60
SÉCURITÉ DANS LE MONDE DIGITAL 21 E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE Un entrepreneur israélien aide des acteurs locaux à filmer les abus et à transmettre les images à ceux qui font changer les choses SÉCURITÉ DES RENDEMENTS Pictet explique pourquoi les fournisseurs de solutions de sécurité constituent un thème d’investissement attrayant et rentable MENACES (ET SOLUTIONS) MONDIALES Pouvoir destructeur des cyberattaques, mais aussi pirates éthiques et initiatives créatives pour prévenir les dangers et protéger les infrastructures CONFIDENTIALITÉ: LE PARADOXE Pourquoi nous ne savons pas nous taire et comment les coulisses du piratage peuvent nous faire évoluer

SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Embed Size (px)

Citation preview

Page 1: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

SÉCURITÉ DANS LE MONDE DIGITAL21E ÉDITION — ÉTÉ 2017

LE VOIR POUR LE CROIRE Un entrepreneur israélien aide des acteurs locaux à filmer les abus et à transmettre les images à ceux qui font changer les choses

SÉCURITÉ DES RENDEMENTS Pictet explique pourquoi les fournisseurs de solutions de sécurité constituent un thème d’investissement attrayant et rentable

MENACES (ET SOLUTIONS) MONDIALES Pouvoir destructeur des cyberattaques, mais aussi pirates éthiques et initiatives créatives pour prévenir les dangers et protéger les infrastructures

CONFIDENTIALITÉ: LE PARADOXE Pourquoi nous ne savons pas nous taire et comment les coulisses du piratage peuvent nous faire évoluer

Page 2: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Avant-propos

ILLUSTRATION EN PAGE DE COUVERTURE – Roues dentées de la machine allemande de chiffrement de Lorenz, utilisée durant la Seconde Guerre mondiale pour chiffrer et déchiffrer des messages des services de renseignements militaires

ÉQUIPE ÉDITORIALE DE PICTET – Ninja Struye de SwielandeÉDITION ET RELECTURE VERSION FRANÇAISE – Sabine Jacot-Descombes CONCEPTION ET CONSEIL ÉDITORIAL – Forth Studio RÉDACTEUR – John WillmanPHOTOGRAPHIES – Porter G ifford, Wolf Mike, Anthony Tahlier, Carlotta Cardana, Wes Sumner, Yadid Levy, Christoffer Rudquist et Aurélien Bergot

ÉTÉ 2017 – Pour en savoir plus sur les modalités d’abonnement, veuillez vous adresser à: [email protected]

Dans notre monde numérique, les menaces en termes de sécurité prolifèrent et deviennent plus pointues. Des pirates essaient de dérober les données personnelles des particuliers à des fins criminelles. Entreprises et collectivités publiques sont confrontées à des agressions similaires. Terroristes et Etats hostiles mènent des cyberattaques pour asseoir leurs ambitions politiques.

Cette édition est consacrée à ces menaces et aux mesures nécessaires pour protéger la société. Revenant sur les défis croissants que constituent les cyberattaques, deux experts internationaux appellent à des réponses plus créatives pour protéger les infrastructures clés et éviter de nombreux décès.

Quatre entrepreneurs nous expliquent comment leurs sociétés respectives protègent la sécurité de l’information numérique. L’une recrute des pirates éthiques qui traquent les points faibles des systèmes en ligne tandis que l’autre utilise la mécanique quantique pour parfaire l’encodage. La troisième supprime matériel et logiciels redondants pour éviter le vol de données à partir d’équipements anciens. La dernière enfin propose des dispositifs de validation indépendants pour garantir le respect des normes internationales de protection.

Deux chercheurs pointent quant à eux les comportements qui facilitent la vie des pirates. L’un s’est demandé pourquoi nous communiquions des informations qui devraient rester secrètes. Ancien pirate, l’autre utilise les neurosciences pour voir comment le cerveau façonne nos habitudes (et comment les changer).

L’historien de Bletchley Park évoque ici le génie des décrypteurs, qui ont donné un avantage décisif aux Etats-Unis et au Royaume-Uni pendant la Seconde Guerre mondiale en cassant le code Enigma avec des techniques utilisées pour concevoir les ordinateurs modernes.

Un gérant de fonds au sein de Pictet Asset Management démontre que les solutions de sécurité sont devenues un thème d’investissement intéressant, qui profite de l’innovation, de l’urbanisation et de la réglementation.

Enfin, un entrepreneur israélien nous raconte comment il aide des communautés locales à révéler les violations des droits humains et la corruption.

Nous espérons que ce tour d’horizon des menaces de sécurité qui planent sur le monde et les solutions développées par des entrepreneurs et des chercheurs brillants susciteront votre intérêt.

Rémy BestAssocié Groupe Pictet

Page 3: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Les lieux

1 ÉTATS-UNIS Pr Leslie John Mårten Mickos Pr Moran Cerf

2 ROYAUME-UNI Dr Patricia Lewis Dr David Kenyon

3 SUISSE Jean-Luc de Buman Grégoire Ribordy et Kelly Richdale Siddik Apaydin et Yarom Ophir

4 ISRAËL Doron Bergerbest-Eilon Oren Yakobovich

40Dr DAVID KENYON

De la banlieue de Londres à la guerre cybernétique du XXIe siècle

8JEAN-LUC DE BUMAN

L’importance d’une validation indépendante

18GRÉGOIRE RIBORDY et KELLY RICHDALE

Une méthode infaillible pour sécuriser les données

46OREN YAKOBOVICH

L’image pour dénoncer les violations des droits humains

30MÅRTEN MICKOS

Des chasseurs de bugs pour un internet plus sûr

54YVES KRAMER

Une dynamique bénéficiaire dans un secteur en plein essor

COMPORTEMENT HUMAIN ET SÉCURITÉ SÉCURITÉ MONDIALE

RETOUR EN ARRIÈRE ENCRYPTION/CYBERSÉCURITÉ

CONTRÔLE INDÉPENDANT ENTREPRENEURIAT SOCIAL LE POINT DE VUE DE PICTET

4 Pr LESLIE JOHN

Pourquoi divulge-t-on des informations confidentielles?

12Pr MORAN CERF

«Pirater» le cerveau pour changer le comportement humain

24Dr PATRICIA LEWIS

Protection des infrastructures critiques

36DORON BERGERBEST-EILONLa menace cyberterroriste

évolue en permanence

TABLE DES MATIÈRES 3

50SIDDIK APAYDIN et YAROM OPHIR

Garantir jusqu’au bout la protection des données confidentielles

DESTRUCTION DE DONNÉES

Malawi

1 1 4

2 3

SÉCURITÉ DANS LE MONDE DIGITAL

Page 4: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

PICTET REPORT ÉTÉ 20174 LE PARADOXE DE LA CONFIDENTIALITÉ

Page 5: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

A l’ère du numérique, la confidentialité est devenue une question très délicate. Nous voulons à tout prix éviter que des inconnus, des entreprises ou des organismes publics puissent accéder à nos données personnelles en ligne. Sur la plupart des réseaux sociaux, les utilisateurs doivent d’ailleurs accepter des conditions générales complexes établissant leurs droits en matière de confidentialité et d’utilisation de leurs données par les entreprises.

Mais peu les lisent et dans les faits, il est très facile de persuader les gens de dévoiler ces informa-tions. En 2014, une artiste nommée Risa Puno a réussi à soutirer, en échange d’une sucrerie, des données privées sensibles (empreintes digitales, numéro de permis de conduire, nom de famille) à 380 New-Yorkais, sans en révéler le but! C’est ce que Leslie John, professeure à la Harvard Business School, appelle «le paradoxe de la confidentialité».

«En théorie, les gens disent se préoccuper de la protection de leurs données et lutter contre les menaces liées p. ex. à leur messagerie privée. Mais

POURQUOI DIVULGE-T-ON DES INFORMATIONS CONFIDENTIELLES?

Le paradoxe de la confidentialité

Si la plupart des gens affirment vouloir protéger leurs données personnelles, ils tendent en réalité à les divulguer pour

des raisons souvent futiles ou pour obtenir l’approbation d’autrui, explique Leslie John, professeure à la Harvard Business School.

LE PARADOXE DE LA CONFIDENTIALITÉ 5

dans la pratique, leur comportement indique le contraire, car il est difficile de donner un prix à la valeur matérielle de la vie privée et aux dommages que ça pourrait causer. La confidentialité n’est pas leur priorité et ils sont tentés de donner des informations confidentielles sous l’influence de facteurs anodins… comme une sucrerie.»

En parallèle à son travail d’enseignante, Leslie John étudie les processus décisionnels humains, notamment en matière d’alimentation saine et de vie privée. Et contrairement à ce que l’on croit, ils sont souvent irrationnels, comme le montre le paradoxe de la confidentialité.

Des désirs contradictoires sont à l’origine de ces comportements: d’un côté on tient à sa vie privée, mais de l’autre on sait qu’en divulguant plus d’informations privées, on peut tisser des liens plus forts avec les autres.

Des chercheurs se sont intéressés à cet aspect de la nature humaine, en posant des questions à des binômes qui ne se connaissaient pas, afin

SÉCURITÉ DANS LE MONDE DIGITAL

Page 6: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

d’observer à quel point l’opinion de l’un pouvait influencer les réponses de l’autre. Résultat: plus une personne donnait des informations personnelles, plus elle était appréciée de l’autre.

Dans le cadre d’une autre expé-rience, on a demandé aux participants de choisir entre deux candidats à un poste: l’un a avoué dans le formulaire de candidature que sa moins bonne note à un examen avait été insuffi-sante, tandis que l’autre choisissait de ne pas répondre… et 89% des partici-pants ont préféré le premier, le pensant moins bon candidat pour le poste mais plus fiable.

On sait qu’en divulguant plus d’informations privées, on peut tisser des liens plus forts avec

les autres

Les gens sont aussi prêts à se dévoiler plus facilement et à négliger la protec-tion de leurs données s’ils trouvent un site amusant ou convivial. «Facebook donne envie de partager des informa-tions. Plus on voit les autres faire, plus on a envie de faire pareil. Et les para-mètres de confidentialité, qui changent tout le temps, sont en général bien cachés dans les menus et donc difficile-ment consultables par les utilisateurs», affirme-t-elle encore.

«Si les gens tendent à divulguer des informations, c’est aussi souvent pour obtenir des avantages immédiats et concrets. Dès que vous publiez quelque

PICTET REPORT ÉTÉ 20176 LE PARADOXE DE LA CONFIDENTIALITÉ

Page 7: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Leslie John est professeure en business administration au sein de la section Negotiations, Organizations and Markets de la Harvard Business School. Après avoir ensei-gné le marketing, elle donne actuellement des cours sur la négociation et dispense des formations pour cadres diri-geants. Elle est titulaire d’un doctorat en études compor-tementales de la Carnegie Mellon University, où elle a aussi obtenu un mastère en psychologie et en études comportementales axé sur la prise de décisions. Portant notamment sur la manière dont le comportement et la vie des consommateurs sont influencés par les entreprises et les politiques publiques, ses travaux ont été publiés dans des revues universi-taires et sont également parus dans le New York Times, le Financial Times, le Wall Street Journal et Time magazine.

chose sur Facebook, vous recevez des commentaires ou des ‹j’aime› et ça vous pousse à partager plus.»

«A l’inverse, les dangers du partage d’informations sur inter-net sont bien plus flous.» De futurs employeurs pourraient par exemple y voir des photos compromettantes sans que vous le sachiez, mais aucun lien ne peut être clairement établi entre vos indiscrétions et une éventuelle réponse négative, et vous ne le ferez peut-être même pas.»

Et de leur côté, les entreprises de réseaux sociaux ont de bonnes raisons de récolter un maximum d’informa-tions sur leurs utilisateurs sans les prévenir: cela fait augmenter le nombre d’utilisateurs et de données privées, attirant ainsi plus de publicité.

