Centre danalyse stratgique

Mars 2013

Dveloppement durable

DANALySe

LA NOTe

no 324

Cyberscurit*, lurgence dagir

Les attaques informatiques se multiplient et se complexifient sous leffet du dveloppement du cyberespionnage, de la cybercriminalit et dtats qui utilisent ces attaques des fins stratgiques. Paralllement, des usages nouveaux (cloud computing, mobilit) accroissent les vulnrabilits des systmes dinformation. Confronts cette menace, les entreprises, les administrations et a fortiori les particuliers sont soit dsarms, soit peu conscients des risques encourus et de leurs consquences conomiques et financires. Des attaques informatiques peuvent piller le patrimoine informationnel des entreprises et toucher des infrastructures stratgiques. Le Livre blanc sur la dfense et la scurit nationale paru en 2008 avait ainsi consacr la scurit des systmes dinformation comme lune des quatre priorits stratgiques pour la France : cest un enjeu de comptitivit et de souverainet nationale. Pour lever le niveau de scurit, tout en tirant profit des avantages dun Internet ouvert et dcentralis, les organisations doivent adopter une dmarche rationnelle danalyse de risques afin de mettre en uvre une rponse adapte sur le plan technique et organisationnel. Loffre nationale de solutions de scurit doit galement se structurer pour permettre une meilleure valorisation des comptences technologiques franaises et garantir un plus haut degr de souverainet. g

PROPOSITIONS

1 Renforcer les exigences de scurit imposes aux oprateurs dimportance vitale

(OIV), sous le contrle de lAgence nationale de la scurit des systmes dinformation (ANSSI). 2 Dvelopper et mettre la disposition des petites et moyennes entreprises des outils simples pour grer les risques. 3 largir les missions de lANSSI pour accompagner le dveloppement de loffre franaise de solutions de cyberscurit. 4 Revoir le cadre juridique afin de conduire, sous le contrle de lANSSI et dun comit dthique ad hoc, des exprimentations sur la scurit des logiciels et les moyens de traiter les attaques.

* Le prfixe cyber se rfre, dans son acception actuelle, aux systmes dinformation. Ainsi, le terme cyberscurit doit-il tre compris comme la scurit des systmes dinformation.

www.strategie.gouv.fr

Centre danalyse stratgique

Lessor des technologies de linformation a entran une dpendance croissante lgard des outils numriques. En raison des enjeux conomiques et politiques sous-jacents, les attaques informatiques se sont considrablement dveloppes et sophistiques au cours des dernires annes. Leurs auteurs sont techniquement difficiles identifier, et linvestissement et le risque pnal encouru sont relativement faibles au regard des gains potentiels. La dcouverte en 2010 du ver informatique Stuxnet, conu pour saboter le processus denrichissement duranium iranien, a fait prendre conscience de la possibilit de cyberattaques contre des infrastructures physiques. Les organisations sont aussi confrontes un cyberespionnage gnralis, qui vise leur patrimoine informationnel stratgique (activits de R & D, informations financires et commerciales, etc.). Ainsi, assurer un certain niveau de scurit des systmes dinformation est-il devenu un enjeu de premire importance. En France, la cration en 2009 de lAgence nationale de la scurit des systmes dinformation (ANSSI) tmoigne dune prise de conscience de ces questions. Cependant, comme le souligne le rapport snatorial de juillet 2012 sur la cyberdfense(1), le niveau de scurit des systmes dinformation des organisations reste globalement insuffisant malgr les efforts fournis. La prsente Note danalyse fait le point sur ltat des menaces informatiques et sur les rponses apportes en France et ltranger. Elle formule ensuite des recommandations destines lever le niveau de cyberscurit.

LeS eNjeux

Un cyberespace vUlnrable, en proie Des actes Dlictueux croissants

les attaques informatiques se complexifient et se professionnalisent

i Des attaques vises stratgiques La dcouverte du programme malveillant Stuxnet en 2010 a rvl lexistence dattaques informatiques dune ampleur jamais atteinte jusqualors. Grce de nombreuses failles de scurit, Stuxnet sest attaqu au programme darmement nuclaire iranien, en sabotant le processus denrichissement de luranium. Son avance technologique est telle quelle quivaudrait, selon un chercheur ayant tudi lattaque, larrive dun avion de chasse de dernire gnration sur un champ de bataille de la Premire Guerre mondiale (2). Le ver Flame, dcouvert en 2012, constitue quant lui le systme despionnage informatique le plus sophistiqu jamais dcouvert ce jour. Contrl distance, il est, entre autres, capable de copier tous types de fichier, de mmoriser les frappes sur le clavier, de dclencher le micro et lmetteur Bluetooth, et peut sautodtruire tout moment. Ces exemples tmoignent dun affrontement dun type nouveau : des cyberattaques peuvent tre diriges contre des infrastructures physiques(3) (rseaux de distribution dnergie, infrastructures de transport, chanes de production, etc.) ou participer des oprations de renseignement. Dans certains cas, leur niveau de sophistication est tel que seules des puissances tatiques seraient en mesure de les produire. Lappropriation par les tats des attaques informatiques des fins stratgiques conduit une course larmement susceptible daugmenter le niveau gnral de la menace. i Un dveloppement proccupant du cyberespionnage Les attaques informatiques destines sapproprier des informations sensibles (parfois appeles APT : Advanced Persistent Threats) connaissent un dveloppement important et constituent une menace pour les entreprises et les administrations(4). Les attaquants sont la recherche de donnes stratgiques : informations lies la recherche et au dveloppement ; informations changes par les dirigeants ; donnes financires et commerciales : contrats, ngociations en cours, etc.

(1) Bockel J.-M. (2012), Rapport dinformation sur la cyberdfense, commission des Affaires trangres, de la Dfense et des Forces armes, Snat. (2) Langner R. (2010), The big picture. (3) ANSSI (2012), La cyberscurit des systmes industriels. (4) Duluc P. (2012), Les menaces sur le cyberespace : une ralit, Revue de llectricit et de llectronique, n 2, p. 16-20.

