La sécurité informatique est devenue un enjeu à la fois gouvernemental, citoyen et business. Ce sont ces trois dimensions qui seront explorées lors du Forum International de la Cybersécurité (FIC) qui se tient à Lille demain et mercredi, 20 et 21 janvier.
Sous le Haut Patronage de Monsieur François Hollande, Président de la République, l’objectif du FIC sera de promouvoir une vision européenne de la cybersécurité et renforcer la lutte contre la cybercriminalité. Avec les différents évènements qui touchent la France, l’Europe et le monde entier, le FIC s’inscrit plus que jamais dans l’actualité.
-
#FIC2015 : cybersécurité et transformation numérique
« Le logiciel dévore le monde », affirmait en 2011 Marc Andreeseen, cofondateur de Netscape, dans une tribune au Wall Street Journal. Et la réalité va sans doute dépasser tout ce que l’on peut imaginer : la transformation numérique, à l’œuvre depuis 30 ans, s’accélère et modifie en profondeur nos modes de vie et nos organisations. Cette sorte de « seconde peau », qui se superpose au monde physique et l’irrigue progressivement, vient bousculer nos processus de conception, de production et de distribution, et du même coup les chaines de valeur traditionnelles. Tous nos secteurs économiques, du primaire au tertiaire, sont touchés. Même chose pour les fonctions au sein des entreprises : le numérique n’est plus simplement l’apanage des spécialistes. La bascule progressive des dépenses IT vers les métiers illustre bien ce phénomène.
Mais cette révolution numérique exige toujours plus de fiabilité et de sécurité pour créer le cadre de confiance indispensable à l’épanouissement de nouveaux usages. Et ce à trois niveaux. Au plan individuel, les données personnelles sont devenues un vrai marché, dont le principal intéressé est d’ailleurs exclu. Sont en jeu la protection de la vie privée et les libertés individuelles. Pour l’entreprise ensuite, le recours à un CRM ou à un ERP dans le « cloud » implique une vision claire des risques et le recours à des solutions de sécurité permettant de maîtriser les données de bout en bout. Sont ainsi en jeu la compétitivité économique et la maitrise des données stratégiques de l’entreprise. Au plan des Etats, enfin, le caractère transnational du cyberespace accélère l’érosion de la souveraineté étatique, d’essence territoriale. Pour réguler au mieux cette transformation numérique, les Etats doivent donc renouveler leurs modes de gouvernance et composer avec d’autres acteurs, entreprises et société civile.Ces trois dimensions seront au cœur des débats de la 7e édition du FIC, consacrée au rôle de la cybersécurité dans la transformation numérique, avec quelques lignes de force qui guideront les travaux.
L’innovation, tout d’abord : les technologies et nouveaux services en matière de sécurité et de confiance numérique peuvent jouer un rôle de catalyseur et d’accélérateur de cette transformation.Les données, ensuite : elles sont le nouvel or noir du XXIe siècle et le carburant de cette transformation. Leur protection, qui figure au cœur de l’agenda numérique européen, est essentielle même s’il faut se garder de tout dogmatisme, sous peine de freiner le développement de nouveaux usages.Le rôle de l’humain dans la cybersécurité, enfin : l’Homme est à la fois le maillon faible, mais aussi potentiellement le maillon fort.Pour aborder ces différents sujets, le FIC 2015 s’est fixé, avec ses partenaires publics et privés, plusieurs ambitions. « Celle de développer une approche multi-acteurs permettant de rassembler offreurs, utilisateurs, sphère publique -dont les collectivités qui jouent un rôle clé en matière de dématérialisation-, monde académique et représentants de la société civile. Celle d’apporter des contenus à plus forte valeur ajoutée, notamment grâce à de nouveaux formats d’ateliers restreints (agora, exercice de simulation stratégique et master class) ciblant des publics déterminés (top management, RSSI, risk managers, etc.). Celle, enfin, de poursuivre l’internationalisation de l’événement. Dans cet espace transnational en mutation permanente, le développement des échanges, des coopérations, des partenariats commerciaux est incontournable. » explique Guillaume Tissier, Directeur général de CEIS.
-
France-Allemagne : une alliance affichée
Le FIC accueillera demain M. Thomas de Maizière, Ministre allemand de l’intérieur, qui inaugurera l’événement avec M. Bernard Cazeneuve, Ministre de l’intérieur français placé sous les projecteurs comme jamais, depuis 2 semaines maintenant. Le développement du numérique, qui représente 660 milliards d’euros de chiffre d’affaires annuel et 5% du PIB européen, est l’une des priorités-phare de la stratégie Europe 2020. D’où l’importance du couple franco-allemand.
« L’Allemagne est en effet, avec la France, aux avant-postes du numérique européen. Après l’affaire Snowden qui a profondément marqué le pays, la souveraineté numérique, et la crainte d’une forte dépendance à l’égard des Etats-Unis, sont au cœur du débat public en Allemagne. Le pays vient ainsi de se doter un agenda numérique ambitieux s’articulant autour de trois axes : le haut-débit, l’innovation et la protection des utilisateurs. » ajoute Guillaume Tissier. Et cela se traduit de façon très concrète. Au plan législatif, un projet de loi permettant de conditionner l’intervention de prestataires informatiques américains dans des domaines sensibles au respect d’un certain nombre d’engagements est en préparation. Quelques mois après le projet français, un projet de loi sur la cybersécurité a également été publié par le Ministère de l’intérieur en août 2014. Il rend obligatoire la notification des incidents pour les entreprises sensibles, élargit les compétences de l’agence nationale chargée de la sécurité des systèmes d’information (le BSI, rattaché au Ministère de l’intérieur) et propose différentes mesures pour renforcer le niveau de cybersécurité.
