janvier 23rd, 2014

Les multiples ateliers du Forum International de la Cybersécurité se suivent et, souvent, se ressemblent d’une année sur l’autre. Sécurité des communications mobiles, cybersurveillance et vie privée, cyberdélinquance et lutte transfrontière, gouvernance d’Internet… si les questions ne changent pas, les réponses, parfois, évoluent. Ainsi, les questions portant sur le renforcement des infrastructures critiques attiraient invariablement par le passé des avis prudents, voir une totale indifférence. Tout ça ne relève encore que du mauvais scénario à la sauce Die Hard 4 disait-on alors. La sécurité des processus industriels est assurée par des gens de métier qui ont su penser à ces problèmes dès la conception des architectures…

Depuis, la LPM est passée. L’inventaire des opérateurs d’importance vitale et la liste des sites critiques (classement Seveso par exemple) est en cours de réalisation. Les documents expliquant la méthodologie de classification des infrastructures critiques et le guide des mesures de sécurité détaillées sont disponibles sur le site de l’Anssi. La menace qui pourrait peser sur de tels établissement appartient désormais au domaine du possible, voire, estiment les experts de l’Agence, une « certitude à plus ou moins longue échéances ». En substance, si le risque existe, la probabilité que ce risque soit exploité un jour par un adversaire est aussi probable que n’importe quel autre sinistre informatique. Le « si » (la probabilité de panne) est remplacé par le « quand » (la certitude à plus ou moins longue échéance du sinistre). Il faut avouer que, depuis ces 4 ou 5 dernières années, les preuves d’exploitation Scada et autres intrusions « involontairement mises à jour » ont fait les choux gras des principales conférences sécurité d’Europe, d’Asie et des Amériques. Le « brick and mortar », bien que vouant un culte aux dieux de la sécurité des processus et du périmétrique, n’a pas totalement digéré la composante informatique et Internet qui le fragilise progressivement depuis une petite décennie. Il est temps que l’on en prenne conscience.

FIC, sixième édition, troisième période. Après des débuts confidentiels réunissant quelques enquêteurs Ntech et spécialistes de la sécurité des S.I. dans l’enceinte spartiate d’une caserne, après quatre ans de lente maturation, d’ouverture au monde industriel et politique, le Forum International de la Cybersécurité entame peut-être son âge de raison, celui de la confrontation des idées et de l’opposition des opinions. Oubliées, les visions manichéennes des hordes de Black Hat Russo-Chinois égorgeant nos fils réseau et nos campagnes marketing. Depuis, l’affaire Snowden et l’ombre de la NSA sont passées par là. D’hypothétique, le danger et le risque sont devenus tangibles, la grande peur de l’an 2013 a frappé, les politiques ont réagi en promulguant lois sur lois et conseils avisés et recommandations officielles. Peu étonnant donc de d’entendre, à l’occasion de la séance plénière, Jeremy Zimmermann (la Quadrature du Net), affirmer l’échec de cette cybersécurité, focalisée plus sur les systèmes que sur l’humain. « Il faut replacer le citoyen au centre des politiques de cybersécurité, lui offrir des outils de protection qui ne soient pas biaisés, des outils open-sources pouvant assurer précisément cette sécurité de bout en bout. Face à lui, Patric Pailloux, encore Directeur de l’ANSSI pour quelques heures (il sera nommé Directeur Technique de la DGSE avant que ne s’achève le FIC) et le général Watin-Augouard de la Gendarmerie Nationale, qui représentaient et défendaient une position plus conservatrice, plus organisationnelle, dans la droite ligne du « back to basics » et de la logique de la LPM. Le général insiste sur la nécessaire mutation d’une sécurité capable de mieux anticiper les menaces, attitude d’autant plus nécessaire que ne s’étend l’emprise de l’Internet des objets.

Une logique des conseils fondamentaux contestée par les interventions assassines de David Lacey, (IOActive) : « la cybersécurité ne peut être une suite de recettes normatives, d’applications dogmatiques de contrôles de conformité. La religion de la « compliance » nous fait perdre de vue que la sécurité des S.I. est une mission qui demande énormément de réactivité, d’anticipation » dit en substance Lacey. C’est là la seule recette selon lui pour espérer contrer les attaques polymorphes et l’inventivité constante des cyber-attaquants. Il faudra un électrochoc, un « 11 septembre numérique » pour que les professionnels puissent s’en rendre compte ? S’interroge Lacey. Il faudrait alors que le coup soit très dur, si l’on en jure les réactions apathiques des différents gouvernements d’Europe après les révélations Snowden. Le discours n’est pas nouveau, la cybersécurité se soldera par un échec cuisant tant que ces trois visions ne se combineront pas : approche normative et technique, respect, confiance et protection de l’élément humain, analyse et anticipation des renforcements de défense à géométries variables. Reste l’équation à n inconnues de l’Internet des objets, cette course au raccordement IP à tous prix sous prétexte de développement commercial et d’économie d’échelle. Elle oppose les nécessités d’une diffusion à grande échelle de mécanismes aux configurations souvent figées, produits rapidement pour répondre aux demandes du marché, directement connectés à des serveurs (dont certains d’importance sinon vitale, du moins d’indéniable nécessité). Il y a là ce que les politiques appellent un « défi », les responsables sécurité « de l’inconscience », les opérateurs de services « une hâte injustifiée » et les acteurs du monde des affaires « une opportunité à ne pas manquer ». Cyberdéfense et consumérisme ne signifient pas tout à fait la même chose selon les visions à court ou long terme des différents intéressés.

Certains points continueront, sans le moindre doute, à tirailler les différents partis. La défense de l’Open Source si chère à Jeremy Zimmermann, par exemple, qui s’oppose à la signature du récent accord-cadre entre Microsoft et l’armée Française (surtout à la lumière du programme Prism de la NSA). Mais le ver du doute est dans le fruit. A la question-sondage « la cybersécurité est-elle un échec ?», la grande majorité des personnes assistant au FIC ont répondu « oui ». Une assistance composée de gendarmes, de policiers, de responsables de collectivités locales et d’entreprise, bref, un public que l’on peut difficilement accuser de défaitisme et d’esprit frondeur.