Overblog
Suivre ce blog Administration + Créer mon blog
1 octobre 2014 3 01 /10 /octobre /2014 11:55
Cybersécurité : l'Etat plaide pour une consolidation de l'offre industrielle

 

01.10.2014 par Nicolas Arpagian - JDN

 

Guillaume Poupard, DG de l'Agence Nationale de la Sécurité des Systèmes d'Information, ouvre ce matin les Assises de la Sécurité en présentant la vision ès-cybersécurité de l'État.

 

"La cybersécurité est une cause d'union nationale", martèle Guillaume Poupard, directeur général de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) depuis le printemps dernier. "Et dans un budget de DSI, elle ne peut plus être marginale et devra encore progresser". Le propos, s'il a tout pour séduire les deux mille professionnels réunis depuis ce matin à Monaco pour la 14ème édition des Assises de la Sécurité, correspond à la reconnaissance par les autorités françaises du caractère stratégique de la sécurité numérique. L'été 2014 ayant été marqué par la publication de la circulaire signée le 17 juillet par Manuel Valls qui dote l'Etat français d'une Politique globale de sécurité des systèmes d'information (PSSIE). Son public ? L'ensemble des agents de l'Etat. Son ambition ? "Assurer la continuité des activités régaliennes, prévenir la fuite d'informations sensibles et renforcer la confiance des citoyens et des entreprises dans les téléprocédures". Vaste programme !

 

Suite de l'article

Partager cet article
Repost0
2 septembre 2014 2 02 /09 /septembre /2014 11:55
Le Cybercercle se délocalise à Toulon le 12 septembre

 

01.09.2014 par Philippe Chapleau - Lignes de Défense

 

Le 12 septembre prochain se déroulera à Toulon, un petit-déjeuner-débat sur le thème : "CYBERSECURITE & MILIEU MARITIME".

Interviendront lors de cette rencontre:
- le Vice-amiral Arnaud COUSTILLIERE, Officier général à la Cyberdéfense à l’État-major des armées,
- Dominique RIBAN, Directeur général adjoint de l’ANSSI,
- l’Amiral Jacques LANXADE, Président de la FMES, ancien Chef d’État-major des armées,
- François DEMOULIN, Président du Pôle Mer Méditerranée,
- Bernard SANS, Président de Toulon Var Technologies,
- Michel AGOSTINI, Directeur Systèmes de Mission Intégrés chez DCNS.

La conférence, qui se déroulera à partir de 8h15 dans les locaux de Toulon Var Technologies - place Georges Pompidou à Toulon - sera suivie à 11 heures d'une démonstration par DCNS d'attaques/défense en cybersécurité.

Cette conférence du 12 septembre à Toulon est le premier rendez-vous du CyberCercle en province. Elle s'inscrit dans le cadre de la dynamique thématique sur la cybersécurité et le milieu maritime qui sera développée par le CyberCercle tout au long du quatrième trimestre 2014 à travers une conférence workshop à Euronaval le 28 octobre, un numéro spécial de la lettre Cybersécurité & Parlement, et les Rencontres Parlementaires Cybersécurité & Milieu maritime qui se dérouleront le 17 décembre à Paris.

 

Pour s'inscrire, cliquer ici.

 

Renseignements: Le CyberCercle : cybercercle@defense-et-strategie.fr
Tel : 09 83 04 05 37
Fax : Fax : 09 81 38 81 25

Partager cet article
Repost0
18 juillet 2014 5 18 /07 /juillet /2014 16:55
Le directeur général de l’ANSSI  invité de la Lettre Entreprises & Défense

 

source : Lettre Entreprises & Défense

 

Le directeur général de l’Agence nationale de la sécurité des systèmes d’information invité de la Lettre Entreprises & Défense

 

Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l'invité du nouveau numéro d'Entreprises & Défense, la Lettre trimestrielle de l'Association des entreprises partenaires de la Défense.

Au sommaire également de ce numéro :

  • la soirée-débat « La Défense, outil de puissance de la France »

  • une présentation de la Cellule d’aide aux blessés de l’armée de Terre (CABAT)

  • la nouvelle plaquette du Centre de transfusion sanguine des armées (CTSA)

  • l’édition 2014 du « Prix de la reconversion des militaires ».

Pour télécharger ce numéro d'Entreprises & Défense : pdfLIEN

Partager cet article
Repost0
28 mai 2014 3 28 /05 /mai /2014 16:55
Séminaire cyberdéfense en zone sud-ouest (Oct 2013)

 

28/05/2014 DPSD

 

Les 16 et 17 octobre 2013, la direction zonale de la PSD de Bordeaux et le poste PSD de Toulouse ont organisé un séminaire consacré à la cyberdéfense…

 

Plus de 300 personnes représentant les industries de défense en zone sud-ouest, oeuvrant dans les domaines de l’aéronautique, du spatial, de l’armement, de l’électronique, du nucléaire, des télécommunications et de l’ingénierie ainsi que les principales autorités militaires et civiles zonales avec lesquelles le service oeuvre au quotidien se sont retrouvées à Bordeaux puis à Toulouse pour ce second colloque annuel consacré à la cyberdéfense.

 

Des interventions de très haut niveau se sont succédées à la tribune de la base aérienne 106 de Mérignac puis de l’Isaé (Institut supérieur de l’aéronautique et de l’espace) à Toulouse le lendemain matin avec, pour fil conducteur commun, les cyber-attaques.

 

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a présenté l’état de l’art des cyber-menaces en insistant sur les APT (Advanced Persistent Threats) et les vulnérabilités liées à l’emploi des équipements nomades, rappelant au passage que 733 ordinateurs portables sont perdus chaque semaine à Roissy !

 

Ensuite, et il s’agit là d’une nouveauté, des industriels du secteur de la défense ont apporté leurs témoignages et partagé leurs expériences en matière de détection et de traitement de cyber-attaques. Un expert en sécurité informatique a détaillé au travers d’un cas concret la phase préparatoire de construction d’une attaque informatique par utilisation des réseaux sociaux. Le responsable d’un grand groupe a présenté les meilleures pratiques techniques et organisationnelles mises en oeuvre en réponse à ces nouvelles menaces. Enfin, l’intervention d’une juriste du CEA (Commissariat à l’énergie atomique) éclairé l’auditoire sur les droits de l’employeur en matière de cyber-surveillance dans le contexte d’un nécessaire renforcement des politiques de sécurité des systèmes d’information.

 

Au bilan, ces deux journées particulièrement interactives ont été le lieu d’échanges constructifs entre les organisateurs, les conférenciers et les auditeurs. Les arguments et exemples employés par les intervenants ont suscité l’intérêt de l’ensemble des participants qui se sont déclarés très satisfaits et ont souligné tout l’intérêt de l’organisation de telles journées.

 

Rendez-vous est donc pris en 2014 pour le prochain colloque de la direction zonale de Bordeaux qui abordera le thème : « sécurité et mobilité ».

Partager cet article
Repost0
30 avril 2014 3 30 /04 /avril /2014 16:56
Appel à soumission pour la conférence C&ESAR 2014

 

30/04/2014 DGA

 

La 21édition de la conférence C&ESAR, organisée dans le cadre du « pôle d’excellence cyber » par DGA Maîtrise de l’information en partenariat notamment avec l’ANSSI et la DGSIC, se tiendra à Rennes du 24 au 26 novembre 2014 sur le thème « Détection et réaction face aux attaques : état des lieux, avancées et perspectives ».

 

Cette année, C&ESAR traitera de la lutte contre les cyber-attaques, couvrant deux aspects spécifiques, les problèmes de la détection de ces cyber-attaques d’une part, et de la réaction d’autre part.

La détection, dite historiquement « détection d’intrusions », est un domaine de recherche actif depuis le début des années 1980, et les sondes de détection sont des technologies déployées opérationnellement depuis la fin des années 1990. Ces sondes font aujourd’hui partie de la panoplie des outils des professionnels de la sécurité. Dans la continuité de ces développements, sont apparus au début des années 2000 les plates-formes de gestion de la sécurité, puis les centres opérationnels de sécurité permettant d’externaliser détection et réaction. Depuis le milieu des années 2000, une activité de recherche se développe également autour de l’automatisation des contre-mesures. Cette expérience opérationnelle d’une vingtaine d’années permet de dresser le panorama suivant :

  1. Les sondes permettent de détecter des attaques, mais il peut toujours demeurer une part d’attaques non détectées, qui sont perçues comme les plus dangereuses.
  2. Même lorsqu’elles sont détectées par les sondes, certaines attaques peuvent donner lieu à compromission car les alertes correspondantes ne sont pas ou mal traitées.
  3. Les opérationnels peuvent être réticents par rapport au concept de réaction automatisée, alors qu’ils regrettent le nombre d’alertes à traiter.

Il apparait donc nécessaire de faire le point sur les technologies existantes pour détecter et réagir face aux cyber-attaques, et de proposer des usages et de nouveaux développements afin de les améliorer.

À cette fin, des propositions de communication sur ce thème sont attendues dans trois catégories :

  • didactique : états de l’art, bonnes pratiques, architectures types, partage de retours d’expérience, etc.
  • générale : enjeux, évolutions des menaces, normes, cadre réglementaire, juridique ou légal, gouvernance et organisation des centres opérationnels de sécurité, stratégies d’anticipation et de planification, gestion de crise, etc.
  • spécialisée : explication de techniques de détection spécifiques, présentation d’approches ou de solutions comportementales, techniques de corrélation, mise en place de systèmes de contremesures, évaluation du risque présenté par les alertes, évasion de la détection, traitement des faux positifs et faux négatifs, exploitation de données appliquée aux traces, etc.

Modalités de soumission

Le détail de l’appel et les modalités de soumission sont accessibles sur le site, rubrique " appel à com

Dates importantes

• Soumission des propositions de communications (entre 3 et 8 pages) : 16 juin 2014

• Notification aux auteurs : 4 juillet 2014

• Version finale (entre 8 et 16 pages) : 1er octobre 2014

• Conférence : du 24 au 26 novembre 2014

 

Comité d’organisation

Président : Yves CORREC (ARCSI, France)

José ARAUJO (ANSSI, France) Olivier HEEN (Technicolor, France) ; Boris BALACHEFF (HP Labs, France) Ludovic MÉ (Supélec, France) ; Benoit MARTIN (DGA Maîtrise de l’information, ministère de la Défense, France) ; Ludovic PIETRE-CAMBACEDES (EDF, France) ; Florent CHABAUD (DGSIC, ministère de la Défense, France) ;  Éric WIATROWSKI (Orange, France).

Comité de programme

Président : Hervé DEBAR (Télécom-SudParis, France)

Marie-Thérèse ANDRE (ministère de la Défense, France) ; Olivier BETTAN (Thalès, France) ; Guillaume BONFANTE (LORIA, France) ; Pierre CARON (Orange Labs, France) ; Yves CORREC (ARCSI, France) ; Frédéric CUPPENS (Télécom Bretagne, France) ; Marc DACIER (SYMANTEC, France) ; Gérard GAUDIN (Club R2GS, France) ; Christian GUERRINI (SOGETI, France) ; Nicolas GUILLERMIN (ministère de la Défense, France) ; Olivier HEEN (Technicolor, France) ; Sébastien HEON (CASSIDIAN, France) ; Grégoire JACOB (Lastline, USA) ; Frédéric LE BASTARD (La Poste, France) ; Jean LENEUTRE (Telecom ParisTech, France) ; Ludovic MÉ (Supélec, France) ; Benjamin MORIN (ANSSI, France) ; Vincent NICOMETTE (CNRS/LAAS, France) ; Ludovic PIETRE-CAMBACEDES (EDF, France) ; Jouni VIINIKKA (6Cure, France) ; Éric WIATROWSKI (Orange, France).

Cette liste pourrait être étendue prochainement.

À propos de C&ESAR

Le ministère de la Défense organise chaque année depuis 1997 le colloque C&ESAR (Computer & Electronics Security Applications Rendez-vous) dédié à la sécurité informatique, en vue de réunir les acteurs gouvernementaux, industriels et académiques. Cet événement vise un double objectif, scientifique et didactique, en rassemblant durant trois jours experts, chercheurs, praticiens et décideurs, pour un tour d’horizon sur un sujet particulier en sécurité informatique. Le thème choisi est abordé dans une perspective opérationnelle aussi bien que théorique, avec une dimension didactique prononcée pour aider les professionnels de secteurs différents à partager une compréhension commune de problématiques complexes. Cette approche interdisciplinaire de la sécurité informatique permet aux utilisateurs de terrain d’étudier et d’anticiper les avancées théoriques ou techniques, et aux industriels ou aux scientifiques de confronter la recherche et le développement des produits aux réalités opérationnelles.

Partager cet article
Repost0
3 avril 2014 4 03 /04 /avril /2014 19:55
Le Lieutenant-Colonel Dossé en pleine présentation

Le Lieutenant-Colonel Dossé en pleine présentation

 

 Le blog de l'EPITA

 

La deuxième édition de la journée de la cyberdéfense se tenait le 27 mars à l'EPITA. Organisée par le ministère de la Défense pour sensibiliser les étudiants aux problématiques de cybersécurité, elle permettait aux Epitéens de mieux comprendre les différentes missions de l'armée en la matière.

