COMPTE RENDU DE L'AUDITION PUBLIQUE DU 26 JUIN 2014 : SÉCURITÉ NUMÉRIQUE DES OPÉRATEURS D'IMPORTANCE VITALE (OIV)
SOMMAIRE
INTRODUCTION |
M. Bruno Sido , sénateur, président de l'OPECST Mme Anne-Yvonne Le Dain , députée, vice-présidente de l'OPECST |
Table ronde de la matinée |
M. Ahmed Bennour , directeur des systèmes d'information, Areva |
M. Lionel Darasse , chef du service de protection des activités classées et des informations (SPACI), direction centrale de la sécurité, Commissariat à l'énergie atomique et aux énergies alternatives (CEA) |
M. Jean-Jacques Tourre , responsable sécurité des systèmes d'information, Total |
Mme Pascale Bernal , directeur du système d'information, Gaz réseau distribution France (GrDF) |
M. Alexandre Archambault , responsable des affaires réglementaires, en charge des obligations légales, Free |
M. Christian Daviot , chargé de la stratégie auprès du directeur général, Agence nationale de la sécurité des systèmes d'information (ANSSI) |
Table ronde de l'après-midi |
M. Stanislas de Maupeou , directeur du secteur conseil en sécurité et évaluation, Thales |
M. Lionel Gervais , directeur de la stratégie, Airbus Defence & Space - CyberSecurity |
M. Thierry Floriani , responsable de la sécurité des systèmes d'information, Numergy |
M. Cédric Prévost , directeur sécurité, qualité et programmes, Cloudwatt |
M. Laurent Heslault , directeur des stratégies de sécurité, Symantec en France |
M. Jean-Luc Beylat , président du Pôle Systematic Paris-Région |
Mme Agnieszka Bruyère , directrice de services de sécurité, IBM France |
M. Luc Renouil , directeur du développement et de la communication, Bertin Technologies , vice-président de l'association Hexatrust d'éditeurs français de la confiance numérique |
M. Bernard Ourghanlian , directeur technique et sécurité, Microsoft France |
Table ronde de l'après-midi (suite) |
M. Badi Ibrahim, directeur des opérations, P1 Security |
M. Stéphane Lenco , membre du bureau, Groupement interprofessionnel pour les techniques de sécurité des informations sensibles (GITSIS) |
M. Jean-Marc Grémy , vice-président du Club de la sécurité de l'information français (CLUSIF) |
M. Christian Daviot , chargé de la stratégie auprès du directeur général, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) |
AUDITION SOUS FORME DE TABLE RONDE SUR LE RISQUE
NUMÉRIQUE
(SÉCURITÉ DES RÉSEAUX INFORMATIQUES,
STOCKAGE DES DONNÉES PERSONNELLES OU INDUSTRIELLES ET LEUR
EXPLOITATION)
Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'OPECST . - M. Bruno Sido, sénateur et président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques (OPECST) et moi-même, députée et vice-présidente de ce même office, vous remercions de votre présence.
Le rapport relatif au risque numérique, dont nous sommes rapporteurs, est issu d'une saisine de la Commission des affaires économiques du Sénat. Nous vous recevons dans le cadre d'une table ronde, dont le compte rendu ne sera rendu public qu'avec votre accord. En effet, nous souhaitons aborder les enjeux de la sécurité des réseaux informatiques, du stockage et de l'exploitation des données, et des risques et des opportunités du numérique. Notre attention se tourne prioritairement, à titre d'illustration, vers les opérateurs d'importance vitale (OIV) et vers les entreprises des secteurs des télécommunications et de l'énergie.
Avant l'affaire Snowden, il était rare de parler publiquement de la sécurité numérique qui demeurait l'apanage de la presse spécialisée et de cercles restreints. Depuis cet événement, une inquiétude a émergé, à laquelle le Parlement doit répondre tout en notant que, au-delà des risques sécuritaires et économiques, le numérique est également porteur d'opportunités qui doivent être saisies.
Dans une économie immatérielle et concurrentielle, le numérique, qu'il soit perçu comme un atout ou une contrainte, est devenu une réalité incontournable. Contrairement à ce que l'on pouvait croire dans les années 1990, le XXI e siècle ne sera pas le siècle des sciences du vivant mais celui des sciences de la matière. Le numérique a donné naissance à une économie caractérisée par l'interconnexion, l'instantanéité et l'incertitude. Plus globalement, il a conduit à une reconfiguration de toutes les catégories : l'individu, les corps intermédiaires et la nation. Rien n'est stable, hormis notre personne physique. Les opérateurs d'importance vitale (OIV) sont essentiels à notre pays sur un plan économique, diplomatique et militaire. Ils fabriquent de la valeur ajoutée à partir du virtuel qui vient améliorer l'économie et le monde réel.
La sécurité numérique nécessite du temps ainsi que du personnel formé, du matériel fiable et une architecture adaptée. Elle concerne non seulement les OIV, mais aussi leurs sous-traitants et leurs clients. Ainsi intéresse-t-elle également les petites et les moyennes entreprises (PME), les très petites entreprises (TPE), les réseaux et les individus.
Nous avons réalisé à ce jour près de quatre-vingts auditions, ainsi que des visites de terrain à Paris et en région. La présente table ronde marque le terme de cette phase de travail préliminaire. Nous procédons ce matin à l'audition d'OIV des secteurs des télécommunications et de l'énergie, et, cet après-midi, à celle d'entreprises proposant des solutions de sécurité numérique.
Je vous remercie une nouvelle fois de votre participation et donne la parole à M. Ahmed Bennour, directeur des systèmes d'information d' Areva .
M. Ahmed Bennour, directeur des systèmes d'information, Areva . - Je vous remercie, madame la vice-présidente.
Je souhaiterais tout d'abord vous présenter les moyens dont nous disposons afin d'assurer notre sécurité numérique. Le premier d'entre eux est la prévention qui s'exerce lors de la formation de notre personnel, de l'élaboration de nos processus et du choix de nos technologies. Nous devons toutefois garder à l'esprit que, compte tenu de l'essor et de l'évolution des risques, nul moyen de prévention n'est infaillible et nul système d'information n'est inattaquable . Afin de pallier ces difficultés, il existe des outils de lutte défensive qui consistent en un système de détection, d'analyse et de réaction face aux agressions.
Comme toute entreprise sensible, Areva fait face à des tentatives d'attaque permanentes . Il existera toujours une dissymétrie de moyens entre la cible et l'auteur de l'attaque, notamment en cas d'agression par une officine paraétatique. Sur ce point, je vous rappelle que la presse indique que les cyberattaquants chinois disposent de moyens dignes de ceux d'une armée. Même lorsque l'intrusion est le fait d'organisations moins sophistiquées, ces dernières peuvent mobiliser des réseaux et des techniques de cyberguérilla. Dans ce contexte, nous avons besoin de moyens étatiques, comme ceux de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Je témoigne du fait qu' il nous serait difficile d'assurer la sécurité de notre système d'information sans le soutien de l'ANSSI .
Je voudrais souligner que le secteur du numérique est en évolution permanente, ce qui nous oblige à constamment nous adapter. À titre d'illustration, les envois de spams ont augmenté et se sont perfectionnés, rendant leur détection d'autant plus difficile. Il nous faut trouver un équilibre entre les risques que nous pouvons accepter et les moyens que nous souhaitons mobiliser. Il n'est pas possible de protéger de manière identique tout le système d'information d'une entreprise. Il faut donc être capable d' identifier ce qui est vital pour l'entreprise , son fonctionnement, son patrimoine immatériel, sa compétitivité. Par exemple, les moyens techniques du système d'information doivent être impérativement protégés.
En somme, il s'agit d'abandonner l'illusion d'une sécurité absolue, de s'adapter face à des menaces évolutives et d'identifier un « coffre-fort », c'est-à-dire les données, les techniques et les activités les plus importantes, afin de leur allouer l'essentiel des moyens de protection.
L'origine des technologies pose des questions de souveraineté et de confiance. L'écosystème numérique français n'a actuellement pas la taille critique pour développer certaines technologies. Des entreprises étrangères, comme Microsoft , Oracle ou SAP , ont acquis une place prépondérante sur le marché. Il convient d'identifier les technologies importantes pour la sécurité numérique des entreprises et de la nation, telles que les Public Key Infrastructures ( PKI ) - qui sont des systèmes d'authentification ou de chiffrement -, afin d'investir dans les offres les plus fiables et d'encourager leur production en France.
Ce travail de hiérarchisation des systèmes et des technologies d'information en fonction des risques est également valable s'agissant des données.
En ce qui concerne le cloud computing , nous lui accordons une confiance limitée dans la mesure où la géolocalisation des données et le degré d'application des mesures d'hygiène informatique ne sont pas garantis. Il est difficile de s'assurer que le prestataire, soumis à des objectifs de rentabilité financière, soit en capacité d'appliquer les mesures de sécurité requises. En outre, il existe un problème de réversibilité : une fois les données mises dans le nuage, existe-il des moyens suffisamment robustes pour les récupérer ?
J'insiste sur le fait que l'accompagnement de l'ANSSI est capital, étant donné la dissymétrie des moyens et la complexité des enjeux. La Commission nationale de l'informatique et des libertés (CNIL) joue également un rôle, davantage axé sur la protection des données personnelles.
S'agissant de la sous-traitance , les contrats peuvent prévoir des engagements, un accompagnement et un contrôle en matière de sécurité . La composante humaine demeurant fondamentale, nos collaborateurs doivent être formés à ces problématiques afin d'utiliser le système d'information de manière sécurisée. Sur ce point, je constate que l'affaire Snowden, dont on parle tant, est révélatrice d'un problème, non technologique mais humain.
Mme Anne-Yvonne Le Dain . - Utilisez-vous un téléphone portable sécurisé ?
M. Ahmed Bennour . - Encore un fois, il s'agit de mettre en balance les données devant être protégées avec les moyens pouvant être utilisés. Mon téléphone portable comprend un dispositif de sécurité permettant l' isolement des messages professionnels dans un container . Les messages électroniques chiffrés ne sont lisibles que sur mon PC à l'aide d'une carte à puce.
M. Alexandre Archambault, responsable des affaires réglementaires, en charge des obligations légales, Free . - Un exemple de téléphone sécurisé est Teorem de Thales . Il faut promouvoir la défense en profondeur et l'hygiène informatique auprès des utilisateurs de téléphones standards pour qu'ils les utilisent à bon escient. Les informations sensibles doivent, quant à elles, transiter par des canaux particuliers.
M. Christian Daviot, chargé de la stratégie auprès du directeur général, Agence nationale de la sécurité des systèmes d'information (ANSSI). - Le président de la République et le ministre en charge de la défense utilisent un téléphone sécurisé pour leurs conversations relevant du secret de la défense nationale. Ce terminal n'est pas ergonomique. Il ne disposait initialement pas d'une fonction Short Message Service ( SMS ). Il ne fonctionne toujours pas dans les pays où les communications sont chiffrées. Le pouvoir exécutif dispose donc de téléphones, certes sécurisés, mais peu ergonomiques.
L'ANSSI a développé le téléphone sécurisé Secdroid.
Nous avons eu recours à des solutions commerciales, dans un souci d'ergonomie. Ces solutions n'ont pas un niveau de fiabilité suffisant car elles offrent peu de résistance aux attaques testées par nos ingénieurs.
M. Ahmed Bennour . - Comme je le dis souvent à notre direction générale et à nos collaborateurs, la sécurité représente des coûts et des contraintes qui doivent être mis en regard des risques en présence.
Des interrogations subsistent quant aux logiciels antivirus . Je les considère comme un moyen, non de protection mais de prévention. Ils ne sont pas totalement fiables car ils reposent sur une identification des failles qui varie dans le temps et selon les fabricants. Il est donc nécessaire d' utiliser plusieurs antivirus , aux différents niveaux du système d'information.
Pour en revenir aux tentatives d'attaque , celles-ci sont quotidiennes pour une entreprise comme Areva . Nous avons adapté notre organisation en conséquence : à travers un centre opérationnel de sécurité et un système de collecte, d'analyse, d'identification, d'alerte et de réaction.
Nous avons également défini une politique de sécurité moderne . Émanant du président du groupe et impliquant toutes les directions, elle accorde une place centrale à la cybersécurité . Chaque direction a un rôle à jouer : la direction des ressources humaines s'assure de la restitution du matériel et des accès informatiques par le personnel sortant tandis que la direction juridique élabore les clauses contractuelles relatives à la sécurité numérique et que la direction des achats veille au respect des règles de sécurité auprès des fournisseurs. L'implication de toutes les parties prenantes permet une meilleure acceptation des coûts et des contraintes liés à la sécurité numérique.
Mme Anne-Yvonne Le Dain . - À partir de quand avez-vous mis en place la politique de sécurité dont vous parlez ?
M. Ahmed Bennour . - Nous avons actualisé notre politique de sécurité il y a deux ans.
Je souhaiterais vous faire part d'interrogations d'ordre juridique sur la sécurité numérique. La protection des systèmes d'information ne doit pas se muer en une surveillance du personnel. Nous nous gardons bien de prendre connaissance d'informations personnelles auxquelles nous pourrions pourtant avoir accès, tels que les courriers électroniques. Il faut être très rigoureux sur ce point : un cadre légal et des considérations éthiques s'imposent. Cela est d'autant plus important que la sécurité du système d'information repose sur la confiance des utilisateurs. Si le personnel n'a plus confiance dans la messagerie professionnelle, alors il utilisera une messagerie personnelle, ce qui nuira in fine à la sécurité du système d'information.
Les produits que nous achetons posent également question dans la mesure où ils peuvent contenir des portes dérobées ou backdoors . Aussi est-il préférable de recourir à des entreprises françaises pour la fourniture des éléments les plus importants du système d'information.
S'agissant de l'attribution des noms de domaine , qui est réalisée par une société américaine, elle me semble avoir le mérite de la transparence et ne pose pas de difficulté en termes de sécurité .
Je voudrais enfin évoquer un axe d'amélioration de la sécurité numérique. Selon moi, il est essentiel d'inclure la gouvernance et l'organisation de l'entreprise dans le champ de la politique de sécurité numérique. L'approche a changé : il ne s'agit plus de se conformer à des normes mais d'évaluer les risques acceptables et les moyens mobilisables.
Mme Anne-Yvonne Le Dain . - Je vous remercie de votre intervention. Je passe la parole à M. Lionel Darasse, du Commissariat à l'énergie atomique et aux énergies alternatives (CEA).
M. Lionel Darasse, chef du service de protection des activités classées et des informations (SPACI), direction centrale de la sécurité, Commissariat à l'énergie atomique et aux énergies alternatives (CEA) . - Je vous remercie, madame la vice-présidente.
Je souhaiterais présenter successivement les activités, le système d'information et la politique de sécurité numérique du CEA.
Le CEA est un établissement public à caractère industriel et commercial, qui regroupe dix établissements et 16 000 salariés. La diversité de nos activités a une incidence sur notre système d'information et nous soumet à des obligations réglementaires particulièrement denses. Aussi doit-on répondre aux besoins exprimés par nos unités de recherche fondamentale, de recherche appliquée, d'exploitation d'instruments de recherche et d'installations nucléaires, et de fourniture d'éléments de la dissuasion nucléaire.
Le CEA est un opérateur d'importance vitale (OIV) à plusieurs titres. Il participe à la protection du potentiel scientifique et technique de la nation ainsi qu'à la protection du secret de la défense nationale. Il respecte des règles d'exploitation qui visent à garantir l'intégrité des données, telles que celles afférentes à la protection et au contrôle des matières et des sites nucléaires et la disponibilité des outils de suivi. Cette situation nous astreint à maintenir un système d'information fiable, disponible et intègre.
Le CEA est également un déposant important de brevets, ce qui nous oblige à accorder une attention particulière à la propriété intellectuelle. Nous protégeons les résultats des recherches et développons une stratégie partenariale d'industrialisation.
Des notes d'instructions générales, validées par l'administrateur général du CEA, donnent des instructions dans un certain nombre de domaines, comme par exemple, la publication et la gestion des communications externes.
Le contexte précisé, je voudrais maintenant présenter le système d'information du CEA, principalement pour sa partie « civile », la direction des applications militaires (DAM) doit être traitée à part car elle fait l'objet de mesures de sécurité renforcées.
Concernant le BYOD et le recours à des solutions externalisées, puisque ce sujet vient d'être abordé dans l'intervention précédente, rappelons que, si les outils informatiques d'entreprise fournis au personnel sont moins performants que ceux proposés au grand public, ils auront tendance à ne pas être utilisés et nous verrons apparaître des pratiques de contournement, non maîtrisées et potentiellement dangereuses pour la sécurité. Il faut donc veiller à offrir des services informatiques sécurisés, de confiance et de qualité de service équivalent à ceux accessibles à l'extérieur de l'entreprise .
Mme Anne-Yvonne Le Dain . - MM. Ahmed Bennour et Lionel Darasse, vous venez tous deux d'indiquer qu'il vous faut proposer au personnel une offre équivalente à celle du marché afin qu'il n'ait pas recours à des outils extérieurs, et donc non sécurisés. Ne devriez-vous pas, à votre tour, déposer des brevets et proposer des formations en la matière ?
M. Lionel Darasse . - Je crois que l'offre externe disponible sur le marché sera toujours légèrement supérieure à celle développée en interne car nos solutions, sécurisées, sont issues d'un compromis entre l'efficacité technique et l'acceptabilité sociale. Les règles de sécurité numérique doivent donc être raisonnablement adaptées et suffisamment ergonomiques pour qu'elles n'excèdent pas le niveau qui est toléré par le personnel et qui est observé dans des organismes comparables.
Ces considérations ne s'appliquent pas à nos activités relevant du secret de la défense nationale pour lesquelles le compromis n'existe pas, seul le résultat compte.
M. Ahmed Bennour . - Nous assistons à un phénomène de « consumérisation » de l'informatique. Autrefois, la technologie allait de l'entreprise au domicile privé. Les ordinateurs ont été conçus pour un usage professionnel, avant d'être affectés à un usage personnel. Aujourd'hui, la technologie va du domicile privé à l'entreprise. Les smartphones et les tablettes ont été créés pour la sphère privée avant d'être introduits dans le milieu professionnel.
Les entreprises ne peuvent pas, pour des raisons de sécurité et de coût, introduire en leur sein toutes les technologies disponibles. Les nouvelles technologies doivent avoir un degré de maturité suffisant. La flotte de terminaux mobiles d'une entreprise ne saurait être remplacée au rythme de la commercialisation d'un nouvel iPhone tous les six mois. En outre, les nouvelles technologies ne doivent pas avoir un coût excessif. Une tablette étant aussi chère qu'un ordinateur, est-il possible et souhaitable de doubler le coût du parc informatique d'une entreprise ? Une contrainte de sécurité nécessite enfin d'observer un temps d'analyse et d'information avant d'intégrer les technologies à l'organisation et au fonctionnement de l'entreprise.
M. Lionel Darasse . - Pour en revenir au système d'information du CEA, celui-ci englobe des composantes scientifique, bureautique et industrielle.
Le CEA utilise Internet depuis 1993. Notre dotation informatique et notre degré d'exposition aux risques sont importants.
Le système d'information du CEA comprend : 20 000 postes, 30 000 comptes, deux artères Internet avec un débit de 10 Gigabits, 5 000 utilisateurs d'outils informatiques dits nomades et 300 serveurs affectés aux collaborations scientifiques en ligne. Notre principal système d'exploitation est Windows , devant Linux et Macintosh .
Notre activité est localisée exclusivement en France. Autrefois organisé autour de dix établissements seulement, le CEA a également développé des antennes de recherche mixte ou de représentation régionale. Il nous a donc fallu développer notre réseau et notre offre numériques.
Outre la sécurité numérique, nous sommes également attentifs à la sécurité physique. Nos locaux reçoivent une habilitation avant d'accueillir des installations numériques , ce qui apporte davantage de fiabilité et de traçabilité face aux effractions et aux vols.
Le CEA a une position claire sur le cloud computing et l'infogérance. Nous n'utilisons pas le cloud computing car nous souhaitons conserver la maîtrise de notre système d'information. Nous recourons à l'infogérance mais nous hébergeons les sous-traitants dans nos locaux.
Mme Anne-Yvonne Le Dain . - Est-ce à dire que vos sous-traitants utilisent votre réseau de fibre optique ?
M. Lionel Darasse . - Tout à fait. Nos sous-traitants sont hébergés sur notre réseau ; ils y disposent de profils gérés par nous et d'outils importés par eux mais supervisé par le CEA.
Quant à notre utilisation d'Internet , je constate que celle-ci est peu liberticide . Sans doute faut-il y voir une explication historique et intrinsèque aux activités de recherche qui nécessitent un usage large d'Internet. Aussi notre politique de sécurité est-elle plutôt orientée vers des mesures relatives à l'organisation du travail, à l'utilisation des équipements, à la sécurité des produits, à la formation des utilisateurs et à une importante activité de supervision des réseaux.
Dans les années 2000, le CEA a créé un laboratoire de sécurité des systèmes d'information , placé auprès de la direction centrale de la sécurité . Il s'agit là d'une organisation singulière car la plupart des entreprises disposent d'un service de sécurité rattaché à une direction en charge de l'informatique. L'organisation retenue par le CEA offre à mes équipes une grande liberté d'action. Au sein de commissions de gouvernance, généralement présidées par l'administrateur général adjoint, la direction centrale de la sécurité et le laboratoire de sécurité des systèmes d'information évaluent, sur le plan de la sécurité, l'ensemble des besoins en informatique exprimés par le personnel. Ce système, dont le fonctionnement est satisfaisant, permet de garantir notre indépendance de jugement et d'appréhender le sujet au plus haut niveau hiérarchique de l'organisme. On assiste ainsi à une appropriation du sujet et de ces enjeux à tous les niveaux de l'entreprise, dès le début des projets. L'équipe que j'anime a d'autres missions : l'analyse des risques numériques, la formation et l'animation du réseau fonctionnel, l'évaluation de produits de sécurité et la supervision des réseaux et parfois la réalisation de tests de contrôle . Nous conduisons en effet des tests d'intrusion du réseau afin de s'assurer du maintien dans le temps des règles de sécurité.
