Les sujets de cybersécurité (malware, phishing, ransomware, usurpation d’identité…), désormais bien connus du plus grand nombre, du fait de leurs impacts sur les entreprises et particuliers, peuvent masquer l’évolution de la cyberdéfense.
L’axe technologique
En 2019, le nombre d’attaques sur des cibles critiques (industries de défense, hôpitaux, institutions financières, médias, campagnes politiques, etc.) a continué d’augmenter. Et malgré les progrès faits en cybersécurité, à commencer par l’éducation, il faut toujours 15 fois plus de temps aux organisations pour clore les vulnérabilités décelées qu’aux attaquants pour les exploiter.
La menace vient de la confirmation que les nouvelles technologies numériques créaient tout autant de brèches de cyberdéfense potentielles qu’elles permettaient d’en combattre. Si la discrétion reste de mise en matière d’armement cyber offensif et défensif, les principaux nouveaux risques technologiques sont désormais nombreux et confirmés. Leur impact potentiel s’étend tout autant au grand public, qu’aux entreprises, organisations, administrations et à la défense.
Le déploiement des objets connectés en très grand nombre et de l’accès WiFi public universel multiplie les points de faiblesse. L’arrivée de la 5G, le développement de l’Intelligence Artificielle et des capacités de prédictions comportementales facilitent les attaques personnalisées et sophistiquées. Les technologiques vocales, de « deception », et biométriques renforcent également les possibilités d’usurpation d’identité et de « Deep Fakes ». L’automatisation et la robotisation très rapides des entreprises et process (RPA) créent des vulnérabilités pouvant avoir un effet cascade étendu. Du côté des entreprises d’ingénierie et de services numériques par exemple, 2019 a en particulier permis de mettre le focus sur les vulnérabilités dans les composants de containers DevOps ou les risques liés aux attaques possibles sur les véhicules autonomes ou connectés.
Tout système de défense ne s’évaluant réellement que par son point le plus faible, l’enjeu pour les organisations de cyberdéfenses est plus que jamais d’adresser l’ensemble de ses risques en généralisant l’adoption du « Zero Trust » et de se préparer au nouveau « leap » technologique annoncé par l’avènement des puissances de calcul quantiques.
L’axe militaire
Sur le plan national, les problématiques et enjeux de la cyberdéfense ne datent pas d’hier et l’état considère, déjà depuis plusieurs années, que le cyberespace est un champ de bataille au même titre que les autres théâtres d’opération (air, terre, mer). Si les activités de renseignement et de développement – et d’usage – des « armements » correspondants étaient déjà soutenues depuis 20 ans (en particulier à la DGSE), l’année 2019 a été l’occasion de donner une visibilité publique nouvelle et étendue de ces sujets.
Comme il se doit en matière de défense, beaucoup d’informations restaient jusqu’alors confidentielles. Mais, encouragés par la loi de programmation militaire 2019-2025 de juillet 2018, un certain nombre d’événements structurants des derniers mois a soulevé une partie du couvercle.
En janvier 2019, le ministère des Armées publie des éléments publics de doctrine militaire de lutte informatique tant offensive (LIO) que défensive. Il est désormais public que l’usage d’armement « cyber » ne se cantonne pas simplement à la défense contre les agressions extérieures, mais inclut également le soutien aux propres opérations initiées par l’armée française. Cela couvre tout type de renseignements ainsi que les perturbations aux infrastructures, moyens et contenus des communications et systèmes ennemis.
Cet éclairage permet de sensibiliser les populations aux menaces et d’étendre publiquement à la cyberdéfense le contrôle du cadre réglementaire strict des activités de défense (respect du droit humanitaire, non-discrimination, réponse proportionnée, etc.). La visibilité donnée en mars sur la 6ème édition de l’exercice interarmées de cyberdéfense (DEFNET 2019) permet d’intégrer, au moins partiellement, la cyberdéfense militaire à la protection de l’ensemble des cibles numériques potentielles, systèmes industriels et systèmes d’information et de communication publics compris. Elle confirme que la défense française subit régulièrement des attaques sophistiquées de la part d’organisations souvent proches des états.
L’axe européen
Hors cadre militaire, le premier responsable de la cyber-protection et de la partie défensive reste l’Agence Nationale de la Sécurité des Systèmes d’Information. En anticipation du Brexit et du déploiement de la 5G par Huawai, une grande partie de ses préoccupations dépasse le cadre national. L’ANSII a ainsi suivi l’adoption, par le Conseil de l’Union Européenne, du Cybersecurity Act donnant mandat à l’agence européenne pour la cybersécurité de définir un cadre européen de certification de cybersécurité. En juillet 2019, l’ANSSI a participé à l’exercice Blue Olex afin d’identifier les domaines de coopération européenne à renforcer en matière de cybersécurité.