Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité numérique : entre souveraineté nationale et autonomie stratégique européenne ?

novembre 2016 par Emmanuelle Lamandé

La sécurité numérique représente aujourd’hui un véritable enjeu pour notre société. De nombreuses actions ont d’ores et déjà été initiées en matière de cybersécurité, toutefois les défis à relever en ce domaine sont encore colossaux. Comment y faire face ? Avec quels moyens ? L’équipe de Garnault Associés ouvre le débat à l’occasion de ses rendez-vous parlementaires de Bretagne sur la sécurité numérique, animés par Mélanie Bénard-Crozat, rédactrice en chef de S&D Magazine.

© François-Xavier Dubois

En ouverture de ces rendez-vous parlementaires, Jamie Shea, Secrétaire général adjoint de l’OTAN délégué pour les défis de sécurité émergents, a rappelé que chacun peut être un acteur de la défense ou de la sécurité. Aujourd’hui, tout doit être défendu en réponse à l’hyperconnectivité croissante de nos systèmes, y compris de nos infrastructures critiques. Le champ des vulnérabilités et des menaces ne cesse, quant à lui, de croître, avec l’essor de l’Internet des Objets notamment.
Nombreuses sont pourtant les entreprises, comme les technologies, ne disposant d’aucune protection à l’heure actuelle. Les systèmes s’avèrent bien souvent obsolètes, sans règles de sécurité basiques en place. Les moyens de destruction et de piratage sont, quant à eux, de plus en plus facilement accessibles à tous, et l’exploitation des vulnérabilités toujours plus simple. Les États, pour leur part, s’impliquent davantage, mais sont aussi de plus en plus ouverts.

Maintenir la confiance et la compétitivité

Les objectifs sont, selon lui, multiples aujourd’hui : essayer de se défendre et de diminuer l’impact d’une attaque, maintenir la confiance dans l’Internet, trouver un équilibre entre la protection des informations, le chiffrement et les besoins de sécurité moyennant la possibilité de pénétrer les systèmes et les données. « Nous devons également maintenir la compétitivité et éviter le monopole de quelques grandes sociétés », explique-t-il.
La question est donc de savoir à l’heure actuelle de quelle manière défendre nos infrastructures, notamment les plus essentielles, et garantir la fonctionnalité de l’État. Il faut également faire en sorte que l’industrie pense sécurité d’entrée de jeu. L’intérêt de la « security by design » est de bénéficier d’un degré de sécurité automatique, et si quelqu’un ne veut pas de cette sécurité, il devra alors la désactiver.

Le rôle de l’OTAN en la matière passe tout d’abord par les efforts que chaque État fera lui-même au niveau national. L’OTAN permet cependant de multiplier les forces dans la mise en capacité de la défense, de l’éducation… L’organisation assure aussi une assistance aux alliés, et une aide en situation de crise. Elle effectue, de plus, un travail de mapping, afin de mieux comprendre la complexité des interdépendances de systèmes qui s’opèrent dans la sphère cyber.
En outre, les entreprises comme les États investissent le plus souvent « dans le noir » actuellement, sans aucune vision relative à leurs efforts, c’est pourquoi l’OTAN réfléchit également au développement de « metrics » permettant d’aider les nations à optimiser leurs investissements. Pour ce faire, un travail en équipe s’impose avec différents partenaires, à commencer par l’Union européenne.
Et quels que soient la menace et le défi à relever, « il ne faut pas faire preuve de défaitisme dans ce domaine. Il reste possible de vivre dans un monde de cybersécurité, en améliorant les technologies et les partenariats », conclut-il.

Faire de la France un acteur clé de la cybersécurité…

Au niveau national, l’objectif est que la France devienne championne du monde en matière de cybersécurité, explique Gwendal Rouillard, Député du Morbihan, secrétaire de la commission de la Défense nationale et des Forces armées. Pour cela, plusieurs étapes significatives restent à franchir dans les mois à venir.
La France a bâti, depuis 2008 notamment, un cadre stratégique et juridique, au travers du Livre blanc sur la défense et la sécurité nationale, de la Loi de Programmation Militaire (LPM), du plan du Premier ministre pour la Sécurité numérique, ou encore de la loi anti-terroriste… Par ce biais, elle définit une doctrine, ainsi qu’une stratégie avec les moyens opérationnels qui en découlent et les créations de postes adaptés. Cette nouvelle stratégie prend de multiples facettes : cyberdéfense, protection numérique des entreprises comme des citoyens, combat numérique dans le cyberespace… La dynamique territoriale est également très importante pour œuvrer dans ce domaine.
Les impacts des récentes cyberattaques (OVH, DNS DYN…) démontrent clairement les enjeux actuels : protéger les citoyens et les entreprises, mais aussi faire de la France un acteur clé en matière de cyberdéfense et de cybersécurité. L’objectif est de faire d’une contrainte un atout. Cette dynamique doit contribuer à garantir la souveraineté de notre pays.

La sécurité est une chose nécessaire au bon fonctionnement de la société, explique Guillaume Poupard, Directeur général de l’ANSSI. Beaucoup reste à faire pour atteindre le stade de la confiance, toutefois il faut rester positif. La première priorité est de travailler ensemble, souligne-t-il. Pour cela, il est nécessaire de disposer d’une stratégie nationale et d’un objectif commun.

… et développer une autonomie stratégique européenne

La cybersécurité reste, selon lui, une affaire de souveraineté nationale. Pour que le numérique soit de confiance, il faut maintenir cette souveraineté. L’objectif de la LPM est de protéger a minima les infrastructures critiques, en rendant ce caractère obligatoire. Une fois que l’on a protégé les opérateurs d’importance vitale, nous devons venir sécuriser le reste du périmètre, c’est-à-dire l’ensemble des entreprises, quelle que soit leur taille (PME, TPE…), mais aussi tous les citoyens.
Une PME qui disparaît en raison d’une cyberattaque peut sembler un fait divers, mais si demain 10% des PME se font attaquer, la donne ne sera plus la même. C’est toute une partie de notre tissu économique qui sera touchée. Chacun peut aujourd’hui être victime. C’est pourquoi il faut faire de la prévention, afin d’éviter un maximum de catastrophes. Beaucoup reste à faire en la matière, y compris au niveau de l’assistance aux victimes.
La sensibilisation de chacun passe aussi par celle du COMEX et des dirigeants. L’objectif est de réussir à intégrer la cybersécurité auprès de ces acteurs clés dans l’entreprise. La formation d’experts est également essentielle en ce domaine. La sécurité doit, de plus, être introduite dans la formation dès le plus jeune âge, ainsi que dans les cursus de formation professionnelle.

« Du côté de l’industrie, nous devons pouvoir compter sur des industriels de confiance », souligne Guillaume Poupard, « et nous appuyer sur un tissu industriel français et européen compétent, d’autant que la France n’a pas à rougir de ses compétences dans ce domaine. »

Enfin, cette dynamique doit, selon lui, reposer sur une coopération avec les autres acteurs, que ce soit au niveau national, européen ou international. « Il est essentiel de développer une autonomie stratégique européenne. Nous pouvons développer au niveau européen des technologies et réglementations communes, sans pour autant tourner le dos aux autres acteurs (USA…). L’objectif est d’être en capacité de localiser ses données et de les territorialiser, mais aussi d’avoir une meilleure homogénéité entre les acteurs européens. Nous devons, en outre, aider les pays qui n’ont pas les moyens de se lancer dans la protection cyber comme nous. »

