01.10.2013 Interview par Alain Establier - SECURITY DEFENSE Business Review (SDBR) N°90 du 24/09/2013
SDBR : Quand a été créé le poste d’officier général « cyberdéfense » de l’EMA ?
AC : Le poste d’officier général a été créé en juillet 2011, moi-même étant en poste à temps plein depuis février 2011, au moment ou l’ANSSI était elle-même créée pour devenir l’autorité nationale de défense des systèmes d’information. Mais je travaille sur la cyberdéfense depuis la sortie du Livre blanc 2008.
Quel bilan tirez-vous de cette période 2008/2013 ?
Suite à la prolifération du virus Conficker, qui a touché entre autres début 2009 le ministère de la défense, un mouvement important de refondation de la cybersécurité du ministère a été lancé. La prise de conscience de l’ensemble des hautes autorités de l’Etat, en particulier du ministère de la défense (MINDEF) et du secrétariat général à la défense et à la sécurité nationale (SGDSN), a été déterminante pour faire de la cyberdéfense une réelle priorité. L’accélération s’est produite début 2010, ce qui a permis aux traitants dont je suis de réellement mettre en œuvre les mesures préconisées avec l’appui et la confiance des plus hauts responsables. Le Livre blanc 2013 est venu concrétiser ce mouvement commencé il y a 5 ans, avec des emplois et des crédits d’investissement conséquents. Il y avait environ 120 agents à la DCSSI (qui a précédé l’ANSSI), aujourd’hui il y a 360 personnes qui dépendent de Patrick Pailloux, son directeur général, avec un objectif de plus de 500 personnes à fin 2015. Coté MINDEF, l’expertise pointue de DGA-MI va se voir doter de 200 ingénieurs supplémentaires d’ici 5 ans pour porter l’effectif total aux environs de 400 et permettre de recruter des thésards et des doctorants. Au niveau des armées, la LPM prévoit la création de 350 postes, entre 2013 et 2019, pour la sécurisation des forces armées et des services communs du ministère (hors DGA). Au-delà du MINDEF et de la DGA, d’autres partenaires donnent une dimension interministérielle à cette dynamique positive pour créer une communauté de la cyberdéfense nationale, notamment au ministère de l’intérieur et au SGDSN.
Pouvez-vous clarifier les périmètres cyberdéfense et cybersécurité ?
Dans l’acception du MINDEF et selon les définitions de l’ANSSI : cybersécurité = cyberdéfense + cyberprotection. On parle de cybersécurité comme étant l’état final recherché. La cyberdéfense est la partie active opérationnelle (par exemple, l’exploitation des informations données par des capteurs). La cyberprotection est la partie préventive et architecturale (cryptographie, architecture de réseaux, capteurs, etc.). Vous trouverez donc des personnels de cyberdéfense dans les centres experts (Calid/centre opérationnel du MINDEF, Cossi/centre opérationnel de l’ANSSI) et dans les fonctions de sécurité des opérateurs qui mettent en œuvre des réseaux et des SI (DIRISI*, Orange, Thales, etc.), simplement l’expertise chez un opérateur ne sera pas du même niveau que dans un centre expert, comme le nom l’indique.
Qu’est-ce qui différencie ce niveau d’expertise ?
Au MINDEF, la fonction SOC (security operating center) que vous trouvez à la DIRISI, au service de santé des armées ou dans les réseaux de la DGA, n’est pas du même niveau d’expertise qu’au Calid car les outils utilisés ne sont pas les mêmes. Les opérateurs du Calid, utilisant des outils d’investigation particuliers pour « décortiquer » les incidents, ont donc des qualifications particulières et des formations « forensic ».
Quels sont les risques auxquels vous êtes confrontés ?