Au plan industriel, Deutsche Telekom devrait prochainement proposer une offre souveraine, baptisée « Clean Pipe » basée sur l’utilisation d’équipements « made in Germany », ce qui devrait contribuer, moyennant de lourds investissements, à la relance des équipementiers nationaux. L’entreprise travaille également, en partenariat avec les fournisseurs d’accès internet allemands, à la création d’un service de messagerie « national ».
Au plan sociétal, enfin, l’Allemagne a toujours été à la pointe du combat européen en faveur de la protection des données personnelles ou de la neutralité du Net.L’Internationalisation du Forum, espace de dialogue entre l’ensemble des acteurs du numérique, se poursuit donc avec la présence, en plus de l’Allemagne, de plus d’une cinquantaine de pays parmi lesquels la Grande-Bretagne et la National Crime Agency britannique représentée par le Dr Jamie Saunders, Directeur du National Cyber Crime Unit. Ce dernier interviendra aux côtés de Jean-Yves Latournerie, préfet chargé de la lutte contre les cybermenaces, et Sabine Vogt, Head of Direction Serious and Organised Crime du BKA allemand, à la conférence portant sur « les stratégies de lutte anti-cybercriminalité européennes », prévue demain à 12h30.
Seront également présent la Belgique, le Luxembourg, les Emirats arabes unis, l’Estonie ou le Sénégal et les Etats-Unis avec notamment deux acteurs clés de la cybersécurité américaine : le Major General John A. Davis, Senior Military Advisor for Cyber auprès du secrétaire de la Défense des États-Unis, qui interviendra notamment mercredi à 13h15 en conférence individuelle sur le sujet « Quel rôle pour le cyber dans les opérations militaires ? ». Il interviendra aux côtés du vice-amiral Arnaud Coustillière, officier général Cyberdéfense, ministère de la Défense français, et Sorin Durcaru, Ambassadeur Assistant Secretary General for Emerging Security Challenges (OTAN). Le Brigadier General Welton Chase, directeur du C4/Cyber de l’EUCOM (ECJ6), le Commandement des forces des États-Unis en Europe, sera également présent.
A noter également la présence de celui que l’on surnomme « Le gourou de la sécurité » (The Economist), Bruce Schneier qui interviendra en conférence individuelle sur le thème « La réponse à incident, avenir de la sécurité ». Protection et détection ne peuvent vous amener jusqu’à un certain point, et après les abus sont inévitables. En conséquence, la réponse aux abus vient d’entrer au feu de l’actualité. Cette session examinera les forces économiques et psychologiques dans le domaine de la sécurité informatique et décrira l’avenir de « incident response » (IR), et par conséquent l’industrie. La session expliquera comment la technologie de réponse, contrairement aux contrôles préventives, doit augmenter les acteurs plutôt que de les remplacer. Pour comprendre les implications de cette réalité, une approche systèmes théorie à l’IR est exigée. Cette session emprunte une approche de l’US Air Force : « OODA loops ». En s’appuyant sur le cycle de : observer, orienter, décider et agir, cette session montre comment nous pouvons optimiser les efforts d’IR, et comment livrer de précieux renseignements sur ce qui est, sans doute, la discipline la plus cruciale pour le maintien de la sécurité informatique dans la prochaine décennie.
Il livre son analyse de l’attaque contre Sony : une autre leçon à tirer – Par Bruce Schneier
Des milliers d’articles ont décrit l’attaque de décembre contre Sony comme un signal d’alarme pour le secteur. Quelle que soit son origine (le gouvernement nord-coréen, un ex-employé mécontent ou un groupe de hackers indépendants), l’attaque a montré la vulnérabilité d’une grande entreprise et l’impact catastrophique de la publication de correspondances privées et de données confidentielles ou relevant de la propriété intellectuelle.
Si l’enseignement évident à tirer pour les entreprises est qu’elles doivent améliorer leur sécurité contre les attaques, l’attaque contre Sony donne aussi une autre leçon, aussi importante, quoique nettement moins mentionnée : les entreprises devraient avoir une politique volontariste d’effacement des données. Une des tendances sociales de la numérisation de nos outils de communication sociaux et professionnels est la perte de l’éphémère. Ce qui auparavant se disait entre quatre yeux ou par téléphone est désormais écrit, dans des courriels, des SMS ou sur les plateformes des réseaux sociaux. Les notes de service que nous avions l’habitude de lire puis de jeter restent maintenant stockées dans nos archives numériques. Suite aux initiatives en relation avec les mégadonnées (le « Big Data »), nous gardons absolument toutes les données concernant nos clients, dans l’éventualité qu’elles puissent un jour servir.
Tout est désormais numérique, le stockage ne coûte pas cher, donc pourquoi ne pas tout garder ?
L’expérience de Sony illustre pourquoi il vaut mieux ne pas tout garder. Les hackers ont publié d’anciens courriels de dirigeants de l’entreprise, qui ont été pour l’entreprise une grande source d’embarras. Ils ont également divulgué d’anciens courriels d’employés, ce qui est en train de donner lieu à des actions en justice collectives (« class actions ») contre l’entreprise. Ils ont publié des vieux documents. Bref, ils ont tout publié.
Si Sony avait eu une politique volontariste d’effacement des données, bon nombre de ces éléments n’auraient pas été volés, et donc pas publiés. Le corollaire du stockage des données est un risque sécuritaire : le risque de divulgation. Une telle divulgation pourrait être accidentelle. Elle pourrait résulter d’un vol de données, comme dans le cas de Sony. Elle pourrait même découler d’un litige. Mais quelle qu’en soit la cause, la meilleure sécurité contre le risque de divulgation est de ne pas avoir de données à divulguer.
Une politique d’effacement des données à l’échelle de l’entreprise a du sens. Les données des clients devraient être supprimées dès qu’elles ne sont plus immédiatement utiles. Les courriels internes peuvent probablement être effacés après quelques mois, et les autres documents après un à deux ans. Bien sûr, des exceptions existent, et les individus devraient avoir la possibilité d’identifier des documents et des correspondances à conserver plus longtemps. Mais dans tous les cas où la loi n’oblige pas l’entreprise à conserver un type particulier de données pendant une durée prescrite, l’effacement des données devrait être la norme.
Il en a toujours été ainsi, mais nombreuses sont les entreprises à l’avoir oublié à l’heure du Big Data. J’espère qu’à partir de maintenant, nous nous en souviendrons tous.Autre temps fort de l’organisation, l’intervention de Guillaume Poupard, directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) lors de la table ronde plénière intitulée « Faut-il réinventer la sécurité ? » demain à 9h30 ainsi que l’intervention du général d’armée aérienne Paloméros, Supreme Allied Commander Transformation (OTAN) qui interviendra demain également à 11h30 sur « la nouvelle stratégie de cyberdéfense de l’OTAN ».
Des institutions internationales s’ajouteront à cette grand-messe, et notamment la Commission européenne.
A noter enfin la clôture du salon qui sera prononcée par Jean-Yves le Drian, Ministre de la défense, très impliqué depuis sa nomination au sein du gouvernement, dans le chantier de la cyberdéfense
-
La cyberdéfense A LA UNE
La sensibilisation et la formation aux enjeux de la cyberdéfense seront présentées par le réseau de la réserve citoyenne cyberdéfense (RCC), le mastère spécialisé de la conduite des opérations et de la gestion des crises en cyberdéfense des écoles de Saint-Cyr Coëtquidan et la société Défense Conseil International (DCI). Une démonstration menée en temps réel par la Direction générale de l’armement (DGA) illustrera ses travaux en matière d’anticipation de la menace sur les systèmes du ministère.
Le Centre d’analyse en lutte informatique défensive (CALID), expert technico-opérationnel des systèmes d’information du ministère de la Défense, sera également présent pour évoquer ses missions de défense du cyberespace des armées Enfin, le Commandement des forces terrestres (CFT) vous fera découvrir ses capacités dans un contexte de déploiement opérationnel. -
Les ateliers défense
> La cybersécurité dans le domaine maritime
Mardi 20 janvier de 14h à 15h | A09 – Avec la participation de Patrick Hébrard (DCNS)
L’informatique est désormais omniprésente dans le domaine maritime. Pourtant, le secteur souffre d’un retard important en matière de cybersécurité, comme le constate l’ENISA dans un rapport de 2011. Parmi les points sensibles : les systèmes temps réel et SCADA présents à bord des navires, les infrastructures portuaires, les systèmes liés à la navigation, à son contrôle et à la sécurité nautique, les systèmes d’information des réseaux et systèmes de surveillance et de gestion du trafic. Quels sont les risques ? Comment favoriser une meilleure prise en compte de la cybersécurité dans le milieu maritime ? Quelle approche normative mettre en œuvre ?> Accompagner et financer l’innovation
Mardi 20 janvier de 15h à 16h | A13 – En présence de l’ingénieur en chef de l’armement Frédéric Valette, responsable du Pôle sécurité des systèmes d’information, DGA
L’innovation est un facteur clé de compétitivité. Il faut donc la financer, l’accompagner et mettre en place un cercle vertueux associant centres de recherche, entreprises et marché. Nombreux sont les dispositifs mis en place en France et en Europe pour soutenir l’innovation. Quels sont ces dispositifs ? Comment fonctionnent-ils ? Quelles sont leurs contraintes ? Comment accompagner les acteurs innovants dans leur accès au marché ? Comment passer de la bonne idée au prototype, puis du prototype au produit ? L’atelier fera le point sur les dispositifs français (PIA, Rapid, appels à projets régionaux…) et européens (H2020) et réunira à la fois des financeurs et des offreurs.> Prévenir et détecter les fuites d’information, une illusion ?
Mardi 20 janvier de 16h15 à 17h15 | A18 – Avec Philippe Le Bouil, chef du Bureau protection environnement physique et virtuel – DPSD
Alors que le travail collaboratif, le Cloud et la mobilité modifient le mode de fonctionnement des organisations et des utilisateurs, comment prévenir les fuites de données ? Le DLP (Data Loss Prevention), qui regroupe l’ensemble des technologies permettant de localiser, de classer et de surveiller le cheminement des informations sensibles pour une organisation, n’est pas nouveau et réduit considérablement les risques pour une organisation de voir fuiter ses données. Mais ces technologies sont-elles encore adaptées aux évolutions engendrées par la transformation numérique, et notamment l’avènement du cloud computing ? Est-il possible de tracer une donnée une fois celle-ci sortie du périmètre que l’on maîtrise ?> Le rôle du cyber dans les conflits
Mercredi 21 janvier de 11h15 à 12h15 | B06
Affrontements se déroulant intégralement dans le cyberespace ou conflit traditionnel donnant lieu à des attaques informatiques, tous les conflits comportent désormais une dimension cyber, qu’il s’agisse de brouillage des communications, d’espionnage, de guerre psychologique ou de dénis de service distribué (DDOS) massifs. Les conflits estoniens ou géorgiens avaient ainsi donné lieu à des nombreux DDOS, tandis qu’en Ukraine les opérations cyber se sont davantage concentrées sur du renseignement et de la guerre psychologique, par exemple via l’envoi de SMS ciblés. Quel est le rôle joué par le cyber dans les conflits actuels ? L’effet recherché est-il toujours le « soft power » ? Peut-on obtenir du « hard power » à travers des moyens cyber ? Quelle articulation entre moyens cyber et moyens conventionnels ?> Threat intelligence : quels outils et méthodes ?
