Cette convention a été établie à la demande de la ministre des Armées. Lors du Forum international de la cybersécurité, en janvier 2019 à Lille, Florence Parly a plaidé en faveur d’un engagement mutuel fort en rappelant l’importance de construire, en toute confiance, une chaîne de cyberdéfense « de bout en bout ». Cette convention a été rédigée par le Commandement de la cyberdéfense (COMCYBER) de l’état-major des armées et la Direction générale de l’armement (DGA), en coordination avec la Direction du renseignement et de la sécurité de la défense (DRSD) et en liaison étroite avec l’Agence nationale de sécurité des systèmes d’information (ANSSI), référent de l’État pour la cybersécurité.
La signature de cette convention se poursuivra par la mise en place de groupes de travail dont la mission s’articule autour de 4 piliers :
- le partage de l’information au sein d’un cercle de confiance : il est nécessaire d'établir un cercle de confiance État – Industrie au sein duquel des informations critiques pourront être échangées. Le but est ainsi de « mettre en place de nouvelles synergies pour faciliter un échange réactif d'informations, même sensibles.
- l’évolution de l’organisation et l’établissement de gouvernance partagée : afin de prendre en compte la cybersécurité des systèmes d'armes et des systèmes d'information ;
- l’acculturation et la sensibilisation au cyber : pour accompagner industrie et ministère dans la formation et la sensibilisation des différents acteurs de la défense face aux menaces cyber ;
- la volonté commune de maîtriser les risques cyber sur l’ensemble de la chaîne de soutien de défense : une attention particulière consacrée à l'évolution des méthodes et pratiques.
L'adhésion du Ministère et de ces industriels à cette convention vise à faire émerger de bonnes pratiques dans le domaine cyber, à renforcer la coopération des différents acteurs et à développer l'échange d'informations entre l’État et les entreprises de défense. Les acteurs militaires français se saisissent ainsi de la question de la cyberdéfense face à un nombre d'attaques de plus en plus important.
En début d'année, à Paris la ministre avait signalé l'urgence de la situation :
« La cybersécurité, c'est un sport collectif.
« La faille peut venir de partout. Les hackers sont plein d'inventivité. Aussi puissants que peuvent être nos pare-feu, une simple inattention peut ouvrir une brèche dans laquelle bien des personnes, des groupes et des Etats voudront s'engouffrer.
« Alors, oui, nous devons agir ensemble pour la cybersécurité de nos réseaux. Nous devons, ensemble, concevoir et échanger les bonnes méthodes et les bonnes pratiques. Nous devons bâtir pour chaque entreprise, chaque ministère, chaque personnel, une culture et une hygiène cyber irréprochable.
« Nous parlons aujourd'hui de cybersécurité « by design », par essence presque. C'est précisément ce qu'il nous faut construire. Chaque système doit être conçu en pensant à sa cybersécurité. Chaque réseau doit être pensé dès l'origine en se demandant comment le protéger.
« Le ministère des Armées le sait bien car les chiffres sont là. En 2017, les réseaux de la défense ont subi 700 événements de sécurité dont 100 cyberattaques. En 2018, les chiffres ont encore augmenté et dès septembre, nous dépassions ce chiffre de 700. Mon petit doigt me dit que cela ne va pas baisser en 2019.
« Et non seulement le nombre d'attaques augmente mais les attaquants ont toujours des profils aussi variés. Un adolescent peut pirater les mails de la chancelière allemande pour s'amuser, presque par hasard. Un groupe anonyme peut s'en prendre à nos industries, nos transports, nos hôpitaux sans raison apparente. Un Etat, enfin, peut chercher à affirmer sa puissance en nous espionnant, nous manipulant ou même en sabotant nos capacités.
« Et derrière chaque ordinateur, comment identifier avec certitude l'agresseur ? Tout le monde peut se cacher derrière son ordinateur et l'impunité est presque totale.
« Voilà la réalité du cyberespace. Ce sont des opportunités inouïes pour nos quotidiens comme pour notre défense. Ce sont aussi des risques, des risques majeurs qui peuvent mettre en péril notre sécurité.
« Mesdames et messieurs, la guerre cyber a bel et bien commencé ».
Florence Parly, ministre des Armées
Ainsi en 2017 ce sont environ 700 événements de sécurité qui ont été enregistrés par le COMCYBER, dont 178 répertoriés comme attaques et une dizaine considérée comme des modes d'action APT, pour menaces persistantes avancées. Ce sigle fait ainsi référence à un piratage de long terme, la pénétration du système pouvant remonter à plusieurs mois voire années avant l'attaque en tant que telle. En 2018, le nombre d'événements cyber recensés était alors de 831, soit une augmentation de 20%. Par ailleurs entre fin 2017 et avril 2018 rappelons que le serveur de messagerie du Ministère des Armées a également été pris pour cible. Le groupe d'espionnage russe Turla était derrière ce piratage et cherchait à accéder à des informations concernant la chaîne d'alimentation en carburant de la Marine nationale. De même, début 2019 un sous-traitant d'Airbus rapportait avoir été victime d'une cyber-attaque prenant pour cible la documentation technique des équipements.
L'union fait la force
Face à cette situation, la Ministre des Armées a décidé de prendre des mesures afin de protéger ses systèmes ainsi que les opérateurs d'importance vitale de la défense. La LPM 2019-2025 prévoit ainsi un crédit de 1,6 Md€ pour le domaine cyber de même que le recrutement de 4 000 cyber combattants d'ici à 2025. La signature de cette convention s'inscrit également dans cette logique et permet ainsi de formaliser et concrétiser les engagements cyber annoncés au cours de l'année. Cette convention permet d'adopter une « logique de bout en bout » et une posture collective, rapporte Nassima Auvray, conseillère innovation de Florence Parly. Pour cela, trois ambitions principales ont été fixées : la sécurisation des systèmes d'armes (de la phase amont au développement jusqu'au soutien une fois en service), l'anticipation et l'évaluation de la menace et enfin la réponse aux incidents.
Un autre élément clé est l'une union des forces avec les industriels de défense :
« C'est pourquoi je veux aujourd'hui faire une proposition à nos industriels de défense. Unissons nos forces pour protéger notre chaîne d'approvisionnement de la menace cyber. A l'été, je souhaite que nous puissions formaliser, en en étroite liaison avec l'ANSSI, les engagements mutuels sur la cybersécurité. Il nous faudra mieux définir les rôles et les responsabilités de chacun pour protéger nos systèmes et réagir en cas d'attaque. Cette démarche collective est une absolue nécessité. Elle seule permettra de protéger le développement, la fabrication et la maintenance de nos équipements de défense.
« Elle nous permettra de répondre ensemble à plusieurs grands défis.
« D'abord, la mise en place d'une coordination : c'est une évidence. Nous devons dialoguer en permanence et joindre à cet échange nos services de renseignement. Nous allons identifier un cadre et une démarche claires pour faire avancer nos travaux de concert. Nous devrons échanger nos informations sur telle ou telle menace, tel ou tel incident. Nous pourrons partager nos outils, aussi, les mutualiser.
« Nous établirons une stratégie ambitieuse de sécurisation de nos systèmes. C'est la finalité même de notre démarche, alors il nous faudra cartographier, identifier les priorités.
« Nous devons enfin réfléchir à comment aider et protéger efficacement notre chaîne de sous-traitance. Nous ne pouvons pas les laisser devenirs les chevaux de Troie de nos adversaires. Il faudra donc les soutenir, à la fois en méthode et en technique. Il nous faudra aussi être extrêmement exigeant et imposer dans les critères d'achat des clauses sur la cybersécurité.
« Je parle de cette chaîne de confiance cyber. Elle passe également par les PME, les start-up. Par leurs idées et leur inventivité. J'ai eu le plaisir de voir quelques démonstrations à l'instant, d'échanger avec nos entrepreneurs. Alors, je veux aussi vous dire une chose : nous avons besoin de vous. Nous avons besoin de vous pour concevoir et produire des produits de sécurité utilisables en toute confiance par nos Armées. Nous avons besoin de vous pour préserver notre autonomie stratégique.
« Car les outils de confiance que nos entreprises développent, tous en Europe pourront en profiter. Je veux saluer ici les responsables internationaux présents aujourd'hui. Ils sont nombreux. Et c'est bien au FIC, forum international s'il en est, que nous devons en profiter pour nous inspirer et laisser sa chance à la vitalité des PME européennes.
« Et au ministère des Armées, la confiance donnée aux PME et aux entrepreneurs, ce ne sont pas que des mots, c'est du concret ».
Sources : communiqué du cabinet de la Ministre des Armées, déclaration de la Ministre des armées sur la cyberdéfense
Et vous ?
Que pensez-vous de ce choix stratégique ?
À qui pourrait être attribué la faute en cas de défaillance ?
Quels pourraient être les indicateurs de succès d'une telle convention ?
Voir aussi :
Mozilla, Fastly, Intel et Red Hat lancent l'Alliance Bytecode, une initiative construite autour de WebAssembly qui propose d'apporter plus de sécurité, d'ubiquité et d'interopérabilité sur le Web
Red Hat propose en open source Project Quay qui regroupe son registre de conteneur Quay et l'outil d'analyse de la sécurité des conteneurs Clair
Un employé de Trend Micro vend les données personnelles de clients à des arnaqueurs au faux support technique et ravive les interrogations sur la corruption des employés dans la filière sécurité
Le RGPD a un impact bénéfique sur la confiance des consommateurs dans toute l'Europe et contribue à renforcer la sécurité des données depuis son introduction, selon une étude de Check Point