Actualité 18 décembre 2023

Perspectives d’acteurs : Eugene Kaspersky

Fondateur et PDG, Kaspersky

Dans le cadre de ses "Rencontres OFF", qui sont des rencontres privilégiées avec des responsables institutionnels et d’entreprises impliqués dans la transformation numérique de la société, Renaissance Numérique a eu le plaisir de recevoir Eugene Kaspersky, Fondateur et PDG de l’entreprise internationale de cybersécurité éponyme. À la suite de cette rencontre avec nos adhérents, nous avons pu échanger avec lui sur les enjeux cyber d’aujourd’hui et de demain : cyber-immunité, sécurité des systèmes d’exploitation, systèmes open source vs. black boxes, sensibilisation du grand public aux enjeux de cybersécurité, cadres règlementaires, coopération internationale…découvrez ses réponses à nos questions !

Votre entreprise a développé le concept de « cyber-immunité ». Pouvez-vous nous en dire plus à ce sujet et nous expliquer en quoi cette notion diffère de celle de cybersécurité ?

La réalité est que, de nos jours, aucune entreprise, organisation ou même opérateur d’infrastructure critique ne doit se considérer à l’abri de cyberattaques, et ce dès lors que l’un de ses équipements est connecté à l’internet – car tout à ce niveau est potentiellement vulnérable.

Cette tendance souligne la nécessité d’assurer une protection complète de cet écosystème contre un large éventail de cybermenaces. C’est pourquoi nous pensons que la cyber-immunité, c’est-à-dire l’inclusion de mécanismes de sécurité dès les premières étapes (conception) du développement d’un terminal, et la construction d’un écosystème où tous les éléments connectés sont protégés, sont essentielles.

La cyber-immunité est au cœur de KasperskyOS – notre propre système d’exploitation cyber-immunisé qui a été créé en partant de zéro et qui est sécurisé by design. Son architecture est basée sur la division des objets en de nombreux modules isolés. Toutes les interactions entre eux sont contrôlées au niveau du micro-noyau et du système de sécurité interne : seules les actions ayant été indiquées au stade du développement du système sont autorisées. Ainsi, même si un cybercriminel accède à l’un des composants du système, il (les composants) ne sont pas en mesure d’effectuer des actions malveillantes et d’affecter de quelque manière que ce soit le fonctionnement du système.

Quels sont les principaux avantages de cette nouvelle approche pour les utilisateurs ?

La cyber-immunité est la capacité inhérente d’un système informatique à faire face aux cyber-menaces sans avoir besoin de recourir à des outils de sécurité supplémentaires. Elle est particulièrement bénéfique pour les secteurs de l’industrie et des infrastructures critiques, où les systèmes informatiques sont soumis à des exigences plus élevées en matière de cybersécurité, de fiabilité et de prévisibilité (énergie, infrastructures de transport, usinage, systèmes de villes intelligentes, etc.).

La plupart des cyberattaques sont inefficaces contre un système cyber-immunisé et n’affectent pas ses fonctions critiques.

Comment ce concept va-t-il selon vous façonner l’avenir de la cybersécurité, en particulier en ce qui concerne le développement de ce que vous appelez des applications « immunes » pour les systèmes d’exploitation et les dispositifs IoT ou « intelligents » ? Les terminaux, applications ou systèmes « immunisés » peuvent-ils être “intelligents” ?

C’est une très bonne question ! Bien sûr, disposer à la fois d’une sécurité logicielle absolue et d’un large éventail de fonctionnalités logicielles qui soient pratiques et simples d’utilisation peut sembler contradictoire. Il est difficile de trouver un équilibre entre la sécurité, la fonctionnalité, la performance et d’autres caractéristiques qui sont extrêmement importantes pour l’utilisateur de tout système.

En 2018, en vue d’atteindre cet objectif, nous avons commencé par un petit pas. Il s’agissait d’une passerelle IoT cyber-immune construite selon notre propre méthodologie. Nous nous sommes rendus compte que des garanties très élevées peuvent être facilement obtenues pour un système relativement statique qui ne permet pas une expansion ou une configuration significative par l’utilisateur. Ce produit a considérablement réduit le risque de piratage, en séparant strictement les activités dans différents domaines de sécurité et en appliquant des politiques de contrôle de l’intégrité et des modèles de conception sécurisés.

Par la suite, le défi consistait à créer un système cyber-immunisé doté d’une interface utilisateur graphique, ce qui exigeait que le produit soit suffisamment performant. Aujourd’hui, les thin clients cyber-immunisés de l’entreprise Centerm utilisent notre firmware et l’utilisateur n’a pas à se soucier du fait que son expérience soit compromise au nom de garanties de sécurité élevées.

"Nous construisons actuellement des systèmes cyber-immunisés de troisième génération qui peuvent être complétés par des applications créées par des développeurs tiers. C'est extrêmement important, en particulier pour notre passerelle IoT qui doit pouvoir fonctionner avec de nombreux protocoles. Les applications permettent de prendre en charge de nouveaux protocoles et filtres. C'est un petit pas vers le dynamisme des systèmes cyber-immunisés et leur expansion avec des fonctionnalités tierces. De telles applications fonctionnent dans des bacs à sable très restreints – comme cela le cas dans les systèmes d'exploitation mobiles modernes – mais le fonctionnement de ces bacs à sable est assuré par défaut grâce à l'architecture de KasperskyOS."

Pour soutenir les développeurs tiers, nous avons créé notre propre kit de développement de logiciels (SDK) et un magasin d’applications de confiance où les applications sont hébergées.