Mars 2013

no 324

DANALySe

LA NOTe

Noyes dans le flot des donnes changes, ces attaques peuvent rester invisibles pendant plusieurs annes et entraner un espionnage conomique massif. Ainsi lentreprise dquipements de tlcommunications Nortel a t victime dun espionnage gnralis partir du dbut des annes 2000, les pirates ayant eu accs la totalit des documents techniques, financiers et de R & D pendant prs de dix ans(5). Il sagit trs probablement de lune des principales causes de la faillite de lentreprise en 2009. En 2010, le ministre franais de lconomie et des Finances a subi une campagne dattaque de ce type. Environ 150 ordinateurs, principalement au sein de la direction gnrale du Trsor, ont t infects, sur les quelque 170 000 ordinateurs du ministre, ce qui illustre le degr de prcision du cyberespionnage. Lattaque avait notamment pour but de recueillir des informations relatives la prsidence franaise du G8 et du G20(6). Des quotidiens amricains, parmi lesquels le New York Times et le Wall Street Journal, ont annonc en janvier 2013 avoir t victimes despionnage de grande ampleur (vol de mots de passe, demails et de donnes de journalistes), accusant des pirates bass en Chine. La plupart des grandes entreprises et des administrations ont trs probablement t victimes dintrusions des fins despionnage. Cependant, hormis ces quelques exemples, il nest pas facile de recenser ces attaques en raison de la rticence des organisations les rvler. i La professionnalisation de la cybercriminalit La cybercriminalit dsigne lensemble des infractions pnales commises via les rseaux informatiques (vols de donnes caractre personnel ou industriel, fraude ou vol didentifiants bancaires, diffusion dimages pdophiles, atteinte la vie prive, etc.). Encourag par limportance des sommes en jeu pour un risque relativement faible, le crime organis sest empar de la cybercriminalit. Selon les estimations de Norton(7), le cot financier de la cybercriminalit atteindrait en 2012 110 milliards de dollars, dont 42 % lis des fraudes, 17 % des vols ou pertes de donnes et 26 % aux frais de rparation. Le trafic de drogue (cannabis, cocane et hrone) reprsenterait 288 milliards de dollars, selon la mme tude.

i Un nombre dattaques amen crotre Le nombre dattaques et leur intensit devraient augmenter. La dissmination de codes malveillants entrane des effets collatraux, voire boomerang. titre dexemple, des fonctions lmentaires du ver Stuxnet sont disponibles la vente sur Internet et peuvent tre utilises des fins malveillantes. Si les techniques dattaque classiques sont toujours trs utilises et peuvent se combiner de manire complexe, des menaces nouvelles devraient se dvelopper (cf. encadr 1). encadr 1

Techniques dattaques les plus frquentes(8)

Le dni de service : saturation dun rseau ou dun service par un envoi de requtes en trs grand nombre afin dempcher ou de limiter fortement sa capacit fournir le service attendu(9). De telles attaques ont par exemple paralys les sites institutionnels dEstonie en 2007 ; Le pigeage de logiciels : utilisation de programmes malveillants (virus, ver, cheval de Troie, etc.) pour perturber le fonctionnement dun logiciel et infecter un systme dinformation ; Les techniques dingnierie sociale : acquisition dloyale dinformation afin dusurper lidentit dun utilisateur. Parmi ces techniques, lhameonnage (phishing) consiste par exemple faire croire la victime quelle sadresse un tiers de confiance (banque, administration, etc.) afin de lui soutirer des renseignements personnels(10). Exemples de nouveaux types dattaques(11) : Attaques des couches basses des rseaux ; Ranongiciels : logiciels malveillants qui prennent en otage des donnes personnelles et exigent une ranon pour leur restitution.

Des vulnrabilits nouvelles prendre en considration

i La scurit, frein ladoption du cloud computing Le cloud computing (12) consiste utiliser des serveurs distance, accessibles par Internet, pour traiter ou stocker de linformation. Il connat un dveloppement massif(13) en raison de ses nombreux avantages : baisse des cots

(5) Gorman S. (2012), Chinese hackers suspected in long-term Nortel breach, The Wall Street Journal, 14 fvrier. (6) Cf. le rapport Bockel (op. cit.) pour une description plus dtaille de lattaque. (7) Norton (2012), 2012 Norton cybercrime report, juillet. (8) Pour une prsentation exhaustive des menaces, consulter le guide de lANSSI : Menaces sur les systmes informatiques. (9) http://www.securite-informatique.gouv.fr/gp_rubrique33.html (10) http://fr.wikipedia.org/wiki/Hame%C3%A7onnage (11) ANSSI (2011), Cyberconflits, quelques cls de comprhension. (12) Ou informatique en nuage, en franais. (13) Selon Gartner, le march du cloud computing devrait reprsenter 150 milliards de dollars en 2014.

www.strategie.gouv.fr

Centre danalyse stratgique

lie la mutualisation des ressources, facturation lusage, puissance de calcul quasi-illimite, travail collaboratif facilit, mobilit, volutivit. Cependant, il noffre pas encore toutes les garanties de scurit pour sa pleine appropriation. En effet, le cloud computing comporte des risques organisationnels, techniques et juridiques, susceptibles de compromettre la confidentialit, lintgrit et la disponibilit des donnes dportes. Le dplacement de tout ou partie du systme dinformation hors du champ de contrle de lorganisation cre un risque de perte de gouvernance. Sur le plan technique, les processus dauthentification des utilisateurs et de gestion des droits daccs posent galement des problmes de scurit. En juillet 2012, lentreprise Dropbox a ainsi reconnu que des mots de passe vols sur dautres sites Internet avaient permis des pirates daccder des documents stocks sur les serveurs de lentreprise(14). Enfin, lincertitude sur la localisation des donnes hberges sur le cloud est un facteur dinscurit juridique : il est difficile de dterminer quel rgime juridique sera applicable en cas de litige. i La mobilit et les nouveaux usages gnrent des vulnrabilits dans les systmes dinformation Le dveloppement des terminaux (ordinateurs portables, smartphones, tablettes) et des rseaux mobiles (3G, 4G, Wifi) offre aux membres dune organisation un accs tendu ses systmes dinformation. Les directeurs des systmes dinformation (DSI) constatent une forte demande des employs pour ces outils de mobilit(15). Cependant, en bouleversant les systmes dinformation de lentreprise, la mobilit gnre des risques pour la scurit : moins matures en matire de scurit, les smartphones et les tablettes sont aussi moins bien intgrs au systme dinformation de lentreprise(16) ; le rythme dinnovation trs lev des applications mobiles, et les nouveaux usages qui y sont associs, entranent de nombreuses failles et vulnrabilits potentiellement exploitables(17) ; la prdominance de loffre amricaine et asiatique de terminaux mobiles (Samsung, Apple, Sony, HTC, RIM, Huawei, ZTE, etc.) constitue un risque pour la France et les pays europens qui ne peuvent garantir leur intgrit technique.

