Sécurité et cyberespace : quels enjeux pour la défense et la sécurité de demain ? (Conférence)

Illustration conférence Sécu Cyber

Résumé de la conférence organisée le 4 avril 2017 en Sorbonne par Les Mardis de l’Innovation, Panthéon-Sorbonne Défense Sécurité & Citoyenneté et l’association ProECA Sorbonne. Vous pouvez retrouver les enregistrements des quatre interventions sur la chaîne Viméo des Mardis de l’innovation.

Intervenants : Frédérick Douzet, professeure des universités à l’Institut de Géopolitique de l’université Paris 8, titulaire de la chaire Castex de Cyberstratégie de l’I.H.E.D.N. ; Alexandre Papaemmanuel, directeur commercial renseignement et sécurité intérieure à Sopra Steria ; Michel Abdalla, chercheur au C.N.R.S., membre de l’équipe de cryptographie du Département Informatique de l’E.N.S. ; Arnaud Coustillière, Vice-amiral, Officier général à la cyberdéfense, État-Major des Armées.

***

Frédérick Douzet — Du cyber au géopolitique

        Le directeur exécutif de Packet Clearing House lui expliquait il y a quelques semaines qu’à peu près 99 % des attaques sur le réseau étaient le fait de trois États : les États-Unis, la Russie et la Chine. C’est dire à quel point le reste du monde est distancé par ces trois géants cyber. C’est dire aussi que le cyberespace est aujourd’hui un champ d’affrontement, un domaine stratégique pour la Défense ; mais ses enjeux géopolitiques sont plus vastes encore.

Le cyberespace est une nouvelle dimension des conflits géopolitiques, à la fois nouvel espace par lequel se prolongent les conflits classiques et champ d’étude prometteur pour la géopolitique, puisqu’il met en lumière des enjeux — techniques et juridiques — et des défis spécifiques qui en font une discipline à part entière. Cette discipline requiert de se former à de nouveaux outils pour, notamment, exploiter des données en source ouverte et faire face à des menaces renouvelées.

Le cyberespace bouleverse tout, des paradigmes stratégiques classiques jusqu’à nos économies et nos modes de vie. Parce qu’il est le cadre de l’émergence de nouvelles menaces, d’actes criminels, de nouveaux combats militaires, de la collecte de renseignement, des politiques d’influence, le cyberespace oblige aussi à repenser les normes internationales et la sécurité collective. Il remet au premier plan la question de la protection des libertés individuelles et de l’avenir de la démocratie.

La notion de territoire est au cœur de l’analyse géopolitique. Mais quelle est la part du territoire dans la notion cyberespace ? Constitue-t-il une nouvelle forme de territoire ? Pour quelles frontières ? Quel rapport établir entre cyberespace et territoire ? Pour répondre à ces questionnements, il convient d’abord de définir le cyberespace lui-même. Or, ses définitions sont multiples, en partie parce que le cyberespace change vite, et radicalement, sans compter qu’aucune définition n’est consensuelle. Le Pentagone a produit une douzaine de définitions ces dernières années. Pour faire simple, on peut définir le cyberespace comme un milieu nouveau généré par l’interconnexion planétaire des moyens et systèmes de communication. expression par laquelle il faut entendre à la fois les infrastructures physiques — très fortement inscrites dans des territoires, dans la géographie physique, facilement cartographiée — mais aussi l’espace immatériel, plus difficile à appréhender, plus intangible, mais néanmoins hautement stratégique. Son centre de gravité s’est déplacé depuis quelques années vers le Sud, l’Asie, la Chine et l’Inde. Le cyberespace est aussi la représentation d’un territoire indépendant, d’un espace de liberté, hors des contraintes du monde réel, conception très prégnante chez les pionniers de l’Internet, rétifs au contrôle des États. Cette conception imprègne encore beaucoup de militants. De la même manière, l’idée d’un « cyberespace territoire » est revenue sur le devant de la scène dans les années 2000 via les États, pour lesquels il s’agit d’un territoire sur lequel il faut faire respecter les frontières et la souveraineté étatique. Cet espace est d’ailleurs considéré comme le cinquième domaine militaire par la France et l’OTAN.

        Le cyberespace est le cadre d’au moins trois enjeux spécifiques pour la géopolitique.