La possibilité de recourir à du code tiers est également importante pour d’autres applications, telles que notre développement expérimental d’une plateforme pour les appareils professionnels mobiles. Il s’agit d’appareils complexes, loin d’être aussi statiques que les premiers produits cyber-immunisés. Aujourd’hui, nous observons déjà des résultats prometteurs. Cela ouvrira la voie à des terminaux cyber-immunisés dotés de fonctionnalités intelligentes étendues à l’avenir.

Dans un monde de plus en plus fragmenté, où la notion de souveraineté numérique (ou technologique) est omniprésente, comment est-ce que Kaspersky contribue à favoriser la coopération internationale ?

Dans le monde de plus en plus fragmenté dans lequel nous vivons actuellement, la construction d’un cyberespace plus sûr ne se limite pas à la protection des dispositifs ou à l’élaboration de solutions techniques. En fait, il s’agit plutôt de construire une cybercommunauté plus stable, plus résiliente et plus fiable.

En outre, il est plus que jamais nécessaire de mettre en commun l’expertise de tous les acteurs de la cybersécurité et de collaborer au-delà des frontières. L’échange d’informations et le partage de renseignements sur les cybermenaces entre les gouvernements, les acteurs privés, la communauté de la cybersécurité, les industries et les universités doivent être intensifiés et améliorés sur le plan qualitatif.

"Nous invitons l'ensemble de la communauté de la cybersécurité et les parties prenantes à participer aux projets de collaboration internationale, à échanger des informations et à se soutenir mutuellement afin de lutter contre les cybercriminels à un niveau plus holistique."

Comment s’assurer que les cadres réglementaires concilient efficacement l’innovation en matière de cybersécurité et la protection de la vie privée des utilisateurs ?

Ces dernières années, les gouvernements ont fait de grands progrès dans le domaine de la protection de la vie privée et des données de leurs citoyens, par exemple avec des lois concernant la vie privée, comme le Règlement général sur la protection des données (RGPD) au niveau de l’Union européenne, la loi française Informatique et Libertés, etc.

Alors que les réglementations relatives à la protection de la vie privée des utilisateurs vont probablement continuer d’occuper le débat public dans le monde entier pendant de nombreuses années, trouver un équilibre efficace entre l’innovation en matière de cybersécurité et la protection des données personnelles semble parfois être une tâche délicate.

D’abord et avant tout, pour atteindre cet objectif – une plus grande protection de la vie privée des utilisateurs – il est essentiel que les différentes parties prenantes collaborent. Je ne saurais que trop insister sur le fait que les règles, les niveaux de risque et les niveaux de protection doivent être élaborés via la contribution d’un grand nombre d’experts expérimentés. L’échange d’expertise et de connaissances entre les régulateurs, les secteurs public et privé, le monde universitaire et l’industrie, favorise l’innovation et permet d’apporter une réponse plus solide aux cybermenaces, tout en veillant à la protection des données à caractère personnel.

Par ailleurs, je suis convaincu qu’en dépit des mesures mises en place par les régulateurs et les entreprises, il est essentiel que les utilisateurs finaux jouent également un rôle actif dans la protection de la confidentialité de leurs propres interactions en ligne. La protection des données personnelles est une responsabilité partagée. Ce n’est qu’à cette condition que nous pourrons faire en sorte que l’internet continue d’être une ressource précieuse et sûre pour tous.

On entend souvent dire que les logiciels libres (ou en  open source) sont plus sûrs que les logiciels propriétaires. Qu’en pensez-vous ?

L’utilisation de logiciels libres est une approche courante dans le développement de logiciels, et d’aucuns considèrent qu’elle ne comporte pas d’inconvénients, puisque si le code source est accessible, les éventuels bugs peuvent être facilement corrigés. Cependant, la réalité est plus complexe et les logiciels libres comportent leurs propres risques. Ils peuvent contenir, par exemple, des vulnérabilités accidentelles ou intentionnelles ou des codes malveillants.

À la fin de l’année 2022, un service spécial lancé par nos experts pour repérer les portes dérobées et les vulnérabilités des logiciels libres a rassemblé des données sur 3 000 paquets vulnérables et malveillants stockés dans des référentiels populaires. Environ 35% des vulnérabilités exposées présentaient un niveau de danger élevé et 10% un niveau de danger critique.

"Le problème de la confiance dans les logiciels libres peut être particulièrement critique pour les produits ayant des exigences de sécurité élevées, par exemple dans le secteur des infrastructures critiques. Dans ce cas, un effort supplémentaire de validation et d'analyse du code est toujours le bienvenu. L'approche par la cyber-immunité vise à résoudre le problème posé par l'utilisation de code de qualité inconnue, grâce aux principes d'isolation et de contrôle des interactions mis en œuvre dans KasperskyOS".

Selon vous, quelle est la meilleure façon d’acculturer le grand public aux notions de cybersécurité et de cyber-immunité ?

On observe que l’ensemble du monde progressiste accorde de plus en plus d’attention à l’approche de la sécurité dès la conception. Il s’agit d’une tendance extrêmement importante, qui permettra à l’humanité d’évoluer vers un avenir plus sûr.

Il est indispensable de réunir les meilleurs représentants du secteur pour mener des recherches conjointes et développer des outils ainsi que des recommandations et des normes.

Chez Kaspersky, nous avons commencé par impliquer les étudiants dans le développement sécurisé en leur enseignant l’approche cyber-immune, notamment via des rencontres et des hackathons. Nous travaillons également sur des normes industrielles, qui s’appuient sur des techniques inhérentes à la méthodologie cyber-immune et à d’autres approches de conception sécurisée.

Sur le même sujet