Une autre étude s’est intéressée aux consultations des politiques de confi-dentialité. Si certaines entreprises les mettent en évidence, en mentionnant notamment l’utilisation qu’elles font des données personnelles, d’autres n’en font même pas mention sur leurs bulletins de commande, car elles feraient plus peur qu’elles ne rassure-raient, comme cette société qui vend un système GPS incluant des «options supplémentaires», permettant en réalité d’espionner le conducteur.

Certes, désormais, le partage en ligne temporaire permet d’éviter que des photos embarrassantes ne refassent surface plus tard. SnapChat supprime par exemple les images après 10 secondes. Mais faire une capture d’écran n’a rien de compliqué.

«Une photo gênante peut dispa-raître, mais pas l’effet qu’elle produit sur le destinataire, qui peut relayer son sentiment sur les réseaux sociaux», explique Leslie John.

«Pour tester cet effet, nous avons demandé à des gens de prendre des selfies et de les mettre en ligne, à certains de manière permanente et à d’autres de manière temporaire, et les premiers ont pris des photos plus osées. Avec au final un jugement plus négatif de ceux qui les ont vues envers les premiers, même si les clichés ont disparu rapidement. Autrement dit, la nature de la photo laisse une impression, même si son partage est temporaire.»

A l’heure où les technologies de collecte des données deviennent toujours plus sophistiquées, les gens passent de plus en plus de temps à faire des achats, à jouer et à communiquer en ligne, divulguant toujours plus d’informa-tions personnelles sensibles, très utiles aux entreprises, voire à des pirates. Il reste beaucoup à faire pour aider les gens à comprendre la valeur de la vie privée et la facilité avec laquelle on peut leur soutirer des données person-nelles, tout en reconnaissant l’utilité du partage d’informations pertinentes dans la sphère privée, et c’est là tout le paradoxe.

LE PARADOXE DE LA CONFIDENTIALITÉ 7 SÉCURITÉ DANS LE MONDE DIGITAL

Page 8: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

8 RÉGLEMENTATION PICTET REPORT ÉTÉ 2017

Page 9: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

RÉGLEMENTATION

A l’origine, SGS était spécialisée dans l’inspection des chargements de céréales à leur arrivée dans les grands ports français. Ses inspecteurs vérifiaient la quantité et la qualité des céréales dont le volume avait tendance à diminuer lors du transit, surtout au chargement et au déchargement.

Créée en 1878, la société s’est développée rapi-dement, devenant leader sur son marché. Dès 1913, elle inspectait 21 millions de tonnes par an à travers un réseau de 45 bureaux en Europe. No 1 aujourd’hui, dans une gamme d’activités d’inspection nettement élargie, elle emploie 90 000 personnes et compte 2000 laboratoires opérant dans presque tous les pays du monde.

La nature de ses activités a considérable-ment évolué au fil du temps et couvre désormais dix secteurs. Elle inspecte une grande variété de marchandises en transit, en teste la qualité, la sécurité et la performance, vérifie leur confor-mité aux standards internationaux et aux régle-mentations locales et les certifie pour rassurer consommateurs et acheteurs.

«Initialement, nos services portaient sur la nature physique des produits, explique Jean-Luc Buman, responsable de la communication,

des relations avec les investisseurs et du déve-loppement. C’est toujours une partie de notre travail, mais nous sommes passés de l’inspection physique à l’expertise basée sur la connaissance – du travail en col bleu au travail en col blanc tout au long de la chaîne logistique, des matières premières à la consommation finale.

Après 20 ans dans la banque, Jean-Luc Buman rejoint SGS en août 1998. La société est alors toujours essentiellement centrée sur l’inspection et sert en fait de bureau des douanes pour les pays dépourvus de services douaniers. Elle détermine, au port de départ, la valeur des biens exportés, permettant au pays importateur de percevoir les droits d’entrée appropriés.

Or, au bout de trois mois, il s’aperçoit que SGS est sur le point de perdre deux grands contrats, l’Indonésie et le Pakistan, soit 90% de son EBITDA. Quasiment en faillite, la société est rachetée en 2001-02, notamment par August von Finck, actionnaire clé, épaulé par l’Italo-Cana-dien Sergio Marchionne, devenu depuis CEO de Fiat Chrysler.

La décision est alors prise de restructurer SGS en privilégiant systématiquement les acti-vités en amont. Tout en conservant l’inspec-

L’importance d’une validation indépendante

Les équipes d’experts de SGS, implantée à Genève, aident les entreprises à devenir plus rapides et efficaces,

tout en se conformant à l’évolution des standards internationaux et des réglementations locales protégeant

les clients et les consommateurs.

RÉGLEMENTATION 9 SÉCURITÉ DANS LE MONDE DIGITAL

Page 10: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

tion import-export, SGS s’intéresse dès lors à l’origine des marchandises – producteurs de semences pour les céréales, activités d’explora-tion pour le pétrole et les minerais, conception pour les produits de consommation. Résultat: le plus vaste réseau de laboratoires du monde avec 50 000 employés tout au long de la chaîne d’ap-provisionnement planétaire.

«Nous sommes passés de l’inspection physique aux laboratoires. L’étape suivante sera le conseil basé sur les données. Nos laboratoires nous livrent des données presque exhaustives que nous sommes en mesure d’analyser et d’in-terpréter pour nos clients.»

«Beaucoup sont des sociétés cotées répu-tées ayant des intérêts transfrontaliers: elles produisent là et vendent ailleurs. Vecteur de mondialisation, nous collaborons étroitement avec nos clients pour assurer leur réussite. Ils ont des milliers de fournisseurs qui doivent respec-ter les exigences des gouvernements, des ONG et des assoctations de consommateurs, ainsi que les valeurs de nos clients.»

«La réglementation, qui est au cœur de notre métier, évolue sans cesse. Et nous sommes bien placés pour conseiller nos clients car nous sommes présents depuis longtemps dans de nombreux pays, et nos équipes suivent l’évolu-tion pays par pays et entreprise par entreprise. Nous avons aussi accès aux autorités de surveil-lance, qui s’appuient sur notre expertise. Nous connaissons donc souvent à l’avance les change-ments prévus.»

Jean-Luc Buman est notamment responsable du développement de l’entreprise, étant chargé des acquisitions pour ce groupe hautement complexe. SGS a ainsi récemment racheté une société spécialisée dans l’industrie alimentaire qui suit tous les changements réglementaires et analyse leur effet sur les producteurs et leur chaîne d’approvisionnement.

Les compétences recherchées par SGS évoluent sans cesse et sont rares en Europe. «Nous collaborons avec des universités en Asie,

surtout en Chine. Nos employés sont souvent formés sur le tas. Chacun d’eux bénéficie d’objectifs de formation fixés en jours, voire en mois. Nous embauchons aussi beaucoup plus de diplômés universitaires, 80% désormais en Chine. Dans nos activités très diversifiées, un bon auditeur a besoin d’une formation de très haute qualité.»

Les secteurs les plus sensibles à la réglementation et à l’inspection sont ceux où la sécurité est essentielle. «Nous vendons de la confiance aux consommateurs qui se méfient de produits comme les aliments, les boissons et les voitures. Notre rôle est de les rassurer.»

SGS fournit des services dans le monde entier. «Aujourd’hui, notre croissance est plus forte en Asie et en Afrique qu’en Europe, mais notre stratégie de croissance privilégie l’investissement en Chine et en Amérique du Nord. Jadis considérée comme un producteur, la Chine est désormais aussi un marché de consommation. Près de 50% de nos activités y concernent le marché intérieur.»

Pour servir les grandes multinationales, il faut bâtir des relations approfondies et variées avec leurs différentes entités, notamment les départements qualité et production. «C’est une approche d’équipe. Nous essayons de regrouper les risques autant que possible.»

«Mais si nous constatons un non-respect des normes, nous demandons à ce qu’il cesse. Les clients attendent de

Vecteur de mondialisation, nous collaborons

étroitement avec nos clients pour assurer leur réussite

10 RÉGLEMENTATION PICTET REPORT ÉTÉ 2017

Page 11: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

nous la vérité, mais parfois n’aiment pas l’entendre, car elle implique des conséquences financières. Mais c’est non négociable: si nous nous taisons, c’est la fin de notre activité.»

Pour l’avenir, Jean-Luc Buman voit SGS conseiller ses clients grâce à la technologie. La société devra aussi s’adapter à la numérisation: «Les inspecteurs remettaient des rapports écrits, mais le groupe doit désormais rendre compte en ligne, au plus près des événements. L’enjeu pour la société

sera de garder sa capacité à expliquer et à interpréter les données et leurs conséquences.»

«Même si la technologie semble supprimer la nécessité d’une véri-fication indépendante, une garan-tie externe rassurant le public reste indispensable. De nombreux secteurs mettent en place des plates-formes de décision d’achat basées sur les informations des fournisseurs. Mais un tiers indépendant doit vérifier le processus décisionnel.»

«Dans dix ans, nous inspecterons toujours les céréales, les conteneurs et les chargements. Les capteurs et les drones, plus rapides et plus efficaces, remplaceront peut-être les yeux des inspecteurs. Et le service pourra s’ef-fectuer en ligne. Mais la vérification et la certification indépendantes reste-ront essentielles.»

RÉGLEMENTATION 11 SÉCURITÉ DANS LE MONDE DIGITAL

Page 12: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

12 NEUROSCIENCES PICTET REPORT ÉTÉ 2017

Page 13: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Moran Cerf débute sa carrière comme pirate professionnel pour les services secrets israéliens. Après quatre ans dans l’armée, il fonde sa propre entreprise pour mettre ses compé-tences au profit de sociétés et d’organisations gouvernemen-tales, en les aidant à repérer les failles de leurs systèmes informatiques. Il obtient en parallèle un bachelor en physique et un mastère en philosophie des sciences.

Son entreprise étant rachetée, il décide de pour-suivre ses études. Suivant le conseil de Francis Crick, expert réputé qui a contribué au décryp-tage des messages de la machine allemande Enigma et à la découverte de l’ADN, il décide de se tourner vers les neurosciences. Il participe aujourd’hui à des études pionnières sur la nature des souvenirs et sur le subconscient.

«Il pensait que mon expérience de hacker, qui impliquait la compréhension de la pensée des utilisateurs des systèmes informatiques, se prêtait parfaitement à l’étude du fonctionnement du cerveau humain dans un cadre universitaire. Il m’a écrit une lettre de recommandation et 18 mois plus tard, j’étais élève doctorant en neurosciences au California Institute of Technology.»

«PIRATER» LE CERVEAU POUR CHANGER LE COMPORTEMENT HUMAIN

Neurosciences

Les recherches d’un ancien hacker devenu neuroscientifique ont permis de lever le voile sur le fonctionnement de la

mémoire, la signification des rêves et le rôle du subconscient dans la prise de décision et le comportement humain.

NEUROSCIENCES 13

Ce qu’il retient de ses 10 ans de piratage informa-tique, c’est la mentalité des hackers, qui cherchent à comprendre la manière de penser de leurs cibles. Ils parviennent ainsi à identifier les erreurs et les faiblesses des systèmes qu’ils conçoivent et exploitent – qu’ils soient les victimes ou les responsables de l’attaque. Pour en apprendre plus sur les boîtes noires dans lesquelles ils tentent de pénétrer, les hackers doivent faire des expé-riences en utilisant les ressorts psychologiques.

«C’est ce qu’on appelle aujourd’hui la science du mensonge et de l’escroquerie. On examine le comportement des gens et leurs écarts de conduite, et on s’en sert. Mon entreprise l’a p. ex. fait pour une grande société de téléphonie, qui voulait tester la sécurité de ses systèmes en ligne.»

«On savait que c’était plus facile de convaincre les gens de nous donner leurs mots de passe en fin de journée, quand ils vont rentrer chez eux. J’ai donc appelé la secrétaire à ce moment-là, en disant qu’on était mandaté par la société pour réparer une antenne et qu’on avait oublié le mot de passe du système. Je lui ai donné les cinq derniers mots de passe et je lui ai dit qu’elle pouvait vérifier qu’il

SÉCURITÉ DANS LE MONDE DIGITAL

Page 14: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

y avait bien une antenne à réparer et que nous y étions. Mais elle a quand même refusé.»

