Newsletter

Voici les dV-News 10-2023 et leur sélection d’articles et liens et une réflexion sur la manière de se protéger contre le fléau toujours plus incontrôlable des défis sécuritaires de la mutation numérique.

Sortir de la logique de cyber attrition

Osons une discussion provocatrice… Y a-t-il une autre voie possible que le combat de coqs sur leur tas de fumier? L’image est certes osée, mais force est de constater que nous sommes dans une situation insoluble qui va inexorablement à l’échec.

Tout d’abord nous sommes dans une situation de dissymétrie par rapport à nos concurrents et adversaires. Nos forces sont qualitativement comparables, mais quantitativement très inférieures et à la fin c’est toujours le plus gros qui gagne. Ce n’est qu’une question de temps. On peut prendre toutes les mesures imaginables, l’expérience montre que les cyberagresseurs s’adaptent rapidement et savent souvent mieux faire usage des nouvelles technologies que les défenseurs. Nous sommes aussi dans une situation d’asymétrie, car nous ne nous battons pas sur le même plan. Les défenseurs sont les seuls à s’en tenir aux règles et les agresseurs savent ce que la défense peut ou ne peut pas faire. Ils savent aussi que les mieux-sachants vont les désavouer dès qu’ils franchiront les lignes que seule notre infinie naïveté a créé.

Les chiffres publiés en début d’année par STATISTA montrent que les dégâts de la cybercriminalité à l’échelle mondiale passeront de 8’440 milliards de dollars US en 2022 à 23’820 milliards de dollars US en 2027 (soit près d’un quart de la richesse mondialement produite…). Ce sont probablement des chiffres très pessimistes, mais ils sont l’expression d’une réalité, en Suisse aussi et malgré les investissements continus consacrés à la cybersécurité. C’est comme tenter d’écoper un bateau qui prend toujours plus d’eau avec un seau trop petit. À la fin il y a quand même naufrage. Le NCSC et l’industrie suisse de la cybersécurité font un boulot remarquable, ils sont souvent à la pointe de l’innovation technique et les forces de l’ordre internationales démantèlent régulièrement des gangs criminels, rien n’y fait, la casse augmente inexorablement. Parfois même les malwares sont encore implantés déjà lors de la fabrication des produits… ! À ce train-là, les dégâts vont devenir insupportables. Peut-on espérer un changement de tendance? Les neuf thèses sectorielles ci-dessous (chez digiVolution nous suivons 25 domaines) tendent à dire le contraire.

Comme l’a exposé le chef d’état-major français des armées, le contexte géostratégique est sorti du continuum classique de paix -crise – guerre pour entrer dans une boucle de compétition – contestation – affrontement. Le monde se trouve ainsi bien plus souvent dans une situation conflictuelle qui ne dit pas son nom, mais qui est bien réelle à tous les niveaux en termes de pertes de pouvoir, de souveraineté, de marchés, etc. avec de nouveaux modes opératoires, où se mélangent intimidation stratégique,  ambiguïté, violence, etc.

Dans ce contexte, les thèses exposées ci-dessus – et on ne parle même pas de la question énergétique qui va revenir – montrent que l’eau monte inexorablement dans la cale du navire. Bien entendu il faut continuer à écoper pour ralentir le naufrage, mais cela ne suffira pas, nous le savons déjà. Alors que faire face à son inexorable occurrence?

La réponse n’est de loin pas simplement plus de technologie, plus de cybersécurité ou plus de régulation.  C’est à trouver des réponses que nous travaillons chez digiVolution et nous invitons toutes les bonnes volontés et ceux qui ont compris les enjeux à soutenir notre action.
CONTACTEZ-NOUS !

Image générée par DALLE-E d’un « groupe réfléchissant à des solutions pour affronter les cybermenaces »

Cyberactualité

Les sujets clés qui ont retenu notre attention durant les deux semaines écoulées.

