Minage de monnaies virtuelles et détournement de calcul : du site nucléaire … aux sites pornos !

L’engouement pour les monnaies virtuelles, appelées encore crypto-monnaies n’en finit pas de susciter les intérêts de la Cybercriminalité. Rappel des enjeux et des pratiques autour du minage des monnaies virtuelles.

Par Fabian Rodes, Fondateur de FASIS Consulting

 

Qu’est-ce que le minage ?

Les monnaies virtuelles telles que le Bitcoin, l’Ether (monnaie de Ethereum) ou encore le Monero s’appuyent sur des bases distribuées appelées blockchain. Pour faire simple, la technologie blockchain, dite chaine de blocs, utilise des fonctions cryptographiques permettant de garantir l’enregistrement des transactions et apporter une preuve de non-répudiation et d’authenticité (proof of work en anglais). Cette activité s’appelle le minage (mining ou encore crypto-mining en anglais).

Pourquoi le minage est-il important pour les monnaies virtuelles ?

Ce mécanisme de preuve consomme beaucoup de calcul et afin d’inciter la multitude à réaliser ces travaux, une récompense est offerte à la 1^ère personne ou entité apportant le bon résultat (sur la base de l’ensemble des calculs réalisés et remontés aux nœuds de la blockchain). Cette récompense se traduit par l’octroi de devise dans la monnaie de la blockchain utilisée, ce qui motive ainsi la multitude à réaliser ces calculs cryptographiques et ainsi accrédite la confiance dans la technologie de blocs. Bien évidemment, plus la blockchain est grosse de par le volume de transactions venant de se réaliser et à valider, plus les calculs nécessitent de la puissance pour valider rapidement un bloc.

Nouvel eldorado des fermes et services de minage spécialisés

Aussi, des fermes de calcul constituées d’ordinateurs dédiés à l’activité de minage ont été créées. Tout d’abord par des particuliers passionnés, puis par des groupuscules économiques, la taille des fermes de calcul de minage n’a cessé de croître. Certains hébergeurs de datacenter et de services en ligne ce sont mêmes spécialisés dans cette acticité en proposant la location de fermes ou bien en regroupant des utilisateurs afin de miner à plusieurs (pool-mining en anglais). L’activité est alors très lucrative et l’investissement vite rentabilisé au regard de la montée des cours.

Ainsi a-t’on pu voir depuis maintenant près de 2 ans des investisseurs privés monter des gigantesques fermes de minage constituées de plusieurs milliers de micro-ordinateurs, stockées dans des hangars dans des régions froides de la Russie, de la Chine et même de l’Islande.

Engouement pour le détournement de calcul au profit de cybercriminels

Devant la flambée du cours du Bitcoin, les pirates ne reculent devant rien pour détourner de la puissance de calcul de masse dans une acticité de minage. Aussi a-t’on apprit ces jours-ci qu’un centre de calcul de recherche nucléaire        militaire basé à Sarov en Russie avait été « infecté » par un virus afin de détourner du temps de calcul au profit d’une activité de minage de Bitcoins. Ce centre dispose en effet de la 12^e puissance de calcul mondial, de quoi attirer bien des convoitises. Les médias russes ont d’ores et déjà annoncés que les services secrets (FSB) avaient été impliqués et que des arrestations avaient eu lieu parmi le personnel du centre.

Mais l’activité de vol de temps de calcul ne se limite pas au centre disposant de super-calculateur. En effet, la cybercriminalité a flairé aussi le filon en réalisant du calcul distribué sur les postes de la multitude des internautes. Pour preuve, l’usage de la faille EternalBlue dérobée à la NSA n’a pas servi qu’à créer la cyberattaque WannaCry. La faille a également servie dans la diffusion de campagne de virus depuis le printemps 2017 afin d’enrôler des ordinateurs dans des botnets de minage, principalement pour la monnaie virtuelle Monero qui offre des facilités d’anonymat.

Plus récemment, des cybercriminels ont inventés le nouveau concept des scripts malveillants de minage (cryptojacking script en anglais). Il s’agit d’installer sur les pages les plus visités d’un site, la page d’accueil en général, un script qui lorsqu’il est téléchargé et exécuté sur le navigateur de l’internaute, réalise à son insu une activité de minage ! Ainsi la compromission d’un site Internet peut rapporter gros aux pirates via le simple rajout d’un script de minage malveillant.

Autre découverte récente la semaine passée : une étude publiée par les chercheurs d’une société chinoise de cybersécurité (oui il existe aussi des gentils en Chine) invoque que près de 50% des sites Internet contenant des scripts de minage malveillants sont des sites pornographiques (TopSites 100.000 et 300.000 d’Alexa, société de scoring, filiale d’Amazon).