 

Alors que la question de la cybersécurité devient un enjeu majeur de l'économie, l'EPITA continue son engagement dans ce domaine. Après le lancement officiel de SecureSphere, son centre de formation continue spécialisé sur la question, et une présence remarquée lors du Forum international de la cybersécurité (FIC) (avec notamment la co-fondation du CECyF, le Centre expert de lutte contre la cybercriminalité français), l'école a accueilli le 27 mars la deuxième édition de la journée de la cyberdéfense. Un évènement important pour les étudiants, et plus spécialement ceux de la majeure Systèmes, Réseaux et Sécurité (SRS), qui ont pu en apprendre davantage sur les différents organismes spécialisés de la grande muette. Grâce à des intervenants issus du Centre d'analyse de lutte informatique défensive (CALID), de la Direction de la protection et de la sécurité de la défense (DPSD) ou encore de l'Agence Nationale de la Sécurité Informatique (ANSSI), les Epitéens ont eu l'occasion de mieux comprendre comment la France se protège sur le Net. Anticipation, cybersurveillance, investigation numérique, vérification régulière des systèmes, typologie des attaques, mise en place de réponses, protection des capacités opérationnelles de la défense nationale... autant de missions et d'actions à mener quotidiennement pour avoir une cyberdéfense solide et adaptée à une époque où une cyber-attaque se lance toutes les 1,5 secondes et où la qualité des systèmes d'information tend à régir la sécurité des nations. « Sans SI, il n'y a plus aucune capacité militaire, annonce ainsi le Lieutenant-Colonel Dossé lors de son intervention. Cela fait de l'informatique un véritable enjeu moderne, au cœur des combats. D'où l'engagement nécessaire des armées dans le cyberespace. »

EPITA_journee_cyberdefense_02.jpg

Sébastien Bombal, responsable de la majeure SRS de l'EPITA, et le Lieutenant-Colonel Dossé


Le mode opératoire d'une cyber-attaque ciblée en 6 étapes

Si n'importe qui peut être victime d'une attaque sur Internet, toutes les attaques n'ont pas le même but. En première position des attaques les plus virulentes se trouvent les Advanced Persistent Threat (APT), des « menaces persistantes avancées » utilisées pour « faire du mal et récupérer les informations » dixit le Lieutenant Bardou du CALID. Ces opérations offensives se répètent afin de mieux cerner puis envahir le système visé à l'aide de malwares très performants, parfois développés par des équipes composées de plusieurs dizaines de membres. Elles fonctionnent selon un processus divisé en 6 étapes distinctes :

  1. Le Ciblage
    Le choix de la cible est le point de départ de toute attaque. L'assaillant va d'abord trouver un site ou un serveur susceptible de l'intéresser. Un email contenant un malware est ensuite envoyé pour infiltrer la cible. Cette étape peut se répéter par la suite avec l'envoi de malwares plus « puissants » si l'attaquant le juge opportun.
     
  2. L'exploitation de la vulnérabilité
    Le malware installé, l'attaquant recherche alors les potentielles failles de la machine, du serveur ou du réseau. Il s'agit de voir par exemple ce que permettent les statuts d'utilisateurs et d'administrateurs, de « comprendre » le mode de fonctionnement de la cible.
     
  3. La reconnaissance technique
    C'est là que l'attaque commence à prendre formes. Le « pirate » élève ses privilèges et obtient les droits d'administrateur qui lui permettent d'agir directement et de manière plus discrète.
     
  4. Le déploiement
    Il s'agit d'une simple vérification : l'attaquant vérifie si sa méthode est utile pour lui permettre d'atteindre ses objectifs. Si ses codes et malwares sont opérationnels, il pourra procéder à l'étape suivante. Il peut éventuellement préparer un « écran de fumée » pour camoufler l'intention première de l'attaque.
     
  5. Lancement de l'attaque
    La vérification effectuée, l'attaque est définitivement entamée. Les informations sensibles sont récupérées et transmises à des serveurs « amis ».
     
  6. Préparation du sabotage
    L'opération terminée et toutes les informations récupérées, l'assaillant peut choisir de saboter le réseau attaqué et de détruire les données, voire l'outil informatique. Plus « simple » à mettre en place, la destruction de données est d'ailleurs souvent préconisée plutôt que leur exfiltration.
Partager cet article
Repost0
28 mars 2014 5 28 /03 /mars /2014 08:55
Un cryptographe à la tête de la cyberdéfense française

 

27/03/2014 de Guerric Poncet Le Web en lignes / Le Point.fr

 

Guillaume Poupard, ingénieur en chef de l'armement, prend la tête de l'Anssi. Il succède à Patrick Pailloux, nommé directeur technique de la DGSE.

 

Le Point.fr l'évoquait dès janvier dernier : avec le départ de Patrick Pailloux à la Direction générale de la sécurité extérieure (DGSE), l'Agence nationale de la sécurité des systèmes d'information (Anssi) se trouvait sans patron. Le Conseil des ministres n'aura mis que quelques semaines pour combler le vide à la tête de cette agence de cyberdéfense, avec la nomination de Guillaume Poupard, comme le précise le compte-rendu du 26 mars.

Ingénieur en chef de l'armement et responsable jusqu'à aujourd'hui du pôle sécurité des systèmes d'information à la Direction générale de l'armement (DGA), Guillaume Poupard est un expert des technologies de cyberguerre et de cyberdéfense. Le Point.fr l'avait rencontré en janvier au Forum international sur la cybercriminalité (FIC) de Lille. Il nous avait notamment déclaré que nos armes informatiques sont depuis peu "opérationnelles, et nous avons fait de gros progrès". "Le livre blanc de la Défense de 2008 a posé des bases de travail, vous imaginez bien que les choses ont bougé depuis six ans !" avait-il ironisé.

 

Du développement des armes à l'opérationnel

"Je ne peux pas vous dire où les armements cyber (français) sont développés : nous n'avons aujourd'hui aucun intérêt à le dire", nous avait par ailleurs expliqué Guillaume Poupard. Pas plus de succès lorsque nous avions essayé de connaître le nombre de personnes impliquées dans le secteur : "Je peux simplement vous dire que tout dépend du ministère de la Défense dans ce domaine", glissait-il. Un ministère qu'il quitte donc pour rejoindre le terrain, à l'Anssi. L'Agence dépend du Secrétariat général de la défense et de la sécurité nationale (SGDSN), lui-même directement rattaché au Premier ministre.

S'il quitte le développement des armes informatiques pour passer du côté opérationnel non pas de la cyberguerre, mais de la cyberdéfense (la nuance est importante : on ne parle pas ici d'offensif), Guillaume Poupard n'est pas un novice dans le domaine : docteur en cryptographie, il avait dirigé le laboratoire de la DCSSI, l'ancêtre de l'agence dont il prend les rênes aujourd'hui, comme le rappelle l'Informaticien.com. Qu'importe le passé de l'heureux élu, son origine va à coup sûr faire grincer des dents au ministère de l'Intérieur, exaspéré par la mainmise de la Défense sur l'Agence. Comme nous l'avions craint en janvier, la place Beauvau pourrait bien user de sa marge de manoeuvre et profiter des faibles pouvoirs de sanction de l'agence pour se désolidariser de l'action de l'Anssi.

De son côté, Patrick Pailloux devient directeur technique de la DGSE, une position stratégique et polémique, puisque c'est ce service qui dirige les opérations de surveillance massive des télécommunications. Une activité qui vaut à la "piscine" son nouveau surnom - abusif - de "NSA à la française".

Partager cet article
Repost0
26 mars 2014 3 26 /03 /mars /2014 18:55
L'ingénieur de la DGA Guillaume Poupard à la tête de l'Agence nationale de la sécurité des systèmes d'information

 

26.03.2014 Par Olivier Berger, grand reporter à La Voix du Nord.


L'ingénieur en chef de l'armement, Guillaume Poupard (au centre de la photo), a été nommé en conseil des ministres ce mercredi 26 mars directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il succède à Patrick Pailloux parti pour la direction technique de la DGSE.

Ça tombe bien, nous avions rencontré Guillaume Poupard en janvier au forum de la cybersécurité à Lille, où il nous parlait de l'implication technique de la Direction générale de l'armement (DGA) en matière de cyberdéfense... et de l'imbrication dans ce domaine entre le civil et le militaire.

 

L'ingénieur était alors responsable du pôle de sécurité des systèmes d'informations à la DGA, situé à Bruz près de Rennes (lire ici le texte de l'époque consacré au rôle de la DGA en cyber). Le pendant technique du CALID, le centre d'analyse en lutte informatique défensive de l'état-major des armées.

Lors d'une audition devant la Commission de Défense de l'Assemblée nationale en juillet 2013, Guillaume Poupard avait aussi évoqué les liens avec l'Agence nationale de la sécurité des systèmes d'information qu'il va donc diriger : " Nos liens avec l’ANSSI sont forts et anciens : il n’y a pas là de séparation entre civils et militaires. Nous travaillons ensemble pour concevoir et réaliser des produits de sécurité, notamment en réponse à des besoins de souveraineté, en matière de cryptographie par exemple. Le développement est réalisé par la DGA, avec des industriels et l’approbation, en vue de classification défense, est faite par l’ANSSI : cette organisation est bien rodée. "

Cette nomination n'a donc rien d'illogique d'autant que ce docteur en cryptologie passa avant 2010 chez le prédécesseur de l'ANSSI, la direction centrale de la sécurité des systèmes d'information. Et comme Patrick Pailloux, il est un acharné de " l'hygiène informatique " : " Ce n’est pas si facile : nous faisons tous des erreurs de sécurité. Ce travail sur l’hygiène informatique est pourtant essentiel ; il faut le mener dans les entreprises, mais aussi dès l’école (...) S’agissant des entreprises, la protection du patrimoine scientifique et technique est absolument essentielle. "

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié mardi 21 janvier des classifications, des modalités pour renforcer la cybersécurité des systèmes industriels. Après la définition de douze secteurs d'importance vitale (lire le détail dans cette note de janvier), l'ANSSI a identifié 218 opérateurs français, publics et privés, à cyberprotéger en priorité...

Partager cet article
Repost0
15 mars 2014 6 15 /03 /mars /2014 21:55
L’ANSSI a publié des mesures visant à renforcer la cybersécurité des systèmes industriels
 
21 janvier 2014 ssi.gouv.fr
 

Depuis février 2013, les acteurs industriels (utilisateurs, équipementiers, intégrateurs, associations et groupements d’industriels, etc.) et étatiques ont constitué un groupe de travail piloté par l’ANSSI pour apporter des réponses concrètes et pragmatiques à la sécurisation des infrastructures industrielles.

Les résultats des premiers travaux se présentent sous la forme de deux documents :
- le premier destiné à proposer une méthode de classification des systèmes industriels et les mesures principales pour en renforcer la cybersécurité ;
- le deuxième détaillant et complétant les principales mesures.

Ces documents, qui n’ont pas de valeur contraignante, serviront de base de travail pour l’élaboration de règles évoquées dans le cadre de la loi n°2013-1168 du 18 décembre 2013, dite loi de programmation militaire. Le travail de concertation avec les opérateurs d’importance vitale, les ministères coordonnateurs et les autres acteurs concernés pourra, dans un certain de nombre de cas, s’appuyer sur la méthodologie et les mesures proposées par ces documents afin d’identifier les systèmes critiques et les règles de sécurité à appliquer.

Contact : systemes_industriels [at] ssi.gouv.fr

  • PDF - 1.5 Mo
  • Méthode de classification et mesures principales
    PDF - 1.5 Mo
  • PDF - 1.5 Mo
  • Mesures détaillées
    PDF - 1.5 Mo
Partager cet article
Repost0
14 mars 2014 5 14 /03 /mars /2014 08:55
Cyberguerre : L’INSS, Think-Tank de l’Université de Tel-Aviv, Scrute la France.

 

Mar 11 Isreal Valley (Mitz)

 

L’INSS est un think-tank de l’université de Tel-Aviv, spécialisé sur le terrorisme et la cyberguerre. Ce cercle d’études est dirigé par Amos Yadlin, ancien patron d’Aman, les renseignements militaires israéliens. Le département cyberguerre de l’INSS fonctionne par ailleurs en intégration avec la Blavatnik School of Computer Sciences de l’Université de Tel-Aviv, qui compte une vingtaine de laboratoires de recherche cybernétique, de renommée mondiale.

 

Dans l’un de ses derniers rapports l’INSS passe en revue la situation en matière de cybersécurité en chaque zone du Globe. Et pointe à chaque fois, sans concession, forces, faiblesses, opportunités et menaces. En Israël, aux USA, en Russie, dans les pays Arabes, en Chine, et enfin en Europe avec un zoom particulier sur la France.

 

L’INSS raconte l’inauguration le 20 février dernier du nouveau quartier général de la cyberdéfense française. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) emploierait aujourd’hui 357 experts. Le Pentagone français aurait traité pour sa part 790 incidents cybernétiques en 2013. 1400 cyberguerriers hexagonaux auraient été recrutés par le ministère qui en souhaiterait 350 de plus d’ici à 2019.

 

L’INSS note également que si le développement de cyber armes françaises est resté fort discret, l’offensive cybernétique serait en fait, bien en place depuis 2008 avec la production de virus destinés aux ennemis de l’Hexagone. Le programme de cyberattaque français aurait donc démarré selon les israéliens deux ans avant Stuxnet (un ver informatique américain, issu du programme d’espionnage US olympic games aussi surnommé “bug”).

 

Selon l’INSS : "en dépit de ces efforts, la France est toujours en retard en termes de cyberdéfense si on la compare à d’autres nations de premier plan comme le Royaume-Uni. En réalité, les ressources humaines de la France, affectées à la lutte contre les cyberattaques, sont faibles comparées à celles d’autres nations.

 

Ce manque de ressources humaines est du à plusieurs facteurs. Tout d’abord, la France manque d’experts en sécurité, et deuxièmement, les français n’ont pas anticipé le problème de la protection contre les cyberattaques, ni la protection de leurs systèmes informatiques".

Partager cet article
Repost0
17 février 2014 1 17 /02 /février /2014 18:55
Défense : Les grandes oreilles françaises ont un nouveau patron

 

14/02/2014 ledauphine.com

 

Les grandes oreilles françaises ont depuis mercredi un nouveau patron : Patrick Pailloux, directeur général de l’agence de cyberdéfense du gouvernement, a été nommé ce vendredi en Conseil des ministres au poste stratégique de directeur technique de la Direction générale de la sécurité extérieure (DGSE).

 

Ce brillant ingénieur général des mines de 48 ans, affable et discret est un spécialiste de la protection des installations informatiques de l’Etat. Directeur technique des services de renseignements extérieurs, il va endosser un nouveau rôle, plus offensif et encore plus discret, celui de responsable des interceptions des communications à l’étranger.

Equivalent de la NSA (National security agency) et du GCHQ (Government communications Headquarters), la direction technique de la DGSE n’est pas une agence comme les deux agences américaine et britannique mais la plus importante des cinq directions de la DGSE même si elle est loin d’avoir les moyens financiers et humains de ses deux cousines. La direction technique de la DGSE compte 2.000 personnes, la NSA 55.000 et le GCHQ 6.000.

