Alors que Les Assises de la Sécurité célèbrent cette année leur quinzième anniversaire, l’occasion était trop belle pour ne pas se plonger dans nos archives, souvenirs et mémoires et se rappeler, sous forme de flashback succinct et dédié, les sujets qui faisaient l’actualité de la sécurité informatique en l’an 2000.
Le fameux bug n’avait pas eu lieu, la fin du monde non plus, on convertissait en francs, les fondateurs de Facebook étaient encore au lycée et le téléphone portable visait plus la miniaturisation que le format phablet. Côté vocabulaire, menaces, comportements et systèmes ciblés, les choses ont quelque peu changé également.
On ne parlait tout d’abord pas de cybercrime, ni de cybersécurité, mais de délinquance ou de criminalité informatique. La nuance peut sembler ténue ; elle montre surtout que la corrélation entre les activités développées sur Internet et le crime n’étaient pas encore si évidents, au moins pour les linguistes, car l’Internet rencontrait déjà un engouement tant pour son usage que pour les méfaits possibles. Pourtant, cette criminalité informatique était déjà à l’ordre du jour de la première réunion du G8 à Paris en mai 2000, puis à Berlin à l’automne de la même année. Les plus grandes économies du monde se réunissaient alors pour développer la sécurité internationale et « construire un environnement plus sûr pour la croissance du e-commerce »… vaste programme, toujours en évolution !
On parlait également de virus informatique, déjà et à raison devrait-on dire, puisque cette catégorie constituait le gros des menaces rencontrées par les utilisateurs et les entreprises. Les virus avait alors des dénominations et des modes de propagation fort romantiques : qui pouvaient résister à « Love Letter » qui vous déclarait par email interposé « I Love You » (et se répliquait via différents fichiers à travers tout votre carnet d’adresses Outlook).
On annonçait par ailleurs « La décennie du ver informatique » lors de conférences professionnelles, une menace peu ragoutante mais fort présente qui se propageait alors à très grande vitesse sur les réseaux d’entreprise et les postes des particuliers.
Les délinquants informatiques s’adaptaient déjà aux nouveaux usages et terminaux et « suivaient l’argent » : les chevaux de Troie ciblaient par exemple les environnements en… Palm OS (oui, oui, Palm OS !) et Palm.Liberty.A était une menace redoutable qui effaçait les applications et leurs contenus directement sur le terminal Palm : moins évident d’être un cadre nomade et connecté dans ces conditions !
En 2000 également, on protégeait déjà les informations des entreprises résidant sur les terminaux d’utilisateurs à distance, et on empêchait qu’ils soient utilisés pour lancer des attaques par déni de service. La sécurité informatique des entreprises reposait sur trois piliers, simples et qui apparaissent bien limités comparés aux défis d’aujourd’hui : le filtrage des contenus, la protection contre les virus et la prévention d’intrusion.
Enfin, côté comportements, on est frappé par la maturité, au moins déclarée : l’une de nos études montrait que 84,7 % des particuliers et 70,6 % des professionnels informatiques savaient quelle technologie adapter pour se protéger contre la criminalité informatique. 87,1 % des consommateurs et 94,7 % des professionnels utilisaient même une solution antivirus, qu’ils mettaient à jour pour la majorité au moins une fois par mois…
En quinze ans donc, tout a changé et au final, rien n’a changé : nous nous réunissons à nouveau cette année pour nous informer, débattre et discuter des meilleures approches de cybersécurité. Peut-être pouvons-nous déjà anticiper et nous demander ce à quoi elle ressemblera dans quinze ans, après le tout-mobile, le tout-social, l’Internet des Objets et les robots.
_____________
Laurent Heslault est Directeur des Stratégies de Sécurité pour l’Europe du Sud, Symantec