NOTE DE SYNTHÈSE Concours de secrétaire comptable externe

NOTE DE SYNTHÈSE
____________
Concours de secrétaire comptable
externe – interne – obligation d’emploi
2012
À partir du dossier joint, vous analyserez dans quelle mesure la cyber-attaque représente aujourd’hui une
menace croissante pour les acteurs publics et privés et quelles leçons il convient d’en tirer pour mieux y faire
face.
LISTE DES DOCUMENTS JOINTS
1.
Le cyberespionnage, une arme militaire et économique
Nathalie Guibert – www.lemonde.fr – 17/12/2011 – 2 pages
2.
Bercy, l’Élysée et le Quai d’Orsay visés par une cyberattaque
www.lepoint.fr – 07/03/2011 – 2 pages
3.
Foreign hackers targeted U.S. water plant in apparent malicious cyber attack, expert says
Ellen Nakashima – www.whashingtonpost.com – 11/18/2011 – 1 page
4.
Cyber Attack on U.S. Chamber Pressures Congress to Speed Web Rule Rewrite
Chris Strohm – www.bloomberg.com – 12/22/2011 – 2 pages
5.
Patrick Pailloux, dg de Anssi : “Les cyberattaques ne sont pas juste un fantasme de romancier”
Edouard Laugier – www.lenouveleconomiste.fr – 11/05/2011 – 5 pages
6.
Cyber-attaque
Portail interministériel de prévention des risques majeurs – http://risques.gouv.fr – 2 pages
7.
Assurer la cyberdéfense
Secrétariat général de la Défense et de la Sécurité Nationale – www.sgdn.gouv.fr – 2012 – 1 page
8.
Defending the networks : The NATO Policy on Cyber Defence
www.nato.int – 2011 – 3 pages
9.
Cyberdéfense : un nouvel enjeu de sécurité nationale
Rapport d’information – Commission des Affaires étrangères, de la défense et des forces armées
Roger Romani – www.senat.fr – 08/07/2008 – 5 pages
1
Le cyberespionnage, une arme militaire et
économique
Mobilisation générale dans le cyberespace. Ministères, agences gouvernementales, états-majors, mais
aussi industriels et prestataires de tous types ont, ces derniers mois, investi de façon significative la
cybersécurité et la cyberdéfense. « Nous cherchons où couper dans nos budgets, mais s'il est un
domaine pour lequel je suis sûre que nous aurons une progression, c'est celui du cyber », nous a
indiqué la secrétaire américaine à la sécurité intérieure, Janet Napolitano, le 2 décembre, à Paris. Pour
elle, « le cyberespace est l'endroit où nos intérêts économiques et nos intérêts sécuritaires peuvent
coïncider ».
En raison de leur sophistication, des attaques récentes sont prises en exemple par les décideurs pour
justifier cet effort. En juin 2009, le virus Stuxnet avait endommagé des installations iraniennes lors
d'une attaque attribuée aux États-Unis et à Israël : c'était la première offensive de précision, jugée
efficace, contre un système de contrôle industriel. En avril 2010, 15 % de l'Internet mondial avait été
détourné pendant dix-huit minutes sur un serveur chinois.
En mai 2011, des données américaines parmi les plus sensibles ont été forcées : comptes Gmail de
hauts fonctionnaires, plans de matériel militaire chez Lockheed Martin. « Ces attaques ont montré
l'urgence qu'il y avait à sécuriser nos réseaux, souligne Mme Napolitano. Elles ont révélé les
incessants efforts menés par certains pour s'approprier les secrets et la propriété intellectuelle des
États-Unis ou de leurs entreprises. C'est le type de crime majeur de notre ère. » Dans le domaine de
l'espionnage industriel, il n'est pas d'allié ni d'ami.
La guerre est-elle déclarée pour autant ? Dans un récent rapport au Congrès, les services du contreespionnage américains ont désigné la Chine. Tandis que les autorités civiles pressent les grands
acteurs économiques de prendre des mesures de protection, des stratégies militaires s'affinent au nom
de la protection des intérêts vitaux des nations, et cette pression sécuritaire inquiète les défenseurs des
libertés.
Focalisés sur la fragilité de leurs réseaux électriques, les militaires américains envisagent le pire :
« Une arme nucléaire peut détruire le réseau d'une ville, la crainte est qu'une cyberattaque puisse le
faire à l'échelle de tout un pays, devenant une arme de destruction massive », a indiqué le général
James Cartwight, ancien chef d'état-major adjoint des armées lors d'un débat organisé par le Center for
Strategic and International Studies (CSIS) de Washington, le 6 décembre. Selon ce haut gradé, la
probabilité que cela arrive est "très lointaine", mais il faut être « vigilant ».
« Il est trop tard pour se poser la question de savoir s'il faut ou non militariser le cyberespace », a
noté James Lewis, directeur au CSIS. Toutes les grandes puissances ont mis à jour en 2010 et 2011
leur stratégie nationale de cyberdéfense, avec un volet offensif jamais détaillé.
FANTASMES
Selon l'enquête du CSIS, 35 pays développent une doctrine militaire destinée à faire face à une
cyberguerre. Même si ses effets ne peuvent être maîtrisés - impossible de garantir qu'un virus envoyé
sur une cible militaire ne migre pas vers un hôpital -, l'arme informatique a pris sa place parmi les
autres armes d'appui, au même titre que l'artillerie.
SC 2012
1/2
www.lemonde.fr
17/12/2011
1
Gare aux fantasmes, cependant. La mise en œuvre du « commandement cyber » du Pentagone en
2010, au même titre que les commandements air, terre et mer, « laisserait penser que les concepts
historiques de la guerre - la force, l'attaque, la défense, la dissuasion - peuvent être appliqués au
cyberespace. Ce n'est pas le cas », a tempéré Martin Libicki, expert de la RAND Corporation, qui, en
2009, conseillait l'US Air Force. « Une cyberguerre pourrait gêner mais non désarmer un adversaire,
dit-il. Et n'importe quel adversaire a la capacité de frapper en retour d'une façon qui serait plus que
gênante. »
La difficulté d'attribuer les attaques reste une limite. On sait repérer des « signatures » de groupes de
hackers ou de services étrangers, par exemple, mais la certitude qu'un tiers ne se soit pas interposé
n'est jamais acquise. « Dire que c'est tel pays, c'est une décision politique », admettait le 6 décembre le
général Cartwight.
La priorité du moment reste donc la protection basique des systèmes d'information. « Si nous assistons
à beaucoup d'attaques, c'est que les réseaux sont encore très mal protégés ; certains entrent là où,
simplement, on a laissé les portes ouvertes », tempère ainsi une source française de la défense. Les
gouvernements développent auprès de leurs citoyens le concept d' « hygiène informatique ». Pour les
réseaux sensibles, déjà cryptés et dupliqués, l'effort porte sur la mise en place d'une surveillance active
afin de pouvoir limiter au plus vite l'effet d'une intrusion. En France, ces mêmes moyens de
surveillance à l'état-major des armées sont en train d'être réunis avec ceux de l'Agence
interministérielle chargée de la cybersécurité.
VERS UNE COOPÉRATION INTERNATIONALE
Les gouvernements occidentaux cherchent à coordonner leurs acteurs nationaux. Aux États-Unis, un
accord a été passé entre le département de la sécurité intérieure et celui de la défense pour utiliser les
ressources technologiques de la National Security Agency. Conscients qu'une escalade offensive ne
ferait qu'accroître la vulnérabilité de tous, ces mêmes États affichent la volonté d'un dialogue, voire
d'une coopération internationale.
Des experts explorent la possibilité d'un cadre juridique collectif. La nouvelle chaire de cyberstratégie
créée fin novembre à l'École militaire de Paris est missionnée sur la problématique. Enfin, les
exercices internationaux se développent : à l'OTAN, où un plan d'action a été adopté en juin. Mais
également à l'Union européenne, qui a organisé un premier exercice de simulation en novembre. De
leur côté, les États-Unis convient leurs alliés à participer à leurs « CyberStorm », organisés depuis
2006. « Tout cela est conçu, précise Janet Napolitano, afin de nous entraîner à réagir dans le cas
d'une attaque massive qui aurait des répercussions dans plusieurs pays simultanément. »
Nathalie Guibert
SC 2012
2/2
www.lemonde.fr
17/12/2011
2
Bercy, l’Élysée et le Quai d’Orsay visés par
une cyberattaque
De nombreuses informations ont été dérobées sur les ordinateurs
du ministère des Finances, seul à avoir été infiltré avec succès.
