Rapport McAfee sur la cyberdéfense : Déclarations d`experts français

Rapport McAfee sur la cyberdéfense :
Déclarations d'experts français
« Ces systèmes sont mal préparés », déclare Frank Asbeck, conseiller pour l'espace et la politique de
sécurité auprès du Service européen pour l'action extérieure (SEAE). « Beaucoup de dégâts peuvent
être occasionnés par ignorance, négligence ou malveillance. » A l'instar d'autres experts, il estime que
nous devons sérieusement réfléchir à la manière dont ces nouveaux facteurs affectent les systèmes tant
physiquement que techniquement, puis décider si des actions doivent être entreprises ou non à ce sujet.
Frank Asbeck du Service européen pour l'action extérieure, la nouvelle branche diplomatique de l'UE,
pense que la sécurisation d'Internet peut nous aider à sortir de la crise économique. « Le cyberespace
et Internet jouent un rôle majeur dans divers domaines de l'économie, et investir dans la cybersécurité
permet d'améliorer leur fiabilité et leur robustesse », a-t-il déclaré. Dans d'autres secteurs, notamment la
banque, les communications, l'optimisation de la consommation d'énergie et les réseaux de distribution
intelligents, il est possible de tirer parti des technologies de l'information pour économiser des
ressources dans d'autres domaines. »
Pour Olivier Caleff de la société française Devoteam qui offre des services-conseils sur la
cybersécurité, l'information et la formation jouent un rôle capital dans la lutte contre les cybermenaces.
« Je dirais que cela représente 80 % de la solution », déclare-t-il. « Les utilisateurs de téléphones
mobiles ont trop tendance à croire tout ce qu'ils lisent. Ils font confiance aux messages les plus
stupides. »
Analyse par pays : France
La France dispose de sa propre cellule nationale d'intervention d'urgence en cas d'attaques
informatiques, le CERTA, et participe à la communauté CERT informelle ainsi qu'au groupe
intergouvernemental EGC (European Government CERTs). Elle s'est dotée d'une cyberstratégie
en 2011 et prend part aux exercices de simulation de cyberincidents.
Score : ****
« Nous vivons à une époque qui nous rappelle celle du scientifique Louis Pasteur, au 19e siècle »,
déclare Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes
d'information (ANSSI), l'autorité nationale française chargée de la cybersécurité, rattachée au cabinet du
premier ministre. « En ce temps-là, les médecins ont commencé à se laver les mains et à stériliser le
matériel, prenant conscience qu'ils ne pouvaient plus travailler sans se soucier du reste. Le même
principe s'applique à présent à la sécurité sur Internet. »
L'ANSSI a été créée en 2009 et œuvre depuis lors à protéger les réseaux des systèmes informatiques
publics français. « Notre première tâche consiste à développer des capacités de cyberdéfense
opérationnelles, notamment en matière d'intervention rapide en cas d'attaque », indique M. Pailloux.
« La seconde est l'amélioration de la protection de nos infrastructures critiques nationales. »
M. Pailloux indique que trop peu d'ingénieurs et de spécialistes informatiques suivent les « règles
d'hygiène » de base lorsqu'ils utilisent Internet et que trop peu de dirigeants d'entreprise connaissent
seulement ces règles. « Il s'agit véritablement d'un problème de taille », explique-t-il. « Non seulement
en France mais également dans le monde entier. » Selon lui, les attaques massives de mars 2011 qui
visaient les ministères du Budget et des Finances ont tiré la sonnette d'alarme pour les entreprises
privées.
Olivier Caleff, un analyste de la société de services-conseils Devoteam, partage son opinion
concernant le manque de personnel spécialisé affecté à la cybersécurité dans les agences
gouvernementales et les forces de police. En revanche, il soutient que la France dispose d'excellentes
méthodologies de sécurité. « Nous avons accès à beaucoup de produits provenant de nombreux pays.
Notre problème réside dans le fait que, même si les grandes entreprises prennent conscience de
l'importance de la cybersécurité, les entreprises plus petites ne déploient pas assez d'efforts. »
Certains problèmes de juridiction se posent. « Au cours des trois dernières années, la France et la
Belgique ont observé une forte hausse du nombre d'attaques par phishing peu sophistiquées lancées
contre des banques depuis l'Afrique du Nord », souligne Jean-Michel Doan, analyste en
cybercriminalité pour Lexsi Innovative Security. « Nous essayons de rassembler autour d'une table
toutes les banques afin de déposer une plainte commune, mais dans un cas tel que celui-ci, le problème
vient des autorités judiciaires en Afrique du Nord. »
M. Pailloux estime que la meilleure manière de venir à bout de la résistance des entreprises privées
face aux problèmes de sécurité est de créer une interface entre le gouvernement et ces dernières.
« Nous avons besoin d'un tel organisme pour examiner, par exemple, s'il est pertinent d'instaurer une
obligation légale à signaler les incidents. Jusqu'à présent, en France, les opérateurs de
télécommunications doivent signifier les incidents, mais les 12 secteurs des infrastructures critiques le
devraient également. »
« La France dispose d'un système hautement centralisé, avec une seule agence responsable de la
cybersécurité, ce qui constitue à la fois un avantage et un inconvénient », explique M. Pailloux. « D'un
côté, nous disposons de bonnes connexions interministérielles ; de l'autre, nous sommes trop peu
nombreux. » Environ 200 personnes travaillent actuellement pour l'ANSSI, chiffre qui devrait atteindre
360 d'ici à la fin de 2013. La France souhaite faire partie des puissances mondiales dans le domaine de
la cyberdéfense et a déjà engagé des relations bilatérales avec l'Allemagne, les Etats-Unis et le
Royaume-Uni.
La politique de la France sur la censure d'Internet est controversée. C'est notamment le cas de sa loi
Hadopi de 2009, qui permet aux fournisseurs d'accès Internet de surveiller l'utilisation par les
internautes des fichiers musicaux et vidéo protégés par droits d'auteur. Les abonnés qui ne réagissent
pas aux avertissements des FAI peuvent être poursuivis en justice.