«Patrick Pailloux va prendre en main une maison très pointue montée par son prédécesseur Bernard Barbier qui a totalement adapté ce service aux défis des techniques de l’information et au traitement des gros flux multimédias», explique à l’AFP sous couvert de l’anonymat un ancien chef d’un service de renseignements français.

 

«Le meilleur choix possible»

Pour ce spécialiste, Patrick Pailloux était «le meilleur choix possible» pour diriger la direction technique de la DGSE «où il faut traiter de très gros volumes d’informations sur tous les types de médias et ce, le plus rapidement possible car la menace va très vite», ajoute-t-il.

Les interceptions des communications des groupes jihadistes au Mali, réalisées par la DGSE dans le cadre de la lutte anti-terroriste, avaient permis de déclencher l’opération Serval au Mali le 11 janvier 2013.

Polytechnicien et diplômé de l’Ecole nationale supérieure des télécommunications, Patrick Pailloux a d’abord dirigé en octobre 2005, la sécurité des systèmes d’information au Secrétariat général de la défense nationale (SGDN) avant d’être nommé en juillet 2009 directeur général de directeur général de l’Agence nationale de sécurité des systèmes d’information (Anssi). Cette agence de cyberdéfense assure un service de veille permanent, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État.

La direction technique de la DGSE gère le budget le plus important de l’agence française de renseignements extérieurs.

Elle est chargée des interceptions de télécommunications à l’extérieur de la France, de l’imagerie satellitaire, de la cryptologie dans le cadre de la lutte anti-terroriste et du soutien technique de l’ensemble de la DGSE.

La direction technique possède l’un des plus puissants super-calculateurs de France avec le CEA. Elle recrute chaque année des informaticiens, des spécialistes des télécommunications et des mathématiciens (cryptologie) de haut niveau.

En février 2013, le préfet Érard Corbin de Mangoux, ex-directeur général de la sécurité extérieure (DGSE) avait révélé que la DGSE dispose «de l’ensemble des capacités de renseignement d’origine électromagnétique» et «avait développé un important dispositif d’interception des flux Internet».

Partager cet article
Repost0
7 février 2014 5 07 /02 /février /2014 17:55
Thales regroupe ses forces dans la cybersécurité

 

06/02/14 Gilbert Kallenborn - 01Business

 

Le spécialiste des systèmes de défense fusionne ses équipes informatiques pour mieux se positionner sur le marché de la cybersécurité. En ligne de mire : les 200 opérateurs d’infrastructure vitale (OIV), définis par la Loi de programmation militaire.



Face à un marché mouvant et en pleine croissance, mieux vaut avoir une offre claire et lisible. C'est sans doute pour ces raisons que Thales annonce aujourd'hui, jeudi 6 février, la création de sa nouvelle ligne d'activité « Systèmes d'information critiques et cybersécurité ». Celle-ci résulte du regroupement des équipes spécialisées en sécurité des systèmes d'information d'une part et en systèmes d'information critiques d'autre part. « Les frontières entre ces deux domaines s'estompent. Il était donc logique de les mettre ensemble, ce qui nous permet de mutualiser ces ressources », explique Marc Darmon, directeur général adjoint de Thales, en charge des systèmes d'information et de communication sécurisés. 

Réunies, ces deux activités totalisent plus de 5000 personnes réparties dans 13 pays (dont 1500 experts en cybersécurité) pour un chiffre d'affaires d'environ 500 millions d'euros. Elles disposent également de deux centres opérationnels de sécurité, l’un à Elancourt (France) et l’autre à Basingstoke (Royaume-Uni). L'objectif est de fournir des produits et des services aux grandes entreprises, administrations, organismes financiers, industries, etc.

 

Numéro 1 en Europe

La nouvelle entité revendique la première place en Europe dans le domaine de la sécurité des technologies de l’information. Elle fournit des produits et solutions habilités confidentiel-défense et secret-défense dans 50 pays dont 25 au sein de l’Otan. Elle opère et supervise les systèmes informatiques critiques d’une centaine de clients dans le monde. Elle assure également la protection des transactions bancaires de 19 des 20 plus de grandes banques mondiales. 

En France, les « opérateurs d’infrastructure vitale » (OIV) constituent actuellement une cible commerciale privilégiée, dans la mesure où la toute récente Loi de programmation militaire (LPM) les obligera à renforcer leurs dispositifs de sécurité informatique. Une liste secrète de 200 noms d'organisations a été établie par l’Anssi, qui se chargera de vérifier et coordonner leurs stratégies en matière de cybersécurité. « Cela va aider à une prise de conscience dans les directions informatiques. Il y aura sans doute des investissements de nature technologique par ce biais-là. C'est, pour nous, une opportunité », souligne Laurent Maury, directeur délégué de Thales Services.

Ce n’est donc pas hasard si, lors d’une visite dédiée à la presse, la société française a montré une simulation d’attaque informatique sur un barrage hydraulique, ou mis en avant ses tablettes sécurisées Teopad, qui seraient « particulièrement adaptées aux OIV », comme le souligne Marc Darmon. Parmi les clients de la solution Teopad figurent le ministère de la Défense et Vinci Facilities.

 

Orange dans les starting-blocks

Evidemment, Thales n’est pas le seul à se positionner. Demain, vendredi 7 février, c’est au tour d’Orange Business Services d’inviter les journalistes pour leur faire visiter le centre opérationnel de sécurité de Cesson-Sevigné. Avec en prime un invité de marque. Jean-Yves Le Drian, ministre de la Défense, présentera les détails de son Pacte Défense Cyber, qu’il avait déjà évoqué à Lille, à l’occasion du Forum International de la Cybersécurité. L’activité Cyberdéfense d’Orange est d’ailleurs assez récente. Elle n’existe réellement que depuis le rachat d’Athéos le 6 janvier dernier. Une belle opération qui a été entachée par le fameux piratage des 800 000 comptes clients.  Un malheureux hasard de calendrier...

Partager cet article
Repost0
8 décembre 2013 7 08 /12 /décembre /2013 20:55
Google bloque des certificats de sécurité Internet émis par une autorité française

 

08.12.2013 Le Monde.fr

 

Une potentielle importante faille de sécurité pour les internautes a été évitée. Google a annoncé samedi avoir bloqué plusieurs certificats de sécurité émis par une autorité de certification liée à l'Agence nationale de la sécurité des systèmes d'information française (Anssi, l'organisme chargé de la sécurité informatique de l'Etat français), après avoir découvert que ces certificats étaient possiblement corrompus.

 

Les certificats de sécurité sont utilisés par les navigateurs Internet pour vérifier qu'un site sécurisé (dont l'adresse commence par « https » : messageries, banques, e-commerce…) est bien ce qu'il prétend être : le système permet théoriquement d'empêcher la création de faux sites ressemblant trait pour trait à un site légitime, mais contrôlés par un tiers qui peut ainsi espionner à loisir les communications et enregistrer mots de passe ou numéros de carte bleue.

 

Les certificats de sécurité ne peuvent être émis que par une liste fermée d'institutions et de sociétés, considérées comme sûres. Mais lorsque l'une de ces autorités de certification commet une erreur ou est victime d'un piratage, le système s'effondre : il est alors possible de créer de faux certificats de sécurité qui permettent de piéger les internautes. Google affirme avoir découvert le 3 décembre qu'une autorité liée à l'Anssi avait émis un certificat de sécurité frauduleux pour plusieurs sites détenus par Google. Ce qui peut permettre à une personne contrôlant ces certificats d'espionner les communications d'internautes croyant utiliser un site de Google, mais en réalité contrôlé par un tiers.

 

L'Anssi a reconnu dans un communiqué qu'une « erreur humaine » avait conduit à l'émission de certificats de sécurité ne respectant pas les procédures. « Cette erreur n'a eu aucune conséquence sur la sécurité des réseaux de l'administration ni sur les internautes », affirme l'administration. Mais Google, qui évoque une « faille sérieuse », a préventivement retiré de ses autorités de certification reconnues commes sûres l'autorité liée à l'Anssi, et a enjoint aux autres éditeurs de navigateurs Internet de faire de même.

Partager cet article
Repost0
25 novembre 2013 1 25 /11 /novembre /2013 21:55
Téléphone, Internet: l'État pourra bientôt tout espionner

 

25/11/2013 Par Jean-Marc Leclerc – LeFigaro.fr


Le gouvernement va faire voter une extension considérable des possibilités de capter les données numériques personnelles. Inquiets, les grands acteurs du Web s'inquiètent de l'inaction de la Cnil et réclament un moratoire.

 

La France vire-t-elle à la société orwellienne? En pleine affaire Snowden, du nom de cette taupe qui a révélé comment l'Amérique espionne le monde au nom de l'antiterrorisme, le gouvernement s'apprête à faire voter un projet de loi de programmation militaire dont certaines dispositions étendent les possibilités de capter les données numériques de dizaines de milliers de personnes par an. Il s'agit de savoir qui ces potentiels «ennemis d'État» appellent et qui les joint, ou même de les localiser en temps réel à travers leurs téléphones, leurs ordinateurs. En dehors de toute action judiciaire.

Cette mission ne mobilisera plus seulement les forces de l'ordre, mais désormais toute la «communauté du renseignement», de l'Intérieur à la Défense, en passant par Bercy. Et pour des motifs bien plus larges que le risque terroriste stricto sensu.

Le texte a déjà été examiné au Sénat en octobre, dans une quasi-indifférence. Il doit revenir ce mardi, pour deux jours à l'Assemblée. Mais cette fois, les grands acteurs d'Internet voient rouge. De Google, à Microsoft, en passant par Facebook, Skype, Dailymotion, Deezer ou AOL, ceux regroupés au sein de l'Association des services Internet communautaires (@sic), créée en 2007 pour promouvoir le «nouvel Internet» des réseaux sociaux, partent en guerre contre les articles de la loi portant sur les «accès administratifs aux données de connexion» et la lutte contre les «cybermenaces». Le président de l'@sic, Giuseppe de Martino, par ailleurs secrétaire général de Dailymotion, réclame un «moratoire» sur ces aspects du texte et s'étonne de «l'inaction de la Commission de l'informatique et des libertés (Cnil)».

Selon lui, en matière de surveillance des services d'État, à l'égard de tous les utilisateurs, sociétés ou simples particuliers, «le projet de loi de programmation militaire veut étendre les régimes d'exceptions et ainsi offrir aux agents du ministère du Budget un accès en temps réels aux données Internet. Ce n'est pas normal!», dit-il.

Ce ne sont pas les écoutes administratives (le contenu des communications) qui posent problème, même si le projet les concerne. Sur amendement du président PS de la commission des lois, par exemple, Tracfin, l'organisme de Bercy qui lutte contre la fraude fiscale, pourrait se voir attribuer le pouvoir de réclamer des écoutes.

Ce qui inquiète, c'est la surveillance du contenant. En clair: la surveillance de tout ce que conservent et traitent les opérateurs d'Internet et de téléphonie pour établir leur facture au client, «y compris les données techniques relatives à l'identification des numéros d'abonnement», mais aussi «à la localisation des équipements terminaux utilisés», sans parler bien sûr de «la liste des numéros appelés et appelant, la durée et la date des communications», les fameuses «fadettes» (factures détaillées). Bref, les traces des appels, des SMS, des mails.

Cette surveillance se pratique depuis 2006 (45.000 demandes par an) dans le cadre de la loi antiterroriste. Sous le contrôle d'une «personnalité qualifiée» placée auprès du ministre de l'Intérieur. Beauvau ordonne même à ce titre la géolocalisation en temps réel, mais dans ce cas, sans véritable base légale. En contravention totale avec une jurisprudence de la Cour européenne des droits de l'homme de 2010 qui impose une «loi particulièrement précise».

La justice en sait quelque chose, puisque les parquets viennent de se voir interdire tout moyen de géolocalisation dans leurs enquêtes par la Cour de cassation, celle-ci considérant que seul le juge d'instruction peut les autoriser.

Les grands acteurs d'Internet aimeraient donc des éclaircissements. Ce qui les choque au fond? D'abord, que l'on autorise l'accès aux informations privées de connexion pour des motifs plus large que le seul risque terroriste. «En visant génériquement la prévention de la criminalité, ce régime d'exception s'appliquera à toutes les infractions», s'inquiète le patron de l'@sic.

Ensuite, dit-il, «que l'on étende l'accès aux données à des services autres que ceux de l'Intérieur, sans même passer par un juge.» À l'entendre, même les agents de l'Agence nationale de sécurité des systèmes d'information (ANSSI), rattachés à Matignon, pourront «s'adresser aux fournisseurs d'accès à l'Internet pour obtenir l'identification de toute adresse IP».

Les promoteurs de ce texte font valoir que des garanties seront accordées au citoyen, comme la nomination, d'une «personnalité qualifiée» auprès du premier ministre pour contrôler les demandes des services des ministères. «La commission nationale de contrôle des interceptions de sécurité (CNCIS), autorité administrative indépendante, encadrera le recueil de données de connexion et de géolocalisation, assure Jean-Yves Le Drian, ministre de la Défense.» Un préfet s'étonne de cette polémique naissante: «Quand l'affaire Merah éclate, on dit que la police n'a pas su prévoir. Et maintenant, on reproche aux services de vouloir anticiper.» Reste à trouver le bon équilibre.

Interception communications en France - credits lemonde.fr

Interception communications en France - credits lemonde.fr

Partager cet article
Repost0
22 novembre 2013 5 22 /11 /novembre /2013 12:55
Le continuum défense-sécurité exige une coopération étroite entre les acteurs régaliens, civils, militaires et privés

 

21/11/2013 Marc Watin-Augouard Général d'armée (2S) - Fondateur du Forum International de la Cybersécurité et Directeur du centre de recherche de de l'EOGN

 

LE CERCLE. Cette convergence entre le public et le privé ne peut s’envisager sans une politique industrielle qui fasse émerger des "géants", si possible français, aux moins européens, car la seule question de la souveraineté est essentielle, sauf à accepter une domination américaine ou chinoise.