encadr 2

Le ByOD, une pratique antinomique la matrise de la scurit

Le BYOD, sigle provenant de lexpression anglaise Bring your own device ( apportez votre propre appareil), consiste utiliser un terminal mobile personnel des fins professionnelles(18). En fort dveloppement ces dernires annes, le BYOD est extrmement complexe grer pour les responsables de la scurit : la scurit des terminaux est difficile garantir, en raison de la diversit des appareils et des systmes dexploitation, des vulnrabilits causes par les usages privs (dbridage dOS, installation dapplications, etc.) et de lenchevtrement entre donnes prives et professionnelles ; la connexion des terminaux privs aux systmes dinformation de lentreprise pose la question de lauthentification et de la protection des donnes sensibles de lentreprise ; labsence de cadre juridique dfinissant les obligations et prrogatives des employs et des entreprises expose les diffrentes parties prenantes au risque juridique. Beaucoup considrent nanmoins que le BYOD ne reprsente quune diversification invitable des terminaux, qui se gre trs bien en scurisant les accs distants. Il suffit de changer de postulat : dsormais, les terminaux ne sont pas forcment de confiance.
i Procds industriels, Internet des objets : les vulnrabilits informatiques stendent au monde rel Lutilisation massive des technologies de linformation dans tous les secteurs de lconomie a gnr des interactions croissantes entre les mondes virtuel et rel. Les infrastructures physiques sont dsormais trs souvent contrles distance par des logiciels de supervision et de contrle (SCADA, Supervisory control and data acquisition), qui peuvent tre vulnrables aux attaques informatiques pour plusieurs raisons :

les besoins de consolidation des donnes et la pression la baisse des cots ont pouss la convergence des technologies et ont apport aux systmes industriels les vulnrabilits du monde de linformatique de gestion(19) ; les mises jour et les correctifs destins amliorer la scurit des logiciels sont difficilement applicables en raison de contraintes de fiabilit et de disponibilit des systmes industriels.

(14) https://blog.dropbox.com/2012/07/security-update-new-features/ (15) Akella J. et al. (2012), Mobility disruption: a CIO perspective, McKinsey Quarterly (Traduction franaise dans la ParisTech Review). (16) CIGREF (2010), Scurisation de la mobilit, octobre. (17) Akella et al. (2012), op.cit. (18) On parle de manire plus gnrale de consumrisation de linformatique lorsque des technologies adoptes par le grand public sont ensuite utilises dans le cadre de lentreprise. (19) ANSSI (2012) op. cit.

Mars 2013

no 324

DANALySe

LA NOTe

Le dveloppement de lInternet des objets devrait multiplier les interactions entre mondes virtuel et rel et tendre le risque dattaque. Selon Cisco, environ 50 milliards dobjets devraient tre connects Internet en 2020(20). Dans le secteur de la sant par exemple, les stimulateurs cardiaques (pacemaker) connects permettent de transmettre des donnes relatives lactivit cardiaque pour une surveillance distance en temps rel. Un chercheur(21) a dmontr pouvoir prendre le contrle dun pacemaker distance ( une dizaine de mtres) et dclencher des chocs lectriques mortels (830 volts).

Les quipes dintervention de lANSSI ont dabord d reconstituer la cartographie du rseau du ministre qui nen disposait pas afin notamment de recenser ses portes dentre et de sortie vers Internet. Dautres ministres ou institutions de la Rpublique sont, ou ont t, victimes dattaques informatiques dimportance. Alerts par le niveau de la menace et conscients de la ncessit de scuriser les informations sensibles, les pouvoirs publics ont entrepris de rformer en profondeur les systmes dinformation ministriels. Le Conseil des ministres du 25 mai 2011 a dcid de la cration dun Rseau Interministriel de ltat (RIE), rseau scuris regroupant lensemble des rseaux des ministres et permettant la continuit de laction gouvernementale en cas de dysfonctionnement grave dInternet. Conduit par la DISIC(25) et devenu Service comptence nationale, ce projet a intgr la scurit ds lorigine, sur le principe dune dfense en profondeur des couches basses des rseaux. La migration progressive des diffrents rseaux ministriels vers le RIE va permettre une meilleure matrise de larchitecture et une homognisation de la scurit des administrations. i Les oprateurs dimportance vitale (OIV), livrs euxmmes, prsentent une grande disparit face aux risques Le dveloppement rcent dattaques informatiques contre des infrastructures physiques souligne limportance et lurgence damliorer leur protection. La lgislation a identifi des oprateurs dits dimportance vitale (OIV) auxquels elle impose des dispositifs de scurit spcifiques (cf. encadr 3). encadr 3

un niveau de scurit trs variable selon les entreprises et les administrations

i Les organisations apprhendent difficilement le risque informatique et y sont peu sensibilises Avec la numrisation croissante des activits, les systmes dinformation des organisations se complexifient et doivent rpondre des usages et des besoins de plus en plus varis. Les volutions que subissent les organisations (fusions-acquisitions dentreprises, restructurations de dpartements ministriels) ajoutent un degr supplmentaire de complexit. Les dpenses de scurit informatique sont trop souvent considres comme une variable dajustement et fortement contraintes dans le contexte de matrise des cots. Le montant des investissements ncessaires pour assurer la scurit des systmes dinformation(22) est connu et immdiat : selon les chiffres communment admis, il reprsenterait en moyenne entre 0,5 % et 2 % du chiffre daffaires des entreprises(23). En revanche, le cot conomique de linscurit numrique est incertain, lointain, et souvent sous-estim. Pourtant, des attaques informatiques peuvent entraner des pertes financires, nuire limage de lorganisation et potentiellement mettre en pril son activit. i Les administrations sont trs exposes mme si leur niveau de scurit samliore Le niveau de maturit des rflexions par rapport au risque et les niveaux de scurit restent trs htrognes selon les ministres(24). La campagne dattaque qua subie le ministre de lconomie et des Finances en 2010 (cf. ci-dessus) est symptomatique de la complexit et de la non-matrise des systmes dinformation publics.