«Le lendemain matin, l’un d’entre nous s’est présenté comme le respon-sable de la sécurité et l’a félicitée d’avoir repoussé un hacker et l’a convaincue de raconter son histoire en exemple.

Elle n’était plus sur ses gardes et elle a confié des détails, dont le bon mot de passe, à quelqu’un de chez nous... Nous savons que les gens sont plus vulné-rables à une deuxième attaque.»

«Ce n’est pas de la magie, c’est le mode de pensée de l’être humain. Je m’intéresse maintenant au cerveau

Pour en apprendre plus sur les boîtes noires dans lesquelles ils tentent de pénétrer, les hackers doivent faire

des expériences en utilisant les ressorts psychologiques

et à ce qui nous fait agir comme ça.» Professeur de neurosciences et de management à la célèbre Kellogg School of Management de la Northwes-tern University, près de Chicago, Moran Cerf mène depuis 12 ans des recherches qui ont révolutionné la façon d’étudier l’intérieur du cerveau humain.

14 NEUROSCIENCES PICTET REPORT ÉTÉ 2017

Page 15: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Pour en apprendre plus sur les boîtes noires dans lesquelles

ils tentent de pénétrer, les hackers doivent faire des

expériences en utilisant les ressorts psychologiques

Habituellement, les neuroscientifiques utilisent l’IRM ou l’ECG, en parallèle à des expériences où ils plantent des électrodes dans les cerveaux d’animaux. «Je collabore avec des chirurgiens dont les patients sont d’accord pour faire des essais cliniques. Nous plaçons pendant l’opé-ration des électrodes dans leur cerveau pour surveiller chaque neurone. Nous leur posons des questions, nous leur montrons des films et nous discutons de leurs choix pour comprendre comment fonctionne leur cerveau.»

«Il y a peu de scientifiques qui ont la chance de pouvoir observer le cerveau humain comme moi. Grâce aux études qu’on a réalisées, on est en mesure de trouver les cellules qui nous permettent de stimuler les souvenirs, de les décoder et de savoir à quoi les patients pensent. On peut aussi voir comment ils prennent des décisions avant même qu’eux-mêmes ne le sachent, en plaçant des élec-trodes dans les zones cérébrales inconscientes.»

«L’an dernier, on s’est penché sur les rêves et on a constaté que les patients les oubliaient en grande partie au réveil et qu’ils n’en gardaient que des bribes, correspondant très peu au vrai rêve fait pendant leur sommeil profond. On peut ensuite leur montrer des images de ces rêves et en analyser le processus.»

«Dans une autre étude, on a demandé aux participants de jouer à un jeu où ils devaient appuyer sur un bouton, pour voir comment ils choisissaient leurs mouvements. En surveillant la partie inconsciente du cerveau, on a constaté qu’ils avaient fait leur choix quelques secondes avant d’appuyer. Maintenant, on peut même faire qu’un patient déplace le curseur d’un écran rien qu’en y pensant.»

Selon Moran Cerf, cette approche est en soi un nouvel outil, qui peut changer le comporte-ment. «On peut aider les gens à arrêter de fumer en observant leur cerveau quand ils sont vulné-rables, notamment durant leur sommeil, ou les aider à déterminer le meilleur moment pour prendre des décisions: le matin, le soir, quand on a faim, ou qu’on est rassasié, etc.»

Les entreprises étant très intéressées par cette approche, Moran Cerf enseigne tous les ans un trimestre à la Kellogg School of Management, en traitant notamment de la manière de mieux réfléchir dans un contexte commercial, en passant par la prise de décisions, l’évaluation des risques ou encore la planification de campagnes publicitaires.

Spécialiste du comportement, il met en outre son exper-tise au service du gouvernement américain pour la mise en œuvre de nouvelles politiques, aidant à comprendre les biais comportementaux et à lutter contre, et à rendre le système fiscal moins sensible à la fraude. Il dispense aussi à l’Ameri-can Film Institute à Hollywood un cours annuel d’écriture de scénarios sur la science dans les films, contribuant ainsi à rendre le domaine scientifique encore plus accessible.

«Mes trois objectifs, en tant que neuroscientifique, sont d’en apprendre toujours plus sur le fonctionnement du cerveau, d’appliquer nos résultats au-delà des neurosciences, et notamment au comportement humain, et d’informer le plus largement possible de la portée de notre travail.»

NEUROSCIENCES 15 SÉCURITÉ DANS LE MONDE DIGITAL

Page 16: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

16 PICTET REPORT ÉTÉ 2017

Page 17: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Siège de SGS, Genève

SÉCURITÉ DANS LE MONDE DIGITAL 17

Page 18: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

18 VENTURE CAPITAL PICTET REPORT WINTER 2016

Page 19: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

CRYPTOGRAPHIE QUANTIQUE 19 SÉCURITÉ DANS LE MONDE DIGITAL

La puissance des ordinateurs augmentant, les pirates ont en effet de moins en moins de mal à décortiquer les techniques de codage traditionnelles, et donc à déchiffrer les données cryptées. Et l’arrivée des ordinateurs quan-tiques, qui va décupler la vitesse de traitement, va encore leur faciliter la tâche.

Ou pas... car la mécanique quantique, base de cette nouvelle génération d’ordinateurs ultra-rapides, a d’ores et déjà créé une forme de cryptographie en principe impossible à décoder, notamment parce que toute tentative d’interception modifie les données. Fondée en 2001 par quatre scientifiques de l’Université de Genève conscients du poten-tiel de la cryptographie quantique en matière de sécurité des données, ID Quantique fait partie des leaders du secteur.

«Le cryptage quantique existe depuis un certain temps, explique Grégoire Ribordy, physi-cien, qui fait partie des fondateurs et dirige la société depuis 2001. Mais les géants de l’informa-tique sont entrés sur ce marché il y a seulement deux ans en 2015, l’Agence nationale de la sécurité américaine, la NSA ayant annoncé qu’elle voulait actualiser ses techniques de cryptographie pour qu’elles résistent à l’évolution quantique.»

«Même si ce domaine est encore balbutiant, les gens comprennent maintenant le défi. L’informa-tique n’est plus une science, mais de l’ingénierie,

et la question n’est plus si, mais quand. Les tech-niques de codage traditionnelles s’avérant trop vulnérables, le cryptage quantique est devenu une priorité pour la sécurité des données.»

Née dans les trente premières années du XXe

siècle, quand des physiciens ont constaté des écarts entre résultats des expériences et théorie, la méca-nique quantique constitue une nouvelle manière d’appréhender le monde des atomes, des parti-cules et de l’infiniment petit. Au départ purement théorique, elle a peu à peu conduit à une première révolution: celle des lasers, microprocesseurs et autres nouvelles technologies.

Mais, pour Grégoire Ribordy, elle n’a pas saisi le plein potentiel de la physique quantique. Grâce à la miniaturisation des appareils et à la maîtrise des différents éléments, une deuxième révolu-tion s’amorce et ouvre la voie à l’informatique quantique. Capable de réaliser très rapidement les calculs nécessaires au déchiffrage des codes cryp-tographiques, elle devrait rendre les techniques traditionnelles obsolètes.

«L’idée de la cryptographie quantique n’est pas d’utiliser la physique quantique pour créer des problèmes, mais pour en résoudre en renfor-çant la sécurité des communications.»

Avant même les ordinateurs quantiques, des entreprises visionnaires utilisaient déjà des tech-niques de cryptographie quasi-inviolables pour

UNE MÉTHODE INFAILLIBLE POUR SÉCURISER LES DONNÉES

Cryptographie quantique

Dans la course à la protection de l’information numérique, une société suisse a misé sur la mécanique quantique pour développer

une forme de cryptographie rendant le décodage impossible, même avec des ordinateurs de plus en plus rapides.

Page 20: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Les techniques de codage traditionnelles s’avérant trop vulnérables, le cryptage quantique est devenu une

priorité pour la sécurité des données

20 CRYPTOGRAPHIE QUANTIQUE PICTET REPORT ÉTÉ 2017

Page 21: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

assurer la sécurité de leurs données dans la durée. Par exemple, pour éviter le risque qu’un concur-rent enregistre des informations à cryptage traditionnel et les déchiffre une fois les ordina-teurs quantiques disponibles. Utiliser la cryp-tographie quantique protège ainsi les données critiques telles que les portefeuilles clients, mais aussi les informations sur ces derniers et les colla-borateurs de l’entreprise.

Les techniques d’ID Quantique sont souvent utilisées pour sécuriser les communications entre deux centres de données, le siège et le site de secours, par exemple. Point fort: en vertu du principe d’incertitude d’Heisenberg, l’arrivée des ordinateurs quantiques ne permettra en prin-cipe pas de déchiffrer ces informations. Car selon ce pilier de la mécanique quantique, quiconque essaie de lire et de mesurer un objet quantique (p. ex. un photon porteur de la clé de cryptage) en modifie l’état.

Pour Kelly Richdale, dirigeante chevron-née recrutée pour transformer ID Quantique en entreprise commerciale, il s’agit d’un avantage majeur. «Toute tentative d’interception d’une information transmise par fibre optique, p. ex. entre deux centres de données, génère une preuve physique. Cela dissuade les écoutes illicites tout en assurant la sécurité du monde futur des ordi-nateurs quantiques.»

L’entreprise propose aussi d’autres produits basés sur la mécanique quantique, notamment le Quantis, petit générateur aléatoire de chiffres qui s’appuie sur le caractère imprévisible de l’univers pour fournir des clés de cryptage aux solutions de sécurité. Il est également utilisé par le secteur des jeux en ligne, très réglementé et contraint de prouver qu’il repose bien sur des numéros géné-rés au hasard.

Par ailleurs, les clients apprécient le fait qu’ID Quantique soit une société suisse. «L’une de nos marques s’appelle Swiss Quantum, souligne Kelly Richdale. Les failles de sécurité mises en lumière par Edward Snowden sont emblématiques: ce lanceur d’alerte a révélé que les Etats surveillaient

les communications numériques et demandaient aux fabri-cants d’appareils de leur ménager une porte d’accès à la trans-mission des données cryptées.»

«La protection des données et la confidentialité faisant partie de nos droits fondamentaux, la Suisse n’est pas confrontée à ce type de pressions. Quand un pays tels les Etats-Unis exige des accès aux données, il décrédibilise les produits locaux. C’est un peu comme le franc: en période d’incertitude, les gens achètent le franc... et des dispositifs de cryptage suisses.»

Cryptage des courriels ou cryptage du stockage, domaine où la demande va exploser avec l’arrivée des ordi-nateurs quantiques: Grégoire Ribordy espère étoffer la gamme de solutions d’ID Quantique pour en faire un leader de la sécurité quantique à long terme.

«Nous cherchons des partenaires pour lancer nos produits sur des marchés très différents, par exemple les smartphones. L’idée? Pouvoir prendre une photo qui géné-rerait des chiffres aléatoires de qualité pour le codage et des clés de cryptage pour la sécurité.»

L’entreprise, qui a doublé ses effectifs et comptait 50 collaborateurs l’an passé, connaît une croissance fulgu-rante, les cyberattaques ayant notamment dopé la demande.

En période d’incertitude, les gens achètent le franc... et des

dispositifs de cryptage suisses

CRYPTOGRAPHIE QUANTIQUE 21 SÉCURITÉ DANS LE MONDE DIGITAL

Page 22: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Elles visent traditionnellement le vol de données, ce qui devrait se pour-suivre. Mais elles ont aussi de plus en plus souvent des visées politiques, pour influencer des élections ou atta-quer des infrastructures clés.

«Regardez ce qui s’est passé en Ukraine: les Russes ont piraté le réseau électrique, rappelle Kelly Richdale. Ils en ont fait tomber une partie, et la seule chose qui a sauvé les Ukrainiens, c’est l’âge du réseau et sa mauvaise connectivité, qui l’ont empêché de s’ef-fondrer en entier.»

«La première attaque de ce type a eu lieu en Estonie, désormais en pointe de la cyberdéfense. L’exemple helvé-tique montre que des entreprises peuvent collaborer pour défendre leurs infrastructures clés, comme les banques, l’électricité, l’eau et les autres réseaux de distribution. Toute attaque contre l’une de ces sociétés engendre une réponse coordonnée en Suisse, mais ce n’est pas le cas partout.»

Pour Grégoire Ribordy, le charme du cryptage inviolable par l’informa-tique quantique réside dans sa sécurité intrinsèque. «Il se fonde sur les lois de la physique, qui ne sont pas près de changer. La cryptographie quantique pourrait donc mettre fin à la course entre faiseurs et briseurs de codes. Nous pouvons améliorer la perfor-mance du système, réduire son prix et peut-être sa taille, trouver de nouvelles applications. Mais la sécurité de la cryptographie quantique ne chan-gera a priori pas, et c’est ce qui la rend intéressante.»

Le cryptage inviolable par l’informatique

quantique ne sera a priori jamais obsolète: c’est ce

qui fait son atout

22 CRYPTOGRAPHIE QUANTIQUE PICTET REPORT ÉTÉ 2017

Page 23: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

CRYPTOGRAPHIE QUANTIQUE 23 SÉCURITÉ DANS LE MONDE DIGITAL

Page 24: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Les craintes de cyberattaque contre des satellites, installations énergétiques et autres systèmes de défense appellent

des réponses plus créatives, estime une spécialiste en sécurité internationale d’un grand think tank britannique.

PROTECTION DES INFRASTRUCTURES CRITIQUES

Nouvelles menaces

24 NOUVELLES MENACES PICTET REPORT ÉTÉ 2017

Page 25: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

L’explosion de la puissance de calcul des ordinateurs a offert une connectivité formidable aux utilisateurs, mais elle permet aussi aux cybercriminels d’exploiter leurs failles. Elle suscite donc des inquiétudes face à la confidentialité des communications numériques et à la sécurité des données personnelles.

Mais les liens de plus en plus étroits entre cyber-sécurité et sécurité physique dans la défense, l’in-dustrie spatiale et les infrastructures critiques notamment font surgir de nouvelles préoccu-pations. Selon Dr Patricia Lewis, directrice de recherche d’un groupe de réflexion basé à Londres, le problème de la cybersécurité dans l’espace doit être entièrement repensé pour éviter des attaques aux conséquences désastreuses.

«Nous étudions actuellement la cybersécu-rité des missiles et des systèmes défensifs, dont la grande majorité sont connectés, pour ne citer que cet exemple. Et notre vie quotidienne dépend de l’espace à un point que les gens n’imaginent même pas. Il est donc urgent de développer un régime de cybersécurité efficace.»

Physicienne nucléaire, elle est directrice de recherche en sécurité internationale au Royal Institute of International Affairs britannique, la fameuse Chatham House, qui a pour mission de bâtir un monde plus sûr, prospère et juste. Elle couvre trois domaines: la défense convention-nelle et les problèmes de sécurité, ainsi que les aspects sociétaux, scientifiques et technologiques de la sécurité, y compris l’intelligence artificielle et l’usage de la robotique dans les conflits. Ce dernier inclut la cybersécurité, confrontée à des défis croissants, les criminels ayant grâce à l’in-formatique de plus en plus de moyens de nuire.

«Nous savons qu’ils piratent des satellites et des installations énergétiques, parfois nucléaires, d’où des inquiétudes pour les infrastructures critiques en matière de services publics comme l’électricité, l’eau, les transports et la commu-nication. Même chose pour la protection des données – les informations stockées sur ordina-teur sont très exposées aux attaques.

Dans l’espace, les satellites jouent des rôles multiples comme émettre des signaux pour les télévisions et les appareils de télécommunica-tions dans le monde entier. Les bateaux et les avions dépendent des données satellitaires pour leur navigation. Ces données jouent aussi un rôle vital dans les transactions financières, qui pour-raient être manipulées à large échelle.

L’aéronautique est l’un des rares secteurs à avoir vraiment pris les devants en termes de cyber-sécurité en raison des inquiétudes liées aux crashs. Comme les avions doivent transmettre et recevoir des signaux en permanence, des contrôles d’authenticité ont été introduits dans les procé-dures. Mais d’autres secteurs critiques doivent encore renforcer l’authentification de leurs infor-mations numériques, de leur origine et de leur acti-vité, comme ceux que je viens de citer mais aussi la production alimentaire, les installations sani-taires et le système bancaire. Ils font partie de notre quotidien et vont de soi pour nous, et nous ne nous rendons pas compte des risques qu’ils encourent.

Le jugement humain joue aussi un rôle vital dans ces systèmes, et il est difficile de savoir si l’intelligence artificielle peut le remplacer. Et l’être humain est vulnérable face à des menaces internes, mais aussi en utilisant des technologies qu’il ne comprend pas.»

Notre vie quotidienne dépend de l’espace à un point que les gens n’imaginent même pas

NOUVELLES MENACES 25 SÉCURITÉ DANS LE MONDE DIGITAL

Page 26: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

connaîtront des défaillances et y intègrent des dispositifs de sauvegarde ainsi que des mesures de résilience et de redondance, et les cyberattaques n’ont ainsi pas toujours l’impact escompté. Les cyberattaques ne devraient donc pas nous inquié-ter autant car il faut vivre avec.

«Il y en aura toujours et nous nous défen-drons toujours. La priorité est donc de nous assu-rer que le système est suffisamment résilient pour les neutraliser.

La gestion des menaces bioterroristes en est un bon exemple: la première chose à faire pour contrer l’attaque d’un agent pathogène est de vacciner la population. Le bioterroriste pourra mettre à exécution sa menace, mais ce sera peine perdue... C’est comme ça qu’on doit penser la cybersécurité – sans impact, il n’y a rien à gagner pour les cyber-terroristes.

Grâce à notre expérience dans d’autres domaines de la sécurité, nous savons qu’il est inefficace de contrer une menace par la même menace, car c’est juste une escalade sans fin. Nous devons être plus intelligents et créatifs. Il faut lutter contre leurs attaques en prenant un angle totalement inattendu afin de les empêcher d’atteindre leur but.»

Parler de cyberguerre lui paraît inadapté car c’est simplement une arme parmi d’autres, qui fait partie de toutes les stratégies d’attaque et de défense. Les cyberattaques enflamment certes l’imagination et elles font naître des théories sur les guerres hybrides par exemple. Mais la vérité est qu’une guerre est toujours mixte. Ce n’est pas un match de foot avec des règles, c’est la guerre...

«Il y aura toujours des cyberattaques contre nos systèmes vitaux (énergie, communication). Et si on se sent impuissant, on finit paralysé. Si on voit le cyber comme un outil parmi d’autres, on peut y faire face. C’est la nature humaine. Rien de nouveau sous le soleil, malheureusement! Nous sommes des primates, et nous agissons comme tels...»

Les cybermenaces sont devenues un problème mondial, qui concerne non seulement les autorités mais aussi les acteurs privés, affirme-t-elle encore. Les Etats ont certes plus de ressources et de spécialistes capables de s’introduire dans les systèmes. Mais les acteurs privés peuvent parfois détec-ter un élément vulnérable que personne d’autre n’a vu. Qui n’a pas entendu parler de ces ados qui font des prouesses en matière de cyberattaques.

Tous les Etats se sont impliqués dans les cyberme-naces – à la fois pour se défendre et pour comprendre ce qu’on pouvait faire dans ce domaine. S’ils s’intéressent par exemple au bioterrorisme, ils vont créer des agents patho-gènes pour comprendre leur impact et réfléchir aux moyens de lutter contre. Même chose pour les cybervirus: il faut les créer pour voir ce dont ils sont capables.

L’attaque virale la plus connue contre une infrastructure critique est celle du maliciel Stuxnet contre les centrifu-geuses nucléaires utilisées par l’Iran pour enrichir l’ura-nium. De l’avis général, il s’agissait d’une collaboration entre trois puissances occidentales, Israël et les Etats-Unis, avec l’aide de l’Allemagne. «Mais je suis sûre que d’autres pays étaient impliqués, comme sans doute une multinatio-nale. Et ils ont montré de quoi ils étaient capables.»

A l’heure actuelle, nous sommes souvent protégés par ce que Dr Lewis appelle «la sagesse des ingénieurs». Ils conçoivent leurs systèmes en partant du principe qu’ils

Il y aura toujours des cyber-attaques. La priorité est donc que

le système soit suffisamment résilient pour les neutraliser

26 NOUVELLES MENACES PICTET REPORT ÉTÉ 2017

Page 27: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

NOUVELLES MENACES 27 SÉCURITÉ DANS LE MONDE DIGITAL

Page 28: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

PICTET REPORT ÉTÉ 201728

Page 29: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

SÉCURITÉ DANS LE MONDE DIGITAL

Chatham House, Londres

29

Page 30: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC
Page 31: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Des chasseurs de bugs pour un internet plus sûr

SÉCURITÉ DES RÉSEAUX

Fort de plus de 100 000 pirates éthiques, le réseau HackerOne aide les entreprises à lutter contre les faiblesses

informatiques dont des criminels pourraient profiter, explique son directeur général, Mårten Mickos.

Pas un mois ne s’écoule sans qu’une grande entreprise ou une entité publique ne déplore une cyberattaque, menée par des pirates malveillants ou des organisa-tions hostiles. Estimé à USD 92 milliards, le secteur de la cybersécurité tente de prévenir ces attaques grâce à divers dispositifs. Mais les hackers ont régulièrement une longueur d’avance, décrédibilisant ces stratégies et minant la confiance des utilisateurs.

Pourtant, une entreprise californienne a déve-loppé une approche révolutionnaire: proposer à des pirates éthiques de détecter les points faibles des systèmes informatiques de ses clients. Fondée en 2012, HackerOne a d’ores et déjà attiré plus de 1000 entreprises, dont un certain nombre de géants de l’internet (Twitter, Yahoo!, Airbnb ou Uber p. ex.). Ses chasseurs de bugs, dont le nombre dépasse désormais les 100 000, sont rémunérés par des primes, et plus de 4000 «gentils» pirates se sont déjà partagé un butin de USD 14 millions pour la détection de 28 000 failles.

Quand Mårten Mickos a été contacté pour devenir directeur général en 2015, il s’est d’abord montré sceptique, jugeant le secteur de la cyber-sécurité plutôt noir et cynique. Mais, après avoir

rencontré les fondateurs, il a vu en HackerOne une entreprise constructive et potentiellement capable d’aider la société à utiliser internet en toute sécurité.

«Nous essayons de changer la donne grâce à un principe ancestral. Plutôt que de construire des murs, nous conseillons aux gens d’être observa-teurs. L’idée est la même que dans les dispositifs de quartier, où les habitants sont encouragés à garder un œil sur la maison du voisin pendant qu’il est en vacances, pour dissuader les cambrioleurs.»

«Nous sommes une plate-forme qui rapproche hackers responsables, les chapeaux blancs, et entreprises responsables pour rendre le monde connecté plus sûr. Nos pirates sont des indépendants, rémunérés par les clients pour les points faibles qu’ils détectent. Nous encoura-geons ces derniers à communiquer sur les décou-vertes des hackers pour que d’autres apprennent de ces erreurs, et environ 10% le font.

Nous comptons le plus grand nombre de pirates du secteur. Ils viennent de tous les hori-zons: ados, adultes, hommes, femmes, informa-ticiens ou pas. Ça nous aide à repérer les points faibles qui échappent au petit nombre d’experts

SÉCURITÉ DES RÉSEAUX 31 SÉCURITÉ DANS LE MONDE DIGITAL

Page 32: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Plutôt que construire des murs, nous conseillons aux gens d’être observateurs

32 SÉCURITÉ DES RÉSEAUX PICTET REPORT ÉTÉ 2017

Page 33: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

«Le Pentagone, qui avait dépensé des millions de dollars en sécurité, a eu un choc en voyant le nombre de failles. Il nous a donc demandé de faire la même chose avec l’armée, et nous avons à nouveau trouvé des défaillances majeures, dont la première en cinq minutes. Le département de la Défense a l’un des plus gros budgets au monde, il peut s’offrir tout ce dont il a besoin, mais l’aide des hackers lui a paru très efficace!»

