IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La Ministre des Armées et huit grands groupes industriels français signent une convention de trois ans
Pour construire une chaîne de cyberdéfense « de bout en bout »

Le , par Stéphane le calme

35PARTAGES

20  0 
C'est par le biais de Florence Parly, ministre des Armées, que la France a signé ce jeudi 14 novembre une convention de trois ans sur la cybersécurité avec huit grands groupes industriels de Défense : Airbus, Ariane Group, Dassault Aviation, MBDA, Naval Group, Nexter, Safran et Thales.

Cette convention a été établie à la demande de la ministre des Armées. Lors du Forum international de la cybersécurité, en janvier 2019 à Lille, Florence Parly a plaidé en faveur d’un engagement mutuel fort en rappelant l’importance de construire, en toute confiance, une chaîne de cyberdéfense « de bout en bout ». Cette convention a été rédigée par le Commandement de la cyberdéfense (COMCYBER) de l’état-major des armées et la Direction générale de l’armement (DGA), en coordination avec la Direction du renseignement et de la sécurité de la défense (DRSD) et en liaison étroite avec l’Agence nationale de sécurité des systèmes d’information (ANSSI), référent de l’État pour la cybersécurité.

La signature de cette convention se poursuivra par la mise en place de groupes de travail dont la mission s’articule autour de 4 piliers :
  • le partage de l’information au sein d’un cercle de confiance : il est nécessaire d'établir un cercle de confiance État – Industrie au sein duquel des informations critiques pourront être échangées. Le but est ainsi de « mettre en place de nouvelles synergies pour faciliter un échange réactif d'informations, même sensibles.
  • l’évolution de l’organisation et l’établissement de gouvernance partagée : afin de prendre en compte la cybersécurité des systèmes d'armes et des systèmes d'information ;
  • l’acculturation et la sensibilisation au cyber : pour accompagner industrie et ministère dans la formation et la sensibilisation des différents acteurs de la défense face aux menaces cyber ;
  • la volonté commune de maîtriser les risques cyber sur l’ensemble de la chaîne de soutien de défense : une attention particulière consacrée à l'évolution des méthodes et pratiques.

L'adhésion du Ministère et de ces industriels à cette convention vise à faire émerger de bonnes pratiques dans le domaine cyber, à renforcer la coopération des différents acteurs et à développer l'échange d'informations entre l’État et les entreprises de défense. Les acteurs militaires français se saisissent ainsi de la question de la cyberdéfense face à un nombre d'attaques de plus en plus important.

En début d'année, à Paris la ministre avait signalé l'urgence de la situation :

« La cybersécurité, c'est un sport collectif.

« La faille peut venir de partout. Les hackers sont plein d'inventivité. Aussi puissants que peuvent être nos pare-feu, une simple inattention peut ouvrir une brèche dans laquelle bien des personnes, des groupes et des Etats voudront s'engouffrer.

« Alors, oui, nous devons agir ensemble pour la cybersécurité de nos réseaux. Nous devons, ensemble, concevoir et échanger les bonnes méthodes et les bonnes pratiques. Nous devons bâtir pour chaque entreprise, chaque ministère, chaque personnel, une culture et une hygiène cyber irréprochable.

« Nous parlons aujourd'hui de cybersécurité « by design », par essence presque. C'est précisément ce qu'il nous faut construire. Chaque système doit être conçu en pensant à sa cybersécurité. Chaque réseau doit être pensé dès l'origine en se demandant comment le protéger.

« Le ministère des Armées le sait bien car les chiffres sont là. En 2017, les réseaux de la défense ont subi 700 événements de sécurité dont 100 cyberattaques. En 2018, les chiffres ont encore augmenté et dès septembre, nous dépassions ce chiffre de 700. Mon petit doigt me dit que cela ne va pas baisser en 2019.

« Et non seulement le nombre d'attaques augmente mais les attaquants ont toujours des profils aussi variés. Un adolescent peut pirater les mails de la chancelière allemande pour s'amuser, presque par hasard. Un groupe anonyme peut s'en prendre à nos industries, nos transports, nos hôpitaux sans raison apparente. Un Etat, enfin, peut chercher à affirmer sa puissance en nous espionnant, nous manipulant ou même en sabotant nos capacités.

« Et derrière chaque ordinateur, comment identifier avec certitude l'agresseur ? Tout le monde peut se cacher derrière son ordinateur et l'impunité est presque totale.