• Souveraineté numérique – La discussion en Suisse se poursuit malgré la passivité de Berne et cela est réjouissant. L’initiative des cantons latins fait particulièrement plaisir avec une définition du terme «souveraineté» de bon niveau : «la capacité des autorités à maintenir leur autonomie stratégique, soit à pouvoir utiliser et contrôler de manière autonome les biens matériels et immatériels et les services numériques qui impactent l’économie, la société et la démocratie». Nous aurions souhaité que le mot «autorités» cède sa place à «entité», car tout le monde est concerné, de l’individu à l’État, mais c’est là déjà un pas très positif. Une initiative de l’association Innovate Switzerland traite du même sujet, mais là notre enthousiasme est beaucoup plus mesuré, car le but annoncé est «promouvoir une utilisation responsable des données et de la technologie de cloud public en Suisse et renforcer la capacité d’innovation du pays». En fait, ce texte est vide de toute idée de souveraineté et la composition du comité qui en est l’auteur laisse penser que les enseignements du fiasco de Gaia-X, le projet de cloud européen qui a commencé à capoter avec l’arrivée des GAFAM, n’ont pas été tirés.
• Nouvelle loi sur la protection des données nLPD – Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié une explication générale sur la nouvelle loi. Mais à 3.5 mois de son entrée en vigueur, il n’y a toujours aucune réponse quant à l’équivalence de la nLPD avec le RGPD européen (l’UE n’est-elle pas notre principal partenaire économique ?) ni aucune aide concrète quant à des marches à suivre, recommandations concrètes, formulaires d’aide, etc. C’est léger ! Mais les émoluments sont définis! Pourtant face à l’explosion d’applications d’IA qui compliquent chaque jour la gestion des données, les entreprises et institutions auraient bien besoin de quelques outils.
• L’Europe en bref – Le cloud souverain, pourrait devenir l’Arlésienne 4.0. Le Data Act fait face à des vents contraires, les entreprises craignant pour leur compétitivité. Il nous faudra apprendre un nouvel acronyme : ECCC pour l’European Cybersecurity Competence Centre and Network qui vient d’être inauguré à Bucarest. Espérons que l’activité de ce centre se distinguera bien des entités nationales, de l’ENISA, du CCDCOE ou encore du Hybrid CoE et apportera une véritable plus-value.Prenons enfin connaissance du manifeste de la JEDI – Joint European Disruptive Initiative qui veut fédérer les États européens autour d’une initiative de type DARPA pour ramener le continent parmi les puissances technologiques, notamment au moyen d’une gouvernance agile, loin des standards européens inefficaces et autour d’un nombre limité de thèmes stratégiques.

BOOKS & REPORTS

Voici les livres et publications d’intérêts découverts durant nos recherches des dernières trois semaines.

En bref

Pour TikTok, la discussion a porté jusqu’ici sur la confidentialité des données et la manipulation individuelle des contenus, mais le problème clé se trouve au niveau de l’algorithme de recommandation qui permet à la Chine d’établir un profil de masse des utilisateurs et de conduire des opérations d’influence à grande échelle. Avec le COVID, la Suisse s’est retrouvée avec 9 millions d’experts en virologie et avec ChatGPT nous sommes tous devenus des experts en IA. Pour mériter ce titre, prenons le temps de nous documenter sur son identité (1, 2, 3). Et qui se souvient de la cyberattaque contre SolarWinds, à ce jour la plus grande attaque connue contre la chaîne d’approvisionnement  cyber? Un rapport détaillé expose désormais le mode opératoire des Russes.

Et notre fascination pour l’immensité de l’espace ne faiblit pas. On vous invite à admirer la première ceinture d’astéroïdes jamais découverte en dehors du système solaire par le James Webb Space Telescope (JWST).