Les oprateurs dimportance vitale

Selon le Code de la dfense, les oprateurs dimportance vitale sont ceux qui exploitent des tablissements dont lindisponibilit risquerait de diminuer dune faon importante le potentiel de guerre ou conomique, la scurit ou la capacit de survie de la nation. Douze secteurs dactivit ont t identifis comme tant dimportance vitale : Secteurs tatiques : activits civiles de ltat ; activits militaires de ltat ; activits judiciaires ; espace et recherche.

(20) Cisco (2011), The Internet of Things, White Paper. (21) Barnaby Jack a prsent ce travail lors de la confrence Breakpoint Ruxcon Melbourne en 2012. (22) Moyens humains, achat de produits et de services de scurit, mise en place dune dmarche danalyse de risque, etc. (23) Le budget TIC reprsente en moyenne 5 % 10 % du chiffre daffaires, et les dpenses consacres la scurit sont denviron 15 % 20 % de ce budget. Cependant, il ny a pas forcment de corrlation entre les montants dpenss et la qualit de la protection des systmes dinformation. (24) Pour une explication de lorganisation de la politique de scurit des systmes dinformation ministrielle, voir http://www.ssi.gouv.fr/fr/ssi/la-ssi-en-france/. (25) La Direction interministrielle des systmes dinformation et de communication (DISIC) est rattache au Secrtariat gnral pour la modernisation de laction publique (SGMAP) cr par dcret le 30 octobre 2012.

www.strategie.gouv.fr

Centre danalyse stratgique

Secteurs de la protection des citoyens : sant ; gestion de leau ; alimentation. Secteurs de la vie conomique et sociale de la nation : nergie ; communication, lectronique, audiovisuel et information ; transports ; finances ; industrie. Pour chaque secteur dactivit, les oprateurs dimportance vitale (OIV) sont dsigns par arrt ministriel. En 2010, environ 250 OIV taient rpertoris sur le territoire national(26). Ils sont soumis des obligations particulires : formation des responsables, analyse de risque, identification de points dimportance vitale qui feront lobjet dun plan particulier de protection (PPP) et dun plan de protection externe (PPE), etc.
Cependant, les risques relatifs aux systmes dinformation restent un objectif secondaire et ne font pas lobjet dune lgislation contraignante en matire de scurisation. LANSSI ne dispose, vis--vis des OIV, que dun rle de conseil et la scurit de ces infrastructures vitales est trs variable. i La sensibilisation la scurit informatique est trs variable selon les entreprises La prise de conscience du niveau de la menace par les grandes entreprises est galement trs variable. Selon une enqute ralise par le Club de la scurit de linformation franais (CLUSIF), 63 % des entreprises de plus de 200 salaris(27) ont formalis une politique de scurit de linformation, mais seulement 14 % dentre elles valuent systmatiquement les impacts financiers des incidents de scurit (25 % le font parfois). Selon les responsables de la scurit des systmes dinformation (RSSI), les principaux freins la conduite de leurs missions sont le manque de budget et les contraintes organisationnelles. Il est beaucoup plus difficile de dresser un bilan du niveau de cyberscurit des trs petites, petites et moyennes entreprises (TPE/PME) et des entreprises de taille intermdiaire (ETI). Lapproche de la scurit dpend en grande partie de la sensibilit des dirigeants pour ces questions. La dmarche de lANSSI, qui vient de publier un guide(28), est trs certainement utile pour les sensibiliser et assurer un niveau de scurit minimal. Cependant, ces dispositions ne sont pas suffisantes pour

mettre en uvre une vritable politique de scurit adapte au niveau de risque auquel les TPE/PME/ETI peuvent parfois tre confrontes, en particulier si leur activit appartient des secteurs critiques. i La scurisation des terminaux individuels est un enjeu majeur pour rduire le niveau gnral de la menace Les particuliers possdent de plus en plus de terminaux connects Internet, que des attaques informatiques (ver, cheval de Troie) peuvent infecter. Les pirates informatiques prennent le contrle de ces machines et peuvent alors former des rseaux dordinateurs (botnets) destins mener des actions malveillantes de grande ampleur (spam, phishing, dni de service, fraude au clic, etc.). Des ordinateurs mal protgs permettent donc aux pirates dtendre leurs capacits daction. Le risque li aux terminaux mobiles est toujours mal apprci : seulement 38 % des personnes interroges par le CLUSIF (et 24 % des 15-24 ans) sont conscientes que le tlchargement dapplications et dutilitaires sur smartphones et tablettes est un facteur de risque supplmentaire.

la scUrit des systmes dinformation, une priorit stratgique monDiale

Depuis 2008, la France a assign la scurit des systmes dinformation une priorit stratgique

Les pouvoirs publics ont progressivement pris conscience de limportance de garantir la scurit des systmes dinformation. En 2006, un rapport parlementaire(29) constatait cet gard le retard proccupant pris par la France. partir de 2008, une dmarche politique est vritablement lance, avec la publication du Livre blanc sur la dfense et la scurit nationale(30), qui consacre la scurit des systmes dinformation enjeu de souverainet nationale. En 2009, lAgence nationale de la scurit des systmes dinformation (ANSSI) est cre en remplacement de la DCSSI. Autorit nationale en matire de scurit des systmes dinformation et rattache au Secrtaire gnral de la dfense et de la scurit nationale (SGSDN), ses principales missions(31) sont :

(26) Boutant M. et Garriaud-Maylam J. (2010), Rapport dinformation sur lutilisation des rserves militaires et civiles en cas de crise majeure, commission des Affaires trangres, de la Dfense et des Forces armes, Snat. (27) CLUSIF (2012), Menaces informatiques et pratiques de scurit en France. (28) ANSSI (2013), Guide dhygine informatique. (29) Lasbordes P. (2006), La scurit des systmes dinformation : un enjeu majeur pour la France, La Documentation franaise. (30) Dfense et Scurit nationale : le Livre blanc (2008), La Documentation franaise. (31) LANSSI dlivre aussi des labels de scurit des produits et des prestataires de services de confiance, participe au travail rglementaire et produit des guides de recommandations et de bonnes pratiques en matire de SSI.

