Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Protéger nos données et nos systèmes pour garantir notre souveraineté

décembre 2017 par Emmanuelle Lamandé

La protection de nos données et de nos systèmes représente aujourd’hui un enjeu fondamental pour assurer notre souveraineté, à la fois au niveau national, mais aussi plus largement à l’échelle européenne. Outre de nombreuses mesures à mettre en place, elle suppose également une étroite collaboration entre tous, ainsi qu’une harmonisation des standards et des règlementations. Organisés par Garnault Associés, en partenariat avec le Pôle d’excellence Cyber, le Conseil régional de Bretagne et la CyberTaskForce, les Rendez-vous parlementaires de la sécurité numérique ont réuni à Rennes différents acteurs français et européens de la chaine cyber, à l’occasion de l’European Cyber Week, autour de ces grands enjeux de politiques publiques, lors de débats animés par Mélanie Bénard-Crozat, rédactrice en chef de S&D Magazine.

© François-Xavier Dubois

En ouverture de ces rendez-vous parlementaires de la sécurité numérique, Gwendal Rouillard, Député du Morbihan, membre de la commission de la Défense nationale et des Forces armées, est revenu sur les principaux axes de la stratégie européenne en matière de protection des données et des systèmes, mais aussi des objectifs de souveraineté inhérents à ces sujets. Depuis de nombreuses années, rappelle-t-il, la France s’est mobilisée à Bruxelles afin que l’Europe adopte son autonomie stratégique. Mais ce concept dans la réalité est un long chemin, adopté cependant l’an passé et annoncé par Federica Mogherini. Dans le même temps, le Président Emmanuel Macron a confirmé cette même volonté dans sa stratégie politique annoncée. Il existe donc une résonnance entre la France et l’Europe sur ce concept d’autonomie stratégique. La directive NIS relative à la sécurité des systèmes d’information en Europe confirme cette tendance. Les États membres ont jusqu’au 9 mai 2018 pour transposer cette directive, qui prévoit notamment l’instauration de règles et d’un cadre commun, le renforcement des capacités nationales, mais aussi de la coopération entre États membres. Dans la même lignée, le RGPD (Règlement Général européen sur la Protection des Données) marque également une volonté affirmée de l’Europe de renforcer la protection des données personnelles et la vie privée. Ce règlement, qui entrera en vigueur le 25 mai 2018, étend de plus les responsabilités au niveau des sous-traitants et prévoit la mise en place d’un guichet unique. Le régime de sanctions associé viendra, quant à lui, garantir la fiabilité de la démarche et s’avère donc un aspect positif plus que répressif. Le processus de certification au sein de l’UE est également un axe clé qui reste à développer, afin de consolider l’architecture mise en place au niveau européen. Si la France et les autres États membres s’accordent sur le principe d’une harmonisation européenne sur ce sujet, certains points de divergence doivent encore trouver réponse quant au niveau d’exigences souhaité pour pouvoir être certifié. Enfin, les discussions partagées entre l’UE et l’OTAN doivent quant à elles se poursuivre, afin de renforcer au niveau international la prévention et la lutte contre la cybercriminalité, à la fois pour les États, mais aussi pour les organisations non-étatiques.

Souveraineté ouverte : vers une autonomie stratégique européenne ?

