Cy­ber­sé­cu­ri­té : l’état d’ur­gence ?

Du­rant deux jours, ci­vils, po­li­tiques et mi­li­taires ont ten­té de faire émer­ger des stra­té­gies com­munes vi­sant à contrer les risques de sé­cu­ri­té sus­cep­tibles de tou­cher les ci­toyens comme les en­tre­prises, en France comme à l’in­ter­na­tio­nal.

IT for Business - - LA UNE -

Le Fo­rum In­ter­na­tio­nal de la Cy­ber­sé­cu­ri­té s’est dé­rou­lé à Lille les 24 et 25 jan­vier der­niers. Tou­jours au centre des dé­bats, les ques­tions de me­naces, de tech­no­lo­gies, de contre-me­sures et les dif­fi­cul­tés de re­cru­te­ment ont pour­tant été quelque peu éclip­sées par la prise de conscience des gou­ver­ne­ments de de­voir par­ti­ci­per à l’émer­gence d’un nou­vel ordre mon­dial né­ces­si­tant l’évo­lu­tion du droit in­ter­na­tio­nal. À la veille des élec­tions pré­si­den­tielles, le FIC fut ain­si plus po­li­tique que ja­mais. Dans ce contexte, Bru­no Le Roux, mi­nistre de l’in­té­rieur, et Jean-yves Le Drian n’ont pas mâ­ché leurs mots. Le mi­nistre de la Dé­fense na- tio­nale ex­plique : « La fré­quence et l’am­pleur des at­taques nu­mé­riques aug­mentent sans cesse, tout comme leur so­phis­ti­ca­tion tech­no­lo­gique. Nous sommes au­jourd’hui dans un monde de guerre et l’es­pace nu­mé­rique est de­ve­nu une nou­velle zone d’af­fron­te­ments, y com­pris entre États » . De quoi jus­ti­fier les 2 mil­liards d’eu­ros in­ves­tis de­puis le lan­ce­ment du Pacte Dé­fense Cy­ber en 2014, le dou­ble­ment des ef­fec­tifs du pôle — pour at­teindre 3 200 per­sonnes — et la créa­tion de la ré­serve cy­ber­dé­fense (près de 400 ré­ser­vistes à la fin de l’an­née). Et d’ajou­ter : « J’ai dé­ci­dé de créer un com­man­de­ment des opé­ra­tions cy­ber [aux cô­tés des trois com­man­de­ments Terre, Air, et Mer, ndlr], qui contri­bue­ra à as­seoir notre sou­ve­rai­ne­té et notre in­dé­pen­dance na­tio­nale. Il se­ra opé­ra­tion­nel à la fin du pre­mier tri­mestre 2017 » . Ce « Cy­ber­com » se­ra à même de « mettre en oeuvre des uni­tés com­bat­tantes qui pour­ront agir en cas d’at­taque grave. Si une ac­tion nu­mé­rique, uti­li­sée contre nos in­té­rêts, cause une pa­ra­ly­sie ou des dé­gâts, voire une des­truc­tion de vies hu­maines, la ri­poste ne se­ra pas né­ces­sai­re­ment cy­ber. On pour­rait qua­li­fier ce­la comme une agres­sion au sens de l’ar­ticle 51 de la Charte des Na­tions Unies », ex­plique le mi­nistre. L’ar­ticle 51 per­met à un pays agres­sé de ré­pli­quer par la force, si né­ces­saire. Cette af­fir­ma­tion mar­tiale est aus­si un moyen de pe­ser dans la ré­flexion mon­diale sur les ré­formes né­ces­saires du droit de la guerre et plus gé­né­ra­le­ment sur le droit in­ter­na­tio­nal.

DÉ­VE­LOP­PER LESACCORDS ENTRE ÉTATS

Fran­çois La­vaste, pré­sident d’air­bus Cy­ber­se­cu­ri­ty, ajoute que cette ab­sence de rè­gle­men­ta­tion mon­diale créée des pa­ra­dis pour les cy­be­rha­ckers, mais aus­si des dif­fi­cul­tés pour les en­tre­prises mon­diales quand il s’agit d’être en ac­cord avec des lé­gis­la­tions lo­cales, par­fois in­com­pa­tibles entre elles. Il se ré­jouit de la conver­gence des textes eu­ro­péens.

Comme l’ont ex­pli­qué les « cy­ber-com­man­deurs » an­glais, amé­ri­cain, néer­lan­dais et es­to­niens, les gou­ver­ne­ments doivent in­té­grer à tous les éche­lons les

pro­blé­ma­tiques cy­ber. Les ac­cords entre états doivent se dé­ve­lop­per aus­si bien pour échan­ger de l’in­for­ma­tion que pour mettre en place des po­li­tiques com­munes et éta­blir des règles. Et de rap­pe­ler qu’à ce jour, L’ONU est en­core loin d’émettre des ré­so­lu­tions sur le droit du cy­be­res­pace.

