Le Forum international de la cybersécurité, le FIC de Lille, est l'occasion chaque année en janvier de faire le point sur l'état d'avancement des mesures pour lutter contre le cyber-terrorisme, une thématique reprise par le Cercle de la sécurité en février.
Le ministre de l'Intérieur Manuels Valls, l'an passé au FIC, avait bien résumé la situation actuelle : «Le cyber-terrorisme est une véritable économie souterraine à laquelle il faut répondre de manière structurée. Nous devons savoir anticiper les menaces, mais la possibilité de se dissimuler sur le Net, et l'internationalisation de cette criminalité, rendent les enquêtes structurées, au plan international, difficiles.»
La situation a évolué car le renforcement de l'arsenal juridique réclamait une modification de la loi de programmation militaire (LPM) pour que l'état se donne enfin les moyens d'intervenir légalement. Cette loi a été votée fin 2013 et est désormais appliquée. Pour le ministre de l'Intérieur «En matière administrative, l'article 20 de la LPM est venu combler un cadre juridique lacunaire. Il donne désormais un fondement clair à l'ensemble des demandes de données de connexion, qui peuvent être effectuées par tous les services de renseignement ainsi que par tous les services de police et unités de gendarmerie, dans le cadre strict des finalités de la loi de 1991». Pour résumer, la gendarmerie peut intervenir plus facilement et identifier plus rapidement les agresseurs au-delà des adresses IP, et poursuivre ces malfrats où qu'ils soient.
Des statistiques effrayantes
L'Observatoirenational de la délinquance et des réponses pénales (ONDRP) concède que les infractions recensées par les forces de l'ordre ne permettent pas «une mesure directe des phénomènes liés à la cybercriminalité».
Toutefois,dans son dernier bilan, l'ONDRP constate une hausse vertigineuse des accès ou maintiens frauduleux dans un système de traitement automatisé de données (STAD), fréquents dans les vols de données aux entreprises : 1427 faits en 2012 contre 419 en 2009 (+240 %). Publiés en cours d'année, les chiffres de 2013 seront, selon, l'organisme, encore à la hausse.
Si les infractions de falsifications des cartes bancaires sont en baisse (29 796 en 2012), les atteintes aux droits de la personne via Internet augmentent (2300 faits en 2012 contre 1235 en 2009, soit une hausse de 86 %) tout comme les atteintes sexuelles (455 faits en 2012) dont l'écrasante majorité touche à la pédopornographie.
L'Europede la sécurité devient une réalité
La coopération internationale a grandement évolué avec la création en 2013 du Centre Européen du cyber-crime au sein d'Europol, à la Haye aux Pays-Bas. De même les formations sur la cyber-sécurité se sont multipliées et en particulier sous l'influence de la gendarmerie, de l'Epita et de l'université de Troyes. «La France s'est dotée d'un arsenal sécuritaire d'avant-garde», soulignait le ministre de l'Intérieur. Dans son livre blanc sur la défense et la sécurité nationale française, le gouvernement érige la cyber-défense au rang de priorité nationale. Les cyber-risques figurent dans le «top 3» des menaces et le cyber-espace est considéré comme le 5e espace de bataille.
La bataille pour les entreprises
Face à l'espionnage mis en exergue par l'affaire Snowden, qui avait révélé un travail d'espionnage d'envergure mondiale par la NSA, l'agence de sécurité américaine, Manuel Valls a mis en avant la protection des entreprises et de leur savoir-faire, un sujet souvent traité de manière secondaire, par rapport à l'importance donnée à la défense des individus et à celle de l'état. Le ministre, lors du FIC, avait ainsi conclu : «Je sais que les attentes les plus grandes à l'égard de l'action de l'État viennent des entreprises, qui demandent une protection efficace contre les atteintes aux systèmes d'information, les fraudes, l'espionnage industriel. Et il y a urgence ! Par exemple, en décembre, dans deux régions françaises, deux PME ont été victimes d'escroqueries aux faux ordres de virement pour des montants respectifs de 480 000? et 450 000?. Pour l'une d'entre elles, les escrocs ont pris la main sur le système d'information de la société pour finaliser la transaction. Depuis 2011, ce type d'escroquerie représente un préjudice estimé à plus de 200 millions d'euros pour les entreprises françaises. Ce chiffre prend un relief tout particulier alors que les entreprises françaises doivent s'adapter à une concurrence internationale de plus en plus forte.»
La loi de programmation fait l'unanimité
Le Cercle de la sécurité, qui rassemble les participants aux Assises de la Sécurité, avait organisé mi-février une conférence sur le thème «La cyber-défense française, combien de divisions ?» pour faire le point sur la stratégie française et son intégration dans les alliances stratégiques (OTAN, Union européenne ). En invités : Jean-Marie Bockel, sénateur du Haut-Rhin et ancien ministre, auteur du rapport «La cyber-défense : un enjeu mondial, une priorité nationale», et Arnaud Coustillière, officier général cyber-défense à l'état-major des armées et contre-amiral, plutôt resté dans un régime de cyberprudence.
