C’est à l’occasion de la seconde journée du FIC que le Ministre de la Défense Jean Luc Le Drian a annoncé le second épisode de la LPM : le pacte de cyberdéfense qui bénéficiera d’une enveloppe d’un milliard d’euros sur les 5 années à venir et engagera aussi bien les ressources du secteur public (Anssi notamment) que les compétences privées de grands groupes de conseils et d’intégration (La création d’un pôle Cyberdéfense au sein d’Orange n’est pas un hasard). Les structures régaliennes, notamment le Calid (Centre d’analyse de lutte informatique défensive) du Ministère de la Défense verra ses effectifs multipliés par 6 pour atteindre 120 personnes, tandis que le personnel de la DGA MI (direction générale de l’armement, maîtrise de l’information) passe de 200 à 450 personnes.
L’hypothèse d’une cyberattaque massive est donc prise au sérieux en haut lieu et l’on souhaite mettre en œuvre tout ce qui est possible pour préserver les trésors de l’Empire. A commencer par les grands groupes industriels, avec le risque évident qu’un tel pacte de cyberdéfense ne puisse être applicable qu’à une infime partie des entreprises (celles qui en ont les moyens) et aux ressources institutionnelles du pays. Une protection pour les riches et les forces régaliennes en quelques sortes.
Le sujet ( Vers une cyberdéfense proactive) a d’ailleurs fait l’objet d’un atelier auquel participait Maître Garance Mathias, un responsable du Calid, le Lieutenant Colonel William Dupuy, Yves Le Floch (développement cybersécurité chez Sogeti), Frank Roussé, responsable du segment Critical IT d’Orange BS, et Don Solomon du prestataire de services Britannique Optimal Risk. Un panel très varié qui a permis de brosser avec assez de précision les tenants et une partie des aboutissants de ce nouveau sport de combat qu’est la cyberdéfense.
Pour Don Solomon, le mot proactif ne désigne qu’un aspect du problème. La cyberdéfense doit englober à la fois la sécurité humaine et physique, ainsi que l’infrastructure IT. Un but qui ne sera atteint qu’en faisant évoluer les mentalités et les cultures. « Il faut que chaque rouage de l’entreprise soit entraîné et préparé à l’imminence d’une agression. En renforçant par exemple les mécanismes de leurres sur le réseau informatique (dans le but de retarder toute forme d’attaque et faciliter la détection de l’intrusion), voir à organiser des sortes de « wargames » préparatoires qui serviront à tester les réactions et la résilience des cellules d’intervention et de crise. « Ce n’est pas sous le feu d’une attaque qu’il faut tester ce qui a été mis en place. A ce moment là , il est déjà trop tard ». Attitude donc très martiale, accompagnée de la mise en œuvre d’outils jusqu’à présent réservés à quelques réseaux de recherche (ainsi les honeypots). « La défense, ce n’est pas simplement la « sécurité », c’est une notion considérablement plus dynamique » insiste Solomon. Elle doit être à la fois préemptive et pré-active. Préemptive dans le sens où elle met en œuvre des mesures actives qui vont permettre d’anticiper les menaces et préparer à repousser une attaque, pré-active car une fois la menace clairement établie, elle servira à décourager, à contrecarrer les ardeurs de l’attaquant. Cette vision anglo-saxonne n’est pas sans rappeler l’attitude conseillée par les autorités US peu de temps après la réunification des différentes départements « cyber » du DHS, de la CIA, du FBI sous la bannière unique du patron de la NSA.
Mais il faut savoir se méfier des mots … Maïtre Garance Mathias a rappelé que si la légitime défense existait bel et bien dans le droit Français, la cyber-légitime défense était encore un concept trop flou pour que l’on puisse l’invoquer. D’autant plus qu’en la matière, l’attaqué « contre-attaquant » pourrait fort bien se rendre coupable à son tour. L’intrusion sur un système d’information sans l’autorisation de ses administrateurs n’est pas particulièrement bien vue. En outre, seules les forces régaliennes ont autorité dans un Etat de droit. Il est impossible de faire justice soi-même, que se soit directement ou par le biais d’un intermédiaire.
Et chez les militaires, l’idée de « grandes manœuvres » et de cyber-kriegspiel, ça ne se pratique pas, au moins entre membres des forces de l’Otan ? William Dupuy reconnaît que la culture militaire pourrait, dans ce sens, avoir quelques longueurs d’avance sur ce qui se pratique dans une entreprise civile. Mais les questions fondamentales demeurent les mêmes : savoir apprécier le risque, récupérer des métriques réalistes concernant les attaques, analyser les vecteurs utilisés, pour enfin coordonner une réaction appropriée. Mais quelle que soit la capacité d’une infrastructure à se préparer au pire, certaines mesures sont encore très difficiles à effectuer. La détermination de la provenance réelle de l’attaque par exemple, ou la détection des signes annonciateurs dans des flux de données de plus en plus importants, voire la maîtrise des effets et conséquences à terme provoqués par l’attaque ou par les corrections défensives.
Pour Yves Le Floch de Sogeti, qui bien entendu partage également ces avis sur la nécessité de préparer l’entreprise aux risques d’attaque, il faut bien se garder de toute « proactivité un peu trop insistante ». Hors de question de contre-attaquer ou de montrer le moindre signe d’agressivité, on ne peut supposer les conséquences d’un tel acte, et il faudrait probablement s’attendre à une riposte plus violente encore que l’attaque. « Il est également certain qu’une cybersécurité proactive, autrement dit nécessitant un contrôle des ‘process’, des scénarii vérifiés par une cellule de crise etc., tout ça coûte effectivement plus cher qu’une approche « sécurité des S.I. » traditionnelle ».
Pour Frank Roussé, avant de parler de cybersécurité, il faut penser maintien des conditions de sécurité. Et ce n’est déjà pas une tâche particulièrement simple. C’est même une équation à N inconnues : taille du système, âge et acquis, durée estimée du cycle de vie, contexte d’exploitation (interne ou cloudifié), sans oublier les outils de gestion et de sécurité eux-mêmes. Tout ça exige un niveau d’expertise proportionnel à l’ensemble de ces facteurs. La taille devient alors synonyme de complexité croissante et de coûts de plus en plus élevés. L’appel à des entreprises extérieures devrait logiquement diminuer cette complexité, mais alourdit encore un peu plus la facture finale.
« il faut donc le plus possible industrialiser et automatiser les activités de sécurité pour en abaisser les coûts… mais cette automatisation connaît des limites. Sans une expertise humaine au cœur du processus, il serait vain d’espérer pouvoir faire face à n’importe quelle menace. Plus cette automatisation est prévue en amont, plus elle peut s’intégrer dès la conception du système. Une approche « secure by design » comparable à celle que l’on peut voir mise en application dans le monde du développement logiciel. Mais on en est encore loin, malgré l’approche des méthodes agiles, l’aide des environnements de virtualisation etc. » conclut Frank Roussé.
La cyberdéfense sera proactive, la chose est certaine car voulue par une multitude de trains de mesures gouvernementales. Mais les témoignages des différents acteurs et prestataires laissent à penser que les approches traditionnelles (ebios, audits, iso diverses…) et une défense périmétrique classique sans « cybermanoeuvres » et culte du « aware » ont encore beaucoup d’avenir auprès des entreprises de moyenne et petite envergure. En cas de cyberconflits, il faudra s’attendre à ce qu’il y ait des cyber-victimes chez les cyber-civils.