22 février 2018

Retour sur la “Revue stratégique cyberdéfense”

Introduction par Louis Gautier, secrétaire général de la défense et de la sécurité nationale

La revue est l’aboutissement de 6 mois de travail des équipes. Un parallèle est fait avec le rapport « chocs futurs » sur les problèmes de la paix.

Avant publication, la revue a été présentée au conseil de défense et mise en ligne le 14 février 2018.

Lettre de mission : cette revue stratégique de cyberdéfense est un « livre blanc » comparable au premier livre blanc de la Défense de 1972 sous l’impulsion du Général de Gaulle.

Objectifs :

La France doit, de manière générale, hausser ses mesures de cyberdéfense et développer trois axes :

  • Politique (mandat confié au SGDSN) ;
  • Stratégique : rehausser le niveau général de protection de la France et des OIV
  • Pédagogique : diffuser une culture de la prévention des habitudes d’hygiène informatique

Les attaques informatiques sont de plus en plus intrusives et des dégâts systémiques (sabotage) peuvent être encourus en plus du simple vol/destruction des données.

Table ronde 1 : Les dangers du monde cyber

  • David Martinon, ambassadeur pour la cyberdiplomatie et l’économie numérique
  • Capitaine de vaisseau Bertrand Le Sellier de Chezelles, chef d’état-major du COMCYBER
  • Bruno Marescaux, sous-directeur de l’ANSSI
  • Philippe DULUC, CTO Big Data @ security d’ATOS

Contexte

Le contexte actuel est particulièrement difficile en matière d’adoption de lois cyber. L’opposition « Est/Ouest » a conduit à un gel des négociations et le droit international humanitaire n’est, de ce fait, pas reconnu dans la sphère cyber.

Des nouvelles tendances en matière de menaces émergent et se sont matérialisées par les épisodes Wannacry, NotPetya conduisant à un « durcissement de la menace ».

Comment expliquer l’apparente multiplication des menaces ?

La multiplication des menaces exploitant les vulnérabilités des systèmes s’explique par plusieurs fondamentaux :

  • Une surface d’attaque de plus en plus grande due à la complexification des systèmes (l’attaquant a X possibilités d’attaques alors que la défense doit couvrir l’intégralité de son système)
  • La banalisation des techniques d’attaques qui sont maintenant disponibles à tout un chacun sur Internet et peuvent amplement suffire à s’introduire dans un des systèmes mal ou peu sécurisés
  • La multiplication des acteurs qui ont investi dans des capacités offensives (et qui ont dans certains cas perdu le contrôle)
  • Le manque de ressources et d’experts en sécurité informatique pour développer et déployer des moyens de défense efficaces

Les ambitions des attaquants sont d’autre part de diverses natures :

  • Cybercriminalité : vols de données et recours accrus aux ransomware
  • Espionnage
  • Accroissement des cyberattaques à des fins de sabotage
  • Déstabilisation : outils classiques (ex élections américaines)

Désormais, des menaces qui appartenaient à la sphère cybersécurité (type Ddos) migrent dans le champ de la sécurité nationale.

La revue évoque le concept de « Défense active » : c’est quoi ?

Des techniques de piégeage et de riposte envers l’attaquant ! On y retrouve par exemple le « Honey pot » destiné à perturber les éventuelles attaques ou le très polémique « Hack back » devenue une solution envisagée, imaginée, mais dont l’impact de l’action que l’on va mener est très mal maîtrisé.

C’est d’ailleurs précisément l’un des points de désaccord ayant conduit à l’échec des négociations avec les Nations Unies ; les avis sur l’emploi de cette technique étant très différents pour chacun des membres. La France par exemple souhaite l’interdire, car les risques sont mal maîtrisés tandis que la pratique est presque devenue commune pour les Russes.

Structuration de la menace & APT

Les premières APT ou Advanced Persistent Threats sont apparues en 2001.

Elles se définissent par un groupe d’attaquants informatiques en mesure de mener des attaques poussées avec des moyens importants.

Désormais, la frontière est de plus en plus floue entre les organisations gouvernementales et cybercriminelles et on fait face à des cas de plus en plus nombreux de mercenariats.

Les APT sont extrêmement difficiles à détecter et l’on peut rester victime d’une APT pendant plusieurs années. À titre d’exemple APT 1 a procédé à un vol de données pendant… 4 ans.

Aujourd’hui les chiffres sont sensiblement meilleurs : 350 jours avaient été nécessaires à la détection d’« APT1 », on est aujourd’hui sur un délai de 250 jours. Le chiffre reste très élevé, mais est à mettre en corrélation avec le temps que met le pirate à atteindre sa cible de départ et à « naviguer » dans le système (phénomène de « latéralisation »).

Les perspectives de détection plus rapides sont cependant optimistes avec la généralisation des SOC (Security Operation Center) qui œuvrent quotidiennement à la détection des APT.

L’intelligence artificielle (IA) offre par ailleurs de belles perspectives dans la détection des « signaux faibles » (résultats de logs, etc.)

Quelle est la stratégie de la France pour réguler le cyberespace ?