Ces scripts malveillant sont également véhiculés sur des sites Internet classiques via des publicités distribués par des annonceurs peu scrupuleux.

Conclusion, protégez votre ordinateur et surfez couvert !

Si votre ordinateur turbine à plein régime lorsque vous utilisez ou bien accédez à Internet, pensez à vous poser alors quelques questions ! Pour parer à ce risque d’usage détourné de votre ordinateur, les bonnes pratiques en matière de protection sont toujours les mêmes : mettez à jour régulièrement votre ordinateur (système d’exploitation Windows ET navigateur Internet) et disposez d’un antivirus payant … afin de surfer couvert !

Cybersécurité et transformation numérique des petites et moyennes collectivités territoriales, un véritable enjeu de souveraineté numérique.

Par Fabian Rodes, expert en Cybersécurité et de gestion des risques numériques

La transformation numérique des collectivités territoriales nécessite de faire aujourd’hui les bons ajustements. Pourquoi ? Tout simplement afin de s’affranchir des difficultés d’hier et pouvoir bénéficier demain d’infrastructures délocalisées, adaptées aux besoins numériques … mais avant tout d’infrastructures et de services sécurisés afin d’établir la confiance dans l’e-administration et protéger les données de nos citoyens. Panorama des enjeux et faiblesses des collectivités en matière de transformation numérique.

---

Introduction : les petites collectivités, les parents pauvres de la République numérique

Ne disposant que de peu de moyens et devant faire des arbitrages face aux baisses des dotations de l’Etat[1], les petites et moyennes collectivités territoriales n’engagent pas aussi rapidement la transformation numérique que le secteur privé ou bien que l’Etat. Des d’appels d’offre groupés (centre de gestion, communauté de communes/d’agglomération, …) permettent en mode projet de baisser les coûts de réalisation tels que la conception de sites Internet par exemple. Mais la question du maintien en condition opérationnelle (MCO) des solutions déployées est trop souvent négligée, faute de préoccupations ou de moyens. Ce manque d’investissement et l’absence de sensibilisation a conduit les petites et moyennes collectivités territoriales à ne pas entreprendre les mesures permettant de disposer de solutions numériques sécurisées. Hier simple vitrine numérique communale, la transformation digitale imposée par l’e-administration et la dématérialisation des services ‘papiers’ vont aggraver cette fracture en démultipliant les risques portés sur les données citoyennes et de l’Etat dans ses collectivités.

#opFrance retour sur la plus grosse campagne de cyberattaques subit par la France

Au lendemain du terrible attentat perpétré dans les locaux de Charlie Hebdo le 7 janvier 2015, le mouvement des Anonymous emporté par des hacktivistes français ont engagé une opération visant à détruire/fermer des sites et comptes twitter djihadistes. Bien que l’action fût louable avec la mise hors d’état de nuire quelques 200 sites et comptes djihadistes, elle n’a pas eu totalement l’effet escomptée ! En effet le lendemain de cette offensive technologique, une seconde opération en réponse à la première émergea de la part de plusieurs mouvements de pirates pro-Daesh et Al-Qaïda. Cette contre-offensive déclencha alors la plus vaste opération de cyberattaques jamais subit par la France[2] entre le 9 le 27 janvier 2015.

Ces cyberattaques ont visées les sites Internet associant l’image de la France : institutionnels en premier lieu, santé, universités, puis plus généralement tous les sites en .fr ou de langue francophone. Les chiffres sont évoquant : 1.300 attaques ont été revendiquées et entre 19.000 et 25.000 sites piratés en moins d’une semaine seulement[3].

Parmi ces milliers de sites touchés, près de 450 sites de collectivités territoriales ont été compromis ; principalement des sites Internet de communes de moins de 15.000 habitants.

Bien que le Directeur de l’ANSSI évoqua le terme de « graffitis » pour relativiser le défacement[4] de ces sites, il en demeure pas moins que les bases de données associées à ces sites furent piratées. Par ailleurs, les pirates déposèrent également des malwares ou des backdoors sur les autres pages ; ceci afin d’infecter les ordinateurs des internautes ou se permettre de revenir plus tard par une porte dérobée.

Sites Internet des collectivités territoriales : un constat alarmant et préoccupant

Pour reprendre le préambule édicté par la Chaire de cybersécurité de S^t-Cyr Coëtquidan dans son étude[5] sur les Enjeux du numérique pour les collectivités territoriales : « le bilan des pratiques cyber des collectivités territoriales est plutôt sombre ».

En pour cause, l’analyse[6] publiée par La Gazette des communes en mars 2015 est alarmant : sur les 14.220 sites de communes analysés en février 2015, près de la moitié ne sont pas à jour (précisément 46,5 %). Mais si l’on croise les données[7] de cette étude avec les données INSEE en matière de démographie et de situation géographique, on obtient alors des chiffres plus alarmants et contrastés :

• Un risque accentué dans les petites et moyennes collectivités

Le nombre de communes ayant un site Internet non à jour est plus important dans les tranches des communes de moins de 10.000 habitants … qui totalisent 13.246 communes, soit 93% des communes et 60% de la population rattachée dans cette l’étude.

Tableau : répartition des communes ayant un site non à jour par tranche de population

• Une inégalité sur les territoires

Sur les 97 départements français, le nombre de communes ayant un site Internet non à jour varie de 26% à 75%, témoignant d’une grande disparité géographique sur le territoire.

Courbe:Répartition des communes ayant un site non à jour par département (ordre croissant)

Vers un renforcement constant dans la protection des données … enjeux et richesses du numérique de demain et contraintes réglementaires

La loi « pour une République numérique »[8] adoptée le 26 janvier 2016 a pour ambition de positionner la France comme un pays leader et souverain dans le domaine du numérique. Pour se faire, la Loi introduit la libre circulation des données en imposant également des obligations de protection qui s’appliqueront bien entendu aux données des processus de dématérialisation des services de l’Etat dans les collectivités.

De plus, la France dispose d’une loi « Informatique et Libertés » imposant un devoir de ratification mais également de protection des données personnelles. Cette loi de 1978 fut notamment renforcée par la directive 95/46/CE de l’Union Européenne qui a adopté un nouveau Règlement Général sur la protection des Données, le fameux RGPD. Ce règlement européen sera opposable le 25 mai prochain et le Législateur modifiera très prochainement notre bonne vieille loi de 1978. Le RGPD est applicable à toute société/organisme traitant des données de ressortissants de l’Union européenne. Ce règlement renforce les obligations sur le traitement des données à caractères personnelles. A ce titre, il s’appliquera aussi aux collectivités. Ainsi des obligations, telles que le droit à l’oubli ou l’obligation d’informer sous 72h les citoyens en cas de fuites de données vont devoir être appliqués. L’intégration de la sécurité dans la conception des services numériques est ainsi devenue un élément clef afin de maîtriser accès et durée de stockage des données.

L’arrivée de cette dématérialisation et la mise en place de l’e-administration va augmenter considérablement l’inter-connectivité entre d’une part les citoyens et entreprises et d’autre part les services administratifs des communes. Les services en ligne (Front-Office) vont fleurir et devenir eux-mêmes interconnectés avec un ou plusieurs systèmes informatiques (Back-Office) ont seront stockés ou par lesquels transiteront toutes les données. Dès lors, le site Internet, jusque-là isolé et simple vitrine, sera une véritable porte d’entrée vers les données numériques des citoyens et entreprises d’une collectivité (ou d’un territoire en cas de mutualisation des infrastructures). De quoi susciter bien des convoitises pour cet or noir du 21^e siècle qu’est la donnée par des organisations criminelles !

Pourtant les messages de sensibilisation aux élus ne manquent pas comme celui[9] intervenant mi-janvier 2015 lors de la campagne de cyberattaque #opFrance. De même l’ANSSI communique auprès des élus lors du salon annuel des Maires de France. Cependant devant la faible proportion des piratages décelés (voir encadré), les élus n’ont aujourd’hui pas conscience des risques, voir sont atteint du syndrome « ça n’arrive qu’aux autres ».

Le piratage d’un site Internet n’est pas forcément visible Le défacement en modifiant la page principale d’un site permet évidemment d’être rapidement alerter sur son piratage. En revanche, si l’objet recherché d’une cyberattaque n’est pas de laisser un message revendicatif, mais d’accéder, voire de collecter et si possible durablement, des données, alors tout sera réalisé par les pirates pour ne pas se faire remarquer. Ce type d’attaque appelée Advanced Persistent Thread (APT) est en moyenne détectée au bout de plusieurs mois seulement, permettant aux attaquants de pénétrer durablement dans les différents systèmes, ou bien de collecter l’intégralité des données.

