DIRECTION GÉNÉRALE DE L'ARMEMENT
M. Éric Bruni, chef du service de la
sécurité de défense
et des systèmes
d'information
6 mars 2014
La Direction générale de l'armement assure la protection du secret de la Défense nationale conformément à l'Instruction interministérielle 1300 même si, à l'intérieur des systèmes, il y a des systèmes à protéger selon les préconisations de la CNIL.
Devant la nécessité de protéger les acteurs du secteur de l'armement face au risque numérique, la DGA, qui a la tutelle de l'industrie de l'armement, surveille, informe et forme l'ensemble des industriels travaillant pour l'armement en collaboration avec d'autres entités du ministère de la défense.
Cela concerne la majeure partie des industriels habilitée à traiter du secret de la défense nationale comme certains autres aux activités non classifiées. Se développe aussi, depuis quelques années, la protection du potentiel scientifique et technique de la Nation qui a été élargi à l'ensemble des laboratoires de recherche des universités ou autres, ou des écoles militaires de la défense. S'ajoute à cela le corpus réglementaire lié aux activités d'importance vitale qui résulte des directives nationales de sécurité (DNS).
Un volet très important est la déclinaison des réglementations en interne et chez les industriels avec des éléments décrivant les modalités de mises en oeuvre pour cette protection. Un autre volet majeur est l'habilitation des entités travaillant pour la DGA comprenant un aspect relatif aux contrôles des infrastructures et en particulier les infrastructures informatiques.
Une autre action importante de la DGA porte sur le développement de technologies et, parmi les différents domaines d'interventions techniques, figure la cybersécurité pour laquelle sont développés des moyens de chiffrement en étroite collaboration avec l'ANSSI qui est un des acteurs majeurs du domaine.
En parallèle, un suivi régulier des industriels et des entités internes au ministère de la défense est mis en place au moyen d'inspections régulières réalisées par la DPSD et grâce à des audits de la DGA commandés par exemple auprès de l'ANSSI, pour regarder en détails les réseaux utilisés par les industriels.
L'activité de sensibilisation et de formation est aussi très essentielle car il s'agit d'insuffler une culture de protection, certes plus présente au sein du ministère de la défense que dans d'autres activités de l'État pour combattre des comportements laxistes dans l'utilisation des moyens informatiques. Des séances régulières de sensibilisation permettent de faire prendre conscience du risque.
De plus, quelqu'un qui trouve une clé USB est très tenté de la connecter à son ordinateur pour voir ce qu'il y a dedans, ne serait-ce que pour le restituer à son propriétaire. D'autres peuvent être tentés de recharger leur téléphone portable ou leur smartphone sur leur poste de travail or, le téléphone portable étant un modem qui permet de dialoguer sur Internet, il constitue une voie d'accès pour un virus. Seuls les vieux téléphones ne craignent pas grand-chose.
Le centre de cyberdéfense de la DGA fait très régulièrement la démonstration de ce genre de prise de contrôle à distance d'un smartphone . C'est pour cela que, à la DGA, il est interdit, dès lors que sont évoquées des informations confidentielles, d'apporter des portables ; les téléphones sont laissés à l'extérieur de la salle.
Tous les industriels de l'armement sont concernés à des niveaux différents ; un certain nombre est érigé en opérateurs d'importance vitale, à savoir les plus gros et ceux qui interviennent sur des domaines très particuliers. Il n'y a que quelques opérateurs d'importance vitale mais un bon millier d'entreprises qui traitent du secret de la défense nationale et d'autres acteurs qui sont regardés de moins près puisque l'information qu'ils détiennent est moins critique.
En matière de souveraineté numérique , il y a encore une trentaine d'années, la défense poussait le monde civil en matière de nouvelles technologies. Aujourd'hui, on ne sait plus développer une chaîne totalement souveraine pour fabriquer des ordinateurs ou des réseaux. Quelques équipements sont développés spécialement pour la défense nationale, en particulier le chiffrement , totalement maîtrisé en national, presque étatique et sur lequel on fait reposer les principales architectures.
Les autres équipements sont issus du commerce et l'ANSSI et la DGA peuvent évaluer le risque pris en recourant à ces moyens. Les affaires de « portes de derrière » ou back doors présentes dans les logiciels de certains équipements inquiètent et font réfléchir. La presse a évoqué l'hypothèse que, dans des produits Microsoft , se trouvaient des moyens d'entrer pour la NSA malgré les protections apportées à ces produits. Il existe forcément des relations privilégiées entre un fabricant national, fournisseur de moyens réseaux par exemple et l'État où il se situe.
Si la souveraineté numérique est limitée, le cryptage est un domaine bénéficiant de beaucoup d'effort en France. Il est fondé sur des algorithmes mathématiques réputés sûrs, le temps pour les casser se compte en dizaine d'années, ce qui peut être encore insuffisant quand les informations à protéger doivent l'être sur des durées encore supérieures. Il en va différemment dans un sommet de chefs d'État ou même dans la transmission d'un ordre tactique sur un terrain d'opération.
En ce qui concerne le stockage de données dans des nuages numériques ( cloud ) les seuls éléments externalisés dans le nuage grand public sont des sites de communication institutionnelle dont les informations sont totalement publiques. En revanche, l'information du ministère de la défense, même non classifiée, n'est pas stockée à l'extérieur mais dans l'équivalent un nuage interne.
L'État réfléchit à un certain nombre d'actions pour développer des nuages maîtrisés avec des fournisseurs français . Pour la protection de l'information, il faut mettre en place une infrastructure qui la permette.
La confiance à accorder au stockage dans le nuage public est très limitée pour différentes raisons. Déjà, certaines réglementations étrangères sur la protection des données sont différentes de la législation française et la confidentialité n'est pas assurée . Quant à l'intégrité des données , comment savoir si l'information récupérée n'a pas été perturbée, volontairement ou non ? En termes de disponibilité , de gros doutes sont possibles. Quelques événements de fermeture temporaire de services ont existé chez Google ou chez d'autres. Ces aspects font naître le plus d'inquiétude notamment en cas de conflit.
La protection de l'information, la SSI, s'appuie sur ces trois critères de confidentialité, d'intégrité et de disponibilité. C'est au vu des exigences dans ces trois domaines qu'une stratégie est choisie. En effet, dans certains cas, il ne sert à rien d'avoir des informations très bien protégées si on ne peut y accéder.
La stratégie actuelle de la DGA, et plus globalement du ministère de la défense, est de développer en interne des capacités de stockage délocalisées avec des fermes de serveurs et des baies de stockage au sein du ministère de la défense que chacun peut exploiter pour ses travaux.
Outre le stockage des données, il existe le recours à des fonctions informatiques très évoluées , très intégrées, comme les fameux progiciels de gestion ERP tels que SAP ou autres qui peuvent intégrer, au sein d'une importante base de données, toutes les informations financières ou techniques d'une société alors qu'elles impliquent des exigences de protection variables. Par exemple, si la facturation peut parfois être orientée vers l'extérieur, d'autres activités doivent davantage être sécurisées. Tout cela, dans le seul et même système unifié fourni par un prestataire extérieur, peut conduire à se poser des questions en matière de protection de certaines informations. Quelqu'un qui pénétrerait ce système aurait accès à toute l'information. Certes, ces progiciels mettent en place des chiffrements, toutefois la confiance en ces moyens ne peut être que variable.
L'externalisation et le nuage ne peuvent donc être envisagés qu'avec beaucoup de précautions pour les informations du ministère comme pour celle des industriels mêmes s'ils ont tendance à externaliser davantage.
S'agissant de l'articulation entre les approches prônées par l'ANSSI et la CNIL en matière de moyens de protection, la CNIL propose le même genre de démarche et de solutions que ce qui est développé et évalué avec l'ANSSI qui est le principal interlocuteur de la DGA.
Les moyens de l'ANSSI sont en croissance permanente et forte pour répondre à l'enjeu national. Du côté du ministère de la défense, les effectifs sont aussi en forte croissance dans les domaines technologiques et dans le domaine surveillance.
Une entité du ministère de la défense assure la surveillance et l'intervention sur les réseaux en cas de problème détecté, comme la simple introduction d'une clé USB sur un système qui a été mis sur Internet et qui peut ramener un virus à des cas plus complexes.
La DGA se fonde sur les analyses effectuées par l'ANSSI, sachant que ces analyses sont menées conjointement avec le ministère de la défense dans beaucoup de domaines, notamment pour les nouveaux types de risques qui apparaissent et les nouvelles solutions que l'on peut choisir.
La protection des données des opérateurs d'importance vitale passe d'abord par leur responsabilisation. Le code pénal les rend responsables de la protection de leur information. Il a aussi imposé des précautions et des recommandations.
Ces opérateurs sont régulièrement audités. Au nombre d'une trentaine, ils risquent par leur défaillance de mettre en danger le fonctionnement de l'État. L'effondrement de grands groupes mettrait en danger le fonctionnement de l'État. De même, à l'inverse, des industriels de l'armement qui fournissent de petits sous-ensembles ont un impact bien moindre. Mais l'analyse doit être menée entité par entité, système par système, pour déterminer les points de rupture qui doivent être protégés. La démarche est constante, très souvent menée en coopération avec l'opérateur, dans certains cas avec des moyens de rétorsion de la part de l'État. En cas de nécessité, des remises à niveau des réseaux industriels ou du réseau interne sont opérées. Tout cela repose sur une approche dans la profondeur car il ne s'agit pas d'ériger une barrière à la périphérie du système.
Aujourd'hui, tout le monde est parfaitement au courant des risques numériques. Mais les personnes ont un ressenti différent devant leur ordinateur ou leur téléphone familiers, alors qu'il convient de se poser la question de la sécurité à chaque utilisation . Pour beaucoup de personnes, recharger son téléphone portable ne semble pas constituer un risque alors que cela peut être risqué. Le niveau d'information des acteurs et des industriels en général, de l'individu en particulier est très variable. Certains n'ont aucune connaissance informatique, il est alors très difficile de les sensibiliser. Le guide d'hygiène informatique, édité par l'ANSSI, définit des grandes lignes assez simples pour se protéger .
Quant à l'usage indifférencié des outils privés et des outils professionnels , au ministère de la défense et dans beaucoup d'entreprises, le fait d'apporter ses équipements personnels pour travailler est interdit, de même que tout transfert d'information.
Lorsque l'information circule par Internet, si elle est sensible, elle est chiffrée par des moyens agréés par l'ANSSI et, en l'occurrence, des moyens de chiffrement développés au sein de la DGA.
À la DGA, la nécessaire séparation entre le privé et le professionnel est rappelée très régulièrement.
À l'inverse, il est accepté une certaine utilisation personnelle des moyens professionnels comme le fait de recevoir des courriels privés sur le poste de travail, dans une certaine mesure et avec des restrictions. Il est possible d'aller effectuer des recherches sur Internet mais cela est encadré notamment par un engagement de reconnaissance de responsabilité signé par chaque agent précisant les droits et les limites de celui-ci. Aujourd'hui, interdire totalement ces pratiques ne fonctionnerait que pour quelques personnes peu connectées mais pour les jeunes ce serait illusoire sous peine d'avoir des difficultés à recruter.
À la DGA, la formation numérique constitue une priorité et commence par l'information avec la délimitation du droit de faire ou non. Des séances de sensibilisation régulières sont menées ; chacun en bénéficie tous les trois ans au minimum et, en cas d'erreur commise, de manière plus fréquente afin de lui rappeler les règles de comportement à suivre pour éviter de se voir supprimer son habilitation en raison quelques erreurs et afin de ne pas compromettre son parcours professionnel ultérieur.
Il existe une formation à l'utilisation des outils que l'on déploie, une formation aux techniques de protection de sécurisation ; il s'agit d'un vrai métier correspondant à une formation en commun avec l'ANSSI. Enfin, il y a la sensibilisation et l'information générale de tous les agents de la DGA.
Il peut arriver à la DGA de s'inspirer de solutions de protection promues dans d'autres États , de même que l'ANSSI discute avec ses homologues, ce qui permet d'ailleurs d'être informé d'attaques d'abord détectées par un pays étranger. Cela permet de gagner du temps. Le niveau de coopération technique et opérationnelle est fort mais on n'aura recours à un technicien opérationnel de communication de l'OTAN que pour des communications avec cette organisation.
Le fameux téléphone Teorem chiffré est utilisé au sein de l'administration. Auparavant, il fallait éteindre le téléphone et enlever la batterie. Mais éteindre le téléphone ne sert pas à grand-chose et on ne peut plus enlever la batterie, c'est pour cela qu'il vaut mieux déposer tous les moyens de transmission à l'accueil.
Il existe aujourd'hui des smartphones adaptés pour répondre aux besoins notamment pour y intégrer des moyens de chiffrement. Naturellement, la sécurité n'est assurée que si le téléphone sécurisé ne communique qu'avec un autre téléphone de même type. Mais tout dépend du niveau de protection souhaité. En effet, s'il ne s'agit que d'une information sensible, économique, et non pas de défense, il existe des téléphones du commerce qui possèdent des niveaux de protection raisonnables. Cela permet de se protéger d'un tiers mais non de celui qui a vendu l'équipement.
