La lutte contre la cybercriminalité

Publié par SDmagazine 15 avril 2014

La lutte contre la cybercriminalité est, avec la sécurité des systèmes d’information et la politique de cyberdéfense, une des composantes qui concourent à la cybersécurité. Alors que l’Union européenne est en train de définir sa stratégie en la matière et où l’État français complète son dispositif de cyberdéfense affichant très clairement son engagement, un constat s’impose. Il est urgent d’agir ! Urgent d’agir parce qu’ici à 2020, ce sera 3 000 milliards de dollars de perdus pour l’économie mondiale à cause de la cybercriminalité. Urgent d’agir car cette délinquance progresse, s’organise et se professionnalise. Il faut donc apporter des solutions, des réponses et des recommandations à tous les niveaux ; étatique, législatif, entrepreneurial, utilisateur… Une approche déjà amorcée il y a près de 10 ans outre-Atlantique. Mais la France accuse son retard et relève les manches. Elle sait pouvoir compter sur les richesses en matière de compétences de tous les acteurs de la chaîne. « Impossible n’est pas français. » Lancé sur son nouveau terrain de combat, découvrons comment notre pays entend répondre aux défis et aux enjeux en matière de cybersécurité.

    • Les dessous de la cybercriminalité

      Snowden, waterholing, attaques destructives, attaques métier et attaques vie privée… Voici les dessous de la cybercriminalité version 2013.Pour le Club de la Sécurité de l’Information Français-CLUSIF qui vient de présenter son panorama de la cybercriminalité, 2013 est l’année de Snowden qui révéla à quel point la NSA était un entonnoir d’espionnage industrialisé. Avec des capacités de collecte et d’analyse des informations ciblées particulièrement élevées. Toutefois, pour Gérôme Billois de CERT Solucom, « cette affaire démontre aussi que la NSA est vulnérable… Sa faiblesse provient peut-être du fait des 1 000 postes d’administrateur sous-traités. »

      Concernant le rapport APTI, ce serait, pour les auteurs du rapport, un groupe de hackers issus de l’armée chinoise qui a visé 140 entreprises de 20 secteurs d’activités différents avec des moyens très conséquents. Selon Gérôme Billois, quatre types d’attaques se sont développés l’an dernier. La méthode du “waterholing”, qui consiste à piéger une page d’un site visité par la population ciblée. Le piège en place permettant d’infecter le poste des visiteurs. Vient ensuite les attaques destructives, ici ce n’est pas le vol de données, mais bien leur suppression définitive ou temporaire, contre une demande de rançon, qui est l’objectif ultime. Les attaques “métiers” sont aussi en augmentation. Elles ciblent l’ensemble d’un processus métier, par exemple les distributeurs de billets. « Bien que archaïque au premier abord, le procédé est efficace ; les pirates percent un trou dans le distributeur, libérant un accès à un port USB du système. Ils en prennent le contrôle avant de refermer le trou pour masquer toute trace d’intrusion. L’accès au terminal leur permet de retirer l’intégralité de l’argent présent dans le distributeur ciblé. En outre, les DAB concernés sont encore sous Windows XP, et présentent donc des faiblesses de sécurité importantes. » souligne Edouard Viot, StormShield Product Marketing Manager. Enfin, les attaques “vie privée” s’intéressent judicieusement aux réseaux personnels, moins protégés (Facebook, email…), des managers des entreprises cibles.

      Des cyberdélinquants plus pros
      Selon Fabien Cozic, consultant chez CERT-LEXSI, et le colonel Éric Freyssinet, chef de la division de lutte contre la cybercriminalité du Pôle judiciaire de la Gendarmerie nationale, de nombreuses arrestations ont eu lieu en 2013. Créateurs de malwares, auteurs d’attaques ou administrateurs de sites… ces interpellations se multiplient mais force est de constater qu’une professionnalisation et surtout une pérennisation de la cyberdélinquance opèrent. De quoi inquiéter les services d’enquêtes, qui devraient « être considérablement renforcés », souligne Evelyne Sire-Marin, vice-présidente du tribunal de grande instance de Paris, et de poursuivre : « À la section économique et financière de l’instruction à Paris, seuls trois collègues sont spécialisés dans la cybercriminalité. Les services enquêteurs spécialisés sont en revanche très bien formés. Cependant, à la brigade de répression de la délinquance contre les personnes qui est parfois chargée de ces affaires, il manque sept enquêteurs. La situation est similaire pour la Gendarmerie. » Pour les experts, alors que les cybercriminels dotés d’un anonymat et d’un statut de plus en plus international « élargissent leurs domaines d’activités dans le monde réel (trafic de stupéfiants, trafic de biens, traite d’êtres humains…) », les cibles aussi s’élargissent. Les malwares mobiles sont en augmentation et visent les systèmes d’exploitation Android avec des attaques nouvelles. Les données bancaires sont toujours très convoitées, avec des méthodes de piratage des distributeurs de billets de plus en plus complexes.

      Quelles stratégies pour mieux lutter ?
      L’avocate Diane Mullenex a rappelé que le coût global des cyberattaques a été estimé à 300 milliards d’euros pour les entreprises en 2013, ajoutant : « La première difficulté juridique tient aux approches très différentes des dossiers de cyberdélinquance selon les États. Que ce soit en termes de qualification des infractions, aux règles de procédure telles que la recevabilité de la preuve numérique, ou à la compétence juridictionnelle ainsi qu’aux moyens d’investigations numériques. » Ce qui oblige les entreprises victimes de cyberattaques à élaborer une véritable stratégie judiciaire. Aujourd’hui, des réflexions sur la gouvernance de l’Internet sont en cours. Si la convention de Montevideo d’octobre 2013 s’inscrit dans ce mouvement, actuellement, seule la convention de Budapest possède une valeur contraignante, mais étant essentiellement ratifiée par des États membres de l’UE, sa portée reste limitée. Cette gouvernance sera peut-être un enjeu pour la communauté internationale en 2014.

      L’année du bitcoin
      Aucun doute pour Barbara Louis-Sidney, juriste-CEIS et Garance Mathias, avocat à la cour, 2013 est bel et bien l’année du bitcoin. Le bitcoin est une crypto-monnaie détachée de toute devise, elle n’est donc pas reconnue par les banques centrales et est contrôlée par ses seuls développeurs. Elle n’est acceptée que par les membres d’une communauté virtuelle spécifique. Le bitcoin est donc très présent sur les marchés parallèles devenant la monnaie privilégiée. Il est aussi au cœur de nombreux cas de criminalité organisée en 2013 associés à des services de blanchiment. Le bitcoin permettant des transactions anonymes en brouillant la “blockchain” qui contient un historique horodaté de toutes les transactions…
      2014 sera une année importante pour le bitcoin avec de nombreuses réflexions entamées à ce sujet. Aujourd’hui, les États-Unis ne le reconnaissent pas totalement, mais une licence lui est toutefois accordée. De son côté, la Banque de France refuse, aujourd’hui, toute reconnaissance du bitcoin.

      Quelles armes contre la cybercriminalité ?
      Garance Mathias évoque l’arsenal juridique dont dispose actuellement la France et l’Europe en soulignant que « cette année 2013 a été riche en projets dont celui de l’Union européenne qui a mis en place le Centre européen de lutte contre la cybercriminalité ». Une UE qui a érigeait cette lutte au rang des priorités de l’organisation. Il en ressort déjà un règlement technique sur la procédure de notifications des violations de données personnelles et une directive relative aux attaques contre les systèmes d’informations qui devra être transposée d’ici 2015 par tous les États membres.
      En France, le Livre sur la défense et la sécurité nationale fait de la cybersécurité un enjeu national et la loi de programmation militaire, dont l’article 20 autorise et encadre l’interception administrative des données de connexion, complète cet arsenal. Sans aucun doute, 2014 devra voir apparaître d’autres outils.

      En ce début d’année 2014, les experts du CLUSIF et son président, Lazaro Pejsachowicz, ont déjà l’œil rivés sur les objets connectés, webcam et autre Google Glass, sur les usurpations d’identité via les réseaux sociaux ou encore la sécurité des smartphones, qui se voient victimes de malwares de plus en plus sophistiqués… De quoi nourrir le prochain panorama du CLUSIF.