Le juste équilibre entre souveraineté nationale et autonomie stratégique européenne fait souvent débat. Est-ce réellement possible d’articuler les deux et comment concilier ces différentes dimensions ? La France a clairement établi ces dernières années sa stratégie nationale en matière de sécurité numérique. Toutefois, notre destin est aussi une sécurité partagée qui ne saurait se construire uniquement à l’échelle nationale, explique Cyril Cuvillier, sous-directeur adjoint de l’ANSSI pour les relations extérieures et la coordination. Pour lui, il est essentiel de faire naître une offre industrielle à la fois à l’échelle nationale et européenne. Il faut cependant rester capable de faire valoir certaines lignes rouges à l’échelle nationale. Chaque État membre de l’UE doit, de plus, monter en capacités et en compétences. La directive NIS s’avère en ce sens un pas en avant.
En outre, la Commission européenne (CE) a présenté, le 13 septembre 2017, un « paquet » de mesures relatives à la cybersécurité qui constitue la feuille de route de l’exécutif européen en matière de sécurité du numérique, jusqu’à au moins la fin de son mandat en 2019. Les 28 États membres de l’UE ont adopté le 20 novembre les conclusions du Conseil dressant un premier avis sur ce « paquet cybersécurité », et accueillent de manière favorable ce dernier, qui fixe une trajectoire claire pour l’Union européenne en matière cyber : celle de promouvoir l’autonomie stratégique européenne. Pour Cyril Cuvillier, cette initiative est importante, dans la mesure où elle recadre clairement le rôle européen sur ces sujets. Ce « paquet cybersécurité » propose entre autres de renforcer le mandat de l’ENISA et ses attributions. Selon lui, bien que le rôle de l’ENISA soit clé dans cette démarche, il faut également que chaque État membre prenne ses responsabilités. Plusieurs points restent également à définir, comme par exemple la gestion des certifications, les laboratoires qui en auront la charge, ainsi que les liens entre ces laboratoires, les autorités nationales et celles européennes... Sans compter que les États membres doivent se mettre d’accord sur les obligations exigées pour obtenir une certification. La France dispose actuellement au niveau national de critères plus élevés que ceux proposés au niveau européen. L’objectif de notre stratégie nationale n’est pas de tendre vers un niveau de sécurité moindre que celui exigé aujourd’hui. Ces critères devront de ce fait être revus à la hausse. Ce texte vient donc poser les bases, autour d’objectifs communs, comme celui de protéger nos systèmes et nos données grâce à des outils éprouvés aux tests d’intrusion et certifiés au niveau européen. Toutefois, les détails concrets de mise en pratique restent encore à définir. Outre cette feuille de route européenne, il a également rappelé que, pour améliorer la sécurité numérique, chacun doit prendre ses responsabilités à son niveau, que l’on soit un État, une grande entreprise, une TPE ou un utilisateur lambda, même si bien évidemment chacun ne peut pas mettre en place les mêmes mesures de sécurité.

La sécurité passe aussi par la maîtrise des couches basses, des composants et des infrastructures

Pour les forces armées aussi, le cyber représente un nouveau milieu, un nouvel espace d’actions et de conflits, souligne Thomas Gassilloud, Député du Rhône, rapporteur du budget pour l’armée de terre. L’objectif aujourd’hui pour les armées est de pouvoir exploiter ce nouvel espace devenu incontournable, mais de manière sécurisée et maîtrisée, afin de pas affaiblir nos forces. La transformation numérique profonde de nos armées est, selon lui, nécessaire pour tirer parti au mieux des nouvelles technologies. De plus, la cybersécurité et la cyberdéfense doivent désormais faire partie intégrante des aptitudes des forces armées, au même titre que l’entrainement au tir. Il souligne de plus l’importance de la résilience. En effet, les réseaux dépendent aussi, et avant tout, de couches basses (électricité…). Tout le monde parle aujourd’hui des nouvelles technologies, mais il faut également rester attentif aux enjeux plus classiques. En outre, quand un milieu devient un espace de bataille, il faut aussi selon lui pouvoir développer ses capacités offensives cyber.

Pour Éric Bothorel, Député des Côtes-d’Armor, co-rapporteur de la mission d’information sur le Marché unique numérique, si on veut être plus fort, il faut pouvoir continuer de performer et garder une longueur d’avance. Chaque innovation fait que, si vous ne la possédez pas, vous perdez du terrain. De plus, la souveraineté passe effectivement par toutes les couches, y compris au niveau du hardware et des infrastructures, des composants électroniques, des câbles… En effet, rien ne sert de maîtriser la partie cyber si on ne maîtrise plus celle des composants. Le Marché unique numérique qui se dessine actuellement en Europe doit être l’occasion, pour lui, de capter l’expertise française dans ces domaines, et devenir un avantage concurrentiel. Pour ce faire, il est important d’analyser en premier lieu les enjeux et les gisements possibles de forces.

