La cybersécurité : Acteurs de l’écosystème

Présentation

Afin de structurer une vision commune de la défense et plus particulièrement de la cybersécurité en France, le président de la République a souhaité qu'en 2013 soit rédigé un deuxième livre blanc pour la Défense et la Sécurité Nationale.

Classement des menaces

Ce livre blanc apporte un classement des menaces les plus importantes sur l'État et montre que la menace informatique est classée seconde derrière la menace terroriste. En substance, le document évoque une « menace cyber diverse et croissante » qui peut avoir pour conséquence le sabotage, l'espionnage et la subversion. Cette menace concerne l'ensemble des acteurs français, aussi bien économiques qu'administratifs.

Notons que le premier livre blanc de la Défense et de la Sécurité Nationale de 2008 mettait déjà en évidence la menace que représentent les attaques informatiques. Il a ainsi permis la création de l'ANSSI.

Les trois priorités du livre blanc

Il ressort trois priorités de ce livre :

1. Protéger les opérateurs d'importance vitale (OIV) qui sont des acteurs privés indispensables au bon fonctionnement de la Nation.
2. La deuxième priorité concerne la formation et la sensibilisation : elle indique par exemple qu'il est important que l'ANSSI communique de façon claire sur les mesures d'hygiène à mettre en place pour se protéger un minimum des menaces qui pèsent sur les systèmes informatiques.
3. Enfin, le troisième axe prévoit la promotion des produits de sécurité nationaux pour maintenir une industrie capable de produire des équipements de sécurité de façon autonome.

Il s'agit d'un axe stratégique permettant de valoriser des offres françaises et de développer une confiance pour les produits de sécurité.

Présentation

En 2015, le Premier ministre a officialisé la première stratégie pour la sécurité du numérique. L'ambition de la France est de faire partie des quelques nations qui comptent dans tous les domaines stratégiques et notamment la cybersécurité.

La stratégie nationale pour la sécurité du numérique n'est pas une stratégie pour la cyberdéfense mais bien pour la sécurité du numérique, terme plus englobant et traduisant mieux les enjeux et défis qui se posent.

Les cinq axes de la stratégie que nous allons découvrir se veulent complémentaires.

Les 5 axes de la stratégie nationale

1. Les questions de sécurité numérique auprès des OIV

Le premier axe de la stratégie nationale pour la sécurité du numérique consiste à réaffirmer que les questions de sécurité numérique auprès des OIV sont liées à celles de la souveraineté nationale.

2. Le rôle des entreprises non OIV

Le deuxième point n'en est pas moins important, il explique que les entreprises non-OIV ont également un rôle important à jouer puisque des attaques informatiques massives contre les industries et PME/PMI peuvent devenir des questions de sécurité nationale.

Aujourd'hui les entreprises non-OIV composent la grande majorité du tissu industriel français.

3. La formation à la cybersécurité

Le troisième axe promeut la formation à la cybersécurité. Au cours des 5 dernières années, le nombre de formations spécifiques à la cybersécurité a ainsi explosé alors qu'il y a 10 ans celles-ci étaient marginales.

Il existe aujourd'hui de nombreuses formations de qualité mais on observe une inadéquation entre l'offre et la demande. Pour participer à cet effort de formation, l'ANSSI a mis en place plusieurs actions : Le label SecNumedu, CyberEdu et le module SecNumacadémie dont est issu ce cours.

4. Le rôle des industries

Le quatrième axe de la stratégie propose d'inclure les industries dans le développement de la cybersécurité nationale. En effet, la France a besoin d'une industrie forte, nationale et structurée par le processus de qualification.

Ce processus est ouvert aux acteurs étrangers via une évaluation des produits et des services.

5. La stratégie du numérique dans un contexte international

Enfin, le dernier axe explique que la stratégie du numérique doit s'envisager dans un contexte international.

En effet, la France a un rôle majeur à jouer pour porter ses valeurs dans le domaine de la cybersécurité, que ce soit pour venir en aide aux états les moins avancés, faire du capacity-building, ou aller vers les pays alliés pour les aider à monter en puissance.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) créée en 2009 est l'autorité nationale en matière de sécurité des systèmes d'information.

Missions principales de l'ANSSI

À ce titre, elle prévoit des mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d'information vitaux de la Nation et elle coordonne l'action gouvernementale en matière de défense des systèmes d'information.

Elle anime et coordonne les travaux interministériels en matière de sécurité du numérique, élabore les mesures de protection des systèmes d'information et veille à l'application de celles-ci notamment par le biais d'inspections.

Elle conçoit, fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques nécessaires au Président de la République et au Gouvernement.

Elle délivre des agréments aux produits et aux prestataires de services destinés à protéger les systèmes d'information des entreprises.

Dispositif territorial

Depuis 2015, l'ANSSI déploie un dispositif territorial chargé de relayer et de coordonner l'action de l'ANSSI dans les territoires ainsi que de contribuer au partage d'expérience entre les acteurs locaux de la cybersécurité.

Ce dispositif est formé par des référents territoriaux en régions spécialistes de la sécurité du numérique.

Ceux-ci accompagnent la mise en œuvre des politiques de cybersécurité avec les structures et les autorités régionales existantes pour prévenir les incidents et sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques informatiques.

Missions à l'international

Même si l'ANSSI assure la plupart de ses missions en France, elle participe également aux négociations internationales et assure la liaison avec ses homologues étrangers.

Anticipation de la menace

L'ANSSI se charge de l'anticipation de la menace pour la sécurité du numérique.