Comme l’ex­plique Ja­mie Shea, se­cré­taire gé­né­ral ad­joint dé­lé­gué pour les dé­fis de sé­cu­ri­té émer­gents, L’OTAN, de son cô­té, tra­vaille aus­si sur ces ques­tions. « L’or­ga­ni­sa­tion dis­pose de forces de dé­fense cy­ber, mais ne vas pas se do­ter de ca­pa­ci­tés d’at­taque en propre. Par contre, nous sommes en train d’iden­ti­fier les pays qui pour­raient, en cas de né­ces­si­té, mettre de telles forces à dis­po­si­tion de L’OTAN ». L’or­ga­ni­sa­tion ré­flé­chit éga­le­ment aux avan­tages et in­con­vé­nients des armes cy­ber (quels sont, en par­ti­cu­lier, les dom­mages col­la­té­raux ?). Elle dé­fi­nit éga­le­ment la ré­par­ti­tion des rôles au sein de l’al­liance en cas d’at­taque, sé­cu­rise ses in­fra­struc­tures et ré­vise ses pro­jets pour in­té­grer ces me­naces dès la concep­tion.

PRO­MOU­VOIR LA PAIX

Guillaume Pou­pard es­time qu’il en va « de la res­pon­sa­bi­li­té des États de se par­ler » et qu’au-de­là de sa­voir com­ment trans­po­ser le droit de la guerre dans le cybe- re­space, il faut aus­si pro­mou­voir la paix. C’est pour­quoi l’ans­si (Agence na­tio­nale de la sé­cu­ri­té des sys­tèmes d’in­for­ma­tion) va or­ga­ni­ser une confé­rence à l’unes­co dé­but avril (voir le site je­sui­sin­ter­net.to­day), in­vi­tant ju­ristes et cher­cheurs à in­té­grer cette dis­cus­sion.

« Nous man­quons de doc­trine pour éla­bo­rer un es­pace de paix sur In­ter­net. La France et l’eu­rope peuvent faire en­tendre leurs voix pour construire une cy­ber­paix. Sans paix, pas de confiance, et sans confiance, pas de pros­pé­ri­té », a ajou­té la se­cré­taire d’état au nu­mé­rique Axelle Le­maire.

Guillaume Pou­pard ré­af­firme le « rôle ma­jeur de l’état dans la pro­tec­tion de nos conci­toyens » afin de ne pas som­brer « dans le Far West ». Pour ai­der les par­ti­cu­liers et les PME vic­times de cy­ber-mal­veillances, la se­cré­taire d’état, le res­pon­sable de l’ans­si et Thier­ry Del­ville, dé­lé­gué mi­nis­té­riel aux in­dus­tries de sé­cu­ri­té et à la lutte contre les cy­ber me­naces au sein du mi­nis­tère de l’in­té­rieur, ont pré­sen­té Acy­ma. Cette pla­te­forme se­ra en ligne d’ici deux mois et ex­pé­ri­men­tée en pre­mier lieu dans la ré­gion Hauts-de-france. Elle dis­po­se­ra de deux vo­lets : des in­for­ma­tions et des conseils pour mieux com­prendre et ré­agir face aux me­naces, et une par­tie as­sis­tance en cas d’at­taque. En ré­pon­dant à un en­semble de ques­tions simples, la vic­time se­ra en me­sure de diag­nos­ti­quer et mettre des mots sur son pro­blème, ce qui pour­ra l’ai­der dans son éven­tuel dé­pôt de plainte. Elle se­ra aus­si ren­voyée vers un « ac­teur de proxi­mi­té », un pres­ta­taire in­for­ma­tique lo­cal, pour ré­soudre ses pro­blèmes tech­niques.