Dès lors, en l’absence d’une prise de conscience et de la mise en place de moyens, cette ouverture numérique vers les données citoyennes vont engendrées des risques conséquents en matière de fraude, d’atteinte à l’image voir de détournement d’identité. Hélas, il sera trop tard demain. D’une part, car les coûts d’investissements de cette transformation nécessiteront d’être amortie sur plusieurs années avant de pouvoir à nouveau grever un budget communal. D’autre part, car corriger un défaut de conception sur un produit déployé revient en général à multiplier par un facteur x2 l’effort qui aurait fallu investir. De ce fait, tant que le syndrome « ça n’arrive qu’aux autres » tiendra encore … les élus n’investiront pas. En cas de fuite ou d’exposition de données, le pouvoir de sanction sera bien là au lendemain du 25 mai prochain. Mais s’il y a un bâton, il faut à minima que les élus ne soient pas désemparés et accompagnés dans la réalisation des efforts à mettre en œuvre. Or, en la matière, rien n’accompagne aujourd’hui l’élu(e) sur le terrain pour lui dire ce qu’il (elle) doit faire, pour quand … et encore moins comment.

Les mots de sécurité et de confiance font enfin plusieurs fois leur apparition dans la déclinaison 2018-2020 du programme DcANT[10] piloté par la direction informatique interministériel de l’Etat, la DINSIC.  La sécurité fera partie des critères de sélection des briques logicielles retenues dans les solutions de plateformes proposées par le programme aux collectivités. Rassuré ? Pas complétement, car si des solutions protégeant nos données sont proposées, il n’en demeure pas moins essentiels de sensibiliser Elus, DGS et DSI de les utiliser.

Les partenariats public-privés à l’échelon régional, une réponse à la fois aux besoins et aux problèmes … nécessitant de s’affranchir de certains clivages

C’est là que le maillon national porte ses limites car la capacité des services de l’Etat à œuvrer sur l’ensemble des territoires est impossible aux regards des délais et des enjeux. Notre agence nationale de cybersécurité, dont je salue le travail et la qualité de la documentation, ne peut pas au travers d’un seul référent par Région combler le fossé du manque de sensibilisation et de coordination des efforts en matière de cybersécurité. Ce n’est d’ailleurs pas sa mission. Alors qui pour entreprendre ses efforts : les centres de gestion départementaux (CDG) ? Les services en préfectures ? Des regroupements d’offreurs de solutions ? Des initiatives en Région ou dans les EPCI[11] via le financement de projet ou d’appel à manifestation d’intérêt ? Sans doute un peu de tout cela.

Le virage numérique est engagé, l’accroissement du digtal est rapide et inéluctable. A ce titre, tous les moyens sont bons et sont à utiliser pour faire avancer nos territoires en la matière. C’est pourquoi il faut réunir tous les acteurs au sein d’un même cercle de coordination à l’échelon régional, tout en interagissant au niveau des collectivités à l’échelle des EPCI. Le but est de réunir les sachant, experts technologiques, offreurs, décideurs et consommateurs. De plus,l’échelon régional est le bon niveau au niveau budgétaire, car c’est au niveau de la Région que s’opère l’attribution de FEDER[12] pour financer en partie ces travaux.

L’échelon national quant à lui a toujours un rôle à jouer dans cette décentralisation de la transformation numérique des collectivités. Celui de détecter et de promouvoir les meilleures initiatives/démonstrateurs et de permettre leur duplication dans des territoires moins performants, comme l’évoque un opérateur public de services numériques, il faut « S’appuyer sur l’expérience de chacun, pour ne laisser personne au bord du chemin … ».

Face à ces besoins de transformation numérique et afin de répondre aux problèmes de cybersécurité, il me semble que deux structures sont à utiliser.

Tout d’abord au niveau local, la structure des partenariats publics-privés en région est la meilleure approche territoriale. D’une part, car ces structures (clusters/associations, entreprises,…) sont constituées par regroupement de professionnels du secteur qui possèdent une véritable expérience des enjeux et des technologies, notamment au travers de leurs activités professionnelles réalisées dans le domaine du secteur privé. D’autre part, cette structuration permet de bâtir et de construire des offres complètes, clés et/ou services en mains. Ceci correspond exactement aux besoins des collectivités telles que les ECPI. Ces dernières n’ont pas forcément la capacité à réaliser la maîtrise d’ouvrage de l’édifice technologie de l’e-administration (besoin AMOA), disposent de peu voir d’une absence de maîtrise d’œuvre (besoins MOE), mais sont à même de regrouper les besoins pour les communes qu’elles regroupent.

D’autre part au niveau national, à l’issue de l’émergence d’une solution ou d’une technologie à usage répandue, la structure de la startup incubée au niveau de l’Etat permet un double objectif ; tout d’abord d’orienter la conception et l’usage de technologie sensible ou à large spectre et d’autre part de garder une souveraineté numérique dans les solutions qui seront utilisées sur les territoires.

