Loading...

Cybersecurity: New War, New Rules?

blog-thumb

L’IAPP (International Association of Privacy Professionals) organisait son premier grand événement à Luxembourg, le 16 janvier 2020 avec le soutien du cabinet DLA Piper.

Cet événement a rassemblé des invités de marque qui ont partagé des expériences très instructives en matière de cybersécurité.

Yoann Le Bihan, co-chair d’ l’IAPP KnowledgeNet Luxembourg, a ouvert le bal par une référence cinématographique: WarGames, l’histoire d’un ado qui déclenche la 3ème guerre mondiale en jouant avec des ordinateurs. La réalité a, comme souvent, rattrapé la fiction avec un certain Kevin Mitnik. Yoann Le Bihan a ensuite évoqué les grandes étapes de l’avènement de la cybersécurité depuis les premiers antivirus et firewall, mais aussi le développement exponentiel de la cybercriminalité, dont les acteurs se sont professionnalisés, et même industrialisés.

Ewa Kurowska-Tober, Partner, Head of Warsaw IPT Practice, DLA Piper a confirmer cette état des lieux en racontant la cyberattaque que son cabinet a subie il y a 2 ans, avec le virus Petya. Être coupés du monde pendant plusieurs jours est une expérience qu’on oublie pas… “C’était une expérience très éprouvante pour des avocats”, a-t-elle confié. “Heureusement, nos clients ont été compréhensif et nous ont aidé… Et même nos concurrents!”, a-t-elle précisé avant de plaider pour une collaboration internationale renforcée en citant Jean-Claude Juncker: “Les cyberattaques ne connaissent pas de frontières, mais notre capacité de réponse diffère considérablement d’un pays à l’autre, créant des vulnérabilités”.

Ce fut ensuite au tour de Pascal Steichen de faire un état des lieux de la menace et d’évoquer le paysage réglementaire en faisant à nouveau appel au Cinéma, avec The Good, the Bad and the Ugly. Côté “Ugly”, le nombre de dossiers traités par CIRCL croit de manière continue depuis près de 10 ans… Les chiffres de la CNPD sur les fuites de données sont plus récents, mais montrent que le “Bad” est également fort présent, avec 57% des cas dus à des erreurs ou négligences internes.

Ce fut ensuite au tour du “Good” et de ses perspectives, avec une table ronde qui a rassemblé les startups et les investisseurs pour évoquer les opportunités et les tendances en matière de développement des services en cybersécurité.

Les profondeurs des tranchées ont ensuite été explorées avec Edward Mc Andrew, du département de la Justice américain. Il a témoigné de l’extrême professionnalisation de certains hackers, qui ont étudient très attentivement le business model, les risques juridiques et commerciaux de leurs victimes pour mieux les convaincre de payer la rançons. Et si ce type d’arguments ne suffit pas, ils activent leur réseau de journalistes pour révéler certaines données embarrassantes qu’ils ont subtilisé… Bref, du “grand art” auquel il vaut mieux ne jamais avoir à faire. M. Mc Andrew a également dressé un panorama chiffré des cyberattaques aux États-Unis:

  • les pertes liées à la compromissions de boîtes mails s’élèvent à 1,2 milliards de dollars;
  • 100 millions de pertes liées au Payroll;
  • 83 millions causés par de l’extorsion;
  • 39 millions suite à des fraudes au support technique.

La dernière table ronde a ensuite réuni tous les intervenants pour répondre à la question existentielle: “Que faire après une attaque?”. Alors que certains auraient tendance à couper le courant, ce n’est pas forcément la meilleure réaction…