Le rôle de l’OTAN est, quant à lui, multiple en matière de cyberdéfense, souligne Chelsey Slack, policy officer, cyber defence section, NATO. « Nous devons protéger nos propres réseaux et renforcer la cyber résilience de l’alliance. En 2016, l’OTAN a acté en faveur d’un engagement collectif visant à renforcer les moyens nationaux et collectifs de cyberdéfense. Cet engagement constitue une plateforme utile, permettant de mettre en commun les expériences des différents pays, d’attribuer des ressources à la cyberdéfense, de développer les actions de prévention et de formation des jeunes à l’informatique. L’objectif est également que chaque pays puisse améliorer sa propre cyberdéfense afin d’accroître le niveau collectif. En outre, en plus d’aider les alliés à améliorer leur résilience, l’OTAN souhaite aussi faire évoluer ses forces et sa propre structure, ainsi que ses capacités de gestion de crise cyber. Cela passe entre autres par de l’entrainement et des exercices, l’objectif étant de pouvoir assurer un bon fonctionnement même dans un environnement dégradé. Toutefois, assurer la protection et la stabilité du cyberespace ne peut se faire seul, c’est pourquoi la collaboration entre l’ensemble des organisations est indispensable. WannaCry en est un bon exemple. La coopération et l’échange d’informations entre les différentes organisations, comme l’OTAN et l’UE, ont permis d’agir au mieux contre cette vague de cyberattaques et surtout d’en limiter les dégâts. Cette coopération devra d’ailleurs être encore renforcée, notamment en matière de gestion de crise, afin de s’assurer de disposer des outils adéquats, mais aussi de la complémentarité de nos actions. »

De manière générale, les entreprises doivent aujourd’hui comprendre que la cybersécurité est avant tout un investissement, souligne Gwendal Rouillard, et leur protection une nécessité. Cette sécurité passe aussi par celle de leurs sous-traitants. La qualité et la sécurité de leurs systèmes passe, en effet, en partie par celles des systèmes de leurs sous-traitants, ces aspects ne doivent donc pas être négligés. Toutefois, selon lui, même si beaucoup reste à accomplir en ce domaine, tout n’est pas noir pour autant, on progresse et c’est positif.

© François-Xavier Dubois

Comment sécuriser la numérisation de nos administrations ?

Cette évolution positive passera aussi par une communication renforcée, y compris sur les incidents de sécurité dont on est victime, explique Anne Le Henanff, adjointe au maire de Vannes en charge du Numérique et de la Communication. La loi du silence malheureusement est encore la norme, beaucoup d’entreprises ayant peur d’être montrées du doigt, alors qu’en parler ouvertement est signe de transparence, de bonne foi et favorise les retours d’expériences entre acteurs afin justement que ces incidents n’arrivent plus. La Mairie de Vannes en est un bon exemple, puisqu’elle a été victime le 5 février 2016 du ransomware Locky. Le jour de l’attaque, 5 agents ont cliqué sur la pièce jointe vérolée d’un email reçu, avec comme conséquence le chiffrement de l’intégralité des fichiers du réseau de la Mairie, qui s’est retrouvée une journée complète sans postes de travail. Les 5 postes infectés ont ensuite été isolés et la plupart des fichiers ont pu être restaurés. Toutefois, cet évènement a permis une prise de conscience des risques par la ville, qui a alors souhaité mettre en place une véritable politique de sécurité des systèmes d’information (PSSI), d’autant qu’on ne peut désormais pas aller contre la modernisation des structures publiques via le numérique. La première étape a été de convaincre le Maire de la ville, qui a apporté son soutien au projet. L’acceptation de ce type de démarche par les décideurs s’avère fondamentale pour sa bonne mise en œuvre. Une ligne budgétaire a également été dégagée pour mettre en œuvre cette PSSI, à hauteur de 5% du budget de la DSI, en charge de ce projet. La ville a également instauré un Comité de pilotage SSI et RGS et fait appel à un cabinet extérieur afin d’auditer les systèmes mis en place. Des sessions de sensibilisation et de formation des agents de la ville de Vannes ont, en outre, été mises sur pied. En effet, pour pouvoir avoir l’adhésion de tous, il faut que tout le monde soit formé, informé et impliqué, explique-t-elle. Ce ne sont d’ailleurs pas que les personnes travaillant directement pour la ville de Vannes qui ont été formées, mais aussi les jardiniers, les agents d’entretien, les personnels de crèches… Parmi les clés de la réussite de ce type de projet, elle souligne notamment l’arbitrage des ressources financières, techniques et RH, la prise de conscience et le soutien des dirigeants, la conduite du changement et l’adhésion de tous, l’application des obligations réglementaires… « Il est essentiel de s’intéresser sans attendre à ce sujet, d’autant que la dématérialisation du lien avec le citoyen passe inévitablement par la sécurisation du réseau. Assumer le fait d’avoir été piratés nous permet de mieux sensibiliser nos collègues et de les amener à prendre conscience des enjeux et des besoins de sécurité », explique-t-elle.

