Toute l’Europe, le Mouvement Européen-France, la Commission Europe du MEDEF et Confrontations Europe ont tenu une nouvelle édition de leur cycle sur le thème :
« Cybersécurité : comment construire l’Europe de la confiance ? »
Sont intervenus sur cette grande question :
- Jean-François BEUZE – Président de Sifaris
- Edwige BONNEVIE – Directrice du Pôle maîtrise des risques au Commissariat à l’énergie atomique et aux énergies alternatives (CEA)
- Guillaume POUPARD – Directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
- Modération par Marie DANCER – Journaliste à La Croix
Enjeux au sein des entreprises
Le monde numérique recèle des dangers. Les risques sont multiples pour les entreprises et organisations : phishing, émissions de chevaux de Troie, collecte de données sur les réseaux sociaux, attaques auprès des PDG, duperie des services comptables et financiers des entreprises. Les infrastructures ne sont pas à l’abri de cyber-attaques, qui peuvent aussi prendre la forme d’infiltrations sinueuses et provoquer des modifications sur les systèmes industriels (par exemple : changer le dosage de chlore dans le système de distribution d’eau d’une municipalité, usinage de pièces d’avions…). Chaque entreprise doit mener une évaluation des risques afin d’identifier les activités qui doivent être protégées, recommande Jean-François Beuze, Président de Sifaris. Le milieu bancaire et financier par exemple est très normé : les entreprises de ce secteur ont une réglementation qui les oblige à se protéger au niveau des systèmes d’information (SI) et elles ont mis en place des systèmes d’anticipation d’attaques et des cycles d’audit réguliers.
Selon M. Beuze, la collaboration public/privé doit être renforcée pour attirer l’attention sur les cyberattaques potentielles : certaines pratiques existent déjà, mais les moyens devraient être élargis aux PME prestataires ou sous-traitants des opérateurs d’importance vitale (OIV), qui sont des acteurs moins armés contre de possibles cyber-attaques. Les grandes entreprises doivent accompagner leurs prestataires dans la mise en place de certification de type ISO pour prévenir les risques. Le niveau de sécurité doit être adapté aux différents types d’activités que les entreprises exercent.
Le Commissariat à l’énergie atomique et aux énergies alternatives (CEA), comme l’explique Edwige Bonnevie, la directrice de son Pôle maîtrise des risques, mène des projets hautement sensibles dans le nucléaire qui nécessitent un niveau de sécurité du système d’information très élevé. Cependant, cet organisme travaille également étroitement avec des partenaires du monde entier dans le cadre de projets de collaboration dans la recherche fondamentale et doit donc avoir une partie de ses activités ouverte sur le monde. Avec près de 300 000 adresses IP, le CEA offre une très large surface d’attaque possible par les hackers. Son système d’information a donc dû s’adapter : les réseaux sont isolés au maximum en interne ; le CEA a mis en place une politique de nomadisme, de sécurité (outils de chiffrement, supervision, journalisation, etc.), des directives spécifiques pour les réseaux et les SI selon le niveau de criticité de l’application. Les utilisateurs du SI suivent également une charte d’utilisation des moyens informatiques (qui interdit notamment le BYOD) et des campagnes de sensibilisation des personnels. La problématique rencontrée est celle d’être capable de satisfaire les besoins des utilisateurs avec un système informatique maitrisé dans un contexte d’évolution permanente des menaces.
Enjeux à l’échelon national
« La question de la cybersécurité relève du principe de souveraineté nationale, il est donc essentiel que la France développe sa propre stratégie, ce qu’elle fait notamment à travers l’ANSII, l’Agence Nationale de la sécurité des systèmes d’information » affirme Guillaume Poupard, son Directeur général. Le rôle de l’ANSII est de faciliter une prise en compte coordonnée, ambitieuse et volontariste des questions de cybersécurité en France. La cybersécurité est l’affaire de tous, du public comme du privé, des entreprises comme des individus. L’ANSII vise donc à développer la stratégie française de cybersécurité en collaboration étroite entre le secteur public et les entreprises, grandes et petites.
Les mafias du monde entier se tournent vers l’Internet pour mener leurs actions frauduleuses en raison d’un ratio coût/bénéfices largement favorable. Ces acteurs sont agiles et rompus aux techniques d’attaques les plus sophistiquées. Les risques sont croissants : le coût des cyberattaques est estimé à 400M$ en 2014 dans le monde, principalement à cause de l’espionnage industriel. Aujourd’hui, la cybersécurité est une des 3 priorités pour la Défense en France. Le renseignement (au sens large) est un gros problème : l’espionnage informatique (même entre pays alliés) n’est absolument pas régulé et on sous-estime aujourd’hui encore son impact dans le secteur privé. Le sabotage est également un danger très marqué, l’exemple de TV5 l’illustre. Aujourd’hui, on ne sait pas borner les scénarios catastrophe, et il y a malheureusement une surface d’attaque très importante. Les systèmes d’information n’ont souvent pas été pensés à l’origine pour la sécurité et les modifier pour prendre en compte cette problématique est compliqué.
