La part du numérique dans les services, les objets et les métiers ne cesse de croître. Cette transition numérique est porteuse d' innovation et de croissance mais aussi de risques pour l'état, les acteurs économiques et les individus : cybercriminalité, espionnage, propagande, sabotage ou exploitation excessive de données personnelles.
Le monde du numérique est vulnérable. Son essor s'est accompagné d'un développement des menaces liées à de nouvelle formes de criminalité:
Alors vers qui se tourner pour sécuriser son système et ses données au quotidien? Et qui contacter en cas de cyberattaque?
En France, la cybersécurité est gérée de façon sécurisée par l' Agence Nationale des Sécurité des Systèmes d'Information (ANSSI) au sein du Secrétariat Général de la Défense et de la Sécurité Nationnale(SGDSN). L'ANSSI est placée sous l'autorité du premier ministre.
Elle est une institution qui se charge d'assurer la sécurité et la défense des SI de l'état en anticipant les menaces.
Elle ne réalise aucune action offensive en réponse à des incidents et ne constitue pas non plus une agence de renseignement. Elle agit pour la sécurité du numérique avec son centre opérationnel qui fonctionne H24 7j/7 afin de détecter des attaques potentielles auprès des services ministériels.
Elle se charge de qualifier des services et des produits développés par des industriels pour sécuriser les utilisateurs.
Enfin elle informe le public sur les bonnes pratiques à mettre en place pour protéger les SI et analyse les menaces. Cette vision permet par la suite de mieux répondre aux attaques nouvelles telles que les rançongiciels par exemple (mission de caractérisation les vulnérabilités). Dans les cas les plus extrêmes elle peut mettre en place un dispositif de crise pour répondre de manière efficace à une attaque majeure.
L'ANSSI est l'autorité nationale en matière de cybersécurité et cyberdéfense. A ce titre elle à aussi pour mission de coordonner l’action interministérielle en travail aux cotés des autres grands acteurs de la cyber: elle coordonne ainsi des acteurs de cyberdéfense comme le Centre d'Analyse en Lutte Informatique Défensive (CALID) ou encore la Direction Générale de l'Armement - Maitrise de l'Information (DGA-MI) qui assure entre autre l'expertise technique auprès du ministère de la défense en matière de cyberdéfense.
L'ANSSI coordonne également des experts en cybercriminalité:
Il existe également d'autres acteurs locaux qui complètent ce réseau:
D'autres experts peuvent également aider à maintenir cette sécurité:
Tous ces acteurs qu'ils soient publics ou privés collaborent dans l'écosystème de la cybersécurité pour partager des informations sur les vulnérabilités ou les attaques et leur collaboration est encouragée par l'ANSSI.
Afin de structurer une vision commune de la défense et plus particulièrement de la cybersécurité en France, le président de la République a souhaité qu’en 2013 soit rédigé un deuxième livre blanc pour la Défense et la Sécurité Nationale.
Ce livre blanc apporte un classement des menaces les plus importantes sur l’État et montre que la menace informatique est classée deuxième derrière la menace terroriste.
En substance, le document évoque une « menace cyber diverse et croissante » qui peut avoir pour conséquence le sabotage, l’espionnage et la subversion. Cette menace concerne l’ensemble des acteurs français, aussi bien économiques qu’administratifs.
Notons que le premier livre blanc de la Défense et de la Sécurité Nationale de 2008 mettait déjà en évidence la menace que représentent les attaques informatiques.
Il a ainsi permis la création de l’ANSSI.
Il ressort 4 priorités de ce livre. Pour résumer, le livre blanc montre que l'État a conscience des évolutions technologiques et cherche à assurer sa protection dans le domaine numérique.
Pour cela il prévoit un effort budgétaire nécessaire pour créer des protections cryptographiques et des systèmes de détection d'intrusion purement français, afin de conserver l'indépendance de la France sur ce terrain et investir dans la formation pour anticiper la demande croissante de compétences.
De plus afin de renforcer la sécurité des SI de l'État, il prévoit:
En 2015, le Premier ministre a officialisé la première stratégie pour la sécurité du numérique. L’ambition de la France est de faire partie des quelques nations qui comptent dans tous les domaines stratégiques et notamment la cybersécurité.
