Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
1 octobre 2013 2 01 /10 /octobre /2013 11:55
photo EMA

photo EMA

01.10.2013 Interview par Alain Establier - SECURITY DEFENSE Business Review (SDBR) N°90 du 24/09/2013

 

SDBR : Quand a été créé le poste d’officier général « cyberdéfense » de l’EMA ?

 

AC : Le poste d’officier général a été créé en juillet 2011, moi-même étant en poste à temps plein depuis février 2011, au moment ou l’ANSSI était elle-même créée pour devenir l’autorité nationale de défense des systèmes d’information. Mais je travaille sur la cyberdéfense depuis la sortie du Livre blanc 2008.

 

Quel bilan tirez-vous de cette période 2008/2013 ?

 

Suite à la prolifération du virus Conficker, qui a touché entre autres début 2009 le ministère de la défense, un mouvement important de refondation de la cybersécurité du ministère a été lancé. La prise de conscience  de l’ensemble des hautes autorités de l’Etat, en particulier du ministère de la défense (MINDEF) et du secrétariat général à la défense et à la sécurité nationale (SGDSN), a été déterminante pour faire de la cyberdéfense une réelle priorité. L’accélération s’est produite début 2010, ce qui a permis aux traitants dont je suis de réellement mettre en œuvre les mesures préconisées avec l’appui et la confiance des plus hauts responsables. Le Livre blanc 2013 est venu concrétiser ce mouvement commencé il y a 5 ans, avec des emplois et des crédits d’investissement conséquents. Il y avait environ 120 agents à la DCSSI (qui a précédé l’ANSSI), aujourd’hui il y a 360 personnes qui dépendent de Patrick Pailloux, son directeur général, avec un objectif de plus de 500 personnes à fin 2015. Coté MINDEF, l’expertise pointue de DGA-MI va se voir doter de 200 ingénieurs supplémentaires d’ici 5 ans pour porter l’effectif total aux environs de 400 et permettre de recruter des thésards et des doctorants. Au niveau  des armées, la LPM prévoit la création de 350 postes, entre 2013 et 2019, pour la sécurisation des forces armées et des services communs du ministère (hors DGA). Au-delà du MINDEF et de la DGA, d’autres partenaires donnent une dimension interministérielle à cette dynamique positive pour créer une communauté de la cyberdéfense nationale, notamment au ministère de l’intérieur et au SGDSN.

 

Pouvez-vous clarifier les périmètres cyberdéfense et cybersécurité ?

 

Dans l’acception du MINDEF et selon les définitions de l’ANSSI : cybersécurité = cyberdéfense + cyberprotection. On parle de cybersécurité comme étant l’état final recherché. La cyberdéfense est la partie active opérationnelle (par exemple, l’exploitation des informations données par des capteurs). La cyberprotection est la partie préventive et architecturale (cryptographie, architecture de réseaux, capteurs, etc.). Vous trouverez donc des personnels de cyberdéfense dans les centres experts (Calid/centre opérationnel du MINDEF, Cossi/centre opérationnel de l’ANSSI) et dans les fonctions de sécurité des opérateurs qui mettent en œuvre des réseaux et des SI (DIRISI*, Orange, Thales, etc.), simplement l’expertise chez un opérateur ne sera pas du même niveau que dans un centre expert, comme le nom l’indique.

 

Qu’est-ce qui différencie ce niveau d’expertise ?

 

Au MINDEF, la fonction SOC (security operating center) que vous trouvez à la DIRISI, au service de santé des armées ou dans les réseaux de la DGA, n’est pas du même niveau d’expertise qu’au Calid car les outils utilisés ne sont pas les mêmes. Les opérateurs du Calid, utilisant des outils d’investigation particuliers pour « décortiquer » les incidents, ont donc des qualifications particulières et des formations « forensic ».

 

Quels sont les risques auxquels vous êtes confrontés ?