Les grands acteurs du web paient pour une surveillance continue, tandis que d’autres entreprises préfèrent des actions ponctuelles, au lancement d’un nouveau logiciel p. ex. Pourtant, la supervision doit être constante, affirme Mårten Mickos. «Impossible de savoir à quel moment un hacker trouvera une faille, car les attaques de criminels, de pirates, d’Etats et de terroristes ne s’arrêtent jamais.»

Les bugs les plus courants sont des cibles faciles, selon lui. Le cross-site scripting (XSS) permet p. ex. aux pirates d’accéder au contenu d’un autre site web. Alternative plus agressive: placer les codes du logiciel dans un système qui les empêche de fonctionner ou en vole les données. «Nous repérons tous les jours de nouvelles failles, que nos clients doivent faire réparer par leurs ingénieurs.»

Les utilisateurs de logiciels anciens, parfois conçus avant qu’on s’intéresse à la cybersécurité, et ceux dont les pratiques n’ont pas été mises au goût du jour figurent parmi les plus vulnérables. Citons également les entreprises qui n’accordent aucune importance à ce domaine. Elles doivent clairement changer de culture. Inversement, les plus en pointe placent la sécurité au cœur de leur fonctionnement et la considèrent comme un élément à part entière de leur cycle de vie.

salariés des clients, d’autant qu’il est difficile de voir les défauts de ce qu’on a conçu... Des externes créatifs repèrent plus vite les défauts qui ont échappé aux autres.»

Portrait-robot du pirate HackerOne? Un homme de moins de 34 ans, expert en informa-tique et chasseur de failles à ses heures perdues ou pour arrondir ses fins de mois. Il sait être aussi «vicieux» que les malveillants, explique leur patron, mais opte pour l’éthique en prévenant la victime potentielle (le propriétaire du système). Il aime l’adrénaline de la quête et peut gagner beau-coup d’argent s’il est performant: un des membres de HackerOne a gagné plus d’un demi-million de dollars rien qu’avec cette plate-forme.

«Je nous vois un peu comme des scouts, avec un fondateur qui donne quelque chose à faire à des jeunes désœuvrés et à aider la société. Nos pirates sont souvent des ados surdoués, parfois ingérables, qui ne savent pas communiquer avec les autres, des geeks au plus haut degré! HackerOne leur donne une place dans la société et les pousse à donner le meilleur d’eux-mêmes, en leur évitant de prendre le mauvais chemin.»

L’approche de HackerOne a séduit de nombreuses entreprises. Celles qui ont pros-péré sur internet, notamment Uber ou Airbnb, savent qu’elles doivent sans cesse repérer leurs points faibles. D’autres font appel à elle après une première faille de sécurité, parce qu’elles ne peuvent pas se permettre d’en subir une seconde. Enfin, certaines la contactent après recomman-dation, par exemple lorsque de grands groupes industriels demandent à leurs fournisseurs de se protéger contre les piratages pour sécuriser la chaîne logistique.

En 2016, HackerOne a également aidé le dépar-tement américain de la Sécurité en lançant un défi baptisé «Hack the Pentagon». Pendant 8 semaines, il a réuni 1410 hackers, qui ont identifié 138 points faibles, dont le premier en 13 petites minutes. Les pirates ont reçu en tout 75 000 dollars de primes, celles-ci allant de 100 à 15 000 dollars.

Nous comptons le plus grand nombre de hackers du secteur,

issus de tous les horizons

SÉCURITÉ DES RÉSEAUX 33 SÉCURITÉ DANS LE MONDE DIGITAL

Page 34: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

La menace croissante que constituent les piratages fait craindre une trop grande ouverture d’inter-net et une migration vers des formes de commu-nication plus fermées. Or, pour Mårten Mickos, à l’instar des problèmes de sécurité initiaux des précédentes innovations technologiques, ces derniers peuvent être largement enrayés.

Cybersécurité: les conseils de Mårten Mickos

– Changez régulièrement vos mots de passe et faites-les compliqués

– Sauvegardez, sauvegardez, sauvegardez

– Traitez toute communication comme une attaque potentielle, même si elle semble venir d’un collègue ou d’un ami: ça pourrait être du phishing pour identifier les failles de votre sécurité

– Ne répondez pas aux démarcheurs téléphoniques, sauf s’ils peuvent prouver leur identité

– Peu importe la raison: ne laissez pas un inconnu utiliser votre téléphone ou votre tablette

– Faites de la sécurité une habitude, pas une corvée, et ne vous privez pas de votre vie connectée

«Les constructeurs des premières voitures n’avaient pas pensé à la sécurité et les gens mouraient régulièrement dans des accidents. Puis le secteur a décidé d’en faire une priorité. Les gens se tuent encore sur la route, mais à cause de leur conduite, pas à cause du manque de sécurité des véhicules. C’est la même chose pour les logi-ciels, un secteur qui n’a que trente ans. De plus en plus d’entreprises intègrent la sécurité à leurs produits et créent une société où les logiciels sont vraiment sûrs.»

«Le 100% de réussite n’existe pas, mais nous pouvons nous en rapprocher, comme avec les maladies infectieuses, anéanties par la vaccina-tion et l’hygiène. Il y aura toujours des endroits où la cybersécurité ne sera pas à la hauteur des meilleures pratiques, mais dans les sociétés avan-cées, internet sera de plus en plus sûr.»

En cybersécurité, le 100% de réussite n’existe pas

34 SÉCURITÉ DES RÉSEAUX PICTET REPORT ÉTÉ 2017

Page 35: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

SÉCURITÉ DES RÉSEAUX 35 SÉCURITÉ DANS LE MONDE DIGITAL

Page 36: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC
Page 37: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

LA MENACE CYBERTERRORISTE ÉVOLUE EN PERMANENCE

Cyberterrorisme

Les organisations terroristes recourent à des cyberattaques de plus en plus sophistiquées pour nuire

aux infrastructures clés et tuer en masse, selon un ancien responsable de la sécurité israélien.

Les Etats et les organisations non gouvernementales qui tentent de se protéger des cyberattaques à grande échelle doivent faire face à deux défis, selon Doron Bergerbest-Eilon, ancien chef de la protection et de la sécurité de l’Agence israélienne de sécurité et plus haut responsable de la sécurité en Israël.

«Premièrement, la nature de la menace terro-riste évolue en permanence. Avant, les terroristes avaient des motivations essentiellement poli-tiques et cherchaient à renverser un Etat pour y installer un nouveau régime. Leur objectif n’était pas de commettre des dégâts ou des massacres susceptibles d’éliminer toute possibilité de négociation. Mais l’émergence d’organisations comme Al Qaida ou Daech, visant l’anéantisse-ment de leurs adversaires, a changé la donne.

Mohamed Lahouaiej-Bouhlel, l’auteur de l’at-taque en camion à Nice le 14 juillet 2016, voulait par exemple faire le plus de victimes possible. Bilan: 86 morts et des centaines de blessés.

Et nous savons parfaitement que le 11 Septembre, Al Qaida poursuivait le même but, avec des attaques multiples sur le sol améri-cain. Avec 110 étages chacune, les tours du World Trade Center pouvaient accueillir jusqu’à 50 000 employés et 200 000 visiteurs chaque jour, avec un nombre énorme de victimes possible.»

Le second défi, c’est l’évolution de la cyberguerre elle-même. Quand elle a vu le jour dans les années 1980, l’objectif des Soviétiques était de voler des logiciels et des informations aux Américains. Pour contrer la menace, les Etats-Unis avaient alors implanté des logiciels malveillants.

Aujourd’hui, la cyberguerre vise les infrastructures clés d’un pays ou d’une entre-prise et, dans certains cas, elle cherche à infli-ger des pertes humaines massives. Le but est le plus souvent de semer la panique, de créer la confusion, de faire des dégâts ou des victimes en bloquant les communications, les centrales élec-triques ou les installations de traitement d’eau, en endommageant les automates, en perturbant le trafic ferroviaire ou routier, etc., etc.

De nombreuses études vont jusqu’à indiquer la probabilité que des guerres soient déclenchées par des cyberattaques contre les communica-tions, l’énergie ou les services financiers.»

Durant sa carrière à l’Agence israélienne de sécurité (ISA), Doron Bergerbest-Eilon a endossé diverses responsabilités, dont la sécurité des fron-tières aériennes, terrestres et maritimes d’Israël. Il a aussi assuré la protection des informations gouvernementales sensibles et des infrastruc-tures clés. Il a créé la Cyberautorité pour la protection des infrastructures clés d’Israël, une

CYBERTERRORISME 37 SÉCURITÉ DANS LE MONDE DIGITAL

Page 38: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

première dans le monde, et participé au développement d’une stratégie nationale en matière de protection des infor-mations et des infrastructures clés contre les cybermenaces.

En 2005, il est parti pour le privé et a fondé ASERO Worldwide, qui offre des services de conseil aux secteurs privé et public sur des questions de sécurité nationale, et notamment sur la lutte contre les menaces terroristes, leur atténuation et la reprise des activités, ou la protection d’in-frastructures clés contre des cybermenaces. ASERO compte parmi sa clientèle des agences gouvernementales aux Etats-Unis, au Canada et à Singapour, ainsi que de prestigieuses sociétés privées (Mars Inc., AES notamment).

Selon lui, la sécurisation de toute infrastructure ou installation repose sur trois domaines interconnectés: la sécurité physique, la cybersécurité et la sécurité informa-tique, ainsi que la préparation et le rétablissement dans les cas d’urgence.

«Une faille de sécurité arrive souvent quand on se concentre trop sur un domaine et qu’on néglige les autres. On estime que près de 60% des cyberattaques sont dues à des acteurs internes: employés mécontents ou anciens collabo-rateurs. La sécurisation des systèmes informatiques ne doit pas faire oublier le contrôle des employés ou la protection physique des salles de serveurs contre des accès non autori-sés. Et des installations ne touchant pas à la cybersécurité (climatisation de la salle des serveurs p. ex.) peuvent très bien être manipulées pour corrompre des données.

Il faut aussi comprendre les besoins et les menaces propres aux clients. On doit donc identifier la nature de la menace (attaque par un pays, une organisation ou des indi-vidus), et les capacités ou la probabilité de perpétrer diffé-rents types d’attaques.»

Selon lui, il est de plus en plus difficile de prévenir les cybermenaces. A la différence de la guerre ou du terrorisme conventionnel, où l’ennemi est visible, on a souvent du mal à identifier la source des cyberattaques, et donc à riposter.

A l’apparition des besoins en cybersécurité, les experts ont tenté de reproduire les meilleures pratiques du domaine de la sécurité physique en isolant et en sauvegardant les données et les infrastructures liées aux informations clés. Mais avec 60% des attaques venant de l’intérieur, isoler les infrastructures d’ennemis extérieurs ne sert à rien, car en plus, les systèmes doivent communiquer avec d’autres pour l’efficacité et la maintenance.

Les experts ont donc réagi comme on le fait depuis le Moyen-Age: en construisant des murs, ou plus précisément des pare-feu. Mais l’histoire nous a appris que l’adversaire trouvait toujours un moyen de contourner les mesures de sécurité, et donc les pare-feu.…

Les antivirus ont ensuite été créés et se sont généralisés, mais ils n’ont pas fourni le niveau de sécurité prévu car de nouveaux virus, capables de passer au travers, se créent ensuite, c’est une vis sans fin.»

Clairement, selon lui, la protection contre les cybermenaces a largement échoué car les cyberterroristes trouvent toujours de nouveaux moyens. Et puisque se défendre contre un adver-saire déterminé est voué à l’échec, il faut trouver un nouveau paradigme de cyberprotection.