La stratégie nationale pour la sécurité du numérique n’est pas une stratégie pour la cyberdéfense mais bien pour la sécurité du numérique, terme plus englobant et traduisant mieux les enjeux et défis qui se posent.
Les cinq axes de la stratégie que nous allons découvrir se veulent complémentaires.
La stratégie nationale pour la sécurité du numérique s’adresse donc à toutes les entreprises et aux particuliers. Cette stratégie rayonne également à l’international en faisant la promotion d’un cyberespace sûr.
Le premier axe de la stratégie nationale pour la sécurité du numérique consiste à réaffirmer que les questions de sécurité numérique auprès des OIV sont liées à celles de la souveraineté nationale.
En effet, aujourd’hui, de nombreuses infrastructures vitales (centrales nucléaires, barrages, circulation routière, Etc) sont gérées par informatique, ce qui peut générer de gros dommages potentiels en cas de cyberattaque.
Une Nation qui veut conserver sa souveraineté doit faire de la cybersécurité une priorité nationale confirmée.
Les secteurs d'activités d'importance vitales sont listés ci-dessous:
Secteur Étatique
1. Activités civiles de l’État 2. Activités militaires de l’État 3. Activités judiciaires de l’État 4. Espace et recherche
Protection des citoyens
5. Santé 6. Gestion de l’eau 7. Alimentation
Vie économique et sociale de la Nation
8. Énergie
9. Communications électroniques, Audiovisuel et Information
10. Transports
11. Finances
12. Industrie
Le deuxième point n’en est pas moins important, il explique que les entreprises non-OIV ont également un rôle important à jouer puisque des attaques informatiques massives contre les industries et PME/PMI peuvent devenir des questions de sécurité nationale.
Aujourd’hui les entreprises non-OIV composent la grande majorité du tissu industriel français.
En effet, bien qu’une cyberattaque isolée mettant en difficulté une PME n’ait pas d’incidence en terme de sécurité nationale, la généralisation de telles attaques peut entrer dans le domaine de la sécurité nationale.
Ces entreprises sont souvent moins sensibilisées aux problématiques de sécurité informatique et donc potentiellement plus vulnérables à un risque de contamination.
Il faut pouvoir apporter une réponse à cette menace dans les domaines de la prévention et de la sensibilisation mais surtout, il est nécessaire d’agir en aidant les victimes d’actes de cybermalveillance.
Actuellement, le statut de ces victimes n’est pas reconnu clairement, ce qui rend plus difficile la recherche de réponses judiciaires efficaces et le passage par des organismes traditionnels de compensation des risques (assurances).
Le troisième axe promeut la formation à la cybersécurité.
Au cours des 5 dernières années, le nombre de formations spécifiques à la cybersécurité a ainsi explosé alors qu’il y a 10 ans celles-ci étaient marginales.
Il existe aujourd’hui de nombreuses formations de qualité mais on observe une inadéquation entre l’offre et la demande.
Cet axe encourage à développer la formation initiale, la formation professionnelle et à sensibiliser et véhiculer les bons messages auprès des jeunes, dès la fin du primaire, en leur expliquant les notions basiques de la sécurité.
Cette initiation à la sécurité doit être réalisée au même moment que la sensibilisation au numérique : une fois encore, sécurité et numérique doivent aller de pair.
“ La France sensibilisera dès l'école à la sécurité du numérique et aux comportements responsables dans le cyberespace. Les formations initiales supérieures et continues intégreront un volet consacré à la sécurité du numérique adapté à la filière considérée.”
Pour participer à cet effort de formation, l’ANSSI a mis en place plusieurs actions:
Le label SecNumedu, CyberEdu et le module SecNumacadémie.
“ La France développera un écosystème favorable à la recherche et à l'innovation et fera de la sécurité du numérique un facteur de compétitivité.”
Le quatrième axe de la stratégie propose d’inclure les industries dans le développement de la cybersécurité nationale. En effet, la France a besoin d’une industrie forte, nationale et structurée par le processus de qualification. Ce processus est ouvert aux acteurs étrangers via une évaluation des produits et des services.
