Cybersécurité en Europe : Digital New Deal veut plus de souveraineté et un « contrôle technique » obligatoire

Les ambitions et recommandations de Digital New Deal se font plus précises dès que l'on aborde la souveraineté européenne. Le think tank est animé d'une volonté claire d'émancipation du continent. Parallèlement, il propose un renforcement significatif de la cybersécurité, notamment autour des entreprises.

Dans notre premier article, l'accent était mis sur l'éducation et la formation. Les recommandations de Digital New Deal s'orientent vers un renforcement de la sensibilisation à la cybersécurité, avec un véritable cursus centré sur Pix, déjà en place depuis plusieurs années.

Dans le second volet, plus technique, le think tank propose une série de mesures qui touchent à la souveraineté, avec par exemple la création d'une agence de notation extra-financière européenne, pour en finir avec la main-mise des États-Unis dans ce domaine, ou encore l'équivalent de contrôles techniques obligatoires pour les entreprises. Plus surprenant, l'organisation recommande une utilisation plus générale des mécanismes DPI, pour élargir la recherche de marqueurs à l'ensemble de la population.

• Cybersécurité en France : la délicate question de l’éducation et de la formation
• Cybersécurité en Europe : Digital New Deal veut plus de souveraineté et un « contrôle technique » obligatoire

Security by design : le renforcement des normes européennes

Dans le domaine des failles logicielles, le think tank dresse un sinistre bilan. Il n’est cependant pas propre à Digital New Deal : les détections de failles augmentent d’année en année, ce qu’il faut en partie mettre sur le compte aussi d’une augmentation des compétences et des outils pour les trouver.

Mais le résultat est le même : le nombre d’avis publiés par les CERT, notamment le CERT-IST (Industrie, Services et Tertiaire), qui a noté en 2021 une augmentation de 9 % par rapport en 2020. La courbe le montre d’ailleurs assez bien, l’augmentation est quasi constante. Même chose du côté des failles 0-day, selon une étude du MIT.

Pour DND, cette course-poursuite entre bulletins et mises à jour de sécurité est un problème. « Jusqu’à aujourd’hui, les administrations et entreprises font face à un nombre exponentiel de vulnérabilités à traiter (correctifs ou mesures palliatives) et doivent mobiliser à leurs frais des ressources et appliquer de manière régulière (et parfois en urgence) les correctifs développés par les éditeurs », pointe l’organisation.

Dans un premier temps, elle recommande deux mesures. D’une part, une norme cyber européenne, qui listerait les principes fondamentaux à faire respecter aux industriels. Cette norme imposerait des engagements sur une « vulnerability disclosure policy » (avec sanctions en cas de dysfonctionnement avéré grave) et une obligation de transparence sur les informations nécessaires pour appréhender au mieux les enjeux de sécurité associés aux produits. Cette norme serait obligatoire pour accéder au marché européen.

D’autre part, un diagnostic flash cybersécurité obligatoire pour les entreprises. Elles seraient tenues de le faire réaliser chaque année, avec une analogie claire au contrôle technique des véhicules (le monde automobile est une source inépuisable d’inspiration). Digital New Deal parle également du contrôle d’une alarme anti-incendie, car si tout le monde en comprend l’intérêt, la perception de l’immatériel ne bénéficie pas du même regard.

Les opérateurs télécoms en première ligne dans la détection cyber

L’organisation pointe la maturité des CERT de certains OIV, en particulier EDF et Orange. On s'étonne d'ailleurs que le rapport cite expressément ces deux entreprises, la liste précise des OIV étant confidentielle. Considérés comme supercritiques – leur chute provoquerait un effet domino sur les autres OIV –, ils disposent de mécanismes de défense reconnus.

Le rôle des opérateurs télécoms a par ailleurs été renforcé par la loi de programmation militaire de 2018, l’ANSSI pouvant leur donner des marqueurs techniques à surveiller sur leurs réseaux, pour chercher des compromissions. Si des résultats sont trouvés sur des OIV ou OSE, l’ANSSI peut disposer des informations détaillées sur ces flux, un processus sensible et encadré par l’Arcep.

• LPM 2019-2025 : comment l’ANSSI compte détecter les cybermenaces chez les opérateurs

En conséquence, Digital New Deal recommande un élargissement des capacités de détection par les « telcos » pour inspecter les flux dupliqués sur les points de concentration, pour empêcher tout État ou acteur privé de filtrer certains flux.

Ensuite, le think tank va beaucoup plus loin : il propose d’élargir le périmètre légal de détection au niveau français et européen. Une mission parlementaire, comprenant notamment des ingénieurs, juristes et experts de la CNIL, pourrait travailler sur ce sujet. L’ANSSI, ou un autre membre du comité C4, pourrait alors être chargée de définir les marqueurs, qui seraient alors envoyés aux opérateurs télécoms et appliqués à l’ensemble des entreprises et citoyens. L’Agence, qui ne recevrait des flux détaillés qu’en cas de détection sur un OIV ou OSE, sélectionnerait les marqueurs et serait responsable de la notification aux personnes concernées, physiques ou morales.

Digital New Deal propose donc une généralisation des sondes, avec du sampling pour donner une « météo globale du cyber en France », du DPI (deep packing inspection) pour des recherches plus ciblées sur la base d’informations consolidées par l’ANSSI, ou encore des modes graduels d’inspection pour zoomer/dézoomer sur certaines typologies d’attaque.

Les marqueurs seraient dans la plupart des cas des adresses IP de serveurs C&C (Command and Control). L’analyse du trafic permettrait alors, idéalement, de trouver les victimes. Digital New Deal imagine même que l’alerte pourrait être véhiculée par l’application TousActeursCyber.