Mars 2013

no 324

DANALySe

LA NOTe

dassurer la scurit des systmes dinformation de ltat ; de veiller celle des OIV ; de coordonner les actions de dfense des systmes dinformation ; de concevoir et dployer les rseaux scuriss des hautes autorits de ltat. Depuis sa cration, les ressources de lANSSI ont rgulirement augment pour accompagner llargissement de son champ de comptences(32). Entre 2009 et 2012, le budget est pass de 45 75 millions deuros, les effectifs ont plus que doubl (300 agents fin 2012) et cette croissance devrait se poursuivre en 2013. En parallle cette mission interministrielle mene par lANSSI, plusieurs ministres conduisent des actions spcifiques dans le domaine de la cyberscurit : le ministre de la Dfense : les volets technique et oprationnel sont respectivement conduits par la Direction gnrale de larmement (DGA) et ltat-major des armes (EMA). Ce dernier sest dot en juillet 2011 dun Officier gnral charg de la cyberdfense et dune structure oprationnelle dexpertise technique et de traitement des attaques, le Centre danalyse de lutte informatique dfensive (CALID) ; le ministre de lIntrieur : la Direction centrale du renseignement intrieur (DCRI) et lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC) sont actifs dans la lutte contre lespionnage et la cybercriminalit. Malgr cette prise de conscience, le rapport parlementaire de juillet 2012(33) souligne les lacunes du systme franais : la scurit des administrations et des OIV est insuffisante et les effectifs et moyens consacrs la scurit sont nettement infrieurs ceux dploys par nos principaux partenaires.

Les tats-Unis ont t lun des premiers pays se proccuper de la protection de leurs systmes dinformation. Le gouvernement amricain devrait consacrer 50 milliards de dollars la cyberdfense sur la priode 2010-2015(34). Le dveloppement de capacits dattaque est lune des principales caractristiques de la doctrine amricaine en matire de cyberscurit(35). Affirmant leur souverainet, les tats-Unis soctroient aussi le droit de riposter une cyberattaque par des armes conventionnelles(36). Le Royaume-Uni fournit galement un effort majeur : en novembre 2011, le gouvernement a publi une nouvelle stratgie de cyberscurit (37) , soutenue par un programme de financement denviron 800 millions deuros sur quatre ans, qui a pour objectifs damliorer la rsilience aux cyberattaques et de crer un environnement scuris. De mme, lAllemagne renforce la rsilience de ses infrastructures critiques et augmente les moyens mis la disposition du BSI(38), quivalent de lANSSI (budget de 80 millions deuros et effectifs de 560 agents en 2012, pour un ventail de missions plus rduit que celui de lANSSI). Au niveau europen, lENISA (European Network and Information Security Agency), cre en 2004, joue un rle dexpertise et de soutien aux tats membres en retard dans le domaine de la cyberscurit. La qualit des guides de procdure quelle produit est unanimement souligne. Lagence na cependant pas de responsabilit oprationnelle en raison de la volont des tats membres de conserver leur souverainet(39). Linauguration en janvier 2013 dun Centre europen de lutte contre la cybercriminalit marque la volont de lUE dagir dans le domaine. Identifie comme une priorit, la cyberscurit fait lobjet dun plan stratgique(40), prsent en fvrier 2013, qui vise maintenir un cyberespace ouvert, sr et scuris. Au niveau international, les initiatives sont disparates et labsence daccord multilatral tmoigne des dsaccords de fond entre les tats sur la rgulation des rseaux et la gouvernance dInternet. LOrganisation des Nations unies (ONU) et lUnion internationale des tlcommunications (UIT) font face des blocages politiques. Le sommet de lUIT en dcembre 2012, Duba, destin rviser le rglement des tlcommunications interna-

le caractre stratgique de la scurit, un constat partag par les pays dvelopps

La scurit des systmes dinformation est un enjeu reconnu travers le monde, pour lequel les pays dvelopps ont beaucoup investi ces dernires annes.

(32) Lagence est devenue Autorit nationale de dfense des systmes dinformation en 2011 et a vu ses pouvoirs renforcs vis--vis des oprateurs de communication lectronique (OCE) en 2012 sous linfluence du droit europen (transposition du Paquet Telecom). (33) Voir Bockel (2012), op. cit. (34) Voir Bockel (2012), op. cit. (35) Le lieutenant-gnral des Marines a reconnu au cours dune confrence avoir men des cyberattaques en 2010 lors de la guerre en Afghanistan, Huffington Post, 24 aot 2012. (36) Discours de Leon Panetta, Secrtaire la Dfense, prononc le 11 octobre 2012. (37) The UK cyber security strategy, Protecting and promoting the UK in a digital world, novembre 2011. (38) Bundesamt fr Sicherheit in der Informationstechnik. (39) La Commission europenne souhaite tout de mme semparer de ce sujet de manire plus active et a lanc en 2012 une consultation publique (Improving net-work and information security in Europe) pour rformer lagence. (40) Ce plan stratgique sintitule : Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace.

www.strategie.gouv.fr

Centre danalyse stratgique

tionales (RTI), a t un chec, 55 pays (dont la France) nayant pas sign le projet de texte final. La Convention de Budapest sur la cybercriminalit (2001), premier trait international conclu dans le cadre du Conseil de lEurope et qui tente de lutter contre la cybercriminalit, a perdu sa vocation universelle en raison du faible nombre de pays signataires (une cinquantaine dtats dont les tats-Unis et les pays membres de lUnion europenne).

Ces dispositions ne doivent toutefois pas tre gnralises, au risque de se priver des avantages conomiques dun Internet ouvert et dcentralis : diffusion de linnovation, dmocratisation des savoirs, libralisation des changes, amlioration de la productivit, etc. De mme, la scurit des systmes dinformation instrumentalise peut se transformer en scurit de linformation et mettre en pril les droits et les liberts individuels. Dtourns, les outils de scurit utiliss pour la surveillance des rseaux et linterception des communications peuvent comporter des risques pour la vie prive des citoyens. En France, la Commission nationale de linformatique et des liberts (CNIL) value les mesures de scurit laune de leurs consquences sur la protection de la vie prive et des liberts individuelles.

la gestion des risqUes : concilier scurit, ouverture Des systmes DinFormation et protection Des liberts inDiviDuelles

lever le niveau de scurit des systmes dinformation, un enjeu conomique et de souverainet majeur

la gestion des risques : une approche rationnelle de la scurit pour concilier ces diffrents objectifs

Sur le plan conomique, lamlioration du niveau de scurit des systmes dinformation est un facteur de comptitivit et dattractivit qui permet : de mieux protger le patrimoine informationnel des entreprises et des administrations ; dapporter un supplment de confiance dans les technologies numriques susceptible de faciliter leur appropriation par les entreprises et les citoyens ; dattirer des entreprises en procurant un avantage comparatif par rapport des pays moins scuriss. Il sagit aussi dun enjeu de souverainet nationale puisque la continuit de lactivit conomique et des services publics dpend en partie du niveau de protection et de rsilience des administrations et des OIV face aux attaques informatiques. La recherche de la scurit doit cependant tre considre paralllement dautres objectifs : louverture des systmes dinformation et la protection des liberts individuelles. Isoler des systmes dinformation dinternet rduit de fait leur exposition aux attaques, mme si le risque zro nexiste pas(41). De tels systmes scuriss sont ncessaires pour les installations devant tre protges, quelles que soient lampleur et lintelligence de lattaque. Eugne Kaspersky souligne ainsi quune solution consisterait crer deux rseaux parallles : lun libre et ouvert, et un autre compltement scuris(42).

Les RSSI cherchent donc concilier un haut niveau de scurit, laccs Internet et la protection des liberts individuelles. Pour cela, les organisations doivent adopter une dmarche rationnelle et objective de gestion des risques. Celle-ci a pour objectif didentifier, danalyser et de hirarchiser les menaces, les vulnrabilits des systmes et le patrimoine informationnel protger afin de mettre en uvre une rponse adapte, sur les plans technique et organisationnel : adoption dune dfense en profondeur des systmes dinformation afin de rendre plus difficile la progression des attaquants ; dveloppement de capacits de dtection et de raction aux attaques informatiques pour agir rapidement et limiter les dommages ; maintien dun parc informatique sain ; sensibilisation et mobilisation de tous les acteurs de lorganisation.

lever le niveaU de scUrit Des organisations

Si le projet de rseau interministriel de ltat (RIE) devrait durablement renforcer la rsilience des systmes dinformation, le niveau de scurit informatique des OIV (cf. encadr 3) est loin dtre assur, encore trop loign des proccupations des dirigeants. Or la scurit de ces

(41) Les centrifugeuses denrichissement en uranium taient isoles physiquement mais ont t infectes par Stuxnet par des cls USB. (42) Eudes Y. (2013), Eugne Kaspersky, M Cyberscurit, Le Monde, 10 janvier.

Mars 2013

no 324

DANALySe

LA NOTe

infrastructures est un enjeu de souverainet nationale, comme le rappelle le prsident Obama dans un dcret du 12 fvrier 2013(43) visant renforcer la protection des oprateurs. Devant lampleur du risque, la rglementation vis--vis de ces oprateurs devrait tre renforce avec : lobligation de squiper de systmes de dtection dattaques labelliss : lobligation de dclarer des attaques nest pas suffisante puisquune attaque non dtecte ne peut de facto tre dclare ; le maintien jour dune cartographie des systmes dinformation et des processus industriels critiques ; la participation obligatoire, lorsque requise, des tests de cyberscurit mis en uvre dans le cadre national (PIRANET) et europen (Cyber Europe) ; lisolation des rseaux traitant de donnes juges vitales. LANSSI, quant elle, devrait tre dote dun pouvoir de contrle sur la mise en uvre de cette rglementation.

strUctUrer lcosystme inDustriel De la cyberscurit

un cosystme industriel clat, peu valorisant pour les comptences technologiques franaises

La France dispose dun excellent niveau de recherche acadmique dans le domaine de la cryptologie(46). Lexpertise en matire de cartes puces est aussi de renomme mondiale, symbolise par la russite de lentreprise Gemalto (qui a remplac Alcatel-Lucent dans le CAC 40 en dcembre 2012). Ces succs ne doivent cependant pas cacher le retard technologique et industriel majeur dans de nombreux secteurs cls de la technique informatique : microprocesseurs, systmes dexploitation, quipements de tlcommunication, etc. Malgr un tissu industriel de bonne qualit, emmen par des grands groupes (Bull, Cassidian, Thals), des PME dynamiques (Netasq) (47) et des projets prometteurs (cf. encadr 4), les entreprises sont gnralement fragiles financirement et ont du mal atteindre une taille critique ncessaire pour accder aux marchs internationaux. encadr 4

PROPOSITION

Renforcer les exigences de scurit imposes aux oprateurs dimportance vitale, sous le contrle de lAgence nationale de la scurit des systmes dinformation.
Les outils mthodologiques classiques de gestion des risques(44) sont complexes dployer au sein de structures souvent peu matures en termes de scurit des systmes dinformation et ne sont pas adapts aux TPE/PME. Il est ncessaire de proposer des approches simples permettant aux TPE/PME danalyser leurs pratiques informatiques, leur niveau dexposition aux cyberattaques et les dommages que celles-ci peuvent induire. De tels outils devraient tre proposs aux entreprises par lANSSI ou le CLUSIF, et mis en uvre avec laide des DIRECCTE(45).

DAVFI un antivirus franais pour plus de souverainet

DAVFI (Dmonstrateurs dantivirus franais et internationaux), programme de recherche lanc en octobre 2012 et soutenu dans le cadre des Investissements davenir, a pour objectif de commercialiser en 2014 un antivirus destination des administrations et des OIV, mais aussi des entreprises et des particuliers. Il se base sur les travaux conduits depuis une dizaine dannes par le laboratoire de cryptologie et de virologie oprationnelles de lESIEA, cole dingnieurs qui participe au consortium DAVFI, au mme titre que les entreprises Qosmos, Teclib, DCNS et NovIT (chef de file du projet). Cet antivirus vise garantir la souverainet numrique franaise et europenne grce une approche technique innovante et un code source en grande partie ouvert.
La cration en avril 2012 dun bureau de Politique industrielle et assistance au sein de lANSSI marque toutefois sa volont de dvelopper une vision industrielle de la cyberscurit.