Le téléphone Teorem ou le réseau Rimbaud sont certes un peu contraignants mais sont utilisés en cas de réel besoin et cela fonctionne plutôt bien, le code étant relativement simple et la communication établie en une minute, ce qui n'est pas excessif pour un professionnel pour pouvoir parler librement ; ce qui est un bénéfice important, surtout s'il s'agit de parler par exemple aux ambassades. Toute autre solution est bien plus contraignante, comme la valise diplomatique, etc.
Il n'est jamais question de sécurisation totale car ce serait faux et dangereux de laisser croire que l'environnement est parfaitement sécurisé d'autant qu'il faut entretenir un certain sentiment d'insécurité, de la vigilance en permanence. De plus, mieux que de se cantonner aux antivirus, il faut procéder à une approche en profondeur avec des barrières à l'entrée des réseaux, des murs ( firewall ) qui filtrent certaines informations avec des antivirus et des moyens de supervision pour constater si quelque chose d'anormal se produit, comme lorsqu'un ordinateur consulte trop souvent un autre ordinateur ou un serveur ; il est alors possible de savoir ce qui se passe. Des outils de chiffrage , des protections , des filtres sont mis en place à différents endroits au vu des besoins pour améliorer le niveau de sécurité jusqu'à un seuil acceptable.
Il est évidemment très difficile de se protéger contre des virus inconnus dont la première apparition est, par définition, inattendue. La comparaison avec le virus, terme de médecine, est illustrative.
Tout le monde est attaqué . Les industriels sont souvent attaqués, davantage pour des raisons économiques que pour des raisons de défense. Le ministère de la défense est attaqué très régulièrement mais possède des moyens de sécurisation adaptés . Il n'y a pas eu de grosses attaques subtilisant de l'information mais plutôt des attaques d'effacements, de perturbations d'un site web pour changer les pages d'accueil. Récemment, des messages djihadistes sont parvenus à être affichés sur le site du ministère de la défense, des virus génériques ont pu être décelés mais il ne s'agit pas d'attaques ciblées. Il y a une équipe permanente de l'État-major des armées qui intervient en cas de problème pour protéger les réseaux du ministère de la défense . Ces moyens sont consommateurs de ressources financières et humaines car il faut parfois réarchitecturer toute l'informatique avec des équipes assez conséquentes chez les industriels et au sein de la DGA.
Le principal axe de coopération rassemble la DGA, la DPSD, l'état-major des armées, l'ANSSI, la plupart des industriels pour rehausser le niveau avec les ressources disponibles.
Le cadre d'intervention de la DGA découle du code pénal qui traite de la protection du potentiel scientifique et technique, de la protection du secret de la Défense nationale, d'un certain nombre d'instructions interministérielles édités par le SGDSN.
Le cadre juridique européen est davantage lié aux aspects relevant de la CNIL. Quant au volet sécurité et défense, il est autonome.
Le fait que les noms de domaine soient attribués par une association américaine de droit privé n'entraîne pas de contraintes ayant des conséquences sur la sécurité informatique. Ce qui est ennuyeux, c'est lorsque les sites sont hébergés chez les industriels, notamment américains
Les recommandations en vue d'améliorer la sécurité numérique se fondent sur des études de la DGA pour améliorer des moyens, des équipements mais, en général, les recommandations découlent davantage de l'expérience dont l'échange de celle-ci entre les divers acteurs.
Il serait souhaitable que les décideurs en matière de sécurité informatique ne soient pas au cinquième niveau hiérarchique mais disposent d'un accès assez direct au patron. La sécurité informatique est très souvent vue comme un coût financier ou une perturbation de l'activité de l'entreprise le temps de reconfigurer les réseaux. Il est important que le responsable informatique ait accès au dirigeant de l'entreprise.
Il existe aussi un volet sensibilisation-formation tout à fait essentiel pour qu'une action de sécurisation soit efficace. La connaissance de ce que l'on veut protéger est importante, il faut donc identifier l'information à protéger. Cela nécessite de connaître ses systèmes, ce qui est ambitieux dans un ministère comptant 330 000 postes de travail et donc un nombre très important de systèmes, de sous-systèmes, de systèmes isolés ; il est nécessaire de les connaître pour bien les protéger. L'approche doit être globale et en profondeur. Une protection d'une partie du système ne peut suffire si le reste ne l'est pas au même niveau . Quant au niveau des ressources nécessaires, il peut sembler problématique.