Cybercriminalité : un enjeu encore sous-estimé par les entreprises et le gouvernement
Le cyber monde n'est pas virtuel. Il est la prolongation du monde réel par des outils informatiques. Il faut donc le protéger à l'instar du monde réel martèlent les experts gouvernementaux. La cybercriminalité fait recette. C'est la conclusion que l'on peut tirer du troisième forum international qui s'est tenu à Lille le 24 mars dernier. Plus de 1200 participants venus de toute l'Europe (et du Canada) avaient répondu présent à cet événement qui a été l'occasion de faire un état des lieux sur la cybercriminalité dans le monde, et de rencontrer des intervenants qui généralement préfèrent rester dans l'ombre. A commencer par le Colonel Stanislas de Maupeou, chef du centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA). S'exprimant lors de la première conférence sur l'enjeu que représente la protection des systèmes d'information pour la sécurité nationale, ce haut gradé a rappelé que l'aspect très particulier de l'internet (anonyme et extraterritorial) complexifie les actions de lutte et nécessite une coopération étroite entre les Etats afin d'empêcher les criminels de nuire. « L'appréciation est faussée car nous considérons qu'il s'agit d'un monde virtuel » Mais le travail des organisations militaires et gouvernementales ne peut être mené à bien s'il n'y a pas parallèlement un effort de la part des entreprises et une éducation du public. « Or, nous avons un problème de sémantique. L'appréciation est faussée car nous considérons qu'il s'agit d'un monde virtuel. En fait, il s'agit d'une transposition du monde réel via des outils informatiques. Aujourd'hui, le partage entre le virtuel et le réel n'a plus raison d'être » prévient Emmanuel Sartorius, en charge des questions de défense et de sécurité au Ministère de l'Economie et des Finances. Selon la définition d'un conflit, les cyberconflits n'existent pas Les limites entre le réel et le virtuel étant de plus en plus en floues, notamment en matière de criminalité, il est donc normal d'investir massivement dans le cyberespace pour le protéger. Or, « les entreprises ne font pas suffisamment d'efforts financiers pour sécuriser l'Internet en regard de ce que celui-ci représente aujourd'hui dans leur activité » soulignent les différents intervenants. Photo : Illustration D.R. Il serait injuste néanmoins de rejeter la faute uniquement sur les entreprises. Le gouvernement français a bien fait de nombreuses préconisations pour lutter contre la cybercriminalité mais sans préciser les modes de financement ni les moyens techniques mis à la disposition des cybergendarmes. L'existence de la cybercriminalité n'étant plus remise en cause, les intervenants du forum se sont ensuite penchés sur un concept qui lui demeure plus incertain à savoir la cyberguerre. « Dans le monde réel, on parle de conflit quand un état est impliqué et qu'il y a au moins 1000 morts par an » a asséné Stanislas de Maupeou. Si l'on reprend cette définition, les cyberconflits n'existent pas puisque pour le moment il n'y a eu aucune preuve directe d'un Etat attaquant les infrastructures de communications d'un autre état. Même les attaques qui ont touché l'Estonie en 2007 et la Géorgie en 2008 et qui semblent avoir été commanditées par Moscou ne peuvent être considérées comme une cyberguerre puisqu'elles ont été lancées par des Botnets (des zombies informatiques) provenant d'ordinateurs répartis aux quatre coins de la planète. « Mais cela ne veut pas dire que les organisations terroristes n'utilisent pas Internet pour s'informer et faire du prosélytisme » a prévenu Stanislas de Maupeou partisan d'une attitude défensive tandis qu'une partie des intervenants, plus proches de la stratégie américaine, militent pour une politique offensive car le « cyberespace est devenu un domaine potentiel de combat à l'instar de la terre, de l'air et de la mer ». Le débat en tout cas est loin d'être clos surtout lorsqu'on entend un expert comme le professeur Michel Riguidel (de l'ENST) déclarer que dans quelques années, les réseaux étant de plus en plus intelligents, «la cybercriminalité prendra un nouveau tournant et un virus informatique pourra vraiment tuer ».