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Voici les dV-News 09-2023 et leur sélection d’articles et liens et une nouvelle réflexion sur la confiance inspirée par la vague déclenchée par ChatGPT, mais sans son appui. lire plus

Voici les dV-News 08-2023 et leur sélection d’articles et de liens. Cette édition comprend un commentaire sur la nouvelle cyberstratégie nationale CSN (on utilisera ci-après l’acronyme allemand NCS bien établi), des nouvelles du Swiss CyberHub et nos habituels commentaires et invitations à la lecture.

lire plus

Voici les dV-News 07-2023 et leur sélection d’articles et de liens, publiées pour la première fois avec :Padlet, paper.litirant sa révérence le 20 avril. Nous vous souhaitons une agréable découverte (à explorer verticalement et horizontalement 😊).

lire plus

Voici les dV-News 06-2023 et leur sélection d’articles et de liens. Désolé de vous avoir fait attendre pour ce 72^èmeopus…!

Swiss CyberHub 2023 | CHub23

Hourra ! Le programme général du Swiss CyberHub à Fribourg les 12 et 13 octobre prochain est sous toit. Un grand MERCI aux membres de la commission de programme pour cette première étape conceptuelle (disponible en ligne / communiqué de presse). Et en avant pour la planification de détail ! lire plus

Voici les dV-News 05-2023 et leur sélection d’articles et de liens. Désolé de vous avoir fait attendre une semaine de plus pour vous livrer ce 71^ème opus…! lire plus

Voici les dV-News 04-2023 et leur sélection d’articles et de liens. Déjà le numéro 70, et à une exception près, toujours un autre titre et de nouveaux thèmes. Dans cette édition nous avons choisi de nous emparer d’un sujet délicat… lire plus

Voici les dV-News 03-2023 et leur sélection d’articles et de liens. Ce titre est un mélange entre la Doomsday Clock – l’horloge de l’apocalypse que nous mentionnons depuis janvier 2021 et le projet dV-Net enfin opérationnel. Notre message est simple : Le matin quand vous vous levez vous regardez le temps qu’il fait? Eh bien prenez l’habitude de consulter aussi la cybermétéo. Cela peut être vital pour vos affaires! lire plus

Voici les dV-News 02-2023 et leur sélection d’articles et de liens, une édition qui s’intéresse au domaine de l’OPSEC, ou operations security avec, comme d’habitude, un point sur quelques aspects saillants de la cyberactualité et la rubrique «Books & Reports». 

OPSEC

De quoi sera faite 2023? Sur le plan conflictuel, cela ne s’annonce d’ores et déjà pas bien et c’est dans cet environnement très disputé que la protection de l’information est plus importante que jamais.

Et si nous , utilisateurs, apprenions à réfléchir à nos actes? Traverserions-nous, les yeux bandés, une artère principale au moment du rush? Sortirions-nous en pleine tempête de neige vêtus d’un simple T-shirt? Il se trouvera bien sûr toujours des personnes à l’intelligence et à la responsabilité limitées pour le faire, mais l’écrasante majorité des gens fait juste.

Pourtant, s’agissant de nos smartphones, il semble que nous ayons quelques progrès à faire. Nous les utilisons, semble-t-il, sans trop nous poser de questions quant aux risques. Interrogés, la plupart diront être très prudents, mais les faits racontent une autre histoire.

Il y a eu ces artilleurs ukrainiens dont la position a été révélée par une application de calcul des éléments de tir de leurs canons. Seulement, le groupe russe Fancy Bear l’avait modifiée à leur insu… Ensuite il y a eu ces soldats américains utilisant Strava pour leur footing et qui ainsi trahissaient l’emplacement et la disposition de bases militaires confidentielles. On mentionnera ces 800 criminels arrêtés dans le monde entier après une opération sans précédent grâce à une faille dans l’application de messagerie «sécurisée» qu’ils utilisaient ou ces policiers californiens dont l’application pour la conduite des opérations diffusait des informations sur leurs activités et sur les suspects qu’ils traquaient. Et on se souviendra aussi du comportement irresponsable de la Première ministre britannique. À MakiÏvka, dans l’est de l’Ukraine, au soir du Nouvel An, plus de 100 jeunes Russes sont morts pour n’avoir pas appliqué les consignes. Repérée à cause de leurs portables, leur caserne a été rasée par l’artillerie ukrainienne. Combien de fois faudra-t-il le dire: les smartphones sont des mouchards! Oubliée l’affaire de NSO Group et de Pegasus? 

