Cybersécurité : la France est-elle au rendez-vous ?
Le 7 février 2018 avait lieu en Sorbonne une conférence organisée par l’Association des Étudiants et des Alumni du Magistère/Masters de Relations internationales et Action à l’Etranger (MRIAE). Les intervenants présents étaient le Vice-Amiral d’Escadre Arnaud COUSTILLERE, Directeur Général des Systèmes d’Information et de Communication du Ministère des Armées et Alexandre PAPAEMMANUEL, Directeur Sécurité & Renseignement Intérieur chez Sopra Steria, anciennement en charge des relations avec le Ministère de la Défense sur les questions de renseignement pour Airbus Defence & Space.
Si en raison de ses aspects techniques la cybersécurité est aujourd’hui bien trop méconnue du grand public, elle s’adresse à chacun d’entre nous. La place prépondérante du numérique dans nos sociétés, dans notre travail et même dans nos universités, nous invite à nous interroger sur la capacité de la France et de ses entreprises, à évoluer dans le cyberespace, à se protéger et à nous protéger. Comment la cybersécurité redéfinit-elle nos stratégies ? Quelles innovations technologiques accompagnent cette transformation sans retour possible ?
Qu’est-ce que la cybersécurité en France ?
Vice-Amiral d’Escadre Coustillère : le Livre Blanc de la défense de 2008 représente la prise de conscience de la France de son retard par rapport aux pays anglo-saxons, notamment. L’arrivée tardive de la problématique cybersécuritaire dans le Livre Blanc de la défense souligne l’avance que la société civile avait jusqu’alors sur l’Etat dans ce domaine. Elle a ouvert la voie à une refondation totale du système de cybersécurité française, autrefois réservé aux domaines du renseignement classifié.
Depuis quelques années, la révolution du numérique s’accélère avec l’extension au grand public de l’Internet dans les années 1990 et l’explosion des smartphones entre 2000 et 2005. L’existence de piratages de grande ampleur a commencé à être révélée en 2010. Cela a mené à une prise de conscience, entraînant une accélération de l’augmentation des effectifs rattachés à la cybersécurité, multipliés par cinq depuis 2009 dans les Etats-majors du Ministère de la Défense. La cybersécurité est devenue un sujet de relations internationales, faisant l’objet de forum – comme par exemple le Forum International de la Cybersécurité, qui a eu lieu à Lille les 23 et 24 janvier 2018.
Quels sont les risques et menaces que présente l’espace cyber ?
VAE Coustillère : L’espace cyber est un espace que l’on avait l’impression de maîtriser, mais ce sont en fait les usages qui s’imposent de plus en plus à nous. Il vient offrir des liens particuliers et amplifiés pour une confrontation entre acteurs. Il donne un nouveau champ d’expression pour la propagande, le détournement des idées, etc.
Cet espace transcende toute forme de frontières. Elles ne disparaissent pas puisque les serveurs sont toujours sous la législation d’un pays, mais elles sont floutées. L’action peut y être très rapide, les attaques fulgurantes. La compréhension de ces attaques prend des semaines alors que les effets sont immédiats.
Alexandre Papaemmanuel : La question de l’attribution d’une attaque est une question politique. Pour les Etats, attribuer une attaque à un ennemi, c’est conter une histoire. Dans le domaine de la cybersécurité, le politique ne doit pas avoir peur de désigner l’ennemi. Les Américains sont assez avancés en termes de story telling.
Les grands acteurs numériques qui émergent ne viennent pas d’Europe, alors que l’Europe était le territoire sur lequel les précurseurs de la révolution numérique se trouvaient initialement. En fait, on a perdu la guerre : l’absence d’une prise de conscience en France fait que l’on n’a pas su réfléchir à comment livrer une guerre sur un territoire dissolu. Cela accentue notre dépendance à des technologies étrangères.
