Rapport McAfee sur la cyberdéfense : Déclarations d`experts français
Transcription
Rapport McAfee sur la cyberdéfense : Déclarations d`experts français
Rapport McAfee sur la cyberdéfense : Déclarations d'experts français « Ces systèmes sont mal préparés », déclare Frank Asbeck, conseiller pour l'espace et la politique de sécurité auprès du Service européen pour l'action extérieure (SEAE). « Beaucoup de dégâts peuvent être occasionnés par ignorance, négligence ou malveillance. » A l'instar d'autres experts, il estime que nous devons sérieusement réfléchir à la manière dont ces nouveaux facteurs affectent les systèmes tant physiquement que techniquement, puis décider si des actions doivent être entreprises ou non à ce sujet. Frank Asbeck du Service européen pour l'action extérieure, la nouvelle branche diplomatique de l'UE, pense que la sécurisation d'Internet peut nous aider à sortir de la crise économique. « Le cyberespace et Internet jouent un rôle majeur dans divers domaines de l'économie, et investir dans la cybersécurité permet d'améliorer leur fiabilité et leur robustesse », a-t-il déclaré. Dans d'autres secteurs, notamment la banque, les communications, l'optimisation de la consommation d'énergie et les réseaux de distribution intelligents, il est possible de tirer parti des technologies de l'information pour économiser des ressources dans d'autres domaines. » Pour Olivier Caleff de la société française Devoteam qui offre des services-conseils sur la cybersécurité, l'information et la formation jouent un rôle capital dans la lutte contre les cybermenaces. « Je dirais que cela représente 80 % de la solution », déclare-t-il. « Les utilisateurs de téléphones mobiles ont trop tendance à croire tout ce qu'ils lisent. Ils font confiance aux messages les plus stupides. » Analyse par pays : France La France dispose de sa propre cellule nationale d'intervention d'urgence en cas d'attaques informatiques, le CERTA, et participe à la communauté CERT informelle ainsi qu'au groupe intergouvernemental EGC (European Government CERTs). Elle s'est dotée d'une cyberstratégie en 2011 et prend part aux exercices de simulation de cyberincidents. Score : **** « Nous vivons à une époque qui nous rappelle celle du scientifique Louis Pasteur, au 19e siècle », déclare Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), l'autorité nationale française chargée de la cybersécurité, rattachée au cabinet du premier ministre. « En ce temps-là, les médecins ont commencé à se laver les mains et à stériliser le matériel, prenant conscience qu'ils ne pouvaient plus travailler sans se soucier du reste. Le même principe s'applique à présent à la sécurité sur Internet. » L'ANSSI a été créée en 2009 et œuvre depuis lors à protéger les réseaux des systèmes informatiques publics français. « Notre première tâche consiste à développer des capacités de cyberdéfense opérationnelles, notamment en matière d'intervention rapide en cas d'attaque », indique M. Pailloux. « La seconde est l'amélioration de la protection de nos infrastructures critiques nationales. » M. Pailloux indique que trop peu d'ingénieurs et de spécialistes informatiques suivent les « règles d'hygiène » de base lorsqu'ils utilisent Internet et que trop peu de dirigeants d'entreprise connaissent seulement ces règles. « Il s'agit véritablement d'un problème de taille », explique-t-il. « Non seulement en France mais également dans le monde entier. » Selon lui, les attaques massives de mars 2011 qui visaient les ministères du Budget et des Finances ont tiré la sonnette d'alarme pour les entreprises privées. Olivier Caleff, un analyste de la société de services-conseils Devoteam, partage son opinion concernant le manque de personnel spécialisé affecté à la cybersécurité dans les agences gouvernementales et les forces de police. En revanche, il soutient que la France dispose d'excellentes méthodologies de sécurité. « Nous avons accès à beaucoup de produits provenant de nombreux pays. Notre problème réside dans le fait que, même si les grandes entreprises prennent conscience de l'importance de la cybersécurité, les entreprises plus petites ne déploient pas assez d'efforts. » Certains problèmes de juridiction se posent. « Au cours des trois dernières années, la France et la Belgique ont observé une forte hausse du nombre d'attaques par phishing peu sophistiquées lancées contre des banques depuis l'Afrique du Nord », souligne Jean-Michel Doan, analyste en cybercriminalité pour Lexsi Innovative Security. « Nous essayons de rassembler autour d'une table toutes les banques afin de déposer une plainte commune, mais dans un cas tel que celui-ci, le problème vient des autorités judiciaires en Afrique du Nord. » M. Pailloux estime que la meilleure manière de venir à bout de la résistance des entreprises privées face aux problèmes de sécurité est de créer une interface entre le gouvernement et ces dernières. « Nous avons besoin d'un tel organisme pour examiner, par exemple, s'il est pertinent d'instaurer une obligation légale à signaler les incidents. Jusqu'à présent, en France, les opérateurs de télécommunications doivent signifier les incidents, mais les 12 secteurs des infrastructures critiques le devraient également. » « La France dispose d'un système hautement centralisé, avec une seule agence responsable de la cybersécurité, ce qui constitue à la fois un avantage et un inconvénient », explique M. Pailloux. « D'un côté, nous disposons de bonnes connexions interministérielles ; de l'autre, nous sommes trop peu nombreux. » Environ 200 personnes travaillent actuellement pour l'ANSSI, chiffre qui devrait atteindre 360 d'ici à la fin de 2013. La France souhaite faire partie des puissances mondiales dans le domaine de la cyberdéfense et a déjà engagé des relations bilatérales avec l'Allemagne, les Etats-Unis et le Royaume-Uni. La politique de la France sur la censure d'Internet est controversée. C'est notamment le cas de sa loi Hadopi de 2009, qui permet aux fournisseurs d'accès Internet de surveiller l'utilisation par les internautes des fichiers musicaux et vidéo protégés par droits d'auteur. Les abonnés qui ne réagissent pas aux avertissements des FAI peuvent être poursuivis en justice.