Nicolas Arpagian
Directeur de la stratégie en cybersécurité chez Trend Micro
Auditeur de la Session Annuelle 8
Nicolas Arpagian est Directeur de la stratégie en cybersécurité de TREND MICRO.
Enseignant à l’Ecole Nationale Supérieure de la Police (ENSP), à l'Ecole Nationale de la Magistrature (ENM), à Sciences Po Saint Germain et l’Université Polytechnique Mohammed VI (Maroc), il est l’auteur de nombreux ouvrages parmi lesquels :
- « Frontières.com » (Editions de l’Observatoire),
- « La Cybersécurité » (Presses Universitaires de France),
- « L’Etat, la Peur et le Citoyen » (Vuibert),
- « La Cyberguerre – La guerre numérique a commencé » (Vuibert),
- « Pour une stratégie globale de sécurité nationale » (Dalloz),
- « Liberté, Egalité…Sécurité » (Dalloz.)
Twitter : @cyberguerre
IHEE : Pouvez-vous vous présenter ? Pouvez-vous présenter en quelques mots Trend Micro ? Et à quel programme de l’IHEE avez-vous participé ?
Nicolas Arpagian : Je suis Nicolas Arpagian, et actuellement Directeur de la stratégie en cybersécurité de Trend Micro. Cette entreprise est un des spécialistes mondiaux de l’analyse de la cybermenace et de la protection des systèmes d’information. Elle existe depuis une trentaine d’années, rassemble quelque 7000 collaborateurs et réalise environ 2 Md$ de chiffre d’affaires.
Via son programme international, la Zero Day Initiative, c’est le premier contributeur à l’échelle de la planète en matière de découverte de failles dites « Zero Day » qui venant précisément d’être identifiées – d’où leur nom - constituent des points d’entrées appréciés des pirates pour conduire leurs actions malveillantes.
Je conduis une activité académique en parallèle de mes fonctions opérationnelles, en enseignant notamment à l’Ecole Nationale Supérieure de la Police (ENSP), à Sciences Po Saint Germain et à l’Université polytechnique Mohammed VI au Maroc. J’essaie enfin de partager mes analyses avec des publications grand public, comme par exemple en 2022 le livre « Frontières.com » aux Editions de l’Observatoire et un ouvrage dans la collection « Que Sais-Je ? » des Presses Universitaires de France (PUF) intitulé « La Cybersécurité » que je mets à jour très régulièrement.
J’ai eu le plaisir de participer à la 8ème promotion de la session annuelle de l’IHEE.
Depuis quelques mois, nous entendons de plus en plus parler de cyber attaques (un hôpital il y a encore quelques semaines), qu’est ce que cela signifie pour votre métier ? Et quels sont les principaux enjeux pour votre secteur d’activité ?
La question de la cybersécurité est au cœur de nos sociétés de plus en plus numérisées et interconnectées. Nous avons besoin des systèmes d’information et des données pour produire, commercer, administrer, voyager, enseigner, soigner, faire des recherches, conduire des activités militaires ou nous divertir. Cela accroît d’autant notre dépendance à la disponibilité, à l’intégrité et à la confidentialité de ces communications. Et nous oblige donc à investir plus que jamais dans l’expertise technique et humaine pour comprendre les menaces, les modes opératoires des attaquants et concevoir des dispositifs de protection.
Il y a une très forte concurrence pour trouver les talents, les fidéliser et faire en sorte qu’ils soient plus créatifs que les pirates. C’est une course continue qui mêle le savoir-faire humain à des performances techniques en constante évolution.
Quel est votre regard sur les évolutions à venir en matière de numérique et de protection des données ?
L’adoption en 2018 par l’Union européenne du Règlement Général sur la Protection des Données (RGPD) a eu le mérite de fixer des obligations de sécurisation et des responsabilités en cas de perte ou de vol de données personnelles. Les amendes encourues, jusqu’à 4 % du chiffre d’affaires mondialisé de l’entité jugée fautive et les possibles actions au civil de la part des personnes victimes ont permis de mettre un prix sur la valeur desdites données. Relativisant d’autant les investissements nécessaires à la protection de ces informations à valeur ajoutée. Pointée du doigt et volontiers accusée de conservatisme, l’Union européenne a finalement inspiré plusieurs autres pays. Et a contribué à la prise de conscience de ce qu’il pouvait advenir d’une exploitation sans contraintes de ces masses de données.
Dès lors que nous sommes tous, quels que soient notre âge, diplôme ou rôle social, des producteurs et des consommateurs de données et de services numériques, il est indispensable de faire progresser la connaissance du grand public en la matière. Pas question de faire de chacune et chacun des informaticiens ou des juristes spécialisés, mais il est important que la culture des technologies numériques et les droits qui y sont attachés soient mieux connus par nos concitoyens. Afin d’être de moins en moins des utilisateurs passifs d’outils ou de logiciels conçus et développés par d’autres. En comprenant les modèles économiques, les principes de fonctionnement et les usages abusifs qui peuvent être faits d’une application, d’un système de géolocalisation ou d’objets connectés, on est mieux à même de les paramétrer, de les utiliser, de les améliorer, de les concurrencer voire de les contester.
La cybersécurité demande des systèmes informatiques puissants et performants. A votre avis, comment la cyber sécurité peut s’intégrer dans la transition écologique ?
