La revue stratégique cyberdéfense présentée à station F

Piloté par le secrétaire général de la défense et de la sécurité nationale (SGDSN), la revue stratégique cyberdéfense, équivalent des anciens livres blancs, a été élaborée en concertation avec des représentants des acteurs publics et privés. Après un passage en conseil de défense et en conseil des ministres, une présentation publique a été organisée au sein du magnifique incubateur de startups « Station F ». Trois tables rondes animées par les rapporteurs de la revue ont mis en exergue quelques éléments clés. Le document complet est disponible sur le site du SGDSN.

Table ronde n°1 : les dangers du monde cyber.

La France est particulièrement active au sein de l'ONU, où sont discutées des règles de comportement responsable dans le cyberespace. Le Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale aborde des sujets de droit difficiles, en particulier autour de l’utilisation offensive des outils cyber. Ainsi, le concept du « hack back » que certains voudraient utiliser dans le cadre de la lutte informatique défensive doit être manié avec précaution. Les Etats souhaitent inciter fortement les grands éditeurs à intégrer plus efficacement la sécurité dans leur cycle de développement de logiciels. Un groupe de travail à l’OCDE serait un bon point de départ pour initier cette collaboration entre le monde privé et public.

L’ANSSI qui conserve son rôle privilégié de défenseur des organismes publics et des opérateurs d’importance vitale constate un durcissement de la menace sous différentes formes : cybercriminalité (ransomware et vols de données), espionnage, sabotage d’infrastructures et tentatives de déstabilisation (notamment suite aux affaires liées aux élections américaines). Le niveau de vulnérabilité reste fort du fait de la complexité des systèmes, de l’extension de la surface d’attaque (en particulier au travers des objets connectés) mais aussi du manque de ressources humaines qualifiées. La moyenne de détection d’une attaque ciblée de type APT (Advanced persistent Threat) demeure élevée à un niveau de 150 jours.

Tables rondes n°2 et 3 : l’Etat responsable et garant de la cyberdéfense de la nation.

La cybersécurité doit être transverse et cela se traduit dans l’organisation interministérielle de ce sujet en France. Chaque ministère a un rôle à tenir et la gestion des activités d’importance vitale demeure une priorité. A cet égard, l’obligation pour les Etats de transposer la directive européenne NIS (Network and information Security) dans leurs lois nationales va renforcer la prise en compte de ce domaine avec probablement un élargissement du périmètre des entreprises et entités désignées comme opérateur de service essentiel (OSE, au sens de la directive). Les initiatives nationales de qualification de prestataires et de produits de sécurité (PASSI pour les audits ou PDIS pour la détection d’incidents par exemple) vont continuer. La qualification nationale de sécurité des prestataires Cloud (SecNumCloud) pourrait être étendue à un périmètre européen. L’éclosion et le développement de startups françaises et européennes pour mettre au point des nouveaux outils et services sont encouragés (par exemple « Threat intelligence » ou encore méthodes de chiffrement homographique des données dans le Cloud).

Le domaine judiciaire doit être amélioré en termes de moyens humains et techniques d’enquêtes, et d’application des peines. Ainsi, PERCEVAL (plateforme électronique de recueil des coordonnées bancaires et de leurs conditions d’emploi rapportées par les victimes d’achat frauduleux en ligne) doit permettre une meilleure centralisation du renseignement sur les escroqueries portant sur l’usage frauduleux des cartes bancaires. La coopération internationale (Europol, Interpol, Eurojust…) est indispensable, l’attribution des menaces restant un sujet très sensible et difficile à traiter.

En conclusion, le secrétaire d'Etat chargé du numérique insiste sur le fait que la confiance est indispensable pour réussir la transformation numérique que l’Etat a engagé. La cybersécurité est une dimension fondamentale de cette confiance. La protection des données personnels et le modèle européen poussée par le GDPR (General Data Protection Regulation) constitue aussi un facteur de réussite de la révolution du numérique au-delà de la sphère publique.

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :