Wählen Sie Ihre Nachrichten​

La cybersécurité, un éternel recommencement
Wirtschaft 6 Min. 20.10.2015 Aus unserem online-Archiv
Hack.lu aujourd'hui et demain à Dommeldange

La cybersécurité, un éternel recommencement

Alexandre Dulaunoy invite les entreprises à mettre en place des stratégies proactives et à communiquer sur la manière dont elles se sont saisies du problème
Hack.lu aujourd'hui et demain à Dommeldange

La cybersécurité, un éternel recommencement

Alexandre Dulaunoy invite les entreprises à mettre en place des stratégies proactives et à communiquer sur la manière dont elles se sont saisies du problème
Lex Kleren
Wirtschaft 6 Min. 20.10.2015 Aus unserem online-Archiv
Hack.lu aujourd'hui et demain à Dommeldange

La cybersécurité, un éternel recommencement

En marge d'une onzième édition de la conférence sur le hacking qui affiche complet aujourd'hui et demain, son organisateur, Alexandre Dulaunoy appelle les entreprises à être proactives et transparentes quand elles sont concernées.

Alexandre, on peut peut-être commencer par le début... C'est quoi, un hacker? Un gentil pirate mal vu? 

Alexandre Dulaunoy: C'est le premier des paradoxes. Les hackers sont des gens curieux, qui veulent démonter des choses, savoir comment elles fonctionnent et montrer des failles de sécurité. Ils doivent contacter les sociétés qu'ils ont hackées quand ils trouvent des failles ou des problèmes importants. Il y a même des hackers dans la police... Les cybercriminels ont un intérêt différent, qu'il soit financier ou politique... L'attaquant est un opportuniste. Il est capable de monnayer des données qu'il va voler. Un nom, un prénom, les données d'une carte de crédit ou toutes sortes d'informations que nous mettons souvent sur internet... Ces informations ont une valeur marchande! 

Quelles sont les menaces les plus importantes? 

  1. Le phishing, cette technique qui consiste à abuser de votre confiance pour vous voler des informations personnelles, reste en tête, que ce soit à grande échelle ou parfois de manière très ciblée. Même des experts peuvent se faire avoir tellement les cybercriminels sont capables d'ingéniosité... 
  2. Puis il y a le spamming, qui consiste à envoyer un grand nombre de mails pour bloquer un site ou des serveurs avec tout ce que cela implique de répercutions financières. 
  3. Et celle qui se développe à grande échelle passe par les navigateurs. Aujourd'hui, tout le monde a un navigateur comme point d'entrée de son ordinateur sans penser qu'une seule entrée peut rendre vulnérable tout son ordinateur. 

Comment fait-on pour se protéger des cybercriminels? Vous, moi, par exemple? 

La technologie évolue. Plus on a de technologie, plus on augmente sa surface d'attaque. Par exemple, est-ce qu'on a besoin d'avoir 40 applications sur son téléphone portable? Est-ce qu'on a vérifié où ces fournisseurs de services étaient établis? Il y a dix ans, nous avions un ordinateur à domicile. Aujourd'hui, outre l'ordinateur, le téléphone, les tablettes, nous avons un frigo connecté, une télévision, des routeurs ou des détecteurs de fumée... Cela comporte d'autant plus de risques. L'internet des objets est parfois un problème. Il faut aussi savoir que rien n'est éphémère à l'heure de la copie et du dupliqué... Même pas les snapchats. 

Rien n'est éphémère à l'heure de la copie et du dupliqué... Même pas les snapchats.   

Pour une entreprise, c'est encore plus compliqué... 

Il y a dix ans, les pertes étaient généralement négligeables. Mais aujourd'hui ce n'est plus le cas. Aujourd'hui, il faut aller le plus vite possible et dans les meilleures conditions. Ce n'est pas tellement une question de logiciel mais d'équipe qui réagisse dans le cadre d'une stratégie concertée, d'un contexte particulier propre à chaque entreprise. Il ne faut pas tout externaliser dans la gestion de la cybersécurité. Aucune attaque ne doit rester sans traitement, c'est la clé. 

Est-ce qu'une entreprise doit communiquer sur ce qui lui arrive? 

Regardez le cas Belgacom [une douzaine de serveurs de l'opérateurs belges avaient été piratés pendant deux ans par un service gouvernemental britannique ou américain]. L'opérateur a eu une attitude très ouverte et cela lui a coûté des millions d'euros, non pas financiers en raison de la nature de l'espionnage mais de la gestion des incidents. J'aurais tendance à croire qu'une banque qui publie les incidents parce qu'elle agit est davantage digne de confiance que celle qui met tout sous le tapis. Dans une entreprise, il n'y a aucun moyen de cacher ce type d'événement indéfiniment. On peut utiliser la réaction comme argument commercial. 

