Quo vadis cyber risks ? it-sa Expo&Congress : Keynote spéciale de Peter Hacker sur les risques et les défis géopolitiques

La dixième keynote spéciale de l’it-sa Expo&Congress, qui aura lieu le 24 octobre 2024, promet à nouveau des perspectives passionnantes et un aperçu de l’avenir de la cybersécurité. Les risques et les stratégies pour y faire face seront au centre de l’attention lorsque le speaker de la Special Keynote, Peter Hacker, prendra la parole.

L’expert, entrepreneur et auteur Peter Hacker s’occupe globalement des thèmes du changement numérique, de la cybercriminalité et de la cybersécurité. Son expertise est recherchée par les entreprises, les organisations internationales et régionales, les autorités de régulation et les agences de notation. Peter Hacker est le fondateur et le directeur exécutif de Distinction.global, un groupe de réflexion indépendant et mondial sur la cybersécurité et le transfert de risques basé en Suisse.

Dans l’interview, Hacker aborde des points qu’il examinera en détail dans sa keynote exclusive : La perception des cyber-risques au niveau du top management, les défis géopolitiques croissants, l’importance de l’intelligence artificielle et la résilience comme facteur décisif pour résister aux cyber-attaques. 

Puisque nous aimons partager explicitement cette interview également pour les pays francophones, ou des zones francophones spécifiques, nous avons décidé d’étendre l’interview aux adeptes de Peter Hacker et aux parties intéressées dans cette région ( La France, La Suisse Romandie et La Wallonie) et d’adapter certaines questions spécifiquement à la région.

Depuis quand vous intéressez-vous à la cybersécurité et y a-t-il eu un élément déclencheur particulier ?

Les nouvelles technologies et la numérisation me fascinent depuis de nombreuses années. J’ai développé très tôt une passion pour la programmation et le développement du codage. Le côté obscur de la technologie ne m’a pas échappé. Je me suis rapidement rendu compte du lien étroit entre les possibilités techniques et la sécurité. La cybersécurité me convient donc parfaitement. En tant qu’expert international en sécurité informatique, j’assume ma part de responsabilité dans la sécurisation de l’avenir numérique de chacun d’entre nous. 

En tant qu’expert très demandé, vous voyagez dans le monde entier et êtes directement confronté à la perception des cyberrisques au plus haut niveau de la direction. Quelles sont les questions que les cadres supérieurs vous adressent ?

Pour de nombreux conseils d’administration ou membres de la direction avec lesquels je m’entretiens, les cyber-risques figurent désormais en tête de liste des risques.Le fait que les conseils d’administration – surtout aux États-Unis – aient déjà été licenciés pour des dommages matériels causés par des cyberattaques et qu’ils en aient été tenus légalement responsables joue certainement un rôle. Je ressens donc une certaine inquiétude à accorder suffisamment d’attention à ce sujet. En outre, on prend enfin conscience, même si ce n’est que progressivement, qu’un investissement dans la cybersécurité protège des biens immatériels tels que la propriété intellectuelle ou la réputation de la marque. La fréquence et la complexité croissantes des cyberattaques contre les infrastructures critiques ou les services de base, ainsi que leurs conséquences financières, juridiques et sécuritaires, en sont certainement la cause.
Petit à petit, la sécurité informatique au niveau du conseil d’administration n’est donc plus seulement perçue comme une ‘dépense opérationnelle’. Mais bien que la peur d’être pris au dépourvu augmente, les investissements sont insuffisants. De plus, il manque tout simplement des ressources qualifiées. Les tensions géopolitiques influencent actuellement le commerce international et les chaînes d’approvisionnement dans des dimensions jusqu’ici insoupçonnées.

Vous évoquez la situation géopolitique de plus en plus instable. Quels sont les aspects du paysage sécuritaire mondial qui retiennent particulièrement votre attention?

Les tensions entre les superpuissances vont continuer à augmenter. La complexité des cyberattaques a augmenté à l’échelle mondiale, ce qui rend probable la poursuite de la course aux armements. Les élections américaines entraîneront également une nouvelle aggravation des nouveaux vecteurs et cibles d’attaques possibles dans le cyberespace. Les conflits régionaux tels que Russie-Ukraine et Israël-Gaza ont alimenté de nouvelles tendances d’attaque et d’hacktivisme, avec des objectifs sociaux, économiques et politiques en ligne de mire. Nous devons continuer à faire face à l’ingénierie sociale, aux ransomwares, aux compromissions d’e-mails professionnels (BEC), aux défigurations de sites web et aux attaques complexes via les logiciels malveillants Wiper. En outre, les nouvelles méthodes d’attaque guidées par l’IA renforcent les défis, souvent avec le soutien des forces gouvernementales.

Selon vous, les entreprises de la région (La France, La Suisse Romandie et Wallonie)  sont-elles bien positionnées en matière de cybersécurité ?

