Que pense un spécialiste de la cybersécurité ?

Avec le recul, je me rends compte que je me suis intéressé très tôt au comportement des gens, même si je n’en avais pas conscience quand j’étais enfant. Je me souviens qu’un jour, à l’âge de six ans, j’attendais devant le marchand de glaces avec mes parents. Pour tromper l’ennui, j’essayais de deviner ce que les clients devant nous allaient commander en me basant sur leur comportement : des parfums traditionnels comme le chocolat ou plutôt des saveurs originales ? Le premier livre que j’ai lu parlait du langage corporel : je voulais comprendre le langage du corps et repérer les détails qui révèlent quelque chose sur les gens.

On appellerait ça du « profilage prédictif » de nos jours. Je m’y consacre aujourd’hui à un tout autre niveau. Ma démarche est plus ciblée et beaucoup plus professionnelle. Elle revêt, en outre, une finalité sociale.

Avant de se demander pourquoi les cybercriminels agissent de la sorte, il faut se demander qui ils sont. Fait intéressant : il s’agit presque toujours d’hommes, souvent âgés de moins de 30 ans, bien éduqués et dotés d’une intelligence supérieure à la moyenne. Une différence notable par rapport au reste de la criminalité, caractérisée par une intelligence moyenne et un faible niveau de qualification.

C’est fascinant, car les cybercriminels n’agissent donc pas pour l’argent : avec leurs compétences, ils pourraient travailler pour des entreprises comme Tesla, Google ou Amazon, avec un généreux salaire à la clé. Ce n’est donc pas l’argent qui les motive, mais l’adrénaline. Ils le font parce qu’ils en ont les moyens. Et quand ils agissent pour l’argent, il faut toujours chercher le véritable motif de leur acte. Ils ont souvent bien assez d’argent, auquel cas leur motivation pourrait être la cupidité.

Difficile de répondre à cette question ; tout dépend de votre secteur d’activité. Si je devais vraiment répondre, je dirais que ce sont les rançongiciels. Ce qui soulève d’emblée une autre question : comment un rançongiciel atteint-il une entreprise ? On constate que le problème fait toujours suite à une action humaine : une personne a qui a partagé un mot de passe par téléphone, cliqué sur un mauvais lien ou téléchargé une pièce jointe. On parle de social engineering : manipuler les gens pour les amener à faire quelque chose qu’ils ne devraient pas faire. Les cybercriminels en profitent.

Mais la principale cybermenace varie d’un secteur à l’autre. On distingue généralement quatre types de menaces :

• les black hat hackers, ou hackers malintentionnés (des individus) ;
• le Crime-as-a-Service : un groupe ou une structure criminel(le) attaque votre entreprise ;
• l’espionnage ;
• le cyberterrorisme.

Si vous êtes actif dans un secteur d’importance stratégique comme l’énergie ou les infrastructures, la principale menace réside probablement dans le cyberterrorisme. Pour les entreprises générales, les rançongiciels constituent actuellement la plus grande menace. Si vous travaillez dans l’industrie de l’armement ou la construction aéronautique, par exemple, c’est peut-être l’espionnage qui représente le plus grand risque.

Encore une question complexe… De nouvelles menaces émergent, mais aussi de nouvelles solutions. Le « Crime-as-a-Service » devrait gagner du terrain dans les années à venir. Le principe ? Vous pouvez, par exemple, louer un rançongiciel et l’utiliser pour perpétrer une cyberattaque. Vous utilisez un logiciel existant et vous rétribuez un pourcentage de votre butin à la personne à qui vous avez loué le logiciel. Le nombre de personnes susceptibles de commettre des actes de cybercriminalité augmente donc considérablement. Alors qu’il y a 30 ans, il fallait des connaissances informatiques approfondies, aujourd’hui, toute personne ayant de bonnes connaissances de base en informatique peut utiliser ce type de plateforme.

L’évolution du deep fake constitue, par ailleurs, une menace de plus en plus pressante. Cette technologie permet de trafiquer une voix ou une image de manière à ce qu’elle ressemble tellement à l’originale qu’elle en devient crédible. Cette forme de cybercriminalité permet de gagner la confiance d’une victime par téléphone ou vidéo à des fins de manipulation.

Les progrès sont heureusement constants dans la lutte contre la cybercriminalité. Exemple très intéressant dans le domaine du cyberprofilage : la linguistique médico-légale. Nous savons tous que l’ADN et les empreintes digitales peuvent servir à identifier des cybercriminels. À l’avenir, la linguistique médico-légale nous permettra d’identifier une personne sur la base d’une page de texte. Cette espèce d’empreinte digitale linguistique s’avère très intéressante dans la mesure où les cybercriminels utilisent souvent la langue et le texte pour commettre leurs crimes.

Quand on remonte à la source de la cybercriminalité, on se rend compte que la plupart des hackers commencent entre 10 et 15 ans. Ils s’y connaissent en informatique et veulent avoir le sentiment d’être importants, de compter. Le problème vient du fait que la plupart des organisations ne prennent pas les enfants de 10 ou 12 ans au sérieux. Jusqu’à ce qu’ils attaquent une entreprise, évidemment… Ils font alors subitement l’objet d’une plus grande attention.

Je pense donc que les gouvernements devraient tout mettre en œuvre pour offrir à ces profils la possibilité de développer leurs compétences et de les utiliser à bon escient. Dans de nombreux pays, les jeunes de cet âge n’ont pas accès à des cours d’informatique à l’école : c’est une occasion manquée. Ils débarquent donc, en toute logique, sur les médias sociaux et le dark web, où ils affinent leurs talents.

Les gouvernements devraient, par exemple, pouvoir organiser des cyberdéfis destinés à ces jeunes prodiges de l’informatique. S’ils parviennent à craquer un code ou à pirater un système, ils gagnent une visite guidée, un stage ou un autre cadeau du même genre. La NSA (National Security Agency, aux États-Unis) mise déjà sur cette approche et parvient ainsi à ce que les jeunes exploitent leurs compétences informatiques dans un but louable.

D’après moi, la cybersécurité doit associer la technologie à un pare-feu humain. Vous avez beau disposer de la technologie la plus au point du monde, si un cybercriminel vous appelle et vous amène à lui dévoiler votre login et votre mot de passe, vous avez un problème… Il n’y a pas de technologie contre ça. De nombreuses entreprises sont fières de la technologie qu’elles déploient pour sécuriser leurs systèmes, mais elles n’imaginent pas un seul instant que les hackers prennent tout simplement des photos de l’écran et utilisent les données pour leur nuire.

Je déconseille aux entreprises de former elles-mêmes leurs collaborateurs. On constate que les services informatiques et les travailleurs n’entrent en contact qu’en cas de dysfonctionnement d’un système ou de mauvaise manipulation humaine. L’informatique a donc souvent une image négative au sein des entreprises. Et la cybersécurité n’arrange rien. En général, les formations internes n’intéressent que les collaborateurs qui s’y connaissent déjà.

Je conseillerais plutôt aux entreprises d’y apporter un côté divertissant et de faire appel à des externes pour motiver leurs collaborateurs. Elles attireront ainsi des personnes pour qui la cybersécurité n’a en principe pas d’intérêt ou n’est pas une priorité. Les premiers points de contact avec une entreprise sont généralement la secrétaire ou les collaborateurs de la réception, qui n’ont bien souvent pas énormément de notions de cyberpsychologie ou de social engineering. Essayez de susciter l’intérêt de tous pour la cybersécurité. C’est le seul moyen de créer un pare-feu humain dans votre entreprise.