Lundi 22 Avril 2019  
 

N°124 - Quatrième trimestre 2018

La lettre diplometque
  Éditorial
Entretien exclusif
Coopération
Diplomatie & Défense
Innovation
Culture
  
La lettre diplometque
La lettre diplomatique Haut
     Cyberespace : un nouveau champ de conflictualités
 
 

Des dénis de service pour paralyser, des chevaux de Troie pour voler des données, des keyloggers pour espionner, des vers pour saboter… Le nombre de cyberattaques ne cesse d’augmenter (+42% entre 2011 et 2012), tandis que leur sophistication croissante les rend de plus en plus difficiles à détecter. Selon Symantec, éditeur américain de logiciels informatiques, elles auraient généré un préjudice mondial de quelque 113 milliards de dollars en 2012. L’évolution rapide de ces menaces et de ces risques inhérents au cyberespace préoccupe les Etats et les entreprises. En témoigne le succès rencontré par tous les rendez-vous ayant trait à la cybersécurié et à la cyberdéfense comme les Assises de la sécurité des systèmes d’information, qui se sont tenues en octobre 2013 à Monaco, et le Salon Milipol, organisé à Paris un mois plus tard et prochainement, celui annoncé du CyberTech qui se tiendra du 27 au 29 janvier 2014 à Tel-Aviv en Israël. Dans nombre de pays, des stratégies nationales sont élaborées par les gouvernements tandis que les entreprises, les administrations et les armées investissent de plus en plus dans la protection de leurs systèmes d’information et mettent en place des partenariats afin de préserver souveraineté, sécurité nationale et compétitivité économique.   

L’essor des technologies de l’information et de la communication nous a fait entré dans l’ère du tout-connecté et de la mobilité. Les sociétés et les économies du XXIème siècle sont devenues fortement dépendantes des outils numériques. Dans le même temps, les attaques informatiques se sont multipliées et sophistiquées, jusqu’à devenir une quasi industrie. Pour la seule année 2012, 7,8 milliards de cyberattaques ont été menées à partir des réseaux virtuels par des individus isolés, des groupuscules, des cyberterroristes ou des organisations gouvernementales. Parmi elles, le ver Flame, découvert en août 2012, s’est révélé plus complexe et plus préjudiciable que toutes les attaques identifiées jusqu’alors. Ce ver, piloté à distance, était en mesure de copier tous les types de fichier, de mémoriser les frappes sur le clavier et de déclencher le micro ainsi que l’émetteur Bluetooth. Il a affecté des entreprises comme des administrations partout dans le monde, et notamment en France, aux Etats-Unis, au Liban, en Arabie saoudite, en Égypte, en Syrie ou encore au Soudan. Flame, comme Stuxnet ou Duqu, ont démontré que plus personne n’était épargné.
Particuliers, entreprises, administrations, forces militaires et gouvernements font l’objet d’attaques. Les premiers sont principalement victimes de fraudes identitaires ou bancaires. Selon FIA-NET, les tentatives de fraude à la carte bancaire sur Internet auraient atteint 1,7 milliard d’euros sur les 45 milliards de chiffre d’affaires réalisés par le commerce en ligne français en 2012. En réalité, les tentatives qui réussissent sont de l’ordre de 1 sur 30. Elles ont tout de même représenté un préjudice de 80 millions d’euros.
Les entreprises et les administrations, quant à elles, subissent des attaques visant entre autres à manipuler, voler ou détruire des données, réaliser des escroqueries, espionner, paralyser leurs services ou encore saboter une production industrielle. Le préjudice peut se révéler particulièrement lourd comme une avance technologique réduite à néant, une réputation endommagée ou une stratégie commerciale éventée. En août 2012 par exemple, le géant pétrolier saoudien Aramco a été victime d’une cyberattaque qui a provoqué la mise hors service de 30 000 ordinateurs. Selon les autorités saoudiennes, cette action malveillante avait pour objectif de stopper le pompage du brut.
Les cyberattaques à l’encontre d’infrastructures vitales telles que les hôpitaux, les salles de contrôle aérien et les réseaux de téléphonie, ou contre les industries stratégiques (aéronautique, banque, énergie…) peuvent être elles aussi particulièrement dommageables pour la sécurité nationale. En septembre 2013, une cyberattaque a provoqué la paralysie d’un tunnel situé sur l’un des axes routiers les plus importants d’Israël pendant deux jours. Pour cela, les attaquants ont eu recours à un logiciel malveillant qui leur a permis de s’infiltrer sur les systèmes informatiques de Carmelton, l’entreprise qui exploite le réseau de tunnels, et de mettre hors service le système de vidéo surveillance de ce réseau.
Cette augmentation exponentielle des attaques et des risques a conduit les gouvernements à prendre en considération cette menace à la fois sur le plan de la sécurité nationale, de la compétitivité économique et de la Défense.