Alexandra Valetta-Ardisson, Députée des Alpes-Maritimes, recense pour sa part trois catégories de collectivités : celles qui se sont saisies du sujet, celles qui savent que potentiellement ça peut arriver et celles qui ne pensent pas du tout que ça puisse leur arriver un jour. Pourtant, l’ensemble des collectivités sont amenées à collecter de plus en plus de données, et les risques sont bien réels. Plus de 1 900 sites Web se sont retrouvés défacés suite aux attentats de 2015. Pour elle, plutôt que de parler sans arrêt des « smart cities », nous devrions avant toute chose penser « safe cities ».

Les collectivités aujourd’hui sont vulnérables, et les risques existent quant à la protection des données des citoyens, souligne Anne Le Henanff. « De plus, la plupart d’entre elles n’y connaissent absolument rien et externalisent tout auprès de prestataires extérieurs. Il apparaît clair qu’elles ne seront pas prêtes pour la mise en application du RGPD en mai prochain, d’où l’importance de les accompagner dans cette démarche plutôt que de les laisser couler. D’autant que si tout le monde est sanctionné, l’État perdra beaucoup d’argent, mais ce sont au final les citoyens et les communes qui en pâtiront. »

La mutualisation des DPO (Data Privacy Officer) s’avère, pour elles, une piste à privilégier. Il faut, de plus, éduquer les élus, les fonctionnaires et employés des collectivités, souligne Alexandra Valetta-Ardisson. Une charte des bonnes pratiques informatiques doit en outre être signée à l’arrivée de tout nouveau salarié, mais aussi être remise à niveau régulièrement. Sans compter que les collectivités travaillent souvent en silos en fonction des métiers. Ce cloisonnement est sur certains points positif, mais s’avère aussi souvent un inconvénient, conclut-elle.

Livrer la bataille de la donnée, et la gagner !

La data est devenue l’or noir de notre époque, souligne Michel Canevet, sénateur du Finistère, rapporteur spécial de la commission des Finances. Toutefois, un certain nombre d’enjeux sont liés à l’exploitation de ces données, à commencer par un enjeu économique majeur. Néanmoins, cette exploitation doit se faire dans le respect des libertés individuelles et de protection des données personnelles, et ce d’autant plus dans le cadre d’une conformité au RGPD.

© François-Xavier Dubois

Pour les collectivités, le RGPD représente surtout un enjeu de conformité et de valorisation des données, explique Gwendal Le Grand, directeur des technolo¬gies et de l’innovation de la CNIL. L’objectif est notamment de muscler la documentation, via la tenue d’un registre des traitements, mais aussi la formalisation de la politique de confidentialité et des procédures. Le RGPD va également venir renforcer les analyses de risques, les analyses d’impacts relatifs à la vie privée (PIA). La désignation d’un DPO (Data Privacy Officer) sera, de plus, obligatoire pour certains, c’est le cas pour les organismes publics et les collectivités. Pour lui, la solution passe aussi pour ce type d’organisations par la mutualisation des DPO. Certaines collectivités disposent déjà de CIL mutualisés, et il faut favoriser ce type de démarche. De plus, rappelle-t-il, la date du 25 mai 2018 est un cap à passer, pas un couperet. L’objectif premier de cette règlementation est d’améliorer le niveau de sécurité et de mise en conformité des organisations, quelles qu’elles soient. La CNIL met également un certain nombre de mesures en place afin d’aider les entreprises et les collectivités à se mettre en conformité avec le RGPD et appréhender cette thématique de sécurité. L’objectif est de tendre vers une plus grande responsabilisation des acteurs. Les formalités sont moindres, mais les sanctions plus importantes. L’objectif de la CNIL est également de faire connaître et comprendre le règlement, au travers de rubriques et d’articles dédiés, reprenant les différentes thématiques. Elles proposent de plus des packs de conformité dans certains domaines…

