Ron Ross du National Institute of Standard and Technology a pris la parole à la fin du 5th Annual Bilington Cybersecurity Summit pour encourager une « conversation [sur la cybersécurité] à laquelle personne ne veut participer ». Sa présentation a été un condensé avec un regard scientifique des points abordés lors de la journée et sur lesquels nous revenons brièvement. Il a insisté tout particulièrement sur 5 éléments regroupés dans l’acronyme TACIT : Threat (Menace), Assets (Atouts), Complexity (Complexité), Integration (Intégration), Trustworthiness (Confiance).

Cette conférence a eu lieu le 16 septembre à Washington, DC. Elle a été ouverte par l’amiral Rogers, directeur de la NSA (National Security Agency). Il a présenté les différents domaines d’action de la NSA en matière de cybersécurité nationale qu’il justifie par le besoin d’être capable de changer de technologie très rapidement pour pouvoir rivaliser avec les hackers qui sont eux en innovation permanente à la recherche de nouvelles failles informatiques.

Au cours de la journée les différentes agences (NSA, FBI…) et le Département de la Sécurité Intérieure (Homeland Security) ont fait ressortir le besoin d’un juste équilibre entre sécurité et vie privée, tout en gardant la sécurité comme fer de lance. En réponse à des questions sur l’éthique, le directeur de la NSA a affirmé que son action se situe entiérement dans le cadre de la loi en ce qui concerne l’écoute et la surveillance d’Internet et des réseaux mobiles.

La conférence a aussi été l’occasion de rappeler quelques chiffres : 200 pays sont victimes d’espionnage informatique et 98% des entreprises américaines sont victimes d’attaques informatiques. La plupart de ces crimes restent inconnus du public mais pas toujours.

La semaine dernière de la société Home Depot, l’une des plus grandes entreprises de bricolage des Etats-Unis, a été obligé d’avouer avoir été victime d’une cyber attaque de grande ampleur. Cette attaque aurait permis de dérober des données bancaires de 56 millions de clients grâce à un malware présent sur leur système d’avril à septembre.

Selon les professionnels présents à la conférence, les entreprises du Big Data, qui stockent et gérent de grandes masses de données, sont les plus exposées aux cyber-attaques et en sont régulièrement victimes. Il appartient à ces entreprises d’estimer précisément le risque et de se prémunir contre les différentes attaques.

Il leur faut aussi se préparer aux actions concrètes et aux élements de communication qu’elles auront à mettre en œuvre afin de ne pas perdre la confiance de leurs clients si leurs protections sont prises en défaut.

http://www.bulletins-electroniques.com/actualites/76766.htm

---