PROPOSITION

Dvelopper et mettre la disposition des petites et moyennes entreprises des outils simples pour grer les risques.

(43) Executive order: Improving critical infrastructure cybersecurity. (44) Les plus connus sont la mthode EBIOS dveloppe par lANSSI et la norme ISO/IEC 27005 qui fournit les principes respecter par toute mthode de gestion des risques. (45) Direction rgionale des entreprises, de la concurrence, de la consommation, du travail et de lemploi. (46) Science qui a pour but de chiffrer des messages afin de les rendre inintelligibles. Elle englobe deux domaines : la cryptographie (lcriture secrte) et la cryptanalyse (le dchiffrage). (47) Qui a t rachete par Cassidian Cyber security, filiale dEADS, en octobre 2012.

www.strategie.gouv.fr

Centre danalyse stratgique

Des mcanismes de coopration public-priv peu dvelopps

Internet est un environnement extrmement dynamique dans lequel les technologies, les usages et les marchs voluent constamment. Il ncessite donc dtre accompagn et rgul par des politiques publiques flexibles. La coopration public-priv peut constituer un mode dintervention efficace(48), qui runit tous les acteurs (entreprises, pouvoirs publics, universitaires, socit civile) pour rechercher des solutions pragmatiques bnficiant la socit dans son ensemble. La capacit orienter le secteur priv, sensibiliser les acteurs conomiques et effectuer un partage dinformations est fondamentale pour lever le niveau gnral de scurit. ce titre, la cration en 2011 par le Royaume-Uni dun cybersecurity hub runissant les dirigeants des plus grosses entreprises britanniques de cinq secteurs stratgiques (dfense, tlcoms, finance, industrie pharmaceutique et nergie) autour du GCHQ (Government Communications Headquarters, dont dpend la structure quivalente de lANSSI) est une initiative intressante qui impulse une dynamique de coopration. lexception de lassociation Signal Spam (cf. encadr 5), on peut reprocher la France un manque de dialogue et une coopration insuffisante entre les diffrents acteurs de la scurit. encadr 5

LANSSI doit faire merger des partenariats (interentreprises, public-priv) lchelle nationale et europenne. Des initiatives prives pourraient galement tre soutenues, par lANSSI sur le plan technique, et dans le cadre des investissements davenir sur le plan financier ( limage du projet dantivirus DAVFI, cf. encadr 4).

PROPOSITION
largir les missions de lANSSI pour accompagner le dveloppement de loffre franaise de solutions de cyberscurit.

labsence dinformation quantitative fiable

Selon les fournisseurs de solutions de scurit (50) , le niveau de la menace informatique a augment au cours des dernires annes. Toutefois, lhtrognit de leurs mthodologies dvaluation et de leurs estimations, conjugue au caractre commercial de leur activit, font peser de srieux doutes sur la qualit et lobjectivit des statistiques quils tablissent. De plus, llaboration de bases statistiques fiables dans le domaine des cyberattaques se heurte de nombreux biais(51) : il est difficile de distinguer un code malveillant dun autre, en raison de la possibilit relativement aise de les dupliquer et den crer des variantes ; les cyberattaques sont souvent conues pour rester invisibles le plus longtemps possible ; la mesure des attaques dpend de la qualit des systmes de dtection ; les entreprises touches par des attaques informatiques peuvent tre rticentes les rvler. LOCDE conduit actuellement des travaux mthodologiques(52) destins amliorer la qualit des statistiques relatives la cyberscurit. LANSSI, en liaison avec lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC), pourrait lui emboter le pas et participer la construction dindicateurs statistiques fiables et reconnus pour valuer le niveau de la menace (nombre, origine gographique et typologie des attaques). Les quipes dintervention durgence en informatique (CERT : Computer Emergency Response Team) doivent tre sollicites pour partager linformation dont elles disposent. Il serait galement intressant davoir accs des donnes relatives aux vulnrabilits(53) ainsi qu lvolution du march industriel de la cyberscurit(54).

Signal Spam - Seul exemple de partenariat public-priv russi ?

Signal Spam est une association qui regroupe des organismes publics (CNIL, ANSSI, OCLCTIC, Gendarmerie nationale) et privs (fournisseurs daccs Internet, expditeurs de messages, diteurs de logiciels de scurit, etc.) dans le but de lutter contre les spams et la cybercriminalit. Pour cela, elle recueille les signalements des internautes grce sa plateforme en ligne (www.signal-spam.fr) et les redistribue ses partenaires sous forme dinformation adapte leurs diffrentes missions : top 30 des plus gros spammeurs en France pour la CNIL, dtection dordinateurs infects pour les fournisseurs daccs et lANSSI, etc. Lassociation est intgralement finance sur fonds privs, car les entreprises trouvent un intrt conomique y participer. Les projets en cours (rapprochement avec lassociation Phishing Initiative, participation au projet europen de Centre de cyberdfense avance(49)) tmoignent de la volont de Signal Spam daccrotre son influence dans la lutte contre la cybercriminalit.

(48) OCDE (2012), Cybersecurity policy making at a turning point. (49) http://ec.europa.eu/information_society/apps/projects/factsheet/index.cfm?project_ref=325188 (50) Voir par exemple les rapports de McAfee, publis par Panda Security et Symantec. (51) ANSSI (2011), op. cit. (52) OCDE (2012), Improving the evidence base for in-formation security and privacy policies: understanding the opportunities and challenges related to measuring information security, privacy and the protection of children online, OECD Digital Economy Papers, No. 214, OECD Publishing. (53) Nombre de vulnrabilits dcouvertes, temps moyen entre la dcouverte dune vulnrabilit et la publication dune alerte, etc. (54) Cot gnr par les cyberattaques, dpenses de cyberscurit des entreprises, taille du march des solutions de scurit, nombre de formations en scurit informatique, etc.

