Orateur(s)
Simon François Chief Information Security Officer (SEGI, ULiège) & Network Infrastructure Team Leader (CHU de Liège)
Benoît Donnet Professeur (Faculté des Sciences Appliquées, ULiège)

Digitalisation de la société : quid de la cybersécurité ?

    Résumé

    Dans un contexte de digitalisation accrue de la société, la sécurité informatique se pose en enjeu transversal. Ce midi, nous nous intéressions à cette problématique grandissante, aux visages et conséquences divers. Avec pour toile de fond, une question cruciale : comment la vie privée peut-elle être conservée (ou pas) dans une société qui se digitalise si largement ?

    Benoît Donnet (Professeur, Faculté des Sciences Appliquées, ULiège) a débuté les exposés en rappelant que le principe fondamental qui sous-tend la cybersécurité est bien d’assurer la continuité du business, même en cas d’attaque (car des attaques, il y en ! ou il y en aura… quoi qu’on fasse !).

    Il a ensuite partagé quelques principes de base :

    Le niveau de sécurité d’une entreprise dépend toujours du maillon le plus faible. Il faut faire prévaloir la notion de légitimité (toujours fournir des accès à ceux qui en ont besoin pour une raison légitime). Et savoir qu’hélas, même en étant vigilant, la cybersécurité sera toujours « un coup en retard » par rapport à la cyber criminalité…

    Idéalement, dans la sécurisation de nos infrastructures, il faudrait être à la croisée de cette triade bien connue (C.I.A) :

    • La Confidentialité selon laquelle la révélation des données doit être limitée aux personnes autorisées. Elle implique notamment la cryptographie (symétrique ou asymétrique) ;
    • L’Intégrité qui vise à répondre à cette question : « Comment s’assurer que le message n’est pas transformé » ? Elle permet d’éviter notamment les fakenews. Ici intervient la notion d’empreinte (calculée à l’aide d’une fonction de hachage) ;
    • L’Authenticité selon laquelle un message est dit authentique si l'émetteur est bien celui qu'il prétend être et qu’il n’y a donc pas d’usurpation d’identité. Celle-ci nécessite une signature digitale.

    Afin d’illustrer ses propos, Benoît Donnet a transposé ses explications à partir de cas concrets de Smart devices/Metering (des exemples qui nous concernent tous !).

    Enfin, il a conclu en revenant au fil rouge qui questionne la vie privée et son respect, dans une société de plus en plus impactée par les smart meters. Il a notamment démontré dans quelle mesure, même si les informations sont invisibles, il est possible d’en inférer des données sur notre vie privée. Des exemples qui prêtent à réfléchir…

    Simon François (Chief Information Security Officer, ULiège) a ensuite pris la relève en mettant le focus sur la cybersécurité pour les entreprises et ce, en lien avec l’IoT.

    Il a débuté son exposé en rappelant qu’il est devenu aujourd’hui absolument incontournable de se protéger alors que l’on constate un accroissement considérable des attaques dans tous les secteurs (recherche +75% ; santé +71% ; assurance + 68%…)

    Il dénombre par exemple plus de 10 millions d’attaques bloquées par jour, rien qu’à l’ULiège.

    Parmi les cybercriminels, on relève 3 catégories de personnes : ceux qui veulent obtenir de l’argent ; ceux qui veulent agir pour une cause et enfin, ceux qui souhaitent juste nuire à l’entreprise.

    Contre quoi se protéger ?

    • Le cryptolocker (communément appelé et répercuté dans les médias sous le vocable « ransomware ») ;
    • L’attaque via la chaine d’approvisionnement ;
    • Les attaques spécialisées contre des secteurs précis (c’est de plus en plus vrai avec l’avènement de l’IoT et/ou de l’IIoT. Avec des dangers réels pour des équipements médicaux ou les infrastructures ;
    • Le Cloud (avec la problématique du partage de la sécurité qui lui est inhérent) ;
    • Les services externes de connexion distante (avec l’avènement du télétravail notamment !) ;
    • Enfin viennent toujours les attaques conventionnelles (Le Phishing, le dénis d’initié, les attaques des applications web, exploitations des vulnérabilités, malware communs).

    Face à ces constats, un peu de bon sens peut déjà amener beaucoup d’amélioration !
    Avant de consentir d’énormes investissements dans des hautes technologies en guise de solution, il y a lieu de rappeler d’abord quelques simples règles de base, comme la gestion de l’identité, la gestion des vulnérabilités, le contrôle des accès

    Plus de 80% des piratages se font sur base d’une mauvaise gestion des vulnérabilités.

    Simon François s’est ensuite adressé aux développeurs de solutions IoT notamment pour exhorter à accroitre leur vigilance. L’IoT est le terrain de chasse des botnets. Face à ces risques et écueils possibles par le biais des IoT, il suggère de viser la facilité de gestion et de mise à jour afin de réduire au maximum les risques d’attaque.

    La rencontre s’est poursuivie par un échange à la croisée de réflexions techniques mais aussi plus sociétales (voire philosophique) portant sur nos modes de vie et nos comportements. Et de conclure qu’en parallèle à la technique, beaucoup d’efforts sont à consentir au niveau politique-technico-organisationnel, mais aussi, pour une meilleure conscientisation de chacun.

    Face à ces dangers réels, nous avons tous notre rôle de vigilance à jouer

    Retrouvez ci-dessous les slides de la rencontre :

    Digitalisation de la société : quid de la cybersécurité ? | LIEGE CREATIVE, 09.03.2022 de LIEGE CREATIVE

    Dans un contexte de digitalisation accrue de la société, la sécurité informatique se pose en enjeu transversal. Le primat du numérique entraine naturellement des menaces en termes de cybersécurité. Les attaques qui paralysent des systèmes, entrainant de graves conséquences techniques, humaines et économiques, sont de plus en plus légion.

    Après avoir passé en revue les grands principes de la sécurité (CIA), nos deux intervenants brosseront un portrait de la menace actuelle (Qui ? Pourquoi ? Comment ?) et ouvriront la discussion vers les méthodes les plus pertinentes de protection.

    Un cas d’étude liant sécurité et respect de la vie privée appliqué aux « smart meters » sera également partagé.