Nous sommes régulièrement confrontés à des attaques visant à dénaturer les sites web de telle ou telle administration, avec pour risque la manipulation d’images dans le cadre de campagne de communication, comme nous l’avons vu au moment de l’opération Harmattan en Libye, de l’opération Serval au Mali et comme nous pourrions l’être en ce moment avec la Syrian Electronic Army (SEA). En général ce type d’attaques n’a pas de réelles conséquences sauf médiatiques. Les attaques ciblées de type « APT – Advanced Persistant Threat » sont plus gênantes, mais ce sont surtout celles que pourraient subir des SCADA (mis en exergue en 2010 par l’attaque du virus Stuxnet sur les centrales iraniennes) qui nous préoccupent beaucoup, car ce sujet concerne toute l’informatique potentiellement communicante qu’utilise le MINDEF, dans l’ensemble de ses systèmes : industriels, d’armes, de commandement ou de communications. Partout où de l’informatique pourrait être amenée à échanger des données, nous sommes aujourd’hui dans le périmètre de la cybersécurité du MINDEF. C’est nouveau par rapport à la sécurité des SI classique, laquelle existe depuis de nombreuses années où l’on privilégiait la confidentialité des échanges d’information (réseaux classifiés). L’arrivée de l’IP (Internet Protocol), que l’on trouve maintenant partout, a bouleversé le périmètre de la cybersécurité. De même, la sécurité du MINDEF commence au-delà de son système d’information, puisque la maintenance de nombreux systèmes est faite chez des partenaires qui parfois interviennent sur les théâtres d’opérations (Thales, Cassidian, etc.). Notre industrie de confiance doit donc aussi être capable d’avoir un haut niveau de cybersécurité.
Comment pourrait-on nous passer des grands logiciels ou équipements étrangers ?
Il y a probablement des équipements stratégiques dont nous devons retrouver la maîtrise, entre autres les équipements des cœurs de réseaux où se fait l’orientation des flux, ou encore les sondes de détection où une approche régalienne est absolument nécessaire. Comme nous ne sommes pas non plus capables de maitriser encore certains logiciels, antivirus notamment, il convient d’en croiser différents (Kaspersky, McAfee, Symantec ou d’autres) en attendant une solution nationale pour pallier à cette carence.
La LPM apporte des modifications aux aspects juridiques de votre activité. Pouvez-vous nous dire en quoi ?
Le point de départ de ces aménagements juridiques est de pouvoir protéger juridiquement le travail des agents présents dans les centres experts de cyberdéfense. La jurisprudence et les textes actuels de la CNIL, en termes d’investigation, suffisent largement aux administrateurs de réseaux pour mener des investigations internes nécessaires ou des surveillances. Par contre en cas d’attaques, le code pénal dit aujourd’hui que « sauf motif légitime il est interdit de pénétrer dans un système externe ». Donc les articles de la LPM ont été rédigés, non pour évoquer des actions de rétorsion ou de contre-attaque, mais pour permettre aux agents des centres experts d’entrer en interaction avec un attaquant et faire cesser les effets d’une attaque contre le système visé : caractérisation et compréhension de l’attaque, neutralisation de ses effets par l’emploi de tel ou tel procédé technique. Les conditions d’application seront d’ailleurs définies par le Premier Ministre.
Le Livre blanc parle pourtant bien de capacités offensives en matière de cyber, non ?
En effet, dans les 13 pages du Livre blanc consacrées à la Cyber, vous avez plusieurs articles qui annoncent des capacités offensives pour la France dans le cadre de ses opérations militaires, ce qui est tout à fait différent du cadre précédent puisqu’entrant dans le cadre d’une intervention militaire, qui aujourd’hui n’est conduite qu’en application de résolutions internationales.
Parlez-nous de la chaine opérationnelle de cyberdéfense évoquée dans le Livre blanc.