L’autonomie stratégique est toujours en France associée au nucléaire, mais qu’en est-il de la dissuasion cyber ? Dans un monde où la donnée règne (car s’il y a du cyber, c’est grâce à la digitalisation), on est dans une mine à ciel ouvert, où chaque acteur peut piocher. D’autres pays ont mis en place des stratégies alternatives : les Russes refusent LinkedIn, les Chinois ont développé leurs propres réseaux sociaux. Il y a un problème de sensibilisation des armées et des élites en France : on met à leur disposition des réseaux sécurisés pour communiquer les informations sensibles, mais ces systèmes étant souvent compliqués, ils en utilisent d’autres, non sécurisés, qui rendent les données poreuses. Certaines lois, comme le Patriot Act, permettent à des Etats d’avoir accès aux informations qui transitent sur les réseaux (dans le cas du Patriot Act, les réseaux américains). Il faut donc qu’un soldat sur un lieu d’opération puisse avoir un système de communication peu compliqué avec d’autres soldats pour que les informations transitent en sécurité.
VAE Coustillère : Il faut faire la part des choses entre les Etats qui sont partenaires, les concurrents, les ennemis, et ceux avec qui on commerce mais qui ne sont pas des alliés. Les mesures russes et chinoises sont faites au moyen d’une censure insupportable, dans un but autoritaire : elles ne sont pas souhaitables pour la France. Il n’y a pas de « meilleur des mondes » d’un côté ou de l’autre. Un autre problème est que les grandes entreprises comme Amazon, Zara, ou Google ont une puissance dans l’espace cyber eux aussi. Ils ne sont pas en coopération avec l’Etat américain, mais s’inscrivent dans la mouvance de l’économie américaine tout de même.
Il faut revenir à la reconquête des données des citoyens, des entreprises et des associations. Il est difficile de réfléchir collectivement à cette problématique car beaucoup d’aspects techniques entrent en jeu, mais il est essentiel de répondre à certaines question : « A qui je donne mes données ? » ; « Comment réguler l’espace cyber en droit international ? ».
D’autre part, par rapport aux acteurs non étatiques, il faut réussir à faire imposer des règles pour que les Etats puissent recevoir des recettes sur les revenus gagnés par ces acteurs dans ce domaine.
A. Papaemmanuel : Le cyber induit qu’on est en paix impossible, qu’il n’y a pas de défense sans attaque. Qui veut la paix numérique, fait la guerre numérique. Dans un monde cyber, l’attente est la garantie de la défaite.
Il faut repenser la puissance de l’Etat, des entreprises et des individus sur des rapports numériques. Plus que tout, il faut s’acculturer au cyber et mettre en place des bonnes pratiques, qui doivent devenir des réflexes, pour maîtriser l’ensemble de la chaîne. Cela représente un coût important, notamment pour les petites entreprises, mais cela est nécessaire car si elles se font voler des brevets, elles disparaîtront. Or les attaques dans ce but sont courantes : Airbus par exemple est quotidiennement attaqué pour se faire voler ses technologies.
VAE Coustillère : L’évolution des attaques en cyber est fulgurante : tous les six mois environ, des ruptures technologiques dans le processus et l’étendue des attaques se produisent. Il existe plusieurs types d’attaques. Tout d’abord, les malwares classiques présentent assez peu de difficultés pour remonter à leur origine et les comprendre. Il existe aussi des attaques plus compliquées. Par exemple, le « cyber-califat » a déclaré avoir attaqué en 2015 TV5 Monde (nb : chaîne de télévision francophone) et volé 50 Mo de données pour les mettre en ligne. Cependant les fichiers n’étaient pas la véritable fuite puisque l’attaque visait plutôt à diffuser de la propagande pour l’Etat islamique sur la chaîne.
Un autre exemple est le virus Wannacry. Réputée pour avoir été lancée depuis la Russie, cette attaque a causé une combinaison de propagation de virus avec un logiciel de cryptage des données. L’infection a été mondiale. Il est intéressant de noter que beaucoup de sociétés, qui n’ont pas été attaquées directement, ont été affectées. En France, les usines de production Renault se sont complètement arrêtées plusieurs jours alors que la société n’avait pas été attaquée.
Aujourd’hui, l’arme informatique peut provoquer des dégâts qui sont réels et très importants, comme le désordre dans une ville, l’arrêt de distribution d’électricité ou encore la perturbation des transports dans un pays.
A. Papaemmanuel : Ce sont actuellement les Etats qui ont les plus belles compétences dans le domaine cyber, et qui arrivent à recruter des personnes très compétentes. En effet, les structures du type Direction générale de la sécurité extérieure (DGSE) attirent les « cerveaux », du fait de leur prestige.
Le défi est donc qu’il y ait un transfert irrigant le privé, pour arriver à faire de ce domaine un fleuron industriel en France. Il faut pouvoir externaliser les enjeux autour de la cyber dissuasion. Pour cela, la solution est d’établir un nouveau Partenariat public-privé pour éviter de subir la dispersion des « cerveaux » ou pire, leur départ dans les sociétés étrangères.
Le numérique permet de penser et travailler différemment. Dans le monde de la défense, le numérique a été disruptif, il impose d’autres écosystèmes complémentaires dans lequel chacun – dans le public ou dans le privé – a son intérêt. Le monde de la défense étatique est souvent dans une dynamique de propriété, mais il est nécessaire de s’orienter vers plus de partage de l’information. Il faut que l’industrie, en même temps que l’armée, se transforme, et à cet égard être inventif en travaillant ensemble sur ces sujets.
VAE Coustillère : On gagne en effet plus à partager les données qu’à en rester propriétaire. La Recherche & Développement est un domaine autour duquel échanger entre le privé et le public permettrait d’accroître notre agilité informatique.
La France peut-elle se défendre seule, ou doit-elle participer à des travaux multilatéraux sur le sujet ?
VAE Coustillère : La souveraineté d’un Etat, c’est la garantie d’un renseignement indépendant, la liberté d’engagement des forces armées sans demander l’avis d’un autre Etat. Il n’y a pas de doute que les données confidentielles sont inattaquables en France.
Dans le domaine numérique et industriel, c’est autre chose. Là, il faut rétablir un niveau de vigilance. C’est une guerre de souveraineté économique.
A. Papaemmanuel : La souveraineté ne se partage pas : soit elle est totale, soit elle n’existe pas. L’enjeu d’aujourd’hui est cette souveraineté numérique. Les logiciels libres sont les cathédrales de la souveraineté numérique.
Penser une stratégie commune, multilatéralement, est déjà compliqué dans le monde « réel » du fait des changements d’alliances. Dans le domaine cyber, nous avons certes besoin de penser en accord entre pays, mais nous avons aussi des intérêts divergents puisque les ennemis sont différents selon les Etats.
Enfin, il est difficile de penser à des stratégies en cybersécurité car les attaques sont immédiates, et donc difficiles à penser en amont. Néanmoins, il faut trouver des accords pour échanger entre alliés.
VAE Coustillère : L’espace numérique est régi par les mêmes règles d’opérations militaires que les autres. Au sein de l’Organisation du traité de l’Atlantique Nord (OTAN), il y a une doctrine de cyberdéfense avec une certaine coordination. Au sein de l’Union européenne (UE), cela est plus compliqué, car les procédures militaires sont bien moindres qu’au sein de l’OTAN. Ainsi, le cyber a plus de mal à y trouver sa place dans les échanges.
Au sein de l’ONU, les discussions existent aussi pour protéger et adapter au cyber le droit humanitaire et le droit des conflits armés. Il est reconnu en droit international qu’une attaque cyber qui aurait des effets physiques pourrait être considérée comme acte de guerre, il est donc possible d’utiliser la légitime défense pour faire face aux attaques informatiques.
En France, il est écrit dans le Livre blanc 2013 que « face à une attaque informatique de grande ampleur, la France se réserve le droit de répondre par tous les moyens mis à sa disposition ». Obama, deux ans avant, affirmait la même chose. Il y a une sorte de consensus à ce propos. Cependant, la mise en œuvre est beaucoup plus compliquée : il est difficile d’attribuer une attaque si elle est bien conçue. De plus, une arme informatique, une fois disséquée et connue, appartient au monde des hackers. Elle est par nature proliférante.
Certains pensent qu’il est possible de construire un système de dissuasion informatique au même titre que les systèmes de dissuasion nucléaire, mais aucun critère ne permet de reconduire le raisonnement sur la dissuasion de manière similaire, notamment car il n’y a pas eu de « Hiroshima informatique ».
VAE Coustillère : Beaucoup d’acteurs dans le domaine informatique ne sont pas des nations mais des groupuscules. Faire tomber l’électricité d’une métropole comme Paris ne nécessite pas forcément un Etat.
