Mercredi 6 mars 2019 — Si la cybersécurité joue actuellement un rôle crucial pour notre économie, force est d’admettre que la sécurité en général, la santé et le fonctionnement de nos systèmes démocratiques sont eux aussi de plus en plus tributaires de la sécurité de l’information. Pouvons-nous avoir l’assurance que notre communication reste confidentielle et que nos appareils ne sont pas manipulés à distance ? La pénurie actuelle d’experts de la cybersécurité et de ressources qui règne en Belgique et dans les pays voisins, fait cependant planer le doute sur notre capacité à relever ces défis aujourd’hui et à l’avenir. Selon Hans Graux, avocat en TIC auprès de time.lex, un cabinet spécialisé dans le droit des technologies de l’information, les pouvoirs publics doivent certes prendre diverses mesures dans ce domaine, mais une stratégie européenne s’impose également. Dans le cadre du programme de séminaires du salon Infosecurity.be, l’événement IT organisé les 20 et 21 mars à Brussels Expo à l’intention des experts, professionnels des TIC et TIC managers, il consacrera une conférence au nouveau Cybersecurity Act de l’Union européenne. Il s’agit d’un nouveau plan d’actions qui prévoit des mesures devant notamment garantir que les états membres réalisent les investissements nécessaires et que nos appareils seront mieux certifiés. Le texte officiel de ce plan d’action européen devrait être finalisé d’ici l’ouverture du salon Infosecurity.be.
Une capacité trop faible pour résoudre tous les problèmes
Durant ces deux dernières années, la cybersécurité et les attaques cybernétiques sont des thèmes inhérents à notre société moderne. D’où la question : la Belgique est-elle suffisamment préparée à ce défi ? Hans Graux, l’un des orateurs du programme de séminaires organisé en marge du salon Infosecurity.be, tire tout de même la sonnette d’alarme. « Que ce soit en Belgique ou au sein de l’Union européenne, je remarque une seule et même grande tendance : il devient de plus en plus difficile de trouver des collaborateurs et experts compétents et d’allouer suffisamment de ressources. Le nombre de profils compétents en matière de sécurité doit augmenter de 50 % et les ressources de 100 %. L’industrie a notamment besoin d’experts de la cybersécurité, de délégués à la protection des données et de développeurs spécialisés dans la sécurité de l’information. Il est urgent de rendre ces métiers plus attrayants en augmentant les salaires et en élargissant l’offre de formations», explique Hans Graux.
Une stratégie européenne reposant sur des simulacres de guerres cybernétiques et la certification des appareils
Les problèmes et défis qui se posent actuellement dans le domaine de la cybersécurité, comme la pénurie d’experts et les budgets insuffisants, ne sont pas le propre de la Belgique. Tous les états membres de l’Union européenne y sont confrontés. C’est pourquoi l’Union européenne a annoncé un nouveau plan d’actions, dont fait partie le nouveau Cybersecurity Act. Cette initiative doit amener les états membres à prendre de nouvelles mesures préparatoires en intensifiant les investissements en faveur de la sécurité, en organisant des simulacres de guerres cybernétiques, en impliquant des prestataires de services clés du secteur privé, en introduisant une obligation de notification des incidents et en imprimant un nouvel élan à la certification de sécurité des appareils et services électroniques. Ce dernier aspect facilitera d’ailleurs la mise au point de normes de sécurité notamment pour les smartphones, normes qui seront contrôlées par des parties externes et neutres. La Belgique ne dispose pas d’une grande tradition dans le domaine des contrôles de sécurité, de sorte que cette évolution est positive pour le consommateur.
Hans Graux considère le plan d’actions comme un bon début, mais n’y voit pas la panacée. « L’Union européenne met ainsi en place une bonne stratégie, une préparation efficace. Il serait en effet erroné d’envisager les problèmes de cybersécurité dans une perspective purement nationale. D’autres partenaires comme les États-Unis et la Chine ne seront peut-être pas disposés à appliquer les mêmes règles, mais au moins il existe désormais une stratégie concluante à l’échelon européen. Reste à présent à veiller à ce que les états membres réalisent les investissements nécessaires et appliquent correctement les règles, sans essayer de les adapter à leurs propres normes. Par ailleurs, ce plan d’actions ne permettra pas de résoudre tous les problèmes opérationnels, et les autorités nationales devront encore prendre des mesures additionnelles, notamment pour rendre les métiers de la cybersécurité plus attrayants », poursuit Hans Graux.
La société est de plus en plus tributaire de la sécurité de l’information
Selon toujours Hans Graux, il devient urgent de renforcer les rangs des experts et de prendre des mesures appropriées. Nous sommes en effet de plus en plus tributaires de la sécurité de l’information. Au cours des deux dernières années, deux entreprises belges sur trois ont subi un préjudice économique du fait d’attaques cybernétiques, des élections de pays voisins ont été manipulées par des fausses nouvelles, des e-mails de personnalités politiques ont été dérobés et rendus publics et nos GSM / Smartphones pourraient bel et bien à l’avenir être écoutés. à cela s’ajoute un nouveau débat cuisant sur la question de savoir à qui nous pouvons nous fier pour nous vendre ce nouveau matériel 5G, l’internet des objets et les systèmes de prise de décision automatisée comme les voitures autonomes. « De nos jours, la cybersécurité ne se limite plus à protéger nos comptes au moyen de mots de passe sécurisés. Elle exerce une influence sur des processus fondamentaux de notre existence. Nous voyons les attaques cybernétiques se multiplier et dans le même temps, notre dépendance à l’égard de l’internet et de nos appareils qui y sont connectés ne fait qu’augmenter : pacemakers, véhicules autonomes, machines à voter, … Une société sûre sous-entend une sécurité de l’information infaillible, et c’est ce qui nous place dans une position particulièrement vulnérable. Nous devons donc acquérir la certitude que nous pouvons nous permettre de confier notre santé et notre sécurité à l’internet », ajoute Hans Graux.
Continuer à mener une réflexion critique
Nos appareils connectés sont souvent si complexes que même les meilleurs contrôles et mesures ne peuvent pas les rendre à 100 % sûrs. C’est donc à nous de faire preuve de prudence avec nos données. « Choisissez bien vos mots de passe et ne téléchargez pas n’importe quels logiciels. Mais surtout, nous devons faire preuve d’esprit critique. Cette remarque vaut d’ailleurs non seulement pour les citoyens et consommateurs, mais aussi pour nos décideurs politiques, par exemple dans la perspective des élections du mois de mai. Nous n’avons pas encore connu en Belgique d’incidents de sécurité d’envergure dans la sphère politique, mais nous devons néanmoins être conscients que les risques qui guettent nos processus démocratiques sont beaucoup plus nombreux qu’il y a cinq ans. Il n’est dès lors pas impensable que la cybercriminalité puisse être utilisée pour ébranler notre société », conclut Hans Graux.
Comme à l’accoutumée, Infosecurity.be expose les besoins et les défis en matière de cybersécurité – anciens et nouveaux – qui se font sentir dans le monde du TIC, ainsi que les nombreuses solutions qui existent pour y répondre. Toutes ces tendances sont abordées dans les sessions et séminaires indépendantes du salon. Pour voir le programme dans son intégralité, vous pouvez consulter
www.infosecurity.be.