Au niveau national, un premier niveau de protection concerne la désignation des opérateurs d’importance vitale (OIV) qui devront prendre des mesures particulières. La liste de ces OIV est confidentielle, mais elle intègre toutes les entreprises dont le dysfonctionnement perturberait la société dans sa globalité (transports, eau, électricité, communication, secteur bancaire, etc.). La loi de programmation militaire (LPM) 2013 a établi la base juridique à la création de cette liste classifiée des opérateurs d’importance vitale. Pour chacun de ces OIV, 4 points importants sont établis :
- La mise en place de règles obligatoires en termes de sécurité : des arrêtés sont en cours de rédaction en collaboration avec les opérateurs afin de définir des solutions à la fois sûres et soutenables. La démarche est sectorielle. La France est particulièrement en avance dans cette action.
- Une obligation de notification des incidents : l’ANSSI récupère et anonymise les informations pour les rediffuser sans identifier les victimes, afin d’informer l’ensemble de ces partenaires sur les menaces existantes.
- Une mise en place de contrôles et d’audits.
- Dans le cas de situation de crises majeures (qui ne sont aujourd’hui pas encore arrivé) : le Premier Ministre et l’ANSSI peuvent prendre des décisions et des actions très rapides.
Les entreprises telles que le CEA collaborent étroitement avec l’ANSSI, notamment sur la validation des concepts de protection. Elles ont également besoin d’un partage très rapide des analyses d’incidents qui se sont passés ailleurs afin de pouvoir auditer leurs propres réseaux. Or lorsqu’une entreprise est attaquée, elle peut être réticente à prévenir ses clients ou partenaires afin de préserver son image de marque. C’est pourquoi le partage d’information entre les entreprises et l’ANSSI nécessite une confiance absolue.
Le besoin de solutions efficaces et de confiance a poussé l’ANSSI à certifier des prestataires de services et de produits de sécurité (procédure de qualification). Cela permet aux entités attaquées d’avoir recours à des services ou produits compétents et sûrs. En cas d’incident, les réactions sont souvent les mauvaises : les gens ont tendance à tout effacer et tout réinstaller, effaçant la trace des attaques et leur offrant ainsi la possibilité d’entrer de nouveau. Le métier de la sécurité informatique ne s’invente pas, le recours à des professionnels est un pré-requis.
Enjeux aux échelons européen et international
Selon les risques évoqués et selon les partenaires, l’échelon européen peut être pertinent pour partager des bonnes pratiques et élaborer des stratégies communes. Les pays européens font face à des menaces communes, et les victimes potentielles (notamment les OIV) sont souvent des entreprises multinationales, d’où un besoin de coopération européenne et d’échange d’informations entre les Etats-membres afin d’éviter qu’une attaque ne passe par une branche étrangère d’une entreprise mal protégée. Mettre en place une directive au niveau européen pour que tous les pays partagent un minimum de règles communes est déterminant. Jean-François Beuze appelle de ses voeux une doctrine européenne en la matière. L’ENISA – équivalent de l’ANSSI au niveau européen – pousse les plus petits pays de l’UE à se préoccuper du sujet de la cybersécurité. Ils ont en effet tendance à se reposer sur leurs alliés européens et l’OTAN ; or la sécurité informatique est à mettre en oeuvre partout, à tous les niveaux. Il ne faut pas déresponsabiliser les Etats.
L’Union européenne encourage également les coopérations publiques-privées au niveau européen à travers la mise en place d’un PPP cybersécurité européen auquel participe l’ANSII. Développer une industrie de souveraineté numérique française et européenne est un objectif à poursuivre selon Guillaume Poupard. Les solutions techniques sont trop souvent américaines et chinoises, regrette Edwige Bonnevie : « l’Europe doit davantage innover en solutions de sécurité des SI». Il existe déjà un principe de reconnaissance mutuelle pour certaines solutions techniques de sécurité. Cela nécessite un niveau d’évaluation élevé dans l’ensemble des pays. Aujourd’hui, le niveau d’évaluation n’est pas homogène, il faut donc évaluer cas par cas les dossiers qui se présentent. Il faut aussi mettre en place un échange sur les analyses d’attaques, et étendre les coopérations entre agences pour collecter plus facilement les informations.
L’Union européenne – en charge des négociations sur l’accord de libre-échange transatlantique (TTIP) – traite avec les Etats-Unis de la délicate question du libre échange des données personnelles.
Il est indéniable que la coopération franco-allemande en matière de cybersécurité est importante à construire, elle est une étape vers un élargissement à des coopérations plus étendues. Pour cela, il faut établir la confiance entre les services dans deux pays. Des échanges de bonnes pratiques existent ; des procédures communes de labellisation sont à l’étude notamment sur le Cloud.
Selon les risques évoqués, il faut penser les solutions aux divers échelons, national et européen, mais aussi mondial, selon Guillaume Poupard. Il est nécessaire de développer également une approche globale car nos entreprises sont internationales et certains enjeux sécuritaires sectoriels (comme par exemple la sécurité des transports maritimes) dépassent nos frontières.
(1) Technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité.
(2) Sifaris est un spécialiste de la cybersécurité qui accompagne les entreprises dans des bilans de sécurité pour mettre en place les systèmes et méthodes afin de sécuriser les SI.
(3) Politique spécifique dédiée aux appareils mobiles des employés (ordinateurs portables, téléphones mobiles, accès à distance…), pouvant contenir des informations sensibles.
(4) Bring your own device (exemple : ne pas amener sa propre clé usb pour le travail…) »