En France, dans la Suisse Romandie ou en Wallonie, je travaille souvent avec des entreprises industrielles, entreprises horlogères, technologiques, pharmaceutiques,  financières et transport et logistique. Leur IT ou Operational Technology reste une cible privilégiée des cybercriminels. Les installations industrielles sont aujourd’hui beaucoup plus faciles à attaquer qu’auparavant, lorsque l’IT et l’OT étaient séparés. Le lien avec l’IIoT (Industrial Internet of Things) augmente le risque d’attaques réussies contre l’OT, car nous associons désormais simultanément des données organisationnelles (logistique et expédition) à des données techniques provenant de systèmes de fabrication assistés par ordinateur (production). Trop souvent, les investissements et les mises à niveau les plus urgents font défaut. Je suis alarmé par la fréquence des attaques d’ingénierie sociale dans des secteurs tels que les horlogères l’énergie, le gaz, le pétrole, la construction mécanique, l’automobile, les banques, les assurances, l’industrie pharmaceutique et la technologie. Les incidents massifs ne sont qu’une question de temps.

Que pouvons-nous apprendre des autres pays ?

Nous sommes engagés dans une course à l’armement numérique. Les pirates informatiques s’attaquent aux infrastructures critiques dans le monde entier, y compris dans la région. Les investissements dans la protection de cette infrastructure devraient être prioritaires. Ma recommandation urgente : repenser les concepts de sécurité, maintenir les systèmes à jour, former régulièrement les équipes, les décharger le plus rapidement possible (les ressources imitées mènent inévitablement au burnout) et mieux les rémunérer. Mais surtout, il faut toujours se rendre à l’évidence : La plupart du temps, l’homme est au centre de l’attaque. La sensibilisation à la cybersécurité est donc essentielle. Le thème de la cyber-résilience, c’est-à-dire de la réponse et de la récupération, est au moins aussi important. Il est aujourd’hui plus important que jamais de conserver sa capacité d’action même en cas d’attaque, c’est-à-dire de réagir activement. Au niveau du conseil d’administration ou de la direction, il faut encore plus comprendre que la cybersécurité n’est pas seulement une question de coûts, mais qu’elle sert la valeur de l’entreprise. Cela suppose qu’au niveau du top management, on comprenne ce qui est en jeu, entre autres quels sont les risques de responsabilité (y compris la responsabilité du conseil d’administration) et surtout quelles sont les options d’action dans les 12 à 72 heures – ce que l’on appelle l’« Actionable Intelligence ». 

Les managers devraient donc considérer la cybersécurité comme un facteur positif pour le succès de l’entreprise ?

Exactement. Considérer chaque investissement dans la cybersécurité comme un investissement dans la protection de biens immatériels et non comme un facteur de coût, telle est la question centrale pour une meilleure sécurité informatique. Nous avons besoin d’un changement de culture. Une attaque radicale contre le système financier mondial, une centrale nucléaire ou l’infrastructure énergétique est un scénario d’horreur – mais il ne peut malheureusement pas être exclu. Le cyber-risque potentiel évolue constamment et devient de plus en plus systémique. L’absence de correctifs, les ressources surchargées, les logiciels obsolètes et le rythme effréné de la numérisation en constituent la base. À cela s’ajoutent des dépendances physiques et numériques massives, en croissance rapide et parfois très complexes, ainsi que des menaces pour les chaînes d’approvisionnement logicielles. Ces évolutions entraînent des défis exponentiels pour la communauté de la sécurité informatique. Il est donc nécessaire d’adopter une attitude claire qui définisse la sécurité informatique comme une contribution positive au succès de l’entreprise. 

Quels obstacles voyez-vous lorsqu’il s’agit de mettre en œuvre des concepts de cybersécurité de manière durable ?

Les criminels ont de moins en moins besoin de compétences et de moyens financiers. De plus, ils n’ont plus besoin d’une organisation étendue – le cybercrime-as-a-service permet à de nombreux acteurs d’agir de manière indépendante. Parallèlement, la pression sur les coûts, l’organisation et le travail des équipes de sécurité augmente de manière exponentielle. Nous ne sommes qu’au début de l’ère numérique. L’utilisation de l’IA va également aggraver la situation en matière de menaces – et aujourd’hui déjà, nous n’avons pas suffisamment de ressources et souvent pas assez de moyens. À mes yeux, il est temps que l’importance de la cybersécurité ne s’établisse pas seulement au niveau de la direction, la sécurité informatique doit aussi être représentée par du personnel ! Malheureusement, je constate trop souvent dans nos mandats globaux qu’il faut d’abord que des dommages matériels et des responsabilités apparaissent avant que les membres du conseil d’administration ne prennent conscience de l’énorme importance de la cybersécurité sur les affaires courantes. 

Un véritable engouement s’est créé autour du thème de l’IA, la discussion sur les opportunités et les risques jouera un rôle important à l’it-sa Expo&Congress. Comment classez-vous le potentiel de l’IA pour la cybersécurité et l’échange de coups entre les attaquants et les défenseurs ?

J’aime aborder cette question sous trois angles.

Grâce à l’IA, nous identifions fondamentalement plus rapidement les modèles d’attaque et obtenons des indications importantes sur les mutations de logiciels malveillants. Les technologies d’IA réduisent les temps de réaction et améliorent les stratégies de défense grâce à l’évaluation en temps réel des données sur les menaces. À l’avenir, il sera possible d’évaluer immédiatement et encore mieux d’énormes quantités d’informations et de corrélations et de rechercher des modèles suspects.

