La semaine dernière, plusieurs annonces importantes ont été faites aux États-Unis sur le thème de la sécurité. Barack Obama a notamment présenté une nouvelle agence qui sera responsable de la concentration des informations sur les cybermenaces. Le président américain veut également obliger les entreprises à mieux communiquer sur les attaques dont elles ont été victimes, pour rendre la communication plus transparente.
Une nouvelle agence pour concentrer les informations utiles
Au lendemain des attentats du 11 septembre 2001, le gouvernement avait été critiqué : pourquoi les attaques n’avaient pas pu être empêchées malgré la débauche de moyens dont disposaient les États-Unis dans le domaine du renseignement ? Outre plusieurs lois, il en était ressorti qu’un manque cruel de communication entre les différentes agences était potentiellement à l’origine de cette défaillance, dont acte : le National Counterterrorism Center avait fait son apparition. Comme le souligne le Washington Post, la crise de sécurité autour du piratage de Sony Pictures a montré que le studio, le FBI, la NSA ou encore la CIA pouvaient intervenir publiquement avec des réponses différentes, créant la confusion.
Voilà pourquoi les États-Unis préparent la mise sur pied d’une nouvelle agence. Baptisée CTIIC, ou Cyber Threat Intelligence Integration Center, elle aura pour mission de concentrer toutes les informations au sujet des menaces de type électronique. L’objectif est simple : si une attaque est détectée ou prévue, les concernés auront un interlocuteur unique pour obtenir une image globale de la menace. Le projet de ce centre n’est pas neuf, mais le Post indique que c’est bien la crise Sony Pictures qui a accéléré les travaux.
Dans sa forme actuellement prévue, le CTIIC embauchera une cinquantaine de personnes et disposera d’un budget de 35 millions de dollars par année (susceptible évidemment d’être révisé). Son rôle sera essentiellement consultatif, dans le sens où il s’agira dans les grandes lignes d’une « banque d’informations ». Il n’aura aucun rôle opérationnel et ne procèdera donc à aucune activité directe de surveillance.
Les entreprises devront communiquer sur les attaques subies
Cette mesure s’accompagne d’une autre annonce importante, faite vendredi par Barack Obama : puisque la volonté de faire mieux communiquer les entreprises sur les attaques subies échoue à passer l’étape du Congrès, elle fait maintenant l’objet d’un décret présidentiel. En d’autres termes, et comme l’explique la Maison Blanche dans un communiqué, les entreprises auront l’obligation de déclarer qu’elles ont été attaquées.
La mesure se concentre sur plusieurs points :
- La promotion de structures qui pourront servir de relais d’échanges d’informations,
- L’obligation pour les entreprises de fournir les détails des attaques subies et donc d’avertir les autorités,
- La mise en commun de certaines ressources et la possibilité pour les entreprises d’accéder plus facilement à des informations classifiées,
- La création, par le Département de la sécurité intérieure (Homeland Security), d’une association à but non lucratif dont la mission sera de faire participer tous les acteurs concernés à la construction de standards auxquels devront répondre les échanges d’informations.
Alors que des entreprises comme Apple, Intel et Bank of America ont déjà indiqué qu’elles s’appuieraient sur la nouvelle structure, on notera certaines zones d’ombres. La plus importante réside dans le rapprochement accentué des entreprises, surtout les plus importantes d’entre elles, avec le gouvernement. Or, dans le sillage des révélations d’Edward Snowden notamment, ces relations troubles ont déjà fait l’objet de critiques acerbes.
Pour autant, la volonté de la Maison Blanche semble surtout de normaliser des flux d’informations qui sont, pour l’instant, disséminés. Les mesures actuellement prises devraient donc d’une part structurer les échanges pour unifier la communication, et d’autre part mettre un certain nombre d’informations en commun. Dans le cas de Sony Pictures, les conclusions auraient sans doute été moins discordantes et la prévention peut-être plus efficace.
En France, la situation n’est pas si tranchée, exception faite des opérateurs de téléphonie, comme indiqué dans l’article 34 bis de la loi modifiée du 6 janvier 1978 de la CNIL. Hors de ce champ spécifique, les entreprises n’ont pas d’obligation particulière de déclarer une brèche dans leurs défenses, mais la CNIL peut enquêter de sa propre initiative, d’autant plus facilement que ses pouvoirs ont été largement renforcés en 2013.
Commentaires (18)
#1
On dirait la création de la Net Force de Tom Clancy.
" /> (Les livres pas les téléfilms).
#2
Pourquoi ne pas créer directement une sorte de cyber police qui irait auditer les sites des entreprises, audit sur la sécurité des comptes; sécurisation des BdD je m’entend.
Du style, on te laisse 15 jours pour sécuriser cela, tu le fais pas, on ferme ton site.
Je pense que ça en calmerait quelques un, du genre Sony qui stocke les MdP en clair, d’autres les adresses des clients voir le n° de CB.
#3
Sans être défenseur des statu quo, personnellement, ça pu le cheval de Troie. Alors oui, l’idée est bonne et charitable, mais je vous rappelle que la NSA faisait aussi la charité en faisant des audits de sécurités….
#4
Sauf qu’ils protègent un peu leurs entreprises et économie.
" />
Je ne pense pas qu’il viendrait à l’idée à Airbus ou Dassault de demander une expertise à NSA.
#5
#6
les SI sont insécurisables, car à la base internet n’a pas été conçu pour.
Ce n’est hélas pas la solution …
Changer nos comportements ne sera, bientôt, plus une option.
#7
Ce fameux CTIIC va donc collecter les infos relatives aux attaques afin de les compulser et essayer d’en déduire quand et où se produira la prochaine attaque, ou bien de détecter des événements suspects.
Un antivirus IRL, quoi.
Sauf que pour la mise en quarantaine, il faudra s’appuyer sur un autre “module” comme les marines.
#8
#9
quand je lis des trucs comme ça, je deviens juste parano même si tout n’est pas forcément vrai….
#10
pfff.
J’en ai juste marre d’avoir raison jour après jour et de me répéter … cela devient : usant.
Notre approche de la communication (au sens large) n’est pas bonne : l’IT en fait partie intégrante !
stp, télécharges Tor (I2P aussi) et vas faire des recherches sérieuses sur le supermarché des failles 0 day (soft ou hard d’ailleurs) site en .onion.
#11
Tu te répètes beaucoup, c’est sûr, mais jamais tu n’as su démontrer que tu avais raison…
Plutôt que me renvoyer vers “des recherches sérieuses”, celle que tu as dû faire donc, peux-tu m’en faire un rapide résumé, en quelques lignes, histoire de connaître ton point de vue…
Si par “insécurisable”, tu entends qu’il est strictement impossible d’avoir un système sans faille, merci mec, on le sait ça.
Cependant, la sécurité, c’est en réponse à des risques. Il y a bien des systèmes sécurisés donc, en regard aux risques auxquels ils font face.
Après, si tu considères qu’un niveau de sécurité n’est pas suffisant, c’est autre chose…
#12
C’est le jeu du chat et la souris .
Au moment ou tu dors : on te tue. La nature quoi !
Donc à moins de laisser une équipe de gars hautement qualifié pour surveiller tes machines, ton réseau , tes flux 24⁄24 /7/7 365⁄365 c’est un combat perdu d’avance, tu penses pas ?
Tu penses pas qu’au lieu de combatre il faille … s’entraider, à bâtir ?
Éliminer la menace par la coopération, la discussion … le partage en somme !
Oui j’ai bouffer du clusif, de l’ansi, de l’EAL etc … j’en suis gavé : et je suis toujours au point de départ !
Comme construire un chateau de sable pendant une marrée montante en somme …
#13
Je n’ai pas compris grand chose à la fin de ton message.
S’entraider à bâtir. Ok. Mais quoi ?
Coopérer sur quoi ? La mise en place d’un SI commum, partager, pour tous ? Le partage de quoi ?
Là où je bosse, dans une université, la DSI a mis en place des moyens de sécurité sur l’appli des notes des étudiants. Il n’est pas utile de mettre un superman devant la machine H24 non. Et ça fonctionne, c’est sécurisé.
Car cette même DSI a identifié les risques et c’est assez clair : c’est principalement les étudiants qui cherchent à y accéder frauduleusement et des génies de l’info, il en passe pas un tout les 20 ans.
C’est évident que si la troupe des meilleurs hackers attaque ce système, il ne va surement pas tenir très longtemps… Normal, ce n’est pas pour cela qu’il a été dimensionné.
Vu le coût du volet sécurité pour une entité et la difficulté de mesurer le retour sur investissement, il vaut mieux taper juste dans l’évaluation des risques et ne pas trop “overkill” sinon, ça ne pourra être accepté.
En ce sens, je trouve l’idée de Zyami pas si déconnante (à laquelle tu réponds “pas possible, pas sécurisable”) , sachant le nombre d’institutions qui délaissent totalement l’aspect sécurité, aboutissant aux “piratages” aberrants que l’on connait.
#14
je ne sais pas quel age tu as … mais peu importe.
tu dis :
“C’est évident que si la troupe des meilleurs hackers attaque ce système,
il ne va surement pas tenir très longtemps… Normal, ce n’est pas pour
cela qu’il a été dimensionné. ”
Mais non tu te trompes, c’est bien là le problème.
Tu prends la distrib kali linux, tu lances metasploit ou beef et n’importe quel pekin peut t’ouvrir en 8 heures.
Il est là le souci, les jeunes qui arrivent sont nés avec ces outils ! (mon gamin fait déjà, à 13 ans, des trucs hallucinants sur les réseaux … : j’aurais jamais pu faire cela à l’époque , on savait pas que c’était possible …)
“En ce sens, je trouve l’idée de Zyami pas si déconnante (à laquelle tu
réponds “pas possible, pas sécurisable”) , sachant le nombre
d’institutions qui délaissent totalement l’aspect sécurité, aboutissant
aux “piratages” aberrants que l’on connaît. “
Une fois de plus , non.
Tu ne te poses pas la bonne question
(c’est souvent le problème quand on a été formater à penser selon certains schémas bien définis par notre chère éducation nationale, penser réellement par soit même)
Poses cette question plutôt :
Pourquoi les sites de l’institution sont attaqués ?
…et pour être fréquemment touché et impacté, je puis te dire que depuis 4 - 5 ans que c’est juste la troisième guerre mondiale sur les réseaux !
Plus personnes n’arrivent à contenir les implosions.
Met moi en face d’un gars qui bosse dans la sécurité informatique, et discutons ensemble, sil il est honnête, tu verras ce qu’il te propose.
peut être me tompe-je …
#15
On doit pas avoir la même définition d’un pekin moyen…
Je ne vois pas vraiment ce que l’age vient faire là.
Pourquoi les sites de l’institution sont attaqués ?
Parce qu’il a du fric à se faire.
Tu proposes quoi alors ? Rééquilibrer les richesses ? Détruire les systèmes économique et financier pour en reconstruire de nouveau qui aurait la particularité de stopper les attaques sur les systèmes d’information car ça n’en vaut plus la peine ?
Si parfois j’en rêve et si je pense que les TIC vont être partie prenante de cette révolution, je ne crois pas que ça en sera la cause. Et je pense surtout que ce n’est pas prêt d’arriver…
Que ton enfant soit déjà un p’tit génie du clavier, c’est chic, tant mieux. Sans doute que le papa n’y est pas pour rien.
Ce n’est certainement pas le cas de tous ces ados. Je suis impatient que tu me démontres l’inverse.
Tu as beau taper sur “notre chère éducation nationale” par tes piques indélicates, et tu as sans doute raison de le faire, c’est pourtant bien de ça dont nous avons besoin, d’éducation.
#16
#17
“Il faut toujours qu’un drame survienne”
Ou tout faire pour que cela se produise afin de déclarer des guerres, mieux piller les autres pays et brimer sa propre population, non ?
#18