Se connecter S'abonner
Interview

(Interview) Cybersécurité : Belgique, un état des lieux alarmant

Boris Jancen

Boris Jancen

8 min de lecture
Partager
(Interview) Cybersécurité : Belgique, un état des lieux alarmant
Peter Braem, CEO Cyber Security Management

L'ascension fulgurante de l'intelligence artificielle générative bouscule tous les secteurs, promettant des gains de productivité inédits tout en exposant les entreprises et institutions publiques à de nouveaux risques. Alors que la Belgique accuse un retard inquiétant en matière de cybersécurité, le débat sur la souveraineté technologique, la sécurité des données et le retour à des infrastructures « on-premise » devient plus crucial que jamais. Peter Braem, CEO de Cyber Securité Managament, livre un diagnostic catastrophique de la cyber sécurité dans notre pays.

Le niveau de préparation des entreprises et institutions publiques en Belgique en matière de cybersécurité est plus qu’interpellant. « Je suis catastrophé de voir où on en est », entame l’expert IT. "La Belgique accuse un retard considérable par rapport à ses voisins européens".

Le retard inquiétant de la Belgique en cybersécurité

Plusieurs freins majeurs expliquent le décalage de la Belgique par rapport à des pays comme la France. « Il n'existe pas de plan global, de vision stratégique, ni de coordination entre les secteurs essentiels (énergie, banques, eau) pour anticiper les crises et définir des priorités communes », s’insurge l’expert.

 Malgré certaines tentatives de regroupement du secteur, comme la fédération Agoria, il persiste une méfiance entre le monde militaire et le secteur privé qui bloque la signature de contrats concrets et empêche toute collaboration efficace. Peter Braem pointe également le manque de volonté politique. « On n'a pas de vision. Les décisions tardent à être prises et les budgets sont davantage orientés vers l'armement traditionnel que vers la cyber défense".

En outre, notre pays subit de plein fouet le retard éducatif en matière de cybersécurité. « Contrairement à la France, qui a mis en place des filières et des académies dédiées, la Belgique n'a pas intégré la cybersécurité dans les programmes scolaires de manière structurée pour former les talents de demain. La France affiche une avance de quatre ans sur nous grâce à une approche centralisée et un regroupement efficace des solutions. Là où la Belgique peine à transformer les initiatives en résultats tangibles », déplore le spécialiste. Cette absence de stratégie est aggravée par la méfiance qui règne entre les industries technologiques et les instances militaires.

L’IA de tous les dangers

Le responsable de la société Cyber Security Management met en lumière une réalité sous-estimée. Bien que l'intelligence artificielle ne soit pas un concept nouveau, l'accessibilité récente à des outils comme ChatGPT pose des questions fondamentales sur la sécurité, la dépendance et l'intégrité de nos données. En outre, l’IA nous fait entrer dans une guerre cognitive qui s’accompagne de stratégies d'influence visant à manipuler les opinions et les comportements des individus en fonction des informations diffusées.

« Avec l'IA, la menace prend une ampleur nouvelle, car elle permet de faire dire à n'importe qui ce que l'on souhaite. Elle introduits des mécanismes complexes comme l'usurpation d'identité avancée. L'IA permet de cloner des voix et des visages de manière hyperréaliste, rendant les arnaques extrêmement crédibles ».

Elle permet également des fraudes par simulation, comme par exemple cette fameuse arnaque à 25 millions de dollars où des employés ont été trompés par des simulations vidéo de leurs collègues lors d'une visioconférence.« La technologie peut reproduire la voix et le ton d'une personne dans différentes langues, rendant la supercherie indétectable lors d'appels téléphoniques ».

 Comment envisager la sécurité dans un environnement où chaque objet connecté est une porte d'entrée potentielle et où les données confiées au cloud peuvent nourrir des algorithmes hors de notre contrôle ?

Cloud et objets connectés : les portes de la vulnérabilité

 La migration massive vers le cloud a accru la dépendance à des prestataires souvent hors juridiction nationale. Pour des secteurs sensibles, l'externalisation augmente les risques de fuites ou d'ingérences. 

Selon l’expert chez Cyber Security Management, le recours aux solutions cloud public implique un risque majeur pour la souveraineté des données pour plusieurs raisons. « Utiliser des services comme ceux de Google ou Microsoft revient à alimenter des entreprises américaines, ce qui va à l'encontre de l'objectif de souveraineté numérique européenne ». En outre, les données hébergées dans un cloud public se trouvent dans un registre qui appartient à un tiers. L'entreprise ne possède plus réellement ses propres données. Même si un fournisseur prétend héberger les données en Europe (par exemple à Amsterdam), les règles et la juridiction du fournisseur (souvent américain) continuent de s'appliquer, rendant la notion de souveraineté locale caduque.

 Parallèlement, l'un des dangers les plus insidieux de l'IA réside dans le flux d'informations que les utilisateurs fournissent. « L'IA, c'est carrément une porte ouverte, parce qu’on lui donne toutes les infos », alerte Peter Braem. « Les entreprises, en y injectant des données sensibles, s'exposent donc à des risques d'espionnage économique ».

 À mesure que les entreprises multiplient les objets connectés et les services en ligne, les failles de sécurité s’industrialisent. « L'utilisation d'objets connectés multiplie les vecteurs d'attaque et les vulnérabilités. Les utilisateurs négligent souvent de modifier les mots de passe par défaut (ex: 12345678) sur les équipements connectés (caméras, portails, téléviseurs, systèmes d'entrée), créant des failles d'accès triviales".

"Des acteurs malveillants peuvent également exploiter les adresses IP de ces appareils pour pénétrer dans les réseaux, accéder aux flux vidéo des caméras, écouter des conversations via des assistants vocaux (Siri) ou cartographier les points faibles physiques des locaux. La connexion à des réseaux Wi-Fi non sécurisés ou des hotspots dans les bureaux permet aux attaquants de prendre possession des appareils mobiles des employés, notamment si ces derniers utilisent des mots de passe faibles ou se connectent sans protection", explique Peter Braem.

 Haro sur le “Bring Your Own Device”

 Autrement dit, les objets connectés modernes multiplient les vulnérabilités des systèmes critiques. « Même les véhicules sont devenus des ordinateurs complexes. Ils peuvent être détournés à distance pour limiter leurs performances (par exemple brider la vitesse) ou prendre le contrôle de leurs fonctions ». 

Les appareils personnels (laptops, smartphones) ne devraient pas contenir les applications et systèmes de l'entreprise. L’expert insiste sur le fait que les outils professionnels doivent être installés exclusivement sur du matériel appartenant à la société. Une politique de restriction est nécessaire. « J’approuve les entreprises qui interdisent à leurs employés d'apporter leurs ordinateurs personnels au bureau. C’est une bonne pratique de sécurité pour éviter les vulnérabilités ».

 Bref, plus une entreprise intègre de technologies connectées, plus elle élargit sa surface violable si ces systèmes ne sont pas rigoureusement isolés et protégés. La pratique du « Bring Your Own Device » -introduite sous couvert d'attirer les jeunes talents- est désormais considérée comme un « cheval de Troie » introduisant des vulnérabilités.

 Copilot : un danger majeur à encadrer

 Quels sont les dangers concrets liés à l'utilisation des outils IA de type Chatgpt et autres Copilot au sein des entreprises ? Selon Peter Braem, l'utilisation d'outils comme Copilot, fournis par Microsoft, présente un danger majeur, car ces solutions ont accès à l'ensemble des informations de l'entreprise.

« Les dirigeants doivent impérativement contrôler et surveiller étroitement l'usage de ces outils par leurs employés pour éviter que des données sensibles ne soient exposées ou traitées sans discernement par ces systèmes ».

Même les abonnements payants à des IA ne garantissent aucunement l'étanchéité des données. « Hébergées sur des infrastructures tierces, les informations restent vulnérables », rappelle Peter Braem.

Quelle approche privilégier pour sécuriser ses données ?

 Pour sécuriser leurs données face à l'IA, les entreprises doivent aujourd’hui privilégier le contrôle interne. Peter Braem recommande de développer des « IA internes » et de maintenir les données « on-premise » pour éviter toute fuite vers des serveurs tiers. Il insiste sur la nécessité de « créer des comptes internes, des IA internes, et que les informations soient stockées en interne ». Cette approche souveraine est cruciale pour protéger les informations sensibles des risques d'espionnage. Autrement dit le débat se cristallise autour de la question « commodité contre souveraineté ».

