Entre création d’un cyberbouclier pour le Vieux Continent et schéma européen de certification cloud (EUCS) pour la souveraineté des données, la cyberdéfense se joue au niveau de l’Europe, ainsi que le montrait le dernier Forum International de Cybersécurité de Lille.
« Avec mon équipe, nous sommes engagés, depuis le début, dans une mission de service public, a indiqué le général d’armée (2S) Marc Watin-Augouard, fondateur du Forum International de Cybersécurité, alias le FIC, lors de la keynote d’introduction de l’édition 2023. Moi qui ne suis salarié de personne, ni de la Gendarmerie Nationale ni de ceux avec qui je gère ce forum, je peux affirmer que nous sommes dans une vision totalement éthique de la mission que nous exerçons. Et, qu’on le veuille ou non, cette équipe, je lui serai fidèle, quoi qu’il arrive. C’est une question de loyauté ! Ce n’est pas à mon âge et à mon grade qu’on commence à fuir devant les difficultés. Ce n’est pas à mon âge et à mon grade, qu’on commence à trahir. Nous irons jusqu’au bout avec cet équipage.” Lâché par le ministère des Armées l’an dernier et par la Gendarmerie Nationale une semaine avant le coup d’envoi pour des raisons qui restent encore obscures, le forum baignait dans une atmosphère de polémique que le fondateur évacuait ainsi d’un revers, plutôt ferme, de la main.
Une cogestion fructueuse
Avec quinze éditions à son compteur, le forum est aujourd’hui une véritable institution. Lancé en 2007 par la gendarmerie, le FIC a vu ses subventions européennes coupées en 2011 et, après deux ans sans édition, la force d’armée a cherché un nouveau modèle pour relancer l’événement et s’est rapprochée de la filiale d’Avisa, CEIS (Compagnie Europeenne d’Intelligence Stratégique). “Nous avons proposé un modèle dans lequel nous portions l’intégralité des risques financiers et sans toucher à l’ADN public-privé du Forum, raconte Guillaume Tissier, directeur du FIC. Nous avons investi de façon conséquente pendant 2-3 ans considérant la cyber comme un secteur d’avenir avant d’équilibrer l’opération, mais aussi beaucoup réinvesti. A la fois dans la partie Forum de l’événement, son internationalisation avec le lancement de nouveaux FIC à l’étranger” Depuis 2013, l’événement est donc cogéré et a entamé depuis l’an dernier son ouverture à l’international avec un premier évènement aux Etats-Unis. D’autres devraient voir le jour au Canada notamment. “Notre modèle est unique : accueillir en un même lieu des offreurs, des utilisateurs, des écoles, des centres de recherche, des administrations, etc., a affirmé Marc Watin-Augouard. Le FIC est un événement d’écosystèmes.”
Un cyberbouclier européen
“L’union fait la force et l’union fait la force de l’Union !”, a-t-il conclu avant de céder la place à Thierry Breton, Commissaire européen au Marché intérieur, venu exposer son projet de création d’un cyberbouclier pour le Vieux Continent. Pour lui, pas de cyberdéfense sans capacité de dissuasion et c’est au niveau de l’Europe que cela se joue. D’une part avec une politique de sanction active et directe, mais aussi au travers d’une capacité de réponse offensive, financée notamment par le Fonds Européen de Défense (FED). Thierry Breton a exposé à un amphithéâtre plein à craquer (1 500 personnes sur place et 5 000 en ligne) les différents projets porteurs de cette ambition, celle de voir se mettre en place un “dôme cyber” capable de protéger, détecter, défendre et dissuader. “Nous sommes 445 millions de concitoyens européens contre 330 aux Etats-Unis, ce qui fait de nous le premier marché numérique du monde, a-t-il rappelé. Pour nous protéger de la menace cyber, nous avons besoin de technologies de pointe, d’infrastructures sécurisées communes mais aussi d’une coopération opérationnelle, d’une structure de gouvernance accrue et des sanctions effectives.” Baptisé “Cyber Solidarity Act”, le projet, exposé en avant-première sur le forum a été présenté le 18 avril et devrait se concrétiser par la création d’un réseau européen de centres opérationnels de sécurité (SOC) prévus au nombre de 6 ou 7.
