Le décryptage éco. Cyberattaque : les leçons de WannaCry

La cyberattaque des 12 et 13 mai est hors normes. WannaCry a frappé tous les esprits et constitue déjà une date majeure dans l’histoire du crime : jamais encore une attaque informatique n’avait eu cette vitesse fulgurante et cette puissance incroyable de diffusion, se propageant en Europe, en Asie, touchant plus de 150 pays et de centaines de milliers d’ordinateurs, paralysant des activités économiques presque partout dans le monde.

C’est totalement inédit et c’est, dans le registre informatique, une arme de destruction massive. Les Etats, les entreprises, et les assureurs cherchent maintenant à établir la chaîne de responsabilités qui a rendu possible ce type d’attaque. C’est le début d’une onde de choc qui va concerner beaucoup de monde.

La chaîne des responsabilités

Il y a d’abord ceux qui ont pensé, conçu et lancé cette attaque criminelle, car il ne s’agit pas d’une erreur de manipulation, mais bien d’une intention criminelle : cela prendra du temps, peut-être même beaucoup de temps, pour remonter la piste, sans qu’on sache même si les enquêteurs y parviendront.

Ensuite, on se tourne déjà du côté des éditeurs de logiciels. Ils sont le premier chaînon qui peut permettre ou même faciliter ce genre d’attaque. Quelle est leur part de responsabilité ? Microsoft connaissait par exemple la faille informatique utilisée par les auteurs de l’attaque. Pourquoi Microsoft n’a pas pu, n’a pas su, n’a pas voulu l’anticiper ? Y a-t-il une faute, une défaillance de l’entreprise ? Cette seule question est déjà dévastatrice.

Tout aussi incompréhensible est l’absence de mise à jour systématique de nombre d’ordinateurs d’entreprises ou d’administrations. Et cette question devrait déjà susciter un plan d’action et une réplique d’envergure pour mieux protéger nos systèmes informatiques.

Il y a ensuite un autre champ de responsabilités, celui des Etats. La numérisation accélérée de nos vies impose une extension des obligations de sécurité informatique. La mise en pratique d’un principe de précaution informatique va coûter cher. Les enjeux sont énormes et c’est une responsabilité nouvelle et colossale pour toutes les politiques publiques. En aval, mais aussi en amont : cette faille informatique qui a rendu l'attaque possible avait d’abord été découverte par la NSA, l’une des grandes agences de sécurité américaine. Pendant des années, la NSA semble même s’en être servie, sans avertir Microsoft. Et c’était manifestement jouer avec le feu.

Tout au bout de la chaîne, il y a nous, pauvres utilisateurs, et nous sommes aussi souvent de pauvres pécheurs, car il nous revient aussi de veiller à notre sécurité informatique : effectuer les mises à jour, les sauvegardes, ne pas télécharger n’importe quoi, choisir un bon mot de passe et en changer régulièrement… Et c’est un peu la même chose que pour la santé, chacun a aussi sa part de responsabilité.

Les "acts of men", hantise des assureurs

Enfin, les assureurs s’inquiètent aussi. Ils ont coutume de classer les risques qui nous menacent dans trois grandes familles, avec une métaphore. Il y a d’abord les "acts of god", c’est-à-dire ce qui est dans la main de dieu : ce sont les catastrophes naturelles, les crues, les tremblements de terre, les volcans en éruption, etc. Ensuite, il y a les "acts of devil", les actes du diable : ceux qui frappent et tuent intentionnellement des hommes. C’est le terrorisme, et même ce que les assureurs nomment désormais le risque de l’hyper-terrorisme. Et puis, entre ces deux familles, il ya les "acts of men", les actes des hommes. Ce sont les risques technologiques que nous créons, et de plus en plus, au point qu’ils peuvent devenir systémiques, comme dans cette dernière cyberattaque.

La technologie est souvent formidable, on ne pourrait pas s’en passer, mais elle est aussi un pourvoyeur de risque extraordinaire. C'est un paradoxe : plus nos sociétés contemporaines sont développées, et plus notre aversion au risque se développe. Et cela induit une énorme demande de sécurité, tout azimut. Tout l’enjeu aujourd’hui est de garder la tête froide, de ne pas céder aux réponses démagogiques, mais d’identifier les risques, de travailler à les réduire, autant que possible.