Partout dans le monde, les Etats se mobilisent
En France, c’est le Livre blanc sur la Défense et la sécurité nationale de 2008 qui marque la prise de conscience politique de ce fléau. C’est dans ce contexte que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a vu le jour en 2009. Chargée de proposer les règles de protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées, elle travaille en relation étroite avec les entreprises françaises qui lui remontent des informations techniques sur les attaques subies. La loi de programmation militaire 2014-2019 a d’ailleurs étendu sa marge de manœuvre : budgets en hausse, règles de sécurité imposables aux opérateurs d’importance vitale (OIV), autorisation d’identifier la victime d’une attaque à partir de son adresse IP, ce qui lui était jusqu’à présent interdit, obligation pour les entreprises de lui notifier les incidents et les tentatives d’intrusions. Enfin, et cela est une démarche suffisamment rare pour être soulignée, l’ANSSI pourra disposer de matériels et de logiciels permettant de simuler des attaques informatiques à des fins de recherche et d’expérimentation. Des pistes qui avaient été ouvertes par le rapport d’information remis en 2012 par le sénateur Jean-Marie Bockel.
D’autres initiatives ont été prises par le gouvernement français comme la création d’une réserve citoyenne cyber en septembre 2012, à l’instar du dispositif estonien de Cyber League mis en place un an plus tôt. Le Livre blanc sur la Défense et la sécurité de 2013 est allé encore plus loin en érigeant la cyberdéfense en priorité nationale. Ainsi, alors que l’austérité budgétaire s’applique à tous les ministères, les ressources humaines et financières allouées au cyber ont été, quant à elles, revues à la hausse.
Si cette prise de conscience a été plus ou moins rapide selon les pays, tous les gouvernements ont pris la mesure de cette menace. Au Nord comme au Sud. En Afrique du Sud, le ministre des Communications, Yunus Carrim, a inauguré un Conseil consultatif national sur la cyber-sécurité (NCAC) le 16 octobre 2013. Celui-ci aura pour rôle de guider le gouvernement dans sa politique de cybersécurité et de consolider la coopération avec le secteur privé et la société civile. En Côte d’Ivoire, une Plateforme de Lutte Contre la Cybercriminalité (PLCC) a été mise en place le 2 septembre 2011 pour lutter non seulement contre l’arnaque aux sentiments, le hameçonnage et les arnaques à l’héritage mais aussi contre les cybertrafics comme celui de l’ivoire. Ces cyberattaques auraient causé un préjudice de 3,385 milliards de FCFA en 2012 dans ce pays.
Ainsi, la plupart des Etats ont mis en place des exigences en termes de sécurité informatique de leurs administrations et des structures d’accompagnement pour les entreprises. Ils ont également doté leurs administrations d’équipements spécifiques, à l’image des téléphones sécurisés Téorem développés par Thalès pour la France et attribués aux hauts fonctionnaires ainsi qu’aux militaires dont l’activité peut relever du secret défense.

