Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment minimiser le risque de manipulation des élections européennes ?

mai 2019 par NTT SECURITY

À l’approche des élections européennes, l‘UE s’inquiète de potentielles campagnes de désinformation et de cyberattaques. NTT Security, branche et centre d’excellence en sécurité du groupe NTT, recommande quatre mesures visant à minimiser le risque de manipulation des élections.

Dans un rapport récent, l’Agence Européenne chargée de la sécurité des réseaux et de l’information (ENISA) indique que des acteurs, étatiques ou non, pourraient tenter d’influencer les élections européennes de 2019 avec des attaques ciblées de piratage et des campagnes de désinformation. Les nombreux événements de ces dernières années, à l’image des cyberattaques en amont des élections américaines de 2017 ou au moment des élections françaises en 2018, illustrent bien ce risque. Les menaces ne sont pas seulement d’ordre technique, elles ciblent également des faiblesses organisationnelles. NTT Security présente quatre mesures visant à sécuriser les élections européennes :

1. Harmoniser les mesures au niveau européen

L’organisation et la conduite des élections européennes relevant de différents Etats membres, il n’existe pas de mesures de sécurité uniformes. En septembre 2018, les députés européens ont adopté le règlement européen sur la cybersécurité, qui renforce le rôle et les pouvoirs de l’ENISA et instaure un dispositif commun de certification en matière de cybersécurité pour les produits, les processus et les services. Dans un premier temps néanmoins, son application repose sur une démarche volontaire de la part des acteurs concernés. Or le monde numérique ne connaissant pas de frontières, il est essentiel de pouvoir s’appuyer sur un raisonnement juridique aussi uniforme que possible et sur des normes de sécurité comparables et applicables au niveau international pour se prémunir contre les cyberattaques et les campagnes de désinformation.

2. Sensibiliser pour lutter contre les campagnes de désinformation

Selon la dernière enquête Eurobaromètre publiée par la Commission européenne, 83% des citoyens européens s’inquiètent de la désinformation ciblée en ligne, indiquant que ce phénomène représente un danger pour la démocratie. Le recours aux fausses informations pour influencer l’opinion public est une pratique courante. Sur Internet, les campagnes diffusent ces fausses informations via les réseaux sociaux, tandis que les campagnes de piratage informatique vont par exemple viser à publier les e-mails de politiciens afin de les discréditer.

3. Choisir les fournisseurs avec soin et protéger les outils de communication

Quel que soit le pays, l’infrastructure électorale devrait être considérée comme une infrastructure critique et protégée en tant que telle, à l’aide de technologies de pointe. En France, l’Agence nationale de la sécurité des services d’information (ANSSI) publie régulièrement des guides techniques et recueils de bonnes pratiques avec des recommandations concrètes pour aider les administrations à la mise en œuvre de mesures de sécurité. Cependant, lorsqu’elles sélectionnent de nouveaux fournisseurs, les administrations devraient commencer par s’assurer que ceux-ci disposent de normes de sécurité adaptées. Le matériel et les logiciels développés selon le principe de « security by design », à savoir l’intégration de la sécurité dès la phase de conception, offrent un plus haut niveau de protection contre les manipulations. Grâce à des mesures de sécurité comme le chiffrement des communications, il est possible de réduire le risque que les échanges des politiciens soient la cible de campagnes malveillantes destinées à influencer les élections.

4. Investir dans la formation et effectuer des tests de vulnérabilité

La protection technique de l’infrastructure réseau n’est pas suffisante. Employés, politiciens et utilisateurs ont besoin de formations régulières concernant les mesures de sécurité, l’utilisation des technologies et des réseaux sociaux. Ces démarches de sensibilisation peuvent se faire sous forme de formations de base (formation personnelle, modules d’apprentissage en ligne), de micro-formations ou en assistant à des événements autour de la sécurité. L’organisation de tests de sécurité récurrents, qui prennent en compte les aspects techniques aussi bien qu’humains, permettent d’identifier et de combler les lacunes en matière de sécurité. Les Etats membres, grâce à un échange continu d’expériences, seront mieux à même de coordonner leurs mesures préventives, ainsi que leurs procédures en cas d’attaques.

« L’Estonie offre un bon exemple d’approche face aux cybermenaces à l’approche des élections. Le pays est considéré comme pionnier dans ce domaine », explique Pierre Le Calvez, Security Consultant Manager, Offensive Security chez NTT Security France. « Après les cyberattaques massives de 2007, qui ont fait de nombreuses victimes parmi lesquelles figurent des banques, des sites gouvernementaux et des médias, l’Estonie a réalisé d’importants investissements dans le domaine de la cybersécurité, a rendu public le code source de son système de vote électronique et ses protocoles, et utilise le chiffrement des bulletins de vote. Les Etats membres de l’UE devraient s’en inspirer. »




Voir les articles précédents

    

Voir les articles suivants