Pour l'agence de cybersécurité française, il faut que les États conservent le monopole de l'armement informatique, pour éviter un chaos numérique. Elle s'inquiète aussi d'une centralisation européenne de la défense, à court terme, alors que certains pays de l'Union seraient trop en retard pour compter uniquement sur une agence communautaire.
Les entreprises ne doivent pas répliquer elles-mêmes face aux attaques informatiques, selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Dans un discours aux Assises de la sécurité de Monaco, son directeur Guillaume Poupard a insisté sur son aversion à un armement du secteur privé, porte ouverte à toutes les dérives selon lui.
« Je suis très inquiet des propositions faites par certains d'autoriser le « hack back », c'est-à-dire reconnaitre la faillite des États à protéger leurs entreprises et citoyens, et autoriser les entreprises à s'armer et à répondre aux attaques. Je suis parfaitement opposé et effrayé par ce genre d'idée » a-t-il déclaré.
Plus globalement, « nous sommes très inquiets de voir la pente naturelle des choses, qui nous emmène vers un espace numérique devenant de plus en plus un espace de conflit » ajoute le numéro un de l'ANSSI. Ce, alors que la Commission européenne pense centraliser une large part de la cybersécurité au niveau communautaire, un projet auquel l'agence française s'oppose, notamment en matière de certification.
L'armement des entreprises ? « Une abomination »
En soi, l'alerte de l'ANSSI sur les contre-attaques informatiques par les entreprises n'est pas nouvelle. Lors d'une conférence organisée en avril à l'Unesco, son directeur affirmait déjà que « les États doivent impérativement garder le monopole de la violence légitime dans le cyberespace, leur responsabilité unique ».
Garantir une paix dans le numérique deviendrait très difficile si chaque entreprise a les capacités d'attaquer à vue ceux qu'ils voient comme des agresseurs. D'autant qu'attribuer une attaque est encore très difficile aujourd'hui, les risques d'erreurs étant importants, comme l'ont encore montré récemment deux chercheurs de Kaspersky. « Répliquer » peut donc vouloir dire se créer un nouvel ennemi.
Dans un entretien à Libération, le numéro un de l'ANSSI craignait d'entrer dans « un Far West totalement aveugle ».
Le discours sur l'armement des entreprises à 21 minutes
Pour lui, le « hack back » mènerait « à des délires qui nous coûteront extrêmement cher si on n'y met pas un point d'arrêt immédiatement, avant même que cela se développe ». Le sujet est aujourd'hui sensible pour le secteur privé, qui s'étend peu dessus. Le service de messagerie ProtonMail, qui annonçait avoir attaqué un site de phishing en août, a rapidement retiré son message devant l'interrogation d'internautes.
Cette semaine à Monaco, les mots sont devenus encore plus durs, de la part de l'ANSSI. « Autoriser le « hack back », donc des entités privées à contre-attaquer, c'est une abomination. Si on autorise ça, on va vivre des moments extrêmement difficiles », là aussi en raison de la complexité d'attribuer les agressions.
Impliquer l'industrie contre le « hack back »
Devant un parterre d'industriels de la cybersécurité, Guillaume Poupard a demandé des efforts pour garantir les conditions d'une paix numérique. Au-delà du simple fait de transposer le droit de la guerre sur ce nouveau terrain, il estime que le travail reste encore à mener pour le développement de la (sacro-sainte) confiance et de l'économie.
« C'est une bouteille à la mer, à la Méditerranée, que je lance ici. Vous avez un rôle un jouer dans ces domaines, qui sont compliqués. Mais si les spécialistes ne sont pas les premiers à porter une conviction, un message, ce sera extrêmement compliqué. Il y a un vrai sujet à traiter » a appuyé le responsable de l'agence.
Rappelons que les services de l'État peuvent déjà répliquer au nom de certaines entreprises. C'est l'objet de l'article 21 de la Loi de programmation militaire (LPM) de 2013, qui autorise « répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique ».
La France affiche ses capacités offensives, quand l'armée recrute des « combattants numériques » à tours de bras pour ses besoins de cyberdéfense, DGSE incluse. Les éventuelles répliques de l'État à des attaques de sociétés bleu blanc rouge n'ont pas encore émergé, les pouvoirs publics préférant communiquer sur la défense.
