Blog Cyber-defense - Mot-clé - industrie de défense Le blog sur les questions de défense en général et sur la cyberdéfense en particulier. 2023-06-28T09:40:21+02:00 La rédaction urn:md5:5758d3efb9495ffa8211bb031b6b3594 Dotclear Que retenir de la revue stratégique de cyberdéfense? urn:md5:95ef05155bacd2f82c06c12b78425560 2018-03-30T20:48:00+02:00 2018-04-04T02:15:51+02:00 admin Cyber défense ANSSIChinecloudcyber-sécuritécybercriminalitéDPIindustrie de défenselivre blancprospectiveSnowdenstratégiestratégie et liberté d action <p><img src="http://cyber-defense.fr/blog/public/.revue_sgdsn_m.png" alt="revue_sgdsn.png" style="display:table; margin:0 auto;" title="revue_sgdsn.png, avr. 2018" /> En février 2018 a été publié la <em>Revue stratégique de cyberdéfense</em>. Ce document inédit est présenté comme un véritable libre blanc sur la cyber défense. Écrit par le secrétariat général à la défense nationale, c'est en effet le premier document de niveau politique entièrement dédié à ce domaine qu'avait toutefois largement investi le <a href="http://cyber-defense.fr/blog/index.php?post/2013/04/29/Le-livre-blanc-sur-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9-de-2013">livre blanc de la défense de 2013</a> et la revue stratégique de novembre 2017.</p> <p>Cette revue fait d'abord un état des lieux des acteurs et de la menace, il décrit le modèle français de cyberdéfense et propose des améliorations, il ouvre enfin des perspectives visant à améliorer la cybersécurité de la société française.</p> <p>Nous vous proposons dans cet article d'en résumer les éléments principaux et nous livrons à une courte critique de celui-ci. Le document est téléchargeable <a href="http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf">ici</a>.</p> <h3>Introduction</h3> <p>Confiée par le Premier ministre au Secrétaire général de la défense et de la sécurité nationale, la revue stratégique de cyberdéfense a été élaborée lors de ces six derniers mois en auditionnant près de deux cents personnes, françaises et étrangères, représentant les administrations, ainsi que les assemblées parlementaires et les opérateurs économiques.</p> <p>Dans son introduction, la revue distingue d’abord les organes vitaux de la cyberdéfense, en premier lieu certains « systèmes d’information de l’État » et quelques « délégataires de services publics » : secteurs des communications électroniques et approvisionnement en énergie électrique. Viennent ensuite les forces de sécurité et de secours, puis les infrastructures de transport. Enfin la protection des institutions clés de la vie politique.</p> <p>D’emblée, loin de se concentrer sur le pré carré français, la volonté est affirmée d’agir sur la scène internationale (régulation, coopération technique, doctrine de réaction face à une agression d’un partenaire).</p> <p>L’objectif du document est de « décrire une stratégie robuste et d’exposer les propositions que pourrait faire la France pour une régulation internationale du cyberespace », pour ce faire la revue stratégique de cyberdéfense liste 7 grands principes à placer au cœur des ambitions françaises :</p> <ul> <li>accorder une priorité à la protection de nos systèmes d’information ;</li> <li>adopter une posture active de découragement des attaques et de réaction coordonnée ;</li> <li>exercer pleinement notre souveraineté numérique ;</li> <li>apporter une réponse pénale efficace à la cybercriminalité</li> <li>promouvoir une culture partagée de la sécurité informatique ;</li> <li>contribuer à une Europe du numérique confiante et sûre ;</li> <li>agir à l’international en faveur d’une gouvernance collective et maîtrisée du cyberespace.</li> </ul> <h3>Les menaces</h3> <p>La première partie qui vise à présenter les menaces fait un bilan thématique assez exhaustif de celles-ci. Espionnage, sabotage, cybercriminalité,... le bestiaire est varié ; en particulier le cas de la déstabilisation est abordé en détail, en se limitant aux aspects techniques.</p> <p>L’environnement sur lequel ces menaces se développent est par nature international, dimension qui présente des difficultés pour imposer des négociations (niveau ONU). L’existence d’une dizaine d’acteurs particulièrement puissants est identifiée : USA, UK, Canada, Australie, Nouvelle Zélande (« 5 eyes »), la Russie, la Chine, Israël, l’Allemagne et la France. L’Allemagne est un partenaire privilégié de la France. Chine et Russie divergent fondamentalement de la vision occidentale avec une mission de sécurité de l’information qui dépasse le cadre de la sécurité des systèmes d’information (comprendre que les enjeux dépassent la technique, et sont mis au service de la politique de l’État).</p> <p>Le constat et la prédiction faite par de la revue est une tendance nette à l’accroissement de ces menaces: le risque systémique est évoqué, et le « hack back » <sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2018/03/24/Que-retenir-de-la-revus-strat%C3%A9gique-cyber#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup> est condamné. L’objectif est d’éviter d’aller vers un « Far-West cybernétique ».</p> <h4>Le défi de la cyber-puissance de l’État Français</h4> <p>La deuxième partie entre dans le vif du sujet, elle passe en revue le modèle français qui repose sur une séparation des capacités défensives et offensives (consacré par les LBDSN de 2008 et 2013) ; il mérite cependant d’évoluer selon la revue. Les enjeux sont alors le durcissement de nos systèmes les plus critiques, le renforcement du volet pénal, et la volonté de peser dans l’établissement de la norme.