Cybersécurité : un mois de sensibilisation, un cadre en plein chamboulement

Cyberprise de tête 8
Accès libre
image dediée
Securité
Guénaël Pépin

L'agence européenne de sécurité informatique, l'ENISA, a lancé hier le Mois de la cybersécurité. En France, le gouvernement multiplie les événements physiques et en ligne pour que les entreprises s'intéressent (enfin) au sujet. L'idée : responsabiliser tout le monde, pas seulement les services de l’État.

 

Ce mois d'octobre, c'est ambiance cyber. L'agence européenne de sécurité informatique, l'ENISA, chapeaute la cinquième édition du Mois de la cybersécurité. En France, une quarantaine d'événements doivent sensibiliser les administrations, entreprises et particuliers à la protection de leurs données. Ils sont officiellement soutenus par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et neuf ministères.

Cette édition arrive en plein chantier en France et en Europe, avec la transposition de la directive NIS (pour mai 2018) et la revue stratégique de la Défense, dont les premières conclusions sont attendues pour la mi-octobre. Lors d'une conférence de presse, hier matin au SGDSN, son secrétaire général Louis Gautier rappelait le besoin de renforcer la cyberdéfense, face à une menace « systémique », qui ne concerne plus seulement l'État.

Une semaine par thème

Cette première semaine de conférences et d'ateliers est consacrée à la sécurité en entreprise. L'urgence, selon les responsables publics, est que les sociétés se protègent, PME comprises. Il faut ainsi que les entreprises mesurent le risque, les besoins et qu’une industrie se mette en place.

« On ne demandera pas à des PME d’assembler des solutions de sécurité » note Guillaume Poupard, directeur général de l'ANSSI, qui veut adapter la réponse à leur taille, avec des services clés-en-main pour les plus petites. Les utilisateurs doivent aussi devenir des « capteurs », plutôt que des vecteurs d'attaque. L'agence rappelle d'ailleurs son cours en ligne (MOOC) SecNumAcadémie, qui compte 35 000 inscrits (contre 10 000 fin mai).

En deuxième semaine, la gouvernance et la protection des données seront centrales, avec l’arrivée en mai du Règlement général de protection des données (RGPD) qui rebat les cartes en matière d’obligations pour les sociétés et de capacités de sanction pour la CNIL. Cette dernière doit rapidement publier une nouvelle documentation, alors que de nombreuses entreprises ne sont pas encore prêtes, notamment sur l'inventaire des traitements de données.

Les Assises de la sécurité de Monaco se dérouleront d'ailleurs cette deuxième semaine, du 11 au 14 octobre.

La troisième semaine se concentre sur la sécurité chez soi, avec le lancement national de la plateforme Action contre la cybermalveillance (ACYMA), censée aider les victimes. Après une ouverture dans les Hauts-de-France en mai, elle sera généralisée dans tout le pays. Enfin, la formation d’experts à la sécurité numérique occupera la quatrième semaine, l'État anticipant une pénurie sur ces métiers.

Pour sa part, l'ANSSI compte prendre toujours plus de place dans les débats européens, qui ne tournent pas toujours en sa faveur. Des sujets dont nous avons parlé avec Guillaume Poupard, son directeur général.

Développer la confiance, sortir de la simple conformité

Comme la Commission européenne, Mounir Mahjoubi martèle le besoin de confiance. « Les 20 dernières années ne sont rien face aux trois à 20 prochaines années » prévient le secrétaire d’État au Numérique. Il anticipe la montée des objets connectés dans tous les foyers et la numérisation massive des entreprises... Dans un monde de plus en plus complexe ou États, acteurs privés et « mercenaires » s’attaquent et collaborent.

Il ne faut donc ni cacher les risques, ni les dramatiser. « Il n’y a pas de sécurité absolue. À un moment ou un autre, vous serez attaqué » lance-t-il, en ajoutant que l’important est d’être prêt à réagir, donc développer les compétences adéquates.

Une clé serait de passer d'une logique de conformité (à savoir remplir des cases pour obtenir un label) à une logique d'expertise. « La conformité a du sens dans plein de domaine. En sécurité, on ne sait simplement pas faire. Donc si on se lance dans la sécurité par la conformité, nous serons déçus après avoir labellisé des produits et des services qui ne seront pas sûrs » estime Poupard.

Revue stratégique, transposition de NIS et dissuasion

Depuis juillet, le SGDSN mène une revue stratégique de la Défense, dont les conclusions doivent être publiées entre la fin 2017 et début 2018. Un premier volet, sur la protection de l’État et des opérateurs d’importance vitale (OIV), doit arriver dans le courant du mois. Il sera suivi d'un élargissement à la société et à la souveraineté numérique, à partir de la mi-octobre.

Un autre morceau important est la transposition de la directive NIS, qui doit s'appliquer en mai 2018. Un projet de loi doit être déposé au Conseil d'État à la mi-octobre, regroupant plusieurs textes. La directive sera traduite a minima, les autres « idées » françaises devant passer par d'autres véhicules par la suite.

