Les PME, qui ne disposent pas souvent des contrôles et des moyens pour investir dans la cybersécurité, sont de plus en plus ciblées par les hackers. Au point que les assureurs se posentla question de rendre ce risque inassurable.
Les PMI figurent parmi les priorités de la politique de développement d'Orange Cyberdefense. Cela ne doit rien au hasard : d'une part, entre octobre 2021 et septembre 2022, l’industrie manufacturière a été le secteur le plus touché par des cyberattaques ; d'autre part, les petites entreprises sont 4,5 fois plus nombreuses à être victimes de cyber-extorsion que les moyennes et les grandes entreprises réunies, selon le dernier rapport sur la menace cyber d’Orange Cyberdéfense. « Les doubles et triples extorsions sont devenues la norme : outre le chiffrement dessystèmes, le vol dedonnées sensibles est de plus en plus souvent utilisé comme levier pour exiger unerançon aux partenaires commerciaux, aux fournisseurs ou aux clients de l’entreprisevisée », Scott Sayce, directeur mondial cyber chez Allianz Global Corporate & Specialty.
Le risque cyber ne se limite pas aux rançons payées
Face à ces nouvelles vulnérabilités, en particulier pour toute la chaîne d’approvisionnement, la cyber-résilience des entreprises est aujourd’hui scrutée par un nombre de plus en plus important d’acteurs, assureurs, partenaires ou encore investisseurs internationaux. Selon un nouveau rapport d’Allianz Global Corporate & Specialty (AGCS), la menace cyber constitue dorénavant une des principales préoccupations au regard des critères environnementaux, sociaux et de gouvernance (ESG) de nombreuses entreprises.
Adoptée par l’Assemblée le 22 novembre 2022, la loi de programmation du ministère de l'Intérieur, dont une grande partie porte sur les enjeux cyber, autorise les entreprises à être indemnisées pour les rançons informatiques payées, sous condition d'un dépôt de plainte dans les 72 heures. Cette disposition est critiquée par les experts, car elle pourrait inciter les entreprises à ne pas investir contre ce risque. Elle conforterait également les cyberattaquants à continuer de plus belle.
Le risque cyber ne se limite pas aux rançons payées. Il s'étend à tous les impacts systémiques liés à la perte du système d’information. « La validation du paiement des rançons permet de borner un business model mais élude la question des clauses additionnelles, comme la garantie portant sur la remontée du système d’information ou la perte d’exploitation, qui pourraient coûter bien plus cher aux assureurs qu’un paiement des cyber-rançons », remarque Guillaume Verney-Carron, président et co-fondateur de Serenecity, une entreprise experte en cybersécurité.
Certains assureurs excluent les garanties cyber dans les contrats de responsabilités civiles
Cette dimension systémique et l’importance des dégâts causés poussent de nombreux assureurs et réassureurs à craindre de ne plus être capable d’assurer les dommages liés aux systèmes d’information. Malgré un contexte de plus en plus tendu et des perturbations causées par les piratages qui continuent de s’accroître, Mario Greco, le PDG de Zurich Insurance, l’une des plus grandes compagnies d’assurance en Europe, avertit : « Pire que les catastrophes naturelles, les attaques numériques pourraient devenir « non assurables » en raison de leur caractère systémique et de leur coût élevé ».
Certains assureurs excluent les garanties cyber dans les contrats de responsabilités civiles. C'est le cas de SAPA, l’assureur des agents généraux d’AXA. Il est à prévoir que les tarifs augmentent et que le risque cyber soit redéfini, ce qui pourrait rendre les entreprises plus réticentes à se couvrir.
Les données deviennent la richesse de l’entreprise, car elles permettent d’alimenter les nouveaux modèles économiques. Avec le développement de certaines technologies comme l’intelligence artificielle, le besoin en data va croître de façon exponentielle. Ce qui suppose de relever trois défis : maîtriser la consommation d’énergie ; protéger le secret industriel ; et former les collaborateurs.
Pour traiter la data, il faut beaucoup d'énergie. La consommation des data centers dépasserait celle du trafic aérien et représenterait 2 % des émissions de carbone mondiales*. Les échanges de données sont également énergivores. Selon l’Ademe**, les mails d’une entreprise de 100 personnes représentent chaque année 13,6 tonnes de CO2, soit 14 allers-retours Paris-New York.
Il convient donc de réfléchir à son cycle de vie. À commencer par son utilité. Selon le rapport mondial de Databerg, seules 15 % des données présentent un réel intérêt pour les entreprises.
Les GAFAM et les géants du numérique investissent massivement dans le cloud computing. Cette solution, qui consiste à utiliser des serveurs informatiques distants pour stocker les données et les exploiter, par l'intermédiaire d'un réseau, généralement Internet, est privilégiée par les entreprises. Ce faisant, elles transfèrent des informations stratégiques, voire des secrets industriels. Au-delà des cyberattaques, les conditions d’utilisation et les politiques de confidentialité ne sont pas toujours à la hauteur des enjeux. Par exemple : les données des 540 millions de comptes Facebook se sont trouvées en libre accès sur les serveurs du cloud d’Amazon.
L’irruption de la data nécessite une évolution de l’organisation et la mise en place d’un vocabulaire commun à l’entreprise. C’est la fonction du data management qui vise à valoriser les données comme capital stratégique de l'entreprise.
* Source : « La Face cachée du numérique », de Fabrice Flipo,Michelle Dobré et Marion Michot (éditions L’échappée) **Agence de l’Environnement et de la Maîtrise de l’énergie.
« La matière première de l'intelligence artificielle, ce sont les données. On pourrait croire que, plus on en fabrique, mieux c'est. Sauf que, dans une dizaine d'années, notre empreinte data va poser un vrai problème. Pour diminuer notre pollution "data", il faut travailler différemment en utilisant moins de données. Nous devons tous être plus attentifs à ces aspects et les jeunes sont particulièrement sensibles à cela. »
Fariborz Farhoudi
Iago Technologie, spécialisée dans l'intelligence artificielle
Métrologie, maintenance prédictive, contrôle non destructif, recherche & développement…,les applications du quantique pourraient arriver plus tôt que prévu.
Et si les capteurs quantiques étaient utilisables à court terme par les industriels ? Déjà testés en laboratoire, les premiers modèles vont arriver sur le marché, même s'il reste encore des questions de miniaturisation à régler. Selon Olivier Ezratty, consultant et auteur spécialisé en quantique, « il existe des opportunités pour les industriels à mettre des capteurs quantiques dans leurs offres car le marché va se déployer de plus en plus ». Témoin, l’industriel allemand Bosch crée une nouvelle entité spécialisée dans les capteurs quantiques. Son objectif : mutualiser les résultats de recherche du groupe dans ce domaine pour mieux les traduire en produits commerciaux.
Des applications en métrologie et maintenanceprédictive
Le principe consiste à exploiter la très fine sensibilité des états quantiques de particules comme les électrons, les photons ou certains atomes pour réaliser des capteurs d’une précision jusqu’à 1 000 fois supérieure à celle des capteurs basés sur la technologie Mems (micro-électro-mechanical system).
Les capteurs quantiques peuvent trouver à court terme des applications, en particulier en métrologie et en maintenance prédictive. Leur petite taille et leur sensibilité autorisent les inspections les plus complexes et leur robustesse, des interventions en condition extrême (hautes températures, pression, radiations, etc.). Leur résolution spatiale est meilleure que le millimètre et leur sensibilité, inférieure au nanotesla.