La problématique de la donnée et de son exploitation concerne effectivement tout le monde, que l’on soit un individu, une grande entreprise, une PME/TPE, une collectivité ou bien un parlementaire…, rappelle Florian Bachelier, premier Questeur, député d’Ille-et-Vilaine. Pour lui, un parlementaire a d’ailleurs un double rôle en la matière : sensibiliser les collaborateurs afin d’intégrer la notion de cybersécurité dans l’édiction des normes, quel que soit le sujet, mais aussi prendre part aux avancées, telles que le RGPD, la directive NIS…, en vue d’intégrer à terme la sécurité « by design ».
La donnée représente l’or du nouveau monde, il est donc prépondérant, selon lui, de mener cette bataille aux niveaux national et européen, afin de bien comprendre et maîtriser les risques et les enjeux, mais aussi de pouvoir saisir les différentes opportunités offertes par la data, à commencer par la création d’emplois.

Bug Bounty : les compétences des chercheurs priment sur leurs qualifications

Toutefois, cette bataille ne peut se faire sans soldats et sans cybergouvernance, souligne Guillaume Vassault-Houlière, fondateur de YesWeHack. Il est important que les porteurs de projets et les experts en sécurité puissent aussi s’exprimer. Outre la sensibilisation, la sécurité passe, en effet, également par les experts et les équipes techniques qui la mettent en œuvre au quotidien, d’autant plus si l’on veut qu’elle soit intégrée « by design » et « by default ». La plupart des experts en cybersécurité sont avant tout des passionnés de ethical hacking, qui représentent autant de forces vives pour renforcer le niveau de sécurité global. Il est important aujourd’hui de démystifier cet art et les acteurs qui le pratiquent au travers de différentes initiatives (jeu, interactions, sensibilisation, formation…). Le Bug Bounty en est un bon exemple. Le principe est simple : il s’agit de rechercher des bugs de sécurité sur un périmètre défini au préalable et d’être rémunéré sous forme de « primes » en fonction de la criticité du bug trouvé. Il faut savoir que seulement 25% environ de ces chasseurs de primes sont ingénieurs en cybersécurité, ce qui signifie qu’une grande partie des réserves d’experts en ce domaine est encore inexploitée aujourd’hui. Via le principe du Bug Bounty, les chercheurs de failles vont gagner des primes, mais aussi des points, et ainsi gagner en réputation. Cet enjeu réputationnel permet à des experts d’être recrutés par la suite. L’objectif de cette démarche est de les mettre en valeur dans un classement par rapport à leurs compétences et non plus par rapport à leurs diplômes. Le but est également de créer des vocations et des experts, qui travailleront demain au sein de nos entreprises ou ministères, souligne-t-il. Nous avons besoin de ces ressources et de ces experts, mais aussi de renforcer la cybergouvernance, en ouvrant le débat relatif aux mesures à mettre en place à l’ensemble des acteurs concernés.

Ces actions doivent, en outre, se faire à différents niveaux : international, européen, national, régional et local. A ce titre, la Bretagne s’est dotée de son côté d’un axe cyber dans sa stratégie d’innovation, de recherche et développement, souligne Martin Meyrier, vice-président du Conseil Régional de Bretagne chargé de l’économie, de l’innovation, de l’artisanat et des TPE. La dynamique bretonne, au travers du Pôle d’Excellence Cyber, de ses acteurs et de ses activités dans le domaine cyber, en fait d’ailleurs une région de choix pour porter de nombreuses initiatives à l’échelle locale, mais aussi nationale et européenne. Elle a ainsi une carte et un rôle à jouer dans ce domaine, notamment en matière de création d’emplois. Pour renforcer le niveau de sécurité des entreprises et des collectivités, il faut selon lui un engagement global de l’ensemble des acteurs et du tissu économique local et au-delà.