Le ministère français de l’Économie et des Finances a été, pendant plusieurs semaines, la cible d’une
attaque informatique très professionnelle visant des documents liés au G20, a expliqué lundi l’Agence
nationale de la sécurité des systèmes d’information (Anssi). La cyberattaque, révélée par le site
internet de Paris Match, a été confirmée lundi par la ministre de l’Économie, Christine Lagarde, et par
celui du Budget, François Baroin. « Il s’agit bien d’une attaque d’espionnage », a déclaré lors d’une
conférence de presse Patrick Pailloux, directeur général de l’Anssi, qui est rattachée à la Défense.
« L’objectif était véritablement de voler de l’information, de façon ciblée. »
Détectée début janvier alors qu’elle avait sans doute commencé plusieurs semaines auparavant, cette
attaque a touché environ 150 postes informatiques sur les 170 000 que regroupent les systèmes du
ministère, a-t-il précisé. Les pirates se sont introduits dans les réseaux de Bercy par l’intermédiaire de
la messagerie informatique, le "point d’entrée" ayant sans doute été une pièce jointe sur laquelle un
utilisateur a cliqué, a-t-il expliqué.
Des vérifications ont été menées pendant plusieurs semaines dans l’ensemble des services concernés et
elles ont conduit ce week-end à « une très grosse reconfiguration de l’informatique de Bercy » pour
renforcer leur sécurité, a précisé Patrick Pailloux. L’attaque n’a pas touché les dossiers fiscaux et les
dossiers personnels, a-t-il assuré, et "on ne l’a pas observée réussie ailleurs". Il s’est toutefois refusé à
dire quels autres ministères avaient été visés. La présidence de la République a démenti, de son côté,
les informations du quotidien Libération selon lesquelles elle avait été, elle aussi, prise pour cible.
Des pistes, pas d’accusation
Les espions visaient des documents liés au G20, a expliqué le directeur général de l’Anssi. « Les
pirates, les hackers s’intéressaient au G20 et globalement à notre politique économique à l’échelle
internationale », a-t-il précisé. Des pirates qu’il présente comme « professionnels, déterminés et
organisés". "Cette attaque n’a pas été menée avec trois PC dans un garage », résume-t-il. Une
affirmation qui s’appuie sur le nombre de postes visés et sur l’éventail des personnes concernées au
sein du ministère de l’Économie, de la secrétaire aux hauts responsables en passant par des chargés de
mission. Selon Paris Match, qui cite une « source proche du dossier », la direction du Trésor était la
principale cible des hackers.
Les documents auxquels les pirates ont pu accéder sont très variés et vont du « banal » au « sensible »,
a expliqué le patron de l’Anssi. Mais les documents « classifiés », qui ne circulent que sur un réseau
isolé d’Internet, n’ont pas été touchés. Les autorités ont « des pistes » concernant l’origine de
l’attaque, « mais pour l’instant, il est impossible de les confirmer », a dit sur Europe 1 François
Baroin. Une piste chinoise est évoquée mais n’a pas été confirmée.
« Armées de hackers »
Le ministère de l’Économie a porté plainte contre X. Le parquet de Paris et la DCRI, direction du
renseignement, ont été saisis du dossier. De son côté, Christine Lagarde a rappelé que le Canada avait,
SC 2012
1/2
www.lepoint.fr
07/03/2011
2
lui aussi, été pris pour cible en janvier dernier. « Dès qu’on a identifié les difficultés, des mesures
conservatoires ont immédiatement été prises, notamment concernant les communications des
documents relatifs au G20 puisqu’on a rapidement identifié l’intérêt manifeste pour ce sujet », a-t-elle
dit à des journalistes. « Ce que je peux vous dire, c’est que ça n’est pas agréable », a-t-elle confié à
Reuters.
Pour le député UMP Bernard Carayon, spécialiste de l’espionnage industriel, l’affaire est grave.
« Cette affaire extrêmement grave souligne la vulnérabilité des systèmes d’information publics », a-t-il
dit dans un communiqué. « La menace est connue depuis longtemps : certains États se sont dotés
d’armées de hackers ». Selon lui, les systèmes d’information du secrétariat général de la Défense et de
la Sécurité nationale (SGDSN) ont déjà été pénétrés, comme ceux du Pentagone aux États-Unis. « Les
moyens français ne sont pas à la hauteur des enjeux », a-t-il jugé.
L’Anssi, créée en 2009, va recruter 70 personnes cette année, ce qui portera ses effectifs globaux à
250 personnes, a précisé Patrick Pailloux lors de sa conférence de presse.
SC 2012
2/2
www.lepoint.fr
07/03/2011
3
Foreign hackers targeted U.S. water plant in
apparent malicious cyber attack, expert says
Foreign hackers caused a pump at an Illinois water plant to fail last week, according to a preliminary
state report. Experts said the cyber-attack, if confirmed, would be the first known to have damaged one
of the systems that supply Americans with water, electricity and other essentials of modern life.
Companies and government agencies that rely on the Internet have for years been routine targets of
hackers, but most incidents have resulted from attempts to steal information or interrupt the
functioning of Web sites. The incident in Springfield, Ill., would mark a departure because it
apparently caused physical destruction.
Federal officials confirmed that the FBI and the Department of Homeland Security were investigating
damage to the water plant but cautioned against concluding that it was necessarily a cyber-attack
before all the facts could be learned. “At this time there is no credible corroborated data that indicates
a risk to critical infrastructure entities or a threat to public safety,” said DHS spokesman Peter
Boogaard.
News of the incident became public after Joe Weiss, an industry security expert, obtained a report
dated Nov. 10 and collected by an Illinois state intelligence center that monitors security threats. The
original source of the information was unknown and impossible to immediately verify.
The report, which Weiss read to The Washington Post, describes how a series of minor glitches with a
water pump gradually escalated to the point where the pump motor was being turned on and off
frequently. It soon burned out, according to the report.
The report blamed the damage on the actions of somebody using a computer registered to an Internet
address in Russia. “It is believed that hackers had acquired unauthorized access to the software
company’s database” and used this information to penetrate the control system for the water pump.
Experts cautioned that it is difficult to trace the origin of a cyber-attack, and that false addresses often
are used to confuse investigations. Yet they also agreed that the incident was a major new
development in cyber-security.
“This is a big deal,” said Weiss. “It was tracked to Russia. It has been in the system for at least two to
three months. It has caused damage. We don’t know how many other utilities are currently
compromised.”
Dave Marcus, director of security research for McAfee Labs, said that the computers that control
critical systems in the United States are vulnerable to attacks that come through the Internet, and few
operators of these systems know how to detect or defeat these threats. “So many are ill-prepared for
cyber-attacks,” Marcus said.
The Illinois report said that hackers broke into a software company’s database and retrieved user
names and passwords of control systems that run water plant computer equipment. Using that data,
they were able to hack into the plant in Illinois, Weiss said.
Senior U.S. officials have recently raised warnings about the risk of destructive cyber-attacks on
critical infrastructure. One of the few documented cases of such an attack resulted from a virus,
Stuxnet, that caused centrifuges in an Iranian uranium enrichment facility to spin out of control last
year. Many computer security experts have speculated that Stuxnet was created by Israel - perhaps
with U.S. help - as a way to check Iran’s nuclear program.
Ellen Nakashima
SC 2012
1/1
www.washingtonpost.com
11/18/2011
4
Cyber Attack on U.S. Chamber Pressures
Congress to Speed Web Rule Rewrite
A cyber attack on the U.S. Chamber of Commerce will intensify pressure on Congress to overhaul
Web security regulations written before the existence of Facebook Inc., Twitter Inc. and Google Inc.
(GOOG)’s Gmail.
Concern that computer systems for banks, power companies and Internet providers are vulnerable rose
after hackers with ties to China stole confidential e-mails and documents from the chamber, the
biggest U.S. business lobbying organization.
“Congress and the administration have been dithering over cybersecurity for years,” said Stewart
Baker, a former assistant secretary for policy at the Homeland Security Department and a partner at
the Steptoe & Johnson LLP law firm in Washington. “In that time, American companies have been
robbed blind. This does underline, if any underlining is necessary, that we need a strong cybersecurity
bill.”
Senate Majority Leader Harry Reid plans to take up cybersecurity legislation as early as next month to
rewrite rules set after the terrorist attacks of Sept. 11, 2001. A U.S. report released last month found
that China was the biggest hacker threat to American firms, and those attacks breached the networks of
at least 760 companies.
The chamber breach, confirmed by the organization yesterday, shows that even House and Senate
members may be vulnerable to foreign hackers, said Jessica Herrera-Flanigan, a former staff director
for the House Homeland Security Committee, in an interview.