Le CEA a mis en place une charte d'utilisation des moyens informatiques et des services Internet , signée par son administrateur général. L'usage personnel des moyens informatiques est toléré dans la limite d'un usage raisonnable et dans la mesure où l'activité professionnelle ne s'en trouve aucunement affectée et où celui-ci n'est pas susceptible de porter atteinte à la sécurité des systèmes d'information, aux intérêts ou à l'image du CEA Cependant, est présumée avoir un caractère professionnel toute information traitée par les moyens informatiques du CEA . Cela signifie que nous avons toute latitude pour intervenir sur une machine, un serveur ou un compte d'utilisateur pour un motif de sécurité. Les données que nous collectons visent seulement à vérifier l'existence ou non d'un détriment, d'une attaque caractérisée, d'une intrusion volontaire ou d'une utilisation détournée du système. En matière de téléphonie , le CEA fournit des téléphones et des abonnements professionnels qui peuvent donc être désactivés en cas de difficulté .
Parmi les politiques de sécurité que nous avons mises en place, la plus importante est celle relative aux réseaux . Elle permet aux exploitants des systèmes d'information d'apprécier, au moyen d'un questionnaire pédagogique, le degré de sensibilité de leurs données pour que celles-ci soient stockées de manière appropriée sur notre réseau.
En ce qui concerne les technologies dites nomades , nous disposons de plusieurs outils de sécurité : les ordinateurs portables sont sécurisés au moyen de deux systèmes de chiffrement - antivol et data ; les smartphones portables disposent d'un code d'accès et ne permettent pas d'afficher les contenus chiffrés de la messagerie CEA . Quelques hautes personnalités du CEA ont exprimé le souhait de disposer de téléphones sécurisés (étude en cours).
Mme Anne-Yvonne Le Dain . - Je vous remercie de votre exposé. Je passe la parole à M. Jean-Jacques Tourre.
M. Jean-Jacques Tourre, responsable de la sécurité des systèmes d'information, Total . - Je vous remercie, madame la vice-présidente.
Présent dans cent trente pays, le groupe Total emploie 100 000 personnes, ayant, par ailleurs, une forte mobilité. Si notre groupe est un opérateur d'importance vitale, il n'est pas soumis pour autant aux obligations « secret défense » ou « confidentiel défense ». La sécurité numérique est un enjeu important pour le groupe Total et sa direction générale.
Nous avons assisté à une évolution notable des menaces ces dix dernières années. Au début des années 2000, nous étions vulnérables aux infections virales généralisées, comme I love you ou Nimda . Au milieu des années 2000, la situation s'est stabilisée. Depuis lors, nous constatons un net avantage aux attaquants, notamment en termes de moyens.
Depuis 2012, soit bien avant l'affaire Snowden, plusieurs éléments ont contribué à une prise de conscience au sein du groupe Total . Nous avons tout d'abord élaboré une cartographie des risques numériques , qui a clarifié lesdits risques liées à la sécurité, aux projets ou à la sous-traitance. Nous avons également participé à un benchmark sur la sécurité des systèmes d'information des compagnies pétrolières qui a mis en lumière une situation plus contrastée que nous le pensions. Enfin, en 2012, les attaques dont ont été victimes les compagnies Saudi Aramco et Rasgas (association de Qatar Petroleum et ExxonMobil ), dans le golfe Arabo-Persique, ont été déterminantes. Saudi Aramco , avec qui nous entretenons des relations de haut niveau, a perdu les deux tiers de ses postes informatiques. Rasgas , qui, comme nous, exploite une usine de gaz naturel liquéfié au Qatar, a fait l'objet d'une agression concomitante.
Dans ce contexte, nous avons élaboré et présenté au comité exécutif du groupe un plan pour améliorer la sécurité de notre système d'information. Il a donné à la sécurité une visibilité ainsi que des moyens, sur la période 2013-2016.
Les affaires Snowden et Target sont venues, par la suite, confirmer la nécessité de notre démarche.
Mme Anne-Yvonne Le Dain . - La multiplication des incidents informatiques et leur divulgation au grand public représentent-elles une opportunité de prise de conscience ou un risque de banalisation ?
M. Jean-Jacques Tourre . - Je pense que les incidents informatiques seront de plus en plus connus du grand public ; et, ce, d'autant plus que certaines dispositions juridiques, y compris européennes, obligent à rendre compte de la perte de données personnelles.
J'observe une prise de conscience des entreprises et des particuliers. Il y a encore cinq ans, la cybersécurité n'était pas à l'ordre du jour politique et parlementaire. Les cas de fraude aux moyens de paiement en ligne ont joué un rôle de révélateur auprès du grand public.
M. Ahmed Bennour . - Les médias, qui sensibilisaient hier les individus aux risques, participent aujourd'hui à une banalisation des enjeux.
La communication est un outil important pour l'entreprise confrontée à une attaque. Celle-ci doit se garder de signifier à l'agresseur qu'elle l'a détecté. L'agresseur ayant tiré profit d'un effet de surprise lors de l'attaque, l'entreprise a le droit d'en faire usage à son avantage au cours de la riposte.
La réputation des entreprises présentes sur les marchés internationaux peut également être mise à mal par la survenue d'incidents à répétition.
Il conviendrait davantage d'aborder l'enjeu de la communication sous l'angle du « besoin d'en connaître » plutôt que de la transparence. Si je trouve justifié de notifier les attaques à l'ANSSI, je ne saisis pas l'intérêt de leur divulgation au grand public.
M. Lionel Darasse . - Je souhaiterais ajouter une remarque sur la banalisation des incidents. Je crois que ce phénomène est dû au fait que chacun diffuse des informations personnelles sans nécessairement s'en rendre compte . S'agissant des données ne pouvant faire l'objet d'aucune attaque , nous élaborons des partenariats avec l'ANSSI et des filières industrielles françaises pour maintenir le plus haut degré de sécurité.
Le partage des indices d'intrusion , même s'il est éminemment difficile, permettrait à chacun de s'assurer de l'efficacité de sa politique de sécurité. Il importe de trouver un équilibre entre la confidentialité et l'échange des informations afin de nous permettre de répondre rapidement aux alertes. Sur ce point, dont nous discutons avec l'ANSSI, une marge de progression existe.
M. Christian Daviot . - Il existe deux filières complémentaires : celle de la CNIL, qui prévoit une obligation de divulgation en cas de contrefaçon de données personnelles, et celle de l'ANSSI, qui privilégie la confidentialité des informations.
Sur la centaine d'attaques de grande ampleur ayant visé des entreprises ou des administrations françaises en trois ans, seules deux ou trois ont été rendues publiques.
L'article 22 de la loi de programmation militaire confirme le principe de confidentialité des informations privilégiant ainsi l'approche de l'ANSSI sur celle de la CNIL.
M. Jean-Jacques Tourre . - S'agissant du plan de sécurité des systèmes d'information du groupe Total , sa première partie concerne les infrastructures. Nous avons considéré qu'il était essentiel de définir une feuille de route afin de fixer des priorités et de sélectionner les offres. Compte tenu de l'évolution rapide des menaces et des technologies, ce plan pourra être actualisé annuellement.
Je voudrais insister sur un point. Nous avons évoqué les outils de prévention tels que les logiciels antivirus. Je constate que l'on assiste au passage d'une logique de prévention à une logique de détection et de réaction . Ce qui importe est de détecter et de répondre rapidement aux intrusions.
Je souhaiterais revenir sur la cyberintelligence , c'est-à-dire le partage d'informations dans le domaine de la sécurité informatique. Il est important de mettre en place des systèmes d'échange . Le centre opérationnel de sécurité que nous avons instauré au sein du groupe Total , a révélé l'importance du partage des données. Une information, transmise par l'ANSSI ou par une autre société, peut nous permettre de détecter plus efficacement les attaques.
Mme Anne-Yvonne Le Dain . - Diriez-vous ainsi que davantage de solidarité est nécessaire entre les entreprises ?
M. Jean-Jacques Tourre . - J'ignore si le terme de solidarité est le plus approprié mais je crois à l'utilité d'une structure telle que l'ANSSI, assurant la collecte et le partage des informations, dans le respect du principe de confidentialité. La loi de programmation militaire va en ce sens. L'existence d'un tiers facilite grandement les échanges et n'empêche pas les relations bilatérales entre sociétés.
Je voudrais évoquer l'enjeu crucial de la souveraineté numérique . S'il est illusoire de penser qu'un système informatique puisse être entièrement souverain, il demeure pertinent de disposer d'entreprises françaises assez importantes pour assurer la conception de certains équipements stratégiques, comme les systèmes de gestion des clés publiques ou Public Key Infrastructures (PKI) .
Notre plan de sécurité comprend un deuxième volet spécifique au système d'information industriel. Nous avons participé à l'élaboration d'un guide édité par l'ANSSI à ce sujet. Cet enjeu est primordial puisque les systèmes d'information industriels sont plus ouverts qu'auparavant. En outre, il est plus difficile d'assurer la sécurité du système d'information industriel, éclaté sur plusieurs sites industriels, que celle des infrastructures, centralisées. Le groupe Total dénombre plus d'un millier de sites industriels, dont 300 de type SEVESO .
Le troisième volet concerne la sécurité des applications , en particulier la gestion des identités et des accès.
Le quatrième volet a trait à la sensibilisation du personnel . L'objectif n'est pas d'informer le personnel, déjà bien au fait des risques numériques, mais de conduire à un changement de comportements . Nous avons mis en place des actions de sensibilisation et allons développer un programme transversal au sein du groupe.
Il existe enfin deux autres volets complémentaires. Le premier concerne les processus de gestion et de sécurité des systèmes d'information , comme la gestion de crise. L'enjeu est d'instaurer une approche commune aux directions des systèmes d'information des différentes entités du groupe. Le second porte sur le management des risques . En abordant la politique de sécurité par le prisme des risques, nous pouvons communiquer plus facilement sur la sécurité numérique, notamment auprès de la direction générale. Nous travaillons à la mise en place d'un système de management des risques qui nous permettra d'actualiser notre cartographie des risques et de disposer d'une aide à la décision lors du lancement des programmes.
Mme Anne-Yvonne Le Dain . - Quelle est la réaction du personnel face à ces évolutions ?
M. Jean-Jacques Tourre . - La réaction du personnel est plutôt bonne. La direction en charge de la sécurité au sein du groupe Total organise des sessions de sensibilisation et de formation. L'explication des risques est généralement bien comprise par le personnel même si la sécurité est souvent perçue comme une contrainte.
Nous avons souhaité, dans notre programme relatif aux infrastructures, accompagner l'innovation et les nouvelles technologies. À titre d'exemple, l'information dans le nuage ou cloud computing est une réalité qui ne doit pas être niée mais qui doit être davantage sécurisée, par un système d'authentification et des outils de chiffrement .
L'innovation et la sécurité sont les deux facettes d'une même pièce. Il y a quelques années, la sécurité était moins valorisée que l'innovation. La protection des informations est aujourd'hui considérée comme un enjeu important et il est davantage admis de se préoccuper à la fois d'innovation et de sécurité. Le vol de dizaines de millions de cartes bancaires (affaire Target ) conforte cette prise de conscience. Notre plan allie résolument innovation et sécurité.
Mme Anne-Yvonne Le Dain . - Je souhaiterais vous poser la même question que celle que j'ai posée à MM. Ahmed Bennour et Lionel Darasse : pensez-vous que ce que le couple sécurité-innovation, que vous vous évertuez à mettre en place, puisse donner lieu à des solutions commercialisables ?
M. Jean-Jacques Tourre . - Notre rôle est d'intégrer à notre organisation des solutions disponibles sur le marché afin de faire bénéficier le personnel de nouvelles fonctionnalités. Les innovations que vous évoquez sont peut-être commercialisables mais pas par nous, qui en sommes seulement utilisateurs.
Mme Anne-Yvonne Le Dain . - Je vous remercie de cet élément de réponse.
Je donne maintenant la parole à Mme Pascale Bernal.
Mme Pascale Bernal, directeur du système d'information, Gaz réseau distribution France (GrDF) . - Je partage une grande partie de ce qui a été dit précédemment : nous faisons face aux mêmes enjeux et aux mêmes préoccupations.
Je souhaiterais tout d'abord présenter l'entreprise GrDF . Notre activité de distribution de gaz s'adresse à onze millions de clients et se limite à la France métropolitaine. Nous partageons un service commun, composé de 46 000 personnes, avec Électricité réseau distribution France ( ErDF ). Une partie de nos applications est gérée par les data centers du groupe GDF Suez et l'autre par ceux du groupe Électricité de France ( EDF ). Nous devons nous assurer que nous respectons les règles de sécurité de ces deux groupes. Cette particularité nous oblige à accorder une attention particulière à la sécurité. Nous n'avons pas d'obligations « secret défense » et nous ne possédons pas aujourd'hui des systèmes d'information industriels.
Je voudrais évoquer le projet de compteur communiquant Gazpar , sur lequel nous collaborons actuellement avec l'ANSSI. Ce programme permettra de relever automatiquement les compteurs de l'ensemble des clients de notre activité de distribution de gaz. L'objectif n'est pas d'agir à distance sur les compteurs mais de disposer d' une chaîne d'information, cryptée et authentifiée, allant des compteurs à notre système d'information . Aussi partagerons-nous un système de PKI avec les fabricants de compteurs. Les données transiteront également par des concentrateurs, soumis aux mêmes règles de confidentialité. Nous nous préoccupons de la sécurité numérique dès la conception de nos applications et travaillons tant avec l'ANSSI qu'avec la CNIL.
Avec onze millions de clients et trente fournisseurs, le groupe GrDF dispose de données personnelles ou de données commercialement sensibles. Nous sommes assujettis à une stricte obligation de neutralité, qui nous interdit de communiquer à un fournisseur des informations susceptibles de l'avantager. Nous veillons à ce que cette obligation soit également respectée par le fournisseur historique de gaz qui appartient au même groupe que le nôtre.
Nos données sont, à 90 %, stockées dans des centres privés (data centers) mais celles qui ne présentent pas de caractéristique particulière sont conservées dans un nuage ( cloud) public. Comme déjà souligné, la sécurité de nos applications est évaluée dès leur conception. Le degré de confidentialité de nos données fait également l'objet d'un examen. Sur la base de ces analyses, plusieurs niveaux de sécurité déterminent les conditions de fonctionnement de nos applications et de mise à disposition de nos données.
Les systèmes d'information sont de plus en plus ouverts alors qu'ils étaient auparavant internes à l'entreprise. Le système d'information de GrDF a davantage d'utilisateurs externes qu'internes. On dénombre des dizaines de milliers d'utilisateurs auprès de nos fournisseurs et des clients en contrat de livraison directe. Les utilisateurs d'objets connectés viendront s'ajouter à ces utilisateurs externes dans un avenir proche. L'ouverture des systèmes d'information pose un problème de sécurité et nécessite des mesures destinées à protéger le « coffre-fort ».
L'autre point important est l'essor de la mobilité. La plupart de nos collaborateurs, y compris le personnel en charge des interventions techniques, disposent d' outils de mobilité . Ces applications, qui sont reliées à notre système d'information, doivent faire l'objet d'une protection particulière . Il nous faut constamment nous adapter afin d'éviter une séparation trop stricte entre les systèmes d'information, contraignants, et le numérique, attractif. C'est à cette condition que les usagers acceptent de ne pas utiliser d'applications externes et de se conformer aux règles de sécurité. Il importe également de promouvoir une organisation souple et innovante . Les systèmes d'information sont le moteur de la performance de l'entreprise d'aujourd'hui et de l'innovation de l'entreprise de demain. Le travail des directions des systèmes d'information s'est donc diversifié et complexifié.
Comme je l'ai déjà évoqué, nous collaborons avec l'ANSSI au sujet du projet de compteur communiquant Gazpar . Une attention particulière est portée à la protection des données personnelles et commercialement sensibles. Nous avons fait l'objet d'une visite inopinée de la CNIL, il y a deux ans. Cette dernière a contrôlé la manière dont nous traitons les données personnelles. Nous travaillons également avec un certain nombre de collectivités territoriales, au titre d'opérateur de réseau. S'il est justifié de leur transmettre des informations, il faut veiller à ce que ces données ne révèlent pas, après un recoupement, la situation spécifique d'entreprises ou de particuliers. Nous agissons dans la double préoccupation de mettre à la disposition des parties prenantes des informations utiles et d'assurer la sécurité des données personnelles et commercialement sensibles . À nouveau, l'enjeu est de maintenir un équilibre entre la sécurité et l'innovation dont notre entreprise et nos clients puissent tirer profit.
Mme Anne-Yvonne Le Dain . - Les fichiers de données personnelles dont vous disposez ne sont donc pas susceptibles d'être commercialisés ?
Mme Pascale Bernal . - Non, en aucun cas. Cela n'est pas possible d'un point de vue juridique et n'est pas envisagé sur un plan commercial. Les données personnelles sont les informations que nous protégeons le plus au sein de notre système d'information.
Mme Anne-Yvonne Le Dain . - En est-il de même pour vous ?
M. Lionel Darasse . - Oui.
M. Jean-Jacques Tourre . - Oui.
Mme Pascale Bernal . - Nous achetons des informations pour qualifier nos fichiers mais nous n'en vendons pas nous-mêmes.
Mme Anne-Yvonne Le Dain . - Ce sujet est à l'heure actuelle très sensible mais pourrait l'être moins à l'avenir. Serait-il alors possible de faire de l'exploitation des données une activité profitable à la nation ?
Pour en revenir au compteur communiquant Gazpar , je constate que beaucoup de personnes, y compris des responsables publics, expriment une angoisse quant à la protection de leur vie privée. Pour parler trivialement, ils craignent que l'on sache ce qu'ils font à deux heures du matin. Comment répondez-vous à cette appréhension ?
Mme Pascale Bernal . - Nous entendons ces interrogations. Cependant, les compteurs de gaz ne sont pas, ni ne seront jamais, en capacité de savoir ce que les utilisateurs font à deux heures du matin. Le compteur communiquant Gazpar nous transmettra quotidiennement des informations relatives à la consommation de gaz. En conséquence, les données transférées ne seront ni personnelles ni instantanées. Les informations recueillies concerneront seulement le chauffage, l'eau chaude ou la cuisson . Si nous entendons les interrogations exprimées, elles ne concernent pas directement l'activité gazière.
Mme Anne-Yvonne Le Dain . - Mais vous partagez cependant des fichiers avec ErDF . L'angoisse dont je parle est également répandue parmi les couches aisées de la société. Il demeure des inquiétudes, notamment quant à l'utilisation des données à des fins publicitaires.
Mme Pascale Bernal . - La protection des données fait partie des discussions que nous avons engagées au sujet du compteur communiquant Gazpar , avec les collectivités territoriales et les associations de consommateurs. Au sein d'instances de concertation, dont la Commission de régulation de l'énergie (CRE), nous conduisons un dialogue destiné à répondre aux interrogations sur la collecte et l'exploitation des données.
Mme Anne-Yvonne Le Dain . - Je vous remercie de votre présentation. Je passe la parole à M. Alexandre Archambault.
M. Bruno Sido, sénateur, président de l'OPECST . - Monsieur Alexandre Archambault, vous avez la parole.
M. Alexandre Archambault, responsable des affaires réglementaires, en charge des obligations légales, Free . - Monsieur le président, madame la vice-présidente, je vous remercie de votre invitation. Je m'associe pleinement à ce qui a été exprimé précédemment. Mon intervention est structurée autour de deux questions : quelle conception avons-nous du risque numérique ? Quelles propositions souhaitons-nous soumettre au décideur public ?
Je souhaiterais présenter succinctement notre activité. Avec plus de quatorze millions d'abonnés, le groupe Free est le troisième opérateur français. Notre offre est majoritairement destinée au marché grand public. Cependant, nous sommes également un opérateur d'infrastructures et de services Internet. Nous disposons à ce titre de 15 000 m² de data centers. Ces centres permettent aux OIV d'externaliser l'hébergement de leurs données. Par le passé, nous avons constaté que la localisation des données constituait une question centrale. Au sein de notre secteur d'activité, nous devons y apporter une réponse collective.
Le fondateur de Free en est l'actionnaire majoritaire et les collaborateurs sont intéressés aux résultats du groupe, ce qui nous distingue d'autres sociétés davantage internationalisées. Nous veillons à partager de manière équitable les gains de productivité entre les collaborateurs, les abonnés et les actionnaires, qui constituent trois groupes d'acteurs clés pour tout opérateur.
Le numérique est un domaine où il faut faire preuve d'agilité, ce qui nous est d'une grande utilité en matière de cybersécurité. Il ne se passe pas un jour sans que nous soyons, individuellement ou collectivement, la cible d'une tentative d'intrusion. Pour autant, nous n'avons jamais eu à déplorer de perte de maîtrise du système, d'intégrité du réseau ou de confidentialité des données . Il faut néanmoins garder à l'esprit que le risque zéro n'existe pas. Un réseau est fréquemment confronté à des difficultés qui lui permettent toutefois de gagner en compétences et en efficacité. Sur un marché grand public, il faut vivre avec l'idée que le pire peut toujours arriver. Nous devons nous protéger mais également réagir rapidement afin de détecter, d'analyser et de corriger les problèmes. La capacité de réaction importe plus que tout. C'est une chance que la France ait été précurseur en matière de sécurité numérique.
Quelle conception avons-nous du risque numérique ?
Nous considérons qu'il faut, pour être réactif, disposer d'une organisation agile , calquée sur les entreprises de l'économique numérique, où les cycles de décision sont courts et où les dirigeants et les collaborateurs sont impliqués et pragmatiques. Il importe également de tenir compte des risques avec réalisme . Les jeunes générations, qui sont nées à l'ère du numérique, constituent un talent dont les entreprises françaises ne sauraient se priver. Il convient enfin d' opter pour « une protection dans la profondeur », soit un système de défense organisé autour de cercles concentriques de plus en plus sécurisés . Au niveau de chaque cercle, les problèmes doivent être détectés, analysés et corrigés. Nous devons être dans un état de « paranoïa raisonnable » , c'est-à-dire qu'il nous faut nous astreindre à une vigilance permanente, où tout risque de relâchement - dû notamment à la croyance en une technologie miracle -, est prohibé.
Le second élément majeur est l'internationalisation des compétences stratégiques . La cybersécurité, préventive ou défensive, doit faire partie de la vie de l'entreprise ; et, ce, de la conception à la commercialisation de l'offre de biens ou de services. Cette attention accordée aux compétences est le seul moyen pour les entreprises de demeurer souveraines dans la mesure où les technologies sources ne sont plus fabriquées en France.
Mme Anne-Yvonne Le Dain . - Comment procédez-vous juridiquement en cas de problème ? Auprès de qui et selon quelles modalités, vos contrats sont-ils passés ?
M. Alexandre Archambault . - Pour le système Freebox , nous tâchons de réaliser en interne tout ce qui peut l'être : nous concevons le hard , nous sélectionnons le système d'approvisionnement et nous maîtrisons le soft. Les infrastructures de réseaux, tels que les routeurs ou les solutions mobiles, posent davantage de difficultés. Un dialogue exigeant avec les équipementiers nous permet d'accéder au soft et d'exclure toute infogérance. En d'autres termes, nous achetons les équipements mais maîtrisons les réseaux après une formation éventuelle du personnel . Ces éléments ont présidé au choix de notre équipementier mobile. L'affaire Snowden a conduit à une prise de conscience sur la nécessité de limiter le recours à l'infogérance et de stocker les données sensibles en interne.
Mme Anne-Yvonne Le Dain . - Quant au CEA, monsieur Lionel Darasse, le groupe gère-t-il tout lui-même en interne ?
M. Lionel Darasse . - Je souscris à ce qui vient d'être dit sur la nécessité de se doter de capacités de gestion en interne afin de conserver le contrôle du système d'information. La maîtrise du matériel étant généralement faible, notamment en cas d'externalisation, l'entreprise doit utiliser son organisation, sa structure et son administration comme des leviers d'action. Le CEA a fait le choix de s'approprier son système d'information de cette manière.
M. Alexandre Archambault . - Cela n'empêche pas de recourir à des prestations externes comme le conseil. La prise de décision doit cependant demeurer en interne. Pour gérer une entreprise de manière éclairée, il convient d'avoir une connaissance approfondie des produits commercialisés et des difficultés rencontrées.
Afin de renforcer la motivation des collaborateurs, le plus efficace est de les sensibiliser au risque numérique et de les intéresser à la bonne marche de l'entreprise. La résistance au changement est humaine. Cependant, lorsqu'un collaborateur se rend compte que son relâchement peut avoir des conséquences, y compris financières, il tend à respecter les règles de bonne hygiène informatique.
Le système Freebox a été développé en interne car les solutions présentes sur le marché ne répondaient pas à nos attentes. Cela nous a permis de devenir, en quelque sorte, notre propre équipementier. Notre maîtrise du soft comme du hard nous permet de réagir rapidement lorsqu'une difficulté est rapportée.
En ce qui concerne les routeurs et les solutions mobiles , notre marge d'action est contrainte par les équipementiers. Le cadre juridique existant nous permet de soumettre les équipementiers à des obligations de sécurité spécifiques . Les équipementiers européens ont compris qu'il leur fallait faire preuve de davantage de compétence, d'indépendance et de coopération, afin de conserver leurs parts de marché. Depuis la création de la CNIL en 1978, la France est devenue une référence européenne en matière de protection des données personnelles. Elle est également précurseur pour la sécurité des systèmes d'information, le rôle de l'ANSSI devant être souligné. En tant qu'opérateur, il ne nous faut pas introduire de la rigidité, et donc de la vulnérabilité, dans notre réseau. Un point mérite d'être signalé : grâce à un dialogue fructueux entre l'ANSSI et les professionnels du secteur, les réseaux français de troisième génération (3G) et de quatrième génération (4G) ont un degré de sécurité supérieur aux normes définies par le Third Generation Partnership Project (3GPP) .
Sur un plan prospectif, il importe de passer d'un objectif de sensibilisation du personnel à un objectif de conduite du changement, en association avec les organisations professionnelles concernées. Les PME et les collectivités locales sont les parents pauvres de la sécurité numérique.
Quelles propositions souhaitons-nous soumettre au décideur public ?
En premier lieu, il est important de ne pas multiplier les lois , dont les décrets d'application sont parfois pris de manière tardive. Le cadre juridique actuel est suffisamment outillé pour nous permettre de faire face risque numérique. Les acteurs privés et les autorités régaliennes devraient coopérer davantage, au moyen de plates-formes d'échange. À titre d'illustration, dans notre secteur d'activité, une entreprise a été confrontée il y a peu à une tentative de chantage . Le vendredi soir, l'entreprise a alerté l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). Dans la nuit de vendredi à samedi, l'OCLCTIC a saisi le procureur qui a formulé une demande de coopération internationale. Dès le lundi, le maître chanteur a été interpellé. Les outils juridiques sont d'ores et déjà disponibles. L'action de l'État est efficace dès lors qu'il existe une bonne connaissance du risque numérique, une relation de confiance avec les acteurs privés et une coopération interministérielle et internationale. À nouveau, la réactivité est un élément central en matière de cybersécurité.
En second lieu, il est nécessaire de développer une culture du numérique au sein de la sphère politique et administrative . Des initiatives, telle que la table ronde qui nous réunit aujourd'hui, peuvent permettre une diffusion de l'information et une montée en compétences. La proposition de M. Tariq Krim de doter l'État d'un « CTO numérique » (CTO : Chief Technology Officer) , c'est-à-dire d'une direction technique consacrée aux enjeux numériques et ayant autorité sur les différentes administrations , mérite d'être étudiée.
L'on ne saurait que trop insister sur la nécessité d' inclure une sensibilisation au risque numérique dans la formation initiale et continue des avocats et des magistrats. Mme Myriam Quemener, magistrat spécialisé en cybercriminalité, porte une proposition en ce sens. Il reste à évaluer l'opportunité de créer un pôle consacré à la cybercriminalité au sein ministère de la justice comme cela est déjà le cas pour la délinquance financière ou le terrorisme. Sur ce point, la mise en place d'une division consacrée à la cybercriminalité auprès de la Police judiciaire ne peut qu'être saluée.
En troisième lieu, il est souhaitable de disposer, au sein de l'appareil d'État, d'une organisation permettant un traitement fluide des cas de cybercriminalité. Il est choquant que certains décrets d'application de la loi de confiance dans l'économie numérique, dont on va célébrer les dix ans, n'aient toujours pas été pris , par exemple en ce qui concerne le périmètre des données de connexion devant être conservées par les fournisseurs de services. Si ces acteurs ne savent pas quelles données doivent être conservées, alors toute la chaîne de traitement est viciée en cas d'enquête.
En dernier lieu, il convient de pérenniser la Plate-forme nationale d'interceptions judiciaires (PNIJ) . Cette structure du ministère de la Justice permettra la dématérialisation des réquisitions relatives à la sécurité numérique. La dématérialisation permet à l'État de renforcer sa sécurité, son efficacité et sa célérité. En outre, elle lui offre un moyen de mieux maîtriser ses coûts de fonctionnement.
Pour élargir notre propos, sans doute nous faut-il apprendre à vivre avec le risque . D'autres pays, comme l'Allemagne et les États-Unis d'Amérique, ont cessé de diaboliser la figure du hacker . Il ne doit pas être assimilé à un pirate mais plutôt à un lanceur d'alerte qui permet de révéler à l'entreprise les défaillances de son système d'information. La plupart des grands succès du numérique sont le fait d'anciens hackers . Le hacking peut constituer un outil de formation complémentaire , utile pour faire face aux attaques, de plus en plus sophistiquées, des officines paraétatiques.
M. Bruno Sido . - Dans la mesure où Free est tributaire d' Orange en matière d'itinérance, la sécurité de votre système d'information ne dépend-elle pas de cette société ?
M. Alexandre Archambault . - L'itinérance concerne la couverture de bas niveau comme la radio. Dès que la couverture est plus sophistiquée, elle est assurée par Free . Cette situation nous oblige à rendre compatibles deux systèmes d'information et deux solutions d'équipementiers différents. Le développement d'une passerelle d'intermédiation y contribue.
Il existe une forte interdépendance entre les entreprises de télécommunication. Les responsables des systèmes d'information sont pragmatiques et partagent rapidement toute information en cas de risque avéré, en veillant toutefois à maintenir une muraille de Chine avec les services commerciaux .
M. Bruno Sido . - Quels sont les textes législatifs dont nous attendons encore les décrets d'application ?
M. Alexandre Archambault . - Je citerai tout d'abord le texte relatif aux données devant être conservées par les opérateurs de services . Dans l'ignorance de ce qui doit être gardé, certains se fondent sur des usages, comme les Requests for Comments ( RFC ), tandis que d'autres choisissent de ne rien faire.
Je mentionnerais également le texte afférent au blocage . Selon nous, le blocage ne doit être envisagé qu'en dernier recours, c'est-à-dire si l'éditeur, l'hébergeur et l'opérateur ne répondent plus. Le législateur a limité le recours au blocage aux comportements manifestement illicites. Cependant, en matière de pédopornographie ou de terrorisme, le texte d'application est toujours en attente . Si Free se conforme dès à présent à ses obligations légales, il demeure difficile de mobiliser certains acteurs en l'absence des décrets d'application. Dans certains cas, le blocage peut créer plus de problèmes que de solutions : au mieux, il participe à la dissémination des contenus ; au pire, il complique les tâches des enquêteurs. En effet, le blocage ne pouvant pas être modulé, il entraîne la coupure des réseaux de filature des enquêteurs .
M. Bruno Sido . - Je vous remercie de votre intervention. Je passe la parole à M. Christian Daviot.
M. Christian Daviot, chargé de la stratégie auprès du directeur général, Agence nationale de la sécurité des systèmes d'information (ANSSI). - Je vous remercie, monsieur le président.
Je souhaiterais apporter des éléments de nature différente de ceux développés précédemment. L'ANSSI s'intéresse, non seulement à l'économie du numérique, mais également à la place du numérique dans l'économie : il s'agit, d'une part, de promouvoir notre tissu industriel et, d'autre part, de sécuriser les objets connectés. Cinquante milliards d'objets connectés pourraient être mis en circulation avant 2050. Cet enjeu, jusqu'à présent peu évoqué, constitue une préoccupation majeure pour l'ANSSI.
L'affaire Snowden a révélé un problème de communication en notre sein : les ingénieurs, les hommes politiques et le personnel administratif se parlent trop peu . Ces difficultés d'échange et de compréhension me semblent depuis lors avoir été dépassées. Cette affaire a également participé à la prolifération des capacités techniques américaines. Aussi le risque numérique devrait-il augmenter à l'avenir.
Le coût de la sécurité est moindre que celui de l'insécurité. Chaque année en France, l'insécurité informatique est à l'origine de la perte de centaines voire de dizaines de milliers d'emplois. Il est nécessaire que cette problématique fasse l'objet d'une étude plus précise. Si les attaques des administrations nuisent à notre souveraineté, celles des entreprises pénalisent notre compétitivité. À mon sens, les conséquences de l'insécurité informatique sur l'emploi ne sont pas suffisamment mises en avant. La cybersécurité est une composante de la compétitivité de notre économie et la condition du maintien de l'emploi en France.
L'ANSSI ne peut pas rendre publics les exemples d'attaque informatique. En 2010, le ministère des finances avait reconnu avoir fait l'objet d'une intrusion. Beaucoup de cas mériteraient d'être communiqués, non au grand public mais aux professionnels. À titre d'illustration, au Royaume-Uni , le Premier ministre, David Cameron, a réuni les principaux acteurs économiques britanniques au sujet des attaques informatiques. Cela a permis de mobiliser les dirigeants d'entreprises, de renforcer la cybersécurité et de développer le tissu industriel. Les entreprises britanniques ont une compétence supérieure aux nôtres pour certaines prestations de service développées plus précocement, comme la détection des attaques informatiques.
La communication peut également être renforcée en matière de sécurité numérique. La première intervention à ce sujet a été réalisée, le 20 février 2014, par le Premier ministre, Jean-Marc Ayrault. Si tous les gouvernements ont veillé à ce que l'ANSSI dispose des moyens financiers et humains pour exercer ses compétences, la parole publique pourrait être davantage utilisée. À cet égard, il faut saluer les rapports parlementaires rédigés respectivement par M. Jean-Marie Bockel, sénateur, et, plus récemment, par Mmes Corinne Ehrel et Axelle Lemaire, députées.
M. Bruno Sido . - Toute entreprise est susceptible d'être attaquée. Des systèmes de détection automatiques sont-ils à l'étude ? La sécurité progresse-t-elle plus vite que la menace ou assiste-on à une course sans fin entre ces dernières ?
M. Alexandre Archambault . - Il existera toujours une course sans fin. Cependant, on observe une réduction de l'écart entre la menace et la sécurité . Dans certains cas, l'agression peut même être anticipée, grâce à des scenarii et à des exercices.
La technique évolue en permanence. Il existe des règles de bonne hygiène, qui permettent de répondre de manière quasi automatisée aux attaques les plus simples. Toutefois, l'automatisation ne doit pas conduire à un relâchement des comportements. Les machines détectant bien les anomalies mais analysant mal les situations, les moyens humains demeurent indispensables.
M. Bruno Sido . - Il arrive que des entreprises détectent l'attaque des années après sa survenue. Une marge de progression existe-elle ? Comment réagissez-vous face à ces enjeux ? Si l'hygiène numérique est une bonne chose, est-elle suffisante ? Un système de détection automatique est-il envisageable ou utopique ?
M. Christian Daviot . - Nous pouvons penser qu'il s'agit là d'une utopie et que l'agresseur aura toujours une longueur d'avance .
Nous sommes actuellement confrontés à des problèmes simples : primo , on ne trouve que ce que l'on cherche ; secundo , lorsque l'on détecte une attaque, c'est que cette dernière a déjà réussi ; tertio , les équipements de détection d'attaque informatique ne sont pas souverains .
Il existe un État dominant en matière d'équipements de détection. Il est donc nécessaire de développer à notre tour des outils de détection afin de faire face à d'éventuelles attaques venues de ce pays. Le Programme d'investissements d'avenir a mis à la disposition des équipementiers français les fonds nécessaires.
M. Bruno Sido . - Nous n'avons pas employé, au cours de notre table ronde, l'expression de « guerre » informatique. La législation permet-elle une action offensive contre un agresseur ?
M. Christian Daviot . - L'article 21 de la loi de programmation militaire permet, en cas d'attaque d'un système d'information critique, de pénétrer le système d'information adverse pour caractériser l'attaque et en neutraliser les effets. N'est légale que l'action défensive.
Comme l'a rappelé le Livre blanc sur la défense et la sécurité nationale de 2013, la France a annoncé se doter de capacité offensive en 2008 .
M. Jean-Jacques Tourre . - Je souhaiterais souligner que ces enjeux régaliens ne concernent en rien les entreprises privées, comme le groupe Total .
M. Bruno Sido . - Il s'agit en effet de sujets régaliens. Il me semble que les moyens de détection et de réaction sont, à eux seuls, insuffisants.
M. Christian Daviot . - L'ANSSI n'a qu'une action de défense.
M. Lionel Darasse . - En cas d'attaque, le fait d'intervenir sur un canal de contrôle commande, qui aurait été établi par les agresseurs pour prendre la main sur un poste, est une manière de se signaler. Avant de procéder à toute riposte, il convient d'en évaluer les conséquences. L'exploitation ou la coupure du réseau demeurent justifiées dans certaines circonstances.
Quant à votre question sur les progrès technologiques réalisés, je crois qu'il existera toujours une course sans fin en matière de sécurité numérique. Cependant, il n'est pas possible de s'affranchir d'un niveau de sécurité minimal, qui correspond aux critères d'hygiène informatique définis par l'ANSSI. Le CEA s'intéresse actuellement à la problématique de la supervision et à la technique de la métrologie.
Enfin, le système d'information doit disposer d'une structure d'administration à même de le préserver de toute réaction en chaîne en cas d'agression . Il faut en effet circonscrire l'attaque et limiter la propagation latérale et les éléments de privilège. Cette réflexion constitue une modeste réponse à la course sans fin observée.
M. Jean-Jacques Tourre . - Nous avons assisté ces dernières années au passage d'une logique de protection à une logique de détection et de réaction . Beaucoup de travail et de progrès ont été réalisés à ce sujet.
Pour en revenir à la question de l'automatisation, je souhaiterais y répondre en prenant le cas du service de supervision et de sécurité du groupe Total . Si nous nous appuyons sur des algorithmes, compte tenu du volume très important de données à traiter, la dimension humaine reste primordiale pour détecter et analyser les problèmes . La gestion des compétences est de ce fait un maillon important de notre système de sécurité.
M. Christian Daviot . - L'article 22 de la loi de programmation militaire dispose que le Premier ministre peut imposer des règles techniques aux opérateurs d'importance vitale (OIV). Le décret d'application sera pris cet automne et les arrêtés à partir de la fin de l'année. Un travail collaboratif a été engagé avec les OIV, qui permettra d'améliorer la sécurité de leurs systèmes d'information. Au-delà de l'enjeu de la détection, le renforcement de la prévention et de la résilience est en cours.
M. Bruno Sido . - Observez-vous des anomalies dans notre législation, qui pourraient être corrigées ?
M. Alexandre Archambault . - De manière générale, le cadre législatif me semble suffisamment outillé, cependant, il demeure trop focalisé sur les OIV, les grands comptes et les grandes administrations. La sécurité des systèmes d'information concerne toutes les couches de la société, notamment les sous-traitants, les PME et les collectivités territoriales.
M. Christian Daviot . - La loi de programmation militaire cible les OIV car il n'existe pas de liste d'entreprises à protéger clairement définie en droit français . L'idée est bien d'étendre ces dispositions aux entreprises relevant du potentiel scientifique et technique, dont les entreprises innovantes. Sur ce point, nous pensons que les assureurs auront un rôle à jouer .
Bien que cette mesure soit d'ordre réglementaire, l'impossibilité pour les salariés d'un OIV de savoir que son entreprise est classée comme telle est problématique . Je pense que l'on pourrait rendre publique la liste des OIV ou, à tout le moins, informer les seuls salariés des OIV . Ils sauraient ainsi que les mesures de sécurité qui leur sont imposées ont un sens et une justification : la protection des intérêts de la nation.
M. Bruno Sido . - Il s'agit d'une question de citoyenneté. Ne craigniez-vous pas cependant que la publication de la liste des OIV ne donne aux attaquants des cibles nommément désignées ?
M. Christian Daviot . - Il faut peut-être sortir de la logique, issue de la Guerre froide et aujourd'hui périmée, qui consistait à cacher les objectifs. Il n'est peut-être pas bon de publier la liste des OIV dans son intégralité. Cependant, l'opportunité de lever l'interdiction sanctionnée pénalement, pour un chef d'entreprise, de révéler la qualité d'OIV de son établissement, reste à évaluer . Un tel assouplissement faciliterait les choses, y compris la mise en place des objectifs de la loi de programmation militaire.
M. Bruno Sido . - Je remercie chacun d'entre vous pour sa contribution et vous propose de poursuivre les dialogues entamés ce matin au cours de la table ronde de cet après-midi.
Introduction
M. Bruno Sido, sénateur, président de l'OPECST . - Dans le cadre du rapport sur le risque numérique et la sécurité des réseaux utilisés par les entreprises, lancé à la suite d'une saisine de la commission des affaires économiques du Sénat, il est apparu essentiel aux rapporteurs désignés par l'Office - Mme Anne-Yvonne Le Dain et moi-même - de focaliser l'étude sur les opérateurs d'importance vitale (OIV) et, parmi ceux-ci, sur deux catégories d'entre eux, ceux du secteur des télécoms et ceux du secteur de l'énergie.
Il ne nous a pas échappé que, au-delà des opérateurs d'importance vitale eux-mêmes, la sécurité des réseaux numériques qu'ils utilisent devait s'étendre à ceux utilisés par leurs sous-traitants, voire leurs clients.
Cette sécurité de haut niveau ne se met pas en place du jour au lendemain. Elle suppose des personnels dotés d'une culture de sécurité et des matériels fiables, incluant des dispositifs au sein d'une architecture de systèmes dont les failles éventuelles doivent être très rapidement repérées et réparées au fur et à mesure de leur découverte.
À ce jour, les rapporteurs que nous sommes ont effectué environ quatre-vingts auditions comprenant des visites de sites. Ce matin, une audition en forme de table ronde a déjà été tenue pour entendre des opérateurs d'importance vitale des secteurs des télécommunications et de l'énergie tandis que la table ronde de cet après-midi sera tournée vers l'écoute des solutions de sécurité qui peuvent être proposés par chacun d'entre vous. Ces deux tables rondes marqueront quasiment le terme de cette phase de nos travaux. Lors du déjeuner, nous avons déjà eu l'occasion d'échanger avec les participants des deux tables rondes sur nombre d'aspects de la sécurité numérique.
Au cours de cet après-midi, chacun d'entre vous disposera d'une dizaine de minutes pour une intervention sur le coeur de la problématique à laquelle se trouvent confrontés les fournisseurs de solutions de sécurité des réseaux numériques lorsqu'il s'agit d'assurer, en toute circonstance, la sécurité numérique des opérateurs d'importance vitale. Les situations de crise seront bien évidemment évoquées.
Il est possible que, au fur et à mesure de l'après-midi, vos interventions soient interrompues par les questions des rapporteurs ou pour demander à un autre intervenant de réagir à chaud à un propos tenu.
Jusqu'à présent, les auditions collectives que nous avons organisées se tenaient sous forme d'auditions publiques ouvertes à la presse et à tous les membres de l'Office parlementaire. Cet après-midi, comme ce matin, compte tenu du caractère sensible des questions évoquées et pour permettre un dialogue aussi ouvert que possible entre nous, nous avons retenu le principe d'une audition collective limitée aux rapporteurs.
Nous n'y avons convié ni le public ni la presse. Un compte rendu sera simplement établi et vous sera soumis. Nous verrons ensemble par la suite s'il doit donner lieu, ou non, à une publication. Je précise cela afin de vous encourager à vous exprimer de la manière la plus directe possible, avec une grande liberté de ton.
Je vous remercie vivement d'avoir bien voulu aider les rapporteurs dans leurs travaux et d'avoir accepté de participer à tout ou partie de cette journée. À l'intention de ceux qui n'ont pu se libérer assez tôt pour participer au déjeuner, je précise qu'il sera encore possible d'échanger au cours des trois prochains mois et de nous adresser tous les documents que vous jugerez utiles pour nos travaux, puisque nous comptons terminer notre rapport à l'automne.
Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'OPECST . - Nous sommes ici, le sénateur Bruno Sido et moi-même, pour vous écouter et éventuellement interagir, c'est-à-dire pour vous faire part d'opinions, d'ambitions mais aussi parfois d'échos qu'il nous arrive de recevoir dans l'univers qui est le nôtre - qui n'est pas seulement de politique nationale car nous sommes tous élus sur des territoires où nous rencontrons de nombreuses personnes.
Le monde du numérique évolue très vite, techniquement mais aussi en termes de positionnement européen, international, en fonction de la stratégie, de l'évolution des matériels et de la perception qu'ont les uns et les autres des possibilités qu'offre cette technique. En outre, nous devons prendre en considération ces évolutions sur l'ensemble du territoire national dans les mondes métropolitains, villageois, ruraux, banlieusards - j'emploie à dessein le terme quotidien de « banlieusards » car la banlieue existe et ne revêt pas forcément une apparence dramatique.
Nous sommes dans l'économie du XXI e siècle et partons du principe selon lequel nous ne devons pas envisager seulement la question sous l'angle du risque et de l'incertitude : il faut aussi l'envisager dans une logique de projet et d'avenir. Sommes-nous dans une impasse subie ou sur une autoroute qui peut nous emmener vers un futur qui n'est pas nécessairement compliqué ?
Table ronde
M. Stanislas de Maupeou, directeur du secteur conseil en sécurité et évaluation, Thales . - Je tiens à vous remercier de me donner l'occasion de m'exprimer devant l'Office parlementaire sur un sujet qui nous anime tous autour de la table. Je n'avais pas prévu de débuter ainsi mais je serais tenté de dire, en écho à vos mots introductifs, que nous n'avons pas le choix. Nous sommes dans la société de l'information et il ne faut pas attendre la crise majeure qui risque de survenir. Nous devons prendre le sujet à bras-le-corps.
Les deux dernières éditions du Livre blanc ont mis en exergue le sujet qui nous réunit mais nous semblons avoir du mal, collectivement, à passer à l'acte. Nous sommes encore dans le besoin de pédagogie. Beaucoup de choses ont été dites et de nombreuses auditions ont eu lieu. Il faut maintenant franchir le pas pour aborder une nouvelle étape, marquée par une vision industrielle.
Je voudrais m'attacher, au cours de ces dix minutes, à souligner que le cyberespace est aujourd'hui une réalité de la société de l'information. Le rapport de MM. Collin et Colin, produit pour le ministère des finances, montre l'impact de la société de l'information dans l'économie. C'est à cette aune que doit être apprécié l'impact d'une cyberattaque éventuelle, en tenant compte de la dépendance de notre société, d'une façon générale, aux outils numériques. Il s'agit d'un espace risqué, contesté et proliférant. Je reviendrai brièvement sur ces trois notions dans mon propos.
Nous savons tous que diverses menaces nous environnent (espionnage, déstabilisation, voire la destruction, dans le cas d'opérations de sabotages). Nous n'en sommes plus, comme il y a quelques années, à expliquer que cela pourrait se passer. Du seul fait que l'on travaille avec l'informatique, aucune entreprise du CAC 40 ni aucun espace gouvernemental n'échappe aujourd'hui à ces attaques. Cette dépendance de nos organisations industrielles et étatiques vis-à-vis des systèmes informatiques, plus largement la dépendance de l'économie vis-à-vis de la société de l'information, me semble encore un sujet sous-estimé. Ce type d'initiative montre bien la dépendance de nos sociétés aux outils numériques et informatique s, avec une dimension générationnelle intéressante dans le phénomène car, si ces outils sont utilitaires pour ma génération, ils sont identitaires pour ceux qui ont aujourd'hui moins de vingt-cinq ans. Je crois que cette dépendance est sous-estimée. J'ai eu l'occasion d'aider des grands comptes dans la résolution d'attaques informatiques. Très vite, cela devient le sujet de la société et non celui d'un expert technique. Nous pourrions aisément transposer ce constat au plan sociétal.
Un deuxième sujet me semble extrêmement important. Nous le vivons en tant qu'industriels puisque nous opérons la supervision de sécurité de grands comptes dans l'espace privé et dans l'espace public. Globalement, les technologies et les architectures sont assez communes, ne serait-ce que la formation des ingénieurs.
Je ne vois pas de grande différence entre le réseau informatique d'une entreprise et celui d'un ministère. Nous ne sommes pas là dans l'apanage du monde de la défense.
Ce continuum doit aussi être envisagé dans un monde globalisé. Une attaque de nature terroriste ou venant d'un État pourrait passer par des biais qui ne sont pas militaires au sens traditionnel du terme. À l'inverse, les systèmes militaires dépendent aussi de plus en plus des systèmes informatiques. Il existe donc un continuum extrêmement fort qui est la conséquence directe de l'interconnexion des réseaux. On sous-estime les effets de ces interconnexions nécessaires mais qui constituent autant de chemins d'attaque potentiels.
Depuis les deux dernières éditions du Livre blanc et, de façon plus ouverte encore, nous ne sommes plus, du côté des entreprises, dans un scénario de crise potentielle : il s'agit d'une réalité opérationnelle qu'il faut désormais prendre en compte. Cette problématique n'est pas suffisamment bien comprise. La population des responsables de la sécurité des systèmes informatiques (RSSI) n'est peut-être pas inscrite de façon suffisamment identifiée dans les parcours professionnels. On peut le comprendre au regard de la « jeunesse » du sujet mais il est difficile de le comprendre lorsqu'on mesure l'impact d'une attaque sur une entreprise.
Dans le champ économique, on observe depuis quelques semaines en France une structuration du marché, à la faveur de différentes acquisitions dont la presse s'est faite l'écho. Je voudrais qu'on réalise que ces événements sont microscopiques au regard des restructurations qu'on observe dans le monde anglo-saxon, où toutes les restructurations les plus significatives du marché dépassent le milliard de dollars, ce qui traduit une échelle différente de ce qu'on observe en France et plus largement en Europe. L'hyperpuissance s'applique de façon très significative à ce monde de la sécurité. J'y vois un risque au regard de l'ambition de l'ANSSI dans la stratégie nationale de cyberdéfense définie en février 2011, annonçant la volonté de faire de la France une puissance mondiale de cyberdéfense. C'est un véritable défi pour notre pays.
Je pense que nous sommes là au coeur de l'autonomie stratégique de la France et même de l'Europe en termes de capacité à développer une capacité de renseignement et à conserver une maîtrise académique et technologique . Quelle est notre réelle maîtrise académique et industrielle d'une chaîne de production informatique ? Je pense qu'il s'agit d'un des grands sujets aujourd'hui. Il doit être examiné à l'aune de la souveraineté dans un contexte économique extrêmement contraint. La cybersécurité n'est pas seulement un sujet technique. On ne pourra inspirer confiance dans les systèmes d'information sans une connaissance des métiers et de leur environnement. Nous voyons d'ailleurs, au travers de nos contacts avec les entreprises, que les choses bougent de ce point de vue. Les métiers commencent à comprendre l'impact que pourrait avoir sur eux une attaque informatique.
Enfin, nous n'avons pas le choix : pour faire face aux attaques informatiques, l'État doit coopérer avec les industriels et ceux-ci doivent coopérer avec l'État et entre eux . Une attaque ne pourra se résoudre seule. Nous avons besoin de coopération. Nous avons aussi besoin, en tant qu'industriels, d'une direction. Il me semble fondamental, pour orienter nos investissements, d' avoir une visibilité sur la stratégie nationale de cybersécurité à plus long terme pour pouvoir mettre en oeuvre une politique d'investissement qui corresponde à des enjeux de sécurité . Le marché est en train de se structurer et le passage à l'acte doit advenir pour aboutir à une feuille de route technique et stratégique.
Mme Anne-Yvonne Le Dain. - Qu'entendez-vous par le terme de feuille de route technique et stratégique ? Faut-il qu'on oblige toutes les entreprises à se doter d'un système de sécurité ?
M. Stanislas de Maupeou. - À titre d'exemple, dans le cadre du Programme d'investissements d'avenir , l'État définit des objectifs et veut par exemple se doter, dans un horizon de trois à cinq ans, d'une sonde de détection d'intrusion qui soit maîtrisée. Il s'agit d'une sonde souveraine. L'État impulse ainsi une orientation vis-à-vis des industriels en affirmant un objectif clair. Aujourd'hui, en réalité, la quasi-totalité des outils de détection d'attaques informatiques ne sont pas maîtrisés, sur le plan technologique, par la France. Cet objectif constitue un élément de cette feuille route. Nous devons étendre ce travail de prospective pour pouvoir orienter les investissements des entreprises. Le plan des investissements d'avenir va dans le bon sens de ce point de vue. Il faut multiplier les initiatives de ce type dans la durée.
Je ne sais pas si vous percevez le retard qu'a la France dans ce domaine. Le domaine de la cryptographie est parfaitement maitrisé académiquement et techniquement. Pour le reste, toute la chaîne ( hardware et software ) n'est pas suffisamment maîtrisée par la Nation. Nous avons besoin de sentir que ce problème est bien compris et que l'État impulse une direction pour l'avenir et pour l'ensemble des acteurs privés.
M. Bruno Sido . - Nous allons maintenant entendre M. Lionel Gervais, directeur de la stratégie, chez Airbus.
Lionel Gervais, directeur de la stratégie, Airbus Defence & Space - CyberSecurity . - L'entité Cyber Security d' Airbus Defense and Space est européenne, même si elle a des racines françaises. Ce n'est pas anodin, après les propos de M. Stanislas de Maupeou qui ont bien exprimé le besoin de notre industrie de s'asseoir sur un marché important. Nous sommes confrontés à une compétition américaine, en particulier, et monter en puissance dans cet écosystème impose que notre marché ait une taille critique minimale. L'entité d' Airbus Defense and Space réunit environ six cents experts en cybersécurité dans trois pays principaux, la France, l'Allemagne et le Royaume-Uni. L'entreprise s'adresse en particulier au secteur public (gouvernement et défense) mais aussi aux grandes entreprises nationales et européennes.
Nous couvrons toutes les dimensions nécessaires pour répondre aux besoins clés des clients en matière de cybersécurité , de l'anticipation à l'information de nos clients sur l'actualité de la menace : nous récupérons des informations par le biais de nos propres outils ou auprès de nos partenaires et, en nous appuyant sur notre expérience, cela nous permet d'informer nos clients suffisamment tôt. Il s'agit d'un aspect important car, jusqu'à présent, notre devoir de fourniture d'informations aux autorités nationales pour informer les acteurs nationaux a été rempli.
Nous couvrons aussi la protection dynamique et la supervision, vingt-quatre heures sur vingt-quatre et sept jours sur sept, depuis les trois pays concernés. Nous utilisons une base de données très importante afin de pouvoir identifier, de façon quasiment instantanée, les attaques et réagir à des situations d'urgence .
Dans des situations de ce type, nous envoyons des équipes d'experts pour travailler main dans la main avec les clients et corriger d'éventuels problèmes.
Au titre des principaux enjeux du risque numérique, je mentionnerai deux points qui me semblent essentiels, le besoin d'innovation et la sensibilisation des acteurs.
Le besoin d'innovation est critique pour faire évoluer les outils de défense que nous utilisons pour protéger nos clients, ce qui est notre mission principale. La menace évolue extrêmement rapidement et nous sommes confrontés quasiment toutes les semaines ou tous les mois à de nouveaux types d'attaques. Pour faire face à ce type de situation, il faut investir constamment et continuer de faire évoluer notre offre. Il nous est arrivé plusieurs fois par le passé, en travaillant avec des partenaires capables de fournir des solutions complémentaires de bon niveau, de se rendre compte que certains ratent un tournant technologique. Nous avons donc besoin d'une flexibilité particulière pour pouvoir contrer les problèmes éventuels. Cela nous oblige à tester de manière continue des solutions et des partenaires et à investir fortement en recherche et développement.
Nous investissons 20 % de notre chiffre d'affaires dans le développement de solutions pour protéger les clients en cybersécurité. Nous devons aussi attirer de nouveaux experts , ce qui est un problème français et européen. Les experts, sur ce marché, sont rares et de plus en plus chers.
Le besoin d'innovation est également important pour construire une offre française et européenne, souveraine sur certains points tout en se démarquant, sur d'autres aspects, de la compétition internationale. Nous rencontrons des problèmes, comme ailleurs en Europe, du fait de la fragmentation de l'offre nationale, de la rareté des expertises et d'une capacité d'investissement limitée. Ce n'est pas seulement une question de rapport culturel au risque même si d'autres nations ont peut-être une moindre aversion au risque que la nôtre. C'est aussi parce que la période actuelle en Europe est un peu plus difficile. L'innovation est souvent présente, dans les entreprises que nous rencontrons mais la taille critique est rarement atteinte, ne leur permettant pas d'entrer dans la compétition internationale. C'est pour toutes ces raisons, que je pense qu'il faut constituer une filière française et européenne forte pour être présent sur ce marché.
La sensibilisation des acteurs , en particulier des dirigeants des entreprises, employés et comités exécutifs, constitue un autre axe de travail essentiel. L'ANSSI a oeuvré en ce sens par le passé (et continuera certainement à le faire), en publiant notamment de nombreuses études pratiques et des recommandations (quarante règles d'hygiène, passeport du voyageur, etc.), qui offrent au moins un premier niveau de protection et de sensibilisation.
D'une manière générale, en France, la prise de conscience est croissante sur le sujet. Demeurent, toutefois, des problèmes basiques, par exemple des personnes qui utilisent des clés USB ou qui installent des logiciels personnels sur leur poste de travail . On est parfois surpris de devoir récupérer une situation délicate à cause de la négligence personnelle d'un employé. Il existe aussi des tendances nouvelles de l' IT comme le cloud ou l'utilisation du portable personnel à des fins professionnelles, qui interfèrent et rendent la tâche un peu plus compliquée. Cela demande des investissements supplémentaires. Il s'agit d'éléments spécifiques de la complexité du travail sur la cybersécurité. Il n'est pas question de fermer un réseau ni de restreindre l'utilisation des solutions. Il faut anticiper les comportements à risque et fournir des solutions adaptées.
Les efforts entrepris jusqu'à maintenant sont très positifs. Je pense notamment au plan de la Nouvelle France industrielle. Il reste cependant un écart entre la préconisation et la mise en oeuvre.
La loi de programmation militaire (LPM) (notamment dans son article 22) sera certainement un élément très positif pour faire évoluer les choses. Les OIV auront à réfléchir aux implications de cette loi, qui devrait tout de même permettre de hausser sensiblement le niveau de protection de ces opérateurs avec probablement un impact positif sur la sécurité des partenaires et sous-traitants. Plus généralement, les recommandations à formuler pour les entreprises françaises sont assez évidentes à nos yeux.
Il s'agit d'abord de l'application des recommandations de l'ANSSI, de la sensibilisation des employés et des dirigeants, qui est cruciale. Il faut aussi établir un état des lieux pour comprendre au moins l'exposition au risque . Après une mise à niveau de la protection périmétrique, il faut qu'il existe une supervision permanente , par exemple par un SOC. En cas d'attaque, il faut disposer d'un contrat permettant d'intervenir sur place. La question d' une assurance « cyber » se pose même à mes yeux car l'exposition au risque de sécurité informatique a des implications économiques qui peuvent être dramatiques pour toute entreprise. Tous les acteurs économiques sont protégés contre l'incendie mais ils ne le sont pas forcément contre une attaque informatique.
En résumé, s'agissant du travail en commun réalisé jusqu'à présent par les acteurs publics et privés, du moins en France et en Europe, la situation progresse. Il faudra continuer pour assurer une protection suffisante des entreprises et créer une filière suffisamment forte en France pour répondre à ces besoins.
Mme Anne-Yvonne Le Dain . - La question des assurances ouvre des perspectives considérables car un assureur assure plus volontiers par principe un risque moindre, ce qui permet de couvrir les drames. Comment aborderiez-vous cette question ?
M. Lionel Gervais . - L'assureur seul ne pourra, à l'évidence, estimer l'exposition au risque. Il a besoin de travailler avec un spécialiste pour comprendre la situation. On peut envisager de rechercher un minimum d'hygiène informatique en mettant en place une proposition permettant de confirmer que le client a réalisé un audit et dispose du niveau de protection suffisant pour son installation. Les assureurs ne disposent pas des statistiques permettant de comprendre tout à fait l'exposition au risque. En commençant par une coopération avec les spécialistes en cybersécurité pour bénéficier de leur expertise, une compagnie d'assurance devrait être capable d'estimer grossièrement une exposition et des impacts éventuels ainsi que la capacité de réaction d'un client. Des cas particuliers peuvent être extrêmes. Nous avons tous entendu parler de Target , avec des millions de clients impactés, la chute du cours de bourse et une perte de chiffre d'affaires importante. Pour un premier niveau d'hygiène, il est sans doute possible de trouver des solutions.
M. Bruno Sido . - Je donne maintenant la parole à M. Thierry Floriani.
M. Thierry Floriani, responsable de la sécurité des systèmes d'information, Numergy . - Numergy est une société qui fournit de l'informatique en nuage souveraine. La Caisse des dépôts et consignations est présente dans notre capital. Nous venons d'être agréés pour l'hébergement de données de santé. Si nos centres de données (data centers) sont remplis de données de santé et que notre société est rachetée par une société étrangère, on voit bien l'usage que celle-ci pourrait faire de ces données qui concernent des patients français. L'existence d'un contrôle et même d'une minorité de blocage, dans la constitution du capital de l'entreprise, l'État ayant voix au chapitre sur le sujet, paraît donc légitime. Cela signifie aussi que nos activités et les données elles-mêmes sont localisées sur le territoire français, sous le contrôle de la loi française . Notre monde n'est pas si virtuel qu'on le dit parfois lorsqu'on traite de ces sujets. Il s'agit de lignes de machines, de centres de données et de consommation électrique. La France est plutôt bien positionnée de ce point de vue compte tenu du coût de l'énergie et de la disponibilité de locaux industriels ayant de fortes capacités et un prééquipement industriel. Nous récupérons ce type de locaux et nous les réhabilitons pour en faire des centres de données.
La souveraineté s'exprime aussi dans la maîtrise des outils logiciels nécessaires à la virtualisation des données. Le choix qui a été fait par notre entreprise vise à internaliser les ressources en constituant des équipes de développement assez importantes au regard de notre chiffre d'affaires et de notre taille (puisqu'elles représentent 60 % du personnel). Nous travaillons à partir de logiciels libres et contribuons au développement et à la maîtrise de ces outils par la participation à des instances de pilotage de ces logiciels libres. En effet, il est important, dans la cyberdéfense, de pouvoir modifier l'outil de production pour réagir à des évolutions de la menace . Nous ne sommes plus dans un contexte où des produits de confiance et une architecture robuste correctement administrée suffisaient à apporter un niveau minimum de sécurité. La menace évolue si vite que ce paradigme est rapidement mis en défaut. Il faut analyser la menace et réadapter l'outil au regard de cette menace. Sur les points sensibles, il faut donc maîtriser ces éléments. On pourra parler de virtualisation, des pare-feu, des sondes de détection d'intrusion .
Ce sont des éléments qu'il faut être capable de maîtriser en interne ou avec des partenaires de confiance, français dans la mesure du possible.