 La quête de souveraineté : vers un retour au « on-premise » ?

 En réponse à ces risques, le concept de souveraineté revient avec force. Pour les entreprises des secteurs critiques, la tendance est de développer des IA privées et internes pour garder le contrôle total. La piste privilégiée est la création et l’hébergement d’IA avec des modèles et des données confinés au périmètre de l’entreprise. Certaines organisations conservent également des sauvegardes multiples en interne, segmentent leurs environnements et limitent la sortie de données.

Cependant, une souveraineté technologique totale semble illusoire, car toute la chaîne de valeur, des terres rares aux puces, est mondialisée. Il est plus réaliste de parler de degrés de souveraineté. Pour Peter Braem, la solution passe par une action au niveau européen, en faisant confiance à des solutions de cybersécurité développées et certifiées en Europe. « Des organismes comme l'ANSSI en France imposent déjà que les données des citoyens et entreprises français restent sur le territoire européen », confirme l’expert.

 L'impact de NIS2 sur la responsabilité juridique des dirigeants d'entreprise 

 « Les dirigeants d'entreprise sont souvent les maillons faibles de la cybersécurité par manque de culture numérique », estime Peter Braem. « Ils sont souvent déconnectés des réalités techniques de leur propre infrastructure. Ils partagent une vision financière à court terme en considérant la cybersécurité uniquement comme un coût impactant leur compte de résultat plutôt que comme un investissement stratégique indispensable ».

 A ce titre, l’expert considère la directive NIS 2 comme un levier essentiel pour responsabiliser les dirigeants d'entreprise. « Auparavant, beaucoup de patrons considéraient la cybersécurité comme un simple coût opérationnel et s'en désintéressaient. Avec NIS 2, cette perception change radicalement, car la directive établit clairement que les responsables sont les patrons eux-mêmes. En cas d'attaque, si les mesures de protection adéquates n'ont pas été prises, ce sont les dirigeants qui devront en assumer les conséquences financières et juridiques ».

 Recommandations et pistes de solutions

 Pour sensibiliser les dirigeants d'entreprise aux enjeux de la cybersécurité, Peter Braem préconise plusieurs leviers pour renforcer le niveau de cybersécurité des organisations en Belgique.

 -Éduquer et sensibiliser : Intégrer l'éducation aux risques cybernétiques dès le plus jeune âge et lancer des campagnes nationales, à l'instar des messages de sécurité routière. La formation des jeunes et des dirigeants de PME est fondamentale.

 -Investir et responsabiliser : Inciter les entreprises, via des réglementations, comme la directive européenne NIS 2, à augmenter leur budget de cybersécurité. Cette directive responsabilise directement les dirigeants en cas de négligence.

-Renforcer la collaboration public-privé : Créer une synergie entre l'armée et les industries critiques pour partager les connaissances, par exemple en formant des réservistes issus d'entreprises stratégiques.

 -Assurer la souveraineté des données : Privilégier des solutions technologiques européennes et héberger les données sensibles dans des data centers sécurisés (Tier III ou IV) situés en Belgique ou dans des pays voisins fiables.

 -Adopter une hygiène numérique de base : Changer les mots de passe par défaut, activer l'authentification multifacteur, mettre à jour les logiciels, segmenter les réseaux, et éviter les Wi-Fi publics sans protection (VPN).

Conclusions

La généralisation de l'IA et des objets connectés a amplifié la surface d'attaque des organisations. Les vulnérabilités les plus dangereuses commencent souvent par des négligences simples. Revenir à des architectures « on-premise » pour les données critiques, développer des IA internes et instaurer une culture d'hygiène numérique sont des étapes clés pour regagner du contrôle. Pour les entreprises comme pour les institutions publiques, le défi consiste à encadrer l'usage de ces outils pour ne pas devenir les architectes de notre propre vulnérabilité. La devise nationale belge, "L'union fait la force", n'a jamais été aussi pertinente. Sans une prise de conscience collective, la Belgique risque de rester une cible facile. Mais certaines questions demeurent : jusqu’où externaliser sans perdre sa souveraineté, et comment concilier innovation rapide avec maîtrise du risque ?

 

 

Lire la suite