Plus loquace, Jean-Marie Bockel a rappelé que l'Assemblée Nationale et le Sénat, tous les partis confondus, avaient voté majoritairement la fameuse loi de programmation militaire (LPM : http://www.defense.gouv.fr/actualites/dossiers/la-loi-de-programmation-militaire-lpm-2014-2019).La Loi a finalement été votée, et publiée au Journal Officiel le 19 décembre 2013. Sans elle, l'armée et la gendarmerie, en pleine révolution culturelle, n'avaient pas, selon lui, les mains libres pour s'attaquer au champ de bataille qu'est devenu le Net.
Les Opérateurs d'infrastucture vitale sous surveillance
En 2014, les OIV, «Opérateurs d'infrastructures vitales» (SNCF, RATP, EDF, etc.) seront sur la sellette avec des obligations spécifiques sur la sécurité des systèmes d'information. L'article 3 de la LPM cite l'exemple de mise en œuvre de solutions de détection d'événements de sécurité. Ces solutions, et les prestataires qui les exploitent, doivent être «qualifiés» par le Premier ministre.
A ce jour, les solutions et prestataires éligibles ne sont pas nombreux et une obligation de déclaration immédiate de tout incident affectant le système d'information ne manquera pas de faire couler beaucoup d'encre. Enfin, la section 3 de la LPM détaille les dispositions pénales pouvant être prises à l'encontre des OIV en cas de non-respect des obligations : 150 000 ? pour une personne physique (dirigeant d'OIV) et 750 000 ? pour une personne morale. Le risque est considérable et cela devrait faire bouger les grandes entreprises et les administrations françaises !
Hexatrust: l'alliance des PME de la sécurité
Cette année, pas de Fleur Pellerin à Lille pour le Forum de la cyber-sécurité (FIC). La ministre déléguée chargée des PME, de l'Innovation et de l'Économie numérique était peut-être inquiète de retrouver les mêmes «clients» sans réponse, un an après avoir annoncé un projet de support aux PME de la sécurité
Un village gaulois résiste, contre vents et marées. C'est celui du club Hexatrust, une association qui partageait un grand stand, une première étape depuis son lancement en octobre dernier. Jean-Noël de Galzain, co-fondateur du club Hexatrust, mais également président de Wallix, n'hésitait pas à souligner le manque de suivi des projets d'industrie de défense : «Pour l'instant, un an après l'intervention de la ministre, on n'a rien vu de nouveau mais de notre côté, on a déjà rassemblé 11 sociétés françaises au sein de notre club. On va transformer le projet en véritable groupement associatif avec des bureaux, un budget et un coordinateur.» Les éditeurs Bertin Technologies, Brainwave, Deny All, Ilex, InWebo, Keynectis-Opentrust, Netheos, Olfeo, Sistech, Vade Retro Technology et Wallix ont déjà rejoint Hexatrust.
Pascal Colin, autre fondateur d'Hexatrust, et DG d'OpenTrust (ex Keynectis), s'occupe lui des finances et de l'organisation avec les partenaires du club, les associations et fédérations, à l'instar de l'ACN (Alliance pour la confiance numérique) ou de la FTC (Fédération nationale des tiers de confiance), avec lesquelles «le club partage des travaux d'ordre techniques mais aussi sensibilise les grands donneurs d'ordre.» Pour lui, le maître-mot, c'est «la mutualisation des efforts pour être reconnu en France mais aussi à l'international, apporter la confiance au marché.» Et d'ajouter : «Le club est en train de parfaire son portfolio global et met en avant la complémentarité des offres des membres. Il vise en particulier les OIV (les opérateurs d'importance vitale).
Pascal Colin indique que le club devrait peu grossir. «Nous devrions passer à une vingtaine de membres, avec l'arrivée de fleurons français de la protection des postes de travail fixes et mobiles -je ne peux pas vous révéler leurs noms pour le moment- mais pas plus. Car nous devons rester dans un esprit d'entraide, et ne pas intégrer des sociétés concurrentes entre elles», précise-t-il.
L'état a pourtant un bon projet qui fonctionne aussi, l'Alliance pour la confiance numérique, une organisation qui rassemble plusieurs centaines de projets et qui est censée promouvoir les PME.
«Ona toujours la possibilité d'y participer, mais nous voulions que les autorités nous disent que 25 % des financements et des commandes en France iraient aux PME, précise Jean-Noël de Galzain. Ils n'ont pas voulu s'engager, donc nous ne les avons pas suivis.» Si la France dispose depuis 2005 de pôles de compétitivité où toutes les entreprises, laboratoires, bureaux d'études peuvent voir leur projets être étudiés et financés, la mainmise des grandes structures de défense comme Thales, Safran ou des intégrateurs spécialisés comme Sogeti fait apparemment peur à pas mal de petites structures.