« Voilà la réalité du cyberespace. Ce sont des opportunités inouïes pour nos quotidiens comme pour notre défense. Ce sont aussi des risques, des risques majeurs qui peuvent mettre en péril notre sécurité.

« Mesdames et messieurs, la guerre cyber a bel et bien commencé ».


Florence Parly, ministre des Armées

Ainsi en 2017 ce sont environ 700 événements de sécurité qui ont été enregistrés par le COMCYBER, dont 178 répertoriés comme attaques et une dizaine considérée comme des modes d'action APT, pour menaces persistantes avancées. Ce sigle fait ainsi référence à un piratage de long terme, la pénétration du système pouvant remonter à plusieurs mois voire années avant l'attaque en tant que telle. En 2018, le nombre d'événements cyber recensés était alors de 831, soit une augmentation de 20%. Par ailleurs entre fin 2017 et avril 2018 rappelons que le serveur de messagerie du Ministère des Armées a également été pris pour cible. Le groupe d'espionnage russe Turla était derrière ce piratage et cherchait à accéder à des informations concernant la chaîne d'alimentation en carburant de la Marine nationale. De même, début 2019 un sous-traitant d'Airbus rapportait avoir été victime d'une cyber-attaque prenant pour cible la documentation technique des équipements.

L'union fait la force

Face à cette situation, la Ministre des Armées a décidé de prendre des mesures afin de protéger ses systèmes ainsi que les opérateurs d'importance vitale de la défense. La LPM 2019-2025 prévoit ainsi un crédit de 1,6 Md€ pour le domaine cyber de même que le recrutement de 4 000 cyber combattants d'ici à 2025. La signature de cette convention s'inscrit également dans cette logique et permet ainsi de formaliser et concrétiser les engagements cyber annoncés au cours de l'année. Cette convention permet d'adopter une « logique de bout en bout » et une posture collective, rapporte Nassima Auvray, conseillère innovation de Florence Parly. Pour cela, trois ambitions principales ont été fixées : la sécurisation des systèmes d'armes (de la phase amont au développement jusqu'au soutien une fois en service), l'anticipation et l'évaluation de la menace et enfin la réponse aux incidents.

Un autre élément clé est l'une union des forces avec les industriels de défense :

« C'est pourquoi je veux aujourd'hui faire une proposition à nos industriels de défense. Unissons nos forces pour protéger notre chaîne d'approvisionnement de la menace cyber. A l'été, je souhaite que nous puissions formaliser, en en étroite liaison avec l'ANSSI, les engagements mutuels sur la cybersécurité. Il nous faudra mieux définir les rôles et les responsabilités de chacun pour protéger nos systèmes et réagir en cas d'attaque. Cette démarche collective est une absolue nécessité. Elle seule permettra de protéger le développement, la fabrication et la maintenance de nos équipements de défense.

« Elle nous permettra de répondre ensemble à plusieurs grands défis.

« D'abord, la mise en place d'une coordination : c'est une évidence. Nous devons dialoguer en permanence et joindre à cet échange nos services de renseignement. Nous allons identifier un cadre et une démarche claires pour faire avancer nos travaux de concert. Nous devrons échanger nos informations sur telle ou telle menace, tel ou tel incident. Nous pourrons partager nos outils, aussi, les mutualiser.

« Nous établirons une stratégie ambitieuse de sécurisation de nos systèmes. C'est la finalité même de notre démarche, alors il nous faudra cartographier, identifier les priorités.

« Nous devons enfin réfléchir à comment aider et protéger efficacement notre chaîne de sous-traitance. Nous ne pouvons pas les laisser devenirs les chevaux de Troie de nos adversaires. Il faudra donc les soutenir, à la fois en méthode et en technique. Il nous faudra aussi être extrêmement exigeant et imposer dans les critères d'achat des clauses sur la cybersécurité.

« Je parle de cette chaîne de confiance cyber. Elle passe également par les PME, les start-up. Par leurs idées et leur inventivité. J'ai eu le plaisir de voir quelques démonstrations à l'instant, d'échanger avec nos entrepreneurs. Alors, je veux aussi vous dire une chose : nous avons besoin de vous. Nous avons besoin de vous pour concevoir et produire des produits de sécurité utilisables en toute confiance par nos Armées. Nous avons besoin de vous pour préserver notre autonomie stratégique.

« Car les outils de confiance que nos entreprises développent, tous en Europe pourront en profiter. Je veux saluer ici les responsables internationaux présents aujourd'hui. Ils sont nombreux. Et c'est bien au FIC, forum international s'il en est, que nous devons en profiter pour nous inspirer et laisser sa chance à la vitalité des PME européennes.

« Et au ministère des Armées, la confiance donnée aux PME et aux entrepreneurs, ce ne sont pas que des mots, c'est du concret ».

Sources : communiqué du cabinet de la Ministre des Armées, déclaration de la Ministre des armées sur la cyberdéfense

Et vous ?

Que pensez-vous de ce choix stratégique ?
À qui pourrait être attribué la faute en cas de défaillance ?
Quels pourraient être les indicateurs de succès d'une telle convention ?

Voir aussi :

Mozilla, Fastly, Intel et Red Hat lancent l'Alliance Bytecode, une initiative construite autour de WebAssembly qui propose d'apporter plus de sécurité, d'ubiquité et d'interopérabilité sur le Web
Red Hat propose en open source Project Quay qui regroupe son registre de conteneur Quay et l'outil d'analyse de la sécurité des conteneurs Clair
Un employé de Trend Micro vend les données personnelles de clients à des arnaqueurs au faux support technique et ravive les interrogations sur la corruption des employés dans la filière sécurité
Le RGPD a un impact bénéfique sur la confiance des consommateurs dans toute l'Europe et contribue à renforcer la sécurité des données depuis son introduction, selon une étude de Check Point

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Cpt Anderson
Membre émérite https://www.developpez.com
Le 14/11/2019 à 16:21
Deux choses me viennent à l'esprit quand je vois ces effets d'annonces :

1/ la France a déjà perdu toute indépendance au niveau de son armée : le matériel, les véhicules, les armes, les balles.

2/Quels outils vont-ils utiliser afin de communiquer et de travailler ? il y a de fortes chances que ce soit des outils US et je parle même pas du materiel type routeur, proxy, serveur, telephonie. Ce sont tous des produits étrangers dans lesquels les industriels ont implémenté des backdoor et des moyens de capter l'information.

Conclusion : encore un bel effet d'annonce qui fait beau, mais au final qui ne servira pas à grand chose et qui coutera extrêmement cher à mettre en place. Pas grave, on tirera encore dans le budget de l'hopital ou des retraites pour financer cet UAG !

Je tiens à souligner le fait que vouloir mettre en place un système de cyberdéfense indépendant n'est pas une mauvais idée en soit, c'est juste que ce ne sera pas le cas et surtout que nos 'alliés' (qui sont prêts à nous aider bien entendu) sont nos pires ennemis en réalité.
6  2 
Avatar de Cpt Anderson
Membre émérite https://www.developpez.com
Le 14/11/2019 à 17:30
Citation Envoyé par eldran64 Voir le message
La notion "d'ennemie/allié" n'existe pas dans la réalité. C'est bien dans les jeux vidéo mais IRL... c'est pas ça. Ce qui existe ce sont des partenaires stratégiques circonstanciels. En gros tant que tout le monde est gagnant et avec des forces équilibrés, tout le monde est mignon. Mais quand l'un des "partenaires" peut bouffer l'autre, il ne s'en prive surtout pas (coucou les USA avec Alstom).
C'est exactement ce que je dis.
3  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 14/11/2019 à 14:09
Citation Envoyé par Stéphane le calme Voir le message

Que pensez-vous de ce choix stratégique ?
À qui pourrait être attribué la faute en cas de défaillance ?
Quels pourraient être les indicateurs de succès d'une telle convention ?
Ce choix stratégique s'inscrit dans la lignée des décisions des Five Eyes de sécuriser défensivement leur SI et celui des entreprises. De véritables appels aux armes ont été lancés en Grande Bretagne comme aux USA pour enfin protéger comme il se doit l'espace cyber. (source Ziff Davis) Je pense que là, on va voir de très belles choses émerger.

En cas de défaillance, les services américains exploitant les failles en lieu et place de les communiquer aux éditeurs sont la première source de danger. On l'a vu avec wanna cry et NotPetya qui reprenaient Eternal Blue initialement destinée à la NSA pour se diffuser.

Je pense que le principal indicateur de succès de la convention serait d'établir une communauté internationale luttant contre les menaces cyber. La France, avec l'ANSSI, a été la première à souligner l'importance du côté défensif de la cybersécurité en un temps où l'offensif primait. Il est bien de constater qu'elle n'est plus la seule voix à s'exprimer en ce sens. Doublement bien car l'offensif submerge actuellement le défensif mettant en péril les nouvelles technologies. On le constate avec l'augmentation constante des incidents.

L'Europe a aussi un volet de son budget consacré à la cyberdefense et a bien souligné que le ciment avec la Grande Bretagne une fois sortie de l'UE serait l'aspect cyberdefensif. (source lesechos.fr)
1  0 
Avatar de eldran64
Membre extrêmement actif https://www.developpez.com
Le 14/11/2019 à 17:17
Citation Envoyé par Cpt Anderson Voir le message
Je tiens à souligner le fait que vouloir mettre en place un système de cyberdéfense indépendant n'est pas une mauvais idée en soit, c'est juste que ce ne sera pas le cas et surtout que nos 'alliés' (qui sont prêts à nous aider bien entendu) sont nos pires ennemis en réalité.
La notion "d'ennemie/allié" n'existe pas dans la réalité. C'est bien dans les jeux vidéo mais IRL... c'est pas ça. Ce qui existe ce sont des partenaires stratégiques circonstanciels. En gros tant que tout le monde est gagnant et avec des forces équilibrés, tout le monde est mignon. Mais quand l'un des "partenaires" peut bouffer l'autre, il ne s'en prive surtout pas (coucou les USA avec Alstom).
1  0 
Avatar de egann538
Membre actif https://www.developpez.com
Le 14/11/2019 à 22:22
Citation Envoyé par Cpt Anderson Voir le message

Conclusion : encore un bel effet d'annonce qui fait beau, mais au final qui ne servira pas à grand chose et qui coûtera extrêmement cher à mettre en place. Pas grave, on tirera encore dans le budget de l'hopital ou des retraites pour financer cet UAG !
Il y a sûrement des points faibles dans la cyberdéfense de notre pays mais tes affirmations sont un peu catégoriques et surtout non sourcées/argumentées. Et le pire serait de ne pas réagir face à la menace cyber grandissante.

Pour le matériel dont tu prétends que les contrôle a été perdu, pas besoin de chercher bien loin:

L'ANSSI (agence nationale de cybersécurité) est actuellement en pleine croissance.

Les entreprises citées ne font pas que se tourner les pouces dans le domaine de la cyber. Elles proposent des chiffreurs, sondes de sécurité, passerelles multi-niveau etc...

Encore une fois je ne prétends pas que tout soit parfait, mais je trouve positif que des actions soient prises.
1  0 
Avatar de ddoumeche
Membre extrêmement actif https://www.developpez.com
Le 14/11/2019 à 16:55
Citation Envoyé par Cpt Anderson Voir le message
Deux choses me viennent à l'esprit quand je vois ces effets d'annonces :

1/ la France a déjà perdu toute indépendance au niveau de son armée : le matériel, les véhicules, les armes, les balles.

2/Quels outils vont-ils utiliser afin de communiquer et de travailler ? il y a de fortes chances que ce soit des outils US et je parle même pas du materiel type routeur, proxy, serveur, telephonie. Ce sont tous des produits étrangers dans lesquels les industriels ont implémenté des backdoor et des moyens de capter l'information.

Conclusion : encore un bel effet d'annonce qui fait beau, mais au final qui ne servira pas à grand chose et qui coutera extrêmement cher à mettre en place. Pas grave, on tirera encore dans le budget de l'hopital ou des retraites pour financer cet UAG !
Les budgets de la santé et de "l'éducation nationale que le monde nous envie surtout la Suisse" sont bien supérieurs au budget des armées, et on s'étonne d'avoir perdu notre indépendance nationale ? mais acheter ses balles, ses fusils à l'étranger quand on a un budget restreint est une conséquence inévitable des dividendes de la paix.

Alcatel-Lucent a été mis en faillite par un grand patron issu des grands corps de l'état et proche des socialistes, de quoi se plaint-on maintenant ? évidement qu'on va acheter du matériel américain ou chinois.
0  0 
Avatar de matthius
Inactif https://www.developpez.com
Le 14/11/2019 à 16:52
L'Europe utilise des processeurs RISC, ce qui nécessite une maintenance des vieux LINUX par une intégration des patches sur les vieux LINUX correspondant aux vieilles générations de processeurs RISC.
0  1