Suite à la présentation du Pacte Défense cyber par le ministre de la Défense en 2014, de nombreuses actions ont été mises en place, souligne Marie-Noëlle Sclafer, Directrice de la DGA Maitrise de l’information, ministère de la Défense. Parmi elles, on peut effectivement citer l’adoption de la Loi de Programmation Militaire, la formation et le recrutement d’experts, mais aussi de nombreuses initiatives menées dans le domaine de la recherche… Le financement de la recherche est essentiel, explique-t-elle. Entre 2012 et 2017, la DGA a d’ailleurs triplé son budget alloué à la recherche dans le domaine cyber. Un partenariat a également été signé entre la DGA, l’INRIA et la région Bretagne, et un laboratoire de haute sécurité (LHS) créé au sein de l’INRIA de Rennes. La DGA prévoit, en outre, d’augmenter encore davantage ses effectifs cyber, d’où l’importance des initiatives dédiées à la formation d’experts, comme celles mises en place par le Pôle d’Excellence Cyber.

Le responsable de la cybersécurité doit faire partie du COMEX

De son côté, Jean-Michel Orozco, Directeur de la cybersécurité du Groupe DCNS, constate un problème de positionnement de la cybersécurité au sein de la majorité des entreprises aujourd’hui. En effet, trois principales catégories alimentent ces menaces actuellement : l’espionnage, le sabotage et le cybercrime. En vue de pallier l’ensemble de ces menaces qui s’avèrent très transverses pour la structure, les entreprises confient généralement la cybersécurité à la DSI. Cela reste, selon lui, insuffisant s’il on veut couvrir l’intégralité du spectre des menaces, sans compter que la DSI ne dispose souvent que de ressources limitées (budget, champs d’action opérationnel…). Afin d’adresser au mieux cette problématique, le responsable de la cybersécurité doit directement faire partie du COMEX, estime Jean-Michel Orozco. Cela transmet un message fort au sein de l’entreprise et permet de couvrir le sujet de façon transverse. Le responsable de la cybersécurité doit, pour lui, avoir les missions suivantes :
 Etablir une stratégie pertinente en matière cyber ;
 Aborder la gouvernance : la cybersécurité est l’affaire de tous dans l’entreprise, il est essentiel de savoir qui fait quoi ;
 Vérifier que l’entreprise dispose des moyens nécessaires pour assurer la cybersécurité ;
 L’objectif est enfin de pouvoir déterminer ce qui est fait du budget alloué à la sécurité au sein de la structure.

Fraudes et escroqueries : les initiatives s’organisent

Les fraudes et les escroqueries font partie des fléaux que les acteurs nationaux, comme internationaux, tentent chaque jour d’endiguer. Parmi elles, on retrouve notamment les arnaques aux présidents et les faux ordres de virement internationaux. Ceux-ci reposent le plus souvent sur des techniques d’ingénierie sociale, explique Gilles Soulié, directeur inter-régional de la Police judiciaire, ministère de l’Intérieur. L’objectif pour le criminel est de disposer du maximum d’informations sur l’entreprise ciblée, via son site Web notamment (organigramme, statuts, agenda, signature du président…). Toutes ces informations vont permettre à l’attaquant de bien connaître les rouages de l’entreprise et de viser son maillon faible. Dans le cadre d’un changement de RIB ou de l’instauration du virement SEPA par exemple, les escrocs peuvent se faire passer pour de faux banquiers souhaitant « tester » le système de virements à l’étranger, ou demander les RIB des fournisseurs dans le cadre d’un faux « contrôle fiscal »…

La police dispose de deux principaux volets aujourd’hui pour lutter contre ce type de fraude : la répression et la prévention. La police judiciaire a d’ailleurs signé en ce sens un accord de partenariat avec le MEDEF, ainsi qu’avec le CDSE, de manière à pouvoir prévenir plus facilement les entreprises et les collectivités territoriales quant à ces risques. Différentes technologies visent également à réduire ce type de fraude et d’escroquerie. La société AriadNEXT a, par exemple, développé une solution de contrôle automatique et d’analyse en temps réel de documents afin d’éviter la fraude et les documents falsifiés, souligne Guillaume Despagne, président co-fondateur d’AriadNEXT.
Ce type d’initiatives permet peu à peu de réduire le nombre de fraudes qui s’opèrent chaque jour sur la planète, même si le chemin est encore long.

