Overblog
Suivre ce blog Administration + Créer mon blog
3 octobre 2016 1 03 /10 /octobre /2016 10:55
16ème Assises de la sécurité et des systèmes d’information – ITW de Guillaume Poupard par SDBR

 

03.10.2015 par Alain Establier SECURITY DEFENSE Business Review n°157

 

A la veille de l’ouverture des 16ème Assises de la sécurité et des systèmes d’information, SDBR a interviewé Guillaume Poupard qui doit y prononcer le discours d’ouverture

 

SDBR : Envisagez-vous d’étendre le champ d’intervention de l’ANSSI ?

 

GP : Très clairement la sécurité de l’Etat, la sécurité de la Nation, la sécurité des Opérateurs d’Importance Vitale (OIV), tout étant étroitement lié, restent notre priorité car c’est la raison d’être de l’ANSSI. Beaucoup a été fait dans le prolongement de la Loi de Programmation Militaire (LPM) pour la protection des OIV. Sans faire de l’autosatisfaction, je suis ravi de la qualité du dialogue qui s’est instauré avec les ministères et avec les OIV. Pour autant, le reste du champ économique n’est que partiellement couvert par le dispositif national de cybersécurité. Ce qui n’est pas satisfaisant : par exemple, des PME ont fermé suite à des attaques de type « ransomware », car d’un jour à l’autre ces PME n’ont plus eu accès à leurs données ; des hôpitaux sont aussi la cible de ce type d’attaques. Il nous faut donc continuer à travailler sur ces sujets, car l’environnement des OIV est lui-même constitué d’une multitude de PME pouvant devenir des cibles. Se pose également la question de la protection de nos concitoyens, qui n’entre pas dans la mission de l’ANSSI mais pour lesquels l’ANSSI se sent tout de même une vraie responsabilité pour les aider face à la menace informatique, d’où l’idée lancée en octobre 2015 de développer un dispositif d’assistance aux victimes d’actes de cyber-malveillance.

 

Comment se concrétise ce dispositif d’assistance aux victimes d’actes de cyber-malveillance ?

 

C’est une véritable start-up  pour laquelle l’ANSSI joue le rôle d’incubateur, en collaboration avec le ministère de l’Intérieur. Son but est de devenir autonome, pour apporter des messages de prévention auprès du grand public et des TPE et pour leur apporter des solutions en cas de problèmes. La première étape va être de constituer un site Internet de réponses pratiques aux questions et d’adresses de prestataires informatiques référencés, capables de fournir une aide de proximité. L’autre point important de cette démarche est de pouvoir collecter des chiffres sur les attaques visant les petites structures pour avoir une idée plus précise du risque et pouvoir faire entrer dans le jeu les assureurs, des représentants des victimes et des représentants des entreprises. Ce dispositif permettra d’avoir une sorte d’observatoire de la cybercriminalité. Sa mise en place progressive se fera en 2017.

 

Pensez-vous que la France avance plus vite que ses voisins dans la mise en place de protection ?

 

Par rapport à ce que j’observe à l’Etranger, il y a eu en France une prise de conscience relativement ancienne qui se concrétise aujourd’hui selon un modèle positif : tous les acteurs (publics ou privés) poussent dans le même sens. L’équilibre trouvé entre les différents acteurs fonctionne très bien à mon sens, ce qui ne signifie pas pour autant que nous soyons en risque zéro.

 

Que pensez-vous des chiffres d’attaques qui circulent ici ou là ?

 

Nous avons mis quelques chiffres dans notre rapport d’activité 2015 : plus de 2300 codes malveillants collectés, 4000 signalements reçus (50% de plus qu’en 2014), une vingtaine d’incidents majeurs de sécurité traités, 15 alertes sur des vulnérabilités critiques. Aujourd’hui, personne n’a d’observatoire fiable en termes d’attaques mais le nombre de sinistres augmente. Il y a aussi toutes les attaques que personne ne voit car les victimes ignorent qu’elles ont été attaquées, ce qui à mon avis représente la grande masse des victimes ! Ce dont nous sommes sûrs, c’est que le domaine des attaques informatiques est un domaine en croissance. Les attaquants sont plus nombreux, plus organisés et plus forts, même si, en même temps, les entreprises sont mieux armées pour détecter les attaques et la sensibilisation des personnels y est plus forte. Le business des attaquants est très rentable, que ce soit en matière d’espionnage étatique ou économique, et le numérique va devenir un moyen d’action privilégié, seul ou en combinaison avec des moyens classiques. Les attaques sur les entreprises peuvent aussi être indirectes pour les atteindre ou les déstabiliser : exemple, nous constatons des attaques sur les agences de notation économique, ce qui n’a a priori rien à voir avec telle ou telle entreprise, pour obtenir des informations avec 48H d’avance et faire ensuite des opérations de bourse avec délit d’initié !    