Passer “de la haute couture au prêt-à-porter”
En termes de souveraineté, “la localisation de nos données sur le sol européen ne suffit pas, souligne Guillaume Tissier, directeur du FIC Europe. Encore faut-il que les plus sensibles soient hébergées dans des Cloud totalement immunisés contre l’application de législations extraterritoriales, et notamment le FISA américain. D’où l’importance du futur schéma européen de certification cloud (EUCS), en cours de discussion au sein de l’Union européenne, et du successeur du Privacy Shield, le Data Privacy Framework, en négociation entre l’Europe et les États.” Aujourd’hui, la menace s’est étendue à tous ceux qui n’avaient pas été ciblés jusque-là et, pour Vincent Strubel, nouveau directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), “l’explosion du crime industrialisé n’épargne personne, avec des attaques aux conséquences inacceptables”. Pour lui, il va s’agir de passer “de la haute couture au prêt-à-porter” afin d’élargir et de massifier les actions, sachant que le pire n’est jamais impossible : “Les attaques pourraient tout aussi bien arriver en même temps”. Propos auquel il a ajouté que “comme tous les Cloud ne se valent pas, les entreprises ne doivent pas signer les yeux fermés mais prêter attention aux critères techniques et au droit applicable”.
Prise de conscience des collectivités
Particulièrement concernées, notamment par la recrudescence des attaques visant les collectivités locales et les hôpitaux, 6 régions françaises présentes témoignaient d’une réelle prise de conscience. Une étude du Clusif estimait que près de 30 % des collectivités locales avaient été victimes de cyberattaques en 2020. La cybersécurité et les citoyens était d’ailleurs la thématique de l’Agora du FIC qui a réuni une quinzaine de parlementaires, élus ou dirigeants d’institutions publiques pour partager retours d’expériences et pistes de réflexion lors de l’événement. De nombreux élus ou représentants de Nouvelle-Aquitaine, du Grand Est, d’Ile-de-France, des Hauts-de-France, d’Auvergne-Rhône-Alpes et d’Occitanie, Bretagne sont ainsi venus également témoigner de la montée en puissance des différents dispositifs mis en place par l’État : création des C-SIRT régionaux, déclinaison des Campus Cyber et Plan France Relance. C’est d’ailleurs dans cette mouvance qu’était officiellement inauguré mercredi 5 avril, à Lille, le premier Campus Cyber régional pour les Hauts-de-France à Euratechnologies.
__________________________________________
FIC 2023 : fréquentation record et intervenants de haut rang
Pour cette 15ème édition, plus de 16 000 visiteurs étaient présents à Lille (+11 % par rapport à l’édition 2022) et 650 exposants. 5 000 participants ont également assisté aux échanges en ligne. Le salon a été honoré par la présence de ministres et d’autorités représentant des États membres comme Ludivine Dedonder, ministre de la défense de Belgique et Carl-Oskar Bohlin, ministre de la défense civile de Suède, celle de Thierry Breton, Commissaire européen au Marché intérieur, ainsi que de nombreuses délégations internationales : Canada, Afrique du Sud, Côte d’Ivoire, Liban, Japon.
__________________________________________
Compétition de hacking éthique au FIC
25 équipes de 10 joueurs se sont affrontées au cours de l’EC2 (European Cyber Cup). La compétition de hacking éthique se déroulait autour de 6 challenges et sur 2 jours. Parmi les équipes étudiantes et professionnelles se trouvaient la Métropole de Lyon, CapGemini, Sopra Steria, Bouygues Telecom, OTERIA, Telecom Sud Paris, EPITA, le Ministère des affaires étrangères, et l’ESNA de Bretagne qui a remporté la victoire.
