Cybersécurité : « Il faut tout repenser »

Laurent Rivaton a créé en 2019 une société d’audit et de formation en cybersécurité, Addo. Il ouvre ce mois-ci la Cyber Académie du Pacifique.© C.M.

Face à « l’arrivée massive » de la cybercriminalité, la commission cybersécurité du cluster Open NC veut ériger une filière d’excellence. Entretien avec son président Laurent Rivaton, également formateur à l’origine de la nouvelle Cyber Académie du Pacifique.

DNC : Pourquoi développer une filière de cybersécurité ?

Laurent Rivaton : Pour améliorer la sécurité du territoire, il faut des personnes formées, des vendeurs de matériel et de logiciels, des formateurs, la puissance publique pour susci- ter son développement, des consommateurs. Trois axes nous intéressent : susciter des vocations, former, sensibiliser les entreprises à la cybersécurité. Il faut tout repenser pour se sortir de la situation dans laquelle on est en matière de protection.

Quelle est-elle ?

Il y a une très forte pénurie de professionnels et elle se creuse encore. En 2022, le déficit était estimé à 3,5 millions de personnes dans le monde, le plus important étant dans la zone Asie-Pacifique. Chez nos voisins australiens, 61 000 postes ne sont pas pourvus. Ici, c’est pareil. On est vraiment à la ramasse.

Parce que les besoins augmentent ?

Oui, la pression, notamment cybercriminelle, augmente. Il y a 10 ans, la plus grande source d’insécurité venait des erreurs humaines internes (casse de matériel, effacement de fichiers, etc.). Désormais, 80 à 90 % des atteintes aux données viennent de la cybercriminalité. Les entreprises sont de plus nombreuses à devoir se sécuriser : les grandes entreprises qui sont obligées de le faire pour répondre à des normes et désormais les PME et les TPE qui forment la majorité du tissu économique. Mais cela reste difficile. C’est un sujet qui est perçu comme anxiogène, élitiste, coûteux avec un risque lointain, et donc que l’on remet à plus tard.

C’est un sujet qui est perçu comme étant anxiogène, élitiste, coûteux avec un risque lointain, et donc que l’on remet à plus tard.

Qui est menacé de cyberattaques ?

À partir du moment où on est connecté à internet, on est concerné. À Open NC, on avait mis en place un dispositif « honey pot », pot de miel, pour attirer les pirates informatiques et avoir une idée de la pression exercée. En un mois, il y a eu plus de 61 millions d’attaques sur une machine.

Quelles sont les attaques les plus fréquentes ?

La plus courante passe par la messagerie électronique pour diffuser des logiciels malveillants ou collecter des informations. Ce qui cause le plus de dégâts ce sont les ransomware ou rançongiciel. C’est ce qu’a subi Air Calédonie. Mais il en existe des milliers. Et c’est toujours pour de l’argent car les données sont monnayables.

Est-ce qu’il y a toujours des gens derrière ?

Oui et ça s’est beaucoup structuré. Il y a ceux qui fabriquent des outils, d’autres qui s’occupent de leur mise à disposition, de recruter des franchisés pour les utiliser. C’est du grand banditisme. Il y a les gros, les dealers, les revendeurs. Si quelqu’un veut faire un coup de pognon, c’est très facile. On va faire appel à un spécialiste, cibler un pays, payer en bitcoin. C’est du business, illégal.

D’où viennent-ils ?

Tout le monde peut faire n’importe quoi, de n’importe où. On les dit traditionnellement meilleurs dans les pays de l’Est, certaines arnaques venaient à un moment d’Afrique. Mais on peut mentir sur son adresse IP, donc c’est difficile à savoir.

Revenons à la formation. Pourquoi si peu d’engouement ?

Il y a beaucoup de malentendus sur les métiers de la cybersécurité. Ce n’est pas ce que l’on voit à la télé ou au cinéma : des salles sombres, des petits génies de l’infor- matique. Il y a de tout et une centaine de métiers différents. Mais ils sont extrême- ment spécialisés, ce qui rend le recrutement difficile. Localement, un recensement est à faire. Mais je suis sûr qu’il y a des talents.

Vous ouvrez une Cyber Académie. Expliquez-nous.

C’est une école privée de cybersécurité. On veut mettre en place l’environnement idéal pour que les étudiants apprennent bien et vite, parce qu’on en a besoin maintenant, pas dans cinq ans. On propose de la formation professionnelle continue ou initiale, des formations francophones pour les débutants ouvertes à la Polynésie et à Wallis-et-Futuna. On espère pouvoir proposer des modules pour l’UNC et un travail est en cours pour que les formations soient inscrites au registre territorial et national.

Pourquoi le public est-il si peu sensibilisé à la protection des données ?

L’industrie du numérique n’a pas fait ce travail d’explications. Nous achetons des objets connectés dont les données peuvent être reprises en temps réel, dont les caméras peuvent être activées à distance et qui sont utilisés à la fois dans la sphère publique et personnelle. Mais tout le monde est capable d’apprendre sur ces sujets-là.

Propos recueillis par Chloé Maingourd 

Une école du numérique à Lyon. © Nicolas Liponne / Hans Lucas via AFP.

Hackagou

Jeudi 14 septembre, Open NC organisait son deuxième CTF ou « Capture the flag » (attrape les drapeaux) à la mairie de Nouméa, une compétition en cybersécurité baptisée « Hackagou ». « Les professionnels ont besoin
de s’entraîner. On fait des jeux pour que ce soit ludique », explique Laurent Rivaton. Dans le mode « géopardy », ils s’affrontent sur des challenges pour décrocher un drapeau (à différencier du mode attaque/défense). L’objectif est aussi de détecter des talents, faire grandir la communauté, participer à des CTF internationaux. Et de sensibiliser le public à cet univers peu connu. L’événement comptait 120 inscrits après une présélection (190 au départ) contre 52 en 2022.