La cyberdéfense européenne, enjeux de souveraineté (partie 2)

par | Mai 14, 2021 | Cyber-sécurité

Cet article fait suite à La Cyberdefense européenne, enjeux de souveraineté (partie 1)

Le cyber ouvre la voie à un nouveau théâtre de guerre qui donne un avantage décisif à l’attaquant. Le sujet sera traité en trois parties, d’abord en évaluant la menace, puis en proposant des réponses, au niveau français, enfin au niveau européen.

LA MENACE 

En 2017 l’ANSSI, historiquement plutôt tournée vers le haut du spectre, a observé des campagnes d’attaques aux effets stratégiques, systémiques, au travers de la diffusion de codes destructeurs, donc pour du sabotage. Elle a également constaté des attaques ciblées sur les sous-traitants, sur le maillon le plus faible d’une chaîne logistique, pour toucher l’objectif final majeur, le grand compte, qui est lui mieux protégé. Enfin, elle a observé des attaques cyber cherchant à déstabiliser certains processus démocratiques.

En 2018, ce furent davantage des attaques informatiques furtives, cherchant à rendre anonymes les modes opératoires via des outils publics. 

En 2019, les tendances observées lors des deux dernières années se sont accrues, avec notamment la montée en gamme des « rançongiciels », des attaques moins massives, plus ciblées sur de gros acteurs, capables de payer la rançon (par exemple celle médiatisée sur le groupe M6). 

En 2020, elle a fait face à la généralisation des rançongiciels, mais aussi au retour des attaques stratégiques, ciblant des acteurs importants, avec exfiltration de données avant chiffrement, dont le but n’est pas uniquement lucratif, mais parfois aussi économique et politique. 

La manipulation de l’information, dans le cadre d’élections par exemple, devient une tendance structurante mais n’est pas suivie par l’agence, qui traite de la technique cyber. 

Il faut une vision globale. Le CEMA (Chef d’État-major) russe a très bien exprimé en 2013 que l’utilisation de moyens non militaires pour atteindre des buts stratégiques et politiques allait s’accroître et dépasser l’efficacité des armes. C’est ce qui se passe dans le champ du numérique et du cyber où la situation se dégrade. 

Une menace importante est celle des « cyber-corsaires », de jeunes « hackers geeks » plus efficaces que s’ils agissaient en tant que fonctionnaires. On peut citer par exemple un escroc russe, un protégé de Poutine. Ces corsaires sont protégés et renvoient l’ascenseur en tant que de besoin. L’Iran pratique aussi cela. Ce «Rançongiciel plus» cache de l’espionnage. Pourquoi attaquer un hôpital si ce n’est pour faire pression sur un pays ? C’est de la cyber-coercition. Et ce sont aux États de réagir.

Le cyber est aussi un outil de désinformation ou d’influence, comme par exemple lors du piratage de la boîte mail de Mme Clinton. Beaucoup d’entreprises, à l’exception de celles qui font partie des Opérateurs d’Importance Vitale (OIV), ont un niveau de sécurité très faible, en particulier une mauvaise intégration des filiales qui viennent de tous les horizons. Le niveau de sécurité est bien celui du maillon le plus faible. Il n’y a pas d’écosystème État / Industrie, comme cela a été le cas pour PALANTIR aux USA. La priorité de la DGSE est de lutter contre le terrorisme, pas de transférer ses outils à la DGSI ou à l’industrie. La bonne surprise est qu’il y a une réaction qui démarre. 

Au plan industriel, si l’on prend l’exemple d’EDF (168 000 salariés, 60 milliards de CA, 900 filiales, un million d’objets connectés hors Linky), c’est un périmètre très vaste à gérer. EDF a des contrats réglementaires qui permettent de bien protéger les systèmes d’information. L’entreprise est aussi sous la directive de protection du patrimoine scientifique et technique. S’opposent à elle des lois extraterritoriales, celles des USA, mais aussi celles en Asie. La menace touche certes les postes de travail et les serveurs mais aussi les machines industrielles. EDF porte naturellement une très forte attention à tout ce qui touche à la sécurité du nucléaire, source majeure d’électricité en France. Mais elle a à faire face aussi aux attaques des activistes antinucléaires. EDF fait face à des États décomplexés. L’Iran et la Russie sont très actifs. En 2019 et 2020, le nombre de failles de sécurité a doublé. Ceux qui demandent des rançons volent les données avant de les crypter et on peut se demander ce qu’ils font des informations recueillies (exemple des plans de prison dans le cas du piratage de Bouygues). 

EDF compte 1200 incidents par an, de 130 jusqu’à 600 menaces détectées par mois. 50 vulnérabilités demandent une réponse urgente et une centaine de gros incidents ont lieu par an, comme l’attaque déjouée contre SOPRA, sachant que l’agresseur avait réussi à pénétrer dans le système d’information et qu’il a fallu 15 jours, 24h sur 24, pour régler le problème. EDF essaie d’être leader cyber dans le domaine de l’énergie, et est dans le Conseil d’ECSO (European Cyber and Security Organisation). Il y a des initiatives au niveau de la régulation qui ont un impact au niveau européen. 

LES REPONSES EN FRANCE 

Le cyber comprend des leviers de puissance. Une agence ne peut répondre seule, il faut un travail interministériel dans le cadre de politiques publiques. L’État doit s’assurer que les Opérateurs d’Importance Vitale (OIV) ont les moyens et les compétences pour faire face aux attaques. 

Le premier levier est réglementaire, pour protéger les activités et infrastructures critiques, par exemple sur les référentiels à appliquer, ou les schémas de certification à suivre. 