Tout part du chef des armées et du CEMA, qui dispose d’un sous-chef opération et d’un centre de planification et de conduite des opérations (CPCO). Je suis le chef cyber de ce CPCO. La chaine de commandement est totalement intégrée dans le CPCO car le cyber est partout (dans les avions, les bateaux, etc.). En outre, en cas d’échec de la cyberdéfense, la crise concernerait toutes les composantes des armées et il faudrait en gérer les effets avec les moyens classiques. C’est donc une chaine opérationnelle unifiée, centralisée et spécialisée, intégrée au CPCO, qui est construite comme les autres chaines de commandement (air, terre, mer) avec les mêmes attributs : anticipation, doctrine, directives aux éléments décentralisés, mobilisation de moyens, etc.
Quelles sont vos ressources humaines ?
Je dispose d’une équipe resserrée qui travaille avec moi, de cellules au CPCO et d’un centre expert (Calid). Mais je dispose aussi de relais dans les armées, jusqu’au niveau des unités élémentaires. Chaque unité du MINDEF dispose aujourd’hui d’un assistant de lutte informatique défensive (ALID), capable de faire faire un certain nombre de manipulations sur les matériels de son unité. En réservoir de ressources, je dispose de toute la chaine SSI du MINDEF, à savoir 1600 personnes actuellement (plus les 350 postes à créer d’ici 2019). Sur ces 1600, environ 1200 sont dans le périmètre de l’état-major des armées : 300 gèrent des équipements de chiffrement et 900 sont dans la chaine de cybersécurité (prévention, détection, protection) avec des niveaux d’expertise variables. Dans ces 900, 150 sont des experts de haut niveau qui font des missions d’audit et d’expertise, que ce soient des officiers (bac + 7) ou des sous-officiers (bac + 2) qui sont passés par l'école des transmissions (ETRS) de Cesson-Sévigné près de Rennes, ou encore des experts en lutte informatique défensive, soit au sein du Calid soit au sein des SOC.
Quel est le volume d’incidents que vous traitez ?
Depuis début 2013, le Calid a eu à traiter environ 500 remontées d’incidents ; ce sont les incidents qui remontent des opérateurs du ministère et qui demandent des expertises plus poussées que celles de leur SOC. Ces SOC fonctionnent à partir de signatures connues. Ce qui nous intéresse, particulièrement pour les affaires d’espionnage et autres, ce sont les signaux faibles pouvant être éventuellement détectés sur nos réseaux, de façon à pouvoir ensuite remonter une attaque. C’est l’objet des recherches menées par la DGA sur la corrélation d’événement ou du programme MTLID** de surveillance instrumentalisée des sondes (par Cassidian). En termes d’investissements, la LPM a prévu le programme « cyber » (350 M€) qui couvre tous les outils métiers spécifiques : chiffrement, téléphones sécurisés, sondes, corrélateurs, outils de présentation, etc.
Vos vœux pour les années à venir ?
Au sein de l’Etat, les administrations concernées par le cyber ont jusqu’à présent su gommer de nombreuses frontières pour coopérer en bonne intelligence. Le domaine est tellement vaste (de la cybercriminalité à l’espionnage économique en passant par le terrorisme) qu’aucun centre expert ne pourrait tout englober. Espérons que le renforcement des moyens et des effectifs n’empêchera pas la poursuite de cette coopération de confiance. Coté industriel, espérons aussi que nous pourrons conserver et faire émerger des entreprises de confiance pour préserver la pérennité de nos coopérations industrielles et garantir une indépendance et une autonomie nationale en matière de cybersécurité. Enfin en matière de réserve, nous avons lancé avec un relatif succès une réserve citoyenne de cyberdéfense, qui regroupe aujourd’hui 80 personnes réparties en 8 groupes de travail, pour le lobbying et la réflexion. Il existe aussi la réserve opérationnelle des armées, plus difficile d’emploi et de mise en œuvre dans ce domaine pointu. Enfin, nous avons le projet de mettre en place une réserve « cyberdéfense »à vocation opérationnelle pour aider à des travaux de restauration, à disposition de l’ANSSI et de l’Etat face à une crise grave. Nous en reparlerons…
*DIRISI : Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information
** MTLID : moyens techniques de lutte informatique défensive