Pour les infrastructures clés, il se base sur les systèmes de contrôle industriels (SCI), qui comptent aujourd’hui parmi les technologies les plus sophistiquées. Si les SCI peuvent réellement répondre à tous les scénarios connus, les nations, groupes ou individus hostiles ne devraient pas pouvoir attaquer ces infrastructures.

«Conduire une voiture sans liquide de refroi-dissement peut tuer un moteur. Un mécanisme de contrôle fait donc s’allumer un témoin de surchauffe. Mais certains modèles vont au-delà et si vous ne faites rien, ils prendront automati-quement des mesures pour éviter la destruction du moteur.

Le même principe peut s’appliquer à des infrastructures clés. Si une menace est détectée, le SCI peut alerter les canaux appropriés pour prendre des contre-mesures. Mais elles ne seront

Les enjeux de sécurité sont triples: la sécurité physique, la cybersécurité et la sécurité informatique, l’urgence et la

reprise des activités

38 CYBERTERRORISME PICTET REPORT ÉTÉ 2017

Page 39: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

efficaces que si le SCI identifie précisément la menace et n’est pas amené à croire par le cyberat-taquant qu’il n’y a pas de menace réelle.»

Stuxnet, fameux maliciel, a attaqué les systèmes de contrôle industriels du programme nucléaire iranien en 2010. Il avait sans doute la capacité de tromper les SCI et les systèmes de détection en se rendant quasiment indétec-table. Avant, ces techniques étaient l’apanage des superpuissances, mais aujourd’hui, elles sont aussi entre les mains de pays hostiles ou de groupes radicaux.»

Pour Doron Bergerbest-Eilon, l’ennemi a prouvé sa capacité à violer les cyberdéfenses, mais il pourrait bien aussi parvenir à contourner les technologies les plus avancées, et notamment les SCI, détruire des infrastructures et provoquer des pertes massives aux lourdes consé-quences économiques.

Son nouveau paradigme serait donc de supposer que des malwares sont déjà entrés dans le système et de prendre des mesures pour protéger l’intégrité des informations fournies aux SCI, afin d’éviter que le système ne se laisse berner.

CYBERTERRORISME 39 SÉCURITÉ DANS LE MONDE DIGITAL

Page 40: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

En espionnant les communications ennemies grâce à des techniques qui ont donné naissance à l’informatique

moderne, les décrypteurs britanniques ont conféré un avantage décisif au Royaume-Uni et aux Etats-Unis

pendant la Deuxième Guerre mondiale.

DE LA BANLIEUE DE LONDRES À LA GUERRE CYBERNÉTIQUE DU XXIE SIÈCLE

Bletchley Park

40 BLETCHLEY PARK PICTET REPORT ÉTÉ 2017

Page 41: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Jusque dans les années 1970, Bletchley, bourgade du nord de Londres, n’était connue que comme nœud ferro-viaire. Mais, en 1974, un livre a révélé le rôle essentiel joué pendant la Deuxième Guerre mondiale: c’est là qu’étaient interceptées et décodées les communications entre Berlin et les forces armées allemandes.

L’histoire se dessine peu à peu. Au début de la guerre, la Government Code and Cipher School britannique est déplacée de Londres à Bletchley Park, domaine de 21 hectares en retrait de la gare. On y enseigne des techniques de décodage qui donneront un avantage décisif aux Alliés pour les opérations terrestres, aériennes et navales, et notamment pour le débarquement en Normandie.

Mais l’héritage de Bletchley Park est bien plus vaste. En industrialisant le décodage et en créant le premier ordinateur électronique au monde, il donnera naissance à l’ère de l’information. Après-guerre, ses anciens salariés concevront les premiers ordinateurs dignes de ce nom dans des laboratoires universitaires, p. ex. à Manchester.

«Les machines construites là-bas sont davan-tage l’ancêtre des ordinateurs que de vrais ordina-teurs, nuance Dr David Kenyon, historien du lieu. Mais j’aime qualifier Bletchley Park de système informatique, où traitement électromagnétique et travail humain transformaient des données en informations intelligibles.

Les salariés imitaient certains aspects de l’in-formatique moderne: traitement et stockage des données, ou encore communication. Ces données étaient enregistrées sur des cartes étudiées et analysées par des machines.

Ce n’était pas une entité statique: sa techno-logie et ses procédures ont évolué à la vitesse de l’éclair. De 180 collaborateurs en septembre 1939, Bletchley Park comptait 9000 salariés en janvier 1945. A son apogée, les opérateurs traitaient deux millions de cartes perforées par semaine, guet-tant les similitudes dans les messages interceptés pour essayer de les décoder et de les relier les uns aux autres.»

C’est pendant la Première Guerre mondiale que le décodage britannique se systématise,

avec au moins un succès majeur: le télégramme Zimmermann, en janvier 1917. Cette communica-tion diplomatique secrète, envoyée par le minis-tère allemand des Affaires étrangères au Mexique pour proposer une alliance militaire en cas de participation des Etats-Unis au conflit, fait alors grand bruit dans l’opinion publique américaine et renforce le soutien à l’entrée en guerre en avril 1917.

Après-guerre, le décodage est confié au MI6, le service de renseignement britannique, avec une équipe d’environ 70 personnes chargées d’in-tercepter les télégrammes, notamment bolche-viques. Avec l’émergence de Mussolini, la mission est étendue à l’Italie dans les années 1930, puis à l’Allemagne lors de l’arrivée d’Hitler au pouvoir.

Si les premiers systèmes de décodage reposent sur le papier et les crayons, l’électromécanique apparaît au lendemain de la Première Guerre. L’in-génieur allemand Arthur Scherbius invente alors la machine Enigma, dotée d’un clavier et de rotors qui modifient le code en tournant à chaque fois qu’une lettre est tapée. Si le récepteur est configuré de la même manière, il peut déchiffrer le message.

Arthur Scherbius espère la vendre aux banques et aux entreprises désireuses de proté-ger la confidentialité des télégrammes, mais c’est un échec. Et ce sont finalement les forces armées allemandes qui adopteront Enigma dans les années 1930, forçant les autres pays à développer leurs compétences en décodage. La Pologne, qui redoute alors une invasion nazie, fera partie de ceux ayant réussi à casser le code.

De son côté, partant du principe qu’une guerre entraînerait un bombardement de Londres, le MI6 achète un site de repli pour la Government Code and Cipher School: Bletchley Park, à 60 km au nord de la capitale. Le person-nel (et les jeunes espoirs, principalement des Britanniques diplômés d’Oxford ou Cambridge en langues, mathématiques ou ingénierie) est déplacé au début du conflit. Plus tard, après leur enrôlement, des femmes arrivent à Bletchley Park et finissent par représenter 75% des effectifs.

L’école achète une machine Enigma en 1926 et reçoit des informations de Pologne peu avant le

En industrialisant le décodage et en créant le premier ordinateur électronique au monde, Bletchey Park donnera

naissance à l’ère de l’information

BLETCHLEY PARK 41 SÉCURITÉ DANS LE MONDE DIGITAL

Page 42: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

début de la guerre. Brillant mathématicien diplômé de Cambridge et concepteur de la «machine à calcu-ler universelle», Alan Turing rejoint Bletchley Park, où il invente rapidement Bombe, machine électro-mécanique qui permet de décrypter Enigma beau-coup plus vite que la version polonaise.

«Si Enigma avait été utilisée correctement, les codes auraient été quasiment inviolables, raconte Dr Kenyon. Il existait 150 millions de millions de millions de combinaisons possibles. Essayer la manière forte en tentant toutes les options une par une aurait pris un temps inouï, même avec un ordinateur moderne.

«Mais les décodeurs britanniques ont compris que la faiblesse venait de l’interac-tion entre l’homme et la machine, et conçu des méthodes toujours utilisées de nos jours dans la cybersécurité. Pour que la transmission fonc-tionne, il fallait qu’expéditeur et destinataire possèdent les mêmes réglages - qui risquaient d’être volés ou détournés. Il fallait donc ajouter des réglages aléatoires pour renforcer la sécu-rité. Ces derniers étaient généralement faciles à comprendre, l’être humain ayant du mal à choi-sir au hasard (c’est aussi pour ça que nos mots de passe sont rarement sûrs).

La machine de Turing utilisait également le cribbing, technique utilisée pour décoder les systèmes anciens. Si on réussit à deviner un message codé, on peut en extraire les clés et lire les autres messages. Les Allemands utilisaient souvent le même texte, notamment les prévisions météo, clé du réseau ce jour-là.»

La Bombe n’est pas un ordinateur, mais une machine à fonction unique qui utilise la techno-logie du téléphone. Idem pour Colossus, machine électronique semi-programmable conçue par un ingénieur des Postes pour accélérer la cryp-tanalyse. A l’époque, 7000 messages arrivent chaque jour des stations d’interception, l’objectif étant de les décoder rapidement et d’en analyser la structure.

Quand les Etats-Unis entrent en guerre, une coopération étroite s’établit avec le Royaume-Uni et perdure jusqu’au débarquement en Norman-die. Un Comité du front de l’ouest est créé pour collecter les informations en vue de l’opération: si efficace qu’en 1944, il possède la totalité de l’ordre de bataille des forces allemandes en France.

A la fin de la guerre, la majorité des effectifs quittent l’armée en jurant de garder le secret sur leurs activités. Les machines Colossus et bon nombre de documents sont détruits pour proté-ger la confidentialité de travaux devenus essen-tiels pendant la Guerre froide. C’est la raison pour laquelle Bletchley Park restera si longtemps dans l’oubli.

Il existait 150 millions de millions de millions de combinaisons possibles

42 BLETCHLEY PARK PICTET REPORT ÉTÉ 2017

Page 43: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Devenue centre des communications britanniques (GCHQ ), la Code and Cipher School se trouve désormais à Cheltenham. Elle travaille en étroite collaboration avec l’Agence nationale de la sécurité américaine (NSA) dans le renseignement d’origine électro-magnétique, suivant des communica-tions dont le volume et la complexité ont explosé. Mais les méthodes utilisées pour identifier les U-boats allemands fonctionnent encore aujourd’hui avec les cartes SIM des téléphones portables.

Bletchley Park a eu de multiples usages depuis 1946 et devait devenir un immeuble d’habitation, jusqu’à ce qu’une fondation le loue pour protéger son héritage. Rénové, il attire chaque année 250 000 visiteurs.

«Difficile d’évaluer l’impact de Bletch-ley Park, déclare Dr Kenyon, mais son rôle pendant la Deuxième Guerre mondiale est colossal. En localisant les U-boats, il a contribué au succès de la Bataille de l’Atlantique et permis aux Américains d’acheminer des armes au Royaume-Uni pour le débarque-ment. Il a donné un avantage décisif aux Alliés le Jour J, réduisant probable-ment la durée de la guerre.

Beaucoup de choses ont été décou-vertes ici mais, secret oblige, il a fallu refaire le travail dans les années 1970. Pourtant, quand on regarde l’infor-matique d’aujourd’hui, la manière dont l’information est traitée et dont les entreprises fonctionnent, il est évident que Bletchley Park était un précurseur.»

Quand on regarde l’infor matique

d’aujourd’hui, la manière dont l’information

est traitée et dont les entreprises fonctionnent,

il est évident que Bletchley Park était

un précurseur

BLETCHLEY PARK 43 SÉCURITÉ DANS LE MONDE DIGITAL

Page 44: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

PICTET REPORT ÉTÉ 201744

Page 45: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

L’une des premières machines de chiffrement britanniques de modèle Type X créé en 1937

SÉCURITÉ DANS LE MONDE DIGITAL 45

Page 46: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

46 RÉMY COINTREAU PICTET REPORT SUMMER 2017

Page 47: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

VOIR, C'EST CROIRE

L’image pour dénoncer les violations des droits humains

Créée par l’entrepreneur israélien Oren Yakobovich, l’organisation Videre est Credere donne aux communautés

opprimées les moyens de filmer et de prouver les faits de violence et de corruption dont elles sont les témoins

Enfant, Oren Yakobovich rêvait de s’engager dans les forces de défense d’Israël, où ses parents avaient immigré en 1967. Il a grandi dans un foyer très patriotique, acquis à l’idée que cette terre appartenait au peuple juif. A 18 ans, il a rejoint l'armée comme pilote puis comme officier dans l’infanterie, servant principalement en Cisjordanie.