Il contribue d’abord à brouiller la frontière entre la guerre et la paix. Beaucoup d’opérations étatiques sont conduites en secret, difficiles à attribuer, et restent sous le radar de la guerre, de ce qui peut être considéré comme une agression armée, compliquant la réponse stratégique et tactique des États. Plusieurs exemples de telles attaques sont connues. Le lancement du malware Stuxnet contre les centrifugeuses iraniennes de Natanz [en 2010] constitue alors une attaque hors limite, expérimentale, que l’on peut voir comme une forme de recherche d’une troisième voie entre diplomatie coercitive et action armée. Les tensions entre les États-Unis et la Chine autour de la distinction entre espionnage stratégique légitime et espionnage économique dérobant des secrets d’affaires sont un autre exemple de ces opérations agressives mais sous le radar de ce qui pourrait déclencher une guerre.  Les opérations menées par les Russes dans le cadre du conflit ukrainien, combinaison de moyens, d’attaques contre des infrastructures critiques et de désinformation médiatique. Le hacking du Parti démocrate américain, enfin, relève de la guerre informationnelle, la divulgation d’informations sensibles pouvant être perçue comme une déstabilisation du système électoral américain aux effets stratégiques majeurs. Les États-Unis ont été jetés dans une situation où ils ont dû élaborer soigneusement une réaction appropriée et inédite. Le prochain grand défi est la cyberdéfense active, sujet mis en avant par les États-Unis : cette expression désigne l’autorisation faite aux acteurs du secteur privé de s’auto-défendre et mener des actions qui pourraient à terme provoquer des conflits entre États. Les discussions internationales sur le cyberespace portent de plus en plus sur la définition de comportements responsables et de conduites appropriées en temps de paix, que ce soit pour les États ou les compagnies privées.

Le cyberespace suppose aussi des interactions entre de nombreux domaines. Cet espace est le cadre d’activités transfrontières, supposant des conflits de juridictions et des réseaux partagés entre civils et militaires, États et acteurs privé. On constate un véritable entrelacement des enjeux et des acteurs, une grande diversité de motivations qui se rencontrent pourtant sur un même réseau. Le cyberespace est le lieu d’interactions multiples et complexes entre différents domaines, d’enjeux liés et indissociables. On observe également une grande disparité des moyens parmi les nations, mais aussi entre nations et acteurs privées. Cela provoque à la fois une course aux armements cyber et des tentatives répétées pour établir des règles du jeu afin de limiter l’escalade des conflits et les menaces sur la paix internationale.

Enfin, le cyberespace est le lieu de l’émergence de nouvelles puissances cyber.  Par exemple, la question de l’émergence des plateformes d’intermédiation (telles que Google, Amazon, Facebook, plus récemment Uber ou Airbnb, mais aussi Baidu, etc.) est aujourd’hui capitale. De plus en plus de décisions vont être basées sur des bases de données et des algorithmes, ce qui pose des questions sur la souveraineté des États. Ces plateformes opèrent à travers les frontières et collectent et contrôlent des masses de données énormes mais leur distribution n’est pas uniforme, ce qui peut générer des déséquilibres importants. Les États doivent, pour accéder à certaines données, négocier directement avec ces plateformes. On mesure mal leur géographie et il n’existe pas encore de cadre conceptuel pour comprendre leur influence sur le jeu géopolitique. En Europe, par exemple, nos données partent massivement sur des plateformes américaines (en particulier pour l’Europe occidentale). Ces données sont captées par des acteurs privées sans que l’on sache qui les contrôle, qui les utilise, qui les collecte, sans non plus qu’on détermine ce qu’est une donnée stratégique. Or cette définition de la donnée stratégique est un enjeu majeur parce que c’est un enjeu de souveraineté. Pouvoir collecter, comprendre et contrôler les données ferait notre autonomie stratégique.

        Les enjeux géopolitiques du cyberespace sont énormes et conditionneront la construction du monde de demain, la construction d’une nouvelle sécurité collective, la stabilité du cyberespace et de son futur, le futur aussi de la démocratie et des libertés individuelles, à l’heure où les algorithmes peuvent modifier le rapport à la vérité et donc à la démocratie.

Alexandre Papaemmanuel — Digitalisation, défense et sécurité, quelle approche pour la protection de nos intérêts stratégiques ?

        M. Papaemmanuel entend étudier lors de son intervention la donnée et ses implications en matière de souveraineté nationale ainsi que le phénomène de digitalisation et ses conséquences.