Le présent quinquennat a fixé comme objectif d’atteindre 100% de services dématérialisés de l’Etat et de ses collectivités d’ici à 2022. Il reste donc un peu moins de 4 ans avant l’échéance. Aussi, pour réussir ce pari, pour projeter nos territoires dans un numérique où règne la confiance et la protection des données, je pense qu’il est nécessaire de bâtir des initiatives en partenariat fort avec des ECPI, particulièrement les métropoles et communautés d’agglomérations, puis de fédérer au niveau régional voir nationale les meilleures solutions.

 

Article initial de janvier 2017, actualisé mi-décembre 2017

Notes présentes dans l’article

[1] http://www.lagazettedescommunes.com/277822/plf-2015-scenario-noir-pour-les-collectivites-territoriales/

[2] http://www.lefigaro.fr/secteur/high-tech/2015/01/15/32001-20150115ARTFIG00333-la-france-face-a-une-vague-sans-precedent-de-cyberattaques.php

[3] http://www.silicon.fr/1300-attaques-cyber-djiadhistes-france-106254.html

[4] Action visant à changer la page principale du site par un message revendicatif

[5] http://www.chaire-cyber.fr/IMG/pdf/introduction_aux_enjeux_du_numerique_pour_les_ct_v1.pdf (§ II, p.13)

[6] http://www.lagazettedescommunes.com/337105/plusieurs-milliers-de-site-de-collectivites-mal-securises/

[7] Données en ODbL https://www.data.gouv.fr/fr/datasets/securite-des-sites-informatiques-des-communes-francaises/

[8] http://www.assemblee-nationale.fr/14/ta/ta0663.asp

[9] http://www.courrierdesmaires.fr/44682/assurer-la-securite-informatique-et-la-sauvegarde-des-donnees/

[10] http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/dans-les-collectivites-territoriales/quand-etat-et-collectivites-territoriales-transforment-ensemble-le-service-public-decouvrez-le-programme-dcant-2018-2020

[11] Etablissements Publics de Coopération Intercommunale (métropoles et communautés)

[12] FEDER : Fonds Européen de DEveloppements Régional adopté en 2010 avec un budget de 960 milliards d’euros sur 2014-2020 pour les membres de l’UE (dont 9,5 milliards d’euros allouable aux projets français). Pour plus d’informations, consulter le site http://www.europe-en-france.gouv.fr/

Wanacry, (Not)Petya … préparez-vous pour des cyberattaques à répétitions

La dernière cyberattaque qui a frappé la Russie, puis en cascade de multiples pays, touchant en France le groupe Auchan via sa filiale ukrainienne, l’industriel Saint Gobain ou bien encore la salle des marchés de la banque BNPPARIBAS est sans précédent … pour autant cette seconde cyberattaque était prévisible et loin d’être la dernière.

Par Fabian Rodes, Fondateur de FASIS Consulting & Vice-Président 4CN (https://twitter/FabianRODES)

Le virus Wanacry de type ransomware (rançongiciel en français) a annoncé l’aube d’une nouvelle ère numérique : celle d’un espace Cyber où il n’est plus possible d’être protégé sans déployer de lourds moyens de protection et de prévention. Pourquoi ? Tout simplement car d’une part le délai entre l’apparition d’une menace et son exploitation s’est considérablement amoindri ; et d’autre part la probabilité de l’occurrence de la menace a été démultiplié par l’usage de propagation de masse.

Par ailleurs, l’usage du cyber-conflit pour affaiblir politiquement un pays et/ou montrer sa suprématie numérique est devenu courant. En effet, il n’est plus aussi facile d’attribuer la paternité d’un virus ou d’une cyberattaque. L’origine des attaques ainsi que les motivations ne sont plus dorénavant l’exclusivité de groupuscules cybercriminels, des doutes et des rapprochements avec des agences gouvernementales ou bien des commanditaires étatiques étant de plus en plus fréquent.

De plus, la mode du Cloud s’est aussi étendue à la cybercriminalité et les offres « As A Service » se sont aussi étendues sur le darknet. Il est maintenant possible d’acheter un service de conception de virus/ransomware, d’attaque par dénis de services distribués (DDOS) ou bien de piratage de boîte aux lettres ou de site Internet.