 

Quid des données personnelles dans tout ça ?

 

Quand des données personnelles sont compromises dans le cadre d’une attaque, il y a souvent un dilemme entre prévenir les employés et préserver l’entreprise en gardant le secret sur l’attaque. Il faut donc trouver un bon équilibre entre la protection des données et la protection de l’entreprise.

 

Considérez-vous que le parcours de certification, pour une PME, soit plus facile aujourd’hui ?

 

En France, nous avons d’excellentes PME qui produisent des services de qualité, qui sont des tiers de confiance mais qui ne se prêtent pas bien à la démarche de certification : elles ne savent pas quoi faire évaluer, le processus d’évaluation est assez difficile et coûteux pour elles. Pour autant, ces PME constituent des briques intéressantes qui contribuent au développement de l’écosystème, même si ces PME ne sont pas dans la liste qualifiée par l’ANSSI. Il faut donc admettre que le processus de certification / qualification n’est pas adapté à l’ensemble des acteurs. Cependant, la signature de certification du directeur général de l’ANSSI est donnée en délégation du Premier ministre, c’est donc un acte fort qui correspond à une démarche importante qui ne peut être dégradée pour des raisons de convenance. Nous avons essayé de couvrir l’ensemble du champ des acteurs avec la Certification de Sécurité de Premier Niveau (CSPN), beaucoup plus légère (20 à 30 jours d’expertise) et à des coûts plus accessibles : c’est une réponse en termes de confiance pour certaines sociétés. En matière de label, nous avons contribué à développer le label « France Cyber security » qui permet de montrer les nombreuses offres françaises et de valoriser le savoir-faire national. Ce label a été attribué à 70 entreprises, petites et grandes, et c’est un moyen pour les petits acteurs du marché d’être plus visibles. Dans certains cas, lorsque nous considérons qu’une PME mérite d’être aidée à faire le parcours de certification, l’ANSSI et la BPI financent le coût du certificateur (labo CESTI), l’entreprise n’ayant plus à sa charge que le détachement d’un collaborateur pour constituer le dossier de certification. C’est notre façon d’encourager quatre ou cinq fois par an des entreprises prometteuses.

 

Vous avez dit lors de l’Université d’été Hexatrust, le 01/09/2016, qu’il fallait sûrement « marketer » la démarche de certification de l’ANSSI… Qu’entendez-vous par là ?

 

Cette démarche avait été conçue autour des cartes à puces, qui ont des durées de vie relativement longues. Aujourd’hui, avec le développement des logiciels qui ont une durée de vie parfois extrêmement courte, il est vrai que nous devons adapter la certification à la durée de vie de ces produits tout en lui gardant un sens. Nous devons probablement mieux expliquer les différents niveaux de certification (CSPN, certification Critères Communs, qualification, label France Cybersecurity) et ce qu’ils apportent à l’entreprise. Pour beaucoup de clients qui ne vivent pas dans notre écosystème, il serait souhaitable de leur donner une plus grande simplicité de lecture et de compréhension de ces certificats. Nous devons faire un effort d’explication, certainement grâce à des visuels simplificateurs.

 

A propos de la directive NIS, vous avez appelé à être vigilant sur les disparités qui pourraient intervenir en Europe créant des sortes de « franchise sécuritaire ». Comment ?

 

Nous disposons de l’accord SOG-IS signé entre dix pays européens ayant une approche commune de la notion de certification via les « critères communs ». C’est un accord de reconnaissance mutuelle, y compris à de hauts niveaux d’évaluation, qui permet de reconnaître le travail accompli dans les autres pays signataires. Il est vrai que 10 sur 27 est insuffisant et nous appelons à une démarche commune de certification réellement européenne. La Commission y est favorable et cette démarche doit donc être étendue aux 27 pays. Dans les dix pays de l’accord SOG-IS, il n’y a pas de franchise sécuritaire et les signataires sont vigilants à vérifier la qualité des travaux de chacun. La transposition de la directive NIS sera harmonisée dans chaque pays et il faudra veiller à ce que les travaux effectués dans les autres pays ne créent pas de distorsions de sécurité et de concurrence.

 

Vous avez évoqué récemment l’idée d’une sorte de showroom permanent de la filière numérique. Qu’entendez-vous par là ?

 

J’observe que certains pays vendent très bien leurs solutions, savent recevoir les délégations étrangères et leurs font des shows formidables pour qu’ils repartent avec des étoiles plein les yeux. En France, nous avons plutôt une démarche d’ingénieur, très technique, où l’aspect marketing est souvent négligé. Face à des clients étrangers qui veulent acheter français, nous ne sommes pas toujours capables de faire la démonstration des produits français et de montrer qu’ils peuvent fonctionner ensemble. C’est le but d’un showroom. L’ANSSI n’a pas vocation à faire du marketing, mais notre position nous amène à constater un vrai manque dans ce domaine. Il manque à Paris une capacité d’accueil VIP à qui montrer, en confidentialité, des solutions françaises compatibles dans un showroom cybersécurité. Il faut donc un espace, un financement et la volonté des différents acteurs à montrer non pas des briques mais des solutions intégrées répondant à des problématiques.     

 

L’été a été animé par un débat sur d’éventuels backdoors pour lire les communications chiffrées. Quel est votre avis ?

 

Nous sommes face à un vrai problème. Tout le monde est d’accord pour dire qu’il faut développer les technologies de sécurité, qu’il faut protéger nos Etats, notre industrie, nos concitoyens face à une multitude de menaces, ce qui passe entre autres par une technologie de chiffrement. On n’a donc pas à être pour ou contre le chiffrement : c’est une technologie dont nous avons besoin pour une multitude d’usages ! A la limite, ces technologies efficaces peuvent être utilisées par des individus malfaisants et par des ennemis de la France. Se pose la question de la façon de pérenniser les dispositifs d’interception légale (de sécurité et judiciaire) ciblée, dont nous avons besoin, en évitant les interceptions de masse illégales : s’il y avait des solutions simples, elles seraient mises en œuvre depuis longtemps et il n’y aurait pas de débat… Toute solution caricaturale restera donc caricaturale et inefficace. Avec les opérateurs classiques, il existe un dispositif qui fonctionne dans le respect de la Démocratie. La question est : comment pérenniser ce dispositif qui donne satisfaction dans le cadre de l’évolution technologique ? Les entreprises qui chiffrent leurs messages ont des solutions, en cas de nécessité, pour accéder au contenu de leur messagerie. Il faut sûrement s’en inspirer même si leur périmètre est restreint. Les discussions interministérielles avancent sur ce sujet, mais ce sera long.

Partager cet article
Repost0
30 mai 2015 6 30 /05 /mai /2015 10:55
Comment se défendre de la cybermenace

Avec les centrales nucléaires, les aéroports figurent au rang des infrastructures les plus sensibles.

 

29/05/2015 Mikaël Lozano – LaTribune.fr

 

Avec les centrales nucléaires, les aéroports figurent au rang des infrastructures les plus sensibles. Ultra-connectés, travaillant avec des prestataires par milliers, ces hubs sont des cibles de choix pour les pirates informatiques, au même titre que les grands industriels de l'aéronautique et du spatial. Consciente du péril, la France va imposer des règles sécuritaires aux entreprises les plus sensibles.

 

Mails infectés envoyés à des employés clés, intrusions sur les systèmes d'information... Indéniablement, les pirates informatiques, ou hackers, font preuve de plus en plus d'imagination et de sophistication. Avec des objectifs qui vont du vol de données commerciales à la subtilisation de savoir-faire technologique en passant par la mise à mal de sites industriels, sans négliger la malveillance voire la mise sur pied d'un attentat.

Quels moyens sont déployés par les aéroports français pour lutter contre ces menaces ? La question est sensible. Tellement sensible que tous ceux qui ont été contactés par nos soins ont préféré botter en touche, de peur de livrer des informations stratégiques...

 

Obligation de déclaration, pour les victimes d'attaques...

De son côté, l'Etat a décidé de prendre les choses en main pour éviter toute conséquence dramatique. Sont désormais sous surveillance plusieurs secteurs clés, dont le transport. Plus précisément, 218 opérateurs d'infrastructure vitale (OIV), dont les noms sont bien gardés, œuvrant dans ces secteurs et surveillés par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), branche cybersécurité du Secrétariat général de la défense et de la sécurité nationale.

La Loi de programmation militaire 2014 - 209 a, en effet, constitué un tournant. Son article 22 a fait de la France « le seul pays qui protège, par la loi, les opérateurs d'importance vitale, en imposant la mise en place des règles de sécurité définies par l'ANSSI, la remontée d'informations de la part des victimes d'attaques afin de donner l'alerte, de voir s'il y a d'autres attaques simultanées et de les aider à y répondre », détaillait Guillaume Poupard, directeur général de l'ANSSI, lors de son audition devant la Commission des affaires étrangères et de la défense du Sénat en novembre 2014.

 

 

Suite de l'article

Partager cet article
Repost0
23 mars 2015 1 23 /03 /mars /2015 12:56
Cas pratiques juridiques dans le Cyberespace : OIV, PME et collectivités, Crise internationale

 

Source Chaire Economie et Défense

 

Cas pratiques juridiques dans le Cyberespace : OIV, PME et collectivités, Crise internationale

 

synthèse colloque 3 février (PDF - 253.8 ko)

Partager cet article
Repost0
12 janvier 2015 1 12 /01 /janvier /2015 17:55
Journée d'études : Cas pratiques juridiques dans le Cyberespace

 

12/01/2015 Les écoles de Saint-Cyr Coëtquidan

 

Le mardi 3 février 2015, le Centre de Recherche des écoles de Saint-Cyr Coëtquidan, dans le cadre des activités de la Chaire de Cyberdéfense et Cybersécurité Saint-Cyr - Sogeti - Thales, organise une journée d'études consacrée à des cas pratiques juridiques dans le Cyberespace.

 

Présentation :

Si les effets dévastateurs que les Cyberattaques peuvent faire peser sur nos systèmes d’information commencent à être appréhendés, tout comme les catastrophes au niveau national ou international que ces dernières peuvent engendrer, force est de constater qu’une certaine impression de flou semble régner sur le cadre juridique à appliquer en de telles circonstances, et sur l’arsenal juridique existant à notre disposition. Alors même que les frontières nationales du Cyberespace sont parfois imprécises, faut-il en rester aux lois nationales ? Lesquelles sont à appliquer ? A partir de quels faits juridiques ou seuils de gravité les lois internationales entrent-elles en vigueur ?

Rebondissant sur la prochaine publication des décrets d’application de la Loi de Programmation Militaire (LPM) relatifs aux obligation imposées aux OIV, et aux sanctions applicables en cas de non-respect, la chaire Cyberdéfense et Cybersécurité Saint-Cyr - Sogeti - Thales propose une approche novatrice, avec un exercice d’expertise juridique appliqué à trois scénarios fictifs mais réalistes, couvrant un large panel des risques et menaces Cyber, tant sur le plan local, national ou international.

 

•   Une attaque de grande ampleur sur un OIV, avec des dégâts matériels et humains considérables.

•   Une attaque sur une entreprise de taille moyenne doublée d’une attaque sur une collectivité territoriale.

•   Une attaque d’un État souverain par un autre État.

 

Quelle qualification de ces attaques dans ces trois scénarios, quel cadre juridique, quelles règles de droit et lois nationales et internationales s’appliquent ?

A la conjonction des questions de Défense et de Sécurité, la chaire vous propose donc un exercice de recherche appliquée, avec des tribunaux simulés pour la circonstance, des plaidoiries, expertises et jugements, mais aussi un exercice interactif, le public ayant la possibilité de poser des questions avant les délibérés et le jugement final.

Cette journée d’études est ouverte à tous, principalement aux entreprises et aux experts juridiques, mais aussi aux Écoles intéressées par les questions de sécurité et par l’application du Droit existant en cas de cyberattaques.

 

Programme-Journee Etudes-Cas pratique juridique dans le Cyberespace-3fevrier2015.pdf 1,20 MB

Partager cet article
Repost0
16 décembre 2014 2 16 /12 /décembre /2014 15:55
ITW de Guillaume Poupard, Directeur général de l’ANSSI

 

16.12.2014 parAlain Establier –SECURITY DEFENSE Business Review n°118

 

SDBR : 9 mois après votre nomination au poste dedirecteur général de l’Agence nationale de la sécurité des systèmes d’information, quel regard portez-vous sur l’ANSSI * ?

