophistication au fur et à mesure que les cibles et les entreprises de sécurité élèvent leurs niveaux de sécurité et développent une culture de cyber-prudence. Deux évolutions majeures se font jour : • des attaques informatiques commencent à viser des in- frastructures physiques comme le virus Stuxnet  ; ce ver informatique a été découvert en juin 2010 et c’est le pre- mier qui cible des automates programmables industriels, en l’occurrence, ceux de la société allemande Siemens ; ces automates sont utilisés dans des infrastructures industriel- les (centrales hydro-électriques ou nucléaires, distribution d’eau potable, oléoducs, etc.) ; ce ver aurait affecté 45 000 systèmes informatiques, dont 30 000 situés en Iran ; on pense qu’il avait pour objectif d’endommager des centrifu- geuses iraniennes destinées à l’enrichissement d’uranium ; • d’autres attaques visent le cœur de la sécurité de l’Internet à travers les certificats (voir plus haut, la révolution de la cryp- tologie asymétrique) ; ainsi en août 2011, une autorité de certification néerlandaise, DigiNotar, a vu son système d’in- formation attaqué, permettant aux pirates d’émettre de faux certificats pour des domaines appartenant à la CIA, au MI6 ou encore au Mossad ; le gouvernement néerlandais a dé- claré de son côté ne pouvoir garantir la sécurité de ses pro- pres sites Internet, et a donc demandé aux citoyens hollan- dais de ne pas se connecter sur les sites de l’administration jusqu’à ce que de nouveaux certificats soient émis, cette fois par une autre autorité de certification ; facteur aggravant, ce genre d’attaque peut aussi servir à obtenir des droits d’accès frauduleux qui sont ensuite utilisés pour d’autres attaques informatiques de type APT sur d’autres cibles pour les rendre encore plus subreptices, voire indétectables. Le cloud computing et les cyber-attaques L’évolution du cyberespace marquée par la convergence entre informatique et télécommunications se confond donc avec celle de l’informatique. C’est le cloud computing qui pré- figure l’informatique de demain. Ces dernières années, Inter- net a connu des évolutions majeures, qui en font aujourd’hui une plate-forme d’échange et d’intelligence à grande échelle, permettant la dissémination d’applications au sein du réseau, REE N°2/2012 ◗ 19 L'article invité et leur mise en communication au sein d’architectures très modulaires. L’idée qui prévaut est d’utiliser Internet comme l’épine dorsale de l’informatique, en permettant à un utilisa- teur d’informatique de disposer de ressources mutualisées de traitement et de stockage de données, prêtes à être utili- sées, activables automatiquement et payables à l’usage : • la mutualisation des ressources permet d’obtenir des éco- nomies d’échelle significatives et d’abaisser le coût global du service ; • l’utilisateur n’a plus à concevoir, installer et gérer des équi- pements, des systèmes d’exploitation et même des appli- cations, mais les utilise dynamiquement en mode service ; • il dispose d’une puissance de calcul potentiellement illimi- tée, permettant le cas échéant de mettre en œuvre des applications qui sans cela ne seraient pas viables écono- miquement. Le NIST définit le cloud computing comme un modèle permettant un accès simple, à la demande, à des ressour- ces informatiques partagées et configurables, au travers du réseau. Ces ressources peuvent être des équipements de réseau des serveurs, du stockage, des applications ou des services. Elles peuvent être rapidement mises à disposition et ensuite libérées avec un effort de gestion minime au tra- vers d’une interaction limitée avec le fournisseur de services. D’innombrables applications de cloud computing existent sur le marché comme les services de traitement EC2 ou de stoc- kage S3 d’Amazon Web Services (infrastructure informatique virtuelle configurable et activable à la demande). L’utilisateur ne paye que la puissance utilisée, pour la période pendant laquelle elle a été mobilisée. Le cloud computing est un service ouvert à tous : c’est d’ailleurs ainsi que les pirates informatiques du réseau des PSP de Sony (voir plus haut) ont utilisé les services EC2 d’Amazon Web, au moyen d’un compte utilisateur ouvert nor- malement mais avec une fausse identité. On sait d’ailleurs que le cloud computing est utilisé par des hackers pour lancer des attaques massives nécessitant de fortes puissances de calcul comme la recherche de mots de passe par essais sys- tématiques, par exemple. Le service Salesforce.com offre des applications de gestion de la relation client, qui permettent de gérer l’ensemble des informations commerciales d’une entreprise. Cette fois-ci, le modèle est celui du SaaS (Softwa- re as a Service), où une application complète est mise à dis- position de l’utilisateur au travers du réseau Internet. Le marché ciblé par le cloud computing est très large. La plupart des usages de l’informatique professionnelle sont aujourd’hui disponibles, aussi le marché représente poten- tiellement l’ensemble des entreprises, petites ou grandes, qui utilisent l’informatique. Mais ce marché est aussi celui du grand public : de très nombreux services accessibles de façon ouverte, et souvent gratuite, sont aujourd’hui disponi- bles, que ce soit pour la messagerie, la collaboration ou la gestion de documents entre particuliers. • Problématiques de sécurité liées au cloud computing Il n’existe fondamentalement pas de cadre réglementaire régissant les services du cloud computing. De nombreux dé- bats existent aujourd’hui sur l’applicabilité des cadres régle- mentaires existants au cloud computing qui, par nature, rend virtuelles les ressources informatiques, abolit les frontières et pose des questions de souveraineté. C’est souvent à l’entre- prise potentiellement