Canary dans la mine de charbon: l’ambassadeur d’Estonie sur la création d’une culture de sécurité après la cyberguerre

  • FrançaisFrançais


  • Aujourd’hui, l’Estonie est classée parmi les poids lourds mondiaux de la cybersécurité. Mais il y a 13 ans, le pays a été contraint de se démener pour répondre à l’une des cyberattaques les plus dévastatrices de l’histoire, exécutée par des agents russes.

    Ce jour-là d’avril 2007, Jonatan Vseviov a été affecté à l’ambassade d’Estonie à Washington, DC, s’occupant des affaires politiques d’un petit pays d’Europe de l’Est. Il a été rapidement informé des attaques après avoir perdu l’accès aux sites Web.

    “Vous devez vous rappeler que ce n’est pas seulement une cyberattaque qui s’est produite”, a déclaré Vseviov, maintenant ambassadeur d’Estonie aux États-Unis, faisant référence à l’escalade des tensions entre l’Estonie et la Russie. Les cyberattaques ont été stimulées par le déplacement d’une statue en bronze d’un soldat russe.

    À l’époque, «nous avons ressenti le soutien écrasant de nos alliés», a déclaré Vseviov, s’exprimant lors d’une discussion d’ouverture au coin du feu à RiskSec 2020 Digital. «Lorsque je suis allé à la Chambre des représentants ou au Sénat et que j’ai demandé du soutien, il n’y avait jamais eu d’objection – à l’exception d’un petit sujet. Cyber. C’était si nouveau, si inhabituel. C’était comme si je parlais d’un scénario de science-fiction.

    Inscrivez-vous à RiskSec 2020 DIGITAL pour entendre les leaders de la sécurité parler de la pensée résiliente, dans un monde imprévisible

    Fait intéressant, à cette époque en 2007, la cybersécurité et ce concept de société numérique n’étaient pas nouveaux en Estonie. Le pays était sans doute en avance sur les autres démocraties occidentales à cet égard. Soudain, Vseviov et les dirigeants estoniens ont été contraints d’éduquer le monde, tout en faisant face à leur propre appel au réveil.

    «Nous avons pris la décision consciente de passer au numérique [in the 1990s], sur la base du fait que nous avions perdu cinq décennies à cause de diverses professions », se souvient Vseviov. «Après avoir retrouvé notre liberté, nous voulions non seulement rentrer chez nous en Europe à l’ouest, mais aussi rattraper le temps perdu.

    «Et puis, tout à coup, un acte relativement simple submerge le système.»

    Deux leçons ont émergé de cette expérience, qui ont pris en compte la capacité de l’Estonie à passer rapidement d’une société numérique à une culture de la sécurité.

    Premièrement, «en matière de cybersécurité, la géographie n’a vraiment pas d’importance», étant donné que les attaques contre l’Estonie ont été lancées dans plusieurs pays, en dehors de ses propres frontières. «Et leçon numéro deux, vous devez vraiment passer de l’approche pangouvernementale [to digital], à une approche globale de la société.

    Le défi auquel l’Estonie était confrontée à l’époque n’était pas sans rappeler le défi auquel étaient confrontées les entreprises de tous les secteurs verticaux qui tentaient de créer une culture de la sécurité parmi les employés et les partenaires. C’était juste à une plus grande échelle.

    Vseviov l’a comparé à la pandémie actuelle.

    «À la fin de la journée, nous avons besoin que les gens se lavent les mains et s’assurent de ne pas éternuer sur les autres», a-t-il déclaré. «Des choses qui peuvent sembler moins sophistiquées, mais c’est tout aussi important. Vous ne pouvez gérer rien de tout cela seul.

    Fait intéressant, depuis les cyberattaques de 2007, l’Estonie a accéléré ses capacités numériques. Au-delà d’un programme national d’identification déjà en place, fournissant à tous les citoyens une signature numérique, le pays a transféré pratiquement tous les services publics en ligne. L’Estonie a également été le premier pays à proposer la e-résidence, qui permet aux non-Estoniens de créer des entreprises et d’accéder aux services estoniens. Le programme s’adresse aux entrepreneurs indépendants de l’emplacement, tels que les développeurs de logiciels. Il a également créé le Digital Nomad Visa, permettant aux travailleurs à distance de vivre en Estonie et de travailler légalement pour des employeurs enregistrés à l’étranger.

    Les gens marchent un après-midi de fin d’hiver le 9 janvier 2020 à Tallinn, en Estonie. Le pays est à la pointe de la lutte contre les cyberattaques russes et les attaques de désinformation. (Alfredo Sosa / The Christian Science Monitor via Getty Images)

    Aucun de ces efforts ne réussirait sans un niveau élevé de confiance des citoyens.

    «Cette confiance se construit avec le temps. Vous n’y arrivez pas du jour au lendemain, évidemment », a déclaré Vseviov. «Mais l’un des éléments constitutifs est la transparence et ne pas essayer de tromper qui que ce soit en lui faisant croire que tout à coup, vous avez mis au point un système numérique sécurisé à 100%. Rien n’est sécurisé à 100%. Nous ne pensons pas que nos systèmes sont à 100%. Et pourtant, nous pensons qu’elles sont meilleures que les alternatives analogiques. »

    Vseviov se souvient d’un incident il y a quelques années, lorsqu’une faille de sécurité a affecté 300 000 identifiants numériques que les citoyens utilisent pour tous les services publics – de l’accès aux dossiers des étudiants à l’obtention d’une ordonnance dans une pharmacie. La première décision qui a été prise lorsque le problème a été identifié a été de rendre publique.

    “Il s’avère que les gens sont assez habitués au fait que les choses se cassent sur Internet”, a déclaré Vseviov. «Il n’y a pas eu de panique. Ce que les gens ont retenu [the incident] c’est que nous avions une préoccupation majeure, et la première chose que le gouvernement a faite a été de la rendre publique. Cela a fini par instaurer la confiance, sans l’éroder. »

    Le monde est-il donc mieux loti, 13 ans après les cyberattaques entendues dans le monde?

    «L’Estonie est un petit pays. Cela signifie qu’en matière de force brute, nous ne sommes peut-être pas à égalité avec les plus grands pays sur la scène mondiale », a déclaré Vseviov. «Ce que nous pouvons faire, et avons fait dans le domaine numérique, c’est être les premiers à faire savoir à tout le monde que nous avons découvert quelque chose de nouveau. Nous pouvons être le canari dans la mine de charbon. Cet oiseau est motivé par son propre désir de vivre dans un monde dangereux. Mais en étant motivé, il crie. C’est notre rôle. C’est ce que nous avons fait en 2007. Nous avons commencé à crier et à crier sur la cybersécurité. »

    Source

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *