Cybersécurité - Innovations digitales et numériques

En tant que dirigeant des équipe techniques réparties en Europe du sud (France, Espagne, Portugal, grèce, Italie), David Grout bénéficie, ainsi qu’il nous l’explique, « d’une double casquette à la fois d’expert technique et de chargé de relations presse afin de mener des séminaires et des formations sur les thématiques de cybercriminalité et de cyberdéfense ».

Ce pôle correspond à l’axe 4 du pacte Défense cyber présenté par le ministre de la Défense, Jean-Yves Le Drian, début février 2014. Paul-André Pincemin, chef de projet du pôle d’excellence cyber, explique : « Le pôle se structure autour de deux composantes indissociables. La première est consacrée à la formation initiale, la formation continue et l’enseignement supérieur. L’autre concerne la recherche, garante d’un enseignement supérieur de qualité, et le développement d’un tissu industriel avec une attention particulière pour les PME/PMI. Il doit également s’appuyer sur l’organisation technico-opérationnelle pour mettre en place les plates-formes nécessaires à la formation, l’entraînement à la gestion de cyberattaques et l’expérimentation de nouveaux produits de sécurité informatique. »

La filière SSI traditionnelle, partie intégrante de la cybersécurité, a longtemps été rejetée par les techniciens comme par les dirigeants. Elle renaît. Dans les entreprises, le Responsable de la Sécurité des Systèmes d'Information (RSSI) devient un acteur clé placé au niveau du DSI. De même les armées sont en train de monter un centre de cyberprotection. Enfin, la prévention informatique s’apprend dès le plus jeune âge. A l'instar du permis piéton de 2006, Manuel Valls a remis les premiers « permis internet » à trois élèves de CM2. Cette sensibilisation est complétée en fin de scolarité obligatoire par le « B2I ».

Ainsi, le centre d'analyse en lutte informatique défensive, le Calid, verra ses effectifs renforcés. Ils passeront de 20 à 120 personnes d'ici à la fin de la Loi de programmation militaire, c'est-à-dire 2018. Le Calid continuera de travailler en collaboration avec l'ANSSI pour assurer au mieux la sécurité des infrastructures critiques du pays.Une unité projetable d'une centaine de personnes devrait également être créée, pour assurer la sécurité informatiques des forces à l'étranger.Ainsi, le centre d'analyse en lutte informatique défensive, le Calid, verra ses effectifs renforcés. Ils passeront de 20 à 120 personnes d'ici à la fin de la Loi de programmation militaire, c'est-à-dire 2018. Le Calid continuera de travailler en collaboration avec l'ANSSI pour assurer au mieux la sécurité des infrastructures critiques du pays.Une unité projetable d'une centaine de personnes devrait également être créée, pour assurer la sécurité informatiques des forces à l'étranger.Le gouvernement mise aussi sur le développement d'équipements de pointe. Le nombre de personnes dédiées à la cyberdéfense au sein de la DGA va presque doubler, passant d'environ 200 à 450 d'ici à la fin 2018. Des partenariats industriels seront, par ailleurs, multiplié. "Nous allons tripler le volume des études consacrées à la cyberdéfense, et par ailleurs nous allons poursuivre la montée en puissance de notre dispositif Rapid [dédié au financement de projets innovants à double usage civil et militaire, NDLR]", souligne Jean-Yves Le Drian.Autre mesure: le ministre souhaite créer un pôle d'excellence à Rennes dédié à l'entrainement, la formation et le recherche et développement. Enfin, le ministre souhaite renforcer la cyberréserve citoyenne, composée actuellement de 80 personnes, et la compléter par une cyberréserve opérationnelle qui pourra "appuyer l'Etat dans la gestion d'une crise cyber".

Le mode opératoire d'une cyber-attaque ciblée en 6 étapes

Si n'importe qui peut être victime d'une attaque sur Internet, toutes les attaques n'ont pas le même but. En première position des attaques les plus virulentes se trouvent les Advanced Persistent Threat (APT), des « menaces persistantes avancées » utilisées pour « faire du mal et récupérer les informations » dixit le Lieutenant Bardou du CALID. Ces opérations offensives se répètent afin de mieux cerner puis envahir le système visé à l'aide de malwares très performants, parfois développés par des équipes composées de plusieurs dizaines de membres. Elles fonctionnent selon un processus divisé en 6 étapes distinctes :

1. Le Ciblage
   Le choix de la cible est le point de départ de toute attaque. L'assaillant va d'abord trouver un site ou un serveur susceptible de l'intéresser. Un email contenant un malware est ensuite envoyé pour infiltrer la cible. Cette étape peut se répéter par la suite avec l'envoi de malwares plus « puissants » si l'attaquant le juge opportun.
   
   
2. L'exploitation de la vulnérabilité
   Le malware installé, l'attaquant recherche alors les potentielles failles de la machine, du serveur ou du réseau. Il s'agit de voir par exemple ce que permettent les statuts d'utilisateur et d'administrateurs, de « comprendre » le mode de fonctionnement de la cible.
   
   
3. La reconnaissance technique
   C'est là que l'attaque commence à prendre formes. Le « pirate » élève ses privilèges et obtient les droits d'administrateur qui lui permettent d'agir directement et de manière plus discrète.
   
   
4. Le déploiement
   Il s'agit d'une simple vérification : l'attaquant vérifie si sa méthode est utile pour lui permettre d'atteindre ses objectifs. Si ses codes et malwares sont opérationnels, il pourra procéder à l'étape suivante. Il peut éventuellement préparer un « écran de fumée » pour camoufler l'intention première de l'attaque.
   
   
5. Lancement de l'attaque
   La vérification effectuée, l'attaque est définitivement entamée. Les informations sensibles sont récupérées et transmises à des serveurs « amis ».
   
   
6. Préparation du sabotage
   L'opération terminée et toutes les informations récupérées, l'assaillant peut choisir de saboter le réseau attaqué et de détruire les données, voire l'outil informatique. Plus « simple » à mettre en place, la destruction de données est d'ailleurs souvent préconisée plutôt que leur exfiltration.

L’ANSSI a mis en place différentes phases pour le déploiement et la gestion de la sécurité. Il s’agit d’un processus continu qui demande des efforts permanent de la part des entreprises mais dont le retour sur investissement se verra positif.

1. Il s’agit tout d’abord de procéder à la sensibilisation des personnels afin de les informer des différents risques liés aux règles d’ « hygiène informatique ». Une sensibilisation qui doit être régulière car les risques évoluent en permanence.

2. Par la suite il convient d’établir une cartographie des installations et une analyse des risques pour en aboutir à la définition de mesures de sécurité adéquates, dont les efforts sont « proportionnés aux enjeux et adaptés aux besoins réels ».

3. La prévention est le troisième grand principe de la SSI selon l’ANSSI qui consiste à protéger les installations en les entourant de plusieurs barrières de protection « autonomes et successives », ce qui devrait permettre de se protéger face aux menaces encore non identifiées.

4. Aussi il est pertinent d’accomplir la surveillance des installations et la détection des incidents, cela n’empêchera pas les incidents de se produire, mais cela aura comme conséquence de limiter autant que possible les effets néfastes. Ainsi plus l’incident est détecter tôt, plus il sera envisageable de mettre en place des mesures pour en réduire les effets.

5. Le traitement des incidents va de pair avec sa détection car elle va permettre notamment d’intégrer une phase d’analyse post incident qui entraînera une amélioration de l’efficacité des mesures de SSI misent en œuvre au préalable.

6.    D’autant que « la SSI est une action continue nécessitant des efforts permanents », c’est pourquoi il faut instaurer une veille sur les menaces et les vulnérabilités pour but de rester informé sur l’évolution de ces dernières.

7.    Enfin le dernier grand principe que considère l’ANSSI est la préparation face à des évènements exceptionnels qui n’auraient pas été mesurés ou prévus, ainsi des plans de reprise et de continuité d’activité (PRA/PCA/DRP) minimisent les impacts pour pouvoir redémarrer l’activité le plus rapidement possible.

On parle également d’une chaîne de commandement spécifique pour le cyber qui devrait passer de 20 à 120 personnes, sous l’autorité du chef d’état-major des armées. Avec une unité projetable pourra être déployée lors d’opérations militaires extérieures engageant la France. Rappelons qu’en 2012, le ministère de la Défense avait créé  « une réserve citoyenne » spécialisée en cyber-défense (« 80 réservistes actifs »).

Un pôle d’excellence sera créé à Rennes, qui accueille déjà le centre DGAI « Maîtrise de l’information » et l’Ecole des transmissions, selon Silicon.fr. Rappelons que le thème de la cyber-sécurité fait également partie des « 34 plans » du programme « La France Industrielle » d’Arnaud Montebourg, ministre en charge du Redressement productif.