Il faut comprendre que le pirate n’est pas principalement dans une course à l’innovation : il recherche avant tout la performance/rentabilité et le meilleur rapport qualité/prix/risque pour commettre ses actes. La cybersécurité est chargée d’assurer la continuité des organisations numérisées. Elle accompagne leur existence et leur fonctionnement. En contribuant à vérifier la gestion des identités, le suivi des usages numériques et le pilotage des ressources informatiques, elle contribue à en mesurer et maitriser les moyens techniques. C’est une aide précieuse pour concevoir à partir de ces éléments des politiques d’optimisation des systèmes d’information.
Très souvent, lorsque nous entendons parler de cyber attaques, elles viennent de l’étranger. Y a-t-il une entraide internationale pour lutter contre ces attaques ? Pouvez-vous nous parler des Cyber alliances existantes et sont-elles amenées à se renforcer ?
Les cybercriminels et leurs victimes sont répartis partout sur la planète. Il n’y a pas d’exception. Le traitement institutionnel de la cybersécurité à l’échelle internationale est paradoxal : toutes les organisations revendiquent d’intervenir sur le sujet : la Commission européenne, la Communauté Economique des Etats d’Afrique de l’Ouest, le Conseil de l’Europe le G-7, l’OCDE, l’OTAN, l’UNESCO, l’Union Internationale des Télécommunications, l’UNICEF… Pourtant chaque pays veille à créer et entretenir sa propre expertise et sa capacité opérationnelle tant offensive que défensive. Ainsi l’actualité a démontré que l’arme cyber pouvait même être utilisée entre alliés. Car si de nombreux Etats sont globalement des amis politiques, ils sont toujours des concurrents dans les domaines diplomatiques, économiques, sociaux, fiscaux, scientifiques, technologiques…
Or le piratage est aussi utilisé pour capter du renseignement afin de conserver son avance ou rattraper son retard. Dans le cas des relations entre nations partenaires, la faute est alors de se faire prendre. Même les 27 de la pourtant très intégrée Union européenne rechignent à transférer à l’ENISA – l’agence dédiée à la cybersécurité créée par l’UE, une part conséquente des budgets, personnels et savoir-faire cyber nationaux. La France et l'Allemagne, qui sont moteurs de la cybersécurité européenne, tiennent au financement et au recrutement de leurs agences défensives respectives, l’ANSSI et le BSI. Idem pour la lutte contre la cybercriminalité avec Europol : les polices de l’UE coopèrent entre elles mais pas question encore d’un « FBI européen » qui appliquerait uniformément le même droit avec les mêmes moyens d’intervention sur tout le territoire de l’UE, comme peut le faire la police fédérale au Etats-Unis.
Qu’est-ce que votre formation à l’IHEE a changé dans votre pratique professionnelle ou vie personnelle ?
Le passage par l’IHEE fut certainement une étape importante dans la bascule de ma vie professionnelle. Qui m’a conduit quelques années après la session à quitter mon métier de journaliste, déjà impliqué dans les sujets d’analyse stratégique de la cybersécurité, pour une activité opérationnelle conduisant à rejoindre l’équipe des fondateurs, de ce qui deviendra le numéro un français du secteur, Orange Cyberdefense.
Pouvez-vous revenir sur cette expérience : souvenir, intervenant marquant, anecdote à partager ?
Des discussions avec des membres du patronat turc à Istanbul, en passant par les rencontres avec des responsables d’entreprises en Chine ou la visite de la Bourse des matières premières de Chicago, je retiens une constante. Avoir à chaque fois le temps et la formidable opportunité de disposer d’experts et de praticiens prêts à livrer la réalité de leur activité et de leur perception du monde. Tous étaient ouverts à nos questions, à nos remarques et à nos comparaisons. Et je me souviens de réponses qui ont pu déplaire, surprendre et parfois enthousiasmer certain/e/s d’entre nous.
Enfin, nous avons eu au cours de cette année 2008 hors normes des occasions de rencontrer l’actualité in situ : à Pékin avec les JO, dans l’Illinois la terre d’élection d’Obama.
Avez-vous une réflexion à partager avec nos lecteurs ? Et pourquoi ?
Un conseil. Le seul qui s’impose : tentez votre chance en candidatant à la session annuelle de l’IHEE !
Deux lectures. Pour commencer je vous invite à vous (re)plonger dans « Le Tour du Monde en 80 jours » de Jules Verne. C’est dépaysant, stimulant et très divertissant !
Autre ouvrage, certes moins souriant mais très instructif : « La Guerre hors limites » de Qiao Liang et Wang Xiangsui (Editions Rivages). Une réflexion stratégique signée par deux officiers chinois qui permet de se familiariser avec une pensée issue de ce pays majeur pour l’avenir du monde.
Des œuvres d’art. Conformément au legs effectué en 1900 par le collectionneur Henry Vaughan, les 38 aquarelles de M.W.Turner ne sont visibles chaque année à la National Gallery d’Edimbourg que durant le seul mois de janvier, période idéale -selon les termes du testament- à la préservation de « leur couleur et de leur dynamisme spectaculaires ». A déguster dans l’hiver écossais, avant de rejoindre tranquillement un pub de Prince Street.