C’est là qu’il commence à comprendre la cause palestinienne. Il décide alors de quitter l’armée, estimant que l’occupation ne fait qu’alimenter la haine.

«Je me suis dit qu’il était possible d’amener la paix sans compromettre notre sécurité. Il n’est pas nécessaire d’être présent dans les rues pour intimider les femmes et les jeunes, comme c’est le cas quand vous donnez à l’armée un rôle policier. Je voyais aussi ce que cette logique faisait faire à mon peuple.

J’ai refusé de poursuivre sur cette voie. J’ai donc fait un mois de prison, ce qui m’a laissé le temps de réfléchir. L’idée m’est alors venue de rela-ter ce qui se passait en Cisjordanie dans des films qui aideraient mes compatriotes à comprendre la nécessité d’un changement.»

Oren Yakobovich a également réalisé des docu-mentaires sur la pauvreté, les minorités ou le trai-tement des femmes. Malgré un accueil favorable à l’étranger et dans les festivals, il avait la sensa-tion de devoir faire plus pour rendre compte de la réalité de la vie en Cisjordanie. Il décida alors de donner aux habitants les moyens de montrer eux-mêmes leur quotidien.

«Plutôt que de filmer moi-même, je pouvais fournir le matériel et la formation nécessaires pour aider les gens à tourner leurs propres images. J’ai distribué 100 caméras dans des endroits de Cisjordanie où je percevais de la souf-france. J’ai reçu en retour des images impression-nantes de violations des droits humains et de mauvais traitements. Nous en avons tiré le film Shooting Back, qui a remporté des prix et nous a aidés à amener les responsables devant la justice.

L’étape suivante a été d’étendre la démarche à d’autres communautés opprimées à travers le monde. J’ai voyagé incognito en Turquie, en Afrique et en Asie pour voir les besoins. Puis je me suis installé à Londres, où j’avais accès à d’abon-dantes ressources pour mes recherches.»

VOIR, C'EST CROIRE 47 SÉCURITÉ DANS LE MONDE DIGITAL

Page 48: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Oren Yakobovich s’est aussi associé au cinéaste Uri Frucht-mann, ex-mari d’Annie Lennox, pour créer l’organisation Videre est Credere (voir c’est croire) et élaborer une méthode en quatre étapes:

1. approche des communautés locales, en particulier dans les zones rurales peu couvertes par les journalistes,

2. formation sur place et fourniture du matériel nécessaire pour filmer les situations sensibles en toute sécurité,

3. revue des images filmées pour éviter la propagation de fausses informations qui nuiraient au travail de Videre,

4. création d’impact via la distribution des images à des personnes susceptibles de remédier aux situations dénon-cées, responsables politiques, avocats, médias, etc.

Si les cameras utilisées en Israël en 2007 et 2008 étaient volumineuses, c’était avant les smartphones, les centaines de caméras distribuées aujourd’hui par Videre sont toute petites. Fabriquées en Chine pour la plupart, elles peuvent s’acheter en ligne.

«L’image est le moyen de communication le plus efficace, tant pour les médias de masse que dans un contexte juri-dique. Et les caméras actuelles sont facilement dissimulables dans des objets courants, clés de voitures, bijoux ou vête-ments p. ex. Elles ont des ouvertures d’à peine un millimètre,

peuvent filmer en haute définition et enregistrer ce qui est dit. Il arrive que nous en utilisions une dizaine pour certains projets spécifiques.

Nous personnalisons nos caméras et utilisons des imprimantes 3D pour fabriquer de nouveaux dispositifs dans lesquels les cacher. Notre laboratoire se consacre aussi à d’autres types de recherches, comme le suivi des itinéraires empruntés par les trafiquants d’êtres humains. Grâce aux applications de mégadonnées, il peut aussi analyser des informations complexes pour explorer les structures qui sous-tendent ces viola-tions et faits de corruption.»

Videre agit là où sa valeur ajoutée est la plus grande, là où elle peut avoir un impact. De la créa-tion de structures durables à la formation des participants et à la mise à profit de leurs compé-tences, certains projets nécessitent plusieurs années. Tous commencent toutefois par un énorme travail de recherche indépendant, effec-tué par les équipes de l’organisation, enquêtant sur le terrain pour couvrir leurs propres sujets.

Ce travail se concentre sur trois axes:

– les informations nécessaires, documents, rele-vés bancaires, données comptables, structures sociales et images disponibles,

– les personnes présentes sur le terrain pour la collecte et la vérification des informations, ainsi que les techniques et le matériel nécessaires,

– les organisations à utiliser pour diffuser les

informations avec le plus grand impact possible.

«Lors d’une enquête sur un cas de corruption en Afrique p. ex., nos collaborateurs n’ont pas eu à se rendre sur place car nous savions que d’énormes pots de vin étaient versés. Ils ont donc passé 18 mois à retrouver les personnes impliquées et à déterminer les montants échangés. Ils ont trouvé des gens sur le terrain susceptibles de réunir les preuves nécessaires (films, documents ou autres), passé en revu le matériel fourni et évalué s’il convenait d’accumuler plus de données.»

Videre travaille aujourd’hui dans sept pays où elle perçoit un potentiel d’impact. Parfois, il lui suffit d’identifier les entités avec lesquelles elle peut collaborer sur place, de leur expliquer son modus operandi et de former leurs collaborateurs pour accroître son impact à l’échelle mondiale sans avoir à ouvrir de nouveaux bureaux.

L’organisation emploie de façon centralisée une trentaine de collaborateurs spécialisés dans la collecte d’informations, la communication, la recherche de fonds, la comptabilité, la tech-nologie et la sécurité. Dans les bureaux locaux,

48 VOIR, C'EST CROIRE PICTET REPORT ÉTÉ 2017

Page 49: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

L’image est le moyen de communication le plus efficace, tant pour les médias de masse que dans un contexte juridique

les collaborateurs sont recrutés dans l’armée, les organisations axées sur les droits de l’homme et le développement ou dans le monde artistique. Essentiellement financée par des mécènes, Videre a un budget de GBP 2 millions. Les contributions des Etats sont rares.

Une nouvelle source potentielle de finan-cement consiste à soutenir les processus d’in-vestigations et d’audits d’entreprises qui, faute d’informations, peinent à prendre les bonnes décisions dans leurs activités à l’étranger, et donc à respecter leurs engagements en termes de responsabilité sociale et à acquérir des sociétés.

«Nous créons ainsi une activité d’impact social parallèlement à nos actions humanitaires. Nous pouvons voir ce qui se passe en amont dans

des endroits retirés et prévenir quand les choses évoluent dans la mauvaise direction (escla-vagisme p. ex.) Nous pourrions renforcer notre action caritative si nous pouvions tirer un revenu de cette activité.»

Oren Yakobovich tient à préciser un dernier point: Vivere ne s’attribue jamais le mérite de son travail. «Les gens voient tous les jours le résultat de notre action dans les médias et dans les tribu-naux. Souvent quand j’évoque un problème, on me rétorque que Videre n’a pas besoin de s’en occuper car des actions sont déjà entreprises pour y remédier. Mais ces actions, ce sont les nôtres, et nous n’en disons rien afin de protéger la sécurité de nos équipes et de nos partenaires.»

VOIR, C'EST CROIRE 49 SÉCURITÉ DANS LE MONDE DIGITAL

Page 50: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC
Page 51: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Garantir jusqu’au bout la protection des

données confidentielles

DESTRUCTION DE DONNÉES

Deux entrepreneurs qui ont créé un service de broyage des documents papier sur site ont développé des techniques de destruction

de disques durs redondants, mettant ainsi les données stockées hors d’atteinte de la concurrence et des criminels.

Le zéro papier est sur toutes les lèvres. Avec les progrès technologiques, l’utilisation du papier en entreprise a pourtant augmenté et il faut donc en détruire plus pour préserver la confidentialité. Forts de ce constat, Yarom Ophir et Siddik Apaydin ont fondé Katana, société suisse de destruction de papier dont les camions broyeurs interviennent chez les clients afin que ces derniers puissent superviser les opérations.

«Dans le cadre d’un précédent travail, en entre-prise, je me suis aperçu que nous avions fini par détruire des documents toute la journée, explique Yarom Ophir, président de Katana. Nous avons alors imaginé un camion qui se déplacerait chez le client pour détruire le papier et nous nous sommes rendu compte qu’il existait un marché pour ce type de service.»

«Avant l’ère du numérique, les documents étaient tapés à la machine, avec parfois des copies carbone. Aujourd’hui, même si les documents électroniques sont envoyés par courriel à toutes les personnes concernées, ils sont en plus souvent imprimés, ce qui multiplie la quantité de papier à détruire.»

La société a débuté ses activités de destruction de papier en 2004, avec un camion qui broyait 800 kg de documents par heure, perfor-mance bien supérieure à celle des broyeuses de bureau. Et elle s’est tout naturellement tour-née vers le marché demandeur des banques, assurances, organismes publics et multina-tionales, qui produisent des documents confi-dentiels en grande quantité. Et après quelques années, les clients ont sollicité Katana pour

DESTRUCTION DE DONNÉES 51 SÉCURITÉ DANS LE MONDE DIGITAL

Page 52: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Les gens pensent qu’on peut supprimer les données des supports

numériques en les effaçant ou en reformatant les disques durs

détruire les disques durs sur leurs ordinateurs et serveurs. Les destructeurs de documents n’étant pas assez robustes pour ce travail, les deux fondateurs ont lancé Katana Digital, avec des camions capables de détruire des données sur CD, DVD, bandes de sauvegarde et clés USB, ainsi que des disques durs ou des gadgets tels que des copieurs.

«Les gens pensent qu’on peut supprimer les données des supports numériques en les effaçant ou en reformatant les disques durs, note Siddik Apaydin, directeur général de Katana. Mais cette opération ne fait pas disparaître les données: elle les écrase en changeant le code binaire, ce qui est souvent réversible. Effacer un disque dur n’est jamais sûr à 100%.»

Katana Digital a mis au point une procédure en trois étapes pour détruire les données numé-riques: la démagnétisation pour supprimer ou randomiser (rendre aléatoires) les données de manière permanente, la perforation du disque dur pour le rendre inutilisable et enfin sa destruc-tion physique à l’aide d’équipements spéciaux dans les camions de l’entreprise. Katana garantit ainsi l’élimination totale des données stockées sur disque dur.

Au préalable, les disques durs sont scannés pour répertorier ce qui a été détruit pour le client. L’opération a toujours lieu sur site afin d’éviter tout risque de vol lié au transport des données. Et elle est filmée afin que le client puisse la suivre et en garder une copie. Les matériaux utilisés pour fabriquer les disques durs sont ensuite recyclés.

Aujourd’hui, la société emploie 30 collabora-teurs avec 14 camions et projette de se développer ailleurs en Europe, où 500 millions de disques durs ont été produits rien que dans les 5 dernières années, auxquels viennent s’ajouter 80 nouveaux millions tous les ans. Elle vise le Benelux, l’Allemagne, l’Italie et la France d’ici fin 2017 et l’Europe de l’Est en 2019-20.

Le dernier défi auquel s’est attaquée Katana est la croissance de l’Internet des objets - les appareils ménagers connectés qui peuvent stoc-ker des données. «Nous avons débuté comme des éboueurs de luxe qui détruisaient du papier, sourit Yarom Ophir. Aujourd’hui, nous sommes une entreprise high tech qui travaille avec un personnel de haute sécurité afin de garantir la confidentialité des données.»

