5_cyber protection
π Numérique π Géopolitique
Sommes-nous prêts pour une cyber-pandémie ?

« Il faut des cyber-gestes barrières contre les cyberattaques »

Sophy Caulier, journaliste indépendante
Le 3 mars 2021 |
3 mins de lecture
2
« Il faut des cyber-gestes barrières contre les cyberattaques »
Cécile Wendling
Cécile Wendling
directrice de la stratégie de sécurité et de la sensibilisation aux questions de sécurité pour le Groupe AXA
En bref
  • Selon Cécile Wendling, Directrice de la stratégie de Sécurité, de l'Anticipation des menaces et de la Recherche pour le groupe AXA, une « cyberpandémie » est de l’ordre du possible.
  • Comme une pandémie sanitaire, elle entraînerait une cascade de crises de toutes sortes, et aurait un impact conséquent sur l’économie réelle.
  • Les entreprises d’assurance comme AXA envisagent aujourd’hui de couvrir les risques cyber.
  • Cependant, la cyber-protection est aujourd’hui encore un domaine trop peu connu des particuliers : des efforts de prévention et d’apprentissage des gestes-barrières numériques doivent être réalisés pour que les assurances puissent couvrir les risques.

Après avoir dirigé l’équipe en charge de la Prospec­tive pen­dant plus de 5 ans, Cécile Wendling est aujour­d’hui Direc­trice de la stratégie de Sécu­rité, de l’An­tic­i­pa­tion des men­aces et de la Recherche pour le groupe AXA. Venue de l’hori­zon des Sci­ences Humaines et Sociales (SHS), elle par­ticipe à de nom­breuses instances de con­seil et de réflex­ion dans des domaines aus­si var­iés que la pro­tec­tion des don­nées per­son­nelles, l’in­tel­li­gence arti­fi­cielle ou la cybersécurité.

Pensez-vous qu’une cyber-pandémie soit de l’or­dre du possible ?

Cécile Wendling. Oui, c’est tout à fait crédi­ble. Un cyber-évène­ment majeur pour­rait avoir un impact mon­di­al, économique et physique dans le monde réel tout comme la pandémie de Covid-19. Cela dit, il faudrait trou­ver un vocab­u­laire com­mun, car pour l’in­stant, lorsqu’on par­le de cyber-évène­ment, on mélange dif­férents types d’événe­ments et d’at­taquants. Il con­vient de dis­tinguer les attaques ciblées, inten­tion­nelles, et les événe­ments non inten­tion­nels, comme un serveur qui plante ou une tem­pête ! De même, les attaques peu­vent être le fait d’in­di­vidus isolés, du crime organ­isé, de groupes idéologiques ou d’États.

Un assureur doit com­pren­dre le risque réel pour pou­voir pro­pos­er la cou­ver­ture adéquate. D’où l’im­por­tance de dis­pos­er d’un lan­gage com­mun, d’une ter­mi­nolo­gie qui per­me­tte de class­er les événe­ments dans dif­férentes caté­gories, de com­par­er les men­aces et leur évo­lu­tion dans le temps, afin d’en avoir une vision historique.

Cela per­me­t­trait à l’as­sur­ance des risques cyber de se développer ?

Oui, à con­di­tion de les con­naître, de pou­voir les clas­si­fi­er afin de savoir quelle par­tie est cou­verte par une assur­ance. Le vrai enjeu ici est celui de l’é­d­u­ca­tion au risque et sa préven­tion. Si l’on pour­suit l’analo­gie avec la pandémie de Covid-19, on voit que l’on a appris aux gens des règles san­i­taires, des gestes de base pour se pro­téger du coro­n­avirus et en lim­iter la prop­a­ga­tion. La cyber­sécu­rité est encore un domaine rel­a­tive­ment secret. Seules cer­taines per­son­nes con­nais­sent les infor­ma­tions sur les attaques qui sont menées con­tre des entre­pris­es, ce n’est pas très vis­i­ble du grand pub­lic. Un pub­lic non aver­ti ne peut pas faire de préven­tion sur ses appareils con­nec­tés car il n’a pas « l’hy­giène de base », il ne sait pas quels gestes faire pour se pro­téger, par exem­ple, faire des sauve­g­ardes régulières. Ils ne peu­vent donc pas s’as­sur­er con­tre des risques qu’ils ignorent.

Pour assur­er ces risques, il faudrait des déci­sions règle­men­taires et juridiques comme cela a été fait pour l’au­to­mo­bile : pour cir­culer, il est oblig­a­toire d’as­sur­er son véhicule con­tre les dom­mages poten­tielle­ment causés aux tiers. Dans le cas d’une cyber-pandémie, il faudrait aus­si se pos­er la ques­tion de la mutu­al­i­sa­tion du risque et créer un pool public–privé comme c’est le cas pour une cat­a­stro­phe naturelle majeure ou pour l’épidémie de Covid-19. Con­crète­ment, en cas de crise, il faudrait créer un con­tin­u­um de pro­tec­tion, qui aille de l’é­d­u­ca­tion et de la préven­tion à l’as­sis­tance technique.

Com­ment peut-on anticiper le risque d’une cyber-pandémie ?

C’est très dif­fi­cile, parce que, comme pour la crise san­i­taire, une cyber-pandémie entraîn­erait des risques mul­ti­ples. Cela créerait en fait une inter­con­nex­ion de crises et donc de risques. Pour anticiper un tel cyber-événe­ment, il faut com­pren­dre des scé­nar­ios mul­ti­risques comme, par exem­ple, ce qui s’est passé au Liban où il y a eu une crise économique en même temps que la pandémie de Covid-19 et l’ex­plo­sion dans le port de Beyrouth…

Pour anticiper une men­ace, il faut se pos­er la ques­tion de sa tem­po­ral­ité et de son évo­lu­tion pos­si­ble au fil du temps. On ne peut pas avoir un scé­nario sta­ble dans le temps, il faut régulière­ment le repren­dre. Pour être résilient, il faut con­tin­uer à anticiper en mode prévi­sion­nel et prospec­tif à plus long terme.

En fait, l’an­tic­i­pa­tion repose sur deux types d’ex­er­ci­ces dif­férents. D’une part, une tour de con­trôle fait de la veille prospec­tive au quo­ti­di­en sur de nom­breux sujets, par exem­ple dans le cas d’une cyber­at­taque, quel rôle pour­rait jouer l’or­di­na­teur quan­tique. D’autre part, sur le plan pra­tique, on anticipe des scé­nar­ios de crise, par exem­ple, com­ment gér­er une cyber­at­taque en con­fine­ment, a‑t-on anticipé le tra­vail en mode papi­er-cray­on ? L’an­tic­i­pa­tion repose des cel­lules et des tem­po­ral­ités dif­férentes. Si je car­i­ca­ture, il faut, des « geeks » qui font de la threat intel­li­gence à un hori­zon de temps de 2 mois et des actu­aires qui éval­u­ent le risque à long terme. Toute la dif­fi­culté con­siste à con­necter ces deux mon­des, qui ont des échelles de temps dif­férentes, en ayant des tem­po­ral­ités intermédiaires !