L'Epita organisait la semaine dernière une conférence sur le thème « TIC : une arme à part entière ? ». Nicolas Arpagian, Rédacteur en Chef de la revue Prospective Stratégique, orchestrait le débat sur les enjeux et conséquences inhérents à la cyberguerre. Malgré un champ d'action limité en la matière, doit-on pour autant renoncer à sécuriser Internet ?

Pour Patrick Pailloux, Directeur Général de l'ANSSI, l'analyse stratégique dans le domaine de la SSI s'avère complexe pour différentes raisons :
Les mécanismes classiques de sécurité/défense ne s'appliquent pas à la cyber-sécurité. On ne peut pas cantonner la SSI à un domaine précis, d'où la difficulté.
Le problème d'attribution des attaques : on ne sait généralement pas attribuer une attaque informatique, car dans la plupart des cas, on a du mal à remonter jusqu'au bout de la chaîne.
Les notions de territoire, pays, zone, frontière,…, ne fonctionnent absolument pas dans ce domaine.
Au niveau des cyber-attaques, la prolifération a déjà eu lieu. Les états ne maîtrisent pas ce qui se passe, et doivent se contenter de suivre, ce qui est exceptionnel en matière de défense.
Il n'existe pas vraiment d'organisations clairement structurées.

Internet n'est pas sécurisable. Mais, doit-on pour autant limiter les efforts et renoncer à la sécurité ? Non. Les experts sont unanimes. Pour Patrick Pailloux, la seule solution serait de faire table rase et de reconstruire quelque chose de nouveau. Des travaux de recherche existent d'ores et déjà aux Etats-Unis en la matière. La France devrait également travailler sur ce type de perspective.

Aujourd'hui, le seul moyen de se défendre est d'être extrêmement branché sur la menace. De plus, la sécurité du système doit être vérifiée en permanence ; il faut donc la tester régulièrement. Pour parer à une éventuelle attaque, il est également important de prévoir un plan d'action : que faire en cas d'attaque, comment communiquer en cas de coupure du réseau (Internet, téléphonie,…), quel type de message faire passer à la population,… Pour Jean-Pierre Vuillerme, ADIT, ancien Directeur Sécurité de Michelin, il faut partir en continu à la recherche des signaux faibles. Il conseille également de bien séparer en entreprise l'aspect maîtrise d'ouvrage et maîtrise d'œuvre.

Le niveau de sécurité, c'est le niveau de confiance qu'on accorde au moment où on donne une information à quelqu'un

Mais ces mesures ne sont rien sans une sensibilisation des utilisateurs, souligne Patrick Pailloux. Leur éducation est primordiale en la matière, surtout à notre époque où les frontières sont de plus en plus minces entre les sphères personnelles et professionnelles. En matière de sécurité informatique, chacun a son rôle à jouer. Pour Maître Etienne Drouard, Avocat Cabinet Morgan Lewis, le niveau de sécurité, c'est le niveau de confiance qu'on accorde au moment où on donne une information à quelqu'un. Protéger sa vie privée, c'est être conscient de ce que les autres peuvent faire de cette information. « Il faut arrêter de faire croire aux gens qu'ils sont protégés et qu'ils ont une vie privée. Sur Internet, les gens parlent à tort et à travers. Le sentiment d' « anonymat » désinhibe les individus sur la toile, et ce sentiment de vie privée et de sécurité laisse croire aux gens qu'ils ne sont pas en danger. On travaille sur l'illusion. Ca ne sert à rien de dépenser des mille et des cents en sécurité, si on ne fait pas de prévention, de sensibilisation et d'éducation ».

Dans ce débat, Olivier Ricou, Enseignant Chercheur et Directeur du LRDE (Laboratoire de Recherche) Epita, met en exergue trois éléments :
la protection de la vie privée : les entreprises qui gèrent les données privées ne devraient-elles pas être contrôlées ?
le libre accès au service : quel intérêt d'utiliser Internet si on ne peut pas communiquer ?
la garantie du bon correspondant, via la signature électronique. Les solutions techniques (cryptographie,…) existent, et sont déjà utilisées sur le Web. Cependant, l'adaptation de la crypto aux mails pose des problèmes de mise en œuvre, notamment en raison du coût. Seules les grandes entreprises achètent aujourd'hui des certificats.

Qui veut vraiment d'une police de l'Internet ?

Pour Gérard Leymarie, RSSI Accor, et les autres experts, différentes pistes de réflexion sont à envisager :
L'éducation Internet devrait être un passage obligatoire à l'école, comme l'éducation civique.
Il faut se doter d'une architecture parallèle.
La peur du gendarme ; il faut faire quelque chose au niveau mondial. Personne n'a aujourd'hui pour mission de sécuriser Internet. Il n'existe pas de police de l'Internet.

La question est de savoir qui a vraiment besoin d'une police de l'Internet ? D'un côté, personne car nous souhaitons malgré tout garder notre liberté. D'ailleurs, il semblerait plus qu'incertain que tous les pays dans le monde souhaitent mettre en place un tel dispositif. De plus, à partir du moment où il y aura limitation, il y aura contournement (Hadopi en est l'exemple, avec l'utilisation du chiffrement et de proxy pour contourner cette loi). Plus on fera de communication sur les mesures coercitives d'Internet, plus les personnes réfléchiront aux moyens d'y échapper. Le problème majeur dans ce débat est que les moyens de lutte et de répression ont en moyenne 20 ans de retard.