      The NSA and Edward Snowden’s disclosures have been the talk of the town on cybercrime but the American leviathan is not the only object of attention. Experts have identified hackers that have hit 140 companies. Everywhere there are new methods of attack with hackers deliberately seeking to overcome corporate IT security systems. Some hackers and website managers were arrested in 2013 but the members of the French information security club CLUSIF highlight the professionalism of cybercriminals. Conventional crime increasingly uses digital means and is gaining worldwide while cybercriminals are expanding into new sectors.
      Malware targeting Android smartphones is on the increase with, for example, computer contamination via synchronisation or remote takeover of online messaging systems. Bank data are a prize but cash dispensers are also a target of ever more sophisticated methods of attack. Cybercrime in 2013 resulted in corporate losses of 300 billion euros.

    • FIC 2014 : décloisonner le débat

      Experts, industriels, ingénieurs, cyberpoliciers du monde entier se sont réunis les 21 et 22 janvier à Lille au Forum international de la cybersécurité pour échanger leurs expériences et répondre aux questions sur les menaces de la cybercriminalité et de la cyberattaque. Depuis l’impulsion donnée par la loi de programmation militaire, les observateurs étaient nombreux à attendre les propositions des ministres de l’Intérieur et de la Défense.

      Dix-sept millions d’euros, c’est ce qu’a perdu une grosse société d’Aquitaine en quatre jours. La méthode est simple et malheureusement banale : les pirates s’approprient les données confidentielles de l’entreprise avant d’envoyer leurs instructions de virement en se faisant passer par le dirigeant. Ces exemples sont multiples et ces attaques d’une nouvelle ère peuvent concerner du simple utilisateur aux intérêts de l’État.
      Réfléchir, échanger pour renforcer activement la lutte contre la cybercriminalité, décloisonner le débat, c’est dans cette optique que le FIC 2014 a souhaité s’inscrire. Placé sous le thème de « l’identité numérique et la confiance », l’événement a regroupé plus de 3 000 experts, gendarmes, policiers et une délégation d’une quarantaine de pays. Pour le général Marc Watin-Augouard, créateur du FIC, « sans protection, la confiance ne pourra pas s’établir dans le cyberespace. Or, elle est essentielle si l’on veut dialoguer, commercer ».

      Le temps de la sensibilisation est terminé, place à l’action
      La confiance passe sans doute par la mobilisation de tous les acteurs de la cybercriminalité, mais avant tout par les engagements forts de l’État. C’est ce message que les autorités présentes au FIC ont voulu faire passer. Inaugurant cette sixième édition, le ministre de l’Intérieur a rappelé les évolutions de la loi de programmation militaire et souligné les cybercrimes dont sont victimes les entreprises. « Depuis 2011, ce type d’escroquerie représente un préjudice estimé à plus de 200 millions d’euros pour les entreprises françaises », a-t-il précisé. Afin de distinguer les « différentes formes de délinquance sur le cyberespace », il a lancé un outil statistique mesurant la cybercriminalité. Pour Manuel Valls, « face à une sphère virtuelle en mutation permanente, notre connaissance des usages et des menaces potentielles est indispensable ».

      Une mission, des moyens
      Les schémas de la cybersécurité dépassent la question technique et la réponse à ces menaces est au cœur de toutes les préoccupations. Dans son livre blanc sur la défense et la sécurité nationale, le gouvernement fait de la lutte pour la sécurité informatique l’une des priorités majeures. Le ministre de la Défense, dont le plan de bataille se construit progressivement, a parlé « d’un changement d’échelle dans la lutte contre les attaques cybernétiques ». Jean-Yves Le Drian a annoncé la création prochaine d’un Pacte de défense cyber d’un milliard d’euros. Calqué sur le pacte de défense des entreprises, il vise à répondre à trois objectifs : l’organisation et les moyens du ministère « y compris dans les capacités opérationnelles », le soutien des dynamiques extérieures pour appuyer les initiatives venant des entreprises et collectivités territoriales, enfin la possibilité pour chaque acteur de la communauté de la cyberdéfense « qu’il soit privé ou public, militaire ou civil, d’identifier les meilleures voies de coopération avec mon ministère et identifier les soutiens qu’il pourra obtenir pour ses projets ».
      Concrètement, ce pacte devra répondre à ces objectifs en termes d’effectif. Le Calid, Centre d’analyse en lutte informatique défensive, bras armé du ministère, passera de 20 experts à 120 à la fin de la période d’application de la LPM. Ce centre cyber des armées est déjà co-localisé avec son homologue civil le Cossi, centre d’analyse et centre opérationnel, les deux entités étant chapeautées par l’Anssi, l’Agence nationale de la sécurité des systèmes d’information. Pareil pour la DGA dont le centre Maîtrise de l’Information doublera ses effectifs : 450 contre 200 actuellement.

      Pour une cyberdéfense active
      Pour agir sur tous les fronts, le ministère de la Défense a fait appel à de nouvelles recrues pour leur expertise. Fondée en juillet 2012, la réserve citoyenne cyberdéfense (RCC), rassemblant 80 réservistes des trois armées et de la gendarmerie, vise à expliquer, débattre et proposer des événements contribuant à faire de la cyberdéfense une priorité nationale. Pas nécessairement spécialistes de la cybersécurité, ces réservistes issus de tous horizons apportent leurs idées, leur réseau et participent à ce décloisonnement prôné par les autorités. « L’objectif est de mener des actions de sensibilisation à la cybersécurité en direction de la nation et de publics cibles fondamentaux comme les PME-PMI, les jeunes, les élus, les universités », indique Bénédicte Pilliet, l’une des premières à avoir rejoint les rangs de la RCC. « Nous traduisons un sujet qui, au départ, est vu comme un sujet réservé à des experts en un sujet que chacun peut s’approprier. Il faut réussir à transformer la cybersécurité en un enjeu de souveraineté nationale appréhendable partout. »
      En outre, pour impulser un nouveau souffle à la formation encore déficitaire en France, un « pôle d’excellence sur la cyberdéfense » verra le jour à Rennes où se trouve déjà le centre de la DGA MI et l’école des transmissions. Il sera dédié à la formation, l’entraînement et la recherche sur le développement.

      Prix du Livre cyber

      Remis en partenariat avec Sogeti, le prix du Livre cyber récompense chaque année un ouvrage en langue française portant sur un sujet concernant la cybersécurité. Cette année, ils sont trois à avoir été primés.
      Bernard Boyer : Cybertactique : conduire la guerre numérique (Nuvis)
      Benjamin Rosoor : agir sur l’e-réputation de l’entreprise (Eyrolles)
      Myriam Quéméner : Cybersociété : entre espoirs et risques (l’Harmattan)

      Le prix de la PME innovante

      Grâce à son approche inédite, Cybelangel a été distinguée parmi les treize candidats en lice pour le prix de la PME innovante, nouveauté du FIC 2014. Cette jeune entreprise a mis au point une technologie permettant de détecter pour ses clients les menaces et d’éventuelles attaques.
      Entretien avec son créateur Erwan Keraudy.

      En quoi votre entreprise se distingue-t-elle ?
      Nous avons la culture du monde des réseaux sociaux où un très grand nombre de données circulent sur le Net. Cybelangel va détecter toutes les informations qui sont en train d’être préparées à être volées par les pirates, soit qui l’ont déjà été. Sauf que nous, nous sommes les premiers à vous alerter.

      Votre philosophie ?
      Différente. Les entreprises vous disent qu’elles vont vous monter les forteresses. C’est faux, les bâtisseurs de forteresse sont plus lents que ceux qui attaquent. Nous écoutons les pirates et informons la victime. Nous passons d’une défense périmétrique à une défense périphérique. Plutôt que d’empêcher de prendre les informations de l’intérieur, nous mettons des gardes à l’extérieur.

      Votre parcours ?
      J’ai monté la boîte avec mon frère, centralien et développeur informatique, et mon ami informaticien et chercheur en crypto. Je suis diplômé de l’École centrale de commerce. L’idée a germé après la lecture d’un article sur le piratage de 100 000 comptes Pay Pal. Nous avons recherché le pirate, la base de données et les 100 000 victimes. Après avoir automatisé le système d’information, nous avons sorti des milliers de piratages. Nous scannons dix millions de pages par semaine, où il y aura forcément des données confidentielles : une valeur inestimable pour une entreprise. Quoi de mieux pour vendre notre outil que de dire que l’on a le numéro de carte bleue de votre concurrent…

    • Urgence d’agir : entre recommandations et réponses globales

      Enjeu majeur, incontournable… La cybersécurité recouvre tous les suffrages. Pour autant, la prise de conscience du fléau fut longue et le déverrouillage des clivages culturels encore trop lent. Mais désormais, il y a urgence. Urgence d’agir en matière de lutte contre la cybercriminalité qui pourrait causer près de 3 000 milliards de dollars de perte à l’économie mondiale d’ici à 2020 si rien n’est fait. Un constat de réactivité nécessaire déjà annoncé par le Commissariat général à la stratégie et à la prospective (CGSP) il y a tout juste un an.

      Chargé d’alerter la puissance publique et de lui proposer des pistes d’action sur des sujets majeurs, le centre d’analyse stratégique, aujourd’hui devenu Commissariat général à la stratégie et à la prospective, avait décelé la cybercriminalité comme un véritable problème. Alors en phase d’élaboration du Livre blanc de 2008, certains doutaient de la pertinence de ce sujet… La vraie prise de conscience politique dans l’Union européenne et en particulier en France a eu lieu après les cyberattaques de 2007 et 2009. La cybersécurité est alors devenue pour notre pays un enjeu de souveraineté nationale, au même titre que la dissuasion nucléaire. « Ceci constitue un tournant majeur, qui se traduit par les moyens de plus en plus importants mis à disposition de l’Agence nationale de sécurité des systèmes d’information », souligne Alix Desforges, doctorante de l’Institut de recherche stratégique de l’école militaire (IRSEM). Aussi, le CGSP produit et intitule sa note d’analyse en mars 2013 : « Cybercriminalité : l’urgence d’agir. » Objectif : faire réagir les autorités publiques sur cette question et conforter les personnes ayant connaissance des failles du système en matière numérique.

      Complexification des attaques
      Les attaques informatiques se multiplient et se complexifient sous l’effet du développement particulièrement préoccupant du cyberespionnage, de la cybercriminalité et d’États qui utilisent ces attaques à des fins stratégiques. « Ces attaques ont désormais des visées stratégiques, comme celles contre les centrifugeuses iraniennes ont pu l’attester. Les attaques informatiques sont rentrées dans la stratégie des États. Elles demandent désormais un effort que seule la puissance publique de grands États peut mettre en œuvre », souligne Joël Hamelin, conseiller scientifique au Commissariat général à la stratégie et à la prospective. Les techniques, elles, naviguent entre le déni de service ou la saturation d’un réseau ou d’un service par un envoi de requêtes en très grand nombre afin d’empêcher ou de limiter fortement sa capacité à fournir le service attendu comme en Estonie en 2007 ; le piégeage de logiciels ou encore les techniques d’ingénierie sociale : acquisition déloyale d’information afin d’usurper l’identité d’un utilisateur.

      Parallèlement, des usages nouveaux tels que le cloud computing ou encore la mobilité accroissent les vulnérabilités des systèmes d’information, « le cloud en particulier et le fait d’exporter nos données dans le cadre de juridictions pouvant être très différentes de la nôtre. De plus, la mobilité de l’usage des NTIC pose problème à nos DSI. Surtout, le couplage entre le réel et le virtuel feront que les vulnérabilités informatiques se transformeront en vulnérabilités matérielles, avec des conséquences pouvant être très graves », ajoute-t-il. Et la pratique du BYOP “Bring Your Own Device”, antinomique à la maîtrise de la sécurité, qui envahit le quotidien de l’entreprise, n’est pas pour nous contredire. Quant au développement de l’Internet des objets, il devrait multiplier les interactions entre mondes virtuel et réel et étendre ainsi le risque d’attaques. Selon Cisco, près de 50 milliards d’objets devraient être connectés à Internet en 2020.
      Enfin, dans le monde la cyberdélinquance, espionnage et sabotage restent des attaques exigeant un niveau de compétences très élevé. Mais il est aussi un milieu qui se professionnalise et se structure, innove de nouvelles vulnérabilités sans cesse mises au jour, obligeant alors les États à redéfinir l’une des bases premières : ce qu’est un ennemi…

    • Avis d’expert – Sylvain Defix, Solution Architect Manager pour NTT Com Security
      Le cloud et la gestion des risques

      Les révélations liées à PRISM renforcent la criticité de la dimension sécurité (pourtant déjà élevée) dans les logiques de transformation des systèmes d’information vers le modèle Cloud. Mais cela ne change rien au fait que les initiatives Cloud, sont menées dans un cadre de réduction des coûts, dans la considération des bénéfices en terme de couverture et de flexibilité. A ce titre, la sécurité est souvent considérée comme un centre de coût, en contradiction avec le bénéfice escompté.

      Cette actualité particulière a donné lieu à l’émergence d’une notion de Cloud Souverain, qui tendrait à considérer la nationalité du fournisseur de service Cloud et/ou la localisation des infrastructures et des équipes soutenant ce service, comme un facteur prépondérant d’un point de vue sécurité. Ne nous voilons pas la face, le principe d’un contrôle étatique par défaut des communications n’est pas un singularisme américain. C’est une voie sur laquelle s’est engagée la Chine (Great Firewall of China) et sur laquelle nous nous engageons. La récente promulgation de la Loi de Programmation Militaire (au Journal Officiel du 19/12/2013) et son article 20, si controversé l’illustrent.

      Alors, finalement, quel bilan factuel sur les entreprises françaises ?
      En premier lieu, pas ou peu d’impact sur les contrats en cours. Lors des derniers mois, pratiquement aucune société ayant souscris discrètement ou globalement à des offres de cloud de fournisseurs américains n’a dénoncé son contrat. Ce peut être dû à plusieurs paramètres : réversibilité potentiellement complexe, engagement de baisse de coût, charge et aléas d’une rupture contractuelle… Personnellement, je pense que si les contrats n’ont pas été dénoncés, c’est qu’ils ne comportent potentiellement pas de clauses permettant au client de le rompre unilatéralement sur la base des révélations liées à PRISM. En effet, toutes les entreprises américaines interrogées ont toujours été claires sur le fait qu’elles ne pouvaient se soustraire aux injonctions de leur gouvernement, concernant le Patriot Act par exemple. Ce point permet de souligner et de comprendre l’importance du cadre juridique sur les services Cloud, induisant un engagement requis du RSSI dans la négociation et la gouvernance contractuelle du service à rapprocher du modèle « Plan d’Assurance Sécurité » commun dans les services d’externalisation. Donc pas d’impact visible sur les contrats en cours… L’impact est donc sur la partie immergée, c’est- à-dire sur les nouveaux contrats pour lesquels le critère de localisation des services et la nationalité du fournisseur prennent une importance croissante dans les critères de décision.

      Dans la pratique, quelles sont les applications en entreprise ?
      Considérant les offres de Cloud type « Infrastructure as a Service » ou « Platform as a Service », les cas d’usage public, majoritairement rencontrés au sein des entreprises françaises, portent essentiellement sur des systèmes ne comportant pas de données critiques ( des systèmes de développement ou de pré-production par exemple). Une approche privée ou privative semble rencontrer plus de succès dans une optique production plus critique. Typiquement, on ne voit pas ou peu de clients qui installent leur Siebel ou leur SAP sur des Cloud publics.
      En revanche, les approches « Software as a Service », que ce soit sur des briques de communication, collaboration (messagerie, agenda, collaboration…) ou sur des périmètres plus métier (Gestion de la Relation Client), apparaissent beaucoup plus développées. Le fait que le service Cloud porte un engagement global est un gage de succès.
      L’état du marché laisse à penser que l’on passe d’un modèle où les pourvoyeurs d’innovation (développeurs de logiciels) portaient leur solution auprès des divisions métiers qui ensuite s’appuyaient sur leur équipe IT pour la mise en place pratique de cette innovation, vers un modèle « direct » ou l’innovation est « vendue » sous forme de service.
      Cette transformation expliquerait notamment le vif succès des offres « Infrastructure as a Service » et « Platform as a Service » auprès des éditeurs. Mais la sécurité dans tout ça… quel choix pour les entreprises ?
      Aujourd’hui, ne pas intégrer l’évaluation de modèle Cloud dans une stratégie IT constitue une faute et positionner la sécurité comme un frein, une erreur. Comme pour tout changement, le modèle Cloud doit être pesé dans un cadre dépassionné et rationnel de gestion du risque pour les entreprises françaises.

      Ce que l’on peut espérer comme conséquence positive de l’affaire PRISM, c’est que les nuages se dissipent pour permettre d’éclairer cette gestion du risque. Cette transparence permettrait à chacun d’évaluer les contrôles fournis par chaque service, chaque contrôle étant pondéré en regard de la criticité métier propre à chaque cas de figure, tendant à des logiques actuarielles.
      Ce type d’approche commence à se décliner pour aboutir à une inclusion du modèle au niveau de la politique de sécurité. Cette inclusion est permise par la définition d’un niveau de contrôle requis en fonction de la criticité des applications et données considérées.

      Au-delà, la question interpelle également sur la manière dont le sujet sécurité est traité au travers du Cloud. La nature même du modèle fait qu’il peut s’avérer difficile de le rendre conforme aux exigences, ou à la stratégie sécurité du client, sur la base d’un modèle « tout inclus ». Ce problème renvoie à la flexibilité des solutions de Cloud :

      • A supporter des contrôles de sécurité en production :
      – Suis-je capable de positionner mon dispositif de sécurité système d’entreprise et le gérer ?
      – Est-il possible de provisionner mon Cloud avec mes propres solutions et services de sécurité réseaux ?

      • A être intégrées de manière transparente dans les modèles de gestion du risque en continu, de conformité et de gouvernance :
      – Comment collecter et intégrer les logs de mon ou mes cloud(s) dans mon système de cyber surveillance ? Et quels types de logs suis-je capable de collecter ?
      – Comment puis-je m’assurer que les contrôles de sécurité sont conformes à ma politique de sécurité (règles de firewall, couverture anti -virus, gestion des vulnérabilités et des correctifs…) ?

      C’est à ce niveau, à mon sens, que se situe le débat le plus intéressant, renvoyant à des principes de séparation des responsabilités et de spécialisation sur le sujet sécurité dans l’intégralité de ses dimensions.

      Élever le niveau de sécurité
      « Nous avons acquis la certitude que la cyberdélinquance n’est pas le seul sujet à traiter. La réponse aux cybermenaces n’est pas classique, judiciaire : il existe des menaces liées à l’ordre public, au potentiel économique de notre pays. Il convient donc de développer au niveau ministériel au moins, une approche plus globale et transverse, impliquant un axe d’anticipation ; opérationnel et de lutte contre la cybercriminalité », précise le général Poirier-Coutansais, sous-directeur des systèmes d’information au STSI2 (Service des technologies des systèmes d’information et de la sécurité intérieure). Le chemin à parcourir nécessite d’adopter une approche technique et une approche juridique notamment en matière de respect de la liberté. « L’anticipation est importante pour pouvoir concevoir des outils permettant de connaître les usages sur Internet (en respectant l’environnement légal) et protéger les données sensibles, notamment celles à caractère judiciaire. Il est plus difficile d’attaquer une forteresse conçue pour être attaquée », ajoute-t-il. Le CGSP inclut un volet juridique dans ses recommandations invitant à « revoir le cadre (juridique) afin de conduire, sous le contrôle de l’ANSSI et d’un comité technique et éthique ad hoc, des expérimentations sur la sécurité des logiciels et les moyens de traiter les attaques informatiques ». Un problème déjà souligné par Manuel Valls l’an dernier « On compte pas moins de cinq textes législatifs différents traitant de la cybercriminalité, sans compter le code pénal. Un travail de simplification et d’harmonisation s’impose. » avait-il alors déclaré. Le niveau de sécurité des entreprises et des administrations est en effet compromis. Une recommandation importante face « à la recherche dans le domaine de la sécurité (qui) est entravée par de nombreux blocages juridiques. La France s’est dotée d’un arsenal juridique bloquant, condamnant toute réflexion et toute expérimentation sur la vulnérabilité des nouveaux systèmes d’information », ajoute Joël Hamelin.
      La sensibilisation des concitoyens est aussi importante, tout comme celle des entreprises. Les responsables des PME/PMI, en particulier, sont soit inconscients, soit démunis, ne disposant pas d’outils pour mettre en œuvre une analyse du risque et des systèmes de prévention. « L’essentiel en matière de sensibilisation réside dans l’impulsion donnée par les dirigeants à cette question », souligne Joël Hamelin. Quant aux opérateurs d’importance vitale, livrés à eux-mêmes avec nombre de disparités face aux risques, la prise de conscience est amorcée chez certains : « La corrélation des activités ou encore la dépendance aux systèmes d’informations pour ne citer que ces deux, peuvent jouer un impact aux conséquences parfois dramatiques pour les personnels, les clients, les biens, l’information mais aussi l’image de l’entreprise. La fonction de sûreté, longtemps considérée comme une fonction secondaire, devient désormais une fonction stratégique au sein des entreprises », explique Jean-Louis Fiamenghi, directeur de la sûreté Veolia. Mais ce schéma est loin d’être généralisé : « Il peut suffire de quelques clics de souris pour accéder à des fonctions de pilotage et perturber significativement le comportement d’un site industriel. La capture d’écran ci-contre en est l’illustration : il s’agit d’un système de régulation de chauffage accessible en ligne avec login et mot de passe par défaut », explique Thomas Houdy, directeur Innovation au sein du cabinet de conseil en cybersécurité LEXSI. Imposer des exigences de sécurité aux OIV notamment, mais pas seulement, voici l’un des rôles de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ; « des exigences qu’il faut renforcer », souligne le CGSP. Et c’est là, la première recommandation majeure en matière de cybersécurité reprise dans la loi de programmation militaire de décembre 2013 qui confère au Premier ministre de nouvelles prérogatives. L’article 21 de la loi précise que pour la définition de la politique et la coordination de l’action gouvernementale, le Premier ministre est désormais en mesure de donner des instructions aux opérateurs concernés pour garantir la défense de la Nation contre des attaques en cours. Il dispose ainsi de quatre capacités nouvelles : fixer les règles de sécurité nécessaires à la protection des systèmes d’information critiques des opérateurs d’importance vitale ; recevoir les notifications des incidents informatiques touchant ces systèmes critiques ; soumettre les systèmes d’information des OIV à des contrôles de leur niveau de sécurité et décider des mesures que les OIV doivent mettre en œuvre en cas de crise informatique majeure.

      Autre recommandation, développer et mettre à disposition des PME des outils simples pour analyser et gérer le risque. L’ancien patron de l’ANSSI, Patrick Pailloux, n’avait pas manqué de rappeler en fin d’année 2013 « que la sécurité commençait par l’hygiène informatique, un ensemble de mesures élémentaires à appliquer impérativement ». Aussi, l’organisme a publié un guide d’hygiène informatique de 52 pages, reprenant autour de 40 principes les notions de base de sensibilisation, de connaissance du système d’information et de ses utilisateurs, la maîtrise du réseau, la sécurisation des équipements ou du réseau, la protection ou encore la surveillance des systèmes, sans oublier le contrôle d’accès ou encore la réaction en cas d’incident et l’audit de sécurité.

      Analyse & gestion des risques
      La cybercriminalité fait en effet 556 millions de victimes dans le monde chaque année, soit 1,4 million par jour et 18 par seconde selon le rapport Norton 2012 sur la cybercriminalité. La cybersécurité fait désormais partie de la gestion des risques dans les entreprises françaises. Pour élever le niveau de sécurité, tout en tirant profit des avantages d’un Internet ouvert et décentralisé, les organisations et les entreprises doivent adopter une approche globale, une démarche rationnelle et objective d’analyse de risques non plus basée uniquement sur un critère de fiabilité, mais aussi de malveillance. « Celle-ci a pour objectif d’identifier, d’analyser et de hiérarchiser les menaces, les vulnérabilités des systèmes et le patrimoine informationnel », souligne Joël Hamelin. L’analyse des risques et l’identification des données sensibles restent en effet des sujets très importants pour les responsables de la sécurité des systèmes d’information, ainsi que le souligne Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique : « En matière de prévention, il convient d’investir dans la sécurité en produisant des applications sécurisées, d’éprouver et tester nos systèmes et nos applications et d’insister sur la sensibilisation des utilisateurs. » Une sensibilisation accompagnée d’une formation en cybersécurité qui devient un enjeu majeur de réussite et de développement. L’EPITA vient par ailleurs de créer SecureSphere, un centre de formation continue en cybersécurité qui dispense « des formations qui répondent à une triple exigence : technique, juridique et réglementaire », précise le général Fesquet, directeur de la sûreté pour le groupe Michelin. Un premier pas qui doit être accompagné, au sein des entreprises, d’une protection renforcée au moyen de pare-feu par exemple. Une protection qui doit être envisagée sous un angle nouveau avec les sources de connexions multiples, poste de travail, smartphone, tablette… Deux préoccupations qui touchent de plein fouet les systèmes industriels, aujourd’hui fortement informatisés et interconnectés avec les systèmes d’information classiques et Internet. Le directeur général de l’ANSSI avait ainsi souligné « l’impératif de construction d’une stratégie à long terme pour les systèmes industriels, qui sont désormais les systèmes nerveux de nos nations. » L’agence vient ainsi de publier un guide de la sécurité industrielle.
      L’attaque des systèmes industriels est aujourd’hui au cœur des discutions de par « l’apport de nouveaux services aux usagers, la politique de rationalisation des entreprises et enfin la maîtrise des nouvelles technologies », précise Thierry Jardin, directeur des activités de sécurité et gestion des risques chez CGI Business Consulting, et de poursuivre : « Notre dépendance vis à vis de l’information doit conduire aujourd’hui les entreprises à considérer les risques numériques au même rang que les autres risques (marché, environnementaux, juridique, etc.). (…) La maîtrise des risques est également l’affaire d’une prise de conscience de tous au sein de l’entreprise. Elle permettra notamment de combler le manque actuel de coordination en interne, pourtant vitale. » Enfin, il faut savoir détecter, « être capable de reconnaître une attaque. Renforcer les systèmes de détection est aujourd’hui l’une des priorités des RSSI », ajoute Alain Bouillé, et de poursuivre : « La question n’est plus de savoir si une entreprise se fera attaquer, mais quand ? » Savoir réagir donc, et savoir gérer la cyber crise et le sinistre, voici ce à quoi doivent se préparer les RSSI d’aujourd’hui et de demain.

      Sécurité & cyber business
      Impossible d’atteindre un seuil de sécurité optimale dans le monde du cyber, la réalité s’impose à nous. Pour autant, la cybersécurité arbore aussi un angle positif où la démonstration des nombreuses compétences et formes d’excellence que cache la France et notamment en matière industrielle. L’offre nationale doit en effet se structurer pour permettre une meilleure valorisation de ses compétences et saisir les opportunités de développement économique majeures qui s’annoncent. « La mission de l’ANSSI pourrait être élargie à l’accompagnement du développement de l’offre française en solutions de cybersécurité », recommande enfin le CGSP. Quoi qu’il en soit, les industriels ont déjà amorcé le virage aux côtés de petites PME qui pourraient bien tirer leur épingle du jeu à l’échelle européenne et mondiale.

      Aussi, la France compte bien rattraper son retard en matière de cybersécurité. Alors que le groupe interministériel sur la cybercriminalité créé début 2013 par le ministère de l’Intérieur, en coopération avec Fleur Pellerin, ministre déléguée en charge des PME, de l’Innovation et de l’Economie numérique, Christiane Taubira, ministre de la Justice et Aurélie Filippeti, ministre de la Culture et de la communication ; chargé de réfléchir sur quatre des axes évoqués : adaptation de l’arsenal juridique, adaptation de l’organisation en vue d’une mutualisation des actions publiques, adaptation de la stratégie d’enquête et des réponses pénales, et adaptation de l’action de sensibilisation sur les risques liés à Internet devait rendre son rapport en février (attendu en juin puis reporté en novembre 2013), ce dernier est à nouveau reporté. Les conclusions du magistrat Marc Robert devraient être a priori pour la fin mars. Les problèmes d’agenda des différents ministères concernés, sans parler d’une concertation qui semble délicate, n’arrangent rien. Les propositions présentées dans ce rapport devraient inspirer les futurs projets de loi du gouvernement, et en particulier celui relatif aux « droits et libertés numériques », lequel devrait être présenté au Parlement d’ici à l’été.
      Pendant ce temps, le ministère de la Défense vient lui de prendre la main de façon concrète. La présentation officielle du “Pacte Cyber Défense” par Jean-Yves Le Drian, ministre de la Défense, devrait doter la France d’un outil « plus performant » face aux cyberattaques orientées État. C’est ainsi près d’un milliard d’euros qui seront débloqués sur deux ans pour moderniser le système. Loin encore des 50 milliards de dollars dédiés par les États-Unis à la cyberdéfense sur la période 2010-2015 qui vise le développement de capacités d’attaque en matière de cybersécurité, mais plus conséquent que les 800 millions d’euros sur quatre ans, consacrés par le Royaume-Uni (en 2011) à une nouvelle stratégie de cybersécurité avec pour objectifs d’améliorer la résilience aux cyberattaques et créer un environnement sécurisé. De même, l’Allemagne renforce la résilience de ses infrastructures critiques et augmente les moyens mis à la disposition du BSI, équivalent de l’ANSSI (budget de 80 millions d’euros et effectifs de 560 agents en 2012, pour un éventail de missions plus réduit que celui de l’ANSSI).
      Au niveau européen, l’ENISA (European Network and Information Security Agency), créée en 2004, joue un rôle d’expertise et de soutien aux États membres en retard dans le domaine de la cybersécurité. La qualité des guides de procédure qu’elle produit est unanimement soulignée. L’agence n’a cependant pas de responsabilité opérationnelle en raison de la volonté des États membres de conserver leur souveraineté. L’inauguration en janvier 2013 d’un Centre européen de lutte contre la cybercriminalité marque la volonté de l’Union européenne d’agir dans le domaine. Au niveau international, les initiatives sont disparates et l’absence d’accord multilatéral témoigne des désaccords de fond entre les États sur la régulation des réseaux et la gouvernance d’Internet. L’ouverture du Complexe mondial Interpol pour l’innovation, qui ouvrira ses portes à Singapour en septembre 2014 et qui accueillera essentiellement des activités liées aux menaces émergentes à savoir, la lutte contre la cybercriminalité, permettra de « renforcer une collaboration déjà importante avec Europol, et démontre que la cybersécurité est aujourd’hui une priorité pour tous les États du monde », soulignait Mireille Ballestrazzi, présidente d’Interpol dans un précédent entretien accordé à S&D Magazine. Une ouverture possible vers de nouvelles initiatives internationales qui devraient néanmoins rester mineures voire symboliques.

      Des actions concrètes
      La cybersécurité est face à un tournant culturel qui appelle à la fois à l’anticipation, à la prévention et à la sensibilisation, mais aussi à la réactivité et à la répression. Car la cybersécurité, longtemps considérée comme un problème de technologies et de machines, est avant tout un problème d’hommes. Un challenge de taille qui réunit en effet tant les citoyens que les plus hautes autorités de l’État, les dirigeants et salariés d’OIV comme de PME… Qualifiant « d’enjeu stratégique majeur » la sécurité des systèmes d’information des infrastructures vitales de notre pays, et créant un nouveau fonds associant investisseurs publics et privés pour favoriser l’émergence d’entreprises de taille intermédiaire, le gouvernement de Jean-Marc Ayrault, Premier ministre, l’a semble-t-il bien compris. Ce fonds est donc l’un des outils mis en place dans le cadre du plan de la filière cybersécurité, l’un des 34 plans de la Nouvelle France Industrielle, lancés par Arnaud Montebourg, ministre du Redressement productif, il y a 5 mois. Une annonce jumelée avec l’inauguration du nouveau centre de cyberdéfense de l’ANSSI qui devrait voir ses effectifs passer de 350 à 500 agents d’ici à 2015.
      Par ailleurs, pour assurer la sécurité des systèmes d’information de l’Etat, le chiffrement des réseaux sera systématisé. Lors de leurs achats de produits et service de sécurité informatique, les administrations de l’Etat devront choisir des produits et services labellisés par l’ANSSI. Le Premier ministre a ainsi rappelé « L’effort que nous déployons en faveur de la sécurité des systèmes d’information est aussi une des clés de la protection des libertés publiques et de la vie privée » et de poursuivre « la France soutient en Europe une politique ambitieuse d’autonomie stratégique dans le domaine du numérique afin de ne pas dépendre de tiers pour héberger et traiter les données des entreprises et des citoyens européens. Ces mesures concourent à la protection de la vie privée des citoyens et à la lutte contre le cyber-espionnage industriel. »
      La sensibilisation et la formation aux enjeux sont enfin essentielles pour des efforts à fournir stratégiques et organisationnels. Un univers de la cybersécurité qui ouvre de belles perspectives en matière de business tant en France qu’à l’export, mais un éco-système qui pourrait aussi recruter, à défaut de cyberdélinquants en croissance, de jeunes têtes bien pensantes et bien remplies qui pourraient trouver un intérêt au monde de l’informatique qui fait face à une demande croissante d’experts en sécurité informatique et en ingénieurs. C’est dans cet objectif qu’a eu lieu, il y a quelques jours, la signature d’un partenariat triennale entre la Fondation Télécom et Thales pour soutenir la formation des ingénieurs de demain et la recherche dans le numérique. « Thales fait de l’innovation une priorité et investit significativement en recherche et technologie. Nous avons une politique ouverte sur l’extérieur et entretenons un écosystème de collaborations avec des institutionnels, de nombreuses PME et des partenaires académiques de haut niveau qui travaillent sur les mêmes sujets que les nôtres. C’est dans ce contexte que nous avons décidé de joindre nos forces avec celles de la Fondation Télécom » souligne Marko Erman, Senior Vice President, directeur technique de Thales. Un accord qui contribue à renforcer les liens entre la Fondation et l’industriel, qui travaillent d’ores et déjà sur de nouveaux projets communs sur le Big Data par exemple. « Nous travaillons également ensemble sur le recrutement de nos nouveaux diplômés » ajoute Yves Poilane, directeur de Télécom ParisTech. Thales rejoint ainsi le cercle des partenaires de la Fondation Télécom aux côtés de la douzaine d’autres entreprises déjà partenaires de la Fondation : Alcatel Lucent, BNP Paribas, Google, Orange, SFR… Une initiative qui pourrait se reproduire. Guy Roussel, président de la Fondation Télécom espère en effet « convaincre d’autres entreprises au coeur du numérique de nous rejoindre pour agrandir ce cercle high-tech. »
      Enfin, le Gouvernement fait le choix lui aussi de soutenir la recherche et le développement à travers les appels à projets du programme des Investissement d’avenir. « Geneviève Fioraso veillera au développement de la formation des spécialistes en cybersécurité en garantissant sa prise en compte dans les formations informatiques supérieures. » À l’image du gouvernement japonais qui a organisé en février 2013 son premier concours de hacking, destiné à développer un pôle d’expertise en sécurité informatique, la France saura-t-elle susciter la curiosité des nouvelles générations pour la sécurité informatique et le “kind hacking” ?

      The world economy could incur losses of some 3000 billion dollars by 2020 if nothing is done to stop cybercrime. Attacks on computers and networks are becoming more numerous and complex with the development of cyber espionage, cybercrime and governments which use hacking for strategic purposes. The methods range from denial of service, network or service saturation, software tampering to social engineering.
      Meanwhile, cloud computing, mobility, use of BYOP (Bring Your own Device) and the development of the Internet of Things increase the vulnerability of IT systems.

      Forward planning is important for designing tools to ascertain usage on the internet and protect sensitive data. The French legislative context too is cumbersome and needs to be simplified and standardised.
      Awareness in the population and businesses is vital. This depends on the impetus given by leaders on this issue. But more needs to be done. Anyone can log on to the internet to access control functions and cause havoc in the behaviour of an industry site… Obliging Operators of Vital Importance to ensure their security is crucial. This is now in law for military programming. The Prime Minister can instruct the operators concerned to guarantee that the country will be defended against any ongoing attacks. Another recommendation is to develop simple tools to make available for SMEs so they can analyse and manage risks.

      French businesses must adopt a global approach with a rational and objective risk analysis system criteria based not just on reliability but also on malicious intent. Awareness must include training in cybersecurity. Protection must be considered from a new angle of multiple sources of logon – desktops, smartphones, tablets, etc.

      From an industry point of view, France is well provided for. The domestic supply still needs to be structured.
      The Defence Ministry recently announced the “Cyber Defence Pact” which will earmark about two billion euros over two years for modernising the system. This is nothing like the 50 billion dollars that the United States has set aside for cyber defence from 2010 to 2015, but a lot more than the 800 million euros the United Kingdom is allotting over four years.
      Germany is strengthening its critical infrastructure resilience and boosting the means available to the BSI. The inauguration in January 2013 of a European Centre for the fight against cybercrime marks the willingness of the EU to act in the field. At international level, initiatives remain disparate and the lack of multilateral concurrence reflects the fundamental disagreements between states on the regulation of networks and governance of the internet. Nevertheless, the opening of the Interpol Global Complex for Innovation in Singapore in September 2014 shows that cybersecurity is a priority for all the world’s governments.

      Cybersecurity is facing a cultural shift that calls not only for anticipation, prevention and awareness, but also responsiveness and repression. It is a big challenge that unites citizens and the highest state authorities, directors, and employees of organizations of vital importance such as SMEs. France has created a new type of funding combining public and private investors to promote the emergence of midsize companies, and the ANSSI cyber defence centre should see its numbers swell from 350 to 500 workers by 2015. Network encryption will be systematized and when government departments come to purchase their computer security goods and services, they will have to choose ANSSI certified products and services. France supports an ambitious European policy for strategic digital autonomy. These measures contribute to the protection of the privacy of citizens and the fight against cyber industrial espionage.
      Finally, the Government chose to support research and development through bid tenders for the programme of future investment and development in the training of cybersecurity specialists, to perhaps arouse the curiosity of the next generations to consider IT security and « positive hacking.

    • Vers une politique industrielle de la cybersécurité

      Recrudescence des cyberattaques, apparition de menaces contre les systèmes de contrôle industriel et prise de conscience croissante des enjeux liés à la cybersécurité ont fait de ce domaine la nouvelle coqueluche des industriels français, bien décidés à prendre leur part du gâteau dont la valeur mondiale est estimée à 60 milliards de dollars selon PwC, Gartner.

      Un marché dominé par les États-Unis, la Russie et Israël. Voici précisément pourquoi les plus grands dirigeants des leaders du domaine de la cybersécurité se sont réunis à Tel-Aviv fin janvier 2014, pour la conférence CYBERTECH 2014, inaugurée par le Premier ministre d’Israël, Benjamin Netanyahou.

      Dès 2012, Jean-Marie Bockel, sénateur et auteur du rapport “Cyberdéfense : un enjeu mondial, une priorité nationale”, appelait à une politique industrielle renforcée « au service de la souveraineté nationale et du développement économique. Nous disposons déjà d’un trésor avec la maîtrise de technologies clés comme la cryptologie ou la carte à puce », soulignait-il.

      Approche globale & défense active
      Contrairement aux grandes puissances qui affichent une approche offensive à grand renfort d’annonces médiatiques et d’opérations de communication, les industriels français se sont eux distingués jusqu’alors par leur discrétion. Une approche culturelle, sans doute liée à leur implication dans le monde de la défense. Habitués au “confidentiel-défense”, ils ont décidé de braver ce handicap culturel pour privilégier « désormais la sécurité holistique, une approche globale de sécurité identifiée par le ministère de l’Industrie comme l’une des 85 technologies clés pour 2015 », constate Mathieu Poujol, consultant pour Pierre Audoin Consultants. La France, qui accusait alors un retard important, progresse vite avec en tête de peloton les champions nationaux généralistes comme Bull, CyberSecurity de Airbus Defence and Space, Morpho, Gemalto et Thales qui présente son tout nouveau positionnement sur le marché de la cybersécurité. En effet, l’industriel vient d’annoncer le regroupement de ses équipes et de ses compétences en sécurité des systèmes d’information et en systèmes d’information critiques afin de créer la nouvelle business line “Systèmes d’Information Critiques et Cybersécurité”. Cette dernière dispose désormais d’une taille critique capable d’affronter les géants américains avec un demi-milliard d’euros de chiffre d’affaires (hors activité groupe) et près de 5 000 personnes réparties dans 13 pays dont 1 500 experts en cybersécurité. « Les frontières entre ces deux domaines s’estompent. Il était donc logique de les mettre ensemble, dans un objectif de mutualisation, d’une part, puis de réponse globale pour sécuriser l’information critique des clients les plus exigeants », explique Marc Darmon, directeur général adjoint de Thales.
      Sa nouvelle ligne d’activité dispose d’une forte dimension “service” et mobilise des expertises de pointe en matière de R&D. « Thales propose une gamme complète de solutions et de services depuis le conseil en sécurité jusqu’au déploiement d’une force d’intervention rapide en passant par l’infogérance, le Cloud Computing sécurisé et la supervision de la sécurité 24/7 », souligne-t-on du côté de l’industriel. Thales mise ainsi sur son « approche globale et de résilience » en parfaite adéquation avec les nouveaux défis et les nouvelles tendances en matière de cybersécurité pour s’imposer comme le numéro 1 européen, mais aussi accéder à la compétition de niveau mondial « Thales est un partenaire de confiance qui dispose d’une force de frappe de 1 500 ingénieurs basés en France, au Royaume-Uni, en Norvège, aux États-Unis et en Asie Pacifique. » Des engagements qui renforcent le discours tenu par Jean-Bernard Lévy, PDG du groupe Thales, fin 2013 « Thales doit devenir un groupe mondial ». Le groupe touche ainsi tous les publics, organismes publics ou grandes entreprises, grâce notamment à ses centres opérationnels de cybersécurité dont le second vient d’ouvrir en Grande-Bretagne « un centre d’intégration et d’innovation qui permettra, au travers d’une approche collaborative avec ses clients, de développer et mettre en œuvre les mesures de sécurité les mieux adaptées à leur environnement, d’utiliser plus de 6 000 programmes malveillants afin de former les experts en sécurité à protéger les systèmes, identifier les vulnérabilités et réagir aux failles dans un environnement contrôlé et enfin de tester, valider et certifier la sécurité des réseaux, produits et systèmes », expliquent les équipes de Thales UK.
      Au-delà des centres opérationnels, Thales met en avant ses centres de services informatiques et ses 4 data center hautement sécurisés, ses solutions CYBELS View pour une coordination centrale et une solution globale de cybersécurité, son hyperviseur pour un traitement dynamique des risques ; CYBELS Intelligence, une application pour l’analyse des informations issues du web social, CYBELS Maps où l’évaluation dynamique des risques d’un système d’information, TEOPAD, une réponse aux enjeux liés à la mobilité certifiée par l’ANSSI et enfin CYRIS où la sécurité en mode Cloud. Le module appelé CYRIS Broker garantit la protection des données transmises au Cloud en intégrant des fonctions de gestion des identités et des accès associés (autorisations), de chiffrement, de signature et d’anonymisation.
      Thales affiche enfin sa volonté de toucher les Opérateurs d’Importance Vitale (OIV), obligés par la récente loi de programmation militaire à renforcer leurs dispositifs de sécurité informatique. « Les autorités françaises, mais également d’autres pays, ont placé la sécurisation numérique des infrastructures critiques en tête de leurs priorités. Je compte sur cette coopération pour répondre à cet appel par une offre technique du meilleur niveau », explique Vincent Marfaing, vice-président en charge des activités Sécurité des Technologies de l’Information/Cybersécurité en évoquant l’accord de coopération signé avec Schneider Electric pour la cybersécurité des systèmes de contrôle-commande.
      Une consolidation de l’existant donc, « le groupe doit se concentrer sur ses activités et ne pas se disperser » pas question donc « de se cacher derrière des acquisitions pour réaliser nos objectifs. Nous serions dans le déni », précisait Jean-Bernard Lévy.

      Protéger malgré la cyberattaque

      Thales s’associe à Allianz Global Corporate & Specialty SE (AGCS) pour une nouvelle police d’assurance “Allianz Cyber Data Protect”. À la suite d’une cyberattaque, elle garantit les coûts liés à l’intervention et la reconstruction du système d’information, aux conséquences en cas d’interruption opérationnelle d’un système et couvre les frais engendrés par les mesures nécessaires suite à des actes malveillants informatiques et par la restitution de données endommagées ou détruites. Elle couvre la responsabilité civile encourue par l’entreprise assurée vis-à-vis de ses clients suite à des attaques de hackers ou par un déni de service, couvre la violation de données ou encore une communication numérique piratée, protège contre les pertes de revenus dues à des dysfonctionnements. Les frais de la communication de crise, visant à protéger la réputation de l’entreprise, sont aussi pris en charge.

      Les hommes au cœur du dispositif
      Outre la dimension purement technologique, la question des maturités des équipes, encadrement, métiers et informatique, face à la perspective d’une attaque, reste entière. Aussi, Thales et Civipol, structure de formation de cadres de haut niveau du secteur public et des entreprises, lancent la première formation « Gestion des cyber crises » pour dirigeants et cadres.
      Placée sous le timbre de la confidentialité, les cessions personnalisées d’une durée de 5 à 9 jours réparties sur une période de 4 mois, sont réalisées pour l’équipe de direction d’une organisation unique. « C’est un gage de pertinence et de confidentialité », souligne les deux acteurs et de poursuivre : « Mêlant sensibilisation concrète, préparation d’un exercice, sa conduite puis son débriefing, la session “Gestion de cyber crises” permet de découvrir les multiples facettes d’une menace complexe, encore nouvelle, et difficile à appréhender. De plus, l’exercice est fondé sur un scénario de cyber attaque personnalisé, donc très réaliste. »

      Stratégie acquisitions
      L’approche humaine, la nécessaire formation continue des experts ou acteurs en matière de cybersécurité est aussi la conviction de CyberSecurity, l’entité d’Airbus Defence and Space (anciennement Cassidian). Une filiale qui mise également sur l’innovation : « En matière de cybersécurité, les menaces sont en évolution constante. C’est pourquoi nous plaçons l’innovation au cœur de notre stratégie. Nous réfléchissons sans cesse à de nouvelles approches qui permettront de prévenir les cyberattaques de demain. Mais l’innovation n’est pas que technologique. Notre rôle de partenaire conseil des grandes entreprises et des institutions critiques nous amène également, par exemple, à apporter des réponses juridiques aux organisations ayant fait l’objet de cyberattaques », explique Jean-Michel Orozco, directeur général de Airbus Defence and Space CyberSecurity. C’est ainsi qu’est né l’outil Cyber@Risk développé conjointement avec AXA MATRIX Risk Consultants. Un nouveau moyen de piloter et de minimiser activement les risques.
      Parallèlement, CyberSecurity prône en faveur d’une stratégie d’acquisition et une action au niveau européen : « Nous voulons apporter une alternative européenne aux solutions américaines, non seulement dans nos marchés traditionnels à caractère régalien mais aussi dans les industries critiques », confie Jean-Michel Orozco. La filiale qui se voit, renforcée, de quelque 500 millions d’euros alloués par le groupe pour la croissance de son activité de cybersécurité.
      Une stratégie de développement qui consiste également à s’intéresser de près aux PME. C’est ainsi que Netasq et Arkoon ont fusionné pour devenir une filiale 100 % Airbus Defence and Space, proposant tant en France qu’à l’international des solutions de sécurité de bout en bout innovantes pour protéger les réseaux (gamme Fast360 et Netasq), les postes de travail (StormShield) et les données (SecurityBox). Ces solutions de confiance de nouvelle génération, certifiées au plus haut niveau européen (EU RESTRICTED, OTAN et ANSSI EAL4+), assurent la protection des informations stratégiques et sont déployées au travers d’un réseau de partenaires de distribution, d’intégrateurs et d’opérateurs dans des entreprises de toute taille, des institutions gouvernementales et des organismes de défense partout dans le monde. « L’alliance entre Arkoon et Netasq est une excellente nouvelle, tout particulièrement stratégique dans le contexte actuel de structuration du marché de la cybersécurité. En mutualisant nos capacités d’innovation et nos offres, nous sommes prêts à proposer au marché tant en France qu’à l’international les solutions de sécurité de confiance les plus compétitives et performantes pour protéger les réseaux, les infrastructures et les postes de travail », souligne François Lavaste, président du directoire d’Arkoon et Netasq.

      Alors que le 8 avril prochain signera la fin des mises à jour de sécurité sous Windows XP et donc une ouverture de brèche de sécurité majeure, les deux jeunes pousses présentent aux utilisateurs des environnements Microsoft, ExtendedXP, leur offre de sécurité destinée à pallier la fin de support de Windows XP « pour les entreprises qui n’auront pas encore migré ou les systèmes industriels qui ne le pourront pas, les postes sous XP deviendront un cauchemar : maillon faible du SI, ces machines seront le vecteur d’infection privilégié pour perturber l’entreprise », expliquent-ils.

      Un rachat de PME qui ne fait pas figure d’exception.
      Atheos, acteur de la gestion des identités et de la sécurité des systèmes d’information en France a ainsi été racheté, lui, par Orange Business Services en janvier 2013. Grâce à plus d’une centaine de consultants experts en cybersécurité, elle développe des outils offensifs pour pénétrer dans les réseaux informatiques ou capter des communications mobiles. En février dernier, Orange Cyber Defense présentait son centre opérationnel de sécurité. Une visite couplée avec l’annonce du pack cyber défense du ministère de la Défense entachée par la révélation du piratage des quelques 800 000 comptes clients de l’opérateur téléphonique. Du côté des industriels, souvent comparés à une “meute”, on précise sagement « que les cyberattaques ne sont pas une fatalité » que « nous avons les moyens aujourd’hui de lutter. Pour autant, personne n’est à l’abri et le risque 0 n’existe pas. »

      PME d’excellence
      Un marché français boosté par nombre de PME innovantes et dotées d’un savoir-faire d’excellence.
      Des sociétés qui ont décidés de se regrouper au sein d’un cluster, HexaTrust, afin de « proposer une gamme de produits et services de sécurisation des infrastructures critiques performante, cohérente et complète. Nous avons ainsi voulu réunir dans HexaTrust des PME françaises pour proposer une offre alternative crédible et innovante qui réponde aux principales menaces informatiques d’aujourd’hui. Nous voulons maintenant bâtir avec les directeurs informatiques, les RSSI et les officiers de sécurité, les conditions de l’indépendance et la Confiance Numérique dans les entreprises et les administrations », explique Jean-Noël de Galzain, président fondateur de Wallix, l’une des sociétés membres. Investi dans un processus de structuration tant organisationnelle que dans l’offre proposée, le groupement associatif entend cette année accroître la représentativité du cluster et de son offre, tout en développant ses actions business « nous menons actuellement une action ciblée auprès d’Opérateurs d’importance vitale et ce avec l’aide du plan d’accompagnement PME ambition de Systematic Paris-Region. » Ce programme est destiné à l’ensemble des PME technologiques franciliennes des domaines du Logiciel, des Systèmes de l’Electronique et de l’Optique et vise à créer les conditions optimales au développement de ces PME innovantes à fort potentiel de croissance. Un programme soutenu par l’Union Européenne (FEDER en Ile-de-France), l’Etat (DIRECCTE IDF) et la Région Ile-de-France, mené en étroite collaboration avec syndicats et associations professionnelles, fédérations d’entreprises et de PME, financeurs et investisseurs ou encore chambres de commerce et d’industrie, etc. ; qui aborde les thématiques essentielles de stratégie de développement France, l’export, les aides au financement ou encore les relations au cœur de l’écosystème.
      Ainsi, Opentrust, Wallix, Deny All, Ilex, Netheos, Sistech, inWebo, Olfeo, Brainwave, Vade Retro Technology, Arismore et Bertin Technologies souhaitent « accélérer leur développement international en partageant leur expérience, leurs réseaux et leurs moyens d’accès et notamment au Moyen-Orient, en Russie ou dans certains pays européens».

      Vers une structuration de la filière
      Les industries françaises disposent aujourd’hui d’une expertise réelle en matière de cybersécurité, reconnue dans le monde entier. Mais pour aller plus loin, il faut une structuration de l’offre et une véritable politique industrielle. Voici l’un des appels à vœux formulé par nombre de parties prenantes. Un sujet confié pour partie au COFIS, et au CICS qui aspire lui, d’ici aux 3 à 5 prochaines années, à devenir « un comité de filière efficace doté d’une vision prospective commune entre les pouvoirs publics et les industriels, sur une voix unique qui porte la profession auprès des autorités et sur le lancement de démonstrateurs technologiques autour de quelques sujets de souveraineté tels que la cybersécurité, les télécommunications, les bâtiments intelligents et la vidéosurveillance du futur, ceci en canalisant les projets structurants en France au profit de notre industrie », souligne le président du CICS, Hervé Guillou.
      Des propos renforcés par Jean-Bernard Lévy qui estime lui « nécessaire que l’État joue pleinement son double rôle de régulateur et de catalyseur pour que cette industrie au cœur de la souveraineté puisse se développer pour contrer efficacement ces menaces croissantes » et se positionner sur un marché mondial qui avoisinera, d’ici à 2016, près de 86 milliards de dollars…

      PwC, Gartner estimates the global cybersecurity market at 60 billion dollars. This is why French industry has decided to get aligned in this segment and take on the big Americans, Russians and Israelis.
      France, which was lagging way behind, is now making rapid progress led by the national champions in general security such as Bull, Airbus Defence and Space CyberSecurity, Morpho, Gemalto and Thales. Thales recently announced it was merging its teams and skills in information system security and critical information systems into a new business line called “Critical Information Systems and Cybersecurity” which has now reached critical size with sales of half a billion euros and nearly 5000 people, including 1500 cybersecurity experts, employed in 13 countries. Thales offers advanced R&D expertise and a complete range of solutions and services covering security advice, facilities management, secure Cloud Computing, 24/7 security supervision and deployment of a swift intervention force in its bid to become European leader and join the global competition.
      The group spreads its net wide over the general public, public organisations and big corporations with cybersecurity operations centres, the second of which has just opened in the United Kingdom, and a complete range of CYBELS solutions (centralised coordination and global solution for cybersecurity, hypervisor, dedicated social web risk application, dynamic information system risk assessment, issues relating to mobility and security in Cloud mode). In conjunction with Allianz Global Corporate & Specialty SE, Thales is also developing a new insurance policy called “Allianz Cyber Data Protect” to cover damage caused by a cyber-attack.

      The human approach with continuous training of experts or players in cybersecurity is also vital. Thales and Civipol, a training structure for top executives in the public and private sectors, are launching the first course for training executives and managers in “Cyber Crisis Management”.
      CyberSecurity, the Airbus Defence and Space entity (formerly Cassidian) focuses on innovation and its role as advisory partner for big corporations and critical institutions to offer them a legal response to cyber-attacks. This has given rise to the Cyber@Risk tool developed in conjunction with AXA MATRIX Risk Consultants. A new means to control and actively minimise risk.
      The group has earmarked a further 500 million euros for CyberSecurity to boost the growth of its cybersecurity arm. CyberSecurity preaches in favour of an acquisition strategy. This is how two SMEs, Netasq and Arkoon, have merged to become a 100% subsidiary of Airbus Defence and Space and offer the global market end-to-end security solutions to protect networks (Fast360 and Netasq range), workstations (StormShield) and data (SecurityBox).
      When security updates for Windows XP come to an end on 8 April, opening up a major security breach, the two SMEs will be offering users of the Microsoft environment security in the form of ExtendedXP designed as a palliative for the end of Windows XP support.
      Twenty SMEs with skills of excellence have decided to combine their forces in the new HexaTrust cluster and offer a full, powerful and consistent range of products and services for the security of critical infrastructures. Now it remains to build the conditions of businesses’ and administrations’ independence and Digital Trust with their computer managers, CISOs and security officers. Goals for 2014: develop a structure within the cluster and in the offer; develop business actions, especially with operators of vital importance, supported by the Systematic Paris-Region SME ambition guidance plan. They will pursue their export development with a focus on the Middle East and Russia.
      French industry today can rely on serious cyber-expertise with a world reputation. But to go further, the offer needs a structure and a proper French industrial policy. This is the role of COFIS and the government which must fully play its dual part of regulator and catalyser in the fast-growing cybersecurity market which will be worth something in the region of 86 billion dollars worldwide by 2016.

       

       

       

 

PARTAGER TWEETER EPINGLER PARTAGER PARTAGER