Alors qu'Europol vient de publier un rapport sur les dangers de ChatGPT et s'inquiète de son utilisation par des criminels, Kunal Anand , CTO d’ Imperva , spécialiste de la sécurité, réagit face à la situation actuelle Les chatbots posent-ils un problème de protection de la vie privée plus important que les moteurs de recherche, et pourquoi ? "Le problème des chatbots par rapport aux moteurs de recherche n'est pas seulement lié aux conditions générales ou à la manière dont ils utilisent les données, mais aussi à la manière dont nous interagissons avec eux. Par rapport à une recherche Google ou Bing, les LLM comme Bard deviennent plus utiles à mesure que nous leur donnons plus d'informations (en informatique, cela s'appelle l'apprentissage par renforcement). Et surtout avec un chatbot, il est facile de traiter les interactions comme une conversation et de laisser échapper plus d'informations que nous ne le ferions normalement en tapant simplement dans
Par Sébastien Garnault, fondateur de la Paris Cyber Week
A tous les fans de sensations fortes, bienvenue dans le monde des cyberattaques ! Au carrefour de Matrix, Minority report et du Bureau des Légendes, le cyber-espace est à la fois le lieu de tous les fantasmes et de tous les risques. Devenus plus lucratifs que la drogue et l'industrie du sexe, le cyberterrorisme et la cybercriminalité attisent toutes les convoitises, et encore plus les expertises. Pourtant, aujourd'hui, vous devenez un hacker pour 10 € sur le darkweb. Le risque ? Limité… mais très rentable. La menace dépasse désormais la simple criminalité « traditionnelle » qui, elle aussi, a mené sa transformation numérique.
Campagnes de déstabilisation en Occident, paralysie de centrales nucléaires, immobilisation de grandes entreprises ou des PME, les cyberattaques, dont certaines pourraient être le fait d'États, sont protéiformes et bouleversent nos référentiels juridiques. Les Etats d'abord, et notamment les gouvernements américain, chinois, russe, iranien, …. Nombreuses sont les affaires où le soupçon de cyberattaque pèse lourdement sur un Etat, parfois même allié. Nous ne pouvons pas, certes, imputer clairement l'origine des attaques. Leurs effets nous donnent toutefois de précieux indices sur les objectifs poursuivis, et donc sur le profit du crime. C'est tout le sens de la démarche occidentale de septembre dernier, portée par les Five Eyes, visant à publiquement attribuer l'origine d'attaques cybernétiques à la Russie. Passée inaperçue, cette déclaration est probablement la plus forte des cinq dernières années. Oui le cyber-espace est le théâtre d'opération militaire, oui les États détiennent des armes numériques. Oui elles les utilisent et s'engagent dans un conflit ouvert.
Cette entrée dans la guerre numérique, la France et les grandes puissances s'y préparent, depuis longtemps. L'annonce, en janvier dernier, par la ministre des Armées Florence Parly de l'existence de capacités offensives cyber en France, marque le départ d'une guerre invisible mais redoutable. Elle concrétise surtout la montée en puissance des capacités cyber françaises initiée dès 2009 et son accélération depuis 2016.
Sabotage, surveillance ou vols de données, le frottement des plaques cyber nous offre une tectonique hybride où se mêlent guerre économique, souveraineté et Puissance. Dès lors, renseignement et intelligence économique deviennent des outils indispensables pour se défendre. Cet espionnage, industriel notamment, vise ouvertement à compromettre la sécurité nationale de ses cibles. Pour preuve, l'attaque de la centrale nucléaire américaine du Kansas en 2017 ou, en 2010, Stuxnet, le ver informatique conçu par la NSA pour contaminer et détruire l'usine de centrifugeuses nucléaires de Natanz en Iran. Mondiales, sournoises, insaisissables, ces cyberattaques s'immiscent lentement et sans bruit dans les systèmes d'informations des entreprises. En quelques secondes, ces attaques virtuelles peuvent anéantir des centaines d'entreprises et paralyser un Etat.
TPE : le temps est à la prise de conscience
Le rapport au risque le plus favorable est celui qui cible les « petits ». Les collectivités, les TPE, les PME, et même les citoyens, sont autant de proies aisément attaquables qu'elles sont, encore mobilisées par leur transformation numérique, notamment en France. Le fameux « je suis trop petit, je n'intéresse personne », qui laisserait presque penser qu'un braqueur ne s'attaquerait qu'à la Banque de France, est le premier danger auquel nous faisons face. Le maillon faible de la chaine de sécurité numérique, c'est l'Humain. Manque de connaissance, de sensibilisation, de moyens, de compréhension, il existe tant de mauvaises raisons. La réalité, c'est que ce sont les premières cibles et que la plupart ne s'en relèvent pas. Or, dans notre monde hyper connecté, nous sommes bel et bien collectivement responsables de notre sécurité, et de celle de notre environnement.
Démocratiser la cybersécurité pour mieux intégrer le numérique au quotidien
En pleine transition, chacun se concentre sur la digitalisation de son activité, qu'elle soit publique ou privée. Pourtant, c'est bien la confiance de l'utilisateur ou de l'usager qui devrait être le cap de cette mutation : confiance dans les outils, confiance dans les acteurs, confiance dans les réseaux. Cette confiance, que tout le monde appelle de ses vœux, manque terriblement. Elle doit donc trouver un espace de co-construction prenant en compte les règles et leur pratique. Autrement dit, entre les Pouvoirs publics et la société doit s'établir un dialogue afin d'ajuster l'ensemble des curseurs afin que chacun connaisse les bons usages, les bonnes pratiques.
Cette brique indispensable de sécurité doit être adaptée aux usages et garantir la sécurité des biens et des personnes. Dès lors, il faut démocratiser le numérique et les conditions de son utilisation. En effet, bien que de plus en plus médiatisé, les décideurs des grandes entreprises, ETI et PME ne se préoccupent pas de la menace. A-t-on jamais vu un président-directeur général, un directeur marketing ou commercial, un responsable de la chaine de production, d'achat ou logistique se soucier de sa cyber sécurité ? Pour ces décideurs, il s'agit d'un sujet d'experts qui doit être le moins couteux possible. Une stratégie dangereuse et inconsciente à l'heure de la digitalisation des entreprises. La question est vitale. La puissance de frappe est telle que la menace n'est plus du seul ressort des DSI et autres experts du numérique.
C'est dans ce contexte que nos sociétés intègrent le numérique à leur quotidien. Du citoyen au lycéen, en passant par l'élu ou le chef d'entreprise, le numérique est partout. L'existence même de nos organisations, en pleine transformation, est désormais ouvertement menacée. En ligne de fond, ce sont notre souveraineté et notre démocratie qui sont dans la balance. Il est donc temps de prendre ce sujet à bras le corps, la cybersécurité est l'affaire de tous !
Paris Cyber Week, c'est quoi ?
Événement européen dont l'objectif est de sortir la cybersécurité de son discours d'experts, réservé aux experts. Conscients que la France et l'Europe doivent agir, les pouvoirs publics se mobilisent, et notamment l'ANSSI (Agence nationale de la sécurité des systèmes d'information), le Pôle d'excellence Cyber ou encore les parlementaires français et européens. De même, les filières industrielles et le monde économique dit « traditionnel » s'engagent dans ce dialogue et soutiennent cet événement. Ils viendront débattre et échanger avec les décideurs et professionnels.
Paris Cyber Week : les 5 et 6 juin 2019, à la Chambre des Métiers et de l'Artisanat, 12, avenue Marceau, Paris 8e. Plus d'informations sur : paris-cyber-week.com