“Elle accompagnera le développement de l'économie et la promotion internationale de ses produits et services numériques”.
Ce travail est compliqué et prend du temps mais il est indispensable afin de savoir qui est compétent et de confiance.
“Elle s'assurera de la disponibilité pour ses citoyens, ses entreprises et ses administration, de produits et services numériques présentant des niveaux d'ergonomie, de confiance et de sécurité adaptés aux usages et aux cybermenaces”.
Pour résumer cette mesure, les industries doivent produire des produits de sécurité avec un cahier des charges « made in France » et doivent se protéger pour elles-mêmes et pour le pays, afin de ne pas être les « maillons faibles » de la chaîne.
Enfin, le dernier axe explique que la stratégie du numérique doit s’envisager dans un contexte international.
En effet, la France a un rôle majeur à jouer pour porter ses valeurs dans le domaine de la cybersécurité, que ce soit pour venir en aide aux états les moins avancés, faire du capacity-building, ou aller vers les pays alliés pour les aider à monter en puissance.
Au-delà des objectifs philanthropiques, il s’agit aussi, comme pour tous les domaines stratégiques, de protéger ses alliés pour se protéger soi-même.
Tous ces éléments mettent en exergue l’impératif de trouver un compromis entre efficacité et confiance.
“La France sera, avec les états membres volontaires, le moteur d'une autonomie stratégique numérique européenne. Elle jouera un rôle actif dans la promotion d'un cyberespace sûr, stable et ouvert”.
Les différents services de l’État impliqués ont tout pour aider les industriels à aller vers l’export, afin qu’ils deviennent des leaders mondiaux dans le domaine cyber.
Comme vu en introduction, l'ANSSI (Agence nationale de la sécurité des systèmes d’information) créée en 2009 est l’autorité nationale en matière de sécurité des systèmes d’information.
À ce titre, elle prévoit des mesures destinées à répondre aux crises affectant ou menaçant la sécurité des SI vitaux de la Nation et elle coordonne l’action gouvernementale en matière de défense des SI.
Elle anime et coordonne les travaux interministériels en matière de sécurité du numérique, élabore les mesures de protection des systèmes d’information et veille à l’application de celles-ci notamment par le biais d’inspections.
Elle conçoit, fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques nécessaires au Président de la République et au Gouvernement.
Elle délivre des agréments aux produits et aux prestataires de services destinés à protéger les SI des entreprises.
Depuis 2015, l’ANSSI déploie un dispositif territorial chargé de relayer et de coordonner l’action de l’ANSSI dans les territoires ainsi que de contribuer au partage d’expérience entre les acteurs locaux de la cybersécurité.
Ce dispositif est formé par des référents territoriaux en régions spécialistes de la sécurité du numérique.
Ceux-ci accompagnent la mise en œuvre des politiques de cybersécurité avec les structures et les autorités régionales existantes pour prévenir les incidents et sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques informatiques.
Même si l’ANSSI assure la plupart de ses missions en France, elle participe également aux négociations internationales et assure la liaison avec ses homologues étrangers.
L’ANSSI se charge de l’anticipation de la menace pour la sécurité du numérique.
Pour cela, sept laboratoires de recherche lui permettent de rester à la pointe de l’état de l’art en matière de cybersécurité.
Lorsque les menaces sont détectées, l’ANSSI identifie les failles utilisées par les codes malveillants, ce qui lui permet d’avoir une vision plus générale sur l’analyse de la menace.
Pour les cas plus extrêmes qui le nécessitent, un dispositif de crise peut être activé pour répondre de manière efficace à un événement d’ampleur.
L’ANSSI dispose pour cela d’un centre opérationnel qui fonctionne 7 jours sur 7 et 24 heures sur 24 et qui lui permet d’effectuer une veille permanente et une supervision de l’activité sur les différents réseaux couverts, afin de détecter des attaques potentielles auprès des services ministériels.
Enfin, le centre opérationnel collecte et assure la synthèse des informations nécessaires à la compréhension des attaques.