Dans tous ces exemples, les règles de base de l’OPSEC, la sécurité opérationnelle, ont été bafouées. Nous serions tous bien avisés de réfléchir avant de nous exposer et d’exposer autrui en raison de notre manque de discipline informationnelle. Les règles sont pourtant simples et disponibles partout en ligne. 

Et dans les entreprises, combien prennent leur portable lors de discussions stratégiques? L’argument du « c’est trop cher », cela s’écarte aussi parfois avec un simple bocal à confiture comme illustré ci-dessous. La sécurité est d’abord une affaire de volonté. 

Cyberactualité

Bien que la dernière quinzaine ait été plutôt calme, deux éléments ont particulièrement retenu notre attention.

• Guerre en Ukraine – Lors de son audition par la Commission de la défense nationale et des forces armées, le général Bonnemaison, commandant cyber des armées françaises, COMCYBER, a fait un point sur la situation cyber du conflit. Comme beaucoup d’analystes militaires qui ne se laissent pas submerger par l’émotion ambiante, il reste prudent quant à l’importance du cyber, ne la sur- ou sous-estime pas, tout en rappelant que le conflit a commencé avant 2014. Une analyse simple et efficace. Et pour ceux qui auraient besoin d’un état des lieux détaillés, nous recommandons la chronologie de la National Security Archive.
• Cyberassurance – Nous en discutions l’été passé et le mentionnions dans notre 64ème billet en novembre dernier, les cyberrisques pourraient bien devenir inassurables. Le CEO de Zurich Assurance est on ne peut plus clair. Cette évolution doit alarmer chaque décideur, car elle signifie que les victimes vont se retrouver seules. Et pour une entreprise, une cyberattaque sévère signifiera la faillite pure et simple. Et si d’aventure des assureurs continuent à offrir ce type de prestation, ce sera de toute manière lié à des conditions drastiques. Donc oui, la cybersécurité n’est depuis longtemps plus une option et va commencer à coûter aussi pour ceux qui se sont défilés jusqu’ici, pensant que cela n’arrive qu’aux autres. Voilà donc une évolution à prendre au sérieux et sans tarder, car les choses pourraient bien changer rapidement du côté des assureurs, alors que les risques ne font que croître, comme le rappelle à nouveau le WEF cette année et que Comparitech qualifie les conséquences à venir de terrifiantes. 

BOOKS & REPORTS

Voici les livres et publications d’intérêts découverts durant nos recherches de cette quinzaine. Nous recommandons en particulier le livre de Solange Ghernaouti, OFF ! 

Et chez digiVolution? – En plus de l’organisation de notre événement phare Swisscyberhub, nous travaillons à plein régime pour lancer dV-Net. Ce sera le 24 janvier que notre outil passera du stade «essai pilote» à «opérationnel». Un pas essentiel après 18 mois d’investissement et un bel avenir au service des décideurs. 

Où va le monde? – Nous vous invitons à ne pas manquer le prochain Bulletin of the Atomics Scientists du 24 janvier. On verra alors si les prévisions de l’horloge de l’apocalypse se sont encore dégradées…!

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt. 

Recevez tout d’abord les vœux de toute l’équipe de digiVolution pour la nouvelle année. Souhaitons que ce nouvel opus soit, malgré les défis, marqué au sceau du succès. Merci de nous suivre, de nous soutenir et de contribuer à notre mission. Pour bien commencer cette nouvelle année, voici les dV-News 01-2023 et leur sélection d’articles et de liens, un premier commentaire sur le phénomène ChatGPT et, comme d’habitude, un point sur quelques faits marquants retenus dans la cyberactualité nationale et internationale. Sans oublier les «Books & Reports». lire plus