10

Mars 2013

no 324

DANALySe

LA NOTe

Des blocages juridiques dommageables pour la scurit

Le cadre juridique franais cre de nombreux blocages susceptibles daffecter la scurit des systmes dinformation : la loi Godfrain de 1988(55) rprime les comportements informatiques agressifs : applique de manire stricte, elle condamne pnalement le fait de divulguer publiquement une faille de scurit jusque-l inconnue (scurit par transparence ou full disclosure) alors que cela incite les diteurs de logiciels concevoir des correctifs ; la rtroingnierie, qui consiste tudier un objet pour en dterminer son fonctionnement interne ou sa mthode de fabrication, est interdite lorsquelle est effectue pour des raisons de scurit informatique(56). Cest pourtant le seul moyen dvaluer le degr de scurit de produits propritaires ; des mesures techniques de protection (57) duvres numriques peuvent crer des vulnrabilits dans les systmes dinformation. Ainsi, le systme de protection XCP installait automatiquement un logiciel contenant des failles de scurit lors de la lecture dun CD audio. Or le contournement de ces mesures est interdit par la loi relative au droit dauteur et aux droits voisins dans la socit de linformation (DADVSI, 2006) ; les brevets logiciels offrent la possibilit dobtenir un monopole sur des techniques algorithmiques, y compris lorsque celles-ci sont ncessaires pour assurer la scurit. Larticle 52 de la Convention sur le brevet europen de 1973(58) exclut les programmes dordinateur du champ des inventions brevetables, mais lOffice europen des brevets (OEB) dlivre en pratique des brevets logiciels en raison dune interprtation extensive de la Convention et dun modle conomique et de gouvernance discutable. Les chercheurs en informatique se trouvent dans une situation dinscurit juridique qui limite leur champ de travail et rduit un vivier de comptences pourtant indispensables pour anticiper, innover et amliorer la scurit. Sil ne sagit pas de remettre en cause le fondement de ces lgislations, il conviendrait dengager une rflexion pour assouplir ce cadre juridique et dfinir des conditions permettant aux chercheurs de conduire des exprimentations qui mettent en jeu la scurit des systmes dinformation, dans un cadre juridique et technique clairement dfini.

Des initiatives telles que le Laboratoire de haute scurit informatique de lInria Nancy pourraient tre reproduites : plac dans un environnement ferm avec un rseau isol et des locaux protgs accessibles par reconnaissance biomtrique, il offre un cadre technologique et rglementaire fiable pour mener des exprimentations et manipulations caractre sensible.

PROPOSITION
Revoir le cadre juridique afin de conduire, sous le contrle de lANSSI et dun comit dthique ad hoc, des exprimentations sur la scurit des logiciels et les moyens de traiter les attaques.

La France a su dvelopper une recherche acadmique et des formations dexcellence reconnues au plan international. Toutefois, loffre de formation est limite et ne parvient pas rpondre la demande croissante dexperts en scurit informatique. De manire plus gnrale, la France est confronte un vritable dficit dducation linformatique, qui pourrait tre combl par lenseignement de lusage et des langages numriques ds le primaire(59) et le secondaire. Susciter la curiosit des nouvelles gnrations pour la scurit informatique est impratif pour lever le niveau de cyberscurit : le gouvernement japonais a par exemple organis en fvrier 2013 son premier concours de hacking, destin dvelopper un ple dexpertise en scurit informatique.
b Mots cls : cyberscurit, scurit des systmes dinformation, cyberespionnage, ANSSI, gestion des risques.

CONCLuSION

Mars 2013

DANALySe Antton Achiary, Jol Hamelin

LA NOTe

no 324

et Dominique Auverlot, dpartement Dveloppement durable. Les auteurs tiennent remercier lensemble des experts quils ont pu solliciter dans le cadre de ce travail.

(55) Renforce par la loi pour la confiance dans lconomie numrique (LCEN) de 2004. (56) Selon larticle L122-6-1 du Code de la proprit intellectuelle, seule la rtroingnierie pour motif dinteroprabilit est autorise. (57) MTP, ou en anglais DRM : digital rights management. (58) Cette convention est aussi appele Convention de Munich. (59) Interview de Gilles Babinet : Il faut que nos lves apprennent coder ds lge de 8 ans, Lepoint.fr, 6 dcembre 2012.

11

www.strategie.gouv.fr

DeRNIReS PuBLICATIONS

CONSuLTeR sur www.strategie.gouv.fr, rubrique publications

notes danalyse :
n 323 g vieillissement et espace urbain. comment la ville peut-elle accompagner le vieillissement en bonne sant des ans ? (fvrier 2013) n 322 g Formation professionnelle initiale : lallemagne est-elle un modle pour la France ? (fvrier 2013) n 321 g gestes de premiers secours : une responsabilit citoyenne (fvrier 2013) n 320 g comment limiter leffet rebond des politiques defficacit nergtique dans le logement ? (fvrier 2013) n 319 g pour un affichage environnemental obligatoire des produits de consommation ? (fvrier 2013) n 318 g quel est limpact des tic sur les conditions de travail dans la fonction publique ? (janvier 2013)

Retrouvez les dernires actualits du Centre d'analyse stratgique sur :

Centre danalyse stratgique

La Note danalyse n 324 mars 2013 est une publication du Centre danalyse stratgique Directeur de la publication : Vincent Chriqui, directeur gnral Directeur de la rdaction : Herv Monange, directeur gnral adjoint Secrtaires de rdaction : Delphine Gorges Valrie Senn Dpt lgal : mars 2013 N ISSN : 1760-5733 Contact presse : Jean-Michel Roull, responsable de la communication 01 42 75 61 37 / 06 46 55 38 38 jean-michel.roulle@strategie.gouv.fr

g g g

www.strategie.gouv.fr centredanalysestrategique @Strategie_Gouv

Le Centre d'analyse stratgique est une institution d'expertise et d'aide la dcision place auprs du Premier ministre. Il a pour mission d'clairer le gouvernement dans la dfinition et la mise en uvre de ses orientations stratgiques en matire conomique, sociale, environnementale et technologique. Il prfigure, la demande du Premier ministre, les principales rformes gouvernementales. Il mne par ailleurs, de sa propre initiative, des tudes et analyses dans le cadre d'un programme de travail annuel. Il s'appuie sur un comit d'orientation qui comprend onze membres, dont deux dputs et deux snateurs et un membre du Conseil conomique, social et environnemental. Il travaille en rseau avec les principaux conseils d'expertise et de concertation placs auprs du Premier ministre.

www.strategie.gouv.fr
Centre danalyse stratgique - 18, rue de Martignac - 75700 Paris SP 07 - Tl. 01 42 75 60 00 - strategie@strategie.gouv.fr