</p> <p>Pourquoi pérenniser un tel modèle à l’opposé du modèle anglo-saxon ? La séparation à la française est présentée comme vertueuse car elle respecte les libertés individuelles et la protection la vie privée, créant une des ressources essentielles la sphère cyber : de la confiance.</p> <blockquote><p>Extrait LBDSN2013 : La doctrine nationale de réponse aux agressions informatiques majeures repose sur le principe d’une approche globale fondée sur deux volets complémentaires : 1/ la mise en place d’une posture robuste et résiliente de protection des systèmes d’information de l’État, des opérateurs d’importance vitale et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l’autorité du Premier ministre, et reposant sur une coopération étroite des services de l’État, afin d’identifier et de caractériser au plus tôt les menaces pesant sur notre pays ; 2/ une capacité de réponse gouvernementale globale et ajustée face à des agressions de nature et d’ampleur variées faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés.</p></blockquote> <p>Ainsi en cas de cyber-attaque sur un OIV c’est l’ANSSI qui reste responsable de la réponse. Lorsque l’attaque vise exclusivement des capacités opérationnelles des armées ou des chaînes de commandement de la défense, l’autorité compétente est le commandement opérationnel de la cyber défense de l’EMA (État Major des Armées) en « liaison » avec l’ANSSI.</p> <p>Toutefois cette « bipolarisation » manque de coordination mais aussi d’une clarification de son organisation.</p> <p>Concrètement la revue stratégique propose une organisation de l’action de l’Etat en matière de cyberdéfense selon quatre chaînes opérationnelles : la protection, l’action militaire, le renseignement, et l’investigation judiciaire. Il est proposé de créer un centre de coordination de crises cyber (C4) qui a vocation à gérer les crises de faible ampleur pour lesquelles le centre interministériel de crise serait sur-dimensionné, et qui sera divisé en trois niveaux distincts en fonction du domaine et de la confidentialité : stratégique, technique et restreint permanent et technique.</p> <p>La revue s’attarde ensuite sur l’amélioration de la protection des activités sensibles : hiérarchisées en 5 cercles : État, OIV, activités essentielles, collectivités territoriales, protection de la vie démocratique.</p> <p>Le premier cercle appelle d’ores et déjà à de nombreuses optimisations. Le niveau de formation et de coordination des différentes directions des systèmes d’information ministérielles est jugé perfectible et le recours au services de l’ANSSI trop tardifs, notamment sur les projets. La revue fait la promotion de son réseau internet d’État (RIE), sous-utilisé et qui comprend une plateforme d’accès à internet avec des services de sécurité à la carte (souvent désactivé). Elle propose d’effectuer du filtrage constant sur les métadonnées, et l’utilisation généralisée des sondes (cela pose cependant à notre sens un problème de confidentialité). En ayant recours aux solutions labellisées par l’ANSSI, et en associant l’agence à la contractualisation des marchés (via la direction des achats de l’État) l’État pourrait aussi faire des économies d’échelle.</p> <p>Pour définir le deuxième cercle : « les OIV », la revue cyber s’appuie sur le périmètre a minima défini en 2006 de douze secteurs d’activités d’importance vitale. 200 opérateurs d’importance vitale sont aujourd’hui identifiés. Si par le passé l’ANSSI se bornait à des recommandations à leur encontre, la fragilité face aux menaces cyber a conduit à inscrire en 2013 dans la loi des contraintes dans le domaine de la cyber sécurité auxquelles les OIV sont soumis. Les OIV doivent donc appliquer aujourd’hui les mesures élaborées par l’ANSSI, et lui rendre compte en cas d’incident. A cet égard la revue fait le constat d’efforts encore importants à réaliser. C’est pourquoi la revue fait des recommandations : différencier les impositions en fonction des secteurs, renforcer la sécurité des opérateurs supercritiques : opérateurs de communication et électricité, développer l’offre privée labialisée.</p> <p>Pour mettre en œuvre une protection du troisième cercle la revue propose de s’appuyer principalement sur l’Europe. En transposant la directive Network and Information Security (dite « NIS », directive UE 2016/148 du 6/7/2016), et en faisant la promotion d’une harmonisation au niveau européen, pertinente s’agissant de groupe multinationaux.</p> <p>Les collectivités territoriales sont jugées particulièrement exposées au risque cyber, leur morcellement ne favorise pas l’harmonisation et les mutualisations. La revue suggère donc de renforcer la communication de ces entités avec l’ANSSI, qui pourrait alors améliorer son offre de solutions labellisées ou qualifiées à leur usage.</p> <h4>Faire face à la cybercriminalité</h4> <p>La revue met en avant 5 tendances extraites d’un rapport publié par EUROPOL :</p> <ul> <li>le développement des rançongiciels qui constituent, aujourd’hui la première menace parmi les logiciels malveillants ;</li> <li>l’intérêt porté par certains groupes criminels aux technologies de paiement sans contact ;</li> <li>l’essor des attaques par déni de service, notamment grâce à des « botnet » d’objets connectés ;</li> <li>l’utilisation des crypto-monnaies, en particulier du <em>bitcoin</em>, comme moyen privilégié pour les échanges financiers entre criminels ;</li> <li>l’utilisation des technologies de chiffrement pour protéger les communications entre délinquants ou stocker les informations.