L’expérience montre qu’en cas d’attaque de ransomware, l’option de récupération de la configuration dite Last Known Good ne suffit souvent pas. Par conséquent, de nouvelles attaques ont toujours lieu. Aujourd’hui déjà, l’utilisation de technologies d’intelligence artificielle dans les Data Clean Rooms apporte des avantages certes coûteux, mais énormes. Il s’agit d’environnements sécurisés et protégés dans lesquels les données personnelles sont nettoyées et traitées à l’aide de technologies d’IA. Elles peuvent ainsi être utilisées pour de nombreuses analyses de données.

Mais les attaquants en profitent également. Une approche directe se concentre par exemple sur la programmation de logiciels malveillants et de vecteurs d’attaque sur des scanners antivirus basés sur l’IA. L’objectif de l’attaquant est en fait banal et pourtant très efficace : constater des comportements et des événements concrets que le scanner scrute sciemment. Ces activités donnent lieu à un profil qui permet d’optimiser le modèle d’IA en conséquence. Il est ainsi possible de créer des modèles tactiques, techniques et comportementaux qui permettent de reproduire des modèles d’IA existants et de les tromper avec des données falsifiées.

Nous menons depuis un certain temps des recherches sur les technologies d’intelligence artificielle afin d’aider nos clients à faire face à l’évolution constante du paysage des risques. Une chose est sûre : même avec l’IA, nous continuerons à jouer au chat et à la souris avec les agresseurs. Nous serions donc bien avisés d’accorder la même priorité aux possibilités offertes par les technologies d’IA qu’à leurs risques. 

Vous vous occupez beaucoup des cyber-assurances. Quelle est, selon vous, l’importance de cette composante pour la couverture ?

Nous travaillons avec des assureurs et des entreprises sur le thème de la cyberassurance. Ces couvertures sont utiles lorsqu’elles sont adaptées au profil de risque et testées en situation réelle. Toutefois, les dommages résultant d’attaques contre des infrastructures critiques ou des services gouvernementaux ne sont guère assurables.

Je suis fondamentalement d’avis que les cyber-attaques étatiques de tout type comportent une composante systémique. Par conséquent, elles ne peuvent pas être assurées par le seul secteur privé. En effet, si les attaques étatiques ont un impact systémique, le delta entre les dommages économiques et la capacité d’assurance est infranchissable. Pour de tels cyber-risques, je ne vois que la voie d’un partenariat entre le secteur de l’assurance et le secteur public. Il y a déjà eu quelques efforts dans ce sens à Singapour ou des projets actuels aux États-Unis et au Royaume-Uni. 

Comment le marché de la cyberassurance évolue-t-il ?

Au niveau mondial, nous parlons cette année d’un volume de primes de près de 16 milliards de dollars américains. 85 pour cent de ce montant se concentre sur l’Amérique du Nord et l’Europe. Plus des deux tiers se situent aux États-Unis et au Canada. L’Amérique du Sud, l’Asie-Pacifique et le Moyen-Orient, y compris l’Inde, constituent les trois tiers de ces marchés de croissance. Nous pensons que le volume des primes va doubler d’ici 2030 en raison de la numérisation. Dans la France et la Suisse en particulier, il existe un très grand potentiel de rattrapage pour les PME, mais il faut en même temps un fort investissement dans la mise en œuvre de stratégies de sécurité informatique et de gestion des risques. 

En tant que speaker spécial de l’it-sa Expo&Congress, vous montez sur scène le 24 octobre à Nuremberg. Vous posez la question « Quo vadis cyber risks ? » – de quoi les participants au salon peuvent-ils se réjouir ?

Bien sûr, je jette un coup d’œil sur le statu quo et approfondis mon analyse sur les points déjà abordés ici, comme les cyber-risques, l’IA et la géopolitique. Mais ce qui m’importe bien plus, c’est l’évolution qui se profile déjà à l’horizon :

La numérisation et les cyber-risques qui y sont liés sont irréversibles. Jamais notre degré d’interconnexion n’a été aussi élevé, jamais les dépendances informatiques n’ont été aussi stimulantes et, en même temps, jamais le potentiel de notre secteur n’a été aussi grand. À l’avenir, les technologies, les codes, les logiciels malveillants et les virus se transformeront en actifs stratégiques, économiques et géopolitiques – mais aussi en défis – dans des proportions jusqu’ici inimaginables. L’importance de la cybersécurité va donc croître de manière exponentielle.

Notre avenir devient plus imprévisible et moins prévisible.La question est de savoir où mènent ces évolutions et quelles sont leurs conséquences pour les États, les entreprises et la société.

Speaker Reel

Peter Hacker is a passionate, internationally sought-after Swiss expert in his field who thinks outside the box. The speaker, entrepreneur and author research the topics of digital change, cyber crime and underwriting. He gives keynotes and lectures from Frankfurt to Sydney to New York, describing challenges, opportunities and solutions using real examples that drastically influence companies and politics.