Cette semaine à Paris a connu deux événements qu’il est intéressant d’observer en parallèle:
Comment est définie la cyberdéfense ?
Comme souvent, lorsque l’on parle de défense nationale, il faut se rappeler qu’elle ne touche pas qu’aux missions militaires, mais bien à l’ensemble des mesures permettant de défendre l’intégrité physique autant qu’économique ou sociale de la nation. La cyberdéfense était définie dans un papier très attendu publié par l’ANSSI en février 2011:
Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.
et cela vise le cyberespace:
Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.
qui correspond très largement à l’Internet tel qu’on l’entend généralement, mais aussi à tous les réseaux qui y sont connectés.
… et vient s’inclure dans la notion plus globale de cybersécurité:
État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.
Dans le rapport piloté par Jean-Marie Bockel La cyberdéfense: un enjeu mondial, une priorité nationale, son auteur s’était proposé de
se concentrer sur les attaques informatiques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation et les moyens de s’en protéger.
En réalité, et on le voit dans les nombreuses affaires qui ont dû être traitées au cours des derniers mois, il y a une grande partie de la politique de cyberdéfense qui se doit d’utiliser les outils juridiques de la lutte contre la cybercriminalité, puisqu’on s’est souvent retrouvés dans une situation d’abord délictuelle – souvent vraisemblablement liée à des actions d’espionnage. A contrario, toutes les mesures de la cyberdéfense ne relèvent pas uniquement de la sécurité des systèmes d’information, parce que partie prenante de la politique de défense du pays et donc disposant d’autres modes d’action complémentaires (comme la diplomatie, la négociation de traités, l’action militaire éventuelle – notamment offensive).
Les composantes de la cybersécurité
Il faut donc comprendre la cyberdéfense comme une posture spécifique et renforcée de sécurisation (mesures de protection, détection des incidents et réaction) de systèmes d’information jugés essentiels et notamment ceux qui touchent aux intérêts fondamentaux de la nation. En pratique, cela concerne donc les systèmes d’information de l’Etat – et notamment ceux liés à la Défense nationale, des collectivités locales et autres acteurs qui traitent des systèmes d’information sensibles au profit de l’Etat, ainsi que les opérateurs d’importance vitale (ou OIV, définis à l’article R1332-1 du code de la défense).
L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires d’établissements mentionnés à l’article L. 1332-2.
Un opérateur d’importance vitale :
– exerce des activités mentionnées à l’article R. 1332-2 et comprises dans un secteur d’activités d’importance vitale ;
– gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.
Cela va donc des fonctions techniques et d’infrastructure (opérateurs, composantes essentielles des réseaux comme les plateformes d’échange de trafic, les serveurs DNS, etc.) à tous les systèmes d’information sensibles des secteurs clés (énergie, transport, alimentation, santé, etc.).
Cette posture particulière se traduit notamment en France par la désignation d’entités spécifiques au sein de l’administration chargées prioritairement de cette mission: l’Agence nationale de la sécurité des systèmes d’information et la chaîne de commandement Cyber du Ministère de la défense. Bien entendu, ces entités disposent de nombreux partenaires agissant à différents titres: citons police, gendarmerie et justice dans les domaines judiciaires, ou encore la direction générale de l’armement dans la dimension technico-opérationnelle.
Que retenir du colloque organisé au Sénat ?
Le colloque avait d’abord pour objet de prendre acte des progrès accomplis depuis la publication du livre blanc de la défense de 2008. La cyberdéfense n’était alors pas encore affichée sous cette terminologie:
(Extrait de la synthèse) La guerre informatique est une préoccupation majeure du Livre blanc qui développe deux axes stratégiques : d’une part, une conception nouvelle de la défense informatique, organisée « en profondeur » et coordonnée par une agence de la sécurité des systèmes d’information placée sous la tutelle du secrétaire général de la défense et de la sécurité nationale; d’autre part, la constitution de capacités de lutte informatique offensive qui seront développées, pour les armées, sous l’égide de l’état-major des armées, et en outre par des services spécialisés.