 

Seul espace entièrement créé par l’homme, le cyberspace est, comme tous les autres, porteur de liberté, de richesses, de croissance, mais il est aussi l’objet de convoitise de la part des prédateurs. Ces derniers, délinquants, terroristes, mercenaires, guerriers, ont compris que le rapport risques/profits leur est plus que jamais favorable. Nul besoin d’être puissant pour faire du fort un faible et du faible un fort.

 

Dans ce contexte, notre société, désormais modelée par le "tout numérique", ne peut laisser le champ libre aux pirates, aux bandits "des grands chemins de l’internet". La prise de conscience a été lente : nous avons progressé à tous petits pas à partir des années quatre-vingt-dix. Le Livre Blanc de 2008 marque le passage au trot. Désormais, il faut adopter le grand galop, s’il le faut avec l’aide d’éperons et de cravaches ! Nous n’avons pas le choix ! Soyons-en conscients : nous ne vivons pas une évolution, ni une révolution, mais une métamorphose de notre société. La chrysalide devient papillon.

 

Nous ne pouvons avoir recours aux modèles, organisations, modes d’action, qui ont prouvé leur efficacité dans le passé. Si nous ne sommes pas au rendez-vous, nous serons une "colonie du numérique", pour reprendre le titre d’un récent rapport sénatorial. Pire, nous serons les "esclaves du numérique". Cet impératif résulte du constat contemporain, mais il doit tenir compte de ce que nous réserve un avenir proche avec notamment l’interconnexion des objets, l’inscription de chaque individu dans une "bulle informationnelle" qui agrège l’ensemble des données à caractère personnel. Tout cela sera possible, car le nombre d’adresses IP permettant les connexions va passer de 4,3 milliards à 340 milliards de milliards de milliards de milliards. Chaque grain de sable du désert pourrait ainsi avoir une adresse…

 

Le récent Livre Blanc donne un sérieux coup d’accélérateur, notamment dans le domaine de la cyberdéfense, avec sa consécration législative inscrite dans la loi de programmation militaire. Pour la première fois, il reconnaît qu’une cyberattaque peut être un acte de guerre et ainsi justifier une riposte au titre de la légitime défense. La structuration de la cyberdéfense constitue une avancée au regard de la sécurité des systèmes mis en œuvre par les opérateurs des infrastructures critiques civiles et militaires.

 

Mais la cybersécurité ne se cantonne pas à la cyberdéfense et cette dernière n’est pas seulement la cybersécurité du ministère de la Défense. La cybersécurité concerne aussi tous les autres acteurs : administrations, collectivités territoriales, entreprises, particuliers, etc. qui doivent prendre une "cyberposture", car la chaine est souvent trahie par son maillon le plus faible. Il importe donc d’opérer une mobilisation générale, car chacun est un acteur de la cybersécurité, ne serait-ce qu’en adoptant des règles "d’hygiène informatique", selon l’excellente expression de Patrick Pailloux, directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

 

La cybersécurité repose sur un tryptique : la sécurité des systèmes d’information (intégrité, disponibilité, confidentialité), les mesures à la charge des utilisateurs (administrations, entreprises) la lutte contre la cybercriminalité et la cyberdéfense. Le continuum défense-sécurité est particulièrement affirmé dans le cyberespace. En effet, contrairement à ce que certains affirment, une cyberattaque relevant de la cyberdéfense relève du droit pénal tant que le droit des conflits armés n’est pas mis en œuvre. Il n’y a pas de distinction entre le "champ de bataille" et les "quartiers sensibles". Les prédateurs empruntent les mêmes voies, utilisent les mêmes armes.

 

Par exemple, une attaque par déni de services peut être le fait de délinquants qui cherchent un profit en opérant un chantage sur un opérateur de vente en ligne, de terroristes qui veulent désorganiser les secours simultanément à un attentat, ou le fait d’agresseurs qui veulent atteindre un État. Ce qui permet de qualifier une attaque, c’est son intention, sa complexité, la nature de la cible, le mobile poursuivi. Le continuum exige donc une coopération étroite entre les différents acteurs régaliens, civils ou militaires.

 

Ainsi, l’ANSSI, la composante cyberdéfense de l’état major des armées, les services de police et les unités de gendarmerie, les services de renseignement, etc. ont l’obligation de coopérer, car la complexité des atteintes au cyberespace nécessite la mobilisation de toutes les compétences, une plus grande transversalité.

 

La coopération ne se limite pas aux acteurs régaliens. La cybersécurité repose aussi sur des acteurs privés, opérateurs, intégrateurs, prestataires de services, etc. Il existe un secteur privé de la cybersécurité qu’il conviendrait de reconnaître au travers de la loi de 1983 relative aux activités privées de sécurité. Ces acteurs sont, dans une certaine mesure, des collaborateurs du service public. Dans le domaine de la cybersécurité, il faut s’attendre à ce que la part régalienne de l’offre de sécurité devienne minoritaire.

 

Cette convergence entre le public et le privé ne peut s’envisager sans une politique industrielle qui fasse émerger des "géants", si possible français, aux moins européens, car la seule question de la souveraineté est essentielle, sauf à accepter une domination américaine ou chinoise. Cette souveraineté est tributaire d’une capacité de recherche et développement qui garantisse une meilleure indépendance au regard des innovations technologiques. Elle repose également sur un effort en matière de formation, car les acteurs publics comme les acteurs privés sont aujourd’hui confrontés à une pénurie en matière de ressources humaines dans les domaines liés aux technologies numériques.

 

La gendarmerie a compris très tôt quels étaient les enjeux du cyberespace, ne serait-ce que parce que son maillage ressemble fortement à la "toile du net". L’architecture du réseau Rubis, conçu dans les années quatre-vingt, a pris le pari du numérique et de la convergence voix-image-texte. La prise en compte de la cybercriminalité remonte à la même époque, alors que le Parlement votait la loi Godfrain, relative aux atteintes aux systèmes de traitement automatisé de données.

 

Aujourd’hui, la communauté N’TECH s’appuie sur plus de mille gendarmes, renforcés par des réservistes opérationnels et citoyens (dont certains appartiennent au réseau des réservistes cyberdéfense). Le pôle "police judiciaire" développé notamment autour de l’Institut de recherche criminelle (IRCGN) et du Service technique de recherches judiciaires et de documentation (STRJD) témoigne de la volonté d’adapter l’organisation. La nomination récente d’un conseiller "cybersécurité" auprès du directeur général reflète la prise en compte du caractère stratégique de l’action qui se développe.

 

Mais il faut aller encore beaucoup plus loin ! En effet, la cybercriminalité est la criminalité du XXIe siècle. À l’origine, lorsque seul dominait le secteur primaire agricole, les prédateurs s’en prenaient aux personnes : Cain tuait Abel… Meurtres, assassinats, agressions, enlèvements, esclavages constituaient l’essentiel des transgressions. L’apparition du secteur secondaire, avec les produits manufacturés, a entrainé un glissement vers les atteintes aux biens. Voler, détruire, receler offre un meilleur rapport profit/risque pénal.

 

Puis, le secteur tertiaire, lié aux services a ouvert le champ de la délinquance intelligente en "col blanc". Escroqueries, blanchiment, fraudes, faux, etc., sont des infractions complexes plus difficiles à combattre par les enquêteurs et la justice. Un nouveau glissement a été observé au travers de l’émergence de la délinquance économique et financière.

 

Aujourd’hui, le "tout numérique" délimite un secteur quaternaire, celui de l’immatériel. Là encore, un transfert s’observe, car, dans le cyberespace, la victime n’a jamais été aussi près de son agresseur, ce dernier n’ayant jamais été aussi éloigné de son juge. La cybercriminalité est un domaine où le "chiffre noir" est très important. Les victimes ignorent souvent qu’elles ont été attaquées.

 

La lutte est à armes inégales, car, faute d’un droit international universel, le droit national n’est pas adapté à des phénomènes par nature transfrontaliers. La vitesse et l’adaptation permanente du cybercrime heurtent la lenteur de la procédure et de l’entraide judiciaire. Si les institutions, dont la gendarmerie, ne prennent pas immédiatement le virage, le dérapage est assuré avec un risque majeur d’incapacité de l’état à assurer la première des fonctions régaliennes.

 

C’est pourquoi la lutte contre la cybercriminalité ne peut être exclue du champ de sécurité nationale, ne serait-ce que dans le haut du spectre. La gendarmerie doit donc poursuivre ses efforts dans un contexte budgétairement difficile. Cela passe notamment par une formation accrue de tous les militaires, officiers et sous-officiers, un recrutement plus important de scientifiques et une démarche prospective anticipant les conséquences positives et négatives de nouvelles technologies sur les pratiques professionnelles.

Partager cet article
Repost0
28 octobre 2013 1 28 /10 /octobre /2013 06:55
NSA : comment bien sécuriser le smartphone de Jean-Marc Ayrault ?

26/10/13 Par Paul Laubacher - http://obsession.nouvelobs.com

 

Le Premier ministre l'assure : il a "tout l'équipement qu'il faut" pour éviter de se faire espionner par la NSA.

 

Les téléphones portables des membres du gouvernement français sont-ils bien sécurisés ? Le Premier ministre français Jean-Marc Ayrault assure, vendredi 25 octobre, avoir lui-même "tout l'équipement qu'il faut" pour que la sécurité nationale ne souffre pas d'un éventuel espionnage par des autorités étrangères.

Toutefois, "Le Monde" a révélé, grâce aux documents de Snowden, que l'Agence de sécurité nationale américaine (NSA) avait effectué 70,3 millions d'enregistrements de données téléphoniques de Français sur une période de 30 jours, entre le 10 décembre 2012 et le 8 janvier 2013. Massif.

Tout autant inquiétantes sont les informations de "Der Spiegel" sur l'espionnage du téléphone portable de la chancelière allemande Angela Merkel par la NSA. Et tout aussi surprenante est l'enquête du "Guardian" sur la mise sur écoute de 35 "leaders internationaux" par l'agence de surveillance américaine.

 

Le "smartphone du commerce" interdit

 

Avant même ces révélations, Matignon avait pris les devants et rappelé dans une lettre les dispositifs essentiels, développé par l'Agence nationale de la sécurité des systèmes d'informations (Anssi), pour que les personnages importants de l'Etat protègent efficacement leur smartphone. Dans la foulée, l'Anssi a décidé de rendre publique ses "recommandations de sécurité relatives aux ordiphones (sic)".

Pour sécuriser ses communications, l'Etat français distingue trois niveaux de classification : "confidentiel-défense", "secret-défense" et "très secret-défense". Pour la communication de données et d'information jusqu'au niveau "secret-défense", il existe Teorem, des téléphones cryptés développé par la société Thales. Selon "L'Express", Près de 2.300 appareils de ce type équipent déjà les ministères de la Défense, de la Justice, de l'Intérieur, des Finances et des Affaires étrangères.

Dans la lettre de Christophe Chantepy, directeur du cabinet de Jean-Marc Ayrault, il est écrit que l'usage de "smartphone du commerce, sans dispositif de sécurité agrégé par l'Anssi, est à proscrire". Mieux, "s'agissant des communications téléphoniques, l'utilisation d'un téléphone fixe plutôt qu'un téléphone mobile doit être privilégiée" et "l'échange d'informations sensibles par SMS est à proscrire". En ce qui concerne le dernier point, toutes nos pensées sont tournées vers François Hollande, le président de la République étant un véritable adepte des textos...

 

20 petits conseils face aux "attaques triviales"

 

A force de proscrire, on oublie de conseiller. Dans ce document mis à disposition du public, l'Anssi déroule ses petits conseils pour que notre smartphone, ou "ordiphone", soit protégé efficacement. Toutefois, l'agence française estime qu'il est "illusoire d’espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage". Comprendre : si la NSA veut vraiment hacké un smartphone, rien ne l'empêcherait vraiment.

 

L'Anssi ne veut pas désespérer et propose 20 recommandations qui "ont simplement pour objectif de protéger au mieux possible les données contenues dans le terminal contre les attaques triviales". "Le Nouvel Observateur" en a sélectionné 11  :

  1. Configurer une durée d’expiration du mot de passe de 3 mois maximum
  2. Configurer le verrouillage automatique de terminal au bout de 5 minutes maximum
  3. Si le terminal contient des informations sensibles, il est recommandé d’exiger un mot de passe fort en remplacement des méthodes de déverrouillage par défaut. Dans tout autre cas, l’utilisation d’un code PIN sera suffisant dès lors que la recommandation numéro 4 est strictement respectée
  4. Limiter le nombre de tentatives de déverrouillage, puis configurer un temps de blocage de plus en plus long ainsi qu’un effacement automatique après une dizaine de tentatives ayant échoué.
  5. Ne pas laisser le terminal sans surveillance. Un accès très temporaire à un terminal mobile peut suffire à sa compromission sans que l’utilisateur en ait conscience même lorsqu’il est verrouillé
  6. Ne pas brancher le terminal à un poste de travail non maîtrisé ou à un quelconque périphérique qui ne soit pas de confiance, lesquels établiront une connexion directe non contrôlée
  7. Interdire l’utilisation du magasin d’applications par défaut, ainsi que l’installation d’applications non explicitement autorisées par l’entreprise. Cette recommandation vaut également pour les applications pré-installées
  8. Les applications installées doivent avoir fait l’objet d’une étude de réputation avant toute autorisation de déploiement. Cette recommandation vaut encore une fois pour les applications pré-installées qui doivent être désinstallées si nécessaire
  9. L’accès au service de géolocalisation doit être interdit aux applications dont les fonctions liées à la position géographique ne sont pas utilisées. Si cette option n’est pas disponible sur le terminal considéré, il convient d’éteindre le service de géolocalisation lorsqu’il n’est pas utilisé
  10. Les interfaces sans-fil (Bluetooth et WiFi) ou sans contact (NFC par exemple) doivent être désactivées lorsqu'elles ne sont pas utilisées
  11. Désactiver systématiquement l’association automatique aux points d’accès WiFi configurés dans le terminal afin de garder le contrôle sur l’activation de la connexion sans-fil.
Partager cet article
Repost0
19 juillet 2013 5 19 /07 /juillet /2013 14:55
Rôle et l’organisation de la DGA en matière de cyberdéfense

10 juillet 2013 - Commission de la défense nationale et des forces armées

 

Compte rendu n° 85 Séance de 16 heures 30 Mercredi 10 juillet 2013

 

Audition de l’ingénieur en chef de l’armement Guillaume Poupard, responsable du pôle de sécurité des systèmes d’information à la Direction générale de l’armement, sur le rôle et l’organisation de la DGA en matière de cyberdéfense, ainsi que sur les perspectives ouvertes en la matière par le Livre blanc.

