Risques systémiques et libertés : quelle place pour la cybersécurité dans la lutte contre le COVID-19 ?

Published by Yves Roucaute on

par Gérard Peliks

Lettre des “Lundi de la cybersécurité” no 23
 Risques systémiques et libertés :
quelle place pour la cybersécurité dans la lutte contre le COVID-19 ?
Lundi de la cybersécurité du mois de mai Lundi 11 mai, jour du déconfinement que vous attendez avec tant d’impatience, vous aurez deux occasions de vous réjouir. L’une est de pouvoir sortir sans contraintes, sans dérogation, mais peut-être masqués. L’autre est de pouvoir rentrer pour vous mettre devant votre écran et rejoindre à 18h00 notre webinaire du Lundi de la cybersécurité, mais sûrement en étant inscrits.

La quantification des potentielles pertes financières causées par des cyberattaques, perte de productivité, de compétitivité ou de réputation, permet de diminuer l’incertitude inhérente au domaine cyber. L’utilisation d’outils mathématiques qui permettent de modéliser la propagation de ces attaques permet une meilleure prise en compte de ce risque dans la gouvernance de l’entreprise.

Modéliser un nombre important de données ne donne un résultat utile que si les algorithmes qui les traitent tiennent la route. Ces modèles mathématiques, génération de graphes aléatoires, simulations stochastiques, qui déterminent la propagation de logiciels malveillants permettraient-ils aussi de quantifier et visualiser les effets des stratégies de lutte contre les virus biologiques tel que le COVID-19 (confinement, tests, quarantaine) ? Dans ces modèles comment s’intègre le « contact tracking » aujourd’hui d’une brûlante actualité ? Que résout dans le temps et dans l’espace la mise en quarantaine de personnes diagnostiquées comme positives ?

Mais tout n’est pas qu’une question d’algorithmes, c’est aussi une question de droit. Décider quelle catégorie de personnes restera reconfinée, utiliser une solution de « contact tracking », est-ce permis par notre constitution ? Jusqu’où peut-on aller ? Nous faisons monter sur une scène virtuelle un mathématicien, Maxime Cardan, et une juriste, Céline Barbosa. La parité, si chère au CEFCYS est sauve, et même les organisateurs, Béatrice Laurent et moi renforçons cette parité.

Une partie du temps sera consacrée aux questions par chat.

Comme pour tous nos « Lundi de la cybersécurité » votre participation est gratuite, après inscription par mail auprès de
beatricelaurent.CDE@gmail.com avec « Inscription 11/05 » dans l’objet et quelques mots sur vous et l’intérêt que vous accordez au sujet traité, dans le corps du mail.
 Je donne la plume à Maxime Cardan, le mathématicien.La plupart des crises ont au moins un effet positif : elles démontrent le caractère indispensable de l’anticipation et d’une gestion proactive des risques. La crise du COVID-19 ne fait pas exception. À l’image, toutes proportions gardées, de la crise Wannacry-NotPetya de 2017 dans le cyberespace, la crise actuelle est également sans précédent. Comment anticiper et modéliser de tels risques, lorsque l’incertitude sur les paramètres est si élevée et les données historiques si rares ?

Heureusement, il existe des outils mathématiques permettant de guider les décisions stratégiques en simulant ce type de phénomènes. La méthode de Monte-Carlo, dont le nom fait allusion au célèbre casino monégasque et à ses jeux de hasard, a pris son essor dans le cadre du Projet Manhattan – qui aboutit à la création de la première bombe atomique pendant la Seconde Guerre mondiale. Aujourd’hui largement utilisée dans des domaines aussi variés que l’analyse des marchés financiers ou la forte progression de l’intelligence artificielle au jeu de Go, elle peut aussi s’appliquer à la gestion des risques cyber.