Entre autres, l’agence nationale de la sécurité des systèmes d’information, successeure de la direction centrale de la sécurité des systèmes d’information aux missions élargies, a bien été créée et a recruté assez largement. De même, le ministère de la défense a renforcé ses structures dédiées à la cyberdéfense, couronnées par la nomination d’un « officier général cyber » au sein de l’Etat major des armées.
Dans le Livre blanc 2013 de la défense et de la sécurité nationale, l’ambition est réaffirmée, ce à plusieurs reprises:
(page 90) Nos armées remplissent d’abord des missions permanentes. La dissuasion continuera de se fonder sur la posture permanente des deux composantes, océanique et aéroportée. Dans le cadre de la fonction stratégique de protection, les postures permanentes de sûreté terrestre, aérienne et maritime seront tenues dans les mêmes conditions qu’aujourd’hui. L’engagement des armées en renfort des forces de sécurité intérieure et de sécurité civile en cas de crise majeure pourra impliquer jusqu’à 10 000 hommes des forces terrestres, ainsi que les moyens adaptés des forces navales et aériennes. Pour remplir ces différentes missions de protection, il sera fait appel, lorsque c’est nécessaire, à des moyens prélevés ponctuellement sur nos forces d’intervention. Cette posture sera complétée par le dispositif de cyberdéfense, qui est appelé à s’amplifier dans les années qui viennent.
(page 94) Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué, en relation étroite avec le domaine du renseignement. La France développera sa posture sur la base d’une organisation de cyberdéfense étroitement intégrée aux forces, disposant de capacités défensives et offensives pour préparer ou accompagner les opérations militaires. L’organisation opérationnelle des armées intégrera ainsi une chaîne opérationnelle de cyberdéfense, cohérente avec l’organisation et la structure opérationnelles de nos armées, et adaptée aux caractéristiques propres à cet espace de confrontation : unifiée pour tenir compte de l’affaiblissement de la notion de frontière dans cet espace ; centralisée à partir du centre de planification et de conduite des opérations de l’état-major des armées, pour garantir une vision globale d’entrée et une mobilisation rapide des moyens nécessaires ; et spécialisée car demandant des compétences et des comportements adaptés. La composante technique confiée à la direction générale de l’armement aura pour mission de connaître et anticiper la menace, de développer la recherche amont, et d’apporter son expertise en cas de crise informatique touchant le ministère de la Défense.
(page 105) La lutte contre la cybermenace
Les suites données aux analyses et aux recommandations du Livre blanc de 2008 dans le domaine de la cyberdéfense ont permis à la France de franchir une étape décisive dans la prise en considération de cette menace et dans la mise en œuvre des réponses qu’elle requiert. Toutefois, la croissance continue de la menace, l’importance sans cesse accrue des systèmes d’information dans la vie de nos sociétés et l’évolution très rapide des technologies imposent de franchir une étape supplémentaire pour conserver des capacités de protection et de défense adaptées à ces évolutions. Elles nous imposent aujourd’hui d’augmenter de manière très substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information, tant pour le maintien de notre souveraineté que pour la défense de notre économie et de l’emploi en France. Les moyens humains qui y sont consacrés seront donc sensiblement renforcés à la hauteur des efforts consentis par nos partenaires britannique et allemand.
La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale. Pour y parvenir, l’État doit soutenir des compétences scientifiques et technologiques performantes.
La capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d’attaque, est à cet égard une composante essentielle de la souveraineté nationale. Un effort budgétaire annuel en faveur de l’investissement permettra la conception et le développement de produits de sécurité maîtrisés. Une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent. Le maintien d’une industrie nationale et européenne performante en la matière est un objectif essentiel.
Un renforcement de la sécurité des systèmes d’information de l’État est nécessaire. Une politique de sécurité ambitieuse sera mise en œuvre. Elle s’appuiera notamment sur le maintien de réseaux de haute sécurité irriguant les autorités de l’État, sur une politique appropriée d’achat public et sur une gestion adaptée des équipements de communications mobiles. Elle sera complétée par une politique de sensibilisation en direction des administrations déconcentrées de l’État, des collectivités territoriales, de leurs établissements publics et des principaux utilisateurs du cyberespace. La cybersécurité de l’État
dépend aussi de celle de ses fournisseurs de produits et de services, qui doit être renforcée. Des clauses seront insérées dans les marchés afin de garantir le niveau de sécurité attendu.
S’agissant des activités d’importance vitale pour le fonctionnement normal de la Nation, l’État fixera, par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l’égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. Ce dispositif précisera les droits et les devoirs des acteurs publics et privés, notamment en matière d’audits, de cartographie de leurs systèmes d’information, de notification des incidents et de capacité pour l’agence nationale de la sécurité des systèmes d’information (ANSSI), et, le cas échéant, d’autres services de l’État, d’intervenir en cas de crise grave.
La doctrine nationale de réponse aux agressions informatiques majeures repose sur le principe d’une approche globale fondée sur deux volets complémentaires :
- la mise en place d’une posture robuste et résiliente de protection des systèmes d’information de l’État, des opérateurs d’importance vitale et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l’autorité du Premier ministre, et reposant sur une coopération étroite des services de l’État, afin d’identifier et de caractériser au plus tôt les menaces pesant sur notre pays ;
- une capacité de réponse gouvernementale globale et ajustée face à des agressions de nature et d’ampleur variées faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés.
Au sein de cette doctrine nationale, la capacité informatique offensive, associée à une capacité de renseignement, concourt de façon significative à la posture de cybersécurité. Elle contribue à la caractérisation de la menace et à l’identification de son origine. Elle permet en outre d’anticiper certaines attaques et de configurer les moyens de défense en conséquence. La capacité informatique offensive enrichit la palette des options possibles à la disposition de l’État. Elle comporte différents stades, plus ou moins réversibles et plus ou moins discrets, proportionnés à l’ampleur et à la gravité des attaques.
De manière plus générale, la sécurité de l’ensemble de la société de l’information nécessite que chacun soit sensibilisé aux risques et aux menaces et adapte en conséquence ses comportements et ses pratiques. Il importe également d’accroître le volume d’experts formés en France et de veiller à ce que la sécurité informatique soit intégrée à toutes les formations supérieures en informatique.
Toute politique ambitieuse de cyberdéfense passe par le développement de relations étroites entre partenaires internationaux de confiance. Les relations seront approfondies avec nos partenaires privilégiés, au premier rang desquels se placent le Royaume-Uni et l’Allemagne. Au niveau européen, la France soutient la mise en place d’une politique européenne de renforcement de la protection contre le risque cyber des infrastructures vitales et des réseaux de communications électroniques.
(page 120) Il faudra en outre organiser la montée en puissance de nouvelles composantes de la réserve opérationnelle, spécialisées dans des domaines dans lesquelles les forces de défense et de sécurité sont déficitaires. C’est notamment le cas de la cyberdéfense, qui fera l’objet d’une composante dédiée au sein la réserve opérationnelle. Celle-ci constituera un atout au service de la résilience de la Nation et sera prévue et organisée spécifiquement pour permettre au ministère de la Défense de disposer d’une capacité de cyberdéfense démultipliée en cas d’attaque informatique majeure.
[…] Compte tenu des enjeux multiples et croissants dans ce domaine, une réserve citoyenne sera particulièrement organisée et développée pour la cyberdéfense, mobilisant en particulier les jeunes techniciens et informaticiens intéressés par les enjeux de sécurité.
Les présentations de la première partie de la journée ont donc développé autour des idées détaillées dans le livre blanc. Je résumerais en trois points les idées principales que j’en retiens:
- Un acquis important tant sur le plan organisationnel que des moyens mis à disposition;
- Une véritable prise de conscience politique de l’enjeu de la cybersécurité et plus particulièrement de la nécessité de renforcer notre cyberdéfense – dans le précédent livre blanc, le sujet était bien présent, mais diffus ;
- Une ambition réaffirmée, qui même si elle n’est pas chiffrée précisément, se positionne à la hauteur de ce qui est pratiqué par nos partenaires les plus proches – Royaume-Uni et Allemagne (l’Allemagne a annoncé un programme de financement de la recherche en cybersécurité à hauteur de 30 M€).
L’après-midi a été consacrée au rôle des industries spécialisées françaises, qui nous ont expliqué – et l’évolution de leur organisation et de leurs offres le démontre – qu’elles sont en ordre de bataille pour répondre aux enjeux proposés par le livre blanc ou le rapport Bockel. Le sujet des petites et moyennes entreprises œuvrant dans ce domaine a été abordé, notamment au travers de l’intervention de Jérôme Notin, l’un des responsables du projet d’antivirus français DAVFI. Et on touche là à un sujet essentiel et ce pour plusieurs raisons:
- l’innovation se développe très souvent dans de petites structures (VUPEN est souvent cité comme acteur majeur de la connaissance des menaces, mais beaucoup d’autres sont à l’oeuvre comme PicViz, ArxSys, Quarkslab, Lexfo, Tetrane, Amossys, 6cure ou certains des membres du pôle Systematic, puis dans les toutes petites Agarri… n’hésitez pas à me signaler d’autres petites entreprises en pointe);
- l’offre de sécurité à taille humaine, c’est-à-dire à la taille des PME ou des collectivités locales doit se développer, elle existe en France de façon encore insuffisante (l’offre peine à atteindre ou à convaincre tout le public qu’il faudrait toucher) et fragile (les difficultés financières d’HSC annoncées récemment en sont une illustration criante).
Enfin, la recherche et la formation sont deux composantes essentielles de la politique à développer. Tous partagent le constat qu’un gros effort reste à réaliser dans le domaine de la formation, qu’il s’agisse de sensibilisation de tous les français, des responsables d’entreprises, d’initiation à la sécurité des informaticiens, de formation de spécialistes en sécurité des systèmes d’information et plus spécifiquement en cyberdéfense ou de la formation continue des acteurs complémentaires (comme les magistrats, gendarmes ou policiers par exemple). Les besoins sont clairement détaillés dans le rapport Bockel.
Vous retrouverez des extraits en vidéo de la journée sur le site du Sénat. Pour ceux qui seraient intéressés enfin, une fiche sur la réserve citoyenne cyberdéfense.
Autres articles sur ce colloque:
Sujet très complémentaire de nos préoccupations en matière de cybercriminalité !…
Les conférences en sécurité
Revenons sur le deuxième événement de cette semaine avec NoSuchCon. Les conférences de sécurité informatique se multiplient en France et dans les pays voisins et c’est une bonne chose. Rien qu’entre mai et juin on peut citer:
- Hackito Ergo Sum, Paris, 2-4/05/2013
- NoSuchCon, Paris, 15-17/06/2013
- SSTIC, Rennes, 5-7/06/2013 (essentiellement en français)
- Hack in Paris, Marne-la-Vallée, 17-21/06/2013, suivie de la Nuit du Hack au même endroit, 22-23/06/2013
… puis à l’automne:
Autant d’occasions pour rencontrer non seulement des français qui travaillent sur des questions de sécurité, mais des spécialistes venus du monde entier. Témoignage d’une vivacité grandissante de cette communauté en France. NoSuchCon était l’occasion, à l’image de Hackito Ergo Sum quelques jours plus tôt, d’assister à des présentations qui auparavant ne parvenaient pas jusque chez nous.
Pour finir, quelques articles en ligne sur la NoSuchCon pour vous en faire votre propre idée:
- #NoSuchCon : un vivier de hackers… pour la cyberdéfense ?, Margaux Duquesne, L’Informaticien
- NoSuchCon #1 Wrap-Up, Xavier Mertens
- NoSuchCon : une conférence hacking de très haut niveau !, François Tonic, Programmez
- Le « hacking éthique » à l’assaut des cybercriminels, Raphaële Karayan, L’Expansion
- NoSuchCon 2013, Stefano Ortolani, Securelist Kaspersky Lab
- NoSuchCon, conférence de sécurité informatique, Laurent Bloch
- et les présentations de la conférence en téléchargement.
J’ai eu un faible pour la toute dernière présentation, par deux français, Robinson Delaugerre & Adrien Chevalier, Killing RATs, the Arsenic Framework, qui ont pour ambition de mettre à disposition une plateforme d’analyse de certains types d’attaques en profondeur. A suivre donc !