Décembre
2019
sommairE
ENJEUX
NUMéRIQUES
Ce numéro a été coordonné par
Côme BERBAIN
N° 8
Introduction
Par Côme BERBAIN
État de la menace
Le modèle français de cybersécurité : priorité à la défense
Par Guillaume POUPARD
La cybersécurité sort (enfin) de son ghetto technique
Par Nicolas ARPAGIAN
La consumérisation des outils de piratage a accompagné l’intensification des usages numériques. Dès lors que les technologies de l’information sont de plus en plus utilisées pour créer, valoriser, stocker et partager des données, les capacités de cyberattaques ont suivi la même progression. En se banalisant, ces outils malveillants ont des effets bien au-delà de la communauté des seuls techniciens de l’informatique. Juristes, investisseurs, analystes financiers… : ils sont de plus en plus nombreux à demander des comptes quant au niveau de protection. Cette diffusion dans toutes les strates des organisations publiques et privées s’explique en outre par une dépendance accrue à la disponibilité des données et des systèmes d’informations. Charge ensuite aux consommateurs et aux commanditaires de faire leurs choix de prestataires ou de technologies en prenant en compte, ou pas, les exigences de la cybersécurité... qui génèrent naturellement des coûts et des contraintes supplémentaires. Ces choix techniques doivent être éclairés par les obligations juridiques toujours croissantes, les dépenses nouvelles et les processus induits par une indispensable qualification des informations produites et de ceux qui peuvent y accéder et les manipuler. Une refonte managériale et stratégique qui va donc bien au-delà de la seule mise en conformité à des règles sécuritaires.
Que cherchent les hackers ?
Par Julie GOMMES
Les hackers, peu importe leurs capacités techniques ou leur âge, vont avant tout agir non pas selon leur profil, mais bien en fonction d’objectifs qui peuvent varier selon les groupes auxquels on s’intéresse. Toutefois, il n’est pas exclu que ces groupes, parfois très éloignés en termes de motivations, se rassemblent au hasard d’une opération, un schéma auquel on assiste de plus en plus souvent.
La sensibilisation : une arme défensive majeure
Par Jérôme NOTIN
Lors de nos usages quotidiens des outils numériques, dans notre environnement personnel comme dans le cadre professionnel, nous sommes en permanence confrontés à de la cybermalveillance. Pour nous en prémunir, deux piliers complémentaires doivent être construits : les outils techniques de protection et la sensibilisation de chacun. Quel est le dispositif construit par le gouvernement pour, entre autres, porter des actions de sensibilisation à grande échelle ? Quelles sont les cibles de choix des cybercriminels ? Pourquoi la sensibilisation est-elle nécessaire ?
Cyberdéfense : l’humain au cœur de l’efficacité opérationnelle. Mettre à l’épreuve son dispositif de défense est indispensable pour progresser
Par Vincent RIOU
Pour améliorer sa défense face aux cybermenaces, est-il opportun de continuellement augmenter ses dépenses en empilant des solutions vendues comme « miracles » dans son infrastructure informatique ? Pas si sûr… Dans un contexte de cyberguerre totalement asymétrique, il convient de replacer l’humain au cœur du dispositif de cybersécurité : mise à l’épreuve par des opérations de Red Teaming , entraînement régulier des équipes opérationnelles et managériales, mise en place de stratégies déceptives visant à tromper l’ennemi, sensibilisation de l’ensemble du personnel. Connais ton ennemi et connais-toi toi-même… les bases de l’Art de la Guerre.
Prévenir et détecter
Par Jacques DE LA RIVIERE
L’hétérogénéité des systèmes d’information, la migration des données dans le Cloud ou encore le nomadisme sont autant de paramètres qui rendent difficile la définition du périmètre de protection des entreprises. À cela s’ajoute la professionnalisation de la cybercriminalité qui rend les menaces plus nombreuses et polymorphes. Dans cet environnement sinueux, et alors que les analystes des Centres d’Opérations de Sécurité (SOC) et experts de la sécurité du Cloud sont des denrées rares, il est logique de vouloir utiliser la technologie pour automatiser des tâches de détection, d’évaluation et de réponse. Plusieurs solutions se dessinent aujourd’hui, à la fois innovantes et complémentaires, mais chacune avec des limites : le SOAR ( Security Orchestration, Automation and Response ), la CTI ( Cyber Threat Intelligence ) et enfin l’intelligence artificielle et plus spécifiquement le machine learning .
Les réponses publiques et privées
Souveraineté numérique et sécurité nationale
Par Claire LANDAIS et Julien BARNU
Notre souveraineté numérique, autrement dit notre capacité à rester maîtres de nos choix et de nos valeurs dans une société numérisée, recouvre trois enjeux complémentaires :
Protection des infrastructures critiques : 5 ans après la loi
Par Yves VERHOEVEN
A partir de 2008, l’Etat français a anticipé l’aggravation du risque lié aux cyberattaques contre les opérateurs, publics et privés, d’infrastructures critiques pour la défense et la sécurité nationale, l’économie et la société. Afin de limiter ce risque, des démarches d’assistance ont été entreprises par l’Etat vis-à-vis des opérateurs les plus critiques. Néanmoins, face à l’ampleur des travaux à mener, l’Etat a dû mettre en place, via la loi de programmation militaire de 2013, un cadre réglementaire pour imposer un niveau minimum de cybersécurité sur l’ensemble des systèmes d’information critiques pour la défense et la sécurité nationale. La mise en œuvre de cette réglementation a fait de la France un pays pionnier en matière de cybersécurité des infrastructures critiques. Cette réglementation innovante a en outre permis des développements internationaux multiples, notamment en inspirant la directive 2016/1148 de l’Union européenne (dite « directive NIS ») concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.
Retour sur la genèse de la cyberdéfense militaire
Par Didier TISSEYRE
Depuis 2011, le ministère de la Défense, puis des Armées, et en particulier le Commandement de la cyberdéfense, son bras armé, construisent un modèle agile et efficace de cyberdéfense pour conduire des opérations dans un nouvel espace de confrontation. Aujourd’hui, la plupart des luttes de pouvoir, des crises et des conflits contemporains connaissent un développement dans l’espace numérique. Les armées doivent appréhender le combat cybernétique comme une fonction stratégique à part entière dont les effets se combinent aux autres dans une manœuvre globale. Le combat dans le cyberespace est de nature asymétrique, hybride, parfois invisible et en apparence indolore. Pourtant, l’emploi de l’arme cyber est susceptible de porter gravement atteinte aux capacités et aux intérêts souverains des États. Pour protéger, défendre et agir face à ces cyber-menaces, la cyberdéfense française s’est construite grâce à la volonté gouvernementale et à sa prise en compte dans les lois de programmation militaire successives. Confrontée à des adversaires, des ennemis, ou des concurrents dotés de capacités informatiques offensives, la France a bénéficié d’un ambitieux plan d’actions ministériel, fondé sur une doctrine et une organisation renouvelées, permettant à nos forces de se déployer et de conduire, face à cette menace, le combat numérique. Cette montée en puissance franchit une étape majeure en 2017 avec la création, par décret, du Commandement de la cyberdéfense (COMCYBER). La cyberdéfense demeure une priorité très forte du ministère des Armées avec l’ambition de donner à la France les moyens de construire un outil à la hauteur de ses ambitions opérationnelles et d’assurer pleinement sa cybersécurité. L’inauguration par la Ministre des Armées le 3 octobre dernier à Rennes du premier bâtiment entièrement dédié à la conduite des opérations cyber, témoigne de cette dynamique qui permet à la France de rayonner et lui confère un statut de cyber-puissance.
Nouveaux rôle et enjeux pour l’Etat dans la lutte contre la cybercriminalité
Par Thierry DELVILLE
L’innovation a toujours profité aux criminels avant même de toucher le grand public. La digitalisation de la société que nous vivons depuis ces dernières décennies n’échappe pas à cette règle et les cybercriminels bénéficient d’un contexte très favorable pour commettre leurs méfaits. La course aux textes pour adapter le droit au numérique et incriminer des pratiques souvent nouvelles, l’insuffisante harmonisation du droit sur le plan international, la difficulté persistante à mesurer le phénomène et donc à le connaître …tels sont quelques-uns des enjeux auxquels doit faire face l’Etat pour relever le défi de mieux lutter contre une délinquance qui opère sa propre révolution numérique. A ces difficultés, s’ajoutent des questions de coordination et de dialogue étroits entre les acteurs étatiques et privés, tant la cybercriminalité se situe au croisement des enjeux de souveraineté, de protection économique , de renseignement et de défense nationale. Assurer la sécurité et la justice dans l’espace cyber apparaît plus que jamais l’occasion de penser autrement la mobilisation de la société en matière de prévention, de détection et de répression d’agissements de plus en plus lourds sur la vie quotidienne des Français.
À la poursuite des cybercriminels
Par Jacques MARTINON
Le cybercriminel a pour caractéristique singulière de s’adapter en temps réel aux évolutions de l’environnement numérique, afin d’en exploiter les failles techniques et de détourner les nouveaux usages légitimes en opportunité d’obfuscation voire d’ingénierie sociale au détriment des victimes. Il bénéficie de plus d’un écosystème criminel en voie de professionnalisation ( Cybercrime as a Service ) facilitant grandement la logistique et la diversification des cyberattaques, dont les modèles économiques sont parfois extrêmement travaillés (par exemple, les rançongiciels). Symétriquement, les acteurs judiciaires de lutte contre la cybercriminalité doivent adapter rapidement leurs stratégies, méthodes et organisations afin d’améliorer leur efficacité. La France n’a initié véritablement ce mouvement qu’en 2015, dans les suites du rapport de référence sur la cybercriminalité, Protéger les internautes , élaboré sous l’égide du procureur général Marc Robert. Des progrès indéniables ont été réalisés, mais la poursuite de ces efforts est essentielle afin de consacrer un véritable levier judiciaire redouté par les cybercriminels et activable dans le champ de la cyberdéfense.
Innovation et startups cyber-sécurité en France : le début de l’embellie ?
Par Gérôme BILLOIS et Jules HADDAD
La menace cybersécurité évolue rapidement et avec la tension que connaît actuellement le marché des compétences en cybersécurité, les actions manuelles doivent petit à petit laisser place à l’automatisation. Cette nécessité d’innover favorise la création de startups dans le domaine de la cybersécurité à l’échelle internationale. Cette année montre un écosystème de plus en plus dynamique avec de la croissance et des signaux positifs pour sa transformation. Ces signaux s’observent chez les clients qui commencent à prendre des risques, pour le marché qui se déverrouille en termes d’investissement et pour les startups qui sont de plus en plus innovantes et se penchent sur des sujets pertinents. Cependant, ces startups font face à des challenges comme les difficultés à recruter, le manque de prise de risque, ou une stratégie marketing peu efficace qui se répercute sur leur capacité à vendre. Finalement cette transformation de l’écosystème peut se concrétiser si tous les acteurs se mobilisent : les startups doivent apprendre à se vendre, les clients doivent être enclins à prendre des risques et le marché doit favoriser le développement de ces jeunes pousses.
Le RGPD au service de la cyber-sécurité
Par Jean LESSI
Que ce soit pour les personnes physiques ou pour les organismes privés et publics comme pour la société dans son ensemble, la mise en application du Règlement général pour la protection des données (RGPD) représente un indéniable renforcement de l’ambition de sécurisation des données personnelles. Comment ? Par la mise en place de procédures spécifiques à respecter par les organismes en matière de sécurité de leurs données (notification à l’autorité de contrôle, information des personnes), en complément de l’ancienne obligation de sécurité remontant à 1978, dans un contexte de sanctions renforcées en cas de violation de ses principes. Et au-delà de ce qui est prévu dans le texte, par ses effets induits en termes de sensibilisation accrue du public à la protection des données et d’éducation au numérique), le RGPD doit nous conduire à nous donner les moyens de cette ambition.
Une agence au cœur de la cybersécurité européenne
Par Jean-Baptiste DEMAISON
Alors que la plupart des États membres ne disposaient pas encore d’agence dédiée aux enjeux de cybersécurité, l’Union européenne a créé l’ENISA ( European Network and Information Security Agency ) en 2004. Chargée, en particulier, de soutenir le développement des capacités de cybersécurité des États, l’agence a vu son champ de compétence grandir avec le développement d’un cadre européen de régulation de plus en plus ambitieux, consacré en 2013 par l'adoption d'une stratégie européenne de cybersécurité. Quinze ans après la création de l’ENISA, le règlement Cybersecurity Act a confirmé son caractère incontournable et renforcé ses missions au-travers de la création d'un cadre, unique au monde, de certification de sécurité numérique en Europe. Une nouvelle ère, pour une nouvelle agence. Toutefois, des défis demeurent : quel modèle pour le passage à l’échelle de l’action de l’UE en matière de cybersécurité ? Quelle prochaine législation pour une Europe numérique plus sûre ? Quel rôle pour l’ENISA face à la multiplication des initiatives cyber sectorielles ?
Le cyber en assurance, un risque presque comme les autres ?
Par Benjamin DUCOS et Luc de LIGNIERES
Le marché de l’assurance cyber est encore une niche à l’échelle mondiale. Mais soutenu par les nouveaux usages, la réglementation et des incidents cybers de plus en plus fréquents, ce marché est désormais en croissance significative. Face à la demande de couvertures solides, les assureurs doivent structurer des contrats de qualité disposant de haut niveau de garanties : la modélisation des risques, le savoir-faire actuariel et la connaissance fine du risque cyber sont quelques-uns des atouts des grands assureurs mondiaux. Mais l’assurance cyber présente également des particularités techniques notables… En outre, les assureurs doivent se protéger contre ce risque cyber qui ne connaît pas de frontières, et qui pourrait avoir sur eux un effet incapacitant.
De nouveaux enjeux techniques comme politiques
Défis de la recherche scientifique en cybersécurité
Par Claude KIRCHNER et Ludovic MÉ
Sécuriser un système d'information, c'est assurer la confidentialité, l'intégrité et la disponibilité des ressources qui y sont stockées et des services qui y sont offerts. A cette fin, on doit à la fois protéger ces ressources et services, mais aussi détecter d'éventuelles attaques et y réagir efficacement. Si la sécurité des systèmes et la protection des données personnelles ont globalement progressé durant ces vingt dernières années, beaucoup reste à faire, tant dans la mise en œuvre opérationnelle que dans les phases amonts de recherche et développement. Dans cet article, nous nous intéressons aux défis de recherche scientifique que lancent la protection de nos systèmes d'information, la détection des attaques contre ces systèmes et la réaction à ces attaques, sans oublier les défis liés à la connaissance de la menace, à la sécurité de certains domaines particulièrement sensibles, ou aux aspects humains, économiques et sociétaux de la sécurité.
La Confiance Numérique, une condition sine qua non du succès de l’adoption du cloud
Par Marc DARMON et Olivier KERMAGORET
Le cloud est un élément central dans la mise en œuvre d’une trajectoire de transformation numérique. Il apporte des avantages de compétitivité, de time to market et de scalabilité à grande échelle, conditions indispensables aux solutions d’IA, de Big Data, d’IOT et de DevSecOps inhérentes aux SI d’aujourd’hui. L’adoption du cloud est donc une réalité. 40 % des SI d’entreprises sont déployés sur des solutions de cloud privées et publiques avec un rythme de croissance de déploiement de 31 %. L’adoption de ces technologies doit aller de pair avec une stratégie globale de sécurisation de la donnée, nouvel or noir du XXIe siècle. En effet, Il n’y a pas de solution numérique sans confiance et il ne peut y avoir de confiance sans cybersécurité. Les réponses sont multiples et reposent en premier lieu sur des architectures hybrides privées et publiques capables de fournir une solution aux différentes classifications de données, aux contraintes légales de type RGPD et au Cloud Act . Ces solutions doivent aussi inclure des dispositifs techniques comme la gestion des identités dans un environnement MultiCloud, le chiffrement de données, les architectures de sécurité virtuelles et la maîtrise de la résilience des systèmes. Enfin, l’accompagnement en termes de services managés pour assurer la réversibilité, le niveau de qualité et de maintien en condition de sécurité liés à l’utilisation du Cloud, se révèle central dans le déploiement de cette stratégie.