</li> </ul> <p>(à noter que le rapport d’Europol fait également état du vol de données personnelles, oublié ici et peu présent dans la revue)</p> <p>Domaine aux contours peu défini, la revue concède qu’il est difficile de donner une définition précise de la cybercriminalité. Citant un rapport du ministère de la justice, la revue établit « La cybercriminalité regroupe toutes les infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement internet ». Au niveau international seule la « convention de Budapest » représente une tentative d’harmonisation des législations nationales en matière de cybercriminalité.</p> <p>Les deux biais liés aux remontées de la cybercriminalité sont établis avec lucidité. Ainsi la revue met en lumière le manque d’objectivité des éditeurs d’anti virus, « dont la viabilité économique est étroitement liée au niveau de menace ». Elle fait également le constat de forces de sécurité incapables de recenser la totalité des actes de malveillances. Ainsi le nombre de victimes est très difficile à évaluer. A cet égard la revue met en avant deux initiatives de la police et de la gendarmerie pour permettre une remontée d’information plus précise (PERCEV@L et THESEE + site cybermalveillance.gouv.fr)</p> <p>Mais la revue fait le constat d’un « effritement » de la frontière entre cyberdéfense et lutte contre la cybercriminalité, et d’une nécessité de renforcer la réponse judiciaire. Cette réponse passe d’abord par un renforcement des ressources humaines spécialisées dans le domaine et des outils de veille et de surveillance. Le rapport prend aussi position pour une meilleure conservation des données. Il propose un échange de données entre l’ANSSI et les services judiciaires.</p> <p>La revue appelle un dialogue effectif et constructif avec les grands opérateurs américains de l’internet, sans vraiment définir précisément comment y parvenir.</p> <p>Elle s’attarde aussi sur la notion de preuve numérique (faisant état de travaux européens sur le sujet) et l’importance de procédures de retrait de contenu à caractère illicite.</p> <p>Au final la modernisation du volet légal passe selon la revue par la transposition de la convention de Budapest, il apparaît nécessaire de s’appuyer sur ce texte jugé suffisant et de ne pas ajouter un nouveau traité.</p> <h4>Se positionner comme un acteur majeur dans le domaine cyber sur la scène internationale :</h4> <p>Pour cela, la revue appelle à renforcer le dialogue, y compris envers les pays agresseurs pour contrôler l’escalade de la crise, et s’interdire certaines pratiques identifiées comme néfastes par les deux parties. La revue définit l’Europe et les pays occidentaux comme les partenaires naturels des coopérations, mais définit également l’Afrique du nord, certains pays du Moyen Orient ou encore de l’Asie du sud-est comme « prioritaires ». (aire d’influence cyber ?)</p> <p>A partir du constat d’une ressource limitée, la revue propose d’avoir recours à un deuxième cercle d’intervenants : réservistes, « acteur de confiance non étatiques » (opérateurs, universités, secteur privé).</p> <p>L’autonomie stratégique doit selon la revue se développer sur trois axes : un axe technologique, et un axe réglementaire, et enfin un axe capacitaire.</p> <p>L’axe réglementaire se propose d’adopter une doctrine d’action en fixant comme préalable la capacité de discrimination entre incident et agression. C’est une des difficultés en matière de cyberattaque : la caractérisation de l’attaque.</p> <p><img src="http://cyber-defense.fr/blog/public/schema_national_classement.png" alt="schema_national_classement.png" style="display:table; margin:0 auto;" title="schema_national_classement.png, avr. 2018" /> <em>La classification proposée par la revue pour les cyberattaques.</em></p> <p>Il convient ensuite de définir les options de réponses, en cherchant les applications du droit international dans le cyberespace.</p> <h4>Réguler le cyberespace</h4> <p>D’abord vis à vis des États, prenant acte du cycle de négociations au sein du CGE 2016-2017, la France continue à rechercher la convergence des normes applicables dans le cyberespace en vue d’en renforcer la sécurité.</p> <p>La résilience doit être renforcée par la prévention : la revue souhaite voir bannir par exemple « l’usage par des acteurs non-étatique, notamment du secteur privé, de technique et outil cyber pouvant avoir des conséquences défavorables sur une tierce partie ».</p> <p>La coopération est abordée avec un principe de <em>cyberdiligence</em> (ne pas laisser utiliser son territoire pour commettre des actes contraire au droit d’autres états), un principe de « stabilité » enfin pour faire reconnaître trois droits pour les États victimes de cyber attaque :</p> <ol> <li>la saisie du conseil de sécurité</li> <li>la possibilité d’une riposte technique proportionnée pour faire cesser une attaque</li> <li>la possibilité de qualifier l’attaque cyber comme une attaque armée en fonction de sa gravité</li> </ol> <p>Dans le cas particulier des acteurs privés il s’agit d’encadrer le « <em>hack-back</em> », qui peut favoriser l’escalade entre États. Il apparaît également nécessaire de responsabiliser les acteurs privés sur le suivi de leur produits : la fin du support devrait s’accompagner de la mise à disposition technique nécessaire pour que les clients puissent prendre en charge eux-mêmes le maintien en condition de sécurité. (très bonne idée, mais qui en l’abscence de contrainte restera lettre morte : imagine t-on en 2020 le code de Windows Seven être rendu public?).</p> <h3>L'État garant de la cybersécurité de la société.</h3> <p>L’ambition de la revue pour la France est « une logique de souveraineté numérique dans la profondeur.» intégrant citoyens, entreprises et collectivité territoriales.</p> <p>Il s’agit donc d’abord de définir ce concept de la souveraineté numérique : la revue établit que c’est « conserver une autonomie et une liberté de choix ».