 

La séance est ouverte à seize heures trente.

 

Mme la présidente Patricia Adam. La cyberdéfense sera l’un des grands enjeux des années à venir : nous voulions donc vous entendre dans le cadre de la préparation de la prochaine loi de programmation militaire.

Ingénieur en chef de l’armement Guillaume Poupard, responsable du pôle de sécurité des systèmes d’information à la Direction générale de l’armement. Merci de me donner l’occasion d’expliquer ce que fait la direction générale de l’armement (DGA) en matière de cyberdéfense. Ce n’est pas un sujet neuf, mais il évolue très rapidement. Nous nous efforçons d’avoir tous les moyens techniques pour suivre ces menaces et y répondre.

Je commencerai par dire quelques mots de notre organisation. L’Agence nationale de la sécurité des systèmes d’information (ANSSI), dirigée par M. Patrick Pailloux et placée sous l’autorité du Premier ministre, s’occupe de toutes les questions interministérielles, et épaule de plus en plus ceux que nous appelons des « opérateurs d’importance vitale », publics ou privés, dont la sécurité est essentielle pour la Nation. Elle se charge à la fois des aspects techniques et opérationnels.

Le ministère de la Défense est un peu à part, car le nombre de systèmes qu’il doit protéger est considérable – qu’il s’agisse de systèmes classiques comme des réseaux informatiques, installés sur notre territoire ou déployés en opérations extérieures, ou de systèmes d’armes, potentiellement vulnérables. Au sein du ministère, une mission opérationnelle est chargée de répondre aux attaques ; elle est dirigée par le contre-amiral Arnaud Coustillière et notamment armée par le CALID, centre d’analyse en lutte informatique défensive. Le pendant technique de cette mission opérationnelle est confié à la DGA, au pôle « sécurité des systèmes d’information » dont je suis le responsable et qui traite plus largement de tous les aspects de la cyberdéfense et de la cybersécurité en général. Ce pôle technique est en grande partie installé à Bruz, près de Rennes, au centre DGA Maîtrise de l’information, qui concentre de vastes capacités d’expertise dans divers domaines liés aux technologies de l’information. Cette séparation entre technique et opérationnel fonctionne très bien dans la pratique ; nous entretenons des liens forts, quotidiens, qui vont jusqu’à des échanges de personnels.

Nos liens avec l’ANSSI sont forts et anciens : il n’y a pas là de séparation entre civils et militaires. Nous travaillons ensemble pour concevoir et réaliser des produits de sécurité, notamment en réponse à des besoins de souveraineté, en matière de cryptographie par exemple. Le développement est réalisé par la DGA, avec des industriels et l’approbation, en vue de classification défense, est faite par l’ANSSI : cette organisation est bien rodée.

Nous travaillons évidemment avec d’autres ministères ainsi qu’avec des laboratoires de recherche. La coordination de tous ces acteurs nous permet, nous l’espérons, d’apporter une réponse efficace aux enjeux de cyberdéfense.

Une partie de nos activités relève de la sécurité des systèmes d’information classiques : il s’agit de spécifier des besoins en termes de protection de l’information au sein des réseaux pour les Forces, mais également pour répondre aux besoins interministériels. Nous développons ensuite les produits que l’on ne trouve pas sur étagères, en raison de leur niveau d’assurance élevé qui leur permet de protéger de l’information classifiée de défense. Pour reprendre l’exemple cité précédemment, nous concevons nos propres mécanismes de cryptographie : c’est un domaine très sensible et la France fait partie des quelques pays au monde à même de mener à bien ces tâches. Il en va de même pour les composants électroniques de sécurité, que nous savons produire nous-mêmes, ce qui est indispensable pour construire des systèmes vraiment fiables. En relation étroite avec certains industriels de confiance, nous réalisons donc ces équipements qui permettent de sécuriser les systèmes d’information comme les systèmes d’armes.

Par ailleurs, nous nous efforçons d’améliorer notre connaissance de la menace, afin de l’anticiper au mieux. En matière de cyberdéfense, il faut être extrêmement modeste : il est difficile de se protéger des menaces que l’on ne connaît pas. Nous sommes plus sûrs de nous dans certains domaines comme la cryptographie où nous sommes capables aujourd’hui de construire des algorithmes que nous savons être très robustes grâce à des systèmes de preuves mathématiques. Dans le domaine des attaques informatiques en général, il n’y a pas « d’échelle de mesure » : nous essayons de nous défendre des menaces que nous connaissons, et c’est déjà beaucoup. C’est pourquoi nous nous efforçons de bien connaître la menace potentielle et d’anticiper les attaques et restons donc plutôt optimistes.

Enfin, nous avons absolument besoin de disposer d’industriels de confiance capables de réaliser nos systèmes : c’est un aspect que l’on ne peut pas laisser au hasard. Nous finançons donc des travaux de recherche et développement (R&D). Nous travaillons avec des laboratoires académiques – la recherche est riche en France dans le domaine de la sécurité – en finançant des thèses et des travaux de recherche au moyen de conventions. Nous soutenons également des PME : les projets RAPID (régime d’appui à l’innovation duale) les aident à développer des technologies innovantes, qui deviendront des solutions intéressantes pour demain. Ces projets RAPID représentent environ trois millions d’euros par an dans le domaine de la cyberdéfense. Enfin, de longue date, la DGA finance des « études amont » : ce sont des contrats de R&D que nous passons avec des industriels et des laboratoires académiques et qui nous permettent de préparer le futur, d’identifier des risques ou de lever des verrous technologiques, afin de dégager de nouvelles voies de développement et de monter en gamme. Ils sont, en matière de cybersécurité, en croissance très forte : il y a deux ans, nous étions à 10 millions d’euros par an ; notre budget sera pour cette année d’environ 22 à 23 millions d’euros ; à court terme, nous pensons atteindre 30 millions d’euros par an. M. le ministre a confirmé l’importance de ces études lors de sa récente visite à Rennes.

Notre premier sujet d’intérêt est la sécurité des systèmes d’information et de communication. Notre niveau de maîtrise nous rend relativement confiants. Nous travaillons beaucoup, en particulier, sur l’architecture des réseaux.

Nous travaillons aussi sur la sécurité des systèmes d’armes, qui évolue très rapidement : ces systèmes sont de plus en plus complexes, de plus en plus interconnectés et intègrent de plus en plus souvent des briques technologiques acquises sur étagères car on ne peut plus tout redévelopper, et ce ne serait de toute façon pas efficace. Ces systèmes sont donc dans le principe de plus en plus vulnérables à des attaques qui viendraient de l’extérieur et qui toucheraient des composants utilisés dans le domaine civil comme dans le domaine militaire. Sur les anciens systèmes d’armes, nous sommes assez sereins, la notion de cyberattaque ne s’appliquant que difficilement, et nous travaillons donc à parer les attaques potentielles sur les nouveaux matériels, même si elles devaient venir d’adversaires de très haut niveau.

Le troisième domaine sur lequel nous travaillons est celui des systèmes industriels, parfois appelés SCADA (supervisory control and data acquisition, c’est-à-dire télésurveillance et acquisition de données). L’affaire Stuxnet, du nom de l’attaque présumée contre les centrales d’enrichissement iraniennes, a montré la réalité de ces menaces. Ces systèmes industriels sont en effet présents partout, chez les opérateurs privés, mais aussi dans tous les équipements civils ou militaires : un navire militaire compte aujourd’hui de très nombreux automates directement issus du domaine civil, qu’il faut protéger. Nous travaillons également sur les infrastructures accueillant ces plateformes militaires.

Les questions de cybercriminalité – toutes les attaques assez simples techniquement contre des systèmes relativement peu protégés, comme les escroqueries ou les attaques de systèmes sur l’Internet – ne sont en revanche pas de notre ressort. Nous nous intéressons à des systèmes durcis, relativement fermés, qu’il faut protéger d’attaquants de très haut niveau.

En termes de moyens, nous avons essentiellement besoin d’experts très pointus. Nous sommes en très forte croissance : à la fin de l’année 2010, nous disposions de 160 personnes ; nous sommes aujourd’hui 260. La limite à laquelle nous nous heurtons est notre capacité à intégrer et à former les nouvelles recrues de façon efficace. Nous avons la grande chance de disposer des moyens pour les recruter et de pouvoir trouver les bonnes personnes : on dispose en France, aujourd’hui, d’ingénieurs de très haut niveau. Nous espérons dépasser les 400 experts en 2017, ce qui est cohérent avec la montée en puissance de l’ANSSI et des effectifs opérationnels dirigés par le contre-amiral Coustillière.

L’enjeu essentiel est finalement de mener un travail d’architecture intelligent. Nous intervenons lors de la conception des programmes d’armement pour intégrer dès le départ les questions de sécurité, y compris dans les systèmes d’armes, ce qui est assez nouveau dans certains domaines. L’idée est de dessiner pour ces systèmes une architecture d’ensemble qui permettra de les protéger et de les défendre : certaines briques pourront être prises sur étagères, en France ou même à l’étranger, comme des logiciels libres que nous modifions en fonction de nos besoins ; d’autres briques devront être conçues par des industriels de confiance ; d’autres enfin, aujourd’hui assez rares, devront être réalisées en maîtrise d’œuvre étatique, car elles forment le cœur du système. Nous réalisons ainsi nous-même les algorithmes de cryptographie, car sans eux, l’ensemble du système peut s’effondrer. Tout le travail est de concilier un niveau de confiance élevé avec des niveaux d’efficacité, de coût, de délais, compatibles avec les exigences des programmes d’armement.

Mes équipes comptent donc une cinquantaine d’architectes directement au contact des programmes et qui pensent la sécurité à toutes les étapes du développement d’un système. Cela concerne aujourd’hui tout ce qui est développé par la DGA : aucun domaine n’est épargné par les questions de cyberdéfense.

Nous nous appuyons pour cela sur des industriels. La France a aujourd’hui la chance de compter des industries de grande taille et performantes dans ce domaine – c’est rare. Nous sommes également riches en PME dynamiques. Enfin, beaucoup de personnes sont mobilisées à titre personnel dans le domaine de la cyberdéfense – je pense notamment à la réserve citoyenne, qui compte désormais un groupe de réservistes spécialisés en cyberdéfense, dont le coordinateur national est Luc-François Salvador, et dont l’engagement est remarquable.

Le Livre blanc l’a clairement dit : la cyberdéfense est un sujet de souveraineté. Cela ne signifie pas du tout un repli sur soi : cela montre au contraire que nous devons être autonomes et forts pour être crédibles vis-à-vis de nos grands partenaires – ce sont eux qui nous en ont avertis, d’ailleurs. Nous devons être capables, seuls, de protéger nos secrets - étatiques ou industriels – pour être des partenaires avec lesquels on n’aura pas peur d’échanger des informations sensibles et donc pour nouer des alliances.

L’ouverture aux autres se fait ensuite le plus souvent par le biais opérationnel, de préférence de manière bilatérale d’abord, puis avec des partenaires plus nombreux. Évidemment, c’est plus complexe : garder des secrets à vingt-huit, c’est une évidence, n’est pas facile. Mais il est important de mener des opérations multilatérales : les menaces concernent rarement un seul pays. La coopération, au niveau de l’OTAN comme de l’Union européenne, est donc tout à fait essentielle.

En matière de cyberdéfense, il n’est pas inutile d’avoir peur : les dégâts pourraient être considérables. Il faut sonner l’alarme – sans tenir un discours purement anxiogène car le but n’est pas de décourager. Mais il faut vraiment prendre ces menaces au sérieux avant d’être confronté à une catastrophe. Je ne suis pas pessimiste sur ce point : il me semble que beaucoup de gens prennent conscience de l’importance de ces enjeux, notamment en matière de souveraineté.

Je voudrais enfin dire quelques mots de la formation. La France forme aujourd’hui des ingénieurs et des docteurs de très haut niveau. En revanche, aux niveaux inférieurs, nous manquons de filières de formation. Des initiatives sont en cours, notamment dans la région Bretagne. Plus généralement, il faudrait mieux prendre en charge la formation de tous à ce que Patrick Pailloux appelle « l’hygiène informatique ». Les cyberattaques sont rarement totalement automatisées ; le facteur humain est essentiel. Il faut donc adopter des règles élémentaires de sécurité – ne pas utiliser une clé USB dans un ordinateur personnel puis professionnel, ne pas utiliser des moyens professionnels à des fins personnelles et inversement, ne pas utiliser le même mot de passe partout… Ce n’est pas si facile : nous faisons tous des erreurs de sécurité. Ce travail sur l’hygiène informatique est pourtant essentiel ; il faut le mener dans les entreprises, mais aussi dès l’école.

M. Jean-Michel Villaumé. Ces enjeux sont très présents dans le Livre blanc et le seront aussi, je l’espère, dans la LPM. Vous semblez plutôt rassurant sur la cyberdéfense : développez-vous aussi des capacités d’attaque ?

Quels sont nos partenaires pour construire une Europe de la cyberdéfense ?

M. Guillaume Poupard. Le Livre blanc aborde la question des cyberattaques. Ce sont évidemment des sujets classifiés… Ce que je peux vous dire, c’est que les travaux de R&D concernent à la fois la défense et l’attaque : tout ce que l’on peut savoir sur les menaces et les technologies du cyberespace concerne aussi bien l’offensif que le défensif.

L’Europe est un sujet difficile. Nos maîtres d’œuvre industriels m’ont fait remarquer que bien qu’ils soient le plus souvent européens, on leur demande de cloisonner leurs travaux ; chaque pays leur demande de travailler « en silos », avec des équipes qui travaillent côte à côte. Mais si certaines choses relèvent vraiment de la souveraineté, d’autres pourraient utilement être mutualisées, notamment en R&D. Il faut donc certainement renforcer le dialogue entre les États, mais l’idée de passer par les industriels me paraît très intéressante, d’autant plus s’ils sont demandeurs.

M. Éduardo Rihan Cypel. La cyberdéfense relève à coup sûr de la souveraineté, mais il y a plusieurs niveaux de souveraineté : il faut protéger notre pays, mais aussi nos entreprises et nos libertés individuelles. Vous avez raison : avec des gestes simples, nous pouvons tous mieux protéger nos données personnelles. S’agissant des entreprises – toutes nos grandes entreprises ont, je crois, été attaquées –, quel est votre point de vue ? Faut-il prévoir de nouvelles normes ?

L’affaire Snowden le montre : il faut absolument construire l’Europe de la cyberdéfense, qui pourrait d’ailleurs constituer un moyen d’avancer vers une Europe de la défense. La France a, je crois, fait les choix qu’il fallait avec le Livre blanc, même si ces choix devront être confirmés par la LPM. Mais l’Europe adopte-t-elle une bonne stratégie en matière de cybersécurité et de cyberdéfense ? L’avance française peut-elle favoriser une prise de conscience plus générale ?

Où en sont les entreprises françaises ? Elles sont très dynamiques et en forte croissance, mais sont-elles assez nombreuses ? Sont-elles assez protégées ?

M. Guillaume Poupard. La souveraineté, vous avez raison, concerne aussi les entreprises et les particuliers.

La France vit une situation paradoxale : nous sommes très sensibles à la question des fichiers, et la CNIL a beaucoup travaillé pour éveiller les consciences ; mais nous utilisons énormément les différents réseaux sociaux… Il faut inlassablement rappeler que le droit à l’oubli n’existe pas en matière numérique. Rien n’est gratuit : « quand c’est gratuit, c’est vous le produit. » Il faut donc un effort de formation.

S’agissant des entreprises, la protection du patrimoine scientifique et technique est absolument essentielle.

Les grandes sociétés doivent se donner les moyens de protéger leurs informations. Beaucoup ont aujourd’hui pris conscience de la réalité des problèmes. La LPM comportera sans doute une obligation nouvelle de déclaration d’incident : cela me semble essentiel. Cela permettra aux services de l’État de mieux connaître les menaces et de mieux réagir.

Pour les PME, la situation est très différente : on ne peut pas demander à une PME de dix personnes d’embaucher trois spécialistes en informatique… Il faut donc leur proposer des solutions à leur portée, tant financièrement que techniquement. Aujourd’hui, des offres de clouds sécurisés sont lancées en France, d’ailleurs financés en partie par l’État : elles apporteront une solution d’infogérance sûre. Ces offres seront en concurrence avec des offres étrangères, certes très efficaces, mais auxquelles on ne peut pas accorder la même confiance. Des offres nationales, ou européennes, doivent exister.

Le niveau de sécurité de nos entreprises est aujourd’hui insuffisant, l’actualité nous le rappelle régulièrement. On dit en ce domaine qu’il y a les gens qui ont été attaqués et ceux qui ne le savent pas encore… Il faut être très modeste, et le fait qu’aucune alerte ne se déclenche n’est pas rassurant. Il faut « chercher les ennuis » – la plupart de ceux qui ont cherché à détecter des attaques en ont trouvé ! Il y a bien sûr des attaques plus ou moins graves, allant du site Internet défiguré à la copie de fichiers client, voire au vol de savoir-faire technologique.

S’agissant de l’Europe de la cyberdéfense, elle est aujourd’hui embryonnaire – c’est même un euphémisme. Mais certains pays sont volontaires, comme l’Estonie, qui a été durement attaquée. Nous devons donc trouver des partenaires pour avancer.

Mon sentiment est toutefois que beaucoup de pays ont déjà renoncé, et veulent être protégés plus qu’ils ne veulent prendre en main leur propre cybersécurité. C’est contre cette attitude qu’il faut aller, en leur faisant prendre conscience que beaucoup peut être fait au niveau européen.

M. Christophe Guilloteau. Comment se fait le lien entre les différentes unités qui s’occupent de cyberdéfense ? Nous sommes, je crois, au tout début d’une large prise de conscience sur ce sujet d’avenir : sera-t-il abordé au Conseil européen du mois de décembre ?

M. Guillaume Poupard. Par rapport à notre grand allié d’outre-Atlantique, nous avons la chance d’être petits : la coordination est plus facile… Le contre-amiral Coustillière a réussi à rassembler sous sa direction les équipes opérationnelles de cyberdéfense. Ensuite, il y a l’ANSSI et le pôle que je dirige, dont les experts techniques sont rassemblés à Bruz. Il n’y a donc pas d’éparpillement. De plus, nous soignons beaucoup la qualité humaine des échanges, afin de construire une communauté solidaire où, même si nous serons plus nombreux demain, on saura faire appel à la bonne personne, parce qu’on la connaît. Le CALID et l’ANSSI sont d’ailleurs depuis peu logés dans les mêmes locaux.

La cyberdéfense a été abordée au cours de presque tous les sommets internationaux depuis deux ans : il faut maintenant aller au-delà, et embrayer sur des choses concrètes. C’est plus difficile. Mais cela viendra.

M. Jean-Yves Le Déaut. Monsieur Poupard, vous avez eu raison de souligner qu’il était important de bien maîtriser le numérique, mais encore faut-il qu’existe une bonne gouvernance internationale de ce secteur. La jugez-vous satisfaisante aujourd’hui ? À mon sens, un pays, certes allié et ami, la domine.

Les systèmes sont de plus en plus interconnectés et deviennent donc davantage vulnérables ; dans quels domaines de ces systèmes devons-nous assurer notre souveraineté ? Les logiciels ne feraient-ils pas partie de ce champ stratégique, comme pourrait l’attester, dans le cas des drones, notre volonté de séparer la fourniture des équipements de celle de l’appareil ? Nous pouvons cependant douter de la possibilité d’effectuer une disjonction totale, surtout que nous n’aurons jamais accès aux codes sources de logiciels possédés par plusieurs structures. Or il est tout à fait possible de connaître le réseau et le flux d’informations dès que l’on est connecté à un système informatique.

Vous avez affirmé qu’il était positif que l’ANSSI et les militaires disposent d’un lieu pour se retrouver. Dans mon travail de rédaction du rapport pour avis sur l’environnement et la prospective de la politique de défense, j’éprouve des difficultés à percevoir les liens entre l’académie et le système militaire ; les relations avec l’université et l’institut national de recherche en informatique et en automatique (INRIA) restent insuffisantes. Il est nécessaire de développer la recherche pour pouvoir bien connaître les menaces contre lesquelles nous devons lutter. Pensez-vous que la liaison avec la recherche civile soit assez développée et comment pourrions-nous la renforcer ?

M. Guillaume Poupard. Il ne m’appartient pas de me prononcer sur la question de la domination de l’Internet, d’autant que la réponse est évidente pour tout le monde.

L’Internet ne constitue pas pour nos applications militaires le support naturel de nos échanges d’informations. Cela serait pourtant pratique et peu cher, mais nous utilisons des satellites et des moyens de radio « propriétaires » – dont le développement s’avère coûteux – car ils nous procurent une confiance dans nos moyens de communication que l’Internet et le GSM ne nous garantissent pas.

Nous ne souhaitons pas maîtriser la conception de l’ensemble des matériels – depuis les transistors jusqu’aux applications logicielles – et, de toute façon, nous ne le pouvons pas. Le travail d’architecture que nous menons vise à déterminer ce qu’il nous faut développer nous-mêmes – ou commander à un partenaire industriel de confiance – pour maîtriser le système que l’on utilise. Nous ne fabriquons plus de microprocesseurs, mais nous produisons des composants électroniques de sécurité et nous intégrons les algorithmes cryptographiques que nous développons dans des puces dont nous surveillons la conception et la réalisation. C’est dans ces domaines que nous concentrons nos besoins de souveraineté ; nous maîtrisons donc certains éléments et nous analysons ce qui nous échappe, afin de disposer de systèmes globalement sécurisés. En outre, ce n’est pas parce que tout n’est pas maîtrisé que le système dans son ensemble ne disposera pas d’un bon niveau de sécurité. L’opinion commune selon laquelle la sécurité d’un système équivaut à celle du plus faible de ses composants s’avère heureusement fausse.

Nous maîtrisons mieux certains logiciels que d’autres, nous ne possédons pas toujours les sources, mais nous n’en avons pas toujours besoin, car leur lecture est complexe et leur lien avec le produit final pas toujours garanti. En revanche, il faut être capable de vérifier la qualité de certaines fonctions de sécurité, ce qui nécessite des compétences et le droit d’y procéder ; le code de propriété intellectuelle n’autorise en effet la rétroconception des logiciels que pour des raisons d’interopérabilité et non de sécurité. Une évolution légale autorisant l’État à effectuer cette rétro-analyse serait ainsi utile.

Nous travaillons au renforcement des liens avec la recherche académique et nous avons déjà développé des relations étroites avec l’INRIA – nous disposons ainsi d’une convention spécifique pour des thèses en cyberdéfense. Des financements de thèses dans des laboratoires tel que celui dit de haute sécurité informatique à Nancy existent par ailleurs, notamment dans le domaine de la virologie. Cela étant, il y a beaucoup de sujets intéressants, un peu moins de chercheurs de haut niveau – car le sujet de la cyberdéfense est récent dans le monde académique – et encore moins de doctorants pouvant ensuite être habilités dans le monde de la cyberdéfense française.

M. Sylvain Berrios. Un référentiel général d’interopérabilité (RGI) et un référentiel général de sécurité (RGS) pour l’ensemble de l’État ont été publiés il y a trois ans, mais il ne me semble pas que l’équivalent existe pour la sphère privée. Quelle est l’implication du ministère de la Défense et de vos services dans ce RGI et ce RGS ? Ceux-ci ont-ils bien été mis en place et respectés par les services de l’État ?

M. Guillaume Poupard. La mise en œuvre du RGS et du RGI dans le ministère de la Défense n’est pas du ressort de mes attributions, mais, si nous n’en appliquons pas systématiquement la lettre, nous en respectons l’esprit. Dans des conditions difficiles comme les opérations extérieures (OPEX), il convient parfois de déroger au RGS pour des raisons d’efficacité ou pour pouvoir travailler en coopération avec d’autres pays de l’OTAN. L’ANSSI est responsable de leur diffusion au sein de la sphère privée, mais nous sommes également concernés, puisque les industriels de défense font partie des opérateurs d’importance vitale (OIV) et que nous devons veiller à ce que les informations dont ils disposent soient protégées ; nous travaillons donc avec eux pour qu’ils mettent en place des méthodes efficaces de protection de leurs données et nous songeons d’ailleurs à élaborer une norme que l’on pourrait développer facilement sur la base du RGS.

M. Sylvain Berrios. Qu’en est-il de l’application du RGS dans les autres départements ministériels ?

M. Guillaume Poupard. Je ne connais pas la réponse à cette question.

Mme Marianne Dubois. Monsieur Poupard, quel est le budget de votre service ?

Les doctorants qui ne souhaitent pas vous rejoindre préfèrent-ils travailler dans le privé pour des raisons financières ?

M. Guillaume Poupard. Nous engageons trois millions d’euros par an pour le soutien aux PME en cyberdéfense. Nous pouvons sûrement faire davantage mais notre objectif est d’utiliser cette ressource financière de manière ciblée pour des acteurs motivés. Ceux-ci sont de plus en plus nombreux et le dispositif devrait par conséquent monter en puissance.

Dans le domaine des études réalisées en amont des projets – principal outil financier à ma disposition –, je suis satisfait des moyens dont je dispose puisqu’ils ont triplé et sont passés de 10 à 30 millions d’euros ; cet effort considérable – même si nous partions d’un niveau relativement faible face aux enjeux – prouve que nous sommes écoutés. Notre principal point de vigilance concerne notre capacité à engager ces crédits de manière efficace et il nous faut développer des idées novatrices avec les bons acteurs académiques et industriels.

Nous développons et achetons également les équipements des forces et la loi de programmation militaire (LPM) devrait fortement augmenter nos moyens en la matière. Notre tâche consiste à nous assurer que des équipements adaptés sont fournis aux utilisateurs.

Nous ne rencontrons pas de difficultés pour recruter des personnes d’excellent niveau et nous avons même attiré des individus dotés d’un CV pouvant rendre envieux n’importe quel géant du numérique. Nous les embauchons à un salaire probablement moins élevé que ce qu’ils pourraient percevoir outre-Atlantique, mais nous leur offrons un environnement de travail de qualité et surtout des sujets passionnants qui ne se retrouvent pas ailleurs. Nous faisons le pari que l’intérêt du métier suffit pour continuer d’attirer de très bons éléments.

Lorsque l’on est diplômé en informatique et que l’on peut trouver du travail en quelques jours, débuter une thèse exige de posséder un fort intérêt pour la recherche académique. Nous devons nourrir cette motivation en mettant en avant, là encore, l’intérêt du travail, la réévaluation des bourses de thèses – pour nécessaire qu’elle soit – n’étant qu’une question secondaire.

Mme la présidente Patricia Adam. Nous vous remercions, Monsieur Poupard, de cet exposé complet et clair. Nous recevrons M. Patrick Pailloux, directeur général de l’ANSSI, mardi 16 juillet.

La séance est levée à dix-sept heures trente.

*

* *

Membres présents ou excusés

Présents. - Mme Patricia Adam, M. Sylvain Berrios, M. Jean-Jacques Bridey, M. Jean-Louis Costes, Mme Marianne Dubois, M. Yves Fromion, Mme Geneviève Gosselin-Fleury, M. Christophe Guilloteau, M. Jean-Yves Le Déaut, Mme Émilienne Poumirol, M. Eduardo Rihan Cypel, M. Gwendal Rouillard, M. Jean-Michel Villaumé, M. Philippe Vitel, Mme Paola Zanetti

Excusés. - M. Ibrahim Aboubacar, M. Claude Bartolone, M. Philippe Briand, M. Jean-Jacques Candelier, M. Laurent Cathala, M. Sauveur Gandolfi-Scheit, M. Serge Grouard, Mme Edith Gueugneau, M. Éric Jalton, M. Frédéric Lefebvre, M. Bruno Le Roux, M. Maurice Leroy, M. François de Rugy

Partager cet article
Repost0
3 juillet 2013 3 03 /07 /juillet /2013 10:55
photo Armée de Terre

photo Armée de Terre

02.07.2013 Le Monde.fr avec AFP et Reuters
 

La révélation d'activités présumées d'espionnage des Etats-Unis contre l'Union européenne et la France, dimanche 31 juin, a suscité de violentes critiques dans la classe politique française. En contrepoint, certains se disaient peu surpris, et notaient que ces pratiques étaient classiques, la nouveauté étant que les services américains s'étaient fait prendre.