La technologie est un levier d’influence politique, un levier d’action des États sur la scène internationale, et certains pays l’ont plus compris que d’autres. Les États-Unis avancent ainsi en terrain conquis, aussi surprenant que ça puisse paraître puisque les premières révolutions technologiques sont venues de France. On regarde malgré tout le cousin américain dérouler une stratégie sans faille, avançant sur le nouvel échiquier de l’influence numérique. Il y a une stratégie derrière : posséder internet. Les entreprises américaines l’ont créé et développé de telle manière que l’Europe ne puisse pas lutter. Leur objectif est d’avoir un avantage compétitif tel que les autres compétiteurs ne peuvent que rester derrière. L’Europe est devenue le paillasson des États-Unis sur le sujet de la numérisation. Les entreprises américaines du numérique représentent 80 % de la capitalisation boursière du secteur contre 2 % seulement pour l’Europe. Nous avons perdu une première bataille : celle de l’occupation de l’espace cyber.

L’industrie de défense et de cybersécurité est un moyen de mesurer la volonté politique puisque c’est l’État qui la forge. Or aujourd’hui la France fait l’acquisition d’un système américain pour croiser et contrôler l’information de son service de renseignement intérieur (Palantir). Cette dépendance est dommageable et marque notre retard. La Direction du Renseignement Militaire (D.R.M.) a été créée à la suite de la première guerre du Golfe, en 1991, pendant laquelle les Américains, à la tête de la coalition internationale,  nous ont fait comprendre que les alliés partageaient le fardeau mais pas les informations. Ce service, qui a participé au lancement des premiers satellites Hélios,  a été créé pour limiter notre dépendance, qui reste tout de même très grande.

Il faut créer un tissu d’industriels du secteur pour permettre aux armées d’être indépendantes sur le terrain. L’industrie de défense participe à la posture stratégique de la France, et de même il faut absolument créer une industrie cyber. Autour de la donnée, cette prise de conscience est relative et très récente. Nous sommes dans un paradigme juridico-économique atypique : l’État est en position de demandeur unique, avec peu d’offreurs, qu’il porte souvent, dont il est parfois même actionnaire ; c’est une relation de dépendance forte.

Le soldat actuel intervient dans un théâtre d’opération impliquant des plateformes, des effecteurs, des détecteurs, de la collecte et de la transmission d’information et qui implique donc de disposer de réseaux résilients qui transportent la donnée. Le défi, aujourd’hui, est d’interconnecter ces plateformes et ces moyens, d’homogénéiser le partage de l’information. Un autre défi repose dans le rythme de nos opérations d’armement : en règle générale, celles-ci s’étendent sur une quarantaine d’années (10 ans d’élaboration puis 30 ans de mise en service) ; ce rythme est totalement inadapté aux évolutions rapides du secteur numérique. Le Ministère de la Défense et les industriels doivent mettre au point ensemble une solution plus flexible et plus innovante.

        Quant à prendre le contrôle des données, il faut aider l’analyste à être plus performant au quotidien, à s’approprier les programmes utilisant et collectant nos données. Le contexte géopolitique, les menaces actuellement bien présentes, poussent heureusement l’industrie à répondre à ces enjeux. L’État-Major des Armées pense la menace prévisible à 15 ans, la Direction Générale de l’Armement essaye de penser quelles disruptions technologiques il va falloir prévenir, et les industriels sont entre les deux et doivent répondre aux attentes, développer des solutions. Il faut que la France invente un nouveau partenariat public-privé sur le champ du numérique.

La France est par ailleurs un État pionnier sur le droit grâce à la C.N.I.L. L’ensemble des données sont stockées dans des entrepôts différents mais doivent pouvoir être harmonisées, repositionnées sur un fond géographique physique, explorées de façon rapide, être filtrées en fonction de ce que l’on recherche et créer des alertes pour mettre l’humain dans la boucle. Tout l’enjeu est d’irriguer aussi bien le décideur politique que l’acteur sur le terrain.