</p> <p>La déclinaison en termes de capacité fait l’état des lieux de trois technologies clés de notre souveraineté numérique : chiffrement, détection des attaques informatiques, et les radios mobiles professionnelles (réseaux mobiles 5G).</p> <p>La revue fait aussi allusion à l’Intelligence Artificielle, (qui a fait l’objet d’un autre rapport récemment publié <a href="http://cyber-defense.fr/blog/index.php?post/2018/03/24/">ici</a> et au cloud. Après l’échec du cloud souverain (concept qui est toujours resté flou et pour parler franchement, peu opportun), les allusions au partenariat entre Microsoft et certains data center sur le sol européen n’est en rien rassurant ! La revue liste cependant 5 mesures de bon sens notamment sur le chiffrage des données traitées dans ces clouds, et l’ANSSI propose une certification « SecNumCloud » pour ces systèmes d’information.</p> <p>La revue évoque aussi la régulation de la production et l’exportation des « cyberarmes ». Elle propose de les diviser en 4 catégories : <em>pentesting</em> (régulé uniquement par un code déontologique), surveillance inspection (secteur privé, encadrement des exports) , APT (secteur réservé aux Etats), armes informatiques massives (prohibées).</p> <p>Dans son rôle normatif pour la sécurité, l’ANSSI juge qu’il faut en améliorer l’efficacité et être plus contraignant par un régime de sanction adapté.</p> <p>L’ANSSI possède des visa, un système de certification jugé pertinent. Elle souhaite l’étendre pour l’adapter aux évolutions prévisibles en certifiant les prestataires : à la fois ceux qui seront acteurs des certifications produit, mais aussi ceux des chaînes de confiance numérique (certificat élec, …). La revue détaille les différentes catégories : prestataires d’audit en sécurité des systèmes d’information (PASSI), prestataires de détection d’incidents de sécurité (PDIS) et prestataires de réponse à incident de sécurité (PRIS).</p> <p>Mais ce cadre de certification est jugé trop complexe pour tout une gamme de produits grand public, au rang desquels nombre d’objets connectés, c’est pourquoi une certification élémentaire de cybersécurité est envisagé à la manière du marquage CE.</p> <p>L’objectif stratégique est de transposer au niveau européen les certifications françaises, ce qui permettrait par ailleurs aux entreprises ayant fait l’effort de cette mise à niveau de valoriser leur offre sur le marché européen, tout en renforçant le niveau de sécurité global européen.</p> <h4>L’économie de la cybersécurité</h4> <p>Selon la revue, la souveraineté numérique nécessiterait une « véritable stratégie industrielle ». Nous pensons également aussi que toute la différence entre autonomie et asservissement réside dans les compétences propres d’un pays, et que la souveraineté numérique ne peut faire l’impasse sur une base industrielle nationale solide.</p> <p>L’état des lieux en France de celle-ci laisse apparaître une majorité de très grands groupes qui couvrent 3 domaines principaux. D’abord la cryptographie et le chiffrement (mais très peu de débouchés à l’international) ensuite les cartes à puce (la France est un acteur historique de premier plan mondial). En dernier lieu, les sociétés de service à dimension mondiale. Le secteur des technologies de l’information est en rapide évolution autour de rapprochements (exemple : Bull-Atos ou Gemalto-Thales).</p> <p>Un nombre important de petites et très petites entreprises existe et répond aux besoins locaux, sans qu’un besoin d’accroissement de leur taille se fasse sentir. Il apparaît nécessaire d’accompagner leur croissance avec des fonds d’investissements dans le domaine de la « cyberdéfense ».</p> <p>Dépassant le cadre national la revue appelle à la construction d’une base industrielle de cybersécurité européenne.</p> <p>Deux difficultés sont relevées : la première l’hétérogénéité du marché européen et un accès facile des entreprises non-européenne à celui-ci . Il y a une différence de conception ensuite entre ce qu’est une entreprise européenne (capitaux européens ou enracinement en Europe?).</p> <p>Dès lors, il s’agit de développer le besoin, en dépassant le stade des financements de recherche, mais avec des programmes et un soutien à l’export. Il s’agit ensuite de développer un marché européen pour soutenir les solutions européennes. Un schéma de certification européen permettrait de favoriser l’émergence d’un tel marché tout en garantissant de manière objective la qualité des produits.</p> <p>Enfin une forme de protectionnisme de certains marchés sensibles pourrait être réglementairement imposée.</p> <p>Il est nécessaire cependant de disposer d’un catalogue et d’une offre suffisante. Dans le cas des sondes de détection d’attaque, la revue juge que l’offre est limitée. La LPM 2014-20419 a introduit pour les OIV une obligation de déploiement de sondes qualifiées de détection d’attaque.</p> <p>Selon la revue, l’État est mauvais élève en matière d’utilisation de produits qualifiés.</p> <p>Enfin la revue développe deux ponts intéressants vers l’économie.</p> <p>Il est fait mention de la notation par des agences spécialisées, de l’exposition au risque cyber des entreprises, d’un secteur industriel ou d’un pays. La revue recommande d’investir ce domaine pour ne pas se faire imposer une métrique par les États-Unis.</p> <p>Enfin la revue aborde le domaine de l’assurance face au risque cyber, avec la difficulté d’évaluer la valeur des biens intangibles. Ces « actifs informationnels » ne pouvant ni être quantifiés ni revêtir un aspect juridique ne sont pas assurables.</p> <h4>L’éducation</h4> <p>Le dernier volet de la revue concerne le facteur humain, et il faut se féliciter de cette place, car il est selon nous le pivot central d’une stratégie de cybersécurité, comme il l’est de toute stratégie.</p> <p>Ainsi la revue recommande d’éduquer les Français dès leur plus jeune âge à la cybersécurité, leur permettre d’utiliser et d’acquérir une culture numérique. Cet apprentissage peut jeter des ponts vers de nombreuses autres matières (mathématique, technologie).</p> <p>Ce n’est pas un secret en effet que le taux d’utilisation grimpe en flèche avec les jeunes générations, et 78 % des jeunes entre 13 et 19 ans sont inscrits sur des réseaux sociaux (chiffres en 2015).</p> <p>Mais pour que l’école soit un lieu d’apprentissage efficace, il faut aussi former les formateurs, l’ANSSI au travers de ses fameux « MOOC » (cours en ligne) a ainsi un rôle à jouer. Le but est bien que les élèves sortent du système éducatif français en maîtrisant les enjeux de la cyber sécurité.</p> <p>A côté des actions éducatives, la revue appelle plus largement à sensibiliser le « grand public », en proposant notamment des application sur smartphone, d’encourager l’initiative privée, les MOOC, et en faisant la promotion de l’incitation douce (« nudge »).</p> <p>La revu s’attarde sur le combat contre les préjugés sexistes, pour ne pas décourager les femmes de se tourner vers les métiers de l’informatique. Dans le domaine des formations spécialisées en informatique, l’ANSSI mène avec CyberEdu et SecNumEdu des démarches de sensibilisation et de labellisation de certains cursus.</p> <p>La question centrale enfin de conserver nos talents et d’en attirer est débattue. Le problème identifié est l’isolement du spécialiste en cyber sécurité au sein de l’administration et ses faibles perspectives de carrières. Un pilotage centralisé de ces spécialistes et de ces carrières, leur intégration dans un structure travaillant au profit de plusieurs entités, ou la valorisation de l’exercice des fonctions cyber au sein des administrations permettraient de résoudre ce désamour.</p> <h3>Notre avis</h3> <p>Ce document détaillé et complet représente une belle avancée dans la réflexion cyber française. Solidement construit et appelant à une souveraineté numérique, il dresse un bilan réaliste et critique de la situation française, tout en faisant des propositions pertinentes et innovantes.</p> <p>Il y a cependant 3 commentaires que nous voudrions formuler.</p> <p>D’abord la revue évoque peu les menaces accidentelles qui pèsent sur notre souveraineté numérique : rupture technologique, accident naturel ou erreurs humaines, la menace vient aussi en la matière de numérique « de l’intérieur » . A cet égard il faudrait que le SGDSN s’inspire des démarches de Gestion du Risque Opérationnel pour proposer une cartographie exhaustive de l’ensemble des risques. Ainsi encore récemment, la coupure du câble Americas 2 (par un ancre d’un petit navire de pêche manifestement) a plongé la Guyane dans un black-out quasi total de communication pendant quelques heures (plus aucune communication, ni même numéro d’urgence) et a entraîné deux semaines de ralentissement de l’internet, et donc des activités.</p> <p>La deuxième critique que nous ferions est que la revue néglige les données personnelles. Or aujourd’hui ces données personnelles revêtent un caractère stratégique. Cet oubli est compréhensible puisque leur protection est confiée à la CNIL, dont les interactions avec l’ANSSI sont amenées à augmenter dans les années à venir, et les relations entre l’agence et l’autorité administrative indépendante ne sont pas toujours au beau fixe.</p> <p>Cela ouvre la voie à notre dernière remarque. Le numérique en France est un domaine encore trop morcelé : séparation de l’offensif et du défensif, autorités administratives indépendantes (CNIL, ACERP). Bien sûr Snowden a montré tous les dangers que représentent une intégration et une concentration des pouvoirs trop forts dans les mains d’une seule autorité. Pour autant, tant que la cause du numérique ne revêtira pas un caractère national, la coordination sera difficile.</p> <p>Ce blog proposait en 2012 <a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9">la création d’un secrétariat d’état au numérique</a>, cette structure doit encore trouver sa place dans le paysage politique français.</p> <div class="footnotes"><h4>Note</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2018/03/24/Que-retenir-de-la-revus-strat%C3%A9gique-cyber#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Dans un discours aux Assises de la sécurité de Monaco, son directeur Guillaume Poupard a insisté sur son aversion à un armement du secteur privé, porte ouverte à toutes les dérives selon lui. « Je suis très inquiet des propositions faites par certains d'autoriser le « hack back », c'est-à-dire reconnaître la faillite des États à protéger leurs entreprises et citoyens, et autoriser les entreprises à s'armer et à répondre aux attaques. Je suis parfaitement opposé et effrayé par ce genre d'idée » a-t-il déclaré. voir <a href="https://www.nextinpact.com/news/105395-lanssi-serige-contre-cyberarmement-entreprises-et-defense-purement-europeenne.htm#/page/2">ici pour plus de détail</a></p></div> http://cyber-defense.fr/blog/index.php?post/2018/03/24/Que-retenir-de-la-revus-strat%C3%A9gique-cyber#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/46 Rétrospective 2013 urn:md5:ba8567b36040b2338ee71dbf53aad7c7 2014-02-03T13:04:00+01:00 2014-04-21T22:48:25+02:00 admin Défense en général dassaultindustrie de défenseprospective et stratégieSnowden <h5>2013, Snowden, An 1</h5> <p>2013 restera d'abord à jamais marquée par l'affaire Snowden. Même si les révélations faites par Snowden n'ont rien eu de révolutionnaires - après tout on se doutait que les services secrets menaient des actions clandestines y compris dans la sphère cyber; elles ont permis de donner un contour aux fantasmes et allégations auxquels ont pouvait se laisser aller. L'ampleur et la sophistication du système NSA dépasse largement ce à quoi on pouvait s'attendre: en terme d'échelle mais aussi de sophistication. Comme les États-Unis savent le faire dans le domaine de certains projets restés secrets (comme leurs avions furtifs...) ils ont su conserver une longueur d'avance dans le domaine.</p> <p>Reste que globalement, ces révélations ont surtout régalé les spécialistes du secteur et n'ont pas changé grand chose à la conscience collective. Et ce n'est pas la fuite de plus de 800.000 comptes-client d'abonnés Orange, information passée presque inaperçue à côté d'une vidéo de chat se faisant maltraiter qui viendra nous faire mentir.</p> <p>Aujourd'hui, la protection de la vie privée dans le cyber espace n'est pas une préoccupation de la majorité des citoyens.</p> <p><img src="http://cyber-defense.fr/blog/public/.Edward_Snowden-2_m.jpg" alt="Edward_Snowden-2.jpg" style="display:block; margin:0 auto;" title="Edward_Snowden-2.jpg, janv. 2014" /></p> <p style="text-align:center;">Edward Snowden (credit photo Wikipedia)</p> <h5>La cyber défense entre incantation et opacité</h5> <p>2013 c'est aussi l'année du nouveau Livre Blanc sur la Défense et la sécurité. Celui-ci a laissé transparaître une <a href="http://cyber-defense.fr/blog/index.php?post/2013/04/29/Le-livre-blanc-sur-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9-de-2013">volonté forte d'investir dans la cyberdéfense</a>. A ce jour toutefois il n'y a pas eu de grandes manœuvres, tout au plus quelques annonce du ministre Jean Yves le Drian qui a placé la Bretagne au centre de ses efforts en renforçant des structures déjà existantes à Bures.</p> <p>Aussi dans <a href="http://www.defense.gouv.fr/ministre/prises-de-parole-du-ministre/prises-de-parole-de-m.-jean-yves-le-drian/discours-du-ministre-de-la-defense-au-colloque-sur-la-cyberdefense">son discours prononcé à Rennes</a> le ministre avait détaillé 5 "axes d'effort":</p> <ul> <li>Le développement d'une capacité offensive au niveau de l'Etat</li> <li>350 personnels d'ici 2019 et un effort au sien du ministère de la défense en partenariat avec nos alliés</li> <li>la colocalisation des centres de surveillance relevant de l’ANSSI et de la chaîne cyber des armées, avec une nouvelle doctrine "de cyberdéfense militaire" à paraître</li> <li>le renforcement de la base industrielle de technologies de défense et de sécurité nationale en encourageant la R&amp;D</li> <li>Le développement de la réserve citoyenne et opérationnelle</li> </ul> <p>Naturellement eut égard au caractère toujours très confidentiel des attaques informatiques et des moyens pour les contrer, il ne faut pas s'attendre à voir, comme dans d'autres domaines, tous les efforts du ministère rendus publics.</p> <h5>Un effort de long terme</h5> <p>Bien sûr, dans le domaine il ne fallait pas s'attendre à une révolution. D'abord parce que l'investissement est en partie "virtuel" et fait bien moins de bruit qu'un Rafale pleine post-combustion, mais surtout parce que c'est un travail de longue haleine qui repose d'abord sur les compétences et expertises de spécialistes qui sont très demandés sur <a href="http://lemamouth.blogspot.fr/2014/02/cyber-des-tensions-sur-le-recrutement.html">un marché concurrentiel</a>.</p> <p>Finalement, si l'investissement français dans la cyber défense est aussi faible, c'est d'abord parce que nos choix reposent sur des grands projets portés par des grands groupes de défense et d'armement. Le produit précède la mission. Le besoin passe au second plan devant la nécessité de remplir les carnets de commande des industriels du secteur (A400M, Rafale, Leclerc etc. ...). Si ces programmes -qui sont souvent de vraies réussites technologiques et industrielles permettent en plus de remplir la mission, tant mieux. Mais clairement, ces grandes directions dessinées 20 à 30 ans avant la mise en service sont de vrais paris sur l'avenir, qui se révèlent, trop souvent être perdants.</p> <p>Cette situation n'est pas complètement scandaleuse. Avoir un tissu industriel et de défense dynamique présente aussi un intérêt majeur pour la défense française: elle représente un enjeux de souveraineté et participe au dynamisme global de l'économie qui est indirectement dans l’intérêt de la défense.</p> <p><img src="http://cyber-defense.fr/blog/public/.catia-3ds_m.jpg" alt="catia-3ds.jpg" style="display:block; margin:0 auto;" title="catia-3ds.jpg, janv. 2014" /></p> <p style="text-align:center;">Logiciel Catia 3D de Dassault Systèmes (credit photo DS - 3ds.com)</p> <p>Avec ces données structurelles, il faut donc souhaiter que l'offre en matière de cyber défense et cyber sécurité s'étoffe au niveau national et européen. Tous les géants de la défense américaine ont pris ce tournant vers la cyber défense au début de la décennie. La France qui possède un beau potentiel en la matière (nombreuses SSI, écoles d'ingénieurs de haut niveau), doit s'engager sur la même voie. Dassault, dont la filiale Dassault systèmes spécialisée dans le logiciel de conception 3D est une belle réussite, est par exemple le grand absent de ce marché prometteur.</p> http://cyber-defense.fr/blog/index.php?post/2014/02/03/R%C3%A9trospective-2013#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/41 Les capacités industrielles critiques urn:md5:4ede75fee69bec3a308634f15534c7f8 2012-07-28T13:15:00+02:00 2012-07-31T20:59:52+02:00 admin Défense en général cloudcyber défenseDGAindustrie de défenselivre blancprospective et stratégieéconomie <p>Du fait du cycle électif, le Sénat a bénéficié cette année de davantage de temps et de recul pour élaborer ses réflexions autour de notre politique de défense. Le mois de juillet a vu plusieurs rapports d'information parlementaires dont le rapport dit "Bockel" sur la cyber-défense. Un autre rapport, passé plus inaperçu, mais également intéressant (surtout à la veille d'une nouvelle loi de programmation militaire) porte sur les <a href="http://www.senat.fr/notice-rapport/2011/r11-634-notice.html">capacités industrielles souveraines - capacités industrielles militaires critiques</a>.</p> <p>On se souvient que dans le livre blanc sur la défense et la sécurité on pouvait lire qu'au rang des "priorités technologiques et industrielles découlant des objectifs stratégiques de la sécurité nationale à l’horizon 2025" figurait:</p> <blockquote><p><strong>Secteur de la sécurité des systèmes d’information</strong> Le développement des menaces sur les systèmes d’information et les réseaux implique de disposer de capacités industrielles nationales solides permettant de développer une offre de produits de sécurité et de cryptologie totalement maîtrisés au niveau national. Ces capacités sont aujourd’hui insuffisantes et dispersées. La France établira une stratégie industrielle, permettant le renforcement de capacités nationales de conception et de réalisation dans le domaine de la sécurité des systèmes d’information.</p></blockquote> <p>La parution de ce rapport est donc l’occasion de s’interroger sur les capacités dont dispose la France pour faire face au défi d'un domaine à la très haute technicité, et donc à de fortes exigences en terme de stratégie industrielle et de capacité de recherche et développement.</p> <h4>Un problème sémantique et stratégique</h4> <p>Ainsi le rapport souligne qu'il est difficile de définir ce qu'est une capacité industrielle souveraine. Ainsi après avoir débattu des différentes acceptions du terme "capacité industrielle souveraine", le rapport conclue que le terme plus adapté est "capacité industrielle militaire critique".</p> <p>De fait il faut pour pouvoir examiner ces fameuses capacités, être capable de mener une analyse stratégique, qui dépend alors forcément du contexte et du moment à laquelle on la réalise<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-1" id="rev-pnote-24-1">1</a>]</sup>. Le but final est de garantir, autonomie d’appréciation, de décision et d'action.</p> <p><img src="http://cyber-defense.fr/blog/public/cycleCIMC.png" alt="cycleCIMC.png" style="display:block; margin:0 auto;" title="cycleCIMC.png, juil. 2012" /></p> <h4>L'industrie dicte la stratégie, le livre blanc de 2008 reste évasif.</h4> <p>Le rapport souligne que ce processus idéal ne se réalise pas: "En France, la priorité va, depuis longtemps, à la politique industrielle sur les besoins opérationnel".</p> <p>Le livre blanc de son côté est resté flou: il affiche d'abord une expression peu claire des ambitions de défense (et des objectifs ultimes trop ambitieux), il est marqué ensuite par l’absence de lien évident entre les différents éléments de l’analyse stratégique et le format d’armée. Enfin, "l’incapacité ou le refus d’élaborer une stratégie d’acquisition et de la rendre publique – comme le souhaitait le Livre blanc - a permis, tout au long de la période 2007-2012, de faire prévaloir les objectifs de stratégie industrielle sur les besoins opérationnels."</p> <h4>Le nerf de l'industrie: le financement</h4> <p>Le financement des industries critique de défense trouve actuellement plusieurs sources. Il y a bien sûr et d'abord les crédits budgétaires du programme 144 de la mission défense, (mais également d'autres agrégats provenant du 146 "dissuasion" et 191 "recherche duale"). Il faut citer aussi le comité interministériel de restructuration industrielle<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-2" id="rev-pnote-24-2">2</a>]</sup> mais surtout le plus opaque Fonds Stratégique d’Investissement, doté aujourd'hui de 20 milliard d'euros. Malheureusement, le FSI n’intervient quasiment pas dans l’investissement d’entreprises de défense.</p> <h4>Les moyens de protection des CIMC</h4> <p>La premières mesure de protection des CIMC est le fait de permettre à l’État de choisir des producteurs nationaux, sans avoir recours à une mise en concurrence avec d'autres industriels étrangers offrant des produits meilleurs ou moins chers. Cette possibilité, est encadrée depuis 2011 par une directive européenne<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-3" id="rev-pnote-24-3">3</a>]</sup></p> <p>Ensuite vient la possibilité d'exporter facilement les productions nationales, auparavant très encadrée par le régime dit des CIEEMG<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-4" id="rev-pnote-24-4">4</a>]</sup> . Celui ci s'est assoupli avec une directive sur les transferts intracommunautaires d’équipements de défense<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-5" id="rev-pnote-24-5">5</a>]</sup>.</p> <p>Par ailleurs, la loi soumet à autorisation préalable du ministre chargé de l’économie les investissements étrangers en France qui, même à titre occasionnel, participent à l’exercice de l’autorité publique. Onze secteurs d’activité sont concernés par le décret dont la cryptologie, l’interception des correspondances, systèmes d’information.</p> <p>Enfin, en plus du dispositif de sécurité des activités d’importance vitale, un vaste arsenal législatif<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-6" id="rev-pnote-24-6">6</a>]</sup> (dont les lois sur le secret défense) permet une protection des CIMC.</p> <h4>Les conclusions du rapport</h4> <p>Le rapport pose d'abord trois débats:</p> <ol> <li>Le rôle prééminent donné à la DGA ne contribue-t-il pas à surpondérer la stratégie industrielle&nbsp;?</li> <li>L’absence de stratégie d’acquisition ne contribue-t-elle pas à sous pondérer les besoins opérationnels des armées&nbsp;?</li> <li>La nécessité d’arbitrages entre les besoins opérationnels et les préoccupations industrielles</li> </ol> <p>Il fait ensuite quelques recommandation:</p> <ol> <li>L’Etat gagnerait à simplifier ses outils d’analyse stratégique et à rendre sa démarche plus libre, plus cohérente et plus transparente.</li> <li>L’Etat doit déduire les CIMC de son analyse stratégique et non l’inverse</li> <li>L’Etat doit poursuivre ses efforts pour la sécurisation des approvisionnements en matériaux critiques</li> <li>L’action sur l’offre&nbsp;: ne pas renoncer à faire baisser les coûts des équipements militaires<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-7" id="rev-pnote-24-7">7</a>]</sup></li> <li>L’action sur la demande – promouvoir la défense de l’Europe</li> </ol> <h4>Quelles leçons pour la cyber-défense?</h4> <p>La cyber défense et ses technologies appartiennent largement aux technologies militaires critiques et sont plusieurs fois citées explicitement. En particulier, le rapport demande la création d'un cloud européen. En effet tous les systèmes de stockage en ligne sont aujourd'hui aux mains des américains. Il y a donc un problème de dépendance totale du secteur aux État-Unis (comme pour le GPS).</p> <blockquote><p>Ces craintes ont décidé la France, en 2009, comme la Grande-Bretagne ou l’Allemagne, à bâtir un cloud souverain. (...) le couple Thalès-Orange a été agréé pour donner naissance au cloud souverain français&nbsp;: Andromède, pour un montant de 350 millions d’euros. Ce cloud souverain sera destiné aux administrations et aux entreprises afin de stocker des informations sensibles telles que des données personnelles administratives, des renseignements liés à l’e-santé ou encore des informations économiques.</p></blockquote> <h4>Un rapport courageux, pour quel effet&nbsp;?</h4> <p>Le rapport est, à notre sens, particulièrement pertinent. Opacité des intervenants et décideurs, rôle de la DGA, remise en cause de doctrines d’emploi trop tirées par la technologie au détriment du nombre, autant de questions taboues qui sont abordées par le rapport. L'audition du général Desportes, et la reprise de ses arguments est à cet égard, révélateur d'une excellente ouverture d'esprit.</p> <p>Puisque le but affiché est de servir de base aux travaux conduisant au nouveau livre blanc de la défense, alors il faut souhaiter que la démarche préconisée par le rapport soit retenue. Pour autant, nous sommes pessimiste sur ce mode d'action. Dans un contexte budgétaire dégradé et avec un secteur de la défense qui n'est pas au rang des premières priorités des électeurs, le risque est de voir émerger la même langue de bois que précédemment.</p> <p>Car finalement, si l'on accepte de partir du contexte actuel pour fixer une stratégie de défense, alors il faudrait accepter une diminution des ambitions françaises. Les politiques auront-ils le courage de faire cet amer constat&nbsp;? Rien n'est moins sûr.</p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-1" id="pnote-24-1">1</a>] les anglais, explique le rapport, jugent par exemple acceptable de ne pas maîtriser tous les aspects des technologies nucléaires, en se reposant sur leur stratégie d'alliance avec les USA</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-2" id="pnote-24-2">2</a>] défini dans le rapport comme un organisme interministériel créé au début des années 1980 pour faire face aux restructurations industrielles (...) C’est encore aujourd’hui une structure de soutien et d’intervention gouvernementale au bénéfice des grandes entreprises (plus de quatre cent salariés) en difficulté.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-3" id="pnote-24-3">3</a>] directive 2009/81/CE, du 13 juillet 2009 sur les marchés publics de défense et de sécurité (MPDS). adoptée, selon le rapport, en grande partie à l’initiative de la France afin de lui ouvrir les marchés de défense de ses homologues européens.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-4" id="pnote-24-4">4</a>] commission interministérielle pour l'étude des exportations de matériels de guerre, des système de contrôle d'internet vendu par la France à des dictatures y échappe pourtant, lire <a href="http://cyber-defense.fr/blog/index.php?post/2012/02/29/DPI%2C-arme-de-guerre-et-nouvelle-g%C3%A9opolitique-des-tubes">[notre article sur les DPI</a>|/blog/index.php?post/2012/02/29/DPI%2C-arme-de-guerre-et-nouvelle-g%C3%A9opolitique-des-tubes]</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-5" id="pnote-24-5">5</a>] directive 2009/43/CE du 6 mai 2009</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-6" id="pnote-24-6">6</a>] Indépendamment de cette réglementation, l’Etat peut toujours prévoir, de façon statutaire et spécifique à chaque société, des mesures lui permettant d’avoir une majorité absolue de blocage (golden share).</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-7" id="pnote-24-7">7</a>] on évoquera à ce propos, des critiques sur le favoritisme dont aurait bénéficié le groupe Dassault sous l'action du précédent gouvernement. Selon le rapport la construction d'un monopole national n'est pas à favoriser car dès lors, l'Etat est contraint d'acheter à celui à n'importe quel prix.</p></div> http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/24