Derrière ce néologisme contraction de Cyber et d’Armageddon, se cache pour les autorités américaines une réelle menace pour nos sociétés modernes devenues ultra dépendante des systèmes d’information. Le risque selon le FBI : une apocalypse cybernétique conséquence d’une attaque informatique massive sur les infrastructures vitale tel que le transport de l’électricité, de l’eau, le contrôle aérien, les communications mobiles, la sécurité des centrales nucléaires, la bourse, les archives nationales, etc… Les oracles d’Hollywood, spécialistes des scénarios catastrophes, nous ont déjà même donné un aperçu des conséquences de ce type d’attaque : un retour à l’âge de pierre !
Vraie menace ou simple fiction ?
Les Etats-Unis et la Chine ne se posent même plus la question, et cela fait déjà des années qu’ils se préparent à ce type de conflit. Suite aux nombreuses attaques menées par l’armée populaire de libération (APL) chinoise contre les réseaux informatiques gouvernementaux US, la cyber-sécurité est devenue un véritable enjeu stratégique pour l’administration américaine.
Cette mobilisation gouvernementale s’accentue encore, sous l’impulsion du think tank CSIS (Center for Strategic and International Studies) qui appuie ses recommandations en matière de sécurité des réseaux informatiques en dévoilant certaines actions de cyber-guerre menés contre les Etats-Unis. Afin de répondre de manière efficace aux cyber-attaques du « troisième département Zongcan Sanbu » de l’APL, CSIS préconise la création au sein de la maison blanche d’un bureau dédié à la sécurité des infrastructures réseaux critiques, le National Office of Cybersecurity.
En France après le livre blanc, la DCSSI passe à l’action
Le livre blanc sur la défense et la sécurité nationale semble traduire une véritable prise de conscience des plus hautes autorités françaises. La protection des réseaux informatiques devient désormais un enjeu important de sécurité nationale :
« Face à une menace croissante d’origine étatique ou non étatique, la France doit se doter à court terme d’une capacité réactive de défense de ses systèmes d’information. Seront développés, à cette fin, nos moyens de détection précoce des attaques informatiques en mettant sur pied un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés ».
A l’instar du National Office of Cybersecurity, le livre blanc préconise ainsi la création d’une nouvelle agence responsable de la sécurité informatique sous tutelle du SGDSN et relevant du premier ministre. Tout juste adoptée, cette nouvelle posture de l’Etat français fut présentée à plus de 500 RSSI (Responsable de la sécurité des systèmes d’information) lors des assisses de la sécurité 2008 à Monaco par Mr. Pailloux, directeur de la DCSSI.
La DCSSI est donc au cœur de la nouvelle stratégie française pour la sécurité des systèmes d’information. Une équipe de 110 personnes qui aura pour missions : la labellisation des produits de sécurité, la collaboration avec les états membre de l’Union Européenne, la certification des infrastructures réseaux, la création d’un pole de compétence, du consulting, du développement de produits… En attendant, la DCSSI à déjà mis en place un site internet qui lui permet de remplir sa mission de communication.
Simple effet d’annonce ?
Face aux risques encourus et à la puissance de frappe de dizaine de milliers de hackers chinois, il apparaît de manière évidente que la DCSSI est bien dépourvue, et cela malgré toute la bonne volonté qu’elle peut déployer.
Ce qui est surprenant et inquiétant, c’est que malgré la prise de conscience de l’Etat français sur l’étendue des risques encourus, nous voyons ressurgir les mêmes solutions misérabilistes de protection des systèmes d’information. Le problème c’est l’utilisateur !! L’utilisateur qui ne change pas ses mots de passe, qui ne met pas à jour son antivirus, qui perd sa clef USB, etc… Nous sommes toujours devant cette vision réductrice des enjeux qui préconise de régler le problème de la sécurité des systèmes d’information que par des règles normatives d’organisation !!
Et le contenu du portail de la sécurité informatique ainsi que le livre bleu édité suite aux assises sur la sécurité informatique ne font que renforcer ce sentiment.
Que peut réellement faire l’Etat français ?
En écoutant les principaux intéressés, que sont les RSSI nous pouvons déjà déterminer quelques pistes. Pour commencer, il devrait être évident que la sécurité des systèmes d’information à un coût et que les moyens mis à disposition doivent être relatifs aux risques encourus. Aujourd’hui, il est avéré que les risques sont importants pour une entreprise. Une attaque massive contre son système d’information qui détruirait ses archives et qui empêcherait toutes communications de manière durable peut tout simplement la mener à sa perte.
Par manque de sensibilisation et à cause d’arbitrage qui semble plus stratégique, les dirigeants d’entreprises ne consacrent que de trop modestes budgets pour la sécurité informatique. Cette situation se retrouve également dans le monde de la recherche ou par manque de protection nombreux chercheurs se font littéralement pillés leurs travaux.
L’Etat à donc un rôle central à jouer dans la sensibilisation des principaux décideurs aux problématiques de la sécurité informatique. Plus encore, il doit les inciter à investir de manière plus importante dans les infrastructures de sécurité informatique.
Mais face à des menaces inconnues, sensibiliser, définir des politiques de sécurité, établir des cadres normatifs, et émettre des alertes ne répond qu’à une petite partie des enjeux, celle d’une prévention n’ayant pour objectif que de limiter les dégâts.
Le véritable défi de la sécurité informatique : le partenariat public – privé
La question se pose comment peut-on se protéger d’une attaque encore inconnue qui peut potentiellement réduire à néant toutes nos infrastructures de communication ?
L’expérience acquise dans la sécurité sanitaire nous apprend qu’il faut d’une part mettre un dispositif de surveillance et de détection des attaques vectoriels, mais que surtout, il faut avoir la capacité de les analyser, d’en trouver l’origine et de les combattre avec un niveau de réactivité très élevé.
Pour mettre en place un tel dispositif, finie l’image du jeune hacker boutonneux aussi appelé « geek », le gouvernement doit mettre en place un véritable réseau d’experts de la sécurité informatique, promouvoir la recherche et le développement et favoriser l’émergence d’entreprises d’envergure mondiale ou du moins européenne, seuls acteurs capables de répondre à une problématique aujourd’hui globale.
Malgré les annonces cela semble encore inaccessible. La mise en place d’un système de supervision de toutes les infrastructures réseaux vitale du pays afin de détecter les attaques demandent dans l’investissement et le traitement des informations un véritable effort national. De plus, le marché de la sécurité informatique est dominé par des acteurs majoritairement américains, ce qui ne laisse que peu de partenaire potentiel à associer à une vraie stratégie offensive.
NF