Bernard Ourghanlian (Microsoft) : « ma feuille de route contre la cybercriminalité » share
back to to

Bernard Ourghanlian (Microsoft) : "ma feuille de route contre la cybercriminalité"

27 octobre 2014

Bernard Ourghanlian est le directeur Technique et Sécurité
de Microsoft France.

L’Internet est un formidable espace de libertés : liberté d’information, d’expression ou d’entreprise… Et il n’a pas fini de transformer notre quotidien, puisqu’un récent rapport du Boston Consulting Group prévoit qu’en 2016, presque la moitié de la population mondiale sera en ligne et que le commerce électronique représentera la cinquième économie mondiale.

Mais cette liberté n’est pas acquise, prise en étau entre de potentielles dérives étatiques – telles que celles dévoilées au grand jour par Edward Snowden – ou la montée en puissance d’entreprises criminelles motivées par l’idéologie, la concurrence, le recyclage d’argent sale et la recherche de gains illicites. Le FBI devant une commission sénatoriale a récemment indiqué que les ressources consacrées à la lutte contre les cyber-menaces seraient bientôt égales ou supérieures à celles consacrées à la lutte contre le terrorisme.

Un éventail de mesures peut être mis en place pour se défendre contre ces cyber-menaces, même s’il n’est pas toujours possible d’en identifier explicitement les sources. Ces mesures peuvent généralement être répertoriées sous quatre grandes catégories : (1) la défense individuelle, (2) la défense collective, (3) la défense active, et (4) l’attaque. Bien entendu, les catégories (3) et (4) relèvent essentiellement de la responsabilité des Etats ; mais les deux premières impliquent également les citoyens et les entreprises.

C’est pourquoi il convient de favoriser les partenariats entre tous les acteurs : Etat, entreprises, associations afin de conduire des actions communes concrètes, que ce soit en termes de sensibilisation, de prévention et de formation ou encore en termes d’évaluation des menaces, d’échange d’informations, de retours d’expérience, de conduite de projets de recherche, etc.

Les enjeux de la lutte contre la cybercriminalité sont tels qu’il ne peut être question d’avoir une approche en silo, privilégiant par exemple les entreprises au prétexte que c’est là que se crée la valeur économique, sans se préoccuper de la sécurité en ligne des citoyens. En effet, l’Internet est, sur le plan de la sécurité, une grande chaîne et la sécurité de chaque internaute peut avoir un impact sur la plus grande entreprise ou sur l’Etat lui-même. Un exemple : la prise sous contrôle de centaines de milliers de machines d’internautes et leur fédération sous la forme d’un « Botnet » afin d’attaquer à travers un déni de service distribué, le système d’information d’un opérateur d’importance vitale (OIV)

Sensibiliser, prévenir et alerter 

Afin de faire progresser cette coopération entre acteurs publics et privés en France, Microsoft est membre fondateur de 2 associations à but non lucratif dont l’objectif est d’aider le plus grand nombre à se protéger contre les risques de l’ingénierie sociale : Signal Spam, qui permet aux internautes de signaler les Spams et de saisir de la CNIL en cas d’abus, et Phishing Initiative qui permet à n’importe quel internaute de signaler toute tentative d’hameçonnage. Ces signalements permettent de mettre à jour la liste noire de l’Internet Explorer et des autres navigateurs, et ainsi de protéger en moins d’une heure les internautes du monde entier.

La sensibilisation aux risques et la formation des acteurs sont deux autres enjeux majeurs. Il faut d’abord inciter le grand public et les entreprises à des actions de prévention qui permettent à chacun d’améliorer la sécurité de l’internet au quotidien. Il faut aussi développer des programmes de formation sur la cybercriminalité à destination des forces de l’ordre, une mission que Microsoft France a par exemple mené en contribuant à lancer l’initiative Européenne 2CENTRE (Cybercrime Centres of Excellence Network for Training, Research and Education) en partenariat avec la police, la gendarmerie et des universités. Il faut enfin créer du lien et faciliter le dialogue entre experts, raison pour laquelle nous sommes l’un des membres fondateurs du CECyF (Centre Expert contre la Cybercriminalité Français), une association permettant aux services chargés de l’application de la loi, aux chercheurs de toutes origines (académiques, industriels, indépendants) et aux établissements d’enseignement de se rencontrer et d’échanger pour créer des projets qui contribuent à la formation, l’éducation et la recherche contre la cybercriminalité.

Mais beaucoup reste à faire. Pour aller plus loin, la recommandation issue du rapport de Marc Robert, procureur général près la cour d’appel de Riom, de créer un CERT regroupant des entreprises, des représentants de l’Etat et des internautes, afin de répondre aux besoins du grand public et des PME/PMI est une très bonne idée pour nous permettre de fédérer l’ensemble des initiatives en matière de sensibilisation, prévention et alerte dans la lutte contre les cyber menaces.

« La sécurité est un voyage, pas une destination ». Je suis convaincu que, malgré l’ampleur de la tâche, si nous savons faire ce voyage ensemble, ce formidable espace de libertés que constitue l’Internet pourra être préservé.

Chaque semaine,
recevez les immanquables
par email