Laboratoires de recherche

Pour cela, sept laboratoires de recherche lui permettent de rester à la pointe de l'état de l'art en matière de cybersécurité.

Détection et analyse des menaces

Lorsque les menaces sont détectées, l'ANSSI identifie les failles utilisées par les codes malveillants, ce qui lui permet d'avoir une vision plus générale sur l'analyse de la menace.

Dispositif de crise

Pour les cas plus extrêmes qui le nécessitent, un dispositif de crise peut être activé pour répondre de manière efficace à un événement d'ampleur.

Centre opérationnel

L'ANSSI dispose pour cela d'un centre opérationnel qui fonctionne 7 jours sur 7 et 24 heures sur 24 et qui lui permet d'effectuer une veille permanente et une supervision de l'activité sur les différents réseaux couverts, afin de détecter des attaques potentielles auprès des services ministériels.

Enfin, le centre opérationnel collecte et assure la synthèse des informations nécessaires à la compréhension des attaques.

Maintenir un cadre réglementaire

En parallèle, elle se charge de mettre en place et de maintenir un cadre réglementaire adapté aux technologies et à l'état de la menace.

Dispositif réglementaire pour les OIV

Dans un premier temps, l'ANSSI gère le dispositif réglementaire, issu de la Loi de Programmation Militaire, qui encadre la sécurité numérique des Opérateurs d'Importance Vitale.

Référentiel Général de Sécurité (RGS)

Elle édite également le Référentiel Général de Sécurité (RGS) qui fixe les règles que doivent respecter certaines fonctions de sécurité et qui cadre par exemple les aspects sécuritaires des échanges entre les services de l'administration et les particuliers comme la déclaration des impôts en ligne.

Accompagner les OIV

Qualifier des prestataires de confiance

L'ANSSI qualifie des produits et des prestataires de services pour démultiplier ses actions auprès du secteur économique.

Types de prestataires qualifiés

• Prestataire d'Audit de la Sécurité des Systèmes d'Information (PASSI) : prestataire reconnu comme réalisant des audits de sécurité dans le but de vérifier la conformité à des exigences.
• Prestataire de Réponses aux Incidents de Sécurité (PRIS) : prestataire menant les investigations nécessaires pour qualifier les incidents et proposant des mesures pour stopper les attaques en cours et protéger le système d'information contre de nouvelles menaces.
• Prestataire de Détection des Incidents de Sécurité (PDIS) : prestataire utilisant des outils de détection d'incidents dans le but d'alerter en cas d'événement suspicieux.
• Centre d'Évaluation de la Sécurité des Technologies de l'Information (CESTI) : prestataire réalisant des évaluations de produits.
• SecNumCloud : prestataire de services d'informatique en nuage dans le but de sécuriser les services dits « cloud ».

La cyberdéfense en France

Structures ministérielles de sécurité

Tous les ministères mettent en place des structures de sécurité des systèmes d'information, plus ou moins musclées et en relation avec l'ANSSI.

Spécificités du Ministère des Armées

Le Ministère des Armées quant à lui, se distingue par des enjeux très forts pour l'État : potentiel de guerre au sens du code de la défense, prise en compte d'une menace étatique étrangère, protection et défense de systèmes d'armes très complexes...

À ce titre, il nécessite des structures musclées (plusieurs milliers de personnes), mais aussi quelques compétences uniques...

Le CALID

Le Centre d'Analyse en Lutte Informatique Défensive (CALID) est le CERT (Computer Emergency Response Team) du Ministère de la Défense, c'est-à-dire la structure "technique" de défense des systèmes d'information.

Le CALID est en charge de la surveillance des différents SI du ministère et partage des outils de détection des menaces avec l'ANSSI.

Le ComCyber

Le commandement opérationnel de cyberdéfense (ComCyber) assure la conduite des opérations de défense des SI.

À ce titre, il commande le CALID, mais aussi plus généralement toutes les opérations militaires dans le cyberespace.

Depuis le livre blanc et les discours du ministre des Armées, il est effectivement clairement affiché que le ministère des Armées dispose désormais de capacités offensives en la matière.

La réserve cyber-citoyenne (RCC) et la réserve opérationnelle de cyberdéfense

Le Ministère des Armées peut intervenir conformément à sa mission pour la défense de la Nation, notamment en cas de crise cyber. Il est également gestionnaire de la réserve cyber (citoyenne et opérationnelle).

La Réserve Cyber-Citoyenne (RCC)

La RCC se charge de faire la promotion des bonnes pratiques en matière de cybersécurité sur l'ensemble du territoire. Il s'agit de réservistes civils qui souhaitent donner de leur engagement pour une cause d'intérêt général.

La réserve opérationnelle

La réserve opérationnelle quant à elle, sera activée en cas de crise informatique majeure pour aider à la résilience des systèmes d'information. L'objectif est donc de réduire drastiquement le temps nécessaire pour réinstaller quelques milliers de postes informatiques par exemple.

Il s'agit de personnels techniques, formés et mobilisables à tout moment.

La DGA-MI

Le Ministère des Armées, au travers notamment de la DGA et de l'expertise de la DGA-MI (délégation générale de l'armement – maîtrise de l'information), se charge de faire développer des équipements souverains.

Le pôle d'excellence cyber en région Bretagne

Enfin, le Ministère des Armées a mis en place le pôle d'excellence cyber en région Bretagne. L'objectif de ce pôle se structure autour de trois axes : la formation, la recherche et le développement du tissu industriel.