À l'évidence, une partie des moyens que nous utilisons ne sont pas sous maîtrise française . Je parle notamment des matériels informatiques qui sont extrêmement importants. Même si ces machines ne sont pas forcément piégées, il n'est pas sûr que les conditions commerciales qui nous sont faites soient les mêmes que celles faites à de grands concurrents américains (surtout si le fabricant est américain) et cela représente un coût non négligeable de la prestation.
En ce qui concerne le logiciel , on a su y répondre en interne. Mais tout cela requiert l'atteinte d'un volume critique. Nous investissons beaucoup en proportion du chiffre d'affaires que nous réalisons, ce qui est normal. Nos grands compétiteurs ont de l'avance et bénéficient d'un effet de masse qui joue en leur faveur. Or, en l'état, il faut aller vite. Nous avons rattrapé le retard technique et je n'ai pas d'état d'âme à ce sujet. La moyenne d'âge de nos collaborateurs est de trente-et-un ans et nos équipes sont performantes. Il faut cependant atteindre un effet de masse, en termes de volume, pour financer la recherche et prendre de l'avance. À titre d'exemple, il existe une association entre Oracle et Microsoft qui a investi trente-six milliards de dollars pour faire du nuage numérique (cloud) . Cela ne veut pas dire que cet argent sera forcément bien utilisé. Mais il serait illusoire de croire qu'ils ne sauront pas en faire quelque chose.
Par ailleurs, les données ont une valeur que de nombreuses entreprises ne mesurent pas comme il se doit. Une entreprise comme Facebook investit 1,2 milliard de dollars dans un data center sans faire payer le client ; les ressources proviennent donc de l'exploitation des données des clients et de la publicité. Rien n'est gratuit sur Internet. Nous ne nous inscrivons pas dans cette logique et nous n'avons pas ce volet d'optimisation financière : les clients qui viennent chez nous paient le service que nous proposons. Cela dit, nous respectons la loi française et n'exploitons pas les données de nos clients .
Nous sommes « nuage souverain ». Des collègues étrangers, des groupes mafieux ont essayé de récupérer des données sensibles chez nous. Nous avons eu la chance d'avoir cette contrainte dès le démarrage de la société. Nous avons donc conçu la plate-forme pour résister et nous sommes dotés d'un centre de supervision de la sécurité dont une partie des équipements sont américains car il s'agissait des seules solutions disponibles. D'autres équipements sont fournis par des sociétés innovantes. Nous avons pris le risque de ces sociétés innovantes car c'était dans notre ADN de favoriser l'écosystème français. Néanmoins, certaines sociétés qui comptent vingt ou trente personnes et qui obtiennent de meilleurs résultats qu'un certain nombre de produits américains n'ont pas atteint le volume critique pour assurer leur survie.
Mme Anne-Yvonne Le Dain . - Le terme d'innovation est dans le vocabulaire politique depuis plus de vingt ans, avec la stratégie de Lisbonne puis le Traité de Lisbonne, à dix ans d'écart. L'innovation est le coeur du système mais j'ai l'impression qu'il s'agit là d'une « tarte à la crème » depuis vingt ans.
M. Thierry Floriani . - Je suis assez à l'aise pour répondre à votre question car je reviens de l'étranger, où j'ai passé cinq ans. J'étais parti avec une image de la France un peu pessimiste, « plan-plan ». Je suis revenu car mon contrat s'arrêtait et non parce que je l'avais décidé.
Lorsque j'ai relevé le défi d'assurer la sécurité des clients de Numergy , dans un nuage public, j'ai été amené à entrer en contact avec de nombreuses petites sociétés innovantes françaises que je trouve remarquables mais qui n'ont pas l'ingénierie financière dont peuvent jouir des sociétés américaines pour amener leurs produits au niveau de développement optimal, avec un volume d'activité permettant d'entretenir ce niveau de performance. Nous avons un programme de start-up et nous voyons de nombreuses sociétés innovantes, parfois avec trois ou quatre personnes bien qu'elles proposent un produit extrêmement intéressant. Pour un éditeur de logiciel, il faut compter six commerciaux pour un ingénieur qui produit le logiciel. Une société innovante qui a dix développeurs ne peut se payer soixante commerciaux pour vendre son produit. Un fonctionnement en nuage avec des services associés peut constituer un levier intéressant car cela leur permet de toucher un plus grand nombre de clients plus rapidement. C'est d'ailleurs la raison pour laquelle ces sociétés viennent nous voir.
Nous avons en partie été financés par l'État pour démarrer et je ne compte pas « cracher dans la soupe ». Cela nous a permis de développer une plate-forme technique qui est à la hauteur des grands du marché . Il nous manque encore un peu de « customisation » mais nous sommes au niveau. L'enjeu consiste aujourd'hui à atteindre la masse critique pour s'auto-alimenter et parvenir à exister afin de se battre avec les plus grands. Je suis assez confiant. Nous venons d'être agréés hébergeur de données de santé. Cela représente un dossier de 1 310 pages et neuf mois d'attente. Nous travaillons avec l'ANSSI en vue d'obtenir une certification. Le temps a de l'importance car les mois qui s'écoulent représentent du chiffre d'affaires que nous ne réalisons pas. Dans le même temps, il faut payer nos ingénieurs et leur donner de quoi monter en puissance rapidement. Or le temps ne joue pas en notre faveur. Nous allons vite mais nous avons conscience qu'il faudrait aller encore plus vite.
Mme Anne-Yvonne Le Dain . - L'idée selon laquelle « le temps, c'est de l'argent » est vieille comme le monde. Pourquoi cela va-t-il moins vite ici ? Y a-t-il vraiment beaucoup plus d'argent aux États-Unis ? En France et en Europe, on a l'impression que le système financier nous dit « ce n'est pas notre affaire » et ne veut pas prendre de risque.
M. Thierry Floriani. - L'État a accompli sa part en investissant dans le démarrage de sociétés comme la nôtre pour leur permettre d'exister. Pour le reste, je vais prendre l' exemple d' Amazon . Le gouvernement américain a acheté, au bénéfice d' Amazon un data center complet avec les données du gouvernement américain à l'intérieur, ce qui représente un avantage compétitif considérable. Il est difficile d'imaginer ce type d'opération en France. Il existe aussi des différences culturelles. Une offre de cloud impacte le fonctionnement des DSI dans les grands groupes et il existe des freins au changement. Il faut « évangéliser » les entreprises.
En France, on parle toujours de la sécurité du nuage qui est un vrai problème. On y a à peu près répondu et on est à peu près certain d'y avoir bien répondu. Aux États-Unis, le débat en est à la phase suivante : la question est celle de la diminution des coûts des systèmes d'information des entreprises pour utiliser l'argent ailleurs. Un autre débat a trait, avec l'informatique en nuage, à la rentabilisation de l'informatique, c'est-à-dire de la consommation électrique en minimisant la pollution et la consommation énergétique. Le modèle n'est viable, à mes yeux, qu'à partir du moment où l'on atteint une masse importante. Il faut mutualiser et industrialiser. Plus vous mutualisez, plus vous baissez le coût et reportez ces baisses de coût vers les partenaires et utilisateurs finaux.
M. Bruno Sido . - Nous donnons à la parole à M. Cédric Prévost.
M. Cédric Prévost, directeur de la sécurité et de la qualité des programmes, Cloudwatt . -Je vous remercie de nous recevoir pour cette audition. Mon propos se veut un peu plus « terre-à-terre » que ce que j'aurais pu envisager initialement. Le numérique est actuellement un des principaux moteurs de la croissance en France et en Europe. Le nuage ou cloud public est le moteur des systèmes d'information de demain. L'ensemble des systèmes d'information va basculer, d'ici trois, cinq, dix ou quinze ans dans le nuage public car c'est aujourd'hui la voie privilégiée. C'est la manière d'exploiter le numérique. Nous sommes aujourd'hui très loin de mesurer l'ensemble des bouleversements qui vont être induits par cette migration des systèmes des entreprises et de l'État vers le numérique. Lorsque l'on est passé de la bougie à l'électricité, on ne s'est pas rendu compte immédiatement de l'ampleur des changements dans l'industrie. Nous pensons que nous sommes à la veille de ce type de bouleversement pour l'écosystème industriel de l' IT et pour l'industrie dans son ensemble.
Il existe un enjeu important pour la France à faire bouger les choses. J'identifie trois enjeux en particulier pour la France . Le premier vise à développer des acteurs industriels qui comptent à l'échelle européenne et mondiale dans ce monde du numérique . Les acteurs européens ne sont pas si nombreux puisqu'il n'existe que SAP et Dassault Systèmes . Nous avons une problématique de crédibilité de ce point de vue.
Le deuxième enjeu réside dans la nécessité de faire bouger les lignes de ce qu'on appelle la sécurité numérique. Le développement d'un écosystème numérique viendra avec la confiance dans ces nouveaux systèmes . Or ceux-ci sont poussés, dans l'immédiat, par les nouveaux usages numériques, plutôt « grand public », avec un focus « sécurité » qui n'est orienté que vers certaines parties. Pour développer les échanges numériques entre les entreprises et leurs fournisseurs, il faut une confiance de fond dans le système numérique. Cette confiance n'est pas établie aujourd'hui et les mécanismes de sécurité mis en oeuvre en Europe et singulièrement en France sont dépassés .
Le troisième enjeu est celui du développement territorial car derrière le numérique se dessine la possibilité pour les territoires de tirer un bénéfice économique direct , avec par exemple l'implantation de data centers et surtout la création d'écosystèmes de start-up et d'entreprises innovantes qui évoluent dans l'informatique ou qui vont bénéficier des avantages de ce secteur.
Cloudwatt fait partie des acteurs industriels capables de répondre à ces défis numériques. Nous nous attachons à accompagner l'évolution du paradigme dominant en termes de sécurité. Nous avons aussi vocation à utiliser de multiples centres de données , ce qui doit se traduire par une diversité d'implantations régionales et européennes.
Mme Anne-Yvonne Le Dain . - Nous voyons des data centers portés par des entreprises américaines qui fonctionnent très bien. Le cloud est par définition quelque chose d'improbable même s'il est tout à fait concret et réel. Comment situez-vous l'enjeu du nuage numérique pour l'économie française et la société française, dans une société mondialisée ?
M. Cédric Prévost . - Nous n'affirmons pas que ce nuage numérique doive être seulement porté, en France, par des entreprises franco-françaises, par exemple les deux cloud souverains qui ont été constitués. Ce serait une vision parfaitement archaïque. Il existe de nombreux besoins de développement du numérique qui ne requièrent pas d'être portés par un nuage régi seulement par les lois françaises ou européennes.
En revanche, les données d'une entreprise sensible comme Airbus , de même que pour Valeo ou de nombreuses autres entreprises industrielles françaises ou européennes, peuvent être exposées à des risques si elles sont stockées dans des clouds de filiales de groupes mondiaux, sachant que les principaux acteurs du secteur sont aujourd'hui américains . Cet hébergement voudrait dire que vous êtes soumis aux règles qui s'appliquent à ces entreprises telles que le Patriot Act , en conséquence de quoi ces données peuvent « fuiter » à votre insu quelles que soient les bonnes paroles et les promesses qu'on vous fait. Il y a un enjeu important autour de ces données sensibles qui représentent peut-être 30 % à 40 % des données et traitements réalisés en France et en Europe. Cette part des données traitées est cependant porteuse d'une grande part de la croissance pour l'économie française.
Cloudwatt est l'un des deux cloud souverains que je mentionnais. L'un des enjeux de cette souveraineté est la localisation des données et des traitements qui ne sont soumis qu'à la législation française et européenne. Cela peut être vérifié par les autorités compétentes et le travail réalisé par l'ANSSI autour du référentiel du cloud auquel nous avons contribué est extrêmement important car il permet qu'un tiers de confiance parfaitement reconnu garantisse que ce que nous faisons est assorti du bon niveau de sécurité pour assurer l'étanchéité et le cloisonnement de ces données qui ne doivent pas quitter le giron de l'entreprise. Cette maîtrise s'étend à la localisation et aux technologies mises en oeuvre. Nous ne sommes pas en mesure de construire en France un cloud avec des technologies 100 % françaises mais l'enjeu n'est pas là. Nous utilisons un maximum d' open source avec des ingénieurs formés en interne ou dans le cadre de la politique de développement de l'entreprise. Certes, les composants tels que les processeurs sont fabriqués à Taiwan ou au Japon et il n'existe quasiment plus de routeur européen . Nous nous attachons à construire une infrastructure de cloud qui a pris en compte ces risques.
J'évoquerais enfin le besoin de changer le paradigme de sécurité. La construction d'une offre de cloud française qui se veut souveraine, à des prix fixés par le marché, représente un défi. Le prix de la souveraineté est aujourd'hui difficile à monnayer. Les prix du marché, dans le cloud , sont fixés essentiellement par Amazon , dans une moindre mesure par Google et Microsoft . Si vous ne vous alignez pas sur ces prix, vous ne survivrez pas. L'enjeu consiste à construire des éléments souverains qui répondent à ces contraintes externes. Cela suppose notamment de faire évoluer la perception de la sécurité, qui a surtout été envisagée, depuis quinze ans, comme une sécurité périmétrique, de façon statique. On mettait en place les bons équipements, de façon bien pensée, avec les bonnes règles. Dans la vraie vie, cela ne se passe évidemment pas de cette façon. La sécurité d'un système ne s'apprécie pas uniquement lors de sa construction mais tout au long de sa vie. Même si vous construisez un système sain, sa sécurité se dégrade naturellement dans le temps. L'enjeu consiste, avec des dizaines de millions de connexions et d'utilisateurs, à maintenir ce niveau de sécurité en sachant que le système subira des attaques « classiques » (qui représentent 98 % des attaques constatées, répertoriées et aisément identifiables) et des attaques atypiques. Il faut donc être en mesure d'identifier les 1 % ou 2 % d'attaques qui sortent de ce schéma avec des technologies aujourd'hui maîtrisées par un faible nombre d'acteurs. L'un des atouts de Cloudwatt réside dans la présence, au sein de son actionnariat, de Thales , qui est un des experts mondiaux pour ce type de sécurité. Cela permet aussi de bénéficier de ce type d'innovation en termes de recherche de solutions de sécurité adaptées aux nouveaux schémas avec une volumétrie importante.
M. Bruno Sido . - La parole est à M. Laurent Heslault, de Symantec en France .
M. Laurent Heslault, directeur des stratégies de sécurité, Symantec en France . - Je vous remercie de nous donner la parole et de nous donner l'occasion de nous exprimer. Notre mission est de développer des outils pour protéger des infrastructures informatiques et industrielles mais aussi les informations et les identités.
Pour ce faire, nous avons construit en un peu plus de vingt ans un grand système d'observation et de l'évolution des menaces qui nous permet de développer des outils qui seront ensuite utilisés par les différents clients ou fournisseurs de services, entreprises, Gouvernement et particuliers, pour mettre en place ces solutions de sécurité. Je suis en phase avec ce qu'indiquait M. Stanislas de Maupeou sur la cyberdépendance, voire la « cyberinterdépendance », car il sera difficile de revenir en arrière. Nous sommes hyperconnectés, partout et tout le temps. Nous sommes dans un environnement qui s'est fortement complexifié.
Il y a vingt ans, on pouvait dessiner à main levée, sur un tableau, le schéma du système d'information d'une entreprise. Avec le cloud , les réseaux sociaux, la mobilité, c'est fini. Nous sommes dans une société d'hyperconnectivité et d'hypercomplexité. S'y ajoute un État hypercompétitif. Nous sommes dans l'hypercompétitivité au niveau des entreprises et des États , ce qui relève fortement le niveau d'attaques au regard de ce qu'on a pu connaître ces dernières années.
Il y a quelques mois, un de nos patrons affirmait que les antivirus étaient morts. Cela a surpris tout le monde mais ce n'est pas faux car les menaces auxquelles nous avons affaire aujourd'hui sont très différentes de ce qu'on voyait il y a trente ans lorsque nous commencions à protéger les ordinateurs. Ce territoire d'évolution a été marqué par la progression, en maturité, des attaquants et par la diversification de leurs motivations ( hackers , cybercriminels, cyberterroristes, cybermercenaires, etc.). La modélisation de ces attaques est faite et nous disposons de modèles précis de ces attaques. La question porte sur la façon dont on y répond.
Au niveau macroscopique, il nous semble que c'est la cyberrésilience qu'il faut rechercher . Dans quelle mesure le système d'information est-il résilient ? Qu'ai-je fait pour me protéger de la prochaine attaque voire de l'attaque en cours ? Que vais-je faire pour y répondre et redémarrer le plus rapidement possible, avec des moyens dégradés voire avec du papier ? On va traiter la question en réfléchissant à la notion de risque. À quel niveau la gestion des risques informatiques est-elle positionnée dans le traitement des risques qui entourent l'entreprise ? Le World Economic Forum , qui se tient à Davos chaque année, a classé les cyberattaques au quatrième rang mondial des risques concernant notre société et considère que ce sujet devrait occuper la de uxième place d'ici douze à dix-huit mois . La Lloyd's place les cyberrisques au troisième rang des risques qui menacent les entreprises. La Lloyd's propose d'ailleurs des systèmes de cyberassurance, sauf pour l'énergie, domaine jugé trop risqué.
Il faut envisager la gestion des risques en traitant les vulnérabilités, qui sont de trois ordres : les hommes, les processus et la technologie. S'agissant des êtres humains, on peut agir par la formation et l'information en vue de parvenir à une prise de conscience correspondant à un véritable état de vigilance. Tous les tests de pénétration parviennent encore à leur but, c'est-à-dire mettre en évidence une faille dans le système de sécurité d'une entreprise, parce qu'on laisse une clé USB dans un parking. Il y a toujours beaucoup de travail à faire de ce côté-là. Il y a aussi beaucoup à faire du côté procédural. Toutes les études réalisées à ce sujet montrent que des employés qui quittent une entreprise emportent toujours avec eux des données appartenant à l'entreprise. En France, 61 % des personnes interrogées quittent l'entreprise avec des données appartenant à cette dernière. Nous avons aussi conduit une étude demandant aux entreprises françaises à quel niveau elles valorisaient le capital informationnel . Le chiffre moyen obtenu en France est 30 %, alors qu'il est de 50 % dans le monde. Nous sous-valorisons ce capital.
D'ailleurs, lorsqu'on demande à nos interlocuteurs où se trouvent leurs informations sensibles et s'ils savent qui y a accès, la réponse est « non ». Il existe des technologies qui sont là pour mettre en oeuvre ce niveau de sécurité. Elles nécessitent des ressources humaines. Nous proposons des produits qui seront mis en oeuvre dans les entreprises dont c'est le métier. Là aussi, il existe un vrai manque et nous pourrions avoir beaucoup plus d'entreprises françaises en mesure de traiter la protection des infrastructures et des identités . Il faudra d'abord mettre en place le niveau de communication et de coordination pour les internautes mais aussi pour les professionnels, les entreprises et, évidemment, pour le secteur public, car il y a aujourd'hui un vrai manque de communication et de collaboration.
Il y aurait grand intérêt pour la collectivité à renforcer ces liens de coopération avec des spécialistes , pourvu que les pouvoirs publics nous montrent la voie. M. Bruce Schneier, qui est reconnu sur les sujets dont nous parlons, et à qui il peut arriver de dire des choses intelligentes, a dit : « la sécurité, c'est un état d'esprit », ce qui est tout à fait vrai. Ce ne sont pas seulement des outils, des lois et des personnes compétentes.
Mme Anne-Yvonne Le Dain . - Vous avez insisté sur le terme d'identité. Pourriez-vous préciser votre pensée ?
M. Laurent Heslault . - Il s'agit des éléments permettant d'identifier de manière certaine un individu, un fichier ou un objet connecté. Cela fait partie des vulnérabilités que l'on observe. Le vol d'identité, au sens des individus mais aussi pour l'objet informatique au sens large, nous préoccupe au plus haut point. En ce qui concerne l'Internet des objets, nous avons devant nous des milliards d'objets qui sont censés nous représenter. C'est un des principaux enjeux pour demain. Nous avons commencé, historiquement, à protéger les infrastructures. Avec l'Internet des objets, l'identité de toute chose sera fondamentale, ne serait-ce que les adresses IP , qui deviennent un véritable sujet de préoccupation .
Mme Anne-Yvonne Le Dain . - L'adresse IP n'est pas un élément que l'on peut changer très facilement.
M. Laurent Heslault . - Cela va évoluer avec les nouvelles versions de l' Internet Protocol . Sa version 6 va répondre à un certain nombre de questions devenues courantes du fait du nombre limité fourni par l' IPV 4 . On voit souvent l' IPV 6 comme une réponse à ces limites. Mais le protocole a aussi été pensé de façon un peu plus sécurisée.
Par ailleurs, un grand nombre de systèmes connectés arrivent sur le marché sans que la sécurité n'ait été spécifiquement pensée dans leur processus de fabrication . Lorsqu'on choisit un véhicule, la sécurité est un élément très important. Pour à peu près n'importe quel objet connecté, la sécurité apparaît comme un élément négatif, ce qui est finalement assez paradoxal. Certaines technologies permettent d'identifier de façon plus précise « qui fait quoi » et comment.
Mme Anne-Yvonne Le Dain . - Il y a une espèce de grand « on » qui crée des choses, des mots, un vocabulaire que nous nous approprions tous mais avec deux ou trois ans de retard. Le cloud , le nuage, est dans le paysage public depuis quatre ou cinq ans à peine. On a l'impression que le vocabulaire arrive puis s'impose à tous. Or il naît avant de se diffuser. Comment se fait-il que nous ne participions pas, en France et en Europe, à la création de ce vocabulaire ? Nous savons tous que le vocabulaire fait sens. Comment crée-t-on les mots pour désigner tous ces champs et ces objets nouveaux ?