C’est ainsi que la startup Citalid aide les entreprises et les assureurs à quantifier puis gérer le risque cyber. Considérant les similitudes entre virus informatiques et biologiques, nous avons décidé de construire un modèle simple dont l’unique but est d’évaluer de manière pédagogique l’efficacité des stratégies de confinement possibles pour lutter contre le virus SRAS-CoV-2. Nous présenterons les parallèles entre ces deux approches afin de montrer comment, sans être ni épidémiologistes ni médecins, les modèles développés en cybersécurité peuvent être mis au service des décideurs dans la lutte contre le COVID-19.
 Je donne la plume à Céline Barbosa, la juriste.Depuis quelques années, les entreprises, les États créent et expérimentent de nouveaux outils, des procédures, afin de protéger les organisations contre les attaques cyber. La meilleure technologie ne sera jamais suffisante pour mettre un terme à une menace ou à un risque, malgré les progrès dans l’apprentissage des techniques utilisées par les hackers.

Là où on ne pensait pas pouvoir trouver l’auteur d’une attaque cyber il y a quelques années, l’homme a mis en place des veilles des comportements suspects, dans les domaines d’activités visés (fraude, activités illicites, de façon générale). Là, où le COVID nous laisse aujourd’hui dans une zone de risques, hors de contrôle, il faudra trouver les meilleures protections, celles qui sont adaptées à la situation, afin d’en limiter les effets négatifs, sans supprimer les zones de liberté.

Avant d’aboutir à un résultat, nous chercherons à comprendre les données, la méthodologie à adopter. C’est la compréhension perpétuelle de l’environnement qui nous permet d’avancer. Cet environnement nous offre une masse de données qu’il faut qualifier, organiser afin d’apporter les bonnes mesures, adopter des méthodologies de traitement de l’information.
Rien n’est parfait mais l’expérience en cyber sécurité peut nous aider à mieux utiliser les données exploitables dans le cadre de la pandémie. 

Je reprends la plume

Maxime Cardan : Ancien spécialiste du renseignement sur les cybermenaces au centre opérationnel de l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information), Maxime est le Co-fondateur & Président de Citalid. À la fois ingénieur informatique de l’école Centrale Paris et diplômé de l’ESSEC, il est spécialisé dans la sécurité informatique offensive (OSCP, CEH) et membre de l’ARCSI. Avant de rejoindre l’ANSSI, Maxime était associé d’Hypermind, une start-up dédiée à l’analyse géopolitique prédictive.

Céline Barbosa : Juriste en financement de projets dans les énergies renouvelables, membre du CEFCYS et de l’ARCSI. J’ajoute que Céline est l’auteure de la pièce de théâtre « RGPD, une entreprise dans la tourmente » dans laquelle elle joue un rôle d’avocate et où se produisent aussi Béatrice Laurent, Pierre-François Laget et moi. Un jour, j’espère que vous assisterez à l’une de nos représentations.
 Lundi de la cybersécurité du mois d’avrilDeux experts techniques de Wavestone et deux juristes, ont traité le sujet « Cette fascinante IA dans l’industrie, risques et accompagnement ». Ce fut un grand cyberLundi de la cybersécurité (par webinaire). Vous trouverez les slides utilisés sur :
https://www.medef92.fr/fr/evenement/lundi-de-la-cybersecurite-du-mois-davril-2020

Récupérer la vidéo enregistrée est à l’étude, mais nous ne promettons rien. Mieux vaut assister à nos « Lundi de la cybersécurité » en direct pour être sûr de ne rien en perdre. Et il y aura bientôt aussi en téléchargement un édito de l’évènement, écrit par Alice Louis.
 Lundi de la cybersécurité du mois de marsLe sujet : « Sécurité by design :  l’apport du bug bounty dans la culture du DevSecOps » a été brillamment couvert par deux experts de Yogosha. La retranscription du webinaire et l’édito d’Alice Louis peuvent être récupérés sur :
https://www.medef92.fr/fr/evenement/lundi-de-la-cybersecurite-du-mois-de-mars-2020

A bientôt, et dès que possible en présentiel. En attendant, restez chez vous. Comme vous ne pouvez pas venir assister à nos “Lundi de la cybersécurité” à l’Université de Paris, nos “Lundi de la cybersécurité” viennent chez vous, sur votre écran, via le cyberespace. 

Gérard Peliks
Organisateur avec Béatrice Laurent des “Lundi de la cybersécurité” que vous aimez tant.