La doctrine est claire : « La meilleure défense est la défense », déclare Louis Gautier. Pour ce dernier, il faut accepter « une posture de dissuasion », pour affirmer que « toute agression intentionnelle ne restera pas impunie ». Les moyens la police, de la justice et de l’État (ANSSI comprise) sont en ligne de mire.

L'extension de la protection de 200 OIV à des « opérateurs essentiels » (potentiellement des milliers) doit amener à mieux protéger des acteurs trop petits pour être OIV (comme de petits hôpitaux) ou des secteurs exclus jusqu'ici. TV5Monde (devenu une vitrine de la cyberdéfense française) ou les partis politiques, formés par l’ANSSI à l’occasion de la dernière campagne présidentielle, en sont des exemples.

En Europe, selon le SGDSN, « la France milite pour une maîtrise concertée ». Elle souhaite, entre autres, donner des capacités de protection et de réponse aux entreprises, en évitant le plus possible certaines pratiques, comme le « hack back » (pirater les pirates). La France se déclare donc contre « le tous contre tous, la généralisation du hack back ». S'il y a un partisan du cyberordre, il sera hexagonal, notamment en contrôlant l'exportation de certains logiciels.

Mois cybersécurité Poupard Mahjoubi GautierGuillaume Poupard, Mounir Mahjoubi et Louis Gautier - Crédits : Guénaël Pépin (licence: CC by SA 4.0)

Un CERT-FR en évolution, plus de coopération européenne

Côté défense, le CERT-FR (chargé d'alerter sur les menaces et de répondre aux incidents) a droit à un nouveau site. Exit le look Dreamweaver, bienvenue à une présentation plus moderne, enfin transmise en HTTPS. L'équipe doit aussi voir son travail évoluer.

« La grande priorité que je dois donner au CERT-FR est la capacité à échanger plus d’informations » en Europe (via les CSIRT de la directive NIS), nous répond Guillaume Poupard. « Nous ne sommes pas un parmi 28, je veux qu’on prenne vraiment la main pour dynamiser » ces partages, ajoute-t-il. En France, il veut « dynamiser » le réseau de CERT privés et publics. « Très souvent lors d’une attaque, on se rend compte qu’on avait l’information mais qu’elle n’était pas arrivée au bon endroit » regrette le responsable.

Le paquet européen sur la cybersécurité, présenté le 13 septembre par la Commission, doit aussi occuper les autorités françaises. Le nouveau cadre donne une nouvelle place à l'agence européenne (ENISA), dans laquelle l’ANSSI compte encore s’affirmer dans les prochains mois.

Cette proposition crée une nouvelle tension sur les rôles entre États et Union européenne, la Commission tirant à soi des missions que les gouvernements entendent toujours assurer. Des prérogatives nationales, comme la réponse à incidents, doivent bien rester dans les mains des agences de chaque pays, estime Paris. Pour Guillaume Poupard, il ne faut pas « donner à l’ENISA des missions qu’elle ne peut pas assurer ».

La France se dit en avance sur les questions de cybersécurité, face à certains membres de l'Union. Cela rendrait l'harmonisation des responsabilités plus difficile, alors que la Commission tenterait bien de tirer des responsabilités à l'échelon européen. Il faudrait aussi préparer l’avenir sans affaiblir les efforts de défense à court terme, ce dont s'inquiète Louis Gautier.

Déception de l’ANSSI sur la certification 

Au-delà du rôle de l'ENISA, le paquet européen sur la cybersécurité pose les bases de la future certification européenne des produits et services informatiques. Depuis plusieurs mois, la Commission, l'ENISA et les industriels européens cherchent un accord sur une labellisation harmonisée, notamment pour les objets connectés.

L'Internet des objets est devenu un fléau pour les réseaux, à cause d'une sécurité parfois médiocre, certains réseaux d'appareils zombies (botnets) se comptant en centaines de milliers de membres. Une variante de Mirai, qui a servi d'électrochoc l'an dernier, a affecté (à elle seule) 900 000 routeurs de Deutsche Telekom.

Pour l'ANSSI française, une piste est l'auto-certification de ces objets connectés, offrant un niveau minimal de sécurité à un large nombre d'appareils. Las, cette idée ne se trouve pas dans la proposition officielle de la Commission européenne du 13 septembre. Cette dernière contient trois niveaux de certification (à l'article 46), « basique », « substantielle » et « haut ». À l'article 51, il est précisé que seuls des entités agréées peuvent fournir ces labels.

De quoi décevoir l'agence, qui se battrait toujours sur cette idée. Le paquet présenté par la Commission doit toujours passer par les autres institutions européennes, dont le Parlement, alors que la France compte encore batailler pour mener les débats.


chargement
Chargement des commentaires...