M. Thierry Floriani . - Nous étions présents lors de la première révolution de l'informatique, avec l'ordinateur - qui est un mot français. Nous avons raté la révolution Internet. Ce sont des mots anglo-saxons. Ce sont eux qui ont imposé la technologie et le savoir tout en maîtrisant l'influence qui accompagne ces sujets. Par exemple, les adresses IP sont définies par des organismes extra-européens . L'objectif est de ne pas rater la troisième révolution qui est celle des objets communicants et du citoyen numérique , de l'avatar numérique de chacun d'entre nous pour faire en sorte qu'il existe et soit protégé.
Mme Anne-Yvonne Le Dain . - J'ai un peu l'impression que les Américains imposent la norme, comme si le marché créait la norme et non l'inverse. Comment se fait-il qu'en Europe, nous n'y parvenions pas ? Prenons l'exemple des noms de domaine. Je trouve magique ce qu'il se passe en ce moment avec les noms de domaine. Les Américains, très brillants, décident d'un seul coup d'externaliser le système et nous trouvons tous cela formidable. Pourquoi ne sommes-nous pas aussi malins ? Je pense d'abord, à travers ce « nous », à la France et, en second lieu à l'Europe.
M. Stanislas de Maupeou . - Il me semble que ce n'est pas tant un sujet de sécurité qu'un sujet de gouvernance de l'Internet. Il y a deux ou trois ans, la ville de Paris a dû payer 180 000 dollars aux États-Unis pour pouvoir enregistrer le nom de domaine « .paris » . De ce point de vue, nous sommes quasiment dans un état de « colonie numérique » et la reconquête est à organiser , ce qui me semble être le sens de la création d'entreprises comme Cloudwatt . Mais la sécurité n'est que le révélateur d'une perte de maîtrise plus large qui ne se réduit pas à cet aspect.
M. Luc Renouil, directeur du développement et de la communication, Bertin Technologies , vice-président de l'association Hexatrust d'éditeurs français de la confiance numérique. - Il faut être lucide. Les Américains se sont développés parce qu'ils ont été intelligents et manoeuvriers. Leurs sociétés se sont développées à partir de zéro. Ce qu'on constate dans le numérique, c'est l'héritage d'une vision industrielle limitée à quelques champions en déconsidérant la filière et tous les outils de construction de solutions industrielles dans la durée. L'intelligence des Américains est d'avoir été manoeuvriers. Nous ne le sommes pas et nous ne sommes pas près de l'être. Nous avons deux sociétés européennes parmi les cinquante premiers éditeurs mondiaux, SAP et Dassault Systèmes . Je me suis permis de prendre la parole en tant que représentant d'une PME soucieuse de faire bouger cet état de fait.
M. Badi Ibrahim, directeur des opérations, P1 Security . - Le monde des télécoms est un des rares exemples où l'Europe a imposé ses normes. Avec l'avènement de la 4G, les Américains et Asiatiques nous rejoignent après que ce fut le cas pour le GSM, pour lequel nous étions en avance. Nous sommes donc capables d'être leaders et ce n'est pas une fatalité d'être à la traîne partout.
M. Bruno Sido . - La parole à M. Beylat, président du Pôle Systematic.
M. Jean-Luc Beylat, président du Pôle Systematic Paris-Région . - Je vous remercie de votre invitation. Je m'exprimerai ici au nom du Pôle de compétitivité Systematic, centré sur les problèmes dont nous discutons. L'intitulé de la présente audition me fait réagir d'emblée car le numérique n'est pas un risque mais une opportunité. Il faut parler de confiance numérique. Dans le numérique se trouvent des risques mais manger est également risqué comme tous les actes de la vie. Globalement, le numérique constitue une opportunité.
Dans le groupe thématique « confiance numérique » du Pôle Systematic sont réunis trente-six grands groupes et soixante-dix PME (dont celle dirigée par M. Luc Renouil), huit entreprises de taille intermédiaire (ETI) et vingt-six laboratoires de recherche publique. Depuis la naissance du pôle, cet environnement sur la confiance numérique a engagé et labellisé un peu plus de quatre-vingts projets, pour un investissement global de 400 millions d'euros en R&D - montant financé majoritairement par le secteur privé.
Les acteurs de ce segment envisagent la question comme un espace d'innovation. Je signale d'ailleurs que les objectifs de Barcelone n'avaient rien à voir avec l'innovation puisqu'ils portaient sur des dépenses de R&D.
Ce n'est pas parce qu'on dépense qu'on est efficace. Le focus n'a pas réellement été mis sur l'innovation dans la stratégie de Barcelone puisqu'il s'agissait d'injonctions de dépenses. Comme cela a été souligné, tout passe par les outils numériques. La confiance ou la sécurité numérique constitue un terrain de bataille économique dans lequel l'innovation fait la différence. Plusieurs acteurs en France peuvent prétendre jouer un rôle dans ce domaine. Globalement, la filière du numérique génère un chiffre d'affaires de 13 milliards d'euros pour les acteurs français, dont 65 % sont réalisés à l'exportation . C'est donc un espace de croissance pour les acteurs français, avec une croissance moyenne de 7 % par an selon les données de l'Alliance pour la confiance numérique.
La cybersécurité doit s'adapter aux mutations du comportement des entreprises. Il faut d'abord souligner la rapidité de l'évolution des technologies. Avec la « cloudification » des services, il devient essentiel de suivre la dynamique des innovations. Il faut innover autour de la mobilité-sécurité. Il ne faut pas arriver avec des solutions plaçant l'employé dans un environnement sécurisé mais impraticable car il emprunterait alors les portes latérales et les risques seraient amplifiés.
Il en est de même pour le nuage, vers lequel il faut pousser les entreprises car celles-ci vont y trouver une dynamique, en termes de service et de coûts de fonctionnement, dont elles ne bénéficieront pas si elles conservent leurs anciennes solutions. Mais il faut les accompagner dans la sécurisation de ces développements. Il faut projeter les acteurs français vers ces objectifs en termes d'innovation.
La plupart du temps, on se rend compte que la conception des systèmes est suffisante en termes de sécurité car de nombreuses attaques ne sont pas très « fortes » . Elles deviennent performantes dès lors que l'architecture d'ensemble n'a pas été bien pensée. Il faut diffuser la culture de sécurité parmi les entreprises et particulièrement les PME qui présentent une vulnérabilité particulière. Travaillant chez Alcatel-Lucent , qui est une entreprise franco-américaine, j'ai pu constater qu' il existait une culture de sécurité plus aisément enseignée dans les entreprises américaines que dans les entreprises européennes . Il y a pourtant là des choses assez simples à mettre en place.
Le groupe thématique « confiance numérique » du Pôle Systematic a avancé quelques propositions qui méritent d'être débattues. La première consisterait à réformer la législation française et européenne en visant un niveau de protection obligatoire pour les opérateurs d'importance vitale (OIV), en aidant les PME à se protéger . On peut en effet être un opérateur d'importance vitale sans que le cadre législatif associé n'ait été défini en matière de sécurité. Cela paraît l'élément le plus important, plutôt que de placer des éléments dans telle structure au motif qu'elle est financée par la Caisse des dépôts et consignations - sans vouloir être désobligeant. Ce n'est pas le financement qui crée la souveraineté.
Mme Anne-Yvonne Le Dain . - Je rebondis sur vos propos pour évoquer ce qui se produit actuellement entre BNP Paribas et les États-Unis. On peut se demander d'emblée pourquoi les Américains mettent à l'amende une banque française et ce n'est pas très lisible même si on se penche sur la question. On découvre que la menace de sanction est brandie parce que la BNP Paribas a encaissé des transactions réglées en dollars.
Mme Agnieszka Bruyère, directrice de services de sécurité, IBM France . - Les fonds ont transité par BancWest , une filiale de BNP Paribas .
Mme Anne-Yvonne Le Dain . - Il est impensable pour une PME de raisonner de la sorte. Les entreprises n'ont-elles pas intérêt à tout facturer en euros ?
M. Stanislas de Maupeou . - C'est le client qui impose de traiter dans telle ou telle devise. L'euro est une monnaie européenne. Il est très rare de rencontrer, hors d'Europe, des clients acceptant de régler en euro.
Mme Agnieszka Bruyère . - Si les clients se trouvent dans des pays étrangers, on s'aligne sur la monnaie qui y est couramment utilisée.
M. Stéphane Lenco, membre du bureau, Groupement interprofessionnel pour les techniques de sécurité des informations sensibles (GITSIS). - Pour le groupe Airbus , le marché a été structuré par les Américains et la monnaie attendue par les clients, où qu'ils se trouvent dans le monde, est le dollar. À quelques exceptions près, nous négocions d'emblée en dollars.
Mme Anne-Yvonne Le Dain . - Nous sommes donc pilotés par le Patriot Act .
M. Stéphane Lenco . - C'est quelque peu le cas, en effet.
M. Jean-Luc Beylat . - Je souhaitais formuler une deuxième proposition. La taille des grands acteurs est liée à la dépendance européenne. Or on peut réduire cette dépendance grâce à des outils français ou européens en s'appuyant sur la dynamique de l' open source . C'est ce que nous avons vu dans le cloud. Lorsqu'on sort des modèles propriétaires, on quitte d'abord une dépendance. Les logiciels de l' open source bénéficient d'un cerveau collectif archi-connecté et avancent beaucoup plus vite. Ce sont pratiquement les éléments structurants du cloud aujourd'hui et ne sont dépendants de personne. Nous le voyons bien dans la communauté du Pôle Systematic .
La troisième proposition vise à mettre en place des solutions de souveraineté européennes lorsqu'elles sont pertinentes . Il faut différencier ce qui est pertinent et ce qui ne l'est pas. À titre d'analogie, dans une salle blanche, on va s'attacher à avoir un niveau de propreté très important à l'entrée de la pièce. Dans les zones où la propreté est moins critique, la vigilance sera moindre. Il en est de même en matière de sécurité. Il faut focaliser les efforts là où ils sont pertinents d'autant plus que la situation évolue aussi du point de vue de la valeur des données et de leur criticité. Il y a aujourd'hui de nombreuses informations qui ne valent plus rien.
M. Bruno Sido . - La parole est à Mme Agnieszka Bruyère.
Mme Agnieszka Bruyère, directrice de services de sécurité, IBM France . - Je vous remercie pour votre invitation. Je représente IBM , l'entreprise qui propose à la fois les solutions de sécurité, une très large gamme ayant pour ambition de traiter les questions de bout en bout, les services de sécurité et les services du cloud. Nous avons commencé cette aventure avec notre data center basé à Montpellier, transformé ensuite en une plate-forme de fourniture de service de type cloud.
L'information est numérisée partout et des systèmes tels que le cloud s'ouvrent de plus en plus aux consommateurs de même qu'aux partenaires et clients des entreprises, dans tous les pays. Même les consommateurs français peuvent acheter des services et des biens hors de France.
Il faut prendre garde à la réflexion menée sur la cybersécurité en France pour ne pas amputer les entreprises françaises de gains potentiels de compétitivité sur un marché global qui permet à certains pays de progresser.
Il existe aussi des enjeux de sécurité et IBM reconnaît la nécessité de protéger de façon particulière le champ relevant de la souveraineté de la France avec des moyens précisément identifiés. Il peut s'agir de solutions françaises si on ne peut pas certifier une solution étrangère. On peut également s'appuyer sur des services de confiance et des dispositifs tels que des solutions de chiffrement ou encore des systèmes de détection des anomalies. Nous comprenons parfaitement cette nécessité. Nous essayons de nous y inscrire et espérons obtenir la certification de certains de nos produits car nous pensons que ce sont de bons produits. Il ne faut pas que la France soit amputée des capacités de défense contre les cyberattaques au motif d'une politique industrielle qui ne tienne pas compte de certains impératifs de sécurité.
En ce qui concerne les sociétés de télécommunications ou du secteur de l'énergie , il existe des domaines critiques qui nécessitent une vigilance absolue car ces domaines sont vitaux pour la nation. De nombreux systèmes d'information de ces entreprises relèvent simultanément néanmoins d'une informatique classique. Il faut adapter ses moyens au regard de la typologie des données et des systèmes considérés.
Dans l'industrie, l'énergie et les télécoms, il faut tenir compte de la résilience des infrastructures . Il ne faut pas pousser à réaliser des investissements colossaux mais plutôt rechercher un équilibre entre les investissements relevant des domaines d'importance vitale et ceux nécessaires pour le fonctionnement des entreprises et des organisations au quotidien.
Un autre sujet important a trait à la nature des attaques . Statistiquement, les attaques proviennent majoritairement des États-Unis, du Japon et de la Chine et nous avons besoin de connaître les modes opératoires des attaques ainsi que les techniques utilisés pour être performant dans la façon de se protéger. Cette collaboration doit être établie. J'espère qu'elle le sera enfin entre les États. Mes collègues ont évoqué des groupes d'attaques sponsorisées par des gouvernements en visant la propriété intellectuelle d'un État ou de ses entreprises clés. Au titre des services de surveillance que nous proposons aux entreprises, nous nous rendons compte aussi que des groupes vont attaquer de grandes entreprises car ils estiment que leur comportement sociétal n'est pas approprié. Il faut chercher à comprendre qui sont ces acteurs et comprendre comment ils opèrent sur le plan technologique pour mettre en place des défenses appropriées. Nous jouons un rôle important vis-à-vis des opérateurs d'importance vitale pour proposer ces services qui ne nécessitent pas d'entrer dans leur système d'information, ce qui est un point important.
Il faut des solutions souveraines dans certains domaines mais l'État et la France, d'une façon générale, ne vont pas assez vite dans la transformation des systèmes d'information vers des dispositifs de type cloud . Effectivement, l'État américain a décidé d'acheter une solution de cloud à Amazon ; ce serait formidable s'il pouvait en être de même en France. On ne va pas assez vite, ce qui est dommageable pour les solutions françaises destinées à servir les intérêts souverains. Ce rythme d'évolution se répercute sur les petites entreprises dans l'adaptation de leurs solutions de sécurité.
Enfin, vous avez mentionné le Patriot Act et la question de la sécurité du cloud . Je voudrais juste apporter une réflexion à ce sujet car nous échangeons beaucoup avec nos clients qui sont des opérateurs d'importance vitale ou non. Le cloud n'est qu'une capacité de calcul et de stockage. Il existe des technologies ouvertes ou propriétaires. On y place ensuite des données mais on a les capacités technologiques de protéger ces données même si elles se trouvent dans le data center d'un tiers et si l'exploitation des couches techniques incombe à un tiers. Il faut avoir cela en tête. Le cloud peut être tout à fait sûr et cette sûreté peut être apportée par une politique de souveraineté mais aussi par les choix de technologie en conséquence desquels même l'hébergeur ou l'exploitant ne pourra avoir accès aux données.
IBM a fêté sa présence en France depuis cent ans et nous souhaitons continuer d'accompagner les entreprises françaises. C'est la raison pour laquelle nous souhaitons obtenir la certification de nos services. Nous comprenons les besoins de sécurité qui existent et nous souhaitons pouvoir apporter notre expertise, à travers un service qui ne touchera pas le système d'information de nos clients. Nous plaidons aussi pour une harmonisation des textes réglementaires en France et en Europe . Je crois que c'est de visibilité et de la cohérence de l'ensemble que nous avons le plus besoin.
M. Bruno Sido . - Vous dites qu'on cherche à savoir qui sont les attaquants. Sont-ils toujours les mêmes ou se renouvellent-ils ? Par ailleurs, comment gagnent-ils leur argent et quelles sont leurs motivations ? L'objectif est-il ensuite de vendre des systèmes de sécurité informatique ?
Mme Agnieszka Bruyère . - Les groupes d'attaquants organisés existent et sont assez facilement identifiables. Ils opèrent en utilisant différentes techniques de plus en plus sophistiquées. Je ne livrerai pas nos secrets sur la façon de suivre ces groupes. Il faut a minima suivre les groupes existants.
Certains groupes sont financés par les États , pour l'espionnage et parfois pour introduire l'instabilité dans un État. Il existe aussi des liens financiers. Dans l' affaire Target , qui a déjà été mentionnée, une entreprise de distribution s'est fait voler, après l'introduction dans son système d'un programme pirate, les données de caisse et les informations contenues sur les cartes bancaires de ses clients, ce qui a donné lieu à des préjudices qui se comptaient en centaines de milliards de dollars, au point de faire couler l'entreprise. Des gains peuvent venir d'usurpations d'identités voire de la vente de cartes bancaires volées. Ces opportunités de gains sont nombreuses, d'où l'intensification des attaques.
M. Laurent Heslault . - Les sources de financement dépendent beaucoup de la motivation des groupes concernés. Pour les attaquants qui suivent une motivation politique ou idéologique, le financement ne pose pas trop de problème. La connexion avec les réseaux de cybercriminalité est assez ténue. Ce sont des groupes qui pratiquent ainsi depuis des années. Ils sont organisés comme des entreprises avec des services R&D, marketing , etc. Vous pouvez acheter ce type de service. Il existe du « crimware as a service » . Ceci existe depuis des années. Il s'agit parfois de groupes très identifiés. Dans certains cas, on est confronté à des groupes qui se forment en fonction des besoins et de leurs projets. Ils se reconnaissent sans se connaître. On trouve ces acteurs dans ce qu'on appelle le « dark web » ou le « deep web » . Il y a beaucoup d'argent qui y circule, avec sans doute un chiffre d'affaires de quelques dizaines de milliards de dollars .
Je voudrais ajouter un dernier point sur le cloud. Nous avions demandé aux entreprises françaises de taille petite et moyenne si elles étaient présentes dans le cloud . Elles répondaient majoritairement « non », au motif de la sécurité des données. Dans le même temps, 90 % d'entre elles nous disaient qu'elles seraient plus sécurisées qu'aujourd'hui si elles devaient être présentes un jour dans le cloud . Il y a là un vrai paradoxe.
M. Bruno Sido . - Nous poursuivons avec M. Luc Renouil.
M. Luc Renouil, directeur du développement et de la communication, Bertin Technologies , vice-président de l'association Hexatrust d'éditeurs français de la confiance numérique. - Je suis un dirigeant de Bertin Technologies , PME française ayant une activité d'éditeur de logiciels. Je suis aussi un des fondateurs d' Hexatrust , une alliance d'éditeurs de logiciels de sécurité français qui cherchent à se développer sur le marché français et à l'exportation. Nous avons créé cette alliance il y a un peu plus de six mois.
Récemment, les notaires français ont choisi une solution de deux de nos adhérents - de préférence à une solution étrangère - pour la sécurisation de certaines de leurs données. Nous, nous disons que nos idées peuvent, petit à petit, faire leur chemin.
S'agissant de Bertin , nous avons une offre assez simple qui repose sur deux produits, l'un de vigilance et d'early warning , MediaCentric , et l'autre une solution souveraine de cloisonnement logiciel sur le poste de travail, Polyxène . Je me sens à l'aise dans la discussion qui a lieu cet après-midi.
Je suis frappé par la convergence des questions qui se font jour aujourd'hui entre le monde des entreprises et du marché, d'une part, et celui de la défense, d'autre part . On a construit des systèmes de sécurité sur le principe de la ligne Maginot, en oubliant le mode de défense en profondeur . En développant un OS souverain pour le gouvernement français, on a fait le choix de la défense en profondeur. Je pense que ce choix sera payant dans la durée. Parallèlement, on est impacté aujourd'hui par une lubie selon laquelle nos employés pourraient apporter leur propre matériel informatique sur leur lieu de travail .
Le patron de la sécurité de Hewlett-Packard ( HP) explique sans ambages que, sur un ordinateur HP , il n'y a que des données de HP et qu'il est interdit de l'utiliser à titre personnel. Encore faut-il avoir le courage d'affirmer les choses de cette manière.
Je crois qu'il faut réconcilier les usages, la sécurité et les environnements de travail. C'est notre travail au quotidien que d'essayer d'apporter des réponses pour favoriser cette convergence. De leur côté, les entreprises américaines sont extrêmement efficaces pour proposer des solutions qui conviennent à la plupart des clients français et européens.
Je suis frappé par la nécessaire notion de souveraineté numérique . Il ne faut pas être naïf. Nous sommes dans une guerre économique et nous avons négligé la réflexion sur la notion de souveraineté qui est rarement évoquée hors du domaine de la défense. Elle émerge de nouveau et je raisonnerais en termes de cercles de confiance plutôt que de façon dichotomique : que devons-nous absolument faire avec des solutions intégralement françaises ? Que pouvons-nous faire avec des partenaires européens ? Que devons-nous faire, y compris vis-à-vis d'alliés comme les Américains, qui pourraient le comprendre ? Pour le reste, qu'est-ce qui relève d'une coopération fondée sur les mécanismes de marché en souhaitant que le meilleur gagne ? Je pense qu'il faut creuser cette problématique de souveraineté.
Le point suivant que je souhaitais aborder n'a été qu'effleuré : il s'agit de l'exposition du tissu des PME et des entreprises de taille intermédiaire . Ce tissu peut être très exposé aux menaces et au risque numérique. De nombreuses entreprises du secteur de l'énergie (en particulier dans le domaine nucléaire) ont été victimes d'attaques répétitives il y a deux ou trois ans, parmi lesquelles des entreprises relativement grandes, d'autres beaucoup plus petites. On peut envisager des applications « tout en un » destinées aux PME pour mettre à leur portée des services de sécurité relativement simples mais nécessaires. Il faut y réfléchir en ayant conscience du fait que la culture et les moyens mis en oeuvre aujourd'hui ne sont pas toujours à la hauteur des enjeux.
Enfin, je voudrais rappeler que si la sécurité n'a pas de prix, elle a un coût. Chacun doit l'intégrer, au niveau de l'État comme dans les grands groupes. Dans chacune de nos entreprises, cela coûte de l'argent. Il s'agit aussi d'un champ de compétences et de services que nous rendons à nos clients. La question rejoint celle des modèles économiques. On parle du cloud comme s'il s'agissait d'un fait acquis. L'Europe découvre les modes de délivrance des solutions informatiques et il y a là une ingénierie extrêmement efficace de nos meilleurs amis américains. Nous devons nous montrer tout aussi vigilants. On parle par exemple aujourd'hui d' antivirus français . Mon collègue de Symantec vous confirmera sans doute qu'un antivirus ne paie pas : on le met à la disposition des utilisateurs pour pouvoir leur vendre d'autres services associés. Le développement d'un antivirus coûte très cher et on recherche nécessairement la vente de services plus globaux.
M. Laurent Heslault . - La réalité est plus compliquée que cela. C'est une logique industrielle. Même avec le meilleur outil du monde, on ne pourra le maintenir durant trente années, vingt-quatre heures sur vingt-quatre et sept jours sur sept. En outre, les virus représentent moins de 2 % de toutes les menaces et « saletés » qui circulent aujourd'hui.
M. Luc Renouil . - J'en viens aux deux ou trois propositions que je souhaiterais formuler, dont certaines ont déjà été mentionnées, notamment par le représentant de Numergy .
Je crois que les grands acteurs français, éventuellement avec leurs alliés (comme Microsoft pour Bertin Technologies ) doivent rechercher des partenariats en vue de la mise au point de solutions de souveraineté entre des éditeurs et offreurs de solutions tels que des PME et de plus grands donneurs d'ordres. Les pouvoirs publics, à commencer par l'ANSSI, doivent faire preuve de volontarisme de ce point de vue. Ne nous leurrons pas : les qualifications de sécurité présentent un coût. Il faut pouvoir l'assumer car elles permettent de se différencier de la concurrence.
Ma deuxième préconisation vise à discerner les thématiques et les axes de coopération européenne qui permettent de couvrir des besoins liés aux opérateurs d'importance vitale quel que soit leur domaine d'activité (énergie, télécoms). C'est en effet à ce niveau que l'on peut rendre viables des modèles économiques distincts. De la sorte, on parviendra à construire les différents cercles de confiance avec des moyens ad hoc .
M. Cédric Prévost . - Un point important vient d'être soulevé à propos du coût de la sécurité. Les prix du marché ne sont fixés ni par les acteurs français ni par les acteurs européens. On ne peut ajouter des couches de prix dans les offres industrielles et l'enjeu de la sécurité numérique ne réside pas dans « plus » de sécurité mais dans la recherche d'un « mieux » en termes de sécurité . Depuis quinze ans, on a ajouté des couches de sécurité. Il faut à mon avis en enlever pour créer une sécurité plus simple, plus lisible et qui coûte moins cher.
M. Bruno Sido . - La parole est à M. Bernard Ourghanlian.
M. Bernard Ourghanlian, directeur technique et sécurité, Microsoft France . - Le panorama de la sécurité numérique, au sens large, met en évidence trois évolutions récentes importantes. La première est hélas l'irruption, dans de nombreux systèmes d'information de très grandes entreprises françaises ou étrangères et de grands organismes étatiques, des Advanced Persistent Threats (APT) , c'est-à-dire des adversaires déterminés à attaquer des systèmes d'information dans l'objectif d'en prendre le contrôle.
Il faut admettre que ces tentatives sont souvent couronnées de succès, y compris dans des entreprises très honorablement connues ou dans de grands ministères . Je pense en particulier au ministère des finances, victime d'une attaque dont la presse s'est faite l'écho. Ce phénomène tend à s'installer. Nos équipes travaillent notamment en collaboration étroite avec l'ANSSI pour tenter d'éradiquer ces phénomènes une fois qu'ils sont intervenus. Depuis cinq ans, je crois qu'il n'y a pas une seule journée où nos équipes n'ont pas été impliquées par au moins une crise de sécurité majeure chez de grands acteurs. Le phénomène est donc préoccupant car il aboutit à l'exfiltration de centaines de giga octets de données qui sortent des systèmes d'information des entreprises et organismes publics en direction d'endroits difficiles à identifier mais situés souvent dans le sud-est asiatique. Force est de constater que ces tentatives sont malheureusement très efficaces puisque l'installation dure pendant des mois, parfois des années , conduisant souvent à l'évaporation d'un certain nombre de secrets industriels ou de propriété intellectuelle, de façon très préjudiciable.
Le deuxième phénomène est potentiellement prometteur mais inquiétant si on ne l'utilise pas de la bonne façon : il s'agit du big data , c'est-à-dire la capacité à collecter des données en provenance des individus et, d'une façon générale, toutes les traces numériques que nous laissons derrière nous. Cette possibilité peut avoir des impacts tout à fait positifs (par exemple s'il est envisagé d'utiliser ces données pour développer un vaccin contre le sida) ou au contraire très négatifs (par exemple s'il s'agit de transformer un État ou une entreprise en une sorte de « big brother » extrêmement dangereux).
Le troisième phénomène est sans doute le plus médiatisé depuis l'affaire Snowden et les démêlés divers et variés liés à la NSA . Je veux parler du rôle des États . Ceux-ci ont eu un rôle significatif dans le cyberespace ces dernières années mais leur rôle n'a jamais été autant mis en évidence qu'à travers cette affaire. Ce rôle est extrêmement subtil, allant de celui de simple utilisateur (pour conduire les opérations de l'État et servir les citoyens) à celui d' exploitant du cyberespace (pour assurer l'ordre public, effectuer des tâches d'espionnage voire conduire la guerre par d'autres moyens) en passant par le rôle de protecteur du cyberespace (faire en sorte que des crimes commis par l'utilisation de technologies numériques puissent être punis comme le prévoit la loi).
Dans ce contexte, l'État joue un rôle subtil de protection des citoyens, de leur liberté et de protection de la sécurité et de l'ordre public. L'affaire Snowden met en lumière la complexité de ce rôle et la difficulté à trouver un juste équilibre entre la sécurité et le respect de la vie privée. Pour prendre le big data comme une illustration de cette subtilité, on peut aujourd'hui imaginer de collecter des données sans savoir à l'avance de quelle façon on pourra en tirer parti (positivement ou négativement pour l'utilisateur). La réglementation en vigueur en matière de respect de la vie privée prévoit le recueil du consentement explicite de l'utilisateur mais ces dispositions ne sont pas appliquées de façon à permettre à l'utilisateur d'être pleinement conscient de ce qu'il accepte en permettant la collecte de ses données . Il semble difficile d'imaginer qu'on pourra l'informer de manière suffisante sans pour autant décrire toutes les utilisations qui seront faites de ses données, pourvu qu'on sache que ces données pourront être utilisées dans deux, trois ou quatre ans pour son bien (par exemple pour une étude épidémiologique). Il en résulte des interrogations sur l'adéquation du régime actuel de protection de la vie privée. L'internaute moyen n'a pas les moyens de lire les dix pages de contrats relatives à l'utilisation qui pourrait être faite de ses données. Il est aussi très difficile de prévoir l'usage que l'on pourrait faire de ces données.
Bien que la France et l'Europe soient assez en avance dans la prise en compte des sujets liés au respect de la vie privée, l'irruption du big data suscite des interrogations et appelle une réflexion plus approfondie que ce qui a été conduit jusqu'alors. On pourrait imaginer de reporter sur l'utilisateur des données la responsabilité de cette utilisation, avec par exemple une charte éthique ou une loi décrivant ce qu'il est autorisé de faire et jusqu'où il est possible d'aller. Ce cadre n'est pas défini aujourd'hui. Les nouveaux usages du numérique mettent ainsi en évidence l'insuffisante prise en compte de nombreuses dimensions liées aux enjeux du respect de la vie privée .
Il est nécessaire de prendre en compte la nécessaire amélioration de la sécurité qui ne procède pas toujours de dépenses substantielles. Il y a deux ans et demi, M. Patrick Pailloux, directeur général de l'ANSSI, avait insisté sur la mise en oeuvre d'une hygiène au sein des systèmes d'information . Je pense que cet appel demeure nécessaire. La capacité à faire des choses aussi simples que la mise à jour des systèmes ou la mise en place de mots de passe convenables pour des comptes sensibles doit être développée car ces prérequis ne sont pas toujours respectés, aujourd'hui encore. Il s'agit souvent d'une simple question de bon sens et il est vrai que la sécurité implique beaucoup de bon sens.
Plus largement, un travail important de pédagogie reste à produire , notamment auprès des entreprises (y compris les plus grandes) et des décideurs qui voient souvent la sécurité comme un mal nécessaire qui n'apporte pas grand-chose à l'entreprise.
Il faut aussi faire en sorte que nos concitoyens soient toujours au fait de ces enjeux car on ne peut considérer que la sécurité de l'Internet peut être approchée dans une logique de silo. On peut en effet rendre inopérants des systèmes d'information extrêmement bien protégés du seul fait d'une sécurité insuffisante des postes de travail se trouvant à domicile. Ce sont des sujets vastes et il est nécessaire de mettre en oeuvre un certain nombre de dispositifs de pédagogie, à l'école, au collège et dans les lycées. Il faut aussi dispenser une information plus systématique auprès de ces publics et de nos concitoyens, à l'image de ce qui existe par exemple en Grande-Bretagne , avec la diffusion de programmes de sensibilisation sur la BBC , à des heures de grande écoute . On ne trouve jamais cela en France : la sécurité informatique est un sujet qui fait peur et on va généralement faire peur à tout le monde sans avancer des solutions. J'insisterai sur ce fragile équilibre entre la sécurité, le respect de la vie privée et l'importance de la sensibilisation de tous ces acteurs.
M. Bruno Sido . - La parole est maintenant à M. Badi Ibrahim.
M. Badi Ibrahim, directeur des opérations, P1 Security . - Il y a un an, le 6 juin 2013, avec l'affaire Snowden on découvrait l'existence de Prism , système d'espionnage mis en place par la NSA . S'ensuivit un important volume de documents transmis progressivement au travers plusieurs titres de presse. On apprenait alors que l'agence de sécurité américaine surveillait des centaines de milliers d'ordinateurs à travers le monde mais aussi des téléphones portables, différents moyens de communication, et que les États-Unis d'Amérique auraient espionné plusieurs dirigeants européens, notamment des chefs d'État, des leaders mondiaux et des diplomates français.
La nécessité de renforcer la sécurité des réseaux s'impose au vu de l'ampleur de l'espionnage - y compris de la France - comme en témoignent les programmes Prism , l'espionnage de câbles sous-marins de télécommunications intercontinentales, le piratage de la filiale BICS de Belgacom ainsi que celui des entreprises chinoises de téléphonie mobile ; des documents détaillés attestent ces faits.
Depuis 1998, les experts de la société P1 Security ont mené des recherches appliquées dans le domaine de la sécurité des réseaux critiques, mobiles et de la télécommunication. Forte de son expertise technique et de son expérience internationale auprès des acteurs du secteur des télécommunications, notre société a réalisé de nombreuses études et audits qui ont permis d'identifier près de 800 vulnérabilités affectant de nombreux équipementiers tels que Cisco , ZTE , Ericsson , Nokia Siemens Networks ou encore Alcatel-Lucent ainsi bien sûr que de plus petits acteurs.
Les chercheurs de P1 Security ont depuis longtemps démontré que les réseaux de signalisation téléphonique appelés 557 et GRX sont exposés à de multiples vulnérabilités permettant l'espionnage , tel que dans l'affaire BICS de Belgacom .
Ce sont ces méthodes qui sont encore utilisées par la NSA et que nous avons communiquées lors de plusieurs conférences, en France comme à l'étranger, depuis plus de dix ans. Récemment encore, lors de la conférence « Hackito Ergo Sum », en avril 2014, ici à Paris, les chercheurs de P1 Security ont présenté des études de sécurité des HLR ( Home Location Register ) et HSS ( Home Subscriber Server ) au sein des réseaux de téléphonie mobile et constaté qu' un HLR ou HSS pouvait être mis hors service à l'aide de paquets créés par un attaquant. Ces HLR et HSS constituent le coeur des réseaux mobiles. Ce sont les équipements du réseau responsables du stockage des données des utilisateurs, c'est-à-dire des bases de données comprenant les identifiants, la localisation de l'abonné, etc. Ils sont massivement interconnectés et s'appuient sur un grand nombre de services et applications internes.
À titre d'illustration, pour un réseau d'environ 20 millions d'abonnés, on trouvera 5 000 à 100 000 antennes radio pour seulement un à vingt HLR .
Dès lors, il ne s'agit plus de s'attaquer à 100 000 équipements : il suffira parfois d'en compromettre un seul pour rendre le service indisponible . Par exemple, après avoir réalisé une reconnaissance des différents équipements sur le réseau d'un opérateur, les chercheurs de P1 ont été capables de localiser précisément la position des utilisateurs connectés à ce réseau téléphonique mobile. Ils ont en plus été capables d'émettre des appels et SMS depuis le numéro de leur choix, à l'échelle nationale et internationale.
Ces vulnérabilités soulèvent le problème de la disponibilité des réseaux des OIV mais aussi les possibilités qu'ont les attaquants de les compromettre ainsi que la confidentialité des informations, notamment pour les utilisateurs exerçant des responsabilités importantes, leurs contacts, les communications, leurs SMS. S'agit-il de faiblesses techniques inhérentes à ce type de réseau, le fait d'un manquement de la part des opérateurs ou des vendeurs ou encore de problématiques organisationnelles ? Y a-t-il un manque de régulation de la part des organisations internationales et/ou nationale ? Il faudra bien sûr trouver le moyen de répondre à ces interrogations et, à défaut de mettre un terme à ces agissements, apporter certains ajustements.
Tout d'abord, il faut rappeler que les opérateurs de télécoms sont de plus en plus exposés à divers types d'attaques allant de la fraude au déni de service. Pour ces raisons, les gouvernements de nombreux pays, y compris la France, ont intégré dans leur loi de programmation militaire un chapitre rappelant les enjeux de la sécurité et le besoin de sécuriser ces réseaux OIV. En effet, compte tenu du nombre d'abonnés utilisant ces services et des entreprises ou services de l'État directement impactés par un défaut de ces réseaux, il est clair que ces infrastructures font partie de la vie de nos concitoyens et n'appartiennent plus seulement aux opérateurs, dont la responsabilité est de veiller à leur bon fonctionnement. Dès lors, toute panne entraînant une perte de service exposerait ces opérateurs d'importance vitale à des poursuites ainsi qu'à des réparations financières importantes. On peut citer l'exemple d' Orange en 2012, qui a subi une interruption de service de douze heures pour vingt-six millions d'abonnés. Le même cas de figure s'est produit pour l'opérateur britannique O2 , avec plusieurs heures d'interruption de service pour 7 millions d'abonnés. Des problèmes similaires ont été recensés chez Verizon aux États-Unis, T-Mobile en Allemagne et chez de nombreux autres opérateurs. Tous ces problèmes étaient liés, entre autres, à une défaillance du HLR HSS . Au-delà de ces exemples qui font les gros titres de la presse, on entend rarement parler des problèmes touchant les opérateurs.
Il existe en effet un manque de transparence de la part des vendeurs mais aussi des opérateurs à ce sujet. Pour autant, je veux énumérer certains des problèmes fréquemment rencontrés par nos équipes lors des audits de sécurité qu'elles réalisent. En 2013, un opérateur japonais nous a contactés après quatre pannes massives qui ont impacté seize millions d'abonnés. Nos recherches ont montré que ces pannes provenaient de failles techniques sur des équipements Nortel récemment acquis par Hitachi . Il s'agissait vraisemblablement d'équipements d'ancienne génération peu ou pas maintenus après le rachat de cette ligne d'équipements Nortel qui entraient en conflit avec d'autres équipements du coeur de réseau.
Cet exemple montre le risque d'accidents involontaires existant avec certaines technologies obsolètes . Compte tenu des évolutions rapides dans le domaine des télécommunications, les opérateurs sont amenés à intégrer fréquemment de nouveaux systèmes tout en maintenant l'opérabilité avec les anciens équipements. C'est le cas notamment pour les équipements de deuxième ou de troisième génération qui cohabitent avec de nouveaux équipements de quatrième génération.
S'il est vrai que les nombreux problèmes identifiés touchent particulièrement les équipements de deuxième ou troisième génération, nous aurions tort de penser que ces réseaux seraient plus sécurisés du fait du déploiement de la 4G . Dans cette course aux nouvelles technologies, motivée par la volonté des opérateurs de proposer toujours plus de service à leurs abonnés mais aussi de concurrencer d'autres acteurs de l'Internet comme Google , Skype , Facebook , ces développements sont rapides, parfois trop rapides pour avoir été testés .
Par exemple, en 2013, lors du déploiement d'un nouveau réseau LTE pour un opérateur du Pacifique, nous avons prouvé qu'il était possible de mener plusieurs attaques (vol de données, fraude, intrusion) parfois simplement en utilisant un téléphone ou une clé 4G appartenant à un abonné du réseau.
De nombreux problèmes sont liés au manque de maturité des applications ou des équipements utilisés mais pas seulement. De nombreux opérateurs désactivent volontairement les mécanismes de sécurité déjà peu nombreux parce qu'ils pourraient créer des latences sur les réseaux. C'est notamment le cas concernant le chiffrement entre les antennes radio et le coeur du réseau. C'est tout particulièrement critique lorsqu'on sait qu' il suffit de se brancher à la place d'une de ces antennes radio pour être directement connecté au coeur du réseau. Ces antennes, nombreuses, sont situées en haut des immeubles, parfois en pleine campagne et donc particulièrement exposées. D'autre part, plusieurs audits réalisés en Europe en 2014 ont montré un état critique de la sécurité, tant pour les réseaux de téléphonie fixe que pour les réseaux mobiles (2G, 3G, 4G) . Nous avons pu mettre hors service tout ou partie des équipements de coeur de réseau dans de nombreux pays en l'espace de quelques secondes ou encore pris le contrôle complet du réseau de téléphonie directement depuis des armoires de télécommunications dans la rue.
Enfin, de nombreux cas de fraude ou d'intrusion recensés chez des opérateurs sont causés par des attaques internes provenant de réseaux amis ou partenaires . C'est là une des failles principales des réseaux de télécommunication. En effet, tout opérateur doit être interconnecté à un cloud privé qu'on appelle SS7 (système de signalisation # 7) dans le cas de la 2G/3G, GRX/IPX dans le cadre de la donnée mobile et donc peut adresser tout ou partie des équipements de coeur de réseau des autres opérateurs. Il est impossible ou presque de se prémunir contre les attaques ciblant directement les routeurs ou les bases de données des autres opérateurs.
Bien pire, il est possible de se connecter à ces réseaux quand bien même on ne serait pas un opérateur . C'est le cas de P1 Security , qui possède plusieurs interconnexions lui permettant de mener des audits à distance pour le compte de ses clients. D'ailleurs, il n'est pas indispensable d'être connecté à ces cloud privés pour avoir accès à des équipements de coeur de réseau. Comme expliqué par l'un des intervenants lors de l'audition publique de l'OPECST du jeudi 19 juin dernier, certains outils web permettent de recenser sur Internet bon nombre d'équipements sensibles y compris des équipements de coeur de réseau qui appartiennent aux opérateurs. Ces équipements qui ne devraient pas être connectés sur Internet le sont parfois par négligence. Il s'agit parfois d'équipements de tests ou encore d'équipements de production pour des besoins de maintenance.
Qu'il s'agisse de problèmes techniques liés aux technologies obsolètes, que ces problèmes soient posés par un empilement d'infrastructures (2G, 3G, 4G), auxquels il faut ajouter un grand nombre de périmètres voisins (réseaux ADSL , Pay TV , Internet, entreprises) ou encore les réseaux d'interconnexion (voix, data , etc.), de toute évidence, les réseaux des opérateurs d'importance vitale, prétendus fermés, sont en réalité exposés à de multiples angles d'attaque .
Il faut y ajouter trois grands problèmes spécifiques au monde des télécoms. Le premier est le manque de sensibilisation à la sécurité des réseaux télécoms . Souvent, les opérateurs ignorent les problèmes de sécurité, paradoxalement parce qu'ils craignent toute action susceptible d'avoir un impact négatif sur la disponibilité du réseau. On préfère donc ne rien toucher tant que cela fonctionne. Le problème numéro deux est le manque de contrôle ou de systèmes de détection dans les réseaux .
Il est difficile de s'attaquer sérieusement aux problèmes de sécurité quand les opérateurs n'ont pas même de système d'alarme pour recenser le nombre ou le type d'attaques auxquelles ils sont exposés. Jusqu'à présent, seuls des systèmes de taxation réactive sont utilisés. Ils ne permettent de détecter les fraudes qu' a posteriori .
Alors que dans le monde IP, on trouve des pare-feu, des proxys, des anti- spam et qu'on s'interroge même sur les nouvelles méthodes qui ne soient plus périmétriques, il en est autrement dans les réseaux télécoms , où les protections sont souvent bien faibles lorsqu'elles sont activées .
Le problème numéro trois réside dans le manque de gouvernance qui relie des opérateurs peu nombreux (environ 50 opérateurs mobiles internationaux) et les équipementiers (sept ou huit équipementiers majeurs dans le monde). Les uns et les autres sont tentés de se rejeter la responsabilité de la sécurité et des failles lorsqu'elles sont identifiées, ce qui peut nécessiter parfois jusqu'à un an pour les résoudre. Ce problème de gouvernance est aussi à l'origine de nombreuses failles de configuration compte tenu des organisations complexes des opérateurs.
Nous avons observé trois nouvelles tendances dans les attaques menées contre les réseaux de télécoms . Le big data est important de même que les objets interconnectés . On parle dans les télécoms de technologies « machine-to-machine ». Les femtocell, équipement de relais radio présents à nos domiciles, fournissent un exemple d'équipements « machine-to-machine » que nous avons pu exploiter assez facilement. Grâce à de la rétroingénierie, il est possible de subtiliser des certificats présents dans ces femtocell et de les utiliser avec les cartes SIM qui accompagnent ces équipements pour se substituer à l'identité de ces équipements, ce qui offre un accès direct au coeur de réseau.
La deuxième tendance est bien sûr la cyberattaque . Il existe de multiples affaires dans ce domaine, par exemple Telecom Italia pour citer une des plus récentes. Cela met en jeu des agents motivés et compétents face auxquels les opérateurs sont souvent démunis. Cela ne doit pas servir d'excuse pour ne pas se prémunir contre ces acteurs du cyberterrorisme ni même livrer son réseau à la NSA comme l'a révélé récemment Vodafone .
Il existe enfin des attaques ciblant directement les vulnérabilités des équipementiers , ce qui constitue la dernière tendance en date que nous ayons observée. Il n'est pas rare de trouver des vulnérabilités suspectes qui ressemblent bien plus à des portes dérobées ( backdoors ) laissées volontairement. C'est, par exemple, le cas d'un certain nombre de commandes cachées par les opérateurs (notamment Huawei ), qui permettent de réactiver ou de désactiver certaines fonctionnalités à distance.
Si ces problèmes inhérents aux infrastructures des réseaux télécoms sont nombreux et souvent critiques, des solutions existent. Elles sont d'une part techniques, par exemple en équipant ces réseaux de multiples mécanismes de sécurité, notamment du chiffrement avec des Virtual Private Network (VPN) , de la prévention (pare-feu, anti- spam ) ou encore de la détection (sondes de sécurité). On peut aussi utiliser des solutions référencées qui excluent ou non certains vendeurs.
Il faudra privilégier la sécurité tout en préservant nos intérêts stratégiques. D'autres pays l'ont fait, notamment les États-Unis et la Chine. Il faut aussi définir des guides de sécurisation technique à l'intention des opérateurs . Enfin, il faut auditer les réseaux télécoms , pas seulement une fois par année civile comme le préconise le décret n° 2012-1266 du 15 novembre 2012 mais en définissant les vrais enjeux, les risques et les périmètres.
S'agissant des problématiques organisationnelles, il faudra surtout sensibiliser les équipes de sécurité (y compris les équipes dirigeantes) et demander davantage de transparence aux opérateurs et aux équipementiers , par exemple à l'aide d'une certification spécifique des équipements et des réseaux .
Aucune certification de ce type n'existe à ce jour et les vendeurs, ainsi que les opérateurs, suivent principalement les recommandations des organismes de normalisation ainsi que celles des organisations telles que la GSMA ou encore des critères communs. Malheureusement, ces recommandations de haut niveau ne sont pas suffisamment détaillées pour garantir un niveau de sécurité efficace.
D'une manière générale, nous préconisons plusieurs initiatives et notamment :
• l'organisation de nouveaux consortiums et forums de recherche en sécurité , pour une meilleure coordination de la sécurité télécoms ;
• une cartographie active des acteurs et réseaux télécoms et mobiles ;
• une relation avec les chercheurs en sécurité pour rester indépendants face aux groupes de pression et normalisateurs, qu'ils soient influencés ou influenceurs.
Comme l'expliquait M. Pascal Chauve, conseiller du secrétaire général de la défense et de la sécurité nationale (SGDSN) la semaine dernière lors de son audition publique par l'OPECST au Sénat, certaines mesures sont en cours de finalisation en France. Il s'agit, par exemple, de l'audit conduit par des prestataires de contrôle qualifiés par l'État, de l'obligation pour les opérateurs d'alerter l'ANSSI en cas de problème ou encore de la constitution d'une base de données de signature d'attaques. Malheureusement, ces mesures réactives sont encore trop timides et tardives pour avoir un réel impact sur les opérateurs et les vendeurs. Ceux-ci sont déjà dans une logique trop lourde et insuffisamment orientés vers des solutions innovantes.
En Europe de l'Est, nous avons travaillé avec un opérateur qui a développé sa propre solution de détection d'attaques, de façon très intéressante. Nous encourageons l'ANSSI à collaborer davantage avec les sociétés du domaine pour ne pas appauvrir le tissu innovant des sociétés. Il faudra d'ailleurs que ces mesures soient appliquées à une plus grande échelle et avec le concours de nos partenaires européens si l'on veut éviter que nos concitoyens ne soient exposés dès lors qu'ils se déplacent à l'étranger.
M. Bruno Sido . - Je donne la parole à M. Stéphane Lenco, du GITSIS.
M. Stéphane Lenco, membre du bureau, Groupement interprofessionnel pour les techniques de sécurité des informations sensibles ( GITSIS ) . - Je représente ici le GITSIS. Je suis par ailleurs officier central de sécurité des systèmes d'information du groupe Airbus .
Le GITSIS regroupe un certain nombre d'acteurs qui sont des opérateurs d'importance vitale. À ce titre, ces acteurs sont tous sensibilisés au risque numérique et ont une perception des menaces qui les entourent.
Pour la plupart des acteurs du GITSIS, la problématique de la sécurité numérique est aussi celle d'un marché international. La souveraineté s'entend au plan national. Pourquoi une solution souveraine française serait-elle plus légitime qu'une solution souveraine allemande ou britannique ? C'est une problématique réelle. Au-delà de la souveraineté, il faut la confiance, avalisée par l'État, sous quelque forme que ce soit. L' open source est à la fois intéressant et terrible car il est placé sous le regard de tous. Nous avons vu avec la faille SSL , qui a été largement médiatisée, qu'un produit libre et gratuit pouvait présenter de longue date des vulnérabilités - intentionnelles ou non.
On retrouve chez tous ces acteurs avec lesquels la France agit de nombreuses solutions technologiques curieusement similaires sans concertation préalable. La plupart de ces solutions sont d'origine étrangère au sens large, en particulier américaines . Cela constitue un profil de risque qu'il peut être intéressant d'identifier du point de vue des enjeux économiques pour l'État.
Enfin, notre secteur, qui regroupe principalement des acteurs de l'aéronautique et de l'espace, montre qu'on ne peut plus agir seul. On travaille dans une dynamique d'entreprise étendue avec des partenariats européens et souvent internationaux. Nous travaillons ainsi avec d'autres acteurs qui n'ont pas nécessairement le même degré de perception du risque. Lockheed Martin a été attaqué il y a quelque temps, de notoriété publique, à tel point que le gouvernement américain considérait que la totalité du programme d'avion de chasse avait été perdu , à l'exception de quelques îlots qui avaient été extrêmement protégés.
Cet acteur a opéré un revirement complet du point de vue de sa supply chain , en révisant le comportement à adopter vis-à-vis de PME conventionnées qui n'ont évidemment pas les moyens de grands groupes ni toujours la maturité requise sur ces sujets.
Je voudrais enfin évoquer la ligne floue qui sépare la vie privée de la vie en entreprise . Certains voient cela sous l'angle du travail à domicile, sur les ordinateurs personnels. Il existe aujourd'hui des scénarios d'attaque qui ne relèvent pas de la science-fiction, dans lesquels l'individu est attaqué car il est beaucoup plus vulnérable et va transporter cette vulnérabilité dans son entreprise, qui peut être mieux protégée. On a, par exemple, fait entrer, dans un cas connu, un virus via une clé USB au sein d'un environnement qui était, en principe, totalement isolé.
S'agissant du risque numérique d'une façon générale, j'aime renverser la logique pour étudier la menace plutôt que le risque . Celui-ci est intéressant pour savoir ce que l'entreprise va assumer en tant que risque résiduel. Certaines personnes réagissent vivement à la notion de risque technique ou scientifique. Un risque est aussi une opportunité. C'est parce qu'on prend des risques qu'on est capable d'aller de l'avant. Si nous n'avions pas lancé le programme A300 avec l'idée folle de créer un avion commercial en concurrençant les Américains, Airbus ne serait pas là où il est aujourd'hui.
Le métier d'officier de sécurité en entreprise, qui est complexe, vise à sensibiliser tous les acteurs de l'entreprise à la réalité du risque. Les medias matérialisent en ce moment les rêves les plus fous de paranoïa qui existent dans la majeure partie du public avec tout de même un certain degré de crédibilité. Nous pouvons aussi être perçus comme des ayatollahs et comme des gens qui recherchent le risque zéro, même si bien entendu le risque « zéro » n'existe pas. Notre objectif est d'identifier un équilibre acceptable pour les dirigeants, en particulier, dans le fonctionnement quotidien de l'entreprise.
Le risque principal contre lequel nous luttons n'est pas nécessairement le déni de service ni l'altération du site web . C'est plutôt un enjeu d'intelligence économique, c'est-à-dire le risque de fuite de notre savoir-faire et de notre capital intellectuel . Nos appareils sont le fruit de dizaines d'années de recherche et développement. Si ce travail est annihilé parce qu'un concurrent se l'approprie, nous aurons perdu tout l'investissement réalisé durant des années, voire des décennies, parfois conjointement avec des États.
Notre travail est facilité lorsque nous bénéficions du soutien de l'État. Les informations protégées de défense sont entourées par un corpus de règles, de lois et de sanctions (y compris des peines de prison). La situation est plus délicate lorsqu'on doit composer avec un risque matérialisé pour l'entreprise dans vingt ou trente ans, avec des dirigeants qui se soucient surtout du cours de la bourse. Si nous dépensons 100 000 euros pour telle ou telle « brique » de sécurité supplémentaire, le gain que nous allons en tirer sera-t-il supérieur à cet investissement ? C'est sur ces aspects que nous focalisons principalement notre attention.
La défense en profondeur , qui fait aujourd'hui figure de « tarte à la crème », désigne la démarche consistant à protéger les éléments les plus importants dans la durée pour l'entreprise. Encore faut-il avoir identifié ces éléments. Il s'agit souvent d'éléments diffus, notamment dans le cloud . On parvient tout de même à savoir où sont ces informations critiques qui doivent faire partie de la défense en profondeur.
Avant même cette défense en profondeur, certains acteurs n'appliquent pas les règles d'hygiène de base et ont leurs portes ouvertes sur Internet, avec un taux de survie de leurs informations ridiculement bas. En tant que grands groupes, dans les contrats que nous passons avec eux, nous prévoyons toujours une phase préalable d'audit pour mesurer le risque que nous allons prendre en nous connectant à leur système. Ces audits se concluent souvent par des appréciations et recommandations. Nous leur disons finalement « vous mettez en danger notre entreprise, vous devez vous améliorer ». Malgré tout cela, la situation ne s'améliore pas toujours.
La France est un pays qui a beaucoup de créativité et de nombreux atouts. On ne peut pas se permettre d'être partout. Des pays comme les États-Unis et la Chine ont des ressources financières beaucoup plus importantes. L'enjeu consiste à savoir sur quelles innovations technologiques nous allons mettre l'accent pour les pousser à l'échelle française et européenne. La France est d'autant plus efficace lorsqu'elle a le soutien de ses partenaires européens. Le plan 33 pour une Nouvelle France industrielle s'efforce d'identifier ces éléments, ce qui est positif. Nous devons nous concentrer sur ces éléments et cesser des « guéguerres » entre un certain nombre de sociétés très innovantes qui passent leur temps à se bagarrer entre elles à l'échelle franco-française alors que l'enjeu réside dans l'acquisition d'une crédibilité à l'échelle internationale.
M. Bruno Sido . - Je donne la parole à M. Jean-Marc Grémy, vice-président du Club de la sécurité de l'information français ( CLUSIF ) .
M. Jean-Marc Grémy, vice-président du Club de la sécurité de l'information français (CLUSIF) . - Je représente effectivement le CLUSIF, association née il y a trente ans de la volonté des compagnies d'assurance de comprendre le risque immatériel qui était alors moins bien appréhendé par les assureurs. On parle aujourd'hui du cyberrisque.
Nous fédérons 600 personnes et 270 entreprises de tous secteurs (secteur privé, secteur public) et de toutes tailles. Nous avons publié hier soir une étude qui nous rappelle qu' une grande partie des incidents de sécurité liés aux technologies de l'information résultent essentiellement d'incidents internes liés au mauvais usage de certains éléments. La presse se fait l'écho d'attaques malveillantes venant de pirates de tous genres au plan international mais il ne faut pas oublier cette origine interne, plus banale, de nombreux problèmes.
Mme Anne-Yvonne Le Dain évoquait la nécessité d'être impertinent. J'observe à cet égard qu'aucun représentant du patronat français n'est présent aujourd'hui. J'aurais aimé débattre avec ses représentants pour savoir de quelle façon ils perçoivent la notion de risque, l'investissement dans la sécurité numérique et les enjeux dont nous discutons aujourd'hui.
Pour de nombreuses entreprises, le risque signifie l'absence de mise en danger. Pour certaines d'entre elles, tout risque est aussi synonyme d'opportunités. C'est grâce à cet opportunisme, notamment, que nous avons un champion de l'aéronautique en France. Lorsqu'on est patron de la sécurité d'une grande entreprise, on veut plutôt éviter les risques qui sont synonymes de danger. La vérité est sans doute entre ces deux appréhensions de la notion de risque. Il ne faut pas imaginer que les entreprises vont externaliser l'ensemble de leur système d'information dans le cloud , ne serait-ce que pour des raisons sociales et parce qu'elles souhaitent conserver leur souveraineté. On peut aussi avoir une méfiance vis-à-vis de son propre gouvernement lorsqu'on opère dans le monde industriel. Il est important de ne pas oublier qu'un certain nombre d'entreprises ont de grandes peurs face au risque d'attaques de leur système d'information.
Nous avons interrogé 350 entreprises de plus de 200 collaborateurs et 99 % d'entre elles nous disent qu'elles ne peuvent se passer de leur système d'information plus de quarante-huit heures. Ce constat rejoint la problématique à laquelle sont confrontés les opérateurs d'importance vitale qui doivent avant tout être en mesure de délivrer leur service qui fonde leur raison d'être. Il faut d'abord être en mesure de remplir sa mission et ses obligations. Par ailleurs, on voit que 34 % des entreprises interrogées n'ont pas encore nommé de responsable de la sécurité . Je sais que le RSSI ne peut pas tout et n'est en aucun cas un « homme providentiel » pour la sécurité des entreprises. Cependant, lorsqu'on n'a désigné aucun responsable de la sécurité, personne ne peut porter ce discours, comprendre les risques et être force de proposition vis-à-vis de la direction de l'entreprise.
Je remercie toujours M. Snowden car certains ont découvert l'été dernier que des États se livraient à l'espionnage. Sans rouvrir ce débat, on voit aujourd'hui que 31 % des entreprises sensibilisent leur personnel, contre 18 % aujourd'hui. On lui explique ce qu'est le risque numérique, terme parfois confondu avec celui d'informatique (lequel est assimilé à la technique, là où le numérique embrasse un contexte plus large). 66 % des entreprises refusent aujourd'hui le Bring Your Own Device ( BYOD ou AVEC en français), c'est-à-dire l'utilisation dans le périmètre de l'entreprise, en tant qu'outil professionnel, d'un équipement personnel , par exemple son smartphone ou sa tablette). Le discours de certaines institutions, comme l'ANSSI, commence donc à porter ses fruits dans des entreprises où l'on refuse de céder à l'envie d'être avant-gardiste.
En termes de sinistralité, le plus gros problème porte sur la perte des services essentiels, pour 40 % des entreprises interrogées. La notion de vol d'informations ou de matériels physiques vient en deuxième position et est citée par 35 % des entreprises.
On voit aussi que de nombreuses entreprises n'ont pas encore défini un plan de continuité de l'activité (PCA ) . Ce n'est pas parce qu'on gère les risques qu'il ne se produira jamais rien. Il existe toujours une part de risque. En France, on maintient une armée car on n'a pas totalement écarté l'hypothèse selon laquelle un autre État aurait l'idée saugrenue de nous envahir. C'est cette notion de risque résiduel. Ce n'est pas parce qu'on ne veut pas qu'un élément se produise qu'il ne se produira jamais. Des entreprises n'ont pas encore pris en considération cette dimension, par exemple les risques de perte d'alimentation en énergie de leur data center .
Nous voyons que nous manquons encore de personnes en mesure de porter cette sécurité dans les entreprises, au sein de la Direction générale et vers les directions « métier » qui sont demandeuses d'une amélioration de la sécurité des systèmes d'information pour atteindre leurs objectifs et garantir leurs revenus, en établissant un pont avec l'outil informatique. Il s'agit aussi de faire en sorte que les équipes informatiques comprennent leur rôle et que les utilisateurs le comprennent aussi pour que la sensibilisation de tous les acteurs de l'entreprise soit plus forte. L'actualité est parfois déformée par la façon dont elle est rapportée par les journalistes mais cela nous donne de belles opportunités de sensibilisation pour faire écho à ce que relate la presse en expliquant que la perte de données personnelles, comme l'a subi Domino's Pizza la semaine dernière, n'arrive pas qu'aux autres. Cela se produit dans tous les secteurs d'activité. Même une entreprise qui livre des pizzas durant les matches de football n'est pas à l'abri.
Nous avons des groupes de travail et invitons les opérateurs d'importance vitale à rejoindre le CLUSIF pour débattre entre eux dans un espace privé et personnel. Ils peuvent y trouver ensemble non des solutions mais des axes d'amélioration pour une meilleure prise en compte de la sécurité dans leur environnement.
M. Bruno Sido . - Pour conclure, je voudrais que M. Christian Daviot nous livre le point de vue de l'ANSSI sur tout ce qui s'est dit cet après-midi.
M. Christian Daviot, chargé de la stratégie auprès du directeur général, Agence nationale de la sécurité des systèmes d'information ( ANSSI) . - Je voudrais tout d'abord souligner la bonne réactivité des industriels français. On vient de le voir dans le cadre de la loi de programmation militaire puisqu'on a mis au défi les industriels présents ici, notamment, de sortir en dix-huit mois les premières versions d' équipements de détection d'attaques informatiques avec nos spécifications qui évoluent dans le temps. Il faut une certaine agilité intellectuelle et en matière de R&D pour répondre à nos exigences, parfois élevées. Cela dénote donc une grande agilité et une compétence certaine. J'espère que nous aurons rapidement, une fois les arrêtés parus, en fin d'année ou en début d'année prochaine, des équipements informatiques de détection d'attaques informatiques au sein des opérateurs d'importance vitale, ce qui n'empêchera pas d'accueillir des équipements de détection dans d'autres systèmes critiques ni de maintenir l'ouverture de certains marchés à nos amis et concurrents américains.
Nous avons d'ailleurs une très bonne coopération avec les grands acteurs de différents pays, américains mais aussi anglais et allemands, tant il est vrai qu'il faut, en matière de défense des systèmes d'information, collaborer avec nos alliés qui sont en même temps nos concurrents. Nous échangeons aussi des informations avec certains pays d'où viennent des attaques parce que nous avons des ennemis communs, sans doute à l'image de ce qui existe dans le renseignement. Nous avons une excellente coopération avec des entreprises étrangères dont certaines sont présentes ici. Sans les compétences de Microsoft , par exemple, nous n'aurions jamais sorti Bercy de la situation dans laquelle s'est trouvé le ministère.
Je voudrais également évoquer la réflexion stratégique. M. Luc Renouil soulignait qu'il fallait savoir ce qui doit être protégé. C'est fait, tant du point de vue des équipements que des services. Au sein de l'État, la stratégie, en matière de cybersécurité, est assez claire. En revanche, elle ne peut être définie dans un horizon plus long que deux ou trois ans. Il m'est impossible de savoir ce qui peut se produire dans un horizon plus long en matière d'attaques informatiques. Le Livre blanc sur la défense et la sécurité nationale paru en 2008 évoquait le grand risque de DDoS. L'ANSSI a adopté en conséquence une stratégie en 2010. On a découvert quelques mois plus tard que les attaques les plus importantes relevaient d' Advanced Persistent Threats (APT) . Nous avons alors dû changer de fusil d'épaule et faire évoluer notre stratégie. Je ne suis pas sûr que nous ayons suffisamment de visibilité, au-delà de deux ou trois ans, pour lancer les programmes industriels permettant de savoir ce que les attaquants vont faire dans deux ou trois ou quatre ans.
La France est souvent brocardée pour son incapacité à travailler avec l'Europe. Elle a pourtant largement inspiré la directive dite « Nice » , votée par le Parlement européen en mars 2014, qui constitue en quelque sorte l'équivalent d'une loi de programmation militaire à l'échelle européenne. Nous avons déjà transposé ces principes dans notre droit, d'une certaine manière.
Je terminerai par les PME . Nous avons un tissu industriel de 600 PME très innovantes, selon le recensement que nous avons effectué. Elles commencent à se regrouper et Hexatrust en est un très bon exemple.
M. Bruno Sido . - Merci à tous d'avoir apporté vos témoignages au cours de l'ensemble de cette journée extrêmement instructive ; d'autant plus que vous avez pu réagir aux propos tenus par les uns et les autres.
Cette table ronde sera particulièrement utile aux rapporteurs que nous sommes. Mme Anne-Yvonne Le Dain s'associe à mes remerciements.