«Henry Ford conseillait aux entreprises de ne jamais demander à leurs clients ce qu’ils voulaient, parce qu’ils répondraient alors…un cheval plus rapide. Nous suivons ce conseil en mettant à profit notre expérience pour anticiper les besoins des clients et mieux y répondre.»

52 DESTRUCTION DE DONNÉES PICTET REPORT ÉTÉ 2017

Page 53: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Aujourd’hui, nous sommes une entreprise high tech qui travaille avec un personnel de haute sécurité afin

de garantir la confidentialité des données

DESTRUCTION DE DONNÉES 53 SÉCURITÉ DANS LE MONDE DIGITAL

Page 54: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

54 LA SÉCURITÉ SELON PICTET PICTET REPORT ÉTÉ 2017

Page 55: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

LA SÉCURITÉ SELON PICTET

Une dynamique bénéficiaire dans un secteur en plein essor

S’il y a dix ans la sécurité n’était pas perçue comme un thème robuste ou en expansion, le secteur connaît aujourd’hui un véritable essor, alimenté par la nécessité de couvrir d’autres secteurs.

La sécurité est omniprésente. L’eau, le gaz et l’électricité que nous utilisons le matin pour prendre une douche ou préparer le petit-déjeuner sont acheminés via des services publics sécurisés. Les voitures et les transports publics qui nous emmènent au travail sont dotés d’équipements élaborés pour notre sécurité et nous circulons sous le regard attentif de dispositifs tels que la vidéosurveillance.

Au bureau, d’innombrables applications protègent nos activités en ligne, tandis que des tests alimentaires et des systèmes de traçabi-lité assurent la sécurité de nos repas. Pour nos achats, nous utilisons des services de paiement électronique capables d’authentifier nos tran-sactions et de détecter les fraudes. Enfin, quand nous prenons le train ou l’avion, notre sécurité est assurée tout du long.

Cet ancrage de la sécurité dans notre quoti-dien explique le formidable essor du secteur. En tant que thème d’investissement, l’intérêt pour

ce segment de marché tient aux trois moteurs qui alimentent sa croissance à long terme: l’innova-tion, l’urbanisation et la réglementation.

L’innovation se reflète dans les besoins sécuritaires liés aux technologies modernes. Le marché de la sécurité automobile augmente de façon exponentielle depuis l’avènement des voitures sans chauffeur, nécessitant de nouvelles fonctionnalités, comme les systèmes de freinage automatique ou d’évitement des collisions et la technologie de scannage.

Presque nulle il y a 25 ans à l’ère des fax et des téléphones, la demande de sécurité explose avec internet, qui connecte des milliards de personnes en ligne via une multitude d’appareils. Les défis sécuritaires englobent déjà le vol de données et les cyberattaques, mais ce marché n’en est qu’à ses débuts. La moitié seulement de la population mondiale a internet. Connecter l’autre moitié exposera les infrastructures informatiques à de nouvelles menaces, à l’heure où les violations de données augmentent déjà de 60% par an.

Autre mégatendance d’influence, l’urbanisa-tion exige des investissements massifs pour sécu-riser les infrastructures (centrales électriques, systèmes de transit de masse, aéroports, services

Touchant un nombre croissant de secteurs, la sécurité constitue un thème d’investissement attrayant, porté par

l’innovation, l’urbanisation et la réglementation

LA SÉCURITÉ SELON PICTET 55 SÉCURITÉ DANS LE MONDE DIGITAL

Page 56: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

1.20

1.00Janv. 07 Janv. 08 Janv. 09 Janv. 10 Janv. 11 Janv. 12 Janv. 13 Janv. 14 Janv. 15 Janv. 16 Janv. 17

1.40

1.60

1.80

2.00

TCAC 3.7%

TCAC 6.7%

ventes totale de l’univers de la sécurité

(TCAC: taux de croissance annuelle composé)

PIB

10.00

8.00

6.00

4.00

2.00

0.00Janv. 07 Janv. 08 Janv. 09 Janv. 10 Janv. 11 Janv. 12 Janv. 13 Janv. 14 Janv. 15 Janv. 16 Janv. 17

12.00

14.00

16.00

18.00

d’approvisionnement en eau). Plus de 50% de la population mondiale vit aujourd…hui dans des zones urbaines, et cela ne cesse d’augmenter.

Les dépenses sécuritaires dans les zones urbaines des pays émergents devraient progresser d’env. 9% par an sur les cinq prochaines années – deux fois plus vite que dans les économies développées. L’exemple de Dubai illustre bien ce qui peut être fait dans le développement de villes intelligentes, avec l’intégration de solutions de sécu-rité novatrices dans l’ensemble des infrastructures.

La réglementation constitue la 3e mégatendance dans ce domaine. Même dans des secteurs comme les services financiers, où des collaborateurs véri-fient déjà le respect des règles, les acti-vités de vérification, d’inspection et de certification occupent une place toujours croissante. Et de nouvelles dispositions sont édictées en perma-nence dans la sécurité.

D’ici peu, comme déjà en Russie, tous les véhicules neufs devront être équipés en Europe du système d’appel d’urgence automatique eCall. De son côté, le Règlement général de l’UE sur la protection des données, qui entrera en vigueur en 2018, obligera les entre-prises européennes à communiquer les violations de données, leur impact au plan financier et en termes de répu-tation (quantité et nature des données volées) et les mesures adoptées pour éviter que cela ne se reproduise. En cas d’infraction, les entreprises encour-ront une amende représentant 4% de leur chiffre d’affaires ou EUR 20 mio.

Enfin, les règles régissant le secteur alimentaire soutiennent un vaste marché de contrôle à l’échelle mondiale. Le nombre de normes internationales augmente chaque année et les régle-mentations doivent être appliquées.

Pour capitaliser sur cet essor de la sécurité, Pictet a identifié un univers de 330 sociétés actives dans le secteur et représentant une capitalisation bour-sière totale de USD 3300 mia. En vertu de nos critères d’ISR (investissements socialement responsables), les socié-tés tirant plus de 5% de leur chiffre d’affaires d’activités liées à la défense ou à des équipements militaires sont

L’industrie de la sécurité est présente partout, et solidement

ancrée dans notre quotidien

LES VENTES DE L'UNIVERS DE LA SÉCURITÉ CONTINUERONT DE CROÎTRE BEAUCOUP PLUS RAPIDEMENT QUE LE PIB*...

Ventes totales de l'univers de la sécurité, PIB réel rebasé, janvier 2006

... CE QUI ALIMENTERA L'EXPANSION DES MARGES

Marges d'EBIT de l'univers de la sécurité (%)

*PIB du G20, données de l'OCDE – Prix constants, taux de croissance pour la même période l'année précédente, ajusté des variations saisonnières, % - Monde

Les profondes restructurations entreprises lors de la dernière crise et un meilleur contrôle des coûts dans la grande majorité des sociétés de l'univers devraient porter les marges au-delà des pics précédemment atteints

56 LA SÉCURITÉ SELON PICTET PICTET REPORT ÉTÉ 2017

Page 57: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

exclues de l’univers. Un test de pureté élimine en outre les sociétés dont les ventes proviennent pour moins de 20% de la sécurité. Ces critères réduisent l’univers à environ 210 sociétés, pour une capitalisation boursière totale de USD 1100 mia.

Le processus d’investissement de Pictet vise ensuite à gérer la liquidité et la volatilité des cours au sein du porte-feuille à des fins de gestion du risqu

Nous visitons les sociétés une à deux fois par an pour évaluer leurs acti-vités: stratégie, concurrence, pouvoir de fixation des prix et autres facteurs similaires. Nous évaluons aussi qualité de la direction, structure, historique, attitude à l’égard des actionnaires et politique environnementale, sociale et de gouvernance.

Nous notons les 210 titres et sélection-nons les 60-75 meilleurs pour consti-tuer un portefeuille uniquement composé de nos plus fortes convictions et associé à aucun indice de référence.

En termes géographiques, la de- mande sécuritaire représente 48% des ventes en Amérique du Nord, 24% L’avenir est prometteur. Depuis janvier 2007, la croissance moyenne des ventes dans l’univers de la sécurité atteint presque 7%, contre 3,7% pour le PIB mondial. Cette dynamique devrait se poursuivre.

Yves Kramer, gérant senior au sein de l’équipe Actions thématiques, a rejoint Pictet Asset Management en 2005. Auparavant, il a passé cinq ans au sein de la recherche financière de Pictet, en tant qu’analyste buy-side, spécialisé dans les sociétés de logiciels améri-caines et européennes. Avant de rejoindre Pictet, il avait été analyste financier spécialisé dans les actions nord-américaines à l’UBP. Il est titulaire d’une licence en finance de l’Université de Genève.

LA SÉCURITÉ SELON PICTET 57 SÉCURITÉ DANS LE MONDE DIGITAL

Page 58: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

PICTET REPORT ÉTÉ 201758 REMERCIEMENTS

RemerciementsNous tenons à remercier les experts, chercheurs et entrepreneurs qui ont partagé leur vision des menaces pesant sur la sécurité au niveau mondial, des solutions nécessaires pour protéger la société et des nouvelles technologies pouvant être utilisées à des fins humanitaires:

Siddik Apaydin, Doron Bergerbest-Eilon, Jean-Luc de Buman, Pr Moran Cerf, Pr Leslie John, Dr David Kenyon, Dr Patricia Lewis, Mårten Mickos, Yarom Ophir, Grégoire Ribordy, Kelly Richdale et Oren Yakobovich.

Page 59: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

Pictet Report

Le Pictet Report est une publication périodique de Pictet. Il retrace le contenu d’entretiens avec des interlocuteurs choisis et de discussions sur des thèmes d’investissement spécifiques et des sujets précis touchant au domaine des affaires, sélection-nés en raison de leur intérêt et de leur actualité.

Pour en savoir plus sur les modalités d’abonnement, veuillez vous adresser à: [email protected]

Pictet

Fondé à Genève, en 1805, le groupe Pictet compte aujourd’hui parmi les principaux acteurs indépendants de la gestion de fortune et de la gestion d’actifs en Europe, avec des fonds sous gestion ou en dépôt supérieurs à CHF 478 milliards au 31 mars 2017. Il est dirigé par six associés, qui en sont à la fois les propriétaires et les gérants, perpétuant ainsi un mode de déten-tion et de succession resté inchangé depuis plus de deux cents ans.

Ce principe de fonctionnement est le fondement d’une gestion collégiale, guidée par l’esprit d’entreprise, la vision à long terme et l’engagement au quotidien des associés.

Le groupe Pictet, qui a son siège à Genève et emploie plus de 3900 collaborateurs, est également présent à Amsterdam, Bâle, Barcelone, Bruxelles, Dubaï, Francfort, Hong-Kong, Lausanne, Londres, Luxembourg, Madrid, Milan, Motréal, Munich, Nassau, Osaka, Paris, Rome, Singapour, Taipei, Tel-Aviv, Tokyo, Turin, Vérone et Zurich.

Avertissement

Ce document n’est pas destiné à des personnes physiques ou morales qui seraient citoyennes d’un Etat, ou qui auraient leur domicile ou leur résidence dans un Etat ou une juridiction où sa publication, sa diffu-sion ou son utilisation seraient contraires aux lois ou aux règlements en vigueur. Les informations y figurant sont fournies à titre purement indicatif. Elles ne constituent en aucune façon une offre commerciale ou une incitation à acheter, vendre ou souscrire des titres ou tout autre instrument financier.

Le présent document et son contenu peuvent être cités avec indication de la source. La reproduction ou la diffusion de tout ou partie de ce document est en revanche interdite. Tous droits réservés. Copyright 2017.

*Le groupe Pictet comprend les entités mentionnées dans le rapport publié sous le lien suivant: group.pictet/rapports

Page 60: SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION … · SÉCURITÉ DANS LE MONDE DIGITAL 21E ÉDITION — ÉTÉ 2017 LE VOIR POUR LE CROIRE ... cybernétique du XXI e siècle 8 JEAN-LUC

group.pictet