Marwan Lahoud, ancien directeur général délégué à l'international, à la stratégie et aux affaires publiques d'Airbus, a présidé le rédaction du rapport de l'Institut Montaigne sur la menace cyber.
afp.com/ERIC PIERMONT
Les Américains l'ont appelé le cybergedon, en référence à l'Apocalypse de la Bible. L'Institut Montaigne, lui, a préféré le terme de cyberouragan. Dans un rapport à paraître ce jour et dont l'Express a pris connaissance, les auteurs craignent des attaques informatiques majeures susceptible de déstabiliser des grands groupes, leurs fournisseurs, les institutions publics et jusqu'aux nations elles-mêmes. Dans ce document, "Cybermenace : avis de tempête", rédigé sous la présidence de Marwan Lahoud, ex directeur de la stratégie d'Airbus et associé chez Tikehau Capital, et dont le rapporteur est Gérôme Billois, associé au cabinet de conseil Wavestone, treize propositions sont ainsi présentées afin d'éviter un tel scénario catastrophe. Certaines d'entre elles sont plutôt consensuelles, d'autres plus polémiques.
L'EXPRESS : Des TVG bloqués à quai dans toute la France. Des chaînes de télévision dans l'impossibilité d'émettre. Et les ordinateurs du marché de Rungis dans l'incapacité de prendre des commandes. Votre rapport commence par un scénario catastrophe, mais est-il réaliste ?
Marwan Lahoud : Si nous n'étions pas convaincus de la réalité de cette menace, un cyber ouragan, nous n'aurions jamais rédigé ce document sur lequel nous avons travaillé pendant près d'un an. La forte dépendance des entreprises aux réseaux de communication et le volume d'accès aux informations hébergées dans des centres de données extérieurs sont multipliés par deux tous les trois mois. Perturber leur bon fonctionnement peut nuire à n'importe quelle société privée, institution publique et à la nation toute entière. Les attaques survenues l'an dernier avec NotPetya et Wannacry l'ont prouvé en touchant des multinationales dans le monde entier mais ces assauts font déjà parties de la préhistoire. Il s'agit de se préparer à la prochaine étape. Certes, nos vulnérabilités s'accroissent mais nos capacités d'y faire face aussi.
Souvent cachées et honteuses, les victimes devraient selon vous être plus transparentes et collaborer avec leurs pairs. On en n'est loin...
C'est pourtant le B.a.-ba en matière de défense. Si vous n'acceptez pas d'évoquer publiquement une attaque informatique vous ne pouvez pas mobiliser autour de vous l'aide nécessaire et faire appel à la solidarité. Dans le secteur du cyber nous manquons de bras et, surtout, de cerveaux. Voilà pourquoi nous proposons aux acteurs privés de partager leurs personnels et leurs compétence en cas de crises, y compris avec leurs concurrents. Nous suggérons également de pouvoir s'appuyer sur la réserve cyberdéfense, soit 400 personnes à ce jour. Il s'agit de mobiliser ici tous les acteurs : grands groupes, fournisseurs, services publics, citoyens.
Airbus, votre ancienne société, n'a-t-elle pourtant pas toujours été discrète sur ce sujet, notamment lors de l'espionnage des services secrets allemands ?
Certains groupes sont victimes de nombreuses attaques. Mais cela prend du temps pour reconnaître le fait d'avoir été hacké, les mentalités évoluent lentement. Surtout, il faut une politique en deux temps. Le premier repose sur un réseau de confiance avec d'autres responsables de la sécurité informatique afin de trouver discrètement une parade au moment de l'offensive. Ensuite, après avoir réglé tous les problèmes, s'ouvre un second temps. Il faut alors accepter d'en parler publiquement, sans honte, pour avertir les autres entreprises du risque qu'elles encourent et pour sensibiliser le grand public sur ces questions.
Vous ouvrez la porte à une défense active pour les sociétés, c'est-à-dire la possibilité de prendre des mesures pour faire cesser un assaut. N'est-ce pas un premier pas vers la contre-attaque, le hack back ?
Pour se défendre, il est nécessaire de comprendre d'où vient l'assaut, ce qu'il vise, à quoi on s'expose et éviter ainsi de se faire voler des informations sensibles. Identifier l'assaillant ne veut pas dire lancer une contre-attaque qui reste du ressort de la sphère publique, il n'y a aucune ambiguïté là-dessus. En revanche, il convient d'organiser des échanges entre les sociétés privées et le cyberpompier de l'État, l'Agence nationale de la sécurité des systèmes d'information (Anssi), afin de partager les indices laissés par les pirates, leurs signatures. Ce circuit d'information existe déjà mais nous proposons de raccourcir la boucle, via une plateforme sécurisée d'échange, afin d'être plus rapide et plus efficace.
Vous suggérez que les entreprises publient chaque année un document, comme un rapport annuel, concernant les risques cyber. Mais cette matière évolue vite. Ce document ne risque-t-il pas d'être obsolète au moment de sa parution ?
Il ne s'agit pas de tenir un répertoire des attaques mais plutôt de publier un document sur les risques existants et les compétences d'une entreprise pour y faire face. Dans le rapport de l'Institut Montaigne, nous estimons que les sociétés d'audit et leurs commissaires aux comptes sont qualifiés pour réaliser ce genre de travail, qui certes aura un coût, mais permet de faire un état des lieux sur ce sujet. Il faut savoir ce que l'on veut en matière de cybersécurité. D'ailleurs, des exercices de crise peuvent permettre de tester la résilience des systèmes d'information d'un groupe mais aussi de ses fournisseurs et de ses bureaux de représentation à l'étranger. Les banques le font depuis longtemps et nous souhaiterions que ce dispositif soit étendu à tous. Dans cet univers n'existent ni frontières géographiques, ni barrières organisationnelles, et les assaillants entrent bien souvent par la première fenêtre qui se présente à eux, y compris chez les sous-traitants.
/cloudfront-eu-central-1.images.arcpublishing.com/lexpress/46RAHN6AX5FT3AGSSJXPVFRH3A.jpg)