Face aux GAFA, l’Europe peut répondre par la puissance de sa diversité

Florent Skrabacz, directeur général de Shadline, est un entrepreneur venu investir en Bretagne, en vue de construire une entreprise ayant un potentiel disruptif sur le marché dans le domaine de l’échange d’informations sécurisées et confidentielles. Toutefois, la technologie seule n’est pas suffisante pour créer une entreprise, explique-t-il. L’audience est selon lui le premier facteur de réussite. De plus, pour que des acteurs existent sur un marché, il faut leur donner la possibilité d’exister. Pour gagner le combat de la donnée, il faut donc dans un premier temps choisir et déterminer qui seront les champions de demain, mais aussi repenser le système d’aide à l’international et avoir une politique d’exception concernant les champions que l’on aura choisis.
Toutefois, avec de la volonté, on arrive à changer les choses, explique-t-il. Il n’y a pas de fatalité pour le marché européen quant à sa capacité à s’exporter. Face à la force des GAFA, l’Europe peut répondre par la puissance de sa diversité. Aujourd’hui, nous partageons un risque systémique phénoménal, puisque nous utilisons tous les mêmes systèmes (Google, Microsoft…). Nous sommes donc tous soumis aux mêmes vulnérabilités. Face à ce constat, il y a un potentiel européen. De plus, les GAFA sont arrivés au bout de leur croissance, ce qui les fragilise et les rend dangereux. Leur seule possibilité de croissance désormais réside dans l’asservissement des données et des utilisateurs. L’Europe a, en ce sens, un rôle à jouer afin de renverser le jeu d’acteurs dans le domaine numérique. Elle peut d’ailleurs inventer une citoyenneté numérique volontariste permettant de favoriser le développement économique.

Face à des menaces et des attaques transfrontalières, l’échelon européen est en effet le plus pertinent, souligne Florian Bachelier. Il faut de plus sortir des raisonnements en silos et s’appuyer sur la puissance de la diversité. En outre, complète Michel Canevet, un travail de vulgarisation et de sensibilisation reste à faire dans des délais très courts. Pour cela, il faut avant tout des hommes et des femmes, qui n’ont pas forcément besoin d’être ingénieurs en cybersécurité, mais juste des geek, passionnés et prônant l’art du ethical hacking.

Enfin, outre la maîtrise des composants et de l’information, il est essentiel de garantir l’innovation à l’intérieur même des structures opérationnelles, conclut le Général de brigade Olivier Bonnet de Paillerets, commandant de la cyberdéfense de l’État-major des Armées. En effet, la souveraineté numérique définie en 2015 passe aussi par l’identification des ruptures technologiques et leur intégration dans les outils et les structures. Cette souveraineté nous oblige également à un changement d’état d’esprit en profondeur, y compris dans la façon de partager l’information avec nos homologues. Pour lutter contre le cybercrime, la mise en réseaux est essentielle. De son côté, le COMCYBER supervise les opérations et missions de protection et de sécurisation des systèmes. Il se veut, de plus, fédérateur, puisqu’une partie de son action repose sur une étroite collaboration avec ses partenaires et la construction d’un écosystème de confiance. Il doit, en outre, faire face aux évolutions technologiques dans des temps très courts. Pour ce faire, il faut dans un premier temps comprendre ces évolutions le plus rapidement possible, et choisir les Hommes qui pourront l’aider au mieux dans cette démarche.

De manière générale, l’objectif aujourd’hui et pour les années à venir est de positionner le curseur de conflictualité, entre l’attaque et la défense, à un niveau acceptable pour nos sociétés. Tout le monde doit de plus pouvoir disposer de capacités de prévention et de remédiation adéquates. Enfin, la question de l’attribution des cyberattaques, qui reste à ce jour un point noir pour la défense, représente un enjeu majeur pour assurer notre souveraineté et devra donc trouver réponse...


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants