Cybersécurité - Innovations digitales et numériques

3 200 visiteurs ont arpenté les allées de ce salon aujourd’hui majeur, et qui confirme cette année encore le poids grandissant de l’Etat régalien dans la cybersécurité. Y compris dans les entreprises privées. Quelques semaines avant le FIC, la Loi de programmation militaire confirmait que les opérateurs d’importance vitale (OIV) – des organisations tant publiques que privées gérant des infrastructures jugées essentielles au fonctionnement de l’Etat – seraient soumises à des obligations strictes en matière de sécurité de leurs systèmes d’information.

Comment préparer la société à ce basculement ?

 » La société de l’intelligence artificielle dans le cyberespace, c’est extraordinaire mais en même temps, ça représente une menace. Il faut prendre conscience de tout cela, anticiper, avoir une vision prospective à dix ou quinze ans, retrouver un regard sur le long terme qu’on a un peu perdu. En 2025, nous aurons des voitures intelligentes au point de supplanter le conducteur. L’ambition du FIC est d’être un éveilleur d’intelligence, de dire :  » N’ayons pas peur.  » Soyons clairvoyants, conscients qu’il faut préserver notre liberté par de la sécurité et que par excès de sécurité, on tue notre liberté. Il faut partager une philosophie qui s’appuie sur l’équilibre entre liberté et sécurité.  »

Cette responsabilité incombe en premier lieu, sur le plan opérationnel, aux directions des systèmes d'information de ces organisations et à leur responsable de la sécurité des S.I (RSSI). L'Anssi pourra décider de conduire des audits de sécurité dans ces entreprises, en cas de failles suspectées.

Quel regard portez-vous sur ce monde des objets connectés vers lequel nous nous dirigeons ? Alors qu'un réfrigérateur a été piraté, va-t-on vers un nombre croissant d'attaques ?

- D'attaques je ne sais pas, mais c'est sûr que nous allons vers un nombre croissant de vulnérabilité et donc de potentielles attaques. Après, chaque objet connecté n'est pas forcément intéressant à attaquer. Ce n'est pas parce qu'on a plus d'objets connectés que c'est dramatique. Tout dépend si tout est inter-connecté avec votre maison, votre ordinateur, etc., alors l'objet connecté peut servir de porte d'entrée.

D’un autre côté, la nomination de Patrick Pailloux s’explique surtout par la nouvelle stratégie que souhaite adopter la DGSE. À la différence des Etats-Unis, par exemple, mais aussi comme de nombreux voisins européens, la France a opté pour une séparation entre sa « lutte informatique offensive » et sa « lutte informatique défensive », la première étant exécutée au Mortier, siège de la DGSE, et la deuxième étant justement l’une des principales fonctions de l’ANSSI. « Cette nomination est dans la continuité des grands programmes mis en place à la DGSE, avec une implication plus importante dans la cybersécurité. La direction générale des services extérieurs veut rendre ses moyens encore plus efficaces. Le fait que ces deux volets soit séparés pose cependant des problèmes d’organisation. Du point de vue du citoyen, c’est en tout cas une bonne chose car cela permet d’éviter des excès comme ceux de la NSA. Les Etats-Unis se sont même posés la question de séparer ces deux volets. »

Les fabricants des armes informatiques françaises sont toutefois très discrets. "Je ne peux pas vous dire où les armements cyber sont développés : nous n'avons aujourd'hui aucun intérêt à le dire", se défend Guillaume Poupard. Et pour avoir une idée du nombre de personnes impliquées dans le secteur, il faudra repasser : "Je peux simplement vous dire que tout dépend du ministère de la Défense dans ce domaine", glisse-t-il. "La France est bien placée dans l'échiquier, elle est dans les cinq ou six meilleurs mondiaux", nous glisse un expert privé. Comprendre : nous sommes juste derrière le trio de tête (États-Unis, Russie et Chine), la Grande-Bretagne et peut-être Israël. Si c'est vrai, nous avons assurément fait de gros progrès.

Comment évoluent justement les attaques ciblant les entreprises ?

M.V.d.B. : D’abord leur nombre croit et de façon exponentielle. Leur typologie aussi a changé. Plus exactement, une nouvelle forme d’attaques, visant à exfiltrer des informations sensibles, a fait son apparition. Sur ces 5 % d’attaques ciblées, nous faisons face à des gens très compétents. Nous tentons de nous mettre dans la peau des assaillants pour déjouer leurs tentatives. Mais l’arrivée de ces attaques pernicieuses n’a pas fait disparaître des formes plus classiques, comme le DDoS. Sur ce sujet comme sur d’autres, travailler dans le cadre d’un opérateur télécoms, qui par définition se situe à un poste d’observation très intéressant, est un atout.

On parle également d’une chaîne de commandement spécifique pour le cyber qui devrait passer de 20 à 120 personnes, sous l’autorité du chef d’état-major des armées. Avec une unité projetable pourra être déployée lors d’opérations militaires extérieures engageant la France. Rappelons qu’en 2012, le ministère de la Défense avait créé  « une réserve citoyenne » spécialisée en cyber-défense (« 80 réservistes actifs »).

Un pôle d’excellence sera créé à Rennes, qui accueille déjà le centre DGAI « Maîtrise de l’information » et l’Ecole des transmissions, selon Silicon.fr. Rappelons que le thème de la cyber-sécurité fait également partie des « 34 plans » du programme « La France Industrielle » d’Arnaud Montebourg, ministre en charge du Redressement productif.

Pour répondre à ces questions, Frédéric Simottel reçoit Michel Van Den Berghe, directeur d'Orange cyberdefense, Eric Freyssinet, chef de la division de lutte contre la cybercriminalité au Pôle judiciaire de la gendarmerie nationale à Rosny-sous-Bois, et Gérôme Billois, senior manager en gestion des risques et sécurité de l'information de Solucom.

Aux Etats-Unis, les responsables de la Défense estiment que les attaques contre les réseaux informatiques constituent la principale menace pour le pays, devant le terrorisme, selon un sondage publié en janvier par l’hebdomadaire spécialisé Defense News.

Selon LeMagIT, Manuel Valls a également défendu les dispositions comprises dans l’article 20 de la la loi de programmation militaire. C’est « un fondement clair à la collecte de données de connexions (…)  en matière administrative ». Alors que les opposants nombreux dans la sphère Internet critiquent cet article susceptible d’instaurer une cyber-surveillance généralisée des citoyens français.