 

GP : J’ai trouvé en l’ANSSI une maison remarquable par son dynamisme et la qualité de ses collaborateurs, une maison en ordre de marche qui a su trouver sa place dans son écosystème, comme entité interministérielle faisant en sorte que chacun puisse apporter sa pierre à un édifice de la cybersécurité devenu priorité nationale. La plupart des décideurs publics et privés a compris que le risque est réel, à la hauteur des opportunités portées par le numérique. Mais la tâche est gigantesque, car nous sommes tous concernés par les problèmes de cybersécurité: l’État, les entreprises petites et grandes, les collectivités territoriales, les organisations non gouvernementales et les citoyens. Nous sommes tous devenus des cibles et chaque type de cible requiert des attentions particulières et adaptées.

 

Y a-t-il des pistes de progrès identifiées ?

 

Nous travaillons au service du gouvernement et des administrations de l’État et nous avons étendu notre action aux opérateurs d’importance vitale (OIV) depuis que la loi nous en a ouvert la possibilité en décembre 2013**. Télécoms, énergie, transports…nous travaillons avec tous les secteurs importants pour la Nation et la vie quotidienne des Français afin d’augmenter la sécurité de leur infrastructure informatique la plus sensible. Nous nous employons aussi à ouvrir le champ d’intérêt de l’ANSSI, au-delà de l’État et des «opérateurs d’importance vitale », mais nous avançons à la vitesse de nos capacités, avec comme objectif de répondre aux attentes des responsables et de leur apporter des solutions.

 

Quelles solutions leur apportez-vous ?

 

Un des volets de notre mission est de pouvoir présenter des produits de confiance aux opérateurs concernés, ce qui implique une politique industrielle sous-jacente destinée à aider à la conception de ces produits et évaluer leur sécurité. Un volet tout aussi important est de pouvoir identifier des prestataires compétents et de confiance, car la cybersécurité repose également sur des services. Aujourd’hui, un client doit pouvoir se tourner vers des prestataires de confiance qui s’engagent à respecter une charte de confiance et sont compétents pour intervenir. En France, nous avons des prestataires présentant ces deux caractéristiques et nous avons la charge de les identifier en toute transparence et de les labelliser.

 

Est-ce que l’organisation de l’ANSSI vous convient ?

 

L’ANSSI a été créée en 2009, avec 100 collaborateurs au départ. Fin 2014 nous serons 400, ce qui est une croissance extrêmement très rapide, et nous serons près de 600 en 2017. Le recrutement et l’intégration des compétences sont donc une priorité qui mobilise l’encadrement. En 2014, nous avons accueilli une centaine de personnes, avec une attention particulière portée à l’intégration et à la fluidité du fonctionnement. Donc nous adaptons en permanence les procédures, pour aller de pair avec cette croissance forte. Il faut noter qu’il s’agit de métiers nouveaux: nous n’avons pas de référence sur ce que serait une agence de cybersécurité efficace, donc nous nous adaptons avec l’objectif de professionnaliser notre organisation pour être en mesure d’accomplir nos missions.

 

Aux Assises de la sécurité et des SI, en octobre à Monaco, vous disiez que «la période d’évangélisation à la cyber menace était passée et qu’il fallait maintenant réagir et passer à l’action». Qu’entendez-vous par là ?

 

Nous sommes déjà dans l’action car, aujourd’hui, l’ANSSI a une activité opérationnelle sur les réseaux sensibles qui comprend la détection des attaques informatiques, leur traitement et le renforcement de la sécurité des systèmes d’information visés. En matière d’évangélisation, l’ANSSI et d’autres ont fait beaucoup pour expliciter les risques, la réalité nous ayant bien aidés d’ailleurs à cette prise de conscience. Pour vraiment convaincre d’éventuelles réticences, il convient de parler avec les dirigeants de l’entreprise ou de l’organisation pour leur expliquer que le retour sur investissement en matière de cybersécurité doit être géré différemment des autres investissements, mais qu’il fait néanmoins partie des mécanismes de bonne gestion, car une attaque informatique porte sur l’ensemble de la chaîne de valeur de l’entreprise. La difficulté est de valoriser ce risque, mais le sujet progresse, par exemple grâce aux travaux des assureurs.

 

«Arrêter de se faire siphonner par nos amis», disiez-vous à Monaco… Pensez-vous qu’il y ait une différence entre se faire pirater par un «ami» ou un «non-ami» (puisque la France n’a pas d’ennemi déclaré) ?