Début 2020, l’ANSSI publiait pour la première fois des marqueurs d’une cyberattaque, celle du rançongiciel Maze visant Bouygues Constructions. D’autres ont depuis été mis en ligne et vous pouvez tous les retrouver sur cette page.

Avec cette mesure, le think tank essaye quelque peu de résoudre la quadrature du cercle. Car l’ensemble de ce processus devrait préserver les règles de neutralité de l’internet, garantir les libertés individuelles (et donc impliquer la CNIL), être automatisé et non anxiogène, le tout en s’appuyant sur une infrastructure technique qui n’existe pas. Ou, pour reprendre les vœux de l’organisation, pas encore.

Vers une agence européene de notation du risque cyber ?

C’est la recommandation finale du think tank. Il reprend le modèle existant déjà avec la notation extra-financière, qui comprend en fait un volet risque cyber, sous forme de notation particulière.

Digital New Deal aimerait d’abord la création d’une accréditation européenne pour la notation cyber. L’outil serait avant tout pratique, toujours dans l’optique de faciliter les comparaisons entre structures via un référentiel commun. Il serait aussi éminemment politique, puisque 95 % des agences de notation sont aux États-Unis, avec les risques que cela suppose de distorsion de la concurrence, de conflit d’intérêt, voire de délocalisation du droit. L’accréditation européenne « aurait pour objectif de garantir la fiabilité des mesures, l’indépendance des notes publiées ainsi que l’équité de traitement des entreprises européennes face aux choix d’investissement ou d’assurance liés à l’évaluation externe du risque cyber », explique l’organisation.

Viendrait ensuite la définition d’un modèle normatif européen, qui serait le fruit d’une concertation. Publié au sein des instances européennes, le modèle offrirait une visibilité « instantanée » sur la possible exposition à un lot explicite de risques cyber. Elle rendrait compte de l’aptitude des acteurs concernés à « adresser, analyser et visualiser et partager des prises d’empreintes numériques multiples pour les confronter à des menaces protéiformes », le tout en se basant sur « les techniques actuelles de data management et d’IA ».

Enfin, pour éviter les écarts d’interprétation de la notation, Digital New Deal recommande une certification européenne d’analyste cyber, en créant donc toute la filière de formation qui va avec. Une branchée dédiée serait nécessaire pour évaluer les impacts sur le contexte européen, qu’ils soient politiques, économiques, sociétaux, écologies ou réglementaires.

Il faut rappeler que toutes ces idées ne sortent pas forcément du chapeau de Digital New Deal. Le rapport est intéressant en ce qu'il touche à presque tous les domaines, mais une partie des recommandations va dans le sens d'initatives ou de décisions déjà prises.

Par exemple, le NIS v2 en préparation et le Cyber Security Act vont déjà dans le sens de nouvelles certifications et d'un effort européen harmonisé sur la cybersécurité. Nous nous pencherons d'ailleurs sur la nouvelle version du NIS quand il aura été finalisé.

En résumé, les risques liés devraient être pris, selon le think tank, avec autant de sérieux que ceux liés aux voitures, aux incendies ou à n’importe quel autre péril immédiat. Après tout, « si tout est connecté, tout peut être piraté », pour reprendre les mot d’Ursula von der Leyen.

• La DGSE imagine les cyberguerres du futur, de 2030 à 2060

Budget : assurer le financement par une réinjection des recettes fiscales

Le think tank cite plusieurs flux budgétaires qui pourraient assurer un développement beaucoup plus vif des initiatives pour la cybersécurité. Il propose donc que l’équivalent budgétaire de toutes les taxes, amendes et mises sous séquestre liées au numérique soit réinvesti dans la sécurisation informatique, idéalement au niveau européen, « pour afficher haut et fort une ambition commune de lutte contre la cybercriminalité sur notre continent ».

Cette idée ne sort pas du néant. Digital New Deal rappelle d’abord que le risque cyber est désormais reconnu comme systémique par les compagnies d’assurances depuis deux ans. C’est le troisième risque à être reconnu comme tel, avec le risque pandémique et le réchauffement climatique. Ensuite, déroger au principe d’universalité du budget ne serait pas une première : le ministère de l’Économie a proposé, juste avant la COP26, que les recettes fiscales liées aux énergies fossiles soient fléchées vers la lutte contre le réchauffement climatique.

DND propose la même chose : que toutes les sommes perçues par la CNIL, l’AGRASC (Agence de gestion de recouvrement des avoirs saisis et confisqués), via les taxes GAFAM et autres soient réinjectées dans ce même domaine. La Cour des comptes pourrait définir les priorités d’allocation et assurer un suivi pérenne de la mesure par la suite.

L’appel d’air serait conséquent. En tenant compte des plans d’investissements PIA4, France Relance 2025 et France 2030 et autres, on est actuellement sur 250 millions d’euros par an (dont 180 millions d’argent public) environ pour le renforcement de la cybersécurité. Avec le fléchage suggéré, une manne de 700 millions d’euros par an pourrait être réinvestie.

Le think tank évoque également un rapport de la Cour des Comptes datant de mars et non publié, qui notait « l’éparpillement des compétences de la puissance publique en matière de lutte contre la cybercriminalité ». Pour DND, l’augmentation de la recette fiscale devrait s’accompagner d’une rationalisation des dépenses via une mutualisation des moyens. « Il existe en effet actuellement trop d’initiatives isolées en cybersécurité, la plupart étant très souvent pertinentes et légitimes, mais parfois difficilement en capacité de passage à l’échelle et adressant des problématiques trop ciblées », indique ainsi Digital New Deal.