Il est absolument indispensable d’ouvrir les négociations à de nouveaux partenaires.

Les compétences en matière de cybersécurité sont dans le secteur privé.

Il paraît inévitable de poursuivre les efforts sur l’interdiction du hackback.

Parallèlement, toute grande puissance doit pouvoir échanger des armes cyber, mais cette pratique expose cependant à un risque de dissémination de ces armes.

On mentionnera également la question du champ de bataille numérique.

Une grande majorité des appareils du marché (objets connectés notamment) sont vulnérables. Il est impératif d’engager une discussion avec les grands acteurs pour comprendre comment faire pour que les produits présents sur le marché présentent moins de vulnérabilités en matière de sécurité.

La difficulté majeure reste cependant l’uniformisation a un niveau mondial.

L’organisation des débats avec le secteur privé est difficile, car chaque gouvernement souhaite protéger les intérêts de ses entreprise.

Un point de départ semble être le G20. Des groupes de travail ad hoc devraient ensuite pouvoir être hébergés à l’OCDE.

Conclusion : il est peu probable que des avancements considérables menant à une certaine uniformisation soient faits rapidement étant donné le contexte international difficile.

 

Table ronde 2 : L’État responsable de la cyberdéfense de la nation

  • Guillaume Poupard, directeur général de l’ANSSI
  • Jacques Martinon, magistrat à la direction des affaires criminelles et des Gräces
  • Pierre Jeanne, vice-président domaine sécurité des systèmes d’information de THALES COMMUNICATIONS & Security

Quels sont les grands axes de la cyberdéfense et les préconisations de la revue ?

  • La cybersécurité ne peut pas être concentrée uniquement au sein d’un ministère. Le sujet est transverse nécessitant de mobiliser tous les acteurs et mutualiser les moyens.
  • Séparer l’attaque et la défense permet de se concentrer chacun sur son rôle et de développer ces deux missions essentielles

La confiance n’est cependant pas une évidence et, bien qu’une collaboration entre acteurs soit nécessaire, les échanges d’informations entre partenaires demandent beaucoup d’analyse.

On distingue dans la revue 4 chaînes opérationnelles :

  • Action : enquêteurs (Ministère de l’Intérieur)
  • Renseignement
  • Prévention (portée par l’ANSSI)
  • Law inforcement

Retour sur la LPM : les mesures se mettent-elles en place ?

Les démarches de qualification des personnes et des entreprises (PASSI regroupe désormais une trentaine d’industriels) et de labélisations innovantes sont bien avancées dans le but de créer un écosystème de confiance et compétent.

L’offre se structure progressivement et va exister. Il faut que les OIV fassent maintenant appel à ces prestataires de confiance ce qui aujourd’hui n’est pas encore le cas (probablement sous l’effet de prix plus élevés).

Afin de déployer ces offres et permettre la rentabilisation des investissements, cette qualification française devrait être reconnue en Europe.

Mesures de protection avec les OIV

La directive NIS (Network & Information Security) va permettre d’étendre les mesures au-delà des OIV (Organismes d’Importance Vitale).

Ce projet représente toutefois une transposition ambitieuse où il faudra tenir compte de l’adéquation entre offre et demande.

L’État français va s’assurer par ailleurs de la sécurité des OSE (Opérateurs de Services Essentiels). Ces organisations publiques ou privées, considérées comme indispensables au fonctionnement normal de la société, vont se voir imposer des contraintes sécuritaires.

Constats et préconisations de la revue :

Plusieurs constats :

  • Difficulté statistique : on insiste sur l’importance de déclarer les incidents de cybersécurité, si l’incident n’est pas révélé on ne peut agir et anticiper. Evocation du « chiffre noir » représentant l’ensemble des crimes qui ne sont pas connus.
  • Difficulté logicielle : modification des outils actuels pour faciliter les signalements, les dépôts de plaintes (l’ACYMA, dispositif d’assistance aux personnes victimes d’actes de cybermalveillance en est un bon exemple)
  • Difficultés liées à la preuve numérique : donner les possibilités aux acteurs judiciaires de monter en compétences (amélioration des connaissances)

On se donne les moyens au niveau judiciaire, le développement est en marche. La juridiction parisienne bénéficie par exemple d’une section spécifique en matière de crime cyber.

Beaucoup reste à faire cependant et une collaboration plus forte est nécessaire avec Europol.

Pourquoi y a-t-il de nombreux acteurs dans la détection des menaces à l’étranger, mais peu en France pourquoi ?

La principale difficulté est de collecter des informations de natures et provenances différentes et de les corréler.

Thalès a mis en place une offre de Threat Intelligence avec des partenariats internationaux. Les informations recueillies sont exploitées dans un « fusion center » puis des marqueurs sont implémentés dans les sondes ou les SOC.

Il y a une réelle nécessité de fusionner un maximum ce type d’offre dans le pays afin de progresser dans la détection d’incidents potentiels futurs.