 

Nous n’avons ni ennemi ni ami dans le cyberespace. Nous avons des alliés dont nous avons besoin, mais ces alliés s’intéressent parfois de près à ce que nous faisons. Nous sommes dans un contexte géopolitique complexe, avec des États ou des groupes qui sont actifs dans les réseaux de communications électroniques et qui peuvent faire appel à des capacités offensives pour nous nuire. Dans le domaine du renseignement, les révélations faites par Edward Snowden depuis deux ans montrent que la France est une cible. Ce qui importe, c’est de se défendre à la hauteur du risque, en y consacrant les moyens nécessaires. Donc soyons crédibles en matière de cybersécurité, défendons nos biens matériels et immatériels les plus précieux, qu’il s’agisse d’informations de souveraineté, de patrimoine intellectuel, de capacités économiques et militaires, ou plus largement de la vie numérique des Français.

 

Le nouveau supercalculateur baptisé OCCIGEN, fourni par Bull à GENCI (l’Agence française pour le calcul intensif), repose sur la solution Lustre d’Intel. N’est-ce pas dangereux pour un outil qui va voir passer des masses de données sensibles ?

 

Là encore, je reste optimiste grâce à mon expérience dans le domaine de la Défense. Il y a un certain temps qu’on ne fabrique plus de microprocesseurs et qu’on ne maîtrise plus le silicium à 100 %, à part ce que la direction générale de l’armement (DGA) fabrique en toute petite échelle pour le cœur de certains systèmes d’armes. Mis à part cette exception anecdotique, les serveurs que l’administration et les entreprises achètent, et quantité de briques intégrées dans des systèmes très sensibles, ne sont pas fabriqués en France. Pour autant, a-t-on abandonné notre souveraineté dans ce domaine? Je ne le pense pas et je ne suis pas le seul de cet avis. En effet, si nous raisonnons en termes d’architecture, il y a des briques que l’on peut acheter n’importe où, d’autres qu’il faut acquérir chez des partenaires de confiance, d’autres qu’il faut faire fabriquer en France par des entreprises habilitées et enfin ces briques tellement sensibles que leur fabrication n’est pas déléguée et reste le fait d’équipes étatiques très spécialisées. Les algorithmes cryptographiques classifiés Défense sont ainsi fabriqués par des équipes de la DGA et évalués par les cryptographes de l’ANSSI. Avec ces deux petites équipes, nous sommes au cœur de la souveraineté. La question se pose pour les briques sensibles nécessitant de la confiance et pour les architectures: est-on capable de les fabriquer en France ? C’est tout l’enjeu de la politique industrielle, du ministère de la Défense entre autres, de faire en sorte de conserver cette capacité sur le territoire.

 

D’une façon générale, est-ce que pour vous la notion de souveraineté va de pair avec le label open source ?

 

Il n’y a pas pour moi d’opposition entre open source et souveraineté. L’open source est un modèle, qui a de nombreuses vertus dont il faut utiliser les avantages et éviter les défauts. En général, nous ajoutons à une base open source des développements complémentaires qui ne sont pas en segments partagés: c’est le cas des SIEM de l’État par exemple. Participer à des communautés open source permet de bénéficier des travaux réalisés par d’autres éditeurs, d’autant que ces communautés peuvent être réduites à quelques acteurs autour de l’État. La modèle open source doit donc être adapté et utilisé en fonction de nos contraintes. Je suis par ailleurs conscient de la nécessité de reverser du code à la communauté. Nous avons sans doute quelques progrès à effectuer en ce domaine.

 

La filière numérique française est-elle vraiment encouragée par des commandes concrètes de l’administration ?

 

Ne nous plaignons pas d’avoir en France un code des marchés publics qui oblige les marchés à se dérouler de façon transparente. Ce code n’indique pas qu’il faut systématiquement acheter auprès de celui qui vend le moins cher, ou qu’il faut obligatoirement mettre en concurrence tous les acteurs de la planète. Si on a la volonté d’acheter des produits de confiance qualifiés par l’ANSSI, c’est tout à fait réalisable. Il faut donc d’une part évangéliser encore les administrations et d’autre part expliquer aux acheteurs la méthode à adopter pour sélectionner des produits qualifiés dans le cadre des marchés publics. C’est pourquoi nous avons produit, avec le ministère de l’économie, des finances et de l’industrie un guide détaillant la marche à suivre. Il est disponible sur le site de l’ANSSI. Je comprends donc très bien que des PME, comme celles du groupement Hexatrust, dont le lancement a été soutenu, souhaitent désormais accéder à des commandes de l’administration. Non seulement la commande publique crée du chiffre d’affaires pour les PME - c’est essentiel - mais elle crée également une référence qui a une valeur, notamment à l’export.