Le processus de désescalade comme pour le nucléaire n’est pas vraiment possible car il nécessite des discussions entre Etats, alors que les hackers sont des acteurs à part entière. Il y a actuellement une structuration très forte sur le dark web de la cybercriminalité, avec des groupes de mafieux exclusivement positionnés sur le cyber.
A. Papaemmanuel : Le cyber est vu comme une menace. Ce domaine ne représente-t-il pas aussi de nouvelles opportunités ? Par exemple, il existe des hackers malveillants, mais aussi les hackers « blancs », qui identifient les failles des systèmes et font des rapports pour que les responsables puissent mieux se protéger.
VAE Coustillère : C’est vrai, et il n’y a pas de frein psychologique à la Défense sur ces points-là. Les hackers « blancs » ont d’ailleurs mené des actions intéressantes contre la propagande Daech. L’espace cyber redonne du pouvoir aux citoyens.
Au niveau étatique, qu’est-il fait concrètement pour sensibiliser les individus ?
A. Papaemmanuel : L’Etat fait des formations dans les entreprises. Des discussions et formations au sein des universités commencent à naître. Les générations qui sont en formation et en début de carrière ont un rapport beaucoup plus naturel à l’informatique, c’est donc plus simple.
VAE Coustillère : Le Président de la République, M. Macron s’est entouré de jeunes conseillers. Ce ne sont de plus pas que des énarques : certains sont issus de l’Ecole Normale Supérieure (ENS), d’autres d’un parcours en start-ups. Cela contribue à un rajeunissement et à un changement des mentalités.
La nouvelle génération connaît-elle vraiment le monde cyber ?
VAE Coustillère : Oui, parfaitement. Ce n’est pas pour rien que le numérique revient partout – à la fois dans les armées, l’éducation, ou encore la transformation de l’Etat.
Quelles sont les perspectives d’évolution dans le domaine cyber ?
A. Papaemmanuel : La première perspective d’évolution est la guerre prédictive. Il s’agit de faire une modélisation du réel en préventif. Cela implique de capitaliser la donnée en interne et de connaître l’adversaire, pour se rendre opaque à l’autre. Cette guerre prédictive a déjà lieu dans les armées françaises, puisqu’on se base sur une machine qui fournit des informations sur les futurs possibles, classés par probabilité. Nos ennemis feront la même chose. Le renseignement devient complètement capital à cet égard.
Ainsi, le renseignement doit évoluer. Il faut le transformer pour croiser le renseignement par images (satellites, drones) et de sources ouvertes (réseaux) et humain de manière rapide.
Une dernière grande perspective d’évolution est le combat collaboratif avec des soldats « augmentés ». Il ne s’agit pas de remplacer le soldat mais bien de l’aider à trouver la bonne pépite dans le magma d’information, lui permettre de confirmer ou d’infirmer une information grâce à une machine dans les situations de stress. Cela représente un important défi de confiance mutuelle.
VAE Coustillère : La technologie permet énormément de choses, le vrai frein est dans l’humain. Prévoir l’avenir du cyber, c’est prévoir l’imprévisible car l’espace est habité par des acteurs qui font preuve d’innovation sans cesse.
En revanche, quand on est en guerre, la dimension majoritaire est humaine, ce qui permet une certaine prévisibilité. On connaît aujourd’hui un retour à la sauvagerie du combat, qui se gagne par la puissance du moral des troupes. Avec Daech, on voit ce retour à la sauvagerie, avec une mise en lumière de celui-ci pour faire tomber la résistance morale et terroriser l’adversaire. Il faut donc travailler sur l’encadrement, la culture, l’adhésion des troupes.
La guerre est aujourd’hui composée à la fois d’un aspect humain et sauvage, et d’un autre aspect plus sophistiqué nécessitant le recours à l’informatique. Il faut être compétent dans les deux aspects pour vaincre.
En conclusion, si la France a eu une prise de conscience autour des enjeux de cybersécurité au niveau étatique, il reste à établir de bonnes habitudes au quotidien et à changer le rapport que l’industrie et le domaine public entretiennent pour reprendre voix au chapitre de la cybersécurité à l’international.
Marie Mognard
No Comment