Cybersécurité : un territoire à défendre, dénué de frontières selon l’ANSSI

Lille aux trésors 10
Accès libre
image dediée
Crédits : Marc Rees (CC BY-SA 4.0)
Securité
Marc Rees

Au FIC 2019 à Lille, Laurent Nuñez, secrétaire d’État auprès du ministère de l’Intérieur a dressé un rapide bilan des questions cyber. « 2018 s’est achevé avec un haut niveau de cyberattaques » a assuré le représentant de l’exécutif. L’année fut riche aussi bien en France qu’en Europe, et les attentes pour 2019 désormais nombreuses en Europe et à l’ANSSI.

Des fuites de sécurité qui auraient concerné une personne sur 12. Un darkweb « qui ne peut rester un espace de non droit », des pluies de « fake news », manipulant les opinions, à l’approche de l’échéance européenne… « Les dangers des territoires numériques affectent la vie réelle » assène le secrétaire d’État alors qu’« exercer ses libertés exige un espace sûr ».

Après le froid, le chaud : Nuñez a salué sur la scène principale du Forum international sur la cybersécurité (FIC) différentes initiatives comme la plateforme Perceval qui permet aux victimes de fraudes à la carte bancaire d’agir en ligne. « Elle simplifie les démarches tout en apportant une vue plus complète des fraudes. » La masse des signalements en six mois représenterait quelque 33 millions d’euros. 55 enquêtes judiciaires ont déjà permis l’identification d’une trentaine d’auteurs.

La plateforme Acyma d’assistance aux victimes peut pour sa part s’enorgueillir d’avoir accueilli 28 000 victimes, redirigées vers 1 600 prestataires, toujours d’après les chiffres officiels déroulés hier. Enfin, chez les plus jeunes, le permis Internet a permis de sensibiliser 1,5 million d’enfants l’an passé.

La menace terroriste et la proposition de règlement

Sur le champ de la lutte antiterroriste, le représentant de l’Intérieur assure que cette menace « continue de se propager sur Internet, certes de manière moins importante qu’en 2013-2015 ». Un discours que partagera quelques instants plus tard Julian King, commissaire européenne à la sécurité.

Toutes les attentions sont tournées sur la proposition de règlement dévoilée en septembre dernier par la Commission européenne. Le texte, analysé ligne par ligne dans nos colonnes, espère un retrait en moins d’une heure des contenus épinglés chez les hébergeurs et prestataires de cloud.

« Des efforts ont été faits par les grandes plateformes, mais beaucoup ne jouent pas encore le jeu. » De ce constat, partagé là encore par la Commission européenne, la France plaide pour une adoption rapide d’un tel véhicule législatif.

Paris plaide pour une obligation de retrait universelle

Paris pense déjà au coup d’après : « Nous voulons étendre cette obligation de retrait en cas de diffusion de contenus haineux en ligne ». Nuñez veut ainsi universaliser cette obligation de retrait ultrarapide, concédant que la qualification des contenus haineux par les intermédiaires techniques prendra plus de temps qu’un contenu « terroriste ».

Le rapport corédigé par la députée Laetitia Avia recommande à ce titre de contraindre les YouTube, Facebook et autres Twitter de retirer ces contenus en 24 heures, non une heure.

D’autres enjeux ont été soulignés comme les réflexions en interministériel sur l’identité numérique, en collaboration avec les ministères de la Justice, de l’Intérieur et Bercy.

Toujours sur le terrain cyber, le budget de la DGSI devait d’ailleurs augmenter en 2019 de 20 millions pour permettre le développement de nouvelles techniques d’investigation. Des techniques qui devront certes s’accorder avec la loi renseignement, mais sans trop de mal puisque celle-ci offre d’amples capacités juridiques.

Au niveau de l’UE : résilience, dissuasion et coopération internationale

Également présent au FIC, Julian King, commissaire européen à la sécurité, a défini les trois piliers qui pilotent actuellement la stratégie cyber à ce niveau : résilience, dissuasion et coopération internationale.

« Nous voulons créer une véritable agence européenne pour la cybersécurité qui contribuera à la mise au point d’un nouveau système de certification à cette échelle pour renforcer la sécurité des services en ligne et des grands équipements » déclare King. Cette agence, très sûrement l'ENISA, sera chargée de coordonner les réactions en cas d’incidents de grande ampleur. « Nous avons aussi proposé un réseau de centres de compétences et de recherches en cyber. »

Sur le passé récent, l’année 2018 a été marquée par la fin du délai de transposition de la directive NIS et l’entrée en application du Règlement général sur la protection des données (RGPD). « Deux textes importants pour une approche plus efficace et mieux coordonnée de la cybersécurité. Aux États membres maintenant de les mettre en œuvre de manière rapide et efficace. »

Julian King
Crédits : Marc Rees (licence: CC by SA 4.0)

« Nous avons également pris des mesures importantes en matière de dissuasion à l’encontre de ceux qui envisagent des cyberattaques. Les services répressifs ont besoin d’aides pour trouver et identifier leurs auteurs. » Ce travail est confié à Europol et son centre Cyber, calibré pour coopérer et partager l’expertise au niveau européen.

Certains États membres sont encore accusés d’être à la traine. Le commissaire européen ne désespère pas de pouvoir travailler avec eux afin d’élever leur niveau. À l’instar de Paris, « nous voulons aussi améliorer l’accès des services juridiques et répressifs aux preuves numériques y compris lorsque ces preuves sont localisées d’autres pays », et donc hors UE. Le texte sera le miroir du Cloud Act américain.

