La mobilité partagée, connectée et bientôt autonome se construit autour de la coopération de systèmes d’information disparates opérés par des acteurs multiples grâce à l’hyperconnectivité de ses composantes (du smartphone aux moyens de transport eux-mêmes). La protection de ces systèmes d’information, des données qu’ils véhiculent et des services qu’ils offrent nécessite des arbitrages complexes entre la facilité d’usage, le coût et les gains attendus pour la sécurité, la sûreté de fonctionnement, le respect d’un droit numérique en évolution permanente et la compréhension et l’anticipation du marché et de ses acteurs. Trois axes complémentaires sont à privilégier dans une approche globale et interdisciplinaire — sciences mathématiques et informatiques, sciences économiques, sociales et du comportement — de la cyber sécurité : la protection des acteurs (industriels et utilisateurs finaux), la sécurisation des produits et services et le respect de la vie privée de l’usager.
Une étude de terrain, menée par l’IRT SystemX auprès de TPE/PME victimes de cyber attaques (principalement rançongiciels et « fraudes au président ») a montré un taux d’attaques réussies ainsi qu’un préjudice humain largement sous-estimés. Des grandes entreprises ont vu également certaines de leurs usines ou filiales paralysées par des logiciels malveillants récents et évolutifs pour lesquels les contre-mesures s’avèrent difficiles en environnement contraint. Chaque entreprise devra à l’avenir former ses responsables et ses prestataires au cyber risque, mieux urbaniser ses systèmes d’information pour les rendre plus résistants, faire appel à des services de confiance et s’entraîner régulièrement à la gestion d’une crise cyber.
La correction de la fragilité des systèmes industriels et des services est un sujet de recherche en soi. Les nouveaux produits et services de la mobilité en sont un exemple frappant et ceux-ci devront être sécurisés au plus tôt de leur conception. Les objets dits connectés, directement accessibles aux pirates, devront embarquer de nouvelles briques logicielles et matérielles immunes à des attaques dont l’outillage se partagera assurément. Et leur résilience nécessite de nouvelles approches. Des techniques de protection feront appel à des avancées dans la prévention (veille sur les menaces, analyses massives, simulations sur plateformes dédiées) et à des techniques de prédiction de défaillances par détection de signaux faibles (intelligence artificielle appliquée à la cybersécurité, filtrage et correction en temps réel, systèmes experts pour assister les opérateurs humains). Seule une mutualisation de la supervision et du traitement des incidents sera à même de gérer les nouveaux modes opératoires des attaquants bientôt, eux-mêmes, robotisés par les avancées de l’intelligence artificielle.
La liberté de circulation est garantie par l’article 13 de la Déclaration universelle des droits de l’homme. La protection des données à caractère personnel et le respect de la vie privée sont aussi des droits fondamentaux majeurs dont le nouveau règlement européen sur la protection des données personnelles appuiera les principes centraux de consentement éclairé pour l’usager et de notification aux autorités de contrôle des failles pour les acteurs. Ce règlement, qui entrera en application le 25 mai 2018, introduit le concept du « privacy by design » qui appelle à des travaux de recherche novateurs. Il a été démontré que seules quatre informations spatio-temporelles de géolocalisation permettent d’identifier un individu avec une probabilité supérieure à 95% sur un territoire d’environ 80 000 personnes[1]. De nouvelles voies dont certaines relèvent encore de la recherche fondamentale sont donc à explorer : anonymisation, pseudonymisation, randomisation et protection de données personnelles différentielles. Elles feront appel à des briques technologiques encore peu usitées comme le chiffrement homomorphe, la signature de groupe, la preuve à divulgation nulle de connaissance, la communication anonyme, la recherche chiffrée dans les bases de connaissance. L’IRT SystemX, avec l’aide de ses partenaires, s’engage dans la voie de ces recherches de tout premier plan.
[1] Yves-Alexandre de Montjoye, César A. Hidalgo, Michel Verleysen & Vincent D. Blondel (2013) Unique in the Crowd: The privacy bounds of human mobility, Nature Scientific Reports 3, 1376
Tags In
Philippe Wolf
Né en 1958, ancien élève de l'École Polytechnique (1978), docteur en Informatique (1985) de l'Université Pierre et Marie Curie et ingénieur général de l'Armement, Philippe Wolf est chef du projet Environnement pour l'Interopérabilité et l'Intégration en Cybersécurité (EIC) à l'IRT-SystemX. Il a été Directeur des études de l'École Polytechnique à Palaiseau (1995-2000). De janvier 2008 à avril 2015, il fut le Conseiller du Directeur général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Il publie régulièrement des articles sur la sécurité dans le cyberespace.
Très intéressant.
En complément, cf le point 7 de https://km2conseil.fr/2018/03/04/les-7-consequences-disruptives-du-vehicule-autonome/