 

Quand on regarde la liste des produits certifiés par l’ANSSI et qu’on écarte les produits de Thales, Bull, Safran, Airbus Defence and Space et leurs filiales, il ne reste pas grand-chose. L’encouragement de la filière PME/TPE ne passe-t-il pas simplement par-là ?

 

Oui ! Il faut clairement encourager la qualification des PME. Pour autant, la qualification doit refléter une vraie confiance dans le produit et l’entreprise, ce qui sous-entend un travail de l’ANSSI approfondi, long et des tests nombreux. Cela prend du temps et coûte cher. Les grands groupes disposent d’équipes dédiées habituées à pratiquer ce type de démarche qualificative. C’est beaucoup plus compliqué pour une PME de 10 personnes de détacher un collaborateur à la démarche d’évaluation. Je pense également qu’il est souhaitable de conseiller les PME en amont, dès la conception des produits, cela permet d’ailleurs de mieux préparer l’évaluation.

 

«Relocaliser les données en France» disiez-vous à Monaco. N’y va-t-il pas un problème de coûts ?

 

Peut-être un peu, encore faut-il regarder précisément de combien. Aujourd’hui, dans un Data Centre, il n’y a pratiquement aucun humain, donc pourquoi l’implanter dans un pays à la main d’œuvre peu chère? Autant les activités à forte présence humaine peuvent entrainer des surcoûts importants attachés aux salaires et aux taxes sur les salaires, autant quand il n’y a pratiquement personne on peut se demander quelle est la justification économique d’une délocalisation? Si le surcoût est minime, on doit pouvoir l’assumer. Un dumping trop accentué doit nous conduire à nous interroger sur d’éventuelles arrière-pensées obscures…

 

Où en est le groupe de travail sur la protection des SCADA*** ?

 

Le sujet est essentiel. Le groupe de travail fonctionne et la coopération avec les clients et les équipementiers, français comme étrangers, se passe très bien. Le constat est clair: la cybersécurité n’a pas été prise en compte sur les systèmes industriels, dont les SCADA sont une composante. Nous allons devoir défendre les SCADA existants chez les OIV, ce qui nécessite une volonté financière de leurs responsables, et par ailleurs élaborer des solutions nouvelles qui répondent aux besoins, de façon à très rapidement élever le niveau de sécurité des systèmes industriels avant que n’arrive une catastrophe. Les arrêtés concernant l’article 22 de la loi de programmation militaire vont être publiés en 2015 sur ce sujet pour les différents secteurs. Nous développons actuellement des pilotes de SCADA avec les opérateurs. Les nouveaux équipements, incluant des mécanismes de sécurité robustes, passent par une logique d’évaluation.

 

Quel est votre objectif pour l’année 2015 ?

 

C’est clairement la définition précise des règles de sécurité, dans le cadre de la loi de programmation militaire, pour les opérateurs d’importance vitale. Ce ne sont pas que des mots, puisqu’il est impératif de définir en collaboration avec eux les règles de sécurité qui vont significativement élever leur niveau de sécurité tout en restant soutenable humainement et financièrement. L’autre objectif est de continuer à développer une politique industrielle afin de doter la France d’une industrie de la cybersécurité forte et sérieuse. Elle devra offrir des solutions fonctionnelles de bon niveau de confiance, sans pour autant être enfermée en France, ce qui signifie que la coopération doit rester ouverte avec des partenaires hors de France pour pouvoir aborder la compétition internationale.

 

*ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information www.ssi.gouv.fr

** Articles 21 à 25 de la loi n°2013-1168 du 19 décembre 2013.

***SCADA : Supervisory Control And Data Acquisition. Système de télégestion permettant de contrôler à distance des installations techniques

 

Partager cet article
Repost0
28 octobre 2014 2 28 /10 /octobre /2014 19:55
LPM & cybersécurité des OIV : quel bilan 10 mois après ?