L'Internet des Objets modifie la cybersécurité : l’exemple de Linky
Par Hervé CHAMPENOIS
L’installation de 35 millions de compteurs Linky par Enedis s’inscrit dans un mouvement plus large de développement de l’internet des objets (IoT). Celui-ci s’explique par les nouveaux services qu’apporte l’IoT aux consommateurs et aux entreprises. Dans le cas de Linky, ces services sont multiples, au bénéfice des clients et de la transition énergétique. Cette dynamique soulève de nouveaux enjeux en matière de cybersécurité. La multiplication des objets connectés reliés à des systèmes centralisés conduit à multiplier le nombre de points d’entrée potentiels dans les systèmes des entreprises et des administrations. Pour répondre à ces enjeux, nous identifions trois axes : une approche security by design qui implique de penser la sécurité dès la conception de l'objet connecté ; la supervision de ces objets tout au long de leur vie ; et la collaboration étroite entre toutes les parties prenantes de la cybersécurité.
Quelle régulation pour les acteurs privés dans le cyberespace ?
Par Florian ESCUDIÉ
L’essor du numérique comme nouvel espace de confrontation confère au secteur privé, notamment à un certains nombres d’acteurs systémiques, un rôle critique et une responsabilité inédite dans la préservation de la paix et de la sécurité nationale. Perçue jusqu’à récemment comme relevant de la responsabilité des seuls Etats, la sécurité dans le cyberespace et la stabilité de ce dernier sont désormais largement vues comme un enjeu concernant directement les acteurs privés. Il existe ainsi aujourd’hui une demande croissante de clarification des obligations incombant aux acteurs non étatiques dans le cyberespace. Lancé en novembre 2018 à l’initiative de la France, l’Appel de Paris pour la confiance et la sécurité dans le cyberespace identifie plusieurs axes en vue d’une meilleure régulation du rôle de ces acteurs. Il s’agit notamment de lutter contre la prolifération des programmes et techniques cyber malveillants, d’accroître la sécurité des produits et services numériques ou encore d’interdire le cyber-mercenariat et les actions offensives conduites par des acteurs non-étatiques. Des travaux sont actuellement conduits dans différentes enceintes, telles que l’OCDE, pour approfondir les modalités d’une régulation efficace à cet égard.
HORS DOSSIER
Concurrence et numérique. Entretien avec Bernard Benhamou, Secrétaire général de l’Institut de la Souveraineté Numérique
Par Propos recueillis par Jean-Pierre Dardayrol et Delphine Mantienne
La concurrence dans l’économie numérique et l’application du droit de la concurrence aux différents secteurs de l’économie numérique sont deux sujets qui connaissent un regain d’intérêt en Europe et aux États-Unis, qu’il s’agisse de questions générales (effets économiques des oligopoles du secteur numérique, effets de la numérisation des entreprises) ou de la situation concurrentielle des différents segments du secteur numérique. Aujourd’hui, on entend deux musiques différentes et parfois dissonantes, l’une mettant en avant le caractère satisfaisant de la situation présente, l’autre les évolutions préoccupantes résultant de la limitation de la concurrence dans le secteur et les effets induits négatifs sur l’ensemble de l’économie. Nous avons interrogé Bernard Benhamou sur sa vision de la situation actuelle, des évolutions récentes, et sur les actions qui lui paraîtraient utiles, tant en matière de droit de la concurrence qu’en ce qui concerne l’articulation de la politique de la concurrence avec d’autres politiques majeures.
Vers une école du risque numérique ?
Par Jean-François CÉCI
Nous proposons d’esquisser l’émergence d’une culture numérique , au prisme des principaux bienfaits, problèmes et risques alimentant les nombreuses controverses autour du numérique. L’individu vit dorénavant dans une société et un monde connectés : cela nous renvoie-t-il vers une forme de citoyenneté numérique ? La citoyenneté et l’École étant intimement liées, avons-nous l’utilité d’une École introduisant cette culture numérique, et au-delà des apports positifs, d’une École du risque numérique ?