L’ANSSI se charge également d’accompagner les services de l’État et les Opérateurs d’Importance Vitale (OIV), c’est-à-dire les organisations privées ou publiques identifiées par l'État comme ayant des activités indispensables à la vie de la Nation, dans le but de protéger leur Système d’Information à Importance Vitale (SIIV).
Pour assurer leur sécurisation, elle recommande l’utilisation de produits qualifiés ainsi que de prestataires de services de confiance.
Elle réalise des audits de certains systèmes d’information afin de contrôler la robustesse des mesures mises en place et apporte ses recommandations.
L’ANSSI qualifie des produits et des prestataires de services pour démultiplier ses actions auprès du secteur économique.
Pour obtenir ce label de l’ANSSI, les entreprises doivent respecter des critères de qualité sur des sujets très sélectifs.
L'ANSSI propose d'informer et de sensibiliser le public sur les bonnes pratiques à mettre en placee pour protéger les SI.
Elle offre des formations à destination des agents de l'état aussi bien sur le panorama des menaces que sur des sujets plus précis de sécurité conne la cryptographie ou les méthodes d'analyse de risque.
L'objectif de l'ANSII est d'augmenter la culture de la sécurité du numérique de chacun des agents.
Pour résumer, l’ANSSI se charge d’évaluer et de faire évaluer la sécurité de nouveaux dispositifs ou de projets à l’étude.
Elle se charge également de mettre en place des labels (label Cloud, SecNumedu, CSPN), des qualifications (PASSI, PRIS, PDIS), des référentiels (RGS)… des outils de sécurisation et de bonnes pratiques, et du respect général de la sécurité (surveillance des menaces, centre de crise et mise en place d’une plateforme de signalement des failles de sécurité).
Tous les ministères mettent en place des structures de sécurité des SI, plus ou moins musclées et en relation avec l'ANSSI.
Le Ministère des Armées se distingue par des enjeux très forts pour l'État : potentiel de guerre au sens du code de la défense, prise en compte d'une menace étatique étrangère, protection et défense de systèmes d'armes très complexes…
À ce titre, il nécessite des structures musclées (plusieurs milliers de personnes), mais aussi quelques compétences uniques.
Le CALID2) est le CERT3) du Ministère de la Défense, c’est-à-dire la structure “technique” de défense des systèmes d’information.
Le CALID est en charge de la surveillance des différents SI du ministère et partage des outils de détection des menaces avec l'ANSSI.
Le Commandement opérationnel de cyberdéfense (ComCyber) assure la conduite des opérations de défense des SI.
À ce titre, il commande le CALID, mais aussi plus généralement toutes les opérations militaires dans le cyberespace.
Depuis le livre blanc et les discours du ministre des Armées, il est effectivement clairement affiché que le ministère des Armées dispose désormais de capacités offensives en la matière.
Le Ministère des Armées peut intervenir conformément à sa mission pour la défense de la Nation, notamment en cas de crise cyber ; il est également gestionnaire de la réserve cyber (citoyenne et opérationnelle).
La RCC se charge de faire la promotion des bonnes pratiques en matière de cybersécurité sur l’ensemble du territoire.
Il s’agit de réservistes civils qui souhaitent donner de leur engagement pour une cause d’intérêt général.
La réserve opérationnelle quant à elle, sera activée en cas de crise informatique majeure pour aider à la résilience des systèmes d’information.
L’objectif est donc de réduire drastiquement le temps nécessaire pour réinstaller quelques milliers de postes informatiques par exemple.
Il s’agit de personnels techniques, formés et mobilisables à tout moment.
Le Ministère des Armées, au travers notamment de la DGA et de l'expertise de la DGA-MI4), se charge de faire développer des équipements souverains.
Enfin, le Ministère des Armées a mis en place le pôle d'excellence cyber en région Bretagne.
L’objectif de ce pôle se structure autour de trois axes : la formation, la recherche et le développement du tissu industriel.
Afin de protéger les citoyens, la mission du ministère de l’intérieur est de garantir l’état de droit, sur le plan matériel comme dans le cyberespace.
La stratégie ministérielle de lutte contre les cybermenaces définit les objectifs spécifiques du ministère de l’Intérieur au regard du cadre fixé par la stratégie nationale de sécurité du numérique présentée par le Premier ministre le 16 octobre 2015.
Elle s’inscrit dans le cadre des 5 objectifs définis par le Premier ministre.
En complément de la judiciarisation des infractions, le gouvernement a décidé en octobre 2015 la mise en place du dispositif d’assistance aux victimes d’actes de cyber malveillance nommé cybermalveillance.gouv.fr.
Ce dispositif, via une plate-forme Internet, permet aux particuliers, entreprises et collectivités d’être mis en relation avec des acteurs de proximité référencés qui les aident à remettre en bon fonctionnement leurs équipements informatiques.
Les victimes peuvent également trouver de l’aide pour les démarches administratives comme pour le dépôt de plainte par exemple.
Le dispositif propose également des contenus de sensibilisation aux enjeux de protection de la vie privée numérique et de prévention.
Enfin, il héberge un observatoire qui offre une vue réelle et consolidée de la menace numérique qui pèse sur les particuliers, entreprises et administrations.
Ce dispositif a été mis en place au cours du premier semestre 2017.
Même si la cybersécurité n’est pas son cœur d’action, la CNIL 5) possède une action très liée à la thématique de la sécurité des systèmes d’information.
En effet, elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et à exercer leurs droits.
Elle analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés.
En matière d’information et de sensibilisation, la CNIL met à disposition des particuliers et des entreprises des outils pratiques et pédagogiques pour participer à l’éducation au numérique qui permettent de mieux comprendre et de mieux appréhender les mesures de sécurité par la suite.
L’objectif principal de la CNIL est de veiller à ce que le développement des nouvelles technologies et les usages numériques ne portent atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
De nombreux professionnels en SSI peuvent conseiller et accompagner les entreprises et les administrations dans leurs projets d'amélioration de la sécurité.
Les services proposés sont variés: évaluation du niveau actuel de la sécurité du système, fourniture de recommandations d'amélioration, accompagnement à la mise en œuvre des mesures nécessaires, vérification de l'application des mesures.
Ces professionnels peuvent aussi intervenir en cas de problème suite à un incident par exemple pour déterminer le niveau de compromission d'un système, pour recueillir des preuves en cas d'action en justice (analyse Forensique), ou pour préconiser des mesures de confinement, de décontamination, ou de correction de vulnérabilité.
Bien entendu, il est préférable de ne pas en arriver là et d'intégrer l'aspect sécurité dès la phase de conception de tout système, en réalisant une analyse de risques et en définissant des exigences sécurité.
L'objectif de tous ces contrôles est de s'assurer que les risques afférents aux biens que l'on souhaite protéger sont pris en compte par des contre-mesures adaptées.
De nombreux professionnels en sécurité des systèmes d'information peuvent conseiller et accompagner les entreprises et les administrations dans leurs projets d'amélioration de la sécurité.
La sécurité est l’affaire de tous et dépend de votre écosystème. Au sein de votre entreprise ou votre administration, il est nécessaire d’identifier une personne qui aura la charge de coordonner les différentes mesures de sécurité.
Cette personne peut-être un Responsable de la Sécurité des Systèmes d’ Information (RSSI), si la taille de la structure dont vous faites partie est suffisamment importante, ou un simple référent pour les plus petites entreprises.
Les acteurs que nous avons pu découvrir dans cette unité ne sont pas les seuls mais ils représentent bien la diversité des acteurs de cybersécurité en France.
Le livre blanc de défense et de la sécurité nationale ainsi que la stratégie nationale de sécurité du numérique montrent également que la France se donne les moyens d’être optimiste : elle dispose de toutes les cartes nécessaires pour jouer un rôle de premier ordre dans le domaine du numérique et de la sécurité qui en dépend.
Il y a une bonne compréhension globale de la part des acteurs concernés des objectifs à atteindre et des arbitrages budgétaires permettent de déployer davantage de moyens.
Cela octroie d’importantes responsabilités à l’ANSSI, qui doit porter la question de la cybersécurité de manière à continuer à protéger la sécurité et la croissance économique du pays face à une menace qui ne va cesser de croître. Nous sommes tous acteurs du numérique.