Cependant, ces révélations posent la question des capacités du contre-espionnage français. "Il s'agit de savoir si nous avons les moyens de nous protéger" contre de telles pratiques, notamment contre les attaques informatiques, qui en forment une part importante, note Eduardo Rihan Cypel, député PS de Seine-et-Marne et spécialiste des questions de cyberdéfense.

 

"PAS ENCORE LES PLEINS MOYENS"

 

Selon Patricia Adam, présidente (PS) de la commission de la défense à l'Assemblée nationale, la France a "commencé à se doter de moyens de cyberdéfense adaptés, mais elle n'a pas encore les pleins moyens". Ainsi, le "cyber" figure en bonne place dans le nouveau livre blanc sur la défense, présenté fin avril et marqué dans les domaines plus traditionnels par des coupes de budget.

Le livre blanc confirme le rôle de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Créée en 2009, cette agence dépend du secrétariat général de la défense nationale, rattaché au bureau du premier ministre. Cette structure interministérielle coordonne notamment la lutte contre les cyberattaques. Elle compte environ 300 employés et recrute à un rythme régulier. L'Agence dispose d'une équipe de veille et d'alertes (Certa), qui travaille pour les institutions publiques, les opérateurs d'infrastructures vitales (énergie, transport), comme avec les grandes entreprises privées.

Ses moyens doivent être encore augmentés par la loi de programmation découlant du livre blanc, qui doit passer en conseil des ministre à la fin du mois, et être débattue au Parlement en novembre. Y sera notamment discutée la question de rendre obligatoire la déclaration des attaques dans les secteurs sensibles. La plupart des entreprises privées tendent en effet à cacher les attaques dont elles ont été victimes, privant les spécialistes de la sécurité publique d'informations sur les méthodes et techniques employées par les attaquants.

 

CAPACITÉS D'ATTAQUE

 

De plus, début juin, le ministre de la défense, Jean-Yves Le Drian, a annoncé que la France allait se doter de capacités "offensives" en matière de cyberdéfense, et sortir ainsi d'une doctrine officiellement uniquement défensive. Si les services de renseignement français n'ont pas attendu pour agir, en toute discrétion, sur ce terrain, le volet offensif en matière de cyberdéfense concerne désormais l'armée.

"Cela nous donne des capacités de dissuasion, dit Jean-Marie Bockel, membre de la commission de défense du Sénat. Cela permettra d'établir un rapport de force au moment où s'établira un droit international en matière de cyberespionnage. Pour l'instant, c'est un Far West."

De façon plus générale, "la solution ne peut être qu'européenne", soulignait en juin M. Le Drian, ajoutant qu'"il appartient aux Européens de prendre en charge leurs propres infrastructures vitales", en trouvant une "juste complémentarité avec l'OTAN".

 

L'EUROPE BALBUTIANTE

 

"Les méthodes et les technologies employées pour ces attaques sont globales, et la France n'a pas les moyens d'y répondre par elle-même", dit Yogi Chandiramani, directeur technique Europe de la société de sécurité informatique privée Fire Eye, en évoquant les activités présumées d'espionnage américain révélées dimanche et le programme de surveillance Prism, plus large. "Il n'y a pas d'autre choix que de partager les informations au niveau européen, pour mieux les comprendre et les parer. Nous avons besoin d'un effet de levier", affirme-t-il.

Lire l'interview : Urvoas : "Je n'ai pas rencontré de programme de surveillance similaire en France"

Cependant, le président UMP de la commission de la défense au Parlement européen, Arnaud Danjean, constate que l'Europe en est encore à "balbutier" en termes de cyberdéfense. "Chaque pays a développé ses propres protocoles et ses capacités. Celui qui s'avance pour les rassembler est immédiatement suspect", explique-t-il. "Or, nous avons besoin d'un programme qui ne soit pas dépendant de l'OTAN" et du parrain américain, dit-il.

Le bureau de la haute représentante pour les affaires étrangères de l'UE, Catherine Ashton, doit produire dans les mois qui viennent un premier cadre stratégique pour la cyberdéfense européenne. Un premier document a été partagé en février. La question figurera à l'agenda du sommet des chefs d'Etat et de gouvernement européens consacré à la défense et à la sécurité, en décembre

Partager cet article
Repost0
3 juin 2013 1 03 /06 /juin /2013 17:55
La cyberdéfense passe à l'attaque et s'élève au rang de priorité nationale

03.06.2013 Par Olivier Berger, grand reporter à La Voix du Nord - Défense globale

 

" La cyberdéfense est une nouvelle donne stratégique " et " une priorité nationale ", a affirmé le ministre de la Défense, Jean-Yves Le Drian, lundi 3 juin à l'occasion du quarantième anniversaire de l'Ecole supérieure d'application des transmissions (ESAT), au quartier Marien-Leschi à Cesson-Sévigné dans la banlieue est de Rennes.

Le cyberespace est un nouvel espace de lutte au même titre que les milieux terrestre, aérien et maritime. La France développe donc aussi des capacités d'attaques informatiques..

Dans son discours d'ouverture d'un colloque cyberdéfense pour le 40e anniversaire de l'école de transmissions de Rennes, Jean-Yves Le Drian a mis en forme " la nouvelle donne stratégique " portée "au rang de priorité nationale " par le dernier Livre blanc de la défense et de la sécurité. L'enjeu est clair : " Un effort considérable est nécessaire afin de sécuriser les systèmes d'importance vitale de la nation. "

C'est aussi pour cela que les services de l'ANSSI (Agence nationale de la sécurité des sytèmes d'information) et de la chaîne militaire cyber seront réunis dans les mêmes locaux cet été.

Les vulnérabilités nouvelles apparaissent et " pourraient engendrer des dysfonctionnements, voire une paralysie de l'Etat ou de secteurs d'importance vitale pour la Nation ". Tout s'accélère, le Centre d'analyse de lutte informatique défensive (CALID) du ministère de la Défense a traité 196 attaques en 2011 et 420 en 2012. Le virus Stuxnet en Iran ou les attaques à l'été 2012 contre Aramco, la compagnie nationale saoudienne d'hydrocarbures, prouvent cette urgence.

Le cyberespace permet aussi à des groupes politiques, idéologiques ou mafieux " d'affronter un Etat à distance ".

L'Union européenne est en train d'établir une stratégie en la matière. Le Conseil européen en décembre, consacré aux questions de défense, " devra approfondir cette ambition ". La complémentarité avec l'OTAN est à étudier. A l'automne 2012, la France a adhéré au Centre d'excellence de cyberdéfense de Tallinn (CCDCOE) et y détachera un personnel du ministère de la Défense cet été.

La doctrine française, émanant du Livre blanc 2013, se précise pour " identifier l'origine des attaques, évaluer les capacités offensives des adversaires potentiels et l'architecture de leurs systèmes et pouvoir ainsi les contrer ".

 

" Le concept de cyberattaque ne nous est plus étranger "

Tout part d'une protection " robuste et résiliente " des systèmes d'information de l'Etat, des opérateurs vitaux et des industries stratégiques. Mais selon le ministre, cela n'interdit pas " l'emploi gradué de moyens relevant du ministère de la Défense si les intérêts stratégiques nationaux sont menacés ".

" Nous allons mettre en œuvre, au sein de la doctrine nationale, la capacité informatique offensive, associée à la capacité de renseignements, prolonge le ministre. C'est la première fois que je dis cela aussi clairement : la capacité offensive enrichit la palette des options qui sont à la disposition de l'Etat. Le concept de cyberattaque ne nous est plus étranger. " Il est même en cours depuis un certain temps comme nous le laissait entendre, l'officier général à la cyberdéfense, le contre-amiral Arnaud Coustillière, en janvier à Lille lors du forum sur la cybersécurité...

Elle comprendra " différents stades, plus ou moins réversibles, plus ou moins discrets mais toujours proportionnés à l'ampleur et la gravité de la situation ".

Le nouveau modèle d'armée comprend " des capacités de cyberdéfense militaire en relation étroite, d'abord avec le domaine du renseignement ". " Pour connaître et anticiper la menace. " Le ministre explique que des attaques " ont explicitement visé la neutralisation de systèmes critiques, même non connectés à Internet ". Un enjeu majeur des armées est donc la protection des systèmes d'armes et de leurs opérateurs.

Le ministère de la Défense va renforcer les moyens humains consacrés à la cyberdéfense avec 350 personnes supplémentaires d'ici 2019. La souveraineté nationale dépend désormais aussi de la capacité à " produire en toute autonomie ses dispositifs de sécurité, notamment en matière de cryptologie et de détection d'attaque ".

 

Une quatrième dimension et une nouvelle doctrine

Le contre-amiral Arnaud Coustillière n'hésite pas à présenter " le cyberespace comme un nouvel espace de lutte ", équivalent aux milieux terrestre, aérien et maritime. Une quatrième dimension qui a amené la chaîne de commandement opérationnel cyber à intégrer le Centre de planification et de conduite des opérations (CPCO) depuis 2011.

" Car il ne s'agit pas de greffer un nouveau service qui serait autonome mais au contraire, d'irriguer, sous un commandement unifié, l'ensemble des actions menées. " Une nouvelle doctrine militaire, 18 mois après la précédente, est en préparation.

L'industrie de défense, du géant à la PME innovante, est intégrée à cette urgence. La Recherche et la Développement suivent le même chemin (les crédits des études passent de 10 à 30 millions d'euros, encouragement de la recherche académique, cofinancement de thèses de doctorat). La réserve citoyenne et opérationnelle aura, dans ce domaine précis, un rôle crucial, comme la formation. Un pôle d'excellence de cyberdéfense est en cours d'élaboration en Bretagne. Avec les grands industriels, la DGA, les armées, les écoles d'ingénieurs et les universités, autour des écoles de Saint-Cyr Coëtquidan. On revient à l'Ecole des transmissions de Cesson-Sévigné qui sera chargée de la formation...

" Le cyberespace est de toute évidence l'une des clés de notre défense et de notre souveraineté ", martèle le ministre.

Partager cet article
Repost0
22 mai 2013 3 22 /05 /mai /2013 12:50
source itespresso.fr

source itespresso.fr

21/05/2013 Nelly MOUSSU

 

Le colloque sur « Les perspectives en matière de cyberdéfense après le Livre blanc » du 16 mai a notamment abordé la coopération européenne. La stratégie et la directive européenne en matière de cybersécurité, publiés en février dernier, pourraient être une avancée majeure pour la sécurité des systèmes d’information.

 

La Commission européenne et le Service européen pour l’action extérieure (SEAE) ont publié, en février dernier, une stratégie en matière de cybersécurité intitulée « un cyberespace ouvert, sûr et sécurisé ». Dans le même temps, le Parlement européen et le Conseil de l’Europe ont publié une proposition de directive concernant des mesures pour renforcer la sécurité des réseaux et de l'information dans l'Union européenne (UE). Le colloque sur « Les perspectives en matière de cyberdéfense après le Livre blanc » du 16 mai a notamment abordé la coopération européenne dans ce domaine.

 

Jusqu’à présent, les actions entreprises par l’Union européenne ne semblaient pas suffisantes. Du côté des États membres, beaucoup ne disposaient pas de moyens pour protéger leurs systèmes d’information. Quant au secteur public, il paraissait trop peu impliqué. Saisissant le sujet à bras le corps, des membres des institutions européennes ont défini des recommandations pour améliorer le niveau de sécurité informatique au sein de l’UE. « Même si la cyberdéfense doit demeurer une compétence première des États, car elle touche à la souveraineté nationale, il me semble indispensable, s’agissant d’une menace qui s’affranchit des frontières, de renforcer la coopération européenne », souligne le sénateur Jean-Marie Bockel, auteur d’un rapport d’information sur la cyberdéfense.

 

Plus de moyens et de coopération entre États

 

La stratégie européenne de cybersécurité liste des recommandations dont les objectifs sont multiples : développer une politique européenne de cyberdéfense, renforcer les moyens de prévention et d’opposition aux attaques, développer les ressources industrielles et technologiques en matière de cybersécurité, faire reculer la cybercriminalité, etc. Afin d’aider les États membres à mettre en œuvre ces recommandations, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) pourra les conseiller et diffuser les bonnes pratiques existants déjà dans certains pays. La proposition de directive fixe quant à elle des obligations pour les États membres. Par exemple, elle leur imposerait de se doter d’une autorité nationale de cybersécurité, d’élaborer une stratégie nationale en la matière, de disposer d’une structure opérationnelle d’assistance en cas d’incidents informatiques.

 

Au cœur de ces documents se trouve l’idée d’une coopération renforcée entre États membres pour diffuser des alertes sur les incidents informatiques et y répondre, notamment grâce à la création d’un réseau européen des autorités nationales de cybersécurité. A la demande d’un État ou sur sa propre initiative, la Commission européenne pourrait ainsi demander aux membres de l’UE de fournir des informations sur un risque ou un incident. Après une alerte, les autorités compétentes pourraient décider d’une intervention coordonnées, conformément au plan de coopération de l’Union en matière de sécurité des réseaux et de l’information.

 

Miser sur les industriels

 

La stratégie invite les entreprises à s’engager plus fortement dans la cybersécurité en adoptant une véritable stratégie afin de se protéger des cyberattaques. Pour le sénateur Bockel, « l’une des principales avancées de la directive tient à la création d’une obligation de déclaration des incidents informatiques significatifs à l’autorité nationale compétente, qui serait applicable aux administrations publiques et aux opérateurs critiques, tels que les entreprises de certains secteurs jugés stratégiques, comme les banques, la santé, l’énergie et les transports ».