“This latest compromise should especially be of concern as the hackers potentially could have gotten
hold of sensitive and strategic e-mails to and from the chamber and these officials,” said
Herrera-Flanigan, who’s now a partner at Monument Policy Group in Washington.
Spy Versus Lobbyist
The chamber, representing more than 3 million members, said yesterday that communications with
fewer than 50 of its members were affected by the 2010 attack. It said it hasn’t seen evidence of harm
to members or the organization. The security breach was first reported by the Wall Street Journal.
Republican Representatives Peter King of New York and Dan Lungren of California, and Independent
Senator Joseph Lieberman of Connecticut, all sponsors of cyber protection bills, said the latest attack
shows the need for such legislation.
“Reports like this should serve as a reminder of how important it is for the federal government to
secure its networks,” King said in a statement.
Social Network Hackers
New legislation would update a 2002 law that created the Homeland Security Department, predating
social media sites that security firms such as Symantec Corp. (SYMC) say are targets.
Hackers exploit some social-networking sites where Web users often let down their guard, according
to Symantec.
SC 2012
1/2
www.bloomberg.com
12/22/2011
4
The company issued 10 million updates and recorded 3.1 billion malware attacks last year, up from
about 20,000 software updates in 2002, said Cris Paden, a spokesman for Symantec.
Two House bills are aimed at protecting critical systems and improving the sharing of classified
cyber-threat data between companies and government.
One, H.R. 3674, introduced Dec. 15 by Republicans Lungren and King, who leads the Homeland
Security Committee, lets the Homeland Security Department identify and suggest ways to thwart the
biggest risks.
Preventing Cyber Attacks
The regulators of specific industries - not the homeland security agency - would have primary
responsibility for writing rules governing cybersecurity operations in their areas, Lungren said in a
statement.
The bill creates a U.S. information-sharing organization as a clearinghouse for the government and
companies to exchange cyber-threat data. The measure authorizes $10 million in annual government
funding for three years to start the organization, Lungren said.
The second House bill, H.R. 3523, was introduced Nov. 30 by Representatives Mike Rogers, a
Michigan Republican who leads the House Intelligence Committee, and C.A. “Dutch” Ruppersberger
of Maryland, the panel’s top Democrat.
The bill would give companies protections from lawsuits when they tell the government about attacks
against their networks, while the government could provide companies with classified cyber-threat
data.
Data that companies give the government would be exempt from Freedom of Information Act requests
and couldn’t be used by the government to mandate regulations, according to the bill.
“Protecting critical infrastructure won’t happen spontaneously - there is no business case for it and the
market will never deliver,” said James Lewis, director of the technology and public policy programs at
the Center for Strategic and International Studies, in an e-mail. “That’s why we need legislation or
we’ll wake up some day to find that the lights don’t work.”
Chris Strohm
SC 2012
2/2
www.bloomberg.com
12/22/2011
5
Patrick Pailloux, dg de Anssi :
“Les cyberattaques ne sont pas juste un
fantasme de romancier”
Créée en juillet 2009, l’Agence nationale de la sécurité des systèmes d’information est la tête de pont
de la cyberdéfense nationale. Le sujet est brûlant : les systèmes d’information qui innervent la vie
économique et sociale rendent nos sociétés et leurs défenses vulnérables. Ruptures accidentelles ou
attaques intentionnelles contre les réseaux, le piratage informatique n’est pas de la science-fiction. La
récente intrusion dans les ordinateurs de Bercy l’a rappelé avec force. Les risques d’attaques de grande
ampleur font désormais l’objet d’une attention nouvelle.
Dirigé par Patrick Pailloux, l’Anssi, l’établissement placé sous l’autorité du Premier ministre assure
cette mission d’autorité nationale en matière de sécurité des systèmes d’information. “Notre objectif
est de faire de la France l’une des toutes premières puissances mondiales en matière de cyberdéfense.”
Veille, détection, alerte et réaction, l’agence se considère aussi comme un réservoir de compétences
qui doit pouvoir mettre son expertise et son assistance technique au profit des administrations, des
opérateurs d’infrastructures vitales mais aussi des entreprises.
Pour vivre, nos sociétés dépendent de plus en plus des systèmes d’information. Tout le monde est
concerné : le grand public, les entreprises privées, les administrations publiques, personne n’échappe à
l’informatique. Cette dépendance rend les conséquences de pannes ou d’attaques potentiellement très
graves. La très grande majorité des systèmes d’information que nous utilisons ont vu le jour sans réelle
préoccupation de sécurité. Ordinateurs, serveurs, téléphones mobiles n’ont pas été conçus pour être
des produits ou des services de sécurité. Dès lors, tous les pays mettent en place des dispositifs et des
bonnes pratiques de cyberdéfense mais nos sociétés restent vulnérables aux attaques informatiques. En
France, il a ainsi été décidé de créer une autorité nationale en charge de ces questions : l’Anssi,
l’Agence nationale de la sécurité des systèmes d’information.
Les métiers de l’agence
L’agence a deux grands types de responsabilité : préventive et opérationnelle. L’activité opérationnelle
porte sur nos actions en cas d’attaque majeure contre les systèmes d’information de la Nation. Cela
passe par des fonctions de veille et de protection des grands systèmes d’information. Techniquement,
nous devons être capables de comprendre le plus vite possible ce qui se passe. L’Anssi s’occupe aussi
de la gestion des crises informatiques : nous coordonnons les actions avec les administrations, les
opérateurs de communications électroniques et nos homologues internationaux.
Pour nos activités opérationnelles, nous disposons d’une structure qui s’appelle le Cossi pour Centre
opérationnel de la sécurité des systèmes d’information. Il s’agit du cœur du fonctionnement de
l’agence. C’est un centre opérationnel 24 heures sur 24, sorte de vigie de la sécurité des réseaux. Par
exemple dans le cadre de l’attaque contre le ministère de l’Économie et des Finances, nous avons
mobilisé près de 40 personnes pendant deux mois. Tout d’abord, il s’est agi de comprendre
techniquement ce qui s’était passé tout en mesurant l’étendue de la propagation, ensuite, nous avons
dû construire un plan de nettoyage et de renforcement de la sécurité. Enfin, en cas d’attaque
informatique majeure, nous coordonnons la réponse de L’État.
SC 2012
1/5
www.lenouveleconomiste.fr
11/05/2011
5
L’autre activité de l’agence est la prévention. Elle passe par des opérations de conseil, de
sensibilisation et donc de communication. Auparavant ces sujets étaient secrets, l’État ne parlait pas de
sécurité des réseaux, de cyberdéfense ou d’attaques informatiques. Aujourd’hui nous communiquons
beaucoup plus, nous faisons des conférences, éditons des guides, publions des alertes, donnons des
conseils. Nous allons même jusqu’à la labellisation de produits de sécurité que nous testons dans nos
propres laboratoires.
Les équipes
Nous recrutons beaucoup – entre 60 et 70 personnes par an, ce qui est considérable. Il s’agit
notamment des jeunes qui sont au fait des nouvelles technologies. La sécurité informatique reste un
sujet sur lequel nous avons continuellement besoin de sang neuf. Il s’agit vraiment de maintenir la
compétence technique en recrutant des profils de très haut niveau – mais nous ne recrutons pas de
pirates informatiques ! Nous cherchons des personnes qui s’intéressent à la sécurité informatique, mais
ceux qui ont participé à des affaires criminelles n’ont pas leur place à nos côtés : nous travaillons sur
des sujets très sensibles, nous assurons la sécurité de l’État ; nos agents sont habilités secret défense et
leur probité doit être sans faille.
Les moyens
Quand l’agence a été créée en 2009, nous étions 110. Aujourd’hui, nous sommes 180. En 2012, nos
effectifs devraient avoisiner les 250 collaborateurs. L’État a donc fait un effort considérable. Sur le
terrain, les politiques de sécurité de l’État dépendent de la menace. Les mesures doivent être
proportionnées aux enjeux : on ne protège pas de la même façon l’informatique d’une centrale
nucléaire et un site Web de promotion d’une politique ou d’un service public. D’autant plus que la
protection des réseaux sensibles coûte extrêmement cher.
L’Europe
À l’échelle européenne, il existe une agence spécialisée, l’European Network and Information Security
Agency, l’Enisa, qui est installée à Heraklion en Crête. Sa vocation est d’être un centre de compétence
et de ressources. Tous les membres de l’Union européenne ne sont pas au même niveau, or nous
sommes mutuellement dépendants les uns des autres. L’Enisa aide les pays à développer leur capacité
en matière de cyberdéfense et assiste la Commission européenne sur les grandes orientations à
prendre. Parmi les dernières initiatives prises à l’échelle européenne, on peut signaler une
réglementation européenne dans le domaine des télécoms qui fixe notamment des obligations pour les
opérateurs en matière de déclaration des incidents.