 

Nous sommes régulièrement confrontés à des attaques visant à dénaturer les sites web de telle ou telle administration, avec pour risque la manipulation d’images dans le cadre de campagne de  communication, comme nous l’avons vu au moment de l’opération Harmattan en Libye, de l’opération Serval au Mali et comme nous pourrions l’être en ce moment avec la Syrian Electronic Army (SEA). En général ce type d’attaques n’a pas de réelles conséquences sauf médiatiques. Les attaques ciblées de type « APT – Advanced Persistant Threat » sont plus gênantes, mais ce sont surtout celles que pourraient subir des SCADA (mis en exergue en 2010 par l’attaque du virus Stuxnet sur les centrales iraniennes) qui nous préoccupent beaucoup, car ce sujet concerne toute l’informatique potentiellement communicante qu’utilise le MINDEF, dans l’ensemble de ses systèmes : industriels, d’armes, de commandement ou de communications. Partout où de l’informatique pourrait être amenée à échanger des données, nous sommes aujourd’hui dans le périmètre de la cybersécurité du MINDEF. C’est nouveau par rapport à la sécurité des SI classique, laquelle existe depuis de nombreuses années où l’on privilégiait la confidentialité des échanges d’information (réseaux classifiés). L’arrivée de l’IP (Internet Protocol), que l’on trouve maintenant partout, a bouleversé le périmètre de la cybersécurité. De même, la sécurité du MINDEF commence au-delà de son système d’information, puisque la maintenance de nombreux systèmes est faite chez des partenaires qui parfois interviennent sur les théâtres d’opérations (Thales, Cassidian, etc.). Notre industrie de confiance doit donc aussi être capable d’avoir un haut niveau de cybersécurité.

 

Comment pourrait-on nous passer des grands logiciels ou équipements étrangers ?

 

Il y a probablement des équipements stratégiques dont nous devons retrouver la maîtrise, entre autres les équipements des cœurs de réseaux où se fait l’orientation des flux, ou encore les sondes de détection où une approche régalienne est absolument nécessaire. Comme nous ne sommes pas non plus capables de maitriser encore certains logiciels, antivirus notamment, il convient d’en croiser différents  (Kaspersky, McAfee, Symantec ou d’autres) en attendant une solution nationale pour pallier à cette carence.

 

La LPM apporte des modifications aux aspects juridiques de votre activité. Pouvez-vous nous dire en quoi ?

 

Le point de départ de ces aménagements juridiques est de pouvoir protéger juridiquement le travail des agents présents dans les centres experts de cyberdéfense. La jurisprudence et les textes actuels de la CNIL, en termes d’investigation, suffisent largement aux administrateurs de réseaux pour mener des investigations internes nécessaires ou des surveillances. Par contre en cas d’attaques, le code pénal dit aujourd’hui que « sauf motif légitime il est interdit de pénétrer dans un système externe ». Donc les articles de la LPM ont été rédigés, non pour évoquer des actions de rétorsion ou de contre-attaque, mais pour permettre aux agents des centres experts d’entrer en interaction avec un attaquant et faire cesser les effets d’une attaque contre le système visé : caractérisation et compréhension de l’attaque, neutralisation de ses effets par l’emploi de tel ou tel procédé technique. Les conditions d’application seront d’ailleurs définies par le Premier Ministre.

 

Le Livre blanc parle pourtant bien de capacités offensives en matière de cyber, non ?

 

En effet, dans les 13 pages du Livre blanc consacrées à la Cyber, vous avez plusieurs articles qui annoncent des capacités offensives pour la France dans le cadre de ses opérations militaires, ce qui est tout à fait différent du cadre précédent puisqu’entrant dans le cadre d’une intervention militaire, qui aujourd’hui n’est conduite qu’en application de résolutions internationales.

 

Parlez-nous de la chaine opérationnelle de cyberdéfense évoquée dans le Livre blanc.

