Le Chef d’escadron de gendarmerie Laurent Baille pointe le chemin qu’il reste à parcourir pour les entreprises françaises en matière de cyber-sécurité. Il prône un rapprochement avec les pouvoirs publics. En particulier, les entreprises doivent être accompagnées vers un dépôt de plainte en cas d’atteinte à leurs données ou à leurs systèmes d’information. Il prendra la parole à l’occasion du Forum FIC sur la cybersécurité, les 20 et 21 Janvier.
Question : les entreprises disposent-elles aujourd’hui des bonnes pratiques afin de protéger leur système d’information ?
Laurent Baille : de toute évidence nous pouvons répondre par la négative. On constate une forte demande du monde industriel et entrepreneurial dans le domaine de la cybersécurité. Globalement les petites et moyennes structures semblent plus exposées que les grandes, dans la mesure où elles ne disposent pas toujours des moyens humains, techniques et surtout financiers à investir dans la protection de leurs systèmes.
Question : combien de temps faudra-t-il pour que toutes les entreprises françaises soient à un niveau suffisant de sécurité ?
Laurent Baille : cela prendra le temps nécessaire à convaincre les dirigeants de l’opportunité de réaliser les investissements évoqués. Au-delà des outils de protection, il y a un important travail à mener sur la formation des personnes en charge de la sécurité informatique, mais aussi sur la sensibilisation de l’ensemble du personnel.
Question : quelles sont les actions menées par le gouvernement ?
Laurent Baille : le ministère de l’intérieur a fait de l’amélioration du niveau de sensibilisation et de prévention contre les cybermenaces des acteurs économiques l’un des axes de son plan d’action. Il s’agit d’impulser cette politique en soutenant la diffusion de bonnes pratiques ou l’échange entre les acteurs, à l’instar du FIC, le salon de la cybersécurité qui se tient à Lille, les 20 et 21 janvier prochains.
Il s’agit également de renforcer le dispositif interministériel des observatoires de la sécurité des systèmes d’information, celui de nos réseaux de référents « sûreté » et « intelligence économique », ainsi que nos partenariats.
Question : quelle initiative pouvez-vous citer en particulier ?
Laurent Baille : il a été créé il y a un an le centre expert contre la cybercriminalité français, le CECyF (www.cecyf.fr). Cette association s’inscrit dans un réseau européen de centres d’excellence dans le même domaine. Elle vise à rapprocher les institutionnels tels que la gendarmerie, la douane ou le fisc, les acteurs académiques et industriels déjà nombreux, autour de projets de sensibilisation et de formation des personnes comme de recherche et de développement d’outils.
Question : faut-il prendre son parti du fait qu’il y aura toujours des vols de données, et dans ce cas, une entreprise devrait plutôt se préparer à réagir une fois le vol découvert ?
Laurent Baille : attention avec le mot vol, il est encore juridiquement inapproprié pour des données. Plus sérieusement, pour l’entreprise comme pour les forces de sécurité, il convient d’agir sur l’ensemble du spectre anticipation – prévention – réaction, et donc de s’y préparer. Je vous renvoie à ma première réponse quant à l’état de préparation des entreprises.
Question : comment gérer la crise une fois le vol de données découvert ?
Laurent Baille : si réagir fait bien évidemment partie des modes d’action, faut-il encore que cela se fasse dans la meilleure collaboration avec les pouvoirs publics. Il y a encore du chemin à faire dans l’accompagnement des entreprises vers un dépôt de plainte quasi-systématique auprès des services répressifs.
Je profite également de l’occasion pour évoquer la conférence sur la réponse aux incidents et l’investigation numérique (CORIIN) organisée par le CECyF en préambule du FIC 2015, et qui illustre parfaitement cet effort de rapprochement impulsé par le secteur public et ses partenaires.
Question : on évoque un Patriot Act à la française à la suite des attentats de Charlie Hebdo. Trouvez-vous qu’il y aurait de bonnes dispositions du Patriot Act à adopter en France ?
Laurent Baille : l’adoption d’un Patriot Act relève avant tout d’un choix politique, lourd de responsabilités en termes de sécurité et de libertés publiques. En qualité d’officier de gendarmerie, il ne m’appartient absolument pas de me prononcer sur ce sujet.
Question : la sécurité informatique est un domaine d’experts. Pensez-vous que les principaux risques des entreprises viennent du manque de formation ?
Laurent Baille : la formation peut sans doute être approfondie dans le domaine précis de la lutte contre la cybercriminalité. Cela passe par une meilleure connaissance des phénomènes et de leur appréhension en synergie avec les dispositifs publics, et c’est précisément à cet objectif qu’œuvre le CECyF évoqué précédemment, en associant institutionnels, établissements d’enseignement et de recherche et entreprises.
Quant aux non-experts, ils sont bien évidemment vecteurs de risques, les vulnérabilités humaines étant tout aussi importantes que les vulnérabilités techniques. Pour n’en citer qu’une, le « social engineering » en est une bonne illustration. C’est pourquoi, il y a un important chantier de sensibilisation à conduire, avec le CECyF, les pouvoirs publics et tous les autres acteurs concernés.
Question : le gouvernement américain pointe du doigt la Corée du Nord à la suite du vol de données chez Sony, or la fuite initiale pourrait venir d’un employé de Sony récemment licencié. Est-il possible de toujours remonter jusqu’à la source d’une attaque ?
Laurent Baille : non, malheureusement, il n’est pas toujours possible de remonter jusqu’à la source d’une attaque. Je parle pour ma partie, celle de la lutte contre la cybercriminalité, c’est-à-dire dans un cadre judiciaire. Les obstacles sont nombreux et peuvent provenir des techniques employées par les cybercriminels telles que l’anonymisation ou le chiffrement mais aussi aux limites de la coopération internationale face à la volatilité des données et aux paradis informatiques.
Question : on a le sentiment que très peu de hackers sont mis hors d’état de nuire. D’où vient cette défaillance des autorités ?
Laurent Baille : avant de parler de défaillance des autorités, je vous renvoie aux obstacles évoqués précédemment. Ensuite, pour connaître la proportion d’entre eux mis hors d’état de nuire, il faudrait d’abord pouvoir répondre à la question de leur nombre. Il me paraît difficile de prétendre les compter avec une précision suffisante. Néanmoins, il apparaît clairement que certains pays sont particulièrement concernés par l’origine de ces attaques.
Un spécialiste de la cybercriminalité
Laurent Baille a rejoint la direction générale de la gendarmerie nationale en 2011 comme coordinateur des projets de cybercriminalité. Auparavant, en 2006, il avait été chargé de la création et de la direction du département de répression des atteintes aux mineurs sur Internet du service central de renseignement criminel.
Il a été également officier spécialiste des systèmes d’information au sein des armées, chef d’un groupe de lutte contre la délinquance économique et financière et commandant adjoint d’une section de recherches.
Laurent Baille est membre du sous-groupe « High-Tech-Crime » du G7 Lyon-Rome, ainsi que du « European Cybercrime Training and Education Group. » Il participe activement au projet Cybercrime Centres of Excellence Network for Training Research and Education (2CENTRE) et à l’animation du centre expert contre la cybercriminalité français (CECyF/F-CCENTRE).
Laurent Baille est ingénieur en microélectronique & automatique et titulaire de diplômes de 3ème cycle français et étranger en administration des entreprise, droit pénal et systèmes d’information.