            Mais comment y parvenir dans un environnement effervescent ? C’est le défi. Il existe pléthore d’acteurs dans le domaine. Il faut développer un écosystème souverain dans le domaine de l’analyse des données puisqu’elles sont un enjeu stratégique, à plusieurs titres : capitaliser sur la recherche universitaire, les start-ups, les P.M.E., les grands groupes, et intégrer tous ces acteurs pour créer une « équipe de France » qui investirait sur ces domaines, rechercherait, etc. L’horizon est à celui qui pourra fusionner des connaissances au profit de nouveaux métiers qui vont changer la façon de faire de la Défense. Il faudra être plus rapide, plus réactif, l’industrie devra se révolutionner pour travailler en proximité des acteurs, dans une logique de partage et d’ouverture. Ça demande une vraie réflexion, l’industrie de Défense, dépendante des investissements publics, n’ayant plus l’habitude de se prendre en main toute seule. On doit, en tant qu’industriels, investir, accepter les transferts complets vers l’État, ne plus être dans une logique propriétaire ; l’État doit quant à lui penser différemment, mettre à disposition les opérationnels pour aiguiller les innovations. Dans le domaine du GEOINT, les Américains ont réussi à créer une porosité entre universités et monde militaire. On voit des généraux américains qui identifient la menace de manière pointue, un écosystème qui se met au diapason, des filières universitaires qui se créent, des militaires qui finissent par entrer dans des sujets d’ingénierie numérique. En France on en est encore assez loin, et c’est un défi qu’il faut relever ensemble afin d’acculturer les différentes catégories d’acteurs les unes aux autres pour reprendre le dessus sur ces sujets, pour remporter les guerres d’aujourd’hui et celles de demain.

Michel Abdalla — Les défis de la cybersécurité et ses perspectives

        M. Abdalla entend donner un point de vue différent des autres exposés, plus académique, sur recherche en France et sur les défis et perspectives de la cybersécurité.

Aujourd’hui, les attaques sont permanentes et proviennent de plusieurs pays, parfois les cibles sont assez concentrées (États-Unis, Chine, Russie), mais les victimes sont aussi bien des compagnies de télécommunication (afin de dérober des informations sur les utilisateurs), des banques ou des processus électoraux. Il est clair qu’on a besoin de protéger nos infrastructures ; il est impossible d’éviter les attaques mais on peut essayer de les rendre plus difficiles à mettre en œuvre, ce qui passera nécessairement par un effort innovant des industries et du monde académique. Il est par ailleurs étonnant de constater que la cybersécurité est souvent connotée négativement, alors qu’elle a aussi des aspects très positifs : c’est par exemple un domaine de recherche très dynamique, qui donne lieu à la publication de nombreux travaux. Surtout, la France est l’un des acteurs les plus importants du domaine. Loin derrière les États-Unis, bien sûr, mais on peut essayer de combler le gouffre qui nous en sépare. L’industrie numérique française est aussi assez importante.

La cybersécurité nationale a été cartographiée, permettant de révéler une recherche académique française répartie en deux niveaux : 11 domaines majeurs subdivisés en 60 sous-domaines. Cela représente en tout 852 équivalent temps plein (E.T.P.) travaillant sur ces sujets en France, soit 1101 personnes. C’est un chiffre tout à fait raisonnable. Évidemment, si on se compare aux États-Unis nous sommes très loin du compte, mais par rapport à des pays européens, asiatiques ou d’Amérique du Sud, on est assez bien placés. Chaque année, on produit des doctorants sur la cybersécurité, dont une grande partie part dans l’industrie, même si l’on observe quelques changements intéressants aussi, par exemple une attractivité de plus en plus forte des start-ups, donc des technologies développées en France. Trois domaines de recherche sortent du lot : la cryptologie (qui occupe 20 % des E.T.P.), la sécurité des hardwares (17 %) et les méthodes formelles (16 %).

Les efforts au niveau français dans le domaine sont symbolisés par le travail des groupements de recherche (GdR). Créés par le C.N.R.S., ils regroupent les personnes travaillant sur un même domaine pour leur permettre de collaborer plus efficacement.  En 2016, le C.N.R.S. a créé le GdR en sécurité informatique, qui met en contact plusieurs domaines. La distance entre industrie et monde académique procédait de la difficulté à trouver des points communs entre une recherche très théorique et des demandes industrielles très concrètes. C’était vrai il y a vingt ans, mais cette distance a beaucoup diminué depuis, en particulier dans le domaine de la sécurité hardware. Des événements variés mettent en contact ces deux mondes : en juillet 2016, la Summer school « Cyber in Bretagne », en octobre 2016 la semaine de rencontres entre entreprises et doctorants (Airbus, A.N.S.S.I., CryptoExperts, Quarklabs) et en décembre 2016, Coloquium on computer security.

L’exemple de la cloud security. M. Abdalla travaille lui-même sur le cloud computing et sa sécurité, sujet omniprésent aujourd’hui grâce à des acteurs du numérique tels qu’Amazon, Google Drive, Facebook, Dropbox, etc. Les données sont ainsi pour une bonne partie stockées aux États-Unis. Sont-elles sécurisées ? On sait qu’il y a des avantages à utiliser le cloud pour avoir accès à nos données partout, mais en même temps il y a beaucoup de problèmes de sécurité : fuites de données, attaques de l’extérieur. On veut sécuriser le cloud, mais qu’est-ce que ça veut dire ? C’est comme si nous avions des supercalculateurs dans nos poches, il faut non seulement garantir la sécurité des données et des calculs mais aussi leur intégrité. Comment la cryptologie peut y participer ? D’abord en chiffrant les données, ce qui peut marcher mais présente l’inconvénient de perdre tout l’intérêt d’utiliser le cloud. Il faut alors se reporter vers le chiffrement fonctionnel ou faire de la délégation de calcul vérifiable.

            La cybersécurité est un défi crucial et aussi un secteur d’opportunité énorme. Les capacités pour mener des projets de recherche ambitieux existent en France, mais il est nécessaire, indispensable, que la coopération entre les différents secteurs impliqués soit améliorée.

Vice-amiral Arnaud Coustillière — Guerre et innovation

        En 2007, l’Estonie subit une attaque cyber d’une ampleur inégalée, initiées par des hackeurs russes, sûrement soutenus par l’appareil d’État russe. À partir de cette attaque, les nations modifient leurs structures. En France, le Livre blanc de 2008 marque la volonté de changer la sécurité du numérique pour en faire un enjeu national. En 2009, l’A.N.S.S.I. est créée, avec un effectif de 100 personnes, contre 600 aujourd’hui. Rattachée au Premier ministre, elle n’est pas en concurrence avec la Défense puisqu’elle se situe au-dessus des militaires. En 2011 s’amorce la structuration de l’organisation militaire numérique, avec les premières opérations menées au niveau numérique et la création de l’Officier général à la Cyberdéfense. Le Livre blanc de 2013 affiche l’ambition de la France dans ce secteur, puisque 17 pages sont consacrées à la cyberdéfense. Au sein du Ministère de la Défense, un plan stratégique est mis en place, structurant la démarche des armées, accompagnant la création d’un pôle d’excellence et les efforts de formation et de rapprochement avec l’industrie. La part de technique est importante, mais il faut aussi des gens derrière, mettre ensemble des experts des sciences humaines et des sciences plus dures et techniques. En 2017, un grand commandement de la cyberdéfense (COMCYBER) est créé (pas encore une cinquième armée).

        Quelques réflexions sur le numérique avec vraie question : quelle sécurité dans cet espace numérique irriguant tous les autres ? Toutes les actions dans cet espace ont pour but de peser sur le monde réel. On en est au début des transformations. Les données sont une nouvelles richesse, leur transport, leur manipulation, leur stockage de nouveaux enjeux. Les Russes implantent des data centers en Sibérie pour qu’ils soient au plus proche de leurs consommateurs et au sein de leurs frontières. Google propose dans son offre d’hébergement une protection anti-D.D.O.S. On vit aujourd’hui une période de rupture, rupture aussi importante que les débuts du commerce transatlantique au XVIIe s. Le numérique est un enjeu de puissance qui verra monter les superpuissances futures. La Russie a accompli un retour en force non seulement dans le monde physique mais aussi — voire surtout — dans le monde numérique. Toutes les frontières sont brouillées : entre militaire et policier, alors même que les armes sont les mêmes ; l’arme informatique est utilisée partout et par tous. La responsabilité des nations sur les armes numériques est cruciale : il faudra parvenir à prévenir la prolifération. Les ruses techniques bas de gamme font beaucoup plus de dégâts que Stuxnet et les programmes les plus sophistiqués (de la même façon qu’il y a plus de victimes par kalachnikovs et  machettes que par des missiles de croisière…). Le cas du contre-terrorisme dirigé contre Daech est symptomatique : c’est un cas d’école d’une structure innovante disposant de moyens limités et d’experts peu qualifiés mais maîtrisant suffisamment bien le web pour positionner leur propagande à des endroits favorables et difficilement atteignables pour les États, en utilisant notamment les grands réseaux sociaux.

Par Pierre-Alexis Cameron et Naïm Montes


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s