L’enjeu de la sécurité
Les autorités ont désormais conscience de l’importance des systèmes d’information et de leur sécurité.
Auparavant, j’avais un peu l’impression de prêcher dans le désert. Des services comme le nôtre
restaient cantonnés à des domaines très précis : la cryptographie, les systèmes militaires, bref des
sujets dont on ne parlait pas dans les médias. Historiquement la DCSSI (Direction centrale de la
sécurité des systèmes d’information), ancêtre de l’Anssi, ne communiquait presque jamais.
Depuis quelques années, l’approche a changé. A tous les niveaux, l’attaque informatique en 2007
contre l’Estonie, qui a été très médiatisée, a contribué à ce changement : suite au déplacement de la
statue d’un soldat soviétique dans la banlieue de la capitale, le gouvernement estonien a été l’objet
pendant plusieurs semaines de violentes attaques informatiques : les principaux serveurs du pays ont
été sollicités par des centaines de milliers de requêtes qui les ont submergés et les ont empêchés de
fonctionner. C’est ce que l’on appelle des attaques par “déni de service». Or l’Estonie est un pays qui
est très interconnecté : beaucoup de choses s’y font sur Internet, même le Conseil des ministres. Le
pays s’est donc trouvé en grande difficulté.
SC 2012
2/5
www.lenouveleconomiste.fr
11/05/2011
5
Cet événement a marqué les esprits, y compris en France. Cela a permis au sujet d’émerger sur le plan
médiatique. Le but de notre communication n’est cependant pas de faire connaître l’agence elle-même.
L’Anssi ne vend ni conseils, ni services, ni prestations. Notre objectif est de participer à la sécurisation
de la Nation en sensibilisant les entreprises et les particuliers sur l’existence d’une menace réelle, et en
leur communiquant les moyens de se protéger. C’est un travail de longue haleine.
Les entreprises
À l’origine, l’Agence travaillait uniquement avec les administrations, notamment régaliennes, comme
le ministère de la Défense, celui des Affaires étrangères ou celui de l’Intérieur. Notre périmètre est
aujourd’hui plus large. Nous aidons tout d’abord les grands opérateurs d’infrastructures critiques, tous
ces acteurs dont la Nation a besoin pour vivre. Je pense au monde de la santé, à celui des télécoms, de
l’énergie, des transports et de la finance. L’une de nos priorités actuelles est de sensibiliser les
décideurs et les chefs d’entreprise notamment de taille moyenne. Il faut leur faire comprendre que
l’espionnage est une vraie menace tout comme les attaques qui provoquent des dysfonctionnements ou
des pannes de leur informatique.
La maturité des chefs d’entreprise en la matière est encore faible. Ces sujets restent dans les services
informatiques et ne remontent pas jusqu’aux directions générales. Je peux comprendre qu’il n’est pas
très agréable de révéler un problème ou une attaque, c’est pourtant une erreur parce qu’aujourd’hui
quasiment tous les systèmes sont raccordés à l’Internet, ils sont donc vulnérables. Ce n’est pas une tare
d’avoir un système qui a été attaqué. Cela peut arriver, il y a des attaques informatiques tous les jours,
partout dans le monde. Mais lorsque cela arrive, il faut en parler pour limiter les conséquences puis
renforcer la sécurité en mettant en place des dispositifs de défense en profondeur.
L’espionnage de services de Bercy
Nous avons décidé de rendre l’événement public pour sensibiliser les entreprises et les particuliers à
ces sujets. C’était aussi une manière de montrer que l’espionnage informatique est une réalité : les
cyberattaques ne sont pas juste un fantasme de romancier ! En parler est un moyen de montrer qu’il
n’y a pas de honte à avoir, tout le monde peut être victime d’une attaque informatique. À Bercy, il
s’agissait d’espionnage, des personnes non identifiées ont cherché à pénétrer dans les réseaux
informatiques de l’État. Ils se sont introduits par des mails piégés en se faisant passer pour des
personnes connues de ceux qu’ils contactaient. Grâce à ce procédé, ils se sont introduits dans les
réseaux. Dès lors, ils ont eu accès à un certain nombre de données qu’ils ont pu voler.
L’attaque sur Bercy était certes de grande ampleur, mais elle n’a rien d’exceptionnel. Ce type
d’intrusion n’est pas complexe et même plutôt facile à réaliser. C’est sa mise en œuvre, à cette échelle,
qui a nécessité de gros moyens. Sur certains forums Internet, il n’est pas bien compliqué de trouver
des spécialistes capables de monter des “coups” du même genre, à des échelles bien moindres
évidemment, pour quelques milliers d’euros. Nous enregistrons tous les jours des tentatives d’attaques
de ce type.
La détection
Détecter une attaque n’est pas simple. Il existe des outils techniques permettant de repérer les
intrusions. Le problème est que ces dispositifs ne savent repérer que les phénomènes qu’ils
connaissent. Pour être vraiment efficace, il faut exercer une vigilance active sur les systèmes
d’information. Exemple : détecter des signaux faibles inhabituels comme des connexions email la nuit.
À Bercy, nous avions noté des utilisations bizarres des boîtes aux lettres électroniques : des courriels
avaient été envoyés sans aucune action de leurs expéditeurs présumés.
SC 2012
3/5
www.lenouveleconomiste.fr
11/05/2011
5
Les périls
Nous devons faire face à trois grands types de menaces informatiques contre la sécurité nationale. La
première est l’espionnage, c’est-à-dire le vol de secrets de l’État et des entreprises. La deuxième est la
perturbation des réseaux comme en Estonie. Dès que la planète s’enrhume, Internet éternue. La
moindre tension géopolitique se traduit aussitôt sur le Web. Enfin la troisième menace est l’attaque
visant la destruction d’infrastructures critiques. C’est le type d’offensive que nous craignons le plus.
Elle pourrait viser les hôpitaux, la gestion des transports ou de l’énergie, nos barrages, nos centrales
nucléaires…
Ce n’est plus complètement de la science-fiction. Il existe un exemple connu : l’affaire Stuxnet. L’été
dernier, ce virus informatique a attaqué spécifiquement un processus industriel, a priori celui du
complexe nucléaire iranien, même si l’information n’a jamais été confirmée. Voilà les trois types de
scénarios sur lesquels nous sommes polarisés avec nos homologues internationaux. Chacun de ces
scénarios a ses propres caractéristiques et ses difficultés. Par principe, l’espionnage est complexe à
détecter. Les attaques de perturbation sont difficiles à parer, je compare volontiers ce genre
d’événements à des inondations ou à des mouvements de foule. Quant aux attaques de destruction, la
difficulté vient de l’adversaire : ce dernier dispose nécessairement de moyens très importants, de
dispositifs très sophistiqués et de fortes compétences. Une difficulté majeure est celle de la rapidité à
laquelle les vulnérabilités sont utilisées par les pirates.
Le modèle historique du jeune bidouilleur informatique dans son garage ou sa chambre de bonne est
un peu dépassé. Aujourd’hui, il y a des pirates informatiques professionnels plus ou moins bien
organisés, des personnes dont l’activité consiste à trouver des failles dans les systèmes pour
développer des codes informatiques exploitant ces vulnérabilités. Nos dispositifs de défense et d’alerte
doivent donc s’adapter tout aussi vite. Il ne faut par croire que pour protéger son informatique, il suffit
d’installer des antivirus et des firewalls : le système d’information est presque un organisme vivant
qu’il faut protéger en permanence. Notre travail est d’autant plus difficile que les attaques
informatiques ont une dimension internationale. Internet ne connaît en rien les frontières. Pour leurs
attaques, les pirates s’appuient sur des machines disséminées un peu partout dans le monde, et des
actions strictement nationales sont quasiment vouées à l’échec.
Une de nos obligations est d’être continuellement “branchés” sur la menace. Nous devons être en
contact permanent avec tout ce que la planète compte de gens qui travaillent sur le sujet de la sécurité :
nos homologues internationaux, les grands fournisseurs de solutions matérielles et logicielles.
L’important est d’avoir une vision la plus exhaustive et la plus précise possible des menaces du
moment.
