[CR] Conférence « Cyber defence pledge »

Suite à la publication des trois volets de notre dossier sur la protection des données personnelles, nous clôturons ce mois du Cyber sur le Portail de l’Intelligence économique par ce compte rendu de la conférence « Cyber Defence Pledge » du 15 mai dernier.

Retrouvez les articles du mois du Cyber :
Partie 1 : Les bonnes pratiques à adopter.
Partie 2 : La navigation.
Partie 3 : Le chiffrement des données.

En ouverture, la ministre des Armées Florence Parly a indiqué que les conflits changent et que les modes d’actions évoluent. Le cyberespace est aujourd’hui central, invisible mais porteur de conséquences majeures. Ennemis désorganisés ou États, les attaquants et leurs motifs sont parfois incertains.

Madame la Ministre insiste sur le besoin de coordination de l’ensemble des ministères et des secteurs. Le mot d’ordre est la continuité (entre civil et militaire, dans les armées, l’administration, les entreprises, etc.). De nos jours, « tout est connecté » et peut être la cible ou le vecteur d’attaques.

En France, le Gouvernement a demandé à toutes les administrations de se mettre au diapason de la révolution numérique. Le ministère des Armées a été le premier à le faire en se donnant les moyens d’une cyberdéfense efficace. En effet, la ministre porte un projet de loi sur le renouvellement des équipements et investissements dans la recherche et l’innovation pour l’armée dans le cyber. Le nombre de cyber-combattants sera bientôt porté à 4 000 au sein du COMCYBER, devenu un acteur incontournable des armées. 1,6 milliards d’euros sont investis pour que la France soit dans le premier cercle des nations au niveau de la cybersécurité.

Outre les armées, d’autres structures publiques et privées sont aussi à prendre en compte comme l’ANSSI (Agence nationale de la sécurité des systèmes d'information), la DGA (Direction générale de l'armement), mais aussi l’écosystème foisonnant d’entreprises et de startups en France, ce qui permet l’excellence en cybersécurité.

 

L’OTAN est et reste un pilier de la défense, d’après Florence Parly, y compris dans le cyber. Dans tous les cas la coopération est majeure dans la cybersécurité, entre l’OTAN et l’UE.

Selon Jens Stoltenberg, le Secrétaire Général de l’OTAN, trois formes de réponses sont mises en avant : la résilience, l’entraînement et les opérations. La résilience est le sujet principal de ce pledge ainsi que du sommet de Bruxelles à venir, car d’après la ministre « nous avons besoin d’envoyer un signal clair à tous ceux qui voudraient nous attaquer : nous sommes prêts et nous ne laisserons pas dépassés. Nous n’y parviendrons pas, cela dit, si nous ne donnons pas à nos armées les moyens financiers, humains et technologiques nécessaires. ». Jens Stoltenberg précise aussi que les cyberattaques peuvent être des considérées comme des actes de guerres, même si l’arme est une ligne de code, elle peut provoquer des dégâts mortels. Le souhait de l’OTAN est d’amender l’article 5 du traité pour y inclure les cyberattaques : si un membre est attaqué, les autres doivent alors l’aider et le défendre.

 

La menace cyber apparaît de nos jours comme une fatalité mais est-elle différente des menaces conventionnelles ? Il n’y a pas de réel changement dans l’art de la guerre, la seule différence est l’immédiateté. Les nouveaux enjeux sont de répondre au mieux aux différentes attaques de manières rapides et complètes. C’est pourquoi l’OTAN, dans une démarche d’évolution perpétuelle, a organisé dans son centre d’entraînement et de recherche à Tallinn, les 25 et 26 avril derniers, l’événement « Locked Shield 2018 », l’un des plus grands exercices cyber au monde (30 équipes et plus de 1 000 experts) au cours duquel la France a atteint la deuxième place. D’après le général de division Olivier Bonnet de Paillerets (commandant cyberdéfense du ministère des Armées), nous n’aurons pas de réponse opérationnelle tant que nous ne développons pas une compréhension collective. Ce centre d’excellence a atteint un niveau de maturité jamais atteint et l’ensemble des États a un rôle à jouer pour le maintenir.

 

Selon Vladimir Petera (directeur général adjoint de l’Agence nationale tchèque de cybersécurité et de sécurité de l’information (NUKIB)), ces exercices sont extrêmement formateurs. C’est la meilleure façon de montrer aux leaders politiques de chaque pays quels sont les besoins et les menaces réelles.

 

Guillaume Poupard (directeur général de l’ANSSI) précise que « lorsqu’on se demande qui doit faire la cybersécurité, on se perd rapidement dans des querelles politiques ou d’experts. C’est l’affaire de tous et à tous les niveaux. » Par ailleurs, il pense qu’en stratégie cyber, la meilleure défense reste la défense : l’attente de la catastrophe pour être réactif est une grave erreur, la prévention et la protection, la formation et la sensibilisation, sont les méthodes les plus efficaces.

Il souhaite que l’OTAN soit aussi un forum d’échange, de retours d’expériences, de transferts d’idées et de connaissances. Par exemple, si l’évènement « Locked Shield » cité dans cet article a bien fonctionné, c’est parce que les États se prennent au jeu et veulent finir sur le podium de l’exercice. Les participants finissent donc par se tirer mutuellement vers le haut.

Guillaume Poupard souhaite faire passer 5 grandes idées à propos de la résilience :

  • La gouvernance : les prises de décisions et la gestion du risque ne sont pas que la responsabilité du DSI/RSSI (directeur des systèmes d'information / responsable de la sécurité des système d'information) isolé dans son bureau, mais de tous les dirigeants où qu’ils soient placés. Les experts ont alors besoin d’utiliser les codes et le même « langage » que ces dirigeants.
  • La sensibilisation : même si elle n’empêche pas les attaques, la sensibilisation évite des erreurs, permet à chacun de savoir comment réagir à différentes situations et ainsi d’adopter les « bonnes pratiques ».
  • Le « security by design » : c’est un terme de plus en plus utilisé qui définit le fait que les produits et services soient sécurisés dès leur conception. En effet, la sécurisation a posteriori de ceux-ci ne fonctionne pas et est très coûteuse.
  • La sécurité n’est pas statique : il faut des systèmes raisonnablement protégés mais surtout une grande agilité, une capacité à anticiper.
  • Transformation numérique : comment faire pour qu’elle apporte le meilleur sans devenir un talon d’Achille ? L’ANSSI demande souvent aux entreprises comment feraient-elles si elles perdaient leurs informations du jour au lendemain. La réponse récurrente est : « tout s’arrête si nous n’avons jamais fait d’exercice de préparation ou de plan de reprise d’activité ». Il est nécessaire d’envisager le pire, à tous les niveaux. Un point essentiel est la communication de crise, facile à préparer mais catastrophique si elle n’est pas faite correctement car une mauvaise communication pendant une crise, tant interne qu’externe, peut être bien pire que le préjudice initial de l’attaque.

L’équipe de rédaction du Club Cyber AEGE
Guillaume Demonet, Jérôme Freani