Solange Ghernaouti-Hélie est l’une des observatrices universitaires francophones les plus éminentes des questions de sécurité informatique. Son intérêt est déjà antérieur au développement d’Internet, comme elle nous l’explique dans l’entretien ci-dessous. Ses publications en témoignent: elle est l’auteur de 13 ouvrages. Le plus récent est consacré à “Internet et sécurité”.
L’analyse de Madame Ghernaouti-Hélie intègre perspectives sociologiques et criminologiques. Docteur de l’Université Paris VI, elle enseigne depuis 1987 à l’Université de Lausanne, où elle est professeur à l’Ecole des Hautes Etudes Commerciales, titulaire de la chaire “Télécommunication et Sécurité des technologies de l’information”. Son expertise lui vaut d’être consultée internationalement par des gouvernements et organisations sur ces questions. Elle mène des recherches sur la criminalité informatique et les moyens d’enquêter sur les cybercrimes.
Site du Swiss Cybersecurity Advisory and Research Group (SCARG), centre de compétence créé par le Prof. Ghernaouti: http://www.scarg.org [mise à jour 04.06.,2016].
Cela fait des années que vous prêtez attention aux questions de sécurité sur Internet…
Bien avant l’émergence du phénomène Internet, mes recherches portaient sur la Sécurité Informatique et cela, selon deux orientations:
- maîtrise des risques technologique, opérationnel et informationnel;
- la sécurité comme facteur de qualité de service des réseaux de télécommunication.
Mes premières publications sur ces sujets remontent à 1987. Un de mes premiers ouvrages, d’ailleurs, traite en partie, de la sécurité des applications réparties (Eyrolles – 1990, épuisé), deux autres abordent les questions de sécurité comme étant un des aspects de la gestion des réseaux (Masson – 1992, Chapman & Hall -1994, épuisés). Les plus récents se sont focalisés sur les dimensions stratégiques et technologiques de la sécurité des télécommunications (Dunod – 1998, épuisé) et sur la spécificité du risque Internet (Sécurité Internet : stratégies et technologies, Dunod – 2000). Enfin un de mes Que-Sais-Je? est consacré à la problématique de la sécurité dans le monde de l’Internet (Internet et sécurité, N° 3609, PUF 2002).
Le monde de l’Internet, et ses problématiques associées à son usage extensif, m’a conduite à décliner ma réflexion relative à la sécurité des technologies de traitement de l’information et des communications selon trois axes et dimensions: stratégique, tactique, opérationnel, que cela soit pour les individus, les organisations ou la société. En intégrant, dans mes réflexions, les dimensions d’ordre social, économique, juridique à celle purement technologique, tout en tenant compte des réalités technologique et humaine, la prise en considération de la criminalité informatique ainsi que ses diverses variantes, s’est progressivement imposée. En témoigne, la création:
- d’un cours “Internet et société” pour les étudiants de sociologie dans le cadre du DEA “Sciences de la communication et des médias” de l’Université de Genève (2000) (http://www.unige.ch/ses/socio/)
- d’un DEA (Diplôme d’Etudes Approfondies) en Droit, Criminalité et Sécurité des Nouvelles Technologies (http://www.unil.ch/cliic/). Ce programme de cours, dont je suis la directrice, est le résultat d’une collaboration interdisciplinaire entre les facultés de Droit de Universités de Lausanne et de Genève, l’Institut de Police Scientifique (http://www.unil.ch/ipsc/) et de l’Ecole des HEC de l’Université de Lausanne (2002) dont je suis professeur depuis 1987 (http://inforge.unil.ch/sgh/).
Depuis quand voyez-vous émerger la crainte non seulement de la cybercriminalité, mais du cyberterrorisme, sujet actuellement très chaud aux Etats-Unis? Des événements précis ont-ils contribué à l’évolution de la perception de la menace?
Le grand public a pris connaissance de la cybercriminalité depuis quelques affaires exemplaires qui se sont déroulées durant l’année 2000, retenons notamment l’attaque du site de Yahoo le 10 février 2000. Toutefois le concept était lui, bien antérieur à la médiatisation d’attaques de sites web. En effet, si l’on considère l’Internet, d’une part, comme un outil de communication largement accessible et, d’autre part, comme un ensemble de technologies ouvertes, permettant d’accéder à distance à toutes sortes de ressources informatiques ou informationnelles, tout un chacun peut potentiellement détourner les services ou les technologies du monde de l’Internet à des fins malveillantes.
L’usage abusif des outils de communications et du mode de fonctionnement de l’Internet était donc prévisible.
Les cyber-attaques prennent diverses formes: prise de contrôle clandestine d’un système, dénis de service, destruction ou vol de données sensibles, hacking(piratage de réseau de télécommunication), cracking (craquage de protections logicielles des programmes), phreaking (sabotage, prise de contrôle de centraux téléphoniques, etc. Elles ont toutes des conséquences négatives pour les organisations ou individus qui en sont victimes.
Il convient de remarquer que peu de statistiques relatives à la cybercriminalité sont disponibles. Il s’agit d’un nouveau champ d’expression de la criminalité où peu d’affaires sont reportées à la police. De plus, ces infractions se perpétuent au niveau mondial, or les législations pénales sont nationales, il est alors parfois difficile de mettre en commun des statistiques traitant de délits dont la qualification peut varier d’un pays à un autre. Ainsi par exemple lorsqu’un système informatique est utilisé afin de réaliser une transaction financière frauduleuse après usurpation des paramètres de connexion d’un utilisateur: est -ce un crime informatique ou un crime financier?
Pour ce qui concerne le cyberterrorisme, dans la mesure ou des ressources informatiques impliquées dans des infrastructures critiques ou vitales pour un pays, sont devenues accessibles via l’Internet, la cybercriminalité, dans ce contexte prend alors une autre dimension, celle du cyberterrorisme. Par ailleurs, rien n’empêche bien sûr d’utiliser l’Internet pour promouvoir certaines idéologies…
Un fait important à souligner, est l’utilisation systématique, par les terroristes professionnels, de moyens récents de communication et de traitement de l’information (Internet, techniques de chiffrement, GSM pré-payé, etc.). Ils peuvent ainsi améliorer leur propre sécurité en limitant la quantité d’information susceptible d’être récupérée par la police. De plus, les dispositifs de télécommande et de minuterie les plus sophistiqués autorisent la mise en route de machines infernales sans être présent à proximité, réduisant ainsi la portée d’éventuels témoignages.
Si la cybercriminalité est un fait préoccupant et assez clairement définissable, le cyberterrorisme semble être un concept qui recouvre une réalité plus floue dans le répertoire des nouvelles menaces. Le concept vous paraît-il pertinent?
Le concept est pertinent et recouvre hélas une certaine réalité. On ne peut que constater que la sécurité intérieure d’un pays est aujourd’hui confrontée à des menaces criminelles nouvelles liées à l’existence des nouvelles technologies.
Voit-on déjà, selon vous, des groupes terroristes tenter d’organiser des cyberattentats?
Les infrastructures critiques essentielles au bon fonctionnement d’une société (énergie, eau, transports, logistique alimentaire, télécommunications, banque et finance, services médicaux, fonctions gouvernementale, etc.) voient leur vulnérabilité augmentée par un recours accru aux technologies Internet qui les rendent accessibles depuis le réseau des réseaux.
De plus, il faut souligner l’importance particulière de la vulnérabilité des systèmes de production et de distribution d’électricité. Ils constituent une infrastructure vitale donc critique dans la mesure ou elle conditionne le fonctionnement de la plupart des autres infrastructures. La complexité et le caractère réparti des relations entre les différentes infrastructures critiques est à la fois source de force et de vulnérabilité de celles-ci.
La prise de contrôle d’infrastructures critiques semble être un des objectifs du cyberterrorisme, la preuve en est la recrudescence de scans (tests de systèmes informatiques pour découvrir leurs vulnérabilités afin de pouvoir les pénétrer ultérieurement) dirigés sur des ordinateurs d’organisations gérant des infrastructures dites critiques (eau, éléctricité, transport).
Par ailleurs, le nombre important de sites web proposant des outils permettant de déclencher à distance des dénis de service massif, rendant les ordinateurs cibles de telles attaques indisponibles, laissent penser qu’il y a une forte incitation à la cyberdélinquance.
La prise en compte de la motivation d’un cyberdélinquant permet de caractériser l’attaque qu’il a perpétrée au travers du réseau des réseaux. En effet il est parfois difficile de distinguer, en fonction de la cible uniquement, les motivations d’un délinquant, d’un terroriste, d’un mercenaire, d’un militant, d’un escroc ou encore d’un immature.
Comment définir adéquatement le cyberterrorisme et le délimiter par rapport à la cyberguerre?
Il ne faut jamais perdre de vue que le monde de l’Internet reflète exactement le monde réel dans lequel nous évoluons: il n’est ni meilleur, ni pire.
La cyberguerre se différencie du cyberterrorisme de la même manière que la guerre se distingue du terrorisme.
En revanche, n’oublions pas qu’Internet permet non seulement la manipulation de l’information mais est aussi un outil privilégié pour répondre des rumeurs ou toute forme d’intoxication ou de campagne de déstabilisation. De même, sont facilitées les activités d’espionnage et de renseignement, puisqu’il est devenu aisé d’intercepter illégalement, des informations transférées sur Internet.
N’oublions pas que les technologies de l’Internet sont au cœur de la guerre de l’information (infoguerre) dont les enjeux sont avant tout d’ordre économique et les impacts tout aussi importants sinon plus, pour le bon déroulement des activités.
Le champ de la sécurité informatique se trouve en constante mutation. Aujourd’hui, en septembre 2002, quelles sont vos principales préoccupations pour l’avenir proche?
Je ne pense pas que les champs de la sécurité aient beaucoup évolué ces dernières années. En effet, il s’agit toujours d’assurer les critères de base de la sécurité qui se décline en: confidentialité, intégrité, non-répudiation, authentification et disponibilité des ressources. Le terme ressource étant pris au sens large: données, services, systèmes, infrastructures, personnes. Seules les attaques, les menaces, les technologies informatiques et de communication ou encore les solutions de sécurité, évoluent. C’est le contexte dans lequel les besoins de sécurité doivent être satisfaits de façon optimale, qui est en constante mutation.
Mes principales préoccupations sont relatives à la prévention, via l’appréhension globale de la maîtrise des risques technologique et informationnel. Ceci nécessite une approche intégrative et évolutive, tenant compte des facteurs d’ordre humain, technologique, économique et politique des questions de sécurité. Les technologies de sécurité considérée isolément, ne peuvent protéger correctement l’environnement Internet. En effet, leur relative complexité, leur nature, leur diversité, introduisent le plus souvent un nouveau risque ou encore déplacent les risques existants mais elles ne garantissent pas un quelconque niveau de sécurité. Elles ne tiennent aucunement compte de la dimension humaine de l’insécurité ou du contexte dynamique dans lequel elles doivent s’insérer. Mes réflexions portent naturellement sur la dimension “gestion” de la sécurité et traitent des aspects d’évaluation, de management, d’intégration et de validation de la sécurité et des solutions de sécurité (stratégie de sécurité, évaluation des politique de sécurité au regard des menaces émergence, veille et analyse stratégique, etc.). Y est également intégrée la dimension “gestion de crise” (réponse en cas d’incidents, restitution d’un contexte opérationnel, réparation, collaboration avec les systèmes de justice, etc.) et tente de maîtriser ainsi, toute la chaîne constituant une démarche sécuritaire cohérente qu’elle soit pour les individus, les organisations ou la société.
Le cyberterrorisme figure-t-il dans votre liste des menaces les plus sérieuses?
Oui, comme toute menace portant atteinte à l’intégrité des personnes. Dans la mesure où au delà des systèmes informatiques, du monde virtuel que symbolise l’Internet, c’est la vie qui est menacée. Que cela soit au travers des processus de déstabilisation économique via la cybercriminalité ou par la mise en péril d’infrastructure critiques via le cyberterrorisme ou encore par la propagation d’idéologies ou à la manipulation d’information contraires au respect de l’individu. Ces nouvelles formes de menaces sont à considérer de manière très sérieuse.
Nous vous recommandons de vous procurer chez votre libraire Il est également possible de le
Parmi les autres ouvrages du même auteur: |