L'autre paradoxe est l'attitude de ceux qui nous gouvernent... eux-mêmes utilisateurs de hacking pour monter leurs opérations... 

Oui, c'est un paradoxe! Difficile de trouver une solution quand les agences de renseignement elles-mêmes utilisent le hacking pour trouver des informations sur les opposants. Il y a même des possibilités de cacher l'origine de ces attaques et de les reporter sur un autre pays, des stratégies nombreuses et variées... Même eux se font avoir, comme dans le cas de cette société basée à Milan, HackingTeam qui vend des logiciels pour hacker et dont les utilisateurs ont vu de nombreuses données publiées sur internet, dont de nombreux gouvernements... 

Dans la guerre entre les voleurs et les gendarmes, les voleurs ont toujours une longueur d'avance... 

On assiste au développement intéressant de la cryptographie, notamment au Luxembourg. Mais ça reste du logiciel. Autrement dit, cela va fonctionner un temps mais tout algorithme finit par être cassé. On voit apparaître des cryptolockers et des logiciels de rançon liés au bitcoin, signe d'une nouvelle évolution de la cybercriminalité... 

Manifester alors qu'on a dix à vingt cartes de crédit dans les poches...
Manifester alors qu'on a dix à vingt cartes de crédit dans les poches...
Lex Kleren

L'autre tendance est l'assurance contre la cyber-insécurité... 

Des compagnies d'assurance commencent à la proposer. A condition que leurs clients déclarent les incidents, justement. Cela permet d'évaluer les risques pour eux et cela oblige les entreprises à avoir un comportement proactif. Ces assureurs se fondent notamment sur les travaux du Risk Institute de Cambridge. Si on va plus loin, dans certains pays on peut même avoir une assurance moins chère pourvu que l'on accepte un GPS tracker. Imaginez-vous ce que cela pourrait signifier si vous étiez repéré trop souvent devant une discothèque ou un bar. Ou regardez par exemple les fuites d'informations de carte de fidélité qui suffisent à avoir une idée des habitudes alimentaires. Un calcul de surpoids et des assureurs deviendraient réticents à vous assurer... 

A vous entendre parler comme ça, je me dis que les manifestations contre Safe Harbour et les transferts de nos données aux Etats-Unis, par exemple, doivent vous faire sourire... 

Non, pas du tout! Je suis content de voir des gens se mobiliser pour la sécurité des données. Seulement quand on manifeste contre Safe Harbour avec dix à vingt cartes de fidélité dans le porte-feuille... C'est ça qui est amusant. Ne pas comprendre que derrière tout ce qui est gratuit sur internet, c'est nous qui sommes la marchandise. 

Au CIRCL, vous développez toute une série d'outils pour les entreprises, vous faites des formations. Qu'est-ce que vous conseilleriez? 

Etre proactif, détecter, réagir. Tout le monde est un jour ou l'autre touché. Si le problème est traité et géré, on progresse vers la cybersécurité. Il faudra suivre les développements du chiffrement libre. 

Au fond, est-ce qu'on ne devient pas un peu paranoïaque à force d'avoir le nez dans les problèmes de cybersécurité? 

Il faut avoir les pieds sur Terre. Etre pragmatique. Tout est à double face. Avec une constante dont il faut toujours se souvenir: quand on produit des données, on ne sait pas qui ni comment elles pourront être utilisées. 

Propos recueillis par Thierry Labro

Le programme de la conférence.


Lesen Sie mehr zu diesem Thema

Les prix de la pierre sont-ils trop élevés au Luxembourg? Pourquoi et comment investir dans l'immobilier résidentiel au Grand-Duché? Quel rendement espérer? Jean-Nicolas Montrieux, partner et chief operating officer d'INOWAI Residential, apporte quelques éléments de réponse.
L'immobilier est un des placements les moins risqués pour autant que l'on travaille sur du long terme.
Pour se lancer dans l'investissement locatif, vaut-il mieux acheter un bien au Luxembourg ou à l'étranger? Le louer à long terme ou très court terme? Quelle rentabilité en attendre? Autant de questions indispensables à se poser avant d'investir 
et pour lesquelles il n'existe pas 
de réponse unique: tout dépend 
de la situation et des envies 
de l'investisseur.¶
Le choix d'investissement dépend du profil de l'investisseur, souligne Olivier Beghin responsable groupe au sein de KBL epb.
Ce gouvernement avait annoncé un référendum dans son programme. Une question a été évacuée avec une certaine finesse politique. Quel intérêt pour notre pays peut-on trouver aux trois questions posées?
Grand entretien de la «Warte» avec Lambert Schlechter
Dans sa maison-bibliothèque, le lauréat 2014 du Prix Batty Weber puise la substance qui l'aide à sonder la nature humaine.
L'auteur dans son «atelier»