Cybersécurité: savoir protéger les clés autant que le coffre

Yves Hulmann

3 minutes de lecture

«La sécurisation des crypto-actifs ne se limite plus aux seules cryptomonnaies», selon Jean-Philippe Aumasson (Taurus) aux Swiss Cyber Security Days.

Sécuriser les crypo-actifs, protéger les données déposées dans l’informatique en nuage («cloud») et prévenir les intrusions dans les systèmes informatiques de manière générale. Tels ont été quelques-uns des sujets qui ont été abordés mercredi et jeudi au cours des Swiss Cyber Security Days (SCSD). Crise sanitaire oblige, l’événement s’est déroulé entièrement en ligne cette année. Si, pour beaucoup d’entreprises, la cybersécurité est d’abord un facteur de coûts, pour un nombre croissant de sociétés en Suisse, c’est aussi devenu un marché de croissance. Au bénéfice de plusieurs décennies d’expérience dans les techniques de cryptographie, l’entrepreneur vaudois André Kudelski a résumé lors d’une présentation de moins de dix minutes quelques-uns des atouts de la Suisse dans ce domaine.

Forte hausse des cyberattaques depuis la pandémie

Pour le directeur du groupe technologique du même nom basé à Cheseaux-sur-Lausanne, l’information est devenue à la fois une infrastructure et une ressource critique pour l’économie au moment où beaucoup d’entreprises doivent interagir presque entièrement en ligne en raison de la pandémie de COVID-19. 

«Il est essentiel que les entreprises continuent d’innover
en dépit des difficultés liées à la crise du COVID-19.»

Corollaire de cette situation, les attaques réalisées par des pirates informatiques sont aussi en forte hausse suite à la pandémie, avec une augmentation de 70% en comparaison annuelle. Pour autant, a estimé le président du conseil d’administration d’Innosuisse, il est essentiel que les entreprises continuent d’innover en dépit des difficultés liées à la crise du COVID-19. Pour y parvenir, elles doivent s’habituer à évoluer «dans un monde non linéaire» en adoptant des comportements plus agiles, conseille André Kudelski.

La Suisse talonne de près le Royaume-Uni

Dans le domaine spécifique de la cybersécurité, la Suisse compte déjà plus d’une centaine de start-up spécialisées dans ce secteur d’activité, comme le recense la «Swiss Cybersecurity Technology Start Up Map», évoquée par Sandra Tobler, co-fondatrice et directrice de Futurae Technologies. L’occasion pour la membre du conseil des Swiss Cyber Security Days de souligner que la Suisse n’a rien à envier à ses voisins européens dans ce domaine. S’agissant des fintech et des services financiers, les start-up helvétiques disposent d’une part de marché sur le plan mondial estimée à 6,28%, soit juste après le Royaume-Uni (6,98%) mais avant l’Allemagne (4,68%) et la France. Et en ce qui concerne les investissements dans la sécurité informatique, la Suisse se place même au premier rang européen avec une part de marché estimée à 2,15%, contre 1,71% pour le Royaume-Uni et 1,36% pour la France.

Rien qu’en Suisse romande, où a été créée l’automne dernier la «Trust Valley», un partenariat réunissant chercheurs et entrepreneurs pour promouvoir l’excellence de la région lémanique dans le domaine de la confiance numérique et de la cybersécurité, on compte plusieurs start-up spécialisées dans ce segment. C’est le cas de l’entreprise DuoKey basée à Yverdon. Quels conseils son fondateur, Nagib Aouini, donne-t-il aux entrepreneurs tentés par l’aventure? Selon l’expert, disposer d’une technologie à elle seule ne suffit pas, l’entrepreneur doit aussi croire en son plan d’affaires et, surtout, également développer assez tôt un modèle de revenus qui soit viable, par exemple sous la forme de logiciels loués en tant que services (SaaS) ou en travaillant avec des vendeurs partenaires.

L’essor des crypto-actifs requiert de nouvelles approches 

Année après année, les enjeux en matière de cybersécurité deviennent plus complexes. Si, au début des années 2000, la priorité allait avant tout à la sécurisation des réseaux informatiques et à la prévention des intrusions, de nouveaux champs d’applications, comme les crypto-monnaies et les crypto-actifs, requièrent de nouvelles approches spécifiques. 

«Il est aujourd’hui nécessaire de protéger différents actifs
constitués sous forme de jetons numériques sécurisés.»

Selon Jean-Philippe Aumasson, directeur scientifique (CSO) chez Taurus Group, la sécurisation des actifs numériques ne se limite plus aux seules cryptomonnaies. Il est aujourd’hui nécessaire de protéger différents actifs constitués sous forme de jetons numériques sécurisés («tokenised securities»). Pour l’expert en cryptographie, des situations à risque existent à différents niveaux: lors de la conservation des crypto-actifs et durant leur transfert, au moment de la connexion entre les portemonnaies électroniques et les bourses d’échange des crypto-actifs ou encore durant la création de produits structurés basés sur des crypto-actifs. Les différentes organisations financières, qu’il s’agisse des banques d’investissement, de détail, des banques privées ou des crypto-banques, ont toutes des besoins spécifiques en la matière dont il faut tenir compte.

Anticiper ses futures erreurs

Pour chacune de ces situations, des objectifs spécifiques de sécurité doivent être définis: par exemple, il s’agit d’empêcher les accès non autorisés aux clés de chiffrement ou d’effectuer des transactions non autorisées, d’être à même de générer des clés de réserve sécurisées, ou, de manière plus générale, de protéger les bases de données en rapport avec des crypto-actifs. Selon Jean-Philippe Aumasson, les risques ne surviennent pas toujours là où les attend: plutôt que d’être victimes de gigantesques attaques informatiques, beaucoup d’entreprises se trouvent parfois confrontées à des problèmes d’accès aux crypto-actifs car elles n’ont pas mis en place des solutions de back-up adéquates, illustre-t-il. Des mesures adéquates doivent être mises en place au niveau du personnel: trois personnes au moins devraient toujours être en mesure de déverrouiller le système, recommande-t-il. Enfin, il est illusoire de s’imaginer qu’une entreprise parviendra toujours à protéger ses données en tout temps, rappelle l’expert: «A un moment ou à un autre, quelqu’un peut commettre une erreur dans le système. Il est dès lors important que les éventuelles erreurs soient reportées correctement afin de mettre en place les améliorations nécessaires», conseille Jean-Philippe Aumasson.

A lire aussi...