Des mesures de cybersécurité plus efficaces pour le commerce électronique grâce à plusieurs projets financés par l’UE.
Chercheurs et petites entreprises unissent leurs forces contre les hackers
Par
Publié le 6 avril 2024 à 8h00
6%Le chiffre d'affaires du e-commerce européen a augmenté de 6% en 2023
Quel est le point commun entre une pharmacie grecque, une banque multinationale espagnole, une fondation allemande spécialisée dans l’économie numérique et une université britannique?
Tous ont contribué au développement, grâce à un financement de l’UE, d’outils logiciels ayant pour mission de lutter contre les menaces en ligne et physiques qui pèsent sur le e-commerce du marché unique européen, le plus lucratif au monde.
Des cibles de choix
Le projet ENSURESEC avait pour but de faire en sorte que les petites et moyennes entreprises possèdent les connaissances et les défenses technologiques adéquates pour faire obstacle aux hackers et aux fraudeurs.
«Les PME ont moins de ressources», a déclaré Luis Carrascal, expert en cybersécurité chez Inetum, un éditeur de logiciels français. «Elles n’ont pas la possibilité de recruter de grandes équipes d’experts en cybersécurité. La plupart des employés des PME ne maîtrisent pas non plus le b. a.-ba de la cybersécurité.»
Par définition, les PME comptent moins de 250 employés et ont un chiffre d’affaires inférieur à 50 millions d'euros. En fait, presque toutes les entreprises européennes sont des PME. Elles sont donc concernées par le problème du piratage.
Près d'un tiers des PME européennes ont été confrontées à au moins un piratage en 2021, d’après une enquête Eurobaromètre.
On peut citer en exemple le cas classique des attaques de type «ransomware» dans lesquelles des hackers pénètrent dans les systèmes informatiques d’une entreprise, chiffrent ses données et demandent une rançon. Un réseau européen de petites entreprises a fait état d’une augmentation de 57 % des attaques de ransomware visant des PME en 2023 par rapport à l'année précédente.
«Surface d’attaque»
Theodoros Sakopoulos, propriétaire de ToFarmakeioMou, une pharmacie en ligne d’Athènes a simulé une attaque hybride physique et numérique dans le cadre du projet ENSURESEC.
Durant cette simulation de vol, des hackers ont essayé de brouiller le traceur GPS d'un livreur de médicaments afin de pouvoir intercepter le véhicule et voler son chargement. Des dispositifs de détection ont été mis au point pour suivre le chargement et avertir la pharmacie lorsqu’une commande a été piratée.
M. Sakopoulos faisait partie des 22 participants du projet ENSURESEC, qui s'est déroulé sur deux ans jusqu'à la mi-2022. Parmi les autres participants figuraient la CaixaBank basée en Espagne, la IOTA Stiftung (une fondation allemande qui mène des recherches sur l'économie numérique) et l'Université de Greenwich au Royaume-Uni.
«Le commerce électronique offre une énorme surface d’attaque», souligne Augustin Lemesle, ingénieur chercheur au Commissariat aux énergies alternatives et à l'énergie atomique (CEA), qui a également participé au projet. «Vous pouvez être attaqué de toutes parts.»
M. Lemesle a assuré la coordination technique du projet ENSURESEC, dont les participants étaient issus de 14 pays d’Europe. Parmi les autres participants figuraient l’agence espagnole de l'éditeur de logiciels français Atos et l'université belge KU Leuven.
Une surveillance dopée à l’IA
L’un des outils logiciels du projet utilise l’intelligence artificielle (IA) pour surveiller les réseaux internes d’une entreprise, qui sont protégés de l’Internet extérieur. Ces réseaux sont la cible privilégiée des hackers qui cherchent à s’y introduire pour accéder à des données sensibles.
C’est pourquoi, pour protéger une entreprise, il est essentiel de surveiller ses réseaux internes et d’identifier la moindre activité suspecte.
Compte tenu de la complexité et du nombre élevé d’utilisateurs de ces réseaux, les surveiller manuellement est difficilement envisageable. Par contre, un système faisant appel à l’IA peut le faire automatiquement, sans interruption, et signaler tout ce qui sort de l’ordinaire.
«Nous devons faire en sorte que l’entreprise réagisse de manière adéquate en cas de menace», a déclaré M. Lemesle.