Une coopération en cours de construction
A l’instar de la lutte contre le terrorisme, une coopération internationale s’instaure progressivement, même si, comme pour tout domaine régalien, celle-ci se révèle délicate.
A l’échelle européenne, force est de constater que les organes de lutte contre les cyberattaques se mettent en place avec lenteur. Le Centre européen de lutte contre la cybercriminalité (European Cybercrime Centre ou EC3) n’est âgé que de quelques mois. Chargée de protéger les citoyens contre la criminalité en ligne (fraude en ligne, maltraitance infantile en ligne, activités illicites en ligne menées par des organisations criminelles…) sous la houlette d’Europol, cette nouvelle institution devrait progressivement pousser les Etats-membres à renforcer leur action contre la cyberdélinquance. A ses côtés, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) a pour rôle de conseiller les Etats membres et de diffuser des « bonnes pratiques ». Elle les accompagnera dans la mise en œuvre des recommandations faites dans le cadre de la stratégie de l’UE en matière de cybersécurité, rendue publique en février 2013 par la Commission européenne et le Service européen pour l’action extérieure. Intitulé « Un cyberespace ouvert, sûr et sécurisé », ce document appelle notamment les Etats de l’Union européenne à développer une politique commune de cyberdéfense, à renforcer leurs moyens de prévention et d’opposition aux attaques et à développer les ressources industrielles et technologiques en matière de cybersécurité. Cela devrait s’accompagner dans les mois qui viennent d’une directive européenne fixant des obligations concrètes pour les États membres. Quant à la coopération transatlantique en la matière, elle prend plus spécifiquement corps depuis mai 2008 au sein du Centre d’excellence de Cyberdéfense de l’OTAN. Au-delà d’une coopération technique et d’échanges d’information entre les pays membres de l’OTAN, il s’agit d’élaborer une doctrine pour améliorer prévention et résilience. Au niveau international enfin, Interpol va ouvrir en 2014 une antenne à Singapour, qui sera dédiée à la recherche dans le domaine de la cybersécurité.
Une coopération s’opère également entre le public et le privé. Par exemple au Royaume-Uni, dans le domaine de la Défense, un Defence Cyber Protection Partnership rassemble acteurs publics et privés (le Centre for the Protection of National Infrastructure, le Government Communications Headquarters, le ministère de la Défense et 9 entreprises : BAE Systems, BT, Cassidian, CGI, Hewlett Packard, Lockheed Martin, Rolls-Royce, Selex ES et Thalès) pour coordonner les efforts visant à protéger la chaîne d’approvisionnement de défense du pays. En France, dans le domaine de la recherche, deux Chaires ont été créées sous le sceau de partenariats public-privé, celle de cyberdéfense et cybersécurité Saint-Cyr Sogeti Thalès et celle de cyberstratégie financée par EADS.

Les entreprises et les défis de la cybersécurité
Dans le Livre blanc sur la Défense et la sécurité de 2013, quelque 200 entreprises françaises considérées comme opérateur d’importance vitale sont priées de s’assurer que la protection de leurs systèmes de sécurité informatique soit au niveau des critères établis par l’ANSSI. Pour autant, nombre d’entre elles disposent déjà de systèmes de protection performants, tout comme la plupart des autres entreprises du CAC 40. En 2012, les grandes entreprises ont consacré en moyenne 2% de leur chiffre d’affaires pour protéger leurs systèmes informatiques. Un investissement nécessaire car les grands groupes français sont des cibles privilégiées, à l’instar d’Areva qui a été confrontée à une problématique d’intrusion de longue durée dans son réseau informatique.
Les PME-ETI sont également vulnérables d’autant plus qu’elles n’ont pas nécessairement les ressources financières pour mettre en place les meilleures solutions. La démarche de mener une analyse de risques, définir et conduire un plan de renforcement de la sécurité, être quotidiennement attentif à sa protection peut rapidement représenter un coût élevé. Toutefois, les dirigeants français sont de plus en plus sensibilisés à ces questions.
Afin de parer à toute attaque cybernétique dont le préjudice peut mener jusqu’à la faillite, diverses solutions techniques sont développées comme les signatures électroniques, les puces biométriques, des applications sécurisées ou encore des algorithmes de chiffrement. Si l’américain Symantec est l’un des éditeurs de solutions les plus connus, il existe aussi de nombreuses entreprises françaises qui performent sur ce segment ainsi que dans le domaine des solutions physiques non seulement sur le marché français mais aussi à l’étranger. Gemalto, un des leaders français de la carte à puce, sécurise l’accès au cloud de l’américain Amazon. Atos gère la sécurité des systèmes informatiques des Jeux Olympiques et Paralympiques depuis douze ans. Cassidian CyberSecurity, une des branches d’EADS, a fourni à la Marine française ainsi qu’au ministère de la Défense britannique, des solutions et des services qui s’appuient sur un centre opérationnel de sécurité. Quant au groupe Orange, il compte parmi ses clients le géant australien du secteur minier, BHP Billiton.
Plusieurs défis de taille liés à l’évolution des technologies et des usages mobilisent les efforts des fournisseurs de solutions de sécurité informatique. Outre la mobilité qui implique une sécurisation des terminaux mobiles et de l’accès aux données, le développement du Bring your own device (Byod) et l’utilisation par les salariés de leur téléphone professionnel à des fins personnelles exposent de plus en plus les entreprises. Et ce, d’autant plus que les smartphones deviennent une cible privilégiée des hackers. Les attaques à l’encontre des mobiles, au moyen des programmes malveillants implémentés dans des applications, ont augmenté de 614% entre mars 2012 et mars 2013, passant de 38 000 à 276 000, si l’on en croit l’étude de Juniper Networks, un équipementier télécom américain.
Cet aspect montre par ailleurs que l’homme est aussi un élément à prendre en compte dans la stratégie de protection des systèmes d’information et des données. C’est la raison pour laquelle la mise en place d’outils de protection est de plus en plus souvent complétée par une démarche de sensibilisation. Outre les recommandations de l’ANSSI, pléthore de livres de « bonne conduite » sont édités par les entreprises soit à l’usage leurs clients comme l’« approche systémique de la cybersécurité » publiée par Sogeti, soit à destination de leurs propres employés comme le « guide de bonnes pratiques des médias sociaux » d’Orange. Les collectivités territoriales et les associations de professionnels participent aussi à cet effort, tout comme les services de sécurité et de contre-espionnage, qui organisent des séminaires au sein des entreprises. Des conseils de base y sont rappelés comme ne pas laisser son ordinateur portable ou matériels annexes sans surveillance dans un lieu public, ne pas accepter de clés USB autre que celles fournies par sa propre entreprise, ou encore ne pas utiliser une connexion wifi non sécurisée.

Un droit du cyberespace en gestation
Outre le développement de solutions performantes pour protéger les citoyens, les entreprises et les infrastructures vitales, un enjeu majeur mobilise les gouvernements, à savoir la mise en place d’outils juridiques. La dimension est double car ils doivent se placer sur le plan de la sécurité mais aussi sur celui de la défense, selon la nature et l’objectif des cyberattaques. La tâche est d’autant plus ardue qu’outre le nombre croissant des cyberattaques, la sophistication de celles-ci les rend difficilement détectables. De plus, se développe toute une criminalité qui utilise les technologies de l’information et de la communication pour mener à bien leur entreprise. Ainsi a émergé un « darkweb » où se vendent et s’achètent des armes, de la drogue, des films pédophiles, des contrefaçons ou encore des listes de numéros de cartes bancaires. Les « darknet », ces réseaux privés virtuels qui permettent de s’échanger des documents de façon anonymes à des fins souvent illégales ou dissidentes, constituent, eux aussi, un défi pour les enquêteurs et les autorités judiciaires.
Pour l’heure en France, le cadre juridique de la lutte contre la cybercriminalité dispose d’un arsenal législatif en matière de réponses préventives et répressives. A l’échelle européenne, une directive 2013/40/UE adoptée le 12 août 2013 fixe des règles minimales concernant la définition des infractions pénales et les sanctions en matière d’attaques contre les systèmes d’information. Alors que les enquêtes internationales se heurtent souvent aux différentiels de législations, cette directive devrait faciliter la coopération des services de police-justice. Le Centre européen de lutte contre la cybercriminalité (EC3) devrait, quant à lui, aider celle entre les services de police de tous les Etats-membres de l’Union européenne.
En revanche, la mise en place d’un droit international en matière de cyberdéfense est plus délicate. A ce jour, les Etats et les entreprises se trouvent bien en peine pour contrattaquer par le biais juridique. Hormis la Convention de Budapest du Conseil de l’Europe appelée à faciliter la coopération internationale, le droit international ne comprend aucune règle d’autant plus que la nature de la menace, techniquement complexe, protéiforme et diffuse, ne permet pas le plus souvent de confondre les auteurs des cyberattaques avec certitude. Ainsi, l’origine de la cyberattaque contre les centrifugeuses à uranium de Natanz (Iran) en 2010 n’a pu être clairement identifiée, même si des soupçons ont été formulés par les autorités iraniennes.
Alors qu’aucune définition normative ne serait-ce que du « cyberespace » n’a été pour l’heure arrêtée dans un instrument de droit international, plusieurs Etats ont appelé à l’adoption de règles communes, à l’image des Etats-Unis qui, par ailleurs, accusaient la Chine, en mars 2013, d’espionner des ordinateurs sur le territoire américain. Le cyberespace devient donc non seulement un enjeu sécuritaire mais aussi diplomatique et stratégique, tant pour les entreprises que pour les Etats.       

Retour en haut de page
  
 

 
La lettre diplomatique Bas
  Présentation - Derniers Numéros - Archives - Nos Liens - Contacts - Mentions Légales