Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
ComCyber : « nous avons besoin d’être paranoïaques avec tout le monde »
Loi Crédits : Marc Rees (licence CC-BY-SA 3.0)

ComCyber : « nous avons besoin d’être paranoïaques avec tout le monde »

Même avec Microsoft
9 min

À l’occasion du FIC 2020 à Lille, le général Didier Tisseyre, à la tête du ComCyber, revient dans les colonnes de Next INpact sur les raisons d’être de son unité opérationnelle commandant l’ensemble des forces de cyberdéfense des armées françaises.

Quel est le modèle de la cyberdéfense à la française ?

Le modèle français repose sur deux piliers. Un pilier défensif assuré par l’Agence nationale de la sécurité des systèmes d’information face à l’ensemble de nos menaces. L’autre volet est lié au renseignement et à l’action militaire : c’est l’utilisation de possibilités dans le cyberespace pour se positionner dans le cadre des rapports de force avec d’autres États ou des groupes notamment terroristes. Cette branche-là est cadrée juridiquement de manière très stricte par rapport à l’emploi qui peut être fait de certains outils. Typiquement, sur la cyberdéfense, nous sommes à la fois dans cette chaîne d’action militaire sur les théâtres d’opérations, et par délégation de l’ANSSI, sur la protection et la défense du système du ministère des Armées afin d’être résilient.

Quand vous évoquez une action offensive, quel est le type de scénario ?

Prenons pour exemple la lutte contre Daesh en Irak. Le groupe fait de la propagande sur les réseaux sociaux, met en ligne des vidéos pour terroriser, recruter ou organiser des actions. Dans un cadre juridique très strict, nous pouvons sur ces théâtres d’opérations essayer d’entraver les moyens de communication de Daesh, comprendre ce qu’il s’y passe, pour limiter cette propagande, ou encore bloquer l’action et la coordination de ces groupes armés.

Voire identifier l’origine exacte...

Oui, cette territorialisation est très importante.

Quelles sont vos relations avec les réseaux sociaux, qui jouent ici le rôle de caisse de résonance ?

Nous sommes attentifs à ce qui se dit sur ces plateformes par rapport à nos forces déployées sur les théâtres d’opérations. Cela peut aider à comprendre comment elles sont perçues pour pouvoir soutenir les populations et mener un certain nombre d’actions.

Pendant longtemps, ces réseaux ont permis de relayer un certain nombre de discours terroristes, d’appel à la haine ou au meurtre. Nous avons pris contact avec les opérateurs pour faire retirer ces contenus. Aujourd’hui, nous avons un lien avec Pharos, plateforme du ministère de l’Intérieur. Cette autorité administrative est en contact direct avec ces acteurs pour assurer ces retraits. Pour notre part, nous avons automatisé en partie nos procédures pour faire des signalements et remonter un contenu de théâtre d’opérations.

Quelle est la réactivité de ces acteurs ?

Au début, certains réagissaient plus vite que d’autres. Aujourd’hui, grâce notamment à Pharos et à la voix portée par la France auprès de l’Union européenne, il y a une prise de conscience collective. Si avant on pouvait compter en jours voire en semaines et parfois en mois, désormais cela se joue en quelques heures. Pharos est clairement identifiée. Il y a toujours certains opérateurs un peu moins rapides que d’autres, mais il y a une nette amélioration.

Outre le terrorisme, avez vous d'autres préoccupations ?

Aujourd’hui, ce qui nous préoccupe ce sont les APT, les groupes persistants avancés, très élaborés, avec des modes d’actions sophistiqués et une variété d’outils récupérés ou conçus par eux-mêmes. C’est complexe. Ils se cachent, masquent leurs actions, mais dès qu’ils peuvent entrer dans un système, ils ont la capacité de voler des informations en masse ou le faire tomber.

Mon rôle est d’être un peu paranoïaque. J’essaye de comprendre la totalité de ces groupes, leurs caractéristiques. À la limite, je ne me pose pas la question de savoir qui est derrière, un État ou un groupe terroriste ou non. L’objectif est de jauger le risque. Tous les ans, nous dressons un bilan pour déterminer le nombre d’attaques ayant visé le ministère des Armées pour se préparer à cette menace.

Au-delà, il y a la cybercriminalité qui s’est énormément développée. Aujourd’hui et par rebonds, même si le ministère n’est pas visé, on peut se retrouver avec des emails ou des liens vers des sites piégés. On se prémunit par une hygiène globale de tous les membres du ministère.

Lors d’une audition au Parlement, vous avez évoqué l’usage de l’intelligence artificielle pour assurer cette prévention…

Nous avons aujourd’hui besoin d’utiliser au maximum les nouvelles technologies. L’intelligence artificielle est très prometteuse notamment pour pouvoir analyser cette masse d’informations. On a beau avoir des équipes consolidées, on ne peut analyser ces dizaines de milliers de logs. Il nous faut corréler de manière automatique entre ce qui est caractéristique d’une attaque et ce qu’on peut avoir sur Internet, mais aussi évaluer ce qu’on peut considérer comme le fonctionnement normal d’un réseau face à des comportements déviants ou louches. L’IA est une aide à la décision, ce n’est en aucun cas une décision.

Il faut se méfier de l’automaticité des mécanismes. Elle doit alerter l’opérateur sur un certain nombre d’éléments et pour assurer sa performance, être éduquée. Soit on cadre son éducation, soit elle s’éduque toute seule. On a donc besoin dans tous les cas que les données utilisées soient saines ou en tout cas qu’on les maîtrise afin d’éviter les réponses erronées.

Des outils qui permettent d’aller loin dans le big data… mais aussi des risques juridiques. Est-ce là que s’inscrit l’article de la LPM sur l’excuse pénale ?

La loi a en effet prévu différentes mesures. Des articles permettent à l’ANSSI d’avoir des éléments chez les opérateurs pour déployer des sondes en matière d’anticipation d’une menace ou de meilleure connaissance des flux. L’excuse pénale dont il est ici question concerne un cadre très précis : des militaires, sur un théâtre d’opérations extérieures, dans le respect des principes issus du droit international humanitaire de proportionnalité et de discrimination entre cible militaire et cible civile.

Aujourd’hui, le cybercombattant, au même titre que les militaires des armées dans l’usage des armes qu’ils sont appelés à utiliser, est donc couvert. On ne peut leur reprocher d’avoir pénétré un système ennemi. Cette action est possible et autorisée.

Vous évoquiez les sondes de l’ANSSI. Si je comprends bien, vous en profitez dès lors que sont en jeu les intérêts du ministère ?

Oui, la ministre des Armées a signé en novembre 2019 une convention avec les huit grands maîtres d’œuvre de la Défense pour pouvoir justement mieux échanger. Aujourd’hui, nos systèmes sont assemblés par ces acteurs. Nous comme eux avons conscience des risques et menaces. Nous bénéficions d’une forte protection, mais peut-être pas toujours les sous-traitants du sous-traitant.

L’axe d’attaque consiste à passer par le maillon qui paraît le plus faible pour pouvoir atteindre la cible, le ministère. Au travers de cette convention, l’objectif est de monter le niveau global, mieux identifier toute cette chaîne de sous-traitance qui conduit à livrer des systèmes d’armes, des systèmes numérisés ou d’information. Pour assurer cette réactivité, des opérateurs peuvent avoir chez eux une sonde de l’ANSSI avec pour objectif que le ministère soit prévenu directement par l’Agence s’il se passe quelque chose.

Dans une réponse parlementaire, il a été fait état d’un poste de travail entièrement libre. Souvent a été évoqué le contrat open bar avec Microsoft. Où en sommes-nous ?

Notre vision repose d’un côté sur la performance d’un système, mais aussi de l’autre sur la maîtrise des risques, la sécurité, cet aspect plus souverain. En fonction des systèmes, nous choisissons des opérateurs nationaux ou internationaux que l’on connaît, qui ont des gages de sécurité. C’est là qu’il est intéressant de diversifier ses moyens et pourquoi pas avoir des équipements libres. 

Le libre nécessite toutefois une compétence pour maitriser les systèmes, comprendre ce qu’il y a à l’intérieur. Ce n’est pas parce que le système est ouvert qu’on est capable de le comprendre.

Je peux ouvrir le capot de ma voiture, mais je ne maitrise pas l’intégralité des pièces mécaniques à l’intérieur. Le libre, oui, mais derrière il y a un coût et la nécessité de compétences. Microsoft est aujourd’hui un opérateur international avec énormément de systèmes, une compétence très pointue dans un certain nombre de domaines. D’où ce marché-cadre avec l’éditeur pour pouvoir à la fois rationaliser les coûts, éviter de payer de multiples licences non utilisées, identifier les prestations et trouver finalement ce juste équilibre.

C’est de la gestion du risque entre des systèmes purement souverains franco-français qu’on maîtrise pour nos points les plus critiques et des systèmes plus ouverts, plus accessibles, mais avec un niveau de garanties nous permettant de voir ce qu’il en est.

N’oublions pas que nous avons maintenant des sondes sur les réseaux, en périmétrie. Ces échanges de flux sont très importants. Ils nous permettent de comprendre, déceler le comportement anormal d’un logiciel ou d’un matériel. Nous sommes vraiment dans cet état-là, de conscience, d’attention, de gestion de risque.

Vous preniez l’exemple de la voiture, mais pour Microsoft, vous ne pouvez même pas ouvrir le capot. Votre seule possibilité : des sondes sur le tuyau d’échappement...

Le risque zéro n’existe pas. Ces sondes nous apportent des éléments. Nous avons pensé nos systèmes, exprimé des besoins. Ils ont été réalisés par des groupes français qui peuvent se positionner sur des socles qui peuvent utiliser ce type de logiciels Microsoft. Après, c’est à nous d’être attentifs. De positionner les sondes. D’avoir des rapports francs avec l’éditeur. La confiance n’empêche pas le contrôle. L’objectif est d’être serein et nous avons besoin d’être paranoïaques avec tout le monde.

Avez-vous des vœux pour l’avenir sur un terrain technique, opérationnel ou législatif ?

Sur le plan technique, nous sommes dans une dynamique d’agilité. On n’est plus du tout dans la conception d’un système qui va mettre plusieurs années pour être conçu et qui sera livré pour répondre parfaitement à nos besoins. 

On est beaucoup plus sur du modulaire. Dès qu’une nouvelle technologie arrive, on la teste, on fait des preuves de concepts, des prototypes et si l’on sent qu’elle est pertinente, on l’intègre. Il faut voir notre système comme une structure où on vient « plugger » des modules. On est sur l’interopérabilité, l’interconnexion, l’évolutivité, l’innovation et tout est centré sur la donnée de cyberdéfense afin de comprendre, analyser créer des corrélations, remonter dans des arborescences.

Sur le plan juridique, on n'est pas mal. La France, et cela a été validé en interministériel, a sorti un rapport sur l’application du droit international au cyberespace. Il y a deux volets. L’un sur l’atteinte à nos systèmes sur le sol national, laquelle peut s’analyser comme une atteinte à notre souveraineté numérique. Si l’origine vient d’un État ou si l’impact est élevé, s’ouvrent des possibilités de contre-mesures pouvant aller jusqu’à la légitime défense voire des mécanismes de défense militaire. La position de la France est assez ferme avec un niveau de réactivité assez bas.

Sur le théâtre d’opérations, comme évoqué, l’enjeu est celui d’une capacité de supériorité opérationnelle, dans un cadre juridique strict. Les deux points sont très cohérents. Voilà pourquoi nous n’avons pas pris de posture uniquement défensive, laquelle nous limiterait. Je ne ressens donc pas le besoin d’un nouveau texte juridique, spécifiquement.

Publiée le 11 février 2020 à 15:46


Chargement des commentaires