Les achats en ligne ont explosé depuis le début de la pandémie de Covid-19, en 2020.
Le chiffre d'affaires du e-commerce européen a augmenté de 6 % par rapport à l'année précédente, pour atteindre 899 milliards d'euros en 2023. De plus en plus de PME proposent des services en ligne à leurs clients, ce qui les expose à un plus grand risque d’attaque.
«Le e-commerce est très étroitement lié aux consommateurs», a déclaré M. Lemesle. «Le moindre problème a un impact considérable sur la société. Tout le monde utilise le commerce électronique, qui met en danger nos données personnelles et notre sécurité.»
Un kit facile à utiliser
M. Carrascal, de la société Inetum, a dirigé un autre projet de recherche financé par l'UE qui a pour objectif de mettre au point des mesures de sécurité plus faciles à utiliser pour les petites entreprises européennes.
Intitulé CyberKit4SME, le projet s'est achevé en novembre 2023 après trois ans et demi de travaux.
M. Carrascal a déclaré que la difficulté pour les petites entreprises n’est pas le manque de solutions logicielles disponibles pour répondre à leurs besoins de cybersécurité, mais plutôt leur complexité.
«De nombreux outils logiciels sont déjà sur le marché», a-t-il déclaré. «Le hic, c’est qu’ils sont difficiles à utiliser. Cela pose problème aux PME, dont les équipes informatiques sont insuffisantes.»
L'un des outils logiciels proposés par le projet aide les PME à mieux sécuriser le stockage et l’accès aux données.
Un autre outil analyse le comportement des utilisateurs sur les réseaux de l’entreprise et identifie les dangers possibles.
La dimension humaine est le maillon le plus faible du dispositif de cybersécurité d’une entreprise. Les utilisateurs pourraient, par exemple, cliquer sur un faux lien et permettre ainsi aux hackers d’accéder aux réseaux internes de l’entreprise.
Un autre logiciel du projet cherche à détecter les vulnérabilités en modélisant les systèmes informatiques.
«Il donne la possibilité aux entreprises de créer un modèle virtuel de leur système d'information, et donc d’analyser plus facilement les menaces potentielles», a déclaré M. Carrascal.
À l’heure actuelle, ce type de logiciel exige qu’un expert en informatique examine le système logiciel de l’entreprise et inventorie tous les points depuis lesquels il est accessible depuis l’Internet public. Ceci permet de dresser la liste des points d’entrée susceptibles d’être exploités par le hacker et qui doivent être protégés.
En automatisant une plus grande partie du processus, le projet CyberKit4SME a permis aux petites entreprises de renforcer plus facilement la sécurité de leurs systèmes informatiques.
Mise sur le marché
Les équipes des projets CyberKit4SME et ENSURESEC souhaitent toutes deux commercialiser leurs technologies.
L’équipe du projet ENSURESEC a toutes les raisons d'être optimiste.
D’après M. Lemesle, certaines entreprises vendent déjà des outils élaborés dans le cadre du projet, et d'autres outils sont disponibles en accès libre.
«Il existe une véritable demande pour notre technologie», a-t-il déclaré.
D'autres technologies issues d'ENSURESEC doivent encore être perfectionnées, ce qui est en train d’être fait dans le cadre de nouveaux projets de recherche financés par l'UE, selon M. Lemesle.
Le projet CyberKit4SME diffuse aussi certains de ses logiciels gratuitement.
Sur les six technologies développées par le biais du projet, quatre sont aujourd’hui totalement open-source et une autre est en accès libre partiel, selon M. Carrascal.
«Tout le monde peut les utiliser», a-t-il déclaré.
Et d’ajouter que certains partenaires du projet envisagent de créer une start-up pour commercialiser l'ensemble du kit d’outils.
«Les hackers continueront d’exploiter les vulnérabilités des organisations les moins préparées», a-t-il déclaré. «C’est la raison pour laquelle nous devons investir pour mieux les protéger.»
Les recherches présentées dans le cadre de cet article ont été financées par le biais du programme Horizon de l’UE. Les opinions des personnes interrogées ne reflètent pas nécessairement celles de la Commission européenne.
Plus d’infos
Cet article a été publié initialement dans Horizon, le magazine de l’UE dédié à la recherche et à l’innovation.
Suivez-nous sur Google News
Economie Matin - Soutenez-nous en nous ajoutant à vos favoris Google Actualités.