 

Tout part du chef des armées et du CEMA, qui dispose d’un sous-chef opération et d’un centre de planification et de conduite des opérations (CPCO). Je suis le chef cyber de ce CPCO. La chaine de commandement est totalement intégrée dans le CPCO car le cyber est partout (dans les avions, les bateaux, etc.). En outre, en cas d’échec de la cyberdéfense, la crise concernerait toutes les composantes des armées et il faudrait en gérer les effets avec les moyens classiques. C’est donc une chaine opérationnelle unifiée, centralisée et spécialisée, intégrée au CPCO, qui est construite comme les autres chaines de commandement (air, terre, mer) avec les mêmes attributs : anticipation, doctrine, directives aux éléments décentralisés, mobilisation de moyens, etc.

 

Quelles sont vos ressources humaines ?

 

Je dispose d’une équipe resserrée qui travaille avec moi, de cellules au CPCO et d’un centre expert (Calid). Mais je dispose aussi de relais dans les armées, jusqu’au niveau des unités élémentaires. Chaque unité du MINDEF dispose aujourd’hui d’un assistant de lutte informatique défensive (ALID), capable de faire faire un certain nombre de manipulations sur les matériels de son unité. En réservoir de ressources, je dispose de toute la chaine SSI du MINDEF, à savoir 1600 personnes actuellement (plus les 350 postes à créer d’ici 2019). Sur ces 1600, environ 1200 sont dans le périmètre de l’état-major des armées : 300 gèrent des équipements de chiffrement et 900 sont dans la chaine de cybersécurité (prévention, détection, protection) avec des niveaux d’expertise variables. Dans ces 900, 150 sont des experts de haut niveau qui font des missions d’audit et d’expertise, que ce soient des officiers (bac + 7) ou des sous-officiers (bac + 2) qui sont passés par l'école des transmissions (ETRS) de Cesson-Sévigné près de Rennes, ou encore  des experts en lutte informatique défensive, soit au sein du Calid soit au sein des SOC.

 

Quel est le volume d’incidents que vous traitez ?

 

Depuis début 2013, le Calid a eu à traiter environ 500 remontées d’incidents ; ce sont les incidents qui remontent des opérateurs du ministère et qui demandent des expertises plus poussées que celles de leur SOC. Ces SOC fonctionnent à partir de signatures connues. Ce qui nous intéresse, particulièrement pour les affaires d’espionnage et autres, ce sont les signaux faibles pouvant être éventuellement détectés sur nos réseaux, de façon à pouvoir ensuite remonter une attaque. C’est l’objet des recherches menées par la DGA sur la corrélation d’événement ou du programme MTLID** de surveillance instrumentalisée des sondes (par Cassidian). En termes d’investissements, la LPM a prévu le programme « cyber » (350 M€) qui couvre tous les outils métiers spécifiques : chiffrement, téléphones sécurisés, sondes, corrélateurs, outils de présentation, etc.

 

Vos vœux pour les années à venir ?

 

Au sein de l’Etat, les administrations concernées par le cyber ont jusqu’à présent su gommer de nombreuses frontières pour coopérer en bonne intelligence. Le domaine est tellement vaste (de la cybercriminalité à l’espionnage économique en passant par le terrorisme) qu’aucun centre expert ne pourrait tout englober. Espérons que le renforcement des moyens et des effectifs n’empêchera pas la poursuite de cette coopération de confiance. Coté industriel, espérons aussi que nous pourrons conserver et faire émerger des entreprises de confiance pour préserver la pérennité de nos coopérations industrielles et garantir une indépendance et une autonomie nationale en matière de cybersécurité. Enfin en matière de réserve, nous avons lancé avec un relatif succès une réserve citoyenne de cyberdéfense, qui regroupe aujourd’hui 80 personnes réparties en 8 groupes de travail, pour le lobbying et la réflexion. Il existe aussi la réserve opérationnelle des armées, plus difficile d’emploi et de mise en œuvre dans ce domaine pointu. Enfin, nous avons le projet de mettre en place une réserve « cyberdéfense »à vocation opérationnelle pour aider à des travaux de restauration, à disposition de l’ANSSI et de l’Etat face à une crise grave. Nous en reparlerons…