Axe franco-allemand en Europe
L'ANSSI exploite sa légitimité en matière de défense informatique, en tant qu'entité dédiée. La séparation de l'attaque (au ministère des Armées) et de la défense (au sein des Armées mais surtout à l'agence) fait la fierté de la France, face au « mélange des genres » pratiqué par la NSA ou le GCHQ, coincés entre leurs besoins offensifs et défensifs.
C'est surtout le modèle défendu en Europe, où la France vante un alignement franco-allemand sur la cybersécurité, entre ANSSI et BSI. Les deux pays seraient les plus avancés sur la question. Comme nous l'expliquions récemment, le nouveau plan de la Commission européenne pour centraliser de nombreuses tâches de défense via l'agence de cybersécurité communautaire (Enisa) alarme Paris.
Selon l'agence hexagonale, l'Enisa n'est pas prête. « Si elle était amenée à reprendre ce rôle, qui plus est à l'échelle européenne, il faudrait des moyens sans commune mesure avec ceux qu'ils ont aujourd'hui » estime Poupard, avec 120 employés contre 540 pour la seule institution française.
Il serait irréaliste que l'agence européenne devienne une équipe de « pompiers volants » envoyée partout en Europe. « Sans les contacts préalables et l'entrainement, [une telle équipe] va regarder les trains passer, les victimes mourir. Je ne vois pas comment cela peut fonctionner à court terme. »
Il fustige la tentation qu'auraient certains États, peu avancés sur la cyberdéfense, de se reposer sur une seule agence européenne. Pour lui, l'ensemble des pays de l'Union doivent assurer leur propre défense informatique, avec justement l'aide de l'Enisa.
Sa crainte est que des pays européens bien protégés soient attaqués via des voisins bien moins prêts. Il insiste encore sur l'échange d'informations, qui doit être renforcé au niveau de l'équipe de réponse à incident de l'ANSSI (le CERT-FR).
Bientôt un « Visa de sécurité ANSSI »
L'autre alarme face à la Commission européenne est la certification des produits de sécurité, une question ô combien sensible pour la France. En parallèle de l'Allemagne, le pays mène des programmes de certification depuis deux décennies, et ne compte pas lâcher à l'Enisa une telle responsabilité, souveraineté oblige.
Pour certains professionnels rencontrés lors des Assises de la sécurité de Monaco, des labels européens auraient pourtant un avantage certain, évitant d'être passé au crible par chacun des États membres. Sur l'événement, nombre de stands et d'interlocuteurs évoquent une (future) certification par l'agence française, Graal pour entrer dans les recoins sensibles de réseaux de grands groupes et de l'État.
Le directeur de l'ANSSI s'est réaffirmé en faveur de l'auto-certification des objets connectés, pourtant laissée de côté par la Commission européenne dans son plan officiel. La bataille sur le sujet ne semble donc pas encore terminée.
Enfin, l'agence a annoncé un futur « Visa de sécurité ANSSI », pour simplifier la présentation de ses certifications et qualifications de produits de sécurité. L'entité n'avait pas de détails à fournir, ceux-ci devant arriver début 2018. Un diagramme devrait être fourni pour diriger entreprises et administrations vers le niveau de contrôle qui convient.
À noter :
Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs.
Commentaires (27)
#1
J’aime tellement entendre Guillaume Poupard. J’ai l’impression que c’est le seul de tous les responsables et politiques divers et variés de l’administration français qui comprend un peu qqch au net et aux problématiques du high-tech.
Ce type, c’est la voix de la raison.
#2
Il est Polytechnicien, ingénieur de l’armement, et surtout il a une thèse de doctorat en cryptographie.
donc effectivement je doute qu’il y ait beaucoup d’autres personnes dans l’administration qui sachent mieux que lui de quoi on parle (à part à l’ANSSI bien évidemment, et dans les “services”). " />
#3
Ils ont raison sur l’inutilité actuelle de l’ENISA mais leur posture de fonctionnaires corporatistes est ridicule, s’imaginent-ils un instant avoir autant d’ANSSI que d’Etats membres ? L’avance franco-allemande, elle existait également dans le spatial et cela n’a pas empêché la création de l’Agence Spatiale Européenne qui est une réussite.
#4
Personnellement “le monopole de la violence légitime” ça me fait un peu froid dans le dos…
#5
Malheureusement Poupard se bat dans le vide. C’est la tendance générale de vouloir suivre la loi du Talion. Valls n’a-t-il pas déclaré en tant que PM qu’“on était en guerre” ? Nos attaques font suite à des attaques, qui elles-même sont des répliques à nos agissements envers d’autres pays pendant des années. Bref on ne s’en sort pas. Et cette logique guerrière va s’appliquer au numérique aussi, comme pour tout on suit les Etats-Unis avec quelques années de retard. On veut se faire justice soi-même, que ce soit au niveau individuel, de l’entreprise, ou des états. Nous sommes les gentils, les autres sont les méchants, nous avons donc la légitimité de répliquer. Il ne manque plus que mettre Dieu dans les justifications, et l’affaire sera pliée.
#6
#7
#8
#9
#10
Comme dit dans les autres commentaires, c’est déjà le cas au niveau physique.
Qui est la seule entité qui peut légalement te menotter, t’enfermer, etc ? L’État, qui dispose de ce monopole. Évidemment, pour que ce ne soit pas une dictature, l’État doit également être soumis à la loi ce qui te permet de défendre tes libertés dans les tribunaux.
Sans ce monopole de la violence légale, des milices pourraient décider exercer eux-même leur loi si elles estimaient ne pas être bien protégés par l’État, et la justice ne pourrait pas être respectée : c’est exactement ce qui se passait dans le Far West.
C’est ce que craint l’ANSSI, que des milices privées numériques se forment et finissent par s’affronter, parfois par erreur, et faisant très certainement nombre de victimes collatérales.
#11
A le lire, on dirait que l’ANSSI a peur de l’ENISA et essaie de se mettre au dessus par tous les moyens alors qu’absolument rien n’empêche une collaboration fructueuse.
L’avenir de la défense, qu’elle soit numérique ou militaire se trouve au niveau régional avec une politique à l’échelle de l’Europe.
Il est vraiment dommage de voir que les institutions “du futur” ont les mêmes défauts et le même égo que leurs équivalents chez les dinosaures. Ou alors, le fait de mettre en avant son institution avant le but pour lequel celle-ci a été créée est simplement naturel.
#12
On est face à un paradoxe:
#13
Chapeau bas à l’équipe de Nextinpact de mentionner en bas de l’article que les frais ont été payés et dans quelles conditions. C’est du journalisme de qualité que vous nous offrez.:)
#14
#15
#16
Je n’ai jamais dit que c’était facile, mais ces questions sont “triviales”
Mais il en va aussi de la crédibilité de l’UE au niveau international. Il n’y a pas de consensus et pourtant les défis sont de plus en plus souvent régionaux (le Mali est un bon exemple: la menace dépasse de loin les frontières du pays). On retrouve une Europe schizophrène qui d’un côté est trop interventioniste, et de l’autre pas assez active. Tu décris toi même le résultat: l’UE pourrait être une force extraordinaire, mais ses troupes ne sont pas coordonnées.
Les Etats ont la capacité d’agir unilatéralement, mais les conséquences de leurs actes peuvent impacter tous les membres. C’est l’Italie qui doit gérer en priorité la crise migratoire, alors que d’autres membres de l’UE agissent en Syrie par exemple.
Pour cette raison, l’avenir de la défense se trouve au niveau de l’UE. Parce que la force armée n’est qu’un outil dans la trousse politique et diplomatique des sujets de droit international public, cet outil devra tôt ou tard servir l’UE et plus ses Etats Membres.
#17
#18
l’armée n’est effectivement qu’un outil de politique extérieure.
il faudrait donc avoir une politique extérieure commune avant de créer une armée commune.
#19
#20
“Le discours sur l’armement des entreprises à 21 minutes”
“Mince ! Merci de mettre à jour votre navigateur ou d’en essayer un autre.”
Il faut quoi ? Si c’est Flash, je suis désolé mais ça sera sans moi.
C’est l’occasion de râler une fois de plus contre l’éditeur de messages.