© François-Xavier Dubois

Sécurité numérique : quelles actions pour les PME ?

Malgré l’ensemble de ces menaces, la numérisation de la société et des entreprises s’accélère. Comment ces dernières font-elles face à ces nouveaux dangers et enjeux, notamment pour les PME et TPE, qui n’ont ni les ressources, ni les compétences nécessaires ?

La CGPME adresse près de 300 000 TPE/PME en France, explique Ély de Travieso, référent Cyber de la CGPME. En effet, derrière les cyberattaques dont les grandes entreprises font la Une, de nombreuses PME sont aussi victimes. Les PME/TPE représentent la grande majorité du tissu économique national, et beaucoup d’entre elles collaborent avec les grands groupes, d’où l’importance de sensibiliser ces acteurs à la menace, et ce de manière adaptée à chacun. Face à cette nécessité, les territoires s’organisent. A titre d’exemple, la CGPME a d’ailleurs édité, en partenariat avec l’ANSSI, un guide de bonnes pratiques à destination des PME, qui laisse place au bon sens. L’objectif de ce type d’initiative est d’aider les PME à renforcer leur cybersécurité de manière simple et pragmatique. Cela passe notamment par la sensibilisation des utilisateurs en interne, mais aussi des partenaires, fournisseurs… Les aspects contractuels s’avèrent d’ailleurs fondamentaux avec ces différents acteurs. Du côté des solutions de sécurité, il recommande dans certains cas de se tourner vers des offres Cloud, nombreuses étant les entreprises ne disposant pas de responsable informatique. L’objectif pour une entreprise est, en effet, de pouvoir redémarrer son activité le plus rapidement possible en cas d’incident. Le développement des offres d’assurance est également un facteur à suivre, car pouvant s’avérer une bonne alternative pour ces acteurs.

« De plus en plus de PME viennent nous voir directement », constate Christophe Dupas, président d’Amossys. « Ces mêmes entreprises étaient plutôt frileuses il y a quelques années, ce qui n’est plus le cas aujourd’hui. Tout le monde est désormais plus familiarisé avec l’informatique, les télécoms, l’électronique… Deux principales populations viennent nous voir : les entreprises qui ont été attaquées et, de ce fait, sensibilisées, mais aussi les PME qui collaborent avec les OIV. En effet, les opérateurs d’importance vitale, de par leurs obligations règlementaires notamment, déclinent un certain nombre d’exigences avec leurs fournisseurs et PME. C’est donc un cercle vertueux qui s’opère, et on observe une véritable évolution, même si beaucoup reste toutefois à faire en la matière. »

Cyber-risques : des assureurs qui manquent encore d’assurance…

Du côté de l’assurance, le cyber-risque se trouve désormais au premier rang des risques émergents, remarque Pierre Blayau, Président de la Caisse centrale de réassurance (CCR). La question aujourd’hui est de savoir si le risque cyber est assurable ou non. De quelles capacités dispose-t-on pour analyser les coûts de ces risques ? Les assurances sont aujourd’hui dans l’embarras, car il est encore impossible actuellement d’évaluer de manière précise l’ensemble de ces risques et les dommages (matériels et immatériels) liés. Seulement 5% des entreprises sont à l’heure actuelle couvertes contre des cyber-risques, et cela ne concerne pas l’ensemble de leur périmètre, constate-t-il. L’assureur doit aussi déterminer les cyber-risques, et faire face à l’ignorance de ce que pourraient être en cumul les risques d’une cyberattaque. Les assurances s’intéressent actuellement à toutes les analyses et études effectuées en amont sur ce sujet, afin de déterminer de manière précise l’ensemble de ces cyber-risques. Dans le cadre des cyber-risques, tous les acteurs doivent se mettre autour de la table afin de définir la prévention et les conditions d’assurance, précise-t-il.