Mercredi 21 janvier | B07 – en présence de William Dupuy, CALID
Pour compléter les systèmes de protection, les dispositifs de « cyber threat intelligence » sont désormais incontournables. Grâce à une veille à large spectre et à une analyse permanente de l’environnement de l’organisation, ils permettent en théorie de capter des signaux faibles et d’anticiper les menaces. Quelle est la réalité de ces dispositifs ? Ont-ils fait leurs preuves ? Quels sont les technologies, outils et services disponibles sur le marché ?> Quel rôle pour le cyber dans les opérations militaires ?
Mercredi 21 janvier de 15h15 à 16h15 | B15 – Animé par le CA Arnaud Coustilliere, Officier général à la cyberdéfense – EMA cyber – Ministère de la défense et Olivier Kempf, chercheur associé – IRIS
Les opérations militaires dans le cyberespace englobent la sécurité des systèmes d’information, la lutte informatique active et la guerre électronique mais recouvrent également de façon partielle les opérations d’information et le renseignement. Quels sont les doctrines et concepts d’emploi mis en place ? Comment ces opérations s’intègrent-elles dans la conception, la planification et la conduite des opérations militaires ? Quelles sont les organisations mises en place aux plans stratégique, opératif et tactique ?Cette année, le stand Défense accueillera des séances de dédicace :
– Bertrand Boyet pour son ouvrage, Cybertactique : conduire la guerre numérique.
– Stéphane Dosse et Aymeric Bonnemaison pour Attention : cyber ! Vers le combat cyber-électronique.De quoi mettre en valeur et souligner l’importance du continuum sécurité-défense longtemps boudé, et de la coopération en cours et à renforcer de tous les acteurs institutionnels, industriels et européens en matière de cyber. L’émergence d’un partenariat public-privé est assumé. Elle est même décrite « comme l’une des priorités » par les organisateurs1.
1. Le FIC 2015 est organisé par la Direction Générale de la Gendarmerie Nationale, le Conseil Régional du Nord-Pas de Calais et le CEIS.
-
Des PME innovantes à l’honneur
Axelle Lemaire, Secrétaire d’Etat chargée du numérique, viendra, quant à elle, clôturer les travaux de la première journée et remettre le prix de la PME innovante. Le FIC souhaite en effet encourager la recherche et l’innovation dans le secteur de la cybersécurité et valoriser les PME, en les faisant bénéficier de la visibilité et de la dimension internationale du Forum. Sponsorisé par Airbus Defence and Space – Cybersecurity, le « Prix de la PME innovante » distingue chaque année une entreprise particulièrement innovante dans le domaine.
La société Pradeo est le grand vainqueur du Prix de la PME Innovante 2015. Fondé en 2010, Pradeo est un éditeur de solutions de sécurité, spécialisé sur le marché de la sécurité des applications mobiles pour smartphones, tablettes et objets connectés. Pradeo est récompensé pour sa technologie Trust Revealing. Tout comme un iceberg, une application mobile possède une partie visible qui correspond aux actions déclarées de l’application ainsi qu’une partie cachée pouvant correspondre à un ensemble d’actions à risque pour l’utilisateur réalisées à son insu : envois de SMS ou appels automatiques, connexions vers des serveurs malveillants, récupération de votre agenda, de vos contacts, de vos fichiers…, écoute téléphonique, géo-localisation, etc.
Le moteur Trust Revealing™ d’App Scanning est la solution appropriée pour répondre au syndrome Appsberg™.
Trust Revealing™ est un moteur d’analyse comportementale statique et dynamique dédié aux applications privées et aux applications publiques/commerciales tierces téléchargées depuis les stores d’apps. Pour une application donnée, Trust Revealing™ est capable de révéler toutes les actions effectuées par cette application. A travers cette analyse, le moteur vous permet d’obtenir un audit complet de sécurité. Chaque menace est classifiée en trois catégories : VIE PRIVEE, PERTES FINANCIERES ET SECURITE.
Trust Revealing™ effectue une analyse basée sur le code binaire ou le byte code d’une application mobile téléchargée ou déjà présente sur un Smartphone ou une tablette, sans avoir à analyser le code source.
Ce moteur développé par l’équipe R&D de PRADEO est une technologie unique au monde basée sur un système de » Corrélation « . La Corrélation fait le lien entre les données utilisées et les communications établies par une application. Trust Revealing™ est aujourd’hui la seule technologie capable de conclure avec une absolue certitude si une application est saine ou dangereuse pour une entreprise ou ses employés. La PME avait déjà reçu l’an dernier le « prix de l’innovation » lors de l’évènement IT Innovation Forums et terminé lauréat du concours des Trophées de l’International du Numérique. « Bénéficier de cette distinction de la part de nos pairs est une preuve de la qualité de notre savoir-faire, du caractère innovant de notre technologie, fruit de plusieurs années de R&D. C’est en plus une opportunité majeure de faire connaître nos solutions sur le marché français et international de la cybersécurité. » précise Clément Saad, Président et fondateur de Pradeo.Mais cette année, le jury du Prix de la PME Innovante, présidé par Jean-michel Orozco, Président CyberSecurity, Airbus Defence and Space, a également décidé d’attribuer un prix spécial à l’entreprise Tetrane pour encourager un projet de R&D particulièrement innovant. « La vitesse d’innovation est clef pour relever le défi de la cyber sécurité » commente le Président du Jury.
TETRANE apporte une réponse technologique innovante à la forte croissance des attaques informatiques ciblées et sophistiquées exploitant des failles logicielles. La technologie REVEN (REVerse ENgine) conçue et développée par TETRANE depuis 2011 analyse les logiciels sous leur forme binaire exécutable afin d’assister les experts en sécurité et les développeurs logiciels dans leurs travaux de reverse-engineering ou de debug avancés.
À la base de REVEN® (pour REVerse ENgine) se trouve un CPU logiciel symbolique qui peut exécuter le code binaire à analyser, qui peut être considéré comme un émulateur fidèle au matériel. Autour de ce CPU symbolique, TETRANE a également développé les briques d’émulation nécessaires à sa communication avec le reste du matériel : MMU, IRQ/Exceptions, accès matériels via ports, DMA et MMIO, etc.
L’analyse proposée par REVEN® va donc prendre sa source à la frontière entre le logiciel et le matériel : elle englobe le code du système d’exploitation, quel que soit son niveau de privilège (ring3 ou ring0) et remonte jusqu’aux couches applicatives. Cela représente une information riche et complexe, ainsi TETRANE développe également les produits qui permettent d’aggréger, organiser et explorer ces données afin de les exploiter au mieux. Ces produits proposent 2 modes d’analyse : dynamique et statique.
Le mode dynamique est actuellement embarqué dans le produit REVEN-Axion et s’appuie sur l’exécution symbolique d’une trace préalablement enregistrée par l’utilisateur (le scénario). Il est alors possible de naviguer en avant et en arrière dans la trace, d’explorer les registres CPU et données en RAM directement et en n’importe lequel de ses points, d’accéder à la liste des accès en lecture/écriture/exécution de chaque octet, etc.
À ce mode dynamique s’ajoute la possibilité d’analyser localement en statique des portions de code via différents graphes, pour de mieux comprendre sa structure. Enfin, la technologie REVEN® permet l’accès à des fonctionnalités de haut niveau comme le data-tainting ou des informations rarement disponibles sans accès au code source : propagation de la sémantique de l’OS, gestion des strings dynamiques, parcours des accès hardware, etc. Frédéric Marmond, Président – Fondateur de TETRANE exprime à l’annonce de la nomination sa satisfaction et surtout une confortation « nous avançons dans le bon sens et apportons une réponse crédible aux enjeux de cybersécurité. Pour une jeune entreprise comme TETRANE qui travaille au développement de solutions de rupture, ce trophée renforce notre crédibilité ».
-
Les données : nouvel or noir du 21e siècle
Loïc Guézo, directeur de développement sécurité de l’information sur l’Europe du Sud chez Trend micro.Les actualités des derniers jours en France et dans le monde démontrent de la réelle nécessité de renforcer la protection des sites et des données sur Internet. Bien qu’il s’agisse plus d’une « propagande » des terroristes que d’une réelle prouesse de piratage international, des précautions doivent néanmoins être prises pour anticiper un avenir incertain…#OpFrance : des effets d’annonce aux vulnérabilités 0-Day
Les PME et administrations locales, tout comme les grandes entreprises, dépendent d’Internet et des applications Web pour se promouvoir, partager de l’information et échanger avec leurs clients et partenaires. Peut-être sans même en avoir pleinement conscience, les organisations de toutes tailles sont les cibles quotidiennes de défacement de site, déni de service et de tentatives de vol de données. Les plus petites n’ont pas nécessairement l’expertise ou le budget pour s’en protéger efficacement. Certaines délèguent cette responsabilité à leurs prestataires de confiance, mais la plupart ne se protègent pas par manque de compréhension et d’options viables.
En effet, l’opération des derniers jours #OpFrance lancée par les islamistes terroristes à l’encontre de la France, en réponse à l’opération #Op CharlieHebdo initiée par les Anonymous, a laissé d’innombrables traces sur la toile et dans tous les médias. Utilisation comme à l’accoutumée d’une propagande intempestive, les apprentis hackers terroristes ont donné l’illusion d’une attaque cyber de grande ampleur. Or « nous sommes face à des défacements de site en nombre – 19000 sites attaqués selon le contre-amiral Coustillière, officier général « cyber » au ministère de la Défense – et quelques dénis de service sur des sites à faible ou moyenne audience. » explique Loïc Guézo, directeur du développement Sécurité de l’information pour l’Europe du Sud chez Trend Micro et de poursuivre « ces attaques visibles en nombre impressionnent mais d’un point de vue technique et donc professionnel de la cybersécurité, les attaques ont été lancées sur des sites présentant des défauts de maintenance et des vulnérabilités de premier niveau. Des attaques qui ne nécessitent pas de grandes compétences techniques. » Des effets d’annonce aujourd’hui qui pourrait laisser place à des attaques plus virulentes d’ici à quelques années. Le terrorisme séduit des intellectuels, des scientifiques qui mettent à profit leurs connaissances. « C’est le risque que nous courrons. Notamment l’achat par ces terroristes sur le marché noir des vulnérabilités 0-Day. En achetant ces outillages d’attaques qui sont ni plus ni moins des vulnérabilités inconnues des éditeurs mais détectées par des hackers qui fournissent des efforts intensifs de recherches de failles, les terroristes pourraient alors s’introduire sur les sites les plus sécurisés, et notamment ceux des Opérateurs d’importance vitale (OIV). » Il existe aujourd’hui nombre de solutions développées par des professionnels reconnus et certifiés. Mais il faut aussi avoir « confiance en nos institutions qui réagissent à la menace et se dotent d’outils efficaces, de personnes compétentes et dressent des stratégies pour anticiper les menaces de demain. » conclut Loïc Guézo.
Cloud : la confiance, avant tout
Promouvoir la confiance dans le cloud entre professionnels et utilisateurs. Voici l’une des grandes actions de 2015 en matière de cyber et de protection des données. La confiance dans le Cloud est en effet régulièrement écornée, à tort ou à raison. L’affaire Snowden et la révélation des activités de la NSA n’y sont évidemment pas étrangers.
Certaines sociétés ont donc décidé de se regrouper au sein d’une association. Cloud Confidence née en 2014 et réunit à ce jour 15 partenaires, aussi bien fournisseurs que spécialistes de l’écosystème ou utilisateurs (ADEC, Aspaway, Association des DSI des Académies (ADSIA), CEIS, DenyAll, EasyVista, Edicia, Eptica, Iteanu Avocats, Oodrive, Orange Cloud for Business (filiale d’Orange Business Services), Scalead, Telehouse et Waycom).
L’association Cloud confidence s’est donnée pour objet, notamment de fédérer les acteurs européens de la filière cloud autour de la question de la protection des données clients et des données stratégiques de l’entreprise, de définir un cadre de référence permettant aux entreprises de connaître la législation dans le domaine du cloud et, à terme, de publier un cadre de certification mais aussi « de clarifier les positions sur le marché du Cloud », explique Olivier Itéanu, son vice-président. « Chacun jure ses grands dieux de sa conformité, assurant ne pas être soumis au Patriot Act américain. Mais le flou demeure », ajoute cet avocat spécialiste du droit des nouvelles technologies.
« Il existe des normes techniques et de sécurité dans le domaine du cloud, mais pas encore de certification visant à instaurer cette confiance entre clients et fournisseurs. Cloud Confidence a pour vocation de combler ce manque au niveau européen », explique Olivier Darrason, président de l’association et également président de CEIS et ce dernier de préciser la naissance des « premiers contacts en Allemagne, pays où le débat sur la souveraineté des données dans le Cloud est également très vif. » « Juridiquement, ce sera bien une certification et non un label. Pour les acteurs français, c’est une façon de prendre son destin en main : on ne peut pas tout attendre de la loi. » souligne Olivier Itéanu. La certification sera basée sur un audit réalisé par LSTI, un organisme de certification notamment employé par l’Anssi (Agence nationale pour la sécurité des systèmes d’information), ainsi que sur un contrôle annuel. D’autres organismes de certification devraient également proposer le label Cloud Confidence, assure l’association. Qui précise que deux prestataires se sont déjà engagés dans ce processus, l’un ayant obtenu la certification et l’autre étant aujourd’hui proche du but. L’association a défini le référentiel de critères visant à servir de base à la certification. Cette dernière vise à vérifier trois éléments essentiels. La protection de l’information tout d’abord, qu’il s’agisse d’informations personnelles ou relatives aux affaires. « Le prestataire s’engage pour tous types de données à offrir un niveau équivalent de sécurité à celui que propose le règlement européen sur les données personnelles », dit Olivier Itéanu. Second point, très sensible : l’accès, par des gouvernements étrangers, aux données stockées dans le Cloud par des entreprises, à l’insu de ces dernières. Précisément le point qui cristallise les anxiétés des dirigeants européens vis-à-vis de prestataires américains soumis au Patriot Act.
« Un prestataire certifié s’interdit d’appliquer une telle réglementation », précise Olivier Itéanu. Qui indique que les filiales d’entreprises américaines peuvent construire des offres conformes, l’audit vérifiant notamment que ces infrastructures ne sont pas accessibles depuis les Etats-Unis, répertoriant la liste des personnes habilitées à y accéder et validant le fait que l’offre est bien soumise à la loi européenne ou à celle d’un de ses Etats membres. Enfin, Cloud Confidence se penche sur la sécurité du Cloud, en s’appuyant notamment sur les référentiels déjà publiés par l’Anssi. Ce cadre est censé faciliter les choix des entreprises utilisatrices qui, aujourd’hui, n’ont que le recours de l’audit pour évaluer leurs prestataires.DenyAll certifié sur le Cloud
DenyAll annonce que l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) a accordé la Certification de Sécurité de Premier Niveau (CSPN) à i-Suite, son parefeu applicatif de nouvelle génération issu du rapprochement avec BeeWare en mai 2014. Les organismes publics et privés peuvent ainsi renforcer leur sécurité dans le contexte des menaces contemporaines. Il est particulièrement utile aux Opérateurs d’Intérêt Vital (OIV). « A l’issue d’une série de tests effectués par Oppida, organisme d’évaluation agréé par l’ANSSI, l’agence a estimé que le logiciel est conforme à sa cible de sécurité et a validé l’efficacité de ses fonctions de sécurité. Cette certification vient récompenser les efforts continus d’innovation et d’amélioration de la qualité du logiciel i-Suite. » souligne Renaud Bidou, directeur technique chez DenyAll.
Dédié à la sécurisation des applications et services Web avec une forte valeur ajoutée sur la gestion des accès, i-Suite est utilisé par des organismes de toutes tailles pour protéger des sites transactionnels (de types bancaire, administration, support, vente en ligne), des applications critiques (messagerie, ressources humaines, ERP) et des web services (échanges automatisés de données entre serveurs). La qualité des fonctions de sécurité du logiciel i-Suite est nécessaire pour faire face aux menaces modernes, dans un contexte de recrudescence des attaques ciblant les intérêts nationaux et de cyber espionnage à grande échelle.
« La certification par l’ANSSI couronne les efforts entrepris par BeeWare pour faire reconnaitre l’excellence d’i-Suite », explique Jacques Sebag, Directeur Général de DenyAll. « DenyAll est le seul éditeur spécialisé en sécurité applicative à proposer des produits certifiés et qualifiés ».
Alors qu’éditeurs et opérateurs cloud américains coopèrent avec les agences américaines, les solutions de sécurité françaises « fournissent une alternative crédible pour les organismes publics français et les entreprises européennes que ne veulent pas être soumises au diktat du fameux Patriot Act. La loi de programmation militaire incite d’ailleurs les administrations et opérateurs d’importance vitale à sélectionner des produits et services labellisés. » ajoute Renaud Bidou.Projet de loi numérique : vers une République numérique
Axelle Lemaire, la secrétaire d’Etat au Numérique, a présenté mercredi dernier aux députés les grands axes du futur projet de loi sur le numérique. Elle veut renforcer la protection de la vie privée en créant notamment un droit au déréférencement pour les mineurs et un « droit à l’autodétermination informationnelle » ou l’assurance de maîtriser ses données sur Internet.
Axelle Lemaire espère « présenter au Parlement si possible au premier semestre » le projet de loi numérique. Devant quelques députés présents pour le « débat d’orientation pour la stratégie numérique de la France » elle vient de dévoiler les grands axes du texte. « L’objectif du gouvernement est de hisser la France sur le podium des pays les plus avancés numériquement. Nous proposons de tirer parti au maximum de l’économie de la donnée », a expliqué la ministre, invitant les parlementaires à « construire ensemble la République, à l’heure du numérique, la République numérique. »
Le texte traitera en effet majoritairement des données, et surtout des données personnelles. Il comprendra un volet complet sur l’ouverture des donnés publiques (opendata), qu’il faudra « renforcer, élargir. » Thierry Mandon, le secrétaire d’État à la Réforme de l’État et à la Simplification, a précisé que le texte consacrera « le principe de l’ouverture par défaut, le principe de la gratuité de la réutilisation des données et l’encadrement de la perception éventuelle de redevances. » Des pouvoirs seront confiés à l’administrateur général des données, Henri Verdier, et ceux de la CADA (commission d’accès aux documents administratifs) élargis. « Nous réfléchissons à la définition d’une nouvelle catégorie de données, d’intérêt général, qui pourrait par exemple concerner les données de transport », a également indiqué la ministre.
En ce qui concerne la protection de la vie privée. La ministre propose d’« introduire de nouveaux droits. Nous souhaitons que cette économie et cette société de la donnée n’émergent pas au détriment de la protection de la vie privée. Il faut pour cela introduire de nouveaux droits pour les individus dans le monde numérique », a déclaré Axelle Lemaire. La ministre a notamment évoqué plusieurs pistes, « créer une action collective permettant aux usagers de services en ligne de peser plus lourdement face aux géants de l’Internet », « un droit de déréférencement » sur les moteurs de recherche, « voire à l’effacement des données, qui s’appliquerait automatiquement aux mineurs, très friands de réseaux sociaux » mais aussi « l’accès facilité au contenu des informations détenues sur soi par des tiers. » et de poursuivre « Au gouvernement, nous considérons que la donnée personnelle n’est pas une donnée commerciale comme une autre et nous refusons l’idée d’un droit patrimonial sur la donnée personnelle » en réponse au député PS du Maine-et-Loire Luc Belot. « En revanche, il est essentiel d’avoir le droit de disposer librement des données qui nous concernent. Ce concept allemand jurisprudentiel de l’autodétermination informationnelle pourrait être traduit de façon plus simple en droit français. C’est une piste que nous souhaitons explorer », a par ailleurs déclaré Axelle Lemaire.
Déterminée à renforcer cette protection des données personnelles, la ministre propose aussi de « revoir les missions de la CNIL afin de mieux accompagner en amont les entreprises », dans un environnement juridique complexe, mais aussi de « sanctionner plus lourdement » en cas de manquement.
La CNIL a elle-même dévoilé la semaine dernière ses propres propositions sur les évolutions de la loi. Les propositions rendues publiques concernent les quatre principaux acteurs de l’écosystème « informatique et libertés » : la personne, les entreprises, les pouvoirs publics et la CNIL.
Ces propositions sont organisées autour de cinq axes :
• Le renforcement de l’effectivité des droits pour les personnes
• La simplification des formalités et des règles applicables pour les entreprises
• L’amélioration du cadre juridique de certains traitements publics
• Le renforcement des relations entre la CNIL et les pouvoirs publics
• L’adaptation des pouvoirs de la CNIL, notamment en vue de renforcer l’efficacité et la crédibilité de la politique de contrôle et de sanctionLes propositions de modifications législatives doivent notamment tenir compte de deux éléments :
• Le projet de règlement européen : les modifications éventuelles de la loi informatique et libertés devront naturellement être compatibles avec le règlement à venir dont l’adoption définitive est attendue au cours de l’année 2015.
• La cohérence avec les autres pays de l’Union : la législation sur les données personnelles ayant une portée économique croissante, les modifications éventuelles ne doivent pas créer de distorsion entre pays de l’Union mais les bonnes pratiques doivent être valorisées car elles sont un élément de compétitivité.Enfin, la discussion autour d’une réforme du cadre juridique fixé par la loi pourrait être utilement complétée par une réflexion sur la constitutionnalisation du droit à la protection des données personnelles.
Un sujet qui ne devrait pas passer inaperçu sur les allées du FIC
-
L’université pour des hommes en pointe sur la cybersécurité
Depuis plus de 10 ans, la Cybersécurité et la lutte contre la Cybercriminalité constituent l’un des axes stratégiques de l’UTT, tant en termes de recherche que de formation.Trois programmes de formation initiale et continue, uniques en France dans ce domaine, y sont développés : une Licence Professionnelle « Enquêteur en Technologies Numériques », un Master « Sécurité des Systèmes d’Information » et des formations continues sur-mesure à destination des entreprises.Les 2 filières d’ingénieurs en sécurité informatique de l’UTT intègrent naturellement cette dimension. Toutes ces formations sont adossées à un programme de recherche transversal unique en France pour relever les défis d’un monde en constante évolution.
La licence professionnelle « enquêteur technologies numériques », en partenariat avec la gendarmerie nationale
Cette formation s’adresse aux forces de l’ordre francophones, spécialisées dans la lutte contre la cybercriminalité et répond à leurs besoins croissants de formation face à une menace en perpétuelle évolution. Confrontés à la multiplication des risques et des menaces, les connaissances scientifiques, technologiques, juridiques et linguistiques des enquêteurs doivent s’adapter à l’évolution de la cybercriminalité : délits informatiques, pédophilie, fraude aux moyens de paiement… Dispensée en alternance entre l’UTT et le CNFPJ (Centre National de Formation à la Police Judiciaire) de Fontainebleau, cette formation évolue chaque année pour tenir compte de l’apparition constante de nouvelles menaces en matière de cybercriminalité.
La Gendarmerie Nationale confie chaque année à l’UTT la formation d’une vingtaine de gendarmes.La cérémonie officielle de remise des diplômes de Licence Professionnelle « Enquêteur en Technologies Numériques » se tiendra demain lors du FIC 2015, en présence du Ministre de l’Intérieur.
Le master « sécurité des systèmes d’information » SSI : 210 diplômés depuis 2007
Classé parmi les meilleurs masters, MS et MBA (Smbg 2013), ce Master propose :
• une double compétence en sécurité des systèmes d’information : managériale (gestion globale de la sécurité des systèmes d’information) et technologique (terminaux, réseaux, cryptographie…) ;
• une formation construite en totale adéquation avec les besoins des entreprises sur la prévention des risques informatiques ;
• des enseignements relatifs au processus cybercriminalité (réponse à incidents notamment)
• des enseignements plus spécifiques issus de la recherche (analyse de traces, infrastructures de confiance…).2 filières d’ingénieurs en sécurité informatique environ 60 diplômés par an
• La filière « Sécurité des Systèmes et des Communications » propose de former des ingénieurs chargés de concevoir des systèmes sécurisés ainsi que des administrateurs systèmes et réseaux chargés d’assurer la sécurité informatique.
• La filière « Management du Risque Informationnel » s’intéresse aux concepts, méthodes et techniques de traitement de la sécurité dans les systèmes d’information. Elle se propose de former des ingénieurs capables de concevoir, de mettre en oeuvre, d’évaluer la sécurité de systèmes d’information.Les formations continues sur-mesure à destination des entreprises
Ces programmes de formation répondent aux besoins des entreprises qui recherchent des compétences « à la pointe » des évolutions de la cyber-sécurité. En effet, les entreprises doivent continuellement faire face à de nouveaux enjeux en matière de sécurité informatique. L’omniprésence de la technologie sans fil, les systèmes d’information répartis, le cloud computing, le nomadisme, ont profondément modifié et accentué les risques touchant à la sécurité de leurs informations.
Dans un tel contexte, l’UTT propose des modules de formations ad hoc, conçus confidentiellement avec les entreprises et formant à l’évaluation des risques et à la mise en place des solutions de prévention.
Des formations adossées aux recherches de l’UTT
Dans le cadre de ses activités de recherche, l’UTT a développé le programme scientifique transverse « Cybersécurité » au sein de l’Institut Charles Delaunay (ICD) UMR CNRS 6281. Une dizaine d’enseignants-chercheurs et 4 ingénieurs participent à cette activité. L’originalité de ce programme est le regroupement de compétences pluridisciplinaires de différentes équipes de recherche de l’ICD mettant en relation plusieurs domaines des sciences de l’ingénieur et des sciences humaines, notamment en technologies de l’information, traitement statistique de l’information et sociologie.
Les enjeux scientifiques et techniques traités dans le cadre de ce programme sont :
• La sécurisation des données des systèmes d’information (détection d’intrusions et de fuites de données),
• Le développement d’outils de détection et d’aide à la décision pour les enquêteurs (recherche d’informations cachées et de falsifications de données, détection de comportements malveillants sur les réseaux sociaux…),
• La sécurisation des infrastructures critiques (détection d’intrusions dans les réseaux d’eau, réseaux électriques…).Cette activité comporte actuellement une dizaine de projets de recherche pour un budget d’environ 2 M€.
Un rayonnement européen à travers le projet 2centre – puis le CECYF depuis 2014
L’UTT a été le leader français du projet européen 2Centre (Cybercrime Centres of Excellence Network for Training Research and Education), au côté de la Gendarmerie Nationale, de la Police Nationale, de Thalès C&S, de Microsoft France, de l’Université de Montpellier 1 et d’Orange.
Le projet 2Centre est né d’un groupe de travail d’Europol : ECTEG (European Cybercrime Training and Education Group) et d’un rapport publié en 2008 lors de la réunion Octopus de mars 2009, préconisant le développement au sein de l’Union Européenne, d’un réseau d’excellence pour coordonner la formation et la recherche afin de lutter contre la cybercriminalité.
L’aboutissement du projet 2Centre (2010-2013) est la création d’une structure associative : le CECyF (Centre Expert contre la Cybercriminalité Français), créé en janvier 2014. Cette association est ouverte à toutes les structures concernées par le domaine de la lutte contre la cybercriminalité (services d’investigation des départements ministériels, magistrature, industries, établissements d’enseignement et de recherche) et aux particuliers (chercheurs, étudiants).Prochains évènements en matière de cybersécurité
WISG 2015 (3-4 février 2015)
L’Agence Nationale de la Recherche (ANR), en coopération avec l’Université de technologie de Troyes (UTT), organise la 9ème édition du Workshop Interdisciplinaire sur la Sécurité Globale – WISG, qui se tiendra à Troyes. Le WISG est depuis 2007, le rendez-vous annuel et lieu privilégié de rencontre des acteurs de la recherche en sécurité.www.agence-nationale-recherche.fr/WISG-2015
RESSI 2015 (19-22 mai 2015)
Les Rendez-vous de la Recherche et de l’Enseignement de la Sécurité des Systèmes d’Information, sont un évènement scientifique qui aura lieu à Troyes et qui a pour objectif de regrouper et animer la communauté francophone de la recherche et l’enseignement relatifs à la sécurité des réseaux et des systèmes d’information.Découvrez tous nos articles en direct du FIC sur notre site.