Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Laëtitia de Cazenove, I-TRACING : La cybercriminalité, préoccupation de chacun et affaire de tous

janvier 2014 par Laëtitia de Cazenove, Ingénieur d’Affaires chez I-TRACING

Du simple joueur en ligne au plus haut sommet de l’Etat, la Cybercriminalité peut aujourd’hui affecter toutes les données personnelles, commerciales, financières et stratégiques. Face à ce danger, l’Agence Nationale de la Sécurité des Systèmes d’Information est considérablement montée en puissance depuis sa création. Les méthodes et les approches des acteurs de la sécurité ont aussi évolué vers plus d’analyses et de traçabilité, pour faire de la sécurité un réel outil de management et développement.

Le mot est aujourd’hui sur toutes les lèvres, fait la une presque quotidiennement, transgresse frontières géographiques et sociales : la cybercriminalité est définitivement devenue l’affaire de tous. Selon le site du ministère de l’intérieur, ce terme désigne l’ensemble des infractions qui sont commises via les réseaux informatiques, notamment le réseau Internet. Autrement dit, étant donné la dépendance de plus en plus forte de nos sociétés aux systèmes d’information, notamment à Internet (à titre d’exemple, un rapport de Boston Consulting Group début 2012 montrait que la contribution, en hausse, d’Internet au Produit Intérieur Brut pouvait aller jusqu’à 8% dans certains Etats), elle nous impacte tous, particuliers, entreprises et gouvernements aussi.

La divulgation du programme PRISM par Richard Snowden les 6 et 7 juin 2013 par le Guardian et le Washington Post, en est l’un des exemples les plus flagrants et les plus médiatisés : il ne se passe plus un jour qui ne révèle l’étendue des pratiques de surveillance de l’Agence Nationale de Sécurité américaine (NSA) ; la dernière actualité datant du 3 janvier 2014 à propos de la supposée machine à déchiffrer universelle de la NSA. Mais très régulièrement également, des entreprises actrices de notre quotidien telles Target, Snapchat, ou Adobe, sont éclaboussées par des révélations de vol ou de piratage des données de leurs clients. Et cela, que les failles au sein de leur Système d’Information soient exploitées par les hackers comme dans le cas d’Adobe (et on parle véritablement de vol de données) ou seulement pointées du doigt par des hackers « White Hat » qui utilisent ce procédé comme moyen de pression pour obliger les entreprises à protéger les données en leur possession (nos données !). Le cas de Snapchat fait office d’exemple : la cybercriminalité ne concerne pas uniquement les entreprises de taille importante ou appartenant à des secteurs unanimement considérés comme critiques. Tous les secteurs sont concernés, car notre dépendance galopante à Internet nous fait semer partout nos données. Et, c’est cette incertitude sur les emplacements de ce « partout » qui fait de chaque entreprise, de chaque institution, de chaque gouvernement, le dépositaire de nos informations personnelles.

Une prise de conscience des Etats qui s’accentue

Depuis l’an 2000, on a pu observer une véritable prise de conscience des Etats et des entreprises sur la question de la cybercriminalité. Selon le « National Cyber Security Framework Manual » publié par l’OTAN en 2012, plus d’une centaine d’Etats ont des capacités gouvernementales de cyber sécurité, dont au moins une cinquantaine ayant publié une certaine forme de « cyber-stratégie » pour définir comment la sécurité impacte leurs futures initiatives nationales et économiques. Et ce phénomène ne va aller qu’en s’accentuant. En effet, une directive européenne contre la cybercriminalité, datée du 12 août 2013 et entrée en vigueur le 3 septembre 2013, présente toute une série de mesures pour « rendre les attaques contre des systèmes d’information, dans tous les Etats membres, passibles de sanctions pénales effectives, proportionnées et dissuasives, et améliorer et favoriser la coopération judiciaire, entre les autorités judiciaires et les autorités compétentes ». Cette directive est particulièrement contraignante pour les personnes morales (et donc les entreprises) dont la responsabilité sera engagée « lorsque celles-ci n’ont, de toute évidence, pas assuré un niveau de protection suffisant contre les cyberattaques ». Les Etats membres, dont la France, ont jusqu’au 4 septembre 2015 (soit deux ans) pour retranscrire en droit national les dispositions de cette directive.

Le retour du coq gaulois ?

Mais qu’en est-il de la France ? Aux vues des publications de ces dernières années, on se rend bien compte que la conscience française s’éveille et se développe très rapidement sur ces problématiques.
Ainsi, le Livre Blanc de 2008 identifiait déjà les menaces et risques induits par l’expansion généralisée du cyberespace, terrain de jeux à très fort potentiel pour les cyber-attaquants, mais aussi source de nouvelles vulnérabilités pour des systèmes critiques qui en dépendent toujours plus. Dans son rapport d’information sur la cyberdéfense en 2012, le sénateur Jean-Marie Bockel pousse plus loin l’analyse : il relève les principales lacunes des dispositifs en place pour la protection et la défense des systèmes d’information et émet une cinquantaine de recommandations concrètes permettant d’y remédier, regroupées en 10 priorités. La première de ces priorités est de « faire de la cyberdéfense et de la protection des systèmes d’information une priorité nationale ». C’est chose faite dès avril 2013 avec la publication du Livre Blanc 2013 sur la défense et la sécurité nationale, dans lequel les cyberattaques sont placées parmi les menaces majeures pour la sécurité nationale (en troisième position après l’agression d’un autre Etat contre le territoire national et le terrorisme). Ce principe est réaffirmé dans la récente Loi de Programmation Militaire, adoptée le 10 décembre 2013 à l’Assemblée Nationale.