Le maillage territorial est essentiel pour toucher le plus grand nombre

Le maillage territorial et les initiatives en région s’avèrent également fondamentales pour toucher le plus grand nombre dans le domaine de la cybersécurité. La Bretagne, au travers du Pôle d’Excellence Cyber (PEC) notamment, bénéficie d’une politique régionale forte dans le domaine du numérique, explique Bernard Pouliquen, Vice-président du Conseil régional de Bretagne en charge de l’Enseignement supérieur, de la Recherche et de la Transition numérique. Son activité en la matière s’articule autour de trois principaux piliers : la formation, la recherche et le développement économique. Elle dispose, en effet, d’un potentiel académique fort, via ses écoles et formations spécialisées dans le numérique. Du côté de la recherche, outre les laboratoires, quatre Chaires ont été créées, dont une dédiée à la gestion de crise. La création d’une cinquième Chaire consacrée à l’IoT est, de plus, actuellement à l’étude.

Le Club formation du PEC s’évertue, de son côté, à combler la pénurie d’experts dans le domaine cyber, explique Jean Le Traon, Directeur du campus de Rennes, Institut Mines Télécom - Télécom Bretagne. Pour ce faire, il a dans un premier temps recensé les formations existantes, celles attendues et les sujets à aborder. Il s’est également focalisé sur les métiers vers lesquels ces formations vont déboucher. Une collaboration a, en ce sens, été menée avec les entreprises afin de répondre au mieux à leurs besoins. Parmi les profils attendus, on retrouve notamment les développeurs, les architectes sécurité, réseaux et systèmes, ou encore les métiers liés à la gestion de crise… Le développement de formations e-learning est également en cours, afin de pouvoir former le plus grand nombre à la cybersécurité.

Le PEC et la région Bretagne ne sont toutefois pas les seuls à présenter un fort dynamisme dans le domaine du numérique et de la cybersécurité. De nombreuses initiatives fleurissent partout sur le territoire, portées par les écosystèmes et les acteurs locaux, et soutenues entre autres par les référents en région de l’ANSSI. La région Hauts-de-France en est un autre bon exemple, au travers de son Pôle 4CN (Pôle d’Excellence Cybersécurité Cybercriminalité Cyber-Confiance pour le Numérique). Un partenariat est d’ailleurs prévu entre les deux pôles, afin de renforcer encore davantage les actions et la coordination menées en France dans le domaine de la sécurité numérique.

Security by design : seule une règlementation forte fera pression sur les industriels

« Nous sommes aujourd’hui dans une course à l’armement », constate Ély de Travieso. Outre les initiatives présentées et initiées, « il faut avoir conscience que la technologie va parfois trop vite dans son développement. Quels que soient les efforts de prévention et de persuasion que nous ferons, seule une règlementation forte fera pression sur les industriels pour qu’ils intègrent une sécurité « by design », car nous n’aurons pas le temps de former tous les experts par rapport à l’évolution des technologies ».

En conclusion de ce rendez-vous parlementaire de Bretagne sur la sécurité numérique, Gwendal Rouillard rappelle que la France est en guerre, et donc une cible. Les cybermenaces, quant à elles, ne cessent de croître. Nous assistons de plus au retour de puissances, comme la Chine ou la Russie… Nous devons désormais faire face à une numérisation globale de la guerre, de l’entreprise et des citoyens. Pour la France, le cap est fixé : elle a fait le choix de la résilience, de la complémentarité entre le défensif et l’offensif, de la capacité à connaître ses partenaires comme ses adversaires… La France se mobilise, c’est une question de souveraineté. L’Union européenne aussi, puisqu’elle a acté l’autonomie stratégique de l’Europe. Répondre à ces enjeux représentera d’ailleurs, selon lui, le défi du 21ème siècle.


Voir les articles précédents

    

Voir les articles suivants