Parmi les exemples d’applications des capteurs de dans quelques grands secteurs :
le contrôle non destructif des pièces dans la métallurgie ;
l'inspection des cuves de réacteur nucléaire, sans interrompre la production ;
l'inspection d'espaces inaccessibles dans l'aéronautique, comme les trains d'atterrissage ;
l'inspection des circuits à travers des surfaces dans l'électronique ;
l'amélioration des systèmes de navigation des voitures autonomes, des drones, des robots et autres automatismes industriels.
1,8 milliardd'euros sur 5 ans
De grands donneurs d'ordre se mobilisent autour de l'informatique quantique, qui permet d'explorer des problèmes que les ordinateurs actuels sont incapables de résoudre. Engagé en janvier 2021, le plan quantique français prévoit un financement d'1,8 milliard d'euros sur 5 ans, notamment pour mettre au point des ordinateurs quantiques. Hébergée sur le site du CEA de Saclay, la plateforme nationale de calcul quantique vise à hybrider des ordinateurs quantiques à des supercalculateurs conventionnels, pour les mettre à disposition des chercheurs, industriels et militaires. « Pour aboutir à cette révolution du quantique, une nouvelle génération de concepteurs d'algorithmes et de développeurs va émerger », estime Olivier Erzatty.
De nombreux investissements sont attendus dans les équipes informatiques pour accélérer la R&D. Parmi les applications attendues de l’informatique quantique :
l'optimisation de la sécurité et de la vitesse de traitement des algorithmes, dans l'intelligence artificielle ;
la détection des fraudes fiscales et l'optimisation des prévisions financières ;
la cartographie très fine des molécules, même les plus complexes, avec des applications pour les médicaments, la production d’engrais, l’élimination du dioxyde de carbone ;
une meilleure analyse des données et la modélisation pour optimiser la logistique et la planification.
Le calcul quantique pour optimiser son organisation
Les grands constructeurs automobiles s'intéressent de près au sujet. Hyundai s’est rapproché d’une start-up américaine qui fabrique des processeurs quantiques pour réaliser de la simulation quantique des systèmes moléculaires complexes. Elle permettra de développer des algorithmes capables d’étudier au plus près les réactions chimiques du lithium impliquées dans le fonctionnement des batteries, afin de les rendre plus performantes et plus rapides à produire. Volkswagen utilisera le calcul quantique pour améliorer son organisation interne, par exemple, en maximisant le planning des ateliers de peintures dans ses usines.
La marine française devrait s’équiper de gravimètres basés sur une technologie quantique nouvelle génération, qui faciliteront notamment la cartographie des océans avec une précision jamais atteinte et de faciliter l’orientation des navires militaires et civils. Le premier gravimètre doit être validé en mer en 2023 avant d’être livré à l’armée. D’ici à 2026-2027, quatre bâtiments de surface de la marine seront équipés de ce système.
« Nous fabriquons des capteurs quantiques ultra-sensibles à base de diamants synthétiques, en remplaçant des atomes de carbone (N) par des atomes d'azote et par des vides (V), le couple NV conférant des propriétés quantiques et optiques remarquables. Les applications sont nombreuses : stabiliser les champs magnétiques pour des images IRM plus précises, contrôle non destructif alternatif et plus performant y compris en conditions extrêmes pour les secteurs oil and gaz, nucléaire et aéronautique, fabriquer des compas de navigation qui dérivent très peu, etc. »
C’est un fait : la digitalisation multiplie les points d’entrée dans l’entreprise ce qui augmente sa vulnérabilité aux cyberattaques de manière exponentielle. L’interconnexion entre les équipements en interne et avec l’extérieur, et les échanges de données entre partenaires, font de chaque poste de travail un risque potentiel. Pour le sous-traitant, il devient essentiel de prouver sa fiabilité afin de ne pas devenir le maillon faible de la supply chain.
Les pirates du net ont changé de stratégie : ils ne ciblent plus une entreprise en particulier, ils attaquent tous azimuts puis passent les données au tamis à la recherche d’une « pépite ». Par ailleurs, certaines petites attaques, lorsqu’elles se multiplient, peuvent devenir rentables. Par exemple, les rançongiciels qui bloquent les fichiers des entreprises et réclament une rançon pour revenir à la normale. Les business models de la cybercriminalité évoluent également vers l’économie d’usage : les hackers louent leurs outils informatiques à d’autres cybercriminels.
Les clients deviennent de plus en plus vigilants quant à « l’hygiène informatique » de leurs fournisseurs. Dans les appels d’offres, le volet sécurité apparaît dans les CCTP (Cahier des clauses techniques particulières). La cybersécurité peut aussi être un argument de vente.
Mais attention aux engagements pris. Il faut être capable de les mettre en œuvre techniquement et de démontrer la pertinence des mesures prises en cas d’audit ou de problème. Avec un paradoxe : il faut gérer à la fois la disponibilité des données et leur protection.
Maintenir la confiance numérique passe aussi par la communication, au moment où les messages de prévention évoluent d’un discours de peur vers la pédagogie, en privilégiant les démarches pas à pas.
Cette prévention s’organise dans l’entreprise en développant la culture sécurité à tous les échelons de l’entreprise pour que l’humain devienne le maillon fort de la cybersécurité.
Point de vue
« J’ai une petite entreprise qui travaille sur des pièces sensibles pour des gros clients. Je discute avec eux des problèmes de cybersécurité. Mais il existe une contradiction entre le double engagement qu’ils me demandent sur la protection et la disponibilité des données. Techniquement, je ne suis pas capable de satisfaire les deux. »
« Nous avons été attaqués en 2019 et bloqués durant une semaine dans nos usines. La transformation digitale, c’est d’abord une transformation humaine. Il est important d’éduquer et de sensibiliser nos collaborateurs pour éviter ces attaques. Nous n’avions pas assez de bons réflexes. La lutte contre la cybercriminalité passe par des formations et des sensibilisations au quotidien, car nous pouvons, bien malgré nous, devenir hackeurs par nos facons d’agir. »
Dans ce podcast, vous retrouverez des éléments portant sur le lien entre machines et émotion, vers plus de profils chercheur/ingénieur demain? L'enjeu de l'informatique quantique dans les prochaines années. Ce podcast traite également des nouveaux modèles financiers et bancaires.
Ce 4ème podcast reprend la partie concernant les signaux liés aux innovations, technologies ainsi qu'aux sujets liés à la finance. Ces signaux ont été restitués à l'occasion des rencontres Prospective Industries de juin 2021.
« La matière première de l'intelligence artificielle, ce sont les données. On pourrait croire que, plus on en fabrique, mieux c'est. Sauf que, dans une dizaine d'années, notre empreinte data va poser un vrai problème. Pour diminuer notre pollution "data", il faut travailler différemment en utilisant moins de données. Nous devons tous être plus attentifs à ces aspects et les jeunes sont particulièrement sensibles à cela. »
« Nous fabriquons des capteurs quantiques ultra-sensibles à base de diamants synthétiques, en remplaçant des atomes de carbone (N) par des atomes d'azote et par des vides (V), le couple NV conférant des propriétés quantiques et optiques remarquables. Les applications sont nombreuses : stabiliser les champs magnétiques pour des images IRM plus précises, contrôle non destructif alternatif et plus performant y compris en conditions extrêmes pour les secteurs oil and gaz, nucléaire et aéronautique, fabriquer des compas de navigation qui dérivent très peu, etc. »
« Nous avons été attaqués en 2019 et bloqués durant une semaine dans nos usines. La transformation digitale, c’est d’abord une transformation humaine. Il est important d’éduquer et de sensibiliser nos collaborateurs pour éviter ces attaques. Nous n’avions pas assez de bons réflexes. La lutte contre la cybercriminalité passe par des formations et des sensibilisations au quotidien, car nous pouvons, bien malgré nous, devenir hackeurs par nos facons d’agir. »