Prévision sécurité 2016 : le grand néant

L'année 2016 sera tout sauf prévisible. Tout est mouvant, des acteurs malveillants à la nature des cibles en passant par la situation internationale. Dans ce tourbillon d'incertitude, comment être crédible en publiant des prévisions sécurité ?

C’est de saison, généralement entre les marrons glacés et la galette des rois : il faut prévoir ce que l’année à venir nous réserve en terme de menaces. Et comme beaucoup, je me suis plié au jeu durant de nombreuses années, avec plus ou moins de bonheur il faut avouer.

La presse appelle ça des marronniers, le marketing « une opportunité », tout le monde s’amuse bien et personne n’est dupe. Car même s’il ne sert pas à grand chose, l’exercice est amusant à réaliser et la lecture des diverses prédictions divertissante, voire parfois très intéressante.

Pourtant, en me penchant sur ce que l’année 2016 pourrait nous apporter, évidemment dans l’idée de publier mes prédictions, la futilité de l’exercice a eu raison de moi. 

Pourquoi ? Car j’ai le sentiment que le jeu des prédictions était encore jouable lorsque le contexte dans lequel elles sont censées se produire demeurait lisible. Par exemple qu’il n’y avait essentiellement qu’une catégorie d’acteurs malveillants actifs contre les entreprises (des pirates au niveau technique et aux motivations variables), des cibles relativement simples, facilement identifiables et isolées, et un contexte mondial aux lignes de démarcation à peu près lisibles. 

Fast-forward en 2016 : plus rien de tout cela n’est vrai. Reprenons.

Des pirates bien identifiés

Le terrain numérique devient encombré. Il y a encore quelques années l’essentiel de l’activité malveillante était le fait de pirates, seuls ou organisés, motivés par l’appât du gain, la course à l’égo ou la satisfaction de nuire, et donc à peu près lisibles. Mais l’on y croise désormais également des unités de lutte informatique offensive de nombreux états, dotées de moyens disproportionnés par rapport aux défenses de l’entreprise. Et manque de chance : ces acteurs là, aussi, sont susceptibles de s’intéresser à l’entreprise !

Et puis tout le monde s’y met : l’Iran ne cache pas son désir de monter en puissance dans le domaine, la Corée du Nord y voit le pendant de sa capacité nucléaire afin de « garantir sa sécurité » face au reste du monde, la Russie cache à peine ses opérations, les Etats-Unis ont révélé une partie de leurs capacités à travers l’affaire Snowden…

Ajoutons à cela des hacktivistes, dont les motivations sont certes parfois à peu près lisibles (la lutte contre la mondialisation et ses symboles, la défense de causes perçues comme humanistes…), mais qui par leur absence de coordination forte sont également capables du plus absurde (attaquer la BBC et déclarer qu’il s’agit de la répétition générale d’attaques à venir contre l’Etat Islamique, vraiment ?)

Et puis, tout simplement, tout le monde peut devenir pirate désormais grâce (ou à cause…) de l’émergence d’outils de « hack as a service ». Ainsi récemment est apparu un ransomware Javascript multi-plateformes (Windows, Mac, Linux) vendu sous la forme d’un abonnement. Son auteur exploite la plateforme, encaisse les paiements des victimes et en reverse leur part à ses clients. Qui n’ont donc plus grand chose à faire.
L’outil lui-même n’est peut-être qu’un épiphénomène mais son existence prouve l’émergence d’un besoin de pirater – cette fois pour gagner de l’argent – partagé par une base beaucoup plus large qu’auparavant, et qui réclame désormais des outils pour le faire.
Et qui les aura, forcément…

Autrement dit, l’attaque peut venir de n’importe qui.

Des cibles simples

Un serveur, des ports ouverts et des services qui tournent derrière. L’équation du piratage était jadis simple. Mais désormais tout devient serveur/port/service. De la théière au réfrigérateur, en passant par l’ampoule du salon, l’automobile ou le dernier jouet offert à Noël. Et les lecteurs les plus attentifs auront remarqué que les exemples précédents n’ont pas été choisis au hasard : tous existent, tous sont connectés et surtout tous ont été récemment piratés.

L’imagination des fabricants d’objets connectés n’a probablement pas encore atteint ses limites. Il est donc probable que les objets connectés que nous offrirons à Noël prochain n’existent pas encore aujourd’hui. Et c’est bien là le problème : pour que ces jouets soient sous le sapin dans onze mois leurs fabricants devront certainement prendre quelques raccourcis. Et celui qui consiste à ne pas trop faire de zèle du côté de la sécurité semble encore le plus populaire et le plus rentable à court terme.

Autrement dit, l’attaque peut cibler n’importe quoi.

Un contexte mondial lisible

Enfin, faire des prévisions est quand même beaucoup plus confortable dans un monde dont on connait les positions idéologiques des forces en présence, leurs moyens, leurs contraintes et leurs objectifs. Mais peut-on vraiment en dire autant pour l’année qui s’annonce ?

Ainsi bien que l’intervention Russe en Syrie pouvait éventuellement être envisagée (et encore, à quelle échéance ?) quid de ses répercutions ? La tension avec la Turquie ? La position de l’OTAN dans cette affaire ? Le rôle de l’Iran, qui y voit le moyen d’accélérer son retour en grâce et d’augmenter son influence dans la région ? Comment peuvent évoluer les tensions violentes entre des pays du Moyen-Orient pourtant jugés stables il y a encore quelques mois ?

Et même plus près de chez nous, les allers-retours de la position officielle vis-à-vis de Vladimir Poutine illustrent à merveille l’aspect imprévisible de l’époque. Pire : qui aurait pu sérieusement prévoir, en janvier 2015, l’arrivée massive de migrants en Europe, au point que certains états mobilisent leur armée afin de fermer leurs frontières ? Qui aurait pu prévoir la construction, sur le continent européen toujours, de murs de protection aux frontières extérieures ? Et enfin, qui aurait pu prévoir que la France terminerait l’année sous l’état d’urgence ?

Autrement dit, l’attaque peut venir de n’importe où, et pour n’importe quelle raison.

Comment, dans ces conditions, être crédible en publiant un article sur les « prévisions sécurité 2016 » ? Cela me semble impossible.  

Lire les articles précédents :
Quelle stratégie adopter face à la menace d’intrusion armée par force ?

Le défi du responsable sûreté aujourd'hui : renforcer la cible "molle" qu'est son entreprise sans pour autant en faire une...

Fermer