 

La stratégie préconise également de développer le secteur de l’industrie « cyber ». « Afin de garantir la souveraineté des opérations stratégiques ou la sécurité de nos infrastructures vitales, il est crucial de s’assurer de la maîtrise de certaines technologies fondamentales, dans des domaines comme la cryptologie, l’architecture matérielle et logicielle et la production de certains équipements de sécurité ou de détection », détaille le sénateur.


« La proposition de stratégie affirme l’importance de soutenir le développement d’une industrie européenne pérenne en matière de cybersécurité et de technologies de l’information et de la communication afin d’éviter toute dépendance critique de l’Europe en la matière, notamment via un soutien à l’innovation (R&D) », ajoute Jean-Baptiste Demaison, chargé des affaires européennes à l’Agence nationale de sécurité des systèmes d’information (ANSSI).

 

Un enjeu pour les États et plus particulièrement pour le secteur de la défense : « Les militaires doivent être interopérables entre alliés, et cette interopérabilité s'appuie fortement sur les systèmes d'information et de communication, souligne le lieutenant-colonel Patrice Tromparent de la Délégation des Affaires Stratégiques, nous sommes dépendants de l’industrie, c’est pourquoi il faut soutenir la création d’une base industrielle de technologie et de défense européenne spécialisée dans la cybersécurité. » Et pour éviter les doublons, la stratégie européenne invite notamment l’Agence européenne de Défense à promouvoir le développement cohérent de capacités et technologies cyberdéfense entre les Etats membres.  Pour Jean-Baptiste Demaison, ces documents « identifient le cadre de financement de la R&D "Horizon 2020" comme levier de soutien principal à l’innovation en matière de cybersécurité et de technologies de l’information et de la communication (TIC) en Europe. Mais au-delà du soutien à la R&D, devrait s’ajouter un soutien au développement et à la promotion de standards européens, en assurant notamment une meilleure coordination des travaux de normalisation en matière de cybersécurité au niveau européen. L'UE devrait également encourager l'industrie européenne à identifier les défis technologiques stratégiques de demain et à soutenir cette dernière afin qu'elle puisse y répondre. L'UE pourrait notamment œuvrer en faveur de l'émergence d'offres européennes d'infrastructures et de services Cloud de confiance en Europe, via un soutien à la R&D et au développement de normes européennes d'interopérabilité, de sécurité, etc. »

 

Et maintenant ?

Dans les mois qui viennent, le Parlement et le Conseil européen voteront pour décider de l’adoption ou non de la stratégie européenne de cybersécurité et de la proposition de directive. Ce dernier document est le seul qui obligerait les états membres à adapter leur législation. « Sans anticiper les discussions formelles qui se tiendront au Conseil de l’UE, il est possible d’indiquer à titre préliminaire qu’une législation européenne en matière de cybersécurité ne devrait en aucun cas prescrire un mode d’organisation spécifique du dispositif national de cybersécurité mais s’attacher davantage à décrire des « fonctions » communes minimales. Une telle législation devrait également tenir pleinement compte de la diversité existant entre les Etats membres de l’UE en matière de développement des capacités nationales de cybersécurité, et éviter toute harmonisation forcée au risque d’un résultat contreproductif » prévient Jean-Baptiste Demaison.

 

En France, la commission des Affaires étrangères et de la défense du Sénat a déjà adopté une proposition de résolution afin de faire connaître au gouvernement sa position sur ces deux textes. « Nous recommandons d’en approuver les orientations générales et d’appeler les institutions européennes et les Etats membres à une mise en œuvre rapide de ces priorités, insiste le sénateur Bockel. Ces documents constitueront un progrès et permettront d’accélérer la prise de conscience des enjeux liés à la cyberdéfense au niveau européen. »

Partager cet article
Repost0
24 mars 2013 7 24 /03 /mars /2013 12:30

http://upload.wikimedia.org/wikipedia/fr/5/54/Secr%C3%A9tariat_g%C3%A9n%C3%A9ral_de_la_d%C3%A9fense_et_de_la_s%C3%A9curit%C3%A9_nationale.PNG

 

23/03/2013 Jean Guisnel Défense ouverte - Le Point.fr

 

Après 8 ans de bons et loyaux services à la tête du secrétariat général de la défense et de la sécurité nationale, Francis Delon devrait être prochainement remplacé.

 

Lundi matin 25 mars, comme lors de chaque conseil de défense réuni autour de François Hollande, le secrétariat de la réunion sera assuré par un homme discret de 62 ans, le conseiller d'État Francis Delon. Cet énarque (promotion Michel de l'Hospital), qui fut naguère directeur de cabinet de François Bayrou à l'Éducation nationale (1995-1997), succéda en juillet 2004 à son collègue Jean-Claude Mallet au poste mal connu de secrétaire général de la défense nationale (SGDN).

 

La fonction exige un savoir-faire administratif hors pair ainsi qu'une grande discrétion : placé sous l'autorité du Premier ministre, le SGDN traite la question des "transferts sensibles" (ventes d'armes), gère les habilitations à connaître les informations classifiées, assure le secrétariat des conseils de défense, chapeaute l'ANSSI (Agence nationale de la sécurité des systèmes d'information), évalue les risques et les menaces pesant sur la population française. Entre autres. Bref, c'est un poste-clé, dont les missions ont été élargies après le changement de dénomination, le SGDN devenant début 2010 le SGDSN, secrétariat général de la défense et de la sécurité nationale.

Possible successeur

Francis Delon a assuré ces derniers mois la tâche complexe consistant à rédiger la mouture finale du Livre blanc, dont une énième version a été présentée au conseil de défense du 22 mars. Au gouvernement, on ne fait pas mystère de son probable remplacement, qui pourrait intervenir après la présentation officielle du Livre blanc, et la publication par l'Élysée des grandes options budgétaires retenues pour le ministère de la Défense. Une échéance à l'été est probable, dans le plan de mutation de grande envergure qui devrait toucher les états-majors et plusieurs grandes directions, dont la DGSE.

Pour l'heure, le nom du successeur de Francis Delon n'est pas connu. Selon nos informations, la nomination la plus probable serait actuellement celle de Louis Gautier, un conseiller-maître à la Cour des comptes. Ancien directeur adjoint du cabinet civil et militaire du ministre de la Défense Pierre Joxe (1991-1993), il fut ensuite conseiller pour la défense du Premier ministre Lionel Jospin (1997-2002). Actuellement président du groupe Orion, le pôle de réflexion sur les questions stratégiques de la Fondation Jean-Jaurès, il est professeur de sciences politiques à l'université Jean-Moulin-Lyon 3. Il est également membre de la commission du Livre blanc sur la défense et la sécurité nationale, trésorier de la Fondation Pierre Bergé-Yves Saint Laurent, secrétaire général de la Fondation Saint-Cyr et membre du conseil de surveillance du Monde.

Partager cet article
Repost0
29 novembre 2012 4 29 /11 /novembre /2012 12:55
"Nos entreprises ne sont pas assez protégées contre les cyberattaques"

 

29 novembre 2012 Par Ridha Loukil - Usinenouvelle.com

 

Si l’Elysée peut être attaqué, comme l'a révélé l'Express, quid des entreprises hexagonales. Sont-elles bien protégées ? L’industrie française de cybersécurité est-elle au bon niveau ? Le débat sur la souveraineté numérique a-t-il un sens ? Réponses de Patrick Pailloux, patron de l’ANSSI , l'Agence Nationale de la Sécurité des Systèmes d’Information.

 

L'Usine Nouvelle - La France a-t-elle aujourd’hui les moyens de sa défense ?

 

Patrick Pailloux - A part les systèmes militaires, qui incluent des dispositifs de haute sécurité très onéreux, personne ne peut garantir qu’il est totalement protégé contre les cyberattaques. A la suite du livre blanc sur la défense et la sécurité nationale, publié en juin 2008, la France a décidé de se doter d'une stratégie de cyberdéfense en créant en 2009 l’ANSSI. Depuis, les moyens consacrés par l'Etat à ce sujet n'ont cessé de croitre. De 100 personnes au départ, nous sommes passés à 250 personnes aujourd’hui et nous devons atteindre 360 personnes à la fin de 2013. Face à la menace, nous renforçons sans cesse nos moyens de prévention et de réaction. Si nous nous approchons globalement de pays comme l’Allemagne ou la Grande Bretagne, nos entreprises sont en retard en matière de protection des systèmes d’information. Nous continuerons à nous renforcer de façon à rester au top niveau européen dans ce domaine.

 

Qu’est-ce qui manque aujourd’hui pour avoir une sécurité plus efficace ?

 

Croire qu’il suffit d’acheter des pare-feu, antivirus et autres équipements pour que le système d’information soit sécurisé est une erreur. En caricaturant un peu, peu importe le degré de sophistication des équipements de sécurité mis en place, à eux seuls ils ne peuvent pas garantir la sécurité. Il faut aussi appliquer une hygiène informatique, analyser les risques auxquels l’entreprise est exposée, et surveiller son système d’information en faisant appel si nécessaire à un prestataire de service de sécurité. Je suis convaincu qu’on peut améliorer la sécurité juste par l’hygiène informatique, des règles élémentaires qui ne coûtent pas cher mais qui changent drastiquement les choses. Nous avons publié en octobre 2012 un guide de l’hygiène informatique avec 40 règles simples à appliquer par les entreprises pour mieux se protéger. Ce guide est téléchargeable sur notre site à cette adresse. Il faut enfin éduquer, éduquer et éduquer tant les informaticiens que les utilisateurs pour faire bouger les lignes.

 

L’industrie française de cyberdéfense dispose-t-elle de toutes les technologies clés dans ce domaine ?

 

Nous avons la chance de maîtriser en France toute la chaîne de cybersécurité, depuis les puces avec STMicroelectronics jusqu’aux logiciels. Nous disposons de champions comme Thales, EADS, Sagem ou Bull, leaders mondiaux dans ce domaine, et d’un tissu dense de PME aux solutions pointues mais à la surface insuffisante pour décoller sur le marché. Ce qui manque, c’est le tissu intermédiaire d’acteurs capables de fournir des solutions de haut niveau. L’offre française dans les pare-feu, le VPN ou la mobilité est réelle mais trop petite pour concurrencer les mastodontes du secteur. La bataille n’est pas perdue pour autant, les industriels français peuvent progresser dans ces domaines.

 

Que fait l’ANSSI pour aider les industriels français de cette filière?

 

Nous délivrons des labels aux produits de sécurité selon les Critères Communs, sorte de standard mondial. Une puce agréée en France pour une application de passeport biométrique est ainsi commercialisable sans autre agrément en Grande-Bretagne ou Allemagne. Nous aidons aussi les industriels dans le développement technique, dans le domaine des algorithmes de cryptage notamment. Enfin, nous soutenons financièrement les PME innovantes à travers OSEO. En dehors des investissements d’avenir, nous allouons un budget de 300 000 euros à cet effet en 2012. Mais la vraie réponse réside dans le marché. Seule une demande plus forte pourra aider les PMI à se développer.

 

Pour ses équipements de cybersécutité, faut-il privilégier des solutions françaises chaque fois que cela est possible?

 

Dans les applications confidentiel-défense, oui. Ce sont des solutions françaises qui sont systématiquement choisies. Dans les applications civiles, le choix dépend du niveau de sécurité voulu. Plus on veut de la sécurité, plus on doit faire confiance au fournisseur ou prestataire. Ceci étant, les produits labellisés par l’ANSSI garantissent le même niveau de sécurité que le fournisseur soit français ou étranger.

 

Quelles opportunités de développement voyez-vous pour l’industrie française ?

 

J’en vois deux. La première concerne la mobilité. Des solutions françaises existent dans ce domaine. Mais elles ne sont pas à l’échelle pour attaquer le marché mondial. La seconde réside dans les services. Les entreprises n’ont pas toujours les compétences pour surveiller au jour le jour leurs systèmes d’information, détecter les cyberattaques et les traiter. Les prestations dans ce domaine méritent d’être développées davantage car la demande va croître.

 

La souveraineté des données était-elle une bonne  justification à la création de Cloudwatt et Numergy ?

 

La souveraineté de données numériques constitue un vrai sujet de préoccupation. Nous n’avons pas l’intention de nous battre contre le cloud, qui est une technologie d’avenir. Mais est-il raisonnable de confier toutes ses données à un prestataire cloud sans vrai contrôle ou se laisser dicter les règles de sécurité par des prestataires aussi gros soient-ils. La sécurité des données c’est la même chose que pour les bijoux de famille. Une entreprise a un patrimoine informationnel et des données sensibles : fichiers clients, secrets de fabrication, dossiers du personnel, etc. Il lui appartient de décider à qui les confier et quelles règles de sécurité leur appliquer. Pour certains types de données, il peut être légitime de ne pas être tributaire d’un prestataire étranger. Quand les données sont localisées en France, les choses sont claires : c’est la loi française qui s’y applique. Mais quelle loi est applicable quand elles sont à l’étranger ? Le pays autorise-t-il le transfert des données ? Les questions qui se posent sont nombreuses.

 

Le Patriot Act est-il vraiment une menace pour la sécurité des données confiées à des prestataires américains ?

 

Tous les Etats du monde disposent d’un accès aux données localisées sur leurs territoires pour des besoins de police ou sécurité. Mais la demande de cloud souverain, avec des prestataires en France et en Europe offrant des garanties de sécurité maîtrisées, est légitime. On peut comprendre qu’une entreprise, qui investit beaucoup en R&D, prenne toutes ses précautions pour éviter le risque de fuites d’information. Nous proposons aux entreprises une liste détaillée de questions à poser au prestataire avant de lui confier leurs données.

 

Patrick Pailloux, expert de cyberdéfense

 

Ingénieur X-Télécom Paris, Patrick Pailloux, 46 ans, a démarré sa carrière chez France Telecom avant de travailler dans le domaine des systèmes d’information et de télécommunications au Ministère de la Défense. Il a été ensuite conseiller aux affaires scientifiques et techniques du secrétaire général de la défense nationale puis directeur central de la sécurité des systèmes d’information. Il est le directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) depuis sa création en juillet 2009. Chevalier de l’ordre national du mérite et de l’ordre national de la Légion d’Honneur, il est membre du conseil d’administration de l’ENISA (European network and information security agency), l’équivalent de l’ANSSI au niveau européen.

Partager cet article
Repost0

Présentation

  • : RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

Categories