 

octobre 2014 par Emmanuelle Lamandé

 

Dix mois après la promulgation de la Loi de Programmation Militaire (LPM), quel bilan peut-on faire de la cybersécurité des OIV ? Qu’en est-il des décrets d’application de la Loi ? Quels impacts la LPM aura-t-elle pour les opérateurs, et plus globalement sur le marché du numérique ? Les 2ème Rencontres Parlementaires de la cybersécurité, organisées par le Cyber Cercle Défense & Stratégie, ouvrent le débat à l’occasion d’une table ronde présidée et animée par Jean-Marie Bockel, ancien ministre, sénateur du Haut-Rhin, et Eduardo Rihan-Cypel, député de Seine-et-Marne.

 

Lire l'article

Partager cet article
Repost0
7 février 2014 5 07 /02 /février /2014 17:55
Thales regroupe ses forces dans la cybersécurité

 

06/02/14 Gilbert Kallenborn - 01Business

 

Le spécialiste des systèmes de défense fusionne ses équipes informatiques pour mieux se positionner sur le marché de la cybersécurité. En ligne de mire : les 200 opérateurs d’infrastructure vitale (OIV), définis par la Loi de programmation militaire.



Face à un marché mouvant et en pleine croissance, mieux vaut avoir une offre claire et lisible. C'est sans doute pour ces raisons que Thales annonce aujourd'hui, jeudi 6 février, la création de sa nouvelle ligne d'activité « Systèmes d'information critiques et cybersécurité ». Celle-ci résulte du regroupement des équipes spécialisées en sécurité des systèmes d'information d'une part et en systèmes d'information critiques d'autre part. « Les frontières entre ces deux domaines s'estompent. Il était donc logique de les mettre ensemble, ce qui nous permet de mutualiser ces ressources », explique Marc Darmon, directeur général adjoint de Thales, en charge des systèmes d'information et de communication sécurisés. 

Réunies, ces deux activités totalisent plus de 5000 personnes réparties dans 13 pays (dont 1500 experts en cybersécurité) pour un chiffre d'affaires d'environ 500 millions d'euros. Elles disposent également de deux centres opérationnels de sécurité, l’un à Elancourt (France) et l’autre à Basingstoke (Royaume-Uni). L'objectif est de fournir des produits et des services aux grandes entreprises, administrations, organismes financiers, industries, etc.

 

Numéro 1 en Europe

La nouvelle entité revendique la première place en Europe dans le domaine de la sécurité des technologies de l’information. Elle fournit des produits et solutions habilités confidentiel-défense et secret-défense dans 50 pays dont 25 au sein de l’Otan. Elle opère et supervise les systèmes informatiques critiques d’une centaine de clients dans le monde. Elle assure également la protection des transactions bancaires de 19 des 20 plus de grandes banques mondiales. 

En France, les « opérateurs d’infrastructure vitale » (OIV) constituent actuellement une cible commerciale privilégiée, dans la mesure où la toute récente Loi de programmation militaire (LPM) les obligera à renforcer leurs dispositifs de sécurité informatique. Une liste secrète de 200 noms d'organisations a été établie par l’Anssi, qui se chargera de vérifier et coordonner leurs stratégies en matière de cybersécurité. « Cela va aider à une prise de conscience dans les directions informatiques. Il y aura sans doute des investissements de nature technologique par ce biais-là. C'est, pour nous, une opportunité », souligne Laurent Maury, directeur délégué de Thales Services.

Ce n’est donc pas hasard si, lors d’une visite dédiée à la presse, la société française a montré une simulation d’attaque informatique sur un barrage hydraulique, ou mis en avant ses tablettes sécurisées Teopad, qui seraient « particulièrement adaptées aux OIV », comme le souligne Marc Darmon. Parmi les clients de la solution Teopad figurent le ministère de la Défense et Vinci Facilities.

 

Orange dans les starting-blocks

Evidemment, Thales n’est pas le seul à se positionner. Demain, vendredi 7 février, c’est au tour d’Orange Business Services d’inviter les journalistes pour leur faire visiter le centre opérationnel de sécurité de Cesson-Sevigné. Avec en prime un invité de marque. Jean-Yves Le Drian, ministre de la Défense, présentera les détails de son Pacte Défense Cyber, qu’il avait déjà évoqué à Lille, à l’occasion du Forum International de la Cybersécurité. L’activité Cyberdéfense d’Orange est d’ailleurs assez récente. Elle n’existe réellement que depuis le rachat d’Athéos le 6 janvier dernier. Une belle opération qui a été entachée par le fameux piratage des 800 000 comptes clients.  Un malheureux hasard de calendrier...

Partager cet article
Repost0

Présentation

  • : RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact

Recherche

Articles Récents

Categories