Les nouvelles menaces
Les réseaux sociaux sont un problème nouveau en matière de sécurité informatique. Techniquement,
ils sont une porte ouverte pour ceux qui cherchent à s’infiltrer dans les systèmes. Avant chaque attaque
informatique, il y a un travail d’environnement à faire. Pour les pirates, les réseaux sociaux sont un
bon moyen de faire de l’ingénierie sociale : ils aident à identifier les personnes les moins prudentes ou
les plus intéressantes à piéger comme les administrateurs informatiques, qui ont généralement
beaucoup de valeur informatique car ils possèdent d’importants droits d’accès.
Le cloud computing, c’est-à-dire l’informatique distribuée sur Internet, pose aussi des difficultés
nouvelles : avec cette approche, l’utilisateur perd de plus en plus la maîtrise de son système
d’information. Par exemple, dans certains pays, il y a des lois qui protègent les données personnelles.
Concrètement, la loi qui s’applique est celle de l’endroit où se situent physiquement ces données. Or
avec le cloud computing, on ne sait plus où elles sont ! Généralement, les contrats en matière de cloud
computing sont souvent extrêmement peu précis. Confier toute son informatique à un tiers, c’est
SC 2012
4/5
www.lenouveleconomiste.fr
11/05/2011
5
comme donner les clés de son entreprise à quelqu’un, cela comporte des risques. La mobilité enfin est
un véritable souci.
Les outils mobiles, en particulier les smartphones, sont vulnérables aux virus et aux attaques car ils
sont souvent moins bien protégés que les ordinateurs. L’autre problème est le double usage –
professionnel et personnel – de ces appareils. Les règles de sécurité mises en place par les entreprises
sont parfois bafouées par les utilisateurs. Cette porosité entre les deux sphères est extrêmement
dangereuse en matière de sécurité informatique. Enfin, la mobilité pose des questions de sécurité du
matériel informatique en dehors de l’entreprise. Dans les guerres économiques, les vols d’ordinateurs
sont monnaie courante.
Le facteur humain
Comme toujours, le facteur humain est un élément essentiel en matière de sécurité. C’est comme le
code de la route : quand nos sociétés ont commencé à avoir des routes et des voitures, il a fallu
s’adapter. Dans l’informatique aussi, il y a des règles à respecter pour être en sécurité. Pour poursuivre
l’analogie avec l’automobile, tous les dispositifs de sécurité ne servent à rien si le conducteur roule à
130 km/heure en ville de nuit tous feux éteints ! C’est pareil sur Internet. Les mesures de sécurité ne
servent à rien si l’utilisateur fait n’importe quoi avec ses mises à jour ou ses mots de passe.
Edouard Laugier
SC 2012
5/5
www.lenouveleconomiste.fr
11/05/2011
6
Cyber-attaque
Comprendre le phénomène
‰ Qu’est-ce que c’est ?
On appelle "cyber-attaque" une tentative d’atteinte à des systèmes informatiques réalisée dans un but
malveillant. Elle peut avoir pour objectif de voler des données (secrets militaires, diplomatiques ou
industriels, données personnelles, bancaires, etc.), de détruire, endommager ou altérer le
fonctionnement normal de dispositifs informatiques, de prendre le contrôle de processus
informatiques, ou de tromper les dispositifs d’authentification pour effectuer des opérations
illégitimes.
Les dispositifs informatiques ciblés par ces attaques sont des ordinateurs ou des serveurs, isolés ou en
réseaux, reliés ou non à internet, des équipements périphériques tels que les imprimantes, ou des outils
communicants comme les téléphones mobiles ou les assistants personnels.
Contrairement à l’image d’Épinal, les "cyber-attaquants" sont rarement des adolescents à la recherche
d’un "coup" : individus parfois isolés, souvent réunis en bandes organisées ou dans des organisations
criminelles voire mafieuses. L’argent est à ce jour la principale motivation de leurs agissements.
Les attaques informatiques peuvent viser un très grand nombre d’ordinateurs ou de systèmes : on
parlera alors d’attaques massives, comme dans le cas de l’Estonie.
À l’inverse, les attaques ciblées ne visent qu’une seule personne (ou qu’un ensemble de personnes).
Elles sont généralement précédées d’une collecte d’informations destinées à connaître les
vulnérabilités de son système d’information et quelques éléments personnels pour éviter d’éveiller ses
soupçons lors de l’attaque.
‰ Comment ça marche ?
Les attaques informatiques peuvent prendre des formes extrêmement variées.
Un premier type d’attaque informatique, dit "de déni de service", vise à saturer un système
d’information ou de communication pour le paralyser et l’empêcher ainsi de remplir sa mission.
S’agissant des systèmes reliés à Internet, comme les pages web ou les téléservices, cette paralysie est
simple à obtenir : on l’inonde de demandes informatiques, comme le rechargement à l’infini d’une
page Web, ce qui a pour effet de le saturer et de lui interdire de répondre aux requêtes légitimes. Pour
faire ces nombreuses requêtes informatiques, les pirates informatiques utilisent des " BotNets "
(abréviation de "Robot Networks"), réseaux de machines "zombies" qu’ils ont prises auparavant sous
leur contrôle, en général dans des régions très variées du monde, pour leur faire exécuter des actions
prédéfinies.
Un deuxième type d’attaque vise à s’introduire dans un système d’information pour voler des données
stockées, les modifier ou les détruire, ou pour prendre le contrôle du système. Il peut être réalisé par
l’envoi de messages invitant à ouvrir une pièce jointe ou à visiter une page web en cliquant sur un lien,
qui mettront un code malveillant sur le poste de travail de ceux qui auront suivi cette invitation. Ce
code, conçu spécifiquement pour chaque attaque, n’est généralement pas connu des antivirus, et donc
pas filtré. Dans le cas d’attaques massives, ces messages, souvent publicitaires en apparence, sont
adressés à un très grand nombre de destinataires. Les machines compromises sont alors soit fouillées
pour y voler des données intéressantes, soit utilisées pour constituer un « BotNet ». Les adresses de
SC 2012
1/2
http://risques.gouv.fr
6
ces machines font l’objet d’un important commerce entre cyber-délinquants. Les attaques de ce type
peuvent également être ciblées, visant spécifiquement des personnes dont on attend des informations
précieuses ou des postes informatiques permettant d’autres actions ciblées. Elles chercheront alors à
être les plus furtives possibles, en utilisant des messages spécifiquement conçus pour apparaître
comme provenant d’une personne connue ou de confiance. Elles sont de plus en plus difficiles à
détecter.
‰ Exemples historiques
En mars 2008, une chaîne de magasins d’alimentation américaine a été victime d’une attaque
informatique qui a permis de dérober les informations de plus de 4,2 millions de cartes bancaires. Un
logiciel malveillant était installé dans tous les magasins de la chaîne en Nouvelle-Angleterre et dans
l’État de New York, et dans la majorité de ceux de Floride. Il interceptait les données au moment où
elles étaient transmises aux banques.
En 2007, l’Estonie (dont l’e-administration est l’une des plus développées d’Europe) a été le premier
État à subir des attaques informatiques de grande ampleur. L’administration estonienne, des banques
et des journaux ont été paralysés durant plusieurs semaines par l’envoi massif de requêtes
informatiques saturant les ordinateurs, serveurs et réseaux. Ces attaques faisaient suite au déplacement
d’une statue symbolique pour la minorité russe du pays.
En 2007 encore, est apparu le premier très grand réseau de machines « zombies », appelé Storm,
constitué de plusieurs dizaines de milliers d’ordinateurs compromis. Ce BotNet a été utilisé dans
diverses attaques informatiques.
En l’an 2000, le virus informatique " I love You " s’est répandu en quatre jours sur plus de 3 millions
d’ordinateurs dans le monde, entrainant une perte financière estimée à 7 milliards de dollars pour les
seuls États-Unis.
Portail interministériel de
prévention des risques majeurs
SC 2012
2/2
http://risques.gouv.fr
7
Assurer la cyberdéfense
Le Livre blanc sur la défense et la sécurité nationale, approuvé par le Président de la République en
juin 2008, a mis en exergue une menace nouvelle, la cybermenace. Chacun de nous y est confronté
presque quotidiennement, souvent à son insu.
La sécurité des systèmes d’information, véritables centres nerveux de notre société, est devenue un
enjeu majeur. Tous les secteurs d’activités, qu’ils soient étatiques, industriels, financiers ou
commerciaux, sont de plus en plus tributaires des technologies et des réseaux de communications
électroniques. Ils seraient très fortement affectés en cas de dysfonctionnements graves.
Face à cette menace croissante et toujours plus insidieuse, le Livre blanc sur la défense et la sécurité
nationale a souligné la nécessité de doter notre pays d’une capacité de défense informatique active,
apte à détecter et contrer les attaques. Il a recommandé que soit créée une agence nationale de la
sécurité des systèmes d’information.