cliente du cloud computing de s’assurer que les règlements auxquels elle est soumise seront respec- tés quand elle recourra aux services d’un fournisseur de ce type de service, que ce soit, notamment, pour la protection des données individuelles ou pour les règles de gouvernance telles que Bâle II pour les banques ou Sarbanes-Oxley pour le contrôle interne financier. Dès lors que l’on examine les principes essentiels du cloud computing, il apparaît que de nombreuses problématiques de sécurité vont se poser. Certaines seront résolues facile- ment par l’état de l’art technologique, d’autres demanderont que de nouvelles technologies soient mises en œuvre dans les années qui viennent. De façon globale, la sécurité est aujourd’hui vue comme le principal frein à son adoption par les entreprises, voire par les particuliers. Par exemple, une étude réalisée par Forrester en octobre 2010 indique que sur un échantillon d’entreprises réticentes à adopter le cloud computing, 66 % disent être préoccupées par la protection des données, 65 % par les contrôles d’accès, et 60 % à la fois pour la gestion des vulné- rabilités et la disponibilité du service. Un particulier pourra en effet hésiter, par exemple, à stocker des informations personnelles sensibles auprès d’un prestatai- re dans le cyberespace. Ses craintes seront de divers ordres : • mes informations seront-elles accessibles seulement par moi ? • un tiers ne pourrait-il pas les lire ? • mes informations ne risquent-elles pas d’être divulguées publiquement ? • mes informations ne risquent-elles pas de disparaître ou d’être altérées ? A l’échelle d’une entreprise, les questions qui se posent vont être d’un ordre de magnitude encore supérieur : je ne possède plus directement les ordinateurs, les applications, voire les données me concernant. Ces ressources sont dé- sormais quelque part chez mon fournisseur de service, et j’y accède dans le cyberespace. Quelle est leur localisation physique ? Sont-elles protégées efficacement comme je le 20 ◗ REE N°2/2012 L'article invité ferais si j’en étais encore « propriétaire » ? Sous quel régime juridique mes données sont-elles désormais régies ? Mes ressources sont désormais entièrement gérées par mon fournisseur de service. Comment puis-je contrôler qu’el- les sont bien celles que je comptais utiliser à l’origine ? Com- ment puis-je m’assurer qu’elles n’ont pas été altérées pour un usage qui n’est pas celui que j’entendais ? Puis-je alors signer, ou certifier ces ressources pour m’assurer de leur conformité à mes attentes ? Je n’accède à mes applications et mes données qu’au travers du cyberespace  : comment puis-je garantir la confidentialité des données échangées sur le réseau, ou stoc- kées sur les systèmes du fournisseur de service ? Autrefois, je m’identifiais dans mon système d’information par mon nom d’utilisateur et mon mot de passe. Comment vais-je m’iden- tifier demain vis-à-vis de ces applications disponibles dans le cloud  ? Devrai-je me ré-identifier à chaque fois  ? Pourrai-je disposer d’un identifiant unique ? L’infrastructure de mon four- nisseur de service est partagée entre de nombreux utilisateurs et mise à disposition via Internet. N’est-elle pas, par sa nature même, plus exposée aux attaques (virus, chevaux de Troie, attaques de botnet, etc.) ? Quel est le degré de pro- tection mis en œuvre par mon fournisseur de service ? Pour que le cloud computing se déve- loppe, les fournisseurs de service doivent mettre progressivement à disposition de leurs clients des outils de sécurité. De nombreuses solutions existent dès main- tenant. Pour en citer quelques-unes, ré- pondant aux questions listées ci-dessus : • certains fournisseurs de services établis- sent des plates-formes en Europe ; • il est possible de certifier des ressources au travers de si- gnatures électroniques ; • il est possible de chiffrer des échanges et des données stockées ; • les identités peuvent désormais se gérer voire se fédérer à l’échelle de systèmes distribués ; • de nombreuses solutions existent, aujourd’hui, en matière d’équipements de sécurité réseaux ; • les fournisseurs de services, pour certains d’entre eux, peu- vent d’ores et déjà se soumettre à des obligations contrac- tuelles et réglementaires. Conclusion Le cyberespace se trouve aujourd’hui à une étape im- portante de son évolution quant aux risques de sécurité qui pèsent sur ses utilisateurs. Avec les APT, l’avantage semble être revenu aux pirates informatiques alors qu’après la se- conde guerre mondiale les progrès de la cryptologie avaient, petit à petit, redonné l’avantage à la défense. Pour se proté- ger, il s’agit véritablement non seulement de recourir à des prestataires de services de sécurité et d’utiliser de bons produits, mais aussi d’élever le niveau général de sensibilisation aux cyber-menaces de l’ensemble des collaborateurs et des uti- lisateurs. Plus que jamais le niveau de sé- curité demeure bien celui du maillon le plus faible et les cybercriminels ont vite appris à détecter ces maillons faibles. Ces faiblesses ont de plus en plus sou- vent une origine humaine. « La sécurité est l’affaire de tous » n’est pas qu’un sim- ple slogan, c’est un postulat de base qui est au cœur de cette évolution. ■ Philippe Duluc est ancien élève de l’École Polytechnique et de l’ENSTA. Il a occupé différents postes au ministère de la Défense et a été conseiller pour les affaires scienti- fiques et techniques du secrétaire général de la défense nationale. Pendant huit ans il a été directeur de la sécurité groupe de France Telecom Orange. Il est depuis 2011 directeur de l’offre sécurité de Bull, et directeur de la sécurité Groupe de Bull. Il préside le groupe permanent « cyber- sécurité » de l’ACN (Alliance pour la Confiance Numérique).