Sunday, January 21, 2018

Il n'y a pas de "cyberwar"

(Publié sur Le Cercle en 2015).

On parle de plus en plus de cyberwar, ou guerre numérique. Mais en fait, la cybersécurité est un danger tout relatif. C’est une guerre qui ne fait aucune victime. Certes, on commence à voir la menace s’étendre lentement vers la prise de contrôle de plateformes industrielles, ce qui pourrait alors causer de réels dangers. Mais cela ne correspond pas à ce jour à la réalité ni surtout à tous ces incidents qui font les gros titres. Et puis, si la menace est telle, pourquoi ne changer les systèmes ?

La cybersécurité n’est pas plus un champ de bataille, pour la simple raison que la mort n’est pas – heureusement – au rendez-vous. Mais elle n’est même pas la tourmente qu’on entend dire. Elle n’est juste qu’une nuisance. Une nuisance fort gênante, certes, mais une simple nuisance quand même. Mes collègues responsables sécurité ou consultants détesteront lire ceci, mais la réalité demeure.

Pour s’en convaincre, considérons les dégâts causés par les pirates informatiques. Que peut-il arriver ? Pour TV5, c’est l’image de marque qui a été touchée – la perte de revenus de publicité pendant le noir est négligeable à côté. Pour un industriel qui se fait copier ses plans, c’est son avance technologique qui fond – mais il s’agit d’un risque de relatif long terme, rien d’immédiat. Certes il y a de rares systèmes mis à sac qui nécessitent un arrêt souvent mineur de production.

On mettra de côté tout ce qui est d’origine juridique ou réglementaire, il s’agit d’amendes totalement arbitraires et sans fondement. Ainsi, Orange qui s’est fait pincer par la CNIL n’a causé aucun dommage à ses clients – aucune entreprise ne prendrait ce risque. On oublie trop souvent que la question dite de la privacy, celle de la protection des données personnelles, ne se pose pas dans les termes que la CNIL nous impose : la menace ne vient pas des entreprises, elle vient de l’état.

Notez que je ne parle nulle part de vol. Tout d’abord, le vol en informatique est rare, la copie est la règle. Mais surtout, le vol en matière de données n’a guère de sens (*). Une fois dans ma tête, aucune information ne peut m’être volée. Un industriel ne se fait pas voler ses plans – pour rester discrets, les pirates évitent de les détruire. Les pirates mettent donc la main sur des copies, ce qui signifie que les industriels ne perdent rien, sauf un avantage temporel sur un concurrent éventuel.

Même croissante, la cybersécurité n’est pas absolument gravissime en soi. Du moins pas au point de justifier les gesticulations étatistes qu’on constate…

(*) Depuis que ce texte fut publié, la menace des ransomwares a vu le jour, qui vient sinon dérober du moins bloquer l’accès à certaines données, ce qui se rapproche du vol dans l’effet. Probablement que les malveillants vont trouver d’autres types de nuisances encore. Il demeure, il faut garder raison et lucidité, on ne peut parler de guerre et rien dans ces nuisances ne justifie l’interventionnisme. Au contraire, croire que la cybersécurité peut résulter de textes ou lois, c’est ne pas en avoir compris la nature « piratesque », qui fait que les failles exploitées auront – comme en finances – leur origine de failles conceptuelles se trouvant en marge des textes.

No comments: