En avril dernier, Florence Parly, ministre des Armées, et Mounir Mahjoubi, secrétaire d’Etat au numérique ont assisté à la présentation du plan de transformation numérique du ministère des Armées dans le cadre de l’initiative « Action publique 2022 ». Ce plan stratégique, premier de l’ensemble des ministères à être présenté, décline de manière concrète les actions qui seront conduites « Nous entrons aujourd’hui dans le temps de l’action. Ce plan offre des mesures concrètes pour atteindre pleinement nos objectifs et nous saisir de la transformation numérique. » souligne la Ministre des Armées.
Ce plan ambitieux doit permettre de relever plusieurs défis majeurs de cette transformation dont celui de la donnée, d’abord, dont la maîtrise et le traitement sont au coeur de la performance digitale. Le défi de la refondation d’un socle numérique, ensuite, capable de fournir un environnement numérique sécurisé, ouvert et performant pour le ministère.
Six socles sont définis dont le premier porte sur le déploiement de nouvelles technologies. Le ministère des Armées dispose déjà d’une première acculturation à ces nouvelles technologies dans le domaine des systèmes opérationnels grâce aux recherches pilotées par la DGA parmi lesquelles figurent le traitement du langage et des images, la robotique autonome, les systèmes d’entraînement ou encore les systèmes de détection autonomes. En effet, le ministère investit déjà 50 millions d’euros par an dans le dispositif RAPID de soutien à l’innovation duale (c’est-à-dire aux applications à la fois civiles et militaires) des PME.
Les objectifs métiers guidant la transformation numérique, sont également détaillés dont renforcer et industrialiser les capacités de cyberdéfense au profit de l’ensemble du ministère et fiabiliser les décisions et en raccourcir les délais via les solutions numériques, sont notamment évoqués.
Le MIN ARM et l’approche MCS dynamique en continu : une priorité
Ces annonces recueillent un accueil très favorable de la part des PME investies sur ces travaux depuis plusieurs années et déjà engagées, pour certaines, auprès du ministère des Armées. « Nous sommes en effet ravis à l’écoute de ces annonces concrètes du Ministère qui corroborent l’engagement et l’investissement de nombreuses PME dont la notre, EGERIE Software, depuis plus de 5 ans maintenant sur des enjeux tels que l’automatisation et l’industrialisation de l’analyse des risques, la cyberprotection par le dynamique. » explique Jean Larroumets, PDG d’EGERIE Software.
La PME toulonnaise, soutenue par le dispositif RAPID du Ministère des Armées, permet grâce à des solutions innovantes d’industrialiser la cartographie des risques cyber. Elle fait ainsi la démonstration d’un processus « cyberdynamique » par la gestion et la réévaluation dynamique et automatique des risques.
L’évaluation continue du risque adaptatif et de la confiance (CARTA) « permet une prise de décision en temps réel, basée sur le risque et la confiance, avec des réponses adaptatives aux activités numériques sécurisées. » explique Jean Larroumets. Face à l’évolution rapide des cyber menaces de plus en plus robotisées, une approche MCS dynamique en continu est donc inéluctable. Le Ministère des Armées en a par ailleurs fait une priorité. « Notre solution est actuellement déployée au sein du ministère des Armées et auprès de nombreux industriels de la défense et plus d’une centaine de grands comptes. » ajoute Jean Larroumets.
Parmi ces industriels de la Défense qui s’intéressent à cette innovation figure Naval Group. « La croissance des capacités de cybersécurité au sein de Naval group est une véritable priorité pour faire face à l’évolution constante des menaces et maintenir notre leadership. Dès lors, nous accordons une attention et une importance particulière aux innovations portées par les PME du domaine. En matière d’analyse des risques, nous avons collaboré au travers du programme RAPID avec la société EGERIE Software qui a développé un outil de modélisation dynamique des risques qui favorise une approche collaborative tout en assurant une gouvernance. L’outil Risk Manager nous permet notamment d’assurer une meilleure identification et gestion des risques facilitant le processus d’homologation. Nous continuons à travailler avec EGERIE Software pour améliorer la solution et nous envisageons d’étendre son emploi sur nos infrastructures. Avec ce type d’innovation, nous pouvons mieux dialoguer avec nos clients et assurer une compréhension optimale des risques. » témoigne Patrick RADJA – VP CTO Cybersecurity – chez Naval Group.
Les nouvelles obligations réglementaires GDPR, LPM et II901 s’imposent aux entreprises comme aux opérateurs. Toutes ces règlementations obligent à asseoir, dans sa démarche cybersécurité, la gestion des risques et leur cartographie au travers d’un protocole d’homologation, seul gage d’arbitrages efficaces et de l’engagement des Directions Générales.
Aide à la décision et gouvernance
Autre axe majeur du plan de transformation du Ministère des Armées, la gouvernance des données. Là encore, l’analyse de risques est un véritable outil d’aide à la décision qui permet de disposer des indicateurs d’aide à la gouvernance, et de suivi sur l’ensemble du système. « Grâce à ces indicateurs, les experts peuvent se concentrer sur la corrélation et l’agrégation des données intégrées par le personnel impliqué et responsabilisé, en mode distribué. Dès lors, cela se traduit par plus de pertinence et d’efficacité dans les rapports d’analyses produits. »
L’aspect centralisateur et collaboratif, donc multi-utilisateurs de la solution permet de capitaliser les analyses réalisées et les données obtenues. « Le gain de temps généré grâce à l’industrialisation de l’analyse des risques revêt, enfin, en matière de maintien en condition opérationnelle, un plus incontestable. » souligne un membre du Ministère des Armées.
Outiller la méthode EBIOS
Grâce à un moteur d’analyse automatisé, et un moteur de simulation qui élabore, lui, les plans de traitements pour réduire, partager, maintenir, et éviter les risques identifiés, l’outil joue un rôle d’accompagnateur virtuel pour guider l’entreprise dans la construction de ses analyses conformément à la démarche ISO27005 et aux méthodes nationales comme EBIOS. « Nous répondons ainsi à l’appel de l’ANSSI qui souhaite une généralisation des analyses de risques en utilisant la méthodologie EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) » ajoute Pierre Oger, VP EGERIE Software.
Méthode claire avec une approche exhaustive et une démarche adaptative, EBIOS ne fournit pas de recommandations ni de solutions immédiates aux problèmes de sécurité. « Dès lors, notre solution peut permettre un outillage facile, ergonomique et simple de la méthode EBIOS » ajoute Pierre Oger.
« Ces dernières années, les Directions Générales ont réellement pris conscience de l’enjeu cybersécurité et des risques encourus par leur structure. Les RSSI garants de cette démarche de protection auront plus que jamais l’obligation de démontrer à leur direction que l’ensemble des risques a été analysé et que la situation est continuellement contrôlée . Toute menace quelle qu’elle soit ne peut plus être négligée. Cette obligation de maîtrise de la cybersécurité est d’autant plus renforcée par les règlementations du domaine (GDPR, II901, RGS, IGI1300, PCI DSS, etc). Des exigences réglementaires que nous pouvons transformer en nouveau standard de confiance ! » conclut Jean Larroumets.