 

*DIRISI : Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information

** MTLID : moyens techniques de lutte informatique défensive

Partager cet article

Repost 0

commentaires

Présentation

  • : RP Defense
  • RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

  • News review for Industry - European Defence Agency
    source European Defence Agency If you want to subscribe to the News Review, or if you want to stop receiving the News review: News4Ind@eda.europa.eu News of the News EDA Study on the Impact of REACH & CLP European Chemical Regulations on the Defence Sector:...
  • Chronique culturelle - 13 Février 2017
    13 février 1960 explosion de la première bombe atomique française 13.02.2017 source JFP 13 février 1692 : massacre du clan Mac Donald dans la Glencoe (Ecosse).Le protestant Guillaume d’Orange ayant mis en fuite le catholique Jacques II, les chefs de clans...
  • Le PGHM et le GAM s’entraînent ensemble au secours en montagne
    Equipement de passage en neige - photo GAM Armée de Terre 07.02.2016 source 27e BIM Le lundi 13 février 2017 se déroulera un entraînement conjoint entre le peloton de gendarmerie de haute montagne (PGHM) et le groupement d’aguerrissement montagne (GAM)...
  • ITW SDBR : général Vincent Desportes, Professeur des Universités associé à Sciences Po Paris, Ancien directeur de l’Ecole de Guerre
    23.01.2017 par Alain Establier - SECURITY DEFENSE Business Review N°164 SDBR : Quel regard portez-vous sur la Défense de la France ? Vincent Desportes* : A l'issue de cette mandature, nous voyons un empilement d'actions réactives, à vocations plus politiciennes...
  • Chronique culturelle 9 Janvier
    Hussards du régiment de Bercheny en 1776 09.01.2017 source JFP 9 janvier 1778 : mort du créateur des régiments de Hussards (Luzancy – près de Meaux). Emigré hongrois et excellent capitaine au service de la France, Ladislas Ignace de Bercheny , obtient...
  • Chronique culturelle 04 Jan.
    Insigne général des Troupes de Forteresse de la Ligne Maginot 04.01.2016 source JFP 4 janvier 1894 : signature de l’alliance franco-russe. Préparée par de nombreuses activités bilatérales dans les années précédentes, une convention militaire secrète est...
  • Chronique culturelle 03 Jan.
    Napoléon en Egypte par Jean-Léon Gérome 03.01.2017 source JFP 3 janvier : Sainte Geneviève, patronne de la gendarmerie. Issue de la noblesse gallo-romaine du IVe siècle, elle convainc les habitants de Lutèce de ne pas livrer leur ville à Attila, roi des...
  • Au Levant, contre Daech avec les Forces Spéciales
    photo Thomas Goisque www.thomasgoisque-photo.com Depuis plus de deux ans, les hommes du C.O.S (Commandement des Opérations Spéciales) sont déployés au Levant et mènent, en toute discrétion, des opérations contre l’Etat islamisque.Au nord de l’Irak, ils...
  • Les blessés en Opérations extérieures ne prennent pas de vacances !
    Source CTSA Pendant la période des fêtes de fin d'années, le nombre de donneurs diminue dangereusement. Le site de Clamart du Centre de transfusion sanguine des armées (CTSA) invite fortement les donneurs des communes proches à profiter des vacances de...
  • Interview SDBR de Gaël-Georges Moullec, Historien
    photo SDBR 20.12.2016 par Alain Establier - « SECURITY DEFENSE Business Review » n°162 SDBR: Comment va la Russie aujourd’hui? Gaël-Georges Moullec * : Il n’y a plus d’ascenseur social dans la Russie d’aujourd’hui, ce qui est un problème moins connu,...

Categories