Si je mets des retours à la ligne c’est pas pour qu’on me les enlève sans mon accord. " />
#21
#22
J’ajouterais que les entreprises en capacité de “Hack Back” risquent le plus souvent d’être transnationales.
Si elles doivent se tourner vers une agence comme l’ANSSI, il vaut mieux que cette agence couvre les territoires (physiques) des entreprises.
#23
Et il faudrait que l’état et les agences fassent leur taff pour toutes les “petites agressions” et pas seulement pour “les gros hacks qui ont une répercussion économique/pénale importante”.
Le problème c’est que l’état français (comme d’autres) préfèrent taxer et attaquer ses citoyens plutôt que des les protéger contres les “agressions” quotidiennes (irl : incivilitées , comportement dangereux, .., online : pishing, sms & appels surtaxés (super simple à résoudre, mais personne n’a souhaité le faire, certainement pas la dgcrf) , etc…)
Par contre pour imposer son couroux sur bluetoof etc… là il y a du monde.
Et pour limiter le travail des experts en sécurité (si on veut uniquement se défendre sans devoir répondre, il faut pouvoir bien se défendre et etre sur de sa défense), la à nouveau, c’est contre les experts de sécurité que sont faites les lois (insécurité juridique, aucune loi protégeant réellement les lanceurs d’alertes ou la décompilation/reverse engineering,…)
Bref, l’anssi se plaint d’un état de fait alors qu’ils (l’état) ont tout fait pour y arriver…
#24
Savoir que certaines entreprises seraient capables d’assurer leur propre securite sans dependre de l’Etat (qui est reconnu pour son efficacite en la matiere, c’est evident), ca doit empecher Guillaume de dormir…
La verite c’est que l’Etat n’aime pas la concurrence et prefere avoir a garder des petits moutons sans defense, totalement dependants de lui.
De plus, ce n’est pas l’armement (defensif) des entreprises qu’il faut bannir, mais bien celui (offensif) des Etats.
Rappelons que les services de renseignements sont les premiers a garder les failles de securite secretes afin de les exploiter a leur guise et en totale impunite.
Cf. WannaCry, base sur le code de la NSA, qui a paralyse hopitaux, aeroports et des milliers d’entreprises a travers le monde. Quelle consequences en matiere de vies humaines et financiaires ?
Et ce n’est meme pas la NSA qui est venue reparer leurs propres stupidites, mais bien un chercheur du prive. Meme pas le debut d’une excuse de leur part.. C’est lamentable!
Et souvenons-nous de la CIA qui a perdu, pendant des mois, le control de leur arsenal offensif, et n’a pas pense que rendre l’information publique, ou au moins devoiler les failles de securite, pourraient permettre aux entreprises et particuliers de prendre les mesures necessaires pour se proteger…
L’Etat, comme toujours, prefere cacher sa responsabilite, quitte a sacrifier des vies et ressources financiaires au passage. Le tout sans aucune consequence.
Alors qu’une entreprise privee, si elle foire, elle s’attire les foudres de ses clients et victimes impactees et risque son avenir.
Enfin, ce ne sont pas les mafias criminelles qui menacent de s’attaquer au infrastructures vitales de certains pays tous les 4 matins, mais bien les Etat eux-memes.
L’idee de tuer quelques millions de personnes au passage, ne semble visiblement pas trop les gener…
Donc non. Pas de monopole de la violence pour l’Etat Guillaume. On sait a quoi cela mene IRL, pas besoin de ca dans le cyber-espace.
#25
#26
Je sais que le mot “profit” en France c’est caca.
Mais le fait que le but d’une entreprise est de realiser un profit, est une evidence millenaire pour le reste de la planete…
De plus j’ai bien parler d’outils defensifs pour les entreprises. Outils leur permettant de se defendre et/ou de repliquer contre leur agresseur et personne d’autre.
Attaquer d’autres entites pour “defendre leurs interets” (eg. initier une attaque contre l’entreprise X concurrente) est criminel.
Tu noteras que c’est le language des Etats qui a longueur de journee parle de “proteger les interets de la Nation” et utilisent cette foutaise comme justification pour larguer des bombes ici et la.
#27