Au fil des livres blancs et autres lois de programmation militaires s’est élaborée la doctrine de cyberdéfense et cyberattaque de la nation. Elle passe notamment par la définition d’opérateurs d’importance vitale pour le pays dont les systèmes d’information doivent être conformes aux exigences de l’Agence nationale de sécurité des systèmes informatiques (Anssi). Placée sous la tutelle directe du Premier ministre, l’Anssi joue le rôle d’une sorte de tour de contrôle chargée de détecter les anomalies, de les analyser et, si besoin, d’organiser la résistance s’il s’agit d’une attaque.
Les commentaires d’Arnaud Coustillière semblent ici plus pertinents que la présentation de la défense numérique du pays. Le vice-amiral n’aime pas le terme galvaudé de « cyber », lui préférant celui de numérique.
Qu’elles visent une installation militaire ou civile, les motivations d’une attaque numérique sont assez similaires: il peut s’agir de copier des données, ou de modifier des informations (comme cela a été tenté sur le site LeMonde. fr), ou de bloquer le système visé (salle de marché débloquée moyennant le versement rapide d’une rançon). Arnaud Coustillière prédit un grand et riche avenir aux entreprises spécialisées dans les contre-attaques.
Il a évoqué avec détail des mafias « russophones » qui recrutent quelques centaines d’ingénieurs d’excellent niveau qui sortent chaque année des universités russes et ne trouvent pas d’emploi ou des emplois faiblement rémunérés. La tentation est grande et humaine pour ces jeunes talents à fort potentiel de se mettre au service du plus offrant. Cette remarque de bon sens raisonne curieusement, car quelques minutes auparavant son auteur avait expliqué que les autorités françaises concentraient leurs centres d’expertise aux alentours de Rennes. D’une part pour des raisons historiques, d’autre part parce que les salaires sont moins élevés qu’en région parisienne. Pourtant, a affirmé le vice-amiral, le « pivot » de la défense numérique est l’homme qu’il faut savoir recruter et pouvoir conserver.
Au fil des années, la médiatisation change en matière d’attaques numériques: en 2010/2012, la mode était à l’espionnage chinois. Il perdure. En 2013, grâce aux révélations d’Edgar Snowden (pour lequel la France et le Portugal ont refusé à l’avion du président de la Bolivie le survol de leur territoire), l’espionnage américain occupe les esprits, mais son homologue russe refait surface. 2014/2015, les attaques « russes » (ou supposées telles) sont de plus en plus médiatisées. Elles évoluent: de la « simple » arnaque, elles sont passées à la prise d’otage informatique, comme les salles de marché rendues inopérantes, pour servir également de support de propagande au nationalisme russe ou aux visées de groupes extrémistes comme Daesh. L’attaque à la réputation d’une entreprise ou d’une personne physique complète la palette. Dans le même temps, le « brouillard s’est épaissi dans l’espace numérique et il devient de plus en plus difficile de déterminer qui est réellement à l’origine de l’attaque. Il faut du temps et des moyens. Le pire est devant nous », a conclu Arnaud Coustillière.
Cibler le point faible
Poursuivant son sombre tour d’horizon, le vice-amiral a souligné que, par exemple, pour neutraliser un avion de chasse dont les systèmes de navigation et d’armes ont été durcis, on s’attaquera plus volontiers à la chaîne logistique qui permet à l’avion de voler. Perturber l’alimentation électrique d’une usine est probablement plus facile qu’entrer dans son système comptable (tout dépend cependant de l’objectif poursuivi, ndlr).
Le maritime prend conscience du problème
Interrogé sur le niveau d’attention portée par le secteur maritime à la sûreté numérique, Arnaud Coustillière a répondu sans détour: différents rapports ont montré que le secteur était très en retard dans ce domaine, mais que la bonne nouvelle vient de l’émergence d’une prise de conscience du problème. Un responsable du secteur maritime a même été nommé au sein de l’Anssi.
Le choix de l’expert, du sous-traitant et du matériel
Toute entreprise est susceptible d’être attaquée. « Si vous ne l’avez pas encore été, cela est anormal. Il est probable alors que votre directeur des systèmes informatiques soit un incompétent ou un menteur », affirme Armaud Coustillière. Ce directeur et son équipe n’ont généralement pas une vision suffisamment globale de l’entreprise pour mettre en place une défense numérique adaptée. Il faut trouver d’autres capacités d’expertise. En se méfiant des SS2I (sociétés de services en ingénierie informatique). En effet, ces dernières ont vendu durant 30 ans de la réduction de coûts informatique par externalisation. Puis elles ont vendu du « cloud ».Maintenant, elles vendent du « cloud sécurisé », a souligné, avec agacement, l’officier général cyberdéfense à l’état-major des armées. « Qu’elles fassent le ménage chez elles. Certaines choses ne s’externalisent pas surtout lorsque l’on ne connaît pas le régime juridique sous lequel ces données seront stockées. »
Qui est donc le bon expert? Ses qualifications varient selon qu’il s’agit de détecter une attaque, de la parer, de permettre un retour à la normale, puis, in fine, d’assurer le nettoyage du système et son renforcement. Cette dernière phase peut être longue et coûteuse.
S’il convient d’assurer le stockage de ses propres données, quels matériels utiliser? De bons routeurs américains ou chinois peu chers mais susceptibles d’avoir des « fuites » ou du matériel français ou européen, cher et qui n’a pas fait ses preuves? « Il faut être réaliste, l’industrie européenne est très en retard par rapport aux États-Unis et elle ne le rattrapera pas. Il faut donc trouver du matériel présentant un coût et un niveau de confiance acceptable et qui soit efficace. » Ce niveau de confiance, variable selon la sensibilité des données à protéger, occupe beaucoup l’Anssi. Une partie de ses missions consiste en effet à certifier matériels et logiciels, en fonction du niveau de confiance demandé. La certification, un mot qui raisonne de façon diverse et variée, dans le monde maritime.
Le DNV GL, la plus importante société de classification au monde, vante ses capacités d’expertise en matière de sécurité numérique des plates-formes offshore.
