Sécurisation européenne des réseaux numériques : un enjeu diplomatique

Par Jean-François Hardy

la fin des années 1970, le ministère suédois de la défense a commandé à la commission Sark un rapport sur la vulnérabilité des « sociétés de l’informatique ». Premier travail d’ampleur sur le sujet, « ce rapport ne se contentait pas d’identifier la vulnérabilité intrinsèque des systèmes d’information mais prenait en compte les conséquences que ces défaillances pourraient avoir sur le fonctionnement plus général des activités sociales qui en dépendent. » 1

La transition numérique que nous connaissons aujourd’hui, couplée à l’interconnexion croissante, accroît la vulnérabilité des opérateurs et des réseaux dont nous dépendons chaque jour davantage pour notre existence. Sécurité, santé, alimentation, énergie, transports, communications, autant de réseaux numériques sur lesquels s’appuient l’architecture de notre société et ses perspectives de croissance et d’emploi pour demain.

L’explosion des cyberattaques comme de leur médiatisation (WannaCry et NotPetya sont deux exemples frappants des derniers mois) accroît la prise de conscience de la vulnérabilité des réseaux numériques. Le NHS britannique, la DeutscheBahn, et d’autres services essentiels, ont ainsi souffert de ces attaques. L’enjeu n’est plus seulement économique, il est devenu sociétal de par les conséquences de l’interruption de certains réseaux vitaux pour la vie collective. Où en sommes-nous des menaces pesant sur les réseaux numériques ? Où en sont les efforts visant à les sécuriser et sont-ils suffisants ? Quelle vision et quelles perspectives pour sécuriser les digital networks dont nous dépendons tant ?

DES MENACES POLYMORPHES PESANT SUR LES RESEAUX NUMERIQUES

Les réseaux numériques sont aujourd’hui sous le coup d’une triple menace permanente : un risque de cyberattaque aboutissant à un déni de service ou à une interruption des opérations ; un risque de cyberattaque résultant en la perte, le vol ou la compromission irrémédiable de données – avec les conséquences afférentes en matière de violation de règles de droit, d’impact sur la réputation et de perte de confiance des consommateurs-utilisateurs, de perte de compétitivité, etc. ; et enfin un risque de perte financière directe à cause d’une fraude. « Une accumulation croissante de preuves suggère que les fraudes au niveau des réseaux servent à financer le terrorisme » souligne Bob Pike, Vice President Global Marketing & Corporate Development à UM-Labs R&D Group. « En tant qu’industriel, notre réponse est inégale. Dans certains domaines, comme les data services traditionnels, la technologie existe pour protéger les systèmes, bien qu’elle ne soit pas toujours correctement utilisée. Mais, les applications les plus récentes comment les ‘‘IP based real-time communication’’ et l’IoT sont moins bien protégés. » 

La menace « externe » n’est plus la seule, la mécompréhension ou l’ignorance de l’importance de sécuriser les réseaux engendre une extrême vulnérabilité. « Une de nos principales préoccupations est le manque de compréhension de certains gouvernements de la nécessité de sécuriser les réseaux numériques, spécifiquement du besoin d’utiliser la technologie cryptographique. Récemment, le Home Secretary du Royaume-Uni a déclaré que les vrais gens n’ont pas besoin de chiffrement’. C’est ignorer le fait que les ‘‘vrais gens’’ dépendent totalement du chiffrement pour leur vie de tous les jours. » raconte Bob Pike. De fait, limiter l’utilisation des technologies de chiffrement dans le but affiché de lutter contre le terrorisme, ou tout autre activité criminelle, comporte le risque de laisser les réseaux vulnérables. Il en va de même pour le développement de back-doors qui fragilisent l’édifice de sécurité. « L’enjeu est de faire comprendre cela aux gouvernements, et qu’ils évitent d’entreprendre des actions qui pourraient endommager les perspectives de l’économie numérique. » résume Peter Cox, Inventor et CEO à UM-Labs R&D.

Outre les gouvernements, les organisations et les opérateurs économiques constituent aussi une menace pour leurs propres réseaux. En 2015, l’OCDE publiait une recommandation intitulée Digital Security Risk Management for Economic and Social Prosperity. Elle y précisait son approche de la sécurité des réseaux numériques : « au lieu d’être traité comme un problème technique appelant des solutions techniques, le risque devrait faire partie intégrante de la stratégie globale de ‘‘risk management’’ et de prise de décision des organisations. » C’est sans doute là que réside une des menaces les moins documentées, et donc un des principaux leviers pour renforcer la sécurité des réseaux numériques.

LA SECURISATION DES RESEAUX : UN IMPERATIF LEGAL ET ECONOMIQUE

La pression pour accélérer la sécurisation des réseaux numériques est tant légale qu’économique. Sur le plan juridique, des réglementations comme le Règlement européen sur la protection des données personnelles (GDPR) ou la directive Network and Information Systems (NIS), constituent une contrainte forte. Applicable en mai 2018 dans tous les pays de l’Union européenne, le GDPR ne vise pas directement la sécurité des réseaux, mais les concerne en s’appliquant à tous les réseaux numériques au sein desquels circulent des données personnelles. « Par exemple, un simple appel à un ‘‘call centre’’ où l’on vous demande de vous identifier tombe sous le coup de cette régulation » précise Peter Cox.

L’impératif économique est bien documenté : compromission de données vitales pour l’activité des entreprises, interruption du service, etc. Peter Cox les classe en deux catégories : pertes directes et pertes indirectes. Mais l’impératif économique croise et ressort renforcé de la contrainte juridique de sécurisation des réseaux qui introduit des mécanismes de sanctions fortement incitatifs. Le GDPR prévoit ainsi des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Le Règlement prévoit également que les incidents de sécurité soient rendus publics, avec les conséquences réputationnelles imaginables.

La directive NIS est la pierre angulaire d’une sécurisation des réseaux numériques à l’échelle européenne. Elle définit et harmonise le régime des Opérateurs de Services Essentiels, grâce à trois critères d’identification qui, pour faire bref, sont i) la criticité du service ii) la fourniture tributaire des réseaux iii) un incident sur le réseau dérangerait sérieusement la fourniture du service. Ce texte liste précisément les obligations qui incomberont aux OSE dès la transposition au printemps prochain, des mesures visant à prévenir la compromission des réseaux à la notification immédiate aux autorités compétentes des incidents significatifs. En France, l’ANSSI et la Loi de Programmation Militaire de 2013 n’avaient pas attendu pour instituer la notion d’Opérateur d’Infrastructure Vitale (OIV). L’apport de cette directive en droit français ne sera pas considérable, mais elle hissera nettement la sécurité des réseaux de nombres de nos voisins et partenaires, ce qui ne pourra que contribuer à la résilience de l’édifice global dont nous sommes membre.

UNE VISION UNIFIEE DE LA SECURISATION DES RESEAUX NUMERIQUES 

Mais, la directive NIS va plus loin que le strict cadre des réseaux vitaux. Elle crée un régime juridique spécifique pour les réseaux et systèmes d’information des fournisseurs de services numériques, c’est-à-dire toute « personne morale qui fournit tout service de la société de l’information. » La directive distingue ainsi les places de marché, les services de cloud et les moteurs de recherche. Elle introduit des exigences minimales de sécurité (sécurité des systèmes, plan de continuation d’activité, notification des incidents majeurs) visant à contraindre ces fournisseurs à sécuriser leurs réseaux. Si les obligations des fournisseurs de services numériques sont moins fortes que les obligations incombant aux OSE, la directive NIS adopte une approche globale de la sécurité des réseaux numériques, une vision unifiée de la sécurité. Cela est d’autant plus vrai qu’elle impose aux Etats membres de se doter d’une autorité compétente pour l’application de la directive, en somme une véritable agence de cybersécurité si elle n’existait pas encore, ainsi que – et c’est sans doute là la nouveauté en la matière – d’équipes de réponse rapide aux incidents, les Computer Security Incident Response Team (CSIRT). L’interconnexion des réseaux européens ne permet plus aujourd’hui qu’au sein d’un Etat, les réseaux pâtissent de vulnérabilités singulières fragilisant l’intégralité de l’édifice.

La directive NIS répond-elle en cela à un des reproches principaux fait par Peter Cox et Bob Pike ? « Beaucoup de soi-disant experts ont une vision en silo. Ils essaient d’appliquer des solutions génériques de sécurité à des problèmes spécifiques. C’est particulièrement le cas avec le VoIP/UC et l’IoT. » Partiellement oui, l’IoT demandera beaucoup de travaux, notamment sur la certification, et le consensus européen n’est pas encore trouvé.

LE DIFFICILE EQUILIBRE EUROPEEN DE LA SECURISATION DES RESEAUX 

Le Président de la Commission européenne, Jean-Claude Juncker, a présenté le 13 septembre dernier un paquet pour la cybersécurité de l’Union. Parmi ses annonces, la refonte du mandat de l’Agence européenne change de la sécurité des réseaux et de l’information (ENISA) a été remarquée. La France a soutenu de longue date l’idée d’un renforcement de l’ENISA, mais le projet présenté par JC Juncker semble aller plus loin, trop ?

La création d’un schéma européen unique de certification (article 49 du projet de Règlement) et le rôle qu’y jouerait l’ENISA – contrôle de l’élaboration et de la validation – préoccupe de nombreux acteurs français du secteur. Hexatrust et l’Alliance pour le Numérique ont ainsi écrit au Premier ministre pour l’alerter. Les savoir-faire nationaux, notamment ceux d’agences bien établies comme l’ANSSI ou son homologue allemand le BSI, seraient gâchés par leur cantonnement à un rôle simplement consultatif. La perspective peut sembler d’autant plus préoccupante que le projet de règlement s’entend pour tous les sujets et toutes les activités.

Ce qui relève de la sécurité de l’Etat et du cœur irréductible de souveraineté nationale pourrait ainsi être transféré au-delà de nos frontières. Si la sécurisation des réseaux numériques ne peut se faire qu’à l’échelon pertinent qu’est l’Europe, trouver un équilibre européen s’avère, comme souvent, un jeu diplomatique complexe. Toute position française en la matière ne pourra être véritablement solide qu’avec la concertation et l’appui du fantastique écosystème cyber dont la France dispose.

1. Warusfel Bertrand, « La protection des réseaux numériques en tant qu’infrastructures vitales », Sécurité et stratégie, 2010/2 (4), p. 31-39