Enfin, la divulgation de failles numériques détenues par les agences gouvernementales américaines (NSA et FBI) a considérablement augmenté le spectre des vecteurs d’attaques possibles ces derniers mois. En effet, les révélations du groupuscule ShadowBrokers ont mis à disposition de tous, des vulnérabilités jusqu’alors détenues par des agences étatiques. Ces failles ont alors été utilisées pour concevoir des virus ransomware de masse comme WanaCry et (not)Petya. Devant le peu de moyens nécessaires à déployer pour concevoir des virus/vers analogues, d’autres cyberattaques de masse sont à craindre. La cyberattaque (not)Petya qui a touché le monde le 27 juin n’est qu’une déclinaison V2 de Wanacry en corrigeant et en améliorant la première version (usage d’autres vecteurs de diffusion, redémarrage du poste pour empêcher tout contournement via le système d’exploitation).

Toute entité – la plus grande comme la plus petite – n’est aujourd’hui plus à l’abri d’être touchée par une cyberattaque de masse. De par la morosité économique de ces dernières années, les investissements en matière de sécurité n’ont pas été à la hauteur de l’accroissement des menaces. L’exposition aux risques Cyber s’est considérablement ainsi accrue, notamment chez les PME/TPE qui consomment maintenant toutes des services connectés.

Nul doute que le rythme des révélations de nouvelles failles ne va s’estomper. Nul doute que l’activité criminelle ou les escarmouches numériques entre grandes puissances via les canaux Cyber ne vont diminuer. Bien au contraire, l’accélération numérique que nous vivons depuis les années 80 ne cessera de croitre, et ce y compris en matière de cybercriminalité.

Dès lors, la prise en compte de ses risques de cyberattaques dans l’activité numérique est inéluctable : il est nécessaire d’investir pour protéger la chaine de valeurs. Mais attention, cette forme d’investissement n’est pas avant tout technologique. Il doit être précédé d’investissement humain et d’une prise de conscience des risques au plus haut niveau de chaque entité.

La sensibilisation, premier pilier de la cybersécurité, donc ainsi s’accroître au niveau des fonction dirigeante, au niveau du dirigeant d’une entreprise, tout comme au futur cadre d’une école de commerce. Par suite, la culture du Risque doit être introduite dans toutes les entités économiques et sociales. Enfin, les moyens technologiques adaptés aux enjeux et aux risques seront à déployer.

C’est le rôle et l’objectif que s’est fixé le Réseau 4CN : promouvoir la Cybersécurité et cartographier les offres en fédérant tous les acteurs à l’échelon régional. Ceci afin de sensibiliser et de protéger savoir-faire et activité économique de nos territoires.

Lettre ouverte à l’approche des annonces du FIC

Lettre ouverte pour endiguer la spirale sécuritaire et obtenir un engagement ferme préservant un chiffrement fort et l’absence d’usage de backdoors dans les produits grand public.

 

Dans quelques jours débutera la 8eme édition du Forum International de la Cybersécurité les 25 et 26 janvier prochain à Lille.
Cet évènement qu’est le FIC, est devenu au fil des années un incontournable dans le domaine de la cyberdéfense et de l’approche étatique de la sécurité numérique sur le monde du citoyen.

Ainsi de nombreux ministres et personnalités publiques réservent leurs annonces lors de leurs interlocutions en séances plénières ou bien dans les ateliers thématiques. On se rappellera ainsi dernièrement des annonces en 2014 du lancement du pacte « Défense cyber » avec la création d’un pôle d’excellence en Bretagne, et en 2015 l’allocation d’un fond de 108M€ et 6 axes de travail pour faire face à la cybercriminalité et aux cybermenaces.

Certaines annonces sont aussi édictées mais ne sont pas suivies d’effet, citons pour exemple les indicateurs nationaux de cybermenaces permettant d’évaluer annuellement l’évolution de la menace à l’encontre des actifs numériques français. C’est le seul exemple qui me vient à l’esprit et celui qui me tenait le plus à cœur en l’ayant proposé dans l’appel à contribution en ligne du projet de loi pour une République numérique.

Comme chaque année, des annonces seront faites lors du prochain FIC à Lille, mais lesquelles en 2016 ? Difficiles de parler cybermenaces/cyberattaques avec ce qui s’est passé en 2015, difficiles de ne pas dériver vers l’investigation numérique et les moyens de lutter contre toutes les formes de terrorisme.

En effet, l’année 2015 a été plus que mouvementée et dramatique avec les tragédies des attentats perpétrés en France, mais aussi (certes sans moindres conséquences) dans le domaine de la cybersécurité avec les fuites massives de données privées utilisateurs. Ces conséquences ont toutes nécessité un changement radicalement la donne en matière d’efforts de lutte et de prévention dans le domaine des investigations numériques … mais hélas en venant réduire le sanctuaire des libertés individuelles, faisant pencher dangereusement le curseur vers plus de sécurité au détriment de moins de libertés.

Les attaques terroristes de janvier 2015 ont engendré une psychose dans le domaine du politique. On peut le comprendre, quel homme ou femme d’état ne souhaiterait permettre que de tels actes se reproduisent. Aussi, un projet de loi sur l’évolution du renseignement, quasiment ficelé dans les tiroirs, a-t’il été expédié manu-militari et voté le doigt sur la couture du pantalon par les 2 chambres ; et ce en dépit de l’ensemble unanime des associations et professionnels de l’Internet et de la Cybersécurité, ainsi que des représentants des libertés individuelles de notre pays. Cette loi Renseignement a augmenté les moyens et capacités d’interception, faisant voler en éclat la mince barrière des libertés personnelles en matière de vie privée. Certes, les moyens budgétaires alloués ne permettent pas aujourd’hui d’installer ces fameuses boîtes noires dans tous les centres techniques de raccordements des particuliers à Internet (DSLAM), mais la possibilité de le faire (de l’étendre puisque la pratique existait déjà auparavant) n’est dorénavant qu’une question de temps et d’argent. Certes les géants de l’Internet, utilise constamment des balises et des mouchards afin de cataloguer et utiliser nos connexions et propos. Mais dans le second cas, il est toujours possible d’atténuer ces pratiques en utilisant des bloqueurs ou bien en changeant nos habitudes de navigation sur Internet.

L’objet de cet article n’est cependant pas la loi Renseignement. La loi est la loi, ne revenons plus dessus et attendons la fin de la période probatoire définie dans la dite loi ; soyons alors prêt et exigeons au moment venu un bilan et un véritable débat national en tirant les conclusions de la mise en application de cette loi, en terme de résultats, de bénéfices et de conséquences.

L’objet de mon propos concerne un autre débat que celui des interceptions légales et de la surveillance de masse par des algorithmes. Un sujet qui est abordé depuis quelques mois, voir qui s’est intensifié depuis ces dernières semaines car la psychose politique est toujours présente, irrémédiablement gonflée par la seconde vague d’attentat de novembre dernier. Cette seconde vague ouvre le débat (s’il existe encore) du contrôle étatique du chiffrement ou de l’implémentation de portes dérobées (backdoors) afin de le contourner. Ceci afin de permettre à tous les services de police étatique de casser la confidentialité d’un logiciel ou d’une connexion réseau sécurisée, alors que justement le but du chiffrement est d’assurer la protection des données stockées ou véhiculées.

Ce « frein » qu’est le chiffrement n’est en effet, après la capacité d’interception et de filtrage, plus que le dernier rempart à toutes les sortes d’investigations pour permettre d’identité l’ émetteur/propriétaire, le(s) destinataire(s) et le contenu d’une donnée numérique. Différents discours de langage de plusieurs élus, entre les partisans d’un chiffrement fort et partisans d’un État de droit justifiant le déchiffrement complet de toutes communications ou stockage, s’opposent dans la sphère publique depuis maintenant près d’un an (discours/déclaration de représentant, proposition d’amendement, …).

Au delà de ces débats, la France a exprimée en 2014 et confirmée en 2015 sa volonté de devenir un acteur mondial de 1er plan dans le domaine du numérique et de sa sécurité (labels « FrenchTech » et « France Cybersecurity »). Il serait aujourd’hui catastrophique pour l’industrie numérique française d’avoir un État ayant une attitude à la Big Brother telle que celle qui a plongé les États-Unis au lendemain des attentats de septembre 2001 (attitude jugée par ailleurs sans effets positifs et partiellement abrogée aux USA plus de 10 ans après leur mise en application).

Il est maintenant temps de trancher et de choisir entre un État simpliste et tout sécuritaire ou bien un État choisissant, certes non sans quelques difficultés, à trouver une voie entre vie privée/libertés individuelles et investigations/renseignements numériques et lutte contre le terrorisme.

Aussi mon vœu le plus cher en ce début d’année serait d’avoir un positionnement ferme à l’égard du chiffrement et de implantation de portes dérobées (backdoors) dans les produits conçus et/ou utilisés sur le territoire français.

Messieurs les élus et représentants de la nation, à vos micros.

Management de la Sécurité de l’Information, un subtil dosage entre normes et organisation

La mise en place d’un management de la sécurité de l’information efficient et durable n’est pas chose facile et requière un habile dosage de normes et d’organisation : dépistage des écueils, pièges et leviers de réussite

Une croissance des technologiques … mais aussi des risques de Sécurité

Les Systèmes d’Information sont devenus au fil des trois dernières décennies d’imposantes interconnexions entre les réseaux et les technologies, ayant permis un usage toujours plus vaste et performant du numérique aux services de l’entreprise et de ses clients. Cependant ces innovations ont engendré de nouveaux risques en matière de résilience et de protection, non-seulement de l’appareil de production, mais également et encore plus des données stockées ou véhiculées.

Alors que l’informatique de production s’est dotée de normes dans les années 80 et 90, la normalisation de la sécurité de l’information n’a émergée qu’au milieu des années 2000. Construite sur les standards britanniques, une première approche normative internationale ISO17799 voit le jour fin 1999. Celle-ci sera amendée avec l’ISO27002 et complété en 2005 par une définition des exigences de sécurité des SI au sein de l’ISO27001, permettant de prétendre à une certification. D’autres normes ont émergées propres à des besoins spécifiques, telles que HISA (SI en milieu médical), PCI-DSS (données cartes bancaires en environnement B2B/B2C). Ces normes qualifient avant tout des exigences de résultats et ne procurent pas autant de méthodologie que les normes internationales ISO2700x.

Vers une sécurité de l’information perçue au plus haut niveau de l’entreprise, intégrée à la gestion des risques

Quelle que soit le niveau de perception du risque au sein de l’entreprise, le management de la sécurité ne doit pas être décrétée par un responsable, mais être le fruit d’une réflexion adaptant les exigences aux besoins de l’entreprise. Pour ce faire, deux impératifs vont de pair : d’une part une sensibilisation et une considération par les plus hautes instances de l’entreprise, et d’autre part le recours à une méthode d’analyse et d’évaluations des risques.

En premier lieu, une sensibilisation du comité exécutif doit être réalisée afin de susciter une prise de conscience et permettre la ratification d’une gouvernance de la Sécurité non-réfutable au sein de l’entreprise. Ce franchissement est primordial et déterminant, mais l’angle d’approche reste délicat. Trop effrayantes ou mal ciblées, les menaces et leurs conséquences seront perçues comme n’arrivant qu’aux autres et le RRSI comme un prédicateur de mauvais augure !

Ensuite, l’intégration de la Sécurité de l’Information dans la gestion des risques est vitale pour obtenir une bonne et efficace gestion de son management. Pour se faire, il est nécessaire de recourir à la mise en place d’une méthode d’analyse et de gestion des risques issue de l’ISO27005, d’EBIOS ou de MEHARI. Cette méthode dévolue à la Sécurité de l’Information doit s’intégrer dans la gestion globale des risques de l’entreprise. Trop souvent relayée à la DSI, jugée seule experte des technologies employées, la qualification des menaces et des risques n’est alors pas correctement évaluée dans la globalité des risques. Cette anomalie survient souvent par un manque de connaissances et d’appropriation des outils numériques par les propriétaires des processus Métiers, ne permettant pas de jonction entre Technologies, besoins/exigences Métiers et gestion du risque au sein de l’entité.

L’organisation, un facteur déterminant de réussite

Pour la mise en place de la Gouvernance, la recherche d’un triumvirat de la Sécurité s’avère en général payante. Le responsable Sécurité doit, d’une part réussir à être membre d’un comité exécutif (direct ou indirect, si possible hors de sa DSI), et d’autre part s’allier à un partenaire de poids dans la gestion globale des risques : DAF ou DRH dans les petites et moyennes structures, responsable Risques ou d’un corps de contrôle interne dans les structures moyennes et Groupes. Par suite, la ségrégation entre Gouvernance et Exploitation de la Sécurité est un gage de réussite afin de garantir qualité de mise en œuvre et impartialité des contrôles.

La Sécurité de l’Information doit refléter les besoins établis en considération des risques et menaces auxquels sont exposées les processus et toutes les données de l’entreprise : données Métiers, mais aussi base RH et fichier clients. A cet effet, le management de la Sécurité doit disposer d’autonomie, notamment budgétaire, afin d’écouter et de prendre en compte l’ensemble des exigences de l’entreprise. Quelque soient les rattachements hiérarchiques, la mise en place d’une chaîne de coordination de la Sécurité entre fonctions Métiers, Supports et DSI permet alors d’unifier et d’uniformiser la tâche de management. La création d’un comité transversal de Sécurité permet de renforce le travail de management en toute transparence et à l’unisson. Par suite, le produit des travaux et actions de ce comité permettra d’alimenter un tableau de bord partagé de tous. Enfin ce dernier sera remonté périodiquement à l’Exécutif afin de partager la vision du risque de Sécurité et permettre de l’amender  … au regard des évolutions ou besoins de l’entreprise.