Retour au menu
Retour au menu

 
Journée de la sécurité concernant Internet

C'est la deuxième année que je participe (en tant que spectateur) à la journée de la sécurité sur le net qui est organisée à Rouen par une association d'informaticiens.
L'année dernière cette journée m'avait permis de rencontrer l'ANSI qui édite des fascicules sur la sécurité informatique à l'usage des marins, mais aussi de leurs managers à terre.
Alors bien sûr, lorsque tous ces professionnels de l'informatique, on pourrait dire des geeks, parlent leur langage particulier, je ne comprends pas tous les mots.
Cependant cette année, deux mots sont revenus régulièrement dans les présentations faites : formation et humain.
La première présentation, sur le mode humoristique, mettait en lumière les défauts de la sûreté informatique (le post-it avec les mots de passe). Donc la première source de compromission d'un système informatique est l'humain. Car l'humain, contrairement à la robotisation est difficile à gérer : il peut être imprévisible, têtu, voire malveillant. Et il faut donc l'aider, gérer pour lui certaines phases. Principalement la création de mot de passe. Donc lui fournir des gestionnaires de mots de passe, mais aussi, et surtout, le sensibiliser, le former, l'exercer. Certaines sociétés n'hésitent pas à faire des campagnes de phishing pour sensibiliser leurs employés, ce qui a été confirmé lors d'une autre présentation axée sur le phishing et intitulée «Retour d'expérience». Là un ingénieur en sécurité digitale nous a raconté comment pendant plus d'un an il a pu piéger les employés d'une société, y compris ceux qui se croyaient les plus vigilants. L'accent a été egalement mis sur les failles inhérentes à la possibilité de se connecter au réseau d'une société, même avec des barrières très fortes, à partir d'un appareil connecté à son domicile par exemple. Ce qui fatalement augmente le risque.
 

Le futur :

Un intervenant a commencé sa présentation par ces mots : « Nous sommes dans l'histoire de l'Homme, la toute première génération « online », disposant d'une identité digitale et consommant quotidiennement des dizaines de services dématérialisés ». En 2020 on devrait atteindre les 20 milliards d'objets connectés, objets dont la sécurité matérielle et logicielle n'a encore fait l'objet que de très peu d'attention. La majeure partie de ces objets connectés sont vulnérables, et malgré cela nous allons encore plus loin vers les villes intelligentes (smart cities), voitures, avions et navires autonomes. Au vu du but fixé, c'est maintenant aux développeurs et concepteurs informaticiens d'œuvrer à cette construction, avec une responsabilité éthique et morale. Je cite : « Pour sécuriser le futur, nous devons aujourd'hui ne plus limiter nos challenges mais challenger nos limites ».
Cela s'adresse à chacun : que sommes-nous prêts à faire pour améliorer la sécurité informatique ?

Puis un représentant de la Région Normandie a partagé l'expérience de la Région et les pratiques mises en place dans ce domaine. Il a beaucoup été question de sensibilisation et de formation. Tout le monde se sent important, famille et/ou travail. Et l'accès instantané, quel que soit l'endroit où l'on se trouve, n'est pas forcément le meilleur moyen de sensibiliser le personnel à la sécurité informatique.

Il a été suivi par un auditeur dans le domaine de la sécurité et de la continuité d'activité suite à une gestion de crise. Membre du CLUSIF (Club de la Sécurité Informatique Français), association dont la mission est d'élaborer et de transmettre un ensemble de bonnes pratiques en matière de sécurité de l'information. Celui-ci est revenu sur les crises. Qu'est-ce qui peut provoquer une crise : catastrophe naturelle, épidémie et intoxication, accidents industriels, facteurs humains (grèves, malveillance, sabotage, terrorisme), virus et piratage. Ses conséquences sur l'économie, le juridique, l'image de marque. Réagir ou pas. Être prêt grâce à des procédures en mode dégradé, assurer ainsi un retour à la norme. Ce qui induit d'identifier d'abord les risques, de les qualifier et de préparer des scénarii suivant les indisponibilités prévues (locaux, matériel et ressources humaines). Donc avoir une cellule de crise, forcément armée par des humains, puisque c'est l'humain qui va définir une stratégie, valider un plan, contrôler en temps réel, et décider du retour à la normale. Alors comment gérer en amont : s'entraîner (simulation de crise cyber et exercice de gestion). Ne serait-ce pas ce que l'on fait sur nos navires pour d'autres crises non cyber ?

L'Intelligence Artificielle (IA)

Dans l'après-midi, j'ai assisté à une présentation, annoncée de niveau 4 (sur 4) sur le « machine learning ». La lutte contre la cybercriminalité est l'une des nombreuses applications de l'IA. Pour le présentateur (un Senior Security Architect), l'intelligence artificielle est la révolution industrielle de notre temps. L'IA est en train de remodeler le monde et donc susceptible de transformer pratiquement toutes les facettes de nos vies humaines.
Cependant dès le début de son intervention, il m'a en quelque sorte coupé les questions que j'aurais pu poser, en déclarant haut et fort que l'Intelligence Artificielle n'existait pas.
L'IA (continuons à l'appeler ainsi) a besoin de données (des datas) et pour faire du machine learning, il en faut beaucoup, et encore plus. L'IA raisonne ou calcule plus vite que l'humain. L'IA est capable de chercher les bonnes informations beaucoup plus rapidement que l'humain, sa vitesse de calcul n'est pas comparable avec la nôtre. Mais l'IA ne peut chercher que dans ce qu'elle connaît. À savoir ce que l'humain lui a appris ou permis de recevoir comme datas. Donc dans un domaine particulier. Mais l'IA n'est pas capable de créer une data qui n'existe pas. Elle peut la créer suite à un retour d'expérience par exemple, ce que l'on appelle le machine learning, mais l'imagination d'une solution à un problème donné ne peut venir que de ses connaissances. Pas de création. Principalement de ce qui peut être créé par l'humain sous l'effet d'une émotion, une chose ou une conséquence qui n'a jamais été pensée.
L'AI a une très grande expertise dans un domaine traité, aussi dans le machine learning qui lui est associé. Mais l'IA est et sera efficace uniquement dans un monde aseptisé, ou tout ce qui se passe est prévu, écrit par avance. Le grain de sable qui grippe un système, s'il n'a pas été prévu et stocké dans les datas, a de fortes chances de gagner contre l'AI, même si ce n'est que momentanément. Et c'est alors à l'humain de corriger le défaut.
Il a fini sa présentation ces mots : « Evaluer de l'humain par de l'IA, c'est très dangereux ».

Conclusion

Je suis reparti de cette journée en me disant que si même ces spécialistes de la sécurité informatique mettent l'accent sur le facteur humain, alors rien n'est perdu. Y compris pour nos navires appelés, aujourd'hui, à naviguer sans équipage.

Cdt Hubert ARDILLON
Vice-président AFCAN
Président CESMA


Retour au menu
Retour au menu