 

Table ronde 3 : L’État garant de la cybersécurité de la société

  • Colonel Philippe Baudoin, conseiller au ministère de l’Intérieur
  • Loïc Duflot, sous-directeur à la direction générale des entreprises
  • Pierre Bellanger, président directeur de Skyrock
  • Jean-Noël de Galzain, fondateur et CEO d’IF Research Wallix

On insiste sur la notion de « souveraineté numérique » : la maîtrise de notre destin sur les réseaux numériques. C’est la condition de la liberté numérique de chacun.

Actuellement on est dans une « souveraineté d’autrui » : on ne maîtrise pas cette valeur, on ne sait pas forcément où sont stockées les données et qui y accède. L’application du RGPD est à ce titre une formidable opportunité dans ce processus de « souveraineté numérique ».

Pourtant les données personnelles sont une infime part des données. La donnée personnelle est en réalité une « fiction » : on peut se poser par exemple la question à qui appartiennent les données d’un rendez-vous partagé ?

Le réseau de données est en fait indivisible, mes données renseignent surtout sur une autre personne (on fait ici le parallèle avec « mon carnet d’adresses » qui contient en fait des données sur tous mes contacts, mais pas nécessaire mes propres données personnelles.

On constate que la France peine sur le cloud souverain

Le nombre d’acteurs nationaux est effectivement plus faible qu’à l’étranger et les parts de marché sont bien moindres que pour les acteurs américains.

En ce sens la revue propose :

  • Un volet étatique comportant la définition d’une politique de cloud computing
  • Des Innovations de rupture
  • Des préconisations pour développer une autonomie européenne
  • Un référentiel à faire prospérer pour instaurer une confiance et sécurité dans le cloud

La France a assez peu d’entreprises moyennes en cyberdéfense ?

En France on parle souvent de « Start-up nation ».

Le constat n’est pas tout à fait juste, aujourd’hui on a des entreprises de grande échelle comme OVH, Linkbynet, Antemeta, Jaguar Networks, etc. qui sont des ETI et des références sur la scène européenne voire mondiale.

Nos entreprises ont encore besoin de temps. Nous sommes dans un marché qui décolle, c’est donc le moment d’investir dans ces entreprises qui ont du potentiel.

On insiste également sur le fait qu’il faille faire confiance à ces petites structures innovantes. Il ne faut pas en avoir peur quitte à les intégrer à de plus gros acteurs pour les projets stratégiques.

Développement d’outils offensifs

On retrouve dans la revue une catégorisation des outils offensifs :

  • Intrusions de sécurité
  • Captation de données à distance
  • Outils / armes informatiques ciblés
  • Armes informatiques massives

On a besoin de produits de confiance, sécurisés et sans failles. Le marché européen actuel est jugé suffisant.

On dit qu’« aujourd’hui plus facile de partir aux USA plutôt qu’ailleurs en Europe pour une entreprise française » :

C’est un constat assez réaliste et dramatique…

On a impérativement besoin de la confiance des grands acteurs qui commandent encore trop peu aux start-up. Un chiffre illustre parfaitement ce constat : moins de 0,7% des achats auprès des acteurs de la French Tech.

On constate d’ailleurs qu’il y a un manque cruel de sensibilisation auprès des directions achats qui ne « jurent » que par les grands groupes.

L’enjeu de la sensibilisation des acteurs

La sensibilisation doit se poursuivre aussi bien :

  • En interne : Sensibiliser ses propres troupes, par des tests de phishing, actions de sensibilisation…
  • Qu’en externe : l’ACYMA propose par exemple un parcours d’auto-diagnostic et de mise en relation et proposera prochainement des guides de sensibilisation aux entreprises. D’autres exemples comme le « Permis internet » pour les enfants et les MOOC de l’ANSSI se sont développés.

Comment peut-on favoriser le développement d’une culture nationale de cybersécurité ?

Il est indispensable de commencer très tôt, dès le contact avec un objet connecté à internet.

À ce titre le pouvoir public est fondamental.

Le message principal à faire passer est que la sensibilisation est l’affaire de tous, pas uniquement l’ANSSI et les autres organismes. Chaque individu doit être acteur de la sensibilisation aux risques cyber.

Des évènements incontournables (le FIC par exemple) sont de formidables leviers pour sensibiliser un large public.

 

Conclusion par Mounir Mahjoubi, secrétaire d’État auprès du Premier ministre, chargé du numérique

La sécurité est un pilier essentiel de la transformation numérique. L’objectif fixé est de devenir un État numérique exemplaire.

Pour y parvenir, la confiance numérique est primordiale. En cas d’attaques ou incidents majeurs, il pourrait y avoir un retour en arrière et perde totale de confiance.

C’est pourquoi il est primordial de soutenir l’« inclusion numérique » que chacun se sente acteur et concerné. À ce titre, le programme « AP (Action Publique) 2022 » est en cours pour répondre à l’inquiétude des Français sur le numérique.

On a par ailleurs besoin d’un tissu d’entreprises répondant à tous types de besoins. Des structures très petites, des consultants de proximités, des PME, des gros acteurs…

Des annonces sont à venir concernant :

  • Formation d’assistants-techniciens du numérique
  • Plan de transformation numérique pour les TPE/PME qui sont en retard

 

Thomas Filimon

Thomas FILIMON : Consultant BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *