Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'ANSSI s'érige contre le cyberarmement des entreprises et une défense purement européenne

Le moment dissuasion
Internet 7 min
L'ANSSI s'érige contre le cyberarmement des entreprises et une défense purement européenne

Pour l'agence de cybersécurité française, il faut que les États conservent le monopole de l'armement informatique, pour éviter un chaos numérique. Elle s'inquiète aussi d'une centralisation européenne de la défense, à court terme, alors que certains pays de l'Union seraient trop en retard pour compter uniquement sur une agence communautaire.

Les entreprises ne doivent pas répliquer elles-mêmes face aux attaques informatiques, selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Dans un discours aux Assises de la sécurité de Monaco, son directeur Guillaume Poupard a insisté sur son aversion à un armement du secteur privé, porte ouverte à toutes les dérives selon lui.

« Je suis très inquiet des propositions faites par certains d'autoriser le « hack back », c'est-à-dire reconnaitre la faillite des États à protéger leurs entreprises et citoyens, et autoriser les entreprises à s'armer et à répondre aux attaques. Je suis parfaitement opposé et effrayé par ce genre d'idée » a-t-il déclaré.

Plus globalement, « nous sommes très inquiets de voir la pente naturelle des choses, qui nous emmène vers un espace numérique devenant de plus en plus un espace de conflit » ajoute le numéro un de l'ANSSI. Ce, alors que la Commission européenne pense centraliser une large part de la cybersécurité au niveau communautaire, un projet auquel l'agence française s'oppose, notamment en matière de certification.

L'armement des entreprises ? « Une abomination »

En soi, l'alerte de l'ANSSI sur les contre-attaques informatiques par les entreprises n'est pas nouvelle. Lors d'une conférence organisée en avril à l'Unesco, son directeur affirmait déjà que « les États doivent impérativement garder le monopole de la violence légitime dans le cyberespace, leur responsabilité unique ».

Garantir une paix dans le numérique deviendrait très difficile si chaque entreprise a les capacités d'attaquer à vue ceux qu'ils voient comme des agresseurs. D'autant qu'attribuer une attaque est encore très difficile aujourd'hui, les risques d'erreurs étant importants, comme l'ont encore montré récemment deux chercheurs de Kaspersky. « Répliquer » peut donc vouloir dire se créer un nouvel ennemi.

Dans un entretien à Libération, le numéro un de l'ANSSI craignait d'entrer dans « un Far West totalement aveugle ».


Le discours sur l'armement des entreprises à 21 minutes

Pour lui, le « hack back » mènerait « à des délires qui nous coûteront extrêmement cher si on n'y met pas un point d'arrêt immédiatement, avant même que cela se développe ». Le sujet est aujourd'hui sensible pour le secteur privé, qui s'étend peu dessus. Le service de messagerie ProtonMail, qui annonçait avoir attaqué un site de phishing en août, a rapidement retiré son message devant l'interrogation d'internautes.

Cette semaine à Monaco, les mots sont devenus encore plus durs, de la part de l'ANSSI. « Autoriser le « hack back », donc des entités privées à contre-attaquer, c'est une abomination. Si on autorise ça, on va vivre des moments extrêmement difficiles », là aussi en raison de la complexité d'attribuer les agressions.

Impliquer l'industrie contre le « hack back »

Devant un parterre d'industriels de la cybersécurité, Guillaume Poupard a demandé des efforts pour garantir les conditions d'une paix numérique. Au-delà du simple fait de transposer le droit de la guerre sur ce nouveau terrain, il estime que le travail reste encore à mener pour le développement de la (sacro-sainte) confiance et de l'économie.

« C'est une bouteille à la mer, à la Méditerranée, que je lance ici. Vous avez un rôle un jouer dans ces domaines, qui sont compliqués. Mais si les spécialistes ne sont pas les premiers à porter une conviction, un message, ce sera extrêmement compliqué. Il y a un vrai sujet à traiter » a appuyé le responsable de l'agence. 

Rappelons que les services de l'État peuvent déjà répliquer au nom de certaines entreprises. C'est l'objet de l'article 21 de la Loi de programmation militaire (LPM) de 2013, qui autorise « répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique ».

La France affiche ses capacités offensives, quand l'armée recrute des « combattants numériques » à tours de bras pour ses besoins de cyberdéfense, DGSE incluse. Les éventuelles répliques de l'État à des attaques de sociétés bleu blanc rouge n'ont pas encore émergé, les pouvoirs publics préférant communiquer sur la défense.

Axe franco-allemand en Europe

L'ANSSI exploite sa légitimité en matière de défense informatique, en tant qu'entité dédiée. La séparation de l'attaque (au ministère des Armées) et de la défense (au sein des Armées mais surtout à l'agence) fait la fierté de la France, face au « mélange des genres » pratiqué par la NSA ou le GCHQ, coincés entre leurs besoins offensifs et défensifs.

C'est surtout le modèle défendu en Europe, où la France vante un alignement franco-allemand sur la cybersécurité, entre ANSSI et BSI. Les deux pays seraient les plus avancés sur la question. Comme nous l'expliquions récemment, le nouveau plan de la Commission européenne pour centraliser de nombreuses tâches de défense via l'agence de cybersécurité communautaire (Enisa) alarme Paris.

Selon l'agence hexagonale, l'Enisa n'est pas prête. « Si elle était amenée à reprendre ce rôle, qui plus est à l'échelle européenne, il faudrait des moyens sans commune mesure avec ceux qu'ils ont aujourd'hui » estime Poupard, avec 120 employés contre 540 pour la seule institution française.

Il serait irréaliste que l'agence européenne devienne une équipe de « pompiers volants » envoyée partout en Europe. « Sans les contacts préalables et l'entrainement, [une telle équipe] va regarder les trains passer, les victimes mourir. Je ne vois pas comment cela peut fonctionner à court terme. »

Il fustige la tentation qu'auraient certains États, peu avancés sur la cyberdéfense, de se reposer sur une seule agence européenne. Pour lui, l'ensemble des pays de l'Union doivent assurer leur propre défense informatique, avec justement l'aide de l'Enisa.

Sa crainte est que des pays européens bien protégés soient attaqués via des voisins bien moins prêts. Il insiste encore sur l'échange d'informations, qui doit être renforcé au niveau de l'équipe de réponse à incident de l'ANSSI (le CERT-FR).

Bientôt un « Visa de sécurité ANSSI »

L'autre alarme face à la Commission européenne est la certification des produits de sécurité, une question ô combien sensible pour la France. En parallèle de l'Allemagne, le pays mène des programmes de certification depuis deux décennies, et ne compte pas lâcher à l'Enisa une telle responsabilité, souveraineté oblige.

Pour certains professionnels rencontrés lors des Assises de la sécurité de Monaco, des labels européens auraient pourtant un avantage certain, évitant d'être passé au crible par chacun des États membres. Sur l'événement, nombre de stands et d'interlocuteurs évoquent une (future) certification par l'agence française, Graal pour entrer dans les recoins sensibles de réseaux de grands groupes et de l'État.

ANSSI certificationn AssisesSI
Un produit n'est pas encore certifié ANSSI ? N'hésitez pas à afficher le logo avec une mention « En cours ». Crédits : Guénaël Pépin (licence: CC by 4.0)

Le directeur de l'ANSSI s'est réaffirmé en faveur de l'auto-certification des objets connectés, pourtant laissée de côté par la Commission européenne dans son plan officiel. La bataille sur le sujet ne semble donc pas encore terminée.

Enfin, l'agence a annoncé un futur « Visa de sécurité ANSSI », pour simplifier la présentation de ses certifications et qualifications de produits de sécurité. L'entité n'avait pas de détails à fournir, ceux-ci devant arriver début 2018. Un diagramme devrait être fourni pour diriger entreprises et administrations vers le niveau de contrôle qui convient.


À noter :

 

Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs. 

27 commentaires
Avatar de KP2 Abonné
Avatar de KP2KP2- 13/10/17 à 07:59:06

J'aime tellement entendre Guillaume Poupard. J'ai l'impression que c'est le seul de tous les responsables et politiques divers et variés de l'administration français qui comprend un peu qqch au net et aux problématiques du high-tech.

Ce type, c'est la voix de la raison.

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 13/10/17 à 08:14:24

Il est Polytechnicien, ingénieur de l'armement, et surtout il a une thèse de doctorat en cryptographie.
donc effectivement je doute qu'il y ait beaucoup d'autres personnes dans l'administration qui sachent mieux que lui de quoi on parle (à part à l'ANSSI bien évidemment, et dans les "services"). :transpi:

Avatar de BSVT Abonné
Avatar de BSVTBSVT- 13/10/17 à 08:21:24

Ils ont raison sur l'inutilité actuelle de l'ENISA mais leur posture de fonctionnaires corporatistes est ridicule, s'imaginent-ils un instant avoir autant d'ANSSI que d'Etats membres ? L'avance franco-allemande, elle existait également dans le spatial et cela n'a pas empêché la création de l'Agence Spatiale Européenne qui est une réussite.

Avatar de BobQuiTue Abonné
Avatar de BobQuiTueBobQuiTue- 13/10/17 à 09:09:56

Personnellement "le monopole de la violence légitime" ça me fait un peu froid dans le dos...

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 13/10/17 à 09:15:09

Malheureusement Poupard se bat dans le vide. C'est la tendance générale de vouloir suivre la loi du Talion. Valls n'a-t-il pas déclaré en tant que PM qu'"on était en guerre" ? Nos attaques font suite à des attaques, qui elles-même sont des répliques à nos agissements envers d'autres pays pendant des années. Bref on ne s'en sort pas. Et cette logique guerrière va s'appliquer au numérique aussi, comme pour tout on suit les Etats-Unis avec quelques années de retard. On veut se faire justice soi-même, que ce soit au niveau individuel, de l'entreprise, ou des états. Nous sommes les gentils, les autres sont les méchants, nous avons donc la légitimité de répliquer. Il ne manque plus que mettre Dieu dans les justifications, et l'affaire sera pliée.