La création le 7 juillet 2009 de l’Agence nationale de la sécurité des systèmes d’information
(ANSSI) est une étape marquante dans la mise en place progressive d’une capacité de protection
renforcée des systèmes d’information sensibles français.
L’ANSSI assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. À
ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes de l’État et
de vérifier l’application des mesures adoptées.
Elle assure notamment les missions suivantes :
z Détection des attaques
L’ANSSI est chargée de détecter et de réagir au plus tôt en cas d’attaque informatique, grâce à la
création d’un centre opérationnel renforcé de cyberdéfense, actif 24 heures sur 24, chargé de la
surveillance permanente des réseaux les plus sensibles de l’administration et de la mise en œuvre de
nouvelles capacités de détection en amont des attaques.
z Prévention de la menace
L’agence contribue au développement d’une offre de produits et de service de confiance pour les
administrations et les acteurs économiques.
z Conseil et assistance
L’agence nationale de la sécurité des systèmes d’information joue un rôle permanent de conseil et
d’assistance aux administrations et aux opérateurs d’importance vitale.
z Communication et sensibilisation
L’agence nationale de la sécurité des systèmes d’information informe régulièrement les entreprises et
le grand public sur les menaces qui pèsent contre les systèmes d’information et sur les moyens de s’en
protéger. Elle développe pour cela une politique de communication et de sensibilisation active.
SC 2012
1/1
www.sgdn.gouv.fr
2012
8
DEFENDING THE NETWORKS
The NATO Policy on Cyber Defence
The Cyber Defence Policy at a glance
- Integrate cyber defence considerations into NATO structures and planning processes in order to perform
NATO’s core tasks of collective defence and crisis management.
- Focus on prevention, resilience and defence of critical cyber assets to NATO and Allies.
- Develop robust cyber defence capabilities and centralise protection of NATO’s own networks.
- Develop minimum requirements for cyber defence of national networks critical to NATO’s core tasks.
- Provide assistance to the Allies to achieve a minimum level of cyber defence and reduce vulnerabilities of
national critical infrastructures.
- Engage with partners, international organisations, the private sector and academia.
Background
The security environment of the twenty-first century has changed
remarkably. Our modern societies and economies are wired
together by networks, cables and the IP addresses of our
computers. Increasingly dependent on complex critical
communication and information systems (CIS), the Alliance must
adapt and enhance its defences in order to confront emerging
challenges head-on. To this end, the revised NATO Policy on
Cyber Defence sets out a clear vision of how the Alliance plans to
bolster its cyber efforts.
Why a NATO Policy?
The new NATO Policy on Cyber
Defence provides a solid foundation
from which Allies can take work
forward on cyber security. The
document clarifies both NATO’s
priorities and NATO’s efforts in cyber
defence – including which networks to
protect and the way this can be
achieved.
The 2010 NATO Strategic Concept highlighted the need to “develop further our ability to prevent,
detect, defend against and recover from cyber-attacks…”. Threats are rapidly evolving both in
frequency and sophistication. Threats emanating from cyberspace –whether from states, hacktivists or
criminal organisations, among many others – pose a considerable challenge to the Alliance and must
be dealt with as a matter of urgency.
Against this background, at the 2010 Lisbon Summit, the Heads of State tasked the North Atlantic
Council to develop a revised NATO cyber defence policy. A NATO Concept on Cyber Defence was
first drafted for Defence Ministers in March 2011, which formed the conceptual basis of the revised
NATO Policy on Cyber Defence. The Policy itself was then developed and approved by the NATO
Defence Ministers on 8 June. The document is coupled with an implementation tool – an Action Plan,
which represents a detailed document with specific tasks and activities for NATO’s own structures and
Allies’ defence forces.
Policy Overview
Cyber Defence Governance
Focus
North Atlantic Council
In order to perform the Alliance’s core tasks of collective
defence and crisis management, the integrity and
continuous functioning of its information systems must be
guaranteed. NATO’s principal focus is therefore on the
protection of its own communication and information
systems. Furthermore, to better defend its information
systems and networks, NATO will enhance its
capabilities to deal with the vast array of cyber threats it
currently faces.
SC 2012
1/3
Defence Policy and Planning Committee in
Reinforced Format
NATO Cyber Defence Management Board
NATO Computer Incident Response capability
www.nato.int
2011
8
Objectives
NATO will implement a coordinated approach to cyber defence
that encompasses planning and capability development aspects in
addition to response mechanisms in the event of a cyber attack.
To achieve this, NATO will incorporate and integrate cyber
defence measures across all Alliance missions. For cyber defence
capability development, the NATO Defence Planning Process
(NDPP) will guide the integration of cyber defence into
national defence frameworks. Recognising that NATO requires
a secure infrastructure upon which it can operate, NATO networks, including NATO agencies and NATO missions abroad,
will be brought under centralised protection. NATO will also
develop minimum requirements for those national networks
that are connected to or process NATO information. To
achieve this, NATO will identify its critical dependencies on the
Allies’national information systems and networks and will work
with Allies to develop minimum cyber defence requirements.
NATO requires a secure infrastructure on which it can operate,
therefore it is important that Allies ensure the protection and
defence of national critical information systems and networks. If
requested, NATO will assist Allies in achieving a minimum level
of national cyber defence.
What is NATO’s role
in cyber defence?
The main focus of the NATO
Policy on Cyber Defence is on
the
protection
of
NATO
networks and on cyber defence
requirements related to national
networks that NATO relies upon
to carry out its core tasks:
collective defence and crisis
management.
How will NATO respond in
the event of a cyber attack
on NATO or the Allies?
Any collective defence response
by NATO will be subject to
political decisions of the North
Atlantic Council. NATO does not
pre-judge any response and
therefore maintains flexibility in
deciding a course of action that
may or may not be taken.
Principles
NATO cyber defence efforts are based on the overarching
principles of prevention and resilience and non-duplication.
Prevention and resilience are particularly important given the
reality that certain threats will persist despite all efforts to protect
and defend against them. Preventing such attacks from occurring
in the first place will be achieved by increasing our level of
preparedness and mitigating risk by limiting disruptions and their
consequences. Resilience is key because it facilitates rapid
recovery in the aftermath of an attack.
Response
What is the Action Plan?
The Action Plan is a living
document
that
will
be
continuously updated to ensure
NATO is at the forefront of
developments in cyberspace
and maintains the necessary
flexibility to meet the challenges
posed by cyber threats. If the
Policy sets out the “what” in
terms of NATO cyber defence,
the Action Plan details the “how”
NATO will make it happen.
As stated in the Strategic Concept, NATO will defend its territory and populations against all threats,
including emerging security challenges such as cyber defence. The NATO Policy on Cyber Defence
reiterates that any collective defence response is subject to decisions of the North Atlantic Council.
NATO will maintain strategic ambiguity as well as flexibility on how to respond to different types of
crises that include a cyber component. NATO will also integrate cyber aspects into NATO Crisis
Management procedures, which will guide NATO’s response within the context of a larger crisis or
conflict.
NATO will provide coordinated assistance if an Ally or Allies are victims of a cyberattack. To
facilitate this, NATO will enhance consultation mechanisms, early warning, situational awareness and
information-sharing among the Allies. To facilitate these activities, NATO has a framework of cyber
defence Memoranda Of Understanding in place between Allies’ national cyber defence authorities and
the NATO Cyber Defence Management Board.
For incident response within NATO’s own information infrastructure, NATO Computer Incident
Response Capability (NCIRC) takes care of the day-to-day business and applies appropriate mitigation
measures.
SC 2012
2/3
www.nato.int
2011
8
Engaging the International Community
Cyber threats transcend state borders and organisational boundaries. Their vulnerabilities and risks are
shared by all. Recognising the truly global nature of cyberspaceand its associated threats, NATO and
Allies will work with partners, international organisations, academia and the private sector in a
way that promotes complementarity and avoids duplication. NATO will tailor its international
engagement based on shared values and common approaches. Cooperation in the field of cyber
defence could encompass activities including awareness-raising and sharing of best practices.
Practical Steps
•
•
•
•
•
•
•
•
•
•
SC 2012
NATO will develop minimum requirements for those national information systems that are
critical for carrying out NATO’s core tasks.
NATO assists Allies in achieving a minimum level of cyber defence in order to reduce
vulnerabilities to national critical infrastructure.
Allies can also offer their help to an Ally or to the Alliance in case of a cyber attack.
Cyber defence will be fully integrated into the NATO Defence Panning Process. Relevant
cyber defence requirements will be identified and prioritised through the NDPP.
NATO Military Authorities will assess how cyber defence supports performing NATO’s core
tasks, planning for military missions, and carrying out missions.
Cyber defence requirements for non-NATO troop contributing nations will also be defined.
Strong authentication requirements will be applied. The acquisition process and supply chain
risk management requirements will be streamlined.
NATO will enhance early warning, situational awareness, and analysis capabilities.
NATO will develop awareness programs and further develop the cyber component in NATO
exercises.
NATO and Allies are encouraged to draw on expertise and support from the Cooperative
Cyber Defence Centre of Excellence in Tallinn.
3/3
www.nato.int
2011
9
Cyberdéfense : un nouvel enjeu de sécurité
nationale
[…]
Les principaux types d'attaques informatiques
[…]
. Les attaques par déni de service
Les attaques par déni de service (Denial of service - DOS) visent à saturer un ordinateur ou un
système en réseau sur internet en dirigeant vers lui un volume considérable de requêtes. On parle
également de déni de service distribué (Distributed denial of service - DDOS) pour des attaques
fonctionnant sur le même principe, mais dont l'effet est démultiplié par l'utilisation d'ordinateurs
compromis et détournés à l'insu de leurs propriétaires. Les évènements d'Estonie en constituent
l'exemple type. La masse de requêtes qui parvient simultanément sur un même système dépassant ses
capacités, celui-ci n'est plus en mesure de fonctionner normalement.
Les botnets (réseaux de « robots » logiciels) constituent le vecteur privilégié de ces attaques. Ces
réseaux de machines compromises (ou machines « zombies ») sont aux mains d'individus ou de
groupes malveillants (les « maîtres ») et leur permettent de transmettre des ordres à tout ou partie des
machines et de les actionner à leur guise.
Le botnet est constitué de machines infectées par un virus informatique contracté lors de la
navigation sur internet, lors de la lecture d'un courrier électronique (notamment les spams) ou lors du
téléchargement de logiciels. Ce virus a pour effet de placer la machine, à l'insu de son propriétaire, aux
ordres de l'individu ou du groupe situé à la tête du réseau.
On estime aujourd'hui que le nombre de machines infectées passées sous le contrôle de pirates
informatiques est considérable. Il pourrait atteindre le quart des ordinateurs connectés à l'internet, soit
environ 150 millions de machines.
Le détenteur du réseau est rarement le commanditaire de l'attaque. Il monnaye sa capacité
d'envoi massive à des « clients » animés de préoccupations diverses. La constitution de tels réseaux est
ainsi utilisée en vue de l'envoi de courriers électroniques non désirés (spams) à des fins publicitaires
ou frauduleuses, ou encore afin de dérober des informations personnelles de la cible visée. L'attaque
par déni de service n'est qu'une des applications possibles. Son corollaire est le chantage au déni de
service, c'est-à-dire l'extorsion de fonds auprès des entreprises ou organismes en échange d'une levée
des attaques de saturation.
La paralysie d'un système d'information par ce type d'attaques est relativement facile à obtenir lorsqu'il
s'agit d'un service accessible au public sur le réseau internet. La vulnérabilité des réseaux internes, en
principe non accessibles de l'extérieur, est moindre, mais elle est liée au degré d'étanchéité entre ces
réseaux et l'internet.
Or les systèmes d'information internes sont de plus en plus ouverts pour répondre aux besoins de
mobilité des personnels et de communication avec des partenaires extérieurs.
. Le vol ou l'altération de données
Le vol ou l'altération de données contenues sur des réseaux informatiques peuvent être réalisés par des
moyens variés.
SC 2012
1/5
www.senat.fr
08/07/2008
9
Les plus simples reposent sur l'intervention humaine, soit par intrusion, soit par le jeu de complicités
internes, soit par le vol d'équipements (notamment les ordinateurs portables). Les plus sophistiqués
font appel à des techniques d'écoute des flux d'information ou d'interception des rayonnements émis
par les équipements et qualifiés, dans cette hypothèse, de « signaux compromettants ».
S'agissant des intrusions sur les systèmes d'information par des voies informatiques, l'une des
techniques utilisées est celle du « cheval de Troie », c'est-à-dire d'un programme informatique ou d'un
fichier comportant une fonctionnalité cachée connue de l'attaquant seul et lui permettant de prendre le
contrôle de l'ordinateur compromis, puis de s'en servir à l'insu de son propriétaire. Un cheval de Troie
se cache en général dans un programme d'aspect inoffensif ou usuel, et son activation implique
l'intervention de l'utilisateur (ouverture d'une pièce jointe, utilisation d'un lien de connexion à un site
internet). À la différence des virus propagés à une très grande échelle, les chevaux de Troie constituent
le plus souvent des attaques ciblées, adaptées à la victime choisie, qui ne peuvent être détectées
automatiquement par les antivirus. Ils s'installent durablement sur la machine compromise.
Cette technique peut être utilisée pour intégrer l'ordinateur visé dans un réseau de machines
compromises (botnet).
Elle couvre aussi les différents modes d'intrusion ayant pour but d'accéder aux informations
contenues dans l'ordinateur, voire de les modifier. Peuvent ainsi être installés des programmes
enregistrant la frappe de l'utilisateur sur le clavier (« keylogger ») en vue de récupérer des données
confidentielles (mots de passe, coordonnées bancaires) et le contenu des fichiers créés, ainsi que des
logiciels espions (« spyware ») permettant de transmettre à des tiers des informations sur les usages
habituels des utilisateurs du système, par exemple ses données de connexion. Enfin, il est également
possible par ce biais de transférer vers un ordinateur extérieur les fichiers stockés dans l'ordinateur
compromis. La sophistication de ces programmes permet de fractionner ces envois afin de les rendre
moins détectables dans le flux normal de communication.
La caractéristique de ces techniques d'intrusion est leur furtivité, qui les rend difficilement décelables,
grâce à des outils de dissimulation d'activité (rootkits).
Il est à noter que l'installation de tels programmes malveillants peut aussi bien s'effectuer par d'autres
moyens, par exemple le branchement par la personne visée d'un périphérique (clef USB, assistant
personnel) qui aura été préalablement infecté. De ce point de vue, l'usage de plus en plus répandu
d'équipements mobiles constitue un risque supplémentaire pour l'intégrité des réseaux. Leur
connexion à un réseau interne après avoir été infectés à l'extérieur rend inopérants les dispositifs de
sécurité tels que les pare-feux.
Enfin, l'externalisation de certains traitements informatiques représente un risque potentiel dès lors
que les précautions nécessaires ne sont pas prises vis-à-vis des sous-traitants quant à la protection de
données sensibles, notamment pour les services gouvernementaux.
Les cibles potentielles
Les attaques informatiques peuvent aussi bien viser des particuliers que des entreprises ou des
institutions publiques. En ce qui concerne celles mettant en cause la défense ou la sécurité nationale,
les services de l'État, les opérateurs d'importance vitale et les entreprises intervenant dans des
domaines stratégiques ou sensibles sont particulièrement concernés. Toutefois, ces attaques
n'emportent pas le même type de conséquences selon qu'elles visent des sites ou services accessibles
au public, des systèmes opérationnels ou plus directement des personnes détentrices d'informations
sensibles.
. Les sites et services accessibles au public
On pourrait penser que l'attaque de leurs sites internet ne met pas directement en cause le
fonctionnement même de l'État, des services publics ou des entreprises.
SC 2012
2/5
www.senat.fr
08/07/2008
9
Provoquer l'indisponibilité du site internet d'une institution ou d'une administration, comme on l'a vu
en Estonie, répond essentiellement à un objectif politique, de même que la défiguration (defacement)
du contenu et son remplacement par des messages à connotation protestataire ou revendicative. Pour
une entreprise, le préjudice s'évaluera davantage en termes d'image, avec d'éventuelles incidences
commerciales.
Cependant, un très grand nombre de ces sites abritent également des services en ligne qui se sont
considérablement développés ces dernières années et dont l'interruption causerait d'importantes
perturbations dans la vie sociale et économique de la nation.
On pense ici aux relations des particuliers avec l'administration de l'État ou les collectivités
territoriales, qui ont mis en place de nombreuses possibilités de démarches en ligne, ou avec des
entreprises commerciales (entreprises de transport, services financiers, commerce par internet), ainsi
qu'aux relations entre les entreprises elles-mêmes (relations avec les fournisseurs et les sous-traitants).
Compte tenu de la place prise aujourd'hui par ces services, leur indisponibilité produirait un effet de
désorganisation et entraînerait de sérieuses pertes économiques.
. Les systèmes opérationnels : le cas des opérateurs d'importance vitale et des systèmes
d'information militaires
Les réseaux internes des administrations et des entreprises sont a priori moins vulnérables aux attaques
extérieures, dès lors qu'ils sont indépendants des sites internet accessibles au grand public. Toutefois,
rares sont désormais les organisations qui utilisent pour leurs activités opérationnelles (gestion
administrative et financière, processus industriels) des applications développées spécifiquement et
totalement isolées du réseau extérieur. Pour des raisons de coût et de simplicité, le recours à des
applications disponibles sur le marché est privilégié. Par ailleurs, la densification des échanges
d'information ou encore les procédés de gestion à distance et de télémaintenance vont à l'encontre du
principe de cloisonnement censé protéger ces systèmes des agressions extérieures.
Aux yeux de votre rapporteur, une attention particulière doit être portée sur les installations
d'importance vitale (réseaux de transport, de distribution d'eau et d'électricité). Celles-ci utilisent des
systèmes de supervision et de régulation communément désignés par leur acronyme anglais SCADA
(Supervisory, control and data acquisition), qui permettent de surveiller et contrôler sur une aire
géographique très étendue des opérations telles que la gestion de l'électricité ou de l'eau, la
signalisation des feux ou les flux de transport. Grâce à ces systèmes, les opérateurs peuvent agir à
distance sur des automates industriels ou des commandes.
Si de tels systèmes étaient le plus souvent particulièrement sécurisés par leur rusticité technique et leur
indépendance des autres réseaux, ils font désormais plus largement appel à des technologies modernes
appliquant les protocoles internet standard, pour des raisons économiques, mais aussi parce qu'elles
sont souvent les seules disponibles sur le marché. Les vulnérabilités potentielles de ces produits à large
diffusion sont particulièrement analysées et exploitées par les pirates informatiques.
Votre rapporteur a pu constater, au cours de ses auditions, que ce type de vulnérabilité potentielle avait
été pleinement pris en compte par une entreprise comme EDF pour la gestion de la production et de la
distribution électrique. Celle-ci applique un niveau de sécurité très élevé pour ses applications
informatiques de nature industrielle, qu'elle a totalement isolées des autres réseaux internes et qu'elle
soumet à des procédures très strictes en matière d'accès, d'identification et de surveillance.
Les systèmes de type SCADA peuvent également être utilisés dans d'autres types d'activités
industrielles moins vitales. Une protection insuffisante peut conduire à les exposer aux
agressions extérieures et en perturber le fonctionnement.
Enfin, s'agissant des installations d'importance vitale, il faut signaler qu'une évolution majeure
est en cours avec la convergence des réseaux téléphoniques et internet. La généralisation de
la « voix sur IP » rendra les communications téléphoniques vulnérables aux mêmes types d'attaques
que les systèmes informatiques.
SC 2012
3/5
www.senat.fr
08/07/2008
9
Votre rapporteur souhaite également mentionner la question spécifique des capacités militaires.
Les systèmes d'information opérationnelle et de commandement, utilisés dans les systèmes
d'armes, les transmissions de données et les communications militaires, sont généralement isolés des
autres réseaux. Toutefois, le nombre croissant de systèmes utilisés et leur interconnexion avec une
multitude de terminaux, conformément au principe des opérations en réseaux, élargit le périmètre
d'éventuels points de vulnérabilité. L'utilisation d'applications informatiques disponibles sur le marché
« grand public » augmente elle aussi les risques de vulnérabilité.
Dès lors, il paraît clair que la lutte informatique va inévitablement devenir un nouveau
compartiment du champ de bataille, avec ses aspects défensifs et offensifs, comme l'était déjà le
domaine de la guerre électronique.
. Les détenteurs d'informations sensibles
Les détenteurs d'informations sensibles, au sein de l'appareil d'État, des grandes institutions de
recherche ou des entreprises, y compris petites ou moyennes, constituent un troisième type de cibles
potentielles pour des attaques informatiques.
On se situe ici dans le champ des activités d'espionnage ou d'ingérence, au travers de méthodes
nouvelles visant à cibler, par les techniques qui ont été mentionnées plus haut (notamment les chevaux
de Troie), les ordinateurs et les systèmes mobiles ou périphériques de personnes identifiées en
fonction de leur niveau de responsabilité et de leurs contacts.
Le recours aux technologies d'intrusion peut intervenir en complément ou à la place d'autres modes de
captation de données informatiques, telles que le vol d'ordinateurs portables des personnes cibles ou
leur « fouille » informatique, par exemple aux passages de frontières.
L'objectif est d'acquérir des informations d'intérêt politique, militaire, économique, scientifique,
technologique ou industriel.
Le profil des « attaquants » : pirates informatiques, terroristes, services
étatiques ?
L'identification de l'origine d'une attaque informatique est particulièrement difficile. Les
procédés utilisés font le plus souvent appel à une succession d'ordinateurs pouvant être situés dans
plusieurs pays différents. Remonter la chaîne des machines impliquées supposerait des enquêtes
extrêmement longues, tributaires des aléas de la coopération judiciaire internationale. Les méthodes de
dissimulation sont nombreuses et vont du détournement d'ordinateurs à l'insu de leur propriétaire au
recours à des ordinateurs publics et anonymes, comme ceux situés dans les cybercafés.
Malgré tout, la plupart des services gouvernementaux et des observateurs désignent, derrière ces
attaques, des groupes de pirates informatiques dont les méthodes semblent de plus en plus
sophistiquées.
. Les « pirates » informatiques : un profil qui se « professionnalise »
À l'évidence, les attaques informatiques actuelles ne peuvent être imputées à de simples « amateurs »
isolés, procédant par jeu ou par défi et désireux de tester ou de démontrer leur niveau de performance
technique.
Avec l'essor de l'internet s'est développée une nouvelle catégorie de pirates (hackers) agissant en
groupes et essentiellement motivés par l'appât du gain. Ces groupes mettent au point des outils qu'ils
peuvent exploiter directement ou offrir sur le marché à des clients tels que des organisations
criminelles ou mafieuses, des officines d'espionnage économique, des entreprises ou des services de
renseignement.
SC 2012
4/5
www.senat.fr
08/07/2008
9
On considère que ces groupes peuvent parfois agir de leur propre initiative, par motivation
« patriotique ». Cette hypothèse a été avancée lors de la crise diplomatique russo-estonienne du
printemps 2007, ainsi que pour diverses attaques émanant de pirates chinois et dirigées contre les
États-Unis ou Taïwan.
L'attaque par déni de service reste le mode opératoire privilégié de ces groupes qui semblent toutefois
également maîtriser des technologies plus complexes et plus discrètes de pénétration des systèmes
d'information pour y dérober des données.
La presse a fait état de l'existence de tels groupes en Russie et dans des pays de l'ex-Union soviétique,
où leurs activités ne seraient guère entravées. Nombre de pirates informatiques agissent également
depuis les États-Unis. Enfin, les groupes de pirates les plus importants et actifs seraient situés en
Chine. On notamment été cités la « Red Hacker's Alliance » qui, selon la presse de Taïwan, compterait
près de 20 000 membres, le groupe « Titan Rain », impliqué dans les attaques survenues aux ÉtatsUnis en 2001, ou la « China Eagle Union ».
. Vers un « cyberterrorisme » ?
L'utilisation de l'arme informatique par des groupes terroristes, soit directement, soit indirectement par
l'intermédiaire de pirates informatiques qu'ils rémunèreraient, est un risque qui a été fréquemment
évoqué.
Les groupes terroristes utilisent largement internet à des fins de propagande et de prosélytisme, ainsi
que comme moyen de communication, y compris semble-t-il aux moyens de systèmes de chiffrement.
En revanche, aucune attaque terroriste d'envergure par voie informatique, par exemple contre des
infrastructures sensibles, n'a pour l'instant été répertoriée.
On sait cependant que les organisations terroristes ont acquis une maîtrise significative des outils
informatiques et de l'internet qui pourrait leur permettre de mener des attaques plus sérieuses. À titre
d'exemple, la branche armée du Jihad islamique palestinien a récemment déclaré avoir mis en place
une unité de « cyberguerre » qui revendique des attaques contre des sites militaires et des sites de
journaux israéliens.
Par ailleurs, les groupes de pirates restent susceptibles de monnayer leurs services auprès de ces
organisations.
[…]
Rapport d’information sur la cyberdéfense
Commission des Affaires étrangères,
de la défense et des forces armées
Roger Romani
SC 2012
5/5
www.senat.fr
08/07/2008