Mais afin de traiter cette priorité comme il se doit, et dans une mesure au moins équivalente aux autres puissances mondiales, la France doit se doter d’une entité en charge de cette mission. La création de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) par décret le 7 juillet 2009 répond à cette préconisation du Livre Blanc 2008. Agence interministérielle rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), elle a pour vocation d’assister le Premier Ministre dans l’exercice de ses responsabilités en matière de Défense et de sécurité nationale, avec des prérogatives qui recouvrent les capacités de prévention, détection et réaction aux attaques informatiques. Le rapport du sénateur Bockel lui consacre 9 recommandations, insistant sur la nécessité de renforcer son rôle, d’augmenter ses effectifs et ses moyens, une volonté qui est répétée à la fois dans le Livre Blanc 2013 et la Loi de Programmation Militaire. L’objectif étant de faire passer ses effectifs des 350 de 2013 à 500 fin 2015, dans une mesure au moins équivalente à celle de ses homologues allemands et britanniques. Mais c’est bien avec la Loi de Programmation Militaire (le chapitre IV) que l’ANSSI se voit attribuer les leviers nécessaires pour assurer la protection des infrastructures vitales contre la cybermenace, elle dont la capacité de réaction opérationnelle face à de telles attaques était jusqu’alors limitée. La LPM lui fournit cette capacité légale « offensive » dans la défense des Systèmes d’Information des infrastructures vitales, lui permettant d’être proactive face à des attaquants, eux, non soumis à de quelconques réglementations. Ainsi, non seulement peut-elle soumettre les Opérateurs d’Importance Vitale (OIV) à des contrôles pour vérifier le niveau de sécurité de leur Système d’Information, mais encore est-elle autorisée à leur imposer les mesures à mettre en œuvre pour contrer une menace ou un danger avéré dans leur Système d’Information. Et cela à leur frais. Des amendes de 150 000 euros sont prévues pour les OIV qui omettraient d’établir un plan de protection ou de réaliser les travaux prévus.

L’ANSSI est assistée dans ce rôle par des Prestataires de Service de Confiance (PSCo). La nécessité de ces opérateurs qualifiés est apparue dans le cadre de l’application du Référentiel Général de Sécurité (RGS) publié en mai 2010. Selon ce dernier, les Autorité Administratives ont pour obligation d’utiliser des produits de sécurité et des offres de services référencées. La création des PASSI (Prestataires pour l’Audit de Sécurité des Systèmes d’Information) en 2013, permettant d’assister l’ANSSI dans sa mission de prévention et de protection, est seulement la première étape du plan global « Cyberdéfense » de l’ANSSI. La famille de prestataires de confiance sera amenée prochainement à grandir avec trois volets supplémentaires dans la lutte contre la cybercriminalité : la détection, l’investigation et la remédiation. Ces chantiers s’inscrivent dans la ligne directe des nouvelles prérogatives de l’ANSSI.

On assiste donc aujourd’hui à une véritable « montée en puissance » de l’ANSSI, qui devra en outre coordonner le « Plan Cybersécurité » qui figure parmi les 34 plans de « reconquête industrielle » de la France. Mais, si cette montée en puissance de l’ANSSI annonce une meilleure prise en compte de la cybercriminalité dans le paysage français, elle va de pair avec des contraintes plus lourdes pour les OIV qui devront assumer la mise en œuvre des plans de protection, détection, investigation et remédiation, ainsi que l’intégralité des coûts associés.

Dans cette optique, de plus en plus d’outils sont développés pour assister les entreprises sur chacun de ces quatre axes. Des acteurs spécialisés permettent de donner aux entreprises le recul et l’expertise nécessaires pour bien structurer leur démarche de lutte contre la cybercriminalité : prendre en compte les spécificités métier, les contraintes d’exploitation, tout en les replaçant dans un contexte plus global lié à leur secteur. Cette réflexion préliminaire est nécessaire de la part des entreprises afin de ne pas multiplier les outils peu ou pas exploités, mais au contraire de faire des nouvelles contraintes un avantage concurrentiel. La sécurité n’est plus aujourd’hui une surcouche « qui fait bien », elle s’intègre véritablement dans le cadre de l’exploitation d’une activité d’entreprise. Bien réfléchie elle vient même la valoriser.

Enfin, le combat national contre la cybercriminalité pose de véritables questions sur les contrôles à mettre en place pour ne pas tomber dans un système à l’américaine où les prérogatives de l’Etat empiètent sur les libertés personnelles. C’est d’ailleurs l’objet de la polémique qui a suivi le vote de la Loi de Programmation Militaire et de son article 20, soulevant des inquiétudes quant à l’encadrement de l’accès aux données à caractère personnel.


Voir les articles précédents

    

Voir les articles suivants