Avatar de KP2 Abonné
Avatar de KP2KP2- 13/10/17 à 09:17:15

hellmut a écrit :

Il est Polytechnicien, ingénieur de l'armement, et surtout il a une thèse de doctorat en cryptographie.
donc effectivement je doute qu'il y ait beaucoup d'autres personnes dans l'administration qui sachent mieux que lui de quoi on parle (à part à l'ANSSI bien évidemment, et dans les "services"). :transpi:

Ouais mais avoir du bon sens, des compétences adaptées à l'époque et l'exprimer en public, ça fait beaucoup pour un fonctionnaire.
Il va pas durer longtemps... :fumer:

BobQuiTue a écrit :

Personnellement "le monopole de la violence légitime" ça me fait un peu froid dans le dos...

Ben ouais mais c'est en partie la dessus qu'est basé un État de droit.
C'est ce principe de base qui assure à la police, l'armée et la Justice sa légitimité.

Avatar de OlivierJ Abonné
Avatar de OlivierJOlivierJ- 13/10/17 à 10:13:57

KP2 a écrit :

Ouais mais avoir du bon sens, des compétences adaptées à l'époque et l'exprimer en public, ça fait beaucoup pour un fonctionnaire.
Il va pas durer longtemps... :fumer:

Je sais qu'on est vendredi, mais tu ne m'as pas habitué à ce genre de propos...

KP2 a écrit :

Ben ouais mais c'est en partie la dessus qu'est basé un État de droit.
C'est ce principe de base qui assure à la police, l'armée et la Justice sa légitimité.

:chinois:

(je suis toujours surpris que certains ne connaissent pas certaines bases)

Avatar de Ricard INpactien
Avatar de RicardRicard- 13/10/17 à 11:21:28

BobQuiTue a écrit :

Personnellement "le monopole de la violence légitime" ça me fait un peu froid dans le dos...

+1. Je ne comprends pas pourquoi la commission européenne ne dit rien sur ce monopole d'ailleurs.:francais:

Avatar de OlivierJ Abonné
Avatar de OlivierJOlivierJ- 13/10/17 à 12:18:09

BobQuiTue a écrit :

Personnellement "le monopole de la violence légitime" ça me fait un peu froid dans le dos...

Un peu de culture :http://la-philosophie.com/letat-detient-le-monopole-de-la-violence-legitime-webe... .

Dans le Savant et le Politique, Max Weber forge le concept politique de violence légitime. Weber définit en effet l’Etat comme l’institution détenant le monopole de l’usage légitime de la force physique :

« un Etat est une communauté humaine qui revendique le monopole de l’usage légitime de la force physique sur un territoire donné » (citations de Max Weber)

Le terme important de cette définition est « légitime ». Car si des personnes ou des groupes peuvent faire usage de la violence, elle n’est en aucun cas légitime. Seul l’Etat est habilité à utiliser la violence sans qu’on puisse lui en dénier la légitimité. Cela fait partie de ses prérogatives légales.Même quand l’Etat autorise les individus à user de la violence (cas de la légitime défense), les individus tiennent cette légitimité de l’Etat, sous forme de délégation.

L’Etat dans la philosophie contractualiste

Cette conception de l’Etat chez Weber prend sa source chez les philosophes contractualistes, notamment Hobbes, chez lequel l’Etat (le Léviathan) naît lorsque les individus acceptent de confier leur volonté à une force supérieure en échange de la sécurité. Or, la sécurité suppose l’usage possible de la violence contre ceux qui la mettrait en danger.

En aval, cette théorie traduit la définition régalienne de l’Etat, laquelle soutient que l’Etat doit se cantonner à des fonctions de sécurité et de sûreté des membres de la société. Ainsi, toute violence autre que celle de l’Etat serait nécessairement illégitime.

Avatar de Omnisilver Abonné
Avatar de OmnisilverOmnisilver- 13/10/17 à 12:29:15

Comme dit dans les autres commentaires, c'est déjà le cas au niveau physique.

Qui est la seule entité qui peut légalement te menotter, t'enfermer, etc ? L’État, qui dispose de ce monopole. Évidemment, pour que ce ne soit pas une dictature, l’État doit également être soumis à la loi ce qui te permet de défendre tes libertés dans les tribunaux.

Sans ce monopole de la violence légale, des milices pourraient décider exercer eux-même leur loi si elles estimaient ne pas être bien protégés par l’État, et la justice ne pourrait pas être respectée : c'est exactement ce qui se passait dans le Far West.

C'est ce que craint l'ANSSI, que des milices privées numériques se forment et finissent par s'affronter, parfois par erreur, et faisant très certainement nombre de victimes collatérales.

Édité par Omnisilver le 13/10/2017 à 12:31
Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • L'armement des entreprises ? « Une abomination »
  • Impliquer l'industrie contre le « hack back »
  • Axe franco-allemand en Europe
  • Bientôt un « Visa de sécurité ANSSI »
S'abonner à partir de 3,75 €