Enfin, le représentant de l’institution bruxelloise a brandi la menace d’une action législative pour lutter contre la manipulation de l’information, en particulier à l’occasion des étapes démocratiques que sont les élections européennes de 2019.

« Il faut de toute urgence des améliorations s’agissant des publicités en lignes, de la transparence des contenus sponsorisés, de l’identification et la suppression rapide des faux comptes, outre des règles plus claires sur l’utilisation de robot. » Dans l’esprit du commissaire, il devrait y avoir un contrôle indépendant de ces différentes variables.

Pour l’ANSSI, la surface d’attaque cyber s’étend

Guillaume Poupard, numéro un de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), s’est évertué lui aussi à faire part de ses inquiétudes. La menace cyber serait d’autant plus importante que la surface d’attaque s’accroit.

Outre les technologies traditionnelles, les systèmes industriels, les plateformes, les objets connectés qui envahissent notre quotidien sont autant de leviers sur lesquels pèse le risque. Le contexte est complexe : « le territoire à défendre est dénué de frontières géographiques, politiques et parfois même techniques ».

Sur ce front, pas de doute, « les attaquants sont les plus agiles. On fait tout pour l’être autant, mais l’avantage est à l’attaque ». Qui ? « Des gens très organisés, probablement soutenus par des États, avec une détermination sans faille et des moyens importants. » Poupard ne pointera cependant aucun pays en particulier, les règles d’attribution étant toujours délicates.

« Il y a toujours des risques d’espionnage, des vols de propriété intellectuelle... Mais ce sur quoi nous sommes le plus préoccupés sont les attaques où on ne voit pas les objectifs. Il n’y a ni piratage, ni sabotage, mais pré-positionnement pour préparer les conflits numériques de demain. » Il va jusqu’à évoquer l’idée d’un « état d’urgence en termes de sécurité numérique ».

Guillaume Poupard ANSSI FIC 2019
Crédits : Marc Rees (licence: CC by SA 4.0)

Pas d’opposition entre sécurité et liberté

Loin des débats passés en particulier à l’occasion de la loi de programmation militaire (LPM) ou de la loi Renseignement, il réfute l’opposition entre protection des libertés et sécurité. « Cette manière de poser le débat est une grave erreur. […] Elle laisse entendre que les gens qui défendent les libertés sont du côté des malfaisants. » Sécurité et liberté ne doivent donc pas être opposés, « sinon on s’affaiblit ». Dans son esprit, « il faut au contraire penser la sécurité de manière globale en trouvant les bons équilibres ».

L’ANSSI vante à ce titre le modèle français, qui opère « tout en finesse » dans le peloton de tête des pays capables d’assumer sa cybersécurité. Au FIC, il annonce d’ailleurs la qualification de trois prestataires de détection (Orange, Sopra Steria et Sogeti) et comme Julian King, l’attention est portée sur l’UE avec le développement d’une certification européenne, et l’espoir d’être « envié dans le monde entier ».

« On promeut aussi l’idée qu’il n’y a pas d’un côté des gentils, de l’autre des méchants. La réalité est plus complexe. C’est l’esprit de l’Appel de Paris porté par Emmanuel Macron, qui appelle toutes les bonnes volontés à rejoindre l’idée que le cyberespace est un bien commun qui doit être sûr et stabilisé. » La doctrine française est celle de la dissuasion, où la France cherche à éviter l’escalade vers des attaques considérables.

Une confirmation des propos de la ministre des Armées, qui a esquissé vendredi dernier les nouvelles postures cyberdéfensives et offensives de ses services (voir notre analyse).

La LPM 2019-2025, une arme anti-frustration

« Plus on creuse, plus on s’aperçoit que le Cloud Act est inquiétant », estime Guillaume Poupard qui dénonce une application extraterritoriale des pouvoirs américains « insupportable ». Et l’ANSSI n’a pas l’intention « de se précipiter pour qualifier des solutions » qui tombent sous le coup de ce texte américain.

L’ANSSI se félicite en tout cas d’avoir vu l’ensemble des textes autour de la loi de programmation militaire enfin publiés. Ce dispositif lui offre la possibilité d’aller positionner des systèmes de détection chez les hébergeurs, autour de leurs serveurs.

« Aujourd’hui, nous avons une liste particulièrement frustrante d’adresses IP fournies par des partenaires français ou internationaux, ou qu’on obtient lors d’opérations. Nous savons que ces serveurs sont compromis et jusqu’à maintenant, nous n’avions pas la possibilité d’aller observer l’attaquant in vivo (…). Nous voulons observer, non les utilisateurs légitimes mais ces attaquants, les seuls dont on a envie de porter atteinte au secret des correspondances. »

L’attention sur les antennes 5G

L’intéressé s’est aussi attardé les réseaux 5G, aussi critiques que les réseaux d’énergie. « Ils posent des questions majeures en termes de maitrise des architectures. Cela pose des interrogations sur ce que l’on veut faire, sur les équipements qu’on accepte ou non ».

La Commission de l’article R226-2, que Poupard préside, a justement pour mission d’autoriser ou refuser la vente, l’achat, l’utilisation des équipements qui présenteraient des risques. Ce filtre permet ainsi de « garder la main », afin d’autoriser tel produit ici plutôt que là. Les antennes 5G seront les prochaines sur la liste afin d’éviter que des entités étrangères y placent par exemple des charges cyber en vue d’attaques futures. 


chargement
Chargement des commentaires...