Compte-rendu du FIC 2016

Filtrer par catégorie :

18 Février 2016 by Julia Juvigny
Compte-rendu du FIC 2016
« Pour atteindre de grands objectifs, nous devons oser de grandes choses ». Cette référence au traité de stratégie militaire De la guerre, écrit par Carl von Clausewitz, résume l’atmosphère « guerrière » qui régnait au Forum International de la Cybersécurité les 25 et 26 janvier 2016.

Accueillant plus de 4000 visiteurs, cette huitième édition du FIC a été marquée par les interventions des représentants de l’ANSSI et du ministre de l’Intérieur, sur fond de lutte anti-terroriste. Digital Security était présente aux côtés de plus de 140 partenaires, dont le Pôle d'excellence Cyber (Bretagne). Cette nouvelle édition du FIC révélait également la vitalité du marché de la cyberdéfense.

Cette année, le thème principal était la protection des données personnelles. Après une année 2015 particulièrement dense en matière de cybercriminalité : vol de plus de 5 millions de données de comptes de clients V-Tech, divulgation du nom de 32 millions d’utilisateurs du site de rencontre Ashley Madison, ou encore vol de plus de 4 millions de données d’employés fédéraux américains, la question était d’actualité.


La "Crypto War" de nouveau déclarée

Sempiternel lieu de débat, l'amphithéâtre Vauban s'est transformé en une agora atypique, où l'on a pu assister à 45 minutes de joutes oratoires autour de la problématique de la confiance numérique. S’inscrivant dans le phénomène du Big Data, le traitement massif des données personnelles soulève ainsi de nombreuses inquiétudes en matière de sécurité.

A cette occasion, Jérémie Zimmermann, co-fondateur de la Quadrature du Net, s'est frontalement opposé à David Oman, ancien directeur du renseignement britannique. Il a dénoncé le manque de transparence des programmes de renseignement qui exploitent nos données personnelles, et s'est opposé à la remise en cause du droit au chiffrement évoqué par David Oman.

Or, pour Guillaume Poupard, directeur général de l’ANSSI, le chiffrement est indispensable pour assurer la protection de nos données personnelles. Il s’est de plus opposé à la création d’un système d'exploitation souverain, votée en première lecture de la loi pour une République numérique : « […] s’il s’agit d’un OS au service du gouvernement avec des backdoors partout dedans, je m’y opposerai ».


Face au cyberterrorisme, la France appelle à une mobilisation capacitaire internationale

Inaugurant la deuxième journée du FIC 2016, le ministre de l'Intérieur, Bernard Cazeneuve, a évoqué sans grande surprise les attentats de 2015 pour signaler que la menace terroriste restait « très élevée et que le combat se fera aussi dans le cyberespace […] ». Sur le plan technique, le ministre de l’Intérieur est revenu sur l’utilisation de la plateforme Pharos : en 2015, 283 blocages de sites terroristes ont été réalisés et plus de 188 000 fiches de signalements ont été créées dont 32 000 étaient uniquement liées au terrorisme. Il a également mentionné l’analyse du Big Data, déjà évoquée lors de l’ouverture du FIC : « il s’agit d’exploiter, dans le strict respect des libertés individuelles, les grands volumes de données disponibles et accessibles […] ».

Outre une évolution des moyens techniques, Bernard Cazeneuve a appelé au renforcement de la coopération européenne et internationale. La construction d'une Europe de la Cyberdéfense est ainsi en bonne voie. Andreas Könen, du BSI allemand, et Guillaume Poupard de l'ANSSI se sont félicités du parallélisme des missions de leurs agences. A titre d’exemple, le modèle français de chiffrement des courriers électroniques s’inspire directement de l’approche allemande. De son côté, John Hayes, secrétaire d’Etat à la Sécurité auprès de la ministre de l’Intérieur britannique Theresa May, a salué les points communs des stratégies de cybersécurité française et anglaise. Le Royaume-Uni travaille depuis plusieurs années à sensibiliser les entreprises et les particuliers à la cybersécurité comme son homologue français, l'ANSSI.


Sensibilisation et prévention : l'ANSSI prêche la bonne parole

Guillaume Poupard a profité du FIC pour sensibiliser le public sur les dangers que représentaient les objets connectés. Depuis plusieurs années, les chercheurs en sécurité témoignent de la présence d’importantes failles de sécurité, confirmées par les démonstrations lors du salon DEFCON de Las Vegas.

La situation est particulièrement inquiétante dans le domaine de la santé « Quand on voit la quantité d’informations récoltées, quand on voit l’action que tout cela peut avoir sur les patients, il y aura des morts demain ». Constat préoccupant que ne manquent pas de confirmer les conférences sur les objets connectés du salon.

Digital Security a présenté les failles de serrures connectées révélant la facilité avec laquelle elles pouvaient être piratées. L’Institut de recherche SystemX proposait sur son stand, une démonstration en temps réel d’un piratage de smart grid afin de prévenir les visiteurs sur les dangers des cyberattaques contre des infrastructures critiques.

Par ailleurs, Digital Security propose au sein de son CERT-UBIK les services d'un CSIRT et d'un SOC permettant de protéger les Systèmes d'information et les écosystèmes des objets connectés. De son côté, dans le domaine de l’automobile connectée, l’ANSSI promet une implication directe, à l’image de l’Observatoire central des systèmes de transports intelligents (OCSTI) dont l’objectif est de recenser les risques liés aux cyberattaques de voitures connectés.

Guillaume Poupard a également alerté sur les risques que représentait le manque d’éducation et de sensibilisation des internautes. « C’est quand même inquiétant de voir les gens sortir de 5 années d’études très poussées en informatique, [sans] n’avoir jamais eu la moindre minute de cours sur les questions de cybersécurité ». Cependant, pour nuancer ses propos, il convient de souligner que plusieurs écoles d’ingénieurs proposent des formations spécialisées dans la cybersécurité, telles que l’Ecole d’Intelligence Informatique (EPITA), l’Ecole Nationale Supérieure d’Ingénieurs de Bretagne Sud ou encore Polytech Grenoble.


Conclusion

Les intervenants politiques ont appelé au renforcement capacitaire de la cyberdéfense nationale afin de contrer efficacement les menaces protéiformes auxquelles notre pays est confronté : « Toute défense […] a pour but de passer à l’offensive dès qu’elle a porté ses fruits » arguait Carl von Clausewitz. Ainsi, la lutte contre le cyberterrorisme passe par une mobilisation européenne des agences de cyberdéfense et une consolidation de nos infrastructures cyber. L’un des axes de la cyberstratégie offensive dépeinte par Bernard Cazneuve repose également sur une mobilisation des ressources cyber à l’échelle européenne. La crainte de certains acteurs du risque d’hyper-surveillance de la société, comme l’avait décrite George Orwell dans son best-seller 1984 n’est pas sans fondement compte-tenu de l'important développement réalisé ou souhaité des outils de surveillance.

Cette huitième édition du FIC confirme également une tendance entrevue lors des dernières éditions : la montée en puissance du secteur privé dans le domaine de la cyberdéfense. A titre d’exemple, le président d’Orange, Stéphane Richard, a annoncé l’ouverture d’un pôle d’expertise à Lille, dont l’objectif consiste en la formation de plusieurs spécialistes de la cybersécurité. Par ailleurs, les partenariats de lutte contre la cybercriminalité entre les entreprises privées et les autorités publiques prennent une importance croissante. Le démantèlement du botnet Simda en avril 2015, avec le concours de Kaspersky Lab, d’INTERPOL, du FBI, de Microsoft, du CyberDefense Institute et d’un certain nombre d’autres acteurs, illustre parfaitement cette collaboration.