Le deuxième levier est culturel, même s’il y a du mieux, les décideurs ne sont pas encore assez conscients des effets des attaques. La sécurité cyber est vue comme une contrainte et non comme une protection. Souvent hélas, les entreprises comprennent trop tard, après une attaque. 

Le troisième axe est la défense, qui passe par une meilleure connaissance de la menace, par des systèmes de détection, des systèmes de réponse aux incidents de sécurité et également une pratique de la gestion de crise. Au bout du compte, en matière cyber, il faut à la fois traiter des « zéros et des uns » et s’assurer que les pratiques de chacun ne mettent pas en danger tout le système.

En termes d’outils et d’organisation, « la seule défense n’est pas la meilleure défense ». 

⁂Pour les outils, Il faut créer des écosystèmes comme l’a fait le CEA LETI (laboratoire sur les nanotechnologies) de Grenoble autour de plus de 60 startups, avec par exemple une réussite comme SOITEC. Oui, la France sait créer des startups innovantes. 

Mais il n’y a pas d’outil européen de cyber, et les grands clients ne le souhaitent pas. Dans ce qu’on appelle le “bastionnage”, c’est-à-dire la protection des comptes à privilège, il y a WALLIX mais les grands clients veulent plus souvent CyberArk . La question est de comprendre pourquoi  WALLIX ne réussit pas à s’imposer dans les grands groupes européens.

Les services étatiques, ANSSI et DGSE, Comcyber, ont un bon niveau cyber et développent d’excellents outils, qui ne sont malheureusement pas transférés à l’industrie. Une très grande entreprise de défense sollicitée dans ce but, pour assurer son leadership, a répondu qu’il n’y avait pas de marché, et qu’elle ne voulait donc pas investir dans cette mission de transfert. Les USA ont une vision industrielle remarquable. La France ne l’a pas compris en 2008 – 2009. Le problème est de transformer un concept en produit utilisable par l’industrie donc vendable. C’est un métier complexe. 

Les Israéliens sont très forts pour créer des “licornes”. Ce n’est pas le cœur de métier de Orange ou Thales où la cybersécurité est marginale. Il faut des « pure players », des entreprises dont c’est le métier. Nos ingénieurs sont pourtant très bons. Au niveau étatique on discute d’égal à égal avec les USA. A ce niveau les outils français sont reconnus. Il faut un campus de recherche très innovant. Nous avons beaucoup de startups qui ne sont que tricolores. Ça ne peut pas marcher. Les exemples d’ALSID et de TEHTRIS, de niveau mondial, sont remarquables ; les fondateurs sont issus de l’ANSSI ou de la DGSE.

Notre souveraineté passe par l’innovation. 

Il ne faut pas refaire PALANTIR (c’est du passé), mais  PALANTIR++, avec de l’intelligence artificielle. Il faut exporter ces outils aux USA pour que nos entreprises grandissent. Le marché américain est fondamental. 

⁂Sur le plan de l’organisation, il faut créer une force nationale cyber comme les Britanniques, avec un GCHQ, et 5un MI6, etc. Le cyber est un domaine où il ne faut plus de séparation entre civils et militaires, entre les armées. Nous n’avons pas besoin d’un cyber armé uniquement pour des conflits armés. Nous ne sommes pas attaqués par une armée mais par des volontés politiques. Il faut rassembler tous les acteurs. Les Américains l’ont compris en réformant la NSA. En France il faudrait relier la partie défense de l’ANSSI (COSI), le ComCyber, une partie de la Direction technique (DT) de la DGSE, la partie renseignement humain de la Direction du renseignement militaire (DRM), fondamentale, la Gendarmerie. Cette dernière a récemment simulé une cyberattaque, offensive, ce qui est louable, mais qui n’était pas coordonnée avec d’autres administrations.

Notre organisation date de 2009, il faut la repenser. Ne faire que défendre n’est pas suffisant. C’est une ligne Maginot qui peut se contourner. L’Europe occidentale doit prendre des mesures extrêmes, c’est-à-dire contre-attaquer, pour ne pas offrir un « ventre mou ». Nos adversaires ne vont pas s’en prendre aux USA ou aux Britanniques car ils savent qu’il y aura une réaction immédiate qui va les détruire. 

L’Influence des lobbies est considérable. Les Campus cyber de la Défense, celui de Rennes et celui en projet de Bordeaux sont une réponse stratégique pertinente. Plutôt qu’à Paris, il faudrait concentrer nos moyens à Rennes, autour de gros acteurs étatiques comme le Comcyber, la DT de la DGSE, une grande université, multidisciplinaire, une zone industrielle, des salles de conférence. Ce serait un écosystème complet, comme en Israël. Mais la moitié des acteurs majeurs de la cyber sont en région parisienne et demandent qu’il soit construit à la Défense ; ce qui n’est pas incompatible avec des implantations en province.

Suite de l’article ” La cyberdéfense européenne, enjeux de souveraineté (partie 3) “

Article tiré de la visioconférence EuroDéfense-France / Association Minerve 

Avec la participation de : 

  • Oliver Ligneul, Directeur cybersécurité du Groupe EDF 
  • Bernard Barbier, CEO de BBcyber 
  • Marc-Antoine Brillant, Sous-directeur adjoint Stratégie de l’ANSSI 
  • Thierry Leblond, IGA (2s), Président de Scille, Membre du conseil d’EuroDéfense-France 

Par Parsec

Sur le même sujet

PARSEC certifiée par l’ANSSI

PARSEC certifiée par l’ANSSI

Dans le contexte actuel où la protection des données sensibles constitue l’enjeu primordial de cette nouvelle décennie marquée par la transformation numérique, nous sommes fiers d’annoncer que notre solution PARSEC a obtenu la certification CSPN délivrée par l’ANSSI....