Pour être ré­fé­ren­cé sur la pla­te­forme, le pres­ta­taire au­ra au préa­lable si­gné une charte, mais il ne se­ra pas sou­mis à qua­li­fi­ca­tion. Outre les in­ter­ro­ga­tions sur le sé­rieux des pres­ta­taires et les ta­rifs pra­ti­qués, se pose le pro­blème de la col­lecte de preuves. Au­cun ou­til d’en­re­gis­tre­ment n’étant four­ni à l’in­ter­ve­nant, celles-ci risquent d’être dé­truites avant même qu’une hy­po­thé­tique en­quête de po­lice n’ait lieu. Du point de vue ju­ri­dique, Acy­ma est un grou­pe­ment d’in­té­rêt pu­blic. Il est ac­tuel­le­ment « in­cu­bé » au sein de l’ans­si, qui lui a al­loué un bud­get d’un mil­lion d’eu­ros pour la pre­mière an­née. Des opé­ra­teurs de té­lé­com­mu­ni­ca­tion, des pres­ta­taires, mais aus­si des as­so­cia­tions de consom­ma­teurs pour­raient en re­joindre la di­rec­tion. Les as­su­reurs sont éga­le­ment vi­sés : les don­nées col­lec­tées par la pla­te­forme pour­raient les ai­der dans la créa­tion d’une offre de cy­ber-as­su­rance adap­tée.

Si le di­rec­teur de l’ans­si ré­af­firme l’im­por­tance du droit ré­ga­lien, l’ac­tion de l’état n’est pas la même pour tous. Pour la cen­taine d’opé­ra­teurs d’im­por­tance vi­tale (OIV), l’ans­si peut être com­pa­rée aux pom­piers. Si des contre-me­sures étaient né­ces­saires, ce se­rait les Ser­vices Cen­traux, gé­rés par le mi­nis­tère de la Dé­fense na­tio­nale, qui s’en char­ge­raient. L’ans­si pour­rait étendre pro­gres­si­ve­ment son ac­tion à cer­taines en­tre­prises concer­nées par la di­rec­tive eu­ro­péenne NIS (me­sures des­ti­nées à as­su­rer un ni­veau éle­vé com­mun de sé­cu­ri­té des ré­seaux et des sys­tèmes d’in­for­ma­tion dans l’union). Tou­te­fois, l’état ne pro­pose au­cune force ci­vile d’in­ter­ven­tion com­pa­rable aux GIPN ou GIGN du monde « phy­sique ». In­ter­ro­gés sur le su­jet, les trois res­pon­sables ont bot­té en touche : « Le GIGN n’in­ter­vient pas pour un vol à la tire ». Pour­tant, il in­ter­vient lors­qu’un homme est re­tran­ché dans un For­mule1, ce qui est loin de com­pro­mettre la Na­tion ! Au­tre­ment dit, si une en­tre­prise se fait at­ta­quer, il ne faut pas comp­ter sur une ré­ponse im­mé­diate des ser­vices de po­lice pour col­lec­ter des preuves et en­core moins pour contre-at­ta­quer. L’ac­tion des gen­darmes du nu­mé­rique, le C3N, ne s’ef­fec­tue par exemple qu’en ap­pui d’en­quêtes dé­jà ou­vertes. Le Far West tant re­dou­té par Guillaume Pou­pard pour­rait donc bien être à nos portes. Si cer­tains États sont des pa­ra­dis pour les cy­be­rha­ckers, ils le sont en ef­fet aus­si pour les so­cié­tés de sé­cu­ri­té. Ces « contrac­tors » pro­posent d’en­quê­ter sur les sources d’at­taques, voir de contre-at­ta­quer. Bien en­ten­du, ce type de ser­vices est in­ter­dit sur le sol fran­çais, mais la ten­ta­tion pour­rait être grande de re­cou­rir à de tels pres­ta­taires, en par­ti­cu­lier pour les so­cié­tés in­ter­na­tio­nales.

Outre ces sou­cis de pri­va­ti­sa­tion des ac­tions sé­cu­ri­taires, les me­naces pe­sant sur les pro­chaines élec­tions fran­çaises étaient sur de nom­breuses lèvres. Oc­tave Kla­ba, di­rec­teur D’OVH, ci­tait en par­ti­cu­lier les risques de dés­in­for­ma­tion, pre­nant comme exemple le do­page du nombre de vi­déos Youtube vi­sua­li­sées afin de les faire ap­pa­raître en haut des re­com­man­da­tions et de les rendre en­core plus po­pu­laires. Cette in­quié­tude est éga­le­ment par­ta­gée par Guillaume Pou­pard, qui com­pare le ni­veau de ma­tu­ri­té en cy­ber­sé­cu­ri­té des par­tis po­li­tiques à ce­lui des PME. Il reste quelques se­maines aux can­di­dats en lice pour re­le­ver le ni­veau et le gant, en mon­trant qu’ils prennent le su­jet à bras le corps. • Sté­phane Dar­get

In­ter­ven­tion de Bru­no Le Roux, mi­nistre de l’in­té­rieur

Dé­mons­tra­tions sur le stand de Blue­cy­force.

Axelle Le­maire, se­cré­taire d’état au nu­mé­rique et Fran­çois La­vaste, pré­sident d’air­bus Cy­ber­se­cu­ri­ty

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.