Par Lola BRETON
« On n’a jamais un temps d’avance en matière de sécurité ». Xavier Sanchez, formateur et expert réseau chez Axis Communications, le sait bien. Il œuvre tout de même, chaque jour, à faire en sorte que la cybersécurité soit à l’esprit de tous. Car c’est bien d’un risque généralisé dont il est question aujourd’hui. A l’heure du smartphone universalisé et des objets connectés en pleine expansion, nul n’est à l’abri d’une attaque cyber.
La traçabilité de la supply chain au cœur des préoccupations
Le problème : ces attaques sont protéiformes et émanent d’une multitude d’attaquants, dont il est difficile, parfois, de déterminer les objectifs. C’est pour cette raison que les acteurs de la cybersécurité sont convaincus de la nécessité absolue de maintenir une traçabilité sur toute la supply chain. La stratégie d’Intrinsec, qui regroupe des experts en sécurité informatique comme Julien Homer, est donc de « sécuriser tous les maillons de la chaîne » afin que les attaquants ne trouvent aucune faille et ne puissent pas porter atteinte à l’intégrité du système complet. L’objectif, par exemple, empêcher une prise en main, à distance, de tous les équipements de vidéosurveillance des grandes agglomérations françaises, qui possèdent un parc de caméras de plus en plus important.
La traçabilité de bout en bout est un travail de tous les instants. Le « risque zéro » n’existe pas. Franck Zaida – responsable Sûreté France à la sous-direction de la Sécurité Diplomatique et de la Défense, conseiller à la Direction de la Sécurité Diplomatique et chef du Bureau Technique Sûreté au ministère des Affaires étrangères et du développement international – redoute qu’en obtenant la certification d’une technologie nouvellement acquise, les professionnels oublient que le risque subsiste et évolue : « La vulnérabilité, c’est la maintenabilité ». Vincent Desroches, chef de division adjoint à l’ANSSI estime d’ailleurs que « l’analyse de risques est la pierre angulaire de l’édifice ». Les cyber attaquants eux-mêmes travaillent sur cette analyse pour évaluer les coûts de leurs actions. Pour faire augmenter ces coûts et, ainsi, dissuader les intrusions, les organisations peuvent s’appuyer sur la méthode EBIOS Risk Manager de l’ANSSI, mise à jour en 2018 pour permettre une meilleure gestion des risques cyber.
Lire notre article complémentaire Anticiper et prévoir le risque cyber, c’est déjà agir !
Construire une réponse cyber à l’espionnage et au cyber-terrorisme
« Le ministère est exposé à des menaces, parce que notre richesse, c’est l’information ». Pour Franck Zaida et le ministère, la protection des données institutionnelles et parfois hautement stratégiques est primordiale. Contre les pratiques d’espionnage reprochées à plusieurs Etats ou entreprises – on pense notamment aux accusations qui secouent la firme chinoise Huawei ces derniers mois – il faut bien sûr se munir de réseaux sécurisés pour protéger les données françaises ; mais ce n’est pas tout. Quand il s’agit de protéger les intérêts français, les risques physiques ne peuvent pas être mis de côté. Franck Zaida le souligne, l’avènement du numérique n’a pas effacé les éventualités de tentative d’espionnage d’individus de chair et d’os. La vidéosurveillance IP est, en général, le moyen choisi pour dissuader les esprits malintentionnés qui seraient tentés d’approcher de trop près des informations bien gardées.
Toutefois, ces technologies-là doivent elles aussi être cyber-sécurisées. Depuis les attaques massives de DDoS sur les plateformes Twitter, Netflix, Spotify ou encore LinkedIn, en 2016, les constructeurs et programmateurs de caméras IP sont beaucoup plus vigilants. A l’époque, le programme Mirai avait réussi à détecter des failles dans des dispositifs vidéo, et ainsi pu s’infiltrer dans le système informatique de l’entreprise de services de DNS, Dyn. Pour ne plus se faire attaquer de cette manière, le mot d’ordre est désormais « security by design » ; une pratique à développer rapidement au vu de la démocratisation très rapide des objets connectés en tout genre.
Le cyber-terrorisme : agir aujourd’hui contre une menace future
Quant au cyber-terrorisme, considéré par l’ANSSI comme un risque en devenir mais dont les acteurs ne sont pas encore au niveau, il finira sûrement par inquiéter les entreprises comme les grandes administrations et les collectivités locales. Des attaques cyber massives et paralysantes sont peut-être à prévoir, sur le long terme. Il convient donc de commencer à s’en protéger. La direction de la Sécurité diplomatique a besoin de temps pour se prémunir de ces attaques cyber-terroristes. Comme le rappelle Franck Zaida, « ce qui fonctionne à Paris, ne fonctionne pas forcément à Bamako ou à Karachi ». Des technologies différentes doivent être développées pour s’adapter à l’environnement d’action, et ce sans grande capacité financière de la part des acteurs publics. Pour le bon fonctionnement des systèmes, il prône leur harmonisation.
Contre le cyber-terrorisme, la Direction de la coopération de sécurité et de défense (DCSD) croit en la réunion des forces internationales. L’inauguration de l’école nationale de cybersécurité à vocation régionale de Dakar en novembre 2018 en est la preuve. Ce projet porte la protection de l’intérêt général ; participer à la formation des Etats africains en matière de cybersécurité, c’est œuvrer à rendre la tâche plus difficile aux cyber-terroristes en devenir.
Le rôle cyber de l’Union européenne
Harmonisation et échange ; voilà ce qui doit mener la réflexion future de la cybersécurité. Comme le rappelle Vincent Desroches, l’action internationale est indispensable : « nous ne ferons rien tout seuls ». L’Union européenne s’assure en ce moment-même que la France ne mène pas sans soutien la bataille contre la cybercriminalité et les cyber-attaquants de toute sorte. Dans la lignée de la directive NIS (Network and Information System Security), adoptée en 2016, le « Cybersecurity Act », voté par le Parlement européen le 12 mars dernier, permettra l’uniformisation de la certification au niveau européen, y compris sur les produits et services du quotidien. Le chef de division adjoint de l’ANSSI appelle les acteurs de la cybersécurité à voir ce règlement comme « un levier d’opportunités ».
S’il est un acteur précurseur sur les échanges et l’harmonisation dans l’Union, c’est bien le ministère de l’Europe et des Affaires étrangères. Parce qu’il existe des ambassades franco-allemandes, qui affirment une collaboration forte et historique entre les deux Etats, la dynamique de coopération est en marche depuis un moment. Une fierté pour la direction de la Sécurité diplomatique, qui, pourtant, « par définition, ne fait pas confiance à grand monde », selon Franck Zaida. Pour lui, le « Cybersecurity Act » sera l’occasion de faire prospérer la dynamique en cours, celle du « partage des solutions et des angoisses et de la combinaison des actions et de la recherche ».